(19)国家知识产权局(12)发明专利申请(10)申请公布号CN114793174A(43)申请公布日2022.07.26(21)申请号202210420689.8(22)申请日2022.04.21(71)申请人浪潮云信息技术股份公司地址250100山东省济南市高新区浪潮路1036号浪潮科技园S01号楼(72)发明人房彤胡清周永进李国涛(74)专利代理机构济南信达专利事务所有限公司37100专利代理师阚恭勇(51)Int.Cl.H04L9/40(2022.01)G06K9/62(2022.01)G06N3/00(2006.01)权利要求书3页说明书4页附图1页(54)发明名称基于改进人工蜂群算法的DDOS入侵检测方法及系统(57)摘要本发明提供一种基于改进人工蜂群算法的DDOS入侵检测方法及系统，属于网络安全领域，本发明采用聚类算法对数据流进行分类，比较流量分布熵的特征，检测DDOS攻击数据流特征，实现对DDoS攻击数据流的有效检测。实验结果表明，该系统在算法耗时、分布式拒绝服务(DDoS)检测精度优于基于普通蜂群算法和基于K均值的分布式拒绝服务(DDoS)检测算法。CN114793174ACN114793174A权利要求书1/3页1.基于改进人工蜂群算法的DDOS入侵检测方法，其特征在于，包括：1)采集当前网络数据流量，提取源IP地址和目标IP地址的特征；2)将采集到的网络流量基于K均值的ABC算法进行数据聚类，继续监控正常网络流量，并对异常的网络流量进行分布式拒绝服务攻击检测；3)根据流量源IP地址和目的IP地址熵检测方法的特点，分离处理分布式拒绝服务攻击其他异常数据流和数据流；4)对网络中流量数据中所有异常数据流处理完毕后发出警告。2.根据权利要求1所述的方法，其特征在于，通过聚类判断待检测数据流是否偏离正常数据流，从而判定数据流是否异常；对于异常的数据流，再通过流量特征熵与广义似然比较相结合的方法识别其是否是DDoS攻击数据流。3.根据权利要求2所述的方法，其特征在于，根据DDoS攻击的特征，首先选取流量特征分布熵作为检测DDoS攻击数据流的特征，其流量特征即为报文的一个字段；一个时间段内的所有报文在其不同取值上呈现的一个分布，被称为流特征分布。4.根据权利要求3所述的方法，其特征在于，包括源IP地址、目的IP地址、源端口号、目的端口号4个特征分布，其在不同的网络中表现出了不同的分散和集中特性，用于划分网络异常；刻画DDoS攻击的分布特性，即攻击报文从分散的源IP地址流向集中的目的IP地址。5.根据权利要求4所述的方法，其特征在于，初始节点使用最大最小距离算法计算聚类初始节点，群体智能算法为启发式算法在迭代过程中引入全局影响因子与K均值算法交替进行迭代查找；在IABC‑KMC中，集群中心被定义为食物来源，两个指标(紧密度指数和分离指数)被定义为食物的来源和来源；同时，具有高适应性的集群中心被定义为高质量；对于食物来源，基于CHindex作为聚类评价指标的分离程度的紧密度和聚类评价指标。6.根据权利要求所述5的方法，其特征在于，步骤如下：1)初始化数据集和相关参数，设定参数N、聚类数K、控制参数limit以及最大迭代次数MCN；初始时刻，蜂群个体以侦察蜂的身份搜索；个体搜索方式依赖系统先验知识决定或依靠随机性；侦察蜂开始按式(1)寻找食物源:2)根据样本数据集和聚类数k来确定食物源向量维数Li＝k*d，初始化蜂群产生N个食物源计算食物源适应度的值；其中d为样本维数；根据(2)计算食物源适应度的值；2CN114793174A权利要求书2/3页3)为食物源分配一个引领蜂并根据贪婪原则选择食物源进行搜索并产生一个新食物源，根据食物源适应度，选择各个食物源的概率。跟随蜂再次进行邻域搜索，若发现适应度更高食物源，则替换原引领蜂的旧食物源并转变成引领蜂；引领蜂根据式(3)进行搜索：vij＝Xij+Rij(Xij‑Xhj)(3)4)若连续limit次迭代后，引领蜂的适应度未得到进化，则对应的引领蜂转变成侦查蜂，根据式子(4)更新食物源。对表示聚类中心的食物源进行一次并行化K‑means迭代，按最近邻原则聚类划分，再重新计算每一个聚类的聚类中心，并根据贪婪原则更新蜂群；Xi＝Xmin+rand(0，1)(Xmax‑Xmin)(4)其中，Xmax和Xmin分别表示定义域的上边界和下边界；记录当前找到的最优食物源，若当前的迭代次数小于MCN，继续按照式(3)进行下一次迭代；否则输出最优解作为聚类结果。7.基于改进人工蜂群算法的DDOS入侵检测系统，其特征在于，包括：1)数据采集模块，数据收集网络流量和提取IP地址；2)基于IABC‑KMC聚类模块，收集到的集群数据流量是根据IABC‑KMC聚类原则区分正常流量和异常流量；3)基于IP地址熵计