CN109274651A - 一种DDoS攻击检测方法 - Google Patents
一种DDoS攻击检测方法 Download PDFInfo
- Publication number
- CN109274651A CN109274651A CN201811003445.XA CN201811003445A CN109274651A CN 109274651 A CN109274651 A CN 109274651A CN 201811003445 A CN201811003445 A CN 201811003445A CN 109274651 A CN109274651 A CN 109274651A
- Authority
- CN
- China
- Prior art keywords
- ddos attack
- neural network
- food source
- attack detection
- formula
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 51
- 238000013528 artificial neural network Methods 0.000 claims abstract description 55
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 48
- 238000000034 method Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims abstract description 14
- 230000002159 abnormal effect Effects 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims abstract description 6
- 235000013305 food Nutrition 0.000 claims description 57
- 241000257303 Hymenoptera Species 0.000 claims description 24
- 238000012549 training Methods 0.000 claims description 23
- 230000006870 function Effects 0.000 claims description 15
- 238000005457 optimization Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 6
- 235000012907 honey Nutrition 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 6
- 238000010606 normalization Methods 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 6
- NAWXUBYGYWOOIX-SFHVURJKSA-N (2s)-2-[[4-[2-(2,4-diaminoquinazolin-6-yl)ethyl]benzoyl]amino]-4-methylidenepentanedioic acid Chemical compound C1=CC2=NC(N)=NC(N)=C2C=C1CCC1=CC=C(C(=O)N[C@@H](CC(=C)C(O)=O)C(O)=O)C=C1 NAWXUBYGYWOOIX-SFHVURJKSA-N 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 3
- 238000005111 flow chemistry technique Methods 0.000 claims description 3
- 238000011835 investigation Methods 0.000 claims description 3
- 210000002569 neuron Anatomy 0.000 claims description 3
- 230000003213 activating effect Effects 0.000 claims 1
- 230000005856 abnormality Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 4
- 238000004088 simulation Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000007418 data mining Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000002068 genetic effect Effects 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 241000712106 Aptera Species 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Complex Calculations (AREA)
Abstract
本发明公开了一种DDoS攻击检测方法,其包含以下过程:收集网络中的数据流,对收集的数据流进行预处理;用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值,并用预处理后的数据进一步训练DDoS攻击检测模型;用训练好的DDoS攻击检测模型在线检测异常数据流;判断被检测出的异常数据流是否为DDoS攻击异常数据流,若是,则进行DDoS攻击数据流处理,否则,进行其他异常数据流处理;对所有被检测出的异常数据流进行异常处理的同时,并进行预警。本发明的优点为:改善了传统的BP神经网络算法容易陷入局部最优,收敛速度慢的问题;提高了DDoS攻击检测的准确性;改进了检测模型的泛化能力。
Description
技术领域
本发明涉及云安全领域,具体涉及一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法。
背景技术
自从计算机问世以来,网络安全问题一直存在,使用者并未给予足够的重视,但是随着信息技术的发展,网络安全问题日益突出。网络安全中最大和最具挑战性的问题之一是分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击,DDoS攻击是一种分布式大规模流量攻击方式,通过控制互联网上傀儡机对目标服务器发动攻击,产生的大量数据流涌向目标服务器,消耗服务器系统资源和带宽,或把链接占满,从而影响合法用户的访问。DDoS攻击对网络上的主机,服务器乃至网络基础设施均会造成严重危害,大多数情况下,DDoS攻击是无规律可寻的,攻击者利用TCP,UDP和ICMP协议发动攻击,或者是发送合理的数据请求,造成企业和用户的网络瘫痪,无法提供正常的服务;实施的DDoS攻击一般都会伪造源IP地址,具有隐蔽性强、并发数高、攻击流量大、破坏力强、涉及范围广的特点。并且随着攻击技术的日益发展,DDoS攻击技术不论是在攻击手段还是攻击方式上都在不断的发展,开始进入一个新的APT(Advanced Persistent Threat)时代。APT时代的DDoS攻击问题将会更加严重,DDoS攻击具有更持续的攻击过程、更加高效的攻击技术以及更严重的威胁,因此,这就对DDoS攻击的防御、缓解以及相应的处理等难题提出巨大的挑战。
发明内容
本发明的目的在于提供一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法,通过用全局无偏搜索策略蜂群算法来优化训练BP神经网络,可以改善传统的BP神经网络算法容易陷入局部最优,收敛速度慢的问题,提高DDoS攻击检测的准确性,改进检测模型的泛化能力。
为了达到上述目的,本发明通过以下技术方案实现:
一种DDoS攻击检测方法包括以下过程:
S1、配置用于收集网络中产生的网络流量数据;
S2、配置用于对收集到的网络流量数据进行预处理;
S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值,进行DDoS攻击检测模型的优化训练;
S4、用训练好的DDoS攻击检测模型实时检测网络数据流,判断是否为异常数据流,若不是,则结束;否则,判断是否为DDoS攻击数据流,若是DDoS攻击数据流,则进行DDoS攻击数据流的异常处理,否则,进行其他异常数据流处理;
S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。
优选地,所述数据预处理模块包括特征提取、属性映射和归一化三部分:
特征提取:用于提取数据流的特征;
属性映射:将数据流中的非数值特征转化为数值特征;
归一化:归纳统一样本的统计分布性。
优选地,所述全局无偏搜索策略蜂群算法包含以下过程:
在人工蜂群算法中,蜂群包含了三种不同的蜂:引领蜂、观察蜂和侦查蜂;在D纬空间中,设食物源的规模为SN,食物源与引领蜂一一对应;其中,第i个食物源的位置Xi=(Xi1,Xi2,...,XiD)代表一个候选解,首先,按照公式(1)生成SN个初始解:
公式(1)中,i=1,2,...,SN,j=1,2,...,D,D表示变量的维数;表示搜索空间第j纬的下限,表示搜索空间第j纬的上限;rand(0,1)表示取(0,1)范围内的随机数;ABC搜索过程的三个阶段:
引领蜂阶段:根据公式(2),引领蜂在当前蜜源邻域内搜索一个新的蜜源Vi=(Vi1,Vi2,...,ViD):
公式(2)中,i=1,2,...,SN,j=1,2,...,D,D表示变量的维数;Vi,j是Vi的分量;是[-1,1]均匀分布的随机数,决定扰动程度;Xi,j是当前食物源Xi的分量;k∈{1,2,...,SN},Xk,j是Xk的分量,Xk是随机选择的一个食物源,并且k≠i;如果新食物源Vi的适应度优于食物源Xi,用新食物源Vi代替原来的食物源Xi,否则保留食物源Xi;
观察蜂阶段:大量的观察蜂根据引领蜂分享的信息,按照公式(3)计算概率,贪婪选择较优的食物源:
公式(3)中,i=1,2,...,SN,SN为食物源的规模;fiti表示食物源的适应度;适应度越大,观察蜂选择该食物源的概率就越大;其中,适应度按照公式(4)计算:
其中,i=1,2,...,SN,SN为食物源的规模;fi表示第i个解的目标函数值;
侦查蜂阶段:每个解都会经历数次迭代,如果某个解i经过limit次没有更新,这种情况下,采用公式(1)来随机初始化一个新的食物源;
基于全局无偏搜索策略的精英人工蜂群算法,所述的精英人工蜂群算法提出的新公式为:
其中,公式(7)用于雇佣蜂阶段,公式(8)用于观察蜂阶段;Vi,j为Vi的分量,Ve,j为Ve的分量,Vi和Ve分别为新的食物源;μ为基向量,δ为扰动向量;Xbest,j是Xbest的分量,Xbest为全局最优解;和为[-1,1]之间的随机数;|·|为绝对值符号;Xe,j是Xe的分量,Xe是从种群最好的p·SN个个体选择的精英解,p∈(0,1);Xk,j是Xk的分量,Xk是从{1,2,...,SN}中选择的普通个体,并且e≠k≠i。
优选地,所述BP神经网络包含以下过程:
在BP神经网络中,输入向量X=(x1,x2,...,xi,...,xn),隐藏层节点的加权和由公式(9)计算:
其中,i=1,2,...,n,n为输入层节点的个数;ωij为输入层节点i和隐藏层节点j之间的权值,θj为隐藏层节点j的阈值;lj为第j个隐藏层节点的输入加权和;
隐藏层节点j的输出值由公式(10)计算:
公式(10)中,j=1,2,...,q,q是隐藏层节点的个数;
输出层的预期值和实际值之间的误差,由公式(11)计算:
公式(11)中,k=1,2,...,m,m为输出层节点的个数;dk为输出层节点的期望值;yk为输出层节点的实际值;
在反向传播阶段,权值和阈值的更新可以由公式(12)和公式(13)计算:
其中,为比例常数,反映训练时的学习速度;Δωij为权值的变化量;Δθk为阈值的变化量;yi为第i个节点的加权和对权值求的偏导;这里的i,j和k是指隐藏层和输出层的节点。
优选地,所述全局无偏搜索策略蜂群算法优化BP神经网络的训练过程具体为:
S3.1、将预处理之后的数据作为BP神经网络的训练数据;初始化BP神经网络神经元连接上的权值和阈值以及一些相关参数;
S3.2、计算输出层节点的实际输出;
S3.3、计算BP神经网络的损失函数,同时检查是否满足要求的准确度,如果满足,结束训练,否则,转到S3.4;
S3.4、初始化精英人工蜂群算法,设定相关的参数,例如最大迭代次数MCN,种群规模SN等;使用BP神经网络待优化的权值和阈值作为EABC-elite算法的输入;
S3.5、设置BP神经网络的损失函数作为全局无偏搜索策略蜂群算法的目标函数;
S3.6、计算和更新食物源的位置;
S3.7、迭代运行精英人工蜂群算法,判断是否达到了最大迭代,若是,转到S3.8,否则,转到S3.4;
S3.8、通过精英人工蜂群算法的优化,得到一组最优解,将其作为BP神经网络的初始化权值和阈值;
S3.9、基于最优的权值和阈值,BP神经网络开始自学习迭代训练;
S3.10、计算损失函数,同时检查是否达到要求的准确度,如果满足,则结束训练,否则,转到S3.11;
S3.11、更新BP神经网络的权值和阈值;重复S3.9到S3.11,直到达到要求的精度。
优选地,所述DDoS攻击检测具体为:
利用提取出来的特征向量和一个协议标识作为检测模型的输入参数,用来激活DDoS检测模块中的核心部分,用精英人工蜂群算法优化的BP神经网络,该神经网络已经经过训练。利用训练好的DDoS攻击检测模型进行攻击检测,能够迅速地判断出时间帧数据是DDoS攻击,其他异常攻击和正常数据流中的哪一种类型。
其中时间帧中包括提取的特征向量对应的字段。
本发明与现有技术相比具有以下优点:
通过全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值,改善了传统的BP神经网络算法收敛速度慢的问题;通过全局无偏搜索策略蜂群算法较好的平衡了算法的勘探和开采能力,避免了BP神经网络陷入局部最优的问题;同时,提高了DDoS攻击检测的准确性;改进了检测模型的泛化能力。
附图说明
图1为本发明一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法的流程图。
具体实施方式
以下结合附图,通过详细说明一个较佳的具体实施例,对本发明做进一步阐述。
如图1所示,本发明公开了一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法,其包含以下步骤:
S1、配置用于收集网络中产生的网络流量数据;
S2、配置用于对收集到的网络流量数据进行预处理;
S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值,进行DDoS攻击检测模型的优化训练;
S4、用训练好的DDoS攻击检测模型实时检测网络数据流,判断是否为异常数据流,若不是,则结束;否则,判断是否为DDoS攻击数据流,若是DDoS攻击数据流,则进行DDoS攻击数据流的异常处理,否则,进行其他异常数据流处理;
S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。
本实例中,上述的方法是通过一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测系统来实现,该系统设有一个或多个处理器,存储器,建立所述的检测模型,执行完成以下步骤:
数据预处理模块包括特征提取、属性映射和归一化三部分:
特征提取:用于提取数据流的特征;
属性映射:将数据流中的非数值特征转化为数值特征;
归一化:归纳统一样本的统计分布性。
全局无偏搜索策略的蜂群算法,在普通人工蜂群算法(Artificial Bee Colony,简称ABC)中,蜂群包含了三种不同的蜂:引领蜂、观察蜂和侦查蜂;在D纬空间中,设食物源的规模为SN,食物源与引领蜂一一对应;其中,第i个食物源的位置Xi=(Xi1,Xi2,...,XiD)代表一个候选解,首先,按照公式(1)生成SN个初始解:
公式(1)中,i=1,2,...,SN,j=1,2,...,D,D表示变量的维数;表示搜索空间第j纬的下限,表示搜索空间第j纬的上限;rand(0,1)表示取(0,1)范围内的随机数;ABC搜索过程的三个阶段:
引领蜂阶段:根据公式(2),引领蜂在当前蜜源邻域内搜索一个新的蜜源Vi=(Vi1,Vi2,...,ViD):
公式(2)中,i=1,2,...,SN,j=1,2,...,D,D表示变量的维数;Vi,j是Vi的分量;是[-1,1]均匀分布的随机数,决定扰动程度;Xi,j是当前食物源Xi的分量;k∈{1,2,...,SN},Xk,j是Xk的分量,Xk是随机选择的一个食物源,并且k≠i;如果新食物源Vi的适应度优于食物源Xi,用新食物源Vi代替原来的食物源Xi,否则保留食物源Xi;
观察蜂阶段:大量的观察蜂根据引领蜂分享的信息,按照公式(3)计算概率,贪婪选择较优的食物源:
公式(3)中,i=1,2,...,SN,SN为食物源的规模;fiti表示食物源的适应度;适应度越大,观察蜂选择该食物源的概率就越大;其中,适应度按照公式(4)计算:
其中,i=1,2,...,SN,SN为食物源的规模;fi表示第i个解的目标函数值;
侦查蜂阶段:每个解都会经历数次迭代,如果某个解i经过limit次没有更新,这种情况下,采用公式(1)来随机初始化一个新的食物源;
基于全局无偏搜索策略的精英人工蜂群算法,该算法称为EABC-elite(EnhancedABC_elite),使用了更多个体的信息,增大了全局搜索的能力,没有偏向任何方向,进一步平衡了算法的勘探和开采能力;EABC-elite算法提出的新公式为:
其中,公式(7)用于雇佣蜂阶段,公式(8)用于观察蜂阶段;Vi,j为Vi的分量,Ve,j为Ve的分量,Vi和Ve分别为新的食物源;μ为基向量,δ为扰动向量;Xbest,j是Xbest的分量,Xbest为全局最优解;和为[-1,1]之间的随机数;|·|为绝对值符号;Xe,j是Xe的分量,Xe是从种群最好的p·SN个个体选择的精英解,p∈(0,1);Xk,j是Xk的分量,Xk是从{1,2,...,SN}中选择的普通个体,并且e≠k≠i。
在BP神经网络中,输入向量X=(x1,x2,...,xi,...,xn),隐藏层节点的加权和由公式(9)计算:
其中,i=1,2,...,n,n为输入层节点的个数;ωij为输入层节点i和隐藏层节点j之间的权值,θj为隐藏层节点j的阈值;lj为第j个隐藏层节点的输入加权和;
隐藏层节点j的输出值由公式(10)计算:
公式(10)中,j=1,2,...,q,q是隐藏层节点的个数;
输出层的预期值和实际值之间的误差,由公式(11)计算:
公式(11)中,k=1,2,...,m,m为输出层节点的个数;dk为输出层节点的期望值;yk为输出层节点的实际值;
在反向传播阶段,权值和阈值的更新可以由公式(12)和公式(13)计算:
其中,为比例常数,反映训练时的学习速度;Δωij为权值的变化量;Δθk为阈值的变化量;yi为第i个节点的加权和对权值求的偏导;这里的i,j和k是指隐藏层和输出层的节点。
全局无偏搜索策略蜂群算法优化BP神经网络的训练过程具体为:
S3.1、将预处理之后的数据作为BP神经网络的训练数据;初始化BP-ANN神经元连接上的权值和阈值以及一些相关参数;
S3.2、计算输出层节点的实际输出;
S3.3、计算BP神经网络的损失函数,同时检查是否满足要求的准确度,如果满足,结束训练,否则,转到S3.4;
S3.4、初始化EABC-elite算法,设定相关的参数,例如最大迭代次数MCN,种群规模SN等;使用BP神经网络待优化的权值和阈值作为EABC-elite算法的输入;
S3.5、设置BP神经网络的损失函数作为全局无偏搜索策略蜂群算法的目标函数;
S3.6、计算和更新食物源的位置;
S3.7、迭代运行算法EABC-elite,判断是否达到了最大迭代,若是,转到S3.8,否则,转到S3.4;
S3.8、通过EABC-elite算法的优化,得到一组最优解,将其作为BP神经网络的初始化权值和阈值;
S3.9、基于最优的权值和阈值,BP神经网络开始自学习迭代训练;
S3.10、计算损失函数,同时检查是否达到要求的准确度,如果满足,则结束训练,否则,转到S3.11;
S3.11、更新BP神经网络的权值和阈值;重复S3.9到S3.11,直到达到要求的精度。
DDoS攻击检测的执行,利用提取出来的特征向量和一个协议标识作为检测模型的输入参数,用来激活DDoS检测模块中的核心部分——用EABC-elite优化的BP神经网络,该神经网络已经经过训练。利用训练好的DDoS攻击检测模型进行攻击检测,能够迅速地判断出时间帧数据是DDoS攻击,其他异常攻击和正常数据流中的哪一种类型。
其中时间帧中包括提取的特征向量对应的字段。
本发明中,为检测基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测模型的性能,进行仿真实验,实验环境为一台windows 7服务器,64位操作系统,处理器为Intel(R)Xeon(R)CPU E5-2620v3@2.40GHz 2.40GHz(2处理器),内存16GB。使用NSL-KDD数据集作为实验数据集,训练集为KDDTrain+,测试集为KDDTest-21,测试集KDDTest-21更难以分类,训练出来的检测模型泛化能力更强。通过Matlab R2014a作为仿真平台,对本发明提出的方法进行仿真实验。通过仿真实验,得到本发明提出的检测方法和其他DDoS攻击检测方法在检测准确率方面的对比,本发明所提出方法的检测准确率明显高于单个BP神经网络、递归神经网络和遗传算法优化的BP神经网络方法。实验结果显示,本发明所提出的方法EABC-elite-BP的检测率最高;递归神经网络和遗传算法优化的BP神经网络方法次之,单个的BP神经网络的检测率最低。总之,本发明所提出的方法在性能上远优于其他三种检测方法。
NSL-KDD数据集是对KDD CUP99数据集的改进,其除去了KDD CUP99数据集中的冗余数据,克服了分类器偏向于重复出现的记录,学习方法的性能受影响等问题。训练集KDDTrain+和测试集KDDTest-21均为NSL-KDD数据集的子集。
KDD是数据挖掘与知识发现(Data Mining and Knowledge Discovery)的简称,KDD CUP99数据集就是KDD竞赛在1999年举行时采用的数据集。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (6)
1.一种DDoS攻击检测方法,其特征在于,包括以下步骤:
S1、配置用于收集网络中产生的网络流量数据;
S2、配置用于对收集到的网络流量数据进行预处理;
S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值,进行DDoS攻击检测模型的优化训练;
S4、用训练好的DDoS攻击检测模型实时检测网络数据流,判断是否为异常数据流,若不是,则结束;否则,判断是否为DDoS攻击数据流,若是DDoS攻击数据流,则进行DDoS攻击数据流的异常处理,否则,进行其他异常数据流处理;
S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。
2.如权利要求1所述的DDoS攻击检测方法,其特征在于,所述数据预处理模块包括特征提取、属性映射和归一化三部分:
特征提取:用于提取数据流的特征信息;
属性映射:将数据流中的非数值特征转化为数值特征;
归一化:归纳统一样本的统计分布特性。
3.如权利要求1所述的DDoS攻击检测方法,其特征在于,所述全局无偏搜索策略蜂群算法包括以下过程:
在人工蜂群算法中,蜂群包含了三种不同的蜂:引领蜂、观察蜂和侦查蜂;在D纬空间中,设食物源的规模为SN,食物源与引领蜂一一对应;其中,第i个食物源的位置Xi=(Xi1,Xi2,...,XiD)代表一个候选解,首先,按照公式(1)生成SN个初始解:
公式(1)中,i=1,2,...,SN,j=1,2,...,D,D表示变量的维数;表示搜索空间第j纬的下限,表示搜索空间第j纬的上限;rand(0,1)表示取(0,1)范围内的随机数;ABC搜索过程的三个阶段:
引领蜂阶段:根据公式(2),引领蜂在当前蜜源邻域内搜索一个新的蜜源Vi=(Vi1,Vi2,...,ViD):
公式(2)中,i=1,2,...,SN,j=1,2,...,D,D表示变量的维数;Vi,j是Vi的分量;是[-1,1]均匀分布的随机数,决定扰动程度;Xi,j是当前食物源Xi的分量;k∈{1,2,...,SN},Xk,j是Xk的分量,Xk是随机选择的一个食物源,并且k≠i;如果新食物源Vi的适应度优于食物源Xi,用新食物源Vi代替原来的食物源Xi,否则保留食物源Xi;
观察蜂阶段:一定数量的观察蜂根据引领蜂分享的信息,按照公式(3)计算概率Pi,贪婪选择较优的食物源:
公式(3)中,i=1,2,...,SN,SN为食物源的规模;fiti表示食物源的适应度;适应度越大,观察蜂选择该食物源的概率就越大;其中,适应度按照公式(4)计算:
其中,i=1,2,...,SN,SN为食物源的规模;fi表示第i个解的目标函数值;
侦查蜂阶段:每个解都会经历数次迭代,如果某个解i经过limit次没有更新,这种情况下,采用公式(1)来随机初始化一个新的食物源;
采用基于全局无偏搜索策略的精英人工蜂群算法所述的精英人工蜂群算法提出的新公式为:
其中,公式(7)用于雇佣蜂阶段,公式(8)用于观察蜂阶段;Vi,j为Vi的分量,Ve,j为Ve的分量,Vi和Ve分别为新的食物源;μ为基向量,δ为扰动向量;Xbest,j是Xbest的分量,Xbest为全局最优解;和为[-1,1]之间的随机数;|·|为绝对值符号;Xe,j是Xe的分量,Xe是从种群最好的p·SN个个体选择的精英解,p∈(0,1);Xk,j是Xk的分量,Xk是从{1,2,...,SN}中选择的普通个体,并且e≠k≠i。
4.如权利要求1所述的DDoS攻击检测方法,其特征在于,所述BP神经网络包括以下过程:
在BP神经网络中,输入向量X=(x1,x2,...,xi,...,xn),隐藏层节点的加权和由公式(9)计算:
其中,i=1,2,...,n,n为输入层节点的个数;ωij为输入层节点i和隐藏层节点j之间的权值,θj为隐藏层节点j的阈值;lj为第j个隐藏层节点的输入加权和;
隐藏层节点j的输出值由公式(10)计算:
公式(10)中,j=1,2,...,q,q是隐藏层节点的个数;
输出层节点k的预期值和实际值之间的误差ek,由公式(11)计算:
公式(11)中,k=1,2,...,m,m为输出层节点的个数;dk为输出层节点的期望值;yk为输出层节点的实际值;
在反向传播阶段,权值和阈值的更新可以由公式(12)和公式(13)计算:
其中,为比例常数,反映训练时的学习速度;Δωij为权值的变化量;Δθk为阈值的变化量;yi为第i个节点的加权和对权值求的偏导;这里的i,j和k是指隐藏层和输出层的节点。
5.如权利要求1所述的DDoS攻击检测方法,其特征在于,所述全局无偏搜索策略蜂群算法优化BP神经网络的训练具体过程为:
S3.1、将预处理之后的数据作为BP神经网络的训练数据;初始化BP神经网络神经元连接上的权值和阈值以及一些相关参数;
S3.2、计算输出层节点的实际输出;
S3.3、计算BP神经网络的损失函数,同时检查是否满足要求的准确度,如果满足,结束训练,否则,转到S3.4;
S3.4、初始化精英人工蜂群算法,设定相关的参数,例如最大迭代次数MCN,种群规模SN等;使用BP神经网络待优化的权值和阈值作为精英人工蜂群算法的输入;
S3.5、设置BP神经网络的损失函数作为全局无偏搜索策略蜂群算法的目标函数;
S3.6、计算和更新食物源的位置;
S3.7、迭代运行精英人工蜂群算法,判断是否达到了最大迭代,若是,转到S3.8,否则,转到S3.4;
S3.8、通过精英人工蜂群算法的优化,得到一组最优解,将其作为BP神经网络的初始化权值和阈值;
S3.9、基于最优的权值和阈值,BP神经网络开始自学习迭代训练;
S3.10、计算损失函数,同时检查是否达到要求的准确度,如果满足,则结束训练,否则,转到S3.11;
S3.11、更新BP神经网络的权值和阈值;重复S3.9到S3.11,直到达到要求的精度。
6.如权利要求1所述的基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法,其特征在于,所述DDoS攻击检测具体为:
利用提取出来的特征向量和一个协议标识作为检测模型的输入参数,用来激活DDoS检测模块中的核心部分,用精英人工蜂群算法优化的BP神经网络,该BP神经网络已经经过训练,
其中,时间帧中包括提取的特征向量对应的字段。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811003445.XA CN109274651A (zh) | 2018-08-30 | 2018-08-30 | 一种DDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811003445.XA CN109274651A (zh) | 2018-08-30 | 2018-08-30 | 一种DDoS攻击检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109274651A true CN109274651A (zh) | 2019-01-25 |
Family
ID=65154880
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811003445.XA Pending CN109274651A (zh) | 2018-08-30 | 2018-08-30 | 一种DDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109274651A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109829543A (zh) * | 2019-01-31 | 2019-05-31 | 中国科学院空间应用工程与技术中心 | 一种基于集成学习的数据流在线异常检测方法 |
CN109919229A (zh) * | 2019-03-08 | 2019-06-21 | 杭州麦乐克科技股份有限公司 | 基于人工蜂群和神经网络的监测有害气体预测方法及系统 |
CN109946424A (zh) * | 2019-03-08 | 2019-06-28 | 杭州麦乐克科技股份有限公司 | 基于人工蜂群和神经网络的气体标定分类方法及系统 |
CN110826054A (zh) * | 2019-11-05 | 2020-02-21 | 哈尔滨工业大学 | 一种基于报文数据场特征的车载can总线入侵检测方法 |
CN111144549A (zh) * | 2019-12-23 | 2020-05-12 | 深圳供电局有限公司 | 基于卷积神经网络的微网攻击识别方法及微网协调控制器 |
CN112668688A (zh) * | 2020-12-30 | 2021-04-16 | 江西理工大学 | 一种入侵检测方法、系统、设备及可读存储介质 |
CN114793174A (zh) * | 2022-04-21 | 2022-07-26 | 浪潮云信息技术股份公司 | 基于改进人工蜂群算法的ddos入侵检测方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101399672A (zh) * | 2008-10-17 | 2009-04-01 | 章毅 | 一种多神经网络融合的入侵检测方法 |
CN102710668A (zh) * | 2012-06-29 | 2012-10-03 | 上海海事大学 | 一种适于云存储的数据隐私性保障方法 |
CN104484601A (zh) * | 2014-12-09 | 2015-04-01 | 中国科学院深圳先进技术研究院 | 基于加权距离度量以及矩阵分解的入侵检测方法及装置 |
CN106330906A (zh) * | 2016-08-23 | 2017-01-11 | 上海海事大学 | 一种大数据环境下的DDoS攻击检测方法 |
CN107292166A (zh) * | 2017-05-18 | 2017-10-24 | 广东工业大学 | 一种基于cfa算法和bp神经网络的入侵检测方法 |
CN108092989A (zh) * | 2017-12-28 | 2018-05-29 | 上海海事大学 | 一种基于智能蜂群算法的DDoS攻击检测方法 |
-
2018
- 2018-08-30 CN CN201811003445.XA patent/CN109274651A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101399672A (zh) * | 2008-10-17 | 2009-04-01 | 章毅 | 一种多神经网络融合的入侵检测方法 |
CN102710668A (zh) * | 2012-06-29 | 2012-10-03 | 上海海事大学 | 一种适于云存储的数据隐私性保障方法 |
CN104484601A (zh) * | 2014-12-09 | 2015-04-01 | 中国科学院深圳先进技术研究院 | 基于加权距离度量以及矩阵分解的入侵检测方法及装置 |
CN106330906A (zh) * | 2016-08-23 | 2017-01-11 | 上海海事大学 | 一种大数据环境下的DDoS攻击检测方法 |
CN107292166A (zh) * | 2017-05-18 | 2017-10-24 | 广东工业大学 | 一种基于cfa算法和bp神经网络的入侵检测方法 |
CN108092989A (zh) * | 2017-12-28 | 2018-05-29 | 上海海事大学 | 一种基于智能蜂群算法的DDoS攻击检测方法 |
Non-Patent Citations (5)
Title |
---|
YANTAO ZHU,ET.AL: "《Structural Safety Monitoring of High Arch Dam Using Improved ABC-BP Model》", 《MATHEMATICAL PROBLEMS IN ENGINEERING》 * |
周新宇等: "《一种邻域搜索的人工蜂群算法》", 《中南大学学报(自然科学版)》 * |
杜振鑫等: "《基于全局无偏搜索策略的精英人工蜂群算法》", 《电子学报》 * |
沈夏炯等: "《人工蜂群优化的BP神经网络在入侵检测中的应用》", 《计算机工程》 * |
王龙: "《人工蜂群优化BP神经网络在入侵检测中的应用》", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109829543A (zh) * | 2019-01-31 | 2019-05-31 | 中国科学院空间应用工程与技术中心 | 一种基于集成学习的数据流在线异常检测方法 |
CN109829543B (zh) * | 2019-01-31 | 2020-05-26 | 中国科学院空间应用工程与技术中心 | 基于集成学习的空间有效载荷数据流在线异常检测方法 |
CN109919229A (zh) * | 2019-03-08 | 2019-06-21 | 杭州麦乐克科技股份有限公司 | 基于人工蜂群和神经网络的监测有害气体预测方法及系统 |
CN109946424A (zh) * | 2019-03-08 | 2019-06-28 | 杭州麦乐克科技股份有限公司 | 基于人工蜂群和神经网络的气体标定分类方法及系统 |
CN110826054A (zh) * | 2019-11-05 | 2020-02-21 | 哈尔滨工业大学 | 一种基于报文数据场特征的车载can总线入侵检测方法 |
CN111144549A (zh) * | 2019-12-23 | 2020-05-12 | 深圳供电局有限公司 | 基于卷积神经网络的微网攻击识别方法及微网协调控制器 |
CN112668688A (zh) * | 2020-12-30 | 2021-04-16 | 江西理工大学 | 一种入侵检测方法、系统、设备及可读存储介质 |
CN114793174A (zh) * | 2022-04-21 | 2022-07-26 | 浪潮云信息技术股份公司 | 基于改进人工蜂群算法的ddos入侵检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109274651A (zh) | 一种DDoS攻击检测方法 | |
Samy et al. | Fog-based attack detection framework for internet of things using deep learning | |
Alghanam et al. | An improved PIO feature selection algorithm for IoT network intrusion detection system based on ensemble learning | |
CN114257386B (zh) | 检测模型的训练方法、系统、设备及存储介质 | |
Li et al. | LNNLS‐KH: A Feature Selection Method for Network Intrusion Detection | |
Popoola et al. | Efficient Feature Selection Technique for Network Intrusion Detection System Using Discrete Differential Evolution and Decision. | |
Ortet Lopes et al. | Towards effective detection of recent DDoS attacks: A deep learning approach | |
Tong et al. | A method for detecting DGA botnet based on semantic and cluster analysis | |
Madbouly et al. | Relevant feature selection model using data mining for intrusion detection system | |
CN114491541B (zh) | 基于知识图谱路径分析的安全运营剧本自动化编排方法 | |
CN108769001A (zh) | 基于网络行为特征聚类分析的恶意代码检测方法 | |
CN111935185B (zh) | 基于云计算构建大规模诱捕场景的方法及系统 | |
Saurabh et al. | Nfdlm: A lightweight network flow based deep learning model for ddos attack detection in iot domains | |
Zhang et al. | A scalable network intrusion detection system towards detecting, discovering, and learning unknown attacks | |
CN112215300A (zh) | 一种基于网络结构增强的图卷积模型防御方法、装置和系统 | |
CN110351303B (zh) | 一种DDoS特征提取方法及装置 | |
Thangasamy et al. | A Novel Framework for DDoS Attacks Detection Using Hybrid LSTM Techniques. | |
Yang et al. | Characterizing heterogeneous internet of things devices at internet scale using semantic extraction | |
Hu et al. | Exploit internal structural information for IoT malware detection based on hierarchical transformer model | |
Jia et al. | {MAGIC}: Detecting Advanced Persistent Threats via Masked Graph Representation Learning | |
Awad et al. | Addressing imbalanced classes problem of intrusion detection system using weighted extreme learning machine | |
Basahel et al. | Enhanced coyote optimization with deep learning based cloud-intrusion detection system | |
Farzaneh et al. | DTL-IDS: Deep transfer learning-based intrusion detection system in 5G networks | |
Saikam et al. | An ensemble approach-based intrusion detection system utilizing ISHO-HBA and SE-ResNet152 | |
Punitha et al. | A feature reduction intrusion detection system using genetic algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190125 |