CN113542280A - 一种基于BA-BNN算法的LDoS攻击检测方法 - Google Patents

一种基于BA-BNN算法的LDoS攻击检测方法 Download PDF

Info

Publication number
CN113542280A
CN113542280A CN202110809191.6A CN202110809191A CN113542280A CN 113542280 A CN113542280 A CN 113542280A CN 202110809191 A CN202110809191 A CN 202110809191A CN 113542280 A CN113542280 A CN 113542280A
Authority
CN
China
Prior art keywords
algorithm
neural network
bat
flow
detection method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110809191.6A
Other languages
English (en)
Inventor
汤澹
李欣萌
王思苑
刘泊儒
高辰郡
罗能光
高新翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202110809191.6A priority Critical patent/CN113542280A/zh
Publication of CN113542280A publication Critical patent/CN113542280A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明公开了一种基于BA‑BNN算法的LDoS攻击检测方法,属于计算机网络安全领域。其中所述的方法包括:提出了采用蝙蝠算法改进BP神经网络算法最优权值和阈值的搜索过程,用蝙蝠算法搜索得到最优权值和阈值的方式代替BP神经网络反向传播误差更新权值和阈值以得到最优值的方式。收集链路上的UDP流量和TCP流量,并对其进行采样,计算样本UDP流量和TCP流量的特征值,并对特征值数据进行归一化处理。采用蝙蝠算法优化的BP神经网络算法对数据进行检测,根据输出判定相应时间内是否发生LDoS攻击。本发明提出的蝙蝠算法和BP神经网络算法的LDoS攻击检测方法能高效、准确地检测LDoS攻击。

Description

一种基于BA-BNN算法的LDoS攻击检测方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种基于BA-BNN算法的LDoS攻击检测方法。
背景技术
拒绝服务(DoS)攻击通过攻击网络协议实现的缺陷或直接以野蛮的手段来耗尽攻击目标的有限资源,以达到使受害网络或目标主机无法为合法用户提供正常服务的目的,DoS攻击一直严重威胁着网络的安全。低速率拒绝服务(LDoS)攻击是一种新型的DoS攻击,这种攻击方式通过周期性地发送脉冲时长较短的高速率的流量来抢占TCP带宽以触发TCP的拥塞控制机制,从而达到攻击的目的,平均攻击速率更低,拥有与DoS攻击相似的攻击效果,且具有更强的隐蔽性。
LDoS攻击具有隐蔽性强的特点,这使其很难被传统的DoS攻击检测方法检测到,现有的LDoS攻击检测方法仍存在一些不足需要进一步完善,比如检测率有待进一步提高,误报率和漏报率有待进一步降低等。因此,研究和探索一种具有更高的检测率、更低的误报率和漏报率的LDoS攻击检测方法是本发明的目标。
BP Neural Network结构简单,且具有高度的非线性和较强的自适应能力,因此被用于LDoS攻击检测中,但基于BP神经网络算法的LDoS攻击检测方法存在易于陷入局部最优、全局搜索能力差的缺陷,这会对检测率造成一定的影响,基于BP神经网络算法的LDoS攻击检测方法有待改进。
发明内容
本发明针对当前LDoS攻击检测方法存在的检测率较低、误报率和漏报率较高的缺点,提出了一种基于BA-BNN算法的LDoS攻击检测方法。该方法采用蝙蝠算法对BP神经网络算法进行了重大改进,利用蝙蝠算法全局搜索能力强的特点使BP神经网络跳出局部最优,用蝙蝠算法搜索得到最优权值和阈值的方式代替BP神经网络算法通过误差的反向传播过程更新权值和阈值以得到最优值的方式,优化最优权值和阈值的搜索过程,得到更加精确的权值和阈值,具有很好的创新性。
本发明针对当前LDoS攻击检测方法存在的检测率较低、误报率和漏报率较高的缺点,提出了一种基于蝙蝠算法和BP神经网络算法的LDoS攻击检测方法。该方法采用蝙蝠算法优化的BP神经网络算法检测数据,将处理UDP流量和TCP流量数据所得的特征值数据作为网络的输入,数据经过输入层、隐含层、输出层处理后得到对应的检测结果。该方法采用蝙蝠算法改进了BP神经网络算法易于陷入局部最优、全局搜索能力差的缺陷,使其跳出局部最优,提高其全局搜索能力;而且该检测方法对LDoS攻击检测的正确率和检出率较高,且有着较低的误报率和漏报率。
本发明为实现上述目标所采用的技术方案为:在训练过程中,将蝙蝠种群中的每个蝙蝠个体映射为一个BP神经网络,将BP神经网络函数作为蝙蝠算法的目标函数,将蝙蝠个体的位置向量的分量映射为BP神经网络中的权值和阈值,将BP神经网络搜索和优化权值和阈值的过程模拟成种群蝙蝠个体搜寻猎物和调整位置的过程,将BP神经网络输出的检测结果与期望输出的偏差作为蝙蝠最优位置的更新标准,在偏差更小时对最优位置进行更新操作。主要包括以下四个步骤:种群初始化、更新参数、调整最优位置、确定最优权值和阈值。
1.种群初始化。初始化蝙蝠种群,初始化蝙蝠种群的个体数m以及个体蝙蝠的位置向量xi(i=1,2,3,......,m)、速度向量vi、脉冲音量Ai、脉冲发射率r、音量的衰减系数α、最大脉冲发射率r0、发出的搜索脉冲频率范围[fmin,fmax]、搜索脉冲发射频度增强系数γ、迭代次数M等,其中位置向量和速度向量的维度与权值和阈值的总数相同。将蝙蝠位置向量xi各分量的值作为BP神经网络的权值和阈值的值,初始化种群的最优位置为x*,即当前BP神经网络的最优权值和阈值,计算得到BP神经网络对网络状态的预测偏差D*,D*为当前最小偏差。
2.更新参数。根据以下公式更新每个蝙蝠个体发出的搜索脉冲频率、速度和位置,式中β属于[0,1]均匀分部的随机数;fi是蝙蝠i发出的搜索脉冲频率,fi属于[fmin,fmax];vi t、vi t-1分别表示蝙蝠i在t和t-1时刻的速度;xi t、xi t-1分别表示蝙蝠i在t和t-1时刻的位置。
fi=fmin+(fmax-fmin
vi t=vi t-1+(xi t-x*)fi
xi t=xi t-1+vi t
3.调整最优位置。生成均匀分布随机数rand(rand∈[0,1]),如果rand>r,则对当前最优位置进行随机扰动,产生一个新的位置x′,即新的权值和阈值,计算该权值和阈值下BP神经网络对网络状态的预测偏差D′。生成均匀分布随机数rand(rand∈[0,1]),如果rand<Ai且D′<D*,则接受产生的新位置,并将最优位置更新为此位置,即更新当前的最优权值和阈值,并更新当前最小偏差为D′,根据以下公式对脉冲音量和脉冲发射率进行更新。
Ai t+1=αAi t
ri t+1=r0[1-exp(-yt)]
4.确定最优权值和阈值。重复更新参数和调整最优位置的过程直至BP神经网络对网络状态的预测偏差满足要求或达到最大迭代次数,此时的最优位置向量值就是BP神经网络的最优权值和阈值。
该LDoS攻击检测方法包括以下四个步骤:采样数据、处理数据、检测数据、判定检测。
1.采样数据。收集链路上的UDP流量和TCP流量,并对其进行采样,得到多个单位时间的UDP流量和TCP流量。
2.处理数据。根据采样得到的UDP流量和TCP流量数据,计算单位时间内UDP流量和TCP流量的特征值,并对特征值数据进行归一化处理。通过归一化处理,能够将特征值控制在[0,1]之间,从而避免不同特征值之间的量纲影响。
3.检测数据。采用蝙蝠算法优化的BP神经网络算法检测通过处理得到的UDP流量和TCP流量的特征值数据,将特征值数据作为网络的输入,各组特征值数据经过输入层、隐含层、输出层处理后得到其对应的检测结果。
4.判定检测。根据输出的检测结果对UDP流量和TCP流量进行判定检测,判定相应时间内是否发生LDoS攻击。
有益效果
该LDos攻击检测方法采用蝙蝠算法改进了BP神经网络算法易于陷入局部最优、全局搜索能力差的缺陷,使其跳出局部最优,提高其全局搜索能力;而且该检测方法对LDoS攻击检测的正确率和检出率较高,且有着较低的误报率和漏报率。
附图说明
图1为采样数据和处理数据的流程图。采样得到多个单位时间的UDP流量和TCP流量,计算各单位时间内UDP流量和TCP流量的特征值,并做进一步处理。
图2为基于Bat Algorithm和BP Neural Network构建LDoS攻击检测模型的流程图。用蝙蝠算法搜索得到最优权值和阈值的方式代替BP神经网络算法通过误差的反向传播过程更新权值和阈值以得到最优值的方式,优化最优权值和阈值的搜索过程,得到更加精确的权值和阈值,构建LDoS攻击检测模型。
图3为一种基于BA-BNN算法的LDoS攻击检测方法的流程图。
具体实施方式
下面结合附图对本发明进一步说明。
图2为基于Bat Algorithm和BP Neural Network构建LDoS攻击检测模型的流程图。在初始化蝙蝠种群及最优位置后,计算BP神经网络算法的预测偏差并更新蝙蝠种群相关值,之后对当前最优位置进行随机扰动并计算BP神经网络算法的预测偏差,若算得的新的预测偏差小于历史预测偏差,更新最优位置为该预测偏差对应的位置,更新蝙蝠种群相关值,循环往复直至BP神经网络算法的预测偏差满足要求或达到最大迭代次数,得到最终的权值和阈值,构建LDoS攻击检测模型。
如图3所示,该检测方法主要包括以下四个步骤:采样数据、处理数据、检测数据和判定检测。
图1为采样数据和处理数据的流程图。收集链路上的UDP流量和TCP流量,并对其进行采样,得到多个单位时间的UDP流量和TCP流量,计算各单位时间内UDP流量和TCP流量的特征值,并对特征值数据进行归一化处理。

Claims (5)

1.一种基于BA-BNN算法的LDoS攻击检测方法,其特征在于,BA-BNN算法是BatAlgorithm和BP Neural Network的结合算法,该检测方法包括以下几个步骤:
步骤1、采样数据:收集链路上的UDP流量和TCP流量,并对其进行采样,得到多个单位时间的UDP流量和TCP流量序列;
步骤2、处理数据:计算单位时间内UDP流量和TCP流量的特征值,并做归一化处理;
步骤3、检测数据:检测处理得到的UDP流量和TCP流量的特征值数据来判断是否存在攻击,得到各组特征值数据对应的检测结果;
步骤4、判定检测:根据检测结果判定相应时间内是否发生LDoS攻击。
2.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤2中根据步骤1中采样得到的UDP流量和TCP流量数据,计算单位时间内UDP流量和TCP流量的均值、方差、变异系数等特征值,并对特征值进行归一化处理。
3.根据权利要求1中所述的LDoS攻击检测方法,其特征在于,步骤3中采用BatAlgorithm优化的BP Neural Network算法检测数据,将步骤2中处理所得的特征值数据作为网络的输入,各组特征值数据经过输入层、隐含层、输出层处理后得到其对应的检测结果。
4.根据权利要求3中所述的LDoS攻击检测方法,其特征在于,BP Neural Network算法通过Bat Algorithm进行优化,在训练过程中,将蝙蝠种群中的每个蝙蝠个体映射为一个BP神经网络,将蝙蝠个体的位置向量的分量映射为BP神经网络中的权值和阈值,将BP神经网络搜索和优化权值和阈值的过程模拟成种群蝙蝠个体搜寻猎物和调整位置的过程,用蝙蝠算法搜索得到最优权值和阈值的方式代替BP神经网络通过误差的反向传播过程更新权值和阈值以得到最优值的方式,优化最优权值和阈值的搜索过程,优化后的训练过程包括四个步骤:
步骤4.1、初始化蝙蝠种群及最优位置,计算BP神经网络算法的预测偏差;
步骤4.2、更新蝙蝠种群相关值,对当前最优位置进行随机扰动,计算BP神经网络算法的预测偏差;
步骤4.3、若满足算得的新的预测偏差小于历史预测偏差等条件,更新最优位置为该预测偏差对应的位置,更新蝙蝠种群相关值;
步骤4.4、重复步骤4.2和步骤4.3直至BP神经网络算法的预测偏差满足要求或达到最大迭代次数,最终的最优位置向量即对应最优权值和阈值。
5.根据权利要求4中所述的LDoS攻击检测方法,其特征在于,采用蝙蝠算法改进了BP神经网络算法易于陷入局部最优、全局搜索能力差的缺陷,使其跳出局部最优,提高其全局搜索能力,提高了算法的正确率和检出率。
CN202110809191.6A 2021-07-16 2021-07-16 一种基于BA-BNN算法的LDoS攻击检测方法 Pending CN113542280A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110809191.6A CN113542280A (zh) 2021-07-16 2021-07-16 一种基于BA-BNN算法的LDoS攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110809191.6A CN113542280A (zh) 2021-07-16 2021-07-16 一种基于BA-BNN算法的LDoS攻击检测方法

Publications (1)

Publication Number Publication Date
CN113542280A true CN113542280A (zh) 2021-10-22

Family

ID=78128490

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110809191.6A Pending CN113542280A (zh) 2021-07-16 2021-07-16 一种基于BA-BNN算法的LDoS攻击检测方法

Country Status (1)

Country Link
CN (1) CN113542280A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114070609A (zh) * 2021-11-15 2022-02-18 湖南大学 一种基于格拉姆角场的低速率拒绝服务攻击检测方法
CN115664804A (zh) * 2022-10-25 2023-01-31 湖南大学 一种基于径向基函数神经网络的LDoS攻击检测方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100251380A1 (en) * 2009-03-24 2010-09-30 Alibaba Group Holding Limited Method and system for identifying suspected phishing websites
CN109450842A (zh) * 2018-09-06 2019-03-08 南京聚铭网络科技有限公司 一种基于神经网络的网络恶意行为识别方法
CN109583574A (zh) * 2018-12-13 2019-04-05 东莞幻鸟新材料有限公司 一种高精度的网络入侵检测系统
CN110572413A (zh) * 2019-09-27 2019-12-13 湖南大学 一种基于Elman神经网络的低速率拒绝服务攻击检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100251380A1 (en) * 2009-03-24 2010-09-30 Alibaba Group Holding Limited Method and system for identifying suspected phishing websites
CN109450842A (zh) * 2018-09-06 2019-03-08 南京聚铭网络科技有限公司 一种基于神经网络的网络恶意行为识别方法
CN109583574A (zh) * 2018-12-13 2019-04-05 东莞幻鸟新材料有限公司 一种高精度的网络入侵检测系统
CN110572413A (zh) * 2019-09-27 2019-12-13 湖南大学 一种基于Elman神经网络的低速率拒绝服务攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘羿: "《蝙蝠算法优化神经网络的网络入侵检测》", 《计算机仿真》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114070609A (zh) * 2021-11-15 2022-02-18 湖南大学 一种基于格拉姆角场的低速率拒绝服务攻击检测方法
CN115664804A (zh) * 2022-10-25 2023-01-31 湖南大学 一种基于径向基函数神经网络的LDoS攻击检测方法
CN115664804B (zh) * 2022-10-25 2024-04-19 湖南大学 一种基于径向基函数神经网络的LDoS攻击检测方法

Similar Documents

Publication Publication Date Title
CN113542280A (zh) 一种基于BA-BNN算法的LDoS攻击检测方法
CN110784481B (zh) SDN网络中基于神经网络的DDoS检测方法及系统
CN109639515A (zh) 基于隐马尔可夫和Q学习协作的DDoS攻击检测方法
CN109120630B (zh) 一种基于优化BP神经网络的SDN网络DDoS攻击检测方法
US20190027160A1 (en) Echo delay tracking method and apparatus
CN111600876B (zh) 一种基于mfopa算法的慢速拒绝服务攻击检测方法
Liu et al. The detection method of low-rate DoS attack based on multi-feature fusion
KR100615080B1 (ko) 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법
Xu et al. Defending DDoS attacks using hidden Markov models and cooperative reinforcement learning
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
CN110719272A (zh) 一种基于lr算法的慢速拒绝服务攻击检测方法
CN109257127A (zh) 一种基于自适应随机共振的通信信号检测方法
Zhang et al. An adaptive KPCA approach for detecting LDoS attack
CN113341383A (zh) 基于dqn算法的雷达抗干扰智能决策方法
CN112468230A (zh) 一种基于深度学习的无线紫外光散射信道估计方法
CN111600877A (zh) 一种基于MF-Ada算法的LDoS攻击检测方法
CN112434298A (zh) 一种基于自编码器集成的网络威胁检测系统
Tang et al. FR-RED: Fractal residual based real-time detection of the LDoS attack
CN116992986A (zh) 一种基于时间序列分解网络流量预测系统
CN110650157B (zh) 基于集成学习的Fast-flux域名检测方法
CN112714397A (zh) 一种基于测距优化和改进麻雀搜索算法的wsn节点定位方法
Slimane et al. A light boosting-based ml model for detecting deceptive jamming attacks on uavs
CN115664804B (zh) 一种基于径向基函数神经网络的LDoS攻击检测方法
CN114444075B (zh) 一种生成躲避流量数据的方法
CN109639654A (zh) 一种基于自适应过滤模型识别tcp异常流量的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination