物联网入侵检测系统的特征选择方法及性能评估

⃝可在www.sciencedirect.com在线获取ScienceDirectICTExpress 7（2021）177www.elsevier.com/locate/icte物联网入侵检测系统的特征选择PushparajNimbalkar，Deepak Kshirsagar印度浦那工程学院计算机工程与信息技术系接收日期：2021年1月31日;接收日期：2021年3月25日;接受日期：2021年4月30日2021年5月7日网上发售摘要物联网（IoT）由于设备中存在的漏洞而遭受不同类型的攻击。由于许多物联网网络流量特征，机器学习模型需要时间来检测攻击。提出了一种入侵检测系统的特征选择方法 使用信息增益（IG）和增益比（GR）以及排名前50%的功能来检测DoS和DDoS攻击的IDSs。建议的系统获得的特征子集使用插入和联合操作的子集上获得的排名前50%的IG和GR功能。该方法分别在IoT-BoT和KDD Cup 1999数据集上进行了评估和验证，并使用JRipclassifier。该系统在IoT-BoT和KDD Cup 1999数据集上提供了比原始特征集和传统IDS更高的性能， 19个特点，分别。c2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：拒绝服务;物联网;特征选择;入侵检测系统1. 介绍物联网（IoT）是全球采用的自动化网络系统技术。信息技术（IT）兴起和互联互通的下一个阶段是物联网，从小玩具到自制应用再到物联网中的智慧城市。 物联网是云连接的嵌入式系统的混合体，消费者使用这些系统来访问与IT相关的服务，这些服务利用电子相关的事物和互联网协议的组合。在物联网系统中，使用的协议可能具有安全性，这可能会影响整个系统。物联网设备是网络犯罪分子和攻击者的脆弱目标，因为它们缺乏基本的安全协议。这意味着它们可以被僵尸网络黑客攻击，僵尸网络通常用于对组织发起DDoS攻击。物联网中的噪声捕获网络流量由大量流量特征组成。由于物联网网络流量中存在大量特征，机器学习模型需要更多的时间来构建模型并影响IDS的性能。因此，需要进行特征选择，∗ 通讯作者。电子邮件地址：coep.ac.in（P. Nimbalkar），ddk. coep.ac.in（D.Kshirsagar）。同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2021.04.012物联网中的入侵检测，在最短的时间内建立模型，并实现更高的性能。本文的主要贡献如下：1. 本文提出了一种基于信息增益（IG）和增益比（GR）的物联网入侵检测2. 在BoT-IoT数据集上对所提出的特征选择方法进行了测试，并在著名的KDD Cup 1999数据集上进行了验证。3. 所提出的特征选择方法在BoT-IoT和KDD Cup 1999数据集上使用JRip分类器提供了更高的性能，并在最短的模型构建时间内使用所获得的特征。4. 该系统还与BoT-IoT和KDD Cup 1999数据集上2. 文献综述DDoS攻击的特征和主成分分析（PCA）[2]提出了检测DDoS攻击的IDS。在KDD Cup 1999数据集上，使用马氏距离（MD）减少特征，系统获得了92%的更高精度。在[3]中提出的具有K-means聚类的网络IDS使用手动选择的8工作[4]2405-9595/2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。P. Nimbalkar和D. 克希尔萨加尔ICT Express 7（2021）177178在异常入侵检测系统中，使用主成分分析法（PCA）和softmax 回 归 法 ， 对 10 个 特 征 进 行 约 简 ， 检 测 率 达 到99.31%，虚警率为1.116%。工作[5]使用粒子群优化（PSO）进行特征选择，并使用选定的特征在深度神经网络（DNN）的NSL-KDD数据集上分别提供99.5%，99.6%和99.6%的召回率，精确度和准确度。工作[6]提出了使用基于深度学习的IDS的多层框架。该系统利用Cohen的Kappa系数和Mathew相关法得到了26个特征，并利用递归神经网络（RNN）对拒绝服务攻击进行了检测，准确率达到98.27%.该研究[7]提出了一种使用特征选择方法的集成分类器的IDS。该系统采用相关系数（CC）进行特征选择，采用朴素贝叶斯、决策树（DT）和人工神经网络（ANN）的集成分类器进行入侵检测。该系统实现了98.54%的准确率检测DoS攻击UNSW-NB 15数据集与集成分类器使用选定的功能。该系统[8]使用C5分类器使用排名最高的13个IG特征实现了89.76%的更高准确率和1.68的更高FAR。该工作[9]提出了在IDS的特征选择中使用IG。该系统产生了更高的准确率为93.23%，6.77%的FAR与C4.5分类器使用IG的前十个排名的功能。系统[10]使用多目标特征选择技术获得了六个简化特征。 该系统 在CICIDS 2017 数据 集上使 用极端 学习机（ELM）分类器提供了99.90%的准确率。该研究[11]提出了IDS中的长短期记忆（LSTM）网络来检测网络攻击，并在ISCX和AWID数据集上分别实现了99.91%和98.22%的准确率，LSTM使用随机梯度下降（SGD）参数优化。该工作[12]提出的层架构使用了GR方法的前10个排名特征，并在模拟数据集上对其进行了测试。该架构实现了更高的性能与J48分类器比其他树和基于规则的分类器检测拒绝服务攻击。工作[13]提出了一个多层框架来检测DDoS攻击的决策树。该系统手动选择了八个特征，并在模拟数据集上实现了99.98%的准确率，以检测TCP，UDP和UDP洪水攻击。该研究[14]使用自然启发算法对NS-3模拟数据集进行特征选择，并采用预测和混沌方法。该系统对传输层和应用层DoS攻击的检测率达到94.3%。工作[15]使用包装器特征选择方法进行IDS中的特征选择。该系统在蜜罐Cowrie数据集上使用支持向量机（SVM）产生了97.39%的准确率，包括间谍，SSH和XOR DDoS攻击。文献综述观察到KDD Cup 199，CICIDS和ISCX数据集是非物联网入侵数据集，即，包括HTTP DoS攻击的网络入侵数据集。AWID数据集由与IEEE 802.11相关的MAC层Cowrie数据集包括图1.一、物 联 网 中 的 DoS和DDoS检测系统。与物联网身份验证相关的DDoS攻击。IoT-BoT是最新的数据集，特别是针对物联网的数据集，具有与网络入侵数据集（包括应用程序和传输层DoS和DDoS攻击）相同的独特功能本文提出了一种基于特征选择的IDS来检测物联网中的DoS和DDoS攻击。3. 拟议系统物联网入侵检测系统主要包括数据预处理、特征选择和基于规则的JRip分类器，如图所示。1.一、由于存在噪声，捕获的网络流量不适合机器学习模型。它由NaN和缺失值组成。它还包括一些以文本和数字形式呈现相同信息的功能。因此，最初，对有噪声的网络流量执行数据预处理。以文本形式呈现相同信息的特征被删除，NaN和缺失值被替换为零。通过这种方式，数据预处理实现了用于特征选择和入侵检测的紧凑数据集使用数据预处理获得的紧凑数据集进一步用于特征选择和分类为正常和攻击。机器学习提供了过滤器、包装器和嵌入式特征选择方法。该系统使用来自基于过滤器的特征选择技术的集合的IG和GR。系统选择紧凑数据集中存在的特征总数中排名前50%的特征。独特的特征选择技术通过选择排名前50%的特征来获得特征的子集，即信息增益-前50个特征子集（IG-TFP-FS）和增益比-前50个特征子集（GR-TFP-FS）。新的精简特征子集（RFS），即RFS-1和RFS-2，P. Nimbalkar和D. 克希尔萨加尔ICT Express 7（2021）177179分别对特征的获得子集使用交集和并集运算获得。新的特征子集，即RFS-1和RFS-2被提供给JRip基于规则的分类器，以选择包括最小数量的特征的单个特征子集。具有十重交叉验证（CV）的JRip分类器测量系统它基于改进的准确性（ACC）、检测率（DR）和模型建立时间（B）时间）与原始特征集进行比较。4. 系统实施及结果分析第3节中描述的拟议系统使用Waikato信息研究环境（Weka 3.8.3）在配备Intel Xeon CPU E3-1271 v3@3.60GHz CPU的32 GB RAM工作站上实施和测试。Python中的Scikit-learn库用于预处理数据。所提出的系统在最新的[16] IoT- BoT数据集上进行了测试。该数据集由43个特征组成，不包括标签。该数据集包括DoS，DDoS，键盘记录，数据泄露，操作系统和服务扫描攻击。该系统检测物联网中的DoS和DDoS攻击。因此，该系统使用20%的数据集进行测试，包括UDP，TCP和基于HTTP的DoS和DDoS攻击。导出的数据集由总数为715 848条记录组成，其中正常记录477条，攻击记录715 371条。在数据预处理中，手动删除pkSeqID、Stime、saddr、daddr和ltime等绕过系统的功能在文本形式中具有相同含义的数据集中存在的特征（例如flgs和Proto）也被手动删除。用Python编写的脚本用于替换基准数据集中存在的缺失值和NaN值。最后，该系统使用所获得的紧凑数据集，使用由36个特征组成的数据预处理。此外，紧凑数据集用于特征选择。研究[17]表明，基于过滤器的特征选择算法比包装器技术更快。使用Weka工具中基于过滤器的特征选择算法，并在IoT-BoT数据集上进行实证分析。它表明，排名前50%的IG和GR功能提供了比其他过滤技术更高的准确性。因此，系统选择IG和GR，并通过选择数据集中存在的36个特征的总数的前50%特征来获得IG-TFP-FS和GR-TFP-FS子集。子集IG-TFP-FS和GR-TFP-FS由排名靠前的18个特征组成，如表1所示。系统对IG和GR的排名前50%的特征执行交集和并集运算，即，IG-TFP-FS和GR-TFP-FS，并获得了新的特征子集，即RFS-1和RFS-2。使用IG-TFP-FS和GR-TFP-FS上的交集和并集运算获得的新特征子集，即RFS-1和RFS-2，由16和20个特征组成，如表1所示。Weka中可用的基于规则的分类器的实证分析是在IoT-BoT数据集上进行的。结果表明，JRip分类器具有较高的准确率，在建立80.94s模型的情况下，检测率分别达到99.9992%和99.9937表1用于DoS和DDoS检测的特征子集方法要素编号IG-TFP-FS四、六、十、十八、二十、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十、三十一、三十三、三十四、三十五三十六GR-TFP-FS四、九、十、十八、十九、二十、二十三、二十四、25，26，27，28，29，30，31，33，三十五，三十六，RFS-2四、六、九、十、十八、十九、二十、二十三、二十四、25，26，27，28，29，30，31，33，三十四三十五三十六RFS-1第四、十、十八、二十、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十、三十一、三十三、三十五、三十六表2使用JRip对IoT-BoT数据集进行结果分析方法ACC（%）DR（%）ICI（%）B. 时间（秒）所有F99.999299.37110.000880.94IG-TFP-FS99.999399.57990.000736.34GR-TFP-FS99.999299.37110.000842.45RFS-299.999299.37110.000840.87RFS-199.999399.57990.000734.31与其他基于规则的分类器相比，因此，新的特征子集，即RFS-1和RFS-2，分别由16和20个特征组成;如表1所示，提供JRip分类器来选择单个子集进行特征选择。该模型的性能是根据ACC、DR和具有十倍CV的模型建立时间来计算的。系统基于改进的准确度（ACC）、检测率（DR）和模型建立时间（B）从RFS-1和RFS-2中选择单个特征子集。与紧凑数据集、IG-TFP-FS和GR-TFP-FS中存在的36个特征相比。最后，系统选择由16个特征组成的子集RFS-1用于DoS和DDoS检测。实现的系统在IoT-BoT数据集上进行了测试，并使用JRip测量了性能。表2显示了使用JRip的系统的性能，使用在系统实现期间获得的表2显示，所获得的特征子集RFS-1使用JRip在34.31 s内构建模型，使用与GR-TFP-FS、RFS-2和紧凑数据集中存在的36个特征相似的16个特征 ， 实 现 了 更 高 的 ACC 和 DR ， 分 别 为 99.9993% 和99.5798%，FAR为0.000004194。它还表明，与IG-TFP-FS相比，该系统使用16个特征以最短的模型构建时间实现了相同的ACC和DR。与紧凑数据集特征相比，它还提供了更少的不正确分类错误（ICI）。5. 系统比较和验证P. Nimbalkar和D. 克希尔萨加尔ICT Express 7（2021）177180在IoT-BoT数据集上对所提出的系统与传统的基于特征选择的网络IDS进行了比较分析。将传统入侵检测系统中提到的特征选择方法应用于物联网BoT数据集，并使用JRip计算性能，P. Nimbalkar和D. 克希尔萨加尔ICT Express 7（2021）177181表3与传统IDS在IoT上的比较研究ACC（%）DR（%）远B. 时间（秒）所有F99.999299.37110.00000419480.94[八]《中国日报》99.999099.36970.00000559127.56[18个国家]99.999299.37110.00000419452.08RFS-199.999399.57980.00000419434.31表4建议在KDD Cup 1999数据集上进行系统验证研究ACC（%）DR（%）B. 时间（秒）远所有F99.99099.990916.50.000128[八]《中国日报》99.99099.99327.610.000165[18个国家]99.98599.99439.670.000311RFS-199.99299.99439.340.000110特征子集该系统与传统网络IDS在具有JRip的IoT-BoT数据集上的比较分析如表3所示。表3显示，与[8，18]相比，JRip使用获得的特征子集，所提出的系统分别实现了99.9993%和99.5798%的更高的ACC和DR，并且 紧凑数据集中存在36个特征。该系统[8]使用排名前13的IG特征，并且该系统使用IG和CR获得减少的特征。与[8]和[18]相比，所提出的特征选择使用IG和GR的组合，其中排名前50%的特征在ACC和DR方面提供了更高的性能。该系统还提供与[8]相比，虚警率（FAR）为0.000004194。在KDD Cup 1999数据集上，利用JRip对该系统进行了验证.该系统主要检测DoS和DDoS攻击。因此，只有存在于KDD Cup 1999数据集中的拒绝服务实例被提取用于实验和验证。该数据集由142404个实例和41个特征组成。该数据集分别包括87 832和54 572个正常和DoS实例。该数据集包括Smurf，land，pod，teardrop，Neptune和backDoS攻击。在第3节中描述的系统获得了19个特征，用于检测KDD Cup 1999数据集上的DoS攻击。在KDD Cup1999数据集上使用JRip对所提出的方法与传统IDS进行了比较分析，如表4所示。表4显示，与[8，18]和原始特征相比，JRip使用19个特征来检测KDD Cup 1999数据集上的DoS攻击，所提出的系统实现了99.9920%的更高准确率。它还表明，与[18]和原始特征相比，特征选择方法使用最少19个特征和9.34 s模型构建时间提供了99.9943%的相同检测率。6. 结论所提出的系统分别针对BoT-IoT和KDD Cup 1999数据集，使用IG和GR的前50%排名特征获得的子集上的交集运算获得了16个和19个特征，用于检测DDoS和DoS攻击。该系统实现了较高的精度和检测能力分别为99.9993%和99.5798%，JRip使用BoT-IoT数据集上的16个特征。KDD Cup 1999数据集本工作将扩展到使用生物启发算法的组合来找到IDS的最佳功能。CRediT作者贡献声明Pushparaj Nimbalkar：方法论，软件，验证，写作-原始草案。Deepak Kshirsagar：构思，监督，调查，写作-评论编辑.竞合利益作者声明，他们没有已知的可能影响本文所报告工作引用[1] ShakerAlanazi ， JalalAl-Muhtadi ， AbdelouahidDerhab ，KashifSaleem，Afnan N.哈南·阿尔罗米约珥？阿荷莱巴，J.P.C. Ro-drigues，关于无线Mesh路由协议在基于IoT的环境辅助生活应用中对DoS攻击的弹性，在：2015年第17届电子健康网络国际会议，应用&服务，HealthCom，IEEE，2015年，pp. 205-210[2] 宗永胜，黄国艳，一种多媒体物联网DDoS入侵行为预测的特征降维技术，多媒体工具应用。（2019年第1[3] 邓连兵，李大明，姚翔，David Cox，王浩翔，基于迁移学习算法的物联网移动网络入侵检测，集群计算。22（4）（2019）9889[4] 赵胜初，李伟，Tanveer Zia，Albert Y. Zomaya，一种用于异常入侵 检 测 的 降 维 模 型 和 分 类 器2017 IEEE 15th Intl Conf onDependency，Autonomic and Secure Computing，15th Intl Conf onPervasiveIntelligenceand Computing，IEEE，2017，pp. 836-843[5] Bayu Adhi Tama，Kyung-Hyune Rhee，基于PSO的特征选择和随机森林在物联网网络中的异常检测的集成，在：MATEC会议网络，第159卷，EDP Sciences，2018年，p. 01053[6] Muder Almiani ， Alia AbuGhazleh ， Amer Al-Rahayfeh ， SalehAtiewi，Abdul Razaque，物联网入侵检测系统的深度递归神经网络，Simul。模型Pract. 理论101（2020）102031。[7] Nour Moustafa，Benjamin Turnbull，Kim-Kwang Raymond Choo，基于建议的统计流特征的集成入侵检测技术用于保护物联网的网络流量，IEEEInternetThings J。6（3）（2018）4815[8] Vikash Kumar，Ayan Kumar Das，Ditipriya Sinha，UIDS：物联网环境的统一入侵检测系统，Evol。内特尔（2019）1-13。[9] Nickolaos Koroniotis，Nour Moustafa，Elena Sittrova，Jill Slay，基于机器学习技术为物联网中的僵尸网络活动开发网络取证机制，载于：移动网络和管理国际会议，Springer，2017年，第100页。30-44[10] Monika Roopak，Gui Yun Tian，Jonathy Chambers，一种针对物联网中DDoS攻击的入侵检测系统，在：2020年第10届年度计算和通信研讨会和会议，CCWC，IEEE，2020，pp. 0562-0567[11] Abebe Diro，Naveen Chilamkurti，利用LSTM网络进行雾到物通信中的攻击检测，IEEE Commun。Mag.56（9）（2018）124-130.P. Nimbalkar和D. 克希尔萨加尔ICT Express 7（2021）177182[12] EiriniAnthi，L o wri W illiams，Mauggorzata So w in'ska，Geo r geTheodor-akopoulos，Pete Burnap，智能家居物联网设备的监督入侵检测系统，IEEE Internet Things J. 6（5）（2019）9042-9053。[13] Yi-Wen Chen ， Jang-Ping Sheu ， Yung-Ching Kuo ， Nguyen VanCuong ， Design and implementation of IoT DDoS attacks detectionsystemsbased on machine learning，in ：2020 European ConferenceonNetworksand Communications，EuCNC，IEEE，2020，pp. 122比127[14] AndriaProcopiou ， NikosKomninos ， ChristianDouligeris ，ForChaos：在智能家居物联网网络中使用预测和混沌理论进行实时应 用 DDoS 检 测 ， Wirel. Commun. 暴 徒 Comput.2019 年 （ 2019年）。[15] Rajesh Kumar Shrivastava，Bazila Bashir，Chittaranjan Hota，在物联网环境中使用蜜罐的攻击检测和取证，在：分布式计算和互联网技术国际会议，Springer，2019年，第10页。402-409[16] NickolaosKoroniotis ， NourMoustafa ， ElenaSitterova ，BenjaminTurnbull，在物联网中开发真实的僵尸网络数据集用于网络 取 证 分 析 ： Bot-iot 数 据 集 ， FutureGener 。 Comput. 系 统 100（2019）779[17] Veetor Ranganathan Balasaraswathi，Muthuanarasamy Sugumaran，Yasir Hamid，使用非生物启发和生物启发优化算法进行入侵检测的特征选择技术，J. Commun。 INF. 网络2（4）（2017）107[18] Ishfaq Manzoor，Neeraj Kumar等人，使用ANN分类器的特征减少入侵检测系统，专家系统应用88（2017）249-257。