基于模糊逻辑的僵尸网络检测方法

沙特国王大学学报基于模糊逻辑的特征工程僵尸网络检测方法Chirag Joshia，1，Ranjeet Kumar Ranjana，2，Vishal Bhartib，3a印度德拉敦DIT大学计算学院b印度昌迪加尔昌迪加尔大学CSE系阿提奇莱因福奥文章历史记录：2021年3月26日收到2021年6月23日修订2021年6月24日接受2021年7月1日上线保留字：人工神经网络僵尸网络模 糊 逻 辑 模糊规则CTU-13网络安全A B S T R A C T近年来，僵尸网络已经成为最可怕的恶意实体之一。由于僵尸网络的隐蔽性和承载能力，使得僵尸网络的检测成为一个非常具有挑战性的课题.不同的方法已经被应用于在早期阶段发现僵尸网络的来源。机器学习和深度学习极大地影响了这些僵尸网络检测方法。但这仍然是一项艰巨的任务，因为僵尸网络数据集中可用的功能数量较少本文提出了一种基于模糊逻辑的特征工程方法。该方法首先识别数据集中的模糊使用该方法生成的特征被人工神经网络用于僵尸网络的分类为了训练和评估ANN模型，我们使用了CTU-13数据集。提出的特征工程方法和僵尸网络分类方法具有良好的性能，准确率为99.94%。这种方法还需要在不同的数据集上进行测试。在未来，新的模糊规则也可以产生一组新的功能，以及这些规则可以用于从其他数据集生成特征。版权所有©2021作者。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍近年来，网络攻击正在迅速增加网络攻击的快速增长主要是由于大量的数据积累（Malwarebytes LABS，2020）。每天都有新的数据通过社交媒体、在线课程、搜索引擎和博客平台攻击者正在窃取这些重要数据用于恶意目的。为了做到这一点，攻击者正在通过恶意软件、病毒、网络钓鱼、拒绝服务等实施严格的攻击，作为他们破坏数据安全的工具。所有这些类型的攻击都可以通过僵尸网络轻松完成僵尸网络是一个机器人网络，它根据僵尸管理员的命令工作（Silva等人， 2012年）。他们使用僵尸网络嵌入各种类型的*通讯作者。电子邮件地址：erchiragjoshiji@gmail.com（中国）Joshi）。1ORCID：https://orcid.org/0000-0002-5392-65902ORCID：https://orcid.org/0000-0002-8796-45793ORCID：https://orcid.org/0000-0002-7806-9169沙特国王大学负责同行审查在网络攻击中，Botmaster很容易隐藏在其他真正的用户中。在2020年第一季度，印度的网络攻击增加了37%（2020年第一季度印度的网络攻击）。因此，许多行业的业务都面临下滑。如今，数据盗窃、泄漏和网络钓鱼攻击的风险已经增加，导致个人和组织的资金损失。2020年7月，印度最大的食品巨头之一Haldiram遭到勒索软件的攻击。黑客加密了他们所有的文件和重要文件，7,50,000美元的赎金（食品主要Haldiram新型冠状病毒疫情爆发迫使人类在线开展业务。许多组织已经通过使用不同的应用程序将其业务转移到基于在线的平台。大多数大学和教育机构也利用各种在线平台调整了远程教学。使用多样化的在线平台也为恶意攻击者提供了执行恶意活动的机会。最近，已经提出了各种新技术来防止由僵尸网络执行的网络攻击。在所有这些技术中，基于机器学习的方法已经成为检测病毒、恶意软件、僵尸网络等的流行方法单独使用不同的机器学习算法可以有效地找出恶意数据包（Gardiner和Nagaraja，2016）。僵尸网络是网络世界中最可怕的威胁之一，https://doi.org/10.1016/j.jksuci.2021.06.0181319-1578/©2021作者。由爱思唯尔公司出版代表沙特国王大学这是一个在CC BY-NC-ND许可证下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comC. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6873其隐蔽和聚合的性质。机器学习和深度学习算法的操作过程是以一种非常有创造性的方式制定和执行的，以识别僵尸网络和正常数据包。机器学习算法对数据集的不同特征进行处理，并找出恶意数据包。这些算法还对通过僵尸网络分发的不同类别的病毒和恶意软件起作用（Mathur等人，2018年）。机器学习分类算法可用于找出攻击类型和恶意来源。僵尸网络的恶意活动通常使用数据包完成。数据包中有许多功能可以帮助找出僵尸网络或任何其他恶意实体。在Zhou等人（2020）中，使用统一的框架来检测僵尸网络。该框架使用不同的特征选择方法和图学习算法的组合。有时，现有的功能不足以检测僵尸网络，因为僵尸大师也很了解用于检测恶意实体的技术。在Bot架构中发现Botmaster总是一项繁琐的任务，因为存在不同类型的Bot架构可用，例如P2P、集中式和混合式（Joshi等人，2020年a）。Botmaster可以利用这些架构中的任何一个来植入攻击，其中，P2P架构已经被Botmaster广泛使用。在P2P体系结构中，Botmaster在每一层攻击中都在不断地变换身份，因此很难检测出原来的Botmaster。在大多数僵尸网络数据集中，特征数量有限，其中协议、源地址、目的地地址、源端口和目的地端口是僵尸网络数据集中可用的常见特征。但是，这些特征不足以检测僵尸网络。有时，僵尸网络管理器在这些常见特征方面没有太大变化，并且传统的机器学习算法（诸如支持向量机（SVM）、逻辑回归、决策树和K最近邻（KNN））可能由于这些有限的现有特征而无法识别僵尸网络（Joshi等人，2020年b）。因此，需要识别或生成一些新的隐藏特征来检测僵尸网络。可以使用特征工程方法来生成新特征。不同的方法可用于特征工程，诸如主成分分析（PCA）、单变量特征选择（UFS）、递归特征选择（RFS）、特征重要性（FI）、相关矩阵（CM）、深度学习和模糊逻辑（Chen等人，2006年）。在所有这些特征工程方法中，基于深度学习和模糊逻辑的方法正在取得令人鼓舞的结果。在深度学习中，有许多隐藏层，并且在隐藏层中也有许多单元。这种类型的结构有助于从现有特征中找到视线外特征。由于模糊逻辑的模糊性，它是确定新特征的一种重要方法。基于模糊逻辑的特征工程方法首先从数据集中识别出模糊集，并使用不同的模糊规则来生成新的特征。在现有的文献中，基于模糊逻辑的特征工程方法还没有被广泛探讨僵尸网络数据集。在本文中，我们提出了一种新的基于模糊逻辑的有限元分析，结构工程方法和用于僵尸网络检测的人工神经网络。该方法使用模糊逻辑从僵尸网络数据集的功能生成。所提出的特征工程方法生成的特征用于训练和测试人工神经网络。我们提出的方法使用CTU-13（Garcia和Grill，2014）数据集来生成一些关键特征。为了生成特征，首先识别出一些清晰的属性，然后应用不同的模糊规则将这些清晰的属性转换为模糊的属性。然后，检查每个转换的模糊特征在数据集中的参与。我们根据CTU-13数据集的特点建立了一些模糊规则，并在此基础上产生了新的特征。所生成的特征被进一步用于所提出用于僵尸网络分类的人工神经网络。ANN架构，我们在本文中使用的，已经开发使用增量检测僵尸网络的方法，我们已经使用了多种架构。建议的人工神经网络模型有四个隐藏层以及输入和输出层。论文的其余部分安排如下：第2节涵盖相关工作。第3节介绍了拟议的方法。第四部分是实施情况和结果分析，最后一部分是本文的结论。2. 相关工作近年来，许多研究人员致力于僵尸网络的检测。基于机器学习的僵尸网络检测模型已被广泛应用。在Stevanovic和Pedersen（2013）中，作者应用了多种机器学习技术来检测僵尸网络。他们对这些技术进行了深入的调查。在Zhao et al.（2013）中，研究人员通过使用机器学习对网络流量进行分类来应用流量行为分析。这种方法不依赖于数据包的有效载荷，它可以很容易地从网络设备中检索。一些研究人员也将图理论用于僵尸网络检测。在这种方法中，他们使用PSI图和CNN来检测Linux IoT僵尸网络（Nguyen et al.，2018年）。在Yan等人（2015）中，作者使用了基于主机和网络分析的技术来检测僵尸网络。他们监测了网络流量捕获正常和僵尸网络流量。在此之后，他们使用朴素贝叶斯和决策树分类器对僵尸网络进行分类。一些作者还使用基于云的服务来监控网络上的恶意软件（Yadav和Ritika Garg，2019）。机器学习算法不仅用于病毒和恶意软件检测，这会影响桌面应用程序，而且这些算法还用于检测Android操作系统的恶意文件。在Milosevic等人（2017）中，作者提出了一种基于机器学习的方法来检测Android恶意软件，准确率为95.1%。恶意软件检测也由Liu et al.（2017）完成。他们首先使用特征工程方法，并应用共享最近邻（SNN）算法来检测恶意软件。一些作者还提出了生成对抗网络上的基于流的框架，其也保留了僵尸网络模型的基本属性（Yin等人， 2018年）。在大多数僵尸网络数据集中，要素的数量是有限的并且由于这些有限的特征，需要产生一些新的特征。许多研究人员已经应用了不同的传统方法进行特征选择和生成，例如：主成分分析（PCA），单变量特征选择，递归特征选择，特征重要性和相关热图。使用这些方法，他们已经从现有数据集中找到了关键特征（Joshi等人，2020年b）。在Letteri et al. （2019），对原始数据的行为分析已用于HTTP僵尸网络检测以提取特征。对多层感知器提取的特征也有应用.关于不同特征选择方法的调查由Rashashekar和Sahin（2014）提出。在本文中，作者强调了不同的数据集需要不同的特征选择方法。他们更多地关注特征选择的包裹和嵌入方法本文提出了一种基于模糊逻辑的特征工程技术模糊逻辑方法论的作品在模糊集，我们已经转换到模糊集的清晰值我们还分析了每个模糊特征的分解，然后将所有生成的特征转换为清晰值。除了传统的特征选择算法，研究人员还致力于使用模糊逻辑来检测新的C. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6874数据集中的特征模糊逻辑给出了数据集中特征的参与值在模糊逻辑中，不同的模糊规则被用来寻找结果。在《驾驶员睡意》（2011）中，驾驶员的睡意是在模糊逻辑的帮助下计算出来的。他们提取了新的功能与模糊小波包变换（FMIWPT）。研究人员使用模糊逻辑规则来识别Garcıa等人的新特征。（2014年）。遗传算法，rithms也被用来与模糊规则的提取功能。Tsang et al.（2007）的研究人员将特征划分为两个不同的模糊集，并应用模糊规则来获得新的特征。多目标进化特征选择方法也被用于模糊规则的帮助下，Jimenez等人。（2019年）。特征提取是僵尸网络数据集中的一项重要任务。因此，在提取新的特征之后，检测算法应该能够足够预测正确的数据包是僵尸网络还是正常数据包。机器学习算法已经证明，它们在僵尸网络检测领域做得非常出色。在过去的几十年中，许多研究人员已经探索了各种机器学习算法，例如逻辑回归、决策树、K最近邻和随机森林来检测僵尸网络（Joshi等人，2020年a）。Apruzzese等人（2018）的作者还进行了一项广泛的调查，显示了不同机器学习和深度学习方法在网络安全中的影响。这些方法有助于将来自网络的实时数据检测为僵尸网络或正常数据包（Alauthman等人，2020年）。迁移学习也是检测僵尸网络的一种有效方法。在Alothman和Rattadilok（2018）中，作者使用了迁移学习方法。他们没有连接任何数据集;相反，他们将其应用于网络中的不同数据集。传统的机器学习算法在提高某些数据集的性能方面存在局限性。它启发了研究人员使用深度学习。深度学习方法具有许多隐藏层的优势，这有助于提取特征。在Dong等人（2018）中，作者概述了僵尸网络检测中不同的神经网络设计和模型性能。一些研究者使用了带有决策树的自适应多层前馈神经网络。在Kumar和Garg（2017）中，作者调查了现有的用于僵尸网络检测的深度学习算法。他们回顾了深度学习算法的所有优点和局限性。在Alauthaman et al. （2018），作者创建了一个关于CART算法提取的特征的反向传播学习算法。在Wang et al.（2017）中，卷积神经网络通过获取恶意软件流量数据的图像进行分类来用于恶意软件的分类。Kolosnjajiet al.（2016）使用卷积神经网络和递归神经网络的组合来检测使用系统调用序列的恶意软件。他们开发了一 个 分 层 的 特 征 提 取 架 构 ， 并 获 得 了 85.6% 的 准 确 率 。 最 近 ，Vinayakumar等人（2019）使用了一种名为Deep Bot Detect（DBD）的方法来检测僵尸网络。作者首先使用深度学习提取特征，然后使用分类模型。这种方法有助于早期检测Domain-Flux僵尸网络。深度学习方法也用于检测IoT僵尸网络。在McDermott等人（2018）中，作者提出了一种基于双向LSTM-RNN的新方法，用于检测Mirai僵尸网络的攻击深度学习方法不仅用于僵尸网络的分类，而且对于量化财务信息也很有用（Chen例如， 2019年）的报告。近年来，物联网（IoT）已经成为一种最常用的技术。基于物联网的设备现在被普通用户用于常规活动。物联网最受欢迎的应用之一是通过使用不同的物联网设备开发的智能城市。物联网系统生成的数据通常是-存储在云存储系统中。这些存储可能是脆弱的，并可能为恶意攻击者提供机会。近年来，物联网系统中基于僵尸网络的恶意攻击日益增多.智能城市是物联网支持的，因此，这些数据的泄漏可能非常昂贵。研究人员已经使用了各种技术来检测物联网设备中的这些僵尸网络。许多机器学习算法，如逻辑回归，支持向量机，决策树，随机森林，人工神经网络和K-最近邻都用于检测物联网设备中的僵尸网络。所有这些技术在物联网僵尸网络的情况下都具有良好的准确性（Rashid等人，2020年）。物联网设备存储大量数据，并且由于这种巨大的数据量，物联网设备也是各种攻击的目标。僵尸网络攻击增加的主要原因是大量的数据积累。机器学习和深度学习技术不足以处理如此庞大的数据，因此，研究人员还使用了各种方法来检测物联网设备中的僵尸网络。在Popoola等人（2021）中，研究人员使用了长短期记忆自动编码器（LAE），它可以在数据集中正确地对网络样本进行分类。他们已经将双向长短期记忆（BLSTM）用于由LAE生成的低维特征集。长短期内存技术也用于防止第七层分布式拒绝服务（L7DDoS）。拒绝服务攻击是互联网领域最大的威胁之一。第七层的DDoS攻击称为应用层DDoS攻击，其攻击方式复杂，难以检测。长短期内存技术有助于检测DDoS攻击，研究人员已经使用这种技术有效地避免了Odusami等人的L7DDoS攻击。（2019年）。有一些文献提出了不同的僵尸网络数据集的特征工程方法。许多作者已经使用了基于流程的方法，以及传统的特征工程方法，如主成分分析、特征重要性、单变量特征选择等，用于产生新特征（Joshi等人，2020年b）。但是，有有限的工作已经探索了网络安全的特征工程，特别是在基于模糊逻辑的僵尸网络数据集中（Jimenez等人，2019年）的报告。一般来说，不同的僵尸网络数据集需要不同的特征工程方法，因为可用的功能及其属性（Sahrashekar和Sahin，2014）。对于CTU-13（Garcia和Grill，2014），我们没有发现任何基于模糊逻辑的特征工程方法，然而，一些作者使用传统的特征工程方法。此外，在使用深度学习方法以及基于模糊逻辑的特征工程的现有文献中还没有进行任何工作。有一些机器学习模型已经用于僵尸网络检测，但是所有这些方法都是在没有任何特征工程的情况下实现的（Joshi等人，2020年a）。一些作者使用机器学习和深度学习以及一些特征工程方法进行僵尸网络检测，但没有使用基于模糊逻辑的特征工程方法。为了克服这些局限性，在本文中，我们提出了一种基于模糊逻辑的特征工程方法来生成新的功能从CTU-13数据集。在所提出的方法中，我们使用模糊逻辑从现有的特征中生成新的特征。在本文中，我们还提出了一种基于人工神经网络的僵尸网络检测模型。所提出的人工神经网络模型使用新的功能生成的建议的特征工程方法的僵尸网络的类分类表1中列出了多种现有僵尸网络检测方法的比较。比较是基于所使用的数据集，特征工程方法，僵尸网络检测方法以及方法的准确性进行的。从表1中，我们可以看出，一些研究人员使用模糊逻辑进行特征工程，使用深度神经网络进行特征工程。C. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6875JJJ表1总结了相关工作。作者数据集特征工程方法精度Stevanovic等人（Stevanovic和Pedersen，2013）NANAML算法NADavid Zhao等. （Zhao等人， 2013年度）Honey Net项目行为分析决策树百分之九十八Huy-Trung Nguyen等人 （Nguyen等人， 2018年）IOTPOT-IoT僵尸网络NAPSI图CNN分类器百分之九十二乔希C等人（Joshi等人， （2020年b）反恐组13PCA、UFS、RFS、FI、CHMKNN百分之九十八莱特莉I等人（Letteri等人， 2019年度）反恐组13熵决策树百分之九十七点五四rashekar等人（反恐组13熵决策树96.74%Rami N.Khushaba等人（《驾驶员疲劳》，2011）EEG EOG、ECG模糊LIBSVM95%-97%加西亚S等人 （Garcıa等人， 2014年度）反恐组13NABclus和CAMNEP百分之九十八Tsang等人 （Tsang等人，（2007年）KDD-Cup99遗传SVM百分之九十八点零四Jimenez等人（Jimenez等人， 2019年度）真实生活数据集模糊MEFC78.04%乔希C等人（Joshi等人，（ 2020年a）反恐组13NAKNN（10交叉折叠）百分之九十九Alauthman M等人 （Alauthman等人， 2020年）ISOT、P2P、ISCX推车深度学习百分之九十八点三Alothman等人（Alothman和Rattadilok，2018）真实生活数据集没有迁移学习NA董夏新等 （Dong等人， 2018年）NANAML算法NAAlothman等人 （Alauthaman等人， 2018年）反恐组13推车深度学习百分之九十九点零八Wang.W等人（Wang等人，（ 2017年）KDDCUP 1999和NSLL-KDDNACNN78.04%僵尸网络的检测但是，没有工作是可用的，使用模糊逻辑和神经网络一起。这促使我们使用模糊逻辑和深度神经网络进行僵尸网络检测。3. 拟议方法我们提出了一种新的僵尸网络检测方法，其中包括两个基本的方法。第一种是基于模糊逻辑的特征工程，第二种是基于人工神经网络的分类模型。在基于模糊逻辑的特征工程中，首先，将清晰特征转换为模糊特征，然后在数据集中检查这些特征中的每个特征的参与。在找到参与之后，我们得到具有新特征的更新数据集。在第二部分中，我们评估了一个基于四层隐层人工神经网络的分类模型。ANN中的层和单元的数量已经使用增量方法确定。我们已经尝试了多种模型，以找到所提出的人工神经网络架构。所提出的模型的框图如图1所示。建议模式的架构分为以下不同部分：1. 数据预处理以去除噪声和缺失值。2. 基于模糊逻辑的特征工程，用于生成新特征。3. 参与分析。4. 基于人工神经网络的分类模型。3.1. 数据预处理以去除噪声和缺失值在应用任何类型的模型之前，数据集预处理总是先决条件我们使用了CTU-13数据集（Garcia和Grill，2014），其中包括正常流量和僵尸网络流量。正常流量由从源发送到目的地的数据包组成，并且在传输之间也不进行操作僵尸网络流量由僵尸主机或受僵尸主机控制的系统发送的数据包组成。在数据预处理步骤中，我们已经去除了所有的噪声和缺失值。3.2. 基于模糊逻辑的特征工程新特征生成如前所述，本文中使用的数据集CTU-13具有有限数量的特征。现有的特征不能产生具有高性能的良好分类模型。因此，我们使用了一种基于模糊逻辑产生一些新的功能。数据集有一些清晰的特征，我们已经用来生成新的特征。将清晰特征转换为模糊特征的过程称为模糊化，如图1所示。算法1.将Crisp转换为Fuzzy Features：读取Crisp Features; Crisp Features asCF 1，CF2，CF 3 CFn;范围：低、中、高; LIMIT：LW、MD、HG（范围的清晰度值），同时处理端如果LIMIT是LW，则为每个crsip值分配低端如果LIMIT为MD，则每个crsip值被分配为Medium端如果LIMIT为HG，则每个crsip值被分配为高端该算法采用n个清晰的特征，CF1，CF2，CF3，. CFn作为输入。对于CTU-13数据集，我们使用n = 4。所有输入特征的清晰度值被转换为三个模糊值，称为LIMIT，即低、中、高，分别表示为LW、MD、HG。模糊化是根据下面定义的规则完成的。如果LIMIT为LW，则低范围已被分配，如果LIMIT为MD，则中范围已被分配，并且如果LIMIT为HG，则高范围已被分配给脆度特征。在对每个输入脆度特征（即CF1、CF2、CF3、CFn）执行算法之后，模糊化方法将生成n个值将被指定为低、中、高的新特征的位数。使用解模糊化方法将生成的特征进一步转换在提出的基于模糊逻辑的特征工程方法中，我们首先确定了新的模糊属性，如数据传输，传输速率，传输速率和有效载荷。在此之后，我们已经为这些属性生成了新的模糊规则。模糊规则也被用来找出数据集中的模糊特征的参与。在对所有识别的模糊特征应用模糊规则之后，我们检查了每个特征的参与。基于生成的特征，我们开发了三种不同的规则，如下所述。JC. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6876Fig. 1. 拟议模型的框图。设R1、R2、R3和R4分别是表示数据速率、传输速率、传送速率和有效负载的特征集令L、M和H分别为用于表示特征的低、中和高范围的模糊值。第一条规则：-在这条规则中，我们根据我们在等式中提到的特征制定了两个子规则（一）.S1最大值R1 L;R2 M最大值S2最大值R3H;R4L最大值1L其中，R1L、R2M、R3H和R4L分别是特征R1、R2、R3和R4在将模糊最大值函数应用于上述两个子规则中的每一个之后，我们使用模糊最大值函数将它们组合起来，以找出两个子规则之间的最大值，定义为等式1中的ActiveRUL1。（二）、最大有效值1½S1;S2为2µ m在Eq中定义的规则。（2）是第一条规则。在最后一个阶段，我们已经使用了这个规则的模糊最小隶属函数，它被定义为RUL低的低参与。RUL低1/4分钟活动1;参与低3分钟由方程式（3），RULLOW，我们使用的函数是两个子规则S1和S2中的最小值，并且我们使用这个RULLOW来检查数据集中特征的最小参与。根据创建第一条规则的过程，我们创建了另外两条规则。第二个规则在Eqs中给出。（4）而第三条规则在等式中给出。（7）第二条规则：S3最大值为R1 M;R2L1 M;S4最大值为R3 M;R4 H最大值为4M最大活动范围2½S3;S4，最大活动范围5½RULMID 1/4分钟活动时间eRUL2;参与时间6分钟其中，RULMID用于检查数据集中特征的Medium参与。第三条规则：S5最大值为R1 M;R2 H1 M;S6最大值为R3L;R4 M最大值为7L最大活动范围3¼S5;S6，最大8mmRUL高1/4分钟活动3;参与高1/9分钟其中，RULHIGH用于检查数据集中特征的最大参与3.3. 特征参与分析在使用所提出的基于模糊逻辑的特征工程方法找出模糊特征之后，我们进行了分块分析。使用参与度分析，我们检查了每个新生成的特征的参与度。参与度是一个值，它表明我们是否需要采取一个特定的特征进行进一步的分类任务。每个特征在数据集中可能具有不同的参与度，这导致我们执行参与度分析。为了识别有用的特征，我们使用了在前面的步骤中创建的所有规则。然后将所有这些规则聚合在一起，以生成新生成的特征的完全参与。聚集规则在等式中示出。（十）、聚合的最大值为1/4RULLOW;最大值为1/4RULMID;RULLOW为1/4RUL LOW3.4. 基于人工神经网络的分类模型有许多算法和分类模型已被用于僵尸网络检测。在这些模型中，基于人工神经网络的模型在用于僵尸网络检测的不同性能测量方面给出了显著的改进人工神经网络由多层结构组成，它从一个输入层开始，然后是多个隐藏层和一个输出层。人工神经网络是由边相互连接的节点组成的网络，每条边都被分配了一个权重或参数。网络可以由一个或多个隐藏层组成，隐藏层和输出层的每个节点都包含一个激活函数来处理和更新权重。对于不同的数据集，不同的研究人员提出了多个人工神经网络，其中隐藏层和每个隐藏层中的单元数量发生了变化（Alothman和Rattadilok，2018）。在我们提出的模型中，我们使用人工神经网络（ANN）对僵尸网络进行分类。在我们的分类模型中，我们做了四个隐藏层作为HDL 1，HDL 2，HDL 3，HDL 4。 我们在隐藏层和输出层分别使用了ReLu和Softmax函数。我们还使用了Dropout功能。 图 2显示建议C. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6877676767675672¼X36：：：：6：：：：46775图二.人工神经网络模型。用于僵尸网络分类的人工神经网络架构在本文中，我们的主要重点是生成或识别一些重要的功能，从数据集使用建议模糊2L113 2L113：76：76 7 6 72L113 2L 113：76：76 7 6 7基于逻辑的特征工程方法。 在确定了HDL1¼ 67HDL2¼ 67HDL3¼ 67HDL4¼6 7从数据集的重要特征，我们已经评估了建议的人工神经网络。为了开发建议的人工神经网络架构，我们使用了增量的方法。其中，我们首先评估了一个隐藏层，两个隐藏层的ANN架构，三个隐藏层。最后，我们评估了人工神经网络：：：L18：：：L264：：：L3128：：：L4128模型由四个隐藏层组成。在这种增量方法中，我们已经找到了四个隐藏层的ANN模型在各种性能指标方面表现良好。该模型提供了最高的准确性以及早期停止。 这就是为什么我们在本文中使用这个模型设x i为输入特征向量，其中i 0; 1; 2; 3. *n.所有这些输入特征向量也可以表示为x，其在等式（1）中示出。（十一）、2x13X6 7：ð13Þ在我们的模型中还使用了两个函数，它们是ReLu和Softmax。在所有四个隐藏层中使用了 ReLu 函数，并且在输出层中使用了softmax。输入值与隐藏层的权重之间的关系可以由等式中定义的权重矩阵W表示。（十四）、ð14 Þx¼6： 7六四分七五Xnð11Þ我们使用提前停止机制来避免过度-根据Eq.因此，CTU-13的特征向量将等效于x，其在等式（11）中呈现。（十二）、x协议x源地址x源端口6xDestinationAddress 7我们提出的ANN模型中的拟合问题。它是一种正则化方法，用于用迭代方法训练模型。4. 执行情况和结果分析在通过应用模糊规则找出新的特征之后，我们将分类模型应用于CTU-13数据集x¼x目的地端口xDataRangexTransferRatexDeliveryRatexPayloadð12Þ（Garcia and Grill，2014）。该分类模型是我们提出的模型的一个子部分。4.1. 实验装置在我们的实验设置中，我们使用了Google Colab。这是一由方程式在公式（13）中，我们已经提出了四个隐藏层HDL1、HDL2、HDL3和HDL4，其可以表示为：Google提供的在线平台为该实验提供了12 GB RAM和102 GB磁盘空间执行454545467676767236C. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6878建议的僵尸网络检测模型已经使用python库完成，如-NumPy，panda，Keras，matplot和skfuzzy。4.2. 性能度量每个机器学习或深度学习算法都是基于不同的性能指标进行评估的，如表2所示。所有这些指标定义为：-。混淆矩阵：它显示了一些真阳性，假阳性，真阴性和真阳性样本的完整细节。从一个dataset。表3表2业绩指标。名称描述精密TPTP精密FP召回TPTPFFN虚警率FP公司简介评分准确度评分精确度：它显示算法正确挑选出阳性结果的比例它的值介于0和1之间，接近1的值表示模型的完美性。回忆：它显示了正确识别的积极结果在实际正确值中的比例。它的值也在0和1之间，接近1表示模型的完美性。虚警率：它显示了模型的错误预测值的数量为了模型的完美性，其值必须在较低的一侧（Khan等人， 2019年）的报告。分数：在人工神经网络中，模型的准确性已通过此参数计算。在人工神经网络中，算法运行不同的时期，因此该参数计算每个时期的组合精度和损失用于计算性能指标的数学公式如表2所示，其中TP =真阳性，FP =假阳性，TN =真阴性，FN =假阴性。所有TP、FP、TN和FN的值都是从混淆矩阵中导出的4.3. 结果分析我们提出的模型有两个不同的阶段，第一个是模糊逻辑的特征工程，第二个是评估的人工神经网络模型的僵尸网络检测模型。在模糊逻辑系统中，首先，我们从数据集中识别出一些可以转换为模糊特征的特征。每个功能都有三个范围，低，中，高。这三个范围是根据每个特征的不同值选择的。所有特征及其范围在表3中列出。表3中提到的特性是数据传输、传输速率、传输速率和有效负载。这些特征中的每一个都具有如下特殊价值：1. 数据传输：它显示了数据从源传输到目的地的速率此功能中的范围值是从源到目的地的一次通信中传输的数据包总数。2. 传输速率：它显示了从源到目的地的一个数据包中传输的总字节的速率。此功能中的范围值是一个数据包中的数据包总数3. 源字节：-它显示了从源传输到目的地的源字节总数。此功能中的范围值是一个数据包中源字节的总数4. Payload：它显示一个数据包中的有效负载值范围的值是每个分组中的有效载荷值。这些特征中的每一个都在最终参与中做出不同的贡献。在完成从数据集中提取的新特征之后，我们需要找出所有这些特征是否有用。为此，我们将模糊规则应用于所有特征，以使其参与数据集。使用算法1，我们已经将清晰特征转换为模糊特征。所有清晰特征都基于不同的范围被转换为模糊特征，如表3所述。在将所选的清晰特征变为模糊特征之后，下一步是找到脆度特征及其范围。名称范围数据传输低（1每个特征的参与。参与让我们一个值，通过它我们可以确定一个特定的特征是否与数据集的其他特征一起参与预测。这也将有助于进一步的分类任务。我们为参与价值制定了1-10的等级。接近1表示参与度较低，接近10表示参与度较高。这个比例可以在任何两个数字之间进行。每个模糊特征（数据传输、传输速率、传输速率、有效负载）的参与值计算为5。这表明我们必须找到的所有新特征都在数据集中具有良好的分布。它导致在数据集中添加所有这些新的参与特征以进行分类。然后，我们执行了Defuzzification以获得生成特征的清晰值。所有新生成的功能以及现有功能将用于僵尸网络检测。图3示出成员资格和结果汇总。在我们的实验中，我们使用三角模糊隶属度函数来选择特征.所有特征的三角模糊隶属函数表示如图所示。 四、我们使用skfuzzy库来实现模糊逻辑特征工程方法。在本实验中，三角函数被用作隶属函数有三个模糊规则，已作出的模糊化过程。在这个过程中，我们从数据集的现有特征中生成了一些新的特征。我们正在添加到我们的数据集的功能是：数据传输，传输速率，传输速率和有效负载。特征的参与如图所示。 五、经过特征工程和特征参与度分析，得到最终的数据集。数据集由9个特征组成，如表4所示。在我们提出的模型的第二阶段，我们使用包含第一阶段新生成的特征的数据集评估了基于人工神经网络的模型。在人工神经网络中，有4个隐层，分别为HDL1、HDL2、HDL3HDL4，每个隐层分别由8、64、128和128个单元组成。在每个隐藏层，我们使用ReLu激活函数，在输出层使用Softmax激活函数。在最后一层，即输出层，输出是僵尸网络或普通数据包。僵尸网络检测的模型总结如图所示。 六、我们提出的模型也已经在不同的性能指标上进行了评估，并且该性能指标的所有获得值如表5所示。我们还为所提出的模型生成了混淆矩阵，如图7所示。人工神经网络模型的预测精度为99.92%，表明其预测结果的正确率为0.08%，C. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6879图三.聚集成员和结果。见图4。 具有三角形隶属函数的特征。我们提出的模型不能正确预测值。人工神经网络模型的召回率为99.96%，表明在所有正确值中，它正确预测了99.96%的值。我们提出的模型不能正确预测0.04%的值。所提出的ANN模型的虚警率为0.005%，并且这个低值表明该模型导致非常少的错误预测。分数显示了所有测试的综合准确性一个模型的时代在我们提出的模型中，100 个时期的评分值为99.94%，损失仅为0.06%。图图8和图9显示了所提出的模型的训练和测试数据的准确性和损失。在图8中，我们可以看到准确度值已经与我们在模型中使用的历元数绘制在一起。从0开始，准确度在每个时期都在增加，第一个时期，它已经达到90%。在这两者之间，C. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6880图五. 模糊特征的参与表4dataset的特点S.无名氏1议定书2源地址3源端口4目的地地址5目的地端口6数据范围7传输速率8输送速率9有效载荷见图6。基于人工神经网络的模型概述。表5评估我们提出的模型的性能指标。名称值精度百分之九十九点九二召回百分之九十九点九六虚警率0.005%评分百分之九十九点九四下降，但最终，它再次达到了最高精度。类似地，在图9中，我们可以看到，损失值已经与我们在实现中使用的历元数一起绘制。从20%开始，损失在每个时期都在减少，在第一个时期，它已经达到5%。损失在执行过程中增加到30%，但最终下降到5%。我们还比较了所提出的模型与其他一些现有的模型。我们在比较中使用的所有模型都使用传统的机器学习或深度学习方法进行僵尸网络分类。表6包含我们提出的模型与其他模型的比较细节。我们可以看到，我们的模型的准确性高于其他模型的准确性。此外，我们提出的模型比其他模型表现更好，如表1所示。见图7。 混淆矩阵。见图8。 训练数据和测试数据之间的准确性比较。在本文中，我们还使用了K（10）折交叉验证来检查所提出的模型，我们得到的平均准确率为98.4%，这是低于早期停止之前所描述的准确率因此，我们选择了早期停止方法来避免过拟合，而不考虑K折交叉验证方法。我们提出的模型给出了99.94%的准确率，但我们提出的模型有一些局限性。在我们提出的模型中，我们选择的数据集是CTU-13，我们的完整研究仅基于此数据集。如果本研究选择任何其他数据集，结果可能会有所不同，因为数据集可能包含不同类型的特征。我们根据CTU-13中的特征制定了模糊规则，这些规则也可以根据另一个数据集中的不同特征而变化。在评估时，应考虑这些局限性。C. Joshi，R.K. Ranjan和V. Bharti沙特国王大学学报6881见图9。训练数据和测试数据之间的损失