رقم المقالة : 1401110640928 زيارة : 1379 الصفحة: 1 - 11

نوع المخطوط: المحکّمة

روش ترکیبی جدیدی مبتنی بر الگوریتم¬های هوشمند جهت تشخیص نفوذ در SDN-IoT

الموضوعات :

ذکریا رئیسی ¹ , فضل‌الله ادیب‌نیا ² , مهدی یزدیان دهکردی ³

1 - دانشکده مهندسی کامپیوتر، دانشگاه یزد، ایران
2 - دانشکده مهندسی کامپیوتر، دانشگاه یزد، ایران
3 - دانشکده مهندسی کامپیوتر، دانشگاه یزد، ایران

تاريخ الإرسال : 04 الخميس , رجب, 1444 تاريخ التأكيد : 11 السبت , شوال, 1445 تاريخ الإصدار : 01 الأحد , محرم, 1446

الکلمات المفتاحية: شبکه‌های نرم‌افزارمحور, الگوریتم‌های هوشمند, اینترنت اشیا, تشخیص نفوذ, یادگیری ماشین,

ملخص المقالة :

در سال‌های اخیر، کاربرد اینترنت اشیا در جوامع به‌طور گسترده‌ای رشد یافته و از طرفی، فناوري جدیدي به نام شبکه‌هاي نرم‌افزارمحور جهت حل چالش‌هاي اینترنت اشیا پیشنهاد شده است. چالش‌های موجود در این شبکه‌های نرم‌افزارمحور و اینترنت اشیا موجب گردیده که امنیت SDN-IoT به یکی از نگرانی‌های مهم این شبکه‌ها تبدیل شود. از طرف دیگر، الگوریتم‌هاي هوشمند فرصتی بوده که به‌کارگیری آنها در موارد متعددی از جمله امنیت و تشخیص نفوذ، موجب پیشرفت چشم‌گیري شده است. البته سیستم‌های تشخیص نفوذ جهت محیط SDN-IoT، همچنان با چالش نرخ هشدار غلط بالا مواجه هستند. در این مقاله یک روش ترکیبی جدید مبتنی بر الگوریتم‌های هوشمند پیشنهاد ‌شده که جهت دسترسی به نتایج خوبی در زمینه تشخیص نفوذ، الگوریتم‌های نظارتی دروازه بازگشتی مکرر و طبقه‌بند غیرنظارتی -k میانگین را ادغام می‌کند. نتایج شبیه‌سازی نشان می‌دهند که روش پیشنهادی با بهره‌گیری مزایای هر کدام از الگوریتم‌های ادغام‌شده و پوشش معایب یکدیگر، نسبت به روش‌هاي دیگر مانند روش Hamza داراي دقت بیشتری و بالاخص نرخ هشدار غلط کمتري است. همچنین روش پیشنهادی توانسته نرخ هشدار غلط را به 1/1% کاهش داده و دقت را در حدود 99% حفظ کند.

المصادر:

[1] J. Gubbi, R. Buyya, S. Marusic, and M. Palaniswami, "Internet of Things (IoT): a vision, architectural elements and future directions," Future Generation Computer Systems, vol. 29, no. 7, pp. 1645-1660, Sep. 2013.
[2] R. Kushwah, P. K. Batra, and A. Jain, "Internet of things architectural elements, challenges and future directions," in Proc. 6th Int. Conf. on Signal Processing and Communication, ICSC'20, 5 pp., Noida, India, 5-7 Mar. 2020.
[3] A. Koohang, C. S. Sargent, J. H. Nord, and J. Paliszkiewicz, "Internet of Things (IoT): from awareness to continued use," International J. of Information Management, vol. 62, Article ID: 102442-, Feb. 2020.
[4] U. Farooq, N. Tariq, M. Asim, T. Baker, and A. Al-Shamma'a, "Machine learning and the internet of things security: solutions and open challenges," J. of Parallel and Distributed Computing, vol. 162, pp. 89-104, Apr. 2022.
[5] P. Mishra, A. Biswal, S. Garg, R. Lu, M. Tiwary, and D. Puthal, "Software defined internet of things security: properties, state of the art, and future research," IEEE Wireless Communications, vol. 27, no. 3, pp. 10-16, Jun. 2020.
[6] A. E. Omolara, et al., "The internet of things security: a survey encompassing unexplored areas and new insights," Computers & Security, vol. 112, Article ID: 102494, Jan. 2022.
[7] X. Guo, H. Lin, Z. Li, and M. Peng, "Deep-reinforcement-learning-based QoS-aware secure routing for SDN-IoT," IEEE Internet of Things J., vol. 7, no. 7, pp. 6242-6251, Dec. 2019.
[8] P. K. Sharma, J. H. Park, Y. S. Jeong, and J. H. Park, "SHSec: SDN based secure smart home network architecture for internet of things," Mobile Networks and Applications, vol. 24, pp. 913-924 2018.
[9] S. Rathore, B. W. Kwon, and J. H. Park, "BlockSecIoTNet: blockchain-based decentralized security architecture for IoT network," J. of Network and Computer Applications, vol. 143, pp. 167-177, Oct. 2019.
[10] H. Honar Pajooh, M. Rashid, F. Alam, and S. Demidenko, "Multi-layer blockchain-based security architecture for internet of things," Sensors, vol. 21, no. 3, Article ID: 772, 2021.
[11] A. Dawoud, S. Shahristani, and C. Raun, "Deep learning and software-defined networks: towards secure IoT architecture," Internet of Things, vol. 3-4, pp. 82-89, Oct. 2018.
[12] N. McKeown, et al., "OpenFlow: enabling innovation in campus networks," ACM Sigcomm Computer Communication Review, vol. 38, no. 2, pp. 69-74, Apr. 2008.
[13] M. Babiker Mohamed, et al., "A comprehensive survey on secure software‐defined network for the Internet of Things," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 1, Article ID: e4391, Jan. 2022.
[14] D. Sovilj, P. Budnarain, S. Sanner, G. Salmon, and M. Rao, "A comparative evaluation of unsupervised deep architectures for intrusion detection in sequential data streams," Expert Systems with Applications, vol. 159, Article ID: 113577, Nov. 2020.
[15] C. W. Chang, C. Y. Chang, and Y. Y. Lin, "A hybrid CNN and LSTM-based deep learning model for abnormal behavior detection," Multimedia Tools and Applications, vol. 81, no. 2, pp. 1-19, Apr. 2022.
[16] K. Smagulova and A. P. James, "A survey on LSTM memristive neural network architectures and applications," the European Physical J. Special Topics, vol. 228, no. 10, pp. 2313-2324, Oct. 2019.
[17] N. Alqudah, M. Y. Qussai, "Machine learning for traffic analysis: a review," Procedia Computer Science, vol. 170, pp. 911-916, 2020.
[18] S. K. Tayyaba, M. A. Shah, O. A. Khan, and A. W. Ahmed, "Software defined network (SDN) based internet of things (IoT) a road ahead," in Proc. of the International Conf. on Future Networks and Distributed Systems, Article ID: 15, 8 pp., Cambridge, UK, 19-20, Jul. 2017.
[19] R. Bhatia, S. Benno, J. Esteban, T. V. Lakshman, and J. Grogan, "Unsupervised machine learning for network-centric anomaly detection in IoT," in Proc. of the 3rd ACM Context Workshop on Big Data, Machine Learning and Artificial Intelligence for Data Communication Networks, pp. 42-48, Orlando, FL, USA, 9-9 Dec .2019.
[20] D. Arellanes and K. K. Lau, "Evaluating IoT service composition mechanisms for the scalability of IoT systems," Future Generation Computer Systems, vol. 108, pp. 827-848, Mar. 2020.
[21] S. Bera, S. Misra, and A. V. Vasilakos, "Software-defined networking for internet of things: a survey," IEEE Internet of Things J., vol. 4, no. 6, pp. 1994-2008, Aug. 2017.
[22] M. Singh and G. Baranwal, "Quality of Service (QoS) in internet of things," in Proc. 3rd Int. Conf. on Internet of Things: Smart Innovation and Usages, IoT-SIU'18, 6 pp., Bhimtal, India, 23-24 Feb. 2018.
[23] T. A. Nguyen, D. Min, and E. Choi, "A hierarchical modeling and analysis framework for availability and security quantification of IoT infrastructures," Electronics, vol. 9, no. 1, Article ID: 155, Jan. 2020.
[24] R. Swami, M. Dave, and V. Ranga, "Voting‐based intrusion detection framework for securing software‐defined networks," Concurrency and Computation: Practice and Experience, vol. 32, no. 24, Article ID: e5927, 25 Dec. 2020.
[25] I. Rabet, et al., "SDMob: SDN-based mobility management for IoT networks," J. of Sensor and Actuator Networks, vol. 11, no. 1, Article ID: 8, 2022.
[26] B. Alzahrani and N. Fotiou, "Enhancing internet of things security using software-defined networking," J. of Systems Architecture, vol. 110, Article ID: pp. 101779, Nov. 2020.
[27] A. Hamza, H. H. Gharakheili, and V. Sivaraman, "Combining MUD policies with SDN for IoT intrusion detection," in Proc. of the Workshop on IoT Security and Privacy, 7 pp., Budapest, Hungary, 20-20, Aug. 2018.
[28] G. Shravanya, N. H. Swati, R. P. Rustagi, and O. Sharma, "Securing distributed SDN controller network from induced DoS attacks," in Proc., IEEE International Conf. on Cloud Computing in Emerging Markets, CCEM'19, pp. 9-16, Bengaluru, India, 19-20 Sept. 2019.
[29] A. Hamza, H. H. Gharakheili, T. A. Benson, and V. Sivaraman, "Detecting volumetric attacks on lot devices via SDN-based monitoring of mud activity," in Proc. of the ACM Symp. on SDN Research, pp. 36-48, San Jose, CA, USA, 3-4 Apr. 2019.
[30] C. Xu, H. Lin, Y. Wu, X. Guo, and W. Lin, "An SDN FV-based DDoS defense technology for smart cities," IEEE Access, vol. 7, pp. 137856-137874, 2019.
[31] O. Salman, I. H. Elhajj, A. Chehab, and A. Kayssi, "A machine learning based framework for IoT device identification and abnormal traffic detection," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 3, Article ID: e3743, Mar. 2022.
[32] F. A. F. Silveira, F. Lima-Filho, F. S. D. Silva, A. D. M. B. Junior, and L. F. Silveira, "Smart detection-IoT: a DDoS sensor system for Internet of Things," in Proc. Int. Conf. on Systems, Signals, and Image Processing, IWSSIP'20, pp. 343-348, Niteroi, Brazil, 1-3 Jul. 2020.
[33] A. Wani and S. Revathi, "DDoS detection and alleviation in IoT using SDN (SDN IoT-DDoS-DA)," J. of the Institution of Engineers (India): Series B, vol. 101, no. 3, pp. 117-128, Apr. 2020.
[34] M. P. Novaes, L. F. Carvalho, J. Lloret, and M. L. Proenca, "Long short-term memory and fuzzy logic for anomaly detection and mitigation in software-defined network environment," IEEE Access, vol. 8, pp. 83765-83781, 2020.
[35] Y. Meidan, et al., "A novel approach for detecting vulnerable IoT devices connected behind a home NAT," Computers & Security, vol. 97, Article ID: 101968, Oct. 2020.
[36] S. H. Khan, A. R. Arko, and A. Chakrabarty, "Anomaly detection in IoT using machine learning," In: S. Misra, A. K. Tyagi, V. Piuri, and L. Garg (Eds.), Artificial Intelligence for Cloud and Edge Computing Springer, Chap, pp. 237-254, 2022.
[37] M. Abdullahi, et al., "Detecting cybersecurity attacks in internet of things using artificial intelligence methods: a systematic literature review," Electronics, vol. 11, no. 2, Article ID: e3743198, 2022.
[38] M. V. Assis, L. F. Carvalho, J. Lloret, and M. L. Proença Jr, "A GRU deep learning system against attacks in software defined networks," J. of Network and Computer Applications, vol. 177, Article ID: 102942, 2021.
[39] A. S. Alshra'a, A. Farhat, and J. Seitz, "Deep learning algorithms for detecting denial of service attacks in software-defined networks," Procedia Computer Science, vol. 191pp. 254-263, 2021.
[40] A. Likas, N. Vlassis, and J. J. Verbeek, "The global k-means clustering algorithm," Pattern Recognition, vol. 36, no. 2, pp. 451-461, Feb. 2003.
[41] J. Zhang, Y. Ling, X. Fu, X. Yang, G. Xiong, and R. Zhang, "Model of the intrusion detection system based on the integration of spatial-temporal features," Computers & Security, vol. 89, Article ID: 101681, Feb. 2020.

نص كامل:

معرفي يک روش جديد خوشه‌يابي خودکار

مقاله پژوهشی

روش ترکیبی جدیدی مبتنی بر الگوریتم‌های هوشمند
جهت تشخیص نفوذ در SDN-IoT

ذکریا رئیسی، فضل‌الله ادیب‌نیا و مهدی یزدیان دهکردی

چکیده: در سال‌های اخیر، کاربرد اینترنت اشیا در جوامع به‌طور گسترده‌ای رشد یافته و از طرفی، فناوري جدیدي به نام شبکه‌هاي نرم‌افزارمحور جهت حل چالش‌هاي اینترنت اشیا پیشنهاد شده است. چالش‌های موجود در این شبکه‌های نرم‌افزارمحور و اینترنت اشیا موجب گردیده که امنیت SDN-IoT به یکی از نگرانی‌های مهم این شبکه‌ها تبدیل شود. از طرف دیگر، الگوریتم‌هاي هوشمند فرصتی بوده که به‌کارگیری آنها در موارد متعددی از جمله امنیت و تشخیص نفوذ، موجب پیشرفت چشم‌گیري شده است. البته سیستم‌های تشخیص نفوذ جهت محیط SDN-IoT، همچنان با چالش نرخ هشدار غلط بالا مواجه هستند. در این مقاله یک روش ترکیبی جدید مبتنی بر الگوریتم‌های هوشمند پیشنهاد ‌شده که جهت دسترسی به نتایج خوبی در زمینه تشخیص نفوذ، الگوریتم‌های نظارتی دروازه بازگشتی مکرر و طبقه‌بند غیرنظارتی k- میانگین را ادغام می‌کند. نتایج شبیه‌سازی نشان می‌دهند که روش پیشنهادی با بهره‌گیری مزایای هر کدام از الگوریتم‌های ادغام‌شده و پوشش معایب یکدیگر، نسبت به روش‌هاي دیگر مانند روش Hamza داراي دقت بیشتری و بالاخص نرخ هشدار غلط کمتري است. همچنین روش پیشنهادی توانسته نرخ هشدار غلط را به 1/1% کاهش داده و دقت را در حدود 99% حفظ کند.

کلیدواژه: شبکه‌هاي نرم‌افزارمحور، الگوریتم‌هاي هوشمند، اینترنت اشیا، تشخیص نفوذ، یادگیري ماشین.

1- مقدمه

زیرساخت اینترنت اشیا ²(IoT) از تلفن‌هاي هوشمند گرفته تا شهرهاي هوشمند به‌آرامی در حال نفوذ به جنبه‌های متفاوت زندگی بشر است؛ به‌گونه‌ای که طی سال‌های آتی به جزئی جدانشدنی از زندگی بشر تبدیل می‌شود [1]. همچنین با برنامه‌هاي گسترده در راستای بهبود اینترنت اشیا انتظار می‌رود در سال‌هاي آتی، استفاده از این فناوري چندین برابر شود. با این حال ماهیت ناهمگن دستگاه‌هاي اینترنت اشیا و محدودیت‌های ارتباطی، مدیریت شبکه و امنیت را به یک عمل دشوار براي مجریان آن تبدیل کرده است. در واقع رمزگذاري داده‌ها یا نرم‌افزارهاي ضدویروس نمی‌توانند چالش‌هاي امنیتی پیچیده این حوزه را مدیریت کنند.

اینترنت اشیا فناوري است که هر شیء یا دستگاهی را در هر نقطه از مسیر یا شبکه به دستگاه‌هاي دیگر متصل می‌کند. تمام اشیای متصل باید در زیست‌بوم³ اینترنت اشیا با استفاده از شناسه منحصربه‌فردي آدرس‌دهی شوند [2]. مطالعات گسترده‌ای در زمینه اینترنت اشیا انجام شده که مرور آنها سه چالش اصلی براي اینترنت اشیا را نشان می‌دهد. اولین چالش، ناهمگونی شبکه است. چالش دوم آن است که اینترنت اشیا نیازمند اتخاذ معماري بسیار گسترده به‌خصوص در برنامه‌هاي کاربردي مانند شهرهاي هوشمند و شبکه‌هاي هوشمند می‌باشد. سوم آنکه اینترنت اشیا نیازمند معرفی پروتکل‌هاي جدیدي براي رسیدگی به مسائل خاص مربوط به محدودیت قدرت و محاسبات حسگرهاي شبکه می‌باشد [3] و [4].

بررسی ادبیات موضوع نشان می‌دهد که زیرساخت‌هاي اینترنت اشیای مبتنی بر شبکه‌هاي نرم‌افزارمحور ⁴(SDN-IoT) می‌تواند به میزان قابل ملاحظه‌ای در مدیریت چالش امنیت، مؤثر واقع شود [5]. علت این تأثیرات مثبت، عدم وجود آسیب‌پذیری‌ها و چالش‌های شبکه‌های سنتی در محیط SDN-IoT می‌باشد. شبکه نرم‌افزارمحور، یک نمونه شبکه‌اي جدید است که انعطاف‌پذیري، قابلیت مقیاس‌پذیري و امنیت را بهبود می‌بخشد [6] و [7] و بنابراین می‌تواند تا حدي تأثیرات منفی ناشی از چالش‌هاي موجود در اینترنت اشیا را مدیریت کند. مطالعات بسیاری در مورد استقرار شبکه‌هاي نرم‌افزارمحور به‌عنوان یک مدل شبکه‌اي براي اینترنت اشیا انجام شده است [8] تا [10]. ایده اصلی در شبکه‌هاي نرم‌افزارمحور، تفکیک صفحه کنترل و داده می‌باشد [11]. صفحه داده براي سوئیچ جریان داده‌هاست؛ در حالی که صفحه کنترل، بخش جدیدی در شبکه را به نام کنترل‌کننده، معرفی می‌کند. صفحه داده شامل دستگاه‌هاي سخت‌افزاري مانند سوئیچ‌ها، روترها، فایروال‌ها و سیستم‌هاي تشخیص نفوذ ⁵(IDS) است. این دستگاه‌ها هیچ پردازشی جهت پرکردن جدول صفحه داده نیاز ندارند و منطق شبکه به‌طور مستقل به کنترلر منتقل گردیده است. کنترلر، خدماتی مانند وضعیت شبکه و اطلاعات هم‌بندی⁶ را ارائه می‌دهد و جهت جابه‌جایی اطلاعات از کنترلر به صفحه انتقال و برعکس، از پروتکلی به نام OpenFlow استفاده می‌شود [12]. با وجود این همچنان امنیت در شبکه‌هاي نرم‌افزارمحور، یکی از اصلی‌ترین نگرانی‌ها در محیط SDN-IoT می‌باشد.

از یک سو شبکه‌هاي نرم‌افزارمحور براي حل چالش‌هاي اینترنت اشیا از قبیل انعطاف‌پذیري و مقیاس‌پذیری، مطرح شده است اما از طرف دیگر، نگرانی‌هاي ناشی از تأمین امنیت شبکه‌هاي نرم‌افزارمحور به نگرانی‌هاي امنیتی در اینترنت اشیا افزوده شده است؛ لذا نگرانی در مورد برقراری امنیت SDN-IoT به‌عنوان یکی از نگرانی‌هاي اصلی در زمینه چالش‌های اینترنت اشیا می‌تواند توجه بسیاری را به خود جلب نماید [4] و [13].

شبکه‌هاي نرم‌افزارمحور به‌خاطر کنترل‌کننده مرکزي، دید کلی شبکه در راستای سهولت فرایند مدیریت و اجراي سیاست‌ها را فراهم می‌کنند؛ همچنین خطاها را در زمان پیکربندي و تغییر سیاست‌هاي شبکه، کاهش و قابلیت همکاري را افزایش می‌دهند. تهدیدات امنیتی، چالشی حیاتی
در سیستم‌هاي شبکه‌هاي سنتی است و این تهدیدها در شبکه‌هاي نرم‌افزارمحور تشدید می‌شود. در واقع مزایاي این مدل از شبکه با تهدیدهاي اضافی همراه است که در شبکه‌هاي سنتی وجود نداشت. بررسی‌هاي امنیتی انجام‌شده بر روي پروتکل OpenFlow نشان می‌دهند که حملات مختلفی در این پروتکل صورت گرفته است. براي مثال، جداول جریان و کانال‌هاي ارتباطی بین دستگاه‌ها و کنترل‌کننده می‌توانند تحت تأثیر حملات منع سرویس ⁷(DoS) قرار گیرند. کانال ارتباطی بین کنترلر و سوئیچ با یک اتصال TCP با پروتکل رمزنگاري TLS براي امن‌کردن کانال ارتباطی شروع می‌شود و بدون یک روش رمزنگاري، ارتباط بین کنترلر و دستگاه‌هاي انتقال در معرض حملات مرد میانی است [11].

در نمونه مطالعاتی دیگری، Kloti و همکاران [12] یک تحلیل امنیتی بر روي پروتکل OpenFlow انجام داده‌اند. نتایج مطالعات آنها نشان می‌دهد که حمله DoS، کانال‌هاي ارتباطی و جدول جریان‌ها را تهدید می‌کند. علاوه بر این، حملات دست‌کاري به‌طور قابل ملاحظه‌اي جداول قوانین را با افزودن قوانین از منابع غیرقابل اعتماد مورد هدف قرار داده است.

مروری بر ادبیات نشان می‌دهد که وجود سیستم‌های تشخیص نفوذ کارآمد در یک محیط SDN-IoT به‌دلیل رشد قابل توجه کاربرد اینترنت اشیا در جنبه‌های متفاوت زندگی و برجسته‌شدن مسئله رعایت امنیت در این گونه محیط‌ها ضروری به نظر می‌رسد. سیستم‌هاي تشخیص نفوذ، سیستم‌هاي نرم‌افزاري یا سخت‌افزاري اختصاص‌داده‌شده جهت نظارت بر جریان ترافیک در مقابل تهدیدهاي امنیتی هستند. سیستم‌هاي تشخیص نفوذ استاندارد شامل سه مرحله جمع‌آوري اطلاعات از شبکه، تجزیه و تحلیل و سپس پاسخ مناسب در صورت وجود تهدید می‌باشند. همچنین براي تجزیه و تحلیل ترافیک جمع‌آوري‌شده، سه روش مبتنی بر امضا
یا سوءاستفاده، تشخیص غیرعادی⁸ و مبتنی بر پروتکل‌هاي Stateful وجود دارد.

امنیت داده‌هاي سایبري همچنان یک چالش براي جامعه یادگیري ماشین به حساب می‌آید؛ زیرا حجم بالاي ترافیک، تفکیک رفتار غیرعادي از عادي را دشوار می‌کند. در واقع تصمیم‌گیری جهت جداسازی رفتار عادی از غیرعادی، هسته اصلی یک سیستم هوشمند تشخیص نفوذ است و به‌عنوان مؤلفه‌اي که مسئول اعلام هشدارها در زمان شناسایی تهدیدات بالقوه است در نظر گرفته می‌شود [14]. از طرفی روش‌هاي سنتی براي انجام این وظیفه، دقت کافی را ندارند. با توجه به این موضوع در سال‌هاي اخیر، الگوریتم‌هاي یادگیري ماشین به‌ویژه روش‌های مبتنی بر شبکه‌هاي عصبی بازگشتی پیشنهاد شده‌اند [15] تا [17].

هدف اصلی مقاله با توجه به ضرورت سیستم‌هاي تشخیص نفوذ در SDN-IoT، ارائه یک سیستم تشخیص نفوذ کارآمد با به‌کارگیری یک رویکرد ترکیبی جدید مبتنی بر الگوریتم‌های هوشمند ⁹LSTM و GRU می‌باشد. این مقاله بر چهار محور اصلی بعدی متمرکز شده است:

1) کاهش نرخ هشدار غلط و بهبود دقت نتایج خروجی

2) سازگاري روش پیشنهادي با معماري SDN-IoT به‌طوري که تمام جوانب ممکن در این فناوري در نظر گرفته شود.

3) استفاده از مجموعه داده‌اي که متناسب با ویژگی‌هاي موجود در این فناوري باشد. در واقع در ارزیابی روش پیشنهادی از مجموعه داده‌هاي قدیمی که هیچ شباهتی با ترافیک این فناوري ندارد، استفاده نشده است.

4) قابلیت پیاده‌سازي راحت. بسیاري از روش‌هاي قبلی از شیوه‌های پیچیده‌ای استفاده می‌کنند که یا به سخت‌افزار اضافه نیاز دارند یا پیاده‌سازي آنها بسیار سخت است.

در ادامه، پیشینه پژوهش به‌اختصار مرور می‌گردد و سپس در بخش دو روش پیشنهادی و توضیحات مربوط ارائه شده است. در بخش سوم، آزمایش‌هایی جهت ارزیابی کارایی روش پیشنهادی انجام گردیده و نتایج آزمایش‌ها و ارزیابی کارایی بیان شده است. سپس در بخش چهارم، مقایسه‌ای بین روش پیشنهادی و برخی روش‌های پیشین مشابه انجام شده و نهایتاً در بخش پایانی، نتایج حاصل از پژوهش جاری و نمونه‌ای از کارهای آتی بیان گردیده است.

در اینجا به آشنایی با ادبیات موضوع، مروری بر پیشینه پژوهش و شناسایی رویکردهای هوشمند پیشین در زمینه مدیریت چالش امنیت در یک محیط SDN-IoT پرداخته می‌شود.

اینترنت اشیا یک فناوري نوظهور است که زیست‌بوم هوشمند را قادر می‌سازد تا فناوري‌هاي ناهمگن را کنار هم قرار دهد [18] و [19]. طیف گسترده‌ای از دستگاه‌هاي اینترنت اشیا، دلالت بر وجود احتمال آسیب‌پذیري‌هایی است که از طریق آن می‌توان دستگاه‌ها را به خطر انداخت. با افزايش سريع تعداد دستگاه‌هاي اينترنت اشيا، عملكرد شبکه مانند مقياس‌پذيري، امنيت و حفظ QoS يك مسئله اساسی است و به بخشی از نیازمندي‌هاي اصلی اینترنت اشیا تبدیل شده است [20] تا [23].

شبکه‌هاي نرم‌افزارمحور، رویکردي است که جهت مقابله با چالش‌هاي ناشی از ظهور دستگاه‌هاي اینترنت اشیا در شبکه در نظر گرفته شده
است. شبکه‌هاي نرم‌افزارمحور با جداسازي صفحه کنترل و صفحه داده، برنامه‌نویسی و انعطاف‌پذیري در مدیریت شبکه را فراهم می‌کنند. هدف
از این جداسازي، امکان تنظیم پیکربندي شبکه با انعطاف‌پذیري و برنامه‌نویسی بیشتر است [24].

در حالت کلی می‌توان دلایل ادغام شبکه‌هاي نرم‌افزارمحور و اینترنت اشیا را به‌صورت خلاصه در موارد زیر بیان کرد [7]، [25] و [26]:

- موجب سهولت در جمع‌آوري داده‌ها و تحلیل، تصمیم‌گیري و فرایند کنترل می‌شود.

- منابع شبکه با استفاده از فناوري شبکه‌هاي نرم‌افزارمحور بهینه
شده است. برنامه‌هاي پرمصرف اینترنت اشیا در یکپارچه‌سازي با شبکه‌هاي نرم‌افزارمحور، اپراتورهاي شبکه را قادر می‌سازد تا کاربران، دستگاه‌ها و گروه‌ها را مدیریت کنند.

در ادامه این بخش، برخی از کارهای پژوهشی پیشین در زمینه اینترنت اشیا، شبکه‌هاي نرم‌افزارمحور و SDN-IoT در راستای شناسایی ایده‌های اصلی نهفته در آنها و ویژگی‌های روش‌های تشخیص نفوذ مرور گردیده است.

[1] این مقاله در تاریخ 6 بهمن ماه 1401 دریافت و در تاریخ 5 خرداد ماه 1402 بازنگری شد.

ذکریا رئیسی، دانشکده مهندسی کامپیوتر ، دانشگاه یزد، یزد، ایران،
(email: Zakaria.raisi@stu.yazd.ac.ir).

فضل‌الله ادیب‌نیا، دانشکده مهندسی کامپیوتر ، دانشگاه یزد، یزد، ایران،
(email: fadib@yazd.ac.ir).

مهدی یزدیان دهکردی، دانشکده مهندسی کامپیوتر ، دانشگاه یزد، یزد، ایران، (email: yazdian@yazd.ac.ir).

[2] . Internet of Things

[3] . Ecosystem

[4] . Software Defined Network-Internet of Things

[5] . Intrusion Detection Systems

[6] . Topology

[7] . Denial of Service

[8] . Anomaly

[9] . Long Short-Term Memory

جدول 1: مقایسه روش‌های مطرح قبلی و ویژگی‌های آنها.

روش	ACC	TPR	FPR	مزایا و معایب
Hamza و همکاران [27]	بالا	-	-	الگوریتم بیز و استفاده از MUD براي به‌دست‌آوردن امضای داده‌هاي طبیعی و غیرطبیعی. کارایی بهتر از Snort دارد. ذکرنکردن مقدار ACC و FP.
Hamza و همکاران [29]	5/97	3/72	4/2	استفاده از MUD که نیاز به سخت‌افزار اضافی دارد و همچنین استفاده از 4 الگوریتم به‌صورت ترکیبی که بسیار وقت‌گیر می‌باشد. این در حالیست که TPR بسیار پایین است.
Silveira و همکاران [32]	93	-	6	روش پیشنهادي با رگرسیون منطقی دقت خوبی دارد؛ اما FPR نیز بالاست.
Wani و همکاران [33]	9/95	4/96	7	الگوریتم MLP دقت بالا دارد؛ ولی همچنان FPR بالاست و فقط جهت شناسایی حمله DDOS است.
روش پیشنهادی	99	99	1/1	دقت و TPR بالا، FPR بسیار پایین و مدت زمان آموزش کم از مزایای روش پیشنهادي است.

Hamza و همکاران [27] در روش پیشنهادی خود سعی می‌کنند
تا سیاست‌های MUD را به قوانین جریان ترجمه کنند که می‌تواند با استفاده از SDN اجرا شود و حملاتی را بدون نیاز به IDS شناسایی کند. در این مقاله نویسندگان سیستمی را ایجاد می‌کنند که سیاست‌های MUD را به قوانین جریان‌ها ترجمه می‌کند که به‌صورت فعال در سوئیچ‌های شبکه پیکربندی می‌شوند و همچنین بر اساس اتصالات زمان اجرای DNS اضافه می‌شوند.

Shravanya و همکاران [28] روش پیشنهادي خود را در ایجاد یک معماري امن براي کنترل‌کننده شبکه‌هاي نرم‌افزارمحور در نظر گرفته‌اند که در برابر حمله DoS قوي باشد. در واقع در این نوع حملات، سوئیچ شبکه‌هاي نرم‌افزارمحور مانند یک میزبان حمله‌کننده و کنترل‌کننده شبکه‌هاي نرم‌افزارمحور به‌عنوان سرور قربانی عمل می‌کنند. نویسندگان بعد از پیاده‌سازي معماري مورد نظر و الگوریتم‌هاي درخت تصمیم و KNN به‌دقتی در حدود 99% دست پیدا کرده‌اند.

Hamza و همکاران [29] جهت مقایسه از الگوریتم Snort استفاده کرده‌اند. این مقایسه نشان می‌دهد که Snort از میان 40 نوع حمله موجود، فقط قادر است که 2 تا از آنها را تشخیص دهد؛ زیرا امضا براي حملات دیگر در Snort وجود ندارد و نمی‌تواند بقیه حملات را تشخیص دهد. روش پیشنهادي در مقایسه با Snort در مقابل حملات جدید بسیار خوب عمل کرده و توانسته دقتی در حدود 99% داشته باشد.

Meidan و همکاران [30] سه الگوریتم DNN، SVM و LGBM را در نظر گرفته‌اند و با استفاده از داده‌هاي حاصل از دستگاه‌هاي اینترنت اشیا، این الگوریتم‌ها را آموزش داده‌اند. همچنین معیارهاي ارزیابی در این مقاله عبارتند از اندازه طبقه‌بند، مدت زمان آموزش طبقه‌بند، مدت زمان آموزش هر جریان از مجموعه داده و . نویسندگان اظهار داشته‌اند که الگوریتم LGBM بهترین عملکرد را ارائه کرده است.

Salman و همکاران [31] یک چارچوب امنیتی را براي تشخیص ترافیک مخرب ارائه داده‌اند که جهت شناسایی نوع ترافیک ایجادشده و شناسایی حملات شبکه استفاده گردیده است. نویسندگان مقایسه‌ای بین الگوریتم‌هاي مختلف یادگیري ماشین و جنگل تصادفی انجام داده و اظهار داشته‌اند که بهترین نتیجه براي تشخیص غیرعادي ترافیک با دقت %97 به‌دست آمده است.

Silveira و همکاران [32] یک سیستم تشخیص نفوذ مبتنی بر امضا را با جایگذاری الگوریتم‌هاي جنگل تصادفی، رگرسیون منطقی و گرادیان تقویتی در کنترلر پیاده‌سازی نمودند. سپس مجموعه داده‌هاي موجود را با استفاده از سوئیچ‌ها انتقال داده تا عمل تشخیص انجام شود. نویسندگان اظهار داشته‌اند که نتایج، دقت بالاي 93% نرخ هشدار کاذب (FAR) را نشان می‌دهد.

Wani و همکاران [33] یک مکانیزم امنیتی مبتنی بر شبکه نرم‌افزارمحور را براي شناسایی و کاهش DDoS در شبکه‌هاي اینترنت اشیا ارائه دادند. روش پیشنهادي آنها جهت شناسایی حملات با استفاده از MLP آموزش دیده و سپس عمل دسته‌بندي حملات را انجام می‌دهد. نویسندگان اظهار داشته‌اند که روش پیشنهادی آنها دقتی در حدود 99% و و به‌ترتیب 7% و 3% ارائه نموده است.

Novaes و همکاران [34] برای بررسی و شناسایی حملات منع سرویس توزیع‌شده و حملات Portscan در محیط‌هاي شبکه‌هاي نرم‌افزار، روش LSTM-FUZZY را ارائه دادند. این سیستم داراي سه مرحله مجزای تعیین خصوصیات، تشخیص ناهنجاري و کاهش آنهاست. نتایج ارزیابی نشان‌دهنده کارایی قابل قبول رویکرد نویسندگان در مدیریت شبکه، شناسایی و کاهش وقوع حملات است.

Xu و همکاران [35] یک استراتژي دفاع حمله DDoS را بر اساس طبقه‌بندي ترافیک پیشنهاد کردند. براي بهبود انعطاف‌پذیري و کاهش بار شبکه‌هاي نرم‌افزارمحور در برابر حملات، DDoS از معماري مجازي‌سازي عملکرد شبکه (SDNFV) و استراتژي طبقه‌بندي ترافیک استفاده کرده است. نویسندگان در ماژول تشخیص حمله با کمک یادگیري تقویتی، الگوریتم طبقه‌بندي جنگل تصادفی را بهبود داده‌اند؛ به‌طوري که دقت ماژول طبقه‌بندي به 54/99% رسیده است.

Khan و همکاران [36] مقایسه‌ای بین الگوریتم‌های مختلف یادگیری ماشینی انجام داده‌اند که می‌تواند برای شناسایی و پیش‌بینی هر گونه داده مخرب یا غیرعادی برای مجموعه داده‌ای از ویژگی‌های محیطی ایجادشده استفاده گردد. نویسندگان اظهار داشته‌اند که در آزمایش‌های خود به دقتی حدود 5/96% و زمان اجرای کمتر از 2/0 ثانیه دست‌ یافته‌اند.

Abdullahi و همکاران [37] یک بررسی سیستماتیک از حملات تشخیص امنیت سایبری در اینترنت اشیا را با استفاده از روش‌های هوش مصنوعی ارائه داده‌اند. نویسندگان معتقدند که با توجه به توسعه سریع اینترنت اشیا در حوزه‌های مختلف، مقادیر زیادی داده به‌طور مداوم تولید می‌شود که نیاز به تمرکز بیشتر بر حریم خصوصی و امنیت دارند. آنها در بررسی خود از الگوریتم‌های SVM، RNN و RF استفاده کرده‌اند و به نتایج قابل قبولی دست یافته‌اند.

خلاصه‌ای از روش‌های مطرح قبلی و مقایسه آنها در جدول 1 نشان داده شده است.

2- روش پیشنهادی

شبکه نرم‌افزارمحور، نمونه‌ای از شبکه‌های جدید است و انعطاف‌پذیری، قابلیت مقیاس‌پذیری و امنیت را بهبود می‌بخشد؛ لذا می‌‌تواند چالش‌های موجود در IoT را مانند امنیت حل کند. سیستم‌های تشخیص نفوذ، سیستم‌های نرم‌افزاری یا سخت‌افزاری اختصاص‌داده‌شده برای نظارت بر جریان ترافیک در مقابل تهدیدهای امنیتی هستند. با توجه به ضرورت

$D:\پژوهشگر ایرانی\بهمن 1400\1.jpg$

شکل 1: معماری سیستم تشخیص نفوذ پیشنهادی.

سیستم‌های تشخیص نفوذ در SDN-IoT، یک سیستم تشخیص نفوذ با استفاده از الگوریتم هوشمند برای این محیط پیشنهاد شده است. بنابراین پژوهش جاری از یک رویکرد ترکیبی جدید مبتنی بر الگوریتم‌های هوشمند برای سیستم تشخیص نفوذ کارآمد در SDN-IoT استفاده کرده است. رویکرد پیشنهادی مقاله، الگوریتم‌های LSTM و GRU را جهت دستیابی به نتایج دقیق‌تر و کاهش نرخ هشدار خطا ادغام نموده و در ادامه رویکرد پیشنهادی در دو بخش مجزا تشریح شده است.

2-1 معماری رویکرد پیشنهادی

یک شبکه عصبی بازگشتی ¹(RNN) سنتی اگر به اندازه کافی بزرگ باشد از نظر تئوري باید قادر به تولید دنباله‌های پیچیده باشد؛ اما در عمل مشاهده می‌شود که این شبکه براي یادگیري دنباله‌هاي طولانی‌مدت به مشکل برمی‌خورد. در واقع این ویژگی باعث می‌شود یک شبکه عصبی بازگشتی سنتی در مدل‌سازي ساختارهاي بلندمدت، ضعیف عمل کند. این فراموشی باعث می‌گردد تا این نوع از شبکه‌ها در زمان تولید دنباله‌ها در معرض ناپایداري قرار گیرند. در واقع اگر پیش‌بینی‌هاي شبکه، تنها وابسته به چند ورودي اخیر باشد، شانس بسیار کمی براي تصحیح و جبران اشتباهات گذشته توسط شبکه وجود دارد. مشکل ناپایداري به‌طور ویژه در زمان مواجهه با داده اعشاري، وخیم می‌شود؛ زیرا پیش‌بینی‌ها می‌توانند از دامنه‌اي که داده‌هاي آموزشی بر روي آن قرار گرفته‌اند، فاصله بگیرند.

استفاده از حافظه می‌تواند به‌عنوان راه‌حل به‌مراتب بهتر و تأثیرگذارتري نسبت به بقیه راه‌حل‌ها مطرح گردد. LSTM یک معماري شبکه عصبی بازگشتی است که براي ذخیره‌سازي و دسترسی بهتر به اطلاعات نسبت به نسخه سنتی آن، طراحی شده و به‌گونه‌اي عمل می‌کند که مقادیر نورون‌هاي لایه مخفی توسط فعال‌سازهاي محلی که نزدیک به آنهاست، تحت تأثیر قرار می‌گیرند. همچنین وزن‌هاي شبکه توسط محاسباتی که بر روي تمام دنباله رخ می‌دهد، تأثیر می‌پذیرند که این به‌منزله حافظه بلندمدت است [15]. در شبکه RNN، شبکه در هر گام زمانی از ابتدا بازنویسی می‌شود؛ اما یک شبکه LSTM دارای توانایی تصمیم‌گیري نسبت به حفظ حافظه فعلی از طریق دروازه‌هاي موجود می‌باشد. یعنی اگر واحد LSTM، ویژگی مهمی در دنباله ورودي گام‌هاي ابتدایی تشخیص دهد، آن گاه به‌سادگی می‌تواند این اطلاعات را طی مسیر طولانی منتقل کند. بدین ترتیب LSTM وابستگی‌هاي بلندمدت احتمالی را دریافت و حفظ می‌نماید و از طرف دیگر قادر است مشکل محوشدن گرادیان را که در شبکه‌هاي عصبی وجود دارد مدیریت کند [16]. محوشدگی گرادیان، مشکلی است که در هنگام آموزش شبکه‌هاي عصبی مصنوعی با استفاده از روش یادگیري پس از انتشار خطا یا همان مبتنی بر گرادیان، اتفاق می‌افتد. در این نوع روش‌ها به‌منظور به‌روزرسانی پارامترهاي شبکه عصبی از گرادیان استفاده می‌شود و هر پارامتر با توجه به میزان اثري که در نتیجه نهایی شبکه دارد مورد تغییر قرار می‌گیرد. این کار با استفاده از مشتق جزئی تابع خطا نسبت به هر پارامتر در هر تکرار فرایند آموزش صورت می‌پذیرد. مشکل محوشدگی در واقع اشاره به این مسئله دارد که مقادیر گرادیان‌ها با حرکت به سمت ابتداي شبکه تدریجاً به حدي کوچک می‌شوند که تغییرات خاصی روي وزن‌ها صورت نمی‌گیرد و به این علت، فرایند آموزش شدیداً کند می‌شود؛ بنابراین این مسئله در بدترین حالت باعث توقف فرایند آموزش می‌گردد و به‌واسطه عمق زیاد شبکه رخ می‌دهد. براي حل این مشکل، LSTM با استفاده از مقادیر حالت مخفی، توابع فعال‌ساز را به شکلی تحت تأثیر قرار می‌دهد که وزن‌ها به‌واسطه تمام دنباله و نه یک ورودي، تحت تأثیر قرار گیرند.

معماری سیستم تشخیص نفوذ پیشنهادی در شکل 1 آمده است. همان طور که مشاهده می‌شود در ابتدا ویژگی‌هاي موجود در مجموعه داده استخراج می‌گردد و سپس داده‌هاي غیرعددي به داده‌های عددي تبدیل می‌گردد. در گام بعدی داده‌ها با اعمال روش نمره استاندارد² نرمال‌سازی می‌شود و الگوریتم LSTM جهت آموزش داده‌های نرمال‌سازی‌شده مورد استفاده قرار می‌گیرد. با ورود بسته‌هاي ناشناخته به سوئیچ‌هاي شبکه، این بسته‌ها براي کنترل‌کننده ارسال می‌شوند و بعد از استخراج ویژگی‌ها و انجام پیش‌پردازش روي مدل آموزش‌دیده بررسی می‌شود. در بررسی انجام‌شده بر روی مدل آموزش‌دیده، مشخص می‌گردد که آیا بسته دریافت‌شده نرمال است یا مخرب. اگر بسته نرمال باشد به مقصد مورد نظر خود ارسال شده و قوانین بر روي سوئیچ‌ها تغییر پیدا می‌کند؛ ولی اگر بسته مخرب باشد، هشداري براي مدیر شبکه ارسال شده و آدرس IP مورد نظر نیز به‌عنوان حمله‌کننده، شناسایی می‌شود. بنابراین دریافت بسته جدید از این میزبان نیز با تغییر قوانین در سوئیچ‌ها متوقف می‌گردد.

2-2 الگوریتم‌های پایه LSTM

LSTM توسعه یا نوعی از شبکه عصبی RNN است. در واقع RNN سنتی از حافظه کوتاه‌مدت در صورتی که توالی طولانی باشد رنج می‌برد و طبقه‌بند برای حمل اطلاعات از مراحل قبلی تا موارد بعدی دچار مشکل می‌شود. بنابراین شبکه عصبی مکرر از مشکل گرادیان رنج می‌برد و LSTM به‌عنوان یک راه حل طراحی شده است. این الگوریتم لایه‌های پنهان با بلوک‌های حافظ جایگزین شده‌اند که مشکل فراموشی در یادگیری الگوی دنبال‌های طولانی حل شده است. LSTM در معماری پایه خود، مفهوم استفاده از مکانیزم دروازه را برای واحدهای تنظیم‌کننده جریان اطلاعات در نظر می‌گیرد. مکانیزم دروازه شامل سه دروازه یعنی ورودی، خروجی و دروازه فراموشی است و این دروازه‌ها وظیفه دارند که تصمیم بگیرند کدام توالی داده برای ذخیره یا دورانداختن مناسب است. دروازه‌های ورودی و خروجی، جریان اطلاعات ورودی و خروجی سلول‌ها را کنترل می‌کنند. علاوه بر این اگر اطلاعات نامناسب باشد، دروازه فراموشی برای تنظیم مجدد اطلاعات حالت قبلی خود وارد عمل می‌شود [7].

2-3 الگوریتم‌های مورد استفاده LSTM) و (GRU

یک مشکل در آموزش معماري اولیه RNN، وابستگی بسیار طولانی مدت به توالی است که یادگیري مؤثر را دشوار می‌کند. این مسئله می‌تواند زمینه‌ساز انگیزه اصلی برای به‌کارگیری شبکه‌هاي نوع LSTM باشد. LSTM سعی می‌کند با معرفی دروازه‌ها، مکانیزم‌هایی در شبکه‌هاي عصبی عمیق ایجاد کند که مجاز هستند تا مشخص کنند که چه اطلاعاتی را پردازش کنند. در یک سلول LSTM سه دروازه ورودي، فراموش و خروجی وجود دارد. دروازه ورودي مشخص می‌کند کدام قسمت از ورودي، اجازه ورود به سلول را دارد. دروازه فراموشی با کنترل وضعیت داخلی سلول تعیین می‌کند کدام بخش باید به‌روزرسانی شود. سرانجام، دروازه خروجی آنچه را که به خارج از سلول بر روي خط لوله خروجی رانده می‌شود، کنترل می‌کند. معمول‌ترین قوانین به‌روزرسانی براي یک سلول LSTM به‌صورت (1) تا (6) تعریف می‌شود

(1)

(2)

(3)

(4)

(5)

(6)

در (1) تا (6) ، و به‌ترتیب دروازه ورودي، فراموشی و خروجی و ، و نیز مقادیر ثابتی هستند که به آنها بایاس گفته می‌شود. همچنین و به‌ترتیب تابع سیگموئید و حالت سلول کاندیدا را نشان می‌دهد و خروجی سلول در مرحله است. پارامترهاي قابل تنظیم در واقع ماتریس‌هاي و هستند.

الگوریتم LSTM داراي پیچیدگی زمانی بالایی است؛ لذا براي حل این مشکل، ادغام الگوریتم‌های LSTM و GRU پیشنهاد شده ‌است. شبکه عصبی GRU بهبودیافته، شبکه عصبی LSTM است. شبکه عصبی GRU پس از تنظیم مجدد دروازه، اطلاعات را پردازش نموده و زمان آموزش را کاهش می‌دهد. بدین منظور، این شبکه عصبی تعداد دروازه‌های LSTM را از 3 دروازه به 2 دروازه کاهش می‌دهد. در واقع روش GRU با LSTM فرق زیادي ندارد و فقط تعداد دروازه‌ها را کاهش داده و وظایف هر کدام از دروازه‌ها را در حد امکان در یکدیگر ادغام کرده است [38] و [39]. دروازه‌های به‌روزرسانی و تنظیم مجدد در GRU به‌صورت (7) تا (11) محاسبه شده است

(7)

(8)

(9)

(10)

(11)

در (7) تا (11)، و به‌ترتیب دروازه‌های به‌روزرسانی و تنظیم مجدد و همچنین ، و وزن‌های شبکه عصبی هستند.

محوشدگی گرادیان، مشکلی است که هنگام آموزش شبکه‌های عصبی مصنوعی با استفاده از روش یادگیری پس‌انتشار خطا یا همان مبتنی بر گرادیان اتفاق می‌افتد. جهت رفع مشکل محوشدگی گرادیان می‌توان از راه‌حل‌هاي بعدي استفاده کرد:

- مقداردهی اولیه وزن‌ها به‌طوری که احتمال رخ‌دادن محوشدگی گرادیان کمینه شود.

- استفاده از شبکه عصبی IRNN یا Echo State

- استفاده از شبکه‌های عصبی بازگشتی LSTM و GRU که دقیقاً برای این موضوع طراحی شده‌اند و در روش پیشنهادی از این مورد استفاده شده است.

در روش پیشنهادي در اين مقاله، بعد از آنکه داده‌ها با استفاده از ترکیب الگوریتم‌های LSTM و GRU آموزش دیدند، داده‌های جدید را برای انجام عمل پیش‌بینی دریافت می‌کند. لذا بعد از عمل رگرسیون، به‌کارگیری یک طبقه‌بند کارآمد برای طبقه‌بندی پیش‌بینی‌های انجام‌شده، ضروری به‌نظر می‌رسد.

3- پیاده‌سازی و نتایج تجربی

در این بخش مقاله، مطالب مربوط به پیاده‌سازی روش پیشنهادی و نتایج تجربی آزمایش‌های انجام‌شده برای ارزیابی کارایی روش پیشنهادی ارائه گردیده و برای درک بهتر مطالب، این بخش در دو زیربخش مجزا سازمان‌دهی شده است.

[1] . Recurrent Neural Network

[2] . Z-Score

$D:\پژوهشگر ایرانی\بهمن 1400\3.jpg$

شکل 2: معماری LSTM پیاده‌سازی‌شده در روش پیشنهادی.

جدول 2: ابرپارامترهاي اصلی براي بهینه‌سازي LSTM.

ابرپارامترها	دامنه	مقدار انتخاب‌شده
تعداد لایه‌هاي مخفی	1، 2، 3، 4، 5	2
Batch size	10، 20، 30، 40، 50، 80	80
نرخ یادگیری	01/0، 005/0، 001/0	01/0
LSTM unit number	32، 64، 128، 256	64 تا 128
Dropout	5/0، 2/0، 1/0	2/0
Gradient threshold	01/0، 02/0، 03/0، 04/0	01/0

3-1 پیاده‌سازی روش پیشنهادی

جهت پیاده‌سازي روش پیشنهادي از محیط برنامه‌نویسی متلب نسخه 2020 بر روي سیستمی با مشخصات و GB 6 RAM استفاده شده است. در واقع ابزار متلب با توجه به پشتیبانی بسیار قوي از الگوریتم‌هاي هوشمند مورد استفاده قرار گرفته و همچنین این نرم‌افزار، کتابخانه‌هاي جدید یادگیری ماشین را به‌خوبی پشتیبانی می‌کند.

3-1-1 LSTM

در روش پیشنهادي، استفاده‌ از الگوریتم‌هاي LSTM و GRU براي آموزش شبکه و استفاده ‌از میانگین براي طبقه‌بندي داده‌هاست. معماری LSTM پیاده‌سازی‌شده در روش پیشنهادی در شکل 2 نشان داده شده و همچنین ابرپارامترهاي اصلی براي بهینه‌سازي LSTM در جدول 2 آمده است.

3-1-2 GRU

در مقایسه با LSTM، GRU می‌تواند ضمن بهبود ساختار کنترل گیت، مشکل گرادیان در RNN را حل کند. از آنجا که تعداد دروازه‌ها از
3 به 2 تغییر یافته است، پارامترهاي آموزش کاهش یافته و در نتیجه سرعت آموزش افزایش پیدا می‌کند. GRU از دو GRU متشکل از
یک تابع سیگموئید و یک عمل ضرب براي کنترل انتخاب اطلاعات استفاده می‌نماید.

جدول 3: ابرپارامترهاي اصلی جهت بهینه‌سازي GRU.

ابرپارامترها	دامنه	مقدار انتخاب‌شده
تعداد لایه‌هاي مخفی	1، 2، 3، 4، 5	2
Batch size	10، 20، 30، 40، 50، 80	80
نرخ یادگیری	01/0، 005/0، 001/0	01/0
LSTM unit number	32، 64، 128، 256	64 تا 128
Dropout	5/0، 2/0، 1/0	2/0
Gradient threshold	01/0، 02/0، 03/0، 04/0	01/0

معماري GRU مشابه معماري LSTM است و لایه‌هاي موجود در آن هیچ فرقی ندارند. تنها تفاوت آن، وجود گره‌هاي GRU به‌جاي گره‌هاي LSTM است. معماري این گره‌ها باعث کاهش مدت زمان آموزش می‌شود و سرباري که در آموزش LSTM وجود دارد در این معماري وجود ندارد. در جدول 3 ابرپارامترهاي موجود در بهینه‌سازي الگوریتم GRU نشان داده شده است.

در بهینه‌سازي این پارامترها، استفاده از برخی الگوریتم‌هاي تکاملی می‌تواند مفید باشد؛ اما این روش‌ها وقت‌گیر هستند و لذا به‌روزرسانی این ابرپارامترها و انتخاب مقدار بهینه به‌صورت آزمون و خطا می‌تواند از نظر زمان به‌صرفه باشد؛ زیرا انتخاب مقدار نزدیک به مقدار بهینه نیز کافی است و دقت الگوریتم زیاد تغییر نمی‌کند. جهت محاسبه خطا در زمان‌هاي مختلف و به‌روزرسانی مقادیر وزن‌ها از تابع خطا استفاده شده است. محاسبه خطا به‌صورت (12) است

(12)

در واقع براي مقایسه نتایج پیش‌بینی‌شده با مقادیر اصلی و کاهش خطا از (12) استفاده شده است. هدف اصلی در تعریف تابع RMSE، حداقل‌سازي خطاست. در (12) و به‌ترتیب مقادیر واقعی و پیش‌بینی‌شده هستند.

3-1-3 k- میانگین

رگرسیون، یک روش براي پیش‌بینی و خوشه‌بندي، یک روش برای طبقه‌بندي است که افراد (نقاط داده) را به گروه‌هاي مختلف (خوشه‌ها)

جدول 4: حملات موجود در مجموعه داده 15UNSW-NB.

برچسب	اندازه	توزیع (%)
Normal	56000	94/31
Backdoor	1746	1
Analysis	2000	14/1
Fuzzers	18184	30/10
Shellcode	1133	65/0
Reconnaissance	10491	98/5
Exploits	33393	04/19
DoS	12264	99/6
Worms	130	07/0
Generic	40000	81/22
Total	175341	100

طبقه‌بندي می‌کند و الگوریتمی مؤثر براي داده‌های با حجم زیاد است. خوشه‌بندي یک روش داده‌کاوي بدون نظارت است و این بدان معناست که این نوع الگوریتم‌ها به مجموعه داده‌هاي آموزشی نیاز ندارند. از محبوب‌ترین روش‌هاي خوشه‌بندي، خوشه‌بندي مبتنی بر بخش‌بندی و مبتنی بر سلسله‌مراتب است. خوشه‌بندي میانگین که در آن تعداد خوشه‌ها را نشان می‌دهد، نوعی خوشه‌بندي مبتنی بر بخش‌بندي است. در خوشه‌بندي میانگین، هر خوشه توسط مرکز (یا میانگین) نقاط داده در خوشه تعریف می‌شود.

جهت شروع فرایند خوشه‌بندي، میانگین ابتدا به انتخاب مقدار یا همان تعداد خوشه‌ها نیاز دارد و سپس نقطه داده به‌عنوان مرکز اصلی انتخاب می‌شود. می‌توان مرکز را به‌صورت تصادفی یا بر اساس توزیع داده انتخاب کرد. بعد از آن فاصله هر نقطه داده تا هر مرکز محاسبه می‌شود و یک نقطه داده، عضو خوشه‌اي است که از همه خوشه‌هاي دیگر به آن نزدیک‌تر است. هنگامی که همه نقاط داده درون یک خوشه قرار می‌گیرند، مرکز نقاط یک خوشه مجدداً محاسبه می‌شود. فواصل هر نقطه داده تا هر مرکز جدید نیز محاسبه می‌شود و به‌دنبال آن دسته‌بندي مجدد نقاط بر اساس خوشه‌ها بر اساس قانون کمترین فاصله، انجام می‌شود [40].

روش‌‌ها و الگوریتم‌های متعددی برای تبدیل داده‌ها به گروه‌های هم‌شکل یا مشابه وجود دارد. الگوریتم میانگین یکی از ساده‌ترین الگوریتم‌ها در داده‌کاوی به‌خصوص در حوزه یادگیری نظارت‌نشده است. درجه پیچیدگی محاسباتی این الگوریتم برابر با است که
تعداد اشیا، بعد ویژگی‌ها و تعداد خوشه‌ها می‌باشد. همچنین پیچیدگی زمانی برای این الگوریتم برابر با است که البته منظور از تعداد تکرارهای الگوریتم برای رسیدن به جواب بهینه است. با توجه به اینکه بعد از پیش‌بینی داده‌ها توسط LSTM و GRU داده‌های جدید دارای 1 ویژگی و 2 خوشه هستند، پیچیدگی زمانی و محاسباتی بسیار کم است. از طرف دیگر با توجه به آنکه داده‌های مورد استفاده در این مرحله به‌صورت منظم هستند، انتخاب مرکز اولیه که یکی از مشکلات این الگوریتم است دیگر تأثیر زیادی نخواهد داشت.

3-2 نتایج تجربی

جهت ارزیابی روش پیشنهادی، برخی آزمایش‌ها، انجام و سپس نتایج آنها گزارش شده است. این بخش مقاله در سه زیربخش سازمان‌دهی گردیده است.

3-2-1 مجموعه داده

علی‌رغم بعضی اقدامات، هنوز دو مجموعه داده NSL-KDD و 99KDDCUP مشکلاتی دارند. در سال‌هاي اخیر، برخی از محققان مشاهده کرده‌اند که نقص این دو مجموعه داده تأثیر منفی بر عملکرد طبقه‌بندي سیستم‌هاي تشخیص نفوذ خواهد داشت. اول اینکه کمبود نمونه‌هاي حملات سطح پایین که در شبکه‌هاي امروزي رایج است، وجود دارد. در واقع حملات سطح پایین به‌تدریج با گذشت زمان، خصوصیت خود را از دست داده و به ترافیک عادي تبدیل می‌شوند که نوعی حمله پنهانی هستند. دوم اینکه مجموعه داده‌هاي آزمایشی این دو مجموعه داده، شامل بخشی از داده‌هاي جدید هستند و منجر به افزایش نرخ هشدار غلط می‌شوند. سوم اینکه با تغییر محیط شبکه با گذشت زمان، داده‌هاي زاید زیادي در این دو مجموعه داده وجود دارد که بسیار نامعقول به نظر می‌رسند. به‌طور خلاصه، اگرچه این دو مجموعه داده، سهم قابل توجهی در توسعه تشخیص نفوذ داشته‌اند، اکنون براي بازتاب فضاي واقعی شبکه کافی نیستند [41] و بنابراین در این پژوهش از مجموعه داده عمومی 15UNSW-NB استفاده می‌شود که توسط آزمایشگاه مرکز امنیت سایبري استرالیا (ACCS) ایجاد گردیده است. رفتارهاي غیرطبیعی در 15UNSW-NB به 9 دسته اصلی تقسیم می‌شوند و هر کلاس رفتار غیرطبیعی نیز به رفتارهاي خاص حمله تقسیم می‌گردد. حملات موجود در مجموعه داده 15UNSW-NB در جدول 4 نشان داده شده و همچنین تعداد داده‌هاي استفاده‌شده جهت آموزش و آزمایش شبکه در جدول 5 آمده است.

مجموعه داده 15UNSW-NB داراي تعداد ویژگی‌هاي زیادي است؛ اما چون قرار است که ترافیک حمله این مجموعه داده با ترافیک نرمال مجموعه داده SDN-IoT ادغام شود در این مجموعه داده، ویژگی‌هاي مشترك یعنی زمان ارسال، آدرس مبدأ، آدرس مقصد، نوع پروتکل و طول بسته انتخاب می‌شوند. در مجموعه داده‌ها- با توجه به اینکه ویژگی نوع پروتکل از نوع رشته است- براي تبدیل این ویژگی به‌صورت صحیح به شکل بعدی عمل می‌شود. در ابتدا به‌جاي اسامی هر کدام از پروتکل‌ها از اعداد صحیح در جدول 6 که نگاشت نوع پروتکل در مجموعه داده‌ها به عدد صحیح را نشان می‌دهد، استفاده شده است. همچنین نقطه‌اي را که در بین آدرس‌ها و زمان‌ها وجود دارد حذف کرده و سپس با استفاده از نرمال‌سازي، همه ستون‌ها به‌روزرسانی شده است.

3-2-2 معیارهای ارزیابی

در این مقاله براي ارزیابی، پارامترهاي ، ، ، و ، محاسبه و هر کدام از این معیارها در ادامه توصیف شده است.

- معیار : معیاري است جهت نشان‌دادن نمونه‌هایی که سیستم آنها را به‌اشتباه، عضو دسته منفی تشخیص داده است؛ در حالی که این نمونه‌ها عضو دسته مثبت هستند. این معیار با کمک (13) محاسبه می‌شود. در (13)، ¹ تعداد مواردي است که در آن هر دو کلاس واقعی و پیش‌بینی‌شده، منفی هستند. همچنین ² تعداد مواردي است که در آن کلاس واقعی داده‌ها منفی است؛ اما کلاس پیش‌بینی‌شده، مثبت است

(13)

[1] . True Negative

[2] . False Positive

جدول 5: مجموعه داده‌هاي استفاده‌شده براي آموزش و آزمایش شبکه.

نام مجموعه داده

داده‌های طبیعی

داده‌های غیرطبیعی

تعداد داده‌های آموزشی

تعداد داده‌های آزمایشی

توزیع داده‌ها

SI-dataset

30000

15000

31500

13500

%70 آموزشی

%30 آزمایشی

SI-UNSW-dataset

30000

15000

31500

13500

%70 آموزشی

%30 آزمایشی

جدول 6: نگاشت نوع پروتکل در مجموعه داده‌ها به عدد صحیح.

شماره تخصیص‌یافته	پروتکل	شماره تخصیص‌یافته	پروتکل	شماره تخصیص‌یافته	پروتکل
43	PKIX-CRL	22	DIAMETER	1	BJNP
44	RSL	23	DISTCC	2	DHCP
45	RSVP	24	ESP	3	DNS
46	SAB	25	Gearman	4	HTTP
47	SIP	26	GQUIC	5	ICMP
48	SSDP	27	GSMTAP	6	2IGMPv
49	SSL	28	GTP	7	MDNS
50	2SSLv	29	HTTP/XML	8	NTP
51	STUN	30	ICP	9	SSH
52	TCPCL	31	3IGMPv	10	2SSHv
53	TFP over TCP	32	4IPv	11	TCP
54	1TLSv	33	ISAKMP	12
55		34	LISP	13	UDP
56		35	MIH	14	KNXnet/IP
57	UDPENCAP	36	MPTCP	15	ADwin Config
58	WOW	37	NBNS	16	13AJP
59	XMPP/XML	38	NDPS	17	ASAP
60	Ospf	39	NVMe/TCP	18	4000AX
61	Rdp	40	OCSP	19	BFD Control
		41	OpcUa	20	BROWSER
		42	PCEP	21	DCERPC

- معیار پوشش : این معیار میزان حساسیت یک روش در تشخیص موارد مثبت است. در (14) ¹ مواردي است که کلاس واقعی و پیش‌بینی‌شده، هر دو مثبت هستند و نیز ² مواردی است که در آن موارد کلاس واقعی داده‌ها مثبت است؛ اما کلاس پیش‌بینی‌شده، منفی است

(14)

- معیار : این معیار نشان‌دهنده مواردي است که دسته‌بند، آنها را عضو دسته منفی تشخیص داده است؛ در حالی که آنها عضو دسته مثبت هستند. این معیار با (15) محاسبه می‌‍‌شود

(15)

- معیار : این معیار نشان‌دهنده مواردي است که دسته‌بند، آنها را مثبت تشخیص داده است؛ در حالی که آنها عضو دسته منفی هستند و به‌صورت (16) محاسبه می‌شود

(16)

- معیار دقت یا : دقت معیاري براي بررسی میزان خوب‌بودن یک الگوریتم است و به‌صورت (17) محاسبه می‌شود

(17)

3-2-3 ارزیابی روش پیشنهادی

در این بخش، کارایی روش پیشنهادی با انجام آزمایش‌های متعدد ارزیابی شده و جهت ارزیابی هر کدام از الگوریتم‌های LSTM و GRU دو آزمایش متفاوت انجام گردیده است. در آزمایش اول برای هر کدام
از این الگوریتم‌ها، مجموعه داده SI در مرحله آموزش و مجموعه داده SI-UNSW در مرحله آزمون استفاده شده است. در آزمایش دو، مجموعه داده SI-UNSW در مرحله آموزش و مجموعه داده SI در مرحله آزمون مورد استفاده قرار گرفته و نتایج آزمایش اول و دوم برای الگوریتم‌های LSTM و GRU در جداول 7 و 8 ارائه شده است. در این جداول در آزمایش 1 از مجموعه داده‌هاي مشابه، جهت آموزش و آزمون استفاده شده است؛ یعنی داده‌هاي استفاده‌شده جهت آموزش و آزمون از یک مجموعه داده هستند.

[1] . True Positive

[2] . False Negative

جدول 7: نتایج آزمایش اول و دوم برای الگوریتم‌های LSTM.

نتايج آزمايش با مجموعه داده‌هاي آموزش	معیار‌های ارزیابی LSTM
نتايج آزمايش با مجموعه داده‌هاي آموزش	ACC	FPR	FNR	TPR	TNR	Precision	1F
آزمايش با مجموعه داده SI	8/98	1/1	1/1	8/98	9/98	4/99	1/99
آموزش با SI آزمايش با مجموعه داده SI-UNSW	7/99	5/0	1/0	9/99	4/99	7/99	8/99
آموزش با SI-UNSW آزمايش با مجموعه داده SI	1/97	07/0	1/4	8/95	9/99	9/99	8/97

جدول 8: نتایج آزمایش اول و دوم برای الگوریتم‌های GRU.

نتايج آزمايش با مجموعه داده‌هاي آموزش	معیار‌های ارزیابی GRU
نتايج آزمايش با مجموعه داده‌هاي آموزش	ACC	FPR	FNR	TPR	TNR	Precision	1F
آزمايش با مجموعه داده SI	99	1/1	9/0	99	8/98	4/99	2/99
آموزش با SI آزمايش با مجموعه داده SI-UNSW	9/99	0	07/0	9/99	1	1	9/99
آموزش با SI-UNSW آزمايش با مجموعه داده SI	6/95	6/1	5/5	5/94	3/98	2/99	8/96

جدول 9: نتایج مقایسه کارایی روش پیشنهادی و سایر روش‌های مشابه.

روش	ACC	TPR	FPR	مزایا و معایب
Silveira و همکاران [32]	93	-	6	روش پیشنهادي با رگرسیون منطقی دقت خوبی دارد؛ اما FPR نیز بالاست.
Wani و همکاران [33]	9/95	4/96	7	الگوریتم MLP دقت بالایی دارد؛ اما همچنان FPR بالاست و فقط جهت شناسایی حمله DDOS است.
Hamza و همکاران [40]	بالا	-	-	الگوریتم بیز و استفاده از MUD براي به‌دست‌آوردن امضای داده‌هاي طبیعی و غیرطبیعی و نیز کارایی بهتر از Snort ذکرنکردن مقدار ACC و FP
Hamza و همکاران [41]	5/97	3/72	4/2	استفاده از MUD که نیاز به سخت‌افزار اضافی دارد و همچنین استفاده از 4 الگوریتم به‌صورت ترکیبی که بسیار وقت‌گیر می‌باشد؛ این در حالیست که TPR بسیار پایین است.
روش پیشنهادی	99	99	1/1	دقت و TPR بالا، FPR بسیار پایین و مدت زمان آموزش کمتر از مزایای روش پیشنهادي است.

همان طور که نتایج آزمایش‌ها در جداول 7 و 8 نشان داده است، الگوریتم GRU و LSTM تقریباً داراي نتایج یکسانی بوده‌اند به‌جز زمان آموزش که GRU حدود 30% از الگوریتم LSTM بهتر بوده است.

در آزمایش 2، ابتدا داده‌ها با مجموعه داده SI آموزش دیده و سپس با مجموعه داده UNSW مورد آزمایش قرار گرفته‌اند. در واقع در مجموعه داده آزمون، حملات جدیدي وجود دارند که در داده‌هاي آموزشی، وجود نداشته‌اند. هدف اصلی در این آزمایش، بررسی شبکه براي حملات جدید بوده که نتایج، دقتی در حدود 9/99% را نشان می‌دهند.

در آزمایش 3، ابتدا داده‌ها با مجموعه داده SI-UNSW آموزش دیده
و سپس با مجموعه داده SI مورد آزمون قرار گرفته‌اند. همچنین نتایج ارزیابی الگوریتم‌ها نشان می‌دهند که برعکس آزمایش 2، در اینجا دقت کاهش‌ یافته و نیز افزایش داشته است. در واقع دلیل این امر آن است که ترافیک غیرنرمالی که در مرحله آزمایش مورد استفاده قرار گرفته است از همان شبکه‌اي که داده‌هاي نرمال به‌دست آمده‌اند به وجود آمده؛ اما در مرحله آموزش مورد استفاده قرار نگرفته و این موضوع باعث شده که شبکه، این داده‌ها را تا حدي شبیه داده‌هاي نرمال شناسایی کند؛ هرچند دقت و بقیه معیارهاي ارزیابی هنوز مناسب بوده و جهت شناسایی حملاتی که در مرحله آموزش استفاده نشده‌اند بسیار عالی عمل کرده‌اند.

4- مقایسه روش پیشنهادی با سایر روش‌ها

در این بخش، مقایسه کارایی روش پیشنهادی و سایر روش‌های قبلی مشابه انجام شده و سپس نتایج مقایسه در جدول 9 ارائه گردیده است. در این جدول، مقایسه‌اي بین روش پیشنهادي و روش‌هاي دیگر انجام شده و همان طور که مشاهده می‌شود، روش Zhang و همكاران [41] با استفاده از مشخصات موجود در MUD هر دستگاه، سیستم تشخیص نفوذ آموزش می‌بیند. سپس در مرحله ديگری با استفاده از ويژگي‌هاي موجود در سرآيند جريان‌ها، سيستم تشخيص نفوذ، آموزش مجدد می‌بیند. در واقع ابتدا در مرحله اول با PCA تعداد ویژگی‌ها کاهش می‌یابد و سپس با استفاده از X-means فرایند کلاس‌بندي انجام شده و سپس خروجی هر دو مرحله در اختیار الگوریتم‌هاي boundary detection و زنجیره مارکوف براي خوشه‌بندي نهایی قرار می‌گیرد. همان طور که مشاهده می‌شود این روش از دو مرحله استفاده می‌کند که براي محیط SDN-IoT مناسب نیست؛ زیرا دستگاه‌هاي اینترنت اشیا در مدت زمان بسیار کوتاه، ترافیک بسیار زیادي تولید می‌کنند و سوئیچ‌هاي شبکه، درخواست‌هاي زیادي را براي کنترلر می‌فرستند که با دو مرحله‌کردن فرایند شناسایی با تأخیر مواجه می‌شود. از طرفی دیگر هنوز استاندارد اضافه‌کردن MUD به دستگاه‌هاي اینترنت اشیا رواج پیدا ‌نکرده است.

5- نتیجه‌گیری و پژوهش‌های آتی

در این مقاله، یک روش جدید ترکیبی با بهره‌مندی از مزایای استراتژی به‌کاررفته در الگوریتم‌های یادگیری ماشین LSTM و GRU در راستای بهبود عملکرد یک سیستم تشخیص نفود در محیط SDN-IoT، پیشنهاد و سه ویژگی مهم در روش پیشنهادی بیان شده است:

- روش پیشنهادی با درنظرگرفتن ترافیک بسیار زیاد دستگاه‌هاي اینترنت اشیا، زمان پاسخ سیستم تشخیص نفوذ به سوئیچ‌ها و ... پیشنهاد شده است.

- استفاده از مجموعه داده مرتبط با ترافیک SDN-IoT: مرور ادبیات نشان می‌دهد که در اغلب پژوهش‌هاي موجود SDN-IoT، توجه خاصی نسبت به استفاده از مجموعه داده‌های به‌روزنشده است.

- قابلیت پیاده‌سازي راحت و بدون نیاز به سخت‌افزارهاي خاص: متاسفانه در بسیاري از پژوهش‌ها نسبت به سهولت پیاده‌سازي روش‌ها به‌صورت عملی، توجه نشده است.

نتایج ارزیابی نشان می‌دهند که روش پیشنهادي، نتایج خوبی در زمینه تشخیص نفوذ در محیط SDN-IoT دارد. عدم وجود یک مجموعه داده استاندارد جهت آموزش روش‌هاي پیشنهادي در این زمینه، چالشی است که می‌تواند پژوهشگران را سردرگم کند؛ بنابراین ارائه یک مجموعه داده استاندارد متناسب با SDN-IoT می‌تواند انجام پژوهش در این زمینه را تسهیل نماید. همچنین براي کارهاي آتی می‌توان از الگوریتم‌هاي دیگر یادگیري ماشین مانند RBM، DNN، CNN و ... استفاده کرد. در واقع الگوریتم‌هاي بازگشتی در آموزش وقت‎گیر هستند؛ لذا ارائه یک روش که بتواند مدت زمان آموزش را کاهش دهد می‌تواند مفید واقع شود.

مراجع

[1] J. Gubbi, R. Buyya, S. Marusic, and M. Palaniswami, "Internet of Things (IoT): a vision, architectural elements and future directions," Future Generation Computer Systems, vol. 29, no. 7, pp. 1645-1660, Sep. 2013.

[2] R. Kushwah, P. K. Batra, and A. Jain, "Internet of things architectural elements, challenges and future directions," in Proc. 6th Int. Conf. on Signal Processing and Communication, ICSC'20, 5 pp., Noida, India, 5-7 Mar. 2020.

[3] A. Koohang, C. S. Sargent, J. H. Nord, and J. Paliszkiewicz, "Internet of Things (IoT): from awareness to continued use," International J. of Information Management, vol. 62, Article ID: 102442-, Feb. 2020.

[4] U. Farooq, N. Tariq, M. Asim, T. Baker, and A. Al-Shamma'a, "Machine learning and the internet of things security: solutions and open challenges," J. of Parallel and Distributed Computing, vol. 162, pp. 89-104, Apr. 2022.

[5] P. Mishra, A. Biswal, S. Garg, R. Lu, M. Tiwary, and D. Puthal, "Software defined internet of things security: properties, state of the art, and future research," IEEE Wireless Communications, vol. 27, no. 3, pp. 10-16, Jun. 2020.

[6] A. E. Omolara, et al., "The internet of things security: a survey encompassing unexplored areas and new insights," Computers & Security, vol. 112, Article ID: 102494, Jan. 2022.

[7] X. Guo, H. Lin, Z. Li, and M. Peng, "Deep-reinforcement-learning-based QoS-aware secure routing for SDN-IoT," IEEE Internet of Things J., vol. 7, no. 7, pp. 6242-6251, Dec. 2019.

[8] P. K. Sharma, J. H. Park, Y. S. Jeong, and J. H. Park, "SHSec: SDN based secure smart home network architecture for internet of things," Mobile Networks and Applications, vol. 24, pp. 913-924 2018.

[9] S. Rathore, B. W. Kwon, and J. H. Park, "BlockSecIoTNet: blockchain-based decentralized security architecture for IoT network," J. of Network and Computer Applications, vol. 143, pp. 167-177, Oct. 2019.

[10] H. Honar Pajooh, M. Rashid, F. Alam, and S. Demidenko, "Multi-layer blockchain-based security architecture for internet of things," Sensors, vol. 21, no. 3, Article ID: 772, 2021.

[11] A. Dawoud, S. Shahristani, and C. Raun, "Deep learning and software-defined networks: towards secure IoT architecture," Internet of Things, vol. 3-4, pp. 82-89, Oct. 2018.

[12] N. McKeown, et al., "OpenFlow: enabling innovation in campus networks," ACM Sigcomm Computer Communication Review, vol. 38, no. 2, pp. 69-74, Apr. 2008.

[13] M. Babiker Mohamed, et al., "A comprehensive survey on secure software‐defined network for the Internet of Things," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 1, Article ID: e4391, Jan. 2022.

[14] D. Sovilj, P. Budnarain, S. Sanner, G. Salmon, and M. Rao, "A comparative evaluation of unsupervised deep architectures for intrusion detection in sequential data streams," Expert Systems with Applications, vol. 159, Article ID: 113577, Nov. 2020.

[15] C. W. Chang, C. Y. Chang, and Y. Y. Lin, "A hybrid CNN and LSTM-based deep learning model for abnormal behavior detection," Multimedia Tools and Applications, vol. 81, no. 2, pp. 1-19, Apr. 2022.

[16] K. Smagulova and A. P. James, "A survey on LSTM memristive neural network architectures and applications," the European Physical J. Special Topics, vol. 228, no. 10, pp. 2313-2324, Oct. 2019.

[17] N. Alqudah, M. Y. Qussai, "Machine learning for traffic analysis: a review," Procedia Computer Science, vol. 170, pp. 911-916, 2020.

[18] S. K. Tayyaba, M. A. Shah, O. A. Khan, and A. W. Ahmed, "Software defined network (SDN) based internet of things (IoT) a road ahead," in Proc. of the International Conf. on Future Networks and Distributed Systems, Article ID: 15, 8 pp., Cambridge, UK, 19-20, Jul. 2017.

[19] R. Bhatia, S. Benno, J. Esteban, T. V. Lakshman, and J. Grogan, "Unsupervised machine learning for network-centric anomaly detection in IoT," in Proc. of the 3rd ACM Context Workshop on
Big Data, Machine Learning and Artificial Intelligence for Data Communication Networks, pp. 42-48, Orlando, FL, USA, 9-9 Dec .2019.

[20] D. Arellanes and K. K. Lau, "Evaluating IoT service composition mechanisms for the scalability of IoT systems," Future Generation Computer Systems, vol. 108, pp. 827-848, Mar. 2020.

[21] S. Bera, S. Misra, and A. V. Vasilakos, "Software-defined networking for internet of things: a survey," IEEE Internet of Things J., vol. 4, no. 6, pp. 1994-2008, Aug. 2017.

[22] M. Singh and G. Baranwal, "Quality of Service (QoS) in internet
of things," in Proc. 3rd Int. Conf. on Internet of Things: Smart Innovation and Usages, IoT-SIU'18, 6 pp., Bhimtal, India, 23-24 Feb. 2018.

[23] T. A. Nguyen, D. Min, and E. Choi, "A hierarchical modeling and analysis framework for availability and security quantification of IoT infrastructures," Electronics, vol. 9, no. 1, Article ID: 155, Jan. 2020.

[24] R. Swami, M. Dave, and V. Ranga, "Voting‐based intrusion detection framework for securing software‐defined networks," Concurrency and Computation: Practice and Experience, vol. 32, no. 24, Article ID: e5927, 25 Dec. 2020.

[25] I. Rabet, et al., "SDMob: SDN-based mobility management for IoT networks," J. of Sensor and Actuator Networks, vol. 11, no. 1, Article ID: 8, 2022.

[26] B. Alzahrani and N. Fotiou, "Enhancing internet of things security using software-defined networking," J. of Systems Architecture, vol. 110, Article ID: pp. 101779, Nov. 2020.

[27] A. Hamza, H. H. Gharakheili, and V. Sivaraman, "Combining MUD policies with SDN for IoT intrusion detection," in Proc. of the Workshop on IoT Security and Privacy, 7 pp., Budapest, Hungary, 20-20, Aug. 2018.

[28] G. Shravanya, N. H. Swati, R. P. Rustagi, and O. Sharma, "Securing distributed SDN controller network from induced DoS attacks," in Proc., IEEE International Conf. on Cloud Computing in Emerging Markets, CCEM'19, pp. 9-16, Bengaluru, India, 19-20 Sept. 2019.

[29] A. Hamza, H. H. Gharakheili, T. A. Benson, and V. Sivaraman, "Detecting volumetric attacks on lot devices via SDN-based monitoring of mud activity," in Proc. of the ACM Symp. on SDN Research, pp. 36-48, San Jose, CA, USA, 3-4 Apr. 2019.

[30] C. Xu, H. Lin, Y. Wu, X. Guo, and W. Lin, "An SDN FV-based DDoS defense technology for smart cities," IEEE Access, vol. 7, pp. 137856-137874, 2019.

[31] O. Salman, I. H. Elhajj, A. Chehab, and A. Kayssi, "A machine learning based framework for IoT device identification and abnormal traffic detection," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 3, Article ID: e3743, Mar. 2022.

[32] F. A. F. Silveira, F. Lima-Filho, F. S. D. Silva, A. D. M. B. Junior, and L. F. Silveira, "Smart detection-IoT: a DDoS sensor system for Internet of Things," in Proc. Int. Conf. on Systems, Signals, and Image Processing, IWSSIP'20, pp. 343-348, Niteroi, Brazil, 1-3 Jul. 2020.

[33] A. Wani and S. Revathi, "DDoS detection and alleviation in IoT using SDN (SDN IoT-DDoS-DA)," J. of the Institution of Engineers (India): Series B, vol. 101, no. 3, pp. 117-128, Apr. 2020.

[34] M. P. Novaes, L. F. Carvalho, J. Lloret, and M. L. Proenca, "Long short-term memory and fuzzy logic for anomaly detection and mitigation in software-defined network environment," IEEE Access, vol. 8, pp. 83765-83781, 2020.

[35] Y. Meidan, et al., "A novel approach for detecting vulnerable IoT devices connected behind a home NAT," Computers & Security, vol. 97, Article ID: 101968, Oct. 2020.

[36] S. H. Khan, A. R. Arko, and A. Chakrabarty, "Anomaly detection in IoT using machine learning," In: S. Misra, A. K. Tyagi, V. Piuri, and L. Garg (Eds.), Artificial Intelligence for Cloud and Edge Computing Springer, Chap, pp. 237-254, 2022.

[37] M. Abdullahi, et al., "Detecting cybersecurity attacks in internet of things using artificial intelligence methods: a systematic literature review," Electronics, vol. 11, no. 2, Article ID: e3743198, 2022.

[38] M. V. Assis, L. F. Carvalho, J. Lloret, and M. L. Proença Jr, "A GRU deep learning system against attacks in software defined networks," J. of Network and Computer Applications, vol. 177, Article ID: 102942, 2021.

[39] A. S. Alshra'a, A. Farhat, and J. Seitz, "Deep learning algorithms for detecting denial of service attacks in software-defined networks," Procedia Computer Science, vol. 191pp. 254-263, 2021.

[40] A. Likas, N. Vlassis, and J. J. Verbeek, "The global k-means clustering algorithm," Pattern Recognition, vol. 36, no. 2, pp. 451-461, Feb. 2003.

[41] J. Zhang, Y. Ling, X. Fu, X. Yang, G. Xiong, and R. Zhang, "Model of the intrusion detection system based on the integration of spatial-temporal features," Computers & Security, vol. 89, Article ID: 101681, Feb. 2020.

ذکریا رئیسی در سال 1394 مدرك كارشناسي مهندسي کامپیوتر خود را از دانشگاه سیستان و بلوچستان و در سال 1399 مدرك كارشناسي ارشد مهندسي فناوری اطلاعات خود را از دانشگاه یزد دريافت نمود. زمينه‎هاي علمي مورد علاقه نامبرده شامل موضوعاتي مانند شبکه‌های کامپیوتری، امنیت شبکه، سیستم‌های توزیعی و مديريت شبكه‎هاي كامپيوتري مي‎باشد.

فضل‌الله ادیب‌نیا در سال 1365 مدرك كارشناسي مهندسي کامپیوتر خود را از دانشگاه صنعتي اصفهان و در سال 1368 مدرك كارشناسي‌ارشد مهندسي برق خود را از دانشگاه صنععتی شریف و در سال 1378 مدرک دکترای مهندسی کامپیوتر خود را از دانشگاه برمن آلمان دريافت نمود. و هماكنون دانشیار دانشكده مهندسي كامپيوتر دانشگاه یزد مي‎باشد. زمينه‎هاي تحقيقاتي مورد علاقه ايشان عبارتند از: شبکه‌های کامپیوتری، مکان‌یابی در شبکه‌ها، امنیت رایانه و شبکه، زنجیره بلوکی و سیستم‌های توزیعی است.

مهدی یزدیان دهکردی مدرک کارشناسی مهندسی کامپیوتر گرایش نرم‌افزار را در سال 1385 از دانشگاه یزد و مدرک کارشناسی ارشد و دکترای خود را بهترتیب در سال‌های 1388 و 1394 در رشته مهندسی کامپیوتر گرایش هوش مصنوعی از دانشگاه شیراز اخذ کرد. وی از سال 1394 در دانشکده مهندسی کامپیوتر دانشگاه یزد مشغول به فعالیت گردید و در حال حاضر عضو هیأت علمی این دانشکده می‌باشد. زمینههای پژوهشی مورد علاقه ایشان بینایی ماشین، یادگیری ماشین، یادگیری عمیق و تحلیل داده است.

شارک

عنوان URL للمقالة

روش ترکیبی جدیدی مبتنی بر الگوریتم¬های هوشمند جهت تشخیص نفوذ در SDN-IoT

رایمگ

الروابط

المراكز ذات الصلة

دعامة

الصفحات الرسمية