一种基于BA-BNN算法的LDoS攻击检测方法与流程

一种基于ba
‑
bnn算法的ldos攻击检测方法
技术领域
1.本发明属于计算机网络安全领域，具体涉及一种基于ba
‑
bnn算法的ldos攻击检测方法。


背景技术：

2.拒绝服务(dos)攻击通过攻击网络协议实现的缺陷或直接以野蛮的手段来耗尽攻击目标的有限资源，以达到使受害网络或目标主机无法为合法用户提供正常服务的目的，dos攻击一直严重威胁着网络的安全。低速率拒绝服务(ldos)攻击是一种新型的dos攻击，这种攻击方式通过周期性地发送脉冲时长较短的高速率的流量来抢占tcp带宽以触发tcp的拥塞控制机制，从而达到攻击的目的，平均攻击速率更低，拥有与dos攻击相似的攻击效果，且具有更强的隐蔽性。
3.ldos攻击具有隐蔽性强的特点，这使其很难被传统的dos攻击检测方法检测到，现有的ldos攻击检测方法仍存在一些不足需要进一步完善，比如检测率有待进一步提高，误报率和漏报率有待进一步降低等。因此，研究和探索一种具有更高的检测率、更低的误报率和漏报率的ldos攻击检测方法是本发明的目标。
4.bp neural network结构简单，且具有高度的非线性和较强的自适应能力，因此被用于ldos攻击检测中，但基于bp神经网络算法的ldos攻击检测方法存在易于陷入局部最优、全局搜索能力差的缺陷，这会对检测率造成一定的影响，基于bp神经网络算法的ldos攻击检测方法有待改进。


技术实现要素：

5.本发明针对当前ldos攻击检测方法存在的检测率较低、误报率和漏报率较高的缺点，提出了一种基于ba
‑
bnn算法的ldos攻击检测方法。该方法采用蝙蝠算法对bp神经网络算法进行了重大改进，利用蝙蝠算法全局搜索能力强的特点使bp神经网络跳出局部最优，用蝙蝠算法搜索得到最优权值和阈值的方式代替bp神经网络算法通过误差的反向传播过程更新权值和阈值以得到最优值的方式，优化最优权值和阈值的搜索过程，得到更加精确的权值和阈值，具有很好的创新性。
6.本发明针对当前ldos攻击检测方法存在的检测率较低、误报率和漏报率较高的缺点，提出了一种基于蝙蝠算法和bp神经网络算法的ldos攻击检测方法。该方法采用蝙蝠算法优化的bp神经网络算法检测数据，将处理udp流量和tcp流量数据所得的特征值数据作为网络的输入，数据经过输入层、隐含层、输出层处理后得到对应的检测结果。该方法采用蝙蝠算法改进了bp神经网络算法易于陷入局部最优、全局搜索能力差的缺陷，使其跳出局部最优，提高其全局搜索能力；而且该检测方法对ldos攻击检测的正确率和检出率较高，且有着较低的误报率和漏报率。
7.本发明为实现上述目标所采用的技术方案为：在训练过程中，将蝙蝠种群中的每个蝙蝠个体映射为一个bp神经网络，将bp神经网络函数作为蝙蝠算法的目标函数，将蝙蝠
个体的位置向量的分量映射为bp神经网络中的权值和阈值，将bp神经网络搜索和优化权值和阈值的过程模拟成种群蝙蝠个体搜寻猎物和调整位置的过程，将bp神经网络输出的检测结果与期望输出的偏差作为蝙蝠最优位置的更新标准，在偏差更小时对最优位置进行更新操作。主要包括以下四个步骤：种群初始化、更新参数、调整最优位置、确定最优权值和阈值。
8.1.种群初始化。初始化蝙蝠种群，初始化蝙蝠种群的个体数m以及个体蝙蝠的位置向量x
i
(i＝1，2，3，......，m)、速度向量v
i
、脉冲音量a
i
、脉冲发射率r、音量的衰减系数α、最大脉冲发射率r0、发出的搜索脉冲频率范围[f
min
，f
max
]、搜索脉冲发射频度增强系数γ、迭代次数m等，其中位置向量和速度向量的维度与权值和阈值的总数相同。将蝙蝠位置向量x
i
各分量的值作为bp神经网络的权值和阈值的值，初始化种群的最优位置为x
*
，即当前bp神经网络的最优权值和阈值，计算得到bp神经网络对网络状态的预测偏差d
*
，d
*
为当前最小偏差。
[0009]
2.更新参数。根据以下公式更新每个蝙蝠个体发出的搜索脉冲频率、速度和位置，式中β属于[0，1]均匀分部的随机数；f
i
是蝙蝠i发出的搜索脉冲频率，f
i
属于[f
min
，f
max
]；v
it
、v
it
‑1分别表示蝙蝠i在t和t
‑
1时刻的速度；x
it
、x
it
‑1分别表示蝙蝠i在t和t
‑
1时刻的位置。f
i
＝f
min
(f
max
‑
f
min
)βv
it
＝v
it
‑1 (x
it
‑
x
*
)f
i
x
it
＝x
it
‑1 v
it
[0010]
3.调整最优位置。生成均匀分布随机数rand(rand∈[0，1])，如果rand＞r，则对当前最优位置进行随机扰动，产生一个新的位置x
′
，即新的权值和阈值，计算该权值和阈值下bp神经网络对网络状态的预测偏差d
′
。生成均匀分布随机数rand(rand∈[0，1])，如果rand＜a
i
且d
′
＜d
*
，则接受产生的新位置，并将最优位置更新为此位置，即更新当前的最优权值和阈值，并更新当前最小偏差为d
′
，根据以下公式对脉冲音量和脉冲发射率进行更新。a
it 1
＝αa
it
r
it 1
＝r0[1
‑
exp(
‑
yt)]
[0011]
4.确定最优权值和阈值。重复更新参数和调整最优位置的过程直至bp神经网络对网络状态的预测偏差满足要求或达到最大迭代次数，此时的最优位置向量值就是bp神经网络的最优权值和阈值。
[0012]
该ldos攻击检测方法包括以下四个步骤：采样数据、处理数据、检测数据、判定检测。
[0013]
1.采样数据。收集链路上的udp流量和tcp流量，并对其进行采样，得到多个单位时间的udp流量和tcp流量。
[0014]
2.处理数据。根据采样得到的udp流量和tcp流量数据，计算单位时间内udp流量和tcp流量的特征值，并对特征值数据进行归一化处理。通过归一化处理，能够将特征值控制在[0，1]之间，从而避免不同特征值之间的量纲影响。
[0015]
3.检测数据。采用蝙蝠算法优化的bp神经网络算法检测通过处理得到的udp流量和tcp流量的特征值数据，将特征值数据作为网络的输入，各组特征值数据经过输入层、隐含层、输出层处理后得到其对应的检测结果。
[0016]
4.判定检测。根据输出的检测结果对udp流量和tcp流量进行判定检测，判定相应时间内是否发生ldos攻击。有益效果
[0017]
该ldos攻击检测方法采用蝙蝠算法改进了bp神经网络算法易于陷入局部最优、全局搜索能力差的缺陷，使其跳出局部最优，提高其全局搜索能力；而且该检测方法对ldos攻击检测的正确率和检出率较高，且有着较低的误报率和漏报率。
附图说明
[0018]
图1为采样数据和处理数据的流程图。采样得到多个单位时间的udp流量和tcp流量，计算各单位时间内udp流量和tcp流量的特征值，并做进一步处理。
[0019]
图2为基于bat algorithm和bp neural network构建ldos攻击检测模型的流程图。用蝙蝠算法搜索得到最优权值和阈值的方式代替bp神经网络算法通过误差的反向传播过程更新权值和阈值以得到最优值的方式，优化最优权值和阈值的搜索过程，得到更加精确的权值和阈值，构建ldos攻击检测模型。
[0020]
图3为一种基于ba
‑
bnn算法的ldos攻击检测方法的流程图。
具体实施方式
[0021]
下面结合附图对本发明进一步说明。
[0022]
图2为基于bat algorithm和bp neural network构建ldos攻击检测模型的流程图。在初始化蝙蝠种群及最优位置后，计算bp神经网络算法的预测偏差并更新蝙蝠种群相关值，之后对当前最优位置进行随机扰动并计算bp神经网络算法的预测偏差，若算得的新的预测偏差小于历史预测偏差，更新最优位置为该预测偏差对应的位置，更新蝙蝠种群相关值，循环往复直至bp神经网络算法的预测偏差满足要求或达到最大迭代次数，得到最终的权值和阈值，构建ldos攻击检测模型。
[0023]
如图3所示，该检测方法主要包括以下四个步骤：采样数据、处理数据、检测数据和判定检测。
[0024]
图1为采样数据和处理数据的流程图。收集链路上的udp流量和tcp流量，并对其进行采样，得到多个单位时间的udp流量和tcp流量，计算各单位时间内udp流量和tcp流量的特征值，并对特征值数据进行归一化处理。