基于改进人工蜂群算法的DDOS入侵检测方法及系统

技术领域

本发明涉及网络安全、聚类分析、群体智能算法、地址单元解析领域，尤其涉及一种基于改进人工蜂群算法的DDOS入侵检测方法及系统。

背景技术

DDoS攻击(Distributed Denial of Service)是当前网络安全领域内最普遍及防御极难的网络攻击方式之一，在本世纪初，DNS网络大规模被多次大规模和超大规模的DDOS攻击。当今社会智能设备在全球范围内的不断增加，使得网络黑客在攻击时选用攻击源时更加具有范围广，使得DDOS攻击源更加难以检测等问题，无法找到明显的规律来查找数据请求与协议服务合理但是确是DDOS攻击数据的数据流的攻击，给网络入侵检测带来了新的难题。

SI(群体智能)技术已经成为任何当代IDS(入侵检测系统)的可靠选择。然而，仍有许多方面有待探索。首先，当代的方法似乎没有充分利用蜂群算法在检测部分(即主要分类过程)的潜力。大多数现有的基于蜂群算法的入侵检测系统都采用了某种规则提取技术，这种技术已经证明其潜力是有上限的。蜂群算法的低复杂度使其成为快速、鲁棒和自适应IDS的主要候选算法。将蜂群算法与其他机器学习技术相结合有望获得高准确率的入侵检测系统。另一方面，基于并行化K均值的入侵检测技术已被广泛研究，并与其他机器学习技术相结合，不断提供稳定的攻击检测(DR)率。不幸的是，随着多种技术的结合，预计计算需求将会增加。

发明内容

为了解决以上技术问题，本发明提供了一种基于改进人工蜂群算法的DDOS入侵检测方法，在大数据计算应用中，如何迅速地根据实时记录改变安全策略，并更快速地识别出异常攻击识别与分布的方法，以解决在大数据存储与计算中，由于异常流量数据访问带来的管理压力，以及网络入侵时，修改网络安全策略带来的问题,优化网络安全环境。

本发明的技术方案是：

基于改进人工蜂群算法的DDOS入侵检测方法，包括：

1)采集当前网络数据流量，提取源IP地址和目标IP地址的特征；

2)将采集到的网络流量基于K均值的ABC算法进行数据聚类，继续监控正常网络流量，并对异常的网络流量进行分布式拒绝服务攻击检测；

3)根据流量源IP地址和目的IP地址熵检测方法的特点，分离处理分布式拒绝服务攻击其他异常数据流和数据流；

4)对网络中流量数据中所有异常数据流处理完毕后发出警告。

进一步的，

通过聚类判断待检测数据流是否偏离正常数据流，从而判定数据流是否异常；

对于异常的数据流，再通过流量特征熵与广义似然比较相结合的方法识别其是否是DDoS攻击数据流。

根据DDoS攻击的特征，首先选取流量特征分布熵作为检测DDoS攻击数据流的特征，其流量特征即为报文的一个字段；一个时间段内的所有报文在其不同取值上呈现的一个分布，被称为流特征分布。

包括源IP地址、目的IP地址、源端口号、目的端口号4个特征分布，其在不同的网络中表现出了不同的分散和集中特性，用于划分网络异常；

刻画DDoS攻击的分布特性，即攻击报文从分散的源IP地址流向集中的目的 IP地址。

进一步的，

初始节点使用最大最小距离算法计算聚类初始节点，群体智能算法为启发式算法在迭代过程中引入全局影响因子与K均值算法交替进行迭代查找。

在IABC-KMC中，集群中心被定义为食物来源，两个指标(紧密度指数和分离指数)被定义为食物的来源和来源；同时，具有高适应性的集群中心被定义为高质量；对于食物来源，基于CH index作为聚类评价指标的分离程度的紧密度和聚类评价指标。

步骤如下：

1)初始化数据集和相关参数，设定参数N、聚类数K、控制参数limit以及最大迭代次数MCN；初始时刻，蜂群个体以侦察蜂的身份搜索；个体搜索方式依赖系统先验知识决定或依靠随机性；侦察蜂开始按式(1)寻找食物源:

2)根据样本数据集和聚类数k来确定食物源向量维数L

3)为食物源分配一个引领蜂并根据贪婪原则选择食物源进行搜索并产生一个新食物源，根据食物源适应度，选择各个食物源的概率。跟随蜂再次进行邻域搜索，若发现适应度更高食物源，则替换原引领蜂的旧食物源并转变成引领蜂；引领蜂根据式(3)进行搜索：

v

4)若连续limit次迭代后，引领蜂的适应度未得到进化，则对应的引领蜂转变成侦查蜂，根据式子(4)更新食物源。对表示聚类中心的食物源进行一次并行化 K-means迭代，按最近邻原则聚类划分，再重新计算每一个聚类的聚类中心，并根据贪婪原则更新蜂群；

X

其中，X

记录当前找到的最优食物源，若当前的迭代次数小于MCN，继续按照式(3)进行下一次迭代；否则输出最优解作为聚类结果。

此外，本发明还提供了一种基于改进人工蜂群算法的DDOS入侵检测系统，包括：

1)数据采集模块，数据收集网络流量和提取IP地址；

2)基于IABC-KMC聚类模块，收集到的集群数据流量是根据IABC-KMC聚类原则区分正常流量和异常流量；

3)基于IP地址熵计算模块的特点，对于集群网络中检测到的异常流量，利用分布式拒绝服务攻击的流量源IP地址和目的IP地址的特征，采用熵方法检测是否存在分布式拒绝服务攻击；

4)其他数据异常流量处理模块，对其他非分布式拒绝服务的异常流量进行处理；

5)分布式拒绝服务异常处理模块，分布式拒绝服务异常的相应处理；

6)决策预警模块，对各种异常数据流量报警。

本发明的有益效果是

通过MATLABR2021a对ABC算法进行仿真实验与改进的IABC-KMC的聚类准确率相对比。将实验获得的数据结果与原始ABC算法、KMC算法聚类的准确率进行比较，将实验结果处理后得到表数据。由数据可判断出K均值聚类算法的标准差相对较大，在迭代过程中易陷入局部最优解，全局搜索能力较弱，逐渐趋于算法最优值所需程序运行时间与迭代次数与其他算法相比耗时长，主要是因为K均值算法对初始聚类点的选择敏感。陷入局部极值的可能性比其他算法略大。

IABC-KMC算法具有强大的全局搜索能力，使得IABC-KMC算法可以跳出局部极值，获得更高质量的解决方案，需要更少的迭代次数与运行时间，显著提高收敛速度和聚类精度，以及整个迭代过程。标准偏差最小。由实验结果可得，在测试函数上实现的IABC-KMC算法，其效率和准确度均高于原始ABC算法，极大地改善了算法容易陷入局部极值、迭代后期收敛速度慢的问题。并增强了算法的稳健性和整体性能。基于K均值的IABC-KMC算法利用启发式算法与聚类算法的优点迭代运算增强了整个聚类过程的稳定性。算法在不同特点的数据集测试结果显示具有自适应性与鲁棒性。保持了高检测率，同时保持尽可能低的误报率。

附图说明

图1是本发明的工作流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明通过聚类判断待检测数据流是否偏离正常数据流，从而判定数据流是否异常；对于异常的数据流，再通过流量特征熵与广义似然比较相结合的方法识别其是否是DDoS攻击数据流。根据DDoS攻击的特征，首先选取流量特征分布熵作为检测DDoS攻击数据流的特征，其流量特征即为报文的某个字段。一个时间段内的所有报文在其不同取值上呈现的一个分布，被称为流特征分布。源IP地址、目的IP地址、源端口号、目的端口号4个特征分布，其在不同的网络中表现出了不同的分散和集中特性，可以用于划分网络异常。能充分刻画DDoS攻击的分布特性，即攻击报文从分散的源IP地址流向集中的目的IP地址，

初始节点使用最大最小距离算法计算聚类初始节点，降低收敛于随机解的趋势，群体智能算法为启发式算法在迭代过程中引入全局影响因子与K均值算法交替进行迭代查找，提高了原始ABC与K均值算法的运行效率，极大的减缓了收敛于次优解的趋势。

在IABC-KMC中，集群中心被定义为食物来源，两个指标(紧密度指数和分离指数)被定义为食物的来源和来源；同时，具有高适应性的集群中心被定义为高质量。对于食物来源，本文基于CH index作为聚类评价指标的分离程度的紧密度和聚类评价指标。

详细的方法：

(1)初始化数据集和相关参数，设定参数N、聚类数K、控制参数limit以及最大迭代次数MCN。初始时刻，蜂群个体以侦察蜂的身份搜索。个体搜索方式依赖系统先验知识决定，也可以依靠随机性。侦察蜂开始按式(1)寻找食物源:

(2)根据样本数据集和聚类数k来确定食物源向量维数L

(3)为食物源分配一个引领蜂并根据贪婪原则选择食物源进行搜索并产生一个新食物源，根据食物源适应度，选择各个食物源的概率。跟随蜂再次进行邻域搜索，若发现适应度更高食物源，则替换原引领蜂的旧食物源并转变成引领蜂。引领蜂根据式(3)进行搜索：

v

(4)若连续limit次迭代后，引领蜂的适应度未得到进化，则对应的引领蜂转变成侦查蜂，根据式子(4)更新食物源。对表示聚类中心的食物源进行一次并行化K-means迭代，按最近邻原则聚类划分，再重新计算每一个聚类的聚类中心，并根据贪婪原则更新蜂群。

X

其中，X

记录当前找到的最优食物源，若当前的迭代次数小于MCN，继续按照式(3)进行下一次迭代；否则输出最优解作为聚类结果。

本发明采用ABC算法和KMC相结合的分布式检测网络数据流，并利用分布式拒绝服务攻击流量源IP和目的IP数据分布的特点，可以有效地检测和及时处理网络分布式拒绝服务攻击数据流。

以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。