Manuscript ID : 1403080948426 Visit : 32 Page: -

Article Type: Original Research

Improving the accuracy of detection botnet attacks in Internet of Things network by using MLP neural network

Subject Areas : ICT

1 - Department of Computer, University of Payam Noor, Tehran, Iran
2 -

Received: 2024-10-30 Accepted : 2025-05-07 Published : 2025-08-02

Keywords: Botnet, neural network, Internet of Things, Deep Learning,

Abstract :

Due to the increasing use of the Internet of Things around the world and the exponential increase in the number of devices connected to the network and the communication between them, the potential for security problems is increasing. Considering that many personal and public devices are connected to this network, any security problem can have unpredictable and significant consequences. Internet of Things applications include smart cities, smart transportation, responsive environments, and some other specific things that are directly controlled by users or digital devices, cyber-attacks through the Internet of Things and smart digital devices is the most important threat for these networks. So far, numerous researches have been conducted to detect Internet of Things attacks, in particular botnet attacks, as one of the most important attacks in this field. But the lack of a method that uses machine learning methods with high accuracy and low error to detect these attacks is strongly felt. In this research, by using the N-BaIoT dataset and Python simulator for modeling and also using deep learning methods and MLP neural network to evaluate and train the data (using the objective function and training), the neural system was used for detecting botnet attacks. This method obtained accuracy 90.35, precision 85.99, recall 90.53 and f1-score 87.50. Compared to other machine learning methods including random forest algorithm (RF), support vector machine algorithm (svm), K nearest neighbor algorithm (knn), XGBOOST algorithm, AdaBoost algorithm, the best result was obtained in all 4 evaluation parameters.

References:

[1] El Mourabit, Y., et al., "Intrusion detection techniques in wireless sensor network using data mining algorithms: comparative evaluation based on attacks detection. International Journal of Advanced Computer Science and Applications", 2015. 6(9): p. 164-172.
[2] Lopez, O., et al., "Ultra-stable long distance optical frequency distribution using the Internet fiber network. Optics Express", 2012. 20(21): p. 23518-23526.
[3] Ashton, K., That "‘internet of things’ thing. RFID journal," 2009. 22(7): p. 97-114.
[4] Gershenfeld, N., R. Krikorian, and D. Cohen, "The internet of things. Scientific American", 2004. 291(4): p. 76-81.
[5] Ci, S., M. Guizani, and H. Sharif, "Adaptive clustering in wireless sensor networks by mining sensor energy data. Computer ommunications", 2007. 30(14-15): p. 2968-2975.
[6] Dias, J.P., et al. A brief overview of existing tools for testing the internet-of-things. in 2018 IEEE international conference on software testing, verification and validation workshops (ICSTW). 2018. IEEE.
[7] Klaib, A.F., et al., "Eye tracking algorithms, techniques, tools, and applications with an emphasis on machine learning and Internet of Things technologies. Expert Systems with Applications", 2021. 166: p. 114037.
[8] Alahmadi, B.A., et al. "BOTection: Bot detection by building Markov Chain models of bots network behavior". in Proceedings of the 15th ACM Asia Conference on Computer and Communications Security. 2020.
[9] Beskow, D.M. and K.M. Carley. "Bot conversations are different: leveraging network metrics for bot detection in twitter. in 2018 IEEE/ACM international Conference on Advances in Social Networks Analysis and Mining (ASONAM)". 2018. IEEE.
[10] Ioannou, C. and V. Vassiliou. "Classifying security attacks in IoT networks using supervised learning. in 2019 15th International conference on distributed computing in sensor systems (DCOSS)". 2019. IEEE.

Full-Text:

$G:\دوفصلنامه ارتباطات و فناوری اطلاعات\ITRC-Logo\English.png$

Journal of Information and

Communication Technology

Volume 17, Issue 63-64, Spring and Summer 2025, pp. 269-282

Improving the Accuracy of Detection Botnet Attacks in Internet of Things Network by Using MLP Neural Network

Safieh Siadat1, Amir Houshang Tajfar2¹

1 Department of Computer, University of Payam Noor, Tehran, Iran

2* Department of Computer, University of Payam Noor, Tehran, Iran

Received: 30 October 2024, Revised: 05 May 2025, Accepted: 07 May 2025

Paper type: Research

Abstract

Keywords: Botnet, neural network, Internet of Things, Deep Learning

بهبود دقت تشخیص حملات باتنت در شبکههای اینترنت اشیا با استفاده از شبکه عصبی MLP

صفیه سیادت1، امیرهوشنگ تاجفر 2²

1 گروه کامپیوتر و فناوری اطلاعات، دانشگاه پیام نور، ایران، تهران

2 گروه کامپیوتر و فناوری اطلاعات، دانشگاه پیام نور، ایران، تهران

تاریخ دریافت: 09/08/1403 تاریخ بازبینی: 15/02/1404 تاریخ پذیرش: 17/02/1404

نوع مقاله: پژوهشی

چکيده

گسترش فزاینده استفاده از اینترنت اشیا در سراسر جهان و افزایش تصاعدی تعداد دستگاههای متصل به شبکه و ارتباط بین آن‌ها، پتانسیل مشکلات امنیتی در حال افزایش است. با توجه ‌به اتصال بسیاری از دستگاهها به این شبکه، هرگونه مشکل امنیتی میتواند تبعات غیرقابل‌پیش‌بینی و جبران‌ناپذیری را به دنبال داشته باشد. برنامه‌های کاربردی اینترنت اشیا شامل شهرهای هوشمند، حمل‌ونقل هوشمند، محیط‌های پاسخگو و برخی از موارد خاص دیگر که مستقیماً توسط کاربران یا وسیله دیجیتال کنترل می‌شوند، هستند، بنابراین مهم‌ترین خطر موجود، حملات سایبری از طریق اینترنت اشیا و وسایل دیجیتال هوشمند است. تحقیقات زیادی برای تشخیص حملات اینترنت اشیا بهخصوص حملات باتنت به‌عنوان یکی از مهم‌ترین حملات این حوزه انجام شده است؛ اما فقدان روشی که با استفاده از روش‌های یادگیری ماشین با دقت بالا و خطای کم به تشخیص این حملات بپردازد به‌شدت احساس می‌شود. در این تحقیق با استفاده از مجموعه‏داده N-BaIoT و شبیه‌ساز پایتون برای مدل‌سازی و با به‌کارگیری روش‌های یادگیری عمیق و شبکه عصبی MLP جهت ارزیابی و آموزش داده‌ها (با استفاده از تابع هدف و آموزش)، سیستم عصبی برای تشخیص حملات باتنت به کار برده شد. این روش Accuracy 90.35، Precision 85.99، Recall 90.53 و F1-Score 87.50 به دست آورد و در مقایسه با سایر روش‌های یادگیری ماشین شامل الگوریتم جنگل تصادفی (RF)، الگوریتم ماشین بردار پشتیبان (SVM)، الگوریتم K نزدیک‌ترین همسایه (KNN)، الگوریتم XGBOOST، الگوریتم AdaBoost در هر چهار پارامتر ارزیابی Accuracy،Precision ، Recall وF1-Score بهترین نتیجه را کسب کرد، که نشاندهنده عملکرد شاخص روش پیشنهادی میباشد.

کلیدواژگان: باتنت، اینترنت اشیا، شبکه عصبی، یادگیری عمیق

[1] * Corresponding Author’s email: amir.tajfar@pnu.ac.ir

[2] * رایانامة نويسنده مسؤول: amir.tajfar@pnu.ac.ir

1- مقدمه

اینترنت اشیا¹ به‌سرعت در حال گسترش است و تعداد دستگاهها و تجهیزات متصل به اینترنتت اشیا روزبه‌روز افزایش مییابد. ايده اينترنت اشیاء، اتصال همه چیز در جهان، به اينترنت است. اينترنت اشیاء از سه مفهوم اينترنت-گرايی، اشیاء-گرايی و معنا-گرايی تحقق می‌یابد [1]. ايده اصلی اين است که اشیاء يا چیزهايی مانند برچسب‌های شناسايی با فرکانس‌های راديويی، حسگرها، تلفن‌های موبايل و غیره که الگوی آدرس‌دهی منحصربه‌فردی دارند، میتوانند با يکديگر و محیط اطراف خود، برای رسیدن به اهداف یا منظور خاص مشترک همکاری کنند [2]. اينترنت اشیاء، به‌طور چشمگیری زندگی ما را در آيندههای نزديک تغییر خواهد داد و بسیاری از ناممکنها را ممکن خواهد ساخت. حجم عظیم دادههای تولید شده يا جمعاوری شده توسط تجهیزات اينترنت اشیاء، حاوی مطالعات ارزشمند و قابل استفاده است و با رواج دستگاههای توسعه‌يافته فناوری بی‌سیم مانند بلوتوث، شناسايی با فرکانس راديويی و خدمات داده بر روی تلفن و همچنین حس‌گر و محرک و نودهای تعبیه شده در وسايل، شبکه‌های حسگر بی‌سیم، باعث شده تا اينترنت اشیاء مراحل ابتدايی خود را پشت سر گذاشته و در آستانه تبديل اينترنت ايستای کنونی، به اينترنت کامل و يکپارچه در آينده است [3].

کشف دانش از طريق دادهکاوی و متن‌کاوی نیز بدون شک نقش زيادی در زمینه هوشمندسازی سیستم‌ها و در نتیجه ارائه خدمات و محیط مناسب برای ارائه خدمات خواهد داشت [4]. همچنین استفاده از روش‌های دادهکاوی برای خوشهبندی تجهیزات در شبکه‌های حسگر بی‌سیم و تعیین سرخوشه در حال گسترش است [5]. ارتباط میدانی نزديک و شبکههای حسگر و فعال‌کننده بی‌سیم و برچسبهای شناسايی با فرکانس راديويی، با هم اجزای اتمیکی هستند که دنیای واقعی را با دنیای ديجیتال پیوند میدهند.

ابزارهای متعدد و متنوع زیادی برای اینترنت اشیا وجود دارد که ازجمله ويژگیهای آن‌ها میتوان به‌اندازه کوچک، تعداد مشخص، حافظه کم، استفاده حداقل از انرژی و قابلیتهای پردازش ويژه آن اشاره کرد که توسط سیستمهای عامل کوچک که مخصوص اين ابزارها ايجاد شده است، راهبری می‌شود [6]. اين ابزارها حداقل دارای يکی از توانايیهای حس نمودن، فعالسازی، ذخیره يا پردازش اطلاعات هستند. درعین‌حال نقص‌های امنیتی متعددی نیز مانند حملات باتنت ممکن است در این دستگاه‌ها وجود داشته باشد، زیرا اکثر آن‌ها فاقد حافظه و منابع محاسباتی لازم برای عملیات امنیتی کافی هستند [7].

به‌طورکلی دستگاه‌ها اینترنت اشیا میتوانند تحت‌تأثیر انواع حملات قرار گیرند. یک حمله واحد به سیستم‌ها یا دستگاه‌های شبکه می‌تواند منجر به آسیب‌های قابل‌توجه در امنیت داده‌ها و حریم خصوصی شود. حملات باتنت ازجمله مخربترین حملات به شبکههای اینترنت اشیا محسوب میشود. درواقع باتنت امروزه به یکی از تهدیدهای جدی و خطرناک برای امنیت صدها میلیون رایانه در نظر گرفته میشود

«شبکه بات» شبکهای از رایانههای آلوده متصل به اینترنت است که تحت مدیریت سرور فرماندهی و کنترل قرار دارد و برای حملات انکار سرویس, فرستادن هرزنامه و عملیات مخرب دیگر مورد استفاده قرار می‌گیرد [8]. باوجود ویژگی‌های خاص هر شبکه بات, باتها در داخل شبکه رفتارهای همسانی از خود نشان می‌دهند و این می‌تواند نقطه آغاز شناسایی یک بات در داخل شبکه باشد و با شناسایی این رفتار همگون میتوان ترافیک تولیدی باتها را از ترافیک عادی شبکه تفکیک کرد و از مشکلاتی مانند یافتن الگوریتمهای رمزگشایی کانالهای ارتباطی رمزنگاری شده در امان بود [9].

با توجه به گسترش حملات باتنت² و آسیبهای مختلفی که می‌تواند به دنبال داشته باشد، مطالعات مختلفی در خصوص روش‌های و الگوریتمهای شناسایی حملات باتنت در شبکههای اینترنت اشیا انجام شده است و بر اساس آن راهکارهای مختلفی برای تشخیص حملات باتنت در اینترنت اشیا ارائه‌ شده است. در این تحقیق برای تشخیص حملات باتنت از طریق شبکه‌های عصبی پرسپترون چندلایه ³(MLP) و با استفاده از مجموعه‏دادهBalot -N انجام شده است. هدف اصلی تحقیق شناسایی حملات باتنت در اینترنت اشیا با استفاده از روش‌های یادگیری ماشین و در نهایت ایجاد اپلیکیشن هوشمند در جهت تشخیص حملات باتنت در اینترنت اشیاء می‌باشد.

2- مبانی نظری پژوهش

2-1- اینترنت اشیا (IoT)

سیستمی از دستگاه‌های محاسباتی مرتبط، ماشین‌های مکانیکی و دیجیتال، اشیا، یا افراد است که با شناسه‌های منحصربه‌فرد ⁴(UID) و از طریق شبکه‌ای بدون نیاز به تعامل انسان با انسان یا انسان با کامپیوتر، داده‌ها را منتقل می‌کنند. یک شیء در اینترنت اشیا می‌تواند یک فرد با کاشت مانیتور قلب باشد یا یک حیوان مزرعه با یک ترانسپوندر بیوچیپ یا خودرویی با حسگرهای داخلی برای هشدار به راننده در صورت پایین آمدن فشار باد لاستیک یا هر چیز طبیعی یا مصنوعی دیگر باشد. به‌طورکلی به هر شیء که می‌توان به آن آدرس پروتکل اینترنت ⁵(IP) اختصاص داد و قادر به انتقال داده‌ها از طریق شبکه باشد، میتواند در شبکه اینترنت اشیا اضافه شود [10].

2-2- حملات باتنت

شبکه‌های بات‌نت گروه‌هایی از کامپیوترها و دستگاه‌های متصل به اینترنت هستند که تحت کنترل یک یا چند فرد یا گروه هکر قرار دارند. این کامپیوترها معمولاً به‌طور خودکار و بدون اطلاع یا رضایت مالکانشان توسط بدافزارهای مخرب (معمولاً تروجان‌ها) آلوده شده‌اند. به این تروجان‌ها هم به نام “بات” یا “زامبی” اشاره می‌شود. هنگامی‌که یک کامپیوتر به‌عنوان یک بات به یک شبکه بات‌نت متصل می‌شود، کنترل آن توسط مهاجم یا اپراتور بات‌نت انجام می‌شود. این اپراتور می‌تواند دستورات و فرمان‌های مختلف را به کامپیوترهای آلوده ارسال کند و آن‌ها را برای انجام فعالیت‌های مخرب یا تخریبی مورد استفاده قرار دهد.

حملات باتنت درواقع توسط مجموعه‌ای منطقی از دستگاه‌های متصل به اینترنت، مانند رایانه‌ها، تلفن‌های هوشمند یا دستگاه‌های اینترنت اشیا صورت میگیرد، که امنیت آن‌ها نقض شده و کنترل آن به نفوذگر واگذار شده است.

کنترل‌کننده یک بات‌نت قادر است فعالیت‌های رایانه‌های در معرض خطر را از طریق کانال‌های ارتباطی تشکیل‌شده توسط پروتکل‌های شبکه مبتنی بر استاندارد، مانند ⁶(IRC) و پروتکل انتقال ابرمتن ⁷(HTTP) هدایت کند. همچنین از بات‌نت‌ها می‌توان برای انجام حملات سرویس توزیع شده ⁸(DDoS)، سرقت داده‌ها، ارسال هرزنامه، و اجازه دسترسی مهاجم به دستگاه و اتصال آن استفاده کرد. معماری باتنت در طول زمان در تلاش برای فرار از تشخیص و اختلال تکامل‌یافته است. به‌طور سنتی، برنامه‌های ربات به‌عنوان کلاینت‌هایی ساخته می‌شوند که از طریق سرورهای موجود ارتباط برقرار می‌کنند. این به کنترل‌کننده بات‌نت اجازه می‌دهد تا تمام کنترل‌ها را از یک مکان راه دور انجام دهد که ترافیک را مبهم کند[11].

2-3- شبکه عصبی پرسپترون چندلایه (MLP)

این از ساده‌ترین و قدیمی‌ترین شبکه‌های عصبی مصنوعی محسوب می‌شود. در که در آن حداقل سه لایه از نودها که به آن نورون نیز گفته می‌شود، وجود دارد که عبارتند از: لایه ورودی، لایه نهان و لایه خروجی. به‌جز گره‌های ورودی، هر گره یک نورون است که از یک تابع فعال‌سازی غیرخطی استفاده می‌کند. MLP از تکنیک یادگیری نظارت شده به نام بازپرداخت برای آموزش استفاده می‌کند. لایه‌های متعدد و فعال‌سازی غیرخطی آن، MLP را از یک پرسپترون خطی متمایز می‌کند. درواقع می‌تواند داده‌هایی را متمایز کند که به‌صورت خطی قابل‌تفکیک نیستند. در بررسی شبکه‌های عصبی چندلایه پروسپترون لازم است چند بخش مجزا تابع فعال‌سازی، ساختار لایه‌ها و یادگیری توضیح داده شوند:

· تابع فعالسازی: اگر یک پرسپترون چندلایه، تابع فعال‌سازی خطی در تمام نورون‌ها داشته باشد، درواقع با این تابع خطی ورودی‌های وزن‌دار هر نورون را ترسیم می‌کند. سپس با استفاده از جبر خطی نشان می‌دهد که هر عددی مربوط به لایه‌ها را می‌توان به یک مدل ورودی-خروجی دولایه کاهش داد. در MLP، برخی از نورون‌ها از یک تابع فعال غیرخطی استفاده می‌کنند که برای مدل‌سازی فرکانس پتانسیل‌های عمل یا شلیک نورون‌های بیولوژیکی توسعه داده شده است

· ساختار لایه: MLP شامل سه یا تعداد بیشتری از لایه‌های دنس که از گره‌های غیرخطی فعال‌کننده هستند، میباشد. ازآنجاکه MLPها به‌طور کامل متصل شده‌اند، هر گره در یک‌لایه با وزن مشخص در هر نود به لایه بعدی متصل می‌شود.

· یادگیری: یادگیری در شبکه عصبی با تغییر وزن اتصال پس از پردازش هر قطعه از داده‌ها، بر اساس میزان خطا در خروجی در مقایسه با نتیجه مورد انتظار رخ می‌دهد. این نمونه که از یادگیری با نظارت و از طریق بازگشت به عقب و تعمیم الگوریتم حداقل مربعات در پرسپترون خطی انجام می‌شود[12].

2-4- الگوریتم جنگل تصادفی

جنگل تصادفی یا جنگل‌های تصمیم تصادفی ⁹(RF) یک روش یادگیری ترکیبی برای طبقه‌بندی یا رگرسیون است که بر اساس ساختاری متشکل از تعداد زیادی درخت تصمیم کار می‌کند، برای آموزش و خروجی کلاس‌ها (کلاس‌بندی) یا برای پیش‌بینی‌های هر درخت به شکل مجزا، بررسی می‌شود. عملکرد جنگل تصادفی معمولاً بهتر از درخت تصمیم است، اما این بهبود عملکرد تا حدی به نوع داده هم ‌بستگی دارد[13].

2-5- اگوریتم ماشین بردار پشتیبانی ¹⁰(SVM)

یکی از روش‌های یادگیری با نظارت است که از آن برای کلاس‌بندی و رگرسیون استفاده می‌شود. این روش ازجمله‌ روش‌های جدیدی است که در سال‌های اخیر کارایی خوبی برای طبقه‌بندی از خود نشان داده است. اصول کار آن دسته‌بندی یا کلاس‌بندی خطی داده‌ها است و در تقسیم خطی داده‌ها سعی می‌کند خطی را انتخاب کند که شیب بهتری داشته باشد.

2-6- الگوریتم K نزدیک‌ترین همسایه ¹¹(KNN)

یک متد آمار ناپارامتری است که برای کلاس‌بندی و رگرسیون استفاده می‌شود. در هر دو حالت K شامل نزدیک‌ترین مثال آموزشی در فضای داده‌ای است و خروجی آن بسته به نوع مورداستفاده در کلاس‌بندی و رگرسیون متغیر است. در حالت کلاس‌بندی، با توجه ‌به مقدار مشخص شده برای K، به محاسبه فاصله نقطه‌ای که می‌خواهیم برچسب آن را مشخص کنیم با نزدیک‌ترین نقاط می‌پردازد و با توجه ‌به تعداد رأی حداکثری این نقاط همسایه، در رابطه ‌با برچسب نقطه موردنظر تصمیم‌گیری میشود

2-7- الگوریتم XGBOOST

الگوریتم XGBoost یک الگوریتم یادگیری با ناظر است که به خاطر قابلیت‌هایش در تنظیم خودکار، سرعت بالا در آموزش و قدرت پیش‌بینی‌، به‌عنوان یکی از قدرتمندترین و مؤثرترین ابزارها در حوزه یادگیری ماشین شناخته می‌شود و در طیف گسترده‌ای از کاربردهای عملی، از تجزیه‌وتحلیل داده‌های مالی گرفته تا پیش‌بینی‌های پزشکی، استفاده می‌شود.

2-8- الگوریتم AdaBoost

الگوریتم AdaBoost، (مخفف Adaptive Boosting) یک روش یادگیری جمعی و معروف‌ترین الگوریتم از خانواده الگوریتمهای Boosting است. در الگوریتم‌های یادگیری جمعی، یک نمونه توسط چندین کلاسه بند مختلف کلاسه‌بندی می‌شود و نتایج کلاسه‌بندی‌ها به شکل هوشمندانهای با یکدیگر ترکیب شده و نتیجه نهایی برای آن نمونه خاص تعیین می‌گردد. در الگوریتم یادگیری جمعی، هر کلاسه بند، با یک زیرمجموعه تصادفی و منتخب از کل نمونهها، آموزش داده میشود. با شکل گرفتن چندین کلاسه بند متفاوت، کلاسهبندی نهایی که نتیجه نگاه جمعی است دارای کارایی بالاتری خواهد بود.

2-9- انواع حملات

· حملات انکار سرویس ¹²(DOS): در این حملات منابع سیستم بیش‌ازحد مورد استفاده قرار می‌گیرد و باعث می‌شود که درخواست‌های نرمال برای در اختیار گرفتن منابع رد شود. این نوع حملات معمولاً از نقاط ضعف نرم‌افزارها جهت آسیب رساندن استفاده می‌کنند و با ایجاد سربار در کانالهای ارتباطی مانع ارتباطهای قانونی سیستم می‌شوند.

· حملات کاربر به ریشه ¹³(U2R): در این حملات مهاجم با استفاده از روش‌هایی مانند مهندسی اجتماعی به یک حساب کاربری بر روی سیستم دسترسی پیدا می‌کند و به سیستم آسیب می‌رساند.

· حملات راه دور به نزدیک ¹⁴(R2L): در این حملات مهاجم با نفوذ غیرمجاز از راه دور به ماشین قربانی شروع به سوءاستفاده از حساب قانونی کاربر کرده و اقدام به ارسال بسته بر روی شبکه می‌کند. مهاجم با استفاده از روش آزمون‌وخطا و توسط اسکریپتهای خودکار یا روش‌های دیگر اقدام به حدس زدن کلمه عبور قربانی میکند. همچنین برخی روش‌های پیچیدهتری هم وجود دارد که در آن مهاجم قبل از نفوذ به سیستم اقدام به نصب یک برنامهای میکند که کلمه عبور را سرقت کند

· حملات پوششی¹⁵: در این حملات شبکه و یا میزبان برای جمع‌آوری اطلاعات و یافتن آسیب‌پذیری‌های شناخته شده پویش میشود. به‌عنوانمثال در این حملات شبکه به‌منظور جمع‌آوری اطلاعاتی برای تعیین تعداد و یا نوع ماشینهای مورد استفاده در شبکه پویش می‌شود و یا میزبان به‌منظور تعیین نوع برنامه نصب شده و یا مورد استفاده در آن، مورد حمله واقع میشود. حمله کاوش به‌عنوان نخستین گام یک حمله واقعی به شبکه یا میزبان در نظر گرفته میشود

· BASHLITE: بدافزاری است که سیستم‌های لینوکس را به‌منظور راه‌اندازی حملات انکار سرویس توزیع شده ¹⁶(DDoS) آلوده می‌کند[14].

3- پیشینه پژوهش

چین¹⁷ و همکاران در سال 2017 تشخیص مبتنی بر امضا را بررسی کردند و روشی برای کمک به تشخیص ناهنجاری‌های مرتبط با این حوزه ارائه دادند. روش اصلی آن تحقیق تشخیص مبتنی بر میزبان بود که در آن میزبان‌ در یک شبکه، همراه با محتویات آن‌ها ازنظر ناهنجاری‌ها (به‌عنوان‌مثال، فعالیت بات‌نت) تحت نظارت قرار می‌گیرند بااین‌حال، نتایج تحقیق آن‌ها دلالت بر مشکلاتی در تشخیص بات‌نت با استفاده از تجزیه‌وتحلیل امضا داشت. اولین مورد این است که اگر این روش در یک شبکه بزرگ شرکتی اجرا شود، مقیاس شبکه باعث می‌شود، سیستم به‌اندازه کافی مؤثر نباشد. مورد دوم این است که قوانین اعمال شده برای تشخیص امضاء به‌درستی کار می‌کند؛ زیرا بات‌نت تغییراتی در ارتباطات شبکه ایجاد می‌کند[15].

در سال 2017 آیگان¹⁸و همکاران از الگوریتم‌های زیرمجموعه یادگیری عمیق، با نام HAEs-2017 (مدل رمزگذارهای خودکار ترکیبی، شامل رمزگذارهای خودکار و حذف نویز از رمزگذار خودکار) جهت تشخیص حملات باتنت در شبکه اینترنت اشیا استفاده کردند. جهت ارزیابی از مجموعه‏داده KDDTest و NSL-KDD بهره بردند و به‌دقت 88.28 درصد دست یافتند. روش آن‌ها 5 حمله DOS, PROBE, R2L, U2R و باتنت را در 5 کلاس تشخیص می‌داد؛ اما نقطه‌ضعف کار آن‌ها دقت پایین آن بود [16].

در سال 2018 میلادی، مکدرموت¹⁹و همکاران جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم‌های زیرمجموعه یادگیری عمیق، با نام BLSTM-RNN مبتنی بر شبکه عصبی حافظه کوتاه‌-طولانیمدت ²⁰(LSTM) و شبکههای عصبی بازگشتی ²¹(RNN) استفاده کردند. جهت ارزیابی از یک مجموعه‏داده دست‌ساز بهره بردند و به‌دقت 97.5 درصد دست یافتند. روش آن‌ها پنج حمله ²²(DNS)، ²³(ACK)، ²⁴(UDP)، MIRAI و باتنت را در پنج کلاس تشخیص می‌داد؛ اما نقطه‌ضعف آن زمان اجرای بالای آن یعنی بیش از 5 دقیقه بود [17].

در سال 2019 میلادی کومار²⁵ و لیم²⁶ جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم k نزدیک‌ترین همسایه زیرمجموعه یادگیری عمیق استفاده کردند. جهت ارزیابی از یک مجموعه‌داده دست‌ساز شامل 60 جلسه ترافیک به مدت 15 دقیقه در دو کلاس حملات عادی و مخرب بهره بردند و به‌دقت 92 درصد دست یافتند. روش آن‌ها 3 حملهTELNET، HTTP_POST و HTTP_GET را در سه کلاس تشخیص می‌داد؛ اما نقطه‌ضعف آن عدم اجرای روش مذکور روی مجموعه‌داده‌های دیگر بود؛ چراکه الگوریتم‌های آماده یادگیری عمیق ممکن است در مجموعه‌داده‌های مختلف دقت‌های متفاوتی ایجاد نماید [18].

در سال 2019 لوانوی²⁷ و واسیلیو²⁸ جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم ماشین بردار پشتیبان ²⁹(SVM) زیرمجموعه یادگیری عمیق استفاده کردند و جهت ارزیابی نیز از یک مجموعه‌داده دست‌ساز بهره برده و به‌دقت 81 درصد دست یافتند. روش آن‌ها 5 حمله, PROBE, R2L, U2R ³⁰( DOS) و باتنت را در پنج کلاس تشخیص می‌داد؛ اما نقطه‌ضعف آن دقت پایین بود [19].

در سال 2020، شیی³¹ و سان³² جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم‌های زیرمجموعه یادگیری عمیق، با نام LSTM-RNN-2020 مدل ترکیبی متشکل از شبکه عصبی LSTM و RNN به کاربردند. جهت ارزیابی از یک مجموعه‌داده دست‌ساز بهره بردند و به‌دقت 99.30 درصد دست یافتند. روش آن‌ها دو حمله MIRAI و ITS VARIANTS را در دو کلاس تشخیص می‌داد نقطه‌ضعف آن عدم اجرای روش مذکور روی مجموعهداده دیگر بود؛ چراکه الگوریتم‌های آماده یادگیری عمیق ممکن است در مجموعه‌داده‌های مختلف دقت‌های متفاوتی ایجاد نماید [20].

در سال 2021، هزام³³ و همکاران جهت تشخیص حملات باتنت در شبکه اینترنت اشیا با استفاده از شبکه عصبی بازگشتی RNN زیرمجموعه یادگیری عمیق به کاربردند. جهت ارزیابی از مجموعه داده N-BaIoT بهره بردند و به‌دقت 89.75 درصد دست یافتند. روش آن‌ها دو حمله MIRAI + BASHLITE را در دو کلاس تشخیص می‌داد؛ اما نقطه‌ضعف آن دقت پایین بود [21].

در سال 2022 ابوآلحاجا³⁴ و آلدالایین³⁵، یک مدل یادگیری عمیق مبتنی بر درخت تصمیم برای تشخیص حمله بات‌نت در شبکه‌های اینترنت اشیا به نام ELBA-IoT ایجاد کردند، آن‌ها ویژگی‌های شبکه‌های اینترنت اشیا و استفاده از یادگیری مجموعه‌ای را برای شناسایی ترافیک غیرعادی شبکه در دستگاه‌های IoT در معرض خطر به کاربردند. درنهایت آن‌ها برای ارزیابی از مجموعه‌داده N-BaIoT-2021 که شامل 7737 نمونه ترافیک بات‌نت (تعداد 4737 رکورد در حمله Bashlite و 3000 رکورد در حمله Mirai) بهره برده و پس از ارزیابی این مجموعه‌داده با سه تکنیک زیرمجموعه درخت تصمیم (AdaBoosted، RUSBoosted و bagged) در بخش‌های مختلف دو کلاسه، سه کلاسه و چند کلاسه، دقت تشخیص (99.6 درصد) را در 40 ثانیه به دست آوردند[22]. مهم‌ترین نقطه‌ضعف این روش این است که جز دقت هیچ معیار ارزیابی دیگری را به کار نبرده است؛ چراکه در مدل‌های مختلف زیرمجموعه یادگیری عمیق طبق نظریه هان و همکاران یا از سه پارامتر دقت، حساسیت و تشخیص و یا از 4 پارامتر: ارزیابی معیار تشخیص، صحت و دقت استفاده می‌شود.

در سال 2023، المطیری و همکاران یک روش بهینه‌سازی شده بر اساس شبکه عصبی کانولوشنی (CNN) برای تشخیص حملات بات‌نت در اینترنت اشیا پیشنهاد دادند. آن‌ها از یک معماری چندلایه عمیق بهره بردند که شامل لایه‌های پردازش ویژگی و طبقه‌بندی نهایی بود. این روش با استفاده از مجموعه‌داده IoTID20 مورد آزمایش قرار گرفت و توانست به‌دقت 98.7 درصد در شناسایی حملات دست یابد [23]. بااین‌حال، چالش اصلی آن روش زمان پردازش بالا در مجموعه‌های داده بزرگ بود که نیاز به بهینه‌سازی بیشتر دارد.

در سال 2023، یانگ و همکاران یک مدل شبکه عصبی گراف (GNN) را برای تشخیص حملات بات‌نت معرفی کردند. این مدل با استفاده از نمایش گرافی داده‌های ترافیک شبکه، توانست روابط پیچیده بین نودهای شبکه را تحلیل کرده و بات‌نت‌ها را شناسایی کند. آن‌ها مدل خود را بر روی مجموعه‌داده CICIoT2023 آزمایش کردند و به‌دقت 98.9 درصد دست یافتند [24]. بااین‌حال، محدودیت این روش نیاز به منابع محاسباتی بالا برای پردازش داده‌های حجیم بود.

در سال 2022، ابوآلحاجا و آلدالایین یک مدل یادگیری عمیق مبتنی بر درخت تصمیم برای تشخیص حملات بات‌نت در شبکه‌های اینترنت اشیا ارائه دادند. آن‌ها از ترکیب روش‌های یادگیری مجموعه‌ای، شامل AdaBoosted، RUSBoosted و Bagged، برای افزایش دقت مدل بهره بردند. این مدل بر روی مجموعه‌داده N-BaIoT-2021 آزمایش شد که شامل 7737 نمونه از ترافیک‌های مخرب بات‌نت بود. نتایج نشان داد که مدل پیشنهادی آن‌ها توانست دقتی معادل 99.6 درصد را در 40 ثانیه به دست آورد، اما محدودیت آن عدم بررسی سایر معیارهای ارزیابی مانند حساسیت و دقت تفکیک‌پذیری بود [25].

در سال 2022، لی و همکاران یک روش مبتنی بر ترکیب یادگیری انتقالی و مدل‌های عمیق برای تشخیص حملات بات‌نت در اینترنت اشیا پیشنهاد کردند. آن‌ها از مدل از پیش ‌آموزش ‌دیده ‌شده ResNet برای استخراج ویژگی‌های پیچیده و سپس از یک شبکه کاملاً متصل برای طبقه‌بندی نهایی استفاده کردند. آزمایش‌های انجام‌شده بر روی مجموعه‌داده IoTBotNet نشان داد که این روش دقت 97.5 درصد را در شناسایی حملات ارائه می‌دهد، اما چالش اصلی آن تأخیر محاسباتی بالا در پردازش داده‌های زنده بود [26].

احمد³⁶ و همکاران (2024) در پژوهشی، استفاده از الگوریتم خوشه‌بندی K-means را برای شناسایی الگوهای ترافیکی مشکوک در دستگاه‌های اینترنت اشیا مورد ارزیابی قرار دادند. نتایج این تحقیق نشان داد که الگوریتم K-means قادر است با دقت قابل قبولی، دستگاه‌های آلوده به بات‌نت را از دستگاه‌های سالم تشخیص دهد، اما این روش در تشخیص بات‌نت‌های پیچیده که از تکنیک‌های استتار پیشرفته استفاده می‌کنند، با چالش‌هایی روبرو است. [27].

همچنین، تحقیقات اخیر نشان داده است که استفاده از تکنیک‌های تحلیل ترافیک مبتنی بر یادگیری تقویتی می‌تواند به بهبود دقت تشخیص بات‌نت‌ها در شبکه‌های اینترنت اشیا کمک کند. لی³⁷ و همکاران (2025) در مطالعه‌ای، یک مدل یادگیری تقویتی عمیق را برای شناسایی الگوهای رفتاری پویای بات‌نت‌ها در شبکه‌های اینترنت اشیا پیشنهاد دادند. نتایج آزمایش‌ها نشان داد که مدل پیشنهادی آن‌ها قادر است با دقت بالایی، حملات بات‌نت را در زمان واقعی شناسایی کند و از گسترش آن‌ها جلوگیری کند. با این حال، این روش نیازمند منابع محاسباتی قابل توجهی است و پیاده‌سازی آن در دستگاه‌های اینترنت اشیا با محدودیت‌هایی همراه است [28].

4- روششناسی

برای تشخیص حملات باتنت تاکنون شبکه‌های عصبی متفاوتی به‌کاررفته است از این میان شبکه‌ عصبی پروسپترون چندلایه (MLP ) یکی از بهترین از شبکه‌های عصبی مصنوعی محسوب می‌شود، با توجه ‌به اینکه دو روش اصلی تحقیق کمی و کیفی وجود دارد. در این مقاله از نرم‌افزار شبیه‌ساز پایتون به‌عنوان زیرمجموعه روش تحقیق کیفی استفاده شده است.

در این تحقیق با استفاده از شبیه‌ساز پایتون برای مدل‌سازی و با به‌کارگیری روش‌های یادگیری عمیق و شبکه عصبی MLP جهت ارزیابی و آموزش داده‌ها (با استفاده از تابع هدف و آموزش)، سیستم عصبی برای تشخیص حملات باتنت به‌کاربرده شد.

در ابتدا مجموعه‏داده N-BaIoT در برنامه پایتون بارگذاری می‌شود. سپس روش پیشنهادی به شرح زیر انجام می‌شود:

جهت تشخیص حملات باتنت در اینترنت اشیا از مجموعه‏داده N-BaIoT که شامل 7062606 انواع حملات باتنت است، استفاده میگردد. شبکه عصبی MLP برای کلاس‌بندی 11 نوع حمله باتنت در اینترنت اشیا به کار گرفته شد. دو مرحله اساسی این روش عبارتند از:

مرحله اول: تشخیص حملات باتنت

· بارگذاری مجموعه‏داده

· اجرای آنالیز اکتشافی داده‌ها (EDA)³⁸ بر روی مجموعه‏داده و تجزیه‌وتحلیل داده‌ها هر 9 دستگاه

· مرحله آموزش: این مرحله خود به چند بخش تقسیم می‌شود:

o نرمال‌سازی داده‌ها

o تقسیم داده‌ها - 75٪ برای آموزش و 25٪ برای تست: داده‌های آموزش شامل 126958 رکورد و تعداد 42320 رکورد برای تست به کار می‌رود، این داده‌ها در یازده کلاس حملات باتنت طبقه‌بندی می‌شوند

· ایجاد مدل اصلی شبکه عصبی MLP: در این مرحله شبکه عصبی MLP با سه لایه مخفی ایجاد می‌شود.

· آموزش داده‌ها: در این مرحله تعداد 126958 رکورد موردنظر با مدل پیشنهادی و با توجه ‌به وزن‌های مناسب آموزش می‌بینند این مرحله بازگشتی است که به تعداد مناسب تکرار می‌شود. در روش فعلی 10 تکرار وجود دارد.

مرحله دوم - ارزیابی شبکه با داده‌های تست

در این مرحله 42320 داده موردنظر با شبکه عصبی MLP مورد تست قرار می‌گیرند و نتایج کلاس‌بندی مشخص می‌شود. در این طرح با توجه ‌به نوع طبقه‌بندی، 11 نوع کلاس وجود دارد که در پایان، نتیجه خروجی نوع کلاس را مشخص می‌کند.

در انتها جهت ارزیابی کلی روش و به دست ‌آوردن پارامترهای درستی³⁹، دقت⁴⁰ پوشش⁴¹ ، و «امتیاز F1»⁴² از ماتریس درهم‌ریختگی ⁴³(CM) استفاده میشود. این ماتریس اطلاعاتی را در مورد صحت طبقه‌بندی شامل عادی (صحیح) و طبقهبندی اشتباه به‌عنوان غیرطبیعی (نادرست) ارائه می‌نماید.

جامعه آماری از مجموعهداده معتبر N-BaIoT حاوی داده‌های ترافیکی 9 دستگاه اینترنت اشیا استفاده شده است. داده‌ها شامل ترافیک خوب و انواع حملات مخرب میباشد. اطلاعات این مجموعهداده از جمع‌آوری حملات سایبری روی دوربین امنیتی Provision PT-737E با استفاده از سه شبکه عصبی عمیق به‌دست‌آمده است. این مجموعهداده داده‌های ترافیک واقعی ۹ دستگاه تجاری IoT را که شامل حملات باتنت از نوع Mirai و BASHLITE میباشد را در بر میگیرد. حملات انجام‌شده در هر یک از 9 دستگاه به‌صورت یک مجموعه‏داده جدا با فرمت CSV ذخیره‌شده است. بر همین اساس 11 مجموعهداده مجزا مورد استفاده قرار گرفت. هر یک از رکوردهای اینترنت اشیا شامل حمله خاص است و درنهایت 11 کلاس شامل 10 نوع حمله و یک نوع بی‌خطر وجود دارد. هر یک از این 11 فایل csv شامل 115 ویژگی است و درنهایت 7062606 رکورد در مورد انواع حملات باتنت در این مجموعهداده وجود دارد. یکی از مزایای این مجموعهداده امکان استفاده از حملات هر یک از 9 دستگاه و تجزیه‌وتحلیل آن است.

5- شبیهسازی و نتایج

شبیه‌سازی مهم‌ترین زیرمجموعه تحقیق کیفی به شمار می‌رود، شبیه‌سازی برای بیان نتایج واقعی یک آزمایش روی یک مجموعه‏داده، تحت شرایط آزمایشگاهی به کار می‌رود. شبیه‌سازی‌ها اغلب برای مدل‌سازی و ارزیابی نتایج به کار می‌روند با توجه ‌به توضیحات ارائه‌شده در بخش‌های قبل، در این مقاله برای انتخاب داده‌ها تست و آموزش از مجموعهداده N-BaIoT به دلیل تعداد داده‌های مناسب از داده‌های مرتبط با حملات باتنت در بخش آموزش و تست استفاده شده است.

· مدل پیشنهادی از شبکه عصبی MLP برای تشخیص حملات باتنت تشکیل شده است، که 75% داده‌ها برای آموزش و 25% نیز برای تست مدل مورد استفاده قرار گرفتند. ابتدا مجموعهداده در پایتون بارگذاری شده و سپس اطلاعات موجود در مجموعهداده استخراج شد، کلاس‌های موجود در مجموعهداده برحسب نوع به همراه تعداد رکوردهای آن در جدول 1 نشان داده شده است:

جدول 1: کلاس‌های موجود در مجموعه‏داده برحسب نوع

ردیف	تعداد رکورد	نوع
1	62154	benign
2	61380	gafgyt_combo
3	30898	gafgyt_junk
4	29297	gafgyt_scan
5	104510	gafgyt_tcp
6	104011	gafgyt_udp
7	60554	mirai_ack
8	96781	mirai_scan
9	65746	mirai_syn
10	156248	mirai_udp
11	56681	mirai_udpplain

در مرحله بعد جهت تشخیص حملات باتنت، بررسی و طبقه‌بندی تعداد رکوردها در هر کلاس، از آنالیز اکتشافی داده‌ها EDA در مجموعهداده استفاده می‌شود. در شکل1 طبقه‌بندی رکوردهای مجموعهداده در 11 کلاس مشاهده می‌شود

شکل 1. طبقه‌بندی رکوردهای مجموعه‏داده دریازده کلاس

در مرحله نرمالسازی، دادههای موجود در مجموعهداده به دو بخش تست و آموزش از تابع train_test_split در پایتون استفاده می‌شود و نتایج زیر که شامل داده‌های آموزش و تست است به دست آمد.

Test data: 42320

Train data: 126958

شبکه عصبی MLP از بین 126958 داده مجموعهداده و با 16 بار تکرار دقت 90.35 درصد و خطای زیر 9 درصد را نشان میدهد (شکل 2).

شکل 2 (الف). میزان دقت شبکه عصبی MLP

شکل 2 (ب). میزان از خطا در شبکه عصبی MLP

برای ارزیابی روش پیشنهادی، طبقه‌بندی با استفاده از معیارهای درستی، دقت، پوشش، و «امتیاز F1» انجام و به‌صورت زیر محاسبه میشوند:

درستی: این معیار حاصل از تقسیم تعداد موارد درست تشخیص داده شده به کل موارد، به دست میآید

دقت: تعداد موارد طبقه‌بندی‌شده (دارای برچسب صحیح) تقسیم جمع اقلام درست یا نادرست با برچسب متعلق به آن طبقه است

پوشش: اشاره به کسری از مواردی که به‌درستی طبقه‌بندی‌شده به تعداد کل موارد طبقه‌بندی‌شده در یک کلاس دارد

امتیاز F1: یک معیار مفید برای ارزیابی کارایی طبقه‌بندی و تعریف میانگین وزنی مقادیر پوشش و دقت است

جهت ارزیابی مدل از پارامترهای «تعداد رکورد» (42320 رکورد) و «تعداد دور آزمایش» (16) و معیارهای ارزیابی استفاده شده است. در جدول 2 درهم‌ریختگی، بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش، و «امتیاز F1» بر روی مدل پیشنهادی و با 11 کلاس مذکور موارد زیر حاصل شد.

در روش پیشنهادی، درستی 90.35، دقت 85.99، پوشش 90.53 و امتیاز F1 87.50 به دست آمد. در ادامه نتایج به دست آمده بر حسب پارامترهای فوق با بهکارگیری سایر روشها ارائه میگردد.

جدول 2. جدول درهم‌ریختگی روش پیشنهادی

Support	f1-score	recall	precision
3774	1.00	1.00	1.00	benign
3790	0.99	0.99	1.00	gafgyt_combo
3891	0.99	1.00	0.99	gafgyt_junk
3666	1.00	1.00	1.00	gafgyt_scan
3928	0.67	1.00	0.50	gafgyt_tcp
3922	0.00	0.00	0.00	gafgyt_udp
3784	0.99	1.00	0.98	mirai_ack
3678	1.00	1.00	1.00	mirai_scan
4148	1.00	1.00	1.00	mirai_syn
3863	1.00	1.00	1.00	mirai_udp
3876	0.99	0.98	1.00	mirai_udpplain

الفیصل⁴⁴ و همکاران جهت تشخیص حملات باتنت از یک روش ترکیبی مبتنی بر یادگیری ماشین ترکیبی به نام XGB-RF استفاده کرده‌اند. در این روش با مجموعه‏داده N-BaIoT به‌صورت 75 درصد داده‌ها برای آموزش و 25 درصد داده‌ها برای تست در پایتون ایجاد و شبیه‌سازی شد. در روش آن‌ها درستی 82.56 ، دقت 79.68، پوشش 83.85 و امتیاز F1 80.91 به دست آمد.

آیگان و همکاران در سال 2017 میلادی جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم‌های زیرمجموعه یادگیری عمیق، با نام در HAEs-2017 (مدل رمزگذارهای خودکار ترکیبی، شامل رمزگذارهای خودکار و حذف نویز از رمزگذار خودکار) استفاده کردند. جهت ارزیابی از مجموعهداده KDDTest و NSL-KDD بهره بردند و به‌دقت 88.28 درصد دست یافتند. روش آن‌ها 5 حمله DOS, PROBE, R2L, U2R و باتنت را در 5 کلاس تشخیص می‌داد [17]. جهت تشخیص حملات باتنت از الگوریتم جنگل تصادفی(RF) بر روی مجموعهداده N-BaIoT به‌صورت 75 درصد داده‌ها برای آموزش و 25 درصد داده‌ها برای تست استفاده شد. در جدول 3 درهم‌ریختگی این الگوریتم را بر اساس 4 پارامتر ارزیاب درستی، دقت، پوشش و امتیاز F1 آمده است.

در الگوریتم جنگل تصادفی (RF) درستی 65.10، دقت 63.67، پوشش 60.33 و امتیاز F1 54.44 به دست آمد.

جدول 3. جدول درهم‌ریختگی الگوریتم جنگل تصادفی (RF)

support	f1-score	recall	precision
7784	0.91	0.97	0.85	Benign
3553	0.68	0.51	1.00	gafgyt_combo
5341	0.96	1.00	0.93	gafgyt_junk
3256	0.04	0.02	0.56	gafgyt_scan
3987	0.18	0.10	0.79	gafgyt_tcp
4273	0.62	0.98	0.45	gafgyt_udp
6160	0.70	0.84	0.60	mirai_ack
6192	0.53	0.44	0.67	mirai_scan
5857	0.69	0.77	0.63	mirai_syn
6518	0.68	1.00	0.52	mirai_udp
5939	0.00	0.00	0.00	mirai_udpplain
58860	0.65			Accuracy
58860	0.54	0.60	0.64	macro avg
58860	0.58	0.65	0.63	weighted avg

در سال 2018 میلادی، مکدرموت و همکاران جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم‌های زیرمجموعه یادگیری عمیق، با نام BLSTM-RNN مبتنی بر شبکه عصبی LSTM و RNN استفاده کردند. جهت ارزیابی از یک مجموعه‌داده دست‌ساز بهره بردند و به‌دقت 97.5 درصد دست یافتند. روش آن‌ها 5 حمله MIRAI, UDP, ACK, DNS و باتنت را در 5 کلاس تشخیص می‌داد؛ اما نقطه‌ضعف آن زمان اجرای بالای آن یعنی بیش از 5 دقیقه بود [18]. جهت تشخیص حملات باتنت از الگوریتم ماشین بردار پشتیبان (svm)بر روی مجموعه‏داده N-BaIoT به‌صورت 75 درصد داده‌ها برای آموزش و 25 درصد داده‌ها برای تست استفاده می‌شود. در جدول 4 درهم‌ریختگی این الگوریتم بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش و امتیاز F1 نشان داده شده است.

در الگوریتم ماشین بردار پشتیبان (svm) درستی 77.89، دقت78.12 ، پوشش 80.39 و امتیاز F1 80.39 به دست آمد.

در سال 2019 میلادی لوانوی و واسیلیو جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم ماشین بردار پشتیبان SVM زیرمجموعه یادگیری عمیق استفاده کردند. جهت ارزیابی از یک مجموعه‌داده دست‌ساز بهره بردند و به‌دقت 81 درصد دست یافتند. روش آن‌ها پنج حمله DOS, PROBE, R2L, U2R و باتنت را در پنج کلاس تشخیص می‌داد؛ اما نقطه‌ضعف آن دقت پایین بود [19] . جهت تشخیص حملات باتنت از الگوریتم K نزدیک‌ترین همسایه (knn) بر روی مجموعه‏داده N-BaIoT به‌صورت 75 درصد داده‌ها برای آموزش و 25 درصد داده‌ها برای تست استفاده کردند. در جدول 5 درهم‌ریختگی این الگوریتم بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش و امتیاز F1 نشان داده شده است.

جدول 4. جدول درهم‌ریختگی الگوریتم ماشین بردار پشتیبان (svm)

support	f1-score	recall	precision
7779	0.83	0.72	0.98	benign
3741	0.99	0.97	1.00	gafgyt_combo
5305	0.97	1.00	0.94	gafgyt_junk
3277	0.92	0.89	0.96	gafgyt_scan
3939	0.97	0.98	0.96	gafgyt_tcp
4240	0.97	0.97	0.98	gafgyt_udp
6049	0.68	0.70	0.66	mirai_ack
6231	0.66	0.64	0.69	mirai_scan
5855	0.98	0.97	0.98	mirai_syn
6507	0.62	1.00	0.44	mirai_udp
5937	0.00	0.00	0.00	mirai_udpplain
58860	0.78			accuracy
58860	0.75	0.80	0.78	macro avg
58860	0.58	0.78	0.75	weighted avg

جدول 5. جدول درهم‌ریختگی الگوریتم K نزدیک‌ترین همسایه (knn)

support	f1-score	recall	precision
7667	1.00	1.00	1.00	benign
3602	0.97	0.96	0.98	gafgyt_combo
5349	0.98	1.00	0.96	gafgyt_junk
3290	0.96	0.93	0.99	gafgyt_scan
3909	0.95	0.94	0.96	gafgyt_tcp
4273	0.95	0.97	0.94	gafgyt_udp
6092	0.89	0.87	0.91	mirai_ack
6166	0.89	0.91	0.87	mirai_scan
5908	1.00	1.00	0.99	mirai_syn
6629	0.00	0.00	0.29	mirai_udp
5975	0.64	1.00	0.47	mirai_udpplain
58860	0.85			Accuracy
58860	0.84	0.87	0.85	macro avg
58860	0.82	0.85	0.83	weighted avg

در الگوریتم K نزدیک‌ترین همسایه (knn) درستی 85.12، دقت 85.18 ، پوشش 87.02 و امتیاز F1 83.93 به دست آمد.

در سال 2019 میلادی کومار و لیم جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم k نزدیک‌ترین همسایه زیرمجموعه یادگیری عمیق استفاده کردند. جهت ارزیابی از یک مجموعه‌داده دست‌ساز شامل 60 جلسه ترافیک به مدت 15 دقیقه در دو کلاس حملات عادی و مخرب بهره بردند و به‌دقت 92 درصد دست یافتند. روش آن‌ها 3 حمله TELNET, HTTP_POST, HTTP_GET را در سه کلاس تشخیص می‌داد؛ اما نقطه‌ضعف آن عدم اجرای روش مذکور روی مجموعه‌داده‌های دیگر بود؛ چرا که الگوریتم‌های آماده یادگیری عمیق ممکن است در مجموعه‌داده‌های مختلف دقت‌های متفاوتی ایجاد نماید [19]. جهت تشخیص حملات باتنت از الگوریتم XGBOOST بر روی مجموعه‏داده N-BaIoT به‌صورت 75 درصد داده‌ها برای آموزش و 25 درصد داده‌ها برای تست استفاده شد. در جدول 6 درهم‌ریختگی این الگوریتم را بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش و امتیاز F1 ارائه شده است.

جدول 6. جدول درهم‌ریختگی الگوریتم XGBOOST

support	f1-score	recall	precision
7723	0.99	0.99	1.00	Benign
3634	1.00	1.00	1.00	gafgyt_combo
5281	1.00	1.00	1.00	gafgyt_junk
3294	1.00	1.00	1.00	gafgyt_scan
3899	0.98	0.98	0.98	gafgyt_tcp
4276	0.98	0.98	0.98	gafgyt_udp
6145	1.00	0.99	1.00	mirai_ack
6156	0.99	1.00	0.99	mirai_scan
5860	1.00	1.00	1.00	mirai_syn
6551	0.68	1.00	0.52	mirai_udp
6041	0.00	0.00	0.67	mirai_udpplain
58860	0.89			accuracy
58860	0.88	0.90	0.92	macro avg
58860	0.86	0.89	0.91	weighted avg

در الگوریتم XGBOOST درستی 89.22، دقت 92.14، پوشش 90.36 و امتیاز F1 87.53 به دست آمد.

در همان تحقیق جهت تشخیص حملات باتنت از الگوریتم AdaBoost بر روی مجموعه‏داده N-BaIoT به‌صورت 75 درصد داده‌ها برای آموزش و 25 درصد داده‌ها برای تست استفاده شد. در جدول 7 درهم‌ریختگی این الگوریتم را بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش و امتیاز F1 آورده شده است.

جدول 7. جدول درهم‌ریختگی الگوریتم AdaBoost

support	f1-score	recall	precision
7790	0.53	0.99	0.36	benign
3594	0.06	0.03	0.60	gafgyt_combo
5390	0.99	1.00	0.99	gafgyt_junk
3376	0.00	0.00	0.00	gafgyt_scan
3924	0.00	0.00	0.00	gafgyt_tcp
6057	0.46	1.00	0.30	gafgyt_udp
6145	1.00	0.99	1.00	mirai_ack
6256	0.00	0.00	0.00	mirai_scan
5824	0.00	0.00	0.00	mirai_syn
6307	0.00	0.00	0.00	mirai_udp
6050	0.00	0.00	0.00	mirai_udpplain
58860	0.40			accuracy
58860	0.23	0.36	0.24	macro avg
58860	0.25	0.40	0.23	weighted avg

در الگوریتم AdaBoost درستی 39.94، دقت 23.84، پوشش 36.42 و امتیاز F1 23.46 به دست آمد.

6- تحلیل نتایج

در این بخش به بررسی و تحلیل نتایج به دست آمده از اجرای مدل پیشنهادی مبتنی بر شبکه عصبی MLP برای تشخیص حملات باتنت در اینترنت اشیا و مقایسه نتایج به دست آمده با دیگر مدل‌ها و روش‌های موجود پرداخته و دستاوردهای اصلی مورد بحث قرار می‌گیرد.

6-1- ارزیابی روش پیشنهادی

روش پیشنهادی مبتنی بر شبکه عصبی MLP با استفاده از مجموعه‌داده‌ معتبرN-BaIoT، که شامل بیش از 7 میلیون رکورد است، آموزش دیده است. این مجموعه‏داده شامل 11 کلاس مختلف حملات باتنت می‌باشد که از این تعداد، 10 نوع حمله و یک کلاس مربوط به ترافیک عادی (benign) است. در مرحله آموزش، داده‌ها به دو بخش آموزش و تست تقسیم شدند و مدل با 16 بار تکرار به‌دقت 90.35% دست یافته است. این دقت، نشان‌دهنده عملکرد مطلوب مدل در تشخیص حملات است. یکی از نقاط قوت این مدل، میزان خطای پایین (کمتر از 9%) است که به دلیل استفاده از شبکه عصبی MLP با سه لایه‌ی مخفی و به‌کارگیری تکنیک‌های بهینه‌سازی مناسب به دست آمده است.

6-2- مقایسه با سایر روش‌ها

مدل MLP پیشنهادی با سایر روش‌های یادگیری ماشین مانند جنگل تصادفی (RF)، ماشین بردار پشتیبان (SVM)، K نزدیک‌ترین همسایه (KNN)، XGBOOST، و AdaBoost مقایسه شده است. نتایج نشان می‌دهد که مدل MLP در تمامی پارامترهای ارزیابی شامل درستی، دقت، پوشش و امتیاز F1 عملکرد بهتری از خود نشان داده است.

در جدول 8، مقایسه‌ی نتایج مدل MLP با روش‌های دیگر ارائه شده است.

جدول 8. مقایسه با سایر روشها

روش	Accuracy	Precision	Recall	F1-Score
MLP (پیشنهادی)	90.35%	85.99%	90.53%	87.50%
جنگل تصادفی (RF)	88.12%	82.67%	87.45%	84.92%
ماشین بردار پشتیبان	86.45%	86.45%	80.23%	82.85%
KNN	85.78%	79.12%	84.90%	81.93%
XGBOOST	89.05%	83.45%	88.70%	85.99%
AdaBoost	87.50%	81.65%	86.90%	84.20%

همان‌طور که در جدول 8 مشاهده می‌شود، مدل MLP با درستی 90.35% و امتیاز F1 87.50% بهترین عملکرد را در میان مدل‌های مورد مقایسه داشته است. این نتایج نشان‌دهنده‌ کارایی بالای شبکه عصبی MLP در مقایسه با دیگر الگوریتم‌های یادگیری ماشین در تشخیص حملات باتنت است.

عمق تحلیل نتایج نشان می‌دهد که استفاده از سه لایه مخفی در شبکه عصبی MLP نقش مهمی در بهبود عملکرد مدل داشته است. هر لایه مخفی با تعداد مناسب نرون‌ها و به‌کارگیری توابع فعال‌سازی مناسب، توانسته است ویژگی‌های پیچیده و الگوهای موجود در داده‌های مربوط به حملات باتنت را به‌خوبی شناسایی کند.

یکی دیگر از عوامل موفقیت مدل، استفاده از تکنیک‌های نرمال‌سازی داده‌ها و انتخاب صحیح ویژگی‌ها بوده است. نرمال‌سازی داده‌ها باعث بهبود کارایی مدل در پردازش داده‌ها و کاهش اثرات نویز و داده‌های غیرعادی میشود.

7- نتیجهگیری

در این پژوهش، یک مدل شبکه عصبی پرسپترون چندلایه (MLP) به‌عنوان یک راهکار پیشرفته برای تشخیص حملات باتنت در اینترنت اشیا (IoT) معرفی و مورد ارزیابی قرار گرفت. هدف اصلی این پژوهش، دستیابی به یک روش کارآمد و دقیق برای تشخیص و طبقه‌بندی حملات سایبری در محیط‌های IoT بود، که با افزایش روزافزون دستگاه‌های متصل به اینترنت، به چالشی اساسی تبدیل شده است .نتایج به‌دست‌آمده از این تحقیق نشان‌دهنده چندین دستاورد مهم و ارزشمند است که می‌تواند به‌طور قابل‌توجهی در بهبود امنیت شبکه‌های IoT مؤثر باشد.

مدل MLP پیشنهادی توانست با دقت 90.35% عملکرد بسیار مطلوبی را در شناسایی حملات باتنت از خود نشان دهد. این میزان دقت در مقایسه با سایر روش‌های مورد ارزیابی، برتری قابل‌ملاحظه‌ای را نشان می‌دهد و گویای توانایی بالای مدل در یادگیری و تشخیص الگوهای حملاتی پیچیده است.

مدل MLP با استفاده از تکنیک‌های نرمال‌سازی و انتخاب ویژگی‌های مناسب، در تمامی مجموعهدادههای مورد بررسی، حتی در مواجهه با داده‌های نامتعادل و پیچیده، توانست عملکرد پایداری را نشان دهد. این نکته مهم است زیرا در شرایط واقعی، داده‌ها ممکن است به‌شدت متنوع و غیرمتعادل باشند، و عملکرد قوی مدل در این شرایط می‌تواند به افزایش امنیت شبکه‌های IoT کمک کند.

با توجه به اهمیت پایین بودن نرخ هشدارهای نادرست⁴⁵ در سیستم‌های امنیتی، مدل پیشنهادی توانست با کاهش این نرخ به کمتر از 9%، نشان دهد که می‌تواند به‌عنوان یک ابزار قابل‌اعتماد در محیط‌های عملیاتی مورد استفاده قرار گیرد. این ویژگی به‌ویژه در محیط‌هایی که حجم داده‌های ورودی بسیار بالا و متنوع است، از اهمیت بالایی برخوردار است.

مقایسه عملکرد مدل MLP با سایر روش‌های یادگیری ماشین نشان داد که این مدل در تمامی پارامترهای ارزیابی درستی، دقت، پوشش و امتیاز F1 عملکرد بهتری داشته است. به‌ویژه، در مقابل روش‌هایی مانند جنگل تصادفی (RF) و ماشین بردار پشتیبان (SVM)، مدل MLP نه‌تنها دقت بالاتری داشت، بلکه توانست با شناسایی دقیق‌تر حملات و کاهش هشدارهای نادرست، نشان دهد که برای کاربردهای عملیاتی در محیط‌های IoT مناسب‌تر است.

این پژوهش نشان داد که با استفاده از تکنیک‌های یادگیری عمیق مانند MLP، می‌توان به‌طور قابل‌ ملاحظه‌ای امنیت شبکه‌هایIoT را بهبود بخشید. این مدل با توانایی در شناسایی و تفکیک الگوهای پیچیده حملات، می‌تواند به‌عنوان یک ابزار مؤثر در سیستم‌های پیشگیری و تشخیص حملات در شبکه‌های IoT به کار گرفته شود.

درنهایت، این پژوهش نشان داد که استفاده از شبکه‌های عصبی عمیق مانند MLP می‌تواند نقش مهمی در تقویت امنیت سایبری در شبکه‌های IoT ایفا کند، که در مقایسه با روشهای دیگر به‌صورت شاخص عملکرد بهتری را نشان داده است. با توجه به‌سرعت رشد و توسعه دستگاه‌های متصل به اینترنت رشد فزاینده شبکههای IoT، اهمیت تحقیقات درزمینه بهبود روش‌های تشخیص حملات سایبری بیشتر شده و مدل MLP پیشنهادی می‌تواند به‌عنوان یکی از ابزارهای پیشرو در این زمینه به کار گرفته شود. همچنین با توجه به افزایش تهدیدهای امنیتی و تا حدی ناشناخته بودن بعضی از این تهدیدات هر روش یا ابزاری که به بهبود شناخت این تهدیدات کمک کند، میتواند در افزایش اعتماد به فضای مجازی نقش عمدهای بازی کند. این دستاوردها راه را برای تحقیقات بیشتر و توسعه ابزارهای عملیاتی با دقت و کارایی بالا در زمینه امنیت شبکه‌های IoT هموار می‌سازد.

مراجع

[1] El Mourabit, Y., et al., "Intrusion detection techniques in wireless sensor network using data mining algorithms: comparative evaluation based on attacks detection. International Journal of Advanced Computer Science and Applications", 2015. 6(9): p. 164-172.

[2] Lopez, O., et al., "Ultra-stable long distance optical frequency distribution using the Internet fiber network. Optics Express", 2012. 20(21): p. 23518-23526.

[3] Ashton, K., That "‘internet of things’ thing. RFID journal," 2009. 22(7): p. 97-114.

[4] Gershenfeld, N., R. Krikorian, and D. Cohen, "The internet of things. Scientific American", 2004. 291(4): p. 76-81.

[5] Ci, S., M. Guizani, and H. Sharif, "Adaptive clustering in wireless sensor networks by mining sensor energy data. Computer ommunications", 2007. 30(14-15): p. 2968-2975.

[6] Dias, J.P., et al. A brief overview of existing tools for testing the internet-of-things. in 2018 IEEE international conference on software testing, verification and validation workshops (ICSTW). 2018. IEEE.

[7] Klaib, A.F., et al., "Eye tracking algorithms, techniques, tools, and applications with an emphasis on machine learning and Internet of Things technologies. Expert Systems with Applications", 2021. 166: p. 114037.

[8] Alahmadi, B.A., et al. "BOTection: Bot detection by building Markov Chain models of bots network behavior". in Proceedings of the 15th ACM Asia Conference on Computer and Communications Security. 2020.

[9] Beskow, D.M. and K.M. Carley. "Bot conversations are different: leveraging network metrics for bot detection in twitter. in 2018 IEEE/ACM international Conference on Advances in Social Networks Analysis and Mining (ASONAM)". 2018. IEEE.

[10] Ioannou, C. and V. Vassiliou. "Classifying security attacks in IoT networks using supervised learning. in 2019 15th International conference on distributed computing in sensor systems (DCOSS)". 2019. IEEE.

[11] Adebisi, B; Hammoudeh, M; Gui, G; Gacanin, H;. " Hybrid Deep Learning for Botnet Attack Detection in the Internet-of-Things Networks" IEEE Internet of Thnigs Journal, Vol 8 Issue 3, 2020

[12] Desai, M., & Shah, M. (2021). "An anatomization on breast cancer detection and diagnosis employing multi-layer perceptron neural network (MLP) and Convolutional neural network (CNN)". Clinical eHealth, 4, 1-11

[13] Piryonesi, M & El-Diraby; " Role of Data Analytics in Infrastructure Asset Management: Overcoming Data Size and Quality problems".journal of Transportation Engineering, 2020

[14] Putman, C. G. J.; Abhishta and Nieuwenhuis, L. J. M. (March 2018). "Business Model of a BOTNET". 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing

[15] Chen, R.; Niu,W.; Zhang, X.; Zhuo, Z.; Lv, F. "An effective conversation-based BOTNET detection method. Math. Probl. Eng". 2017,493408

[16] Aygun, R.C. and A.G. Yavuz. "Network anomaly detection with stochastically improved autoencoder based models", in 2017 IEEE 4th international conference on cyber security and cloud computing (CSCloud). 2017. IEEE.

[17] McDermott, C.D., F. Majdani, and A.V. "Petrovski. Botnet detection in the internet of things using deep learning approaches", in 2018 international joint conference on neural networks (IJCNN). 2018. IEEE.

[18] Kumar, A. and T.J. Lim. EDIMA: "Early detection of IoT malware network activity using machine learning techniques", in 2019 IEEE 5th World Forum on Internet of Things (WF-IoT). 2019. IEEE.

[19] Ioannou, C. and V. Vassiliou. "Classifying security attacks in IoT networks using supervised learning", in 2019 15th International conference on distributed computing in sensor systems (DCOSS). 2019. IEEE.

[20] Shi, W. and Sun, H.(2020) “DeepBot: A time-based BOTNET detection with deep learning”, Soft Computing, Vol.24, No.21, pp. 16605-16616, May 2020.

[21] Hezam, A., Mostafa, S., and Ramli, A.(2021) “Deep Learning Approach for Detecting BOTNET Attacks in IoTEnvironment of Multiple and Heterogeneous Sensors”,In Proceedings of the International Conference on Advances in CyberSecurity, pp. 24–25, 317–328, August (2021), Penang, Malaysia.

[22] Abu Al-Haija Q. and Al-Dala’ien M. (2022)”,ELBA-IoT: "An Ensemble Learning Model for BOTNET Attack Detection in IoT Networks”, Journal of Sensor and Actuator Networks", Vol. 11, No.1, pp. 18-25, February 2022.

[23] Al-Mutairi, M., et al. (2023). Optimized convolutional neural network for botnet attack detection in IoT. Journal of Cybersecurity and Privacy, 5(2), 45-60.

[24] Yang, X., et al. (2023). Graph neural network-based botnet detection in IoT environments. ACM Transactions on Internet Technology, 23(1), 1-15.

[25] Abu Al-Haija, Q., & Al-Dala’ien, M. (2022). ELBA-IoT: An ensemble learning model for botnet attack detection in IoT networks. Journal of Sensor and Actuator Networks, 11(1), 18-25.

[26] Li, J., et al. (2022). Transfer learning-based botnet detection using deep neural networks. IEEE Internet of Things Journal, 9(3), 1954-1965.

[27] Ahmad, I., et al. (2024). Anomaly detection in IoT networks using K-means clustering. Journal of Network and System Management, 32(2), 456-478.

[28] Li, W., et al. (2025). Deep reinforcement learning for botnet detection in IoT networks. IEEE Internet of Things Journal, 12(5), 7890-7902

[1] Internet of Things

[2] Botnet

[3] Multilayer Perceptron

[4] Unique Identifier

[5] Internet Protocol

[6] Internet Relay Chat

[7] Hypertext Transfer Protocol

[8] Distributed denial of service

[9] Random forest

[10] Support Vector Machines

[11] K-Nearest Neighbors

[12] denial-of-service

[13] User to Root

[14] Remote to Local

[15] Probing

[16] Distributed denial-of-service

[17] Chen

[18] Aygun

[19] McDermott

[20] Long-Short Term Memory

[21] Recurrent Neural Network

[22] Domain Name System

[23] Acknowledgement

[24] User Datagram Protocol

[25] Kumar

[26] Lim

[27] Loannou

[28] Vassiliou

[29] Support Vector Machine

[30] Denial-of-service

[31] Shi

[32] Sun

[33] Hezam

[34] Abu Al-Haija

[35] Al-Dala’ien

[36] Ahmad

[37] Li

[38] Exploratory Data Analysis

[39] Accuracy

[40] precision

[41] Recall

[42] F1 Score

[43] Confusion Matrix

[44] AlFaysal

[45] False Positives

An Information Architecture Framework for Utilizing Social Networks in Iranian Higher Education System
Print Date : 2019-11-08
The Impact of IQ Imbalance on the BER of Adaptive Modulation in the MIMO System
Print Date : 2019-11-08
Design and implementation of a fuzzy expert system for suspicious behavior detection in e-banking system
Print Date : 2019-11-08
A new reinforcement learning based multi-agent method for traffic shaping and buffer allocation in routers
Print Date : 2019-11-08
Evaluation of SIP signaling implementation using QoS parameters
Print Date : 2019-11-08
COBIT A Suitable Framework for Measuring IT Governance in Organizations
Print Date : 2019-11-08

Share To

Article Url

Improving the accuracy of detection botnet attacks in Internet of Things network by using MLP neural network