(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109274651A(43)申请公布日2019.01.25(21)申请号201811003445.X(22)申请日2018.08.30(71)申请人上海海事大学地址201306上海市浦东新区临港新城海港大道1550号(72)发明人田秋亭韩德志王军毕坤(74)专利代理机构上海元好知识产权代理有限公司31323代理人徐雯琼(51)Int.Cl.H04L29/06(2006.01)G06N3/08(2006.01)G06N3/04(2006.01)G06N3/00(2006.01)权利要求书3页说明书7页附图1页(54)发明名称一种DDoS攻击检测方法(57)摘要本发明公开了一种DDoS攻击检测方法，其包含以下过程：收集网络中的数据流，对收集的数据流进行预处理；用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，并用预处理后的数据进一步训练DDoS攻击检测模型；用训练好的DDoS攻击检测模型在线检测异常数据流；判断被检测出的异常数据流是否为DDoS攻击异常数据流，若是，则进行DDoS攻击数据流处理，否则，进行其他异常数据流处理；对所有被检测出的异常数据流进行异常处理的同时，并进行预警。本发明的优点为：改善了传统的BP神经网络算法容易陷入局部最优，收敛速度慢的问题；提高了DDoS攻击检测的准确性；改进了检测模型的泛化能力。CN109274651ACN109274651A权利要求书1/3页1.一种DDoS攻击检测方法，其特征在于，包括以下步骤：S1、配置用于收集网络中产生的网络流量数据；S2、配置用于对收集到的网络流量数据进行预处理；S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，进行DDoS攻击检测模型的优化训练；S4、用训练好的DDoS攻击检测模型实时检测网络数据流，判断是否为异常数据流，若不是，则结束；否则，判断是否为DDoS攻击数据流，若是DDoS攻击数据流，则进行DDoS攻击数据流的异常处理，否则，进行其他异常数据流处理；S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。2.如权利要求1所述的DDoS攻击检测方法，其特征在于，所述数据预处理模块包括特征提取、属性映射和归一化三部分：特征提取：用于提取数据流的特征信息；属性映射：将数据流中的非数值特征转化为数值特征；归一化：归纳统一样本的统计分布特性。3.如权利要求1所述的DDoS攻击检测方法，其特征在于，所述全局无偏搜索策略蜂群算法包括以下过程：在人工蜂群算法中，蜂群包含了三种不同的蜂：引领蜂、观察蜂和侦查蜂；在D纬空间中，设食物源的规模为SN，食物源与引领蜂一一对应；其中，第i个食物源的位置Xi＝(Xi1，Xi2，...，XiD)代表一个候选解，首先，按照公式(1)生成SN个初始解：公式(1)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；表示搜索空间第j纬的下限，表示搜索空间第j纬的上限；rand(0，1)表示取(0,1)范围内的随机数；ABC搜索过程的三个阶段：引领蜂阶段：根据公式(2)，引领蜂在当前蜜源邻域内搜索一个新的蜜源Vi＝(Vi1，Vi2，...，ViD)：公式(2)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；Vi，j是Vi的分量；是[-1,1]均匀分布的随机数，决定扰动程度；Xi，j是当前食物源Xi的分量；k∈{1，2，...，SN}，Xk，j是Xk的分量，Xk是随机选择的一个食物源，并且k≠i；如果新食物源Vi的适应度优于食物源Xi，用新食物源Vi代替原来的食物源Xi，否则保留食物源Xi；观察蜂阶段：一定数量的观察蜂根据引领蜂分享的信息，按照公式(3)计算概率Pi，贪婪选择较优的食物源：公式(3)中，i＝1，2，...，SN，SN为食物源的规模；fiti表示食物源的适应度；适应度越大，观察蜂选择该食物源的概率就越大；其中，适应度按照公式(4)计算：2CN109274651A权利要求书2/3页其中，i＝1，2，...，SN，SN为食物源的规模；fi表示第i个解的目标函数值；侦查蜂阶段：每个解都会经历数次迭代，如果某个解i经过limit次没有更新，这种情况下，采用公式(1)来随机初始化一个新的食物源；采用基于全局无偏搜索策略的精英人工蜂群算法所述的精英人工蜂群算法提出的新公式为：其中，公式(7)用于雇佣蜂阶段，公式(8)用于观察蜂阶段；Vi，j为Vi的分量，Ve，j为Ve的分量，Vi和Ve分别为新的食物源；μ为基向量，δ为扰动向量；Xbest，j是Xbest的分量，Xbest为全局最优解；和为[-1,1]之间的随机数；|·|为绝对值符号；Xe，j是Xe的分量，Xe是从种群最好的p·SN个个体选择的精英解，p∈