DOI: https://doi.org/10.1038/s41598-025-08770-0
PMID: https://pubmed.ncbi.nlm.nih.gov/40664956
تاريخ النشر: 2025-07-15
المؤلف: Muhammad Farhan وآخرون
الموضوع الرئيسي: أمن الشبكات وكشف التسلل
نظرة عامة
تتناول البحث الحاجة الملحة لأنظمة كشف التسلل (IDS) الأكثر فعالية في ضوء زيادة حركة المرور الشبكية وتطور التهديدات السيبرانية. غالبًا ما تكافح أنظمة كشف التسلل المعتمدة على الشبكة التقليدية (NIDS) لاكتشاف أنماط الهجوم الجديدة بسبب الاعتماد على بيانات قديمة وتقنيات التعلم الآلي التقليدية. لمعالجة هذه القيود، يقدم البحث نهجًا جديدًا للتعلم العميق يدمج الشبكات العصبية العميقة التسلسلية (DNN) مع دوال تنشيط الوحدة الخطية المعدلة (ReLU) ويستخدم مصنف الشجرة الإضافية لاختيار الميزات. يتم تدريب هذا النموذج والتحقق من صحته على مجموعة بيانات UNSW-NB15 المعاصرة، التي تمثل بدقة حركة المرور الشبكية الحقيقية وطرق الهجوم.
تقلل التركيبة المبتكرة من DNNs المعتمدة على ReLU مع اختيار الميزات المحسن بشكل كبير من المشكلات مثل تلاشي التدرجات والتكيف الزائد، بينما تعزز من قابلية تفسير النموذج وكفاءته الحسابية. يحافظ تقليل الأبعاد من 43 إلى 8 ميزات حاسمة على دقة عالية بينما يحسن من سرعة الاستدلال، وهو أمر ضروري لنشر NIDS في الوقت الحقيقي. حقق النموذج مقاييس أداء مثيرة للإعجاب، بما في ذلك دقة 97.93%، دقة 97%، استرجاع 97%، ودرجة F1 97% في مهام التصنيف الثنائي. تؤكد التقييمات الشاملة، بما في ذلك منحنيات ROC ومصفوفات الالتباس، على الأداء المتفوق للنموذج مقارنة بالدراسات الحالية، مما يبرز إمكاناته كحل قوي لحماية البنية التحتية الحيوية عبر مختلف القطاعات، بما في ذلك المالية والرعاية الصحية والحكومة.
طرق
تؤكد المنهجية الموضحة في هذه الدراسة على تطوير نموذج تعلم عميق فعال لتحديد الهجمات ضمن مجموعة بيانات UNSW-NB15. يستخدم البحث شبكة عصبية عميقة (DNN) كخوارزمية رئيسية لكشف الهجمات، مع إطار عمل شامل موضح في الشكل 2. تتضمن عملية التنفيذ عدة خطوات رئيسية، بما في ذلك تقنيات معالجة البيانات المسبقة مثل التوحيد، اختيار الميزات، وتقسيم مجموعة البيانات إلى مجموعات تدريب واختبار.
بعد المعالجة المسبقة، تستخدم الدراسة مصنف الشجرة الإضافية بالتزامن مع نموذج DNN تسلسلي لتعزيز دقة التنبؤ. يهدف هذا النهج المنظم إلى التنبؤ بالاقتحامات بشكل فعال، مما يسهم في التقدم في أنظمة كشف التسلل الشبكي (NIDS). يبرز تركيز المنهجية على التعامل المنهجي مع البيانات وتدريب النموذج أهميتها في مجال الأمن السيبراني.
نتائج
تناقش قسم النتائج من ورقة البحث تطبيق مجموعة بيانات UNSW-NB15، التي تحتوي على 175,341 سجلًا تتميز بعدم التوازن لصالح عينات الهجوم. لمعالجة هذا الخلل، تم استخدام تقنية زيادة العينات الأقلية الاصطناعية (SMOTE) خلال المعالجة المسبقة لإنشاء أمثلة واقعية من الفئة الأقلية، وبالتالي موازنة مجموعة البيانات قبل تدريب النموذج. تم تقسيم مجموعة البيانات إلى 70% للتدريب و30% للاختبار، وتم استخدام نموذج تصنيف ثنائي، يميز بين الفئة 0 (لا هجوم) والفئة 1 (هجوم). تم تنفيذ مصنف الشجرة الإضافية كطريقة لاختيار الميزات، مما قلل من ميزات مجموعة البيانات البالغ عددها 43 إلى ثمانية سمات ذات صلة عالية بناءً على قيمة عتبة قدرها 0.021، مما عزز بشكل كبير من الكفاءة الحسابية دون المساس بدقة النموذج.
شمل تدريب نموذج الشبكة العصبية العميقة التسلسلية (DNN) 100 دورة مع حجم دفعة قدره 50، مما أدى إلى زيادة تدريجية في كل من دقة التدريب والاختبار، إلى جانب انخفاض في قيم الخسارة. حقق النموذج دقة تصنيف متوسطة قدرها 97.2% مع انحراف معياري قدره ±0.5 من خلال التحقق المتقاطع 5-fold. تم تلخيص مقاييس الأداء، بما في ذلك الدقة (97.93%)، الدقة، الاسترجاع، ودرجة F1، مما يظهر فعالية عالية عبر الفئتين. تم التحقق من أداء النموذج من خلال تمثيلات بصرية، مثل منحنيات التعلم ومصفوفات الالتباس، مما يشير إلى تحسينات مستمرة في الدقة واستقرار الخسارة على مدار دورات التدريب.
مناقشة
تسلط قسم المناقشة من ورقة البحث الضوء على فعالية نموذج الشبكة العصبية العميقة التسلسلية (DNN) المقترح لكشف التسلل الشبكي، حيث حقق دقة مثيرة للإعجاب قدرها 97.93% في إطار عمل التصنيف الثنائي. يتم التأكيد على قوة النموذج من خلال مقاييس أدائه، بما في ذلك الدقة، الاسترجاع، ودرجة F1، التي تشير إلى نتائج متفوقة مقارنة بأساليب أخرى مثل الغابة العشوائية، LSTM، والشبكات العصبية الاصطناعية التقليدية (ANNs). تشمل التحسينات الرئيسية في النموذج تطبيق تنظيم L2، والانقطاع، ودوال تنشيط ReLU للتخفيف من التكيف الزائد ومشكلات تلاشي التدرجات. كما أن استخدام مصنف الشجرة الإضافية لاختيار الميزات قد حسن النموذج بشكل أكبر من خلال تحديد ثمانية سمات حاسمة، مما يحسن من كفاءة المعالجة دون التضحية بالدقة.
تؤكد النتائج أيضًا على أهمية مجموعة بيانات UNSW-NB15، التي توفر تمثيلًا أكثر دقة لحركة المرور الشبكية المعاصرة مقارنة بمجموعة بيانات KDD-99 الأقدم. على الرغم من الأداء القوي للنموذج، يعترف المؤلفون بالحاجة إلى العمل المستقبلي لتوسيع قدراته، خاصة نحو التصنيف متعدد الفئات ودمج تقنيات اختيار الميزات المتقدمة مثل إزالة الميزات التكرارية (RFE) وتحليل المكونات الرئيسية (PCA). بالإضافة إلى ذلك، سيكون استكشاف طرق التعلم الجماعي ونشرها في الوقت الحقيقي أمرًا حاسمًا لتعزيز التطبيق العملي للنموذج وقوته ضد هجمات التهرب المتقدمة. يقترح المؤلفون أن دمج التعلم الفيدرالي يمكن أن يحسن من قابلية التوسع وخصوصية البيانات في التطبيقات الواقعية.
DOI: https://doi.org/10.1038/s41598-025-08770-0
PMID: https://pubmed.ncbi.nlm.nih.gov/40664956
Publication Date: 2025-07-15
Author(s): Muhammad Farhan et al.
Primary Topic: Network Security and Intrusion Detection
Overview
The research addresses the pressing need for more effective intrusion detection systems (IDS) in light of increasing network traffic and evolving cyber threats. Traditional Network-based Intrusion Detection Systems (NIDS) often struggle to detect novel attack patterns due to reliance on outdated data and conventional machine learning techniques. To address these limitations, the study introduces a novel deep learning approach that integrates Sequential Deep Neural Networks (DNN) with Rectified Linear Unit (ReLU) activation functions and employs an Extra Tree Classifier for feature selection. This model is trained and validated on the contemporary UNSW-NB15 dataset, which accurately represents real-world network traffic and attack vectors.
The innovative combination of ReLU-based DNNs with optimized feature selection significantly mitigates issues such as vanishing gradients and overfitting, while enhancing model interpretability and computational efficiency. The dimensionality reduction from 43 to 8 critical features maintains high accuracy while improving inference speed, essential for real-time NIDS deployment. The model achieved impressive performance metrics, including 97.93% accuracy, 97% precision, 97% recall, and 97% F1-score in binary classification tasks. Comprehensive evaluations, including ROC curves and confusion matrices, further validate the model’s superior performance compared to existing studies, highlighting its potential as a robust solution for safeguarding critical infrastructure across various sectors, including finance, healthcare, and government.
Methods
The methodology outlined in this study emphasizes the development of an efficient deep learning model for identifying attacks within the UNSW-NB15 dataset. The research employs a Deep Neural Network (DNN) as the primary algorithm for attack detection, with a comprehensive framework illustrated in Figure 2. The implementation process involves several key steps, including data pre-processing techniques such as standardization, feature selection, and the division of the dataset into training and testing subsets.
Following pre-processing, the study utilizes an Extra Tree Classifier in conjunction with a sequential DNN model to enhance prediction accuracy. This structured approach aims to effectively predict intrusions, thereby contributing to advancements in network intrusion detection systems (NIDS). The methodology’s focus on systematic data handling and model training underscores its significance in the realm of cybersecurity.
Results
The results section of the research paper discusses the application of the UNSW-NB15 dataset, which contains 175,341 records characterized by an imbalance favoring attack samples. To address this imbalance, the Synthetic Minority Oversampling Technique (SMOTE) was employed during preprocessing to create realistic examples of the minority class, thereby balancing the dataset prior to model training. The dataset was split into 70% for training and 30% for testing, and a binary classification model was utilized, distinguishing between Class 0 (no attack) and Class 1 (attack). An Extra Tree Classifier was implemented as a feature selection method, reducing the dataset’s 43 features to eight highly relevant attributes based on a threshold value of 0.021, which significantly enhanced computational efficiency without compromising model accuracy.
The training of the Sequential Deep Neural Network (DNN) model involved 100 epochs with a batch size of 50, resulting in a gradual increase in both training and testing accuracy, alongside a decrease in loss values. The model achieved a mean classification accuracy of 97.2% with a standard deviation of ±0.5 through 5-fold cross-validation. Performance metrics, including accuracy (97.93%), precision, recall, and F1-score, were summarized, demonstrating high effectiveness across both classes. Visual representations, such as learning curves and confusion matrices, further validated the model’s performance, indicating consistent improvements in accuracy and stability in loss over the training epochs.
Discussion
The discussion section of the research paper highlights the effectiveness of the proposed Sequential Deep Neural Network (DNN) model for network intrusion detection, achieving an impressive accuracy of 97.93% in a binary classification framework. The model’s robustness is underscored by its performance metrics, including precision, recall, and F1-score, which indicate superior results compared to other methods such as Random Forest, LSTM, and traditional Artificial Neural Networks (ANNs). Key enhancements in the model include the application of L2 regularization, dropout, and ReLU activation functions to mitigate overfitting and vanishing gradient issues. The use of the Extra Tree Classifier for feature selection further optimized the model by identifying eight critical attributes, thus improving processing efficiency without sacrificing accuracy.
The findings also emphasize the importance of the UNSW-NB15 dataset, which provides a more accurate representation of contemporary network traffic compared to the older KDD-99 dataset. Despite the model’s strong performance, the authors acknowledge the need for future work to expand its capabilities, particularly towards multiclass classification and the integration of advanced feature selection techniques like Recursive Feature Elimination (RFE) and Principal Component Analysis (PCA). Additionally, exploring ensemble learning methods and real-time deployment will be crucial for enhancing the model’s practical applicability and robustness against advanced evasion attacks. The authors propose that incorporating federated learning could further improve scalability and data privacy in real-world applications.