Manuscript ID : JCE-2310-1233 (R1) Visit : 616 Page: 94 - 120

Article Type: Original Research

Detection of DDoS Attacks in SDN Switches with Deep Learning and Swarm Intelligence Approach

Subject Areas : IOT

Mohsen Eghbali ¹ , Mohammadreza Mollkhalili Maybodi ²

1 - Department of Computer Engineering, Maybod Branch, Islamic Azad University, Maybod, Iran
2 - Department of Computer Engineering, Maybod Branch, Islamic Azad University, Maybod, Iran

Received: 2023-10-16 Accepted : 2023-12-17 Published : 2025-04-05

Keywords: Internet of Things, DDoS attacks, Deep learning, Intrusion Detection System, SDN network,

Abstract :

This paper introduces an efficient intrusion detection system for the Internet of Things, addressing the challenge of malware-infected IoT nodes acting as botnet attackers, along with issues in existing intrusion detection systems such as feature selection, data imbalance, and centralization. The proposed system leverages the distributed architecture of SDN. The method begins by balancing the dataset using the SMOTE technique. Essential features are then selected using the African Vulture Optimization Algorithm. Subsequently, an LSTM deep learning model is trained within the SDN controller. SDN switches utilize this trained model for attack detection. To enhance attack mitigation, attacking node addresses are shared among SDN switches, ensuring consistent recognition and enabling effective Distributed Denial-of-Service (DDoS) attack prevention across the network. Experimental results obtained in MATLAB, using the NSL-KDD dataset, demonstrate the proposed method’s effectiveness, achieving an accuracy of 99.34%, a sensitivity of 99.16%, and a precision of 98.93% in attack detection. The proposed method outperforms feature selection methods based on WOA, HHO, and AO algorithms, and deep learning methods like LSTM, RNN, and CNN, particularly in detecting DDoS attacks.

Highlights:

Development of a distributed intrusion detection system based on SDN architecture.

Dataset balancing using SMOTE method in SDN controller.

Introduction of a feature selection and binary version of the AVOA for attack detection.

Integration of swarm intelligence and LSTM deep learning in SDN network to detect IoT attacks.

Citation: M. Eghbali, and M.R. Mollakhalili Meybodi, “Detection of DDoS Attacks in SDN Switches with Deep Learning and Swarm Intelligence Approach,” Journal of Southern Communication Engineering, vol. 14, no. 55, pp. 94–120, 2025, doi:10.30495/jce.2023.1998267.1233 [in Persian].

References:

[1] B. Kaur, S. Dadkhah, F. Shoeleh, E. C. P. Neto, P. Xiong, S. Iqbal, P. Lamontagne, S. Ray and A. A. Ghorbani," Internet of things (IoT) security dataset evolution: Challenges and future directions," Internet of Things., vol. 22, p. 100780, July. 2023, doi: 10.1016/j.iot.2023.100780.
[2] H. Kareemullah, D. Najumnissa, M. M. Shajahan, M. Abhineshjayram, V. Mohan and S. A. Sheerin, "Robotic Arm controlled using IoT application," Computers and Electrical Engineering., vol. 105, p. 108539, Jun. 2023, doi: 10.1016/j.compeleceng.2022.108539.
[3] O. E. Tayfour, A. Mubarakali, A. E. Tayfour, M. N. Marsono, E. Hassan and A. M. Abdelrahman, "Adapting deep learning-LSTM method using optimized dataset in SDN controller for secure IoT," Soft Computing., pp. 1-9, Mar. 2023, doi: 10.1007/s00500-023-08348-w.
[4] A. Bashaiwth, H. Binsalleeh and B. AsSadhan, "An Explanation of the LSTM Model Used for DDoS Attacks Classification," Applied Sciences, vol. 13, no. 15, pp. 1-30, Jul. 2023, doi: 10.3390/app13158820.
[5] DDoS Attacks History. Radware. Available online: https://www.radware.com/security/ddos-knowledge-center/ddos-chronicles/ddos-attacks-history, accessed on 17 July 2023.
[6] K. P. Reddy, K. R. Raju, K. C. Mouli and M. Praveen, "An intelligent network intrusion detection system for anomaly analyzer using machine learning for software defined networks," In AIP Conference Proceedings, vol. 2548, no. 1, July 2023, doi: 10.1063/5.0118479.
[7] R. J. Gohari, L. Aliahmadipour and M. K. Rafsanjani, "Deep learning-based intrusion detection systems: A comprehensive survey of four main fields of cyber security," Journal of Mahani Mathematical Research Center, vol. 12, no. 2, pp. 289-324, May. 2023, doi: 10.22103/jmmr.2022.19961.1305.
[8] A. Javadpour, P. Pinto, F. Ja’fari and W. Zhang, "DMAIDPS: a distributed multi-agent intrusion detection and prevention system for cloud IoT environments," Cluster Computing, vol. 26, no. 1, pp. 367-384, May. 2022, doi: 10.1007/s10586-022-03621-3.
[9] S. Javanmardi, M. Shojafar, R. Mohammadi, M. Alazab and A. M. Caruso, "An SDN perspective IoT-Fog security: A survey," Computer Networks, vol. 229, p. 109732, June. 2023, doi: 10.1016/j.comnet.2023.109732.
[10] P. Kumari and A. K. Jain, "A comprehensive study of DDoS attacks over IoT network and their countermeasures," Computers & Security, vol. 127, p. 103096, April 2023, doi: 10.1016/j.cose.2023.103096.
[11] Y. Gao and M. Xu, "Defense against software-defined network topology poisoning attacks," Tsinghua Science and Technology, vol. 28, no. 1, pp. 39-46, February 2023, doi: 10.26599/TST.2021.9010077.
[12] C. Singh and A. K. Jain, "Detection and Mitigation of DDoS Attacks on SDN Controller in IoT Network using Gini Impurity," Computer Security and Reliability, pp. 1-27, May 2023, doi: 10.21203/rs.3.rs-2991752/v1.
[13] D. Jin, S. Chen, H. He, X. Jiang, S. Cheng and J. Yang, "Federated Incremental Learning based Evolvable Intrusion Detection System for Zero-Day Attacks," IEEE Network, vol. 37, no. 1, pp. 125-132, April 2023, doi: 10.1109/MNET.018.2200349.
[14] O. Habibi, M. Chemmakha, and M. Lazaar, "Imbalanced tabular data modelization using CTGAN and machine learning to improve IoT Botnet attacks detection," Engineering Applications of Artificial Intelligence, vol. 118, p. 105669, Feb. 2023, doi: 10.1016/j.engappai.2022.105669.
[15] B. Abdollahzadeh, F. S. Gharehchopogh and S. Mirjalili, "African vultures optimization algorithm: A new nature-inspired metaheuristic algorithm for global optimization problems," Computers & Industrial Engineering, vol. 158, p. 107408, 2021, doi: 10.1016/j.cie.2021.107408.
[16] R. M. A. Haseeb-ur-rehman, A. H. M. Aman, M. K. Hasan, K. A. Z. Ariffin, A. Namoun, A. Tufail and K. H. Kim, "High-Speed Network DDoS Attack Detection: A Survey," Sensors, vol. 23, no. 6850, Aug. 2023, doi: 10.3390/s23156850.
[17] S. Ullah, Z. Mahmood, N. Ali, T. Ahmad and A. Buriro, "Machine Learning-Based Dynamic Attribute Selection Technique for DDoS Attack Classification in IoT Networks," Computers, vol. 12, no. 115, May 2023, doi: 10.3390/computers12060115.
[18] Ö. Tonkal, H. Polat, E. Başaran, Z. Cömert and R. Kocaoğlu, "Machine learning approach equipped with neighbourhood component analysis for DDoS attack detection in software-defined networking," Electronics, vol. 10, no. 11, p. 1227, 2021, doi: 10.3390/electronics10111227.
[19] H. Zhou, Y. Zheng, X. Jia and J. Shu, "Collaborative prediction and detection of DDoS attacks in edge computing: A deep learning-based approach with distributed SDN," Computer Networks, vol. 225, p. 109642, April 2023, doi: 10.1016/j.comnet.2023.109642.
[20] M. Cherian and S. L. Varma, "Secure SDN–IoT Framework for DDoS Attack Detection Using Deep Learning and Counter Based Approach," Journal of Network and Systems Management, vol. 31, no. 54, 2023, doi: 10.1007/s10922-023-09749-w.
[21] T. M. Ghazal, N. A. Al-Dmour, R. A. Said, A. Omidvar, U. Y. Khan, T. R. Soomro, H. M. Alzoubi, M. Alshurideh, T. M. Abdellatif, A. Moubayed and L. Ali, "DDoS Intrusion Detection with Ensemble Stream Mining for IoT Smart Sensing Devices," In The Effect of Information Technology on Business and Marketing Intelligence Systems, pp. 1987-2012, 2023, doi: 10.1007/978-3-031-12382-5_109.
[22] X. H. Nguyen and K. H. Le, "Robust detection of unknown DoS/DDoS attacks in IoT networks using a hybrid learning model," Internet of Things, vol. 23, p. 100851, 2023, doi: 10.1016/j.iot.2023.100851.
[23] A. Hekmati, N. Jethwa, E. Grippo and B. Krishnamachari, "Correlation-Aware Neural Networks for DDoS Attack Detection In IoT Systems," Computer Science, Feb. 2023,
doi: 10.48550/arXiv.2302.07982.
[24] N. Pandey and P. K. Mishra, "Performance analysis of entropy variation-based detection of DDoS attacks in IoT," Internet of Things, vol. 23, p. 100812, October. 2023, doi: 10.1016/j.iot.2023.100812.
[25] P. Shukla, C. R. Krishna and N. V. Patil, "EIoT-DDoS: embedded classification approach for IoT traffic-based DDoS attacks," Cluster Computing, pp. 1-20, 2023, doi: 10.1007/s10586-023-04027-5.
[26] S. S. S. Othman, C. F. M. Foozy and S. N. B. Mustafa, "Feature Selection of Distributed Denial of Service (DDos) IoT Bot Attack Detection Using Machine Learning Techniques," Journal of Soft Computing and Data Mining, vol. 4, no. 1, pp. 63-71, 2023, doi: 10.30880/jscdm.2023.04.01.006.
[27] I. Priyadarshini, P. Mohanty, A. Alkhayyat, R. Sharma and S. Kumar, "SDN and application layer DDoS attacks detection in IoT devices by attention‐based Bi‐LSTM‐CNN," Transactions on Emerging Telecommunications Technologies, vol. 34, no. 4, pp. 1-14, Feb.2023, doi: 10.1002/ett.4758.
[28] J. N. Lee and J. Y. Lee, "An Efficient SMOTE-Based Deep Learning Model for Voice Pathology Detection," Applied Sciences, vol. 13, no. 3571, Feb. 2023, doi: 10.3390/app13063571.
[29] J. Too, A. R. Abdullah and N. Mohd Saad, "Binary competitive swarm optimizer approaches for feature selection," Computation, vol. 7, no. 31, 2019, doi: 10.3390/computation7020031.
[30] R. Elsayed, R. Hamada, M. Hammoudeh, M. Abdalla and S. A. Elsaid, "A Hierarchical Deep Learning-Based Intrusion Detection Architecture for Clustered Internet of Things," Journal of Sensor and Actuator Networks, vol. 12, no. 3, December 2022, doi: 10.3390/jsan12010003.
[31] G. Dlamini and M. Fahim, "DGM: a data generative model to improve minority class presence in anomaly detection domain," Neural Computing and Applications, vol. 33, no. 33, pp. 13635-13646, 2021, doi: 10.1007/s00521-021-05993-w.
[32] K. O. Adefemi Alimi, K. Ouahada, A. M. Abu-Mahfouz, S. Rimer and O. A. Alimi, "Refined LSTM based intrusion detection for denial-of-service attack in Internet of Things," Journal of sensor and actuator networks, vol. 11, no. 32, July 2022, doi: 10.3390/jsan11030032.
[33] M. Bakro, R. R. Kumar, A. A. Alabrah, Z. Ashraf, S. K. Bisoy, N. Parveen, S. Khawatmi and A. Abdelsalam, "Efficient Intrusion Detection System in the Cloud Using Fusion Feature Selection Approaches and an Ensemble Classifier," Electronics, vol. 12, no. 11, May 2023, doi: 10.3390/electronics12112427.
[34] M. H. Alwan, Y. I. Hammadi, O. A. Mahmood, A. Muthanna and A. Koucheryavy, "High Density Sensor Networks Intrusion Detection System for Anomaly Intruders Using the Slime Mould Algorithm," Electronics, vol. 11, no. 20, October 2022, doi: 10.3390/electronics11203332.

Full-Text:

شناسایی حملات DDoS در سوئیچ های SDN با رویکرد یادگیری عمیق و هوش گروهی

-------1، --------2*

1: ----------------------------

2*: -------------------------

3: ---------------------

تاریخ دریافت: ----- تاریخ پذیرش: ------

چکیده

گرههای اینترنت اشیاء میتواند به انواع بدافزار آلوده شود و هر وسیله هوشمند به عنوان یک گره حمله کننده بات نت ظاهر شود. چالش بیشتر سیستمهای تشخیص نفوذ در اینترنت اشیاء، عدم انتخاب ویژگی هوشمندانه و عدم تعادل مجموعه داده آموزشی و متمرکز بودن است. در این مقاله یک سیستم تشخیص نفوذ کارآمد برای اینترنت اشیاء بر اساس معماری توزیع شده شبکه مبتنی بر نرمافزار ارایه شده است. در روش پیشنهادی در مرحله اول مجموعه داده با استفاده از روش SMOTE متعادلسازی میشود و سپس در مرحله دوم با استفاده از الگوریتم بهینهسازی کرکس افریقایی، ویژگیهای مهم انتخاب میشود. در مرحله سوم روش یادگیری عمیق LSTM در کنترلر شبکه آموزش داده میشود تا سوئیچهای شبکه مبتنی بر نرمافزار از این مدل آموزش یافته برای تشخیص حملات استفاده نمایند. در روش پیشنهادی آدرس گرههای حمله کننده بین سوئیچهای شبکه مبتنی بر نرمافزار به اشتراک گذاشته میشود تا گره حمله کننده در همه سوئیچها به عنوان گره حمله کننده تشخیص داده شود و حملات رد سرویس خدمات توزیع شده متوقف شود. آزمایشات در محیط متلب و در مجموعه داده NSL-KDD اجراء شده است و نتایج آزمایشات نشان میدهد روش پیشنهادی در تشخیص حملات دارای دقت، حساسیت و صحتی برابر 99.34%، 99.16% و 98.93% است. روش پیشنهادی در تشخیص حملات رد سرویس خدمات توزیع شده نسبت به روشهای انتخاب ویژگی مبتنی بر الگوریتم بهینهسازی وال، الگوریتم بهینهسازی شاهین، الگوریتم بهینهسازی عقاب طلایی دقت بیشتری دارد. روش پیشنهادی در تشخیص حملات حملات رد سرویس خدمات توزیع شده نسبت به روشهای یادگیری عمیق از جمله شبکه حافظه‌ی کوتاه‌مدت طولانی، شبکه عصبی بازگشتی و شبکه عصبی کانولوشن نیز دارای دقت بیشتری برای تشخیص حملات است.

واژه‏های کلیدی: اینترنت اشیاء، سیستم تشخیص نفوذ، حملات DDoS، شبکه SDN، یادگیری عمیق

1-مقدمه

فناوری اینترنت اشیاء¹ به حدی پیشرفت کرده است که بسیاری از افراد در زندگی روزمره به شکلی از دستگاههای هوشمند استفاده میکنند و یا با آنها تعامل دارند. از مزایای اینترنت اشیاء میتوان به اتوماسیون، بهبود بهرهوری و استفاده موثر از منابع و موارد دیگر اشاره کرد [1]. تعداد دستگاه‌های فیزیکی با قابلیت ارتباط از راه دور و حسگر متصل به اینترنت در چند سال گذشته افزایش یافته است. الگوی رشد اتصال به اینترنت دستگاه IoT نقطه اوج پیشرفت تحقیقات در ارتباطات بیسیم، محاسبات ابری، و تجزیه و تحلیل داده ها در سالهای اخیر و همچنین تعداد برنامههایی است که اینترنت اشیاء ارائه می دهد، از جمله خانههای هوشمند، مراقبتهای بهداشتی هوشمند، سیستم های حمل و نقل هوشمند، شبکه هوشمند. ، و بسیاری دیگر [2]. با این وجود، امنیت و حریم خصوصی ارائه شده توسط اینترنت اشیاء همچنان یک نگرانی است زیرا این دستگاه‌ها بیشتر در معرض حملات امنیتی و آسیب‌پذیری هستند و دشمنان دائماً به دنبال راه‌های جدیدی برای به خطر انداختن دستگاه‌های ناامن و آسیب‌پذیر باز شده در عموم هستند. علاوه بر این، دستگاه‌های اینترنت اشیاء از طریق اینترنت به سرویس‌های ابری متصل می‌شوند تا به‌روزرسانی‌ها را ارسال کنند و پیشنهادها یا توصیه‌هایی را برای انجام اقدامات هوشمندانه از طرف کاربران دستگاه اینترنت اشیا دریافت کنند. بنابراین، وجود دستگاه‌های اینترنت اشیا پیچیدگی بیشتری به مدیریت و نگهداری شبکه‌ها می‌افزاید و باعث ایجاد نسل جدیدی از شبکههای هوشمند شده است [1و2].

اخیراً خطر حملات سایبری به دلیل آسیب‌پذیری‌هایی در برخی دستگاه‌های متصل به اینترنت که اغلب آنها را به اهداف آسانی تبدیل می‌کند، افزایش یافته است. امروزه حملات زیادی بر علیه اینترنت اشیاء انجام میشود که نمونه آن حملات رد سرویس خدمات توزیع شده² است. در این حملات تعدادی زیادی گره در اینترنت اشیاء به بدافزار³ آلوده میشود و هر کدام از آنها تبدیل به یک بات نت⁴ میشود. حجم حملات به شبکه اینترنت اشیاء در سالهای اخیر افزایش یافته است و این حملات کاربران و سرویسهای شبکه را تهدید میکنند[3]. حملات انکار سرویس یکی از محبوب ترین و تهدیدکننده ترین حملات به امنیت شبکه است. این تهدید در نقض در دسترس بودن سرویس‌های شبکه با ممانعت از دسترسی کاربران مجاز به خدمات هدف نشان داده می‌شود. بر خلاف حملات DoS که از یک منبع راه اندازی می شوند، حملات DDoS به شیوهای توزیع شده از چندین منبع راه اندازی میشوند. مهاجمان یک حمله DDoS را انجام میدهند تا هدف را با سیل بیامان ترافیک غلبه کنند که منجر به مصرف توان محاسباتی و همچنین ظرفیت شبکه پیوندهای شبکه میشود. اولین حمله DDoS در اوت 1999 در شبکه کامپیوتری دانشگاه مینه سوتا انجام شد. مهاجم توانست کامپیوترهای شبکه را برای حدود دو روز خاموش کند. در فوریه 2000، وب سایت های معروفی مانند eBay، Yahoo، Buy و Amazon مورد حمله DDoS قرار گرفتند. پس از آن، حملات DDoS از نظر فرکانس به رشد خود ادامه دادند و امروزه از دستگاه‌های IoT استفاده می‌کنند و روش‌های پیچیده جدیدی را برای فراگیر شدن اتخاذ می‌کنند[4].

طبق گزارشات سازمانهای امنیت شبکه در سال 2022، حملات DDoS به طور کلی نسبت به سال قبل افزایش یافته است. حملات لایه برنامه نظیر HTTP DDoS و Ransom DDoS در سال 2022 نسبت به سال قبل به ترتیب 111 درصد و 67 درصد افزایش یافته است. حملات لایه شبکه در سال 2022 نسبت به سال قبل 97 درصد و در سه ماهه سوم نسبت به چارک مشابه سال قبل 24 درصد افزایش یافته است[5]. از زمان ظهور حملات DDoS، جامعه تحقیقاتی با این تهدید از طریق چندین تکنیک شناسایی، از جمله: طرح ردیابی، سیستم خودکار فیلتر ترافیک، تشخیص مبتنی بر امضاء⁵ و تشخیص مبتنی بر ناهنجاری⁶ با این تهدید مقابله کرده اند[6].

طرح ردیابی متکی بر یافتن مکان‌های منابع حمله است، در حالی که یک سیستم فیلتر ترافیک مستقل از فیلتر ترافیک برای جداسازی ترافیکی استفاده می‌کند که مبدأ یا مقصد شبکه نیست. طرح تشخیص مبتنی بر امضا، پایگاه داده خود را از تهدیدات مخرب شناخته شده ایجاد می کند و ترافیک جدید را با آن پایگاه داده مقایسه میکند تا فعالیت های مخرب را شناسایی کند، در حالی که طرح تشخیص مبتنی بر ناهنجاری، رفتار شبکه را برای تشخیص فعالیت های مخرب از ترافیک عادی بر اساس یک آموزش نظارت میکند. در بیشتر مطالعات از تکنیکهای یادگیری ماشین⁷ و یادگیری عمیق⁸ برای توسعه سیستمهای تشخیص نفوذ بر اساس ناهنجاری ترافیک شبکه استفاده میشود[7].

یادگیری ماشین و یادگیری عمیق میتواند برای تشخیص نفوذ در ترافیک شبکه به عنوان یکی از موثرترین تکنیک های تشخیص استفاده شود. به طور خاص، یادگیری عمیق در سال های اخیر عملکرد بسیار خوبی در تشخیص حملات از خود نشان داده است. از آنجایی که داده‌های واقعی غیرخطی، پیچیده و بسیار ابعادی هستند، ساخت مدل‌های یادگیری عمیق چندین نورون پنهان دارد و هر نورون یک تابع غیرخطی دارد. ساختار پیچیده مدل‌های یادگیری عمیق باعث می‌شود آنها را در درک بهتر داده‌های پیچیده و غیرخطی در حوزه هدف بهتر کنند[8]. یکی از چالشهای مهم سیستمهای تشخیص نفوذ به شبکه ساختار متمرکز سیستم تشخیص نفوذ است و اگر سیستم تشخیص نفوذ متمرکز ارایه شود چالشهای برای آن وجو دارد که مهمترین آنها زمان زیاد برای تشخیص حملات در حجم بالایی از ترافیک است. عدم تمرکز در سیستمهای تشخیص نفوذ باعث تقسیم کاری و بهبود زمان تشخیص حملات میشود. عدم تمرکز در سیستمهای تشخیص نفوذ باعث میشود اگر یک سیستم تشخیص نفوذ مورد حمله قرار گرفته شود آنگاه سایر سیستمهای تشخیص نفوذ میتوانند حملات را تشخیص دهند[9].

قابلیت مدیریت منابع شبکه متمرکز از مزایای شبکههای نرمافزار محور⁹ است که میتوان از این معماری توزیع شده برای تشخیص حملات استفاده نمود. منابع شبکه را میتوان به کمک این فناوری مدیریت کرد و ترافیک شبکه را میتوان با استفاده از کنترلر شبکههای نرمافزار محور برای بهبود امنیت کنترل کرد[10]. امروزه، شبکههای نرمافزار محور به خوبی برای پردازش نه تنها ترافیک شبکه پروتکل قدیمی بلکه دستگاههای اینترنت اشیاء که ترافیک شبکه را با پروتکل OpenFlow و برنامههای کنترل کننده شبکههای نرمافزار محور سفارشی شده تولید میکنند، مجهز است. اگرچه شبکههای نرمافزار محور میتواند برای مدیریت مسیریابی، مدیریت منابع، نظارت و مدیریت ترافیک، تشخیص امنیت و کاهش در محیطهای اینترنت اشیاء استفاده شود، شبکههای نرمافزار محور نیز به دلیل وجود دستگاههای اینترنت اشیاء مستعد حملات جدید نظیر باتنتها است. به عنوان مثال، دستگاه‌های اینترنت اشیاء پیکربندی شده پیش‌فرض با استفاده از بدافزار بات‌نت Mirai در معرض خطر قرار می‌گیرند و ارتباطات فرمان و کنترل را با سرور مهاجم راه دور برای تبدیل شدن به بخشی از ارتش ربات آغاز می‌کنند. این رباتها در معرض خطر را میتوان برای ایجاد ترافیک شبکه مخرب و سیل کنترل کننده شبکههای نرمافزار محور استفاده کرد. منابع کنترل کننده یا اشباع منابع شبکه میتواند منجر به خاموش شدن کل شبکه با حملات انکار سرویس توزیع شده یا DDoS شود [11]. احتمالات متعدد دیگری برای حمله وجود دارد، مانند مسمومیت توپولوژی¹⁰ [12]، به خطر انداختن کنترلر یا سوئیچها با آسیبپذیریهای شناخته شده[13]، یا حملات روز صفر¹¹ [14] از جمله آنها است. هدف از سیستم تشخیص نفوذ کارآمد، تشخیص با نرخ خطای اندک و زمان کم برای تشخیص حملات است اما برای تشخیص حملات DDoS در اینترنت اشیاء چالشهای وجود دارد که از جمله آنها میتوان به موارد ذیل اشاره نمود:

§ سیستمهای تشخیص نفوذ اگر روی مجموعه داده نامتعادل آموزش داده شوند دارای دقت اندکی خواهند بود و از این جهت بهتر است که کلاسهای اقلیت در مجموعه داده با روشهای متعادلسازی افزایش داده شوند.

§ معماری متمرکز برای تشخیص حملات توانایی تحلیل حجم ترافیک اینترنت اشیاء را ندارد و از این جهت بهتر است برای شبکه اینترنت اشیاء معماریهای توزیع شده تشخیص نفوذ توسعه داده شود.

§ حجم و تعداد ویژگیهای ترافیک شبکه اینترنت اشیاء قابل توجه است و در این میان فقط برخی از ویژگیهای ترافیک شبکه اهمیت بیشتری دارند لذا توسعه سیستمهای تشخیص نفوذ با انتخاب ویژگی هوشمندانه دارای اهمیت بالایی است.

برای رفع چالشهای فوق در این مقاله یک سیستم تشخیص نفوذ توزیع شده در بستر معماری شبکههای نرمافزار محور ارایه میشود. در مرحله اول ترافیک شبکه در کنترلر شبکه نرمافزار محور با روش ¹²SMOTE متعادلسازی میشود[15]. در مرحله دوم از الگوریتم بهینهسازی کرکس آفریقایی¹³[16]، که اخیراً ارایه شده است برای انتخاب ویژگی استفاده میشود. مزیت این الگوریتم هوش گروهی دقت بالا و مدلسازی پیچیده برای یافتن جوابهای بهینه در فضاهای چند بعدی و پیچیده است. در مرحله سوم کنترل کننده بر اساس یادگیری عمیق LSTM یک مدل طبقهبندی ایجاد میکند و این مدل آموزش یافته به همراه بردار ویژگی بهینه را برای سوئیچهای شبکه نرمافزار محور ارسال میکند تا ترافیک حملات DDoS را شناسایی نمایند. هدف اصلی این مقاله ارایه یک سیستم تشخیص نفوذ کارآمد در بستر معماری شبکه نرمافزار محور و تشخیص دقیق و سریع حملات به اینترنت اشیاء است. سهم نویسندگان از این تحقیق شامل موارد ذیل است:

§ ارایه یک سیستم تشخیص نفوذ توزیع شده در بستر معماری SDN

§ متعادلسازی مجموعه داده با استفاده از روش SMOTE در کنترلر کننده SDN

§ ارایه یک نسخه انتخاب ویژگی و باینری از الگوریتم کرکس آفریقایی در تشخیص حملات

§ تلفیق هوش گروهی و یادگیری عمیق LSTM در شبکه SDN برای تشخیص حملات در اینترنت اشیاء

این مقاله در چند بخش تهیه و نگارش شده است. در بخش II کارهای مرتبط در زمینه تشخیص حملات DDoS مرور شده است. در بخش III، سیستم تشخیص نفوذ پیشنهادی در معماری SDN با الگوریتم بهینهسازی کرکس آفریقایی و یادگیری عمیق LSTM توسعه داده شده است. در بخش IV، روش پیشنهادی پیادهسازی و تحلیل میشود و با روشهای مشابه مقایسه میشود. در در بخش آخر یا V نتایج تحقیق و یافتههای تحقیق به همراه پیشنهادات آتی ارایه میگردد.

2-کارهای مرتبط

یک حمله انکار سرویس یک دستگاه یا شبکه را بیش از حد بارگذاری میکند و آن را غیرقابل دسترسی میکند. مهاجمان این کار را با ارسال ترافیکی بیشتر از میزان توانایی هدف انجام میدهند که باعث شکست آن و ناتوانی در ارائه خدمات به کاربران عادی خود می شود. یک شبکه به هم پیوسته و توزیع شده از ماشین‌ها باعث حمله DDoS می‌شود که میتواند شامل اینترنت اشیاء باشد و می‌تواند تحت تأثیر بدافزارهایی باشد که از راه دور کنترل می‌شوند. یک بات نت میتواند مستقیماً به هر ربات حمله کند و دستورالعملها را از راه دور ارسال کند. در یک بات نت، شبکه آسیب‌دیده یا سرور، هر ربات درخواستی را به یک آدرس IP مشخص ارسال می‌کند و باعث ایجاد یک DoS به ترافیک عادی می‌شود. جدا کردن ترافیک عادی از ترافیک مهاجم چالش برانگیز است. نمونه های رایج حملات DDOS عبارتند از سیل UDP، سیلاب SYN و تقویت DNS است. امروزه حملات DDoS بسیار کوتاه اتفاق میافتد. گزارشات نشان میدهد که میانگین مدت حمله DDoS در سال 2022 بین 5 تا 10 ثانیه و ظرفیت آنها در بیشتر موارد 5 گیگابیت در ثانیه در 24 ساعت است[17].

با رشد سریع اینترنت اشیاء، بات نت میتواند به راحتی مقیاس های گسترده تری از حملات را با استفاده از دستگاه های اینترنت اشیاء انجام دهد. ربات مخرب دستگاهی است که آلوده شده است و آن دستگاه میتواند یک دستگاه اینترنت اشیاء باشد. رباتهای آلوده گاهی به هم متصل میشوند و بات نتهایی را تشکیل میدهند. سپس این بات‌نت‌ها فعالیت‌هایی مانند حملات DDoS را انجام می‌دهند. حمله DDoS شکلی از حمله است که در آن ترافیک مخرب هدف یا زیرساخت مرتبط را بارگذاری می کند. این امر با استقرار ربات‌ها، شبکه‌ای از رایانه‌های آلوده به بدافزار و سایر دستگاه‌های معروف به زامبی‌ها¹⁴ به دست می‌آید که مهاجم ممکن است از راه دور آنها را مدیریت کند، همانطور که در شکل(1)، نشان داده شده است[18].

شکل1: مکانیزم وقوع حملات DDoS بر علیه سرویسهای شبکه]18[

حملات رد سرویس خدمات توزیع شده به طور قابل توجهی پهنای باند و اتصال را محدود می کند و باعث از کار افتادن تمام خدمات شبکه میشود. اکوسیستمهای ابری بیشترین ضرر را به دلیل انکار خدمات و تخریب متحمل میشوند. هدف اصلی آسیب رساندن به دسترسی به منابع برای کاربران قانونی است. شناسایی ترافیک حمله در یک حمله DDoS به دلیل شباهت آن به ترافیک عادی دشوار است زیرا آنها مانند بستههای شبکه معمولی رفتار میکنند[18]. یک معماری کاربردی برای ارایه سیستمهای تشخیص نفوذ، معماری SDN است. مزیت معماری SDN حالت توزیع شده ایتن معماری است که اگر سیستم تشخیص نفوذ در آن مستقر شود از نوع توزیع شده خواهد بود. SDN فناوری جدیدی است که مدیریت شبکه را با ساختار پویا و قابل برنامه ریزی خود تسهیل میکند. در SDN، صفحات کنترل و داده از یکدیگر تقسیم میشوند و مدیریت شبکه توسط یک کنترل کننده مرکزی انجام میشود و بنابراین، کنترل کنندهای که میتواند کل شبکه را از یک نقطه مدیریت کند، میتواند به سرعت سیاستهای مختلف شبکه را در کل شبکه اعمال کند. شکل(2)، ساختار لایه ای محیط SDN را نشان میدهد.

شکل2: معماری SDN و لایه های آن]19[

با این حال، این رویکرد جدید در حال ظهور علاوه بر مزایایی که ارائه میدهد، مشکلات امنیتی را نیز به همراه دارد. علاوه بر حملاتی که در ساختارهای شبکه سنتی با آن مواجه می‌شوند، SDN نیز در معرض حملات خاص خود قرار دارد. شاید خطرناک ترین این حملات، حملات به کنترلر باشد، زیرا مهاجمی که کنترلر را تصاحب میکند، میتواند توانایی مدیریت یا اختلال در تمام ترافیک شبکه را داشته باشد. حملات DDoS که در آن کاربران از دسترسی به خدمات شبکه محروم می‌شوند، در راس حملات به کنترل‌کننده قرار دارند. در ادامه این بخش تعدادی از کارهای مرتبط در زمینه تشخیص نفوذ در اینترنت اشیاء و با رویکرد شبکه SDN مرور میشود. در]20[، یک رویکرد پیش بینی و تشخیص حملات DDoS در محاسبات لبه با یادگیری عمیق در شبکه SDN را پیشنهاد دادند. آنها یک چارچوب جدید به نام CoWatch برای پیش‌بینی و تشخیص مشترک حملات DDoS در سناریوهای محاسبات لبه پیشنهاد دادند. آنها مدل LSTM را برای طراحی الگوریتمی برای پیش‌بینی مشترک و تشخیص حملات DDoS بررسی و ایجاد کردند. نتایج آزمایش بر روی تعدادی از مجموعه داده‌ها عملکرد امیدوارکننده CoWatch را در اثربخشی و کارایی نشان می‌دهد.

در]21[، چارچوب امن SDN-IoT برای تشخیص حملات DDoS با استفاده از یادگیری عمیق را پیشنهاد دادند. چارچوب پیشنهادی از مجموعه داده CICDDoS2019 برای شناسایی حملات بازتابی و حملات بهره‌برداری در TCP، UDP و ICMP آزمایش می‌شود. نتایج تجربی نشان می‌دهد که چارچوب پیشنهادی می‌تواند به طور موثر حملات DDoS را شناسایی و کاهش دهد در حالی که از منابع CPU به طور مؤثر و در زمان کوتاه‌تری در مقایسه با رویکردهای موجود استفاده می‌کند. در]22[، برای تشخیص حملات DDoS یک روش یادگیری گروهی در جریان داده برای دستگاه‌های سنجش هوشمند IoT ارایه دادند. روش آنها می‌توانند مجموعه داده‌های غیر سلسله مراتبی و نامتعادل مشابه حملات Mirai را مدیریت وشناسایی کنند. در]23[، تشخیص حملات DDoS ناشناخته در شبکه‌های اینترنت اشیاء با استفاده از یک مدل یادگیری ترکیبی را پیشنهاد دادند. آنها یک رویکرد جدید را پیشنهاد دادندکه یک مدل شبکه عصبی کانولوشنال مرتب‌سازی نرم را با ضریب پرت محلی و تشخیص ناهنجاری مبتنی بر جداسازی با استفاده از مدل‌های گروه‌های نزدیک‌ترین همسایه که از روش‌های یادگیری نظارت شده و بدون نظارت استفاده می‌کنند، ترکیب می‌کند. ارزیابیها نشان داد دقت روش آنها در تشخیص حملات میتواند تا 98.94% افزایش یابد و حملات ناشناخته را تشخیص دهد. در]24[، یک شبکه عصبی همبستگی برای تشخیص حمله DDoS در سیستم اینترنت اشیاء ارایه دادند. آنها به طور گسترده معماری‌های پیشنهادی را با ارزیابی پنج مدل شبکه عصبی مختلف که بر روی مجموعه داده‌ای که از یک سیستم اینترنت اشیاء دارای 4060 گره در دنیای واقعی آموزش دادند. آزمایشات نشان دادند حافظه کوتاه‌مدت و یک مدل مبتنی بر ترانسفورماتور، در ارتباط با معماری‌هایی که از اطلاعات همبستگی گره‌های اینترنت اشیا استفاده می‌کنند، عملکرد بالاتری نسبت به مدل‌های دیگر ارائه می‌کنند. در]25[، تشخیص مبتنی بر تغییرات آنتروپی در حملات DDoS بررسی شده است. هدف آنها دستیابی به شناسایی حملات DDoS با روش تشخیص مبتنی بر قانون با استفاده از معیارهای تئوری اطلاعات است. تغییر در آنتروپی ویژگی های ترافیک فراتر از یک آستانه، نشانگر تغییر در تراکم ترافیک به یک شبکه است. در این مقاله، ما یک تحلیل عملکرد از پارامترهای مختلف مرتبط با تشخیص حملات DDoS مبتنی بر تغییرات آنتروپی ارائه میشود. در]26[، یک رویکرد طبقه بندی تعبیه شده برای تشخیص حملات DDoS مبتنی بر ترافیک اینترنت اشیاء ارایه شده است. عملکرد مدل آنها با اجرای چهار سناریو مختلف مبتنی بر ترافیک اینترنت اشیاء ارزیابی میشود. در این پژوهش مجموعه داده Bot-IoT در دسترس عموم برای طراحی و اعتبار سنجی رویکرد طبقه‌بندی چند کلاسه پیشنهادی استفاده می‌شود. نتایج نشان می‌دهد که رویکرد پیشنهادی 84.4 درصد نرخ کاهش ویژگی و تقریباً 5.19 درصد دقت طبقه‌بندی بالاتر از رویکردهای موجود ارائه می‌کند. در]27[، یک روش انتخاب ویژگی برای تشخیص حمله رد سرویس خدمات توزیع شده با استفاده از تکنیک‌های یادگیری ماشین ارایه دادند. در این پژوهش ویژگیهای مهم دو مجموعه داده NF_ToN_IoT و NF_BoT_IoT با دو روش انتخاب ویژگی Information Gain و Gain Ratio انتخاب میشوند و با استفاده از الگوریتم Ranker رتبه بندی میشوند. سپس این مجموعه دادهها با استفاده از چهار الگوریتم مختلف مانند شبکه بیزین، نزدیکترین همسایه، جدول تصمیمگیری و جنگل تصادفی آزمایش میشوند. آزمایشات نشان داد بهترین طبقه‌بندی کلی شبکه بیزین با دقت 97.506% و 90.67% برای هر دو مجموعه داده NF_ToN_IoT و NF_BoT_IoT است. در]28[، یک روش شناسایی حملات DDoS در دستگاه های IoT توسط Bi-LSTM-CNN ارایه دادند. این مقاله یک حافظه کوتاه مدت دوسویه مبتنی بر توجه ترکیبی با شبکه‌های عصبی کانولوشن برای شناسایی حملات DDoS در لایه برنامه و SDN پیشنهاد می‌کند. آنها چندین مدل یادگیری ماشین دیگر مانند رگرسیون لجستیک، درخت‌های تصمیم، جنگل‌های تصادفی، ماشین‌های بردار پشتیبان، نزدیک‌ترین همسایگان، تقویت گرادیان شدید، شبکه‌های عصبی مصنوعی، CNN، LSTM، CNN-LSTM را برای ارزیابی عملکرد مدل پیشنهادی خود به کار گرفتند. . تجزیه و تحلیل تجربی روی مجموعه داده‌های چندگانه نشان می‌دهد که مدل پیشنهادی طبقه‌بندی را به طور موثر با دقت 99.74% انجام می‌دهد.

3-روش پیشنهادی

روش پیشنهادی برای تشخیص حملات به شبکه از معماری توزیع شده در سوئیچهای SDN استفاده میشود و روش پیشنهادی دارای اجزای ذیل است:

· کنترل کننده در ابتدا ترافیک شبکه را دریافت نموده و با روش SMOTE آن را متعادلسازی میکند.

· کنترل کننده با استفاده از الگوریتم بهینهسازی کرکس آفریقایی میتواند ویژگیهای مهم ترافیک شبکه را تشخیص دهد و آن را برای کاهش ابعاد ترافیک شبکه استفاده نماید.

· کنترل کننده میتواند روش یادگیری عمیق مانند LSTM را آموزش دهد و این مدل آموزش یافته را برای سوئیچهای SDN ارسال کند.

· کنترلر کننده بردار ویژگی بهینه و مدل آموزش یافته LSTM را برای سوئیچهای SDN ارسال میکند و هر سوئیچ میتواند بر اساس الگوی بردار ویژگی و مدل آموزش یافته LSTM اقدام به تشخیص نفوذ نماید.

· سوئیچهای SDN میتوانند IP های مخرب گرههای حمله کننده را با هم به اشتراک بگذارند.

یک بخش مهم روش پیشنهادی متعادلسازی مجموعه داده تشخیص نفوذ است تا مدلسازی و دقت یادگیری افزایش داده شود. در روش پیشنهادی برای افزایش تعداد نمونههای اقلیت در مجموعه داده از روش SMOTE استفاده میشود تا تعداد نمونههای حمله که کمتر از تعداد نمونههای عادی است افزایش یابد. SMOTE نمونه های مصنوعی را برای کلاس اقلیت ایجاد میکند تا مجموعه داده را متعادل کند. این رویکرد میتواند مشکل اضافه برازش را به دلیل نمونه گیری بیش از حد تصادفی حل کند. ابتدا، SMOTE نمونه های داده مصنوعی را با استفاده از روش k-نزدیکترین همسایه ایجاد میکند. با انتخاب تصادفی داده‌ها از کلاس اقلیت شروع می‌شود و الگوریتم k نزدیک‌ترین همسایه‌ها را برای داده‌ها تنظیم می‌کند. سپس داده‌های ترکیبی بین داده‌های تصادفی و داده‌های k نزدیک‌ترین همسایگان به‌طور تصادفی انتخاب می‌شوند. شکل(3)، روش کار SMOTE را نشان میدهد.

Applsci 13 03571 g002

شکل3: روش تولید نمونه های مصنوعی با SMOTE ]29[

بعد از متعادلسازی مجموعه داده در کنترلرکننده با روش SMOTE، در مرحله فاز انتخاب ویژگی با الگوریتم بهینهسازی کرکس افریقایی انجام میشود. در این مرحله هر بردار ویژگی یک عضو الگوریتم بهینهسای کرکس افریقایی است و توسط این الگوریتم بهینهترین بردار ویژگی کشف میشود. دلایل استفاده از الگوریتم بهینهسازی کرکس افریقایی در انتخاب ویژگی به شرح ذیل است:

§ الگوریتم بهینهسازی کرکس افریقایی در ژورنال الزیور چاپ شده و یک مقاله معتبر در زمینه هوش گروهی است. این الگوریتم اخیراً ارایه شده است و با توجه به آزمایشات نویسندگان، الگوریتم آنها از الگوریتمهای فراابتکاری مطرح نظیر ژنتیک و الگوریتم ذرات دارای خطای کمتری در یافتن جواب بهینه است.

§ الگوریتم بهینهسازی کرکس افریقایی دارای مدلسازی قوی است و جستجوی سراسری و محلی را هم زمان انجام میدهد. پیروی راهحلهای مسئله از چند راهحل بهینه در یافتن جواب بهینه باعث شده نوعی سلسله مراتب رهبری در یافتن جواب بهینه در این الگوریتم وجود داشته باشد و از این جهت الگوریتم بسیار رفتار هوشمندانهای دارد.

§ اگر یکی از راهحلها در نزدیکی بهینه محلی باشد توسط دو راهحل شایسته با احتمال زیاد از بهینه محلی دور میشود. به عبات بهتر احتمال همگرایی الگوریتم به بهینههای محلی کم است.

§ به دلیل مدلسازی قابل توجه و دقیق الگوریتم بهینهسازی کرکس افریقایی، این الگوریتم برای حل مسائلی با ابعاد بالا مانند انتخاب ویژگی بسیار کارآمد است.

در روش پیشنهادی هر بردار ویژگی یک سطر ماتریس جمعیت الگوریتم کرکس یا AVOA و مطابق رابطه(1)، است.

در این ماتریس جمعیت و هر ستون یک ویژگی مرتبط با تشخیص نفوذ است و در اینجا d ابعاد مسئله یا تعداد ویژگیهای مجموعه داده است. اگر از مجموعه داده NSL-KDD استفاده شود مقدار d=41 است. در این معادله، n تعداد بردار های ویژگی است. در این ماتریس نشان دهنده بردار ویژگی i و مولفه j بردار ویژگی i است. هر بردار ویژگی برای ارزیابی نیاز به یک روش طبقهبندی دارد تا مشخص کند بردار ویژگی تا چه اندازه خطا در تشخیص نفوذ دارد. در روش پیشنهادی میتوان از روشهای مبتنی بر درخت تصمیمگیری برای ارزیابی بردار ویژگی استفاده نمود. باید توجه شود که طبقهبندی کننده نهایی در این مقاله، روش LSTM است اما در فاز ارزیابی بردارهای ویژگی از درخت تصمیمگیری استفاده میشود.

هر بردار برای ارزیابی از تابع هدف معادله(2)، استفاده میکند.

(1)

در تابع هدف خطای تشخیص حملات به شبکه توسط بردار ویژگی با استفاده از درخت تصمیمگیری است و تعداد ویژگی انتخاب شده توسط بردار ویژگی است. در این معادله، و به ترتیب ضرایب خطای تشخیص نفوذ و کاهش ابعاد مسئله است. در ساخت درخت تصمیمگیری با الگوریتم C5.0 نرخ بهره اطلاعات را به عنوان استاندارد برای تعیین بهترین متغیر گروهبندی و نقطه تقسیم بندی میگیرد، و اندازه سود اطلاعات و هزینه به دست آوردن اطلاعات را در نظر میگیرد. هر چه نرخ به دست آوردن اطلاعات متغیرها بیشتر باشد، بهتر است از آنها به عنوان متغیرهای گروه بندی استفاده شود. متفاوت از الگوریتم C5.0، درخت CART ضریب جینی را به عنوان ویژگی تقسیم انتخاب میکند و ویژگی را با بزرگترین ضریب جینی برای تقسیم انتخاب میکند. در روش پیشنهادی از درخت تصمیمگیری با الگوریتم C5.0 برای ارزیابی بردارهای ویژگی استفاده میشود زیرا نرخ بهره اطلاعات در آن بکار رفته که در واقع اهمیت ویژگیها را در خود نهفته دارد. بردارهای ویژگی که این تابع را بیشتر کمینه نمایند به عنوان بردار ویژگی بهینه در نظر گرفته میشوند. هر کرکس برای انتخاب یک سردسته و حرکت به سمت آن از احتمال رابطه(3)، استفاده میکند.

(2)

در اینجا شایستگی یک بردار ویژگی یا کرکس معادل آن است و نیز احتمال حرکت یک کرکس به سمت یکی از دو کرکس بهینه است. در شکل(4)، حرکت یک کرکس و انتخاب یک سر دسته و پرواز به سمت آن را نشان میدهد.

شکل 4: پرواز یک کرکس به سمت یکی از دو کرکس بهینه جمعیت به صورت تصادفی

کرکسها در حین پرواز و جستجو پیرامون دو جواب بهینه میتوانند گرسنه شوند و برای غذا با سایر کرکسها مبارزه کنند. برای مدلسازی رفتار گرسنگی و حمله از معادله(4) و (5) استفاده میشود.

(3)

(4)

شمارنده تکرار الگوریتم است و حداکثر شماره تکرار الگوریتم است. z یک عدد تصادفی یکنواخت در بازه [-1,+1] است. h یک عد تصادفی در بازه [-2,+2] است. w یک ضریب وزنی بین 1 تا 2 برای تاثیر افزایش میزان گرسنگی و حمله کرکسها است. میتوان فرض کرد که دو بردار ویژگی در تشخیص نفوذ به ترتیب با و نشان داده میشود. براساس مقدار F میتوان استراتژی حمله به سمت غذا را تشخیص داد. اگر باشد یک کرکس فقط در آسمان میچرخد و سیر است و به دنبال غذا نمیباشد. اگر باشد کرکس گرسنه است و دارای رفتاری تهاجمی برای حمله به سمت طعمه است. اگر باشد کرکسها جستجوی اکتشافی را انجام میدهند. در این حالت یک عدد تصادفی بین صفر و یک برای یک کرکس در نظر گرفته میشود و اگر کوچکتر از p1 باشد از معادله(6) و (7) و اگر بیشتر از p1 باشد از معادله(8)، استفاده میشود.

(5)

(6)

موقعیت یک بردار ویژگی و موقعیت جدید همان بردار ویژگی یا کرکس است. یک ضریب تصادفی بین صفر و دو برای حمله است. یکی از بردارهای ویژگی و است که تصادفی در نظر گرفته میشود.

(7)

ub و lb به ترتیب محدوده بالا و پایین یک راهحل است. اگر باشد در این حالت دو وضعیت پیش خواهد آمد . در حالت اول اگر باشد و عدد تصادفی کمتر از p2 باشد از معادله(9) برای به روزرسانی بردارهای ویژگی استفاده میشود و اگر بیشتر از مقدار p2 باشد از معادله(9)، استفاده میشود.

(8)

فاصله یک بردار ویژگی یا یک کرکس از یکی از دو بردار ویژگی بهینه یا است. اگر باشد و عدد تصادفی ایجاد شده برای هر کرکس و بردار ویژگی بیشتر از p2 باشد برای به روزرسانی بردارهای ویژگی یا راهحلهای مسئله از معادله(11)، (12) و (13) استفاده میشود.

(9)
(10)

اگر مقدار باشد و از طرفی عدد تصادفی تولید شده برای هر بردار ویژگی کمتر از پارامتر p3 باشد برای به روزرسانی بردارهای ویژگی از معادله(14)، (15) و (16) استفاده میشود.

(11)
(12)
(13)

اگر مقدار باشد و عدد تصادفی تولید شده برای هر بردار ویژگی بیشتر از p3 باشد برای به روزرسانی هر یک از بردارهای ویژگی از معادله(17) استفاده میشود.

(14)
(15)
(16)

در اینجا یک تابع پروازی در d بعد است در اینجا قدر مطلق فاصله یک راهحل از یکی از راهحلها بهینه مسئله است. بردارهای ویژگی که توسط الگوریتم AVOA محاسبه میشوند نیاز به باینری کردن دارند لذا برای باینری نمودن آنها از توابع نگاشت S و V استفاده میشود که نمونه آنها در شکل(5) و (6) نمایش داده شده است. در ابتدا میتوان بردارهای ویژگی را توسط معادلات(18)، (19)، (20) و (21) با استفاده از توابع S نرمالیزه نمود و یا توسط معادلات(22)، (23)، (24) و (25) با تابع V بردارهای ویژگی را بین صفر و یک نرمالیزه نمود. بعد از نرمالسازی بردارهای ویژگی توسط معادله(26) و (27) میتوان بردارهای ویژگی را با آستانه مرتبط با تابع S و V به مقادیر صفر یا یک نگاشت داد و آن را باینری نمود. در این معادلات به نشان دهنده مولفه d بردار ویژگی l است. مقادیر r1 تا r5 نیز اعداد تصادفی بین صفر و یک است]30[.

(17)

Computation 07 00031 g001

شکل 5: تابع تبدیل S برای باینری کردن بردارهای ویژگی به روزرسانی شده توسط الگوریتم AVOA

(18)
(19)
(20)
(21)

Computation 07 00031 g002

شکل 6: تابع تبدیل V برای باینری کردن بردارهای ویژگی به روزرسانی شده توسط الگوریتم AVOA

(22)
(23)

(24)
(25)

(26)

در روش پیشنهادی کنترلر SDN ، بردار ویژگی بهینهای که توسط الگوریتم AVOA محاسبه میشود نوع ورودی طبقهبندی کننده LSTM را تعیین میکند. شبکه عصبی LSTM یک روش یادگیری عمیق است که مطابق شکل(7)، دارای گیتهای فراموشی، خروجی و ورودی است و یک ابزار کارآمد برای طبقهبندی ترافیک شبکه است. در معادلات(28)، (29)، (30)، (31) و (32)، مدلسازی شبکه عصبی یادگیری عمیق LSTM را نشان داده است]31[.

شکل 7: ساختار شبکه عصبی LSTM

(27)

(28)

(29)

(30)
(31)

که در آن، ft، ot و ct به ترتیب ورودی، فراموشی، خروجی و فعال سازی دروازه سلولی در هر زمان t هستند. در این معادلات، تابع سیگموئید لجستیک و 𝑊𝑥 ماتریسهای وزن شبکه عصبی است و 𝑏𝑥 بایاسهای شبکه است. h𝑡-1 حالت پنهان در مرحله زمانی است و 𝑐𝑡−1 وضعیت سلول در زمان است. در اینجا شبکه LSTM نقش طبقهبندی کننده ترافیک شبکه را برعهده دارد و مدل آموزش یافته از طریق کتترکننده برای سوئیچهای شبکه ارسال میشود. شبکه عصبی LSTM یک روش قدرتمند برای تجزیه و تحلیل سریهای زمانی و جریانهای دادهای است. در این شبکه برخی از اطلاعات به گیت فراموشی سپرده میشوند و برخی دیگر نگهداری میشوند. مزیت این شبکه آن است که قبل و بعد یک جریان دادهای تا حدودی به خاطر سپرده میشود. دلیل استفاده از شبکه عصبی LSTM در بخش طبقهبندی روش پیشنهادی آن است که این روش در بسیاری از پژوهشها برای تحلیل ترافیک شبکه استفاده شده و نتایج ارزشمندی بدست آورده است.

شبکه عصبی از نوع LSTM مشکل محوشوندگی تدریجی و انفجار گرادیان را ندارد بر خلاف شبکههای بازگشتی و کانولوشن، آموزش آن پیچیده نمیباشد. در شبکههای عصبی بازگشتی اگر از tanh یا relu به عنوان یک تابع فعال سازی استفاده شود، نمی‌تواند دنباله‌های بسیار طولانی را پردازش کند اما شبکه عصبی LSTM این چالش را ندارد. فیلتر کردن ترافیک ورودی آن با الگوریتم بهینهسازی کرکس در فاز انتخاب ویژگی نیز توان این شبکه را برای یادگیری روی ویژگیهای اصلی افزایش میدهد و توانایی تشخیص آن را در تشخیص حملات افزایش میدهد.

در شکل(8)، فلوچارت روش پیشنهادی برای تشخیص حملات در سوئیچهای SDN نمایش داده شده است و دارای مراحل ذیل است:

§ ترافیک شبکه وارد کنترلر SDN میشود تا برای ایجاد مدل طبقهبندی از آن استفاده شود.

§ ترافیک شبکه در کنترلر با روش SMOTE متعادلسازی میشود و سپس حجم نمونههای اقلیت افزوده میشود تا مجموعه داده متعادلسازی شود.

§ الگوریتم AVOA برای انتخاب ویژگی در کنترلر استفاده میشود و در اینجا هر بردار ویژگی یک کرکس است که توسط معادلات الگوریتم AVOA مورد به روزرسانی قرار گرفته میشوند.

§ بردارهای ویژگی در هر تکرار با تابع هدف ارزیابی میشوند تا در نهایت بهینهترین بردارهای ویژگی انتخاب شود و دو بردار ویژگی بهینه اول به عنوان سر دسته کرکسها انتخاب میشود.

§ در روش پیشنهادی در هر تکرار بردارهای ویژگی با توابع نظیر S و V باینری میشوند تا در نهایت بردارهای ویژگی مجدد حالت صفر و یک خود را بدست آورند.

§ کنترلر کننده SDN بر اساس بردار ویژگی شبکه عصبی LSTM را آموزش داده و یک مدل طبقهبندی را ایجاد میکند.

§ کنترلر کننده SDN بردار ویژگی بهینه و مدل یادگیری LSTM را برای سوئیچهای SDN ارسال کرده و هر سوئیچ SDN در ابتدا توسط بردار ویژگی بهینه، ترافیک شبکه را کاهش ابعاد داده و سپس در ادامه با مدل طبقهبندی LSTM ترافیک شبکه را به دو دسته حمله و عادی طبقهبندی میکند.

§ سوئیچهای SDN ، IP گرههای حمله کننده در حملات DDoS را با هم به اشتراک میگذارند و از آنها برای بلاک کردن ترافیک حملات استفاده میکنند.

شکل 8: فلوچارت روش پیشنهادی در تشخیص حملات به شبکه

4-نتایج تجربی

در این بخش سیستم تشخیص نفوذ پیشنهادی در معماری SDN در محیط متلب پیادهسازی میشود و سپس در ادامه با آزمایشاتی روش پیشنهادی در تشخیص حملات با روشهای مشابه مقایسه میشود. در روش پیشنهادی70% از ترافیک شبکه آموزشی است و 30% دیگر برای ارزیابی به عنوان دادههای آزمون و اعتبارسنجی استفاده میشود. در روش پیشنهادی محدوده نرمالسازی بین [0,1] است و نوع تابع فعالیت نیز در هر آزمایش تصادفی انتخاب میشود. در روش پیشنهادی تعداد بردارهای ویژگی برابر 15 و تعداد تکرار الگوریتم AVOA برابر 50 است و هر آزمایش 35 مرتبه تکرار شده است. مقدار پارامترهای p1، p2 و p3 در الگوریتم AVOA به ترتیب برابر 0.6، 0.4 و 0.6 تنظیم میشود. مجموعه داده NSL-KDD یک مجموعه داده جهانی در زمینه تشخیص حملات به شبکه است و مطابق شکل(9)، این مجموعه داده دارای عدم تعادل در چهار حمله مختلف است]32[:

شکل 9: عدم تعادل در مجموعه داده NSL-KDD

در این مجموعه داده برای هر ورودی یا نمونه، از 41 ویژگی مختلف ارایه شده که هر یک از آنها ممکن است به نوع حمله رکورد یا نوع عادی آن اختصاص داده شود. مقادیر مشخصه میتوانند اسمی، باینری یا عددی باشند. با این حال، بر خلاف KDD CUP 99، مجموعه آموزشی مجموعه داده NSL-KDD حاوی هیچ ورودی تکراری نیست. بنابراین، طبقه‌بندی‌کننده‌ها نسبت به رکوردهای متداول‌تر تعصب ندارند. بنابراین، در NSL-KDD، تکنیک‌هایی با نرخ تشخیص بهتر رکوردهای مکرر در مجموعه‌های آزمایشی بر عملکرد یادگیرندگان تأثیر نمی‌گذارند. از 41 ویژگی موجود در این مجموعه داده، سه ویژگی نوع اسمی، Protocol_type، Service و Flag وجود دارد. در حالی که سایر ویژگی‌ها همه از نوع عددی هستند. حملات انکار سرویس (DoS)، حملات از راه دور به سیستم محلی (R2L)، حمله کاربر به ریشه (U2R) و حملات کاوشگر چهار دسته اصلی حملات سایبری در این مجموعه میباشند. در جدول(1)، ایست ویژگیهای بکار رفته در مجموعه داده NSL-KDD به نمایش گذاشته شده است]35[.

جدول 1: ویژگیهای بکار رفته در مجموعه داده NSL-KDD

(32)

نوع ویژگی	ویژگیها
عددی	Duration, src_bytes, dst_bytes, land, wrong_fragment, urgent, hot, num_failed_logins, logged_in, num_compromised, root_shell, su_attempted, num_root, num_file_creations, num_shells, num_access_files, num_outbound_cmds, is_host_login, is_guest_login, count, srv_count, serror_rate, srv_serror_rate, rerror_rate, srv_rerror_rate, same_srv_rate, diff_srv_rate, srv_diff_host_rate, dst_host_count, dst_host_srv_count, dst_host_same_srv_rate, dst_host_diff_srv_rate, dst_host_same_src_port_rate, dst_host_srv_diff_host_rate, dst_host_serror_rate, dst_host_srv_serror_rate, dst_host_rerror_rate and dst_host_srv_rerror_rate.
غیر عددی	“Protocol_type”, “Service”, and “Flag”.

مجموعه داده NSL-KDDیک مجموعه داده بشدت نامتعادل است زیرا مطابق شکل(10)، حملات مختلف دارای نمونههایی به اندازه یکسان نمیباشد]35[.

Electronics 11 03332 g001

شکل 10: عدم تعادل در مجموعه داده NSL-KDD

در این مجموعه داده ترافیک عادی بیشترین سهم از ترافیک را دارد و از طرفی حملهای نظیر neptune دارای بیشترین سهم در بین انواع حملات است و از طرفی حملهای نظیر Perl دارای تعداد نمونههای اندک است. برای رفع این چالش و افزایش تعداد نمونهای انواع حملات از جمله DDoS میتوان با روش تولید داده مصنوعی SMOTE تعدادی نمونه مصنوعی ایجاد نمود و به مجموعه داده اضافه نمود. در روش پیشنهادی مجموع حملاتی نظیر DDoS به تعداد ترافیک عادی با روش SMOTE تولید و به مجموعه داده اضافه میشود. در روش پیشنهادی تعداد نمونههای عادی برابر 65000 و تعداد نمونههای حمله نیز به 65000 افزایش داده میشود تا مجموعه داده متعادل شود.

یکی از مهمترین روش های به دست آوردن تخمین خطای مدل از طریق دادههای تست، روش اعتبار سنجی متقابل میباشد که یکی از روشهای آن، “K-fold cross validation” است. در این روش به صورت تصادفی دادهها را به K بخش به طور یکسان تقسیم میشوند به طوری که در هر مجموعه تقریبا nk مشاهده برای k=1,…,K قرار بگیرد . در آزمایشات انجام شده مقدار k برابر 10 تنظیم شده است. برای ارزیابی سیستم تشخیص نفوذ پیشنهادی به عنون یک روش طبقهبندی ترافیک شبکه از متریکهای مانند دقت¹⁵، حساسیت¹⁶ و صحت¹⁷ مطابق معادله(33)، (34)، (35) فرموله شده است.

پارامترهای TP، TN، FP و FN به شکل تعریف میشود:

§ نمونههای صحیح مثبتTP)): ترافیک وارد شده به سوئیچ SDN از نوع حمله بوده و روش پیشنهادی به درستی این ترافیک را در کلاس حمله قرار داده است.

§ نمونههای غلط مثبت FP)): ترافیک وارد شده به سوئیچ SDN از نوع عادی بوده و روش پیشنهادی به اشتباع این ترافیک را در کلاس حمله قرار داده است.

§ نمونههای صحیح منفی TN)): ترافیک وارد شده به سوئیچ SDN از نوع عادی بوده و روش پیشنهادی به درستی این ترافیک را در کلاس عادی قرار داده است.

§ نمونههای غلط منفی FN)): ترافیک وارد شده به سوئیچ SDN از نوع حمله بوده و روش پیشنهادی به اشتباه این ترافیک را در کلاس عادی قرار داده است.

آزمایشات انجام شده نشان میدهد روش پیشنهادی بدون متعادلسازی مجموعه داده دارای دقت، حساسیت و صحتی برابر 96.68%، 95.52% و 95.44% است واین در حالی است که اگر متعادلسازی مجموعه داده با روش SMOTE انجام شود آنگاه دقت، حساسیت و صحتی برابر 99.34%، 99.16% و 98.93% است. برای اجرای هر روش دو حالت مستقل ذیل در نظر گرفته شده تا اطمینان حاصل شود که آزمایشات مستقل است:

§ در ابتدا مجموعه داده نامتعادل به عنوان ورودی روش پیشنهادی در نظر گرفته شده است و آزمایشات چند بار تکرار شده است و متوسط شاخصها مانند دقت، حساسیت و صحت محاسبه شده است.

§ در مرحله دوم در آزمایشاتی مستقل، مجموعه داده در ابتدا به کمک روش SMOTE متعادلسازی شده است.

در نمودار شکل(11)، شاخصهای دقت، حساسیت و صحت روش پیشنهادی در دو حالت با هم مقایسه شده است.

شکل 11: نقش متعادلسازی مجموعه داده در افزایش دقت، حساسیت و صحت مدل پیشنهادی

آزمایشات نشان میدهد که اگر از متعادلسازی در روش پیشنهادی استفاده شود آنگاه شاخص دقت، حساسیت و صحت روش پیشنهادی به ترتیب 2.66%، 3.64% و 3.49% در تشخیص حملات بهبود خواهد داشت. انتخاب ویژگی نقش مهمی در دقت روش پیشنهادی دارد و در نمودار شکل(12)، شاخص دقت، حساسیت و صحت روش پیشنهادی با الگوریتمهای انتخاب ویژگی از جمله الگوریتم بهینهسازی وال، الگوریتم بهینهسازی شاهین، الگوریتم بهینهسازی عقاب طلایی مقایسه شده است. در این مقایسهها تلاش شده است تا هر کدام از الگوریتمهای مورد مقایسه جایگزین روش انتخاب ویژگی در ترکیب SMOTE و LSTM شود تا تاثیر آن در تشخیص حملات ارزیابی شود.

شکل 12: مقایسه دقت، حساسیت و صحت تشخیص حملات با روشهای انتخاب ویژگی

تجزیه و تحلیل آزمایشات نشان میدهد که در بین روشهای مورد نظر الگوریتم AVOA یا روش پیشنهادی در ترکیب با یادگیری عمیق LSTM دارای دقت، حساسیت و صحت بیشتری نسبت به سایر روشهای فراابتکاری در انتخاب ویژگی است. یکی از دلایل دقت بیشتر روش پیشنهادی در تشخیص حملات نسبت به این روشها آن است که مکانیزم جستجوی AVOA نسبت به سایر الگوریتمها هوشمندی بیشتری دارد و از طرفی الگوریتم AVOA دارای یک نوع سلسله مراتب رهبری و هدایت جمعیت توسط دو جواب بهینه است که در سایر الگوریتم این مکانیزم وجود ندارد. در نمودار شکل(13)، روش پیشنهادی در شاخص دقت با چند روش یادگیری ماشین و یادگیری عمیق مقایسه شده است]33[.

شکل 13: مقایسه دقت تشخیص حملات با روشهای یادگیری

در این نمودار مشاهده میشود روش پیشنهادی از روشهای یادگیری عمیق نظیر CNN و CNN+LSTM دارای دقت بیشتری در تشخیص حملات است. یکی از دلایل این موضوع آن است که روش پیشنهادی دارای فاز انتخاب ویژگی هوشمندانه با الگوریتم AVOA است و از طرفی دادهها در مجموعه داده در روش پیشنهادی با SMOTE متعادلسازی میشود. در پژوهش]34[، که در سال 2023 ارایه شده است برای تشخیص حملات از چند روش انتخاب ویژگی مانند الگوریتم خفاش با مکانیزم رایگیری¹⁸، الگوریتم ترکیبی بیوه سیاه و زنبور عسل¹⁹، الگوریتم گرگ خاکستری²⁰ و الگوریتم ذرات²¹ استفاده شده است و روش پیشنهادی مطابق نمودار شکل(14)، با این روشها در شاخص دقت مقایسه شده است. آزمایشات نشان میدهد دقت روش پیشنهادی از روشهای تشخیص نفوذ بر پایه الگوریتم ترکیبی بیوه سیاه و زنبور عسل، الگوریتم گرگ خاکستری و الگوریتم ذرات دقت بیشتری دارد و فقط نسبت به سیستم تشخیص نفوذ بر پایه یادگیری با رایگیری اکثریت دارای دقت کمتری است.

شکل13: مقایسه دقت روش پیشنهادی با روشهای هوش گروهی ترکیب شده با یادگیری ماشین و یادگیری عمیق

5-نتیجه گیری

اینترنت اشیاء شبکهای از دستگاههای هوشمند به هم پیوسته است که در تولید و جمع آوری حجم عظیمی از دادهها کمک میکند. دستگاه های اینترنت اشیاء در حال حاضر در هر زمینهای از زندگی روزمره ما استفاده میشوند. یکی از چالشهای مهم اینترنت اشیاء حملات به شبکه و زیرساختهای آن است. شناسایی حملات سایبری از این جهت مهم است که باعث آسیب و متوقف شدن سرویسهای کاربردی در اینترنت اشیاء میشود. سیستمهای تشخیص نفوذ یک روش کارآمد برای تشخیص حملات و مقابله با انواع حملات سایبری میباشند. یکی از چالشهای سیستمهای تشخیص نفوذ عدم تطبیق آنها با معماری اینترنت اشیاء است. در روش پیشنهادی یک سیستم تشخیص نفوذ کارآمد در بستر معماری توزیع شده شبکه نرمافزار محور ارایه شده است. مزیت سیستم تشخیص نفوذ پیشنهادی آن است که به صورت توزیع شده در سوئیچهای شبکه نرمافزار محور مستقر است.

استقرار سیستم تشخیص نفوذ در شبکه نرمافزار محور باعث میشود ترافیک در حین مبادله در سیستم سوئیچینگ نیز تحلیل و ارزیابی شود. روش پیشنهادی برای رفع چالش عدم تعادل در مجموعه داده آموزشی NSL-KDD از الگوریتم SMOTE استفاده میکند و برای کاهش ابعاد ترافیک شبکه در کنترلر کننده شبکه نرمافزار محور از الگوریتم بهینهسازی کرکس افریقایی استفاده میکند. در روش پیشنهادی ویژگیهای مهم ترافیک شبکه برای آموزش شبکه عصبی حافظه‌ی کوتاه‌مدت طولانی در شبکه نرمافزار محور استفاده میشود. ارزیابیها نشان میدهد روش پیشنهادی به دلیل انتخاب ویژگی موثر و متعادلسازی مجموعه داده از روشهای یادگیری عمیق نظیر شبکه عصبی حافظه‌ی کوتاه‌مدت طولانی، شبکه عصبی بازگشتی و شبکه عصبی کانولوشن دقت بیشتری در تشخیص حملات دارد و نسبت به روشهای انتخاب ویژگی نظیر الگوریتم بهینهسازی وال، الگوریتم بهینهسازی شاهین هریس، الگوریتم بهینهسازی عقاب طلایی، الگوریتم بهینهسازی ذرات، الگوریتم بهینهسازی گرگ خاکستری، الگوریتم بهینهسازی کلونی زنبور عسل دارای دقت بیشتری در تشخیص حملات است.

یکی از عوامل مهم و تاثیرگذار در افزایش کارایی روش پیشنهادی در تشخیص حملات به شبکه استفاده از هوش گروهی است. هوش گروهی به دلیل آنکه اعضای آن جستجوی موازی را با هم هم انجام میدهند شانس زیادی برای یافتن بردارهای ویژگی بهینه دارد. برای آنکه الگوریتم هوش گروهی توانایی بهتری برای جستجو داشته باشد، اندازه جمعیت، تعداد تکرار آن و مقادیر پارامترها بسیار تاثیر گذار است. به طور کلی با افزایش اندازه جمعیت و تعداد تکرار الگوریتم بهینهسازی کرکس افریقایی احتمال یافتن جواب بهینه افزایش خواهد داشت. با افزایش اندازه جمعیت، فضای مسئله بیشتر مورد جستجو قرار گرفته میشود و با افزایش تکرار نیز شانس همگرایی به جوابهای بهینه افزایش خواهد یافت. افزایش اندازه جمعیت و تعداد تکرار از یک آستانه باعث افزایش قابل توجه در دقت نمیشود و فقط زمان اجرای آزمایشات را افزایش میدهد لذا در آزمایشات اندازه جمعیت و تکرار الگوریتم منطقی و مانند اکثر پژوهشها در نظر گرفته شده است. پارامترهای الگوریتم بهینهسازی کرکس نیز بر اساس مقاله مرتبط با این الگوریتم تنطیم شده است. از پیشنهادات آتی ما بکارگیری مکانیزم رایگیری اکثریت در تشخیص حملات در سوئیچهای شبکه نرمافزار محور و همچنین بکارگیری شبکه عصبی واحد بازگشتی گیتی و شبکه عصبی کانولوشن برای تشخیص حملات است.

مراجع

[1] B. Kaur, S. Dadkhah, F. Shoeleh, E. C. P. Neto, P. Xiong, S. Iqbal, P. Lamontagne, S. Ray, & A. A. Ghorbani, "Internet of things (IoT) security dataset evolution: Challenges and future directions," Internet of Things., vol. 22, no. C, pp. 100780(1-23), July. 2023.

[2] H. Kareemullah, D. Najumnissa, M. M. Shajahan, M. Abhineshjayram, V. Mohan, & S. A. Sheerin, "Robotic Arm controlled using IoT application," Computers and Electrical Engineering., vol. 105, pp. 108539(1-10), Jun. 2023.

[3] O. E. Tayfour, A. Mubarakali, A. E. Tayfour, M. N. Marsono, E. Hassan, & A. M. Abdelrahman, "Adapting deep learning-LSTM method using optimized dataset in SDN controller for secure IoT," Soft Computing., pp. 1-9, Mar. 2023.

[4] A. Bashaiwth, H. Binsalleeh, & B. AsSadhan, "An Explanation of the LSTM Model Used for DDoS Attacks Classification," Applied Sciences, vol. 13, no. 15, pp. 8820(1-30), Jul. 2023.

[5] DDoS Attacks History. Radware. Available online: https://www.radware.com/security/ddos-knowledge-center/ddos-chronicles/ddos-attacks-history, accessed on 17 July 2023.

[6] K. P. Reddy, K. R. Raju, K. C. Mouli, & M. Praveen, "An intelligent network intrusion detection system for anomaly analyzer using machine learning for software defined networks," In AIP Conference Proceedings, vol. 2548, no. 1, AIP Publishing, July. 2023.

[7] O. E. Tayfour, A. Mubarakali, A. E. Tayfour, M. N. Marsono, E. Hassan, & A. M. Abdelrahman, "Adapting deep learning-LSTM method using optimized dataset in SDN controller for secure IoT," Soft Computing, vol. 27, no. 22, pp. 1-9, May. 2023.

[8] R. J. Gohari, , L. Aliahmadipour, & M. K. Rafsanjani, "Deep learning-based intrusion detection systems: A comprehensive survey of four main fields of cyber security," Journal of Mahani Mathematical Research Center, vol. 12, no. 2, pp. 289-324, May. 2023.

[9] A. Javadpour, P. Pinto, F. Ja’fari, & W. Zhang, "DMAIDPS: a distributed multi-agent intrusion detection and prevention system for cloud IoT environments," Cluster Computing, vol. 26, no. 1, pp. 367-384, May. 2022.

[10] S. Javanmardi, M. Shojafar, R. Mohammadi, M. Alazab, & A. M. Caruso, "An SDN perspective IoT-Fog security: A survey," Computer Networks, vol. 229, 109732, June. 2023.

[11] P. Kumari, & A. K. Jain, "A comprehensive study of DDoS attacks over IoT network and their countermeasures," Computers & Security, vol. 127, 103096, April. 2023.

[12] Y. Gao, & M. Xu, "Defense against software-defined network topology poisoning attacks," Tsinghua Science and Technology, vol. 28, no. 1, pp. 39-46, February. 2023.

[13] C. Singh, & A. K. Jain, "Detection and Mitigation of DDoS Attacks on SDN Controller in IoT Network using Gini Impurity," Computer Security and Reliability, pp. 1-27, May. 2023.

[14] D. Jin, S. Chen, H. He, X. Jiang, S. Cheng, & J. Yang, "Federated Incremental Learning based Evolvable Intrusion Detection System for Zero-Day Attacks," IEEE Network, Vol. 37, no. 1, pp. 125-132, 27 April 2023.

[15] O. Habibi, M. Chemmakha, & M. Lazaar, "Imbalanced tabular data modelization using CTGAN and machine learning to improve IoT Botnet attacks detection," Engineering Applications of Artificial Intelligence, vol. 118, 105669, Feb. 2023.

[16] B. Abdollahzadeh, F. S. Gharehchopogh, & S. Mirjalili, "African vultures optimization algorithm: A new nature-inspired metaheuristic algorithm for global optimization problems," Computers & Industrial Engineering, vol. 158, 107408, 2021.

[17] R. M. A. Haseeb-ur-rehman, A. H. M. Aman, M. K. Hasan, K. A. Z. Ariffin, A. Namoun, A. Tufail, & K. H. Kim, "High-Speed Network DDoS Attack Detection: A Survey," Sensors, vol. 23, no. 15, 6850, Aug. 2023.

[18] S. Ullah, Z. Mahmood, N. Ali, T. Ahmad, & A. Buriro, "Machine Learning-Based Dynamic Attribute Selection Technique for DDoS Attack Classification in IoT Networks," Computers, vol. 12, no. 6, 115, May. 2023.

[19] Ö. Tonkal, H. Polat, E. Başaran, Z. Cömert, & R. Kocaoğlu, "Machine learning approach equipped with neighbourhood component analysis for DDoS attack detection in software-defined networking," Electronics, vol. 10, no. 11, 1227, 2021.

[20] H. Zhou, Y. Zheng, X. Jia, & J. Shu, "Collaborative prediction and detection of DDoS attacks in edge computing: A deep learning-based approach with distributed SDN," Computer Networks, vol. 225, 109642, April. 2023.

[21] M. Cherian, & S. L. Varma, "Secure SDN–IoT Framework for DDoS Attack Detection Using Deep Learning and Counter Based Approach," Journal of Network and Systems Management, vol. 31, no. 3, 54, 2023.

[22] T. M. Ghazal, N. A. Al-Dmour, R. A. Said, A. Omidvar, U. Y. Khan, T. R. Soomro, H. M. Alzoubi, M. Alshurideh, T. M. Abdellatif, A. Moubayed, & L. Ali, "DDoS Intrusion Detection with Ensemble Stream Mining for IoT Smart Sensing Devices," In The Effect of Information Technology on Business and Marketing Intelligence Systems, pp. 1987-2012, 2023.

[23] X. H. Nguyen, & K. H. Le, "Robust detection of unknown DoS/DDoS attacks in IoT networks using a hybrid learning model,". Internet of Things, vol. 23, 100851, 2023.

[24] A. Hekmati, N. Jethwa, E. Grippo, & B. Krishnamachari, "Correlation-Aware Neural Networks for DDoS Attack Detection In IoT Systems," arXiv preprint arXiv:2302.07982, Feb. 2023.

[25] N. Pandey, & P. K. Mishra, "Performance analysis of entropy variation-based detection of DDoS attacks in IoT," Internet of Things, vol. 23, 100812, October. 2023.

[26] P. Shukla, C. R. Krishna, & N. V. Patil, "EIoT-DDoS: embedded classification approach for IoT traffic-based DDoS attacks," Cluster Computing, pp. 1-20, 2023.

[27] S. S. S. Othman, C. F. M. Foozy, & S. N. B. Mustafa, "Feature Selection of Distributed Denial of Service (DDos) IoT Bot Attack Detection Using Machine Learning Techniques," Journal of Soft Computing and Data Mining, vol. 4, no. 1, pp. 63-71, 2023.

[28] I. Priyadarshini, P. Mohanty, A. Alkhayyat, R. Sharma, & S. Kumar, "SDN and application layer DDoS attacks detection in IoT devices by attention‐based Bi‐LSTM‐CNN," Transactions on Emerging Telecommunications Technologies, e4758, pp. 1-14, 23 Feb.2023.

[29] J. N. Lee, & J. Y. Lee, "An Efficient SMOTE-Based Deep Learning Model for Voice Pathology Detection," Applied Sciences, vol. 13, no. 6, 3571, 21 Feb. 2023.

[30] J. Too, A. R. Abdullah, & N. Mohd Saad, "Binary competitive swarm optimizer approaches for feature selection," Computation, vol. 7, no. 2, 31, 2019.

[31] R. Elsayed, R. Hamada, M. Hammoudeh, M. Abdalla, & S. A. Elsaid, "A Hierarchical Deep Learning-Based Intrusion Detection Architecture for Clustered Internet of Things," Journal of Sensor and Actuator Networks, vol. 12, no. 1, 3, 23 December 2022.

[32] G. Dlamini, & M. Fahim, "DGM: a data generative model to improve minority class presence in anomaly detection domain," Neural Computing and Applications, vol. 33, no. 33, pp. 13635-13646, 2021.

[33] K. O. Adefemi Alimi, K. Ouahada, A. M. Abu-Mahfouz, S. Rimer, & O. A. Alimi, "Refined LSTM based intrusion detection for denial-of-service attack in Internet of Things," Journal of sensor and actuator networks, vol. 11, no. 3, 32, 1 July 2022.

[34] M. Bakro, R. R. Kumar, A. A. Alabrah, Z. Ashraf, S. K. Bisoy, N. Parveen, S. Khawatmi, & A. Abdelsalam, "Efficient Intrusion Detection System in the Cloud Using Fusion Feature Selection Approaches and an Ensemble Classifier,". Electronics, vol. 12, no. 11, 2427, 27 May 2023.

[35] M. H. Alwan, Y. I. Hammadi, O. A. Mahmood, A. Muthanna, & A. Koucheryavy, "High Density Sensor Networks Intrusion Detection System for Anomaly Intruders Using the Slime Mould Algorithm," . Electronics, vol. 11, no. 20, 3332, 14 October 2022.

Detection of DDoS attacks in SDN switches with deep learning and swarm intelligence approach

--------------1, ----------------2*

1: ------------------------------------------

2*: ------------------------------------------

ABSTRACT:

Internet of Things nodes infected with various types of malware and any smart device can appear as a botnet attacking node. The challenge of most intrusion detection systems in the Internet of Things is the need for intelligent feature selection and the imbalance of the training data set and centralization. In this article, an efficient intrusion detection system for the Internet of Things based on the distributed architecture of the SDN network is presented. In the proposed method, the data set is balanced using the SMOTE method in the first stage. Then in the second stage, the essential features are selected using the African vulture optimization algorithm. In the third step, the LSTM deep learning method is trained in the SDN controller so that the switches of the SDN network use this trained model to detect attacks. In the proposed method, the addresses of attacking nodes are shared between SDN switches so that the attacking node is recognized as an attacking node in all switches and DDoS attacks are stopped. Experiments running in the MATLAB environment and the NSL-KDD dataset and the results of the experiments show that the proposed method in detecting attacks has accuracy, sensitivity, and precision of 99.34%, 99.16%, and 98.93%. The proposed method is more accurate in detecting DDoS attacks than the feature selection methods based on WOA, HHO, and AO algorithms. The proposed method for detecting DDoS attacks is more accurate than deep learning methods such as LSTM, RNN, and CNN.

KEYWORDS: Internet of Things, Intrusion detection system, DDoS attacks, SDN network, Deep learning

[1] Internet of Things (IoT)

[2] Distributed denial-of-service (DDoS)

[3] Malware

[4] Botnet

[5] Signature-based detection

[6] Anomaly-based detection

[7] Machine learning

[8] Deep learning

[9] Software-defined networking (SDN)

[10] Topology poisoning

[11] Zero-day attacks

[12] Synthetic Minority Over-sampling Technique (SMOTE)

[13] African Vultures Optimization Algorithm (AVOA)

[14] Zombies

[15] Accuracy

[16] Sensitivity

[17] Precision

[18] BA+Voting

[19] ABC+BWO+CONV+LSTM

[20] GWO+LSTM

[21] PSO-IRF

(33)
(34)
(35)

Share To

Article Url

Detection of DDoS Attacks in SDN Switches with Deep Learning and Swarm Intelligence Approach

Sanad

Links

Related Centers

Technical Support

Official pages