楊忠明，梁本來，秦 勇，蔡昭權

(1.廣東科學技術職業(yè)學院 計算機工程技術學院，廣東 珠海 519090; 2.中山職業(yè)技術學院 信息工程學院，廣東 中山 528404；3.東莞理工大學 計算機學院，廣東 東莞 523808; 4.惠州學院 教育技術中心，廣東 惠州 516007) (*通信作者電子郵箱 yzm8008@126.com)

多檢測引擎監(jiān)測的動態(tài)負載均衡算法

楊忠明1*，梁本來2，秦 勇3，蔡昭權4

(1.廣東科學技術職業(yè)學院 計算機工程技術學院，廣東 珠海 519090; 2.中山職業(yè)技術學院 信息工程學院，廣東 中山 528404；
3.東莞理工大學 計算機學院，廣東 東莞 523808; 4.惠州學院 教育技術中心，廣東 惠州 516007) (*通信作者電子郵箱 yzm8008@126.com)

為解決多引擎入侵檢測系統的負載均衡問題，提出一種檢測引擎的動態(tài)負載調節(jié)算法。首先，監(jiān)測各引擎節(jié)點計算負載；然后，以過載或空載節(jié)點出現為調度時機，以會話為單位調度重負載節(jié)點的流量到低負載節(jié)點，并遍歷節(jié)點進行負載均衡的調節(jié)。由于以會話為調度單位，算法并不以負載的絕對平均為目的，只需保障各引擎節(jié)點不出現過載或空載即達到基本目標。采用KDD cup99數據集進行模擬實驗，實驗結果表明，與平均分配流量算法和基于較大流調整的安全分流算法相比，所提算法對檢測引擎基于會話的負載均衡效果顯著，運行開銷較低且降低了重負載狀態(tài)下的丟包率，有利于提高入侵檢測系統的檢測率。

入侵檢測；負載均衡；流量調度；檢測引擎；會話調度

0 引言

在高速網絡環(huán)境下，大規(guī)模的網絡數據流量以及攻擊多樣化導致的匹配特征規(guī)則大幅增長，使得網絡入侵檢測系統(Network Intrusion Detection System, NIDS)的檢測引擎面臨著較為嚴重的性能瓶頸問題[1]。而解決性能瓶頸的方式目前可大體分為兩類：一類方法是提高單個檢測引擎的檢測算法效率，但受限于單個引擎節(jié)點的處理速度上限，難以全面解決NIDS面臨的性能瓶頸問題[2]。另一類方法是多引擎的并行處理技術，近年來成為解決高速NIDS瓶頸問題的研究重點[3-5]。多引擎并行處理NIDS的關鍵是多引擎節(jié)點的流量負載均衡問題，負載均衡算法的設計應盡量動態(tài)均衡分流并盡量少破壞攻擊數據上下文的關聯性[6]。

多入侵檢測引擎的負載均衡算法主要分為靜態(tài)算法和動態(tài)算法[7]。靜態(tài)負載均衡算法是按照預先設定好的策略進行分流，適用于特定業(yè)務系統的保護無法適應動態(tài)變化的網絡服務。靜態(tài)負載均衡算法的研究多數是基于HASH(Hash散列函數)方法以保證網絡連接的完整性，但HASH并不能較好地均衡符合Zipf分布的網絡流量[8]。動態(tài)負載均衡算法在運行過程中根據各節(jié)點或鏈路的負載情況，動態(tài)分配發(fā)往各引擎節(jié)點的流量，實時維持各節(jié)點流量的大致平衡，但這類算法帶來較大的額外的運行開銷[9]。

聚類分析的方法應用于入侵檢測系統存在海量高維、高速數據的聚類計算需求，左曉軍等[10]提出基于Spark框架的分布式數據流聚類方法DSCLS，啟動Spark-Map任務并行化獲取聚類簇質心，由于聚類簇的規(guī)模大小不一將導致計算量無法保存均衡。易發(fā)勝等[11]提出采用計數布隆過濾器(Bloom Filter, BF)技術的分布式入侵檢測方法，利用分布式的思想提高了BF模式匹配算法的效率，但核心的匹配算法仍未實行計算負載并行化。

針對特定算法的負載均衡算法無法滿足通用性需求，應結合入侵檢測的計算特點，面向會話設計行之有效的均衡算法。陳一驕等[12]提出一種面向會話的自適應負載均衡算法MSF，該算法將IP報文進行多域分類，動態(tài)調整TCP流量，能夠在不影響會話完整性的基礎上進行動態(tài)負載均衡，模擬實驗顯示，MSF算法具有一定的負載均衡效果，并且對于會話完整性的破壞度較小，算法的實現也較為容易，但該算法尚缺乏穩(wěn)定性的證明。為了改變真實網絡鏈路較大流數目少但其所占流量比重較大的情況，陸華彪等[13]提出一種基于較大流調整的安全分流算法HAMF，經過模擬實驗驗證，該算法位流均衡效果較好，流破壞率相對較低，但該算法的復雜度相對偏高。王正霞等[14]基于B+樹的穩(wěn)定性和均衡性，提出基于B+樹結構快速調優(yōu)的反饋式負載均衡算法BLB，在負載不均衡時，BLB算法重映射流表，動態(tài)維持負載均衡，仿真實驗表明，該算法能夠有效地進行負載均衡，降低丟包率，但該算法復雜度相對較高，算法的性能分析過于理論化。

本文提出一種檢測引擎負載監(jiān)測調整的動態(tài)負載均衡算法——DLBAMADE(Dynamic Load Balancing Algorithm based on Monitoring and Adjusting of Detection Engines)，在多檢測引擎NIDS中，利用負載監(jiān)測器每間隔時間Δt動態(tài)監(jiān)測各引擎節(jié)點的工作負載情況，通過負載分析器對當前時刻各檢測引擎節(jié)點的負載情況按由重到輕的順序進行排序。算法的調度時機為出現過載或空載節(jié)點，利用流量調度器將引擎中待處理的會話按調節(jié)比例依次分發(fā)給排序后的各引擎節(jié)點。

1 多引擎NIDS負載均衡架構

在高速網絡環(huán)境下，入侵檢測系統可以采用多檢測引擎并行處理的方法解決海量數據的快速處理問題。而要充分發(fā)揮各引擎節(jié)點的作用，需要有效的負載均衡算法將數據流均衡分配至各檢測引擎處理，負載均衡算法是發(fā)揮多節(jié)點并行處理作用的關鍵。

入侵檢測的并行處理應以會話為單位進行并行計算任務的調度，本文提出的DLBAMADE算法以Δt為時間周期監(jiān)測各并行處理節(jié)點的負載情況，在出現負載失衡時進行流量的調度。調度算法并不以計算負載的絕對平均為目的，只需保障各引擎節(jié)點不出現過載或空載則達到調度基本目標。多引擎并行處理的NIDS負載均衡架構如圖1所示。

2 DLBAMADE算法的理論分析

面向多引擎節(jié)點NIDS的DLBAMADE算法以一定時間間隔(Δt)為監(jiān)測周期，采集各引擎節(jié)點的資源消耗度及漏包率，當引擎節(jié)點出現過載或者空載節(jié)點，則觸發(fā)流量調度器進行會話調度。以數據報文為調度單位會破壞入侵檢測數據鏈路的完整性，導致漏報/誤報率升高，以會話為調度單位則可以保持檢測數據的完整性，所以DLBAMADE算法以會話為單位進行調度，以不出現過載或空載節(jié)點為調度目標，不以計算量的平均程度為算法的考量指標。

圖1 多引擎NIDS負載均衡架構

2.1 DLBAMADE算法的具體思路

2.1.1 存在空負載節(jié)點時的DLBAMADE算法調度設計

定義1 空負載節(jié)點。如果第i個引擎節(jié)點待檢數據長度ni=0，則該引擎節(jié)點即為空負載。其中ni表示第i個引擎節(jié)點的待檢數據隊列長度。

如圖1架構所示，由負載檢測器負責實時監(jiān)測各引擎節(jié)點的待檢數據隊列長度，以待檢數據包的數量為單位，計算出第i個引擎節(jié)點的待檢隊列長度ni。

如果出現某檢測節(jié)點的負載為空，則流量調度器應負責將當前負載最重節(jié)點的待檢測會話按照一定的比例調度給空負載節(jié)點，負載最重節(jié)點的查找算法參見算法1的偽代碼。其中nodenum表示檢測引擎節(jié)點數量，Bignode表示負載最終的引擎節(jié)點標號。

如果只有一個空檢測引擎節(jié)點，使用此引擎節(jié)點。如果兩個以上的檢測引擎節(jié)點負載同時為空，則在其中隨機抽取一個引擎節(jié)點node*，并將當前待檢數據隊列最長的引擎節(jié)點的待檢數據包按照一定比例調度到node*，直到沒有空負載的引擎節(jié)點出現。

算法1 最重負載引擎節(jié)點尋找算法。

BeginBignode=1

//初始化，從引擎節(jié)點1開始尋找負載最重點節(jié)點 for(i=1;inBignode)Bignode=i； }

End

假設應從待檢隊列最長的引擎節(jié)點中調度的數據包個數為pl，計算公式分析如式(1)，其中nodenon表示待檢隊列不為空的檢測引擎節(jié)點數目，umatch表示檢測引擎節(jié)點的檢測速率(單位為b/s)，Δt表示負載監(jiān)測調整的間隔周期(單位為s)。

(1)

此時算法流程如圖2。

2.1.2 無空負載節(jié)點時的DLBAMADE算法調度設計

無空負載節(jié)點時，負載分析器以一個監(jiān)測周期Δt進行如下操作：

1)各引擎節(jié)點待檢數據隊列長度ni從大到小進行排序，依次填入降序隊列表Table2[i]，形成重負載節(jié)點列表；

2)排序后的ni所對應的引擎節(jié)點序號填入數據隊列標簽表Table1[i]，與Table2表數組元素形成對應關系；

3)各引擎節(jié)點待檢數據隊列長度ni從小到大進行排序，依次填入升序隊列表Table3[i]，形成輕負載節(jié)點列表；

利用選擇排序法對檢數據包個數ni進行排序。以上操作具體見算法2的偽代碼。

Beginm=nodenumfor(i=1;i

}

End

圖2 空負載節(jié)點情況下的DLBAMADE算法流程

算法2 各引擎節(jié)點待檢數據隊列長度排序算法。

定義2 過負載節(jié)點。在每個監(jiān)測周期(Δt)計算每個負載節(jié)點的丟包率lossi，當某個節(jié)點的loss*超過設定閾值時則視為出現了過載節(jié)點。

關于負載節(jié)點的丟包率的閾值設定，依據文獻[15]中對漏報率與檢測比例的實驗，根據防御目標的安全等級需要，丟包率可設在10%～25%靈活調整。

在過載節(jié)點出現，則觸發(fā)負載調度時機，流量調度器將Table1[i]節(jié)點調度到Table1[j]節(jié)點的待檢數據包個數為pli(其中i+j=nodenum且i

(2)

2.2DLBAMADE算法的計算復雜度分析

DLBAMADE算法的思想是利用流量調度器，在Δt時間段內將重負載引擎節(jié)點的待檢數據包按照一定比例調度到低負載引擎節(jié)點，其核心步驟是負載分析器中的各引擎節(jié)點待檢數據隊列長度排序算法。通過對算法2的分析可得出DLBAMADE算法的時間復雜度為O(nodenum2)，nodenum為檢測引擎節(jié)點的個數。

由于DLBAMADE算法具有實時性和連續(xù)性的特點，DLBAMADE算法每間隔周期Δt重新對各引擎節(jié)點待檢數據隊列長度排序并計算應調度數據包的數目，因此，分析DLBAMADE算法的實際復雜度應是與數據包的數量直接相關的，在高速網絡環(huán)境下，DLBAMADE算法的計算復雜度也會急劇增加，因此，算法復雜度的數學分析僅具有一定的理論參考價值，具體的算法運行性能還需要在真實環(huán)境的中綜合驗證。

2.3 DLBAMADE算法的完整流程

DLBAMADE算法的完整流程如圖3所示。

圖3 DLBAMADE算法的完整流程

3 算法實驗及分析

為了評估DLBAMADE算法的效果，基于圖1所示的架構搭建實驗系統。該系統中的負載檢測器、分析器和流量調度器的算法實現基于Ubuntu 15環(huán)境，網絡環(huán)境配置20個100 Mb/s快速以太網接口以及2個1 Gb/s以太網接口，利用多臺100 Mb/s網口PC與流量調度器的100 Mb/s網口相連，采用KDD cup99數據集中20%的數據子集模擬網絡流量的采集和檢測。

本實驗的參數具體如表1所示。其中檢測引擎節(jié)點node5～node8與node1～node4的檢測速率比例為2∶1，節(jié)點node9～node10與node1～node4的檢測速率比為4∶1。

表1 實驗參數設定表

3.1DLBAMADE的檢測時延比實驗對比

本實驗中，將DLBAMADE算法與向各引擎節(jié)點平均分配流量以及基于較大流調整的安全分流算法HAMF[13]作對比分析，按設定的Δt進行負載的監(jiān)控和調整。如果存在過載或空載節(jié)點，則觸發(fā)調度時機進行會話負載分配調度。待檢網絡流量為500～1 300 Mb/s，以50 Mb/s的大小等差遞增，實驗結果如圖4所示。

通過圖4的結果分析：

1)在低流量狀態(tài)下，三種負載均衡方法的待檢數據檢測時延基本一致，因為此時的檢測引擎節(jié)點均能夠實時監(jiān)測數據，不存在待檢測數據排隊情況。

2)在網絡總數據流量800 Mb/s之內時，HAMF算法具有微弱的優(yōu)勢，在網絡總數據流量達到800 Mb/s～900 Mb/s區(qū)間時，DLBAMADE算法與HAMF算法的效果基本相當。

3)當網絡總數據流量達到1 000 Mb/s以上， DLBAMADE對比HAMF算法調度下的數據檢測時延優(yōu)勢越來越明顯。

4)隨著網絡總流量的持續(xù)增加，DLBAMADE算法的優(yōu)勢相對趨于平穩(wěn)，逐步收斂。這是由于在重負載網絡環(huán)境下，不僅沒有空載節(jié)點而且節(jié)點的待檢數據隊列長度較大，調度效果不明顯。但經過DLBAMADE算法調度后的待檢數據檢測時延一直比平均分配流量的方法和HAMF算法更短，表明DLBAMADE算法的負載均衡效果在網絡重負載情況下更為有效。

圖4 三種負載均衡方法的實驗結果對比

3.2 引擎節(jié)點不同檢測速率的實驗對比

本實驗中設置兩個檢測引擎節(jié)點，網絡總流量穩(wěn)定在1 000 Mb/s左右，節(jié)點1和節(jié)點2的檢測速率比從1∶1～20∶1進行遞增變化，比例值按照等差數值2進行遞增，比較DLBAMADE算法和平均分配流量算法以及HAMF算法的檢測時延比，實驗結果如圖5所示。

圖5 引擎檢測速率比

分析圖5，以DLBAMADE算法調度后的待檢數據檢測時延為1作為對比，當引擎節(jié)點的檢測速率比增大時，平均分配流量的方法及HAMF的算法調度后的待檢數據檢測時延比均呈曲線上升，這是因為DLBAMADE算法中負載監(jiān)測器得出各引擎節(jié)點的負載情況，并交由負載分析器計算出調度結果，指導流量調度器重新分配當前的網絡流量，從而得到了相對更好的負載均衡效果。

3.3 DLBAMADE的檢測率和丟包率實驗對比

DLBAMADE算法與HAMF算法、平均分配流量算法均針對入侵檢測引擎的待檢測流量進行調度，與入侵檢測系統的核心檢測算法檢測準確度沒有直接關聯，但在重負載情況下，更好的負載均衡效果可以降低丟包率，從而提高入侵檢測系統的檢測率，對檢測的準確性提高有一定的效果。

本實驗中待檢網絡流量為500～1 300 Mb/s，以100 Mb/s的大小等差遞增，重點觀察丟包率對比效果，并觀察丟包率降低所帶來的檢測率提高的效果。在實驗數據中，采用KDD cup99數據集中20%的數據子集模擬網絡流量，樣本總數62 205個，其中正常占20%，DoS類占74%。實驗結果如圖6、圖7所示。

圖7 丟包率對比

圖6、圖7，并綜合圖4的時延分析，隨著待檢流量增大，檢測引擎節(jié)點處理時延升高，檢測引擎將堆積大量的過期數據，入侵檢測系統為保障檢測的實時性將拋棄一部分的待檢數據，導致丟包率的升高。

實驗結果顯示，DLBAMADE算法與HAMF算法比平均分配流量算法的負載均衡效果更顯著；而只調整較大流的分流算法HAMF復雜度較高，DLBAMADE算法的計算復雜度相對較低，分析實驗結果對比如下：

1)在輕負載段(500～700 Mb/s)，兩個算法均能很好調度流量到輕負載節(jié)點，在丟包率的性能表現相近；

2)在重負載段(800～1 100 Mb/s)，DLBAMADE算法并行對節(jié)點按會話數比例排序調度，并行調度效果更優(yōu)，檢測率及丟包率的表現優(yōu)于HAMF算法；

3)在過負載段(1200～1 300 Mb/s)，實驗環(huán)境設定10個引擎節(jié)點累加的處理能力為1 000 Mb/s，在此段每個節(jié)點都已經過負載工作了，均衡調度起不到優(yōu)化流量處理的效果，算法差異不大。平均分配流量算法因為不針對會話流調度，數據流的完整性被破壞導致檢測率大幅下降。

4 結語

本文通過分析當前多引擎NIDS的負載均衡算法的特點，面向會話調度為分布式入侵檢測的主流做法，從工程角度看越低的額外運行開銷則算法的實用性越高。本文所提出的一種檢測引擎負載監(jiān)測調整的動態(tài)負載均衡算法DLBAMADE，以不出現過載或空載節(jié)點為調度目的，并以最小額外計算負載實現負載均衡為工程目標。算法以引擎節(jié)點的資源消耗度及漏包率為主要監(jiān)測依據，以出現過載或空載節(jié)點為調度時機，避免了負載分配的頻繁調度。模擬實驗結果表明，在網絡重負載，不同檢測引擎節(jié)點的運行速率差異越大的情況下，DLBAMADE算法的優(yōu)勢越明顯，能夠取得較好的負載均衡效果，降低檢測系統的丟包率可有效提高其檢測率。如何智能區(qū)分不同網絡業(yè)務數據流量的危險程度，分配較大比例的引擎節(jié)點重點檢測危險數據是作者今后的研究重點。

References)

[1] 蔣文保,郝雙,戴一奇，等.高速網絡入侵檢測系統負載均衡策略與算法分析[J].清華大學學報(自然科學版),2006,46(1):106-110.(JIANG W B, HAO S, DAI Y Q, et al. Load balancing algorithm for high-speed network intrusion detection systems [J]. Journal of Tsinghua University (Science and Technology), 2006, 46(1): 106-110.)

[2] 蔡志平,劉書昊,王晗,等.高性能并行入侵檢測算法與框架[J].計算機科學與探索,2013,7(4):289-303.(CAI Z P, LIU S H, WANG H, et al. High performance parallel intrusion detection algorithms and framework [J]. Journal of Frontiers of Computer Science and Technology, 2013, 7(4): 289-303.)

[3] KUMAR M. Distributed intrusion detection system scalability enhancement using cloud computing [J]. Computer Science and Telecommunications, 2014, 41(1): 16-29.

[4] 張文興,樊捷杰.基于KKT和超球結構的增量SVM算法的云架構入侵檢測系統[J].計算機應用,2015,35(10):2886-2890.(ZHANG W X, FAN J J. Cloud architecture intrusion detection system based on KKT condition and hyper-sphere incremental SVM algorithm [J]. Journal of Computer Applications, 2015, 35(10): 2886-2890.)

[5] 程建,張明清,劉小虎,等.基于人工免疫的分布式入侵檢測模型[J].計算機應用,2014,34(1):86-89.(CHENG J, ZHANG M Q, LIU X H, et al. Distributed intrusion detection model based on artificial immune [J]. Journal of Computer Applications, 2014, 34(1): 86-89.)

[6] 王明定,趙國鴻,陸華彪.基于網絡流量特性分析的高速入侵檢測分流算法[J].計算機應用研究,2010,27(9):3484-3486.(WANG M D, ZHAO G H, LU H B. Load balancing algorithm for high-speed IDS based on analysis of network traffic [J]. Application Research of Computers, 2010, 27(9): 3484-3486.)

[7] 王明定.高速網絡入侵檢測負載均衡算法研究與實現[D].長沙:國防科技大學,2010:4.(WANG M D. The research and implementation on load balancing algorithm in high-speed network for intrusion detection [D]. Changsha: National University of Defense Technology, 2010: 4.)

[8] SHI W, MACGREGOR M H, GBURZYNSKI P, et al. A novel load balancer for multiprocessor routers [EB/OL]. [2016- 01- 08]. http://www.cs.ualberta.ca/macg /Pubs/2005/SPECTS-LOAD/FlowBal_I.pdf.

[9] 張亞玲.高速網絡入侵檢測系統動態(tài)負載均衡策略的研究與實現[D].長沙:湖南大學,2010:7.(ZHANG Y L. Research and implementation on dynamic load-balancing strategy in high-speed network for intrusion detection system [D]. Changsha: Hunan University, 2010: 7.)

[10] 左曉軍,董立勉,曲武.基于Spark框架的分布式入侵檢測方法[J].計算機工程與設計,2015,36(7):1720-1726.(ZUO X J, DONG L M, QU W. Distributed intrusion detection approach based on the Spark framework [J]. Computer Engineering and Design, 2015, 36(7): 1720-1726.)

[11] 易發(fā)勝,龔海剛,汪海鷹.采用CBF技術的分布式入侵檢測系統設計與實現[J].計算機工程與設計,2014,35(7):2339-2343.(YI F S, GONG H G, WANG H Y. Design and implementation of distributed intrusion detection systems based on counting bloom filter [J]. Computer Engineering and Design, 2014, 35(7): 2339-2343.)

[12] 陳一驕,盧錫城,時向泉,等.一種面向會話的自適應負載均衡算法[J].軟件學報,2008,19(7):1828-1836.(CHEN Y J, LU X C, SHI X Q, et al. A session-oriented adaptive load balancing algorithm [J]. Journal of Software, 2008, 19(7): 1828-1836.)

[13] 陸華彪，趙國鴻，陳一驕,等.基于較大流調整的安全分流算法[J].計算機工程,2009,35(13):117-119.( LU H B, ZHAO G H, CHEN Y J, et al. Secure load balance algorithm based on moderate flow adjust [J]. Computer Engineering, 2009, 35(13): 117-119.)

[14] 王正霞,劉曉潔,梁剛.基于B+樹快速調優(yōu)的反饋式負載平衡算法[J].計算機應用,2011,31(3):609-612.(WANG Z X, LIU X J, LIANG G. Feedback pad balancing algorithm based on B+ tree fast tuning [J]. Journal of Computer Applications, 2011, 31(3): 609-612.)

[15] DAS A, NGUYEN D, ZAMBRENO J, et al. An FPGA-based network intrusion detection architecture [J]. IEEE Transactions on Information Forensics and Security, 2008, 3(1): 118-132.

This work is partially supported by the National Natural Science Foundation of China(61170193), the Science and Technology Project in the Field of Industrial High and New Technology of Guangdong Province(2013B010401036), the Training Program for Outstanding Young Teachers in Guangdong Province (YQ2014187), the Natural Science Foundation of Guangdong Province (S2013010013432), the Science and Technology Innovation Program of Guangdong Education Department (2013KJCX0178).

YANG Zhongming, born in 1980, M. S., associate professor. His research interests include information security, intelligent algorithm.

LIANG Benlai, born in 1983, M. S., lecturer. His research interests include information security, network routing.

QIN Yong, born in 1970, Ph. D., professor.His research interests include network routing optimization.

CAI Zhaoquan, born in 1970, M. S., professor. His research interests include computer network technology.

Dynamic load balancing algorithm based on monitoring and adjusting of multiple detection engines

YANG Zhongming1*, LIANG Benlai2, QIN Yong3, CAI Zhaoquan4

(1.ComputerEngineeringTechnicalCollege,GuangdongPolytechnicofScienceandTechnology,ZhuhaiGuangdong519090,China; 2.CollegeofInformationEngineering,ZhongshanPolytechnic,ZhongshanGuangdong528404,China; 3.ComputerInstitute,DongguanUniversityofTechnology,DongguanGuangdong523808,China; 4.EducationalTechnologyCenter,HuizhouUniversity,HuizhouGuangdong516007,China)

To solve the load balance problem of multi-engine intrusion detection system, a dynamic load regulation algorithm of detection engine was proposed. Firstly, load was calculated by monitoring each engine node. Then, the scheduling of the heavy load node was performed by scheduling the overload or no-load node as a scheduling opportunity, and the nodes were traversed to adjust the load balancing. As the session for the scheduling unit, the algorithm was not the absolute average load for the purpose, just to ensure that the engine node does not appear overload or no load to achieve the basic goal. The KDD cup99 data set was used to simulate experiment. The experimental results show that compared with average load allocation algorithm and secure load allocation, the proposed algorithm has a significant effect on session-based load balancing, the running cost is lower, and the packet loss rate under heavy load are lower, which improves the detection rate of intrusion detection system.

intrusion detection; load balancing; traffic scheduling; detection engine;session scheduling

2016- 08- 26;

2016- 10- 31。

國家自然科學基金資助項目(61170193);廣東省工業(yè)高新技術領域科技計劃項目(2013B010401036);廣東省高等學校優(yōu)秀青年教師培養(yǎng)計劃項目(YQ2014187);廣東省自然科學基金資助項目(S2013010013432);廣東省教育廳科技創(chuàng)新項目(2013KJCX0178)。

楊忠明(1980—)，男，廣東茂名人，副教授，碩士，CCF會員，主要研究方向：信息安全、智能算法； 梁本來(1983—)，男，山東濟寧人，講師，碩士，主要研究方向：信息安全、網絡路由； 秦勇(1970—)，男，湖南邵陽人，教授，博士，主要研究方向：網絡路由優(yōu)化； 蔡昭權(1970—)，男，廣東陸豐人，教授，碩士，主要研究方向：計算機網絡技術。

1001- 9081(2017)03- 0717- 05

10.11772/j.issn.1001- 9081.2017.03.717

TP393

A