本發明公開了一種基于智能蜂群算法的DDoS攻擊檢測方法，包含以下過程：通過融合聚類和智能蜂群算法，有效提高DDoS攻擊檢測精度。智能蜂群算法和聚類算法的融合，消除了聚類算法過度依賴原始聚類中心的缺陷，改進了數據流聚類效果；統計改進后聚類的異常數據流IP地址并計算IP地址的流量特征熵H(x)，若H(x)大于等于初步聚類數據流的判別因子RM(x)，則判定該數據流是DDoS攻擊數據流，否則判定該數據流是其他異常數據流。本發明具有耗時短，DDoS攻擊檢測準確率高、誤報率低的優點。

技術領域

本發明涉及云安全領域，特別涉及一種基于智能蜂群算法的DDoS攻擊檢測方法。

背景技術

分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)是目前網絡上最為常見也是最難以防御的一種網絡攻擊。2014年12月，爆發了運營商DNS網絡DDoS攻擊事件。從12月10日凌晨開始，網絡監控到攻擊流量突增的情況，到上午11點開始，攻擊開始活躍，多地不斷出現網頁訪問緩慢，甚至無法打開等故障現象。攻擊者不僅在短暫的時間內發起了峰值大于6G bps的查詢請求(全國范圍內大于100G的攻擊)，而且連續的變換二級域名，造成各地方的DNS遞歸服務器延遲增大，核心解析業務受到嚴重影響。由于現在的DDoS攻擊范圍遍布全球，攻擊源難以追蹤和定位，這讓DDoS攻擊檢測的難度大大增加。此外，分布式攻擊無規律可尋，某些DDoS攻擊發送的數據請求是合理的，也是使用常見的協議和服務，這給DDoS攻擊的檢測帶來了嚴峻的考驗。

目前研究提出一些的DDoS攻擊檢測模型如堆空間監測、流量特征分辨等，依然存在著很多缺陷，例如在檢測時存在較大的遺漏率、漏檢流量數據以及高誤報率錯誤對正常數據警報。

如今的網絡攻擊者在不斷地改進著DDoS攻擊技術，但目前對DDoS攻擊范圍廣、善于偽裝和攻擊源飄忽不定等DDoS的特性并沒有非常合適的解決方案，例如傳統聚類算法檢測DDoS的方法在改進上的研究就不多見。

發明內容

本發明的目的在于提供一種基于智能蜂群算法的DDoS攻擊檢測方法，通過融合智能蜂群算法(DFSABC_elite)和聚類算法K-means改善了聚類的效果，再抓取數據流量包獲取IP地址計算流量特征熵，根據初步聚類的流量計算廣義似然比較判別因子設置DDoS檢測判別閥值，實現提高DDoS檢測的準確率，降低DDoS誤報率的目的。

為了達到以上目的，本發明通過以下技術方案實現：

一種基于智能蜂群算法的DDoS攻擊檢測方法，包含以下過程：

步驟S1、融合聚類算法K-means和智能蜂群算法，利用智能蜂群算法對聚類算法K-means對原始聚類中心的依賴特性進行改進；

步驟S2、根據聚類結果將正常流量數據流和異常流量數據流分別聚類；

步驟S3、獲取異常流量數據流IP地址，并計算異常流量數據流IP地址的特征熵H(x)和初步聚類流量的判別因子RM(x)；

步驟S4、比較異常流量數據流IP地址的特征熵H(x)和初步聚類流量判別因子RM(x)的大小，若H(x)≥RM(x)，則表明發生了DDoS攻擊，反之，則表示未發生DDoS攻擊，該異常流量數據流是其他異常數據流量；

步驟S5、根據比較結果，系統分別對DDoS攻擊數據流和/或其他異常數據流發出預警信息。

優選地，所述智能蜂群算法是基于深度優先搜索框架的蜂群算法結合以下算式形成的：