[发明专利]一种基于PSO-K算法的LDoS攻击检测方法

权利要求书

1.一种基于PSO-K算法的LDoS攻击检测方法，其特征在于，PSO-K表示粒子群优化和K均值聚类，PSO-K算法的处理过程包括：1)基于粒子群优化算法对K个聚类中心增加扰动；2)基于K均值聚类算法从K个聚类中心出发对需要聚类的数据进行聚类获得K个簇；3)对聚类后的簇进行分析，所述LDoS攻击检测方法包括以下几个步骤：

步骤1、采样数据：设置时间窗口，在窗口内以固定取样时间获取路由器上的TCP流量以及UDP流量，形成TCP样本原始值序列和UDP样本原始值序列；

步骤2、处理数据：在窗口内划分时间片，计算每个时间片的样本原始值序列方差，得到窗口内的TCP样本统计值序列和UDP样本统计值序列；

步骤3、聚类分析数据：基于PSO-K算法，对窗口内的两组样本统计值序列进行聚类分析，并计算各簇内所有点的平均值，得到各TCP簇和UDP簇的均值方差，所述PSO-K算法的具体处理步骤为：

步骤3.1、基于粒子群优化算法，分别对TCP样本统计值和UDP样本统计值的K个聚类中心增加扰动，增强其跳出局部最优解和寻找最优聚类的能力，所述粒子群优化算法的具体处理过程为：1)设置粒子群的粒子总个数为N，初始化每一个粒子i的速度v_i、位置x_i、个体极值pbests_i以及全局极值gbests_i，i∈{1,2,…,N}，设置粒子速度和位置迭代更新的总轮数为G_k；2)在每一轮更新迭代中，计算每一个粒子i的新v_i、x_i、pbests_i、gbests_i值，根据N个粒子各自的新位置x_i将所有粒子拆分为K个类，计算每一个类的中心获得共K个中心，即为当前迭代轮数下的K个聚类中心，计算当前迭代轮数下的K个类中所有粒子到其对应的中心的欧式距离之和；3)在G_k轮迭代完成之后，最小的欧式距离之和对应的迭代轮数下的K个聚类中心即为增加扰动后的聚类中心；

步骤3.2、基于K均值聚类算法，分别从TCP样本统计值和UDP样本统计值的K个聚类中心出发对该窗口内对应的样本统计值进行聚类分析，每一个聚类中心对应一个簇，一个簇中包含的元素对象为数个样本统计值，根据步骤3.1获得的增加扰动后的K个聚类中心，所述K均值聚类算法的具体处理过程为：1)针对步骤2获得的TCP样本统计值序列，分别计算每一个TCP样本统计值到这K个聚类中心的欧式距离，选择其中最短的欧式距离对应的聚类中心，将此TCP样本统计值划分到此聚类中心对应的簇中，将所有TCP样本统计值划分完成后形成共K个TCP簇，每一个TCP簇都由计算机生成一个聚类标签，第k个簇的聚类标签为k，k∈{1,2,…,N}；2)针对步骤2获得的UDP样本统计值序列，分别计算每一个UDP样本统计值到这K个聚类中心的欧式距离，选择其中最短的欧式距离对应的聚类中心，将此UDP样本统计值划分到此聚类中心对应的簇中，将所有UDP样本统计值划分完成后形成共K个UDP簇，每一个UDP簇都由计算机生成一个聚类标签，第k个簇的聚类标签为k，k∈{1,2,…,N}；

步骤3.3、对于聚类后每个TCP簇和UDP簇，计算簇内所有点的均值，得到各TCP簇和UDP簇的均值方差；

步骤4、判定检测：根据预先计算获得的TCP均值方差阈值以及UDP均值方差阈值，对该窗口内各簇的均值方差进行判定检测，若TCP簇和UDP簇的均值方差均大于其对应的阈值，且二者拥有相同的聚类标签，则判定该窗口内的网络中发生LDoS攻击。