شناسایی حملات DDoS در سوئیچ های SDN با رویکرد یادگیری عمیق و هوش گروهی

شناسایی حملات DDoS در سوئیچ های SDN با رویکرد یادگیری عمیق و هوش گروهی

-------1، --------2*

1: ----------------------------

2*: -------------------------

3: ---------------------

تاریخ دریافت: ----- تاریخ پذیرش: ------

چکیده

گره­های اینترنت اشیاء می­تواند به انواع بدافزار آلوده شود و هر وسیله هوشمند به عنوان یک گره حمله کننده بات نت ظاهر شود. چالش بیشتر سیستم­های تشخیص نفوذ در اینترنت اشیاء، عدم انتخاب ویژگی هوشمندانه و عدم تعادل مجموعه داده آموزشی و متمرکز بودن است. در این مقاله یک سیستم تشخیص نفوذ کارآمد برای اینترنت اشیاء بر اساس معماری توزیع شده شبکه مبتنی بر نرم­افزار ارایه شده است. در روش پیشنهادی در مرحله اول مجموعه داده با استفاده از روش SMOTE متعادلسازی می­شود و سپس در مرحله دوم با استفاده از الگوریتم بهینه­سازی کرکس افریقایی، ویژگی­های مهم انتخاب می­شود. در مرحله سوم روش یادگیری عمیق LSTM در کنترلر  شبکه آموزش داده می­شود تا سوئیچ­های شبکه مبتنی بر نرم­افزار از این مدل آموزش یافته برای تشخیص حملات استفاده نمایند. در روش پیشنهادی آدرس گره­های حمله کننده بین سوئیچ­های شبکه مبتنی بر نرم­افزار به اشتراک گذاشته می­شود تا گره حمله کننده در همه سوئیچ­ها به عنوان گره حمله کننده تشخیص داده شود و حملات رد سرویس خدمات توزیع شده متوقف شود. آزمایشات در محیط متلب و در مجموعه داده NSL-KDD اجراء شده است و نتایج آزمایشات نشان می­دهد روش پیشنهادی در تشخیص حملات دارای دقت، حساسیت و صحتی برابر 99.34%، 99.16% و 98.93% است. روش پیشنهادی در تشخیص حملات رد سرویس خدمات توزیع شده نسبت به روشهای انتخاب ویژگی مبتنی بر الگوریتم بهینه­سازی وال، الگوریتم بهینه­سازی شاهین، الگوریتم بهینه­سازی عقاب طلایی دقت بیشتری دارد. روش پیشنهادی در تشخیص حملات حملات رد سرویس خدمات توزیع شده نسبت به روشهای یادگیری عمیق از جمله شبکه حافظه‌ی کوتاه‌مدت طولانی، شبکه عصبی بازگشتی و شبکه عصبی کانولوشن نیز دارای دقت بیشتری برای تشخیص حملات است.

واژه‏های کلیدی: اینترنت اشیاء، سیستم تشخیص نفوذ، حملات DDoS، شبکه SDN، یادگیری عمیق

1-مقدمه

فناوری اینترنت اشیاء¹ به حدی پیشرفت کرده است که بسیاری از افراد در زندگی روزمره به شکلی از دستگاه­های هوشمند استفاده می­کنند و یا با آنها تعامل دارند. از مزایای اینترنت اشیاء می­توان به اتوماسیون، بهبود بهره­وری و استفاده موثر از منابع و موارد دیگر اشاره کرد [1]. تعداد دستگاه‌های فیزیکی با قابلیت ارتباط از راه دور و حسگر متصل به اینترنت در چند سال گذشته افزایش یافته است. الگوی رشد اتصال به اینترنت دستگاه IoT نقطه اوج پیشرفت تحقیقات در ارتباطات بی­سیم، محاسبات ابری، و تجزیه و تحلیل داده ها در سال­های اخیر و همچنین تعداد برنامه­هایی است که اینترنت اشیاء ارائه می دهد، از جمله خانه­های هوشمند، مراقبت­های بهداشتی هوشمند، سیستم های حمل و نقل هوشمند، شبکه هوشمند. ، و بسیاری دیگر [2]. با این وجود، امنیت و حریم خصوصی ارائه شده توسط اینترنت اشیاء همچنان یک نگرانی است زیرا این دستگاه‌ها بیشتر در معرض حملات امنیتی و آسیب‌پذیری هستند و دشمنان دائماً به دنبال راه‌های جدیدی برای به خطر انداختن دستگاه‌های ناامن و آسیب‌پذیر باز شده در عموم هستند. علاوه بر این، دستگاه‌های اینترنت اشیاء از طریق اینترنت به سرویس‌های ابری متصل می‌شوند تا به‌روزرسانی‌ها را ارسال کنند و پیشنهادها یا توصیه‌هایی را برای انجام اقدامات هوشمندانه از طرف کاربران دستگاه اینترنت اشیا دریافت کنند. بنابراین، وجود دستگاه‌های اینترنت اشیا پیچیدگی بیشتری به مدیریت و نگهداری شبکه‌ها می‌افزاید و باعث ایجاد نسل جدیدی از شبکه­های هوشمند شده است [1و2].

   اخیراً خطر حملات سایبری به دلیل آسیب‌پذیری‌هایی در برخی دستگاه‌های متصل به اینترنت که اغلب آنها را به اهداف آسانی تبدیل می‌کند، افزایش یافته است. امروزه حملات زیادی بر علیه اینترنت اشیاء انجام می­شود که نمونه آن حملات رد سرویس خدمات توزیع شده² است. در این حملات تعدادی زیادی گره در اینترنت اشیاء به بدافزار³ آلوده می­شود و هر کدام از آنها تبدیل به یک بات نت⁴ می­شود. حجم حملات به شبکه اینترنت اشیاء در سالهای اخیر افزایش یافته است و این حملات کاربران و سرویس­های شبکه را تهدید می­کنند[3]. حملات انکار سرویس یکی از محبوب ترین و تهدیدکننده ترین حملات به امنیت شبکه است.  این تهدید در نقض در دسترس بودن سرویس‌های شبکه با ممانعت از دسترسی کاربران مجاز به خدمات هدف نشان داده می‌شود. بر خلاف حملات DoS که از یک منبع راه اندازی می شوند، حملات DDoS به شیوه­ای توزیع شده از چندین منبع راه اندازی می­شوند. مهاجمان یک حمله DDoS را انجام می­دهند تا هدف را با سیل بی­امان ترافیک غلبه کنند که منجر به مصرف توان محاسباتی و همچنین ظرفیت شبکه پیوندهای شبکه می­شود. اولین حمله DDoS در اوت 1999 در شبکه کامپیوتری دانشگاه مینه سوتا انجام شد. مهاجم توانست کامپیوترهای شبکه را برای حدود دو روز خاموش کند. در فوریه 2000، وب سایت های معروفی مانند eBay، Yahoo، Buy و Amazon مورد حمله DDoS قرار گرفتند. پس از آن، حملات DDoS از نظر فرکانس به رشد خود ادامه دادند و امروزه از دستگاه‌های IoT استفاده می‌کنند و روش‌های پیچیده جدیدی را برای فراگیر شدن اتخاذ می‌کنند[4].

   طبق گزارشات سازمانهای امنیت شبکه در سال 2022، حملات DDoS به طور کلی نسبت به سال قبل افزایش یافته است. حملات لایه برنامه نظیر HTTP DDoS و Ransom DDoS در سال 2022 نسبت به سال قبل به ترتیب 111 درصد و 67 درصد افزایش یافته است. حملات لایه شبکه در سال 2022 نسبت به سال قبل 97 درصد و در سه ماهه سوم نسبت به چارک مشابه سال قبل 24 درصد افزایش یافته است[5]. از زمان ظهور حملات DDoS، جامعه تحقیقاتی با این تهدید از طریق چندین تکنیک شناسایی، از جمله: طرح ردیابی، سیستم خودکار فیلتر ترافیک، تشخیص مبتنی بر امضاء⁵ و تشخیص مبتنی بر ناهنجاری⁶ با این تهدید مقابله کرده اند[6].

 طرح ردیابی متکی بر یافتن مکان‌های منابع حمله است، در حالی که یک سیستم فیلتر ترافیک مستقل از فیلتر ترافیک برای جداسازی ترافیکی استفاده می‌کند که مبدأ یا مقصد شبکه نیست. طرح تشخیص مبتنی بر امضا، پایگاه داده خود را از تهدیدات مخرب شناخته شده ایجاد می کند و ترافیک جدید را با آن پایگاه داده مقایسه می­کند تا فعالیت های مخرب را شناسایی کند، در حالی که طرح تشخیص مبتنی بر ناهنجاری، رفتار شبکه را برای تشخیص فعالیت های مخرب از ترافیک عادی بر اساس یک آموزش نظارت می­کند. در بیشتر مطالعات از تکنیک­های یادگیری ماشین⁷ و یادگیری عمیق⁸ برای توسعه سیستم­های تشخیص نفوذ بر اساس ناهنجاری ترافیک شبکه استفاده می­شود[7]. 

   یادگیری ماشین و یادگیری عمیق می­تواند برای تشخیص نفوذ در ترافیک شبکه به عنوان یکی از موثرترین تکنیک های تشخیص استفاده شود. به طور خاص، یادگیری عمیق  در سال های اخیر عملکرد بسیار خوبی  در تشخیص حملات از خود نشان داده است. از آنجایی که داده‌های واقعی غیرخطی، پیچیده و بسیار ابعادی هستند، ساخت مدل‌های یادگیری عمیق چندین نورون پنهان دارد و هر نورون یک تابع غیرخطی دارد. ساختار پیچیده مدل‌های یادگیری عمیق باعث می‌شود آنها را در درک بهتر داده‌های پیچیده و غیرخطی در حوزه هدف بهتر کنند[8]. یکی از چالشهای مهم سیستم­های تشخیص نفوذ به شبکه ساختار متمرکز سیستم تشخیص نفوذ است و اگر سیستم تشخیص نفوذ متمرکز ارایه شود چالشهای برای آن وجو دارد که مهمترین آنها زمان زیاد برای تشخیص حملات در حجم بالایی از ترافیک است. عدم تمرکز در سیستم­های تشخیص نفوذ باعث تقسیم کاری و بهبود زمان تشخیص حملات می­شود. عدم تمرکز در سیستم­های تشخیص نفوذ باعث می­شود اگر یک سیستم تشخیص نفوذ مورد حمله قرار گرفته شود آنگاه سایر سیستم­های تشخیص نفوذ می­توانند حملات را تشخیص دهند[9].

  قابلیت مدیریت منابع شبکه متمرکز از مزایای شبکه­های نرم­افزار محور⁹ است که می­توان از این معماری توزیع شده برای تشخیص حملات استفاده نمود.  منابع شبکه را می­توان به کمک این فناوری مدیریت کرد و ترافیک شبکه را می­توان با استفاده از کنترلر شبکه­های نرم­افزار محور برای بهبود امنیت کنترل کرد[10]. امروزه، شبکه­های نرم­افزار محور به خوبی برای پردازش نه تنها ترافیک شبکه پروتکل قدیمی بلکه دستگاه­های اینترنت اشیاء که ترافیک شبکه را با پروتکل OpenFlow و برنامه­های کنترل کننده شبکه­های نرم­افزار محور سفارشی شده تولید می­کنند، مجهز است. اگرچه شبکه­های نرم­افزار محور می­تواند برای مدیریت مسیریابی، مدیریت منابع، نظارت و مدیریت ترافیک، تشخیص امنیت و کاهش در محیط­های اینترنت اشیاء استفاده شود، شبکه­های نرم­افزار محور نیز به دلیل وجود دستگاه­های اینترنت اشیاء مستعد حملات جدید نظیر بات­نتها است. به عنوان مثال، دستگاه‌های اینترنت اشیاء پیکربندی شده پیش‌فرض با استفاده از بدافزار بات‌نت Mirai در معرض خطر قرار می‌گیرند و ارتباطات فرمان و کنترل را با سرور مهاجم راه دور برای تبدیل شدن به بخشی از ارتش ربات آغاز می‌کنند. این ربات­ها در معرض خطر را می­توان برای ایجاد ترافیک شبکه مخرب و سیل کنترل کننده شبکه­های نرم­افزار محور استفاده کرد. منابع کنترل کننده یا اشباع منابع شبکه می­تواند منجر به خاموش شدن کل شبکه با حملات انکار سرویس توزیع شده یا DDoS شود [11]. احتمالات متعدد دیگری برای حمله وجود دارد، مانند مسمومیت توپولوژی¹⁰ [12]، به خطر انداختن کنترلر یا سوئیچ­ها با آسیب­پذیری­های شناخته شده[13]، یا حملات روز صفر¹¹ [14]  از جمله آنها است. هدف از سیستم تشخیص نفوذ کارآمد، تشخیص با نرخ خطای اندک و زمان کم برای تشخیص حملات است اما برای تشخیص حملات DDoS در اینترنت اشیاء چالشهای وجود دارد که از جمله آنها می­توان به موارد ذیل اشاره نمود:

§       سیستم­های تشخیص نفوذ اگر روی مجموعه داده نامتعادل آموزش داده شوند دارای دقت اندکی خواهند بود و از این جهت بهتر است که کلاس­های اقلیت در مجموعه داده با روشهای متعادلسازی افزایش داده شوند.

§       معماری متمرکز برای تشخیص حملات توانایی تحلیل حجم ترافیک اینترنت اشیاء را ندارد و از این جهت بهتر است برای شبکه اینترنت اشیاء معماری­های توزیع شده تشخیص نفوذ توسعه داده شود.

§       حجم و تعداد ویژگی­های ترافیک شبکه اینترنت اشیاء قابل توجه است و در این میان فقط برخی از ویژگی­های ترافیک شبکه اهمیت بیشتری دارند لذا توسعه سیستم­های تشخیص نفوذ با انتخاب ویژگی هوشمندانه دارای اهمیت بالایی است.

 برای رفع چالش­های فوق در این مقاله یک سیستم تشخیص نفوذ توزیع شده در بستر معماری شبکه­های نرم­افزار محور ارایه می­شود. در مرحله اول ترافیک شبکه در کنترلر شبکه نرم­افزار محور با روش ¹²SMOTE متعادلسازی می­شود[15]. در مرحله دوم از الگوریتم بهینه­سازی کرکس آفریقایی¹³[16]، که اخیراً ارایه شده است برای انتخاب ویژگی استفاده می­شود. مزیت این الگوریتم هوش گروهی دقت بالا و مدلسازی پیچیده برای یافتن جوابهای بهینه در فضاهای چند بعدی و پیچیده است. در مرحله سوم کنترل کننده بر اساس یادگیری عمیق LSTM یک مدل طبقه­بندی ایجاد می­کند و این مدل آموزش یافته به همراه بردار ویژگی بهینه را برای سوئیچ­های شبکه نرم­افزار محور ارسال می­کند تا ترافیک حملات DDoS را شناسایی نمایند. هدف اصلی این مقاله ارایه یک سیستم تشخیص نفوذ کارآمد در بستر معماری شبکه نرم­افزار محور و تشخیص دقیق و سریع حملات به اینترنت اشیاء است. سهم نویسندگان از این تحقیق شامل موارد ذیل است:

§       ارایه یک سیستم تشخیص نفوذ توزیع شده در بستر معماری SDN

§       متعادلسازی مجموعه داده با استفاده از روش SMOTE در کنترلر کننده SDN

§       ارایه یک نسخه انتخاب ویژگی و باینری از الگوریتم کرکس آفریقایی در تشخیص حملات

§       تلفیق هوش گروهی و یادگیری عمیق LSTM در شبکه SDN برای تشخیص حملات در اینترنت اشیاء

  این مقاله در چند بخش تهیه و نگارش شده است. در بخش II کارهای مرتبط در زمینه تشخیص حملات DDoS مرور شده است. در بخش III، سیستم تشخیص نفوذ پیشنهادی در معماری SDN با الگوریتم بهینه­سازی کرکس آفریقایی و یادگیری عمیق LSTM توسعه داده شده است. در بخش IV، روش پیشنهادی پیاده­سازی و تحلیل می­شود و با روشهای مشابه مقایسه می­شود. در در بخش آخر یا V نتایج تحقیق و یافته­های تحقیق به همراه پیشنهادات آتی ارایه می­گردد.

2-کارهای مرتبط

یک حمله انکار سرویس  یک دستگاه یا شبکه را بیش از حد بارگذاری می­کند و آن را غیرقابل دسترسی می­کند. مهاجمان این کار را با ارسال ترافیکی بیشتر از میزان توانایی هدف انجام می­دهند که باعث شکست آن و ناتوانی در ارائه خدمات به کاربران عادی خود می ­شود. یک شبکه به هم پیوسته و توزیع شده از ماشین‌ها باعث حمله DDoS می‌شود که می­تواند شامل اینترنت اشیاء باشد و می‌تواند تحت تأثیر بدافزارهایی باشد که از راه دور کنترل می‌شوند. یک بات نت می­تواند مستقیماً به هر ربات حمله کند و دستورالعمل­ها را از راه دور ارسال کند. در یک بات نت، شبکه آسیب‌دیده یا سرور، هر ربات درخواستی را به یک آدرس IP مشخص ارسال می‌کند و باعث ایجاد یک DoS به ترافیک عادی می‌شود. جدا کردن ترافیک عادی از ترافیک مهاجم چالش برانگیز است. نمونه های رایج حملات DDOS عبارتند از سیل UDP، سیلاب SYN و تقویت DNS است. امروزه حملات DDoS بسیار کوتاه اتفاق می­افتد. گزارشات نشان می­دهد که میانگین مدت حمله DDoS در سال 2022 بین 5 تا 10 ثانیه و ظرفیت آنها در بیشتر موارد 5 گیگابیت در ثانیه در 24 ساعت است[17].

   با رشد سریع اینترنت اشیاء، بات نت می­تواند به راحتی مقیاس های گسترده تری از حملات را با استفاده از دستگاه های اینترنت اشیاء انجام دهد. ربات مخرب دستگاهی است که آلوده شده است و آن دستگاه می­تواند یک دستگاه اینترنت اشیاء باشد. ربات­های آلوده گاهی به هم متصل می­شوند و بات نت­هایی را تشکیل می­دهند. سپس این بات‌نت‌ها فعالیت‌هایی مانند حملات DDoS را انجام می‌دهند. حمله DDoS شکلی از حمله است که در آن ترافیک مخرب هدف یا زیرساخت مرتبط را بارگذاری می کند. این امر با استقرار ربات‌ها، شبکه‌ای از رایانه‌های آلوده به بدافزار و سایر دستگاه‌های معروف به زامبی‌ها¹⁴ به دست می‌آید که مهاجم ممکن است از راه دور آنها را مدیریت کند، همانطور که در شکل(1)، نشان داده شده است[18].

شکل1: مکانیزم وقوع حملات DDoS بر علیه سرویسهای شبکه]18[

حملات رد سرویس خدمات توزیع شده به طور قابل توجهی پهنای باند و اتصال را محدود می کند و باعث از کار افتادن تمام خدمات شبکه می­شود.  اکوسیستم­های ابری بیشترین ضرر را به دلیل انکار خدمات و تخریب متحمل می­شوند. هدف اصلی آسیب رساندن به دسترسی به منابع برای کاربران قانونی است. شناسایی ترافیک حمله در یک حمله DDoS به دلیل شباهت آن به ترافیک عادی دشوار است زیرا آنها مانند بسته­های شبکه معمولی رفتار می­کنند[18]. یک معماری کاربردی برای ارایه سیستم­های تشخیص نفوذ، معماری SDN است. مزیت معماری SDN حالت توزیع شده ایتن معماری است که اگر سیستم تشخیص نفوذ در آن مستقر شود از نوع توزیع شده خواهد بود. SDN فناوری جدیدی است که مدیریت شبکه را با ساختار پویا و قابل برنامه ریزی خود تسهیل می­کند. در SDN، صفحات کنترل و داده از یکدیگر تقسیم می­شوند و مدیریت شبکه توسط یک کنترل کننده مرکزی انجام می­شود و بنابراین، کنترل کننده­ای که می­تواند کل شبکه را از یک نقطه مدیریت کند، می­تواند به سرعت سیاست­های مختلف شبکه را در کل شبکه اعمال کند. شکل(2)، ساختار لایه ای محیط SDN را نشان می­دهد.

شکل2: معماری SDN و لایه های آن]19[

با این حال، این رویکرد جدید در حال ظهور علاوه بر مزایایی که ارائه می­دهد، مشکلات امنیتی را نیز به همراه دارد. علاوه بر حملاتی که در ساختارهای شبکه سنتی با آن مواجه می‌شوند، SDN نیز در معرض حملات خاص خود قرار دارد. شاید خطرناک ترین این حملات، حملات به کنترلر باشد، زیرا مهاجمی که کنترلر را تصاحب می­کند، می­تواند توانایی مدیریت یا اختلال در تمام ترافیک شبکه را داشته باشد. حملات DDoS که در آن کاربران از دسترسی به خدمات شبکه محروم می‌شوند، در راس حملات به کنترل‌کننده قرار دارند. در ادامه این بخش تعدادی از کارهای مرتبط در زمینه تشخیص نفوذ در اینترنت اشیاء و با رویکرد شبکه SDN مرور می­شود. در]20[، یک رویکرد پیش بینی و تشخیص حملات DDoS در محاسبات لبه با یادگیری عمیق در شبکه SDN را پیشنهاد دادند. آنها یک چارچوب جدید به نام CoWatch برای پیش‌بینی و تشخیص مشترک حملات DDoS در سناریوهای محاسبات لبه پیشنهاد دادند. آنها مدل LSTM را برای طراحی الگوریتمی برای پیش‌بینی مشترک و تشخیص حملات DDoS بررسی و ایجاد کردند. نتایج آزمایش بر روی تعدادی از مجموعه داده‌ها عملکرد امیدوارکننده CoWatch را در اثربخشی و کارایی نشان می‌دهد.

در]21[، چارچوب امن SDN-IoT برای تشخیص حملات DDoS با استفاده از یادگیری عمیق را پیشنهاد دادند. چارچوب پیشنهادی از مجموعه داده CICDDoS2019 برای شناسایی حملات بازتابی و حملات بهره‌برداری در TCP، UDP و ICMP آزمایش می‌شود.  نتایج تجربی نشان می‌دهد که چارچوب پیشنهادی می‌تواند به طور موثر حملات DDoS را شناسایی و کاهش دهد در حالی که از منابع CPU به طور مؤثر و در زمان کوتاه‌تری در مقایسه با رویکردهای موجود استفاده می‌کند. در]22[، برای تشخیص حملات DDoS یک روش یادگیری گروهی در جریان داده برای دستگاه‌های سنجش هوشمند IoT ارایه دادند. روش آنها می‌توانند مجموعه داده‌های غیر سلسله مراتبی و نامتعادل مشابه حملات Mirai را مدیریت وشناسایی کنند. در]23[، تشخیص حملات DDoS ناشناخته در شبکه‌های اینترنت اشیاء با استفاده از یک مدل یادگیری ترکیبی را پیشنهاد دادند. آنها یک رویکرد جدید را پیشنهاد دادندکه یک مدل شبکه عصبی کانولوشنال مرتب‌سازی نرم  را با ضریب پرت محلی و تشخیص ناهنجاری مبتنی بر جداسازی با استفاده از مدل‌های گروه‌های نزدیک‌ترین همسایه که از روش‌های یادگیری نظارت شده و بدون نظارت استفاده می‌کنند، ترکیب می‌کند. ارزیابی­ها نشان داد دقت روش آنها در تشخیص حملات می­تواند تا 98.94% افزایش یابد و حملات ناشناخته را تشخیص دهد. در]24[، یک شبکه عصبی همبستگی برای تشخیص حمله DDoS در سیستم اینترنت اشیاء ارایه دادند. آنها به طور گسترده معماری‌های پیشنهادی را با ارزیابی پنج مدل شبکه عصبی مختلف که بر روی مجموعه داده‌ای که از یک سیستم اینترنت اشیاء دارای 4060 گره در دنیای واقعی آموزش دادند. آزمایشات نشان دادند حافظه کوتاه‌مدت  و یک مدل مبتنی بر ترانسفورماتور، در ارتباط با معماری‌هایی که از اطلاعات همبستگی گره‌های اینترنت اشیا استفاده می‌کنند، عملکرد بالاتری  نسبت به مدل‌های دیگر ارائه می‌کنند. در]25[، تشخیص مبتنی بر تغییرات آنتروپی در حملات DDoS بررسی شده است. هدف آنها دستیابی به شناسایی حملات DDoS با روش تشخیص مبتنی بر قانون با استفاده از معیارهای تئوری اطلاعات است. تغییر در آنتروپی ویژگی های ترافیک فراتر از یک آستانه، نشانگر تغییر در تراکم ترافیک به یک شبکه است. در این مقاله، ما یک تحلیل عملکرد از پارامترهای مختلف مرتبط با تشخیص حملات DDoS مبتنی بر تغییرات آنتروپی ارائه می­شود.  در]26[، یک رویکرد طبقه بندی تعبیه شده برای  تشخیص حملات DDoS مبتنی بر ترافیک اینترنت اشیاء ارایه شده است. عملکرد  مدل آنها با اجرای چهار سناریو مختلف مبتنی بر ترافیک اینترنت اشیاء ارزیابی می­شود. در این پژوهش مجموعه داده Bot-IoT در دسترس عموم برای طراحی و اعتبار سنجی رویکرد طبقه‌بندی چند کلاسه پیشنهادی استفاده می‌شود. نتایج نشان می‌دهد که رویکرد پیشنهادی 84.4 درصد نرخ کاهش ویژگی و تقریباً 5.19 درصد دقت طبقه‌بندی بالاتر از رویکردهای موجود ارائه می‌کند. در]27[، یک روش انتخاب ویژگی برای تشخیص حمله رد سرویس خدمات توزیع شده با استفاده از تکنیک‌های یادگیری ماشین ارایه دادند. در این پژوهش ویژگی­های مهم دو مجموعه داده NF_ToN_IoT و NF_BoT_IoT با دو روش انتخاب ویژگی Information Gain و Gain Ratio  انتخاب می­شوند و با استفاده از الگوریتم Ranker رتبه بندی می­شوند. سپس این مجموعه داده­ها با استفاده از چهار الگوریتم مختلف مانند شبکه بیزین، نزدیکترین همسایه، جدول تصمیم­گیری  و جنگل تصادفی آزمایش می­شوند. آزمایشات نشان داد بهترین طبقه‌بندی کلی شبکه بیزین با دقت 97.506% و 90.67% برای هر دو مجموعه داده NF_ToN_IoT و NF_BoT_IoT است. در]28[، یک روش شناسایی حملات DDoS در دستگاه های IoT توسط Bi-LSTM-CNN ارایه دادند. این مقاله یک حافظه کوتاه مدت دوسویه مبتنی بر توجه ترکیبی با شبکه‌های عصبی کانولوشن برای شناسایی حملات DDoS در لایه برنامه و SDN پیشنهاد می‌کند. آنها چندین مدل یادگیری ماشین دیگر مانند رگرسیون لجستیک، درخت‌های تصمیم، جنگل‌های تصادفی، ماشین‌های بردار پشتیبان، نزدیک‌ترین همسایگان، تقویت گرادیان شدید، شبکه‌های عصبی مصنوعی، CNN، LSTM، CNN-LSTM را برای ارزیابی عملکرد مدل پیشنهادی خود به کار گرفتند.  . تجزیه و تحلیل تجربی روی مجموعه داده‌های چندگانه نشان می‌دهد که مدل پیشنهادی طبقه‌بندی را به طور موثر با دقت 99.74% انجام می‌دهد.

3-روش پیشنهادی

  روش پیشنهادی برای تشخیص حملات به شبکه از معماری توزیع شده در سوئیچ­های SDN استفاده می­شود و روش پیشنهادی دارای اجزای ذیل است:

·        کنترل کننده در ابتدا ترافیک شبکه را دریافت نموده و با روش SMOTE آن را متعادلسازی می­کند.

·       کنترل کننده با استفاده از الگوریتم بهینه­سازی کرکس آفریقایی می­تواند ویژگی­های مهم ترافیک شبکه را تشخیص دهد و آن را برای کاهش ابعاد ترافیک شبکه استفاده نماید.

·       کنترل کننده می­تواند روش یادگیری عمیق مانند LSTM را آموزش دهد و این مدل آموزش یافته را برای سوئیچ­های SDN ارسال کند.

·       کنترلر کننده بردار ویژگی بهینه و مدل آموزش یافته LSTM را برای سوئیچ­های SDN ارسال می­کند و هر سوئیچ می­تواند بر اساس الگوی بردار ویژگی و مدل آموزش یافته LSTM اقدام به تشخیص نفوذ نماید.

·       سوئیچ­های SDN می­توانند IP های مخرب گره­های حمله کننده را با هم به اشتراک بگذارند.

 یک بخش مهم روش پیشنهادی متعادلسازی مجموعه داده تشخیص نفوذ است تا مدلسازی و دقت یادگیری افزایش داده شود. در روش پیشنهادی برای افزایش تعداد نمونه­های اقلیت در مجموعه داده از روش SMOTE استفاده می­شود تا تعداد نمونه­های حمله که کمتر از تعداد نمونه­های عادی است افزایش یابد. SMOTE نمونه های مصنوعی را برای کلاس اقلیت ایجاد می­کند تا مجموعه داده را متعادل کند. این رویکرد می­تواند مشکل اضافه برازش را به دلیل نمونه گیری بیش از حد تصادفی حل کند. ابتدا، SMOTE نمونه های داده مصنوعی را با استفاده از روش k-نزدیکترین همسایه ایجاد می­کند. با انتخاب تصادفی داده‌ها از کلاس اقلیت شروع می‌شود و الگوریتم k نزدیک‌ترین همسایه‌ها را برای داده‌ها تنظیم می‌کند. سپس داده‌های ترکیبی بین داده‌های تصادفی و داده‌های k نزدیک‌ترین همسایگان به‌طور تصادفی انتخاب می‌شوند.  شکل(3)، روش کار SMOTE را نشان می­دهد.

شکل3: روش تولید نمونه های مصنوعی با SMOTE ]29[

 بعد از متعادلسازی مجموعه داده در کنترلرکننده با روش SMOTE، در مرحله فاز انتخاب ویژگی با الگوریتم بهینه­سازی کرکس افریقایی انجام می­شود. در این مرحله هر بردار ویژگی یک عضو الگوریتم بهینه­سای کرکس افریقایی است و توسط این الگوریتم بهینه­ترین بردار ویژگی کشف می­شود. دلایل استفاده از الگوریتم بهینه­سازی کرکس افریقایی در انتخاب ویژگی به شرح ذیل است:

§       الگوریتم بهینه­سازی کرکس افریقایی در ژورنال الزیور چاپ شده و یک مقاله معتبر در زمینه هوش گروهی است. این الگوریتم اخیراً ارایه شده است و با توجه به آزمایشات نویسندگان، الگوریتم آنها از الگوریتمهای فراابتکاری مطرح نظیر ژنتیک و الگوریتم ذرات دارای خطای کمتری در یافتن جواب بهینه است.

§       الگوریتم بهینه­سازی کرکس افریقایی دارای مدلسازی قوی است و جستجوی سراسری و محلی را هم زمان انجام می­دهد. پیروی را­ه­حلهای مسئله از چند راه­حل بهینه در یافتن جواب بهینه باعث شده نوعی سلسله مراتب رهبری در یافتن جواب بهینه در این الگوریتم وجود داشته باشد و از این جهت الگوریتم بسیار رفتار هوشمندانه­ای دارد.

§       اگر یکی از راه­حلها در نزدیکی بهینه محلی باشد توسط دو راه­حل شایسته با احتمال زیاد از بهینه محلی دور می­شود. به عبات بهتر احتمال همگرایی الگوریتم به بهینه­های محلی کم است.

§       به دلیل مدلسازی قابل توجه و دقیق الگوریتم بهینه­سازی کرکس افریقایی، این الگوریتم برای حل مسائلی با ابعاد بالا مانند انتخاب ویژگی بسیار کارآمد است.

 در روش پیشنهادی هر بردار ویژگی یک سطر ماتریس جمعیت الگوریتم کرکس یا AVOA و مطابق رابطه(1)، است.

در این ماتریس جمعیت و هر ستون یک ویژگی­ مرتبط با تشخیص نفوذ است و در اینجا d ابعاد مسئله یا تعداد ویژگی­های مجموعه داده است. اگر از مجموعه داده NSL-KDD استفاده شود مقدار d=41 است. در این معادله، n  تعداد بردار های ویژگی است. در این ماتریس  نشان دهنده بردار ویژگی i و مولفه j بردار ویژگی i است. هر بردار ویژگی برای ارزیابی نیاز به یک روش طبقه­بندی دارد تا مشخص کند بردار ویژگی تا چه اندازه خطا در تشخیص نفوذ دارد. در روش پیشنهادی می­توان از روشهای مبتنی بر درخت تصمیم­گیری برای ارزیابی بردار ویژگی استفاده نمود. باید توجه شود که طبقه­بندی کننده نهایی در این مقاله، روش LSTM است اما در فاز ارزیابی بردارهای ویژگی از درخت تصمیم­گیری استفاده می­شود.

هر بردار برای ارزیابی از تابع هدف معادله(2)، استفاده می­کند.

 در تابع هدف  خطای تشخیص حملات به شبکه توسط بردار ویژگی  با استفاده از درخت تصمیم­گیری است و   تعداد ویژگی انتخاب شده توسط بردار ویژگی  است. در این معادله،  و  به ترتیب ضرایب خطای تشخیص نفوذ و کاهش ابعاد مسئله است. در ساخت درخت تصمیم­گیری با الگوریتم  C5.0 نرخ بهره اطلاعات را به عنوان استاندارد برای تعیین بهترین متغیر گروه­بندی و نقطه تقسیم بندی می­گیرد، و اندازه سود اطلاعات و هزینه به دست آوردن اطلاعات را در نظر می­گیرد.  هر چه نرخ به دست آوردن اطلاعات متغیرها بیشتر باشد، بهتر است از آنها به عنوان متغیرهای گروه بندی استفاده شود. متفاوت از الگوریتم C5.0، درخت CART  ضریب جینی را به عنوان ویژگی تقسیم انتخاب می­کند و ویژگی را با بزرگترین ضریب جینی برای تقسیم انتخاب می­کند. در روش پیشنهادی از درخت تصمیم­گیری با الگوریتم C5.0 برای ارزیابی بردارهای ویژگی استفاده می­شود زیرا نرخ بهره اطلاعات در آن بکار رفته که در واقع اهمیت ویژگی­ها را در خود نهفته دارد. بردارهای ویژگی که این تابع را بیشتر کمینه نمایند به عنوان بردار ویژگی بهینه در نظر گرفته می­شوند. هر کرکس برای انتخاب یک سردسته و حرکت به سمت آن از احتمال رابطه(3)، استفاده می­کند.

 در اینجا  شایستگی یک بردار ویژگی یا کرکس معادل آن است و  نیز احتمال حرکت یک کرکس به سمت یکی از دو کرکس بهینه است. در شکل(4)، حرکت یک کرکس و انتخاب یک سر دسته و پرواز به سمت آن را نشان می­دهد.

شکل 4: پرواز یک کرکس به سمت یکی از دو کرکس بهینه جمعیت به صورت تصادفی

کرکس­ها در حین پرواز و جستجو پیرامون دو جواب بهینه می­توانند گرسنه شوند و برای غذا با سایر کرکس­ها مبارزه کنند. برای مدلسازی رفتار گرسنگی و حمله از معادله(4) و (5) استفاده می­شود.

 شمارنده تکرار الگوریتم است و  حداکثر شماره تکرار الگوریتم است. z  یک عدد تصادفی یکنواخت در بازه [-1,+1] است. h یک عد تصادفی در بازه [-2,+2] است. w یک ضریب وزنی بین 1 تا 2 برای تاثیر افزایش میزان گرسنگی و حمله کرکس­ها است. می­توان فرض کرد که دو بردار ویژگی در تشخیص نفوذ به ترتیب با   و  نشان داده می­شود. براساس مقدار F می­توان استراتژی حمله به سمت غذا را تشخیص داد. اگر   باشد یک کرکس فقط در آسمان می­چرخد و سیر است و به دنبال غذا نمی­باشد. اگر  باشد کرکس­ گرسنه است و دارای رفتاری تهاجمی برای حمله به سمت طعمه است. اگر  باشد کرکس­ها جستجوی اکتشافی را انجام می­دهند. در این حالت یک عدد تصادفی بین صفر و یک برای یک کرکس در نظر گرفته می­شود و اگر کوچکتر از p1 باشد از معادله(6) و (7) و اگر بیشتر از p1 باشد از معادله(8)، استفاده می­شود.

 موقعیت یک بردار ویژگی و  موقعیت جدید همان بردار ویژگی یا کرکس است.  یک ضریب تصادفی بین صفر و دو برای حمله است.  یکی از بردارهای ویژگی   و  است که تصادفی در نظر گرفته می­شود.

 ub و lb به ترتیب محدوده بالا و پایین یک راه­حل است. اگر   باشد در این حالت دو وضعیت پیش خواهد آمد . در حالت اول اگر  باشد و عدد تصادفی کمتر از p2 باشد از معادله(9) برای به روزرسانی بردارهای ویژگی استفاده می­شود و اگر بیشتر از مقدار p2 باشد از معادله(9)، استفاده می­شود.

 فاصله یک بردار ویژگی یا یک کرکس از یکی از دو بردار ویژگی بهینه   یا  است. اگر  باشد و عدد تصادفی ایجاد شده برای هر کرکس و بردار ویژگی بیشتر از p2 باشد برای به روزرسانی بردارهای ویژگی یا راه­حلهای مسئله از معادله(11)، (12) و (13) استفاده می­شود.

اگر مقدار  باشد و از طرفی عدد تصادفی تولید شده برای هر بردار ویژگی کمتر از پارامتر p3 باشد برای به روزرسانی بردارهای ویژگی از معادله(14)، (15) و (16) استفاده می­شود.

اگر مقدار  باشد و عدد تصادفی تولید شده برای هر بردار ویژگی بیشتر از p3 باشد برای به روزرسانی هر یک از بردارهای ویژگی از معادله(17) استفاده می­شود.

 در اینجا  یک تابع پروازی در d بعد است در اینجا  قدر مطلق فاصله یک راه­حل از یکی از راه­حلها بهینه مسئله است. بردارهای ویژگی که توسط الگوریتم AVOA محاسبه می­شوند نیاز به باینری کردن دارند لذا برای باینری نمودن آنها از توابع نگاشت S و V استفاده می­شود که نمونه آنها در شکل(5) و (6) نمایش داده شده است. در ابتدا می­توان بردارهای ویژگی را توسط معادلات(18)، (19)، (20) و (21) با استفاده از توابع S نرمالیزه نمود و یا توسط معادلات(22)، (23)، (24) و (25) با تابع V بردارهای ویژگی را بین صفر و یک نرمالیزه نمود. بعد از نرمالسازی بردارهای ویژگی توسط معادله(26) و (27) می­توان بردارهای ویژگی را با آستانه مرتبط با تابع S و V به مقادیر صفر یا یک نگاشت داد و آن را باینری نمود. در این معادلات  به نشان دهنده مولفه d بردار ویژگی l است. مقادیر r1 تا r5 نیز اعداد تصادفی بین صفر و یک است]30[.

شکل 5: تابع تبدیل S برای باینری کردن بردارهای ویژگی به روزرسانی شده توسط الگوریتم AVOA

شکل 6: تابع تبدیل V برای باینری کردن بردارهای ویژگی به روزرسانی شده توسط الگوریتم AVOA

در روش پیشنهادی کنترلر SDN ، بردار ویژگی بهینه­ای که توسط الگوریتم AVOA محاسبه می­شود نوع ورودی طبقه­بندی کننده LSTM را تعیین می­کند. شبکه عصبی LSTM یک روش یادگیری عمیق است که مطابق شکل(7)، دارای گیتهای فراموشی، خروجی و ورودی است و یک ابزار کارآمد برای طبقه­بندی ترافیک شبکه است. در معادلات(28)، (29)، (30)، (31) و (32)، مدلسازی شبکه عصبی یادگیری عمیق LSTM را نشان داده است]31[.

شکل 7: ساختار شبکه عصبی LSTM

که در آن، ft، ot و ct به ترتیب ورودی، فراموشی، خروجی و فعال سازی دروازه سلولی در هر زمان t هستند. در این معادلات،   تابع سیگموئید لجستیک و 𝑊𝑥 ماتریس­های وزن شبکه عصبی است و 𝑏𝑥 بایاس­های شبکه است. h𝑡-1  حالت پنهان در مرحله زمانی  است و 𝑐𝑡−1  وضعیت سلول در زمان  است. در اینجا شبکه LSTM نقش طبقه­بندی کننده ترافیک شبکه را برعهده دارد و مدل آموزش یافته از طریق کتترکننده برای سوئیچ­های شبکه ارسال می­شود. شبکه عصبی LSTM یک روش قدرتمند برای تجزیه و تحلیل سری­های زمانی و جریان­های داده­ای است. در این شبکه برخی از اطلاعات به گیت فراموشی سپرده می­شوند و برخی دیگر نگهداری می­شوند. مزیت این شبکه آن است که قبل و بعد یک جریان داده­ای تا حدودی به خاطر سپرده می­شود. دلیل استفاده از شبکه عصبی LSTM در بخش طبقه­بندی روش پیشنهادی آن است که این روش در بسیاری از پژوهش­ها برای تحلیل ترافیک شبکه استفاده شده و نتایج ارزشمندی بدست آورده است.

 شبکه عصبی از نوع LSTM مشکل محوشوندگی تدریجی و انفجار گرادیان را ندارد بر خلاف شبکه­های بازگشتی و کانولوشن، آموزش آن پیچیده نمی­باشد. در شبکه­های عصبی بازگشتی اگر از tanh یا relu به عنوان یک تابع فعال سازی استفاده شود، نمی‌تواند دنباله‌های بسیار طولانی را پردازش کند اما شبکه عصبی LSTM این چالش را ندارد. فیلتر کردن ترافیک ورودی آن با الگوریتم بهینه­سازی کرکس در فاز انتخاب ویژگی نیز توان این شبکه را برای یادگیری روی ویژگی­های اصلی افزایش می­دهد و توانایی تشخیص آن را در تشخیص حملات افزایش می­دهد.

در شکل(8)، فلوچارت روش پیشنهادی برای تشخیص حملات در سوئیچ­های SDN نمایش داده شده است و دارای مراحل ذیل است:

§       ترافیک شبکه وارد کنترلر SDN می­شود تا برای ایجاد مدل طبقه­بندی از آن استفاده شود.

§       ترافیک شبکه در کنترلر با روش SMOTE متعادلسازی می­شود و سپس حجم نمونه­های اقلیت افزوده می­شود تا مجموعه داده متعادلسازی شود.

§       الگوریتم AVOA برای انتخاب ویژگی در کنترلر استفاده می­شود و در اینجا هر بردار ویژگی یک کرکس است که توسط معادلات الگوریتم AVOA مورد به روزرسانی قرار گرفته می­شوند.

§       بردارهای ویژگی در هر تکرار با تابع هدف ارزیابی می­شوند تا در نهایت بهینه­ترین بردارهای ویژگی انتخاب شود و دو بردار ویژگی بهینه اول به عنوان سر دسته کرکس­ها انتخاب می­شود.

§       در روش پیشنهادی در هر تکرار بردارهای ویژگی با توابع نظیر S  و V باینری می­شوند تا در نهایت بردارهای ویژگی مجدد حالت صفر و یک خود را بدست آورند.

§       کنترلر کننده SDN بر اساس بردار ویژگی شبکه عصبی LSTM  را آموزش داده و یک مدل طبقه­بندی را ایجاد می­کند.

§       کنترلر کننده SDN بردار ویژگی بهینه و مدل یادگیری LSTM را برای سوئیچ­های SDN ارسال کرده و هر سوئیچ SDN در ابتدا توسط بردار ویژگی بهینه، ترافیک شبکه را کاهش ابعاد داده و سپس در ادامه با مدل طبقه­بندی LSTM ترافیک شبکه را به دو دسته حمله و عادی طبقه­بندی می­کند.

§       سوئیچ­های SDN ، IP گره­های حمله کننده در حملات DDoS را با هم به اشتراک می­گذارند و از آنها برای بلاک کردن ترافیک حملات استفاده می­کنند. 

شکل 8: فلوچارت روش پیشنهادی در تشخیص حملات به شبکه

4-نتایج تجربی

در این بخش سیستم تشخیص نفوذ پیشنهادی در معماری SDN در محیط متلب پیاده­سازی می­شود و سپس در ادامه با آزمایشاتی روش پیشنهادی در تشخیص حملات با روشهای مشابه مقایسه می­شود. در روش پیشنهادی70% از ترافیک شبکه آموزشی است و 30% دیگر برای ارزیابی به عنوان داده­های آزمون و اعتبارسنجی استفاده می­شود. در روش پیشنهادی محدوده نرمالسازی بین [0,1] است و نوع تابع فعالیت نیز در هر آزمایش تصادفی انتخاب می­شود. در روش پیشنهادی تعداد بردارهای ویژگی برابر 15 و تعداد تکرار الگوریتم AVOA برابر 50 است و هر آزمایش 35 مرتبه تکرار شده است. مقدار پارامترهای p1، p2 و p3 در الگوریتم AVOA به ترتیب برابر 0.6، 0.4 و 0.6 تنظیم می­شود. مجموعه داده NSL-KDD یک مجموعه داده جهانی در زمینه تشخیص حملات به شبکه است و مطابق شکل(9)، این مجموعه داده دارای عدم تعادل در چهار حمله مختلف است]32[:

شکل 9: عدم تعادل در مجموعه داده NSL-KDD 

در این مجموعه داده برای هر ورودی یا نمونه، از 41 ویژگی مختلف ارایه شده که هر یک از آنها ممکن است به نوع حمله رکورد یا نوع عادی آن اختصاص داده شود. مقادیر مشخصه می­توانند اسمی، باینری یا عددی باشند. با این حال، بر خلاف KDD CUP 99، مجموعه آموزشی مجموعه داده NSL-KDD حاوی هیچ ورودی تکراری نیست. بنابراین، طبقه‌بندی‌کننده‌ها نسبت به رکوردهای متداول‌تر تعصب ندارند. بنابراین، در NSL-KDD، تکنیک‌هایی با نرخ تشخیص بهتر رکوردهای مکرر در مجموعه‌های آزمایشی بر عملکرد یادگیرندگان تأثیر نمی‌گذارند. از  41 ویژگی موجود در این مجموعه داده، سه ویژگی نوع اسمی، Protocol_type، Service و Flag وجود دارد. در حالی که سایر ویژگی‌ها همه از نوع عددی هستند. حملات انکار سرویس (DoS)، حملات از راه دور به سیستم محلی (R2L)، حمله کاربر به ریشه (U2R) و حملات کاوشگر چهار دسته اصلی حملات سایبری در این مجموعه می­باشند. در جدول(1)، ایست ویژگی­های بکار رفته در مجموعه داده NSL-KDD به نمایش گذاشته شده است]35[.

جدول 1: ویژگی­های بکار رفته در مجموعه داده NSL-KDD 

مجموعه داده NSL-KDDیک مجموعه داده بشدت نامتعادل است زیرا مطابق شکل(10)، حملات مختلف دارای نمونه­هایی به اندازه یکسان نمی­باشد]35[.

شکل 10: عدم تعادل در مجموعه داده NSL-KDD

در این مجموعه داده ترافیک عادی بیشترین سهم از ترافیک را دارد و از طرفی حمله­ای نظیر neptune دارای بیشترین سهم در بین انواع حملات است و از طرفی حمله­ای نظیر Perl دارای تعداد نمونه­های اندک است. برای رفع این چالش و افزایش تعداد نمونه­ای انواع حملات از جمله DDoS می­توان با روش تولید داده مصنوعی SMOTE تعدادی نمونه مصنوعی ایجاد نمود و به مجموعه داده اضافه نمود. در روش پیشنهادی مجموع حملاتی نظیر DDoS به تعداد ترافیک عادی با روش SMOTE تولید و به مجموعه داده اضافه می­شود. در روش پیشنهادی تعداد نمونه­های عادی برابر 65000 و تعداد نمونه­های حمله نیز به 65000 افزایش داده می­شود تا مجموعه داده متعادل شود.

 یکی از مهم­ترین روش های به دست آوردن تخمین خطای مدل از طریق داده­های تست، روش اعتبار سنجی متقابل می­باشد که یکی از  روش­های آن، “K-fold cross validation”  است.  در این روش به صورت تصادفی داده­ها را به K بخش به طور یکسان تقسیم می­شوند به طوری که در هر مجموعه تقریبا nk مشاهده برای k=1,…,K قرار بگیرد . در آزمایشات انجام شده مقدار k برابر 10 تنظیم شده است. برای ارزیابی سیستم تشخیص نفوذ پیشنهادی به عنون یک روش طبقه­بندی ترافیک شبکه از متریکهای مانند دقت¹⁵، حساسیت¹⁶ و صحت¹⁷  مطابق معادله(33)، (34)، (35) فرموله شده است.

پارامترهای TP، TN، FP و FN به شکل تعریف می­شود:

§       نمونه­های صحیح مثبتTP)): ترافیک وارد شده به سوئیچ SDN از نوع حمله بوده و روش پیشنهادی به درستی این ترافیک را در کلاس حمله قرار داده است.

§       نمونه­های غلط مثبت FP)): ترافیک وارد شده به سوئیچ SDN از نوع عادی بوده و روش پیشنهادی به اشتباع این ترافیک را در کلاس حمله قرار داده است.

§       نمونه­های صحیح منفی TN)): ترافیک وارد شده به سوئیچ SDN از نوع عادی بوده و روش پیشنهادی به درستی این ترافیک را در کلاس عادی قرار داده است.

§       نمونه­های غلط منفی FN)): ترافیک وارد شده به سوئیچ SDN از نوع حمله بوده و روش پیشنهادی به اشتباه این ترافیک را در کلاس عادی قرار داده است.

 آزمایشات انجام شده نشان می­دهد روش پیشنهادی بدون متعادلسازی مجموعه داده دارای دقت، حساسیت و صحتی برابر 96.68%، 95.52% و 95.44% است واین در حالی است که اگر متعادلسازی مجموعه داده با روش SMOTE انجام شود آنگاه دقت، حساسیت و صحتی برابر 99.34%، 99.16% و 98.93% است. برای اجرای هر روش دو حالت مستقل ذیل در نظر گرفته شده تا اطمینان حاصل شود که آزمایشات مستقل است:

§       در ابتدا مجموعه داده نامتعادل به عنوان ورودی روش پیشنهادی در نظر گرفته شده است و آزمایشات چند بار تکرار شده است و متوسط شاخص­ها مانند دقت، حساسیت و صحت محاسبه شده است.

§       در مرحله دوم در آزمایشاتی مستقل، مجموعه داده در ابتدا به کمک روش SMOTE متعادلسازی شده است.

در نمودار شکل(11)، شاخص­های دقت، حساسیت و صحت روش پیشنهادی در دو حالت با هم مقایسه شده است. 

شکل 11: نقش متعادلسازی مجموعه داده در افزایش دقت، حساسیت و صحت مدل پیشنهادی

آزمایشات نشان می­دهد که اگر از متعادلسازی در روش پیشنهادی استفاده شود آنگاه شاخص دقت، حساسیت و صحت روش پیشنهادی به ترتیب 2.66%، 3.64% و 3.49% در تشخیص حملات بهبود خواهد داشت. انتخاب ویژگی نقش مهمی در دقت روش پیشنهادی دارد و در نمودار شکل(12)، شاخص دقت، حساسیت و صحت روش پیشنهادی با الگوریتم­های انتخاب ویژگی از جمله الگوریتم بهینه­سازی وال، الگوریتم بهینه­سازی شاهین، الگوریتم بهینه­سازی عقاب طلایی مقایسه شده است. در این مقایسه­ها تلاش شده است تا هر کدام از الگوریتم­های مورد مقایسه جایگزین روش انتخاب ویژگی در ترکیب SMOTE و LSTM شود تا تاثیر آن در تشخیص حملات ارزیابی شود.

شکل 12:  مقایسه دقت، حساسیت و صحت تشخیص حملات با روشهای انتخاب ویژگی

 تجزیه و تحلیل آزمایشات نشان می­دهد که در بین روش­های مورد نظر الگوریتم AVOA یا روش پیشنهادی در ترکیب با یادگیری عمیق LSTM دارای دقت، حساسیت و صحت بیشتری نسبت به سایر روشهای فراابتکاری در انتخاب ویژگی است. یکی از دلایل دقت بیشتر روش پیشنهادی در تشخیص حملات نسبت به این روش­ها آن است که مکانیزم جستجوی AVOA نسبت به سایر الگوریتم­ها هوشمندی بیشتری دارد و از طرفی الگوریتم AVOA دارای یک نوع سلسله مراتب رهبری و هدایت جمعیت توسط دو جواب بهینه است که در سایر الگوریتم این مکانیزم وجود ندارد. در نمودار شکل(13)، روش پیشنهادی در شاخص دقت با چند روش یادگیری ماشین و یادگیری عمیق مقایسه شده است]33[.

شکل 13:  مقایسه دقت تشخیص حملات با روشهای یادگیری

 در این نمودار مشاهده می­شود روش پیشنهادی از روش­های یادگیری عمیق نظیر CNN و CNN+LSTM دارای دقت بیشتری در تشخیص حملات است. یکی از دلایل این موضوع آن است که روش پیشنهادی دارای فاز انتخاب ویژگی هوشمندانه با الگوریتم AVOA است و از طرفی داده­ها در مجموعه داده در روش پیشنهادی با SMOTE متعادلسازی می­شود. در پژوهش]34[، که در سال 2023 ارایه شده است برای تشخیص حملات از چند روش انتخاب ویژگی مانند الگوریتم خفاش با مکانیزم رای­گیری¹⁸، الگوریتم ترکیبی بیوه سیاه و زنبور عسل¹⁹، الگوریتم گرگ خاکستری²⁰ و الگوریتم ذرات²¹ استفاده شده است و روش پیشنهادی مطابق نمودار شکل(14)، با این روش­ها در شاخص دقت مقایسه شده است. آزمایشات نشان می­دهد دقت روش پیشنهادی از روشهای تشخیص نفوذ بر پایه الگوریتم ترکیبی بیوه سیاه و زنبور عسل، الگوریتم گرگ خاکستری و الگوریتم ذرات دقت بیشتری دارد و فقط نسبت به سیستم تشخیص نفوذ بر پایه یادگیری با رای­گیری اکثریت دارای دقت کمتری است.

شکل13: مقایسه دقت روش پیشنهادی با روشهای هوش گروهی ترکیب شده با یادگیری ماشین و یادگیری عمیق

 5-نتیجه گیری

 اینترنت اشیاء شبکه­ای از دستگاه­های هوشمند به هم پیوسته است که در تولید و جمع آوری حجم عظیمی از داده­ها کمک می­کند. دستگاه های اینترنت اشیاء در حال حاضر در هر زمینه­ای از زندگی روزمره ما استفاده می­شوند. یکی از چالشهای مهم اینترنت اشیاء حملات به شبکه و زیرساختهای آن است. شناسایی حملات سایبری از این جهت مهم است که باعث آسیب و متوقف شدن سرویس­های کاربردی در اینترنت اشیاء می­شود. سیستم­های تشخیص نفوذ یک روش کارآمد برای تشخیص حملات و مقابله با انواع حملات سایبری می­باشند. یکی از چالشهای سیستم­های تشخیص نفوذ عدم تطبیق آنها با معماری اینترنت اشیاء است. در روش پیشنهادی یک سیستم تشخیص نفوذ کارآمد در بستر معماری توزیع شده شبکه نرم­افزار محور ارایه شده است. مزیت سیستم تشخیص نفوذ پیشنهادی آن است که به صورت توزیع شده در سوئیچ­های شبکه نرم­افزار محور مستقر است.

  استقرار سیستم تشخیص نفوذ در شبکه نرم­افزار محور باعث می­شود ترافیک در حین مبادله در سیستم سوئیچینگ نیز تحلیل و ارزیابی شود. روش پیشنهادی برای رفع چالش عدم تعادل در مجموعه داده آموزشی NSL-KDD از الگوریتم SMOTE استفاده می­کند و برای کاهش ابعاد ترافیک شبکه در کنترلر کننده شبکه نرم­افزار محور از الگوریتم بهینه­سازی کرکس افریقایی استفاده می­کند. در روش پیشنهادی ویژگی­های مهم ترافیک شبکه برای آموزش شبکه عصبی حافظه‌ی کوتاه‌مدت طولانی در شبکه نرم­افزار محور استفاده می­شود. ارزیابی­ها نشان می­دهد روش پیشنهادی به دلیل انتخاب ویژگی موثر و متعادلسازی مجموعه داده از روشهای یادگیری عمیق نظیر شبکه عصبی حافظه‌ی کوتاه‌مدت طولانی، شبکه عصبی بازگشتی و شبکه عصبی کانولوشن دقت بیشتری در تشخیص حملات دارد و نسبت به روشهای انتخاب ویژگی نظیر الگوریتم بهینه­سازی وال، الگوریتم بهینه­سازی شاهین هریس، الگوریتم بهینه­سازی عقاب طلایی، الگوریتم بهینه­سازی ذرات، الگوریتم بهینه­سازی گرگ خاکستری، الگوریتم بهینه­سازی کلونی زنبور عسل دارای دقت بیشتری در تشخیص حملات است.

یکی از عوامل مهم و تاثیرگذار در افزایش کارایی روش پیشنهادی در تشخیص حملات به شبکه استفاده از هوش گروهی است. هوش گروهی به دلیل آنکه اعضای آن جستجوی موازی را با هم هم انجام می­دهند شانس زیادی برای یافتن بردارهای ویژگی بهینه دارد. برای آنکه الگوریتم هوش گروهی توانایی بهتری برای جستجو داشته باشد، اندازه جمعیت، تعداد تکرار آن و مقادیر پارامترها بسیار تاثیر گذار است. به طور کلی با افزایش اندازه جمعیت و تعداد تکرار الگوریتم بهینه­سازی کرکس افریقایی احتمال یافتن جواب بهینه افزایش خواهد داشت. با افزایش اندازه جمعیت، فضای مسئله بیشتر مورد جستجو قرار گرفته می­شود و با افزایش تکرار نیز شانس همگرایی به جوابهای بهینه افزایش خواهد یافت. افزایش اندازه جمعیت و تعداد تکرار از یک آستانه باعث افزایش قابل توجه در دقت نمی­شود و فقط زمان اجرای آزمایشات را افزایش می­دهد لذا در آزمایشات اندازه جمعیت و تکرار الگوریتم منطقی و مانند اکثر پژوهش­ها در نظر گرفته شده است. پارامترهای الگوریتم بهینه­سازی کرکس نیز بر اساس مقاله مرتبط با این الگوریتم تنطیم شده است. از پیشنهادات آتی ما بکارگیری مکانیزم رای­گیری اکثریت در تشخیص حملات در سوئیچ­های شبکه نرم­افزار محور و همچنین بکارگیری شبکه عصبی واحد بازگشتی گیتی و شبکه عصبی کانولوشن برای تشخیص حملات است. 

مراجع

[1]         B. Kaur, S. Dadkhah, F. Shoeleh, E. C. P. Neto, P. Xiong, S. Iqbal, P. Lamontagne, S. Ray, & A. A. Ghorbani, "Internet of things (IoT) security dataset evolution: Challenges and future directions," Internet of Things., vol. 22, no. C, pp. 100780(1-23), July. 2023.

[2] H. Kareemullah, D. Najumnissa, M. M. Shajahan, M. Abhineshjayram, V. Mohan, & S. A. Sheerin, "Robotic Arm controlled using IoT application," Computers and Electrical Engineering., vol. 105, pp. 108539(1-10), Jun. 2023.

[3] O. E. Tayfour, A. Mubarakali, A. E. Tayfour, M. N. Marsono, E. Hassan, & A. M. Abdelrahman, "Adapting deep learning-LSTM method using optimized dataset in SDN controller for secure IoT," Soft Computing., pp. 1-9, Mar. 2023.

[4] A. Bashaiwth, H. Binsalleeh, & B. AsSadhan, "An Explanation of the LSTM Model Used for DDoS Attacks Classification," Applied Sciences, vol. 13, no. 15, pp. 8820(1-30), Jul. 2023.

[5] DDoS Attacks History. Radware. Available online: https://www.radware.com/security/ddos-knowledge-center/ddos-chronicles/ddos-attacks-history, accessed on 17 July 2023.

[6] K. P. Reddy, K. R. Raju, K. C. Mouli, & M. Praveen, "An intelligent network intrusion detection system for anomaly analyzer using machine learning for software defined networks," In AIP Conference Proceedings, vol. 2548, no. 1, AIP Publishing, July. 2023.

[7] O. E. Tayfour, A. Mubarakali, A. E. Tayfour, M. N. Marsono, E. Hassan, & A. M. Abdelrahman, "Adapting deep learning-LSTM method using optimized dataset in SDN controller for secure IoT," Soft Computing, vol. 27, no. 22, pp. 1-9, May. 2023.

[8] R. J. Gohari, , L. Aliahmadipour, & M. K. Rafsanjani, "Deep learning-based intrusion detection systems: A comprehensive survey of four main fields of cyber security," Journal of Mahani Mathematical Research Center, vol. 12, no. 2, pp. 289-324, May. 2023.

[9] A. Javadpour, P. Pinto, F. Ja’fari, & W. Zhang, "DMAIDPS: a distributed multi-agent intrusion detection and prevention system for cloud IoT environments," Cluster Computing, vol. 26, no. 1, pp. 367-384, May. 2022.

[10] S. Javanmardi, M. Shojafar, R. Mohammadi, M. Alazab, & A. M. Caruso, "An SDN perspective IoT-Fog security: A survey," Computer Networks, vol. 229, 109732, June. 2023.

[11] P. Kumari, & A. K. Jain, "A comprehensive study of DDoS attacks over IoT network and their countermeasures," Computers & Security, vol. 127, 103096, April. 2023.

[12] Y. Gao, & M. Xu, "Defense against software-defined network topology poisoning attacks," Tsinghua Science and Technology, vol. 28, no. 1, pp. 39-46, February. 2023.

[13] C. Singh, & A. K. Jain, "Detection and Mitigation of DDoS Attacks on SDN Controller in IoT Network using Gini Impurity," Computer Security and Reliability, pp. 1-27, May. 2023.

[14]  D. Jin, S. Chen, H. He, X. Jiang, S. Cheng, & J. Yang, "Federated Incremental Learning based Evolvable Intrusion Detection System for Zero-Day Attacks," IEEE Network, Vol. 37, no. 1, pp. 125-132, 27 April 2023.

[15] O. Habibi, M. Chemmakha, & M. Lazaar, "Imbalanced tabular data modelization using CTGAN and machine learning to improve IoT Botnet attacks detection," Engineering Applications of Artificial Intelligence, vol. 118, 105669, Feb. 2023.

[16]  B. Abdollahzadeh, F. S. Gharehchopogh, & S. Mirjalili, "African vultures optimization algorithm: A new nature-inspired metaheuristic algorithm for global optimization problems," Computers & Industrial Engineering, vol. 158, 107408, 2021.

[17] R. M. A. Haseeb-ur-rehman, A. H. M. Aman, M. K. Hasan, K. A. Z. Ariffin, A. Namoun, A. Tufail, & K. H. Kim, "High-Speed Network DDoS Attack Detection: A Survey," Sensors, vol. 23, no. 15, 6850, Aug. 2023.

[18] S. Ullah, Z. Mahmood, N. Ali, T. Ahmad, & A. Buriro, "Machine Learning-Based Dynamic Attribute Selection Technique for DDoS Attack Classification in IoT Networks," Computers, vol. 12, no. 6, 115, May. 2023.

[19] Ö. Tonkal, H. Polat, E. Başaran, Z. Cömert, & R. Kocaoğlu, "Machine learning approach equipped with neighbourhood component analysis for DDoS attack detection in software-defined networking," Electronics, vol. 10, no. 11, 1227, 2021.

[20] H. Zhou, Y. Zheng, X. Jia, & J. Shu, "Collaborative prediction and detection of DDoS attacks in edge computing: A deep learning-based approach with distributed SDN," Computer Networks, vol. 225, 109642, April. 2023.

[21] M. Cherian, & S. L. Varma, "Secure SDN–IoT Framework for DDoS Attack Detection Using Deep Learning and Counter Based Approach," Journal of Network and Systems Management, vol. 31, no. 3, 54, 2023.

[22] T. M. Ghazal, N. A. Al-Dmour, R. A. Said, A. Omidvar, U. Y. Khan, T. R. Soomro, H. M. Alzoubi, M. Alshurideh, T. M. Abdellatif, A. Moubayed, & L. Ali, "DDoS Intrusion Detection with Ensemble Stream Mining for IoT Smart Sensing Devices," In The Effect of Information Technology on Business and Marketing Intelligence Systems, pp. 1987-2012, 2023.

[23] X. H. Nguyen, & K. H. Le, "Robust detection of unknown DoS/DDoS attacks in IoT networks using a hybrid learning model,". Internet of Things, vol. 23, 100851, 2023.

[24]  A. Hekmati, N. Jethwa, E. Grippo, & B. Krishnamachari, "Correlation-Aware Neural Networks for DDoS Attack Detection In IoT Systems," arXiv preprint arXiv:2302.07982, Feb. 2023.

[25] N. Pandey, & P. K. Mishra, "Performance analysis of entropy variation-based detection of DDoS attacks in IoT," Internet of Things, vol. 23, 100812, October.  2023.

[26] P. Shukla, C. R. Krishna, & N. V. Patil, "EIoT-DDoS: embedded classification approach for IoT traffic-based DDoS attacks," Cluster Computing, pp. 1-20, 2023.

[27]  S. S. S. Othman, C. F. M. Foozy, & S. N. B. Mustafa, "Feature Selection of Distributed Denial of Service (DDos) IoT Bot Attack Detection Using Machine Learning Techniques," Journal of Soft Computing and Data Mining, vol. 4, no. 1, pp. 63-71, 2023.

[28] I. Priyadarshini, P. Mohanty, A. Alkhayyat, R. Sharma, & S. Kumar, "SDN and application layer DDoS attacks detection in IoT devices by attention‐based Bi‐LSTM‐CNN," Transactions on Emerging Telecommunications Technologies, e4758, pp. 1-14, 23 Feb.2023.

[29] J. N. Lee, & J. Y. Lee, "An Efficient SMOTE-Based Deep Learning Model for Voice Pathology Detection," Applied Sciences, vol. 13, no. 6, 3571, 21 Feb. 2023.

[30] J. Too, A. R. Abdullah, & N. Mohd Saad, "Binary competitive swarm optimizer approaches for feature selection," Computation, vol. 7, no. 2, 31, 2019.

[31] R. Elsayed, R. Hamada, M. Hammoudeh, M. Abdalla, & S. A. Elsaid, "A Hierarchical Deep Learning-Based Intrusion Detection Architecture for Clustered Internet of Things," Journal of Sensor and Actuator Networks, vol. 12, no. 1, 3, 23 December 2022.

[32]  G. Dlamini, & M. Fahim, "DGM: a data generative model to improve minority class presence in anomaly detection domain," Neural Computing and Applications, vol. 33, no. 33, pp. 13635-13646, 2021.

[33]  K. O. Adefemi Alimi, K. Ouahada, A. M. Abu-Mahfouz, S. Rimer, & O. A. Alimi, "Refined LSTM based intrusion detection for denial-of-service attack in Internet of Things," Journal of sensor and actuator networks, vol. 11, no. 3, 32, 1 July 2022.

[34] M. Bakro, R. R. Kumar, A. A. Alabrah, Z. Ashraf, S. K. Bisoy, N. Parveen, S. Khawatmi, & A. Abdelsalam, "Efficient Intrusion Detection System in the Cloud Using Fusion Feature Selection Approaches and an Ensemble Classifier,". Electronics, vol. 12, no. 11, 2427, 27 May 2023.

[35] M. H. Alwan, Y. I. Hammadi, O. A. Mahmood, A. Muthanna, & A. Koucheryavy, "High Density Sensor Networks Intrusion Detection System for Anomaly Intruders Using the Slime Mould Algorithm," . Electronics, vol. 11, no. 20, 3332, 14 October 2022.

Detection of DDoS attacks in SDN switches with deep learning and swarm intelligence approach

--------------1, ----------------2*

1: ------------------------------------------

2*: ------------------------------------------

ABSTRACT:

Internet of Things nodes infected with various types of malware and any smart device can appear as a botnet attacking node. The challenge of most intrusion detection systems in the Internet of Things is the need for intelligent feature selection and the imbalance of the training data set and centralization. In this article, an efficient intrusion detection system for the Internet of Things based on the distributed architecture of the SDN network is presented. In the proposed method, the data set is balanced using the SMOTE method in the first stage. Then in the second stage, the essential features are selected using the African vulture optimization algorithm. In the third step, the LSTM deep learning method is trained in the SDN controller so that the switches of the SDN network use this trained model to detect attacks. In the proposed method, the addresses of attacking nodes are shared between SDN switches so that the attacking node is recognized as an attacking node in all switches and DDoS attacks are stopped. Experiments running in the MATLAB environment and the NSL-KDD dataset and the results of the experiments show that the proposed method in detecting attacks has accuracy, sensitivity, and precision of 99.34%, 99.16%, and 98.93%. The proposed method is more accurate in detecting DDoS attacks than the feature selection methods based on WOA, HHO, and AO algorithms. The proposed method for detecting DDoS attacks is more accurate than deep learning methods such as LSTM, RNN, and CNN.

KEYWORDS: Internet of Things, Intrusion detection system, DDoS attacks, SDN network, Deep learning

[1]   Internet of Things (IoT)

[2]   Distributed denial-of-service (DDoS)

[3]   Malware

[4]   Botnet

[5]  Signature-based detection

[6]  Anomaly-based detection 

[7]   Machine learning

[8]   Deep learning

[9]  Software-defined networking (SDN)

[10]   Topology poisoning

[11]   Zero-day attacks

[12]  Synthetic Minority Over-sampling Technique (SMOTE)

[13]  African Vultures Optimization Algorithm (AVOA)

[14]  Zombies

[15]  Accuracy

[16]  Sensitivity

[17]  Precision

[18]  BA+Voting

[19]  ABC+BWO+CONV+LSTM

[20]  GWO+LSTM

[21]  PSO-IRF