SaaS安全框架下的机器学习攻击检测与缓解

沙特国王大学学报使用安全SaaS框架的基于机器学习的攻击检测和缓解作者声明：a，b，a，c.Shyamaa计算和信息技术学院，REVA大学，印度Bengalu 560bSreenidhi科学技术学院CSE系，印度，Telangana 501301，阿提奇莱因福奥文章历史记录：收到2020年2020年10月5日修订2020年10月5日接受2020年10月15日网上发售保留字：SaaS框架SDNDBN MFSLnO中的攻击检测使用诱饵A B S T R A C T软件即服务（SaaS）是通过互联网访问特定云应用程序的许可证。然而，这些服务被延迟，有时完全中断，因为互联网的不可用性，提供了很多攻击的机会。对云安全的研究主要集中在禁止恶意用户使用云发动攻击，例如目前由僵尸网络进行的攻击，包括发动DDoS攻击，发送垃圾邮件等。由于SaaS使用来自云计算提供商的服务器和客户机器的计算能力，我们认为SaaS可能会以前所未有的方式被精心利用为僵尸网络的攻击载体。先前的研究工作已经开发了一种新的框架，用于在深度学习方法的帮助下检测攻击（Doriguzzi-Corin et al.，2020年）。虽然网络中的攻击节点已经确定，但它们并没有减少。一个增强的和强大的对手模型是提供作为这个问题的解决方案。因此，本文打算开发一种新的框架，攻击节点缓解使用安全的SaaS框架。本文的主要贡献是提供了一个发生在深度置信网络（DBN）中的攻击检测过程，其中权重以及激活函数都是使用中值适应度导向海狮优化算法（MFSLnO）进行微调的。如果DBN检测到攻击节点，则控制权将转移到轻量级诱饵方法，该方法可以可靠地缓解最常见的攻击节点，而不会中断常规连接。所提出的工作的性能产生了最好的结果，在传统的模式与丢包率为16%，吞吐量为89%。©2020作者由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍几十年来，云计算范式已经将计算配置转移到基于需求的网络资源中 ， 这 些 资 源 有 可 能 提 供 基 于 按 需 付 费 的 服 务 （ Krishnan 和Achuthan ， 2019 年 ; Leng 等 人 ， 2019;Koning 等 人 ， 2019 年 ;Priyadarshini和Barik，2019年）。在云计算出现之后，即插即用信息技术（IT）基础设施快速增长。云计算的三大服务*通讯作者：计算和信息技术学院，REVA大学，Bengdalu 560 064，印度。电 子 邮 件 地 址 ： thejasindhu@gmail.com （ SaiSindhuTheja Reddy ） ，gopalkrish-nashyam@reva.edu.in（G.K.Shyam）。沙特国王大学负责同行审查SaaS、PaaS和IaaS。整个软件由SaaS提供给云，因为它包括基于云的电子邮件服务、社交网络服务、调度服务以及在云上运行的任何程序。它是通过互联网访问特定软件应用程序的许可证。SaaS模式定义了我们如何向客户交付云应用程序。云计算开发背后的主要意图是开发一种灵活的架构，以便在任何地方的不同用户之间不断共享信息。由于SaaS可以启动基于模块化软件的智能，具有更大的灵活性，因此它们在改变网络结构和作为SDN的一部分发挥作用 另一方面，云向安全角度的这种更快演进必须管理威胁（Bhushan和Gupta，2018 年 ; Rao 和 Nene ， 2017 年 ;Beigi-Mohammadi 等 人 ， 2016 年 ;Buragohain和Medhi，2016年）。 因此，新服务的创建正在加速，并允许网络运营商进行创新和定制。机器人程序部分是一个可以远程控制的单一软件。控制机器人的人被称为https://doi.org/10.1016/j.jksuci.2020.10.0051319-1578/©2020作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comS. Reddy和G. K Shyam沙特国王大学学报4048botmaster。在僵尸主机控制下的僵尸程序集群被称为僵尸网络。僵尸网络是通过在计算机所有者不知情或未经其同意的情况下首先污染计算机而创建的，例如，通过将病毒作为电子邮件附件发送。一旦计算机感染了僵尸软件，它就会联系僵尸大师。此时，bot成为僵尸网络的一部分。然后，botmaster可以向bot发送命令以执行（恶意）任务。僵尸网络可以包括数千甚至数百万个僵尸程序，例如估计有3000万个僵尸程序的Bre-doLab僵尸网络。这些攻击包括发起DDoS攻击、发送垃圾邮件和实施点击欺诈。对于任何组织来说，内部机器人感染都会造成严重的影响，包括工作时间和停机时间的损失。这类灾难的平均成本高达数万美元。因此，有必要防范这种攻击。部署在不同生态系统和业务范式中的基础设施已经经历了潜在的转变，但不关心网络维护（Kalkan等人，2018;De Assis等人， 2018年）。此外，在云服务中，SaaS被认为是MCC领先的移动云计算驱动力。SaaS具有为用户提供安全服务的潜力。在移动设备和智能手机上的云革命之后，云服务无法满足实时访问。因此，SDN中的SaaS通过解耦数据平面和控制平面提供了一个有前途的解决方案。现有的计算网络将具有特定功能的不同设备封装在一起，这些设备的配置是通过传统的工具来完成的。随着所沉迷的计算设备的数量增加，云的可扩展性、可靠 性 以 及 灵 活 性 受 到 影 响 （ Shafi 等 人 ， 2018; De Assis 等 人 ，2017;Smith-perrone和Sims，2017）。各种机器学习（ML）算法被提出用于攻击检测和缓解。其中有遗传算法（GA）、粒子群优化算法（PSO）、萤火虫算法（FF）、鲸鱼优化算法（WOA）、骑士优化算法（ROA）等，但这些算法都有其缺点，如GA算法复杂，容易陷入早熟收敛，对初始种群有依赖性等。粒子群优化算法在求解离散优化问题时容易陷入局部最优，控制效果差。针对上述问题，人们提出了各种混合和增强的攻击检测和缓解算法，通过使用ML的原始版本的组合以下是一些专注于ML用于检测和减轻攻击的增强的研究。在Bharot等人（2018）中，DDoS攻击检测和缓解模型使用J48算法和重症监护请求处理单元（ICRPU）的特征选择方法提出。在这项工作中，首先，交通分析使用Hellinger距离函数。ICRPU的特殊之处在于，攻击者永远不会意识到他们发送的耗尽资源的请求被捕获，因此攻击者不会执行任何反射动作。很容易追踪到攻击者。在Sahi等人（2017）中，作者提出了一种新的分类器系统，用于检测和防止公共云中的DDoS TCP洪水攻击（CS_DDoS）。在检测阶段，CS_DDOS识别并确定数据包是标准数据包还是来自攻击者。在预防阶段，被归类为恶意的数据包将被拒绝访问云服务，源IP将被列入黑名单。当采用LS-SVM分类器时，CS_DDoS产生最佳性能最后，使用K折交叉验证模型对结果进行验证SDN与SaaS的实现具有在现收现付基础上应用于未来网络的可能性（Imran等人，2019 a; Giotis等人，2014; Neupane等人，2019年）。另一方面，SDN更容易受到攻击，僵尸网络攻击至关重要。僵尸网络是计算机的集合，黑客，并且因此他们破坏网络的完整性（在确认、完整性、可用性之间的三元组）受到影响。合作诱饵的方法是必要的：在移动自组网（MANDO）中，建立节点间的通信的一个基本要求是，节点应该合作。 在存在恶意节点的情况下，该要求可能导致严重的安全问题;例如，这样的节点可能破坏路由过程。在这种情况下，防止或检测恶意节点发起灰洞或协作黑洞攻击是一个挑战。为了解决这个问题，设计了一个Ad-hoc的按需距离矢量路由（ AODV ） 为 基 础 的 路 由 机 制 ， 这 是 被 称 为 合 作 诱 饵 检 测 计 划（CBDS），集成了主动和被动防御架构的优点。我们的CBDS方法实现了一种反向跟踪技术，以帮助实现所述目标。本文的主要新颖之处在于，所提出的框架部署了一个与集中式数据安全系统集成的攻击检测-缓解系统。这个综合框架旨在保护家用电器产生的数据的隐私，这些数据被认为是高度敏感的。(The有关申请的详情载于以下章节）。攻击检测和缓解系统必须是复杂的，因此本文中部署了独立的系统，而物联网设备接收的数据被集中监控。为了提高检测性能，提出了一种称为MFSLnO的优化算法的新变体来训练DBN。此外，本文还介绍了一种合作BAIT方法，以减轻攻击设备。这项研究工作的主要贡献讨论如下：使用MFSLnO和轻量级诱饵方法检测和缓解Botneck攻击。从准确度、灵敏度、特异性、精密度、假阳性率和假阴性率、误检率和漏检率等方面对所提出的方法进行了性能分析。建议MFSLnO与不同的优化算法的比较。建议和传统分类器的性能分析。针对丢包率和吞吐量对攻击率的整体性能评估。本文的其余部分组织如下：第二部分包括一个关键的文献调查。第三节描述了拟议的攻击检测和缓解框架。第四节包括建议MFSLnO解决优化问题。第五部分包括建议的诱饵方法的入侵缓解过程。第六节给出了实验结果，最后，第七节给出了结论。2. 文献综述2.1. 相关作品2019年，Abou El Houda et al. （2019）开发了一种分散的，安全的DDoS协作方案（Cochain-SC），用于基于区块链的DDoS缓解。作者利用以太坊的区块链智能合约技术增强了SDN域之间的基于区块链的DDoS缓解有助于域内缓解以及域间缓解。此外，在sFlow的帮助下，他们使用投影的基于内熵的方案（I-ES）计算了数据的随机性在域内，网络流量异常自动检测所提出的I-ES。此外，在SDN域内部，他们借助域内缓解（I-DM）计划减轻了非法流量的●●●●●S. Reddy和G. K Shyam沙特国王大学学报4049提出的模型进行了评估的灵活性，效率，安全性和成本效益。在2019年，Nguyen 等人（2019）制定了一个协作和智能的NIDS架构，称为搜索。作者借助智能IDS节点上的分层，在基于SDN的云物联网网络上开发了这种方法他们通过制定策略来检测异常，从而实现了消除基于SDN的物联网网关设备上的恶意流量的目标从资源共享和路径优化两个方面对提出的NIDS体系结构进行了全面的分析。2018年，Sahoo et al. （2018）已经预测了一个基于GE的度量来检测SDN控制层上的低速率DDoS攻击。在控制器端，利用所采用的ID检测流量攻击。结果表明，基于统计信息距离度量的检测精度高于传统的2018年，Bhushan和Gupta（2018）基于使云计算成为合适的网络技术的独特特征研究了SDN的可行性基于排队论的数学模型，论证了开关流表空间。此外，在基于SDN的云上，他们提出了一种创新的流表共享方法，用于防止流表中的过载DDoS攻击。后来，他们开发了一种新的流表共享方法，用于保护流表免受DDoS过载攻击。它还在空闲流表的帮助下保护了交换机所提出的模型的结果显示了通信开销的减轻。2019年，Pillutla和Arjunan（2019）开发了一种模糊自组织基于地图的DDoS缓解机制（FSOMDM）技术，用于增强SDN在云计算中的潜力建议FSOMDM是增强版本的模糊规则的基础上Kohonen神经网络。他们利用了面向软件的流量调查的特性来进行DDoS缓解，并通过探索模糊规则来探索输入空间的维度。他们还整合了一个攻击响应过程，用于丢弃SDN控制平面中的攻击流实验结果表明，在TPR方面，分类器的准确率得到了提高2019年，Krishnan和Duttagupta（2019）构建了一个DoS威胁分析和响应框架（DTARS），用于使用SDN/NFV融合技术监控防御和安全。这种方法在可接受的开销范围内实现了更高的检测准确性他们还展示了安全感知流表转发决策和SDN范式的全局视图，以快速响应威胁。结果显示，在连接性能方面，整体端到端管理得到了增强。2019年，Khellah（2019）开发了一种基于控制器的Packet-In消息到达率动态计算的数据到控制平面饱和攻击检测新方法。作者已经开发了这种方法的自适应变化的阈值中接收的Packet-In消息。作者已经证明了他们的方法在检测和减轻DoS饱和攻击方面是有用的，并且在控制平面上的开销可以忽略不计。2019年，（Imran et al.，2019 b）提出了一种SDN中的并行流安装模型，用于减轻网络流量上的DoS攻击对细粒度控制的影响。此外，作者还发现，采用他们的方法，可以减轻硬件的额外负担、交换机的修改、路由建立的额外延迟、信息丢失和额外的控制数据包。该模型的仿真结果表明，SDN基础设施的服务能力得到了提高，响应时间得到了缩短。在2019年，Khadija Aouzal等人（2019）提出了一种策略驱动的中间件，它结合了软件产品线工程和模型驱动工程原理。这根据租户的非功能性需求来配置它可以根据租户的服务级别协议进行动态配置为了帮助高质量视频（如大数据）的流式传输，Psannis et al.（2019）提出了一种基于智能云计算系统的先进媒体可扩展智能大数据。Kaushik和Gandhi（2019）开发了一种分层的基于身份的密码学方法，用于数据安全和验证数据完整性。这样做是为了确保攻击者或云服务提供商没有进行任何更改。2019年，Bhushan和Gupta（2019）提出了一种新的流表共享方法，以保护云免受过载DDoS攻击。由于SDN控制器的参与最少，这增加了云环境的抵抗力。这可以通过最小的通信开销此外，Gao etal. （2019）提出了一种新的模型，以改善云环境中的多用户数据共享机制。由于作者采用了前向安全的密钥更新加密方案，因此可以进行定制2019年，Mandal和Sarkar（2019）提出了一个灵活的SaaS Meta信息系统。使用Hadoop，作者识别相互关联的业务流程、服务和数据源，以支持Meta信息的增量更新。表1显示了SaaS的特性和面临的挑战。每种技术都有特定的优势，这有助于减少某些缺点。除此之外，还有大量的挑战需要解决。3. 拟议的攻击检测和缓解框架安全性是SaaS上客户的最大担忧。每个典型的客户端都使用SaaS应用程序，因此发生攻击的可能性更大。与SaaS相关联的风险是缺乏透明度、身份盗窃、数据访问风险、对信息的控制等。已经提出了各种攻击检测系统来检测受损数据（Khraisat等人，2019年）。如果这些技术不能达到预期的效果，假阴性率或低检测率。有效的SaaS安全性包含完整的信任级别。本研究通过有效的攻击检测和缓解系统来解决此类挫折需求。SaaS应用程序的一些功能和关键特征如下：多租户模型，自动配置，基于订阅的计费，高可用性，弹性基础设施，数据安全性和应用程序安全性。在拟议的工作中，它主要用于安全目的。本文讨论了僵尸网络攻击。可以采取多种措施来缓解僵尸网络的攻击，如分类、加密技术等。由于僵尸网络攻击可以以多种形式实施，因此无法预见这些攻击的形式。因此，所提出的检测和预防僵尸网络攻击的工作是基于分类的，并且可以识别和预防这些攻击，无论它们以何种形式到达。我们工作的动机海狮优化算法（SLoN）和诱饵的方法。SLoN的主要优势是海狮（全局搜索代理）的人工狩猎行为，它们具有最佳和随机搜索，以用胡须狩猎猎物（鱼类群;在我们的工作中，猎物被认为是恶意流量数据）。此外，它会召唤其他加入它们小组的海狮对SLoN的探索很高，因为海狮会在猎物周围重新定位自己，以找到最佳解决方案。因此，海狮是最好的识别攻击在一个广泛的区域。SLoN是S. Reddy和G. K Shyam沙特国王大学学报4050表1SaaS的特点和挑战作者引文采用的方法特点挑战Abou El Houda等人（2019年）Cochain-SC●有效缓解域内非法流量。● 假阳性率● 低开销● 消耗更多的时间● 高延迟Nguyen et al.（2019）NIDS架构提到Search● Good in handling bottleneck problem.● 在检测和缓解异常方面显示出显著的改进。Sahoo等人（2018）信息距离度量●提高检测精度● 提高整体网络效率● 高延迟● 低吞吐量● 高计算工作量● 检测假警报的效率较低● 检测时间Bhushan和Gupta（2018）Pillutla and Arjunan（2019）OpenFlow●非常低的通信开销● 最小化控制器的参与模糊自组织映射●实现更高的检测精度● 增加真阳性，增加真阴性，减少假阳性● 设置开销很高● 保持时间高● 低的可靠性● 低吞吐量Krishnan和Duttagupta（2019）DDoS威胁分析和响应框架（DTARS）● 更少的开销● 改进整体端到端连接管理● 高防御性能● 高响应时间● 确保完整性● 低吞吐量● 导致更高的延迟● 在控制器处，处理开销发生Khellah（2019）OpenFlow协议●最小化流量。● 带宽增加。● 平均页面获取时间。● 需要谨慎选择最佳监测窗口。● 高丢包率。● 需要自动扩展以实现高资源调配。Aouzal等人（2019）政策驱动的中间件approach.● 建模非功能性需求及其可变性。● 制定针对租户的政策。● 在运行时根据质量属性动态配置SaaS服务。● 服务中介。● 资源再利用差Psannis等人（2019）基于媒体的智能大数据●将高质量视频作为大数据进行流式传输。● 减少等待时间。● 应该将大量数据集成到云。● 可靠性低Kaushik（2019）基于身份的分层密码学方法● 数据完整性● 数据安全● 不同实体之间的信任程度不高。● 更少的可靠性。Bhushan & Gupta（2019）流表共享方法●防止过载DDoS攻击。● 提高云系统对DDoS攻击的抵抗力。● 缺乏安全感。● 低通信开销。Gao等人（2019）安全存储模型●完善多用户数据共享机制，成本节约、安全和定制。● 需要自动缩放。● 高丢包率。Mandal and Sarkar（2019）元信息管理系统。● 识别相互关联的业务流程、服务和数据源。● 通讯延迟● 可扩展性更低扩展到中值适应度海狮优化算法（MFSLoN），以避免陷入局部最优，并最大限度地提高收敛速度。在这项工作中，攻击检测系统（ADS）包括两个阶段：（i）DBN和（ii）MFSLoN。最初，数据集经受DBN用于分类。由于存在大量的数据，并且为了正确地维护它，使用MFSLoN执行进一步的分类。在检测到攻击后，使用诱饵方法来减轻如果检测到攻击，则将控制权转移到诱饵方法，以减轻攻击;否则，将数据包发送到标准路由。因此，我们称之为合作诱饵法。攻击检测和缓解过程的总体描述如下：将9个应用程序加载到中央处理器上：即Danmini_Doorbell、Ecobee_Thermostat 、 Ennio 门 铃 、 Phillips_B120N10_Baby_Monitor、rovision_PT_737E_Security_Camera、Provision_PT_838_Security_Camera、Samsung_SNH_1011_N_Webcam、SimpleHome_XCS7_1002_WHT_Secureity_Camera和SimpleHome_XCS7 _1003_WHT_ Security Camera。这些是在攻击检测和缓解过程中使用的IoT设备列表僵尸网络，拒绝服务，中间人，身份和数据盗窃，社会工程，高级持续威胁，勒索软件和远程记录是其中发生的威胁众所周知，许多物联网设备具有漏洞-允许攻击者从互联网远程访问或控制它们的能力，而有些设备被发现具有无法更改的弱密码最基本和最容易瞄准的威胁是物联网的脆弱性脆弱性有两种-软件和硬件。攻击者发现很难穿透硬件的弱点.然而，如果他们成功了，修复或恢复损害就更难了。云服务支持物联网远程设备生命周期管理，在实现设备基础设施的360度数据视图方面发挥着关键作用。原始数据经过RSA加密。这些加密的数据被映射到交换系统中的九个远程交换单元在解码过程之后获得的原始数据经受基于DBN的 ADS，其中确定攻击的存在S. Reddy和G. K Shyam沙特国王大学学报4051为了提高检测能力，隐藏的神经元，和激活函数的DBN微调与一个新的MFSLnO，这是一个概念上的改进标准SLnO。在检测恶意节点时，将控制转移到诱饵方法以减轻攻击者，否则发生正常路由。所提出的框架的架构如图所示。1.一、图 1显示了SaaS框架中检测和缓解僵尸网络攻击的安全架构。僵尸网络是一组被恶意软件感染的互联网连接设备，允许攻击者控制它们，包括泄露凭据、未经授权的访问、DDoS攻击等。最初，数据从九个不同的应用程序加载到中央处理器（CPU）。该数据经过RSA算法进行加密和解密，以便将数据从源发送到目的地。由于RSA具有素数分解的优点，使得破解密钥变得困难。在编码过程之后，RSU将编码数据发送到其解码器。随后，解码后的数据被发送到攻击检测系统（ADS），在该系统中，通过两个阶段检测攻击：深度信念网络和MFSLnO（建议的工作）。 在ADS中，首先执行基于DBN的分类由于我们已经考虑了115个特征的巨大数据集，为了进行进一步的分类，数据被发送到MFSLnO算法，该算法检测攻击的存在。在检测到攻击以预防它们之后，使用诱饵方法。如果检测到的数据受到攻击，则将其发送到诱饵方法以进行缓解;否则，将其发送到标准路由过程。Fig. 1. SDN中提出的攻击检测和缓解架构基于SaaS框架建模。S. Reddy和G. K Shyam沙特国王大学学报4052¼ ðÞ--ð Þ ¼KX.XXXXZ3.1. 基于DBN的优化攻击检测DBN由Smolensky于1986年设计。该设计包括不同的层，并且在每一层中，存在可见的和隐藏的神经元（Yun等人，2017年）。这些可见和隐藏的神经元分别代表输入层和输出层.在通过将权重矩阵W与可见向量V相乘来计算隐藏神经元概率pK。这被示为p rV：W它可以用数学表示为当量（十）、p.K！ 1j！第二条B XVwt！ð1 0Þ在玻尔兹曼网络中，随机神经元l的输出（o）是概率性的。概率函数p（t）在数学上表示为二进制输出o，如等式2所示。（一）.这里，符号T是伪温度，这将随机模型m l l;mL当接近0时，变为确定性。ps11吨吨ð1Þ● 正梯度u：它是通过将可见向量V乘以概率pK来计算的，按照u1/4V：pT。● 可见状态被重建为V 0，从K到Eq. （十一）、 从V 0开始，对隐藏级进行采样。o¼.0的概率为1-p≤s≤2 ≤。！1，概率为psp.小维 1j！KrXKwtð11ÞL玻尔兹曼机对应神经元的配置状态s在等式中表示。（三）、这里，sl是神经元二进制状态，权重和偏置l m l;mM这些神经元之间的距离分别表示为Wt1;m和Wt1。E-1-Xslsm wtl;m-Xwlsl-3m● 负梯度u-：由V 0乘以K 0确定以u-1/4V 0：KT0计lm l● 重量更新DW<$du-u-在受限玻尔兹曼机（RBM）中，存在于可见单元V和隐藏单元K之间的联合卷积被定义为每个等式：（4）、（5）和（6）。可见单元l和隐藏单元m在二进制状态下表示为Vl和Km。本文的重要贡献发生在隐神经元K和激活函数r上。为了使攻击检测更有效，激活函数和隐藏的神经元都与MFSLnO算法进行了微调。艾薇！V;！K1/4w tl;mKm：Vl-Vlal-Kmbm4l;mE.Vl;！KXwtl;m：Kmal5ME. ！V;Km= 1/2 Xwtl;m：Vl=1/2m=6/2L成果管理制培训是在无人监督的情况下进行为了考虑，存在具有可见输入向量的矩阵形式的训练集D。产生最大概率的权重的分配在等式中定义。（七）、. ！Σ¼此外，利用新获得的值，更新权重。w^tx;y<$Dwtx;y<$wtx;y<$12DBN的结果检测网络中例如，如果存在攻击，则将控制给予诱饵方法以减轻攻击节点。否则，将进行标准路由操作。3.1.1. 特征提取每当一个数据包到达时，都会对传输该数据包的主机和协议进行行为快照。快照通过在若干时间窗口上提取115业务量统计以汇总所有业务量来获得分组通常源自同一个IP来自同一源MAC和同一IP地址的在源IP和目的IP之间发送的IP（通道）● 在源到目的TCP/UDP之间发送的WmmaxWPp V！V2Dð7Þ插座（插座）这些特征可以非常快速地递增在Eq.中定义的能量函数（8）帮助分配权重所有可能的隐藏和可见神经元对。所有神经元状态的可能能量被求和以获得配分函数Z，并且它在数学上被表示为等式（1）。（九）、从而便于恶意分组的实时检测加-这些功能可以捕获特定的行为，如源IP欺骗，这是Mirai攻击的特征例如，当受损的IoT设备欺骗IP，p.！V;！KZ¼ ！V;！K1/4e-E。！V;！KE-E。！V;！Kð8Þð9Þ源MACIP、源IP和信道将立即指示由于源自欺骗IP地址的不可见行为而导致的大的异常用于数据集属性和训练摘要的摄像机集合有九种设备类型：2个门铃、1个恒温器、1个婴儿监视器、4个安全摄像机和1个网络摄像头。而不是随机初始化的可见状态，对比发散（CD）的部署。接下来的部分总结了CD算法的步骤。●●●●●S. Reddy和G. K Shyam沙特国王大学学报4053最初，对应于V的样本被训练并支撑到可见神经元上。3.2. 用于攻击检测3.2.1. 目标函数如上所述，激活函数以及DBN的隐藏神经元通过新的MFSLnO算法进行微调。给出了算法输入的图形表示●S. Reddy和G. K Shyam沙特国王大学学报4054¼-ð ðÞÞ-ð ðÞÞ---在图2中。DBN中的隐层神经元记为K，激活函数记为r.激活函数r的调整分别决定函数是sigmoid还是tanh在这项工作中定义的主要目标Ob在方程中给出。其中RMSE表示均方根误差。Ob¼Min：0.0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000003.2.2. MFSLnO算法：提出的工作优化算法在诸多因素的影响下经历了各种各样的改进其中之一是通过引入自适应算子或自适应函数。提高检测重要的角色。当前迭代表示为t，*随机向量G被称为驻留在范围（Doriguzzi-Corin例如，2020年）。此外，为了更接近猎物，海狮会从当前的迭代转向下一个迭代（t+ 1）。这种向最近的猎物移动的现象在数学上按照方程（1）进行建模。（十五）、此外，在迭代，有一个逐渐减少的价值！H从2比0-D！是1/4。二号！G：！别...好的。ð1 4Þ能力，隐藏的神经元，和激活功能的DBN微调与MFSLnO，一个概念上的改进，！快去！-D！is：！Hð15Þdard SLnO（Masadeh等人，2019年）。作者已经开发标准的SLnO算法基于他们从最聪明的动物海狮那里获得的原始动机。通常情况下，海狮的狩猎机制发生在集群中，它们有可能决定何时成群狩猎。 胡须控制着海狮的猎物追踪和追逐过程。MFSLnO的伪码在算法1中描述。下面给出所提出的算法的数学模型3.2.2.1. 阶段1-更新猎物探测和跟踪。 胡须帮助海狮评估猎物的位置（数据集中的恶意数据），以及它的形状和大小。当晶须与水波的方向相反时，海狮能感觉到猎物并确定它们的位置。当猎物充足时，海狮会找到猎物，并要求其子群体中的其他成员加入追捕跟踪猎物在狩猎机制中，海狮，它呼吁其他人，据说是领导者。在SLnO中，目标猎物只是当前最优解或接近最优解。在这项工作中，我们认为猎物是一组恶意的和负责任的属性创建攻击。此数据集中的属性总数为115。它们被分为五种类型。它们是（i）MI-恶意业务数据（ii）对来自分组主机的新业务进行求和的H-统计（iii）概述从分组主机到分组目的地主机的主要业务的HH-统计示例192.168.4.3：1432至192.168.4.13：80，（v）HH_jit -在这五类属性中，第一类MI （恶意流量数据）被认为是猎物，其中MFSLnO检测不同类型的攻击。在数学上，猎物更新机制被建模为每Eqs。（14）和（15）。目标猎物和海狮之间的距离用术语D表示！I s. 当更新海狮的位置时，矢量位置！瞄准猎物！不要玩了图二. 解决方案编码。最初，找到当前搜索代理的适合度和一中值的整体健身Fitov是计算。如果拟合P中位数拟合ov，将为高于中位数的值创建索引值。具有高于这些索引值的值的解决方案使用Eq. （十六）、！St1：St]16其中，t1：人口规模。由于中值是为解计算的，并且关于更新过程的变化是基于解的中值。因此，所提出的模型被称为MFSLnO算法。3.2.2.2. 第2阶段-更新发声。一般来说，海狮被认为属于两栖动物家族，因为它们具有在陆地和水中生存的潜力。海狮之间的交流是通过不同的发声来完成的，主要是在追逐或狩猎过程中，它们更频繁地交流。当海狮识别猎物时，它会召集其他动物加入其中，这一机制被建模根据Eqs.（17）、（18）、（19）。大海的速度狮子被标记为Slead！以及它们在水中的声音速度，air被指定为u！1 还有你！2所示。S-l-e-ad！呃... .-u！121-u！2=-u！二、ð1 7Þ-u！1½sinh18u！2½sinu19在这里，解决方案更新是基于新的更新，其中最初找到当前搜索代理的适应度fit Fitfit然后，计算整体适应度Fitov的Medina。 如果拟合P中值拟合0v，则使用等式更新具有高于索引值（高于中值）的值的解。（20）.！St13.2.2.3. 阶段3-更新攻击阶段。为了更好地模拟猎物的攻击现象，文中还引入了缩小包围技术和圆的位置更新(a) 缩小包围方法：在这里，值！在Eq.（16）起着重要的作用，并且据说在整个迭代中从2减轻到0这种减少的价值援助的海狮进展的方向的猎物和包围他们。(b) 圆圈更新位置：海狮在狩猎过程中追逐鱼饵球，这种狩猎机制按照方程建模（21）. 发生的距离S. Reddy和G. K Shyam沙特国王大学学报4055..ðÞð ðÞÞð ðÞÞ-ð ðÞÞ-- -！如果（S<0.25）leader--ð ðÞÞ在最佳最优解（目标猎物）和搜索代理（海狮）之间的符号表示为！别...好的。的范围[-1，1]中的随机数用符号表示为m。然后，cos 2pm定义了海狮围绕猎物的圆形运动路径。在DBN检测恶意节点时，控制权被转移到诱饵方法用于减轻节点;否则发生标准路由。！这是第一次。！别...我的意思是：我的意思是 快！2019年12月21日3.2.2.4. 寻找猎物它包括勘探和开发两个阶段。3.2.2.5. 探索在这个阶段，海狮用胡须随机地寻找猎物。 在这种情况下，如果！F大于1算法1（续）算法1：所提出的MFSLnO算法的伪代码使用等式更新当前搜索代理的位置。（二十三）如果结束则结束如果拟合P中位数拟合ov选择使用方程更新的解决方案。（20）使用Eq.（21）更新当前搜索代理的位置。End ifEnd if如果搜索代理会员Slead！儿如果拟合P中位数拟合ov选择使用方程更新的解决方案（二十四）或小于1时，海狮会离开目标猎物和领导者，寻找另一个猎物。3.2.2.6. 剥削在这个阶段，基于最佳搜索代理，海狮更新它们的位置。该算法中的全局搜索是在！F大于1。这个过程在数学上表示为Eqs。（22）和（23）。-D！是1/4。二号！G：S-r！别说了！好的。ð22ÞEndifEndif停止对于每个搜索代理，计算相对于最佳解决方案的适应度，更新！返回！S，哪个是最好的解决方案其他返回到初始状态Endif！快去快去！别说了！i s：！Hð23Þ在位置更新期间，找到当前搜索的适应度，并且在总体适应度的medina上对其进行比较。 如果拟合P中值拟合0v，则使用等式更新具有高于索引值的值的解。（24页）。！St1原始海狮算法和所提出的工作之间的区别是：在所有阶段，当前搜索的适应度中位数是中间值。如果当前适应度大于或等于中值，则通过丢弃小于中值的值来考虑大于中值的值此外，通过使用mean计算所有适应度的平均值因此，丢弃一半的值，其小于中值并移动到进一步优化。这提高了算法的速度和收敛速度，并给出了最优解。算法1：所提出的MFSLnO算法的伪代码：初始化海狮种群选择：Sr！选择nd适应度评估：对于每个搜索代理，评估适应度函数If1最大值

下载后可阅读完整内容，剩余1页未读，立即下载