[发明专利]一种基于智能蜂群算法的DDoS攻击检测方法

权利要求书

1.一种基于智能蜂群算法的DDoS攻击检测方法，其特征在于，包含以下过程：

步骤S1、融合聚类算法K-means和智能蜂群算法，利用智能蜂群算法对聚类算法K-means对原始聚类中心的依赖特性进行改进；

步骤S2、根据聚类结果将正常流量数据流和异常流量数据流分别聚类；

步骤S3、获取异常流量数据流IP地址，并计算异常流量数据流IP地址的特征熵H(x)和初步聚类流量的判别因子RM(x)；

所述初步聚类流量的判别因子计算公式为：

式中，网络流量数据的均值μ_z和协方差矩阵的最大似然估计值C_z的计算公式分别如下：

式中，m_i表示初步聚类流量的特征，q表示流量特征个数；

步骤S4、比较异常流量数据流IP地址的特征熵H(x)和初步聚类流量判别因子RM(x)的大小，若H(x)≥RM(x)，则表明发生了DDoS攻击，反之，则表示未发生DDoS攻击，该异常流量数据流是其他异常数据流量；

步骤S5、根据比较结果，系统分别对DDoS攻击数据流和/或其他异常数据流发出预警信息。

2.如权利要求1所述的基于智能蜂群算法的DDoS攻击检测方法，其特征在于，所述智能蜂群算法是基于深度优先搜索框架的蜂群算法结合以下算式形成的：

式中，是从精英解决方案中随机选择的，是从当前的所有解决方案中随机选择的，和是不同的，是当前最优的解决方案，φ_i,j和φ_e,j是[-1，1]中的两个随机实数，X_e是精英解，X_k随机选择的个体，X_best是全局最优解。

3.如权利要求2所述的基于智能蜂群算法的DDoS攻击检测方法，其特征在于，所述深度优先搜索框架的蜂群算法包含以下过程：

在所述蜂群算法中，人工蜂群分为引领蜂、跟随蜂和侦查蜂，假设在D维空间中,种群规模为2×N，引领蜂个数＝跟随蜂个数＝N,蜜源与引领蜂相对应，蜜源数目也为N，第i个蜜源的位置记X＝{X₁，X₂，X₃,…，X_N}；每个蜜源的位置代表优化问题的一个候选解,花蜜的数量反映解的质量；人工蜂群搜索最优蜜源的过程如下:

步骤S1.1、引领蜂对当前蜜源进行邻域搜索，产生新蜜源，根据贪婪原则选择较优蜜源；

步骤S1.2、跟随蜂根据引领蜂分享的信息选择一个蜜源,进行邻域搜索，根据贪婪原则选择较优蜜源；

步骤S1.3、引领蜂放弃蜜源，转变成侦查蜂,并随机搜索新的蜜源；搜索过程中，跟随蜂根据引领蜂分享的信息,以轮盘赌的方式根据以下算式选择一个蜜源

式中，p_i表示第i个解的适应度，fit是食物源适应度，f_i表示待解决问题的目标函数值；

引领蜂根据记忆里食物源的位置进行邻居搜索，当找到了更好的食物源时会评估其适应度，引领蜂根据以下算式进行搜索：

v_ij＝X_ij+R_ij(X_ij-X_hj)

式中，i∈{1,2,…,N},j∈{1,2,…m}，X_hj中的h是随机选取的，R_ij是[-1,1]之间的一个随机数，V_ij表示邻居食物源、X_ij表示当前食物源、X_hj表示随机选取的食物源，每个解经历数次迭代，如果没有改善则舍弃该解；如果某个解i经过数次迭代没有成功更新，按照以下算式进行初始化：

X_i＝X_min+rand(0,1)(X_max-X_min)

式中，X_max、X_min分别表示定义域的上边界和下边界。