- Trang Chủ
- Quản trị mạng
- Phân tích hiệu năng của hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) sử dụng mạng hàng đợi
Xem mẫu
- ISSN 2354-0575
PHÂN TÍCH HIỆU NĂNG CỦA HỆ THỐNG PHÁT HIỆN XÂM NHẬP
DỰA TRÊN MẠNG (NIDS) SỬ DỤNG MẠNG HÀNG ĐỢI
Phạm Tư Cường, Hồ Khánh Lâm
Trường Đại học Sư phạm Kỹ thuật Hưng Yên
Ngày tòa soạn nhận được bài báo: 10/08/2017
Ngày phản biện đánh giá và sửa chữa: 26/08/2017
Ngày bài báo được duyệt đăng: 10/09/2017
Tóm tắt:
Hệ thống phát hiện xâm nhập IDS đóng vai trò quan trọng và cần thiết trong cấu trúc kết nối LAN
nhằm đảm bảo an ninh cho một cơ sở, cơ quan nhà nước, doanh nghiệp, trường học,... Ngày nay sự gia
tăng tấn công mạng càng yêu cầu lớn về các loại IDS. Công nghệ của IDS, các giải pháp an ninh mà IDS
thực hiện gia tăng hiệu quả trong đảm bảo an ninh mạng. Do đó, phân tích hiệu năng của IDS là một vấn
đề được quan tâm nghiên cứu. Bài báo này đề xuất sử dụng mô hình hàng đợi để phân tích hiệu năng của
hệ thống phát hiện xâm nhập dựa vào kết nối mạng (NIDS), một trong những phương pháp hiệu quả.
Từ khóa: NIDS, hiệu năng, LAN, mạng hàng đợi.
1. Đặt vấn đề này sẽ chỉ thành công nếu IDS chứa lỗi mã hóa có
IDS (Instrusion Detection System) ngày thể bị khai thác bởi kẻ tấn công kinh nghiệm và
càng thông dụng trong xây dựng các giải pháp đảm thông minh.
bảo an ninh mạng cho nhiều mạng máy tính kết Khả năng xử lý lưu lượng băng thông cao
nối Internet. Có nhiều loại IDS có thể áp dụng kết của NIDS: số đo này chỉ ra NIDS vận hành như
hợp trong thiết kế LAN kết nối Internet. Mặc dù có thế nào khi có khối lượng lớn lưu lượng đến. Hầu
những nhược điểm nhưng hệ thống IDS dựa vào hết các NIDS sẽ bắt đầu bỏ các gói vì khối lượng
mạng NIDS (Network based Instrusion Detection lưu lượng tăng lên, dẫn đến chúng bỏ qua các tấn
System) lại được dùng phổ biến trong sự kết hợp công. Ở một ngưỡng nào đó, hầu hết các NIDS sẽ
với các loại IDS khác. Trong kết nối LAN, NIDS dừng phát hiện bất kỳ tấn công nào. Thông số này
được sau Router+Firewall, bởi vì toàn bộ lưu lượng tương tự như “khả năng kháng cự của NIDS” khi
các gói tin từ Internet phải đi qua NIDS để thực kẻ tấn công gửi khối lượng lớn lưu lượng không tấn
hiện phát hiện xâm nhập. Vì vậy, NIDS sẽ dễ dàng công đến NIDS. Chỉ có sự khác nhau là số đo này
bị quá tải hay bị tấn công dạng DoS (từ chối dịch tính khả năng của IDS xử lý các khối lượng của lưu
vụ. Hiệu năng của NIDS ảnh hưởng lớn đến toàn lượng cơ sở bình thường.
bộ hoạt động của LAN. Công nghệ của NIDS ảnh Khả năng liên hệ các sự kiện: thông số này
hưởng đến tốc độ xử lý (phục vụ) các gói tin đến, chỉ ra IDS liên hệ các sự kiện tấn công. Những sự
trong đó có một số yếu tố hiệu năng như sau. kiện này có thể được lấy từ IDS, router, firewall,
Khả năng kháng cự của IDS (resistance các log của ứng dụng, hoặc các thiết bị trong mạng.
to atackers directed at the IDS): số đo này chỉ ra Mục đích đầu tiên của liên hệ các sự kiện là xác
khả năng chống chọi của IDS trước các cố gắng tấn định các tấn công đã xâm nhập.
công phá vỡ hoạt động của IDS. Các tấn công vào Khả năng phát hiện các tấn công chưa có
IDS có thể ở các dạng: trước đó: thông số này chỉ ra IDS phát hiện các tấn
- Gửi một lượng lớn lưu lượng không tấn công công mà các tấn công chưa xuất hiện trước đó.
với dung lượng vượt quá khả năng xử lý của IDS. Khả năng nhận dạng tấn công: số đo này
- Gửi đến IDS các gói không tấn công nhưng chỉ ra IDS nhận dạng tốt như thế nào tấn công mà
lại được khôn khéo kích hoạt các nghi ngờ bên nó được phát hiện nhờ sự gán nhãn từng tấn công
trong IDS, khi đó IDS có thể đưa ra các cảnh báo với tên chung hoặc tên dễ bị tổn thương hoặc nhờ sự
sai hoặc làm hỏng công cụ hiển thị. gán tấn công cho một loại.
- Gửi đến IDS một số lượng các gói tấn công Khả năng xác định sự thành công của tấn
nhằm làm sao lãng người quản trị IDS trong khi công: thông số này chỉ ra IDS có thể xác định sự
kẻ tấn công lại đưa vào tấn công thực sự dấu dưới thành công của các tấn công từ các nơi xa mà kẻ tấn
“smokescreen” được tạo bởi vô số các tấn công khác. công có được các thẩm quyền cấp độ về an ninh của
- Gửi đến IDS các gói chứa dữ liệu có thể hệ thống bị tấn công. Khả năng này là cơ sở để phân
khai thác đặc tính yếu kém (hay lỗ hổng an ninh) tích sự liên hệ tấn công và kịch bản tấn công.
trong các thuật toán xử lý của NIDS. Kiểu tấn công So sánh dung lượng cho NIDS: NIDS yêu
56 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology
- ISSN 2354-0575
cầu giao thức cấp độ cao so với các thiết bị mạng khỏi mạng ra ngoài thì số lượng công việc của một
khác như router, switch. Do đó, quan trọng là đo khả lớp không thay đổi và lớp công việc đó được gọi là
năng của NIDS để chiếm đoạt, xử lý và thực hiện ở đóng. Ngược lại, lớp công việc không đóng được
cùng một cấp độ chính xác dựa vào tải của mạng. gọi là mở. Nếu mạng hàng đợi chứa cả các lớp đóng
Một số thông số khác cũng được đưa vào và mở thì mạng được gọi là mạng kết hợp.
đánh giá hiệu năng của IDS: Có các ký hiệu sau đây cần phải được bổ sung
- Số lượng các nút trong mạng. để mô tả các mạng hàng đợi nhiều lớp công việc:
- Xác suất của lỗi tấn công (cấp độ an ninh R - số lượng các lớp công việc trong một mạng.
của hệ thống). nir - số lượng các công việc của lớp thứ r ở
- Giới hạn về số lượng các lần cố tấn công. nút i; đối với một mạng đóng:
- Số lượng các nút trong mạng bị tấn công. K R
- Số lượng các liên kết mà IDS theo vết từ / / nir = N
i=1 r=1
nút bị tấn công đến nguồn tấn công. Nr - số lượng công việc của lớp thứ r trong toàn
Một số yếu tố khác như: tính dễ dàng sử mạng; giá trị này không nhất thiết là hằng số ngay cả
dụng, dễ dàng bảo trì, cách đưa ra khai thác, các trong mạng đóng, bởi vì một công việc khi chuyển từ
yêu cầu tài nguyên, độ sẵn sàng và chất lượng của một nút đến một nút khác có thể chuyển lớp:
hỗ trợ, v.v... Những yếu tố này không trực tiếp liên K
quan đến hiệu năng của IDS nhưng có thể có ý / nir = Nr
i=1
nghĩa nhiều hơn trong nhiều tình trạng thương mại. N - tổng số công việc thuộc tất cả các lớp
của toàn mạng là một vector tổng các số lượng công
2. Các nghiên cứu liên quan việc của từng lớp:
Nghiên cứu [1] đưa ra phân tích hiệu năng N = (N1, N2,..., NR)
các hệ thống phát hiện và ngăn chặn xâm nhập IDPS Si - trạng thái của nút i của mạng là: Si = (ni1,
(Instrusion Detection and Prevention Systems) như K
là các dịch vụ hàng đợi với mô hình hàng đợi mở ni2, ..., niR) và thỏa mãn: / Si = N .
i=1
hữu hạn M/G/1/K. Các tác giả của [2] lại đưa ra định S - trạng thái của toàn mạng gồm nhiều lớp
dạng hàng đợi của sự phát hiện xâm nhập để đánh các công việc là vector: S = (S1, S2,..., SN)
giá chất lượng của IDS qua các đáp ứng tích cực và n ir - tốc độ phục vụ của nút i cho tất các các
thụ động với mục đích tìm ra cấu hình phù hợp và công việc thuộc một lớp r.
quyết định kiểm tra sự đáp ứng tích cực và thụ động r ir, js - xác suất định tuyến mà một công việc
đối với các xâm nhập. Các đáp ứng này dựa trên các của lớp r ở nút i được chuyển đến nút j của lớp s.
cảnh báo. Chất lượng của IDS được thể hiện qua r 0,js - xác suất trong một mạng mở mà một
các tỷ lệ phát hiện và tỷ lệ cảnh báo sai. Các firewall công việc từ ngoài mạng chuyển đến nút j thuộc lớp s.
mạng nói chung trong đó gồm cả IDS được nghiên r ir, 0 - xác suất trong một mạng mở mà một
cứu [3] mô hình hóa bằng hàng đợi hữu hạn dựa trên công việc của lớp r rời khỏi mạng sau khi đã được
chuỗi Markov nhúng (Embedded Markov Chain) để phục vụ xong ở nút i:
phân tích hiệu năng của chúng khi có lưu lượng bình K R
thường cũng như có các lưu lượng tấn công DoS qua r ir, 0 = 1 - / / r ir,js
j=1 s=1
các thông số: thông lượng, mất gói, trễ gói, mức độ
m - tổng tốc độ đến từ ngoài mạng.
sử dụng của CPU trên firewall. Nghiên cứu [4] tổng
m 0,ir - tốc độ đến nút i từ ngoài mạng của các
hợp các ứng dụng của Markov ẩn cho IDS. Một số
công việc thuộc lớp r, m 0,ir = m. r 0,ir
nghiên cứu, ví dụ [5][6][7] ứng dụng mạng nơron để
m ir - tốc độ đến nút i của các công việc thuộc
đánh giá hiệu năng của IDS.
lớp r, đối với mạng mở:
K R
3. Mạng hàng đợi đóng của NIDS đa lớp công m ir = m . r 0, ir + / / m js . r js, ir ;
j=1 s=1
việc [8][9]
• Mạng hàng đợi đa lớp công việc: • Đề xuất mạng hàng đợi mở cho LAN với
Một mạng hàng đợi (đóng, mở, hoặc kết Firewall và NIDS:
hợp) có thể có một số lớp công việc. Các lớp công Mạng hàng đợi mở gồm các nút hàng đợi
việc (một luồng gói tin) khác nhau bởi các thời dạng M/M/n, trong đó Router+Firewall được mô
gian phục vụ và các xác suất định tuyến của chúng. hình bằng hàng đợi M/M/1, NIDS được mô hình
Một công việc có thể chuyển từ một lớp sang lớp bằng hàng đọi M/M/1, các máy chủ Servers được
khác khi nó chuyển từ một nút đến một nút khác. mô hình bằng hàng đợi M/M/8 (cho rằng trong LAN
Nếu không có công việc việc nào của một lớp cụ có khoảng 8 servers), mạng Ethernet gồm 300 máy
thể không chuyển từ bên ngoài mạng đến hoặc rời trạm được mô hình bằng hàng đợi M/M/300 (Hình
Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology 57
- ISSN 2354-0575
1). Mạng hàng đợi mở có nguồn vào (Source) từ cho rằng NIDS xử lý được lưu lượng tấn công (class
Internet là các luồng dữ liệu tấn công (packet attack 2) và không cho lưu lượng này đi vào LAN, mà chỉ
flow) - gọi là lớp công việc 1 (job class 1) và, luồng lượng bình thường (class 1) vào LAN. Sự thay đổi
dữ liệu bình thường (Packer normal service flow) - tốc độ xử lý luồng tấn công ảnh hưởng đến đáp ứng
gọi là lớp công việc 2 (job class 2). Mặc định cho trung bình của NIDS và của cả LAN.
rằng các nút hàng đợi có khả năng xử lý được tất cả Để thực hiện mô phỏng và tính toán hiệu
các gói tin đến (khách hàng, hay công việc), do đó năng của mạng hàng đợi đề xuất, tác giả sử dụng
kích thước hàng đợi là ∞. Toàn bộ lưu lượng các gói công cụ mô phỏng JMT v.1.0.1 (Java Modelling
tin từ Internet trước tiên phải qua Route+Firewall Tools) [10]. Sơ đồ ở Hình 2 và các kết quả mô
và NIDS. Để phân tích ảnh hưởng NIDS đến hiệu phỏng ở dạng các đồ thị cho ở các Hình 3: (1)-(24)
năng của LAN (gồm các servers và các máy trạm, nhận được từ chạy chương trình JMT.
Hình 1. Mạng hàng đợi mở của LAN+NIDS
Hình 2. Mạng hàng đợi mở của LAN+NIDS trong JMT v.1.0.1
Thực hiện 3 kịch bản với sự thay đổi thời Class 2: đặt thời gian phục vụ trung bình của
gian phục vụ trung bình E[S] của các hàng đợi Rout- Router+firewall và NIDS bằng 0.1s, của Servers và
er+Firewall và NIDS đối với luồng các gói tấn công Ethernet bằng 0.5s.
(job class 2). Thời gian phục vụ trung bình của các Tốc độ đến trung bình từ Source (Internet),
hàng đợi đối với luồng gói dịch vụ bình thường (job λ: của các luồng gói tin Class 1 và Class 2 bằng 0.5sec-1;
class 1) không thay đổi và bằng 0.5s cho cả 3 kịch Các kết quả tính trên JMT cho ở các hình (1) - (8).
bản. Tốc độ đến trung bình của các gói dữ liệu tấn
công và bình thường từ Source đều là λ = 0.5s-1. Hai
số đo hiệu năng được tính trong mô phỏng là E[N]
- số khách hàng trung bình (Number of Customers)
và E[R] - đáp ứng trung bình (Response Time) (s).
4. Kết quả mô phỏng
1) Kịch bản 1: Các thời gian phục vụ
trung bình, E[S]:
Class 1: đặt thời gian phục vụ trung bình của
Router+firewall và NIDS bằng 0.5s, của Servers và Hình 3: (1). Number of customers of NIDS (class1)
Ethernet bằng 0.5s 125.088
58 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology
- ISSN 2354-0575
Hình 3: (2). Response Time of NIDS (class 1): 98.838s Hình 3: (8). Response Time of Ethernet (class 1):
0.499s
Từ Hình 3: (1) đến Hình 3: (8) thể hiện kết
quả của số lượng khách hàng trung bình và mức đáp
ứng trung bình của hệ thống trong kịch bản 1.
2) Kịch bản 2:
Các thời gian phục vụ trung bình, E[S]:
Class 1: đặt thời gian phục vụ trung bình
Hình 3: (3). Number of customers of NIDS (class của Router+firewall và NIDS bằng 0.5s, của các
2) 52.305 Servers và Ethernet bằng 0.5s.
Class 2: đặt thời gian phục vụ trung bình
của Router+firewall và NIDS bằng 0.5s, của các
Servers và Ethernet bằng 0.5s.
Tốc độ đến trung bình từ Source
(Internet), λ: của các luồng gói tin Class 1 và Class
2 bằng 0.5sec-1; Các kết quả tính trên JMT cho ở các
hình (9) - (16).
Hình 3: (4). Response Time of NIDS (class 2): 14.31s
Hình 3: (9). Number of customer of NIDS (class 1),
89.832
Hình 3: (5). Number of Customers of Servers (class
1), 0.365
Hình 3: (10). Response Time of NIDS (class 1), 59.901s
Hình 3: (6). Response Time of Servers (class 1): 0.500s
Hình 3: (7). Number of customers of Ethernet (class Hình 3: (11). Number of customers of NIDS (class
1), 0.699 2), 50.239
Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology 59
- ISSN 2354-0575
của Router+firewall và NIDS bằng 0.5s, của các
Servers và Ethernet bằng 0.5s.
Class 2: đặt thời gian phục vụ trung bình của
Router+firewall và NIDS bằng 1s, của các Servers
và Ethernet bằng 0.5s.
Tốc độ đến trung từ Source (Internet), λ:
của các luồng gói tin class 1 và class 2 bằng bằng
0.5 sec-1; Các kết quả (17) - (24).
Hình 3: (12). Response Time of NIDS (class 2), 64.390s
Hình 3: (17). Number of customers of NIDS (class
Hình 3: (13). Number of customer of servers (class 1), 1), 164.158
0.349
Hình 3: (18). Response Time of NIDS (class 1), 172.876s
Hình 3: (14). Response Time of Servers (class 1),
0.500s
Hình 3: (19). Number of customer of NIDS (class
2), 300.689
Hình 3: (15). Number of customer of Ethernet (class
1), 0.668
Hình 3: (20). Response Time of NIDS (class 2), 490.908s
Hình 3: (16). Response Time of Ethernet (class 1),
0.500s
Từ Hình 3: (9) đến Hình 3: (16) thể hiện kết
quả của số lượng khách hàng trung bình và mức đáp
ứng trung bình của hệ thống trong kịch bản 2.
3) Kịch bản 3:
Các thời gian phục vụ trung bình, E[S]: Hình 3: (21). Number of customer of Servers (class
Class 1: đặt thời gian phục vụ trung bình 1), 0.312
60 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology
- ISSN 2354-0575
Hình 3: (22). Response Time of Servers (class 1), 0.498s Hình 3: (24). Response Time of Ethernet (class 1), 0.498s
Từ Hình 3: (17) đến Hình 3: (24) thể hiện kết
quả của số lượng khách hàng trung bình và mức đáp
ứng trung bình của hệ thống trong kịch bản 3.
Hình 3: (23). Number of customer of Ethernet (class
1), 0.585
Bảng 1. Tổng hợp các giá trị trung bình của kết quả mô phỏng mạng hàng đợi LAN+NIDS
Kịch bản 1:
Các thời gian phục vụ trung bình, E[S]:
Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]= 0.5s
Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=0.1s, Servers và Ethernet có E[S]= 0.5s
Tốc độ đến trung bình từ Source (Internet), λ:
của các gói thuộc lớp class 1 và class 2 đều bằng 0.5sec-1
E[S]=0.5s Number of customers Response Time
Class 1 NIDS 128.088 98.838s
Class 1 Servers 0.365 0.500s
Class 1 Ethernet 0.699 0.499s
E[S]=0.1s
Class 2 NIDS 52.305 14.31s
Kịch bản 2:
Các thời gian phục vụ trung bình, E[S]:
Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet E[S]=0.5s
Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]=0.5s
Tốc độ đến trung bình từ Source (Internet), λ:
của các gói thuộc class 1 và class 2 đều bằng 0.5sec-1
E[S]=0.5s Number of customers Response Time
Class 1 NIDS 89.832 59.901s
Class 1 Servers 0.349 0.500s
Class 1 Ethernet 0.668 0.500s
E[S]=0.5s
Class 2 NIDS 50.239 64.390s
Kịch bản 3:
Với các gói thuộc class 1: Router+firewall và NIDS có E[S]=0.5s, Servers và Ethernet có E[S]=0.5s
Với các gói thuộc class 2: Router+firewall và NIDS có E[S]=1s, Servers và Ethernet có E[S]=0.5s
Tốc độ đến trung bình từ Source (Internet), λ:
của các gói thuộc class 1 và class 2 đều bằng 0.5 sec-1
E[S]=0.5s Number of customers Response Time
Class 1 NIDS 164.158 172.876s
Class 1 Servers 0.312 0.498s
Class 1 Ethernet 0.585 0.498s
E[S]=0.5s
Class 2 NIDS 300.689 490.908s
Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology 61
- ISSN 2354-0575
5. Kết luận và đánh giá dùng mạng hàng đợi để phân tích hệ thống NNIDS
Nhận thấy, sự thay đổi thời gian phục vụ kết hợp của HIDS và NIDS. Sự nâng cấp công nghệ
trung bình E[S] của NIDS đối với các gói tấn công của hệ thống NIDS bằng các giải pháp, ví dụ: ứng
(job class 2) làm thay đổi đáp ứng trung bình E[R] dụng kiến trúc tính toán song song - đa xử lý - đa
của NIDS: E[S] càng lớn (tốc độ phục vụ càng nhân, các thuật toán, các phương pháp an ninh, hay
chập) thì E[R] càng lớn. Điều này chứng minh ứng dụng trí tuệ nhân tạo sẽ làm tốc độ phục vụ
mạng hàng đợi mở được đề xuất như cho ở hình trung bình của NIDS tăng lên, nghĩa là E[S] giảm
1 là phù hợp cho mô phỏng hiệu năng của NIDS. đi, và làm đáp ứng trung bình của NIDS giảm, hiệu
Tuy nhiên, có thể sử dụng mạng hàng đợi M/M/c/K năng của NIDS tăng. Ngoài những công cụ đo đạc
để phân tích hệ thống NIDS với sự hữu hạn (K chỉ thông dụng chạy trên các hệ thống giám sát sẵn có
giá trị hữu hạn của tài nguyên của NIDS) của công trên các hệ thống quản lý mạng, thì giải pháp ứng
suất xử lý của NIDS đối với trường hợp tấn công dụng mạng hàng đợi để mô hình hóa và phân tích
dạng DoS làm đầy bộ đệm của NIDS, khi đó xác hiệu năng của NIDS có thể hữu ích trong thiết kế
suất mất gói ở NIDS khi số gói tin đạt tới K. Với và nâng cấp các mạng LAN có cài đặt các hệ thống
xác suất mất gói tại NIDS thì NIDS cũng không còn bức tường lửa.
khả năng đưa ra cảnh báo chính xác nữa. Cũng thể
Tài liệu tham khảo
[1]. Hồ Khánh Lâm, (2015), “Mạng hàng đợi và chuỗi Markov: lý thuyết và ứng dụng”, NXB KHKT.
[2]. Sergey Zapechnikov, Natalia Miloslavskaya, Alexander Tolstoy, “Analysis of Intrusion Detection
and Prevention Systems as Queueing Services”, Cyberneticsand Information Security Faculty,
Information Security of BankingSystems Department, National Research Nuclear University
MEPhI (Moscow Engineering Physics Institute), Moscow, Russia. Switzerland, Crans-Montana, 24
March 2016.
[3]. Wei T. Yue, Metin Cakanyildirim, Young U. Ryu, “A Queuing Formulation of Intrusion Detection
with Active and Passive Responses”, Department of Information Systems and Operations Management
School of Management The University of Texas at Dallas Richardson, Texas 75083-0688, USA.
[4]. Khaled Salah, “Performance Modeling and Analysis of Network Firewalls”. IEEE TRANSACTIONS
ON NETWORK AND SERVICE MANAGEMENT, VOL. 9, NO. 1, MARCH 2012.
[5]. Preeti Saini Ms. Sunila Godara, “Modelling Intrusion Detection System using Hidden Markov
Model: A Review”. International Journal of Advanced Research in Computer Science and Software
Engineering. Volume 4, Issue 6, June 2014. ISSN: 2277 128X.
[6]. Amit Kumar Choudhary and Akhilesh Swarup, “Performance of Intrusion Detection System
using GRNN”. IJCSNS International Journal of Computer Science and Network Security, Vol.9,
No.12, December 2009.
[7]. Devarakonda, Nagaraju, et al. “Intrusion Detection System using Bayesian Network and Hidden
Markov Model.” Procedia Technology 4 (2012): 506-514.
[8]. Khosronejad, Mahsa, et al. “Developing a Hybrid Method of Hidden Markov Models and C5. 0
as a Intrusion Detection System.” International Journal of Database Theory & Application 6.5 (2013).
[9]. John C.S. Lui, “Introduction to Queueing Networks”. Department of Computer Science &
Engineering The Chinese University of Hong Kong.
[10]. Politecnico di Milano Italy, Imperial College London, “JMT Java Modelling Tools, user
manual for JMT version 1.0.1 and above, May 4th, 2017”. http://jmt.sourceforge.net/Papers/JMT_
users_Manual.pdf.
PERFORMANCE ANALYSIS OF INTRUSION DETECTION SYSTEM
NETWORK-BASED (NIDS) USE QUEUE NETWORK
Abstract:
Intrusion detection systems (IDS) play an important and necessary role in the LAN connection
structure to ensure the security of a facility: public authorities, businesses, schools, etc... Today, the increase
in network attacks is increasing the demand big about types IDS. The technology of IDS, security solutions
that IDS perform increased performance in ensuring network security. Therefore, the performance analysis
of IDS is a problem be interested, research. This paper proposes the use of a queue model to analyze the
performance of Intrusion detection system Relies on network connection, one of the consequence methods
(one of the effective methods).
Keywords: NIDS, performance, LAN, network queue.
62 Khoa học & Công nghệ - Số 15/Tháng 9 - 2017 Journal of Science and Technology
nguon tai.lieu . vn