[发明专利]基于改进人工蜂群算法的DDOS入侵检测方法及系统

权利要求书

1.基于改进人工蜂群算法的DDOS入侵检测方法，其特征在于，

包括：

1)采集当前网络数据流量，提取源IP地址和目标IP地址的特征；

2)将采集到的网络流量基于K均值的ABC算法进行数据聚类，继续监控正常网络流量，并对异常的网络流量进行分布式拒绝服务攻击检测；

3)根据流量源IP地址和目的IP地址熵检测方法的特点，分离处理分布式拒绝服务攻击其他异常数据流和数据流；

4)对网络中流量数据中所有异常数据流处理完毕后发出警告。

2.根据权利要求1所述的方法，其特征在于，

通过聚类判断待检测数据流是否偏离正常数据流，从而判定数据流是否异常；

对于异常的数据流，再通过流量特征熵与广义似然比较相结合的方法识别其是否是DDoS攻击数据流。

3.根据权利要求2所述的方法，其特征在于，

根据DDoS攻击的特征，首先选取流量特征分布熵作为检测DDoS攻击数据流的特征，其流量特征即为报文的一个字段；一个时间段内的所有报文在其不同取值上呈现的一个分布，被称为流特征分布。

4.根据权利要求3所述的方法，其特征在于，

包括源IP地址、目的IP地址、源端口号、目的端口号4个特征分布，其在不同的网络中表现出了不同的分散和集中特性，用于划分网络异常；

刻画DDoS攻击的分布特性，即攻击报文从分散的源IP地址流向集中的目的IP地址。

5.根据权利要求4所述的方法，其特征在于，

初始节点使用最大最小距离算法计算聚类初始节点，群体智能算法为启发式算法在迭代过程中引入全局影响因子与K均值算法交替进行迭代查找；

在IABC-KMC中，集群中心被定义为食物来源，两个指标(紧密度指数和分离指数)被定义为食物的来源和来源；同时，具有高适应性的集群中心被定义为高质量；对于食物来源，基于CH index作为聚类评价指标的分离程度的紧密度和聚类评价指标。

6.根据权利要求所述5的方法，其特征在于，

步骤如下：

1)初始化数据集和相关参数，设定参数N、聚类数K、控制参数limit以及最大迭代次数MCN；初始时刻，蜂群个体以侦察蜂的身份搜索；个体搜索方式依赖系统先验知识决定或依靠随机性；侦察蜂开始按式(1)寻找食物源:

2)根据样本数据集和聚类数k来确定食物源向量维数L_i＝k*d，初始化蜂群产生N个食物源计算食物源适应度的值；其中d为样本维数；根据(2)计算食物源适应度的值；

3)为食物源分配一个引领蜂并根据贪婪原则选择食物源进行搜索并产生一个新食物源，根据食物源适应度，选择各个食物源的概率。跟随蜂再次进行邻域搜索，若发现适应度更高食物源，则替换原引领蜂的旧食物源并转变成引领蜂；引领蜂根据式(3)进行搜索：

v_ij＝X_ij+R_ij(X_ij-X_hj) (3)

4)若连续limit次迭代后，引领蜂的适应度未得到进化，则对应的引领蜂转变成侦查蜂，根据式子(4)更新食物源。对表示聚类中心的食物源进行一次并行化K-means迭代，按最近邻原则聚类划分，再重新计算每一个聚类的聚类中心，并根据贪婪原则更新蜂群；

X_i＝X_min+rand(0，1)(X_max-X_min) (4)

其中，X_max和X_min分别表示定义域的上边界和下边界；

记录当前找到的最优食物源，若当前的迭代次数小于MCN，继续按照式(3)进行下一次迭代；否则输出最优解作为聚类结果。