[发明专利]基于改进人工蜂群算法的DDOS入侵检测方法及系统

说明书

本发明提供一种基于改进人工蜂群算法的DDOS入侵检测方法及系统，属于网络安全领域，本发明采用聚类算法对数据流进行分类，比较流量分布熵的特征，检测DDOS攻击数据流特征，实现对DDoS攻击数据流的有效检测。实验结果表明，该系统在算法耗时、分布式拒绝服务(DDoS)检测精度优于基于普通蜂群算法和基于K均值的分布式拒绝服务(DDoS)检测算法。

技术领域

本发明涉及网络安全、聚类分析、群体智能算法、地址单元解析领域，尤其涉及一种基于改进人工蜂群算法的DDOS入侵检测方法及系统。

背景技术

DDoS攻击(Distributed Denial of Service)是当前网络安全领域内最普遍及防御极难的网络攻击方式之一，在本世纪初，DNS网络大规模被多次大规模和超大规模的DDOS攻击。当今社会智能设备在全球范围内的不断增加，使得网络黑客在攻击时选用攻击源时更加具有范围广，使得DDOS攻击源更加难以检测等问题，无法找到明显的规律来查找数据请求与协议服务合理但是确是DDOS攻击数据的数据流的攻击，给网络入侵检测带来了新的难题。

SI(群体智能)技术已经成为任何当代IDS(入侵检测系统)的可靠选择。然而，仍有许多方面有待探索。首先，当代的方法似乎没有充分利用蜂群算法在检测部分(即主要分类过程)的潜力。大多数现有的基于蜂群算法的入侵检测系统都采用了某种规则提取技术，这种技术已经证明其潜力是有上限的。蜂群算法的低复杂度使其成为快速、鲁棒和自适应IDS的主要候选算法。将蜂群算法与其他机器学习技术相结合有望获得高准确率的入侵检测系统。另一方面，基于并行化K均值的入侵检测技术已被广泛研究，并与其他机器学习技术相结合，不断提供稳定的攻击检测(DR)率。不幸的是，随着多种技术的结合，预计计算需求将会增加。

发明内容

为了解决以上技术问题，本发明提供了一种基于改进人工蜂群算法的DDOS入侵检测方法，在大数据计算应用中，如何迅速地根据实时记录改变安全策略，并更快速地识别出异常攻击识别与分布的方法，以解决在大数据存储与计算中，由于异常流量数据访问带来的管理压力，以及网络入侵时，修改网络安全策略带来的问题,优化网络安全环境。

本发明的技术方案是：

基于改进人工蜂群算法的DDOS入侵检测方法，包括：

1)采集当前网络数据流量，提取源IP地址和目标IP地址的特征；

2)将采集到的网络流量基于K均值的ABC算法进行数据聚类，继续监控正常网络流量，并对异常的网络流量进行分布式拒绝服务攻击检测；

3)根据流量源IP地址和目的IP地址熵检测方法的特点，分离处理分布式拒绝服务攻击其他异常数据流和数据流；

4)对网络中流量数据中所有异常数据流处理完毕后发出警告。

进一步的，

通过聚类判断待检测数据流是否偏离正常数据流，从而判定数据流是否异常；

对于异常的数据流，再通过流量特征熵与广义似然比较相结合的方法识别其是否是DDoS攻击数据流。

根据DDoS攻击的特征，首先选取流量特征分布熵作为检测DDoS攻击数据流的特征，其流量特征即为报文的一个字段；一个时间段内的所有报文在其不同取值上呈现的一个分布，被称为流特征分布。

包括源IP地址、目的IP地址、源端口号、目的端口号4个特征分布，其在不同的网络中表现出了不同的分散和集中特性，用于划分网络异常；

刻画DDoS攻击的分布特性，即攻击报文从分散的源IP地址流向集中的目的 IP地址。

进一步的，

初始节点使用最大最小距离算法计算聚类初始节点，群体智能算法为启发式算法在迭代过程中引入全局影响因子与K均值算法交替进行迭代查找。