CN109274651A - 一种DDoS攻击检测方法 - Google Patents

Abstract

本发明公开了一种DDoS攻击检测方法，其包含以下过程：收集网络中的数据流，对收集的数据流进行预处理；用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，并用预处理后的数据进一步训练DDoS攻击检测模型；用训练好的DDoS攻击检测模型在线检测异常数据流；判断被检测出的异常数据流是否为DDoS攻击异常数据流，若是，则进行DDoS攻击数据流处理，否则，进行其他异常数据流处理；对所有被检测出的异常数据流进行异常处理的同时，并进行预警。本发明的优点为：改善了传统的BP神经网络算法容易陷入局部最优，收敛速度慢的问题；提高了DDoS攻击检测的准确性；改进了检测模型的泛化能力。

Description

一种DDoS攻击检测方法

技术领域

本发明涉及云安全领域，具体涉及一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法。

背景技术

自从计算机问世以来，网络安全问题一直存在，使用者并未给予足够的重视，但是随着信息技术的发展，网络安全问题日益突出。网络安全中最大和最具挑战性的问题之一是分布式拒绝服务(Distributed Denial of Service，简称DDoS)攻击，DDoS攻击是一种分布式大规模流量攻击方式，通过控制互联网上傀儡机对目标服务器发动攻击，产生的大量数据流涌向目标服务器，消耗服务器系统资源和带宽，或把链接占满，从而影响合法用户的访问。DDoS攻击对网络上的主机，服务器乃至网络基础设施均会造成严重危害，大多数情况下，DDoS攻击是无规律可寻的，攻击者利用TCP，UDP和ICMP协议发动攻击，或者是发送合理的数据请求，造成企业和用户的网络瘫痪，无法提供正常的服务；实施的DDoS攻击一般都会伪造源IP地址，具有隐蔽性强、并发数高、攻击流量大、破坏力强、涉及范围广的特点。并且随着攻击技术的日益发展，DDoS攻击技术不论是在攻击手段还是攻击方式上都在不断的发展，开始进入一个新的APT(Advanced Persistent Threat)时代。APT时代的DDoS攻击问题将会更加严重，DDoS攻击具有更持续的攻击过程、更加高效的攻击技术以及更严重的威胁，因此，这就对DDoS攻击的防御、缓解以及相应的处理等难题提出巨大的挑战。

发明内容

本发明的目的在于提供一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法，通过用全局无偏搜索策略蜂群算法来优化训练BP神经网络，可以改善传统的BP神经网络算法容易陷入局部最优，收敛速度慢的问题，提高DDoS攻击检测的准确性，改进检测模型的泛化能力。

为了达到上述目的，本发明通过以下技术方案实现：

一种DDoS攻击检测方法包括以下过程：

S1、配置用于收集网络中产生的网络流量数据；

S2、配置用于对收集到的网络流量数据进行预处理；

S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，进行DDoS攻击检测模型的优化训练；

S4、用训练好的DDoS攻击检测模型实时检测网络数据流，判断是否为异常数据流，若不是，则结束；否则，判断是否为DDoS攻击数据流，若是DDoS攻击数据流，则进行DDoS攻击数据流的异常处理，否则，进行其他异常数据流处理；

S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。

优选地，所述数据预处理模块包括特征提取、属性映射和归一化三部分：

特征提取：用于提取数据流的特征；

属性映射：将数据流中的非数值特征转化为数值特征；

归一化：归纳统一样本的统计分布性。

优选地，所述全局无偏搜索策略蜂群算法包含以下过程：

在人工蜂群算法中，蜂群包含了三种不同的蜂：引领蜂、观察蜂和侦查蜂；在D纬空间中，设食物源的规模为SN，食物源与引领蜂一一对应；其中，第i个食物源的位置X_i＝(X_i1，X_i2，...，X_iD)代表一个候选解，首先，按照公式(1)生成SN个初始解：

公式(1)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；表示搜索空间第j纬的下限，表示搜索空间第j纬的上限；rand(0，1)表示取(0,1)范围内的随机数；ABC搜索过程的三个阶段：

引领蜂阶段：根据公式(2)，引领蜂在当前蜜源邻域内搜索一个新的蜜源V_i＝(V_i1，V_i2，...，V_iD)：

公式(2)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；V_i，j是V_i的分量；是[-1,1]均匀分布的随机数，决定扰动程度；X_i，j是当前食物源X_i的分量；k∈{1，2，...，SN}，X_k，j是X_k的分量，X_k是随机选择的一个食物源，并且k≠i；如果新食物源V_i的适应度优于食物源X_i，用新食物源V_i代替原来的食物源X_i，否则保留食物源X_i；

观察蜂阶段：大量的观察蜂根据引领蜂分享的信息，按照公式(3)计算概率，贪婪选择较优的食物源：

公式(3)中，i＝1，2，...，SN，SN为食物源的规模；fit_i表示食物源的适应度；适应度越大，观察蜂选择该食物源的概率就越大；其中，适应度按照公式(4)计算：

其中，i＝1，2，...，SN，SN为食物源的规模；f_i表示第i个解的目标函数值；

侦查蜂阶段：每个解都会经历数次迭代，如果某个解i经过limit次没有更新，这种情况下，采用公式(1)来随机初始化一个新的食物源；

基于全局无偏搜索策略的精英人工蜂群算法，所述的精英人工蜂群算法提出的新公式为：

其中，公式(7)用于雇佣蜂阶段，公式(8)用于观察蜂阶段；V_i，j为V_i的分量，V_e，j为V_e的分量，V_i和V_e分别为新的食物源；μ为基向量，δ为扰动向量；X_best，j是X_best的分量，X_best为全局最优解；和为[-1,1]之间的随机数；|·|为绝对值符号；X_e，j是X_e的分量，X_e是从种群最好的p·SN个个体选择的精英解，p∈(0，1)；X_k，j是X_k的分量，X_k是从{1，2，...，SN}中选择的普通个体，并且e≠k≠i。

优选地，所述BP神经网络包含以下过程：

在BP神经网络中，输入向量X＝(x₁，x₂，...，x_i，...，x_n)，隐藏层节点的加权和由公式(9)计算：

其中，i＝1，2，...，n，n为输入层节点的个数；ω_ij为输入层节点i和隐藏层节点j之间的权值，θ_j为隐藏层节点j的阈值；l_j为第j个隐藏层节点的输入加权和；

隐藏层节点j的输出值由公式(10)计算：

公式(10)中，j＝1，2，...，q，q是隐藏层节点的个数；

输出层的预期值和实际值之间的误差，由公式(11)计算：

公式(11)中，k＝1，2，...，m，m为输出层节点的个数；d_k为输出层节点的期望值；y_k为输出层节点的实际值；

在反向传播阶段，权值和阈值的更新可以由公式(12)和公式(13)计算：

其中，为比例常数，反映训练时的学习速度；Δω_ij为权值的变化量；Δθ_k为阈值的变化量；y_i为第i个节点的加权和对权值求的偏导；这里的i，j和k是指隐藏层和输出层的节点。

优选地，所述全局无偏搜索策略蜂群算法优化BP神经网络的训练过程具体为：

S3.1、将预处理之后的数据作为BP神经网络的训练数据；初始化BP神经网络神经元连接上的权值和阈值以及一些相关参数；

S3.2、计算输出层节点的实际输出；

S3.3、计算BP神经网络的损失函数，同时检查是否满足要求的准确度，如果满足，结束训练，否则，转到S3.4；

S3.4、初始化精英人工蜂群算法，设定相关的参数，例如最大迭代次数MCN，种群规模SN等；使用BP神经网络待优化的权值和阈值作为EABC-elite算法的输入；

S3.5、设置BP神经网络的损失函数作为全局无偏搜索策略蜂群算法的目标函数；

S3.6、计算和更新食物源的位置；

S3.7、迭代运行精英人工蜂群算法，判断是否达到了最大迭代，若是，转到S3.8，否则，转到S3.4；

S3.8、通过精英人工蜂群算法的优化，得到一组最优解，将其作为BP神经网络的初始化权值和阈值；

S3.9、基于最优的权值和阈值，BP神经网络开始自学习迭代训练；

S3.10、计算损失函数，同时检查是否达到要求的准确度，如果满足，则结束训练，否则，转到S3.11；

S3.11、更新BP神经网络的权值和阈值；重复S3.9到S3.11，直到达到要求的精度。

优选地，所述DDoS攻击检测具体为：

利用提取出来的特征向量和一个协议标识作为检测模型的输入参数，用来激活DDoS检测模块中的核心部分，用精英人工蜂群算法优化的BP神经网络，该神经网络已经经过训练。利用训练好的DDoS攻击检测模型进行攻击检测，能够迅速地判断出时间帧数据是DDoS攻击，其他异常攻击和正常数据流中的哪一种类型。

其中时间帧中包括提取的特征向量对应的字段。

本发明与现有技术相比具有以下优点：

通过全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，改善了传统的BP神经网络算法收敛速度慢的问题；通过全局无偏搜索策略蜂群算法较好的平衡了算法的勘探和开采能力，避免了BP神经网络陷入局部最优的问题；同时，提高了DDoS攻击检测的准确性；改进了检测模型的泛化能力。

附图说明

图1为本发明一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法的流程图。

具体实施方式

以下结合附图，通过详细说明一个较佳的具体实施例，对本发明做进一步阐述。

如图1所示，本发明公开了一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法，其包含以下步骤：

S1、配置用于收集网络中产生的网络流量数据；

S2、配置用于对收集到的网络流量数据进行预处理；

S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，进行DDoS攻击检测模型的优化训练；

S4、用训练好的DDoS攻击检测模型实时检测网络数据流，判断是否为异常数据流，若不是，则结束；否则，判断是否为DDoS攻击数据流，若是DDoS攻击数据流，则进行DDoS攻击数据流的异常处理，否则，进行其他异常数据流处理；

S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。

本实例中，上述的方法是通过一种基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测系统来实现，该系统设有一个或多个处理器，存储器，建立所述的检测模型，执行完成以下步骤：

数据预处理模块包括特征提取、属性映射和归一化三部分：

特征提取：用于提取数据流的特征；

属性映射：将数据流中的非数值特征转化为数值特征；

归一化：归纳统一样本的统计分布性。

全局无偏搜索策略的蜂群算法，在普通人工蜂群算法(Artificial Bee Colony，简称ABC)中，蜂群包含了三种不同的蜂：引领蜂、观察蜂和侦查蜂；在D纬空间中，设食物源的规模为SN，食物源与引领蜂一一对应；其中，第i个食物源的位置X_i＝(X_i1，X_i2，...，X_iD)代表一个候选解，首先，按照公式(1)生成SN个初始解：

公式(1)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；表示搜索空间第j纬的下限，表示搜索空间第j纬的上限；rand(0，1)表示取(0,1)范围内的随机数；ABC搜索过程的三个阶段：

引领蜂阶段：根据公式(2)，引领蜂在当前蜜源邻域内搜索一个新的蜜源V_i＝(V_i1，V_i2，...，V_iD)：

公式(2)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；V_i，j是V_i的分量；是[-1,1]均匀分布的随机数，决定扰动程度；X_i，j是当前食物源X_i的分量；k∈{1，2，...，SN}，X_k，j是X_k的分量，X_k是随机选择的一个食物源，并且k≠i；如果新食物源V_i的适应度优于食物源X_i，用新食物源V_i代替原来的食物源X_i，否则保留食物源X_i；

观察蜂阶段：大量的观察蜂根据引领蜂分享的信息，按照公式(3)计算概率，贪婪选择较优的食物源：

公式(3)中，i＝1，2，...，SN，SN为食物源的规模；fit_i表示食物源的适应度；适应度越大，观察蜂选择该食物源的概率就越大；其中，适应度按照公式(4)计算：

其中，i＝1，2，...，SN，SN为食物源的规模；f_i表示第i个解的目标函数值；

侦查蜂阶段：每个解都会经历数次迭代，如果某个解i经过limit次没有更新，这种情况下，采用公式(1)来随机初始化一个新的食物源；

基于全局无偏搜索策略的精英人工蜂群算法，该算法称为EABC-elite(EnhancedABC_elite)，使用了更多个体的信息，增大了全局搜索的能力，没有偏向任何方向，进一步平衡了算法的勘探和开采能力；EABC-elite算法提出的新公式为：

其中，公式(7)用于雇佣蜂阶段，公式(8)用于观察蜂阶段；V_i，j为V_i的分量，V_e，j为V_e的分量，V_i和V_e分别为新的食物源；μ为基向量，δ为扰动向量；X_best，j是X_best的分量，X_best为全局最优解；和为[-1,1]之间的随机数；|·|为绝对值符号；X_e，j是X_e的分量，X_e是从种群最好的p·SN个个体选择的精英解，p∈(0，1)；X_k，j是X_k的分量，X_k是从{1，2，...，SN}中选择的普通个体，并且e≠k≠i。

在BP神经网络中，输入向量X＝(x₁，x₂，...，x_i，...，x_n)，隐藏层节点的加权和由公式(9)计算：

其中，i＝1，2，...，n，n为输入层节点的个数；ω_ij为输入层节点i和隐藏层节点j之间的权值，θ_j为隐藏层节点j的阈值；l_j为第j个隐藏层节点的输入加权和；

隐藏层节点j的输出值由公式(10)计算：

公式(10)中，j＝1，2，...，q，q是隐藏层节点的个数；

输出层的预期值和实际值之间的误差，由公式(11)计算：

公式(11)中，k＝1，2，...，m，m为输出层节点的个数；d_k为输出层节点的期望值；y_k为输出层节点的实际值；

在反向传播阶段，权值和阈值的更新可以由公式(12)和公式(13)计算：

其中，为比例常数，反映训练时的学习速度；Δω_ij为权值的变化量；Δθ_k为阈值的变化量；y_i为第i个节点的加权和对权值求的偏导；这里的i，j和k是指隐藏层和输出层的节点。

全局无偏搜索策略蜂群算法优化BP神经网络的训练过程具体为：

S3.1、将预处理之后的数据作为BP神经网络的训练数据；初始化BP-ANN神经元连接上的权值和阈值以及一些相关参数；

S3.2、计算输出层节点的实际输出；

S3.3、计算BP神经网络的损失函数，同时检查是否满足要求的准确度，如果满足，结束训练，否则，转到S3.4；

S3.4、初始化EABC-elite算法，设定相关的参数，例如最大迭代次数MCN，种群规模SN等；使用BP神经网络待优化的权值和阈值作为EABC-elite算法的输入；

S3.5、设置BP神经网络的损失函数作为全局无偏搜索策略蜂群算法的目标函数；

S3.6、计算和更新食物源的位置；

S3.7、迭代运行算法EABC-elite，判断是否达到了最大迭代，若是，转到S3.8，否则，转到S3.4；

S3.8、通过EABC-elite算法的优化，得到一组最优解，将其作为BP神经网络的初始化权值和阈值；

S3.9、基于最优的权值和阈值，BP神经网络开始自学习迭代训练；

S3.10、计算损失函数，同时检查是否达到要求的准确度，如果满足，则结束训练，否则，转到S3.11；

S3.11、更新BP神经网络的权值和阈值；重复S3.9到S3.11，直到达到要求的精度。

DDoS攻击检测的执行，利用提取出来的特征向量和一个协议标识作为检测模型的输入参数，用来激活DDoS检测模块中的核心部分——用EABC-elite优化的BP神经网络，该神经网络已经经过训练。利用训练好的DDoS攻击检测模型进行攻击检测，能够迅速地判断出时间帧数据是DDoS攻击，其他异常攻击和正常数据流中的哪一种类型。

其中时间帧中包括提取的特征向量对应的字段。

本发明中，为检测基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测模型的性能，进行仿真实验，实验环境为一台windows 7服务器，64位操作系统，处理器为Intel(R)Xeon(R)CPU E5-2620v3@2.40GHz 2.40GHz(2处理器)，内存16GB。使用NSL-KDD数据集作为实验数据集，训练集为KDDTrain⁺，测试集为KDDTest^-21，测试集KDDTest^-21更难以分类，训练出来的检测模型泛化能力更强。通过Matlab R2014a作为仿真平台，对本发明提出的方法进行仿真实验。通过仿真实验，得到本发明提出的检测方法和其他DDoS攻击检测方法在检测准确率方面的对比，本发明所提出方法的检测准确率明显高于单个BP神经网络、递归神经网络和遗传算法优化的BP神经网络方法。实验结果显示，本发明所提出的方法EABC-elite-BP的检测率最高；递归神经网络和遗传算法优化的BP神经网络方法次之，单个的BP神经网络的检测率最低。总之，本发明所提出的方法在性能上远优于其他三种检测方法。

NSL-KDD数据集是对KDD CUP99数据集的改进，其除去了KDD CUP99数据集中的冗余数据，克服了分类器偏向于重复出现的记录，学习方法的性能受影响等问题。训练集KDDTrain⁺和测试集KDDTest^-21均为NSL-KDD数据集的子集。

KDD是数据挖掘与知识发现(Data Mining and Knowledge Discovery)的简称，KDD CUP99数据集就是KDD竞赛在1999年举行时采用的数据集。

尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。

Claims (6)

1.一种DDoS攻击检测方法，其特征在于，包括以下步骤：

S1、配置用于收集网络中产生的网络流量数据；

S2、配置用于对收集到的网络流量数据进行预处理；

S3、用全局无偏搜索策略蜂群算法优化BP神经网络的权值和阈值，进行DDoS攻击检测模型的优化训练；

S4、用训练好的DDoS攻击检测模型实时检测网络数据流，判断是否为异常数据流，若不是，则结束；否则，判断是否为DDoS攻击数据流，若是DDoS攻击数据流，则进行DDoS攻击数据流的异常处理，否则，进行其他异常数据流处理；

S5、分别对DDoS攻击数据流和其他异常数据流发预警信息。

2.如权利要求1所述的DDoS攻击检测方法，其特征在于，所述数据预处理模块包括特征提取、属性映射和归一化三部分：

特征提取：用于提取数据流的特征信息；

属性映射：将数据流中的非数值特征转化为数值特征；

归一化：归纳统一样本的统计分布特性。

3.如权利要求1所述的DDoS攻击检测方法，其特征在于，所述全局无偏搜索策略蜂群算法包括以下过程：

在人工蜂群算法中，蜂群包含了三种不同的蜂：引领蜂、观察蜂和侦查蜂；在D纬空间中，设食物源的规模为SN，食物源与引领蜂一一对应；其中，第i个食物源的位置X_i＝(X_i1，X_i2，...，X_iD)代表一个候选解，首先，按照公式(1)生成SN个初始解：

公式(1)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；表示搜索空间第j纬的下限，表示搜索空间第j纬的上限；rand(0，1)表示取(0,1)范围内的随机数；ABC搜索过程的三个阶段：

引领蜂阶段：根据公式(2)，引领蜂在当前蜜源邻域内搜索一个新的蜜源V_i＝(V_i1，V_i2，...，V_iD)：

公式(2)中，i＝1，2，...，SN，j＝1，2，...，D，D表示变量的维数；V_i，j是V_i的分量；是[-1,1]均匀分布的随机数，决定扰动程度；X_i，j是当前食物源X_i的分量；k∈{1，2，...，SN}，X_k，j是X_k的分量，X_k是随机选择的一个食物源，并且k≠i；如果新食物源V_i的适应度优于食物源X_i，用新食物源V_i代替原来的食物源X_i，否则保留食物源X_i；

观察蜂阶段：一定数量的观察蜂根据引领蜂分享的信息，按照公式(3)计算概率P_i，贪婪选择较优的食物源：

公式(3)中，i＝1，2，...，SN，SN为食物源的规模；fit_i表示食物源的适应度；适应度越大，观察蜂选择该食物源的概率就越大；其中，适应度按照公式(4)计算：

其中，i＝1，2，...，SN，SN为食物源的规模；f_i表示第i个解的目标函数值；

侦查蜂阶段：每个解都会经历数次迭代，如果某个解i经过limit次没有更新，这种情况下，采用公式(1)来随机初始化一个新的食物源；

采用基于全局无偏搜索策略的精英人工蜂群算法所述的精英人工蜂群算法提出的新公式为：

其中，公式(7)用于雇佣蜂阶段，公式(8)用于观察蜂阶段；V_i，j为V_i的分量，V_e，j为V_e的分量，V_i和V_e分别为新的食物源；μ为基向量，δ为扰动向量；X_best，j是X_best的分量，X_best为全局最优解；和为[-1,1]之间的随机数；|·|为绝对值符号；X_e，j是X_e的分量，X_e是从种群最好的p·SN个个体选择的精英解，p∈(0，1)；X_k，j是X_k的分量，X_k是从{1，2，...，SN}中选择的普通个体，并且e≠k≠i。

4.如权利要求1所述的DDoS攻击检测方法，其特征在于，所述BP神经网络包括以下过程：

在BP神经网络中，输入向量X＝(x₁，x₂，...，x_i，...，x_n)，隐藏层节点的加权和由公式(9)计算：

其中，i＝1，2，...，n，n为输入层节点的个数；ω_ij为输入层节点i和隐藏层节点j之间的权值，θ_j为隐藏层节点j的阈值；l_j为第j个隐藏层节点的输入加权和；

隐藏层节点j的输出值由公式(10)计算：

公式(10)中，j＝1，2，...，q，q是隐藏层节点的个数；

输出层节点k的预期值和实际值之间的误差e^k，由公式(11)计算：

公式(11)中，k＝1，2，...，m，m为输出层节点的个数；d_k为输出层节点的期望值；y_k为输出层节点的实际值；

在反向传播阶段，权值和阈值的更新可以由公式(12)和公式(13)计算：

其中，为比例常数，反映训练时的学习速度；Δω_ij为权值的变化量；Δθ_k为阈值的变化量；y_i为第i个节点的加权和对权值求的偏导；这里的i，j和k是指隐藏层和输出层的节点。

5.如权利要求1所述的DDoS攻击检测方法，其特征在于，所述全局无偏搜索策略蜂群算法优化BP神经网络的训练具体过程为：

S3.1、将预处理之后的数据作为BP神经网络的训练数据；初始化BP神经网络神经元连接上的权值和阈值以及一些相关参数；

S3.2、计算输出层节点的实际输出；

S3.3、计算BP神经网络的损失函数，同时检查是否满足要求的准确度，如果满足，结束训练，否则，转到S3.4；

S3.4、初始化精英人工蜂群算法，设定相关的参数，例如最大迭代次数MCN，种群规模SN等；使用BP神经网络待优化的权值和阈值作为精英人工蜂群算法的输入；

S3.5、设置BP神经网络的损失函数作为全局无偏搜索策略蜂群算法的目标函数；

S3.6、计算和更新食物源的位置；

S3.7、迭代运行精英人工蜂群算法，判断是否达到了最大迭代，若是，转到S3.8，否则，转到S3.4；

S3.8、通过精英人工蜂群算法的优化，得到一组最优解，将其作为BP神经网络的初始化权值和阈值；

S3.9、基于最优的权值和阈值，BP神经网络开始自学习迭代训练；

S3.10、计算损失函数，同时检查是否达到要求的准确度，如果满足，则结束训练，否则，转到S3.11；

S3.11、更新BP神经网络的权值和阈值；重复S3.9到S3.11，直到达到要求的精度。

6.如权利要求1所述的基于全局无偏搜索策略蜂群算法和BP神经网络的DDoS攻击检测方法，其特征在于，所述DDoS攻击检测具体为：

利用提取出来的特征向量和一个协议标识作为检测模型的输入参数，用来激活DDoS检测模块中的核心部分，用精英人工蜂群算法优化的BP神经网络，该BP神经网络已经经过训练，

其中，时间帧中包括提取的特征向量对应的字段。