[发明专利]一种基于智能蜂群算法的DDoS攻击检测方法有效
申请号: | 201711462728.6 | 申请日: | 2017-12-28 |
公开(公告)号: | CN108092989B | 公开(公告)日: | 2020-11-06 |
发明(设计)人: | 余学山;韩德志;王军;田秋亭;毕坤 | 申请(专利权)人: | 上海海事大学 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 上海信好专利代理事务所(普通合伙) 31249 | 代理人: | 朱成之;周乃鑫 |
地址: | 201306 上海市*** | 国省代码: | 上海;31 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 基于 智能 蜂群 算法 ddos 攻击 检测 方法 | ||
本发明公开了一种基于智能蜂群算法的DDoS攻击检测方法,包含以下过程:通过融合聚类和智能蜂群算法,有效提高DDoS攻击检测精度。智能蜂群算法和聚类算法的融合,消除了聚类算法过度依赖原始聚类中心的缺陷,改进了数据流聚类效果;统计改进后聚类的异常数据流IP地址并计算IP地址的流量特征熵H(x),若H(x)大于等于初步聚类数据流的判别因子RM(x),则判定该数据流是DDoS攻击数据流,否则判定该数据流是其他异常数据流。本发明具有耗时短,DDoS攻击检测准确率高、误报率低的优点。
技术领域
本发明涉及云安全领域,特别涉及一种基于智能蜂群算法的DDoS攻击检测方法。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是目前网络上最为常见也是最难以防御的一种网络攻击。2014年12月,爆发了运营商DNS网络DDoS攻击事件。从12月10日凌晨开始,网络监控到攻击流量突增的情况,到上午11点开始,攻击开始活跃,多地不断出现网页访问缓慢,甚至无法打开等故障现象。攻击者不仅在短暂的时间内发起了峰值大于6G bps的查询请求(全国范围内大于100G的攻击),而且连续的变换二级域名,造成各地方的DNS递归服务器延迟增大,核心解析业务受到严重影响。由于现在的DDoS攻击范围遍布全球,攻击源难以追踪和定位,这让DDoS攻击检测的难度大大增加。此外,分布式攻击无规律可寻,某些DDoS攻击发送的数据请求是合理的,也是使用常见的协议和服务,这给DDoS攻击的检测带来了严峻的考验。
目前研究提出一些的DDoS攻击检测模型如堆空间监测、流量特征分辨等,依然存在着很多缺陷,例如在检测时存在较大的遗漏率、漏检流量数据以及高误报率错误对正常数据警报。
如今的网络攻击者在不断地改进着DDoS攻击技术,但目前对DDoS攻击范围广、善于伪装和攻击源飘忽不定等DDoS的特性并没有非常合适的解决方案,例如传统聚类算法检测DDoS的方法在改进上的研究就不多见。
发明内容
本发明的目的在于提供一种基于智能蜂群算法的DDoS攻击检测方法,通过融合智能蜂群算法(DFSABC_elite)和聚类算法K-means改善了聚类的效果,再抓取数据流量包获取IP地址计算流量特征熵,根据初步聚类的流量计算广义似然比较判别因子设置DDoS检测判别阀值,实现提高DDoS检测的准确率,降低DDoS误报率的目的。
为了达到以上目的,本发明通过以下技术方案实现:
一种基于智能蜂群算法的DDoS攻击检测方法,包含以下过程:
步骤S1、融合聚类算法K-means和智能蜂群算法,利用智能蜂群算法对聚类算法K-means对原始聚类中心的依赖特性进行改进;
步骤S2、根据聚类结果将正常流量数据流和异常流量数据流分别聚类;
步骤S3、获取异常流量数据流IP地址,并计算异常流量数据流IP地址的特征熵H(x)和初步聚类流量的判别因子RM(x);
步骤S4、比较异常流量数据流IP地址的特征熵H(x)和初步聚类流量判别因子RM(x)的大小,若H(x)≥RM(x),则表明发生了DDoS攻击,反之,则表示未发生DDoS攻击,该异常流量数据流是其他异常数据流量;
步骤S5、根据比较结果,系统分别对DDoS攻击数据流和/或其他异常数据流发出预警信息。
优选地,所述智能蜂群算法是基于深度优先搜索框架的蜂群算法结合以下算式形成的:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海海事大学,未经上海海事大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711462728.6/2.html,转载请声明来源钻瓜专利网。