一种DDoS攻击检测方法技术

本发明专利技术公开了一种DDoS攻击检测方法，其包含以下过程：收集网络中的数据流，对收集的数据流进行预处理；用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，并用预处理后的数据进一步训练DDoS攻击检测模型；用训练好的DDoS攻击检测模型在线检测异常数据流；判断被检测出的异常数据流是否为DDoS攻击异常数据流，若是，则进行DDoS攻击数据流处理，否则，进行其他异常数据流处理；对所有被检测出的异常数据流进行异常处理的同时，并进行预警。本发明专利技术的优点为：改善了传统的BP神经网络算法容易陷入局部最优，收敛速度慢的问题；提高了DDoS攻击检测的准确性；改进了检测模型的泛化能力。

【技术实现步骤摘要】
一种DDoS攻击检测方法
本专利技术涉及云安全领域，具体涉及一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法。
技术介绍
自从计算机问世以来，网络安全问题一直存在，使用者并未给予足够的重视，但是随着信息技术的发展，网络安全问题日益突出。网络安全中最大和最具挑战性的问题之一是分布式拒绝服务(DistributedDenialofService，简称DDoS)攻击，DDoS攻击是一种分布式大规模流量攻击方式，通过控制互联网上傀儡机对目标服务器发动攻击，产生的大量数据流涌向目标服务器，消耗服务器系统资源和带宽，或把链接占满，从而影响合法用户的访问。DDoS攻击对网络上的主机，服务器乃至网络基础设施均会造成严重危害，大多数情况下，DDoS攻击是无规律可寻的，攻击者利用TCP，UDP和ICMP协议发动攻击，或者是发送合理的数据请求，造成企业和用户的网络瘫痪，无法提供正常的服务；实施的DDoS攻击一般都会伪造源IP地址，具有隐蔽性强、并发数高、攻击流量大、破坏力强、涉及范围广的特点。并且随着攻击技术的日益发展，DDoS攻击技术不论是在攻击手段还是攻击方式上都在不断的发展，开始进入一个新的APT(AdvancedPersistentThreat)时代。APT时代的DDoS攻击问题将会更加严重，DDoS攻击具有更持续的攻击过程、更加高效的攻击技术以及更严重的威胁，因此，这就对DDoS攻击的防御、缓解以及相应的处理等难题提出巨大的挑战。
技术实现思路
本专利技术的目的在于提供一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法，通过用全局无偏搜索策略蜂群算法来优化训练BP神经网络，可以改善传统的BP神经网络算法容易陷入局部最优，收敛速度慢的问题，提高DDoS攻击检测的准确性，改进检测模型的泛化能力。为了达到上述目的，本专利技术通过以下技术方案实现：一种DDoS攻击检测方法包括以下过程：S1、配置用于收集网络中产生的网络流量数据；S2、配置用于对收集到的网络流量数据进行预处理；S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，进行DDoS攻击检测模型的优化训练；S4、用训练好的DDoS攻击检测模型实时检测网络数据流，判断是否为异常数据流，若不是，则结束；否则，判断是否为DDoS攻击数据流，若是DDoS攻击数据流，则进行DDoS攻击数据流的异常处理，否则，进行其他异常数据流处理；S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。优选地，所述数据预处理模块包括特征提取、属性映射和归一化三部分：特征提取：用于提取数据流的特征；属性映射：将数据流中的非数值特征转化为数值特征；归一化：归纳统一样本的统计分布性。优选地，所述全局无偏搜索策略蜂群算法包含以下过程：在人工蜂群算法中，蜂群包含了三种不同的蜂：引领蜂、观察蜂和侦查蜂；在D纬空间中，设食物源的规模为SN，食物源与引领蜂一一对应；其中，第i个食物源的位置Xi＝(Xi1，Xi2，...，XiD)代表一个候选解，首先，按照公式(1)生成SN个初始解：公式(1)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；表示搜索空间第j纬的下限，表示搜索空间第j纬的上限；rand(0，1)表示取(0,1)范围内的随机数；ABC搜索过程的三个阶段：引领蜂阶段：根据公式(2)，引领蜂在当前蜜源邻域内搜索一个新的蜜源Vi＝(Vi1，Vi2，...，ViD)：公式(2)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；Vi，j是Vi的分量；是[-1,1]均匀分布的随机数，决定扰动程度；Xi，j是当前食物源Xi的分量；k∈{1，2，...，SN}，Xk，j是Xk的分量，Xk是随机选择的一个食物源，并且k≠i；如果新食物源Vi的适应度优于食物源Xi，用新食物源Vi代替原来的食物源Xi，否则保留食物源Xi；观察蜂阶段：大量的观察蜂根据引领蜂分享的信息，按照公式(3)计算概率，贪婪选择较优的食物源：公式(3)中，i＝1，2，...，SN，SN为食物源的规模；fiti表示食物源的适应度；适应度越大，观察蜂选择该食物源的概率就越大；其中，适应度按照公式(4)计算：其中，i＝1，2，...，SN，SN为食物源的规模；fi表示第i个解的目标函数值；侦查蜂阶段：每个解都会经历数次迭代，如果某个解i经过limit次没有更新，这种情况下，采用公式(1)来随机初始化一个新的食物源；基于全局无偏搜索策略的精英人工蜂群算法，所述的精英人工蜂群算法提出的新公式为：其中，公式(7)用于雇佣蜂阶段，公式(8)用于观察蜂阶段；Vi，j为Vi的分量，Ve，j为Ve的分量，Vi和Ve分别为新的食物源；μ为基向量，δ为扰动向量；Xbest，j是Xbest的分量，Xbest为全局最优解；和为[-1,1]之间的随机数；|·|为绝对值符号；Xe，j是Xe的分量，Xe是从种群最好的p·SN个个体选择的精英解，p∈(0，1)；Xk，j是Xk的分量，Xk是从{1，2，...，SN}中选择的普通个体，并且e≠k≠i。优选地，所述BP神经网络包含以下过程：在BP神经网络中，输入向量X＝(x1，x2，...，xi，...，xn)，隐藏层节点的加权和由公式(9)计算：其中，i＝1，2，...，n，n为输入层节点的个数；ωij为输入层节点i和隐藏层节点j之间的权值，θj为隐藏层节点j的阈值；lj为第j个隐藏层节点的输入加权和；隐藏层节点j的输出值由公式(10)计算：公式(10)中，j＝1，2，...，q，q是隐藏层节点的个数；输出层的预期值和实际值之间的误差，由公式(11)计算：公式(11)中，k＝1，2，...，m，m为输出层节点的个数；dk为输出层节点的期望值；yk为输出层节点的实际值；在反向传播阶段，权值和阈值的更新可以由公式(12)和公式(13)计算：其中，为比例常数，反映训练时的学习速度；Δωij为权值的变化量；Δθk为阈值的变化量；yi为第i个节点的加权和对权值求的偏导；这里的i，j和k是指隐藏层和输出层的节点。优选地，所述全局无偏搜索策略蜂群算法优化BP神经网络的训练过程具体为：S3.1、将预处理之后的数据作为BP神经网络的训练数据；初始化BP神经网络神经元连接上的权值和阈值以及一些相关参数；S3.2、计算输出层节点的实际输出；S3.3、计算BP神经网络的损失函数，同时检查是否满足要求的准确度，如果满足，结束训练，否则，转到S3.4；S3.4、初始化精英人工蜂群算法，设定相关的参数，例如最大迭代次数MCN，种群规模SN等；使用BP神经网络待优化的权值和阈值作为EABC-elite算法的输入；S3.5、设置BP神经网络的损失函数作为全局无偏搜索策略蜂群算法的目标函数；S3.6、计算和更新食物源的位置；S3.7、迭代运行精英人工蜂群算法，判断是否达到了最大迭代，若是，转到S3.8，否则，转到S3.4；S3.8、通过精英人工蜂群算法的优化，得到一组最优解，将其作为BP神经网络的初始化权值和阈值；S3.9、基于最优的权值和阈值，BP神经网络开始自学习迭代训练；S3.10、计算损失函数，同时检查是否达到要求的准确度，如果满足，则结束训练，否则，转到S3.11；S3本文档来自技高网...

【技术保护点】
1.一种DDoS攻击检测方法，其特征在于，包括以下步骤：S1、配置用于收集网络中产生的网络流量数据；S2、配置用于对收集到的网络流量数据进行预处理；S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，进行DDoS攻击检测模型的优化训练；S4、用训练好的DDoS攻击检测模型实时检测网络数据流，判断是否为异常数据流，若不是，则结束；否则，判断是否为DDoS攻击数据流，若是DDoS攻击数据流，则进行DDoS攻击数据流的异常处理，否则，进行其他异常数据流处理；S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。

【技术特征摘要】
1.一种DDoS攻击检测方法，其特征在于，包括以下步骤：S1、配置用于收集网络中产生的网络流量数据；S2、配置用于对收集到的网络流量数据进行预处理；S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，进行DDoS攻击检测模型的优化训练；S4、用训练好的DDoS攻击检测模型实时检测网络数据流，判断是否为异常数据流，若不是，则结束；否则，判断是否为DDoS攻击数据流，若是DDoS攻击数据流，则进行DDoS攻击数据流的异常处理，否则，进行其他异常数据流处理；S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。2.如权利要求1所述的DDoS攻击检测方法，其特征在于，所述数据预处理模块包括特征提取、属性映射和归一化三部分：特征提取：用于提取数据流的特征信息；属性映射：将数据流中的非数值特征转化为数值特征；归一化：归纳统一样本的统计分布特性。3.如权利要求1所述的DDoS攻击检测方法，其特征在于，所述全局无偏搜索策略蜂群算法包括以下过程：在人工蜂群算法中，蜂群包含了三种不同的蜂：引领蜂、观察蜂和侦查蜂；在D纬空间中，设食物源的规模为SN，食物源与引领蜂一一对应；其中，第i个食物源的位置Xi＝(Xi1，Xi2，...，XiD)代表一个候选解，首先，按照公式(1)生成SN个初始解：公式(1)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；表示搜索空间第j纬的下限，表示搜索空间第j纬的上限；rand(0，1)表示取(0,1)范围内的随机数；ABC搜索过程的三个阶段：引领蜂阶段：根据公式(2)，引领蜂在当前蜜源邻域内搜索一个新的蜜源Vi＝(Vi1，Vi2，...，ViD)：公式(2)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；Vi，j是Vi的分量；是[-1,1]均匀分布的随机数，决定扰动程度；Xi，j是当前食物源Xi的分量；k∈{1，2，...，SN}，Xk，j是Xk的分量，Xk是随机选择的一个食物源，并且k≠i；如果新食物源Vi的适应度优于食物源Xi，用新食物源Vi代替原来的食物源Xi，否则保留食物源Xi；观察蜂阶段：一定数量的观察蜂根据引领蜂分享的信息，按照公式(3)计算概率Pi，贪婪选择较优的食物源：公式(3)中，i＝1，2，...，SN，SN为食物源的规模；fiti表示食物源的适应度；适应度越大，观察蜂选择该食物源的概率就越大；其中，适应度按照公式(4)计算：其中，i＝1，2，...，SN，SN为食物源的规模；fi表示第i个解的目标函数值；侦查蜂阶段：每个解都会经历数次迭代，如果某个解i经过limit次没有更新，这种情况下，采用公式(1)来随机初始化一个新的食物源；采用基于全局无偏搜索策略的精英人工蜂群算法所述的精英人工蜂群算法提出的新公式为：其中，公式(7)用于雇佣蜂阶段，公式(8)用于观察蜂阶段；Vi，j为Vi的分量，Ve，j为Ve的分量，Vi和Ve分别为新的食物源；μ为基向量，δ为扰动向量；Xbest，j是Xbest的分量，Xbe...

【专利技术属性】
技术研发人员：田秋亭，韩德志，王军，毕坤，
申请(专利权)人：上海海事大学，
类型：发明
国别省市：上海,31