Improving the accuracy of detection botnet attacks in Internet of Things network by using MLP neural network
Subject Areas : ICTSafieh Siadat 1 , Amir Tajfar 2 *
1 - Department of Computer, University of Payam Noor, Tehran, Iran
2 -
Keywords: Botnet, neural network, Internet of Things, Deep Learning,
Abstract :
Due to the increasing use of the Internet of Things around the world and the exponential increase in the number of devices connected to the network and the communication between them, the potential for security problems is increasing. Considering that many personal and public devices are connected to this network, any security problem can have unpredictable and significant consequences. Internet of Things applications include smart cities, smart transportation, responsive environments, and some other specific things that are directly controlled by users or digital devices, cyber-attacks through the Internet of Things and smart digital devices is the most important threat for these networks. So far, numerous researches have been conducted to detect Internet of Things attacks, in particular botnet attacks, as one of the most important attacks in this field. But the lack of a method that uses machine learning methods with high accuracy and low error to detect these attacks is strongly felt. In this research, by using the N-BaIoT dataset and Python simulator for modeling and also using deep learning methods and MLP neural network to evaluate and train the data (using the objective function and training), the neural system was used for detecting botnet attacks. This method obtained accuracy 90.35, precision 85.99, recall 90.53 and f1-score 87.50. Compared to other machine learning methods including random forest algorithm (RF), support vector machine algorithm (svm), K nearest neighbor algorithm (knn), XGBOOST algorithm, AdaBoost algorithm, the best result was obtained in all 4 evaluation parameters.
[1] El Mourabit, Y., et al., "Intrusion detection techniques in wireless sensor network using data mining algorithms: comparative evaluation based on attacks detection. International Journal of Advanced Computer Science and Applications", 2015. 6(9): p. 164-172.
[2] Lopez, O., et al., "Ultra-stable long distance optical frequency distribution using the Internet fiber network. Optics Express", 2012. 20(21): p. 23518-23526.
[3] Ashton, K., That "‘internet of things’ thing. RFID journal," 2009. 22(7): p. 97-114.
[4] Gershenfeld, N., R. Krikorian, and D. Cohen, "The internet of things. Scientific American", 2004. 291(4): p. 76-81.
[5] Ci, S., M. Guizani, and H. Sharif, "Adaptive clustering in wireless sensor networks by mining sensor energy data. Computer ommunications", 2007. 30(14-15): p. 2968-2975.
[6] Dias, J.P., et al. A brief overview of existing tools for testing the internet-of-things. in 2018 IEEE international conference on software testing, verification and validation workshops (ICSTW). 2018. IEEE.
[7] Klaib, A.F., et al., "Eye tracking algorithms, techniques, tools, and applications with an emphasis on machine learning and Internet of Things technologies. Expert Systems with Applications", 2021. 166: p. 114037.
[8] Alahmadi, B.A., et al. "BOTection: Bot detection by building Markov Chain models of bots network behavior". in Proceedings of the 15th ACM Asia Conference on Computer and Communications Security. 2020.
[9] Beskow, D.M. and K.M. Carley. "Bot conversations are different: leveraging network metrics for bot detection in twitter. in 2018 IEEE/ACM international Conference on Advances in Social Networks Analysis and Mining (ASONAM)". 2018. IEEE.
[10] Ioannou, C. and V. Vassiliou. "Classifying security attacks in IoT networks using supervised learning. in 2019 15th International conference on distributed computing in sensor systems (DCOSS)". 2019. IEEE.
Journal of Information and
Communication Technology
Volume 17, Issue 63-64, Spring and Summer 2025, pp. 269-282
Improving the Accuracy of Detection Botnet Attacks in Internet of Things Network by Using MLP Neural Network
Safieh Siadat1, Amir Houshang Tajfar21
1 Department of Computer, University of Payam Noor, Tehran, Iran
2* Department of Computer, University of Payam Noor, Tehran, Iran
Received: 30 October 2024, Revised: 05 May 2025, Accepted: 07 May 2025
Paper type: Research
Abstract
Due to the increasing use of the Internet of Things around the world and the exponential increase in the number of devices connected to the network and the communication between them, the potential for security problems is increasing. Considering that many personal and public devices are connected to this network, any security problem can have unpredictable and significant consequences. Internet of Things applications include smart cities, smart transportation, responsive environments, and some other specific things that are directly controlled by users or digital devices, cyber-attacks through the Internet of Things and smart digital devices is the most important threat for these networks. So far, numerous researches have been conducted to detect Internet of Things attacks, in particular botnet attacks, as one of the most important attacks in this field. But the lack of a method that uses machine learning methods with high accuracy and low error to detect these attacks is strongly felt. In this research, by using the N-BaIoT dataset and Python simulator for modeling and also using deep learning methods and MLP neural network to evaluate and train the data (using the objective function and training), the neural system was used for detecting botnet attacks. This method obtained accuracy 90.35, precision 85.99, recall 90.53 and f1-score 87.50. Compared to other machine learning methods including random forest algorithm (RF), support vector machine algorithm (svm), K nearest neighbor algorithm (knn), XGBOOST algorithm, AdaBoost algorithm, the best result was obtained in all 4 evaluation parameters (accuracy, precision, recall and f1-score).
Keywords: Botnet, neural network, Internet of Things, Deep Learning
بهبود دقت تشخیص حملات باتنت در شبکههای اینترنت اشیا با استفاده از شبکه عصبی MLP
صفیه سیادت1، امیرهوشنگ تاجفر 22
1 گروه کامپیوتر و فناوری اطلاعات، دانشگاه پیام نور، ایران، تهران
2 گروه کامپیوتر و فناوری اطلاعات، دانشگاه پیام نور، ایران، تهران
تاریخ دریافت: 09/08/1403 تاریخ بازبینی: 15/02/1404 تاریخ پذیرش: 17/02/1404
نوع مقاله: پژوهشی
چکيده
گسترش فزاینده استفاده از اینترنت اشیا در سراسر جهان و افزایش تصاعدی تعداد دستگاههای متصل به شبکه و ارتباط بین آنها، پتانسیل مشکلات امنیتی در حال افزایش است. با توجه به اتصال بسیاری از دستگاهها به این شبکه، هرگونه مشکل امنیتی میتواند تبعات غیرقابلپیشبینی و جبرانناپذیری را به دنبال داشته باشد. برنامههای کاربردی اینترنت اشیا شامل شهرهای هوشمند، حملونقل هوشمند، محیطهای پاسخگو و برخی از موارد خاص دیگر که مستقیماً توسط کاربران یا وسیله دیجیتال کنترل میشوند، هستند، بنابراین مهمترین خطر موجود، حملات سایبری از طریق اینترنت اشیا و وسایل دیجیتال هوشمند است. تحقیقات زیادی برای تشخیص حملات اینترنت اشیا بهخصوص حملات باتنت بهعنوان یکی از مهمترین حملات این حوزه انجام شده است؛ اما فقدان روشی که با استفاده از روشهای یادگیری ماشین با دقت بالا و خطای کم به تشخیص این حملات بپردازد بهشدت احساس میشود. در این تحقیق با استفاده از مجموعهداده N-BaIoT و شبیهساز پایتون برای مدلسازی و با بهکارگیری روشهای یادگیری عمیق و شبکه عصبی MLP جهت ارزیابی و آموزش دادهها (با استفاده از تابع هدف و آموزش)، سیستم عصبی برای تشخیص حملات باتنت به کار برده شد. این روش Accuracy 90.35، Precision 85.99، Recall 90.53 و F1-Score 87.50 به دست آورد و در مقایسه با سایر روشهای یادگیری ماشین شامل الگوریتم جنگل تصادفی (RF)، الگوریتم ماشین بردار پشتیبان (SVM)، الگوریتم K نزدیکترین همسایه (KNN)، الگوریتم XGBOOST، الگوریتم AdaBoost در هر چهار پارامتر ارزیابی Accuracy،Precision ، Recall وF1-Score بهترین نتیجه را کسب کرد، که نشاندهنده عملکرد شاخص روش پیشنهادی میباشد.
کلیدواژگان: باتنت، اینترنت اشیا، شبکه عصبی، یادگیری عمیق
[1] * Corresponding Author’s email: amir.tajfar@pnu.ac.ir
[2] * رایانامة نويسنده مسؤول: amir.tajfar@pnu.ac.ir
1- مقدمه
اینترنت اشیا1 بهسرعت در حال گسترش است و تعداد دستگاهها و تجهیزات متصل به اینترنتت اشیا روزبهروز افزایش مییابد. ايده اينترنت اشیاء، اتصال همه چیز در جهان، به اينترنت است. اينترنت اشیاء از سه مفهوم اينترنت-گرايی، اشیاء-گرايی و معنا-گرايی تحقق مییابد [1]. ايده اصلی اين است که اشیاء يا چیزهايی مانند برچسبهای شناسايی با فرکانسهای راديويی، حسگرها، تلفنهای موبايل و غیره که الگوی آدرسدهی منحصربهفردی دارند، میتوانند با يکديگر و محیط اطراف خود، برای رسیدن به اهداف یا منظور خاص مشترک همکاری کنند [2]. اينترنت اشیاء، بهطور چشمگیری زندگی ما را در آيندههای نزديک تغییر خواهد داد و بسیاری از ناممکنها را ممکن خواهد ساخت. حجم عظیم دادههای تولید شده يا جمعاوری شده توسط تجهیزات اينترنت اشیاء، حاوی مطالعات ارزشمند و قابل استفاده است و با رواج دستگاههای توسعهيافته فناوری بیسیم مانند بلوتوث، شناسايی با فرکانس راديويی و خدمات داده بر روی تلفن و همچنین حسگر و محرک و نودهای تعبیه شده در وسايل، شبکههای حسگر بیسیم، باعث شده تا اينترنت اشیاء مراحل ابتدايی خود را پشت سر گذاشته و در آستانه تبديل اينترنت ايستای کنونی، به اينترنت کامل و يکپارچه در آينده است [3].
کشف دانش از طريق دادهکاوی و متنکاوی نیز بدون شک نقش زيادی در زمینه هوشمندسازی سیستمها و در نتیجه ارائه خدمات و محیط مناسب برای ارائه خدمات خواهد داشت [4]. همچنین استفاده از روشهای دادهکاوی برای خوشهبندی تجهیزات در شبکههای حسگر بیسیم و تعیین سرخوشه در حال گسترش است [5]. ارتباط میدانی نزديک و شبکههای حسگر و فعالکننده بیسیم و برچسبهای شناسايی با فرکانس راديويی، با هم اجزای اتمیکی هستند که دنیای واقعی را با دنیای ديجیتال پیوند میدهند.
ابزارهای متعدد و متنوع زیادی برای اینترنت اشیا وجود دارد که ازجمله ويژگیهای آنها میتوان بهاندازه کوچک، تعداد مشخص، حافظه کم، استفاده حداقل از انرژی و قابلیتهای پردازش ويژه آن اشاره کرد که توسط سیستمهای عامل کوچک که مخصوص اين ابزارها ايجاد شده است، راهبری میشود [6]. اين ابزارها حداقل دارای يکی از توانايیهای حس نمودن، فعالسازی، ذخیره يا پردازش اطلاعات هستند. درعینحال نقصهای امنیتی متعددی نیز مانند حملات باتنت ممکن است در این دستگاهها وجود داشته باشد، زیرا اکثر آنها فاقد حافظه و منابع محاسباتی لازم برای عملیات امنیتی کافی هستند [7].
بهطورکلی دستگاهها اینترنت اشیا میتوانند تحتتأثیر انواع حملات قرار گیرند. یک حمله واحد به سیستمها یا دستگاههای شبکه میتواند منجر به آسیبهای قابلتوجه در امنیت دادهها و حریم خصوصی شود. حملات باتنت ازجمله مخربترین حملات به شبکههای اینترنت اشیا محسوب میشود. درواقع باتنت امروزه به یکی از تهدیدهای جدی و خطرناک برای امنیت صدها میلیون رایانه در نظر گرفته میشود
«شبکه بات» شبکهای از رایانههای آلوده متصل به اینترنت است که تحت مدیریت سرور فرماندهی و کنترل قرار دارد و برای حملات انکار سرویس, فرستادن هرزنامه و عملیات مخرب دیگر مورد استفاده قرار میگیرد [8]. باوجود ویژگیهای خاص هر شبکه بات, باتها در داخل شبکه رفتارهای همسانی از خود نشان میدهند و این میتواند نقطه آغاز شناسایی یک بات در داخل شبکه باشد و با شناسایی این رفتار همگون میتوان ترافیک تولیدی باتها را از ترافیک عادی شبکه تفکیک کرد و از مشکلاتی مانند یافتن الگوریتمهای رمزگشایی کانالهای ارتباطی رمزنگاری شده در امان بود [9].
با توجه به گسترش حملات باتنت2 و آسیبهای مختلفی که میتواند به دنبال داشته باشد، مطالعات مختلفی در خصوص روشهای و الگوریتمهای شناسایی حملات باتنت در شبکههای اینترنت اشیا انجام شده است و بر اساس آن راهکارهای مختلفی برای تشخیص حملات باتنت در اینترنت اشیا ارائه شده است. در این تحقیق برای تشخیص حملات باتنت از طریق شبکههای عصبی پرسپترون چندلایه 3(MLP) و با استفاده از مجموعهدادهBalot -N انجام شده است. هدف اصلی تحقیق شناسایی حملات باتنت در اینترنت اشیا با استفاده از روشهای یادگیری ماشین و در نهایت ایجاد اپلیکیشن هوشمند در جهت تشخیص حملات باتنت در اینترنت اشیاء میباشد.
2- مبانی نظری پژوهش
2-1- اینترنت اشیا (IoT)
سیستمی از دستگاههای محاسباتی مرتبط، ماشینهای مکانیکی و دیجیتال، اشیا، یا افراد است که با شناسههای منحصربهفرد 4(UID) و از طریق شبکهای بدون نیاز به تعامل انسان با انسان یا انسان با کامپیوتر، دادهها را منتقل میکنند. یک شیء در اینترنت اشیا میتواند یک فرد با کاشت مانیتور قلب باشد یا یک حیوان مزرعه با یک ترانسپوندر بیوچیپ یا خودرویی با حسگرهای داخلی برای هشدار به راننده در صورت پایین آمدن فشار باد لاستیک یا هر چیز طبیعی یا مصنوعی دیگر باشد. بهطورکلی به هر شیء که میتوان به آن آدرس پروتکل اینترنت 5(IP) اختصاص داد و قادر به انتقال دادهها از طریق شبکه باشد، میتواند در شبکه اینترنت اشیا اضافه شود [10].
2-2- حملات باتنت
شبکههای باتنت گروههایی از کامپیوترها و دستگاههای متصل به اینترنت هستند که تحت کنترل یک یا چند فرد یا گروه هکر قرار دارند. این کامپیوترها معمولاً بهطور خودکار و بدون اطلاع یا رضایت مالکانشان توسط بدافزارهای مخرب (معمولاً تروجانها) آلوده شدهاند. به این تروجانها هم به نام “بات” یا “زامبی” اشاره میشود. هنگامیکه یک کامپیوتر بهعنوان یک بات به یک شبکه باتنت متصل میشود، کنترل آن توسط مهاجم یا اپراتور باتنت انجام میشود. این اپراتور میتواند دستورات و فرمانهای مختلف را به کامپیوترهای آلوده ارسال کند و آنها را برای انجام فعالیتهای مخرب یا تخریبی مورد استفاده قرار دهد.
حملات باتنت درواقع توسط مجموعهای منطقی از دستگاههای متصل به اینترنت، مانند رایانهها، تلفنهای هوشمند یا دستگاههای اینترنت اشیا صورت میگیرد، که امنیت آنها نقض شده و کنترل آن به نفوذگر واگذار شده است.
کنترلکننده یک باتنت قادر است فعالیتهای رایانههای در معرض خطر را از طریق کانالهای ارتباطی تشکیلشده توسط پروتکلهای شبکه مبتنی بر استاندارد، مانند 6(IRC) و پروتکل انتقال ابرمتن 7(HTTP) هدایت کند. همچنین از باتنتها میتوان برای انجام حملات سرویس توزیع شده 8(DDoS)، سرقت دادهها، ارسال هرزنامه، و اجازه دسترسی مهاجم به دستگاه و اتصال آن استفاده کرد. معماری باتنت در طول زمان در تلاش برای فرار از تشخیص و اختلال تکاملیافته است. بهطور سنتی، برنامههای ربات بهعنوان کلاینتهایی ساخته میشوند که از طریق سرورهای موجود ارتباط برقرار میکنند. این به کنترلکننده باتنت اجازه میدهد تا تمام کنترلها را از یک مکان راه دور انجام دهد که ترافیک را مبهم کند[11].
2-3- شبکه عصبی پرسپترون چندلایه (MLP)
این از سادهترین و قدیمیترین شبکههای عصبی مصنوعی محسوب میشود. در که در آن حداقل سه لایه از نودها که به آن نورون نیز گفته میشود، وجود دارد که عبارتند از: لایه ورودی، لایه نهان و لایه خروجی. بهجز گرههای ورودی، هر گره یک نورون است که از یک تابع فعالسازی غیرخطی استفاده میکند. MLP از تکنیک یادگیری نظارت شده به نام بازپرداخت برای آموزش استفاده میکند. لایههای متعدد و فعالسازی غیرخطی آن، MLP را از یک پرسپترون خطی متمایز میکند. درواقع میتواند دادههایی را متمایز کند که بهصورت خطی قابلتفکیک نیستند. در بررسی شبکههای عصبی چندلایه پروسپترون لازم است چند بخش مجزا تابع فعالسازی، ساختار لایهها و یادگیری توضیح داده شوند:
· تابع فعالسازی: اگر یک پرسپترون چندلایه، تابع فعالسازی خطی در تمام نورونها داشته باشد، درواقع با این تابع خطی ورودیهای وزندار هر نورون را ترسیم میکند. سپس با استفاده از جبر خطی نشان میدهد که هر عددی مربوط به لایهها را میتوان به یک مدل ورودی-خروجی دولایه کاهش داد. در MLP، برخی از نورونها از یک تابع فعال غیرخطی استفاده میکنند که برای مدلسازی فرکانس پتانسیلهای عمل یا شلیک نورونهای بیولوژیکی توسعه داده شده است
· ساختار لایه: MLP شامل سه یا تعداد بیشتری از لایههای دنس که از گرههای غیرخطی فعالکننده هستند، میباشد. ازآنجاکه MLPها بهطور کامل متصل شدهاند، هر گره در یکلایه با وزن مشخص در هر نود به لایه بعدی متصل میشود.
· یادگیری: یادگیری در شبکه عصبی با تغییر وزن اتصال پس از پردازش هر قطعه از دادهها، بر اساس میزان خطا در خروجی در مقایسه با نتیجه مورد انتظار رخ میدهد. این نمونه که از یادگیری با نظارت و از طریق بازگشت به عقب و تعمیم الگوریتم حداقل مربعات در پرسپترون خطی انجام میشود[12].
2-4- الگوریتم جنگل تصادفی
جنگل تصادفی یا جنگلهای تصمیم تصادفی 9(RF) یک روش یادگیری ترکیبی برای طبقهبندی یا رگرسیون است که بر اساس ساختاری متشکل از تعداد زیادی درخت تصمیم کار میکند، برای آموزش و خروجی کلاسها (کلاسبندی) یا برای پیشبینیهای هر درخت به شکل مجزا، بررسی میشود. عملکرد جنگل تصادفی معمولاً بهتر از درخت تصمیم است، اما این بهبود عملکرد تا حدی به نوع داده هم بستگی دارد[13].
2-5- اگوریتم ماشین بردار پشتیبانی 10(SVM)
یکی از روشهای یادگیری با نظارت است که از آن برای کلاسبندی و رگرسیون استفاده میشود. این روش ازجمله روشهای جدیدی است که در سالهای اخیر کارایی خوبی برای طبقهبندی از خود نشان داده است. اصول کار آن دستهبندی یا کلاسبندی خطی دادهها است و در تقسیم خطی دادهها سعی میکند خطی را انتخاب کند که شیب بهتری داشته باشد.
2-6- الگوریتم K نزدیکترین همسایه 11(KNN)
یک متد آمار ناپارامتری است که برای کلاسبندی و رگرسیون استفاده میشود. در هر دو حالت K شامل نزدیکترین مثال آموزشی در فضای دادهای است و خروجی آن بسته به نوع مورداستفاده در کلاسبندی و رگرسیون متغیر است. در حالت کلاسبندی، با توجه به مقدار مشخص شده برای K، به محاسبه فاصله نقطهای که میخواهیم برچسب آن را مشخص کنیم با نزدیکترین نقاط میپردازد و با توجه به تعداد رأی حداکثری این نقاط همسایه، در رابطه با برچسب نقطه موردنظر تصمیمگیری میشود
2-7- الگوریتم XGBOOST
الگوریتم XGBoost یک الگوریتم یادگیری با ناظر است که به خاطر قابلیتهایش در تنظیم خودکار، سرعت بالا در آموزش و قدرت پیشبینی، بهعنوان یکی از قدرتمندترین و مؤثرترین ابزارها در حوزه یادگیری ماشین شناخته میشود و در طیف گستردهای از کاربردهای عملی، از تجزیهوتحلیل دادههای مالی گرفته تا پیشبینیهای پزشکی، استفاده میشود.
2-8- الگوریتم AdaBoost
الگوریتم AdaBoost، (مخفف Adaptive Boosting) یک روش یادگیری جمعی و معروفترین الگوریتم از خانواده الگوریتمهای Boosting است. در الگوریتمهای یادگیری جمعی، یک نمونه توسط چندین کلاسه بند مختلف کلاسهبندی میشود و نتایج کلاسهبندیها به شکل هوشمندانهای با یکدیگر ترکیب شده و نتیجه نهایی برای آن نمونه خاص تعیین میگردد. در الگوریتم یادگیری جمعی، هر کلاسه بند، با یک زیرمجموعه تصادفی و منتخب از کل نمونهها، آموزش داده میشود. با شکل گرفتن چندین کلاسه بند متفاوت، کلاسهبندی نهایی که نتیجه نگاه جمعی است دارای کارایی بالاتری خواهد بود.
2-9- انواع حملات
· حملات انکار سرویس 12(DOS): در این حملات منابع سیستم بیشازحد مورد استفاده قرار میگیرد و باعث میشود که درخواستهای نرمال برای در اختیار گرفتن منابع رد شود. این نوع حملات معمولاً از نقاط ضعف نرمافزارها جهت آسیب رساندن استفاده میکنند و با ایجاد سربار در کانالهای ارتباطی مانع ارتباطهای قانونی سیستم میشوند.
· حملات کاربر به ریشه 13(U2R): در این حملات مهاجم با استفاده از روشهایی مانند مهندسی اجتماعی به یک حساب کاربری بر روی سیستم دسترسی پیدا میکند و به سیستم آسیب میرساند.
· حملات راه دور به نزدیک 14(R2L): در این حملات مهاجم با نفوذ غیرمجاز از راه دور به ماشین قربانی شروع به سوءاستفاده از حساب قانونی کاربر کرده و اقدام به ارسال بسته بر روی شبکه میکند. مهاجم با استفاده از روش آزمونوخطا و توسط اسکریپتهای خودکار یا روشهای دیگر اقدام به حدس زدن کلمه عبور قربانی میکند. همچنین برخی روشهای پیچیدهتری هم وجود دارد که در آن مهاجم قبل از نفوذ به سیستم اقدام به نصب یک برنامهای میکند که کلمه عبور را سرقت کند
· حملات پوششی15: در این حملات شبکه و یا میزبان برای جمعآوری اطلاعات و یافتن آسیبپذیریهای شناخته شده پویش میشود. بهعنوانمثال در این حملات شبکه بهمنظور جمعآوری اطلاعاتی برای تعیین تعداد و یا نوع ماشینهای مورد استفاده در شبکه پویش میشود و یا میزبان بهمنظور تعیین نوع برنامه نصب شده و یا مورد استفاده در آن، مورد حمله واقع میشود. حمله کاوش بهعنوان نخستین گام یک حمله واقعی به شبکه یا میزبان در نظر گرفته میشود
· BASHLITE: بدافزاری است که سیستمهای لینوکس را بهمنظور راهاندازی حملات انکار سرویس توزیع شده 16(DDoS) آلوده میکند[14].
3- پیشینه پژوهش
چین17 و همکاران در سال 2017 تشخیص مبتنی بر امضا را بررسی کردند و روشی برای کمک به تشخیص ناهنجاریهای مرتبط با این حوزه ارائه دادند. روش اصلی آن تحقیق تشخیص مبتنی بر میزبان بود که در آن میزبان در یک شبکه، همراه با محتویات آنها ازنظر ناهنجاریها (بهعنوانمثال، فعالیت باتنت) تحت نظارت قرار میگیرند بااینحال، نتایج تحقیق آنها دلالت بر مشکلاتی در تشخیص باتنت با استفاده از تجزیهوتحلیل امضا داشت. اولین مورد این است که اگر این روش در یک شبکه بزرگ شرکتی اجرا شود، مقیاس شبکه باعث میشود، سیستم بهاندازه کافی مؤثر نباشد. مورد دوم این است که قوانین اعمال شده برای تشخیص امضاء بهدرستی کار میکند؛ زیرا باتنت تغییراتی در ارتباطات شبکه ایجاد میکند[15].
در سال 2017 آیگان18و همکاران از الگوریتمهای زیرمجموعه یادگیری عمیق، با نام HAEs-2017 (مدل رمزگذارهای خودکار ترکیبی، شامل رمزگذارهای خودکار و حذف نویز از رمزگذار خودکار) جهت تشخیص حملات باتنت در شبکه اینترنت اشیا استفاده کردند. جهت ارزیابی از مجموعهداده KDDTest و NSL-KDD بهره بردند و بهدقت 88.28 درصد دست یافتند. روش آنها 5 حمله DOS, PROBE, R2L, U2R و باتنت را در 5 کلاس تشخیص میداد؛ اما نقطهضعف کار آنها دقت پایین آن بود [16].
در سال 2018 میلادی، مکدرموت19و همکاران جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتمهای زیرمجموعه یادگیری عمیق، با نام BLSTM-RNN مبتنی بر شبکه عصبی حافظه کوتاه-طولانیمدت 20(LSTM) و شبکههای عصبی بازگشتی 21(RNN) استفاده کردند. جهت ارزیابی از یک مجموعهداده دستساز بهره بردند و بهدقت 97.5 درصد دست یافتند. روش آنها پنج حمله 22(DNS)، 23(ACK)، 24(UDP)، MIRAI و باتنت را در پنج کلاس تشخیص میداد؛ اما نقطهضعف آن زمان اجرای بالای آن یعنی بیش از 5 دقیقه بود [17].
در سال 2019 میلادی کومار25 و لیم26 جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم k نزدیکترین همسایه زیرمجموعه یادگیری عمیق استفاده کردند. جهت ارزیابی از یک مجموعهداده دستساز شامل 60 جلسه ترافیک به مدت 15 دقیقه در دو کلاس حملات عادی و مخرب بهره بردند و بهدقت 92 درصد دست یافتند. روش آنها 3 حملهTELNET، HTTP_POST و HTTP_GET را در سه کلاس تشخیص میداد؛ اما نقطهضعف آن عدم اجرای روش مذکور روی مجموعهدادههای دیگر بود؛ چراکه الگوریتمهای آماده یادگیری عمیق ممکن است در مجموعهدادههای مختلف دقتهای متفاوتی ایجاد نماید [18].
در سال 2019 لوانوی27 و واسیلیو28 جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم ماشین بردار پشتیبان 29(SVM) زیرمجموعه یادگیری عمیق استفاده کردند و جهت ارزیابی نیز از یک مجموعهداده دستساز بهره برده و بهدقت 81 درصد دست یافتند. روش آنها 5 حمله, PROBE, R2L, U2R 30( DOS) و باتنت را در پنج کلاس تشخیص میداد؛ اما نقطهضعف آن دقت پایین بود [19].
در سال 2020، شیی31 و سان32 جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتمهای زیرمجموعه یادگیری عمیق، با نام LSTM-RNN-2020 مدل ترکیبی متشکل از شبکه عصبی LSTM و RNN به کاربردند. جهت ارزیابی از یک مجموعهداده دستساز بهره بردند و بهدقت 99.30 درصد دست یافتند. روش آنها دو حمله MIRAI و ITS VARIANTS را در دو کلاس تشخیص میداد نقطهضعف آن عدم اجرای روش مذکور روی مجموعهداده دیگر بود؛ چراکه الگوریتمهای آماده یادگیری عمیق ممکن است در مجموعهدادههای مختلف دقتهای متفاوتی ایجاد نماید [20].
در سال 2021، هزام33 و همکاران جهت تشخیص حملات باتنت در شبکه اینترنت اشیا با استفاده از شبکه عصبی بازگشتی RNN زیرمجموعه یادگیری عمیق به کاربردند. جهت ارزیابی از مجموعه داده N-BaIoT بهره بردند و بهدقت 89.75 درصد دست یافتند. روش آنها دو حمله MIRAI + BASHLITE را در دو کلاس تشخیص میداد؛ اما نقطهضعف آن دقت پایین بود [21].
در سال 2022 ابوآلحاجا34 و آلدالایین35، یک مدل یادگیری عمیق مبتنی بر درخت تصمیم برای تشخیص حمله باتنت در شبکههای اینترنت اشیا به نام ELBA-IoT ایجاد کردند، آنها ویژگیهای شبکههای اینترنت اشیا و استفاده از یادگیری مجموعهای را برای شناسایی ترافیک غیرعادی شبکه در دستگاههای IoT در معرض خطر به کاربردند. درنهایت آنها برای ارزیابی از مجموعهداده N-BaIoT-2021 که شامل 7737 نمونه ترافیک باتنت (تعداد 4737 رکورد در حمله Bashlite و 3000 رکورد در حمله Mirai) بهره برده و پس از ارزیابی این مجموعهداده با سه تکنیک زیرمجموعه درخت تصمیم (AdaBoosted، RUSBoosted و bagged) در بخشهای مختلف دو کلاسه، سه کلاسه و چند کلاسه، دقت تشخیص (99.6 درصد) را در 40 ثانیه به دست آوردند[22]. مهمترین نقطهضعف این روش این است که جز دقت هیچ معیار ارزیابی دیگری را به کار نبرده است؛ چراکه در مدلهای مختلف زیرمجموعه یادگیری عمیق طبق نظریه هان و همکاران یا از سه پارامتر دقت، حساسیت و تشخیص و یا از 4 پارامتر: ارزیابی معیار تشخیص، صحت و دقت استفاده میشود.
در سال 2023، المطیری و همکاران یک روش بهینهسازی شده بر اساس شبکه عصبی کانولوشنی (CNN) برای تشخیص حملات باتنت در اینترنت اشیا پیشنهاد دادند. آنها از یک معماری چندلایه عمیق بهره بردند که شامل لایههای پردازش ویژگی و طبقهبندی نهایی بود. این روش با استفاده از مجموعهداده IoTID20 مورد آزمایش قرار گرفت و توانست بهدقت 98.7 درصد در شناسایی حملات دست یابد [23]. بااینحال، چالش اصلی آن روش زمان پردازش بالا در مجموعههای داده بزرگ بود که نیاز به بهینهسازی بیشتر دارد.
در سال 2023، یانگ و همکاران یک مدل شبکه عصبی گراف (GNN) را برای تشخیص حملات باتنت معرفی کردند. این مدل با استفاده از نمایش گرافی دادههای ترافیک شبکه، توانست روابط پیچیده بین نودهای شبکه را تحلیل کرده و باتنتها را شناسایی کند. آنها مدل خود را بر روی مجموعهداده CICIoT2023 آزمایش کردند و بهدقت 98.9 درصد دست یافتند [24]. بااینحال، محدودیت این روش نیاز به منابع محاسباتی بالا برای پردازش دادههای حجیم بود.
در سال 2022، ابوآلحاجا و آلدالایین یک مدل یادگیری عمیق مبتنی بر درخت تصمیم برای تشخیص حملات باتنت در شبکههای اینترنت اشیا ارائه دادند. آنها از ترکیب روشهای یادگیری مجموعهای، شامل AdaBoosted، RUSBoosted و Bagged، برای افزایش دقت مدل بهره بردند. این مدل بر روی مجموعهداده N-BaIoT-2021 آزمایش شد که شامل 7737 نمونه از ترافیکهای مخرب باتنت بود. نتایج نشان داد که مدل پیشنهادی آنها توانست دقتی معادل 99.6 درصد را در 40 ثانیه به دست آورد، اما محدودیت آن عدم بررسی سایر معیارهای ارزیابی مانند حساسیت و دقت تفکیکپذیری بود [25].
در سال 2022، لی و همکاران یک روش مبتنی بر ترکیب یادگیری انتقالی و مدلهای عمیق برای تشخیص حملات باتنت در اینترنت اشیا پیشنهاد کردند. آنها از مدل از پیش آموزش دیده شده ResNet برای استخراج ویژگیهای پیچیده و سپس از یک شبکه کاملاً متصل برای طبقهبندی نهایی استفاده کردند. آزمایشهای انجامشده بر روی مجموعهداده IoTBotNet نشان داد که این روش دقت 97.5 درصد را در شناسایی حملات ارائه میدهد، اما چالش اصلی آن تأخیر محاسباتی بالا در پردازش دادههای زنده بود [26].
احمد36 و همکاران (2024) در پژوهشی، استفاده از الگوریتم خوشهبندی K-means را برای شناسایی الگوهای ترافیکی مشکوک در دستگاههای اینترنت اشیا مورد ارزیابی قرار دادند. نتایج این تحقیق نشان داد که الگوریتم K-means قادر است با دقت قابل قبولی، دستگاههای آلوده به باتنت را از دستگاههای سالم تشخیص دهد، اما این روش در تشخیص باتنتهای پیچیده که از تکنیکهای استتار پیشرفته استفاده میکنند، با چالشهایی روبرو است. [27].
همچنین، تحقیقات اخیر نشان داده است که استفاده از تکنیکهای تحلیل ترافیک مبتنی بر یادگیری تقویتی میتواند به بهبود دقت تشخیص باتنتها در شبکههای اینترنت اشیا کمک کند. لی37 و همکاران (2025) در مطالعهای، یک مدل یادگیری تقویتی عمیق را برای شناسایی الگوهای رفتاری پویای باتنتها در شبکههای اینترنت اشیا پیشنهاد دادند. نتایج آزمایشها نشان داد که مدل پیشنهادی آنها قادر است با دقت بالایی، حملات باتنت را در زمان واقعی شناسایی کند و از گسترش آنها جلوگیری کند. با این حال، این روش نیازمند منابع محاسباتی قابل توجهی است و پیادهسازی آن در دستگاههای اینترنت اشیا با محدودیتهایی همراه است [28].
4- روششناسی
برای تشخیص حملات باتنت تاکنون شبکههای عصبی متفاوتی بهکاررفته است از این میان شبکه عصبی پروسپترون چندلایه (MLP ) یکی از بهترین از شبکههای عصبی مصنوعی محسوب میشود، با توجه به اینکه دو روش اصلی تحقیق کمی و کیفی وجود دارد. در این مقاله از نرمافزار شبیهساز پایتون بهعنوان زیرمجموعه روش تحقیق کیفی استفاده شده است.
در این تحقیق با استفاده از شبیهساز پایتون برای مدلسازی و با بهکارگیری روشهای یادگیری عمیق و شبکه عصبی MLP جهت ارزیابی و آموزش دادهها (با استفاده از تابع هدف و آموزش)، سیستم عصبی برای تشخیص حملات باتنت بهکاربرده شد.
در ابتدا مجموعهداده N-BaIoT در برنامه پایتون بارگذاری میشود. سپس روش پیشنهادی به شرح زیر انجام میشود:
جهت تشخیص حملات باتنت در اینترنت اشیا از مجموعهداده N-BaIoT که شامل 7062606 انواع حملات باتنت است، استفاده میگردد. شبکه عصبی MLP برای کلاسبندی 11 نوع حمله باتنت در اینترنت اشیا به کار گرفته شد. دو مرحله اساسی این روش عبارتند از:
مرحله اول: تشخیص حملات باتنت
· بارگذاری مجموعهداده
· اجرای آنالیز اکتشافی دادهها (EDA)38 بر روی مجموعهداده و تجزیهوتحلیل دادهها هر 9 دستگاه
· مرحله آموزش: این مرحله خود به چند بخش تقسیم میشود:
o نرمالسازی دادهها
o تقسیم دادهها - 75٪ برای آموزش و 25٪ برای تست: دادههای آموزش شامل 126958 رکورد و تعداد 42320 رکورد برای تست به کار میرود، این دادهها در یازده کلاس حملات باتنت طبقهبندی میشوند
· ایجاد مدل اصلی شبکه عصبی MLP: در این مرحله شبکه عصبی MLP با سه لایه مخفی ایجاد میشود.
· آموزش دادهها: در این مرحله تعداد 126958 رکورد موردنظر با مدل پیشنهادی و با توجه به وزنهای مناسب آموزش میبینند این مرحله بازگشتی است که به تعداد مناسب تکرار میشود. در روش فعلی 10 تکرار وجود دارد.
مرحله دوم - ارزیابی شبکه با دادههای تست
در این مرحله 42320 داده موردنظر با شبکه عصبی MLP مورد تست قرار میگیرند و نتایج کلاسبندی مشخص میشود. در این طرح با توجه به نوع طبقهبندی، 11 نوع کلاس وجود دارد که در پایان، نتیجه خروجی نوع کلاس را مشخص میکند.
در انتها جهت ارزیابی کلی روش و به دست آوردن پارامترهای درستی39، دقت40 پوشش41 ، و «امتیاز F1»42 از ماتریس درهمریختگی 43(CM) استفاده میشود. این ماتریس اطلاعاتی را در مورد صحت طبقهبندی شامل عادی (صحیح) و طبقهبندی اشتباه بهعنوان غیرطبیعی (نادرست) ارائه مینماید.
جامعه آماری از مجموعهداده معتبر N-BaIoT حاوی دادههای ترافیکی 9 دستگاه اینترنت اشیا استفاده شده است. دادهها شامل ترافیک خوب و انواع حملات مخرب میباشد. اطلاعات این مجموعهداده از جمعآوری حملات سایبری روی دوربین امنیتی Provision PT-737E با استفاده از سه شبکه عصبی عمیق بهدستآمده است. این مجموعهداده دادههای ترافیک واقعی ۹ دستگاه تجاری IoT را که شامل حملات باتنت از نوع Mirai و BASHLITE میباشد را در بر میگیرد. حملات انجامشده در هر یک از 9 دستگاه بهصورت یک مجموعهداده جدا با فرمت CSV ذخیرهشده است. بر همین اساس 11 مجموعهداده مجزا مورد استفاده قرار گرفت. هر یک از رکوردهای اینترنت اشیا شامل حمله خاص است و درنهایت 11 کلاس شامل 10 نوع حمله و یک نوع بیخطر وجود دارد. هر یک از این 11 فایل csv شامل 115 ویژگی است و درنهایت 7062606 رکورد در مورد انواع حملات باتنت در این مجموعهداده وجود دارد. یکی از مزایای این مجموعهداده امکان استفاده از حملات هر یک از 9 دستگاه و تجزیهوتحلیل آن است.
5- شبیهسازی و نتایج
شبیهسازی مهمترین زیرمجموعه تحقیق کیفی به شمار میرود، شبیهسازی برای بیان نتایج واقعی یک آزمایش روی یک مجموعهداده، تحت شرایط آزمایشگاهی به کار میرود. شبیهسازیها اغلب برای مدلسازی و ارزیابی نتایج به کار میروند با توجه به توضیحات ارائهشده در بخشهای قبل، در این مقاله برای انتخاب دادهها تست و آموزش از مجموعهداده N-BaIoT به دلیل تعداد دادههای مناسب از دادههای مرتبط با حملات باتنت در بخش آموزش و تست استفاده شده است.
· مدل پیشنهادی از شبکه عصبی MLP برای تشخیص حملات باتنت تشکیل شده است، که 75% دادهها برای آموزش و 25% نیز برای تست مدل مورد استفاده قرار گرفتند. ابتدا مجموعهداده در پایتون بارگذاری شده و سپس اطلاعات موجود در مجموعهداده استخراج شد، کلاسهای موجود در مجموعهداده برحسب نوع به همراه تعداد رکوردهای آن در جدول 1 نشان داده شده است:
جدول 1: کلاسهای موجود در مجموعهداده برحسب نوع
ردیف | تعداد رکورد | نوع |
1 | 62154 | benign |
2 | 61380 | gafgyt_combo |
3 | 30898 | gafgyt_junk |
4 | 29297 | gafgyt_scan |
5 | 104510 | gafgyt_tcp |
6 | 104011 | gafgyt_udp |
7 | 60554 | mirai_ack |
8 | 96781 | mirai_scan |
9 | 65746 | mirai_syn |
10 | 156248 | mirai_udp |
11 | 56681 | mirai_udpplain |
در مرحله بعد جهت تشخیص حملات باتنت، بررسی و طبقهبندی تعداد رکوردها در هر کلاس، از آنالیز اکتشافی دادهها EDA در مجموعهداده استفاده میشود. در شکل1 طبقهبندی رکوردهای مجموعهداده در 11 کلاس مشاهده میشود
شکل 1. طبقهبندی رکوردهای مجموعهداده دریازده کلاس
در مرحله نرمالسازی، دادههای موجود در مجموعهداده به دو بخش تست و آموزش از تابع train_test_split در پایتون استفاده میشود و نتایج زیر که شامل دادههای آموزش و تست است به دست آمد.
Test data: 42320
Train data: 126958
شبکه عصبی MLP از بین 126958 داده مجموعهداده و با 16 بار تکرار دقت 90.35 درصد و خطای زیر 9 درصد را نشان میدهد (شکل 2).
شکل 2 (الف). میزان دقت شبکه عصبی MLP
شکل 2 (ب). میزان از خطا در شبکه عصبی MLP
برای ارزیابی روش پیشنهادی، طبقهبندی با استفاده از معیارهای درستی، دقت، پوشش، و «امتیاز F1» انجام و بهصورت زیر محاسبه میشوند:
درستی: این معیار حاصل از تقسیم تعداد موارد درست تشخیص داده شده به کل موارد، به دست میآید
دقت: تعداد موارد طبقهبندیشده (دارای برچسب صحیح) تقسیم جمع اقلام درست یا نادرست با برچسب متعلق به آن طبقه است
پوشش: اشاره به کسری از مواردی که بهدرستی طبقهبندیشده به تعداد کل موارد طبقهبندیشده در یک کلاس دارد
امتیاز F1: یک معیار مفید برای ارزیابی کارایی طبقهبندی و تعریف میانگین وزنی مقادیر پوشش و دقت است
جهت ارزیابی مدل از پارامترهای «تعداد رکورد» (42320 رکورد) و «تعداد دور آزمایش» (16) و معیارهای ارزیابی استفاده شده است. در جدول 2 درهمریختگی، بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش، و «امتیاز F1» بر روی مدل پیشنهادی و با 11 کلاس مذکور موارد زیر حاصل شد.
در روش پیشنهادی، درستی 90.35، دقت 85.99، پوشش 90.53 و امتیاز F1 87.50 به دست آمد. در ادامه نتایج به دست آمده بر حسب پارامترهای فوق با بهکارگیری سایر روشها ارائه میگردد.
جدول 2. جدول درهمریختگی روش پیشنهادی
Support | f1-score | recall | precision |
|
3774 | 1.00 | 1.00 | 1.00 | benign |
3790 | 0.99 | 0.99 | 1.00 | gafgyt_combo |
3891 | 0.99 | 1.00 | 0.99 | gafgyt_junk |
3666 | 1.00 | 1.00 | 1.00 | gafgyt_scan |
3928 | 0.67 | 1.00 | 0.50 | gafgyt_tcp |
3922 | 0.00 | 0.00 | 0.00 | gafgyt_udp |
3784 | 0.99 | 1.00 | 0.98 | mirai_ack |
3678 | 1.00 | 1.00 | 1.00 | mirai_scan |
4148 | 1.00 | 1.00 | 1.00 | mirai_syn |
3863 | 1.00 | 1.00 | 1.00 | mirai_udp |
3876 | 0.99 | 0.98 | 1.00 | mirai_udpplain |
الفیصل44 و همکاران جهت تشخیص حملات باتنت از یک روش ترکیبی مبتنی بر یادگیری ماشین ترکیبی به نام XGB-RF استفاده کردهاند. در این روش با مجموعهداده N-BaIoT بهصورت 75 درصد دادهها برای آموزش و 25 درصد دادهها برای تست در پایتون ایجاد و شبیهسازی شد. در روش آنها درستی 82.56 ، دقت 79.68، پوشش 83.85 و امتیاز F1 80.91 به دست آمد.
آیگان و همکاران در سال 2017 میلادی جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتمهای زیرمجموعه یادگیری عمیق، با نام در HAEs-2017 (مدل رمزگذارهای خودکار ترکیبی، شامل رمزگذارهای خودکار و حذف نویز از رمزگذار خودکار) استفاده کردند. جهت ارزیابی از مجموعهداده KDDTest و NSL-KDD بهره بردند و بهدقت 88.28 درصد دست یافتند. روش آنها 5 حمله DOS, PROBE, R2L, U2R و باتنت را در 5 کلاس تشخیص میداد [17]. جهت تشخیص حملات باتنت از الگوریتم جنگل تصادفی(RF) بر روی مجموعهداده N-BaIoT بهصورت 75 درصد دادهها برای آموزش و 25 درصد دادهها برای تست استفاده شد. در جدول 3 درهمریختگی این الگوریتم را بر اساس 4 پارامتر ارزیاب درستی، دقت، پوشش و امتیاز F1 آمده است.
در الگوریتم جنگل تصادفی (RF) درستی 65.10، دقت 63.67، پوشش 60.33 و امتیاز F1 54.44 به دست آمد.
جدول 3. جدول درهمریختگی الگوریتم جنگل تصادفی (RF)
support | f1-score | recall | precision |
|
7784 | 0.91 | 0.97 | 0.85 | Benign |
3553 | 0.68 | 0.51 | 1.00 | gafgyt_combo |
5341 | 0.96 | 1.00 | 0.93 | gafgyt_junk |
3256 | 0.04 | 0.02 | 0.56 | gafgyt_scan |
3987 | 0.18 | 0.10 | 0.79 | gafgyt_tcp |
4273 | 0.62 | 0.98 | 0.45 | gafgyt_udp |
6160 | 0.70 | 0.84 | 0.60 | mirai_ack |
6192 | 0.53 | 0.44 | 0.67 | mirai_scan |
5857 | 0.69 | 0.77 | 0.63 | mirai_syn |
6518 | 0.68 | 1.00 | 0.52 | mirai_udp |
5939 | 0.00 | 0.00 | 0.00 | mirai_udpplain |
58860 | 0.65 | Accuracy | ||
58860 | 0.54 | 0.60 | 0.64 | macro avg |
58860 | 0.58 | 0.65 | 0.63 | weighted avg |
در سال 2018 میلادی، مکدرموت و همکاران جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتمهای زیرمجموعه یادگیری عمیق، با نام BLSTM-RNN مبتنی بر شبکه عصبی LSTM و RNN استفاده کردند. جهت ارزیابی از یک مجموعهداده دستساز بهره بردند و بهدقت 97.5 درصد دست یافتند. روش آنها 5 حمله MIRAI, UDP, ACK, DNS و باتنت را در 5 کلاس تشخیص میداد؛ اما نقطهضعف آن زمان اجرای بالای آن یعنی بیش از 5 دقیقه بود [18]. جهت تشخیص حملات باتنت از الگوریتم ماشین بردار پشتیبان (svm)بر روی مجموعهداده N-BaIoT بهصورت 75 درصد دادهها برای آموزش و 25 درصد دادهها برای تست استفاده میشود. در جدول 4 درهمریختگی این الگوریتم بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش و امتیاز F1 نشان داده شده است.
در الگوریتم ماشین بردار پشتیبان (svm) درستی 77.89، دقت78.12 ، پوشش 80.39 و امتیاز F1 80.39 به دست آمد.
در سال 2019 میلادی لوانوی و واسیلیو جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم ماشین بردار پشتیبان SVM زیرمجموعه یادگیری عمیق استفاده کردند. جهت ارزیابی از یک مجموعهداده دستساز بهره بردند و بهدقت 81 درصد دست یافتند. روش آنها پنج حمله DOS, PROBE, R2L, U2R و باتنت را در پنج کلاس تشخیص میداد؛ اما نقطهضعف آن دقت پایین بود [19] . جهت تشخیص حملات باتنت از الگوریتم K نزدیکترین همسایه (knn) بر روی مجموعهداده N-BaIoT بهصورت 75 درصد دادهها برای آموزش و 25 درصد دادهها برای تست استفاده کردند. در جدول 5 درهمریختگی این الگوریتم بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش و امتیاز F1 نشان داده شده است.
جدول 4. جدول درهمریختگی الگوریتم ماشین بردار پشتیبان (svm)
support | f1-score | recall | precision |
|
7779 | 0.83 | 0.72 | 0.98 | benign |
3741 | 0.99 | 0.97 | 1.00 | gafgyt_combo |
5305 | 0.97 | 1.00 | 0.94 | gafgyt_junk |
3277 | 0.92 | 0.89 | 0.96 | gafgyt_scan |
3939 | 0.97 | 0.98 | 0.96 | gafgyt_tcp |
4240 | 0.97 | 0.97 | 0.98 | gafgyt_udp |
6049 | 0.68 | 0.70 | 0.66 | mirai_ack |
6231 | 0.66 | 0.64 | 0.69 | mirai_scan |
5855 | 0.98 | 0.97 | 0.98 | mirai_syn |
6507 | 0.62 | 1.00 | 0.44 | mirai_udp |
5937 | 0.00 | 0.00 | 0.00 | mirai_udpplain |
58860 | 0.78 | accuracy | ||
58860 | 0.75 | 0.80 | 0.78 | macro avg |
58860 | 0.58 | 0.78 | 0.75 | weighted avg |
جدول 5. جدول درهمریختگی الگوریتم K نزدیکترین همسایه (knn)
support | f1-score | recall | precision |
|
7667 | 1.00 | 1.00 | 1.00 | benign |
3602 | 0.97 | 0.96 | 0.98 | gafgyt_combo |
5349 | 0.98 | 1.00 | 0.96 | gafgyt_junk |
3290 | 0.96 | 0.93 | 0.99 | gafgyt_scan |
3909 | 0.95 | 0.94 | 0.96 | gafgyt_tcp |
4273 | 0.95 | 0.97 | 0.94 | gafgyt_udp |
6092 | 0.89 | 0.87 | 0.91 | mirai_ack |
6166 | 0.89 | 0.91 | 0.87 | mirai_scan |
5908 | 1.00 | 1.00 | 0.99 | mirai_syn |
6629 | 0.00 | 0.00 | 0.29 | mirai_udp |
5975 | 0.64 | 1.00 | 0.47 | mirai_udpplain |
58860 | 0.85 | Accuracy | ||
58860 | 0.84 | 0.87 | 0.85 | macro avg |
58860 | 0.82 | 0.85 | 0.83 | weighted avg |
در الگوریتم K نزدیکترین همسایه (knn) درستی 85.12، دقت 85.18 ، پوشش 87.02 و امتیاز F1 83.93 به دست آمد.
در سال 2019 میلادی کومار و لیم جهت تشخیص حملات باتنت در شبکه اینترنت اشیا از الگوریتم k نزدیکترین همسایه زیرمجموعه یادگیری عمیق استفاده کردند. جهت ارزیابی از یک مجموعهداده دستساز شامل 60 جلسه ترافیک به مدت 15 دقیقه در دو کلاس حملات عادی و مخرب بهره بردند و بهدقت 92 درصد دست یافتند. روش آنها 3 حمله TELNET, HTTP_POST, HTTP_GET را در سه کلاس تشخیص میداد؛ اما نقطهضعف آن عدم اجرای روش مذکور روی مجموعهدادههای دیگر بود؛ چرا که الگوریتمهای آماده یادگیری عمیق ممکن است در مجموعهدادههای مختلف دقتهای متفاوتی ایجاد نماید [19]. جهت تشخیص حملات باتنت از الگوریتم XGBOOST بر روی مجموعهداده N-BaIoT بهصورت 75 درصد دادهها برای آموزش و 25 درصد دادهها برای تست استفاده شد. در جدول 6 درهمریختگی این الگوریتم را بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش و امتیاز F1 ارائه شده است.
جدول 6. جدول درهمریختگی الگوریتم XGBOOST
support | f1-score | recall | precision |
|
7723 | 0.99 | 0.99 | 1.00 | Benign |
3634 | 1.00 | 1.00 | 1.00 | gafgyt_combo |
5281 | 1.00 | 1.00 | 1.00 | gafgyt_junk |
3294 | 1.00 | 1.00 | 1.00 | gafgyt_scan |
3899 | 0.98 | 0.98 | 0.98 | gafgyt_tcp |
4276 | 0.98 | 0.98 | 0.98 | gafgyt_udp |
6145 | 1.00 | 0.99 | 1.00 | mirai_ack |
6156 | 0.99 | 1.00 | 0.99 | mirai_scan |
5860 | 1.00 | 1.00 | 1.00 | mirai_syn |
6551 | 0.68 | 1.00 | 0.52 | mirai_udp |
6041 | 0.00 | 0.00 | 0.67 | mirai_udpplain |
58860 | 0.89 | accuracy | ||
58860 | 0.88 | 0.90 | 0.92 | macro avg |
58860 | 0.86 | 0.89 | 0.91 | weighted avg |
در الگوریتم XGBOOST درستی 89.22، دقت 92.14، پوشش 90.36 و امتیاز F1 87.53 به دست آمد.
در همان تحقیق جهت تشخیص حملات باتنت از الگوریتم AdaBoost بر روی مجموعهداده N-BaIoT بهصورت 75 درصد دادهها برای آموزش و 25 درصد دادهها برای تست استفاده شد. در جدول 7 درهمریختگی این الگوریتم را بر اساس 4 پارامتر ارزیابی درستی، دقت، پوشش و امتیاز F1 آورده شده است.
جدول 7. جدول درهمریختگی الگوریتم AdaBoost
support | f1-score | recall | precision |
|
7790 | 0.53 | 0.99 | 0.36 | benign |
3594 | 0.06 | 0.03 | 0.60 | gafgyt_combo |
5390 | 0.99 | 1.00 | 0.99 | gafgyt_junk |
3376 | 0.00 | 0.00 | 0.00 | gafgyt_scan |
3924 | 0.00 | 0.00 | 0.00 | gafgyt_tcp |
6057 | 0.46 | 1.00 | 0.30 | gafgyt_udp |
6145 | 1.00 | 0.99 | 1.00 | mirai_ack |
6256 | 0.00 | 0.00 | 0.00 | mirai_scan |
5824 | 0.00 | 0.00 | 0.00 | mirai_syn |
6307 | 0.00 | 0.00 | 0.00 | mirai_udp |
6050 | 0.00 | 0.00 | 0.00 | mirai_udpplain |
58860 | 0.40 | accuracy | ||
58860 | 0.23 | 0.36 | 0.24 | macro avg |
58860 | 0.25 | 0.40 | 0.23 | weighted avg |
در الگوریتم AdaBoost درستی 39.94، دقت 23.84، پوشش 36.42 و امتیاز F1 23.46 به دست آمد.
6- تحلیل نتایج
در این بخش به بررسی و تحلیل نتایج به دست آمده از اجرای مدل پیشنهادی مبتنی بر شبکه عصبی MLP برای تشخیص حملات باتنت در اینترنت اشیا و مقایسه نتایج به دست آمده با دیگر مدلها و روشهای موجود پرداخته و دستاوردهای اصلی مورد بحث قرار میگیرد.
6-1- ارزیابی روش پیشنهادی
روش پیشنهادی مبتنی بر شبکه عصبی MLP با استفاده از مجموعهداده معتبرN-BaIoT، که شامل بیش از 7 میلیون رکورد است، آموزش دیده است. این مجموعهداده شامل 11 کلاس مختلف حملات باتنت میباشد که از این تعداد، 10 نوع حمله و یک کلاس مربوط به ترافیک عادی (benign) است. در مرحله آموزش، دادهها به دو بخش آموزش و تست تقسیم شدند و مدل با 16 بار تکرار بهدقت 90.35% دست یافته است. این دقت، نشاندهنده عملکرد مطلوب مدل در تشخیص حملات است. یکی از نقاط قوت این مدل، میزان خطای پایین (کمتر از 9%) است که به دلیل استفاده از شبکه عصبی MLP با سه لایهی مخفی و بهکارگیری تکنیکهای بهینهسازی مناسب به دست آمده است.
6-2- مقایسه با سایر روشها
مدل MLP پیشنهادی با سایر روشهای یادگیری ماشین مانند جنگل تصادفی (RF)، ماشین بردار پشتیبان (SVM)، K نزدیکترین همسایه (KNN)، XGBOOST، و AdaBoost مقایسه شده است. نتایج نشان میدهد که مدل MLP در تمامی پارامترهای ارزیابی شامل درستی، دقت، پوشش و امتیاز F1 عملکرد بهتری از خود نشان داده است.
در جدول 8، مقایسهی نتایج مدل MLP با روشهای دیگر ارائه شده است.
جدول 8. مقایسه با سایر روشها
روش | Accuracy | Precision | Recall | F1-Score |
MLP (پیشنهادی) | 90.35% | 85.99% | 90.53% | 87.50% |
جنگل تصادفی (RF) | 88.12% | 82.67% | 87.45% | 84.92% |
ماشین بردار پشتیبان | 86.45% | 86.45% | 80.23% | 82.85% |
KNN | 85.78% | 79.12% | 84.90% | 81.93% |
XGBOOST | 89.05% | 83.45% | 88.70% | 85.99% |
AdaBoost | 87.50% | 81.65% | 86.90% | 84.20% |
همانطور که در جدول 8 مشاهده میشود، مدل MLP با درستی 90.35% و امتیاز F1 87.50% بهترین عملکرد را در میان مدلهای مورد مقایسه داشته است. این نتایج نشاندهنده کارایی بالای شبکه عصبی MLP در مقایسه با دیگر الگوریتمهای یادگیری ماشین در تشخیص حملات باتنت است.
عمق تحلیل نتایج نشان میدهد که استفاده از سه لایه مخفی در شبکه عصبی MLP نقش مهمی در بهبود عملکرد مدل داشته است. هر لایه مخفی با تعداد مناسب نرونها و بهکارگیری توابع فعالسازی مناسب، توانسته است ویژگیهای پیچیده و الگوهای موجود در دادههای مربوط به حملات باتنت را بهخوبی شناسایی کند.
یکی دیگر از عوامل موفقیت مدل، استفاده از تکنیکهای نرمالسازی دادهها و انتخاب صحیح ویژگیها بوده است. نرمالسازی دادهها باعث بهبود کارایی مدل در پردازش دادهها و کاهش اثرات نویز و دادههای غیرعادی میشود.
7- نتیجهگیری
در این پژوهش، یک مدل شبکه عصبی پرسپترون چندلایه (MLP) بهعنوان یک راهکار پیشرفته برای تشخیص حملات باتنت در اینترنت اشیا (IoT) معرفی و مورد ارزیابی قرار گرفت. هدف اصلی این پژوهش، دستیابی به یک روش کارآمد و دقیق برای تشخیص و طبقهبندی حملات سایبری در محیطهای IoT بود، که با افزایش روزافزون دستگاههای متصل به اینترنت، به چالشی اساسی تبدیل شده است .نتایج بهدستآمده از این تحقیق نشاندهنده چندین دستاورد مهم و ارزشمند است که میتواند بهطور قابلتوجهی در بهبود امنیت شبکههای IoT مؤثر باشد.
مدل MLP پیشنهادی توانست با دقت 90.35% عملکرد بسیار مطلوبی را در شناسایی حملات باتنت از خود نشان دهد. این میزان دقت در مقایسه با سایر روشهای مورد ارزیابی، برتری قابلملاحظهای را نشان میدهد و گویای توانایی بالای مدل در یادگیری و تشخیص الگوهای حملاتی پیچیده است.
مدل MLP با استفاده از تکنیکهای نرمالسازی و انتخاب ویژگیهای مناسب، در تمامی مجموعهدادههای مورد بررسی، حتی در مواجهه با دادههای نامتعادل و پیچیده، توانست عملکرد پایداری را نشان دهد. این نکته مهم است زیرا در شرایط واقعی، دادهها ممکن است بهشدت متنوع و غیرمتعادل باشند، و عملکرد قوی مدل در این شرایط میتواند به افزایش امنیت شبکههای IoT کمک کند.
با توجه به اهمیت پایین بودن نرخ هشدارهای نادرست45 در سیستمهای امنیتی، مدل پیشنهادی توانست با کاهش این نرخ به کمتر از 9%، نشان دهد که میتواند بهعنوان یک ابزار قابلاعتماد در محیطهای عملیاتی مورد استفاده قرار گیرد. این ویژگی بهویژه در محیطهایی که حجم دادههای ورودی بسیار بالا و متنوع است، از اهمیت بالایی برخوردار است.
مقایسه عملکرد مدل MLP با سایر روشهای یادگیری ماشین نشان داد که این مدل در تمامی پارامترهای ارزیابی درستی، دقت، پوشش و امتیاز F1 عملکرد بهتری داشته است. بهویژه، در مقابل روشهایی مانند جنگل تصادفی (RF) و ماشین بردار پشتیبان (SVM)، مدل MLP نهتنها دقت بالاتری داشت، بلکه توانست با شناسایی دقیقتر حملات و کاهش هشدارهای نادرست، نشان دهد که برای کاربردهای عملیاتی در محیطهای IoT مناسبتر است.
این پژوهش نشان داد که با استفاده از تکنیکهای یادگیری عمیق مانند MLP، میتوان بهطور قابل ملاحظهای امنیت شبکههایIoT را بهبود بخشید. این مدل با توانایی در شناسایی و تفکیک الگوهای پیچیده حملات، میتواند بهعنوان یک ابزار مؤثر در سیستمهای پیشگیری و تشخیص حملات در شبکههای IoT به کار گرفته شود.
درنهایت، این پژوهش نشان داد که استفاده از شبکههای عصبی عمیق مانند MLP میتواند نقش مهمی در تقویت امنیت سایبری در شبکههای IoT ایفا کند، که در مقایسه با روشهای دیگر بهصورت شاخص عملکرد بهتری را نشان داده است. با توجه بهسرعت رشد و توسعه دستگاههای متصل به اینترنت رشد فزاینده شبکههای IoT، اهمیت تحقیقات درزمینه بهبود روشهای تشخیص حملات سایبری بیشتر شده و مدل MLP پیشنهادی میتواند بهعنوان یکی از ابزارهای پیشرو در این زمینه به کار گرفته شود. همچنین با توجه به افزایش تهدیدهای امنیتی و تا حدی ناشناخته بودن بعضی از این تهدیدات هر روش یا ابزاری که به بهبود شناخت این تهدیدات کمک کند، میتواند در افزایش اعتماد به فضای مجازی نقش عمدهای بازی کند. این دستاوردها راه را برای تحقیقات بیشتر و توسعه ابزارهای عملیاتی با دقت و کارایی بالا در زمینه امنیت شبکههای IoT هموار میسازد.
مراجع
[1] El Mourabit, Y., et al., "Intrusion detection techniques in wireless sensor network using data mining algorithms: comparative evaluation based on attacks detection. International Journal of Advanced Computer Science and Applications", 2015. 6(9): p. 164-172.
[2] Lopez, O., et al., "Ultra-stable long distance optical frequency distribution using the Internet fiber network. Optics Express", 2012. 20(21): p. 23518-23526.
[3] Ashton, K., That "‘internet of things’ thing. RFID journal," 2009. 22(7): p. 97-114.
[4] Gershenfeld, N., R. Krikorian, and D. Cohen, "The internet of things. Scientific American", 2004. 291(4): p. 76-81.
[5] Ci, S., M. Guizani, and H. Sharif, "Adaptive clustering in wireless sensor networks by mining sensor energy data. Computer ommunications", 2007. 30(14-15): p. 2968-2975.
[6] Dias, J.P., et al. A brief overview of existing tools for testing the internet-of-things. in 2018 IEEE international conference on software testing, verification and validation workshops (ICSTW). 2018. IEEE.
[7] Klaib, A.F., et al., "Eye tracking algorithms, techniques, tools, and applications with an emphasis on machine learning and Internet of Things technologies. Expert Systems with Applications", 2021. 166: p. 114037.
[8] Alahmadi, B.A., et al. "BOTection: Bot detection by building Markov Chain models of bots network behavior". in Proceedings of the 15th ACM Asia Conference on Computer and Communications Security. 2020.
[9] Beskow, D.M. and K.M. Carley. "Bot conversations are different: leveraging network metrics for bot detection in twitter. in 2018 IEEE/ACM international Conference on Advances in Social Networks Analysis and Mining (ASONAM)". 2018. IEEE.
[10] Ioannou, C. and V. Vassiliou. "Classifying security attacks in IoT networks using supervised learning. in 2019 15th International conference on distributed computing in sensor systems (DCOSS)". 2019. IEEE.
[11] Adebisi, B; Hammoudeh, M; Gui, G; Gacanin, H;. " Hybrid Deep Learning for Botnet Attack Detection in the Internet-of-Things Networks" IEEE Internet of Thnigs Journal, Vol 8 Issue 3, 2020
[12] Desai, M., & Shah, M. (2021). "An anatomization on breast cancer detection and diagnosis employing multi-layer perceptron neural network (MLP) and Convolutional neural network (CNN)". Clinical eHealth, 4, 1-11
[13] Piryonesi, M & El-Diraby; " Role of Data Analytics in Infrastructure Asset Management: Overcoming Data Size and Quality problems".journal of Transportation Engineering, 2020
[14] Putman, C. G. J.; Abhishta and Nieuwenhuis, L. J. M. (March 2018). "Business Model of a BOTNET". 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing
[15] Chen, R.; Niu,W.; Zhang, X.; Zhuo, Z.; Lv, F. "An effective conversation-based BOTNET detection method. Math. Probl. Eng". 2017,493408
[16] Aygun, R.C. and A.G. Yavuz. "Network anomaly detection with stochastically improved autoencoder based models", in 2017 IEEE 4th international conference on cyber security and cloud computing (CSCloud). 2017. IEEE.
[17] McDermott, C.D., F. Majdani, and A.V. "Petrovski. Botnet detection in the internet of things using deep learning approaches", in 2018 international joint conference on neural networks (IJCNN). 2018. IEEE.
[18] Kumar, A. and T.J. Lim. EDIMA: "Early detection of IoT malware network activity using machine learning techniques", in 2019 IEEE 5th World Forum on Internet of Things (WF-IoT). 2019. IEEE.
[19] Ioannou, C. and V. Vassiliou. "Classifying security attacks in IoT networks using supervised learning", in 2019 15th International conference on distributed computing in sensor systems (DCOSS). 2019. IEEE.
[20] Shi, W. and Sun, H.(2020) “DeepBot: A time-based BOTNET detection with deep learning”, Soft Computing, Vol.24, No.21, pp. 16605-16616, May 2020.
[21] Hezam, A., Mostafa, S., and Ramli, A.(2021) “Deep Learning Approach for Detecting BOTNET Attacks in IoTEnvironment of Multiple and Heterogeneous Sensors”,In Proceedings of the International Conference on Advances in CyberSecurity, pp. 24–25, 317–328, August (2021), Penang, Malaysia.
[22] Abu Al-Haija Q. and Al-Dala’ien M. (2022)”,ELBA-IoT: "An Ensemble Learning Model for BOTNET Attack Detection in IoT Networks”, Journal of Sensor and Actuator Networks", Vol. 11, No.1, pp. 18-25, February 2022.
[23] Al-Mutairi, M., et al. (2023). Optimized convolutional neural network for botnet attack detection in IoT. Journal of Cybersecurity and Privacy, 5(2), 45-60.
[24] Yang, X., et al. (2023). Graph neural network-based botnet detection in IoT environments. ACM Transactions on Internet Technology, 23(1), 1-15.
[25] Abu Al-Haija, Q., & Al-Dala’ien, M. (2022). ELBA-IoT: An ensemble learning model for botnet attack detection in IoT networks. Journal of Sensor and Actuator Networks, 11(1), 18-25.
[26] Li, J., et al. (2022). Transfer learning-based botnet detection using deep neural networks. IEEE Internet of Things Journal, 9(3), 1954-1965.
[27] Ahmad, I., et al. (2024). Anomaly detection in IoT networks using K-means clustering. Journal of Network and System Management, 32(2), 456-478.
[28] Li, W., et al. (2025). Deep reinforcement learning for botnet detection in IoT networks. IEEE Internet of Things Journal, 12(5), 7890-7902
[1] Internet of Things
[2] Botnet
[3] Multilayer Perceptron
[4] Unique Identifier
[5] Internet Protocol
[6] Internet Relay Chat
[7] Hypertext Transfer Protocol
[8] Distributed denial of service
[9] Random forest
[10] Support Vector Machines
[11] K-Nearest Neighbors
[12] denial-of-service
[13] User to Root
[14] Remote to Local
[15] Probing
[16] Distributed denial-of-service
[17] Chen
[18] Aygun
[19] McDermott
[20] Long-Short Term Memory
[21] Recurrent Neural Network
[22] Domain Name System
[23] Acknowledgement
[24] User Datagram Protocol
[25] Kumar
[26] Lim
[27] Loannou
[28] Vassiliou
[29] Support Vector Machine
[30] Denial-of-service
[31] Shi
[32] Sun
[33] Hezam
[34] Abu Al-Haija
[35] Al-Dala’ien
[36] Ahmad
[37] Li
[38] Exploratory Data Analysis
[39] Accuracy
[40] precision
[41] Recall
[42] F1 Score
[43] Confusion Matrix
[44] AlFaysal
[45] False Positives