摘要：传统检测方法在处理高维、复杂的网络流量数据时存在准确率低、误报率高的问题,文章提出了一种基于卷积神经网络与粒子群算法相结合的DDoS攻击实时检测模型。该模型利用CNN强大的特征提取能力,自动学习网络流量数据中的深层攻击特征；在此基础上,引入粒子群算法对CNN的卷积核参数进行优化,以避免模型陷入局部最优,并加速收敛过程。同时,将PSO的全局搜索能力与梯度下降的局部精细寻优相结合,进一步提升了模型的泛化能力和检测精度。实验结果表明,与基线模型相比,该模型在准确率、召回率等关键指标上均有显著提升,验证了其在DDoS攻击实时检测场景下的有效性。

　　关键词：DDoS攻击检测；深度学习；卷积神经网络；粒子群；准确率

　　0引言

　　随着计算机网络技术的普及,分布式拒绝服务攻击（Distributed Denial of Service,DDoS）成为网络安全领域的主要威胁。该攻击通过操控大量“僵尸主机”向目标服务器发起海量请求,耗尽其系统资源,导致服务瘫痪[1]。DDoS检测核心挑战在于攻击流量善于利用通用协议（如TCP、UDP、HTTP）伪装成正常流量,使得传统依赖固定规则或签名的检测方法在准确率和泛化能力上捉襟见肘[2]。深度学习技术的发展为此带来了新的契机,其强大的自动特征学习能力为DDoS检测提供了新思路。鉴于此,本文构建基于CNN的DDoS攻击检测模型,实现高精度识别,采用粒子群算法优化卷积核以提升训练效率,并将PSO与传统梯度下降法融合,有效提升模型跳出局部最优、实现全局优化的能力。

　　1卷积神经网络

　　CNN是一种具有深度结构的前馈神经网络,主体架构包括卷积层、池化层、全连接层、输入层和输出层,其中卷积层与池化层是CNN的核心。在DDoS攻击检测中,CNN能够自动从网络流量数据中提取有效特征,提高检测的准确率。

　　1.1卷积层

　　卷积层作为CNN（卷积神经网络）的核心构件,承担着从输入数据中精准提取关键特征的重任。通过一个滑动窗口,即卷积核,在输入数据上按既定步长有序移动。输入数据通常表示为X∈RH×W×C的三维张量形式,其中H、W、C分别对应数据的高度、宽度以及通道数,在处理彩色图像时,C为3,代表红、绿、蓝三个颜色通道。卷积核是一个四维张量,其大小（即宽与高）决定了感受野的范围,而卷积核的数量决定了输出特征图的通道数。在卷积操作过程中,对于输出特征图中每一个位置(i,j)以及每一个通道f,都通过复杂的加权求和计算得出其值,具体公式如式（1）所示：

　　式中,Y(i,j,f)是卷积结果输出张量在(i,j,f)位置处的值；k表示卷积核空间维度；X(i+m-1,j+n-1,c)表示输入张量X在特定位置(i+m-1,j+n-1,c)处的元素值；K(m,n,c,f)表示卷积核K在位置(m,n,c,f)处的权重值；m和n对应卷积核的空间位置；c对应输入通道。通过该公式,卷积核在输入数据的对应区域上对每个通道的数据进行局部感知,并将各通道的感知结果加权综合。

　　1.2池化层

　　池化层通常串联于卷积层之后,其核心功能是对卷积层生成的特征图进行下采样,不仅可显著降低后续网络层所需处理的数据维度与计算量,还可提升整体训练效率。池化的本质是一种聚合操作,它将特征图上一个局部邻域内的多个值用一个单一的代表性数值来替代。在卷积神经网络中,最主流的池化策略包括平均池化与最大池化。平均池化通过计算邻域内所有特征值的算术平均来获得输出,能够保留该区域的总体特征概览。而最大池化则选取邻域内的最大值作为输出,其优势在于能够捕捉到该区域内最显著的特征响应,对特征的存在与否更为敏感。

　　2 PSO优化CNN检测模型

　　2.1粒子群优化

　　粒子群优化算法是一种模拟鸟群觅食行为的群体智能优化算法。该算法具有结构简洁、计算量较小、收敛速度较快以及全局寻优能力出色等优势,在函数优化、系统控制等复杂问题的优化领域得到了极为广泛的应用。

　　卷积核参数的设定对卷积神经网络的最终性能起着决定性作用。鉴于粒子群优化算法在全局搜索和收敛速度方面表现出色,相关人员将其用于优化CNN的卷积核。在PSO算法的迭代过程中,每个粒子都通过追踪自身历史最优位置与群体全局最优位置来动态调整其飞行速度与方向。这一速度与位置的更新机制构成了PSO算法实现参数寻优的核心。若以特定符号t代表粒子速度和位置,其速度更新公式如式（2）所示：

　　该算法流程的起始步骤是构建CNN（卷积神经网络）模型,将DDoS攻击相关数据输入到该模型中,并通过卷积池化层进行特征提取。经第一卷积核和池化操作逐步提炼信息,进行特征提取,再经过全连接层整合,最终由输出层得出分类结果。在此过程中,模型首先利用提取卷积神经网络提取特征,随后,将卷积核引入PSO优化环节。PSO通过初始化粒子群（包括个体和速度）,并计算适应度函数来评估个体优劣；接着通过选择、复制、交叉和变异操作进行代际更新。算法不断迭代,直至满足终止条件,输出最优检测结果。

　　2.3关键技术

　　2.3.1 PSO初始化卷积核

　　在分布式拒绝服务数据训练集中,PSO会进行若干次迭代的全局搜索。在每一次迭代中,PSO中的每个粒子都代表着CNN的一组卷积核权重参数。粒子在参数空间中不断移动,根据自身历史最优位置和群体历史最优位置更新自身速度和位置。经过多次迭代后,PSO找到全局最优粒子gbest的位置,作为CNN所有卷积核的初始权重。这一智能初始化方法为模型训练提供了一个高质量的初始解,使得模型在训练开始就处于一个相对有利的位置,更有可能收敛到性能更优的区域,同时还能有效缩短训练时间,提高训练效率。

　　2.3.2 PSO结合梯度下降

　　PSO算法虽然在全局搜索能力方面表现出色,但当接近最优解时,其精细搜索能力却不如基于梯度的方法。在最优解附近,PSO可能无法进行非常精确的搜索,导致模型精度提升受限。而梯度下降法虽然具有强大的局部寻优能力,能够沿着梯度方向快速找到局部最优解,但却极易陷入局部最优的困境,一旦遇到局部极小值点,就很难再跳出,从而影响模型找到全局最优解。因此,在PSO的每一次迭代中,评估粒子适应度的环节不再是简单的前向传播计算损失值,而是让每个粒子所代表的CNN模型在训练集上运行1到2个epoch的梯度下降。也就是说,在更新粒子位置时,其飞行方向不仅参考了粒子自身的历史最优位置和群体历史最优位置,还融合了当前损失函数的梯度信息。这一协同机制能够实现全局探索与局部开发的有效平衡,显著提升模型的收敛速度和最终精度。

　　3实验与分析

　　3.1实验条件

　　为验证文章提出的PSO-CNN模型在DDoS攻击检测中的有效性,相关人员在统一的实验环境下进行了充分的对比测试。实验采用公开的CIC-DDoS2019数据集作为基准,该数据集包括SSDP、DNS、LDAP等多种典型DDoS攻击场景下的真实网络流量。从原始流量中提取了流持续时间、协议类型、源/目的端口、总包数及总字节数等85个核心特征,构建了一个包含正常流量与攻击流量共计55万条记录的标准样本集,并按照8∶2的比例随机划分为训练集与测试集,以确保实验的统计可靠性。实验基于Ubuntu 18.04操作系统和PyTorch 1.8深度学习框架,硬件环境采用Intel Xeon E5 CPU与NVIDIA RTX 3080 GPU。选取了支持向量机（SVM,采用RBF核函数）、标准CNN（与本文模型结构相同,但采用常规He初始化与Adam优化器训练）以及长短期记忆网络（LSTM）作为对比模型。评估指标采用准确率、精确率、召回率与F1-Score,以多维度衡量模型的综合检测能力。

　　3.2结果分析

　　为全面、客观地评估该模型的性能,采用准确率、精确率、召回率和F1值（F1-Score）作为核心评价指标,在独立的测试集上对支持向量机（SVM）、长短期记忆网络（LSTM）、标准CNN以及本文提出的PSO-CNN模型进行严格对比测试,具体结果如表1所示。

　　由表1数据可知,文章提出的PSO-CNN模型在所有评估指标上均取得了最优性能,展现出显著的优越性。相较于作为基准的标准CNN模型,PSO-CNN模型检测的准确率提升5.1%,F1-Score提高5.9%,这一结果有力地证明了本文所设计的粒子群优化策略的有效性。通过PSO优化卷积核初始值并结合梯度下降的混合训练机制,模型能够跳出传统优化方法易陷入的局部最优解,在更广阔的参数空间中找到性能更优的解。这一机制显著增强了模型的分类性能与泛化能力,使其能够更精准地识别DDoS攻击流量,同时有效降低误报与漏报,为构建高可靠性的实时检测系统提供坚实的技术支撑。

　　4结语

　　本文针对分布式拒绝服务攻击检测的准确性与实时性挑战,提出了一种融合粒子群优化算法与卷积神经网络的PSO-CNN检测模型。该模型将PSO的全局寻优能力与CNN的深度特征提取能力相结合,并创新性地融合了梯度下降的局部精细搜索,实现了训练效率和检测精度双重提升。展望未来,相关人员将致力于增强模型的自适应能力,使其能够持续学习并识别未知攻击模式,从而在动态变化的网络威胁环境中保持长久的有效性。

参考文献

　　[1]葛浩伟,杨启航,石乐义.基于深度学习和集成学习的DDoS攻击检测方法[J].现代电子技术,2024,47(3):63-67.

　　[2]马立鑫,薛占双,刘海燕.DDoS攻击的发展与检测技术研究[J].现代计算机,2024,30(20):52-56+62.