DOI: https://doi.org/10.1038/s41598-025-94624-8
PMID: https://pubmed.ncbi.nlm.nih.gov/40119119
تاريخ النشر: 2025-03-21
المؤلف: Aamir S. Ahanger وآخرون
الموضوع الرئيسي: أمن الشبكات وكشف التسلل
نظرة عامة
إنترنت الأشياء (IoT) يتكون من شبكة من الأجهزة المتصلة التي تستخدم المعالجات والمستشعرات والمحركات لجمع ومشاركة البيانات عبر مختلف القطاعات، بما في ذلك الزراعة والرعاية الصحية وإدارة المرور. على الرغم من تطبيقه الواسع، يواجه إنترنت الأشياء تحديات أمنية كبيرة بسبب الطبيعة المتنوعة لعقده، حيث غالبًا ما تكون التدابير الأمنية التقليدية مثل التشفير والتحكم في الوصول غير كافية. تقدم هذه الورقة نهجًا جديدًا لأمن إنترنت الأشياء من خلال خوارزمية قائمة على الرسوم البيانية (GB) تستخدم شبكة انتباه الرسوم البيانية (GAT) ضمن نظام كشف التسلل (IDS). باستخدام مجموعة بيانات NSL-KDD، تقيم الدراسة أداء نموذج GNN بناءً على مقاييس رئيسية تشمل درجة F1، والاسترجاع، والدقة، والدقة، مما يوضح فعاليته في اكتشاف التسللات ومعالجة التهديدات الأمنية المتطورة في بيئات إنترنت الأشياء.
لمعالجة نقص مجموعات البيانات الهيكلية الرسومية لتقييم الشبكات العصبية الرسومية في كشف التسلل في إنترنت الأشياء، طور المؤلفون نموذج GAT الذي يستخدم طريقة تجميع فريدة قائمة على الرسوم البيانية لتحويل بيانات الشبكة الخام إلى تنسيق رسومي. في هذا الإطار، encapsulate العقد خصائص تدفقات الشبكة، بينما تمثل الحواف الاتصالات بناءً على مسافات التشابه. يحقق النموذج المقترح أداءً مثيرًا للإعجاب، بدقة تبلغ 98% للتصنيف الثنائي و99.20% لمهام التصنيف المتعدد. تؤكد هذه النتائج على إمكانية الشبكات العصبية الرسومية في تعزيز أنظمة كشف التسلل، حتى في غياب بيانات الرسوم البيانية الموجودة مسبقًا. تسهم النتائج بشكل كبير في تعزيز أمن إنترنت الأشياء وتمهد الطريق لآليات دفاع مبتكرة في أمان الشبكات.
الطرق
تحدد قسم المنهجية إطارًا معماريًا منظمًا لتطوير نموذج كشف التسلل باستخدام شبكات انتباه الرسوم البيانية (GATs). تبدأ العملية بمعالجة البيانات لمجموعة بيانات NSL-KDD، باستخدام ترميز one-hot للميزات الفئوية وتقييس Min-Max للميزات العددية لضمان أن تكون البيانات نظيفة ومناسبة للتحليل. يتم بناء مصفوفة المسافة باستخدام المسافات الإقليدية لتقييم تشابه العينات، والتي يتم تحسينها بعد ذلك من خلال تحديد العتبات لإنشاء مصفوفة مجاورة لبناء الرسم البياني. يتكون هذا الرسم البياني من عقد تمثل عينات البيانات وحواف تشير إلى علاقاتها، مما يؤدي إلى مجموعة بيانات حواف تحتوي على 250,654 إدخالًا تحدد الاتصالات بين العقد.
يتم تدريب نموذج GAT على 80% من البيانات، مع بنية عميقة معتدلة تحتوي على 110 وحدات مخفية، ورأسين انتباه لكل طبقة، وطبقتين انتباه، جميعها تهدف إلى تعزيز تعلم الميزات. تمتد عملية التدريب على مدى 500 دورة مع حجم دفعة يبلغ 16، باستخدام الانحدار العشوائي (SGD) للتحسين. يختلف حجم طبقة الإخراج للنموذج بناءً على مهمة التصنيف، مستخدمًا خسارة الانتروبيا الفئوية المتناثرة كدالة خسارة. يتم تقييم أداء النموذج باستخدام مقاييس رئيسية مثل الدقة، ودرجة F1، والدقة، والاسترجاع، مما يظهر تحسينات كبيرة في دقة كشف التسلل من خلال الاستفادة من المعلومات السياقية الكامنة في التمثيلات الرسومية.
النتائج
تقيم نتائج الدراسة أداء شبكة انتباه الرسوم البيانية (GAT) في اكتشاف أنواع مختلفة من التسللات الشبكية، بما في ذلك إنكار الخدمة (DoS)، والاستطلاع، من بعيد إلى محلي (R2L)، من المستخدم إلى الجذر (U2R)، وحركة المرور العادية. يتم قياس فعالية النموذج باستخدام مقاييس أساسية مثل الدقة، والاسترجاع، ودرجة F1، والدقة، والتي تعتبر حاسمة للكشف الفعال عن التهديدات في أمان إنترنت الأشياء. حقق نموذج GAT دقة مثيرة للإعجاب تبلغ 98% للتصنيف الثنائي و99.20% للتصنيف المتعدد. ومع ذلك، أظهر دقة واسترجاع أقل لنوع هجوم U2R النادر، مما يشير إلى التحديات في اكتشاف التهديدات الدقيقة.
عند مقارنتها بأحدث الأساليب، أظهر نموذج GAT أداءً متفوقًا، خاصة في الدقة، متفوقًا على طرق أخرى مثل CART وXGBoost وتقنيات التجميع. على سبيل المثال، بينما حققت CART وXGBoost دقة تبلغ 99%، قدم نموذج GAT باستمرار دقة واسترجاع أعلى، وهو أمر ضروري لتقليل الإيجابيات الكاذبة والسلبية. تشير النتائج إلى أن نموذج GAT هو حل قوي لكشف التسلل في إنترنت الأشياء، خاصة لأنواع الهجمات الأكثر تكرارًا وتمييزًا، كما هو موضح في الجدول 2، الذي يلخص الأداء المقارن لمختلف منهجيات كشف التسلل.
المناقشة
تسلط المناقشة الضوء على المشهد المتطور لأنظمة كشف التسلل (IDS) في سياق أمان إنترنت الأشياء، مما يبرز الحاجة إلى طرق كشف متقدمة بسبب زيادة تعقيد التهديدات السيبرانية. أظهرت الأبحاث السابقة أن النماذج الهجينة، وخاصة تلك التي تدمج تقنيات التعلم العميق مثل الشبكات العصبية الرسومية (GNNs)، تعزز بشكل كبير دقة الكشف مع تقليل الإنذارات الكاذبة. ومع ذلك، لا تزال التحديات مثل التكاليف الحاسوبية العالية، والمعالجة في الوقت الحقيقي، والحاجة إلى تحسين جودة مجموعة البيانات أمورًا حاسمة. تؤكد الورقة على فعالية أساليب التعلم الآلي التجميعية، وخاصة XGBoost، في تحقيق أداء متفوق مقارنة بالمصنفات التقليدية، بينما تدعو أيضًا إلى دراسات مستقبلية لمعالجة بيئات إنترنت الأشياء الديناميكية وتحسين قدرات الكشف في الوقت الحقيقي.
يقترح المؤلفون نموذج شبكة انتباه الرسوم البيانية (GAT) الجديد الذي يحول بيانات الشبكة الخام إلى تنسيق هيكلي رسومي، مما يسهل تمثيل أفضل للاعتماديات بين تدفقات الشبكة. لقد أظهر هذا النهج المبتكر نتائج مثيرة للإعجاب، حيث حقق دقة تبلغ 98% للتصنيف الثنائي و99.20% لمهام التصنيف المتعدد. تشير النتائج إلى أن الاستفادة من التعلم القائم على الرسوم البيانية يمكن أن تعزز بشكل كبير فعالية IDS، حتى في غياب بيانات الرسوم البيانية الموجودة مسبقًا. تختتم الدراسة بالتأكيد على إمكانية أن تسهم هذه المنهجية في تطوير حلول أمان قوية وذكية لبيئات إنترنت الأشياء، مما يمهد الطريق لأبحاث مستقبلية وتقدم في هذا المجال.
DOI: https://doi.org/10.1038/s41598-025-94624-8
PMID: https://pubmed.ncbi.nlm.nih.gov/40119119
Publication Date: 2025-03-21
Author(s): Aamir S. Ahanger et al.
Primary Topic: Network Security and Intrusion Detection
Overview
The Internet of Things (IoT) comprises a network of interconnected devices that utilize processors, sensors, and actuators to collect and share data across various sectors, including agriculture, healthcare, and traffic management. Despite its widespread application, IoT faces significant security challenges due to the diverse nature of its nodes, with traditional safety measures such as encryption and access control often proving inadequate. This paper introduces a novel approach to IoT security through a Graph-based (GB) algorithm that employs a Graph Attention Network (GAT) within an Intrusion Detection System (IDS). Utilizing the NSL-KDD dataset, the study evaluates the performance of the GNN model based on key metrics including F1-score, recall, accuracy, and precision, demonstrating its effectiveness in detecting intrusions and addressing the evolving security threats in IoT environments.
To address the lack of graph-structured datasets for evaluating graph neural networks in IoT intrusion detection, the authors developed a GAT model that employs a unique graph-based clustering method to transform raw network data into a graph format. In this framework, nodes encapsulate the characteristics of network flows, while edges represent connections based on similarity distances. The proposed model achieves impressive performance, with an accuracy of 98% for binary classification and 99.20% for multi-class classification tasks. These results underscore the potential of graph neural networks in enhancing intrusion detection systems, even in the absence of pre-existing graph data. The findings contribute significantly to advancing IoT security and pave the way for innovative defense mechanisms in network security.
Methods
The methodology section outlines a structured architectural framework for developing an intrusion detection model utilizing Graph Attention Networks (GATs). The process begins with data preprocessing of the NSL-KDD dataset, employing one-hot encoding for categorical features and Min-Max scaling for numerical features to ensure the data is clean and suitable for analysis. A distance matrix is constructed using Euclidean distances to assess sample similarity, which is then refined through thresholding to create an adjacency matrix for graph construction. This graph comprises nodes representing data samples and edges denoting their relationships, resulting in an edge dataset with 250,654 entries that define the connections between nodes.
The GAT model is trained on 80% of the data, featuring a moderately deep architecture with 110 hidden units, two attention heads per layer, and two attention layers, all aimed at enhancing feature learning. The training process spans 500 epochs with a batch size of 16, utilizing Stochastic Gradient Descent (SGD) for optimization. The model’s output layer size varies based on the classification task, employing sparse categorical cross-entropy as the loss function. The performance of the model is evaluated using key metrics such as accuracy, F1-score, precision, and recall, demonstrating significant improvements in intrusion detection accuracy by leveraging the contextual information inherent in graph representations.
Results
The results of the study evaluate the performance of the Graph Attention Network (GAT) in detecting various types of network intrusions, including Denial of Service (DoS), Probe, Remote to Local (R2L), User to Root (U2R), and normal traffic. The model’s efficacy is measured using essential metrics such as precision, recall, F1-score, and accuracy, which are critical for effective threat detection in IoT security. The GAT model achieved an impressive accuracy of 98% for binary classification and 99.20% for multi-class classification. However, it exhibited lower precision and recall for the rarer U2R attack type, indicating challenges in detecting subtle threats.
When compared to state-of-the-art approaches, the GAT model demonstrated superior performance, particularly in accuracy, outperforming other methods such as CART, XGBoost, and ensemble techniques. For instance, while CART and XGBoost achieved 99% accuracy, the GAT model consistently provided higher precision and recall, essential for minimizing false positives and negatives. The findings suggest that the GAT model is a robust solution for IoT intrusion detection, particularly for more frequent and distinguishable attack types, as detailed in Table 2, which summarizes the comparative performance of various intrusion detection methodologies.
Discussion
The discussion highlights the evolving landscape of Intrusion Detection Systems (IDS) in the context of IoT security, emphasizing the need for advanced detection methods due to the increasing complexity of cyber threats. Previous research has shown that hybrid models, particularly those integrating deep learning techniques like Graph Neural Networks (GNNs), significantly enhance detection accuracy while reducing false alarms. However, challenges such as high computational costs, real-time processing, and the need for improved dataset quality remain critical. The paper underscores the effectiveness of ensemble machine learning approaches, particularly XGBoost, in achieving superior performance compared to traditional classifiers, while also advocating for future studies to address dynamic IoT environments and optimize real-time detection capabilities.
The authors propose a novel Graph Attention Network (GAT) model that transforms raw network data into a graph-structured format, facilitating better representation of interdependencies among network flows. This innovative approach has demonstrated impressive results, achieving an accuracy of 98% for binary classification and 99.20% for multi-class classification tasks. The findings suggest that leveraging graph-based learning can significantly bolster IDS effectiveness, even in the absence of pre-existing graph data. The study concludes by emphasizing the potential for this methodology to contribute to the development of robust and intelligent security solutions for IoT environments, thereby laying a foundation for future research and advancements in the field.