DOI: https://doi.org/10.1038/s41598-025-09885-0
PMID: https://pubmed.ncbi.nlm.nih.gov/40676045
تاريخ النشر: 2025-07-17
المؤلف: Vivek Kumar Pandey وآخرون
الموضوع الرئيسي: أمن الشبكات وكشف التسلل
نظرة عامة
تقدم ورقة البحث نظام كشف التسلل القائم على شجرة القرار الخفيفة (IDS) المصمم لتعزيز الأمان لأجهزة إنترنت الأشياء (IoT)، التي أصبحت أكثر عرضة للتهديدات السيبرانية بسبب قدراتها المحدودة في المعالجة. يستخدم الإطار المقترح نموذج شجرة قرار مع استراتيجية جديدة لتحسين ميزات قطع الأوراق وذكاء السحابة والحافة التكيفي، محققًا دقة عالية مع تقليل متطلبات الذاكرة والحوسبة. أظهر النظام مقاييس أداء مثيرة للإعجاب، حيث حقق دقة تبلغ 98.2% على مجموعة بيانات NSL-KDD و97.9% على مجموعة بيانات Bot-IoT، مع معدل إيجابيات خاطئة أقل من 1%. يعمل بكفاءة على الأجهزة ذات الموارد المحدودة، مثل عقد Raspberry Pi، حيث يقوم بإجراء استدلال في الوقت الحقيقي في أقل من 1 مللي ثانية ومعالجة 1,250 عينة في الثانية.
تسلط الدراسة الضوء على الحاجة الملحة لحلول أمان فعالة في تطبيقات إنترنت الأشياء المختلفة، بما في ذلك المدن الذكية، والأتمتة الصناعية، والرعاية الصحية، والمركبات المستقلة. لا يعالج نظام كشف التسلل المقترح فقط التحديات المتعلقة بالتكاليف الحوسبية العالية المرتبطة بالنماذج التقليدية مثل آلات الدعم (SVMs) والشبكات العصبية، بل يحافظ أيضًا على كفاءة الطاقة، حيث تم تقليل استهلاك الطاقة بنسبة تصل إلى 78%. إن قدرة الإطار على اكتشاف الشذوذ في الوقت الحقيقي دون المساس بالأداء تجعله حلاً قابلاً للتطبيق لحماية بنى إنترنت الأشياء التحتية ضد التهديدات السيبرانية المتطورة، بينما يضمن تآزر السحابة والحافة تحديثات مستمرة وحماية ضد متجهات الهجوم الجديدة.
طرق
تحدد المنهجية المقترحة نظام كشف التسلل القائم على شجرة القرار الخفيفة (IDS) المصمم لأمان إنترنت الأشياء (IoT)، مع دمج الكشف عن التهديدات في الوقت الحقيقي عند الحافة مع التعلم التكيفي عبر خدمات السحابة. تجمع حساسات إنترنت الأشياء البيانات الخام من بيئات متنوعة مثل المدن الذكية والرعاية الصحية، والتي تخضع لاستخراج الميزات لتوليد معلمات مثل حجم الحزمة ونوع البروتوكول. تُستخدم هذه الميزات لتطوير نموذج تصنيف مثالي يميز بين حركة المرور الطبيعية وغير الطبيعية في الوقت الحقيقي. تؤدي الشذوذ إلى تفعيل الضوابط المحلية والإنذارات، بينما يتم توجيه حركة المرور الطبيعية إلى خادم سحابي لمزيد من التحليل. يقوم المكون السحابي بتجميع معلومات التهديد من الأجهزة الطرفية، مع تحديث نموذج الكشف باستمرار من خلال التعلم التكيفي واستخدام بروتوكول MQTT لتقليل عبء الاتصال.
لتقييم فعالية نظام كشف التسلل المقترح، تم إجراء تجارب واسعة باستخدام مجموعات بيانات مرجعية، وخاصة مجموعتي بيانات NSL-KDD وBot-IoT. تحتوي مجموعة بيانات NSL-KDD، التي تحتوي على 125,973 سجل و41 ميزة، على توزيع فئات محسّن وتقليل الفائض مقارنة بمجموعة بيانات KDD Cup 1999 التقليدية. تشمل أنواع الهجمات المختلفة، بما في ذلك DOS وProbe. تحاكي مجموعة بيانات Bot-IoT حركة مرور إنترنت الأشياء في العالم الحقيقي وتضم أكثر من 72 مليون سجل مع سمات ذات صلة بمتجهات الهجوم الشائعة مثل DDoS وData Exfiltration. تضمن هذه المقاربة الشاملة أن يكون نظام كشف التسلل قويًا وقادرًا على معالجة طيف واسع من تهديدات أمان إنترنت الأشياء، مما يعزز من قابليته للتوسع وكفاءته وأدائه العام.
النتائج
تظهر نتائج الدراسة أن الإطار المقترح القائم على شجرة القرار الخفيفة يتفوق بشكل كبير على ستة نماذج أساسية عبر مقاييس مختلفة، بما في ذلك الدقة، ودرجة F1، ومعدل الإيجابيات الخاطئة (FPR)، واستخدام الذاكرة، واستهلاك الطاقة، ووقت الاستدلال، على كل من مجموعتي بيانات NSL-KDD وBot-IoT. حقق الإطار دقة تبلغ 98.2% على NSL-KDD و97.9% على Bot-IoT، مع درجات F1 المقابلة 0.97 و0.96، وأدنى معدلات FPR 0.8% و0.9%. من حيث كفاءة الموارد، أظهر الإطار استخدام ذاكرة متفوق (12.5 ميغابايت و13.1 ميغابايت)، واستهلاك طاقة (0.45 واط و0.48 واط)، وأوقات استدلال (0.8 مللي ثانية و0.9 مللي ثانية)، مما يجعله مناسبًا بشكل خاص للنشر في بيئات إنترنت الأشياء ذات الموارد المحدودة.
أظهر التحليل المقارن أن النماذج التقليدية مثل Random Forest وSVM وk-NN وLogistic Regression أظهرت أداءً تنافسيًا ولكنه أدنى، مع معدلات FPR أعلى ومتطلبات موارد أكبر. بينما أظهرت تقنيات Gradient Boosting والشبكات العصبية كفاءة، كانت أكثر استهلاكًا للموارد بشكل ملحوظ، حيث كانت الشبكات العصبية تستهلك 145.2 ميغابايت من الذاكرة و2.10 واط من الطاقة. إن انخفاض معدل FPR للإطار المقترح أمر حاسم لتطبيقات أمان إنترنت الأشياء في العالم الحقيقي، حيث يقلل من إرهاق الإنذارات والنفقات غير الضرورية للموارد. بشكل عام، تؤكد النتائج على فعالية الإطار في تحقيق توازن بين دقة الكشف وكفاءة الموارد، مما يجعله حلاً مثاليًا لتحديات أمان إنترنت الأشياء.
النقاش
تحدد قسم النقاش في الورقة الأهداف والمساهمات لنظام كشف التسلل القائم على شجرة القرار الخفيفة الجديد (IDS) المصمم لبيئات إنترنت الأشياء (IoT). تشمل الأهداف الرئيسية تعزيز الكشف عن الشذوذ من خلال آلية شجرة قرار مبسطة، وتقليل التعقيد الحوسبي والذاكرة، وتمكين تحديثات النموذج المعتمدة على السحابة مع الحفاظ على قدرات المعالجة عند الحافة، والتحقق من أداء الإطار مقابل نماذج التعلم الآلي الحالية باستخدام مجموعات بيانات NSL-KDD وBot-IoT. حقق الإطار المقترح معدلات دقة عالية تبلغ 98.2% و97.9% مع معدلات إيجابيات خاطئة منخفضة (0.8-0.9%)، مما يدل على فعاليته في الكشف عن التهديدات في الوقت الحقيقي.
تشمل المساهمات الرئيسية للبحث تقديم استراتيجية تحسين ميزات قطع الأوراق التي تقطع ديناميكيًا عقد شجرة القرار لتحسين استخدام الموارد، وهندسة ذكاء سحابي-حافة هجينة تسهل الكشف السريع عن التهديدات مع زمن استجابة منخفض (<1 مللي ثانية). يتضمن الإطار أيضًا توسيع نموذج ديناميكي مدرك للموارد، والذي يتماشى مع قيود الجهاز، مما يحسن من طاقة البطارية وكفاءة المعالجة. من خلال الاستفادة من تحليلات السحابة للتحديثات المستمرة واستخدام التعلم التدريجي، يتكيف الإطار مع التهديدات الناشئة دون الحاجة إلى إعادة تدريب كاملة، مما يوفر حلاً قويًا للتحديات الأمنية التي تواجهها بيئات إنترنت الأشياء ذات الموارد المحدودة. بشكل عام، يقدم هذا البحث تقدمًا كبيرًا في أمان إنترنت الأشياء، مع تحقيق توازن بين دقة الكشف العالية واستهلاك الموارد المنخفض.
DOI: https://doi.org/10.1038/s41598-025-09885-0
PMID: https://pubmed.ncbi.nlm.nih.gov/40676045
Publication Date: 2025-07-17
Author(s): Vivek Kumar Pandey et al.
Primary Topic: Network Security and Intrusion Detection
Overview
The research paper presents a Lightweight Decision Tree-Based Intrusion Detection System (IDS) designed to enhance security for Internet of Things (IoT) devices, which are increasingly vulnerable to cyber threats due to their limited processing capabilities. The proposed framework employs a decision tree model combined with a novel leaf-cut feature optimization strategy and adaptive cloud-edge intelligence, achieving high accuracy while minimizing memory and computational demands. The system demonstrated impressive performance metrics, achieving an accuracy of 98.2% on the NSL-KDD dataset and 97.9% on the Bot-IoT dataset, with a false positive rate below 1%. It operates efficiently on resource-constrained devices, such as Raspberry Pi nodes, performing real-time inference in under 1 ms and processing 1,250 samples per second.
The study highlights the critical need for effective security solutions in various IoT applications, including smart cities, industrial automation, healthcare, and autonomous vehicles. The proposed IDS not only addresses the challenges of high computational costs associated with traditional models like Support Vector Machines (SVMs) and neural networks but also maintains energy efficiency, with power consumption reduced by up to 78%. The framework’s ability to detect anomalies in real-time without compromising performance makes it a viable solution for safeguarding IoT infrastructures against evolving cyber threats, while its cloud-edge synergy ensures continuous updates and protection against new attack vectors.
Methods
The proposed methodology outlines a Lightweight Decision Tree-Based Intrusion Detection System (IDS) designed for Internet of Things (IoT) security, integrating real-time threat detection at the edge with adaptive learning via cloud services. IoT sensors collect raw data from diverse environments such as smart cities and healthcare, which undergoes feature extraction to generate parameters like packet size and protocol type. These features are utilized to develop an optimal classification model that distinguishes between normal and abnormal traffic in real time. Anomalies trigger local controls and alarms, while normal traffic is forwarded to a cloud server for further analysis. The cloud component aggregates threat information from edge devices, continuously updating the detection model through adaptive learning and utilizing the MQTT protocol to reduce communication overhead.
To evaluate the effectiveness of the proposed IDS, extensive experiments were conducted using benchmark datasets, specifically the NSL-KDD and Bot-IoT datasets. The NSL-KDD dataset, which contains 125,973 records and 41 features, offers improved class distribution and reduced redundancy compared to the classical KDD Cup 1999 dataset. It encompasses various attack types, including DOS and Probe. The Bot-IoT dataset simulates real-world IoT traffic and includes over 72 million records with attributes relevant to common attack vectors such as DDoS and Data Exfiltration. This comprehensive approach ensures that the IDS is robust and capable of addressing a wide spectrum of IoT security threats, thereby enhancing its scalability, efficiency, and overall performance.
Results
The results of the study demonstrate that the proposed lightweight decision tree framework significantly outperforms six baseline models across various metrics, including accuracy, F1 score, false positive rate (FPR), memory usage, energy consumption, and inference time, on both the NSL-KDD and Bot-IoT datasets. Specifically, the framework achieved an accuracy of 98.2% on NSL-KDD and 97.9% on Bot-IoT, with corresponding F1 scores of 0.97 and 0.96, and the lowest FPRs of 0.8% and 0.9%. In terms of resource efficiency, the framework demonstrated superior memory usage (12.5 MB and 13.1 MB), energy consumption (0.45 W and 0.48 W), and inference times (0.8 ms and 0.9 ms), making it particularly suitable for deployment in resource-constrained IoT environments.
Comparative analysis revealed that traditional models such as Random Forest, SVM, k-NN, and Logistic Regression exhibited competitive but inferior performance, with higher FPRs and greater resource demands. While Gradient Boosting and Neural Networks showed efficiency, they were significantly more resource-intensive, with Neural Networks consuming 145.2 MB of memory and 2.10 W of energy. The proposed framework’s low FPR is critical for real-world IoT security applications, as it minimizes alert fatigue and unnecessary resource expenditure. Overall, the findings underscore the framework’s effectiveness in achieving a balance between detection accuracy and resource efficiency, positioning it as an optimal solution for IoT cybersecurity challenges.
Discussion
The discussion section of the paper outlines the objectives and contributions of a novel lightweight decision tree-based intrusion detection system (IDS) designed for Internet of Things (IoT) environments. The primary goals include enhancing anomaly detection through a simplified decision tree mechanism, reducing computational and memory complexity, enabling cloud-based model updates while maintaining edge processing capabilities, and validating the framework’s performance against existing machine learning models using NSL-KDD and Bot-IoT datasets. The proposed framework achieved high accuracy rates of 98.2% and 97.9% with minimal false positive rates (0.8-0.9%), demonstrating its effectiveness in real-time threat detection.
Key contributions of the research include the introduction of a Leaf-Cut Feature Optimization strategy that dynamically prunes decision tree nodes to optimize resource usage, and a Hybrid Cloud-Edge Intelligence Architecture that facilitates rapid threat detection with low latency (<1 ms). The framework also incorporates Resource-Aware Dynamic Model Scaling, which aligns model construction and inference with device constraints, optimizing battery power and processing efficiency. By leveraging cloud analytics for continuous updates and employing incremental learning, the framework adapts to emerging threats without necessitating complete retraining, thus providing a robust solution for the security challenges faced in resource-constrained IoT environments. Overall, this research presents a significant advancement in IoT security, balancing high detection accuracy with low resource consumption.