(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108259498A(43)申请公布日2018.07.06(21)申请号201810069263.6(22)申请日2018.01.24(71)申请人湖南科技学院地址425000湖南省永州市零陵区杨梓塘路130号(72)发明人李文黄丽韶扈乐华(74)专利代理机构北京知呱呱知识产权代理有限公司11577代理人吕学文武媛(51)Int.Cl.H04L29/06(2006.01)G06N3/08(2006.01)G06N3/00(2006.01)权利要求书4页说明书9页附图2页(54)发明名称一种基于人工蜂群优化的BP算法的入侵检测方法及其系统(57)摘要本发明公开了一种基于人工蜂群优化的BP算法的入侵检测方法及其系统，该方法包括：对采集的主机日志文件和网络数据形成一包进行预处理，获得主机日志文件和网络数据的特征向量并转化为BP神经网络算法可识别的输入值；对BP神经网络算法进行初始化，将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标初始化人工蜂群算法的参数，将最佳蜜源传回BP神经网络算法替换输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk；根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。本申请用以解决现有BP神经网络存在收敛速度慢、易陷入局部最小点、计算量大的问题。CN108259498ACN108259498A权利要求书1/4页1.一种基于人工蜂群优化的BP算法的入侵检测方法，其特征在于，所述检测方法包括以下步骤：S101、采集计算机网络系统的包含系统、网络、数据及用户活动的状态、行为的主机日志文件和网络数据；S102、对采集的所述主机日志文件和网络数据形成一包进行预处理，获得所述主机日志文件和网络数据的特征向量并转化为BP神经网络算法可识别的输入值；S103、对所述BP神经网络算法进行初始化，将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标；S104、初始化人工蜂群算法的参数，进行雇佣蜂、跟随蜂与侦查蜂操作，找到最佳蜜源，将所述最佳蜜源传回BP神经网络算法替换所述连接输入层与隐藏层的权值Wij和所述连接隐藏层与输出层的权值Wjk；S105、根据入侵特征对所接收的网络数据进行已知入侵行为的检测，然后对与入侵特征不匹配且不能确定是正常的数据进行异常入侵检测，根据BP神经网络算法的输出值对用户的行为进行相应的响应操作。2.根据权利要求1所述的一种基于人工蜂群优化的BP算法的入侵检测方法，其特征在于，所述初始化人工蜂群算法的参数，进行雇佣蜂、跟随蜂与侦查蜂操作，找到最佳蜜源的步骤具体包括：S201、初始化人工蜂群算法，设置蜜源的数量N，最大迭代次数maxcycle，最大滞留次数limit，产生初始蜜源；newS202、雇佣蜂开始按照式(1)来搜索新蜜源，之后计算新解Xj的适应度值并更新蜜源；公式(1)：其中，iter是当前的迭代次数；Wmin是调整因子的最小值；Wmax是调整因子的最大值；W1和W2分别代表着新蜜源向原蜜源、领域蜜源和种群最优蜜源的靠近速度；S203、按照公式(2)计算与解Xi对应的选择概率值Pi；公式(2)：2CN108259498A权利要求书2/4页其中，自适应因子fiti是解Xi对应的适应度值；new跟随蜂根据选择概率Pi来选择蜜源，并按照公式(1)来选择产生新解Xj，之后计算新解的适应度值并更新蜜源；S204、如果某个解Xi连续滞留的次数达到了之前的最大滞留次数limit，则这个解被丢弃，侦查蜂将出现并产生一个新解来代替被丢弃的解；S205、从步骤S202到S204为一次迭代过程，完成后记录下最优的解，即该解的适应度值最高；S206、判断是否达到最大迭代次数maxcycle和指定精度，否则返回步骤S202继续。3.根据权利要求1所述的一种基于人工蜂群优化的BP算法的入侵检测方法，其特征在于，对采集的所述主机日志文件和网络数据形成一包进行预处理，获得所述主机日志文件和网络数据的特征向量并转化为BP神经网络算法可识别的输入值的步骤具体包括：对链路层数据包进行解码得到IP数据包；根据所述IP数据包首部的协议字段对lP数据包进行解码得到对应的TCP、UDP和ICMP数据包；根据所述TCP、UDP和ICMP数据包的类型将接收到的信息转换为具有若干个分向量的特征向量，传输到所述BP神经网络算法作为输入值。4.根据权利要求2所述的一种基于人工蜂群优化的BP算法的入侵检测方法，其特征在于，对所述BP神经网络算法进行初始化，将连接输入层与隐藏层的权值Wij和连接隐藏层与输出层的权值Wjk作为人工蜂群算法的优化目标的步骤包括：S301、选择训练用的样本数