拒绝服务攻击的特征约简方法及性能改进

⃝可在www.sciencedirect.com上在线获取ScienceDirectICTExpress 7（2021）371www.elsevier.com/locate/icte一种检测拒绝服务攻击的有效特征约简方法Deepak KshirsagarMr.，Sandeep Kumar计算机科学与工程系，印度鲁尔基IIT鲁尔基，印度接收日期：2020年3月16日;接收日期：2020年10月14日;接受日期：2020年12月22日2021年1月2日在线提供摘要特征选择或约简是入侵检测系统寻找最优特征的重要过程。数据集中存在的不相关要素会增加计算资源的负载并影响系统的性能。本研究提出了一个特征约简方法基于基于滤波器的特征约简算法的组合，即信息增益比（IGR）、相关性（CR）和ReliefF（ReF）。系统最初基于平均权重获得每个分类器的特征子集，并且进一步 应用子集组合策略（SCS）。所提出的特征约简方法为CICIDS 2017 DoS数据集减少了24个特征。与CICIDS 2017数据集上当前最先进的系统相比，所提出的方法显示出改进的性能。所提出的方法也进行了测试，并与当前国家的最先进的系统KDD杯99数据集进行比较c2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：特征约简;拒绝服务攻击;入侵检测;基于过滤的特征选择算法1. 介绍近年来，黑客使用各种工具对TCP/IP模型的应用程序、网络和传输层进行洪水攻击泛洪攻击会生成大量恶意数据包，这些数据包会增加网络或Web服务器的负载，最大限度地消耗带宽，从而导致拒绝服务（DoS）攻击。应用层的DoS攻击行为与其他层不同。因此，拒绝服务攻击的检测对IDS的设计具有重要的意义IDS为组织提供了额外的安全层，以抵御各种攻击。网络流量由与各种属性相关联的实例组成。与实例相关的属性的数量导致异常检测中的维数灾难。一些无关的属性会影响入侵检测系统的性能机器学习中存在的特征约简或选择技术用于在数据集中找到相关或不相关的特征。该过程以最小的建立时间改善了性能。本研究采用∗ 通讯作者。电子邮件地址：kdeepak83@gmail.com（D.Kshirsagar），sandeepkumargargiitr@gmail.com（S.Kumar）。同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2020.12.006基于过滤器的特征选择算法，以发现用于检测DoS攻击的相关特征。本研究的主要贡献概述如下：1. 提出了一种新的基于平均权值的特征约简方法，用于识别相关特征，以检测基于IGR、CR和ReF相结合的拒绝服务攻击。2. 它测试了具有简化功能的CICIDS 2017 DoS数据集，并与最先进的系统进行比较。3. 它还测试了KDD Cup 99数据集，并与最先进的系统进行了比较。2. 文献综述Ambusaidi等人[1]提出了一种灵活的互信息-用于IDS中的特征选择。在KDD Cup 99数据集上，使用支持向量机（SVM）和19个减少的特征实现了99.79%的最高准确率。该研究[2]提出了一种基于异常的网络入侵检测系统特征优化的元启发式评估方法。该模型使用典型相关分析（CCA）和关联影响尺度来获得最佳特征。该模型在NSL-KDD数据集上使用小于CCA阈值上限的最优特征，产生了98.9%的最高2405-9595/2021韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。D. Kshirsagar和S.KumarICT Express 7（2021）371372Khammassi和Saoussen [3]提出了一种用于入侵检测中特征选择的包装器方法。该方法使用逻辑回归和遗传算法，使用一个启发式的搜索策略。决策树（DT）分类器使用18个简化特征在KDD Cup 99数据集上提供了99.9%的准确率和0.105%的FAR。Manzoor和Neeraj [4]提出了CR和信息增益（IG），用于使用人工神经网络（ANN）分类器进行入侵检测中的特征约简。该系统在KDD Cup 99数据集上使用具有25个减少特征的ANN对DoS攻击产生了99.9%的最高精度。Divyasree和Sherly [5]提出了一种用于网络入侵检测的特征选择方法。主成分分析（PCA）和卡方检验被用来产生约简特征集的KDD杯99数据集。该方法获得了10个拒绝服务攻击的简化特征，使用集成核心向量机（CVM）分类器的检测率为99.12%。Sel- vakumar等人[6，7]提出了一种基于模糊粗糙集逻辑的特征选择算法.该研究[6]获得了 22 个 约 简 特 征 ， 并 将 模 糊 规 则 输 入 到 k- 最 近 邻（FRNN）分类器中。该系统对由50%的入侵记录和50%的正常记录组成的有偏数据集的检测率为99.87%。该系统[7]使用在有偏数据集上获得的26个特征提供了99.79%的检测率。Arif等人[8]提出了一种使用Ada-boost的IDS特征约简方法。使用PCA和包围特征选择（EFS）包，实现了25个特征的准确率为81.83%。Prasad等人[9]提供了一种使用贝叶斯 定理 和 粗 糙集 理 论 的混 合 特 征该 混 合方 法 获 得了CICIDS 2017数据集的40个约简特征，并使用贝叶斯粗糙集（BRS）分类器产生了97.958%的准确率。该研究[10]使用相关性方法获得了20个特征，并使用随机森林与NSL-KDD数据集的否定选择算法实现了99%的准确率。此外，REPTree [11]使用使用IG和全局最小值获得的这些研究鼓励作者集成过滤器为基础的特征选择算法，以提高检测拒绝服务攻击的入侵检测系统3. 该方法所提出的系统，如图所示。该方法主要由数据预处理 、特 征 约 简和 基 于 规则 的 投 影自 适 应共 振 分 类器（PART）组成。数据集由重复记录和特征组成。它还包括记录中的无限值和缺失值。将删除重复的记录和要素。捕获的数据集中存在的缺失值和无穷大值将被替换为零。最后，数据预处理产生一致的数据。特征约简方法使用一致的数据来找到相关的约简特征。它使用基于过滤器的特征选择算法，即 信 息 增 益 比 （ IGR ） ， 相 关 性 （ CR ） 和 ReliefF（ReF）。这些特征约简算法图1.一、提 出 了 一种检测拒绝服务攻击的方法。基于统计测量计算权重，并为每个特征分配分数。平均重量（avg.重量）基于所有特征的得分总和计算每个算法的压缩数据集中存在的特征的数量。该平均权重被用作每个特征选择技术的阈值以获得进一步的子集。选择得分等于或大于阈值或平均权重的特征以形成每个算法的新子集。与IGR、CR和ReF相关联的特征子集即为IGR-FS、CR-FS和ReF-FS。此外，子集组合策略（SCS）被应用于上述三个子集，观察特征在多个子集中的出现。分别基于特征在至少一个、两个和三个子集中的出现来获得三个子集，即SCS-1、SCS-2和SCS-3。这三个子集被馈送到基于规则的PART分类器来训练和测试模型。最后，从上述三个子集中选择一个子集，与原始特征相比，该子集在不降低模型性能的情况下以显著的时间构建模型。所选择的特征子集由减少的特征组成，这些特征用于检测具有显著构建时间和模型性能改善的DoS攻击。该系统使用具有10倍交叉验证的PART，并使用准确度，检测率（DR）和误报率（FAR）等参数来衡量性能。4. 实验及结果分析该系统是用Python 3和Weka 3.8工具中的APIS实现的。重复的功能被手动删除，重复的记录和缺失的值在Python编写的脚本的帮助Weka工具是开源的，最新版本用于特征选择算法和基于规则的分类器。该系统D. Kshirsagar和S.KumarICT Express 7（2021）371373表1使用平均权重的特征子集方法特征数要素编号IGR-FS331、4、5、6、7、8、11、12、13、14、23、24、36、39、40、41、42、43、44、53、55、63、64、65、66、67、70、72、73、74，75，76，77CR-FS281、2、11、12、14、17、18、19、21、22、23、24、28、29、39、40、41、13、42、43、44、48、52、53、55、74、76、77参考-FS231、2、11、13、14、18、21、23、26、31、40、41、42、43、44、45、47、48、53、55、66、67、69表2子集组合策略。方法特征数要素编号SCS-1481、2、4、5、6、7、8、11、12、13、14、17、18、19、21、22、23、24、26、28、29、31、36、39、40、41、42、43、44、45、47、48、52、53、55、63、64、65、66、67、69、70、72、73、74，75，76，77SCS-2241、2、11、12、13、14、18、21、23、24、39、40、41、42、43、44、48、53、55、66、67、74、76、77SCS-3121、11、13、14、23、40、41、42、43、44、53、55在配置Intel Xeon CPU E-1271 v3@3.6 GHz和32 GB RAM的机器上实施和测试。该系统在DoSCICIDS-2017数据集上进行测试[12]。它由包括标签在内的79个属性组成。进行数据预处理，产生紧凑的数据集。最后，数据集由77个特征组成，不包括研究中提到的标签[13]。CICIDS-2017数据集用于实验，包含692703条记录，其中90%的记录分为训练记录，10%分为测试记录。IGR、CR和ReF算法[14]比wrap-per算法更快，并且具有更好的泛化能力。因此，使用IGR、CR和ReF来计算每个特征的得分。IGR、CR和ReF计算的评分范围为0分别为0.4307、0.62441和0.2830041。IGR、CR和ReF的平均权重分别为0.132950649、0.210491818 和0.027968588。IGR-FS子集使用0.132950649作为阈值获得，并且特征得分等于或大于这些选择的特征得分。类似地，CR-FS和ReF-FS分别使用0.210491818和0.027968588获得。如表1所示，所获得的子集IGR-FS、CR-FS和ReF-FS分别由33、28和23个特征组成。此外，SCS基于特征在多个子集中的出现而被应用于IGR-FS、CR-FS和ReF-FS子集，而不考虑特征的得分。SCS-1是通过检查至少在一个子集中的特征的出现而获得的。类似地，SCS-2和SCS-3通过分别检查至少在两个和三个子集中的特征的出现来获得。SCS-1、SCS-2和SCS-3分别由48、24和12个特征组成，如表2所示。SCS- 1、SCS-2和SCS-3被馈送到基于规则的PART分类器。在不同数据集上进行10倍交叉验证的实验[15]具有重要意义。因此，PART分类器使用10倍交叉验证来训练和测试模型选择D. Kshirsagar和S.KumarICT Express 7（2021）371374使用PART试验单个子集SCS-1、SCS-2和SCS-3。性能通过精度、DR、FAR和建立时间（B）来时间）。SCS-1、SCS-2和SCS-3的系统性能如表3所示。SCS-2产生更高的准确性，并使用大量时间来使用PART构建模型。最后，SCS-2被选为由24个特征组成的最佳特征子集表3显示，与原始特征以及具有133.66 s建立时间的SCS-1和SCS-3相比，24个减少的特征产生了99.9593%的精度提高。所有的F代表被考虑用于实验的总共77个特征。5. 比较分析本研究进行了比较分析与当前国家的最先进的系统。在各种研究中提出的特征列表在表4中给出，而，图1和图2。2和3代表现有系统与所提出的方法的比较分析。比较了系统的精度和B.使用PART进行10倍交叉验证。所提出的模型的结果，提高了99.9593%的准确性与显着的B。时间与其他系统进行比较，如图1A和1B所示。 2和3该方法也适用于10%KDD Cup 99数据集，它获得了12个约简特征。这12个减少的特征被馈送到PART，并针对DoS攻击测量性能。如表5所示，再次将该方法与现有系统进行比较。与[4]和[7]相比，在KDD Cup 99数据集上提出的方法使用12个具有最小B的约简特征，准确度略有下降，为0.5641%。时间与[5]的11.22 s B相比，该方法的精度提高了3.2661%拒绝服务攻击的时间D. Kshirsagar和S.KumarICT Express 7（2021）371375表3CICIDS 2017数据集的性能分析方法特征数准确度（%）检出率（%）远B. 时间（秒）所有F7799.959199.98820.000530528.47IGR3399.958699.98750.000570190.97CR2899.837499.94150.003006156.31ReF2399.957799.98680.000562139.06SCS-14899.958699.98770.000589278.07SCS-22499.959399.98730.000542133.66SCS-31298.869899.97040.01949450.42表4减少CICIDS 2017的功能集研究特征编号[9]第三十七章[8]第二十五章获得的特征第三、四、五、六、七、八、九、十、十一、十二、十三、十五、二十、二十六、28、 29、 30、 35、 36、 39、 40、 52、 54、 55、 62、 63、64、 65、 66、 67、 68、 69、 70、 71、 72、 73、 75第六、八、十二、十四、十七、二十、二十五、二十六、二十七、二十八、三十、三十七、38， 39， 43， 47， 48， 52， 53， 54， 63， 66， 67， 70，77提议数241、 2、 11、 12、 13、 14、 18、 21、 23、 24、 39、40、41、 42、 43、 44、 48、 53、 55、 66、67、 74、 76、 77图二、 CICIDS 2017上使用PART的准确性比较。6. 结论提出了一种基于过滤器的特征选择算法IGR、CR和ReF的特征约简方法，旨在减少检测拒绝服务攻击所需的特征数量，提高检测性能。所提出的特征约简方法表5使用PART对KDD Cup 99进行比较分析图3.第三章。使 用 P A R T 在 C I C I D S 2 0 1 7 上 构建时间比较。将CICIDS 2017和KDD Cup 99的功能数量从77减少到24，从41减少到12。系统屈服了使用具有133.66 s B的PART分类器，准确率提高到99.9593%。CICIDS 2017数据集上的时间。该系统还在KDD Cup 99数据集上获得了显着的准确性。目前的工作可以得到改进，找到最佳数量的功能，使用一个合奏的过滤器和包装功能选择算法。在未来，我们将探索性能分析的生物启发算法参考这项工作。CRediT作者贡献声明Deepak Kshirsagar：概念化，方法论，软件，写作-原始草稿。桑迪普·库马尔：验证，写作-评论编辑，调查，监督。竞合利益作者声明，他们没有已知的可能影响本文所报告工作研究特征数准确度（%）检出率（%）B. 时间（秒）所有F4199.904599.968933.22[4]美国2599.875799.972517.37[七]《中国日报》2699.890899.965220.58D. Kshirsagar和S.KumarICT Express 7（2021）371376[5]《中国日报》1096.060190.64123.42提出1299.326299.320611.22D. Kshirsagar和S.KumarICT Express 7（2021）371377引用[1] Ambusaidi，A. Mohammed等人，使用基于过滤器的特征选择算法构建入侵检测系统，IEEE TransComput 65（10）（2016）2986-2998。[2] V. Jyothsna，V. V. Rama Prasad，FCAAIS：通过特征相关性分析和关联影响规模进行基于异常的网络入侵检测，ICT Express 2（3）（2016）103-116。[3] 张文，等.网络入侵检测中的特征选择方法.北京：计算机科学出版社，2000，11（3）：117 - 118.安全70（2017）255-277。[4] I. Manzoor ， N. Kumar ， A feature reduced intrusion detectionsystemusingANN classifier，Expert System. Appl. 88（2017）249[5] T.H. Divyasree，K.K. Sherly，一个基于集成CVM的网络入侵检测系 统， 使用 有 效的 特征 选 择方 法 ，ProcediaComput 。 Sci. 143（2018）442[6] K. Selvakumar等人，基于智能时态分类和模糊粗糙集的特征选择算法在无线传感器网络入侵检测系统中 的 应用。Sci. 497（2019）77[7] K. Selvakumar等人，智能入侵检测系统采用模糊粗糙集的特征提取和分类算法，国际J。操作员Res. 35（2019）87-107.[8] Arif Yulianto，Parman Sukarno，Anggis Suwastika Novian，在CICids 2017数据集上提高基于adaboost的入侵检测系统（IDS）性能，J。Phys. Conf. 序列1192（1）（2019）IOP出版。[9] 王晓刚，王晓刚，等.基于特征选择的入侵检测方法.北京：计算机科学出版社，2000. 软计算87（2020）105980.[10] Soodeh Hosseini，Hossein Seilani，使用否定选择算法和分类技术的异常过程检测，Evol.系统（2019）1-10。[11] Saleh Bongdulwahab，Bong Kyo Moon，特征选择方法同时提高机器学习分类器的检测精度和模型构建时间，对称12（9）（2020）1424。[12] Iman Sharafaldin ， Habibi Lashkari Arash ， Bong Kyo ， Ali A.Ghorbani ， Toward generating a new intrusion detection dataset andintrusiontrafficcharacterization，in：ICISSP，IEEE，2018。[13] Deepak Kshirsagar，Sandeep Kumar，基于IG阈值识别减少的特征，用于使用PART进行DOS攻击检测，在：分布式计算和互联网技术国际会议，Springer，Cham，2020年。[14] Noelia Sanchez-Maroño ， Amparo Alonso-Betanzos ， Tombilla-Sanromán Ali A. María ， Filter methods for featurese l e c t i o n - aco m p a r a t i v est u d y ， in ： In t e r n a t i o n a lCo n f e r e n c eonIn t e l l i g e n tDa t aEn g i n e e r i n gan dAu t o m a t e dLe a r n i n g ，Sp r i n g e r ，20 0 7 .[15] 阿姆贾德·M Al Tobi，Ishbel Duncan，通过阈值自适应改进入侵检测模型预测，信息10（5）（2019）159。