4、高效分布式签名分析与VoIP架构运行时风险管理策略

高效分布式签名分析与VoIP架构运行时风险管理策略

高效分布式签名分析

在分布式入侵检测系统中，高效的签名分析至关重要。当A类和B类事件在时间窗口Δt内发生时，相关情况会被记录。若B类事件在A类事件后的Δt时间窗口内发生，这些事件需在AU2中缓冲以进行重复评估。

如果审计数据流中的事件序列在Δt内包含i和j类型的事件，且可能导致重复评估，那么该序列被称为关键序列。当应用的签名包含分别对i和j敏感的边，并且在分析i类型事件后期望出现j类型事件时，就会出现这种情况。传感器和分析单元可以动态更新审计事件流中此类关键序列的出现频率统计信息。每个分析单元还会持续记录重复评估的审计事件的数量和类型。基于这些统计信息，可以将签名的相关转移边分配到同一单元，以避免重复分析。

签名分布的迭代调整

审计数据流的特征可能频繁变化，因此关键事件序列的统计信息必须持续更新，签名分布也需相应调整。之前描述的所有优化策略都会确定一个全新的签名分布，这通常需要大量的重组工作，因为往往需要将许多状态节点移动到其他分析单元。所以，这些策略仅适用于获取最佳的初始签名分布，每天可能重复2 - 6次。

对于正常分析过程，应优先选择迭代调整策略，该策略可以在最小化重组的情况下持续调整签名分布。如果分布式分析系统的资源消耗失衡，应将高负载分析单元的签名片段重新分配到负载较低的单元。可根据以下程序选择要移动的片段：
1. 将负载最高的分析单元中的一个片段重新分配到负载最低的单元。
2. 与第一种方法类似，但选择最适合的片段，其重新分配能最好地平衡计算负载。这可以通过基于方程(2)的分析统计信息评估分析单元的计算负载来实现。
3. 从负载最高的单元中选择由