(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108092989A(43)申请公布日2018.05.29(21)申请号201711462728.6(22)申请日2017.12.28(71)申请人上海海事大学地址201306上海市浦东新区临港新城海港大道1550号(72)发明人余学山韩德志王军田秋亭毕坤(74)专利代理机构上海信好专利代理事务所(普通合伙)31249代理人朱成之周乃鑫(51)Int.Cl.H04L29/06(2006.01)权利要求书3页说明书8页附图1页(54)发明名称一种基于智能蜂群算法的DDoS攻击检测方法(57)摘要本发明公开了一种基于智能蜂群算法的DDoS攻击检测方法，包含以下过程：通过融合聚类和智能蜂群算法，有效提高DDoS攻击检测精度。智能蜂群算法和聚类算法的融合，消除了聚类算法过度依赖原始聚类中心的缺陷，改进了数据流聚类效果；统计改进后聚类的异常数据流IP地址并计算IP地址的流量特征熵H(x)，若H(x)大于等于初步聚类数据流的判别因子RM(x)，则判定该数据流是DDoS攻击数据流，否则判定该数据流是其他异常数据流。本发明具有耗时短，DDoS攻击检测准确率高、误报率低的优点。CN108092989ACN108092989A权利要求书1/3页1.一种基于智能蜂群算法的DDoS攻击检测方法，其特征在于，包含以下过程：步骤S1、融合聚类算法K-means和智能蜂群算法，利用智能蜂群算法对聚类算法K-means对原始聚类中心的依赖特性进行改进；步骤S2、根据聚类结果将正常流量数据流和异常流量数据流分别聚类；步骤S3、获取异常流量数据流IP地址，并计算异常流量数据流IP地址的特征熵H(x)和初步聚类流量的判别因子RM(x)；步骤S4、比较异常流量数据流IP地址的特征熵H(x)和初步聚类流量判别因子RM(x)的大小，若H(x)≥RM(x)，则表明发生了DDoS攻击，反之，则表示未发生DDoS攻击，该异常流量数据流是其他异常数据流量；步骤S5、根据比较结果，系统分别对DDoS攻击数据流和/或其他异常数据流发出预警信息。2.如权利要求1所述的基于智能蜂群算法的DDoS攻击检测方法，其特征在于，所述智能蜂群算法是基于深度优先搜索框架的蜂群算法结合以下算式形成的：式中，是从精英解决方案中随机选择的，是从当前的所有解决方案中随机选择的，和是不同的，是当前最优的解决方案，φi,j和φe,j是[-1，1]中的两个随机实数，Xe是精英解，Xk随机选择的个体，Xbest是全局最优解。3.如权利要求2所述的基于智能蜂群算法的DDoS攻击检测方法，其特征在于，所述深度优先搜索框架的蜂群算法包含以下过程：在所述蜂群算法中，人工蜂群分为引领蜂、跟随蜂和侦查蜂，假设在D维空间中,种群规模为2×N，引领蜂个数＝跟随蜂个数＝N,蜜源与引领蜂相对应，蜜源数目也为N，第i个蜜源的位置记X＝{X1，X2，X3,…，XN}；每个蜜源的位置代表优化问题的一个候选解,花蜜的数量反映解的质量；人工蜂群搜索最优蜜源的过程如下:步骤S1.1、引领蜂对当前蜜源进行邻域搜索，产生新蜜源，根据贪婪原则选择较优蜜源；步骤S1.2、跟随蜂根据引领蜂分享的信息选择一个蜜源,进行邻域搜索，根据贪婪原则选择较优蜜源；步骤S1.3、引领蜂放弃蜜源，转变成侦查蜂,并随机搜索新的蜜源；搜索过程中，跟随蜂根据引领蜂分享的信息,以轮盘赌的方式根据以下算式选择一个蜜源2CN108092989A权利要求书2/3页式中，pi表示第i个解的适应度，fit是食物源适应度，fi表示待解决问题的目标函数值；引领蜂根据记忆里食物源的位置进行邻居搜索，当找到了更好的食物源时会评估其适应度，引领蜂根据以下算式进行搜索：vij＝Xij+Rij(Xij-Xhj)式中，i∈{1,2,...,N},j∈{1,2,...m}，Xhj中的h是随机选取的，Rij是[-1,1]之间的一个随机数，Vij表示邻居食物源、Xij表示当前食物源、Xhj表示随机选取的食物源，每个解经历数次迭代，如果没有改善则舍弃该解；如果某个解i经过数次迭代没有成功更新，按照以下算式进行初始化：Xi＝Xmin+rand(0,1)(Xmax-Xmin)式中，Xmax、Xmin分别表示定义域的上边界和下边界。4.如权利要求3所述的基于智能蜂群算法的DDoS攻击检测方法，其特征在于，所述聚类算法K-means采用如下公式进行计算：式中，tr(B)是类间分离度指标，表示为类间离差矩阵B的迹；tr(W)是类内紧密度，表示为类内离差矩阵W的迹；Zi是第i个类的中心，z为所有样本的中心，ni为第i个类的样本数，k为聚类数，n为样本总数；对于聚类问题，类间分离度越大，类内聚合度越小，则CH(k)的值就会越大，说明这样的划分越好。