• الصفحة الرئيسية
  • تشخیص نفوذ و ناهنجاری ها با استفاده از داده کاوی و انتخاب ویژگی ها بوسیله الگوریتم PSO

شارک

عنوان URL للمقالة


رقم المقالة : iranaict-47068 زيارة : 581 الصفحة: 84 - 92

نوع المخطوط: المحکّمة

تشخیص نفوذ و ناهنجاری ها با استفاده از داده کاوی و انتخاب ویژگی ها بوسیله الگوریتم PSO

الموضوعات :

فریدون رضائی 1 (گروه مدیریت فناوری اطلاعات، دانشگاه آزاد اسلامی واحد تهران مرکز)
محمدعلی افشار کاظمی 2 (دانشگاه آزاد اسلامی تهران مرکزی)
محمد علی کرامتی 3 (گروه مدیریت صنعتی)

تاريخ الإرسال : 24 الثلاثاء , جمادى الثانية, 1444 تاريخ التأكيد : 15 الثلاثاء , شعبان, 1444 تاريخ الإصدار : 14 الخميس , ذو الحجة, 1445

الکلمات المفتاحية: PSO, J48, داده‌کاوی, حملات سایبری, NLC-KDD,

ملخص المقالة :

امروزه با توجه به پیشرفت فناوری و توسعه استفاده از اینترنت در کسب و کارها و تغییر نوع کسب و کارها از حالت فیزیکی به مجازی و اینترنت، باعث شده است که نوع حملات و ناهنجاری‌های مرتبط نیز از حالت فیزیکی به حالت مجازی تغییر کند. یعنی بجای دستبرد به یک فروشگاه یا مغازه، افراد با استفاده از حملات سایبری به سایت‌ها و فروشگاه‌های مجازی نفوذ کرده و در آنها اخلال ایجاد می‌کنند. آشکارسازی حملات و ناهنجاری‌ها یکی از چالش‌های جدید در مسیر پیشبرد تکنولوژی تجارت الکترونیک می‌باشد. تشخیص ناهنجاری‌های یک شبکه و فرآیند شناسایی فعالیت‌های مخرب در کسب و کارهای تجارت الکترونیک با تجزیه و تحلیل رفتار ترافیک شبکه امکان‌پذیر است. سیستم‌های داده‌کاوی بطور گسترده‌ای در سیستمهای تشخیص نفوذ (IDS) برای تشخیص ناهنجاری‌ها استفاده می‌شوند. کاهش ابعاد ویژگی‌ها نقش بسیار مهمی در تشخیص نفوذ ایفا می‌کند، زیرا تشخیص ناهنجاری‌ها از ویژگی‌های ترافیک شبکه با ابعاد بالا فرآیندی زمان‌بری است. انتخاب ویژگی‌های درست و مناسب بر سرعت تجزیه و تحلیل و کار پیشنهادی تاثیر می‌گذارد و می‌تواند سرعت تشخیص را بهبود بخشد. در این مقاله با استفاده از الگوریتم‌های داده‌کاوی مانند بیزین، پرسپترون چندلایه، CFS، Best First، J48 و PSO، میزان دقت تشخیص ناهنجاری‌ها و حملات به 0.996 و میزان خطای آن 0.004 رسانده شده است.

المصادر:

[1] Abdelhamid, N., Ayesh, A., Thabtah, F., “Phishing detection based Associative Classification data mining”, Expert Systems with Applications 41 5948–5959, 2014.
[2] Rezaei F, Afshar Kazemi M A, Keramati M A. Detection of E-commerce Attacks and Anomalies using Adaptive Neuro-Fuzzy Inference System and Firefly Optimization Algorithm . itrc 2021; 13 (1) :32-39
URL: http://ijict.itrc.ac.ir/article-1-477-en.html
[3] Hasan, Mahmudul, et al. "Attack and anomaly detection in IoT sensors in IoT sites using machine learning approaches." Internet of Things 7 (2019): 100059.
[4] Kotenko, Igor, et al. "Attack detection in IoT critical infrastructures: a machine learning and big data processing approach." 2019 27th Euromicro International Conference on Parallel, Distributed and NetworkBased Processing (PDP). IEEE, 2019.
[5] Foley, John, Naghmeh Moradpoor, and Henry Ochen. "Employing a Machine Learning Approach to Detect Combined Internet of Things Attacks against Two Objective Functions Using a Novel Dataset." Security and Communication Networks 2020 (2020).
[6] Assistant, Masoud, "Detection of attacks in electronic banking using fuzzy-rough combined system" computer department of Imam Reza University (AS), 2014.
[7] Al-jarrah, O., Arafat, A., “Network Intrusion Detection System using attack behavior classification.”, Paper presented at the Information and Communication Systems (ICICS), 2014 5th International Conference on.
[8] Kohavi, R., John, G. H., “Wrappers for feature subset selection”, Artificial Intelligence,Vol. 97, pp. 273-324, 1997.
[9] Doshi, Rohan, Noah Apthorpe, and Nick Feamster. "Machine learning ddos detection for onsumer internet of things devices." 2018 IEEE Security and Privacy Workshops (SPW). IEEE, 2018.
[10] Syed, Naeem Firdous, et al. "Denial of service attack detection through machine learning for the IoT." Journal of Information and Telecommunication (2020): 1-22.
[11] Manimurugan, S., et al. "Effective Attack Detection in Internet of Medical Things Smart Environment Using a Deep Belief Neural Network." IEEE Access 8 (2020): 77396-77404.
[12] Latif, Shahid, et al. "A Novel Attack Detection Scheme for the Industrial Internet of Things Using a Lightweight Random Neural Network." IEEE Access 8 (2020): 89337-89350.
[13] Singh, P., Jain, N., Maini, A., “Investigating the Effect Of Feature Selection and Dimensionality Reduction On Phishing Website Classification Problem”, 1st International Conference on Next Generation Computing Technologies (NGCT) Dehradun, India, IEEE, pp. 388-393, 2015.
[14] Alizadeh Bahrami, Karimi, Abdullahi Fard, "J48 Decision Tree in Intelligent Intrusion Detection Systems", National Conference on New Researches in Electrical, Computer and Medical Engineering, Islamic Azad University, Kazeroon Branch, July 27, 2016
[15] Baharlo, Yari, "Improving the method of identifying phishing websites using data mining on web pages", two scientific quarterly magazines of Iran Information and Communication Technology, Iran Information and Communication Technology Association, 12th year, numbers 43 and 44, Spring and summer 2019, pages 27-38
[16] K. L. Chiew, C. L. Tan, K. Wong, K. S. Yong, and W. K. Tiong, “A new hybrid ensemble feature selection framework for machine learningbased phishing detection system,” Information Sciences, vol. 484, pp. 153–166, 2019.
[17] M. Almseidin, A. A. Zuraiq, M. Alkasassbeh, and N. Alnidami, “Phishing detection based on machine learning and feature selection methods,” International Journal of Interactive Mobile Technologies (iJIM), vol. 13, no. 12, pp. 171–183, 2019.
[18] Meenu , Sunila godara, “Phishing Detection using Machine Learning Techniques”, International Journal of Engineering and Advanced Technology (IJEAT) , Volume-9 Issue-2, December, 2019.
[19] S. Revathi, Dr. A. Malathi, “A Detailed Analysis on NSL-KDD Dataset Using Various Machine Learning Techniques for Intrusion Detection”, International Journal of Engineering Research & Technology (IJERT), ISSN: 2278-0181, Vol. 2 ISSue 12, December-2013
[20] Rouhaninejad, Tayyaba, 2014, Combining Decision Tree and Bayesian Data Mining Algorithms in Intrusion Detection, Second National Conference on Computer Engineering and Information Technology Management, Tehran, https://civilica.com/doc/422878
[21] Fatemeh Mirjalili & Jafar Razmara, “An intelligent behavior-based intrusion detection method for virtual machines “, Signal and data processing journal, 2021, number 2, serial 48
نص كامل:


 

img0 

G:\دوفصلنامه ارتباطات و فناوری اطلاعات\ITRC-Logo\Farsi - v2.pngدوفصلنامه

فناوری اطلاعات و ارتباطات ایران

 

 

سال شانزدهم، شماره های 59 و 60، بهار و تابستان 1403، صفحه 84 الی 92

 

 

Anomaly and Intrusion Detection Through Data Mining and Feature Selection using PSO Algorithm

 

Fereidoon Rezaei1, Mohammad Ali Afshar Kazemi21, Mohammad Ali Keramati2

1 Department of Information Technology Management, Central Tehran Branch, Islamic Azad University, Tehran, Iran

2 Department of Industrial Management, Central Tehran Branch, Islamic Azad University, Tehran, Iran

 

Received: 17 January 2023, Revised: 07 March 2023, Accepted: 04 April 2023

Paper type: Research

 

 

Abstract

Today, considering technology development, increased use of Internet in businesses, and movement of business types from physical to virtual and internet, attacks and anomalies have also changed from physical to virtual. That is, instead of thieving a store or market, the individuals intrude the websites and virtual markets through cyberattacks and disrupt them. Detection of attacks and anomalies is one of the new challenges in promoting e-commerce technologies. Detecting anomalies of a network and the process of detecting destructive activities in e-commerce can be executed by analyzing the behavior of network traffic. Data mining systems/techniques are used extensively in intrusion detection systems (IDS) in order to detect anomalies. Reducing the size/dimensions of features plays an important role in intrusion detection since detecting anomalies, which are features of network traffic with high dimensions, is a time-consuming process. Choosing suitable and accurate features influences the speed of the proposed task/work analysis, resulting in an improved speed of detection. In this article, by using data mining algorithms such as Bayesian, Multilayer Perceptron, CFS, Best First, J48 and PSO, we were able to increase the accuracy of detecting anomalies and attacks to 0.996 and the error rate to 0.004.

 

Keywords: PSO, J48, data mining, cyberattack, NLC-KDD.

 


 

 

تشخیص نفوذ و ناهنجاریها با استفاده از دادهکاوی و انتخاب ویژگیها بهوسیله الگوریتم PSO

 

فریدون رضائی1، محمدعلی افشار کاظمی22، محمدعلی کرامتی2

1 گروه مدیریت فناوری اطلاعات، واحد تهران مرکزی، دانشگاه آزاد اسلامی، تهران، ایران 

2 گروه مدیریت صنعتی، واحد تهران مرکزی، دانشگاه آزاد اسلامی، تهران، ایران

 

تاریخ دریافت: 27/10/1401      تاریخ بازبینی: 16/12/1401      تاریخ پذیرش: 15/01/1402

نوع مقاله: پژوهشی

 

چکيده

امروزه با توجه به پیشرفت فناوری و توسعه استفاده از اینترنت در کسب و کارها و تغییر نوع کسب و کارها از حالت فیزیکی به مجازی و اینترنت، باعث شده است که نوع حملات و ناهنجاریهای مرتبط نیز از حالت فیزیکی به حالت مجازی تغییر کند. یعنی بجای دستبرد به یک فروشگاه یا مغازه، افراد با استفاده از حملات سایبری به سایتها و فروشگاههای مجازی نفوذ کرده و در آنها اخلال ایجاد میکنند. آشکارسازی حملات و ناهنجاریها یکی از چالشهای جدید در مسیر پیشبرد تکنولوژی تجارت الکترونیک میباشد. تشخیص ناهنجاریهای یک شبکه و فرآیند شناسایی فعالیتهای مخرب در کسب و کارهای تجارت الکترونیک با تجزیه و تحلیل رفتار ترافیک شبکه امکانپذیر است. سیستمهای داده‌کاوی بطور گستردهای در سیستمهای تشخیص نفوذ (IDS) برای تشخیص ناهنجاریها استفاده میشوند. کاهش ابعاد ویژگیها نقش بسیار مهمی در تشخیص نفوذ ایفا میکند، زیرا تشخیص ناهنجاریها از ویژگیهای ترافیک شبکه با ابعاد بالا فرآیندی زمانبری است. انتخاب ویژگیهای درست و مناسب بر سرعت تجزیه و تحلیل و کار پیشنهادی تاثیر میگذارد و میتواند سرعت تشخیص را بهبود بخشد. در این مقاله با استفاده از الگوریتمهای داده‌کاوی مانند بیزین، پرسپترون چندلایه، CFS، Best First، J48 و PSO، میزان دقت تشخیص ناهنجاریها و حملات به 0.996 و میزان خطای آن 0.004 رسانده شده است.

 

کلیدواژگان: PSO، J48، داده‌کاوی، حملات سایبری، NLC-KDD.

 


 

 

[1] *  Corresponding Author’s email: m_afsharkazemi@iauec.ac.ir

[2] * رایانامة نويسنده مسؤول: m_afsharkazemi@iauec.ac.ir

1-       مقدمه 

امروزه اینترنت به یک جزء ضروری از زیرساخت­های اجتماعی و اقتصادی روزمره مردم تبدیل شده است. حجم بالای اطلاعات محرمانه و امنیتی اینترنت باعث می­شود انواع تهدیدات و حملات مختلف در آن به وجود آید که ممکن است باعث خسارت مالی، سرقت هویت، از دست دادن اطلاعات خصوصی، آسیب شهرت نام تجاری و از دست دادن اعتماد مشتریان در تجارت الکترونیک شود [1]. افزایش دامنه استفاده از تجارت الکترونیک باعث افزایش مصرف انرژی، پیچیده تر شدن مدیریت آن، افزایش حجم داده­ها، نیاز به پهنای باند بالا به جهت ارسال داده­ها و سیستم­های پردازش با سرعت بالا می‌باشد. یکی از مهمترین این چالش‌ها حفظ حریم خصوصی و امنیت اطلاعات می‌باشد [5، 4، 3]. یقینا رضایت مصرف‌کنندگان این تکنولوژی به این چالش‌ها گره خورده است. تهدیدات و حملاتی که در زمینه تجارت الکترونیک رخ می­دهد را می‌توان به چهاردسته کلی تقسیم‌بندی نمود: 1) حملات DOS، 2) حملات R2L، 3) حملات U2R، و 4) حملات PROB. 

عواملی که تهدید و حمله را در یک شبکه اینترنتی به وجود می­آورند عبارتند از: دسترسی بدون محدودیت به اینترنت، گمنامی افراد، سرعت بالای انتشار، عدم ارتباط چهره به چهره، دسترسی آزاد به خدمات و محتویات ارزشمند و همچنین عدم وجود قوانین مناسب [6]؛ بنابراین، مناسب بودن اینترنت بهعنوان یک کانال برای انجام معاملات تجاری مطرح می­شود.

سیستمهای تشخیص نفوذ مبتنی بر داده‌کاوی می­تواند بسیار موثر باشد و می‌تواند با استفاده از آموزش در شبکههای واقعی و مجموعه داده­های واقعی و ممیزی نشده، روشهای جدید و ترکیبی را شناسایی کند. در واقع سیستم تشخیص با گرفتن بسته­ای ورودی به عنوان یک دروازه عمل می‌کند و شروع به جمع آوری اطلاعات می­کند و با پیشپردازش دادهها ویژگی‌های بی‌استفاده آنها را حذف کرده و سپس دادهها را برای پردازش ارسال می­کند و با تجزیه و تحلیل داده­ها آنها را طبقهبندی می‌کند و سپس رکوردهای طبیعی به شبکه اصلی ارسال می‌شود و رکوردهای غیر طبیعی به مراحل پردازش بعدی ارسال می‌گردد [7].

در این مقاله سعی شده است با استفاده از الگوریتم­های داده‌کاوی مانند بیزین، پرسپترون چندلایه، CFS، Best First، J48 و PSO، ابعاد ویژگی­های داده­ها کاهش داده شده تا هم سرعت و هم دقت الگوریتم را برای تشخیص ناهنجاری­ها بهبود یابد. در واقع با کاهش ویژگی­ها در داده­ها میزان زمان جستجوی داده­ها کاهش یافته که این کار دقت تشخیص ناهنجاری­ها را افزایش داده است، که نتایج حاصله نشان دهنده این موضوع می­باشد.

در این مقاله از نرم­افزار وکا نسخه 3.9.2 (Weka 3.9.2) استفاده شده است[8].

2-       مروری بر کارهای انجام شده

در سال­های گذشته افراد بسیاری بر روی داده‌کاوی و استفاده از آن در تشخیص نفوذ و ناهنجاری­ها استفاده کرده­اند. که در ادامه به تعدادی از آنها پرداخته شده است:

در مقاله [2،25] از شبکه عصبی به عنوان آموزش عمیق1 و به جهت تشخیص حملات و ناهنجاری­های سیستم تجارت الکترونیک استفاده می­شود. درشبکه­های عصبی چندلایه بروز خطای بیش‌برازش2 بسیار رایج است. در این مقاله برای جلوگیری از این اثر، ویژگی‌ها را با استفاده از الگوریتم کرم شبتاب کاهش دادهاند. نتایج شبیه‌سازی نشان می‌دهد سیستم شبکه عصبی با استفاده از کاهش ویژگی دقت بسیار بالاتری دارد.

آقای اندرسون در سال 1980 با استفاده از داده­های ماهانه و هفتگی در سیستم­های حسابرسی به بررسی رکوردها پرداخته و با استفاده از پردازش آن­ها به بررسی دسترسی­های غیر مجاز رسیده و مجموعه قوانینی را ایجاد کرده و سیستمی را ارائه می‌دهد [1].

یکی از راه‌های مقابله با حملات و تهدیدات در شبکه گسترده تجارت الکترونیک استفاده از مدل‌ها و سازوکارهای یادگیری ماشین می‌باشد [9-10] یادگیری ماشین زیرمجموعه‌ای از فناوری هوش مصنوعی3 است که عمدتا روی یادگیری ماشین‌ها بر اساس تجربیات خود ماشین و پیش‌بینی‌های مبتنی بر این تجربیات استوار است. الگوریتم‌های یادگیری ماشین، با استفاده از مجموعه داده‌هایی با عنوان داده‌های آموزشی یادگیری کرده و مدل‌های موردنیاز را ایجاد می‌کنند. زمانی که داده‌های جدیدی به الگوریتم یادگیری ماشین معرفی می‌شوند، سیستم می‌تواند بر اساس مدل ایجاد شده، فرایند پیش‌بینی را انجام دهد. یکی از معروفترین، پرکاربردترین و قویترین الگوریتم­ها و مدل­های یادگیری ماشین شبکه عصبی مصنوعی می­باشد [11-12].

سینک و همکاران در سال 2015 از چهار الگوریتم پیش­پردازش CFS، IG، زیر مجموعه مبتنی بر سازگاری4، PCA برای کاهش ابعاد و پنج الگوریتم دسته­بندی؛ J48، بیزین ساده، SVM، جنگل تصادفی و آدابوست برای ارزیابی عملکرد الگوریتم­های کاهش ویژگی از نظر دقت و AUC استفاده کردند [13].

علیزاده بهرامی و همکاران در سال 1396 از روش­های انتخاب ویژگی­ها و درخت تصمیم­گیری J48 برای کاهش ویژگی­ها و تشخیص نفوذ استفاده کردند[14]. بهارلو و همکاران در سال 1399 از روش دو مرحله­ای Wrapper+PCA و الگوریتم جنگل تصادفی برای تشخیص و شناسایی وب سایت فیشینگ استفاده کرده است [15].

در مقاله [16] نیز یک روش کاهش ویژگی ترکیبی هایبرید5 ارائه شده است که در کنار روش طبقه­بندی جنگل تصادفی بهترین عملکرد را داشته است. در مقاله [17] با استفاده از الگوریتمهای یادگیری ماشین علاوه بر استفاده از یک مجموعه داده جدید مربوط به تشخیص فیشینگ که شامل 5000 صفحه وب قانونی و 5000 فیشینگ است، به این مسئله پرداخته که به منظور دستیابی به بهترین نتایج، الگوریتم­های مختلف یادگیری ماشین مورد آزمایش قرار گرفتند و نهایتا J48، جنگل تصادفی و پرسپترون چند لایه انتخاب شدند. در مقاله [18] نیز روشهای یادگیری ماشین بطور کلی در کنار کاهش ویژگی‌ها برای تشخیص صفحات وب و ایمیل فیشینگ مورد بررسی و ارزیابی قرار گرفتهاند.

3-       مروری بر ساختار و طرح پیشنهادی

ساختار و فلوچارت کلی طرح پیشنهادی در شکل 1 ترسیم شده است. همانطور که در شکل نشان داده شده است در گام اول میبایست دادههای سیستم پیشنهادی جمع آوری شود. در این مقاله از مجموعه داده­های NSL-KDD استفاده شده است. در مرحله دوم عملیات پیش پردازش داده­ها شامل پاکسازی دادههای مشابه، نرمالیزه کردن داده­ها و مهندسی ویژگی دادهها6 و بردارسازی آنها انجام می‌شود. در این مقاله ابتدا با استفاده از الگوریتم PSO به جهت کاهش و استخراج ویژگیها استفاده میشود. در ادامه دادههایی که به صورت جمع و جور تبدیل شدهاند به دو دسته دادههای آموزش (80 درصد داده‌ها) دادههای تست (20 درصد دادهها) تبدیل می‌شوند. در انتها مدل پیشنهادی برروی دادههای نهائی اعمال شده است.

3-1-       مجموعه داده‌های NSL-KDD 

دیتاست مجموعه­ای از داده­های گردآوری شده در رابطه با یک موضوع واحد بوده و بیشترین کاربرد آن در داده‌کاوی است اما یکی از ابزارهای بسیار مناسب و کارآمد برای آزمون و ارزیابی الگوریتمهای طراحی شده در یک حوزه خاص نیز به شمار می­رود برای مثال دیتاست KDD CUP 99 با هدف آزمون الگوریتم­های تشخیص نفوذ (Intrusion Detection) گردآوری و طراحی شده است این مجموعه داده با استفاده از حجم عظیم داده­های گردآوری شده در پروژه DIDE یا Darpa Intrusion Detection Evalution که با همکاری سازمان پروژه­های تحقیقاتی پیشرفته دفاعی، وزارت دفاع ایالات متحده آمریکا و آزمایشگاه لینکلن دانشگاه MIT انجام شد، تهیه گردیده است هدف از تهیه این دادگان، ایجاد یک مجموعه داده استاندارد برای ارزیابی سیستم­های تشخیص نفوذ (Intrusion Detection System) است [20].

از این رو کلیه رکوردهای موجود در این مجموعه داده، توسط افراد خبره در حوزه امنیت اطلاعات برچسب گذاری شده است بگونه­ای که تعلق هر رکورد به کلاس خاصی از حمله و یا عادی بودن رکورد به آسانی قابل تشخیص است. این دادگان از دو مجموعه داده جداگانه تشکیل می‌شود که عبارتند از : مجموعه دادههای آموزشی (Training) که مجموعه یادگیری نیز نامیده می­شود و مجموعه آزمون (Test) که از مجموعه یادگیری برای تحلیل دقیق رفتار حمله و تدوین قوانین موثر و کارآمد استفاده می‌شود و برای آزمون و ارزیابی الگوریتم پیشنهادی نیز از هر دو مجموعه یادگیری و آزمون استفاده می‌شود. یکی از دیتاستهای مطرح برگرفته شده از KDD CUP 99 دیتاست NLS-KDD است [14] که با انجام تحلیلهای آماری دقیق در خصوص دیتاست KDD CUP 99 و برای حل برخی از مشکلات ذاتی دیتاست KDD CUP 99 تهیه گردیده است که نسبت به KDD CUP 99 دارای برتری‌های زیر است [19]:

 

 

 

 

 

 

      

شکل 1.       فلوچارت استخراج مدل تشخیص نفوذ از روی مجموعه دیتاست NSL-KDD

هر دو مجموعه داده­های یادگیری و آزمون فاقد رکورد تکراری هستند که این ویژگی موجب بالاتر رفتن دقت و کارآیی الگوریتمهای داده‌کاوی و یادگیری ماشینی شده و مانع از تاثیر منفی رکوردهای تکراری بر خروجی الگوریتم خواهد شد. تعداد رکوردها در مجموعه یادگیری و آزمون مناسب و خردمندانه انتخاب شده است که این ویژگی سرعت الگوریتمهای یادگیری ماشینی و داده‌کاوی را افزایش میدهد.

 

 

 

 

جدول 1.       مقایسه تعداد رکوردها در دو مجموعه داده[19]

S/N

Name

Type

1

Duration

Basic Features

2

protocol_type

3

Service

4

flag

5

src_bytes

6

dst_bytes

7

Land

8

wrong_fragment

9

Urgent

10

Hot

11

num_failed_logins

Content features

12

logged_in

13

num_compromised

14

root_shell

15

su_attempted

16

num_root

17

num_file_creations

18

num_shells

19

num_access_files

20

num_outbound_cmds

21

Is_hot_login

22

Is_guest_login

23

Count

Same service features

Traffic features

24

Srv_count

25

serror_rate

26

srv_serror_rate

27

rerror_rate

28

srv_rerror_rate

29

same_srv_rate

30

diff_srv_rate

31

srv_diff_host_rate

32

dst_host_count

Same host features

33

dst_host_srv_count

34

dst_host_same_srv_rate

35

dst_host_diff_srv_rate

36

dst_host_same_src_port_rate

37

dst_host_srv_diff_host_rate

38

dst_host_serror_rate

39

dst_host_srv_serror_rate

40

dst_host_rerror_rate

41

dst_host_srv_rerror_rate

جدول 2.       ویژگی­های دیتاست NSL-KDD قبل کاهش ویژگی­ها[19]

تعداد رکوردها در دیتاست NLS-KDD

تعدا رکوردها در دادگان

 KDD CUP 99

125973

494021

مجموعه داده NLS-KDD شامل 42 ویژگی یا فیلد است که عبارتند از: 41 ویژگی عادی مربوط به اتصالات شبکه و یک ویژگی کلاس که در آن 5 کلاس مختلف شامل یک کلاس عادی (Normal) و 4 کلاس حمله تعریف شده است. کلاس­های حمله عبارتند از : R2L، U2R، DoS و Prob [19].

4-       کاهش ویژگی­ها

یکی از روش­های کاهش ابعاد داده، روش پوششی می­باشد. در این روش انتخاب زیر مجموعه ویژگی با استفاده از الگوریتم یادگیری انجام می­شود. الگوریتم دسته­ای از ویژگی­ها را برای یادگیری انتخاب می­نماید و نهایتا آن دسته از ویژگی­ها که دقت بالاتری دارند، انتخاب می­شود. الگوریتمی که کار ارزیابی زیر مجموعه ویژگی­ها و انتخاب بهترین زیر مجموعه را انجام می­دهد، خود به­عنوان بخشی از تابع ارزیابی، کار جستجو برای انتخاب بهترین مدل را انجام می­دهد[15].

4-1-       روش CFS

CFS مقدار همبستگی بین ویژگی­ها و کلاس­هایشان و همچنین همبستگی بین خود ویژگی­ها را اندازه­گیری می­کند. ایده کلی این است که زیر مجموعه ویژگی­های خوب، همبستگی زیادی با کلاس‌ها دارند، اما نباید با یکدیگر همبستگی داشته باشند [15]. در الگوریتم CFS، هیوریستیکی برای ارزیابی ارزش یا شایستگی یک زیر مجموعه ویژگی وجود دارد [8].

4-2-       روش Best First

جستجوی ابتدا  بهترین (Best-First Search) یک الگوریتم جستجو است که یک گراف را با بسط دادن محتمل­ترین راس، که بنابر قوانین خاص انتخاب می­شود، پیمایش می­کند. این نوع جستجو را به­عنوان تخمین تعهد نود n به وسیله Heuristic Evaluation Function توصیف می­کند، که به­صورت کلی، ممکن است بر پایه توصیف n، توصیف هدف، اطلاعات جمع آوری شده به وسیله جستجو تا آن نقطه و هر گونه اطلاعات اضافی در زمینه مسئله باشد [21].

4-3-       الگوریتم بیزین (Bayes Net)

الگوریتم بیزین یکی از الگوریتم­های مدل­سازی است. در این روش، دسته­بندی برپایه احتمالات و با فرض استقلال متغیرهای تصادفی ساخته می­شود. این روش از ساده­ترین الگوریتم­های دسته­بندی است که دقت قابل قبولی داشته و بر پایه احتمال وقوع یا عدم وقوع یک پدیده شکل می­گیرد [20].

4-4-       الگوریتم پرسپترون چند لایه

پرسپترون چند لایه7، دسته­ای از شبکه­های عصبی مصنوعی پیشخور است. یک MLP شامل حداقل سه لایه گره است: یک لایه ورودی، یک لایه پنهان و یک لایه خروجی. به جز گره­های ورودی، هر گره یک نورون است که از یک تابع فعالسازی غیر خطی استفاده می­کند. MLP از تکنیک یادگیری نظارت شده به نام بازپرداخت برای آموزش استفاده می­کند. لایه­های متعدد آن و فعال­سازی غیر خطی آن MLP را از یک پرسپترون خطی متمایز می­کند. در واقع می­تواند داده­هایی را متمایز کند که به­صورت خطی قابل تفکیک نیستند[22].

4-5-       الگوریتم J48

این روش از معیار شاخص جینی8جهت انتخاب ویژگی استفاده می‌کند [23]. از میان ویژگی­ها، هرکدام که مقدار شاخص جینی آن کوچک­تر است، برای گروه جاری درخت تصمیم در نظر گرفته می‌شود.

4-6-       الگوریتم PSO

روش بهینه‌سازی ازدحام ذرات9 یا به اختصار PSO، یک روش سراسری بهینه‌سازی است که با استفاده از آن می‌توان با مسائلی که جواب آن‌ها یک نقطه یا سطح در فضای n بعدی می‌باشد، برخورد نمود. در اینچنین فضایی، فرضیاتی مطرح می‌شود و یک سرعت ابتدایی به آن‌ها اختصاص داده می‌شود، همچنین کانال‌های ارتباطی بین ذرات در نظر گرفته می‌شود. سپس این ذرات در فضای پاسخ حرکت می‌کنند، و نتایج حاصله بر مبنای یک «ملاک شایستگی» پس از هر بازه زمانی محاسبه می‌شود. با گذشت زمان، ذرات به سمت ذراتی که دارای ملاک شایستگی بالاتری هستند و در گروه ارتباطی یکسانی قرار دارند، شتاب می‌گیرند [2،25].

5-       روش پیشنهادی

همانطوریکه در شکل شماره 1 مشاهده می­کنید، روش پیشنهادی شامل مراحل زیر است؛ یک جمع­آوری داده و نرمال­سازی آنها، دوم تقسیم داده­ها به دو قسمت آموزش و تست. سوم اعمال روش­های انتخاب ویژگی­ها و در نهایت مدل‌سازی و تست.

در اینجا با استفاده از نرم­افزار وکا [8]، داده­ها را بارگذاری کرده و الگوریتم­ها و روش­های مختلف را بر روی آنها اعمال می­کنیم.

در ابتدا الگوریتم CFS را به­عنوان ارزیاب و الگوریتم BestFirst را به­عنوان جستجوگر جهت کاهش ویژگی­ها بر روی داده­ها اعمال می­کنیم. تعداد ویژگی­ها از 41 مورد (جدول 2) به 6 ویژگی (جدول 3) کاهش می­یابد.

جدول 3.       انتخاب ویژگی­ها با استفاده از CFS+BestFirst 

S/N

Name

Type

4

flag

Symbolic

5

src_bytes

Continuous

6

dst_bytes

Continuous

12

logged_in

Symbolic

26

srv_serror_rate

Continuous

30

diff_srv_rate

Continuous

سپس الگوریتم­های بیزین، پرسپترون چندلایه و درخت تصمیم گیری J48 را با روش تست Cross-validation و Folds برابر 10 بر روی آنها اعمال می­کنیم و نتایج زیر حاصل می­شود:

img0 

شکل 2.       نمودار 1. نتایج حاصل از پیاده­سازی الگوریتم­های بیزین، پرسپترون چندلایه و J48 بر روی 6 ویژگی

همانطوریکه در نمودار 1؛ مشاهده می‌کنید، الگوریتم J48 بهترین نتایج را دارد. حال برای انتخاب ویژگیها بهجای BestFirst از الگوریتم PSO استفاده می‌کنیم. در این حالت تعداد ویژگیها به 9 تا به شرح جدول 4 کاهش یافت.

جدول 4.       انتخاب ویژگی­ها با استفاده از CFS+PSO 

S/N

Name

Type

4

flag

Symbolic

5

src_bytes

Continuous

6

dst_bytes

Continuous

12

logged_in

Symbolic

26

srv_serror_rate

Continuous

29

same_srv_rate

Continuous

30

diff_srv_rate

Continuous

37

dst_host_srv_diff_host_rate

Continuous

39

dst_host_srv_serror_rate

Continuous

حال الگوریتم­های بیزین، پرسپترون چندلایه و درخت تصمیم گیری J48 را بر روی 9 ویژگی انتخاب شده در جدول شماره 4 با روش تست Cross-validation و Folds برابر 10 بر روی آنها اعمال می‌کنیم. نتایج حاصل در نمودار 2 ارائه شده است.

img0 

شکل 3.       نمودار 2. نتایج حاصل از پیاده­سازی الگوریتم­های بیزین، پرسپترون چندلایه و J48 بر روی 9 ویژگی

6-       مقایسه نتایج

با مقایسه نتایج حاصل از دو روش انتخاب ویژگی­ها و سپس اعمال الگوریتم­های مشابه به دو نتایج حاصل از دو حالت، همانطوریکه در جدول 5 مشاهده می­کنید، درخت تصمیم­گیری J48 هم دارای زمان مناسب و نتایج مناسب نسبت به روش­های بیزین و پرسپترون چندلایه می­باشد. البته در روش دوم نتایج حاصل با اعمال الگوریتم جستجوی PSO بهبود یافت و نتایج آن بهتر شده است.

جدول 5.       نتایج حاصل از مقایسه دو روش پیاده­سازی شده

Method (Select Attributes)

Attribute

Model

Time

(Build Model)

Time

(Test Model)

TP Rate

FP Rate

CFS+BestFirst

6

J48

2.48

0.05

0.994

0.006

CFS+PSO

9

J48

3.21

0.02

0.996

0.004

The rate of improvement

-0.73

0.03

-0.002

0.002

همانطوریکه در جدول شماره 7 مشاهده می­کنید، با استفاده از روش انتخاب ویژگی­های CFS+PSO سیستم عملکرد بهتری داشته است. تشخیص درست (TP) به میزان 0.002 بهبود داشته و در تشخیص اشتباهات نیز به میزان 0.002 نیز بهبود داشته است. توجه داشته باشید که TP هر چه بیشتر باشد، عملکرد سیستم بهتر بوده و FP هر چه کمتر باشد سیستم بهتر عمل کرده است.

7-       بحث

همانطوریکه در جدول 5 مشاهده می­کنید، نتایج حاصل از دو روش پیاده­سازی شده یعنی CFS+BestFirst و CFS+PSO نشان میدهد که در حالت استفاده از الگوریتم PSO میزان زمان ساخت مدل افزایش داشته ولی زمان تست مدل کاهش نشان میدهد. در ضمن میزان TP بهتر شده و میزان FP هم کاهش پیدا می­کند که این خروجی­ها نشانه بهبود روش تشخیص می­باشد.

در [24] از الگوریتم PSO برای آموزش شبکه عصبی برای تشخیص حملات و ناهنجاری­های سیستم اینترنت اشیاء بر روی داده­های NLC-KDD استفاده شده است. اگر چه الگوریتم PSO دارای مزایای زیادی است، اما در برخی موارد ممکن است تنوع جمعیت را کاهش داده و منجر به همگرایی زودرس شود. بنابراین برای حل این مشکل از الگوریتم TLBO استفاده شده است، که دقت تشخیص حمله تا 90 درصد رسیده است. این در حالیست که در این مقاله، الگوریتم PSO با الگوریتم CFS ترکیب شده و ویژگیها کاهش داده شده است و سپس با استفاده از درخت تصمیم گیری J48 عملیات تشخص حملات انجام شده است که باعث بهبود عملکرد شده و میزان دقت تشخیص بطور قابل توجهی افزایش یافته و به میزان 99.6 درصد رسیده است.

در [2،25] با استفاده از الگوریتم کرم شب تاب (FA) بر روی داده‌های NLC-KDD، ابتدا ویژگیهای کاهش داده شده، که همین موضوع باعث افزایش دقت تشخیص شده است و سپس با استفاده از ترکیب الگوریتم فوق با الگوریتم PSO میزان دقت10 به 94.3 رسیده است، این در حالیست که در این مقاله ابتدا با استفاده از ترکیب دو الگوریتم PSO و CFS باعث کاهش ویژگی­ها شده و سپس با استفاده از الگوریتم درخت تصمیم J48 میزان دقت تشخیص را بطور چشم­گیری افزایش داده و در نتیجه این روش از روش استفاده شده در مقاله فوق بهتر عمل کرده است.

یکی از محدودیتهای مطالعه نبود داده‌های واقعی برای تشخیص حملات تجارت الکترونیک بود. برای کم کردن اثر این مشکل از داده‌های KDD CUP که از لحاظ ویژگی­ها شباهت بسیاری به داده‌های تجارت الکترونیک دارند استفاده شده است.

8-        نتیجه­گیری

همانطوریکه در مقایسه نتایج مشاهده شد، استفاده از داده‌کاوی و ترکیب آن با الگوریتم­هایی مانند بهینه­سازی ازدحام ذرات و یا همان الگوریتم حرکت پرندگان، می­توان میزان تشخیص درست را نسبت به روش­های دیگر بهبود داده و میزان تشخیص­های نادرست را نیز کاهش داد. در ضمن کاهش ویژگی­ها، هم میتواند در زمان جستجو بسیار موثر بوده و هم در بهینه­سازی عملکرد الگوریتم موثر باشد.

از روش فوق میتوان در تشخیص سایتهای فیشینگ و همچنین تشخیص ویروس­های کامپیوتری بخصوص متامورفیک­ها استفاده نمود. همچنین استفاده از مدل کاهش ویژگی­ها که در این مقاله استفاده شده است، می­تواند در افزایش سرعت تشخیص حملات در روشهای مختلف مورد استفاده قرار گیرد.

مراجع

[1]       Abdelhamid, N., Ayesh, A., Thabtah, F., “Phishing detection based Associative Classification data mining”, Expert Systems with Applications 41 5948–5959, 2014.

[2]       Rezaei F, Afshar Kazemi M A, Keramati M A. Detection of E-commerce Attacks and Anomalies using Adaptive Neuro-Fuzzy Inference System and Firefly Optimization Algorithm . itrc 2021; 13 (1) :32-39
URL: http://ijict.itrc.ac.ir/article-1-477-en.html

[3]       Hasan, Mahmudul, et al. "Attack and anomaly detection in IoT sensors in IoT sites using machine learning approaches." Internet of Things 7 (2019): 100059.

[4]       Kotenko, Igor, et al. "Attack detection in IoT critical infrastructures: a machine learning and big data processing approach." 2019 27th Euromicro International Conference on Parallel, Distributed and NetworkBased Processing (PDP). IEEE, 2019.

[5]       Foley, John, Naghmeh Moradpoor, and Henry Ochen. "Employing a Machine Learning Approach to Detect Combined Internet of Things Attacks against Two Objective Functions Using a Novel Dataset." Security and Communication Networks 2020 (2020).

[6]       Assistant, Masoud, "Detection of attacks in electronic banking using fuzzy-rough combined system" computer department of Imam Reza University (AS), 2014.

[7]       Al-jarrah, O., Arafat, A., “Network Intrusion Detection System using attack behavior classification.”, Paper presented at the Information and Communication Systems (ICICS), 2014 5th International Conference on.

[8]       Kohavi, R., John, G. H., “Wrappers for feature subset selection”, Artificial Intelligence,Vol. 97, pp. 273-324, 1997.

[9]       Doshi, Rohan, Noah Apthorpe, and Nick Feamster. "Machine learning ddos detection for onsumer internet of things devices." 2018 IEEE Security and Privacy Workshops (SPW). IEEE, 2018.

[10]       Syed, Naeem Firdous, et al. "Denial of service attack detection through machine learning for the IoT." Journal of Information and Telecommunication (2020): 1-22.

[11]       Manimurugan, S., et al. "Effective Attack Detection in Internet of Medical Things Smart Environment Using a Deep Belief Neural Network." IEEE Access 8 (2020): 77396-77404.

[12]       Latif, Shahid, et al. "A Novel Attack Detection Scheme for the Industrial Internet of Things Using a Lightweight Random Neural Network." IEEE Access 8 (2020): 89337-89350.

[13]       Singh, P., Jain, N., Maini, A., “Investigating the Effect Of Feature Selection and Dimensionality Reduction On Phishing Website Classification Problem”, 1st International Conference on Next Generation Computing Technologies (NGCT) Dehradun, India, IEEE, pp. 388-393, 2015.

[14]       Alizadeh Bahrami, Karimi, Abdullahi Fard, "J48 Decision Tree in Intelligent Intrusion Detection Systems", National Conference on New Researches in Electrical, Computer and Medical Engineering, Islamic Azad University, Kazeroon Branch, July 27, 2016

[15]       Baharlo, Yari, "Improving the method of identifying phishing websites using data mining on web pages", two scientific quarterly magazines of Iran Information and Communication Technology, Iran Information and Communication Technology Association, 12th year, numbers 43 and 44, Spring and summer 2019, pages 27-38

[16]       K. L. Chiew, C. L. Tan, K. Wong, K. S. Yong, and W. K. Tiong, “A new hybrid ensemble feature selection framework for machine learningbased phishing detection system,” Information Sciences, vol. 484, pp. 153–166, 2019.

[17]       M. Almseidin, A. A. Zuraiq, M. Alkasassbeh, and N. Alnidami, “Phishing detection based on machine learning and feature selection methods,” International Journal of Interactive Mobile Technologies (iJIM), vol. 13, no. 12, pp. 171–183, 2019.

[18]       Meenu , Sunila godara, “Phishing Detection using Machine Learning Techniques”, International Journal of Engineering and Advanced Technology (IJEAT) , Volume-9 Issue-2, December, 2019.

[19]       S. Revathi, Dr. A. Malathi, “A Detailed Analysis on NSL-KDD Dataset Using Various Machine Learning Techniques for Intrusion Detection”, International Journal of Engineering Research & Technology (IJERT), ISSN: 2278-0181, Vol. 2 ISSue 12, December-2013

[20]       Rouhaninejad, Tayyaba, 2014, Combining Decision Tree and Bayesian Data Mining Algorithms in Intrusion Detection, Second National Conference on Computer Engineering and Information Technology Management, Tehran, https://civilica.com/doc/422878

[21]       Fatemeh Mirjalili & Jafar Razmara, “An intelligent behavior-based intrusion detection method for virtual machines “, Signal and data processing journal, 2021, number 2, serial 48

[22]       Rana, A., Singh Rawat, A., Bijalwan, A., & Bahuguna, H. (2018). “Application of Multi Layer (Perceptron) Artificial Neural Network in the Diagnosis System”: A Systematic Review. 2018 International Conference on Research in Intelligent and Computing in Engineering (RICE). 978-1-5386-2599-6/18/$31.00 ©2018 IEEE

[23]       Ghafari Gosheh, Zainab, 2019, intrusion detection using decision tree-based data mining technique, international conference on modern researches in electrical, computer, mechanical and mechatronic engineering in Iran and the Islamic world, Karaj, https://civilica.com/ doc/1118442

[24]        M. Nazarpour, N. Nezafati, S. Shokouhyar, “Detection of Attacks and Anomalies in The Internet of Things System Using Neural Networks Based on Training with PSO and TLBO Algorithms”, Signal Processing and Renewable Energy, ISSN: 2588-7327, eISSN: 2588-7335, December 2020, (pp. 81-94).

[25]       Rezaei F, Afshar Kazemi M A, Keramati M A. (2023). Presenting a Model for Recognizing Phishing Sites and Privacy Violations in the Tourism Industry. Iranian Journal of Educational Sociology. 6(1), 222-232. Doi:10.61186/ijes.6.1.222 URL: http://iase-idje.ir/article-1-1261-en.html

 

[1]  Deep Learning

[2]  Overfitting

[3]  Artificial Intelligence

[4]  Consistency Subset

[5]  HEFS

[6]  Feature engineering

[7]  Multilayer Perceptron

[8]  Gini coefficient

[9]  Particle swarm optimization

[10]  Accuracy

 

85


رایمگ

يقوم نظام رایمگ بتنفيذ جميع عمليات الاستلام والتقييم والحكم والتحرير وتخطيط الصفحة والنشر الإلكتروني للمجلات العلمية.

الروابط

المراكز ذات الصلة

دعامة

الصفحات الرسمية

حقوق هذا الموقع الإلكتروني مملوكة لنظام Rimag Press Management. © 1438-1446

الصفحة الرئيسية| دخول| عنا| اتصل بنا|
[English] [فارسی] [en] [fa]