Improvement of intrusion detection system on Industrial Internet of Things based on deep learning using metaheuristic algorithms
Subject Areas : ICTmohammadreza zeraatkarmoghaddam 1 , majid ghayori 2
1 -
2 -
Keywords: intrusion detection system, Industrial Internet of Things, metaheuristic algorithms, neural networks,
Abstract :
Due to the increasing use of industrial Internet of Things (IIoT) systems, one of the most widely used security mechanisms is intrusion detection system (IDS) in the IIoT. In these systems, deep learning techniques are increasingly used to detect attacks, anomalies or intrusions. In deep learning, the most important challenge for training neural networks is determining the hyperparameters in these networks. To overcome this challenge, we have presented a hybrid approach to automate hyperparameter tuning in deep learning architecture by eliminating the human factor. In this article, an IDS in IIoT based on convolutional neural networks (CNN) and recurrent neural network based on short-term memory (LSTM) using metaheuristic algorithms of particle swarm optimization (PSO) and Whale (WOA) is used. This system uses a hybrid method based on neural networks and metaheuristic algorithms to improve neural network performance and increase detection rate and reduce neural network training time. In our method, considering the PSO-WOA algorithm, the hyperparameters of the neural network are determined automatically without the intervention of human agent. In this paper, UNSW-NB15 dataset is used for training and testing. In this research, the PSO-WOA algorithm has use optimized the hyperparameters of the neural network by limiting the search space, and the CNN-LSTM neural network has been trained with this the determined hyperparameters. The results of the implementation indicate that in addition to automating the determination of hyperparameters of the neural network, the detection rate of are method improve 98.5, which is a good improvement compared to other methods.
Z. Maede, M. A. Teixeira, G. Lav, K. M. Khan and J. Raj, "Machine Learning Based Network Vulnerability Analysis of Industrial Internet of Things," IEEE Internet of Things Jouranl, pp. 6822 - 6834, 2019.
A.-H. Muna, N. Moustafa and E. Sitnikova, "Identification of malicious activities in industrial internet of things based on deep learning models," Journal of Information Security and Applications, vol. 41, pp. 1-11, 2018.
B. Rafael Ramos Regis, "Anomaly detection in SCADA systems: a network based approach," Centre for Telematics and Information Technology, University of Twente, PhD Thesis, 2014.
P. Dimitrios, S. Panagiotis, L. Thomas and A. G. Sarigiannidis, "A Survey on SCADA Systems; Secure Protocols, Incidents, Threats and Tactics," IEEE Communications Surveys & Tutorials, pp. 1942 - 1976, 2020.
L. Hung-jen, R. L. Chun-Hung, L. Ying-Chih and T. Kuang-Yuan, "Intrusion detection system: A comprehensive review," Journal of Network and Computer Applications, vol. 36, no. 1, pp. 16-24, 2013.
S. G. Farhad and G. Hojjat, "A comprehensive survey: Whale Optimization Algorithm and its applications," Swarm and Evolutionary Computation, vol. 48, pp. 1-24, 2019.
H. Turabieh, M. Mafarja and X. Li, "Iterated feature selection algorithms with layered recurrent neural network for software fault prediction," Expert Systems with Applications, vol. 122, pp. 27-42, 2019.
M. L. Naushad, G. Koushik, C. Indronil, C. Saurav, L. B. Krishna and K. P. Prashanta, "HWPSO: A new hybrid whale-particle swarm optimization algorithm and its application in electronic design optimization problems," Applied Intelligence, p. 265–291, 2019.
A. Sadiqui, Computer Network Security, Britain and United States: WILEY, 2020.
S. Anam, A. Haider and S. Kashif, "Cloud-Assisted IoT-Based SCADA Systems Security: A Review of the State of the Art and Future Challenges," IEEE Access, vol. 4, pp. 1375 - 1384, 2016.
O. Campesato, Artificial Intelligence Machine Learning And Deep Learning, David Pallai, 2020.
E. Min, J. Long, Q. Liu, J. Cui and W. Chen, "TR-IDS: Anomaly-Based Intrusion Detection through Text-Convolutional Neural Network and Random Forest," Hindawi, Security and Communication Network, 2018.
K. Tae-Young and C. Sung-Bae, "Web traffic anomaly detection using C-LSTM neural networks," Expert System With Applications, vol. 106, pp. 66-76, 2018.
G. D. L. T. Parra, R. Rad, K.-K. R. Choo and N. Beebe, "Detecting Internet of Things Attacks using Distributed Deep Learning," Journal of Network and Computer Applications, vol. 163, p. 102662, 2020.
Z. Guangzhen, Z. Cuixiao and Z. Lijuan, "Intrusion Detection Using Deep Belief Network and Probabilistic Neural Network," in 2017 IEEE International Conference on Computational Science and Engineering (CSE) and IEEE International Conference on Embedded and Ubiquitous Computing (EUC), Guangzhou, China, 2017.
H. Yang, L. Cheng and M. C. Chuah, "Deep-Learning-Based Network Intrusion Detection for SCADA Systems," in 2019 IEEE Conference on Communications and Network Security (CNS), Washington DC, DC, USA, USA, 2019.
Y. Chuanlong, Z. Yuefei, F. Jinlong and H. Xinzheng, "A Deep Learning Approach for Intrusion Detection Using Recurrent Neural Networks," IEEE Access, vol. 5, pp. 21954 - 21961, 2017.
T. Tuan A, M. Lotfi, M. Des, Z. Syed Ali Raza and G. Mounir, "Deep learning approach for Network Intrusion Detection in Software Defined Networking," in 2016 International Conference on Wireless Networks and Mobile Communications (WINCOM), Fez, Morocco, 2016.
R. Vinayakumar, A. Mamoun, K. P. Soman, P. Prabaharan, A.-N. Ameer and V. Sitalakshmi, "Deep Learning Approach for Intelligent Intrusion Detection System," IEEE Access, vol. 7, pp. 41525 - 41550, 2019.
N. Mostafa, "Designing an online and reliable statistical anomaly detection framework for dealing with large high-speed network traffic," University of New South Wales, Canberra, Australia, 2017, 2017.
H. Zil E., L. Shahid, A. Jawad, L. Zeba, I. Anas, Z. Zhuo, A. Fehaid and B. Fatmah, "A Hybrid Deep Random Neural Network for Cyberattack Detection in the Industrial Internet of Things," Journals & Magazines, vol. 9, pp. 55595 - 55605, 2021.
K. James and E. Russell, "Particle swarm optimization," in Proceedings of ICNN'95 - International Conference on Neural Networks, Perth, WA, Australia, 1995.
M. Seyedali and L. Andrew, "The Whale Optimization Algorithm," Advances in Engineering Software, vol. 95, pp. 51-67, 2016.
A.-G. Mohammad Ali, M. amr, A.-A. Abdulla khalid, D. Xiaojiang, A. lhsan and G. Mohsen, "A Survey of Machine and Deep Learning Methods for Internet of Things (IoT) Security," IEEE Communications Serveys & Tutorials, vol. 22, no. 3, pp. 1646 - 1685, 2020.
F. lhab and c. Xu, Data Cleaning, Association for Computing Machinery, 2019.
J. Edward, A User's Guide To Principal Components, New York: John Wiley & Sons, 2005.
C. Alfredo, P. Adam and C. Eugenio, "An Analysis of Deep Neural Network Models for Practical Applications," in Computer Vision and Pattern Recognition (cs.CV), 2017.
دو فصلنامه علمي فناوري اطلاعات و ارتباطات ایران | سال پانزدهم، شماره 57 و58 ، پاییز و زمستان 1402 صفحات:165 الی 190 |
|
Improvement of intrusion detection system on Industrial Internet of Things based on deep learning using metaheuristic algorithms
Mohammadreza Zeraatkar Moghaddam*, Majid Ghayoori**
* M.Sc., Imam Hossein University, Tehran, Iran
** Assistant Professor, Imam Hossein University, Tehran, Iran
Abstract
Due to the increasing use of industrial Internet of Things (IIoT) systems, one of the most widely used security mechanisms is intrusion detection system (IDS) in the IIoT. In these systems, deep learning techniques are increasingly used to detect attacks, anomalies or intrusions. In deep learning, the most important challenge for training neural networks is determining the hyperparameters in these networks. To overcome this challenge, we have presented a hybrid approach to automate hyperparameter tuning in deep learning architecture by eliminating the human factor. In this article, an IDS in IIoT based on convolutional neural networks (CNN) and recurrent neural network based on short-term memory (LSTM) using metaheuristic algorithms of particle swarm optimization (PSO) and Whale (WOA) is used. This system uses a hybrid method based on neural networks and metaheuristic algorithms to improve neural network performance and increase detection rate and reduce neural network training time. In our method, considering the PSO-WOA algorithm, the hyperparameters of the neural network are determined automatically without the intervention of human agent. In this paper, UNSW-NB15 dataset is used for training and testing. In this research, the PSO-WOA algorithm has use optimized the hyperparameters of the neural network by limiting the search space, and the CNN-LSTM neural network has been trained with this the determined hyperparameters. The results of the implementation indicate that in addition to automating the determination of hyperparameters of the neural network, the detection rate of are method improve 98.5, which is a good improvement compared to other methods.
Keywords: intrusion detection system, Industrial Internet of Things, metaheuristic algorithms, neural networks
بهبود سیستم تشخیص نفوذ در اینترنتاشیاء صنعتیِ مبتنی بر یادگیری عمیق با استفاده از الگوریتمهای فراابتکاری
محمدرضا زراعتکار مقدم*×، مجید غیوری**
*کارشناس ارشد، دانشگاه جامع امام حسین(ع)
**استادیار دانشکده فناوری اطلاعات و ارتباطات دانشگاه جامع امام حسین(ع)
تاریخ دریافت:15/08/1401 تاریخ پذیرش:09/11/1401
نوع مقاله: پژوهشی
چكیده
با توجه به گسترش روز افزون استفاده از سامانههای اینترنتاشیاء صنعتی یکی از پرکابردترین مکانیزمهای امنیتی، سیستمهای تشخیص نفوذ در اینترنتاشیاء صنعتی میباشد. در این سیستمها از تکنیکهای یادگیری عمیق بهطور فزآیندهای برای شناسایی حملات، ناهنجاریها یا نفوذ استفاده میشود. در یادگیری عمیق مهمترین چالش برای آموزش شبکههای عصبی، تعیین فراپارامترهای اولیه در این شبکهها است. ما برای غلبه بر این چالش، به ارائهی رویکردی ترکیبی برای خودکارسازی تنظیم فراپارامتر در معماری یادگیری عمیق با حذف عامل انسانی پرداختهایم. در این مقاله یک سیستم تشخیص نفوذ در اینترنتاشیاء صنعتی مبتنی بر شبکههای عصبی کانولوشن (CNN) و شبکه عصبی بازگشتی مبتنی بر حافظه کوتاه مدت (LSTM) با استفاده از الگوریتمهای فراابتکاری بهینهسازی ازدحام ذرات (PSO) و وال (WOA) ارائه شده است. این سیستم یک روش ترکیبی براساس شبکههای عصبی و الگوریتمهای فراابتکاری برای بهبود عملکرد شبکه عصبی در راستای افزایش نرخ تشخیص و کاهش زمان آموزش شبکههای عصبی میباشد. در روش ما با درنظر گرفتن الگوریتم PSO-WOA، فراپارامترهای شبکه عصبی بدون دخالت عامل انسانی و بهصورت خودکار تعیین شده است. در این مقاله از مجموعهدادهی UNSW-NB15 برای آموزش و آزمایش استفاده شده است. در این پژوهش، الگوریتم PSO-WOA با محدود کردن فضای جستجو، فراپارامترهای شبکه عصبی را بهینه کرده و شبکه عصبی CNN-LSTM با فراپارامترهای تعیین شده آموزش دیده است. نتایج پیادهسازی حکایت از آن دارد که علاوه بر خودکارسازیِ تعیین فراپارامترهای شبکهی عصبی، نرخ تشخیص روش ما 98.5 درصد بوده که در مقایسه با روشهای دیگر بهبود مناسبی داشته است.
واژگان کلیدی: سیستم تشخیص نفوذ، اینترنتاشیاء صنعتی، شبکههای عصبی، الگوریتمهای فراابتکاری
× نویسنده مسئول: محمدرضا زراعتکار مقدم mzeraatkar@ihu.ac.ir
1. مقدمه
به دلیل اینکه ماهیت شبکههای عمومی و شبکههای کنترل صنعتی با یکدیگر متفاوت است، نمیتوان استراتژیهای تامین امنیت در شبکههای عمومی را در شبکههای کنترل صنعتی به کار برد. مهمترین موضوع در این زمینه رفتار و مشخصات ترافیک در شبکههای کنترل صنعتی میباشد. شبکههای صنعتی تفاوت زیادی با شبکههای تجاری دارند. ازجملهی این تفاوتها میتوان به تفاوت در ریسک و الویتبندی اشاره کرد. به عنوان مثال یک خرابی در شبکههای صنعتی میتواند مخاطرات بسیار جدی مانند از دست رفتن جان کارکنان یا ضرر مالی وسیع به کشور در پی داشته باشد [3]؛ همچنین اولویتبندی نیازمندیهای امنیتی در شبکههای صنعتی به ترتیب دسترسپذیری، یکپارچگی و محرمانگی میباشد [4]. یکی از مهمترین راههای تامین امنیت، استفاده از سیستمهای تشخیص نفوذ است. یکی از تکنیکهای شناسایی حملات در سیستمهای تشخیص نفوذ استفاده از یادگیری عمیق میباشد، که امروزه بهطور گسترده در صنایع مختلف استفاده میشود.
برای تضمین امنیت، یکی از مکانیزمهای امنیتی سیستم تشخیص نفوذ میباشد؛ نفوذ را تلاشی برای به خطر انداختنِ محرمانگی، یکپارچگی و دسترسپذیری (CIA)3 یا دور زدن مکانیزمهای امنیتی رایانه یا شبکه توصیف میکنند، تشخیص نفوذ یعنی فرآیند نظارت بر وقایع رخ داده در یک سیستم رایانهای یا شبکهای و تجزیه و تحلیل آنها، و سیستم تشخیص نفوذ یک نرمافزار یا سیستم سختافزاری برای خودکارسازی فرآیند تشخیص نفوذ است [5]. همچنین تکنیکهای یادگیری عمیق به طور فزایندهای برای شناسایی حملات، ناهنجاریها یا نفوذ در یک محیط شبکهی محافظت شده مورد استفاده قرار میگیرند. یادگیری عمیق یک عملکرد هوش مصنوعی است که از کارکرد مغز انسان در پردازش دادهها و ایجاد الگوهای مورد استفاده در تصمیمگیری تقلید میکند. از جمله مزیتهای یادگیری عمیق شامل یادگیری خودکار و چندلایهی ویژگیها در مجموعه دادههای بزرگ، استخراج خودکارِ نمایش پیچیدهی دادهها، رویکرد حل مسئله بهتر و همچنین قدرت تعمیم بالا میباشد.
مهمترین چالش شبکههای عصبی آموزش این شبکهها است و معمولا تعیین فرا پارامترها4 (وزن هر نورون، تعداد نورونها در هر لایه، تعداد لایهها، نرخ یادگیری و ...) در یک فرآیند تکراری به صورت آزمون و خطا مشخص میشود. اغلب پژوهشها تنظیم فرا پارامترها را به صورت دستی انجام دادهاند و یا اینکه اشارهای به این موضوع در روند پژوهشی خودشان نکردهاند، بنابراین میتوان ساختار شبکه عصبی را با تعیین فرا پارامترهای شبکه عصبی بهصورت حذف عامل انسانی و خودکارسازی بهینه کرد. یکی از راهحلهای تنظیم فرا پارامترها در این زمینه استفاده از الگوریتمهای فراابتکاری5 میباشد، که در مقابل دیگر روشها عملکرد بهتری از خود نشان دادهاند [6]. بنابراین در این پژوهش به ارائهی رویکردی ترکیبی برای خودکارسازی تنظیم فرا پارامتر در معماری یادگیری عمیق با حذف عامل انسانی پرداختهایم.
در زمینهی الگوریتمهای فراابتکاری، محققان برای بهبود نقاط ضعف هر یک از الگوریتمهای فراابتکاری، از ترکیب آنها استفاده مینمایند [7]. برای تعیین فرا پارامترهای شبکه عصبی از الگوریتمهای فرا ابتکاری بهینهسازی ازدحام ذرات (PSO) و وال (WOA) استفاده میکنیم. الگوریتم بهینهسازی ازدحام ذرات در فاز بهرهبرداری دارای سرعت همگرایی خوب و در فاز اکتشاف دارای محدودیتهایی میباشد و همچنین الگوریتم بهینهسازی وال قابلیت اکتشاف بسیار خوبی دارد، اما در فاز بهرهبرداری دارای محدودیتهایی است؛ بنابراین برای بهبود نقاط ضعف و همچنین بهرهگیری از مزایای هر دو الگوریتم از ترکیب این دو استفاده میکنیم [6] [8].
در ادامه ابتدا پیشینه تحقیق (بخش 2) شرح داده شده، سپس روش پیشنهادی ارائه شده (بخش 3) و در بخش بعدی ارزیابی و مقایسه با پژوهشهای پیشین مورد بحث قرار گرفته (بخش 4) و درنهایت نتیجهگیری و کارهای پیشنهادی (بخش 5) بیان شده است.
2. مفاهیم پایه
1.2 سیستم تشخیص نفوذ
سیستم تشخیص نفوذ کشفکنندهای است که میتواند بستههای در حال حرکت از طریق یک یا چند اتصال شبکه را به منظور تشخیص فعالیت مشکوک، تجزیه و تحلیل کند. نقش این سیستمها محدود به هشدار دادن به مدیر سیستم برای ردیابی هرگونه فعالیت غیرعادی در یک میزبان6 یا شبکه است و مانع از تلاش برای نفوذ نمیشود [9].
2.2 سیستمهای کنترل صنعتی
سیستمهای کنترل صنعتی(ICSs) 7 بخشی جدایی ناپذیر از زیرساختهای مهم هستند و برای مدت طولانی برای نظارت بر ماشین آلات و فرآیندهای صنعتی مورد استفاده قرار میگیرند. این سیستمها نظارت و تعامل در زمان واقعی با دستگاهها، جمعآوری و تجزیه و تحلیل دادهها در زمان واقعی و همچنین ثبت تمام وقایع رخ داده در سیستمهای صنعتی را انجام میدهند.
سیستم کنترل نظارت و جمعآوری دادهها 8 (SCADA) بزرگترین زیرمجموعه یک ICS است. استفاده از فناوری IoT در این سیستمها باعث تقویت هوش و امنیت شبکه در بهینهسازی و اتوماسیون فرآیندهای صنعتی میشود. با توجه به ماهیت حساس بسیاری از کاربردهای صنعتی، امنیت به نگرانی اصلی سیستمهای SCADA تبدیل شده است. بهطور خاص، فقدان ملاحظات امنیتی در پروتکلهای ارتباطی آنها مستقیمآ در دسترس بودن، ایمنی و قابلیت اطمینان این سیستمها را به خطر میاندازد [1].
3.2 اینترنتاشیاء
امروزه اینترنت اشیاء یکی از کلمات کلیدی مورد استفاده در فضای علمی میباشد که به طور گسترده مورد بحث محققان و مهندسان قرار گرفته است. اصطلاح اینترنت اشیاء برای اولین بار توسط کوین اشتون9 ، مدیر مرکز Auto-ID در MIT10 در سال 1999 ارائه شد که بعدا در سال 2005 توسط اتحادیه مخابرات بین المللی11 معرفی شد. اینترنت اشیاء مفهومی است که اجازه شبکه کردن اشیاء مختلفی از زندگی روزمره و ارتباطات روی اینترنت را، بدون تعامل انسان و با دید بهبود شرایط و روش زندگی میدهد.
یکی از حوزههای کاربردی اینترنت اشیاء بخش فرآیندهای صنعتی میباشد که از آن به عنوان اینترنت اشیاء صنعتی (IIoT) یاد میشود. صنایع همواره نگران کاهش مخارج عملیاتی و هزینههای مربوطه بودهاند؛ بنابراین، شرکتها به طور مداوم در جستجوی راهحلهایی هستند که باعث بهبود پایداری سیستم، تحمل خطا، انعطافپذیری و کارایی هزینههای سیستم میشوند؛ با اتخاذ چنین راهحلهایی پیچیدگی و تعامل ارتباطات درونی سیستمهای صنعتی گسترش مییاید؛ یکی از این راهحلها برای رفع نیازهای فعلی سیستمهای صنعتی، بکارگیری از فناوری اینترنت اشیاء در سیستمهای کنترل صنعتی است. سیستمهای کنترل صنعتی عمدتا سیستمهای حیاتی و با قابلیت دسترسی بالا هستند و عملیات مداوم آنها منجربه تولید حجم عظیمی از دادهها میشود که از طریق تجزیه و تحلیل دادههای بزرگ قابل مدیریت هستند همچنین با توجه به ماهیت حساس بسیاری از کاربردهای صنعتی، امنیت به نگرانی اصلی این سیستمها تبدیل شده است. امنیت دستگاههای اینترنت اشیاء صنعتی (IIoT) در صورت حمله به دلیل عواقب مخرب بالقوه آن بخصوص در بخش سیستمهای SCADA بسیار مهم است. اولین حادثه امنیت سایبری در تاریخ سیستمهای SCADA انفجار خط لوله سیبری در سال 1982 میلادی میباشد که در آن یک مهاجم از ویروسی به نام اسب تروجان به عنوان آسیبپذیری در سیستم استفاده کرد؛ همچنین در سال 2010 میلادی، سیستم هستهای ایران توسط کرم استاکسنت مختل شد [10]. با توجه به اهمیت این حوزهی کاربردی از اینترنت اشیاء، پژوهش ما نیز در این زمینه میباشد.
4.2 یادگیری عمیق
یادگیری عمیق12 شاخهای از یادگیری ماشین13 و هوش مصنوعی14 میباشد. هوش مصنوعی یعنی دانش ساخت ماشینها برای کارهایی که برای انجام توسط انسان به هوش نیاز دارد؛ در واقع هدف آن شبیهسازی و درک رفتار انسان میباشد؛ کاربردهای آن شامل رباتیک، درک گفتار، بازیهای کامپیوتری، اقتصاد و رفتارشناسی و ... میباشد. مهمترین ابزار هوش مصنوعی یادگیری عمیق میباشد. یادگیری ماشین زیرمجموعهای از هوش مصنوعی است که میتواند کارهای غیرممکن یا بسیار دست و پاگیر را با زبانهای برنامهنویسی سنتی حل کند [11].
3. پیشینه تحقیق
در پژوهش TR-IDS یک روش تشخیص نفوذ مبتنی بر ناهنجاری را از طریق شبکه عصبی کانولوشنِ متنی15 و جنگل تصادفی16 در دستگاههای اینترنت اشیاء ارائه میدهد [12]. با توجه به استفادهی بیشتر روشهای تشخیص از اطلاعات موجود در سرآیند بستهها یا اطلاعات آماری مربوط به کل جریان، قادر به شناسایی محتوای مورد سوء استفاده در متن بستهها نیستند. در این پژوهش یک سیستم جدید برای تشخیص نفوذ به نام TR-IDS پیشنهاد میشود که ویژگیهای آماری و سرآیند بستهها و همچنین ویژگیهای متن بستهها را در نظر میگیرد. ویژگیهای آماری شامل فیلدهای موجود در سرآیند بستهها و ویژگیهای آماری کل جریان به صورت دستی از هر جریان عبوری از شبکه استخراج میشود. ویژگیهای متن بستهها با استفاده از تعبیه کلمه به یک بردار کلمه به وسیلهی الگوریتم Skip-gram ترسیم شده و سپس با استفاده از شبکه عصبی کانولوشنِ متنی ویژگیهای برجسته متن بستهها استخراج میشود. با ادغام ویژگیهای آماری و متن بستهها از الگوریتم جنگل تصادفی برای طبقهبندی مجموعه دادهی جدید استفاده میشود. الگوریتم جنگل تصادفی در دادههای ساختیافته عملکرد بهتری دارد و شبکه عصبی کانولوشن برای مدیریت دادههای بدون ساختار مناسب است، که در این پژوهش مطابق با اهداف مسئله از هر دو الگوریتم استفاده شده است. پارامترهای ارزیابی این پژوهش با استفاده از مجموعه دادههای ISCX2012 که توسط مرکز امنیت اطلاعات عالی (ISCX) دانشگاه نیوبراتزویک (UNB) تولید شده، به درستی 99.13 درصد، نرخ تشخیص 99.26 درصد و نرخ هشدار اشتباه 1.18 درصد دست پیدا میکنند. از جمله معایب این پژوهش استخراج ویژگیهای آماری به صورت دستی میباشد که با استفاده از روشهای متنوع موجود میتوان ویژگیهای آماری را به صورت خودکار استخراج کرد، همچنین در مورد تنظیم فرا پارامترهای شبکهی عصبی بحث نشده است.
در پژوهش DAE-DFFNN به شناسایی فعالیتهای مخرب در اینترنت اشیاء صنعتی برای پیشگیری از نرخ مثبت کاذب بالا و افزایش نرخ تشخیص17 میپردازد [2]. در این پژوهش از معماریهای مختلف مدل یادگیری عمیق برای توسعه یک سیستم تشخیص ناهنجاری برای سیستمهای کنترل صنعتی اینترنتی استفاده مینماید. در مرحله آموزش، یک الگوریتم خودرمزنگار عمیق18 با استفاده از مشاهدات شبکهای نرمال برای ایجاد پارامترهای اولیه آموزش داده میشود. پارامترهای اولیه شامل وزن و بایاس بوده و این الگوریتم یک بازنمایی عمیق از مشاهدات نرمال را میآموزد. این پارامترها به عنوان یک مرحله اولیه برای آموزش یک شبکه عصبی پیشخور عمیق19 (DFFNN) برای کشف نمونه حملات موجود و حملات جدید مورد استفاده قرار میگیرد. گرههای مختلف پنهان در این تکنیک به صورت حرفهای بازنمایی ویژگیهای عمیق را یادگرفته و مهمترین ویژگیها را با تبدیل ابعاد بالای داده به ابعاد پایین مبتنی بر کاهش لایه پنهان دریافت مینمایند. ساختار و استقرار سیستم تشخیص ناهنجاری به ترتیب شامل واحد شنود و مانیتورینگ، پایگاه داده و واحد تحلیل و پاسخ در گیتوی اینترنت اشیاء میباشد. با دو مجموعه داده شبکهی NSL-KDD و UNSW-NB 15 مورد ارزیابی قرار گرفته و نتایج آزمایشات تجربی برای مجموعهدادهها به ترتیب شامل درستی 98.6 و 92.4 درصد، نرخ تشخیص 99 و 93 درصد و نرخ هشدار اشتباه 1.8 و 8.2 درصد دست پیدا کردهاند. در این پژوهش تنها به تنظیم پارامترهای اولیهی وزنها و بایاسها و نیز کاهش ابعاد داده از طریق الگوریتم خود رمزنگار عمیق پرداخته شده و در مورد دیگر پارامترهای قابل تنظیم در شبکهی یادگیری عمیق بحثی نشده است، همچنین به نتایج ارزیابیِ قابل قبولی در مجموعه دادهی UNSW-NB15 دست پیدا نکردهاند.
در پژوهش گونزالو د لا توره پارا و همکاران به تشخیص حملات اینترنتاشیاء با استفاده از یادگیری عمیق توزیعشده میپردازد [13]. این تحقیق بر شناسایی حملاتِ سطح دستگاه در سمت کلاینت و یا در قسمت میزبان back-end روی ابر بهطور همزمان، متمرکز است. علاوه براین چهارچوب پیشنهادی شامل شناسایی و دفاع در نقطه مبدا حمله به وسیلهی جاسازیِ مدل شبکه عصبی کانولوشن (CNN) در دستگاه کلاینت است؛ همچنین مدل مبتنی بر حافظه کوتاه مدت (LSTM) در میزبان back-end در راستای مدل قبلی برای شناسایی حملات توزیع شده و باتنتها و نیز حملات دارای تجزیه و تحلیل و محاسبات بیشتر، استفاده میشود. این پژوهش شامل یک روش آموزش مشترک برای به حداقل رساندن استفاده منابع در دستگاههای اینترنت اشیاء و به حداکثر رساندن سودمندی ویژگیهای استخراج شده در سمت سرور back-end میباشد. در آخر امکان ادغام خودکار چندین درخواست URL برای بهبود و عملکرد کلی(دقت و تحمل خطا) در سیستم فراهم میشود. برای آموزش و آزمایش و اعتبار سنجی مدل شبکه عصبی از مجموعه داده N-BaIoT استفاده شده و نیز یک مجموعه داده متشکل از URLهای فیشینگ شامل PhishTank(OpenDNS,2016)و OpenPhish(OpenPhish) و نیز غیر فیشینگ شامل Curlie(Curlie,2018) میباشد. در نهایت به وسیلهی مدل CNN در سمت دستگاههای کلاینت به شناسایی حملات فیشینگ با درستی 94.3 درصد و نیز در مدل LSTM سمت میزبان back-end به شناسایی حملات باتنت با درستی 94.8 درصد دست پیدا کردهاند. در این پژوهش تنظیم فرا پارامترهای ساختار شبکهی عصبی در هر دو بخش CNN و LSTM به صورت دستی انجام شده است.
در پژوهش DBN-PNN یک روشی برای تشخیص نفوذ از طریق شبکه باور عمیق20 و شبکه عصبی احتمالی21 ارائه دادهاند [14]. ژائو و همکارانش برای مشکلاتی از قبیل مقدار زیاد دادهها، طولانی بودن زمان آموزش و گیرکردن در مینیممهای محلی به روشی ترکیبی مبتنی بر شبکه عصبی پرداختهاند. چهارچوب کلی در این پژوهش بدین صورت است که ابتدا یک پیشپردازش و نرمالسازی روی مجموعه دادهی KDD CUP 1999 انجام شده است که تعداد ویژگیهای بهینه انتخاب میشود؛ بعد از آن شبکه عصبی DBN برای یادگیری ویژگیها و پیش آموزش مورد استفاده قرار گرفته است. برای تعیین ساختار این شبکه عصبی از الگوریتم بهینهسازی توده ذرات22 (PSO) برای بهینه کردن تعداد نورونهای لایه مخفی در هر لایه شبکه عصبی استفاده کردهاند. در نهایت برای کلاسبندی دادهها از شبکه عصبی احتمالی استفاده شده است. با توجه به روش ارائه شده به نرخ تشخیص 93 درصد دست یافتهاند. از معایب این مدل نرخ تشخیص تقریبا پایین و همچنین استفاده از مجموعه دادهای قدیمی میتوان اشاره کرد.
در پژوهش هوانیانگ و همکارانش به تشخیص نفوذ شبکه مبتنی بر یادگیری عمیق برای سیستمهای کنترل نظارت و جمعآوری دادهها23 (SCADA) پرداختهاند [15]. رویکرد پیشنهادی بدون قطع عملکرد عادی سیستم و به صورت آنلاین و با استفاده از قابلیت مانیتورینگ دستگاههای موجود در شبکه SCADA انجام شده است. تشخیص را از طریق یک شبکه عصبی کانولوشنی (CNN) برای توصیف الگوههای زمانی و برجستهی رفتارهای شبکه در میزبان SCADA و بهوسیلهی جمعآوری بستههای ترافیک در سوئیچهای شبکه ارائه میدهد. شناسایی حملات پیچیده و واقعی برای پروتکلهای شبکهی SCADA در ابتداییترین حالت ممکن انجام میشود. همچنین یک برنامه آموزش مجدد با استفاده از خوشهبندی K میانه برای شناسایی و اصلاح حملات اختصاصی شبکه و نیز سازگاری با محیطهای مختلف ارائه میدهد. ارزیابی در مجموعه دادههای جمعآوری شده از بسترهای آزمون سیستمهای انتقال انرژی مختلف با تجهیزات میدانی واقعی انجام میشود. در نهایت، در آزمایشات اولیه و ثانویه به ترتیب به دقت کلی تشخیص 99.38 درصد و 99.84 درصد رسیدهاند. از جمله مزایای این روش استفاده از مجموعه ترافیک واقعی SCADA در سیستمهای انتقال انرژی نام برد. برای بهبود میتوان با استفاده از دیگر مجموعهدادههای واقعی یا مجموعه دادههای در دسترس کارایی مدل را بررسی کرد و نیز ساختار و فرا پارامترهای شبکه عصبی کانولوشنی را با استفاده از الگوریتمهای فرا ابتکاری یا دیگر روشها خودکار سازی کرد.
در پژوهش Intelligent-IDS یک سیستم تشخیص نفوذ هوشمند با استفاده از یادگیری عمیق ارائه شده است [16]. یک روش یادگیری عمیق برای توسعهی یک سیستم تشخیص نفوذ انعطاف پذیر و مؤثر برای شناسایی و طبقهبندی حملات سایبریِ پیشبینی نشده، استفاده شده است. از طریق ترکیب روشهای تشخیص مبتنی بر امضاء و ناهنجاری برای شناسایی حملات سایبری با استفاده از یک رویکرد شبکه عصبی عمیق DNN پیشنهاد شده است. در این پژوهش فرا پارامترهای شبکه عصبی و توپولوژی شبکهی بهینه برای شبکه عصبی DNN، به صورت دستی و با دوره آموزشی 1000 دور و محدوده نرخ یادگیری عمیق 0.5 تا 0.01 انجام شده است. نقاط ضعف روش پیشنهادی بهینهسازی فرا پارامترهای شبکه عصبی به صورت دستی و از جمله مزایای آن استفاده از مجموعه دادههای متعدد از جمله UNSW-NB15، NSL-KDD، CICIDS2017، WSD-DS، KDDCup99 میباشد. نرخ درستی مجموعه داده NSL-KDD در محدوده 95 تا 99 درصد و برای مجموعه داده UNSW-NB15 در محدوده 65 تا 75 درصد میباشد.
در پژوهش HDRaNN یک شبکه عصبی تصادفی عمیقِ ترکیبی برای تشخیص حملات سایبری در اینترنتاشیاء صنعتی ارائه شده است [17]. در این پژوهش از یک شبکه عصبی تصادفی عمیق (DRaNN) و یک پرسپترون چند لایه 24 (MLP) تشکیل شده است. این مدل شامل یک لایه ورودی، سه لایه RNN ، سه لایه MLP و یک لایه خروجی است. در معماری پیشنهادی برای جلوگیری از بیشبرازش از لایههای dropout استفاده شده است. تعداد دوره آموزشی 150 دوره آموزشی در نظر گرفته شده و مقدار بهینه برای فرا پارامتر نرخ یادگیری با آزمون و خطا به دست آمده است. برای آزمایش از دو مجموعه دادهی DS2OS و UNSW-NB15 استفاده شده که در هر دو مجموعه داده به درستی 98 درصد دست پیدا کردهاند. از جمله معایت این روش تعیین فرا پارامترهای شبکه عصبی به صورت دستی و همچنین از مجموعه دادههای آموزش و آزمایش مخصوص خودِ مجموعهدادهها استفاده نشده است، که این معایب منجربه سیستم تشخیص نفوذ غیر قابل اتکاء میشود. از جمله مزایای این روش میتوان به نرخ درستی بالای آن اشاره کرد.
پژوهشهای C-LSTM [18]، RNN-IDS [19] و SDN-DNN [20] یک سیستم تشخیص نفوذ مبتنی بر شبکههای عصبی ارائه دادهاند. یکی از نقاط ضعف اصلی این پژوهشها نیز تنظیم فراپارامترهای شبکه عصبی به صورت دستی میباشد، در مورد این پژوهشها بهصورت جزئیتر در جدول 1 توضیح داده شده است.
[1] Industrial Internet of Things
[2] Industrial Control System
[3] Confidentiality, Integrity, Availability
[4] Hyperparameter
[5] Metaheuristic
[6] Host
[7] Industrial control system
[8] Supervisory control and data acquisition
[9] Kevin Ashton
[10] Massachusetts Institute of Technology(MIT)
[11] International Telecommunication Union(ITU)
[12] Deep Learning
[13] Machine Learning
[14] Artificial Intelligence
[15] Text-Convolutional Neural Network
[16] Random Forest
[17] Detection rate
[18] Deep auto-encoder
[19] Feedforward Neural Network
[20] Deep Belief Network
[21] Probabilistic Neural Network
[22] Particle Swarm Optimization
[23] Supervisory Control and Data Acquisition
[24] Multilayer perceptron
جدول 1 مقایسه کارهای انجام شده
پژوهش | روش پیشنهادی | نقاط قوت و ضعف |
TR-IDS [12] سال انتشار 2018 | استفاده از ویژگیهای سرآیند بستهها و ویژگیهای متن بستهها در تشخیص نفوذ با استفاده از شبکه عصبی کانولوشن و جنگل تصادفی | نقاط قوت: در نظر گرفتن ویژگیهای متن بستهها نقاط ضعف: استخراج ویژگیهای آماری و تنظیم فرا پارامترهای شبکه عصبی به صورت دستی |
C-LSTM [18] سال انتشار 2018 | تشخیص ناهنجاری ترافیک وب با استفاده از CNN و LSTM | نقاط قوت: دقت مناسب و استفاده از مدل پیشنهادی مناسب با توجه به ساختار مجموعه داده نقاط ضعف: تنظیم فرا پارامترهای شبکه عصبی به صورت دستی |
DAE-DFFNN [2] سال انتشار 2018 | شناسایی فعالیتهای مخرب در اینترنتاشیاء صنعتی با استفاده از الگوریتم خودرمزنگار عمیق و شبکه عصبی پیشخور عمیق | نقاط قوت: تنظیم پارامترهای وزن و بایاس و کاهش ابعاد داده نقاط ضعف: نتایج ارزیابی ضعیف در مجموعه داده UNSW-NB 15 - استفادهی نامناسب از دادههای آموزش و آزمایش |
گونزالو د لا توره پارا و همکاران [13] سال انتشار 2020 | تشخیص حملات اینترنتاشیاء صنعتی با استفاده از CNN و LSTM | نقاط قوت: مدل پیشنهادی مناسب برای به حداقل رساندن استفاده از منابع در IoT نقاط ضعف: تنظیم فرا پارامترهای شبکه عصبی به صورت دستی |
DBN-PNN [14] سال انتشار 2017 | روشی برای تشخیص نفوذ از طریق شبکه باور عمیق و شبکه عصبی احتمالی | نقاط قوت: تنظیم فرا پارامتر با استفاده از PSO نقاط ضعف: نرخ تشخیص تقریبا پایین و استفاده از مجموعه داده قدیمی |
هوانیانگ و همکارانش [15] سال انتشار 2019 | تشخیص نفوذ در سیستمهای اسکادا با استفاده از CNN | نقاط قوت: استفاده از مجموعه ترافیک واقعی اسکادا نقاط ضعف: تنظیم فرا پارامترهای شبکه عصبی به صورت دستی |
RNN-IDS [19] سال انتشار 2017 | ارائه سیستم تشخیص نفوذ برای شبکه عصبی بازگشتی | نقاط قوت: تشخیص در زمان آموزش و آزمایش پایین نقاط ضعف: تعیین فرا پارامتر به صورت آزمون و خطا، نرخ درستی پایین |
SDN-DNN [20] سال انتشار 2016 | سیستم تشخیص نفوذ در شبکه SDN با استفاده از DNN | نقاط قوت: پیادهسازی در بستر معماری جدید شبکه نقاط ضعف: تعیین فرا پارامتر به صورت آزمون و خطا با نرخ درستی نسبتا پایین |
Intelligent-IDS [16] سال انتشار 2019 | سیستم تشخیص نفوذ هوشمند با استفاده از یادگیری عمیق | نقاط قوت: استفاده از روش تشخیص ترکیبی و آزمایشات گسترده در چندین مجموعه داده نقاط ضعف: تنظیم فرا پارامتر به صورت آزمون و خطا |
HDRaNN [17] | ارائهی یک شبکه عصبی تصادفی عمیقِ ترکیبی برای تشخیص حملات سایبری در اینترنتاشیاء صنعتی | نقاط قوت: نرخ درستی بالا نقاط ضعف: تنظیم فرا پارامترها به صورت آزمون و خطا – استفادهی نامناسب از دادههای آموزش و آزمایش |
با توجه به بررسی کارهای انجام شده در حوزهی تشخیص نفوذ، بیشتر روشهایی که مورد بررسی قرار گرفته، روشهای مبتنی بر شبکه بودند. در این پژوهشها از روشهای هوش مصنوعی و شبکههای عصبی به همراه الگوریتمهای یادگیری ماشین استفاده شده است. نتایجی که از اجرای این روشها به دست آمده نشان دهنده کارآمدی و اثربخشی این روشها میباشد. کارهای انجام شده بیشتر به استفاده از شبکه عصبی اکتفا کردهاند؛ یکی از نقاط ضعف این روشها بهینهسازی فرا پارامترهای شبکه عصبی به صورت دستی بوده، و بهینه بودن ساختار شبکه عصبی در میزان دقت و زمان آموزش روشهای ارائه شده مؤثر خواهد بود. در جدول 1 روشهای مورد مطالعه و نقاط قوت و ضعف هر کدام مورد بررسی قرار گرفته است.
4. روش پیشنهادی
با توجه به پژوهشهایی که در فصل سوم بررسی شد یکی از مهمترین ابزارهای مورد استفاده برای سیستمهای تشخیص نفوذ در حوزهی اینترنتاشیاء صنعتی، شبکههای عصبی هستند. مهمترین چالش آموزش شبکههای عصبی تنظیم فرا پارامترهای اولیه در این شبکههاست.
ما دراین پژوهش برای ایجاد یک سیستم تشخیص نفوذ از ترکیب الگوریتمهای شبکه عصبی کانولوشن (CNN) و شبکه عصبی بازگشتی مبتنی بر حافظه کوتاه مدت (LSTM) استفاده کردهایم. با انتخاب شبکه عصبی CNN-LSTM و ایجاد ساختاری مناسب برای این شبکه عصبی، گام موثری در ایجاد یک روش سیستم تشخیص نفوذ هم در فاز آموزش و هم در فاز آزمایش برداشتهایم. اما بهصرف ایجاد این چهارچوب براساس شبکه عصبی CNN-LSTM، یک سیستم تشخیص نفوذ قابل اطمینان و اتکاء نخواهیم داشت، چراکه عملکرد و کارایی شبکه عصبی منوط به تعیین فرا پارامترهایی در شبکه عصبی است، که باید به صورت آزمون و خطا توسط مدیر سیستم تعیین شود. تعداد زیاد آزمون و خطا با توجه به مقدارهایی که به صورت تصادفی توسط مدیر انتخاب میشود، یکی از چالشهایی است که کارایی، عملکرد و دقت تشخیصِ شبکه عصبی را تحت تاثیر قرار داده است. استفاده از ترکیب الگوریتم پویای بهینهسازی ازدحام ذرات (PSO) و الگوریتم بهینهسازی وال (WOA) که دارای عملکرد مناسب و سرعت همگرایی بالا در فاز اکتشاف و بهرهبرداری هستند [21] [22]، راهحل خوبی برای چالش ذکر شده میباشد. بنابراین در این پژوهش برای تنظیم فرا پارامترهای شبکه عصبی از ترکیب الگوریتمهای فرا ابتکاری ازدحام ذرات و وال (PSO-WOA) استفاده شده است، که در جهت بهبود کارایی و تعیین فرا پارامترهای بهینه در سیستم تشخیص نفوذ مبتنی بر شبکه عصبی CNN-LSTM در فاز آموزش میباشد. در نهایت، روش پیشنهادی شامل شبکه عصبی CNN-LSTM و الگوریتمهای فراابتکاری بهینهسازی ازدحام ذرات و وال (PSO-WOA) را روش PWCL1 مینامیم که در ادامه به معرفی دقیقتر این روش خواهیم پرداخت.
در شکل 1 نمای کلی از معماری سیستمهای اسکادا نشان داده شده است. معمولا سیستمهای اسکادا از چهار زیر سیستم مختلف تشکیل شدهاند، شبکه I/O2، کنترل نظارت3، شبکه کنترل4 و شبکه گروهی5. شبکه I/O از دستگاههای مستقر IIoT (شامل حسگرها و محرکها) در فرآیند صنعتی تشکیل شده است. زیرسیستم اصلی کنترل نظارتی مسئول تامین امنیت، کنترل و نظارت بر دستگاههای IIoT است و سیستم تشخیص نفوذ نیز در این قسمت قرار میگیرد. شبکه کنترل شامل کنترلکنندههای منطقی قابل برنامهریزی (PLC) است که بهطور مستقیم فرآیندهای فیزیکی را حس و مدیریت میکنند. از آنجا که سنسورها با محرکها نمیتوانند مستقیما ارتباط برقرار کنند، از PCL برای جمعآوری دادههای حس شده و ارسال دستورات به محرکها استفاده میشود. سرانجام، شبکه گروهی متشکل از سرورها، رایانهها و سایر کاربران متصل به شبکه برای سایر خدمات عمومی مانند انتقال پرونده، میزبانی وب سایت، سرورهای پستی، برنامهریزی منابع و غیره است [1].
شکل 1 قرارگیری سیستم تشخیص نفوذ در زیر سیستم اصلی کنترل نظارتی در شبکهی اینترنتاشیاء صنعتی [1]
دلیل اصلی انتخاب شبکه عصبی کانولوشن و شبکه عصبی بازگشتی مبتنی بر حافظه کوتاه مدت برای موتور تحلیلگر سیستم تشخیص نفوذ، ویژگیهای متفاوت و خوب هر دو روش میباشد. شبکههای عصبی کانولوشن با کاهش اتصالات بین لایهها، مقیاسپذیری را افزایش داده و پیچیدگی زمان آموزش را بهبود میبخشد، همچنین به دلیل یادگیری خودکار ویژگیها از دادههای خام، در رویکردهای آموزشِ یادگیری عمیق مورد استفاده قرار میگیرد. شبکههای عصبی بازگشتی مبتنی بر حافظه کوتاه مدت به دلیل توانایی این شیوه در مدیریت موثرِ دادههای متوالی مورد استفاده قرار میگیرد. این قابلیت برای کارهای مختلف مانند تشخیص تهدید با الگوهای تهدید وابسته به زمان، سودمند است. بنابراین، استفاده از اتصالات مکرر میتواند شبکههای عصبی را بهبود بخشد و الگوهای مهم رفتاری را استخراج کند [23]. با استفاده از ترکیب هر دو شبکهی عصبی به نام CNN-LSTM، ما توانستهایم به خوبی از مزیتهای هر دو روش استفاده کنیم. در شبکههای عصبی بانظارت، تعیین ساختار بهینه و مناسب در کارایی شبکه عصبی به خصوص در افزایش نرخ تشخیص و کاهش زمان آموزش بسیار حائز اهمیت است، زیرا عمدتا یکی از چالشهای سیستم تشخیص نفوذ پیچیدگی محاسباتی و زمانبر برای فرآیند آموزش در مدل میباشد، لذا بایستی مدلی برای کاهش پیچیدگی و کاهش تعداد تکرارهای آزمون و خطا(برای یافتن شبکه عصبی با ساختار و فرا پارامترهای بهینه) ایجاد کنیم.
مطابق با شکل 2 در روش PWCL، دو فاز متفاوت وجود دارد، فاز اول مربوط به آموزش و فاز دوم آزمایشِ سیستم تشخیص نفوذ میباشد. که با توجه به توضیحات داده شده در مورد شبکههای عصبی یک سیستم تشخیص نفوذ مبتنی بر شبکه عصبی CNN-LSTM پیشنهاد کردیم. در موتور تحلیلگر روش PWCL، شبکه عصبی CNN-LSTM، در دو فاز آموزش و آزمایش مورد استفاده قرار گرفته است، در هر دو فاز آموزش و آزمایش فرا پارامترهایی توسط مدیر تعیین میشود، مقادیر این فرا پارامترها در نرخ تشخیص و دقت سیستم بسیار موثر است، بنابراین برای تعیین این فرا پارامترها باید به تعداد دفعات زیادی شبکه را آموزش داده تا اینکه به یک شبکهای با ساختار بهینه برسیم بهطوری که اهداف را برآورده سازد.
برای تعیین فرا پارامترهای شبکه عصبی از الگوریتمهای فرا ابتکاری بهینهسازی ازدحام ذرات (PSO) و وال (WOA) استفاده میکنیم. الگوریتم بهینهسازی ازدحام ذرات در فاز بهرهبرداری دارای سرعت همگرایی خوب و در فاز اکتشاف دارای محدودیتهایی میباشد و همچنین الگوریتم بهینهسازی وال قابلیت اکتشاف بسیار خوبی دارد، اما در فاز بهرهبرداری دارای محدودیتهایی است؛ بنابراین برای بهبود نقاط ضعف و همچنین بهرهگیری از مزایای هر دو الگوریتم از ترکیب این دو استفاده میکنیم.
روش PWCL متشکل از 3 مؤلفه اصلی است. در شکل 2 شمای کلی روش PWCL ترسیم شده است. همانطور که در شکل نمایش داده شده است، در بین این 3 مؤلفه، مؤلفه موتور تحلیلگر از اهمیت ویژه و بسزایی برخوردار است. فرا پارامترها و مشخصات
[1] PSO-WAL and CNN-LSTM
[2] Input/Output
[3] Supervisory control
[4] Control Network
[5] Corporate Network
شکل 2 معماری روش PWCL
هریک از 3 مؤلفهی اصلی که در ادامه تشریح شده است، توسط کاربر سیستم قابل تنظیم میباشند. این مؤلفهها عبارتاند از:
1. مؤلفه پیشپردازنده1
2. مؤلفه موتور تحلیلگر مبتنی بر شبکه عصبی CNN-LSTM 2
3. مؤلفه مدیر و کنترلکننده3
1.4 مؤلفه پیشپردازنده
در یک محیط واقعی مطابق شکل 3، ابتدا استخراج و انتخاب ویژگیهای رکورد از ترافیک شبکه صورت میپذیرد؛ که در این پژوهش این مرحله را از مجموعه دادهی UNSW-NB15 [24] تحویل میگیریم. از این مجموعه داده برای توسعهی تشخیص نفوذ در سیستمهای اینترنتاشیاء صنعتی مورد استفاده قرار میگیرد. سپس در این شبیهسازی مراحل تبدیل ویژگیها به فرمت عددی، استانداردسازی و انتخاب ویژگیهای ویژه انجام شده و دادهها آمادهی ورود به نورونهای لایهی ورودیِ شبکه عصبی در بخش موتور تحلیلگرِ مبتنی بر شبکه عصبی میباشد.
شکل 3 روند پیش پردازش
با توجه به مطالب گفته شده، به طور کلی فرآیند پیشپردازش در این پژوهش را میتوان به سه مرحله تقسیم کرد:
1) تبدیل فرمت متنی دادهها به فرمت عددی : دادههای ورودی در مجموعهدادهی مورد نظر به صورت جدولی و شامل متغیرهای اسمی4 ، عدد صحیح5 ، وابسته به زمان6 و دودویی7 است که در نهایت به دو فرمت عددی و متنی دستهبندی میشوند. اولین گام در آمادهسازی دادهها، تبدیل ویژگیهای متنی به ویژگیهای عددی با استفاده از رمزگذاری برچسب8 در طول فرآیند است.
2) استانداردسازی : استاندارد سازی داده کمک میکند که اهمیت آنها به واحد اندازهگیریشان بستگی نداشته باشد. در نتیجه در مواردی مانند دادهکاوی و تحلیل دادههای چند متغیره از دادههای استاندارد شده استفاده میشود. استانداردسازی میانگین دادهها را به صفر و واریانس9 را به یک تبدیل میکند. هرچه مقادیر داده به سمت بینهایت کشیده شود، واریانس دادهها به یک نزدیکتر میشود. فرمول تابع استانداردسازی یا نمره استاندارد10 مطابق با فرمول (1) محاسبه میشود [25].
(1)
3) انتخاب ویژگیهای ویژه : روشهای زیادی برای کاهش تعداد ویژگی وجود دارد. انتخاب زیرمجموعهای از ویژگیها، که تا حد زیادی مانند مجموعه کامل ویژگیها رفتار میکنند و باعث کاهش پیچیدگی زمانی و محاسباتی سیستم در هر دو فاز آموزش و آزمایش میشود. در این پژوهش برای انتخاب ویژگیهای ویژه از روش تحلیل مؤلفههای اصلی (PCA) استفاده شده است [26]. روش PCA برای انتخاب ویژگی با تعیین مؤلفههای اصلی یا (PC)ها در دادهها این کار را انجام میدهد. مؤلفههای اصلی در حقیقت همان بردار ویژههای ماتریس کوواریانس دادهها هستند. بیشترین واریانس دادهها در راستایی قرار دارد که بردار ویژهی متناظر با بزرگترین مقدار ویژه در آن راستا قرار دارد. در این پژوهش از واریانس تجمعی در تکنیک تحلیل مؤلفههای اصلی (PCA) استفاده شده است. واریانس تجمعی نشان میدهد که چند درصد از اطلاعات موجود در مؤلفهها به وسیلهی تعداد مشخص از مؤلفهها قابل ارائه است.
یک گام مهم در آموزش، انتخاب و استخراج ویژگی از ترافیک در شبکههای مورد بررسی میباشد. در پژوهش ذوالانواری و همکاران [1] با ایجاد یک بستر تست واقعی در شبکهی اینترنتاشیاء صنعتی و همچنین پیادهسازی سناریوهای واقعیِ اینترنتاشیاء صنعتی، یک سیستم تشخیص نفوذ قابل اتکایی را ارائه دادهاند. در این بستر آزمایشی از پروتکل Modbus، یکی از محبوبترین پروتکلهای اینترنتاشیاء صنعتی، استفاده شده است. بهوسیلهی انتخاب و استخراج ویژگیهای بالقوه، اهمیت ویژگیهای مختلف در تشخیص ترافیک عادی از ترافیک حمله در شبکهی اینترنتاشیاء صنعتی بررسی شده و در نهایت، 23 ویژگی مهم در نظر گرفته شده است. با توجه به اینکه اکثر ویژگیهای پژوهش ذوالانواری و همکاران [1] در 30 ویژگی انتخابی توسط PCA در مجموعه دادهی UNSW-NB15 توسط پژوهش ما وجود دارد، بنابراین در روش ما نیز سیستم تشخیص نفوذ قابل اتکایی در حوزهی اینترنتاشیاء صنعتی خواهیم داشت.
2.4 تحلیلگر مبتنیبر شبکه عصبی CNN-LSTM
در این مرحله مهمترین مؤلفه این معماری قرار دارد که بخش موتور تحلیلگر آن است. این مرحله وظیفه پردازش مجموعه داده و در نهایت دستهبندی آنها را برعهده دارد. این مرحله به چند گام تقسیم میشود:
· بهینهسازی فرا پارامترهای شبکه عصبیِ CNN-LSTM با استفاده از الگوریتم PSO-WOA
o نحوهی ترکیب و تعویضِ الگوریتمهای بهینهسازی PSO و WOA
· ساخت مدل مبتنی بر شبکه عصبی
1.2.4 بهینهسازی فرا پارامترهای CNN-LSTM با استفاده از الگوریتم PSO-WOA
یکی از چالشهای مهم در شبکههای عصبی تخمین فرا پارامترهای بهینه است، که شبکهی عصبی CNN-LSTM نیز از این قاعده مستثنی نمیباشد. شبکه عصبی CNN-LSTM از چندین روال تشکیل شده است. بعد از دریافت ورودی، یکی از روالها تعیین ساختار شبکه عصبی است، که تعیین فرا پارامترهای شبکه نیز جزء این روال است، با توجه معماریهای مختلف ارائه شده روی ترکیب چندین شبکهی عصبی CNN [27] ، معماری GoogleNet دارای کارایی مناسبی در زمینه دقت، زمان، محدودیت انرژی بود و ما با الگو گرفتن از یک بلوک ساختاری GoogleNet و بررسی حالتهای مختلف برای لایههای شبکه عصبی، ساختاری مطابق شکل 4 ارائه میدهیم که شامل چهار لایه CNN ، دو لایه MaxPooling ، یک لایه LSTM و در نهایت یک لایه فشردهسازی برای دستهبندی میباشد. همچنین با مشاهدهی کارایی بهتر شبکه عصبی در دو برابر کردن تعداد نورونهای دو لایهی آخر CNN نسبت به نورونهای اولیه، این تغییر را نیز در ساختار اولیه لحاظ کردیم.
شکل 4 ساختار شبکه عصبی CNN-LSTM
مسئلهی پیدا کردن فراپارامترهای بهینه برای شبکه عصبی CNN-LSTM به عنوان یک چالش مطرح میشود، لذا تعیین این فرا پارامترها در عملکرد شبکه نقش بسزایی ایفا میکند. چون هیچ دیدگاه و قانون خاصی وجود ندارد، معمولا تعیین فرا پارامترها به صورت آزمون و خطا تعیین شده و شبکه را ایجاد میکند و دفعات زیادی این عمل انجام میشود که تعداد این تکرارها نیز توسط کاربر مشخص میشود. عیب این روش این است که اولا در هر بار تکرار باید کل فضای فرضیه را جستجو کنیم تا فرا پارامترهایی انتخاب کنیم، ثانیا در هر بار تکرار باید کل مجموعه داده را برای آموزش شبکه اعمال کنیم. اما تعیین این فرا پارامترها را میتوان به صورت خودکار توسط یک الگوریتم جستجوی اکتشافی انجام داد، که ما در این پایاننامه ترکیب الگوریتمهای بهینه سازی ازدحام ذرات و وال (PSO-WOA) را پیشنهاد میکنیم، که هر دو الگوریتم و در نتیجه ترکیب آنها، الگوریتمهای کارا با سرعت و دقت بالا میباشند. هر دو الگوریتم در هر بار تکرار کل فضای فرضیه را جستجو نمیکنند و براساس تجربههای گذشته به دنبال راهحلهای بهینه میگردند، در واقع از هوش جمعی استفاده میکنند. هوش جمعی خاصیتی سیستماتیک است که عاملها بهطور محلی باهم همکاری مینمایند و رفتار جمعی تمام عاملها باعث یک همگرایی در نقطهای نزدیک به جواب بهینه سراسری میشود. نقطه قوت این الگوریتمها عدم نیاز به یک کنترل سراسری میباشد. الگوریتم PSO مبتنی بر حرکت و سرعت جابجایی ذرات و نیز الگوریتم WOA مبتنی بر مکانیزم کوچک کردن محاصره(فضای مسئله) و بروز رسانی موقعیت مارپیچی عمل میکند، هر دو الگوریتم پیچیدگی زمانی و سرعت بالایی دارند. هر دو الگوریتم با در نظر داشتن تمام ابعاد مسئله ابتدا کل فضای مسئله را جستجو میکنند و بهمرور زمان فضای جستجوی خود را به سمت بهترین مکانهایی که مشاهده کرده محدود میکنند. این ویژگی منحصر بهفرد باعث قوت و کارایی بالای الگوریتم در عین حفظ کارایی و دقت در به دست آوردن فرا پارامترهای بهینهی شبکهِ عصبی میباشد [22] [21]. در واقع هدف ما این است که در زمان کم و با دقت بیشتری روال کار سیستم را با دو الگوریتم بهینه کنیم. برای تحقق این امر ما مجموعهای از متغیرهای تصادفی را در طول زمان مشخص میکنیم و آنها را بهعنوان فرا پارامترهای شبکه در نظر میگیریم. برای تعیین فرا پارامترها در هر شبکهی عصبی، تعیین یکسری فرا پارامترها مانند تعداد نورونها در هر لایه، تعداد لایهها، انتخاب الگوریتم گرادیان کاهشی11 و تعیین نرخ یادگیری12 این الگوریتم، نرخ dropout(که برای کنار گذاشتن تعدادی نورون در هر مرحله برای جلوگیری از بیشبرازش13 در شبکه عصبی استفاده میشود)، مقدار لایهی ادغام14 (باعث کاهش ویژگیها، تعداد پارامترهای یادگیری و میزان محاسبات شبکه میشود) و بایاس15 (مقدار وزندهی اولیه نورونها) در شبکهی عصبی بانظارت در عملکرد شبکه عصبی بسیار حائز اهمیت است، لذا در شبکه عصبی CNN-LSTM نیز این فرا پارامترها مهم هستند. درصورتی که همهی فرا پارامترهای ذکر شده برای بهینهسازی انتخاب شوند، فضای حل مسئله بیش ازحد پیچیده خواهد شد. بنابراین در این پژوهش مطابق جدول 2 برخی از مهمترین فرا پارامترها، یعنی تعداد نورونها در هر لایه، نرخ یادگیری، نرخ dropout، مقدار لایه ادغام و بایاس را به عنوان فرا پارامترهای انتخاب شده برای بهینهسازی درنظر میگیریم. در ادامه به تابع هزینه روش PWCL، نحوهی بهینهسازی فرا پارامترهای شبکه عصبی توسط الگوریتم پیشنهادی به نام PSO-WOA و سپس به نحوه تعویض دو الگوریتم میپردازیم.
جدول 2 فرا پارامترهای انتخابی برای بهینهسازی در شبکه عصبی
شماره | نام فرا پارامتر | توصیف |
1 | Neurons | تعداد نورونهای اولیهی در نظر گرفته شده برای شبکه عصبی |
2 | Learning rate | ضریب گامهایی که به سمت حل مسئله برداشته میشود |
3 | Dropout | کنار گذاشتن تعدادی نورون در هر مرحله |
4 | Poolsize | مقدار لایه ادغام |
5 | Bias | مقدار وزندهی اولیه نورونها |
در شبکههای کنترل صنعتی به علت نیاز به ارتباط بلادرنگ، زمان بسیار اهمیت پیدا میکند و تاخیر باتوجه به ماهیت این سیستمها خسارت جبران ناپذیری به وجود میآورد؛ همچنین در سیستمهای کنترل صنعتی اگر حملهای به صورت کشف نشده باقی بماند به معنای اعمال مخرب علیه این سیستمها است که میتواند منجربه نتایج فاجعهباری شود. برای محاسبهی تابع هزینه، باتوجه به مطالب بیان شده و با توجه به پیادهسازی سیستم تشخیص نفوذ در سیستمهای کنترل صنعتیِ مبتنی بر اینترنتاشیاء، افزایش نرخ تشخیص16 و کاهش نرخ منفی کاذب17 ، زمان و همچنین نرخ درستی18 (بهدلیل اینکه میزان مفید بودن الگوریتمها را نشان میدهد) برای ما اهمیت دارد. باتوجه به مطالب بیان شده، تابع هزینهی مورد نظر مطابق با فرمول (5) محاسبه میشود. تابع هزینه برابر با مجموع هزینههای زمان آموزش، نرخ تشخیص و نرخ درستی میباشد. هزینهی زمان آموزش ( مطابق فرمول (2) برای هر دقیقه طول کشیدن آموزش یک واحد افزایش مییابد. هزینهی نرخ تشخیص ( مطابق فرمول (3) برابر با مقدار خطای تشخیص و هزینهی درستی مطابق فرمول (4) برابر با مقدار خطای درستی میباشد. در نهایت مجموعه هزینهی فرمولهای (2)، (3) و (4)، هزینهی کلی مدنظر ما یعنی فرمول (5) را تشکیل میدهند. بنابراین تابع هزینه مورد نظر که الگوریتم فراابتکاری PSO-WOA درپی کاهش آن است، مطابق فرمول (5) محاسبه میکنیم.
CostTime_Train = TimeTrain(seconds) / 60 (2)
CostDetection_rate = 100 - Detection_rate (3)
CostAccuracy_rate = 100 - Accuracy (4)
Cost = CostTime_Train + CostDetection_rate + CostAccuracy_rate (5)
در روش PWCL بخش موتور تحلیلگر مبتنی بر شبکه عصبی بدین صورت عمل میکند که در مرحله اول با استفاده از الگوریتم PSO-WOA مقادیری به فرا پارامترهای شبکه عصبی CNN-LSTM میدهد. در مرحله دوم شبکه عصبی اجرا شده و تابع هزینه محاسبه میشود. در مرحله سوم مقدار هزینهی محاسبه شده به الگوریتم PSO-WOA برگشت داده میشود. در مرحله چهارم با توجه به مقدار هزینه، مجدد الگوریتم PSO-WOA فرا پارامترها را مقداردهی کرده و درپی کاهش تابع هزینه میباشد. درنهایت، با رسیدن به حدآستانه یا حداکثر تعداد تکرار فرا پارامترهای بهینه تحویل مرحلهی بعد میشوند. مقداردهی فرا پارامترها با استفاده از ترکیب دو الگوریتم بهینهسازی PSO و WOA انجام میشود، که در ادامه در مورد نحوه ترکیب و تعویض دو الگوریتم PSO و WOA و نحوه تعیین حدآستانه و حداکثر تعداد تکرار توضیح داده میشود.
1.1.2.4 نحوهی ترکیب و تعویضِ الگوریتمهای بهینهسازی PSO و WOA
مطابق شکل 5 برای ترکیب و تعویض الگوریتمهای بهینهسازی، با توجه به اینکه وضعیت آینده الگوریتم فقط به وضعیت فعلیِ الگوریتم بستگی دارد، از زنجیره مارکوف ایده میگیریم.
شکل 5 نحوه ترکیب و تعویض الگوریتم PSO و WOA
برای ترکیب الگوریتمهای بهینهسازی PSO و WOA در ابتدا هر الگوریتم یک مرتبه اجرا شده و سپس با احتمال برابر یکی از الگوریتمهای PSO یا WOA اجرا میشود. در هر تکرار با احتمال الگوریتم در حال اجرا به اجرای خودش ادامه میدهد و با احتمال به سمت الگوریتم متوقف رفته و تعویض الگوریتم اتفاق میافتد. برای محاسبهی احتمال و سه پارامتر تعداد تکرار هر الگوریتم، بهبود تابع هزینهی الگوریتم درحال اجرا با مقدار قبلی و مقایسهی تابع هزینهی دو الگوریتم را در نظر میگیریم. برای محاسبهی بردار احتمالِ تعداد تکرار الگوریتم مطابق جدول 3 و معادلههای شمارهی (1) و (2) عمل میکنیم. در معادله (1) و به ترتیب تعداد تکرار الگوریتم در حال اجرا و متوقف بوده و حداکثر تعداد تکرار در نظر گرفته شده برای الگوریتم PSO-WOA میباشد. در معادله (2) و به ترتیب احتمالِ تعداد تکرار برای الگوریتم در حال اجرا و متوقف میباشد، که در ابتدا احتمال هر دو برابر درنظر گرفته شده و سپس باتوجه به مقدار محاسبه میشود.
برای محاسبهی بردار احتمالِ بهبود تابع هزینهی الگوریتم در حال اجرا با مقدار قبلی مطابق جدول 3 و معادلهی شماره (3) عمل میکنیم. و به ترتیب بیانگر احتمال بهبود تابع هزینه برای الگوریتم در حال اجرا و متوقف میباشد. شمارندهی تعداد تکرار الگوریتم در حال اجرا در وضعیت فعلی و شمارندهی در هر مرحله در صورتی که شرط برقرار باشد به اضافهی یک میشود، این دو شمارنده بعد از تعویض الگوریتم صفر میشوند. نیز تابع هزینهی محاسبه شده برای الگوریتم در حال اجرا میباشد.
برای محاسبهی بردار احتمالِ مقایسهی تابع هزینهی دو الگوریتم مطابق جدول 3 معادلهی شماره (4) عمل میکنیم. و به ترتیب احتمالِ مقایسهی تابع هزینه برای الگوریتم در حال اجرا و متوقف میباشد. شمارندهی در هر مرحله در صورتی که شرط برقرار باشد به اضافهی یک شده و این شمارنده بعد از تعویض الگوریتم صفر میشود. نیز تابع هزینه محاسبه شده برای الگوریتم متوقف میباشد.
با توجه به مطالب گفته شده، سه بردار احتمال مورد نظر ماتریس استوکستیکی مطابق جدول 3 و معادلهی شماره (5) تشکیل میدهند.
با توجه به آزمایشات انجام شده برای پارامترهای مورد نظر بردار احتمالی را مطابق جدول 3 و معادلهی شماره (6) در نظر میگیریم. ، و به ترتیب احتمال تعداد تکرار هر الگوریتم، بهبود تابع هزینهی الگوریتم با مقدار قبلی و مقایسهی تابع هزینهی دو الگوریتم میباشد. احتمال به این دلیل بالاتر است که در آزمایشات انجام شده به طور معمول تابع هزینه بعد از چندین تکرار بهبود چشمگیری را در تکرار بعدی داشت، بنابراین احتمال تعداد تکرار را بیشتر درنظر گرفتیم.
با توجه به اینکه بردار احتمال به تعداد تکرار الگوریتمها، بردار احتمال به تابع هزینهی وضعیت فعلی و قبلی در الگوریتم در حال اجرا و نیز بردار احتمال به تابع هزینهی الگوریتم در حال اجرا و متوقف وابسته هستند، همچنین بردار احتمال ثابت است؛ بنابراین بردارهای احتمال معرفی شده کاملا مستقل از همدیگر میباشند. در نهایت، احتمال وقوع همزمان و با توجه به معادلههای (5) و (6)، مطابق جدول 3 معادلهی شماره (7) محاسبه میشود.
[1] Data Preprocessor
[2] Neural Network CNN-LSTM based Analyzer
[3] Manager and Controller
[4] nominal
[5] interger
[6] timestamp
[7] binary
[8] Label Encoding
[9] variance
[10] Z-score
[11] Gradient descent
[12] Learning rate
[13] overfitting
[14] Pooling layer
[15] bias
[16] Detection Rate
[17] False Negative rate
[18] Accuracy
جدول 3 معادلات
شماره | معادله |
(1) |
|
(2) |
|
(3) |
|
(4) |
|
(5) |
|
(6) |
|
(7) |
|
شرط خاتمه الگوریتم PSO-WOA وابسته به مقدار حد آستانهی محاسبه شده توسط تابع هزینه و تعداد تکرار الگوریتم است که توسط مدیر مقداردهی میشود. اگر مقدار حد آستانه مقدار بالایی باشد، تعداد تکرار الگوریتم PSO-WOA به مراتب افزایش خواهد یافت، چرا که افزایش نرخ تشخیص و کاهش نرخ منفی کاذبِ محاسبه شده توسط تابع هزینه، ملاک خاتمه الگوریتم PSO-WOA میباشد. اگر هم مقدار حد آستانه، مقدار کوچکی در نظر گرفته شود، تعداد تکرار الگوریتم PSO-WOA خیلی کمتر خواهد بود و سیستم تشخیص نفوذ قابل اتکایی طبق اهداف مسئلهی تعیین شده نخواهیم داشت. لذا این حد آستانه نیز باید توسط تابع هزینه با مقدار قابل قبولی محاسبه شود و نحوه محاسبه این مقدار نیز به صورت آزمون و خطا طی چند مرحله توسط مدیر تعیین میشود. بنابراین برای تعیین مقدار حد آستانه و تعداد تکرار، الگوریتم PSO-WOA را در چند مرحله و با مقادیر واقعی مورد آزمایش و ارزیابی قرار میدهیم. مقدار این حد آستانه و تعداد تکرار بدین صورت تعیین میشود که اگر بعد از چند مرحله اجرای الگوریتم PSO-WOA بهبودی در تابع هزینه صورت نگیرد، مدیر باتوجه به مشاهدات میتواند مقدار مشخصی را برای تعداد تکرار یا مقدار حد آستانه درنظر بگیرد. حتی میتوان به صورت دلخواه شرطی در الگوریتم لحاظ کرد که اگر تابع هزینه مثلا بعد از 5 یا 6 مرحله اجرای الگوریتم PSO-WOA بهبودی پیدا نکند، الگوریتم متوقف شود. گزارش تعیین مقدار حد آستانه و تعداد تکرار در فصل ارزیابی روش پیشنهادی نمایش داده شده است.
2.2.4 ساخت مدل مبتنی بر شبکه عصبی
بعد از تعیین فرا پارامترهای شبکه عصبی CNN-LSTM روال ایجادِ ساختار شبکه عصبی تمام و وارد روال آموزش شبکه عصبی CNN-LSTM میشویم. در این روال براساس فرا پارامترهای تعیین شده توسط الگوریتم PSO-WOA، مجموعه داده ورودی به شبکه اعمال شده و دادههای آموزشی را براساس برچسبی که دارند به شبکه آموزش میدهیم.
پس از آموزش شبکه با توجه به همان فرا پارامترهای تعیین شده، مجموعه دادهی آزمایشی را وارد شبکه عصبی میکنیم. درنهایت با استفاده از شبکه عصبی CNN-LSTM و با استفاده از فرا پارامترهای بهینهی تعیین شده، به افزایش نرخ تشخیص و کاهش نرخ منفی کاذب و کاهش زمان آموزش و آزمایش دست پیدا خواهیم کرد.
3.4 مدیر و کنترلکننده
در مؤلفه سوم از معماری سیستم تشخیص نفوذ در اینترنت اشیاء صنعتی مبتنی بر یادگیری عمیق، مدیر و کنترل کننده قرار دارد. در این مؤلفه مقدار دهی یکسری پارامترها، مدیریت فضای کاربر و اجرای فرمانها صادر شده از سوی کاربر با برقراری ارتباط با مؤلفههای سیستم میباشد. لذا مشخص نمودن مقدار خاتمه الگوریتم PSO-WOA برای تعیین فرا پارامترها توسط کاربر با توجه به اینکه بهبودی در مقدار تابع هزینه بعداز چند مرحله اجرای الگوریتم PSO-WOA انجام نگیرد، تعیین میشود.
در این بخش، هدف روش PWCL، کاهش پیچیدگی محاسبات سیستم، کاهش تعداد تکرار آموزش و آزمایش شبکه عصبی و افزایش سرعت و نرخ تشخیص و کاهش نرخ منفی کاذب است، که با ارائه روش PWCL از طریق شبکه عصبی CNN-LSTM و الگوریتم بهینهسازی PSO-WOA معرفی و تشریح شد. سیستم تشخیص نفوذ در اینترنت اشیاء صنعتیِ مبتنی بر یادگیری عمیق، یک سیستم تشخیص نفوذ مبتنی بر شبکه عصبی بانظارت است که در مرحله آموزش آن از الگوریتم PSO-WOA جهت تعیین و بهینهسازی فرا پارامترهای آن استفاده شد. الگوریتم PSO-WOA با توجه به سرعت بالایی که دارد، فرا پارامترهایی را مشخص میکند و در ارزیابی این فرا پارامترها، شبکه عصبی CNN-LSTM را اجرا کردیم و با محاسبه تابع هزینه در شبکه عصبی و در چندین مرحله تکرار الگوریتم، فرا پارامترهای بهینه مشخص شد. با این فرا پارامترهای بهینه روشی برای آموزش رکوردهای مجموعه داده آموزشی ایجاد شد و بعد از آموزش موفق، در مرحله آزمایش با مجموعه داده آزمایشی، میزان مؤثر بودن روش PWCL را ارزیابی میکنیم. این سیستم با هدف ارزیابی سیستم تشخیص نفوذ در اینترنت اشیاء صنعتیِ مبتنی بر شبکه عصبی CNN-LSTM با استفاده از الگوریتمهای فرا ابتکاریِ PSO-WOA ارائه شد و با سیستم تشخیص نفوذ مبتنی بر شبکههای عصبی بانظارت دیگر مقایسه انجام گرفت، که در بخش بعدی تنایج آزمایشها در مراحل مختلف سیستم مورد بررسی و ارزیابی قرار میگیرد.
5. ارزیابی روش پیشنهادی
در این بخش در مورد ملاحظات فنی و پیادهسازی، مجموعه داده، جزئیات ارزیابی طرح پیشنهادی و همچنین مقایسه با پژوهشهای پیشین صورت میگیرد.
1.5 ملاحظات فنی و پیادهسازی
برای تعیین ساختار و تعیین فرا پارامترهای شبکه عصبی با استفاده از روش PWCL و ساخت مدل مبتنی بر شبکه عصبی CNN-LSTM با استفاده از فرا پارامترهای تعیین شده توسط روش PWCL، از Google Colab pro+ استفاده شده است.
برای ارزیابی سیستمهای تشخیص نفوذ در اینترنتاشیاء صنعتی از مجموعه داده UNSW-NB15 استفاده میکنیم.
2.5 مجموعه داده
این مجموعه داده دارای 9 نوع حمله شامل Fuzzers, Analysis, Backdoors, Dos, Exploits, Generic, Reconnaissance, Shellcode و Worms است و شامل 49 ویژگی میباشد. تعداد کل رکوردها دو میلیون و پانصد و چهل هزار و پانصد چهل و چهار (2540544) میباشد، همچنین مجموعه داده مناسبتری از دادههای اصلی شامل 175341 رکوردِ آموزش و 82332 رکوردِ آزمایش آماده شده است که اغلب پژوهشها از این مجموعه داده استفاده میکنند [24]. در این پژوهش نیز از مجموعه دادههای آموزشی و آزمایشی UNSW-NB15 با 4 ویژگی کمتر نسبت به مجموعه داده اصلی، یعنی از 45 ویژگی استفاده میکنیم.
3.5 جزئیات ارزیابی طرح پیشنهادی
برای ارزیابی و تحلیل روش PWCL، از معیارهایی که در همهی سیستمهای تشخیص نفوذ براساس TP,TN,FN,FP رایج است، استفاده میکنیم. معیارهای ذکر شده را به اختصار شرح میدهیم.
o TP (True Positive) : برچسب حمله دارند و حمله تشخیص داده شدهاند.
o (False Positive) FP : برچسب نرمال دارند ولی تراکنشهای حمله تشخیص داده شدهاند.
o (False Negative) FN : برچسب حمله دارند ولی تراکنشهای نرمال تشخیص داده شدهاند.
o (True Negative) TN : برچسب نرمال دارند و تراکنشهای نرمال تشخیص داده شدهاند.
4.5 آزمایش و ارزیابی
ساختار شبکه عصبی و مقادیر پارامترها و فرا پارامترهای آن در کارایی و بهرهوری برای حل مسائل مختلف تاثیر زیادی دارد. در روش PWCL ابتدا یکسری آزمایشهای اولیه برای تعیین ساختار مناسب شبکه عصبی و مقادیر مناسب فرا پارامترهای اساسی آن با استفاده از الگوریتم فرا ابتکاری PSO-WOA تعیین شده و سپس آزمایشهای اصلی جهت ارزیابی کارایی سیستم صورت گرفته است.
در پیادهسازی روش PWCL، پارمترهایی که در الگوریتم PSO-WOA وجود دارد در جدول 4 قرار داده شده است. همانگونه که مشاهده میکنید تعداد ذرات والهای فضای جستجو برای الگوریتم 5 در نظر گرفته شده و تعداد تکرار بدون لحاظ کردن حد آستانه، به صورت پیشفرض 20 در نظر گرفته شده و همچنین تعداد دوره آموزشی در شبکه عصبی CNN-LSTM در هر فراخوانی صورت گرفته شده توسط الگوریتم PSO-WOA مقدار 5 در نظر گرفته شده است.
در ادامه به مقایسه و ارزیابی روش پیشنهادی با چهار وضعیت مختلف میپردازیم:
1) استفاده از انتخاب ویژگیهای ویژه (PCA) و بدون مرحلهی انتخاب ویژگیهای ویژه
2) نتایج الگوریتمهای PSO و WOA به صورت جداگانه
3) تعویض الگوریتمهای PSO و WOA با دو روش متداولِ تعویض تصادفی و تطبیقی
4) استفاده از 10 و 30 ویژگی انتخابی
5) بررسی و تحلیل نتایج
جدول 4 پارامترهای الگوریتم WOA-PSO
متغیر | W | C1 | C2 | Particle/Whale | Max_iteration | دوره آموزشی |
توصیف | وزن اینرسی | ضریب اعتماد به pbest | ضریب اعتماد به gbest | تعداد ذرات و والهای فضای جستجو | تعداد تکرار فضای جستجوی حالت | تعداد دوره آموزشی شبکه عصبی |
مقادیر در نظر گرفته شده | 1 | 2 | 2 | 5 | 20 | 5 |
1.4.5 مرحلهی انتخاب ویژگیهای ویژه و بدون مرحلهی انتخاب ویژگیهای ویژه
در مؤلفهی پیشپردازنده به دو صورتِ بدون مرحلهی انتخاب ویژگیهای ویژه و با مرحلهی انتخاب ویژگیهای ویژه میتوان ویژگیها را به مؤلفهی تحلیلگر مبتنی بر شبکه عصبی تحویل داد. با توجه به توضیحات فصل چهارم در این پژوهش با استفاده از روش تحلیل مؤلفههای اصلی (PCA) به کاهش ویژگیها پرداختیم و از کل ویژگیها 30 ویژگی را برای آموزش و آزمایش روش PWCL انتخاب کردیم. در این قسمت به مقایسه و ارزیابی روش PWCL با استفاده از مرحلهی انتخاب ویژگی و بدون انتخاب ویژگی میپردازیم.
مطابق شکل 6 روند بهبود تابع هزینه در روش PWCL، با استفاده از PCA و 30 ویژگی انتخابی و بدون استفاده از PCA و همه ویژگیها را مشاهده میکنید. بدون استفاده از مرحلهی انتخاب ویژگیهای ویژه در تکرارهای اولیهی الگوریتم PSO-WOA تابع هزینه مقدار بالاتری را دارد و در تکرار یازدهم به مقدار بهینه دست پیدا کرده و نیز زمان اجرای روش PWCL 80 دقیقه طول کشیده است. در مقابل، با مرحلهی انتخاب ویژگیهای ویژه در همان تکرار اولیهی الگوریتم PSO-WOA تابع هزینه بهبود چشمگیری را نسبت به مرحلهی بدون انتخاب ویژگیهای ویژه داشته و همچنین در تکرار ششم به مقدار بهینه دست پیدا کرده و نیز زمان اجرای روش PWCL 60 دقیقه طول کشیده است. بنابراین با مرحلهی انتخاب ویژگی علاوه بر رسیدن تابع هزینه به مقدار مناسبی در تکرار های اولیه، پیچیدگی محاسباتی و زمان اجرا نیز بهبود پیدا کرده است.
2.4.5 نتایج الگوریتمهای PSO و WOA به صورت جداگانه
الگوریتم بهینهسازی PSO دارای سرعت همگرایی خوبی است ولی در فاز اکتشاف دارای محدودیتهایی است که میتواند در بهینهی محلی گیر کند؛ در طرف مقابل الگوریتم WOA دارای قابلیت اکتشاف بسیار خوبی است اما در مرحلهی بهرهبرداری دارای محدودیتهایی است که منجربه سرعت همگرایی ضعیف میشود. در طی آزمایشات این پژوهش، متوجه قابلیتها و محدودیتهای گفته شده در الگوریتمهای PSO و WOA شدیم. مطابق شکل 7 نمودار تابع هزینه را در شکلهای a ، b ، c و d با استفاده از الگوریتمهای PSO و WOA نشان میدهد، همانطور که مشاهده میکنیم در شکل a الگوریتم PSO در بهینهی محلی گیر کرده است ولی در شکل b الگوریتم WOA روند بهینهسازی را به خوبی طی کرده است. همچنین در شکل c الگوریتم PSO سرعت همگرایی خوبی داشته و در همان ابتدا توانسته به جواب بهینه
شکل 6 روند بهبود تابع هزینه با استفاده از PCA و 30 ویژگیِ انتخابی و بدون استفاده از PCA و همه ویژگیها
2.4.5 نتایج الگوریتمهای PSO و WOA به صورت جداگانه
الگوریتم بهینهسازی PSO دارای سرعت همگرایی خوبی است ولی در فاز اکتشاف دارای محدودیتهایی است که میتواند در بهینهی محلی گیر کند؛ در طرف مقابل الگوریتم WOA دارای قابلیت اکتشاف بسیار خوبی است اما در مرحلهی بهرهبرداری دارای محدودیتهایی است که منجربه سرعت همگرایی ضعیف میشود. در طی آزمایشات این پژوهش، متوجه قابلیتها و محدودیتهای گفته شده در الگوریتمهای PSO و WOA شدیم. مطابق شکل 7 نمودار تابع هزینه را در شکلهای a ، b ، c و d با استفاده از الگوریتمهای PSO و WOA نشان میدهد، همانطور که مشاهده میکنیم در شکل a الگوریتم PSO در بهینهی محلی گیر کرده است ولی در شکل b الگوریتم WOA روند بهینهسازی را به خوبی طی کرده است. همچنین در شکل c الگوریتم PSO سرعت همگرایی خوبی داشته و در همان ابتدا توانسته به جواب بهینه مناسبی دست پیدا کند ولی در طرف مقابل در شکل d الگوریتم WOA به دلیل سرعت همگرایی ضعیف بعد از چند مرحله به جواب بهینه دست پیدا کرده است. بنابراین استفادهی ترکیبی از الگوریتمهای بهینهسازی PSO و WOA میتواند نقاط ضعف هرکدام را پوشش داده و در زمان کمتری به جواب بهینه دست پیدا کند.
(a PSO-1 (b WOA-1
(c PSO-2 (d WOA-2
شکل 7 روند بهبود تابع هزینه به ترتیب از سمت راست به چپ در الگوریتمهای PSO و WOA
3.4.5 تعویض الگوریتمهای PSO و WOA با دو روش متدوالِ تعویض تصادفی و تطبیقی
برای تعویض الگوریتمها در تکرارهای مختلف دو روش متداولِ تعویض تصادفی و تطبیقی استفاده میشود. در روش تصادفی در هر تکرار از الگوریتمهای بهینهسازی، یکی به صورت تصادفی با احتمال برابر انتخاب و اجرا میشود. در روش تطبیقی با توجه به تعداد راهحلهای بهبود یافته به ترکیب و تعویض الگوریتم پرداخته میشود. در این پژوهش با ایده گرفتن و از این روش و با توجه به توضیحات فصل چهارم و آزمایشات انجام شده، در هر تکرار برای هر الگوریتم احتمالی را باتوجه به پارامترهای تعداد تکرار و تابع هزینه اختصاص میدهد و براساس احتمالِ محاسبه شده تکرار بعدی و تعویض الگوریتمها اتفاق میافتد. برای مشاهدهی کارایی روش تطبیقی، در ادامه هر دو روش را مورد ارزیابی و مقایسه قرار میدهیم.
شکل 8 نمودار تابع هزینه را در شکلهای a و b در روشهای تطبیقی و تصادفی نشان میدهد، همانطور که مشاهده میکنیم در شکل a الگوریتم PSO احتمالا در یک بهینهی محلی گیر کرده و در مقابل در شکل b الگوریتم WOA روند بهبود تابع هزینه را به خوبی طی میکند. در روش تصادفی الگوریتم WOA با توجه به اینکه روند بهتری را در کمینهسازی تابع هزینه دارد ولی با توجه به تصادفی انتخاب و اجرا شدن، کمتر اجرا شده و تابع هزینه به خوبی کمینه نشده است. در طرف مقابل، روش تطبیقی روند تکرار بعدی و تعویض را بهتر انجام داده و کمینهسازی تابع هزینه بهتر صورت گرفته است. بنابراین در این پژوهش از روش تطبیقی با توجه به توضیحاتی که در مورد نحوه ترکیب و تعویضِ الگوریتمها در فصل چهارم داده شده، استفاده میکنیم.
(a تطبیقی
(b تصادفی
شکل 8 روند بهبود تابع هزینه به ترتیب از سمت راست به چپ در روشهای تطبیقی و تصادفی
4.4.5 استفاده از 10 و 30 ویژگی انتخابی
یک گام مهم در آموزش، انتخاب و استخراج ویژگی از ترافیک در شبکههای مورد بررسی میباشد. در پژوهش ذوالانواری و همکاران [1] با ایجاد یک بستر تست واقعی در شبکهی اینترنتاشیاء صنعتی و همچنین پیادهسازی سناریوهای واقعیِ اینترنتاشیاء صنعتی، یک سیستم تشخیص نفوذ قابل اتکایی را ارائه دادهاند. بهوسیلهی انتخاب و استخراج ویژگیهای بالقوه، اهمیت ویژگیهای مختلف در تشخیص ترافیک عادی از ترافیک حمله در شبکه اینترنت اشیاء صنعتی بررسی شده و در نهایت، 23 ویژگی مهم در نظر گرفته شده است. اکثر این 23 ویژگی در 30 ویژگی انتخابی از مجموعه دادهی UNSW-NB15 وجود دارد. برای مقایسه و ارزیابی جمع برخی از ویژگیها از پژوهش ذوالانواری و همکاران [1] در مجموعه دادهی UNSW-NB15 وجود نداشت، که محاسبه شده و به مجموعهی ویژگیها اضافه شده است. به عنوان مثال ویژگیهای Sloss و Dloss نشان دهندهی بستههای مجددا ارسال شده یا حذف شده میباشد. با توجه به وجود نداشتن ویژگی Tloss در مجموعه دادهی UNSW-NB15، که نشاندهندهی جمع ویژگیهای Sloss و Dloss است، این ویژگی محاسبه شده و به مجموعهی ویژگیها برای ارزیابی و مقایسه اضافه شده است. مجموعه ویژگیهای پژوهش ذوالانواری و همکاران [1] و ویژگیها در نظر گرفته شده در پیوست قابل مشاهده است. با اجرای PCA روی مجموعه ویژگیهای پژوهش [1] به این نتیجه میرسیم که با 10 ویژگی حدود 99 درصد از اطلاعات موجود در کل ویژگیها قابل ارائه میباشد. بنابراین در ادامه به بررسی تابع هزینهی 10 و 30 ویژگی میپردازیم.
مطابق شکل 9 روند بهبود تابع هزینه را با استفاده از 30 ویژگی و 10 ویژگی در نظر گرفته شده نشان میدهد. با استفاده از 30 ویژگی تابع هزینه بهبود تقریبا بهتری داشته است ولی در مقابل زمان اجرای روش PWCL با استفاده از 30 ویژگی 60 دقیقه طول کشیده ولی با استفاده از 10 ویژگی 45 دقیقه طول کشیده است. در هر دو روش فرا پارامترهای شبکه عصبی در حدود 6 تکرار تعیین شده است، که با 30 ویژگی حدود 20 دقیقه و با 10 ویژگی حدود 15 دقیقه طول کشیده است. به دلیل اینکه به تابع هزینهی بهتری با 30 ویژگی انتخابی دست یافتهایم، در ادامه از 30 ویژگی برای آموزش و آزمایش روش پیشنهادی استفاده کردهایم.
شکل 9 روند بهبود تابع هزینه با استفاده از 30 ویژگی و 10 ویژگی انتخابی با استفاده از پژوهش [1]
با توجه به توضیحاتی که در مورد وضعیتهای مختلف روش پیشنهادی ارائه شد، در ادامه به مقایسه و ارزیابی نتایج به دست آمده میپردازیم.
فرا پارامترهای بهینهشده برای شبکه عصبی CNN-LSTM با استفاده از الگوریتم PSO-WOA در جدول 5 نمایش داده شده است.
جدول 5 فرا پارامترهای بهینه شده برای شبکه عصبی CNN-LSTM با استفاده از الگوریتم WOA-PSO
نام فرا پارامتر | توصیف | مقادیر در نظر گرفته شده در شبکه عصبی CNN-LSTM |
LSTM_Neurons | نورونهای اولیهی در نظر گرفته شده برای شبکهی عصبی LSTM | 13 |
CNN_ Neurons | نورونهای اولیهی در نظر گرفته شده برای شبکهی عصبی CNN | 11 |
Dropout | کنار گذاشتن تعدادی نورون در هر مرحله | 0.42355 |
Learning rate | ضریب گامهایی که به سمت حل مسئله برداشته میشود | 0.003856 |
Poolsize | مقدار لایه ادغام | 3 |
bias | مقدار وزندهی اولیه نورونها | 0.08360 |
جدول 6 نتایج معیارهای ارزیابی
مجموعه داده | معیار ارزیابی | درصد موفقیت در زمان آموزش | درصد موفقیت در زمان آزمایش |
UNSW-NB15
| Detection rate | 98.54% | 98% |
Accuracy | 94% | 83.90% | |
| 93.74% | 77.83% | |
| 98.5% | 98% | |
| 95.69% | 87.12% | |
Error_rate | 6% | 16.1% | |
FNR | 1.46% | 2% |
مطابق جدول 6 نتایج معیارهای ارزیابی در مدل شبکه عصبی CNN-LSTM از مجموعه داده UNSW-NB15 با ده دوره آموزشی1 با زمان آموزش 75 ثانیه و زمان آزمایش 15 ثانیه نشان داده شده است.
شکل 10 دقت تشخیص برای انواع مختلف حملات در مجموعه داده UNSW-NB15 را نشان میدهد، که بهطور کلی روش PWCL تشخیص قابل قبولی در تشخیص همهی نه نوع حمله ارائه کرده است.
شکل 10 دقت تشخیص نه نوع حمله با 30 ویژگی از مجموعه داده UNSW-NB15
5.4.5 بررسی و تحلیل نتایج
در این پژوهش سیستم تشخیص نفوذ مبتنی بر اینترنتاشیاء صنعتی مطابق با پژوهش DAF-DFFNN [2] پیادهسازی شده و شبکه عصبی مورد نظر با توجه به مجموع مقالات ارائه شده در پیشینه تحقیق انتخاب شده است و همچنین نتایج به صورت دقیق با دو مقالهی DAF-DFFNN [2] و Intelligent-IDS [16] مقایسه کرده و به صورت کلی با بقیهی مقالات ارائه شده در پیشینه تحقیق بررسی میکنیم.
مطابق با شکل 11 روش PWCL در مقایسه با DAF-DFFNN [2] در مجموعه دادهی UNSW-NB15 دارای نرخ تشخیص بالاتر و دقت پایینتری است در شکل 12 دقت تشخیص انواع حملات را در هر دو پژوهش با مجموعه داده UNSW-NB15 مشاهده میکنیم که روش PWCL عملکرد به مراتب بهتری داشته است. سه نکته حائز اهمیت است: الف) در روش PWCL در تعداد دور آموزشیِ 10 دوره آموزشی و در پژوهش DAF-DFFNN [2] تعداد 1000 دور آموزشی مدل آموزش دیده است و به این نتایج دست پیدا کردهاند. پ) در پژوهش DAF-DFFNN [2] از کل ویژگیها برای آموزش و آزمایش استفاده کرده است ولی روش PWCL با استفاده از PCA و انتخاب ویژگیهای ویژه، از تمام ویژگیها کم کردهایم. پ) در پژوهش DAF-DFFNN [2] از کل مجموعه داده برای آموزش و آزمایش استفاده شده ولی در مدل PWCL از دادهی آموزشی و آزمایشی مخصوصِ هر مجموعه داده استفاده کردهایم که با این کار نتایج قابل قبولتری نسبت به روش DAF-DFFNN [2] خواهیم داشت.
شکل 11 ارزیابی روش PWCL با پژوهش DAF-DFFNN [2]
شکل 12 دقت تشخیص انواع حملات در روش PWCL و پژوهش DAF-DFFNN [2] با مجموعه داده UNSW-NB15
مطابق شکل 13 روش PWCL در مقایسه با Intelligent-IDS [16] در مجموعه داده UNSW-NB15 دارای درستی، فراخوانی و f-score بالاتر و دقت پایینتری است. در پژوهش PWCL به معیارهای ارزیابی بهتری نسبت به پژوهش Intelligent-IDS [16] دست پیدا کردهایم. همچنین مزیت روش PWCL نسبت به Intelligent-IDS [16] تعداد دوره آموزشی و تعیین فراپارامترهای شبکه عصبی است، که روش PWCL در 10 دوره آموزشی آموزش دیده و فراپارامترهای شبکه عصبی بهصورت خودکار تعیین شده ولی پژوهش Intelligent-IDS [16] در 100 دوره آموزشی آموزش دیده و فراپارامترهای شبکه عصبی به صورت دستی تعیین شده است.
شکل 13 ارزیابی روش PWCL با پژوهش intelligent-IDS [16]
در مورد سایر پژوهشهای ذکر شده در پیشینه تحقیق میتوان بیان کرد که روش PWCL در مقایسه با DBN-PNN [14] توانسته است با استفاده از ترکیب الگوریتمهای فراابتکاری PSO و WOA محدودیتهای الگوریتم فراابتکاری PSO را برطرف کرده و سیستم تشخیص نفوذِ جامع و قابل قبولی ارائه دهد. همچنین با توجه به مقایسهی صورت گرفته در جدول 1، مهمترین مزیت روش PWCL نسبت به پژوهشهای TR-IDS [12]، C-LSTM [18]، گونزالو دلاتوره پارا و همکاران [13]، هوانیانگ و همکارانش [15]، RNN-IDS [19]، SDN-DNN [20] و HDRaNN [17] خودکارسازیِ تنظیم فرا پارامترهای شبکه عصبی میباشد.
6. خلاصه و نتیجهگیری
در این پژوهش یک سیستم تشخیص نفوذ مبتنی بر اینترنتاشیاء صنعتی ارائه شد، که این سیستم براساس شبکههای عصبی بهینه شده است. بهینهسازی فرا پارامترهای شبکه عصبی براساس الگوریتمهای فرا ابتکاری توده ذرات و وال انجام شد و از این طریق، انتخاب فرا پارامترهای شبکه عصبی برای آموزش و آزمایش با روش پیشنهادی صورت پذیرفت. این روش انعطافپذیری بالایی برای تغییرات توسط مدیریت سیستم بهوسیله تابع هزینه مورد نظر به ما میدهد و همچنین نرخ تشخیص و نرخ منفی کاذب نیز بهبود پیدا کرده است. همچنین قابلیت تطبیق و پیادهسازی سیستم تشخیص نفوذِ مدنظر در سایر شبکهها نیز وجود دارد. نتایج نشان میدهد که روش PWCL در مقایسه با روشهای دیگر بهبودی لازم را با توجه به تعداد کم دورههای آموزشی برای سیستم فراهم آورده است. با توجه به افزایش و پیچیدگی حملات سایبری روی سیستمهای کنترل صنعتیِ دارای حفظ و پردازش اطلاعات حساس و اهداف اصلی حملات در زیرساختهای بحرانی و ملی و همچنین افزایش رو به رشد تعداد اشیاء متصل به اینترنت در سالها اخیر، وجود یک سیستم تشخیص نفوذ مبتنی بر اینترنتاشیاء صنعتی بیش از پیش ضروری است. به همین دلیل به منظور ادامه این پژوهش در آینده میتوان از سایر الگوریتمهای فرا ابتکاری، به منظور انتخاب فرا پارامترهای بهینه برای شبکه عصبی در سیستم تشخیص نفوذ مبتنی بر اینترنتاشیاء صنعتی استفاده کرد. همچنین میتوان به بهینهسازی پارامتر در الگوریتمهای بهینهسازی توده ذرات و وال و بهینهسازی تابع هزینه با توجه به اهداف مسئله پرداخت.
مراجع
[1] | Z. Maede, M. A. Teixeira, G. Lav, K. M. Khan and J. Raj, "Machine Learning Based Network Vulnerability Analysis of Industrial Internet of Things," IEEE Internet of Things Jouranl, pp. 6822 - 6834, 2019. |
[2] | A.-H. Muna, N. Moustafa and E. Sitnikova, "Identification of malicious activities in industrial internet of things based on deep learning models," Journal of Information Security and Applications, vol. 41, pp. 1-11, 2018. |
[3] | B. Rafael Ramos Regis, "Anomaly detection in SCADA systems: a network based approach," Centre for Telematics and Information Technology, University of Twente, PhD Thesis, 2014. |
[4] | P. Dimitrios, S. Panagiotis, L. Thomas and A. G. Sarigiannidis, "A Survey on SCADA Systems; Secure Protocols, Incidents, Threats and Tactics," IEEE Communications Surveys & Tutorials, pp. 1942 - 1976, 2020. |
[5] | L. Hung-jen, R. L. Chun-Hung, L. Ying-Chih and T. Kuang-Yuan, "Intrusion detection system: A comprehensive review," Journal of Network and Computer Applications, vol. 36, no. 1, pp. 16-24, 2013. |
[6] | S. G. Farhad and G. Hojjat, "A comprehensive survey: Whale Optimization Algorithm and its applications," Swarm and Evolutionary Computation, vol. 48, pp. 1-24, 2019. |
[7] | H. Turabieh, M. Mafarja and X. Li, "Iterated feature selection algorithms with layered recurrent neural network for software fault prediction," Expert Systems with Applications, vol. 122, pp. 27-42, 2019. |
[8] | M. L. Naushad, G. Koushik, C. Indronil, C. Saurav, L. B. Krishna and K. P. Prashanta, "HWPSO: A new hybrid whale-particle swarm optimization algorithm and its application in electronic design optimization problems," Applied Intelligence, p. 265–291, 2019. |
[9] | A. Sadiqui, Computer Network Security, Britain and United States: WILEY, 2020. |
[10] | S. Anam, A. Haider and S. Kashif, "Cloud-Assisted IoT-Based SCADA Systems Security: A Review of the State of the Art and Future Challenges," IEEE Access, vol. 4, pp. 1375 - 1384, 2016. |
[11] | O. Campesato, Artificial Intelligence Machine Learning And Deep Learning, David Pallai, 2020. |
[12] | E. Min, J. Long, Q. Liu, J. Cui and W. Chen, "TR-IDS: Anomaly-Based Intrusion Detection through Text-Convolutional Neural Network and Random Forest," Hindawi, Security and Communication Network, 2018. |
[13] | G. D. L. T. Parra, R. Rad, K.-K. R. Choo and N. Beebe, "Detecting Internet of Things Attacks using Distributed Deep Learning," Journal of Network and Computer Applications, vol. 163, p. 102662, 2020. |
[14] | Z. Guangzhen, Z. Cuixiao and Z. Lijuan, "Intrusion Detection Using Deep Belief Network and Probabilistic Neural Network," in 2017 IEEE International Conference on Computational Science and Engineering (CSE) and IEEE International Conference on Embedded and Ubiquitous Computing (EUC), Guangzhou, China, 2017. |
[15] | H. Yang, L. Cheng and M. C. Chuah, "Deep-Learning-Based Network Intrusion Detection for SCADA Systems," in 2019 IEEE Conference on Communications and Network Security (CNS), Washington DC, DC, USA, USA, 2019. |
[16] | R. Vinayakumar, A. Mamoun, K. P. Soman, P. Prabaharan, A.-N. Ameer and V. Sitalakshmi, "Deep Learning Approach for Intelligent Intrusion Detection System," IEEE Access, vol. 7, pp. 41525 - 41550, 2019. |
[17] | H. Zil E., L. Shahid, A. Jawad, L. Zeba, I. Anas, Z. Zhuo, A. Fehaid and B. Fatmah, "A Hybrid Deep Random Neural Network for Cyberattack Detection in the Industrial Internet of Things," Journals & Magazines, vol. 9, pp. 55595 - 55605, 2021. |
[18] | K. Tae-Young and C. Sung-Bae, "Web traffic anomaly detection using C-LSTM neural networks," Expert System With Applications, vol. 106, pp. 66-76, 2018. |
[19] | Y. Chuanlong, Z. Yuefei, F. Jinlong and H. Xinzheng, "A Deep Learning Approach for Intrusion Detection Using Recurrent Neural Networks," IEEE Access, vol. 5, pp. 21954 - 21961, 2017. |
[20] | T. Tuan A, M. Lotfi, M. Des, Z. Syed Ali Raza and G. Mounir, "Deep learning approach for Network Intrusion Detection in Software Defined Networking," in 2016 International Conference on Wireless Networks and Mobile Communications (WINCOM), Fez, Morocco, 2016. |
[21] | K. James and E. Russell, "Particle swarm optimization," in Proceedings of ICNN'95 - International Conference on Neural Networks, Perth, WA, Australia, 1995. |
[22] | M. Seyedali and L. Andrew, "The Whale Optimization Algorithm," Advances in Engineering Software, vol. 95, pp. 51-67, 2016. |
[23] | A.-G. Mohammad Ali, M. amr, A.-A. Abdulla khalid, D. Xiaojiang, A. lhsan and G. Mohsen, "A Survey of Machine and Deep Learning Methods for Internet of Things (IoT) Security," IEEE Communications Serveys & Tutorials, vol. 22, no. 3, pp. 1646 - 1685, 2020. |
[24] | N. Mostafa, "Designing an online and reliable statistical anomaly detection framework for dealing with large high-speed network traffic," University of New South Wales, Canberra, Australia, 2017, 2017. |
[25] | F. lhab and c. Xu, Data Cleaning, Association for Computing Machinery, 2019. |
[26] | J. Edward, A User's Guide To Principal Components, New York: John Wiley & Sons, 2005. |
[27] | C. Alfredo, P. Adam and C. Eugenio, "An Analysis of Deep Neural Network Models for Practical Applications," in Computer Vision and Pattern Recognition (cs.CV), 2017. |
پیوست
ویژگیهای انتخابی از ترافیک در پژوهش ذوالانواری و همکاران [1]
[1] epochs
Descriptions | Type | Features |
The average duration of the active flows | Float | Mean flow (mean) |
Source port number | Integer | Source Port (Sport) |
Destination port number | Integer | Destination Port (Dport) |
Source/ Destination packet count | Integer | Source Packets (Spkts) |
Destination/Source packet count | Integer | Destination Packets (Dpkts) |
Total transaction packet count | Integer | Total Packets (Tpkts) |
Source/ Destination bytes count | Integer | Source Bytes (Sbytes) |
Destination/Source bytes count | Integer | Destination Bytes (Dbytes) |
Total transaction bytes count | Float | Total Bytes (TBytes) |
Source bits per second | Float | Source Load (Sload) |
Destination bits per seconf | Float | Destination Load (Dload) |
Total bits per seconf | Float | Total Load (Tload) |
Source packets per second | Float | Source Rate (Srate) |
Destination packets per second | Float | Destination Rate (Drate) |
Total packets per second | Float | Total Rate (Trate) |
Source packets retransmitted/dropped | Float | Source Loss (Sloss) |
Destination packets retransmitted/dropped | Float | Destination Loss (Dloss) |
Total packets retransmitted/dropped | Float | Total Loss (Tloss) |
Percent packets retransmitted/dropped | Float | Total Percent Loss (Ploss) |
Source jitter in millisecond | Float | Source Jitter (ScrJitter) |
Detination jitter in millisecond | Float | Destination Jitter (DrcJitter) |
Source interpacket arrival time in millisecond | Float | Source Interpacket (SIntPkt) |
Destination interpacket arrival time in millisecond | Float | Destination Interpacket (DIntPkt) |
ویژگیهای انتخابی از مجموعه داده UNSW-NB15 با توجه به پژوهش ذوالانواری و همکاران [1]
Name | Type | Description |
dur | Float | Record total duration |
sbytes | Integer | Source to destination transaction bytes |
dbytes | Integer | Destination to source transaction bytes |
TBYTES | integer | Total transaction bytes |
sloss | Integer | Source packets retransmitted or dropped |
dloss | Integer | Destination packets retransmitted or dropped |
TLOSS | Interger | Total packets retransmitted or dropped |
PLOSS | Float | Percent packets retransmitted/dropped |
Sload | Float | Source bits per second |
Dload | Float | Destination bits per second |
TLOAD | Float | Total bits per second |
Spkts | integer | Source to destination packet count |
Dpkts | integer | Destination to source packet count |
TPKTS | interger | Total to source packet count |
Sjit | Float | Source jitter (mSec) |
Djit | Float | Destination jitter (mSec) |
Sintpkt | Float | Source interpacket arrival time (mSec) |
Dintpkt | Float | Destination interpacket arrival time (mSec) |