روش ترکیبی جدیدی مبتنی بر الگوریتم¬های هوشمند جهت تشخیص نفوذ در SDN-IoT
محورهای موضوعی : مهندسی برق و کامپیوترذکریا رئیسی 1 , فضلالله ادیبنیا 2 , مهدی یزدیان دهکردی 3
1 - دانشکده مهندسی کامپیوتر، دانشگاه یزد، ایران
2 - دانشکده مهندسی کامپیوتر، دانشگاه یزد، ایران
3 - دانشکده مهندسی کامپیوتر، دانشگاه یزد، ایران
کلید واژه: شبکههای نرمافزارمحور, الگوریتمهای هوشمند, اینترنت اشیا, تشخیص نفوذ, یادگیری ماشین,
چکیده مقاله :
در سالهای اخیر، کاربرد اینترنت اشیا در جوامع بهطور گستردهای رشد یافته و از طرفی، فناوري جدیدي به نام شبکههاي نرمافزارمحور جهت حل چالشهاي اینترنت اشیا پیشنهاد شده است. چالشهای موجود در این شبکههای نرمافزارمحور و اینترنت اشیا موجب گردیده که امنیت SDN-IoT به یکی از نگرانیهای مهم این شبکهها تبدیل شود. از طرف دیگر، الگوریتمهاي هوشمند فرصتی بوده که بهکارگیری آنها در موارد متعددی از جمله امنیت و تشخیص نفوذ، موجب پیشرفت چشمگیري شده است. البته سیستمهای تشخیص نفوذ جهت محیط SDN-IoT، همچنان با چالش نرخ هشدار غلط بالا مواجه هستند. در این مقاله یک روش ترکیبی جدید مبتنی بر الگوریتمهای هوشمند پیشنهاد شده که جهت دسترسی به نتایج خوبی در زمینه تشخیص نفوذ، الگوریتمهای نظارتی دروازه بازگشتی مکرر و طبقهبند غیرنظارتی -k میانگین را ادغام میکند. نتایج شبیهسازی نشان میدهند که روش پیشنهادی با بهرهگیری مزایای هر کدام از الگوریتمهای ادغامشده و پوشش معایب یکدیگر، نسبت به روشهاي دیگر مانند روش Hamza داراي دقت بیشتری و بالاخص نرخ هشدار غلط کمتري است. همچنین روش پیشنهادی توانسته نرخ هشدار غلط را به 1/1% کاهش داده و دقت را در حدود 99% حفظ کند.
In recent years, the use of Internet of Things in societies has grown widely. On the other hand, a new technology called Software Defined Networks has been proposed to solve the challenges of the Internet of Things. The security problems in these Software Defined Networks and the Internet of Things have made SDN-IoT security one of the most important concerns. On the other hand, the use of intelligent algorithms has been an opportunity that these algorithms have been able to make significant progress in various cases such as image processing and disease diagnosis. Of course, intrusion detection systems for SDN-IoT environment still face the problem of high false alarm rate and low accuracy. In this article, a new hybrid method based on intelligent algorithms is proposed. The proposed method integrates the monitoring algorithms of frequent return gate and unsupervised k-means classifier in order to obtain suitable results in the field of intrusion detection. The simulation results show that the proposed method, by using the advantages of each of the integrated algorithms and covering each other's disadvantages, has more accuracy and a lower false alarm rate than other methods such as the Hamza method. Also, the proposed method has been able to reduce the false alarm rate to 1.1% and maintain the accuracy at around 99%.
[1] J. Gubbi, R. Buyya, S. Marusic, and M. Palaniswami, "Internet of Things (IoT): a vision, architectural elements and future directions," Future Generation Computer Systems, vol. 29, no. 7, pp. 1645-1660, Sep. 2013.
[2] R. Kushwah, P. K. Batra, and A. Jain, "Internet of things architectural elements, challenges and future directions," in Proc. 6th Int. Conf. on Signal Processing and Communication, ICSC'20, 5 pp., Noida, India, 5-7 Mar. 2020.
[3] A. Koohang, C. S. Sargent, J. H. Nord, and J. Paliszkiewicz, "Internet of Things (IoT): from awareness to continued use," International J. of Information Management, vol. 62, Article ID: 102442-, Feb. 2020.
[4] U. Farooq, N. Tariq, M. Asim, T. Baker, and A. Al-Shamma'a, "Machine learning and the internet of things security: solutions and open challenges," J. of Parallel and Distributed Computing, vol. 162, pp. 89-104, Apr. 2022.
[5] P. Mishra, A. Biswal, S. Garg, R. Lu, M. Tiwary, and D. Puthal, "Software defined internet of things security: properties, state of the art, and future research," IEEE Wireless Communications, vol. 27, no. 3, pp. 10-16, Jun. 2020.
[6] A. E. Omolara, et al., "The internet of things security: a survey encompassing unexplored areas and new insights," Computers & Security, vol. 112, Article ID: 102494, Jan. 2022.
[7] X. Guo, H. Lin, Z. Li, and M. Peng, "Deep-reinforcement-learning-based QoS-aware secure routing for SDN-IoT," IEEE Internet of Things J., vol. 7, no. 7, pp. 6242-6251, Dec. 2019.
[8] P. K. Sharma, J. H. Park, Y. S. Jeong, and J. H. Park, "SHSec: SDN based secure smart home network architecture for internet of things," Mobile Networks and Applications, vol. 24, pp. 913-924 2018.
[9] S. Rathore, B. W. Kwon, and J. H. Park, "BlockSecIoTNet: blockchain-based decentralized security architecture for IoT network," J. of Network and Computer Applications, vol. 143, pp. 167-177, Oct. 2019.
[10] H. Honar Pajooh, M. Rashid, F. Alam, and S. Demidenko, "Multi-layer blockchain-based security architecture for internet of things," Sensors, vol. 21, no. 3, Article ID: 772, 2021.
[11] A. Dawoud, S. Shahristani, and C. Raun, "Deep learning and software-defined networks: towards secure IoT architecture," Internet of Things, vol. 3-4, pp. 82-89, Oct. 2018.
[12] N. McKeown, et al., "OpenFlow: enabling innovation in campus networks," ACM Sigcomm Computer Communication Review, vol. 38, no. 2, pp. 69-74, Apr. 2008.
[13] M. Babiker Mohamed, et al., "A comprehensive survey on secure software‐defined network for the Internet of Things," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 1, Article ID: e4391, Jan. 2022.
[14] D. Sovilj, P. Budnarain, S. Sanner, G. Salmon, and M. Rao, "A comparative evaluation of unsupervised deep architectures for intrusion detection in sequential data streams," Expert Systems with Applications, vol. 159, Article ID: 113577, Nov. 2020.
[15] C. W. Chang, C. Y. Chang, and Y. Y. Lin, "A hybrid CNN and LSTM-based deep learning model for abnormal behavior detection," Multimedia Tools and Applications, vol. 81, no. 2, pp. 1-19, Apr. 2022.
[16] K. Smagulova and A. P. James, "A survey on LSTM memristive neural network architectures and applications," the European Physical J. Special Topics, vol. 228, no. 10, pp. 2313-2324, Oct. 2019.
[17] N. Alqudah, M. Y. Qussai, "Machine learning for traffic analysis: a review," Procedia Computer Science, vol. 170, pp. 911-916, 2020.
[18] S. K. Tayyaba, M. A. Shah, O. A. Khan, and A. W. Ahmed, "Software defined network (SDN) based internet of things (IoT) a road ahead," in Proc. of the International Conf. on Future Networks and Distributed Systems, Article ID: 15, 8 pp., Cambridge, UK, 19-20, Jul. 2017.
[19] R. Bhatia, S. Benno, J. Esteban, T. V. Lakshman, and J. Grogan, "Unsupervised machine learning for network-centric anomaly detection in IoT," in Proc. of the 3rd ACM Context Workshop on Big Data, Machine Learning and Artificial Intelligence for Data Communication Networks, pp. 42-48, Orlando, FL, USA, 9-9 Dec .2019.
[20] D. Arellanes and K. K. Lau, "Evaluating IoT service composition mechanisms for the scalability of IoT systems," Future Generation Computer Systems, vol. 108, pp. 827-848, Mar. 2020.
[21] S. Bera, S. Misra, and A. V. Vasilakos, "Software-defined networking for internet of things: a survey," IEEE Internet of Things J., vol. 4, no. 6, pp. 1994-2008, Aug. 2017.
[22] M. Singh and G. Baranwal, "Quality of Service (QoS) in internet of things," in Proc. 3rd Int. Conf. on Internet of Things: Smart Innovation and Usages, IoT-SIU'18, 6 pp., Bhimtal, India, 23-24 Feb. 2018.
[23] T. A. Nguyen, D. Min, and E. Choi, "A hierarchical modeling and analysis framework for availability and security quantification of IoT infrastructures," Electronics, vol. 9, no. 1, Article ID: 155, Jan. 2020.
[24] R. Swami, M. Dave, and V. Ranga, "Voting‐based intrusion detection framework for securing software‐defined networks," Concurrency and Computation: Practice and Experience, vol. 32, no. 24, Article ID: e5927, 25 Dec. 2020.
[25] I. Rabet, et al., "SDMob: SDN-based mobility management for IoT networks," J. of Sensor and Actuator Networks, vol. 11, no. 1, Article ID: 8, 2022.
[26] B. Alzahrani and N. Fotiou, "Enhancing internet of things security using software-defined networking," J. of Systems Architecture, vol. 110, Article ID: pp. 101779, Nov. 2020.
[27] A. Hamza, H. H. Gharakheili, and V. Sivaraman, "Combining MUD policies with SDN for IoT intrusion detection," in Proc. of the Workshop on IoT Security and Privacy, 7 pp., Budapest, Hungary, 20-20, Aug. 2018.
[28] G. Shravanya, N. H. Swati, R. P. Rustagi, and O. Sharma, "Securing distributed SDN controller network from induced DoS attacks," in Proc., IEEE International Conf. on Cloud Computing in Emerging Markets, CCEM'19, pp. 9-16, Bengaluru, India, 19-20 Sept. 2019.
[29] A. Hamza, H. H. Gharakheili, T. A. Benson, and V. Sivaraman, "Detecting volumetric attacks on lot devices via SDN-based monitoring of mud activity," in Proc. of the ACM Symp. on SDN Research, pp. 36-48, San Jose, CA, USA, 3-4 Apr. 2019.
[30] C. Xu, H. Lin, Y. Wu, X. Guo, and W. Lin, "An SDN FV-based DDoS defense technology for smart cities," IEEE Access, vol. 7, pp. 137856-137874, 2019.
[31] O. Salman, I. H. Elhajj, A. Chehab, and A. Kayssi, "A machine learning based framework for IoT device identification and abnormal traffic detection," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 3, Article ID: e3743, Mar. 2022.
[32] F. A. F. Silveira, F. Lima-Filho, F. S. D. Silva, A. D. M. B. Junior, and L. F. Silveira, "Smart detection-IoT: a DDoS sensor system for Internet of Things," in Proc. Int. Conf. on Systems, Signals, and Image Processing, IWSSIP'20, pp. 343-348, Niteroi, Brazil, 1-3 Jul. 2020.
[33] A. Wani and S. Revathi, "DDoS detection and alleviation in IoT using SDN (SDN IoT-DDoS-DA)," J. of the Institution of Engineers (India): Series B, vol. 101, no. 3, pp. 117-128, Apr. 2020.
[34] M. P. Novaes, L. F. Carvalho, J. Lloret, and M. L. Proenca, "Long short-term memory and fuzzy logic for anomaly detection and mitigation in software-defined network environment," IEEE Access, vol. 8, pp. 83765-83781, 2020.
[35] Y. Meidan, et al., "A novel approach for detecting vulnerable IoT devices connected behind a home NAT," Computers & Security, vol. 97, Article ID: 101968, Oct. 2020.
[36] S. H. Khan, A. R. Arko, and A. Chakrabarty, "Anomaly detection in IoT using machine learning," In: S. Misra, A. K. Tyagi, V. Piuri, and L. Garg (Eds.), Artificial Intelligence for Cloud and Edge Computing Springer, Chap, pp. 237-254, 2022.
[37] M. Abdullahi, et al., "Detecting cybersecurity attacks in internet of things using artificial intelligence methods: a systematic literature review," Electronics, vol. 11, no. 2, Article ID: e3743198, 2022.
[38] M. V. Assis, L. F. Carvalho, J. Lloret, and M. L. Proença Jr, "A GRU deep learning system against attacks in software defined networks," J. of Network and Computer Applications, vol. 177, Article ID: 102942, 2021.
[39] A. S. Alshra'a, A. Farhat, and J. Seitz, "Deep learning algorithms for detecting denial of service attacks in software-defined networks," Procedia Computer Science, vol. 191pp. 254-263, 2021.
[40] A. Likas, N. Vlassis, and J. J. Verbeek, "The global k-means clustering algorithm," Pattern Recognition, vol. 36, no. 2, pp. 451-461, Feb. 2003.
[41] J. Zhang, Y. Ling, X. Fu, X. Yang, G. Xiong, and R. Zhang, "Model of the intrusion detection system based on the integration of spatial-temporal features," Computers & Security, vol. 89, Article ID: 101681, Feb. 2020.
نشریه مهندسی برق و مهندسی کامپیوتر ایران، ب- مهندسی کامپیوتر، سال 22، شماره 1، بهار 1403 1
مقاله پژوهشی
روش ترکیبی جدیدی مبتنی بر الگوریتمهای هوشمند
جهت تشخیص نفوذ در SDN-IoT
ذکریا رئیسی، فضلالله ادیبنیا و مهدی یزدیان دهکردی
چکیده: در سالهای اخیر، کاربرد اینترنت اشیا در جوامع بهطور گستردهای رشد یافته و از طرفی، فناوري جدیدي به نام شبکههاي نرمافزارمحور جهت حل چالشهاي اینترنت اشیا پیشنهاد شده است. چالشهای موجود در این شبکههای نرمافزارمحور و اینترنت اشیا موجب گردیده که امنیت SDN-IoT به یکی از نگرانیهای مهم این شبکهها تبدیل شود. از طرف دیگر، الگوریتمهاي هوشمند فرصتی بوده که بهکارگیری آنها در موارد متعددی از جمله امنیت و تشخیص نفوذ، موجب پیشرفت چشمگیري شده است. البته سیستمهای تشخیص نفوذ جهت محیط SDN-IoT، همچنان با چالش نرخ هشدار غلط بالا مواجه هستند. در این مقاله یک روش ترکیبی جدید مبتنی بر الگوریتمهای هوشمند پیشنهاد شده که جهت دسترسی به نتایج خوبی در زمینه تشخیص نفوذ، الگوریتمهای نظارتی دروازه بازگشتی مکرر و طبقهبند غیرنظارتی k- میانگین را ادغام میکند. نتایج شبیهسازی نشان میدهند که روش پیشنهادی با بهرهگیری مزایای هر کدام از الگوریتمهای ادغامشده و پوشش معایب یکدیگر، نسبت به روشهاي دیگر مانند روش Hamza داراي دقت بیشتری و بالاخص نرخ هشدار غلط کمتري است. همچنین روش پیشنهادی توانسته نرخ هشدار غلط را به 1/1% کاهش داده و دقت را در حدود 99% حفظ کند.
کلیدواژه: شبکههاي نرمافزارمحور، الگوریتمهاي هوشمند، اینترنت اشیا، تشخیص نفوذ، یادگیري ماشین.
1- مقدمه
زیرساخت اینترنت اشیا 2(IoT) از تلفنهاي هوشمند گرفته تا شهرهاي هوشمند بهآرامی در حال نفوذ به جنبههای متفاوت زندگی بشر است؛ بهگونهای که طی سالهای آتی به جزئی جدانشدنی از زندگی بشر تبدیل میشود [1]. همچنین با برنامههاي گسترده در راستای بهبود اینترنت اشیا انتظار میرود در سالهاي آتی، استفاده از این فناوري چندین برابر شود. با این حال ماهیت ناهمگن دستگاههاي اینترنت اشیا و محدودیتهای ارتباطی، مدیریت شبکه و امنیت را به یک عمل دشوار براي مجریان آن تبدیل کرده است. در واقع رمزگذاري دادهها یا نرمافزارهاي ضدویروس نمیتوانند چالشهاي امنیتی پیچیده این حوزه را مدیریت کنند.
اینترنت اشیا فناوري است که هر شیء یا دستگاهی را در هر نقطه از مسیر یا شبکه به دستگاههاي دیگر متصل میکند. تمام اشیای متصل باید در زیستبوم3 اینترنت اشیا با استفاده از شناسه منحصربهفردي آدرسدهی شوند [2]. مطالعات گستردهای در زمینه اینترنت اشیا انجام شده که مرور آنها سه چالش اصلی براي اینترنت اشیا را نشان میدهد. اولین چالش، ناهمگونی شبکه است. چالش دوم آن است که اینترنت اشیا نیازمند اتخاذ معماري بسیار گسترده بهخصوص در برنامههاي کاربردي مانند شهرهاي هوشمند و شبکههاي هوشمند میباشد. سوم آنکه اینترنت اشیا نیازمند معرفی پروتکلهاي جدیدي براي رسیدگی به مسائل خاص مربوط به محدودیت قدرت و محاسبات حسگرهاي شبکه میباشد [3] و [4].
بررسی ادبیات موضوع نشان میدهد که زیرساختهاي اینترنت اشیای مبتنی بر شبکههاي نرمافزارمحور 4(SDN-IoT) میتواند به میزان قابل ملاحظهای در مدیریت چالش امنیت، مؤثر واقع شود [5]. علت این تأثیرات مثبت، عدم وجود آسیبپذیریها و چالشهای شبکههای سنتی در محیط SDN-IoT میباشد. شبکه نرمافزارمحور، یک نمونه شبکهاي جدید است که انعطافپذیري، قابلیت مقیاسپذیري و امنیت را بهبود میبخشد [6] و [7] و بنابراین میتواند تا حدي تأثیرات منفی ناشی از چالشهاي موجود در اینترنت اشیا را مدیریت کند. مطالعات بسیاری در مورد استقرار شبکههاي نرمافزارمحور بهعنوان یک مدل شبکهاي براي اینترنت اشیا انجام شده است [8] تا [10]. ایده اصلی در شبکههاي نرمافزارمحور، تفکیک صفحه کنترل و داده میباشد [11]. صفحه داده براي سوئیچ جریان دادههاست؛ در حالی که صفحه کنترل، بخش جدیدی در شبکه را به نام کنترلکننده، معرفی میکند. صفحه داده شامل دستگاههاي سختافزاري مانند سوئیچها، روترها، فایروالها و سیستمهاي تشخیص نفوذ 5(IDS) است. این دستگاهها هیچ پردازشی جهت پرکردن جدول صفحه داده نیاز ندارند و منطق شبکه بهطور مستقل به کنترلر منتقل گردیده است. کنترلر، خدماتی مانند وضعیت شبکه و اطلاعات همبندی6 را ارائه میدهد و جهت جابهجایی اطلاعات از کنترلر به صفحه انتقال و برعکس، از پروتکلی به نام OpenFlow استفاده میشود [12]. با وجود این همچنان امنیت در شبکههاي نرمافزارمحور، یکی از اصلیترین نگرانیها در محیط SDN-IoT میباشد.
از یک سو شبکههاي نرمافزارمحور براي حل چالشهاي اینترنت اشیا از قبیل انعطافپذیري و مقیاسپذیری، مطرح شده است اما از طرف دیگر، نگرانیهاي ناشی از تأمین امنیت شبکههاي نرمافزارمحور به نگرانیهاي امنیتی در اینترنت اشیا افزوده شده است؛ لذا نگرانی در مورد برقراری امنیت SDN-IoT بهعنوان یکی از نگرانیهاي اصلی در زمینه چالشهای اینترنت اشیا میتواند توجه بسیاری را به خود جلب نماید [4] و [13].
شبکههاي نرمافزارمحور بهخاطر کنترلکننده مرکزي، دید کلی شبکه در راستای سهولت فرایند مدیریت و اجراي سیاستها را فراهم میکنند؛ همچنین خطاها را در زمان پیکربندي و تغییر سیاستهاي شبکه، کاهش و قابلیت همکاري را افزایش میدهند. تهدیدات امنیتی، چالشی حیاتی
در سیستمهاي شبکههاي سنتی است و این تهدیدها در شبکههاي نرمافزارمحور تشدید میشود. در واقع مزایاي این مدل از شبکه با تهدیدهاي اضافی همراه است که در شبکههاي سنتی وجود نداشت. بررسیهاي امنیتی انجامشده بر روي پروتکل OpenFlow نشان میدهند که حملات مختلفی در این پروتکل صورت گرفته است. براي مثال، جداول جریان و کانالهاي ارتباطی بین دستگاهها و کنترلکننده میتوانند تحت تأثیر حملات منع سرویس 7(DoS) قرار گیرند. کانال ارتباطی بین کنترلر و سوئیچ با یک اتصال TCP با پروتکل رمزنگاري TLS براي امنکردن کانال ارتباطی شروع میشود و بدون یک روش رمزنگاري، ارتباط بین کنترلر و دستگاههاي انتقال در معرض حملات مرد میانی است [11].
در نمونه مطالعاتی دیگری، Kloti و همکاران [12] یک تحلیل امنیتی بر روي پروتکل OpenFlow انجام دادهاند. نتایج مطالعات آنها نشان میدهد که حمله DoS، کانالهاي ارتباطی و جدول جریانها را تهدید میکند. علاوه بر این، حملات دستکاري بهطور قابل ملاحظهاي جداول قوانین را با افزودن قوانین از منابع غیرقابل اعتماد مورد هدف قرار داده است.
مروری بر ادبیات نشان میدهد که وجود سیستمهای تشخیص نفوذ کارآمد در یک محیط SDN-IoT بهدلیل رشد قابل توجه کاربرد اینترنت اشیا در جنبههای متفاوت زندگی و برجستهشدن مسئله رعایت امنیت در این گونه محیطها ضروری به نظر میرسد. سیستمهاي تشخیص نفوذ، سیستمهاي نرمافزاري یا سختافزاري اختصاصدادهشده جهت نظارت بر جریان ترافیک در مقابل تهدیدهاي امنیتی هستند. سیستمهاي تشخیص نفوذ استاندارد شامل سه مرحله جمعآوري اطلاعات از شبکه، تجزیه و تحلیل و سپس پاسخ مناسب در صورت وجود تهدید میباشند. همچنین براي تجزیه و تحلیل ترافیک جمعآوريشده، سه روش مبتنی بر امضا
یا سوءاستفاده، تشخیص غیرعادی8 و مبتنی بر پروتکلهاي Stateful وجود دارد.
امنیت دادههاي سایبري همچنان یک چالش براي جامعه یادگیري ماشین به حساب میآید؛ زیرا حجم بالاي ترافیک، تفکیک رفتار غیرعادي از عادي را دشوار میکند. در واقع تصمیمگیری جهت جداسازی رفتار عادی از غیرعادی، هسته اصلی یک سیستم هوشمند تشخیص نفوذ است و بهعنوان مؤلفهاي که مسئول اعلام هشدارها در زمان شناسایی تهدیدات بالقوه است در نظر گرفته میشود [14]. از طرفی روشهاي سنتی براي انجام این وظیفه، دقت کافی را ندارند. با توجه به این موضوع در سالهاي اخیر، الگوریتمهاي یادگیري ماشین بهویژه روشهای مبتنی بر شبکههاي عصبی بازگشتی پیشنهاد شدهاند [15] تا [17].
هدف اصلی مقاله با توجه به ضرورت سیستمهاي تشخیص نفوذ در SDN-IoT، ارائه یک سیستم تشخیص نفوذ کارآمد با بهکارگیری یک رویکرد ترکیبی جدید مبتنی بر الگوریتمهای هوشمند 9LSTM و GRU میباشد. این مقاله بر چهار محور اصلی بعدی متمرکز شده است:
1) کاهش نرخ هشدار غلط و بهبود دقت نتایج خروجی
2) سازگاري روش پیشنهادي با معماري SDN-IoT بهطوري که تمام جوانب ممکن در این فناوري در نظر گرفته شود.
3) استفاده از مجموعه دادهاي که متناسب با ویژگیهاي موجود در این فناوري باشد. در واقع در ارزیابی روش پیشنهادی از مجموعه دادههاي قدیمی که هیچ شباهتی با ترافیک این فناوري ندارد، استفاده نشده است.
4) قابلیت پیادهسازي راحت. بسیاري از روشهاي قبلی از شیوههای پیچیدهای استفاده میکنند که یا به سختافزار اضافه نیاز دارند یا پیادهسازي آنها بسیار سخت است.
در ادامه، پیشینه پژوهش بهاختصار مرور میگردد و سپس در بخش دو روش پیشنهادی و توضیحات مربوط ارائه شده است. در بخش سوم، آزمایشهایی جهت ارزیابی کارایی روش پیشنهادی انجام گردیده و نتایج آزمایشها و ارزیابی کارایی بیان شده است. سپس در بخش چهارم، مقایسهای بین روش پیشنهادی و برخی روشهای پیشین مشابه انجام شده و نهایتاً در بخش پایانی، نتایج حاصل از پژوهش جاری و نمونهای از کارهای آتی بیان گردیده است.
در اینجا به آشنایی با ادبیات موضوع، مروری بر پیشینه پژوهش و شناسایی رویکردهای هوشمند پیشین در زمینه مدیریت چالش امنیت در یک محیط SDN-IoT پرداخته میشود.
اینترنت اشیا یک فناوري نوظهور است که زیستبوم هوشمند را قادر میسازد تا فناوريهاي ناهمگن را کنار هم قرار دهد [18] و [19]. طیف گستردهای از دستگاههاي اینترنت اشیا، دلالت بر وجود احتمال آسیبپذیريهایی است که از طریق آن میتوان دستگاهها را به خطر انداخت. با افزايش سريع تعداد دستگاههاي اينترنت اشيا، عملكرد شبکه مانند مقياسپذيري، امنيت و حفظ QoS يك مسئله اساسی است و به بخشی از نیازمنديهاي اصلی اینترنت اشیا تبدیل شده است [20] تا [23].
شبکههاي نرمافزارمحور، رویکردي است که جهت مقابله با چالشهاي ناشی از ظهور دستگاههاي اینترنت اشیا در شبکه در نظر گرفته شده
است. شبکههاي نرمافزارمحور با جداسازي صفحه کنترل و صفحه داده، برنامهنویسی و انعطافپذیري در مدیریت شبکه را فراهم میکنند. هدف
از این جداسازي، امکان تنظیم پیکربندي شبکه با انعطافپذیري و برنامهنویسی بیشتر است [24].
در حالت کلی میتوان دلایل ادغام شبکههاي نرمافزارمحور و اینترنت اشیا را بهصورت خلاصه در موارد زیر بیان کرد [7]، [25] و [26]:
- موجب سهولت در جمعآوري دادهها و تحلیل، تصمیمگیري و فرایند کنترل میشود.
- منابع شبکه با استفاده از فناوري شبکههاي نرمافزارمحور بهینه
شده است. برنامههاي پرمصرف اینترنت اشیا در یکپارچهسازي با شبکههاي نرمافزارمحور، اپراتورهاي شبکه را قادر میسازد تا کاربران، دستگاهها و گروهها را مدیریت کنند.
در ادامه این بخش، برخی از کارهای پژوهشی پیشین در زمینه اینترنت اشیا، شبکههاي نرمافزارمحور و SDN-IoT در راستای شناسایی ایدههای اصلی نهفته در آنها و ویژگیهای روشهای تشخیص نفوذ مرور گردیده است.
[1] این مقاله در تاریخ 6 بهمن ماه 1401 دریافت و در تاریخ 5 خرداد ماه 1402 بازنگری شد.
ذکریا رئیسی، دانشکده مهندسی کامپیوتر ، دانشگاه یزد، یزد، ایران،
(email: Zakaria.raisi@stu.yazd.ac.ir).
فضلالله ادیبنیا، دانشکده مهندسی کامپیوتر ، دانشگاه یزد، یزد، ایران،
(email: fadib@yazd.ac.ir).
مهدی یزدیان دهکردی، دانشکده مهندسی کامپیوتر ، دانشگاه یزد، یزد، ایران، (email: yazdian@yazd.ac.ir).
[2] . Internet of Things
[3] . Ecosystem
[4] . Software Defined Network-Internet of Things
[5] . Intrusion Detection Systems
[6] . Topology
[7] . Denial of Service
[8] . Anomaly
[9] . Long Short-Term Memory
جدول 1: مقایسه روشهای مطرح قبلی و ویژگیهای آنها.
روش | ACC | TPR | FPR | مزایا و معایب |
---|---|---|---|---|
Hamza و همکاران [27] | بالا | - | - | الگوریتم بیز و استفاده از MUD براي بهدستآوردن امضای دادههاي طبیعی و غیرطبیعی. کارایی بهتر از Snort دارد. ذکرنکردن مقدار ACC و FP. |
Hamza و همکاران [29] | 5/97 | 3/72 | 4/2 | استفاده از MUD که نیاز به سختافزار اضافی دارد و همچنین استفاده از 4 الگوریتم بهصورت ترکیبی که بسیار وقتگیر میباشد. این در حالیست که TPR بسیار پایین است. |
Silveira و همکاران [32] | 93 | - | 6 | روش پیشنهادي با رگرسیون منطقی دقت خوبی دارد؛ اما FPR نیز بالاست. |
Wani و همکاران [33] | 9/95 | 4/96 | 7 | الگوریتم MLP دقت بالا دارد؛ ولی همچنان FPR بالاست و فقط جهت شناسایی حمله DDOS است. |
روش پیشنهادی | 99 | 99 | 1/1 | دقت و TPR بالا، FPR بسیار پایین و مدت زمان آموزش کم از مزایای روش پیشنهادي است. |
Hamza و همکاران [27] در روش پیشنهادی خود سعی میکنند
تا سیاستهای MUD را به قوانین جریان ترجمه کنند که میتواند با استفاده از SDN اجرا شود و حملاتی را بدون نیاز به IDS شناسایی کند. در این مقاله نویسندگان سیستمی را ایجاد میکنند که سیاستهای MUD را به قوانین جریانها ترجمه میکند که بهصورت فعال در سوئیچهای شبکه پیکربندی میشوند و همچنین بر اساس اتصالات زمان اجرای DNS اضافه میشوند.
Shravanya و همکاران [28] روش پیشنهادي خود را در ایجاد یک معماري امن براي کنترلکننده شبکههاي نرمافزارمحور در نظر گرفتهاند که در برابر حمله DoS قوي باشد. در واقع در این نوع حملات، سوئیچ شبکههاي نرمافزارمحور مانند یک میزبان حملهکننده و کنترلکننده شبکههاي نرمافزارمحور بهعنوان سرور قربانی عمل میکنند. نویسندگان بعد از پیادهسازي معماري مورد نظر و الگوریتمهاي درخت تصمیم و KNN بهدقتی در حدود 99% دست پیدا کردهاند.
Hamza و همکاران [29] جهت مقایسه از الگوریتم Snort استفاده کردهاند. این مقایسه نشان میدهد که Snort از میان 40 نوع حمله موجود، فقط قادر است که 2 تا از آنها را تشخیص دهد؛ زیرا امضا براي حملات دیگر در Snort وجود ندارد و نمیتواند بقیه حملات را تشخیص دهد. روش پیشنهادي در مقایسه با Snort در مقابل حملات جدید بسیار خوب عمل کرده و توانسته دقتی در حدود 99% داشته باشد.
Meidan و همکاران [30] سه الگوریتم DNN، SVM و LGBM را در نظر گرفتهاند و با استفاده از دادههاي حاصل از دستگاههاي اینترنت اشیا، این الگوریتمها را آموزش دادهاند. همچنین معیارهاي ارزیابی در این مقاله عبارتند از اندازه طبقهبند، مدت زمان آموزش طبقهبند، مدت زمان آموزش هر جریان از مجموعه داده و . نویسندگان اظهار داشتهاند که الگوریتم LGBM بهترین عملکرد را ارائه کرده است.
Salman و همکاران [31] یک چارچوب امنیتی را براي تشخیص ترافیک مخرب ارائه دادهاند که جهت شناسایی نوع ترافیک ایجادشده و شناسایی حملات شبکه استفاده گردیده است. نویسندگان مقایسهای بین الگوریتمهاي مختلف یادگیري ماشین و جنگل تصادفی انجام داده و اظهار داشتهاند که بهترین نتیجه براي تشخیص غیرعادي ترافیک با دقت %97 بهدست آمده است.
Silveira و همکاران [32] یک سیستم تشخیص نفوذ مبتنی بر امضا را با جایگذاری الگوریتمهاي جنگل تصادفی، رگرسیون منطقی و گرادیان تقویتی در کنترلر پیادهسازی نمودند. سپس مجموعه دادههاي موجود را با استفاده از سوئیچها انتقال داده تا عمل تشخیص انجام شود. نویسندگان اظهار داشتهاند که نتایج، دقت بالاي 93% نرخ هشدار کاذب (FAR) را نشان میدهد.
Wani و همکاران [33] یک مکانیزم امنیتی مبتنی بر شبکه نرمافزارمحور را براي شناسایی و کاهش DDoS در شبکههاي اینترنت اشیا ارائه دادند. روش پیشنهادي آنها جهت شناسایی حملات با استفاده از MLP آموزش دیده و سپس عمل دستهبندي حملات را انجام میدهد. نویسندگان اظهار داشتهاند که روش پیشنهادی آنها دقتی در حدود 99% و و بهترتیب 7% و 3% ارائه نموده است.
Novaes و همکاران [34] برای بررسی و شناسایی حملات منع سرویس توزیعشده و حملات Portscan در محیطهاي شبکههاي نرمافزار، روش LSTM-FUZZY را ارائه دادند. این سیستم داراي سه مرحله مجزای تعیین خصوصیات، تشخیص ناهنجاري و کاهش آنهاست. نتایج ارزیابی نشاندهنده کارایی قابل قبول رویکرد نویسندگان در مدیریت شبکه، شناسایی و کاهش وقوع حملات است.
Xu و همکاران [35] یک استراتژي دفاع حمله DDoS را بر اساس طبقهبندي ترافیک پیشنهاد کردند. براي بهبود انعطافپذیري و کاهش بار شبکههاي نرمافزارمحور در برابر حملات، DDoS از معماري مجازيسازي عملکرد شبکه (SDNFV) و استراتژي طبقهبندي ترافیک استفاده کرده است. نویسندگان در ماژول تشخیص حمله با کمک یادگیري تقویتی، الگوریتم طبقهبندي جنگل تصادفی را بهبود دادهاند؛ بهطوري که دقت ماژول طبقهبندي به 54/99% رسیده است.
Khan و همکاران [36] مقایسهای بین الگوریتمهای مختلف یادگیری ماشینی انجام دادهاند که میتواند برای شناسایی و پیشبینی هر گونه داده مخرب یا غیرعادی برای مجموعه دادهای از ویژگیهای محیطی ایجادشده استفاده گردد. نویسندگان اظهار داشتهاند که در آزمایشهای خود به دقتی حدود 5/96% و زمان اجرای کمتر از 2/0 ثانیه دست یافتهاند.
Abdullahi و همکاران [37] یک بررسی سیستماتیک از حملات تشخیص امنیت سایبری در اینترنت اشیا را با استفاده از روشهای هوش مصنوعی ارائه دادهاند. نویسندگان معتقدند که با توجه به توسعه سریع اینترنت اشیا در حوزههای مختلف، مقادیر زیادی داده بهطور مداوم تولید میشود که نیاز به تمرکز بیشتر بر حریم خصوصی و امنیت دارند. آنها در بررسی خود از الگوریتمهای SVM، RNN و RF استفاده کردهاند و به نتایج قابل قبولی دست یافتهاند.
خلاصهای از روشهای مطرح قبلی و مقایسه آنها در جدول 1 نشان داده شده است.
2- روش پیشنهادی
شبکه نرمافزارمحور، نمونهای از شبکههای جدید است و انعطافپذیری، قابلیت مقیاسپذیری و امنیت را بهبود میبخشد؛ لذا میتواند چالشهای موجود در IoT را مانند امنیت حل کند. سیستمهای تشخیص نفوذ، سیستمهای نرمافزاری یا سختافزاری اختصاصدادهشده برای نظارت بر جریان ترافیک در مقابل تهدیدهای امنیتی هستند. با توجه به ضرورت
شکل 1: معماری سیستم تشخیص نفوذ پیشنهادی.
سیستمهای تشخیص نفوذ در SDN-IoT، یک سیستم تشخیص نفوذ با استفاده از الگوریتم هوشمند برای این محیط پیشنهاد شده است. بنابراین پژوهش جاری از یک رویکرد ترکیبی جدید مبتنی بر الگوریتمهای هوشمند برای سیستم تشخیص نفوذ کارآمد در SDN-IoT استفاده کرده است. رویکرد پیشنهادی مقاله، الگوریتمهای LSTM و GRU را جهت دستیابی به نتایج دقیقتر و کاهش نرخ هشدار خطا ادغام نموده و در ادامه رویکرد پیشنهادی در دو بخش مجزا تشریح شده است.
2-1 معماری رویکرد پیشنهادی
یک شبکه عصبی بازگشتی 1(RNN) سنتی اگر به اندازه کافی بزرگ باشد از نظر تئوري باید قادر به تولید دنبالههای پیچیده باشد؛ اما در عمل مشاهده میشود که این شبکه براي یادگیري دنبالههاي طولانیمدت به مشکل برمیخورد. در واقع این ویژگی باعث میشود یک شبکه عصبی بازگشتی سنتی در مدلسازي ساختارهاي بلندمدت، ضعیف عمل کند. این فراموشی باعث میگردد تا این نوع از شبکهها در زمان تولید دنبالهها در معرض ناپایداري قرار گیرند. در واقع اگر پیشبینیهاي شبکه، تنها وابسته به چند ورودي اخیر باشد، شانس بسیار کمی براي تصحیح و جبران اشتباهات گذشته توسط شبکه وجود دارد. مشکل ناپایداري بهطور ویژه در زمان مواجهه با داده اعشاري، وخیم میشود؛ زیرا پیشبینیها میتوانند از دامنهاي که دادههاي آموزشی بر روي آن قرار گرفتهاند، فاصله بگیرند.
استفاده از حافظه میتواند بهعنوان راهحل بهمراتب بهتر و تأثیرگذارتري نسبت به بقیه راهحلها مطرح گردد. LSTM یک معماري شبکه عصبی بازگشتی است که براي ذخیرهسازي و دسترسی بهتر به اطلاعات نسبت به نسخه سنتی آن، طراحی شده و بهگونهاي عمل میکند که مقادیر نورونهاي لایه مخفی توسط فعالسازهاي محلی که نزدیک به آنهاست، تحت تأثیر قرار میگیرند. همچنین وزنهاي شبکه توسط محاسباتی که بر روي تمام دنباله رخ میدهد، تأثیر میپذیرند که این بهمنزله حافظه بلندمدت است [15]. در شبکه RNN، شبکه در هر گام زمانی از ابتدا بازنویسی میشود؛ اما یک شبکه LSTM دارای توانایی تصمیمگیري نسبت به حفظ حافظه فعلی از طریق دروازههاي موجود میباشد. یعنی اگر واحد LSTM، ویژگی مهمی در دنباله ورودي گامهاي ابتدایی تشخیص دهد، آن گاه بهسادگی میتواند این اطلاعات را طی مسیر طولانی منتقل کند. بدین ترتیب LSTM وابستگیهاي بلندمدت احتمالی را دریافت و حفظ مینماید و از طرف دیگر قادر است مشکل محوشدن گرادیان را که در شبکههاي عصبی وجود دارد مدیریت کند [16]. محوشدگی گرادیان، مشکلی است که در هنگام آموزش شبکههاي عصبی مصنوعی با استفاده از روش یادگیري پس از انتشار خطا یا همان مبتنی بر گرادیان، اتفاق میافتد. در این نوع روشها بهمنظور بهروزرسانی پارامترهاي شبکه عصبی از گرادیان استفاده میشود و هر پارامتر با توجه به میزان اثري که در نتیجه نهایی شبکه دارد مورد تغییر قرار میگیرد. این کار با استفاده از مشتق جزئی تابع خطا نسبت به هر پارامتر در هر تکرار فرایند آموزش صورت میپذیرد. مشکل محوشدگی در واقع اشاره به این مسئله دارد که مقادیر گرادیانها با حرکت به سمت ابتداي شبکه تدریجاً به حدي کوچک میشوند که تغییرات خاصی روي وزنها صورت نمیگیرد و به این علت، فرایند آموزش شدیداً کند میشود؛ بنابراین این مسئله در بدترین حالت باعث توقف فرایند آموزش میگردد و بهواسطه عمق زیاد شبکه رخ میدهد. براي حل این مشکل، LSTM با استفاده از مقادیر حالت مخفی، توابع فعالساز را به شکلی تحت تأثیر قرار میدهد که وزنها بهواسطه تمام دنباله و نه یک ورودي، تحت تأثیر قرار گیرند.
معماری سیستم تشخیص نفوذ پیشنهادی در شکل 1 آمده است. همان طور که مشاهده میشود در ابتدا ویژگیهاي موجود در مجموعه داده استخراج میگردد و سپس دادههاي غیرعددي به دادههای عددي تبدیل میگردد. در گام بعدی دادهها با اعمال روش نمره استاندارد2 نرمالسازی میشود و الگوریتم LSTM جهت آموزش دادههای نرمالسازیشده مورد استفاده قرار میگیرد. با ورود بستههاي ناشناخته به سوئیچهاي شبکه، این بستهها براي کنترلکننده ارسال میشوند و بعد از استخراج ویژگیها و انجام پیشپردازش روي مدل آموزشدیده بررسی میشود. در بررسی انجامشده بر روی مدل آموزشدیده، مشخص میگردد که آیا بسته دریافتشده نرمال است یا مخرب. اگر بسته نرمال باشد به مقصد مورد نظر خود ارسال شده و قوانین بر روي سوئیچها تغییر پیدا میکند؛ ولی اگر بسته مخرب باشد، هشداري براي مدیر شبکه ارسال شده و آدرس IP مورد نظر نیز بهعنوان حملهکننده، شناسایی میشود. بنابراین دریافت بسته جدید از این میزبان نیز با تغییر قوانین در سوئیچها متوقف میگردد.
2-2 الگوریتمهای پایه LSTM
LSTM توسعه یا نوعی از شبکه عصبی RNN است. در واقع RNN سنتی از حافظه کوتاهمدت در صورتی که توالی طولانی باشد رنج میبرد و طبقهبند برای حمل اطلاعات از مراحل قبلی تا موارد بعدی دچار مشکل میشود. بنابراین شبکه عصبی مکرر از مشکل گرادیان رنج میبرد و LSTM بهعنوان یک راه حل طراحی شده است. این الگوریتم لایههای پنهان با بلوکهای حافظ جایگزین شدهاند که مشکل فراموشی در یادگیری الگوی دنبالهای طولانی حل شده است. LSTM در معماری پایه خود، مفهوم استفاده از مکانیزم دروازه را برای واحدهای تنظیمکننده جریان اطلاعات در نظر میگیرد. مکانیزم دروازه شامل سه دروازه یعنی ورودی، خروجی و دروازه فراموشی است و این دروازهها وظیفه دارند که تصمیم بگیرند کدام توالی داده برای ذخیره یا دورانداختن مناسب است. دروازههای ورودی و خروجی، جریان اطلاعات ورودی و خروجی سلولها را کنترل میکنند. علاوه بر این اگر اطلاعات نامناسب باشد، دروازه فراموشی برای تنظیم مجدد اطلاعات حالت قبلی خود وارد عمل میشود [7].
2-3 الگوریتمهای مورد استفاده LSTM) و (GRU
یک مشکل در آموزش معماري اولیه RNN، وابستگی بسیار طولانی مدت به توالی است که یادگیري مؤثر را دشوار میکند. این مسئله میتواند زمینهساز انگیزه اصلی برای بهکارگیری شبکههاي نوع LSTM باشد. LSTM سعی میکند با معرفی دروازهها، مکانیزمهایی در شبکههاي عصبی عمیق ایجاد کند که مجاز هستند تا مشخص کنند که چه اطلاعاتی را پردازش کنند. در یک سلول LSTM سه دروازه ورودي، فراموش و خروجی وجود دارد. دروازه ورودي مشخص میکند کدام قسمت از ورودي، اجازه ورود به سلول را دارد. دروازه فراموشی با کنترل وضعیت داخلی سلول تعیین میکند کدام بخش باید بهروزرسانی شود. سرانجام، دروازه خروجی آنچه را که به خارج از سلول بر روي خط لوله خروجی رانده میشود، کنترل میکند. معمولترین قوانین بهروزرسانی براي یک سلول LSTM بهصورت (1) تا (6) تعریف میشود
(1)
(2)
(3)
(4)
(5)
(6)
در (1) تا (6) ، و بهترتیب دروازه ورودي، فراموشی و خروجی و ، و نیز مقادیر ثابتی هستند که به آنها بایاس گفته میشود. همچنین و بهترتیب تابع سیگموئید و حالت سلول کاندیدا را نشان میدهد و خروجی سلول در مرحله است. پارامترهاي قابل تنظیم در واقع ماتریسهاي و هستند.
الگوریتم LSTM داراي پیچیدگی زمانی بالایی است؛ لذا براي حل این مشکل، ادغام الگوریتمهای LSTM و GRU پیشنهاد شده است. شبکه عصبی GRU بهبودیافته، شبکه عصبی LSTM است. شبکه عصبی GRU پس از تنظیم مجدد دروازه، اطلاعات را پردازش نموده و زمان آموزش را کاهش میدهد. بدین منظور، این شبکه عصبی تعداد دروازههای LSTM را از 3 دروازه به 2 دروازه کاهش میدهد. در واقع روش GRU با LSTM فرق زیادي ندارد و فقط تعداد دروازهها را کاهش داده و وظایف هر کدام از دروازهها را در حد امکان در یکدیگر ادغام کرده است [38] و [39]. دروازههای بهروزرسانی و تنظیم مجدد در GRU بهصورت (7) تا (11) محاسبه شده است
(7)
(8)
(9)
(10)
(11)
در (7) تا (11)، و بهترتیب دروازههای بهروزرسانی و تنظیم مجدد و همچنین ، و وزنهای شبکه عصبی هستند.
محوشدگی گرادیان، مشکلی است که هنگام آموزش شبکههای عصبی مصنوعی با استفاده از روش یادگیری پسانتشار خطا یا همان مبتنی بر گرادیان اتفاق میافتد. جهت رفع مشکل محوشدگی گرادیان میتوان از راهحلهاي بعدي استفاده کرد:
- مقداردهی اولیه وزنها بهطوری که احتمال رخدادن محوشدگی گرادیان کمینه شود.
- استفاده از شبکه عصبی IRNN یا Echo State
- استفاده از شبکههای عصبی بازگشتی LSTM و GRU که دقیقاً برای این موضوع طراحی شدهاند و در روش پیشنهادی از این مورد استفاده شده است.
در روش پیشنهادي در اين مقاله، بعد از آنکه دادهها با استفاده از ترکیب الگوریتمهای LSTM و GRU آموزش دیدند، دادههای جدید را برای انجام عمل پیشبینی دریافت میکند. لذا بعد از عمل رگرسیون، بهکارگیری یک طبقهبند کارآمد برای طبقهبندی پیشبینیهای انجامشده، ضروری بهنظر میرسد.
3- پیادهسازی و نتایج تجربی
در این بخش مقاله، مطالب مربوط به پیادهسازی روش پیشنهادی و نتایج تجربی آزمایشهای انجامشده برای ارزیابی کارایی روش پیشنهادی ارائه گردیده و برای درک بهتر مطالب، این بخش در دو زیربخش مجزا سازماندهی شده است.
[1] . Recurrent Neural Network
[2] . Z-Score
شکل 2: معماری LSTM پیادهسازیشده در روش پیشنهادی.
جدول 2: ابرپارامترهاي اصلی براي بهینهسازي LSTM.
ابرپارامترها | دامنه | مقدار انتخابشده |
تعداد لایههاي مخفی | 1، 2، 3، 4، 5 | 2 |
Batch size | 10، 20، 30، 40، 50، 80 | 80 |
نرخ یادگیری | 01/0، 005/0، 001/0 | 01/0 |
LSTM unit number | 32، 64، 128، 256 | 64 تا 128 |
Dropout | 5/0، 2/0، 1/0 | 2/0 |
Gradient threshold | 01/0، 02/0، 03/0، 04/0 | 01/0 |
3-1 پیادهسازی روش پیشنهادی
جهت پیادهسازي روش پیشنهادي از محیط برنامهنویسی متلب نسخه 2020 بر روي سیستمی با مشخصات و GB 6 RAM استفاده شده است. در واقع ابزار متلب با توجه به پشتیبانی بسیار قوي از الگوریتمهاي هوشمند مورد استفاده قرار گرفته و همچنین این نرمافزار، کتابخانههاي جدید یادگیری ماشین را بهخوبی پشتیبانی میکند.
3-1-1 LSTM
در روش پیشنهادي، استفاده از الگوریتمهاي LSTM و GRU براي آموزش شبکه و استفاده از میانگین براي طبقهبندي دادههاست. معماری LSTM پیادهسازیشده در روش پیشنهادی در شکل 2 نشان داده شده و همچنین ابرپارامترهاي اصلی براي بهینهسازي LSTM در جدول 2 آمده است.
3-1-2 GRU
در مقایسه با LSTM، GRU میتواند ضمن بهبود ساختار کنترل گیت، مشکل گرادیان در RNN را حل کند. از آنجا که تعداد دروازهها از
3 به 2 تغییر یافته است، پارامترهاي آموزش کاهش یافته و در نتیجه سرعت آموزش افزایش پیدا میکند. GRU از دو GRU متشکل از
یک تابع سیگموئید و یک عمل ضرب براي کنترل انتخاب اطلاعات استفاده مینماید.
جدول 3: ابرپارامترهاي اصلی جهت بهینهسازي GRU.
ابرپارامترها | دامنه | مقدار انتخابشده |
تعداد لایههاي مخفی | 1، 2، 3، 4، 5 | 2 |
Batch size | 10، 20، 30، 40، 50، 80 | 80 |
نرخ یادگیری | 01/0، 005/0، 001/0 | 01/0 |
LSTM unit number | 32، 64، 128، 256 | 64 تا 128 |
Dropout | 5/0، 2/0، 1/0 | 2/0 |
Gradient threshold | 01/0، 02/0، 03/0، 04/0 | 01/0 |
معماري GRU مشابه معماري LSTM است و لایههاي موجود در آن هیچ فرقی ندارند. تنها تفاوت آن، وجود گرههاي GRU بهجاي گرههاي LSTM است. معماري این گرهها باعث کاهش مدت زمان آموزش میشود و سرباري که در آموزش LSTM وجود دارد در این معماري وجود ندارد. در جدول 3 ابرپارامترهاي موجود در بهینهسازي الگوریتم GRU نشان داده شده است.
در بهینهسازي این پارامترها، استفاده از برخی الگوریتمهاي تکاملی میتواند مفید باشد؛ اما این روشها وقتگیر هستند و لذا بهروزرسانی این ابرپارامترها و انتخاب مقدار بهینه بهصورت آزمون و خطا میتواند از نظر زمان بهصرفه باشد؛ زیرا انتخاب مقدار نزدیک به مقدار بهینه نیز کافی است و دقت الگوریتم زیاد تغییر نمیکند. جهت محاسبه خطا در زمانهاي مختلف و بهروزرسانی مقادیر وزنها از تابع خطا استفاده شده است. محاسبه خطا بهصورت (12) است
(12)
در واقع براي مقایسه نتایج پیشبینیشده با مقادیر اصلی و کاهش خطا از (12) استفاده شده است. هدف اصلی در تعریف تابع RMSE، حداقلسازي خطاست. در (12) و بهترتیب مقادیر واقعی و پیشبینیشده هستند.
3-1-3 k- میانگین
رگرسیون، یک روش براي پیشبینی و خوشهبندي، یک روش برای طبقهبندي است که افراد (نقاط داده) را به گروههاي مختلف (خوشهها)
جدول 4: حملات موجود در مجموعه داده 15UNSW-NB.
برچسب | اندازه | توزیع (%) |
Normal | 56000 | 94/31 |
1746 | 1 | |
2000 | 14/1 | |
Fuzzers | 18184 | 30/10 |
Shellcode | 1133 | 65/0 |
Reconnaissance | 10491 | 98/5 |
Exploits | 33393 | 04/19 |
DoS | 12264 | 99/6 |
Worms | 130 | 07/0 |
Generic | 40000 | 81/22 |
Total | 175341 | 100 |
طبقهبندي میکند و الگوریتمی مؤثر براي دادههای با حجم زیاد است. خوشهبندي یک روش دادهکاوي بدون نظارت است و این بدان معناست که این نوع الگوریتمها به مجموعه دادههاي آموزشی نیاز ندارند. از محبوبترین روشهاي خوشهبندي، خوشهبندي مبتنی بر بخشبندی و مبتنی بر سلسلهمراتب است. خوشهبندي میانگین که در آن تعداد خوشهها را نشان میدهد، نوعی خوشهبندي مبتنی بر بخشبندي است. در خوشهبندي میانگین، هر خوشه توسط مرکز (یا میانگین) نقاط داده در خوشه تعریف میشود.
جهت شروع فرایند خوشهبندي، میانگین ابتدا به انتخاب مقدار یا همان تعداد خوشهها نیاز دارد و سپس نقطه داده بهعنوان مرکز اصلی انتخاب میشود. میتوان مرکز را بهصورت تصادفی یا بر اساس توزیع داده انتخاب کرد. بعد از آن فاصله هر نقطه داده تا هر مرکز محاسبه میشود و یک نقطه داده، عضو خوشهاي است که از همه خوشههاي دیگر به آن نزدیکتر است. هنگامی که همه نقاط داده درون یک خوشه قرار میگیرند، مرکز نقاط یک خوشه مجدداً محاسبه میشود. فواصل هر نقطه داده تا هر مرکز جدید نیز محاسبه میشود و بهدنبال آن دستهبندي مجدد نقاط بر اساس خوشهها بر اساس قانون کمترین فاصله، انجام میشود [40].
روشها و الگوریتمهای متعددی برای تبدیل دادهها به گروههای همشکل یا مشابه وجود دارد. الگوریتم میانگین یکی از سادهترین الگوریتمها در دادهکاوی بهخصوص در حوزه یادگیری نظارتنشده است. درجه پیچیدگی محاسباتی این الگوریتم برابر با است که
تعداد اشیا، بعد ویژگیها و تعداد خوشهها میباشد. همچنین پیچیدگی زمانی برای این الگوریتم برابر با است که البته منظور از تعداد تکرارهای الگوریتم برای رسیدن به جواب بهینه است. با توجه به اینکه بعد از پیشبینی دادهها توسط LSTM و GRU دادههای جدید دارای 1 ویژگی و 2 خوشه هستند، پیچیدگی زمانی و محاسباتی بسیار کم است. از طرف دیگر با توجه به آنکه دادههای مورد استفاده در این مرحله بهصورت منظم هستند، انتخاب مرکز اولیه که یکی از مشکلات این الگوریتم است دیگر تأثیر زیادی نخواهد داشت.
3-2 نتایج تجربی
جهت ارزیابی روش پیشنهادی، برخی آزمایشها، انجام و سپس نتایج آنها گزارش شده است. این بخش مقاله در سه زیربخش سازماندهی گردیده است.
3-2-1 مجموعه داده
علیرغم بعضی اقدامات، هنوز دو مجموعه داده NSL-KDD و 99KDDCUP مشکلاتی دارند. در سالهاي اخیر، برخی از محققان مشاهده کردهاند که نقص این دو مجموعه داده تأثیر منفی بر عملکرد طبقهبندي سیستمهاي تشخیص نفوذ خواهد داشت. اول اینکه کمبود نمونههاي حملات سطح پایین که در شبکههاي امروزي رایج است، وجود دارد. در واقع حملات سطح پایین بهتدریج با گذشت زمان، خصوصیت خود را از دست داده و به ترافیک عادي تبدیل میشوند که نوعی حمله پنهانی هستند. دوم اینکه مجموعه دادههاي آزمایشی این دو مجموعه داده، شامل بخشی از دادههاي جدید هستند و منجر به افزایش نرخ هشدار غلط میشوند. سوم اینکه با تغییر محیط شبکه با گذشت زمان، دادههاي زاید زیادي در این دو مجموعه داده وجود دارد که بسیار نامعقول به نظر میرسند. بهطور خلاصه، اگرچه این دو مجموعه داده، سهم قابل توجهی در توسعه تشخیص نفوذ داشتهاند، اکنون براي بازتاب فضاي واقعی شبکه کافی نیستند [41] و بنابراین در این پژوهش از مجموعه داده عمومی 15UNSW-NB استفاده میشود که توسط آزمایشگاه مرکز امنیت سایبري استرالیا (ACCS) ایجاد گردیده است. رفتارهاي غیرطبیعی در 15UNSW-NB به 9 دسته اصلی تقسیم میشوند و هر کلاس رفتار غیرطبیعی نیز به رفتارهاي خاص حمله تقسیم میگردد. حملات موجود در مجموعه داده 15UNSW-NB در جدول 4 نشان داده شده و همچنین تعداد دادههاي استفادهشده جهت آموزش و آزمایش شبکه در جدول 5 آمده است.
مجموعه داده 15UNSW-NB داراي تعداد ویژگیهاي زیادي است؛ اما چون قرار است که ترافیک حمله این مجموعه داده با ترافیک نرمال مجموعه داده SDN-IoT ادغام شود در این مجموعه داده، ویژگیهاي مشترك یعنی زمان ارسال، آدرس مبدأ، آدرس مقصد، نوع پروتکل و طول بسته انتخاب میشوند. در مجموعه دادهها- با توجه به اینکه ویژگی نوع پروتکل از نوع رشته است- براي تبدیل این ویژگی بهصورت صحیح به شکل بعدی عمل میشود. در ابتدا بهجاي اسامی هر کدام از پروتکلها از اعداد صحیح در جدول 6 که نگاشت نوع پروتکل در مجموعه دادهها به عدد صحیح را نشان میدهد، استفاده شده است. همچنین نقطهاي را که در بین آدرسها و زمانها وجود دارد حذف کرده و سپس با استفاده از نرمالسازي، همه ستونها بهروزرسانی شده است.
3-2-2 معیارهای ارزیابی
در این مقاله براي ارزیابی، پارامترهاي ، ، ، و ، محاسبه و هر کدام از این معیارها در ادامه توصیف شده است.
- معیار : معیاري است جهت نشاندادن نمونههایی که سیستم آنها را بهاشتباه، عضو دسته منفی تشخیص داده است؛ در حالی که این نمونهها عضو دسته مثبت هستند. این معیار با کمک (13) محاسبه میشود. در (13)، 1 تعداد مواردي است که در آن هر دو کلاس واقعی و پیشبینیشده، منفی هستند. همچنین 2 تعداد مواردي است که در آن کلاس واقعی دادهها منفی است؛ اما کلاس پیشبینیشده، مثبت است
(13)
[1] . True Negative
[2] . False Positive
جدول 5: مجموعه دادههاي استفادهشده براي آموزش و آزمایش شبکه.
دادههای طبیعی | دادههای غیرطبیعی | تعداد دادههای آموزشی | تعداد دادههای آزمایشی | توزیع دادهها | |
SI-dataset | 30000 | 15000 | 31500 | 13500 |
%30 آزمایشی |
SI-UNSW-dataset | 30000 | 15000 | 31500 | 13500 | %70 آموزشی %30 آزمایشی |
جدول 6: نگاشت نوع پروتکل در مجموعه دادهها به عدد صحیح.
شماره تخصیصیافته | پروتکل | شماره تخصیصیافته | شماره تخصیصیافته | ||
43 | PKIX-CRL | 22 | DIAMETER | 1 | BJNP |
44 | RSL | 23 | DISTCC | 2 | DHCP |
45 | RSVP | 24 | ESP | 3 | DNS |
46 | SAB | 25 | Gearman | 4 | HTTP |
47 | SIP | 26 | GQUIC | 5 | ICMP |
48 | SSDP | 27 | GSMTAP | 6 | 2IGMPv |
49 | SSL | 28 | GTP | 7 | MDNS |
50 | 2SSLv | 29 | HTTP/XML | 8 | NTP |
51 | STUN | 30 | ICP | 9 | SSH |
52 | TCPCL | 31 | 3IGMPv | 10 | 2SSHv |
53 | TFP over TCP | 32 | 4IPv | 11 | TCP |
54 | 1TLSv | 33 | ISAKMP | 12 |
|
55 |
| 34 | LISP | 13 | UDP |
56 |
| 35 | MIH | 14 | KNXnet/IP |
57 | UDPENCAP | 36 | MPTCP | 15 | ADwin Config |
58 | WOW | 37 | NBNS | 16 | 13AJP |
59 | XMPP/XML | 38 | NDPS | 17 | ASAP |
60 | Ospf | 39 | NVMe/TCP | 18 | 4000AX |
61 | Rdp | 40 | OCSP | 19 | BFD Control |
|
| 41 | OpcUa | 20 | BROWSER |
|
| 42 | PCEP | 21 | DCERPC |
- معیار پوشش : این معیار میزان حساسیت یک روش در تشخیص موارد مثبت است. در (14) 1 مواردي است که کلاس واقعی و پیشبینیشده، هر دو مثبت هستند و نیز 2 مواردی است که در آن موارد کلاس واقعی دادهها مثبت است؛ اما کلاس پیشبینیشده، منفی است
(14)
- معیار : این معیار نشاندهنده مواردي است که دستهبند، آنها را عضو دسته منفی تشخیص داده است؛ در حالی که آنها عضو دسته مثبت هستند. این معیار با (15) محاسبه میشود
(15)
- معیار : این معیار نشاندهنده مواردي است که دستهبند، آنها را مثبت تشخیص داده است؛ در حالی که آنها عضو دسته منفی هستند و بهصورت (16) محاسبه میشود
(16)
- معیار دقت یا : دقت معیاري براي بررسی میزان خوببودن یک الگوریتم است و بهصورت (17) محاسبه میشود
(17)
3-2-3 ارزیابی روش پیشنهادی
در این بخش، کارایی روش پیشنهادی با انجام آزمایشهای متعدد ارزیابی شده و جهت ارزیابی هر کدام از الگوریتمهای LSTM و GRU دو آزمایش متفاوت انجام گردیده است. در آزمایش اول برای هر کدام
از این الگوریتمها، مجموعه داده SI در مرحله آموزش و مجموعه داده SI-UNSW در مرحله آزمون استفاده شده است. در آزمایش دو، مجموعه داده SI-UNSW در مرحله آموزش و مجموعه داده SI در مرحله آزمون مورد استفاده قرار گرفته و نتایج آزمایش اول و دوم برای الگوریتمهای LSTM و GRU در جداول 7 و 8 ارائه شده است. در این جداول در آزمایش 1 از مجموعه دادههاي مشابه، جهت آموزش و آزمون استفاده شده است؛ یعنی دادههاي استفادهشده جهت آموزش و آزمون از یک مجموعه داده هستند.
[1] . True Positive
[2] . False Negative
جدول 7: نتایج آزمایش اول و دوم برای الگوریتمهای LSTM.
معیارهای ارزیابی LSTM | |||||||
ACC | FPR | FNR | TPR | TNR | Precision | 1F | |
8/98 | 1/1 | 1/1 | 8/98 | 9/98 | 4/99 | 1/99 | |
آموزش با SI آزمايش با مجموعه داده SI-UNSW | 7/99 | 5/0 | 1/0 | 9/99 | 4/99 | 7/99 | 8/99 |
1/97 | 07/0 | 1/4 | 8/95 | 9/99 | 9/99 | 8/97 |
جدول 8: نتایج آزمایش اول و دوم برای الگوریتمهای GRU.
معیارهای ارزیابی GRU | |||||||
ACC | FPR | FNR | TPR | TNR | Precision | 1F | |
آزمايش با مجموعه داده SI | 99 | 1/1 | 9/0 | 99 | 8/98 | 4/99 | 2/99 |
آموزش با SI آزمايش با مجموعه داده SI-UNSW | 9/99 | 0 | 07/0 | 9/99 | 1 | 1 | 9/99 |
آموزش با SI-UNSW آزمايش با مجموعه داده SI | 6/95 | 6/1 | 5/5 | 5/94 | 3/98 | 2/99 | 8/96 |
جدول 9: نتایج مقایسه کارایی روش پیشنهادی و سایر روشهای مشابه.
روش | ACC | TPR | FPR | مزایا و معایب |
---|---|---|---|---|
Silveira و همکاران [32] | 93 | - | 6 | روش پیشنهادي با رگرسیون منطقی دقت خوبی دارد؛ اما FPR نیز بالاست. |
Wani و همکاران [33] | 9/95 | 4/96 | 7 | الگوریتم MLP دقت بالایی دارد؛ اما همچنان FPR بالاست و فقط جهت شناسایی حمله DDOS است. |
Hamza و همکاران [40] | بالا | - | - | الگوریتم بیز و استفاده از MUD براي بهدستآوردن امضای دادههاي طبیعی و غیرطبیعی و نیز کارایی بهتر از Snort ذکرنکردن مقدار ACC و FP |
Hamza و همکاران [41] | 5/97 | 3/72 | 4/2 | استفاده از MUD که نیاز به سختافزار اضافی دارد و همچنین استفاده از 4 الگوریتم بهصورت ترکیبی که بسیار وقتگیر میباشد؛ این در حالیست که TPR بسیار پایین است. |
روش پیشنهادی | 99 | 99 | 1/1 | دقت و TPR بالا، FPR بسیار پایین و مدت زمان آموزش کمتر از مزایای روش پیشنهادي است. |
همان طور که نتایج آزمایشها در جداول 7 و 8 نشان داده است، الگوریتم GRU و LSTM تقریباً داراي نتایج یکسانی بودهاند بهجز زمان آموزش که GRU حدود 30% از الگوریتم LSTM بهتر بوده است.
در آزمایش 2، ابتدا دادهها با مجموعه داده SI آموزش دیده و سپس با مجموعه داده UNSW مورد آزمایش قرار گرفتهاند. در واقع در مجموعه داده آزمون، حملات جدیدي وجود دارند که در دادههاي آموزشی، وجود نداشتهاند. هدف اصلی در این آزمایش، بررسی شبکه براي حملات جدید بوده که نتایج، دقتی در حدود 9/99% را نشان میدهند.
در آزمایش 3، ابتدا دادهها با مجموعه داده SI-UNSW آموزش دیده
و سپس با مجموعه داده SI مورد آزمون قرار گرفتهاند. همچنین نتایج ارزیابی الگوریتمها نشان میدهند که برعکس آزمایش 2، در اینجا دقت کاهش یافته و نیز افزایش داشته است. در واقع دلیل این امر آن است که ترافیک غیرنرمالی که در مرحله آزمایش مورد استفاده قرار گرفته است از همان شبکهاي که دادههاي نرمال بهدست آمدهاند به وجود آمده؛ اما در مرحله آموزش مورد استفاده قرار نگرفته و این موضوع باعث شده که شبکه، این دادهها را تا حدي شبیه دادههاي نرمال شناسایی کند؛ هرچند دقت و بقیه معیارهاي ارزیابی هنوز مناسب بوده و جهت شناسایی حملاتی که در مرحله آموزش استفاده نشدهاند بسیار عالی عمل کردهاند.
4- مقایسه روش پیشنهادی با سایر روشها
در این بخش، مقایسه کارایی روش پیشنهادی و سایر روشهای قبلی مشابه انجام شده و سپس نتایج مقایسه در جدول 9 ارائه گردیده است. در این جدول، مقایسهاي بین روش پیشنهادي و روشهاي دیگر انجام شده و همان طور که مشاهده میشود، روش Zhang و همكاران [41] با استفاده از مشخصات موجود در MUD هر دستگاه، سیستم تشخیص نفوذ آموزش میبیند. سپس در مرحله ديگری با استفاده از ويژگيهاي موجود در سرآيند جريانها، سيستم تشخيص نفوذ، آموزش مجدد میبیند. در واقع ابتدا در مرحله اول با PCA تعداد ویژگیها کاهش مییابد و سپس با استفاده از X-means فرایند کلاسبندي انجام شده و سپس خروجی هر دو مرحله در اختیار الگوریتمهاي boundary detection و زنجیره مارکوف براي خوشهبندي نهایی قرار میگیرد. همان طور که مشاهده میشود این روش از دو مرحله استفاده میکند که براي محیط SDN-IoT مناسب نیست؛ زیرا دستگاههاي اینترنت اشیا در مدت زمان بسیار کوتاه، ترافیک بسیار زیادي تولید میکنند و سوئیچهاي شبکه، درخواستهاي زیادي را براي کنترلر میفرستند که با دو مرحلهکردن فرایند شناسایی با تأخیر مواجه میشود. از طرفی دیگر هنوز استاندارد اضافهکردن MUD به دستگاههاي اینترنت اشیا رواج پیدا نکرده است.
5- نتیجهگیری و پژوهشهای آتی
در این مقاله، یک روش جدید ترکیبی با بهرهمندی از مزایای استراتژی بهکاررفته در الگوریتمهای یادگیری ماشین LSTM و GRU در راستای بهبود عملکرد یک سیستم تشخیص نفود در محیط SDN-IoT، پیشنهاد و سه ویژگی مهم در روش پیشنهادی بیان شده است:
- روش پیشنهادی با درنظرگرفتن ترافیک بسیار زیاد دستگاههاي اینترنت اشیا، زمان پاسخ سیستم تشخیص نفوذ به سوئیچها و ... پیشنهاد شده است.
- استفاده از مجموعه داده مرتبط با ترافیک SDN-IoT: مرور ادبیات نشان میدهد که در اغلب پژوهشهاي موجود SDN-IoT، توجه خاصی نسبت به استفاده از مجموعه دادههای بهروزنشده است.
- قابلیت پیادهسازي راحت و بدون نیاز به سختافزارهاي خاص: متاسفانه در بسیاري از پژوهشها نسبت به سهولت پیادهسازي روشها بهصورت عملی، توجه نشده است.
نتایج ارزیابی نشان میدهند که روش پیشنهادي، نتایج خوبی در زمینه تشخیص نفوذ در محیط SDN-IoT دارد. عدم وجود یک مجموعه داده استاندارد جهت آموزش روشهاي پیشنهادي در این زمینه، چالشی است که میتواند پژوهشگران را سردرگم کند؛ بنابراین ارائه یک مجموعه داده استاندارد متناسب با SDN-IoT میتواند انجام پژوهش در این زمینه را تسهیل نماید. همچنین براي کارهاي آتی میتوان از الگوریتمهاي دیگر یادگیري ماشین مانند RBM، DNN، CNN و ... استفاده کرد. در واقع الگوریتمهاي بازگشتی در آموزش وقتگیر هستند؛ لذا ارائه یک روش که بتواند مدت زمان آموزش را کاهش دهد میتواند مفید واقع شود.
مراجع
[1] J. Gubbi, R. Buyya, S. Marusic, and M. Palaniswami, "Internet of Things (IoT): a vision, architectural elements and future directions," Future Generation Computer Systems, vol. 29, no. 7, pp. 1645-1660, Sep. 2013.
[2] R. Kushwah, P. K. Batra, and A. Jain, "Internet of things architectural elements, challenges and future directions," in Proc. 6th Int. Conf. on Signal Processing and Communication, ICSC'20, 5 pp., Noida, India, 5-7 Mar. 2020.
[3] A. Koohang, C. S. Sargent, J. H. Nord, and J. Paliszkiewicz, "Internet of Things (IoT): from awareness to continued use," International J. of Information Management, vol. 62, Article ID: 102442-, Feb. 2020.
[4] U. Farooq, N. Tariq, M. Asim, T. Baker, and A. Al-Shamma'a, "Machine learning and the internet of things security: solutions and open challenges," J. of Parallel and Distributed Computing, vol. 162, pp. 89-104, Apr. 2022.
[5] P. Mishra, A. Biswal, S. Garg, R. Lu, M. Tiwary, and D. Puthal, "Software defined internet of things security: properties, state of the art, and future research," IEEE Wireless Communications, vol. 27, no. 3, pp. 10-16, Jun. 2020.
[6] A. E. Omolara, et al., "The internet of things security: a survey encompassing unexplored areas and new insights," Computers & Security, vol. 112, Article ID: 102494, Jan. 2022.
[7] X. Guo, H. Lin, Z. Li, and M. Peng, "Deep-reinforcement-learning-based QoS-aware secure routing for SDN-IoT," IEEE Internet of Things J., vol. 7, no. 7, pp. 6242-6251, Dec. 2019.
[8] P. K. Sharma, J. H. Park, Y. S. Jeong, and J. H. Park, "SHSec: SDN based secure smart home network architecture for internet of things," Mobile Networks and Applications, vol. 24, pp. 913-924 2018.
[9] S. Rathore, B. W. Kwon, and J. H. Park, "BlockSecIoTNet: blockchain-based decentralized security architecture for IoT network," J. of Network and Computer Applications, vol. 143, pp. 167-177, Oct. 2019.
[10] H. Honar Pajooh, M. Rashid, F. Alam, and S. Demidenko, "Multi-layer blockchain-based security architecture for internet of things," Sensors, vol. 21, no. 3, Article ID: 772, 2021.
[11] A. Dawoud, S. Shahristani, and C. Raun, "Deep learning and software-defined networks: towards secure IoT architecture," Internet of Things, vol. 3-4, pp. 82-89, Oct. 2018.
[12] N. McKeown, et al., "OpenFlow: enabling innovation in campus networks," ACM Sigcomm Computer Communication Review, vol. 38, no. 2, pp. 69-74, Apr. 2008.
[13] M. Babiker Mohamed, et al., "A comprehensive survey on secure software‐defined network for the Internet of Things," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 1, Article ID: e4391, Jan. 2022.
[14] D. Sovilj, P. Budnarain, S. Sanner, G. Salmon, and M. Rao, "A comparative evaluation of unsupervised deep architectures for intrusion detection in sequential data streams," Expert Systems with Applications, vol. 159, Article ID: 113577, Nov. 2020.
[15] C. W. Chang, C. Y. Chang, and Y. Y. Lin, "A hybrid CNN and LSTM-based deep learning model for abnormal behavior detection," Multimedia Tools and Applications, vol. 81, no. 2, pp. 1-19, Apr. 2022.
[16] K. Smagulova and A. P. James, "A survey on LSTM memristive neural network architectures and applications," the European Physical J. Special Topics, vol. 228, no. 10, pp. 2313-2324, Oct. 2019.
[17] N. Alqudah, M. Y. Qussai, "Machine learning for traffic analysis: a review," Procedia Computer Science, vol. 170, pp. 911-916, 2020.
[18] S. K. Tayyaba, M. A. Shah, O. A. Khan, and A. W. Ahmed, "Software defined network (SDN) based internet of things (IoT) a road ahead," in Proc. of the International Conf. on Future Networks and Distributed Systems, Article ID: 15, 8 pp., Cambridge, UK, 19-20, Jul. 2017.
[19] R. Bhatia, S. Benno, J. Esteban, T. V. Lakshman, and J. Grogan, "Unsupervised machine learning for network-centric anomaly detection in IoT," in Proc. of the 3rd ACM Context Workshop on
Big Data, Machine Learning and Artificial Intelligence for Data Communication Networks, pp. 42-48, Orlando, FL, USA, 9-9 Dec .2019.
[20] D. Arellanes and K. K. Lau, "Evaluating IoT service composition mechanisms for the scalability of IoT systems," Future Generation Computer Systems, vol. 108, pp. 827-848, Mar. 2020.
[21] S. Bera, S. Misra, and A. V. Vasilakos, "Software-defined networking for internet of things: a survey," IEEE Internet of Things J., vol. 4, no. 6, pp. 1994-2008, Aug. 2017.
[22] M. Singh and G. Baranwal, "Quality of Service (QoS) in internet
of things," in Proc. 3rd Int. Conf. on Internet of Things: Smart Innovation and Usages, IoT-SIU'18, 6 pp., Bhimtal, India, 23-24 Feb. 2018.
[23] T. A. Nguyen, D. Min, and E. Choi, "A hierarchical modeling and analysis framework for availability and security quantification of IoT infrastructures," Electronics, vol. 9, no. 1, Article ID: 155, Jan. 2020.
[24] R. Swami, M. Dave, and V. Ranga, "Voting‐based intrusion detection framework for securing software‐defined networks," Concurrency and Computation: Practice and Experience, vol. 32, no. 24, Article ID: e5927, 25 Dec. 2020.
[25] I. Rabet, et al., "SDMob: SDN-based mobility management for IoT networks," J. of Sensor and Actuator Networks, vol. 11, no. 1, Article ID: 8, 2022.
[26] B. Alzahrani and N. Fotiou, "Enhancing internet of things security using software-defined networking," J. of Systems Architecture, vol. 110, Article ID: pp. 101779, Nov. 2020.
[27] A. Hamza, H. H. Gharakheili, and V. Sivaraman, "Combining MUD policies with SDN for IoT intrusion detection," in Proc. of the Workshop on IoT Security and Privacy, 7 pp., Budapest, Hungary, 20-20, Aug. 2018.
[28] G. Shravanya, N. H. Swati, R. P. Rustagi, and O. Sharma, "Securing distributed SDN controller network from induced DoS attacks," in Proc., IEEE International Conf. on Cloud Computing in Emerging Markets, CCEM'19, pp. 9-16, Bengaluru, India, 19-20 Sept. 2019.
[29] A. Hamza, H. H. Gharakheili, T. A. Benson, and V. Sivaraman, "Detecting volumetric attacks on lot devices via SDN-based monitoring of mud activity," in Proc. of the ACM Symp. on SDN Research, pp. 36-48, San Jose, CA, USA, 3-4 Apr. 2019.
[30] C. Xu, H. Lin, Y. Wu, X. Guo, and W. Lin, "An SDN FV-based DDoS defense technology for smart cities," IEEE Access, vol. 7, pp. 137856-137874, 2019.
[31] O. Salman, I. H. Elhajj, A. Chehab, and A. Kayssi, "A machine learning based framework for IoT device identification and abnormal traffic detection," Trans. on Emerging Telecommunications Technologies, vol. 33, no. 3, Article ID: e3743, Mar. 2022.
[32] F. A. F. Silveira, F. Lima-Filho, F. S. D. Silva, A. D. M. B. Junior, and L. F. Silveira, "Smart detection-IoT: a DDoS sensor system for Internet of Things," in Proc. Int. Conf. on Systems, Signals, and Image Processing, IWSSIP'20, pp. 343-348, Niteroi, Brazil, 1-3 Jul. 2020.
[33] A. Wani and S. Revathi, "DDoS detection and alleviation in IoT using SDN (SDN IoT-DDoS-DA)," J. of the Institution of Engineers (India): Series B, vol. 101, no. 3, pp. 117-128, Apr. 2020.
[34] M. P. Novaes, L. F. Carvalho, J. Lloret, and M. L. Proenca, "Long short-term memory and fuzzy logic for anomaly detection and mitigation in software-defined network environment," IEEE Access, vol. 8, pp. 83765-83781, 2020.
[35] Y. Meidan, et al., "A novel approach for detecting vulnerable IoT devices connected behind a home NAT," Computers & Security, vol. 97, Article ID: 101968, Oct. 2020.
[36] S. H. Khan, A. R. Arko, and A. Chakrabarty, "Anomaly detection in IoT using machine learning," In: S. Misra, A. K. Tyagi, V. Piuri, and L. Garg (Eds.), Artificial Intelligence for Cloud and Edge Computing Springer, Chap, pp. 237-254, 2022.
[37] M. Abdullahi, et al., "Detecting cybersecurity attacks in internet of things using artificial intelligence methods: a systematic literature review," Electronics, vol. 11, no. 2, Article ID: e3743198, 2022.
[38] M. V. Assis, L. F. Carvalho, J. Lloret, and M. L. Proença Jr, "A GRU deep learning system against attacks in software defined networks," J. of Network and Computer Applications, vol. 177, Article ID: 102942, 2021.
[39] A. S. Alshra'a, A. Farhat, and J. Seitz, "Deep learning algorithms for detecting denial of service attacks in software-defined networks," Procedia Computer Science, vol. 191pp. 254-263, 2021.
[40] A. Likas, N. Vlassis, and J. J. Verbeek, "The global k-means clustering algorithm," Pattern Recognition, vol. 36, no. 2, pp. 451-461, Feb. 2003.
[41] J. Zhang, Y. Ling, X. Fu, X. Yang, G. Xiong, and R. Zhang, "Model of the intrusion detection system based on the integration of spatial-temporal features," Computers & Security, vol. 89, Article ID: 101681, Feb. 2020.
ذکریا رئیسی در سال 1394 مدرك كارشناسي مهندسي کامپیوتر خود را از دانشگاه سیستان و بلوچستان و در سال 1399 مدرك كارشناسي ارشد مهندسي فناوری اطلاعات خود را از دانشگاه یزد دريافت نمود. زمينههاي علمي مورد علاقه نامبرده شامل موضوعاتي مانند شبکههای کامپیوتری، امنیت شبکه، سیستمهای توزیعی و مديريت شبكههاي كامپيوتري ميباشد.
فضلالله ادیبنیا در سال 1365 مدرك كارشناسي مهندسي کامپیوتر خود را از دانشگاه صنعتي اصفهان و در سال 1368 مدرك كارشناسيارشد مهندسي برق خود را از دانشگاه صنععتی شریف و در سال 1378 مدرک دکترای مهندسی کامپیوتر خود را از دانشگاه برمن آلمان دريافت نمود. و هماكنون دانشیار دانشكده مهندسي كامپيوتر دانشگاه یزد ميباشد. زمينههاي تحقيقاتي مورد علاقه ايشان عبارتند از: شبکههای کامپیوتری، مکانیابی در شبکهها، امنیت رایانه و شبکه، زنجیره بلوکی و سیستمهای توزیعی است.
مهدی یزدیان دهکردی مدرک کارشناسی مهندسی کامپیوتر گرایش نرمافزار را در سال 1385 از دانشگاه یزد و مدرک کارشناسی ارشد و دکترای خود را بهترتیب در سالهای 1388 و 1394 در رشته مهندسی کامپیوتر گرایش هوش مصنوعی از دانشگاه شیراز اخذ کرد. وی از سال 1394 در دانشکده مهندسی کامپیوتر دانشگاه یزد مشغول به فعالیت گردید و در حال حاضر عضو هیأت علمی این دانشکده میباشد. زمینههای پژوهشی مورد علاقه ایشان بینایی ماشین، یادگیری ماشین، یادگیری عمیق و تحلیل داده است.