کاهش نرخ هشدارهای نادرست در تشخیص بات‌نت‌ها با ترکیب الگوریتم‌های k- نزدیکترین همسایگی و گرادیان کاهش تصادفی

با گسترش روزافزون شبکه های متصل به اینترنت، حملات مهاجمان به این شبکه ها نیز رشد کرده است. بنابراین، محققان زیادی برای مقابله با بات نت ها که از راه دور منجر به آلودگی سیستم ها می شوند راهکارهایی را ارائه کرده اند. یکی از معضلات اصلی روش های موجود، نرخ بالای هشدارهای نادرست تولید شده توسط سیستم های تشخیص حمله از جمله نرخ مثبت کاذب و منفی کاذب است. در این مقاله برای کاهش نرخ هشدارهای نادرست از ترکیب دو الگوریتم یادگیری ماشین استفاده می شود. در مرحله اول راهکار پیشنهادی، مجموعه داده وارد یک مرحله پیش پردازش می شود تا داده های پرت و نویز شناسایی شده و کنار گذاشته شوند. پس از آن با استفاده از الگوریتم k- نزدیکترین همسایگی، ویژگی های غیر مفید که در تعیین کلاس داده ها اثری ندارند از مجموعه داده کنار گذاشته می شوند. در مرحله بعدی، برای تشخیص دقیق کلاس داده ها و دسته بندی آنها به داده عادی یا حمله بات نت، از الگوریتم گرادیان کاهش تصادفی استفاده می گردد. در پایان، با انجام آزمایش های مختلف بر روی مجموعه داده های ctu-13 و bot-iot در هر دو حالت دودویی و چند کلاسه، مقادیر معیارهای مهم ارزیابی کارآیی سیستم تشخیص حملات بات نت به دست می آیند. نتایج نشان می دهد که در مجموعه داده ctu-13، در حالت دودویی و چند کلاسه به ترتیب نرخ منفی کاذب 0.01 و 0.04 و نرخ مثبت کاذب 0.01 و 0.05 و برای مجموعه داده bot-iot، در حالت دودویی و چند کلاسه به ترتیب نرخ منفی کاذب 0.02 و 0.05 و نرخ مثبت کاذب 0.03 و 0.05  به دست می آید که در مقایسه با سایر روش های موجود از برتری برخوردار است و نشان می دهد که روش پیشنهادی منجر به کاهش نرخ هشدارهای نادرست و در نتیجه بهبود کارآیی می شود.

reducing the false alarm rates in detecting botnets using the combination of k-nearest neighbors and stochastic gradient descent algorithms

with the increasing expansion of networks connected to the internet, attackers’ efforts against these networks have also grown. therefore, many researchers have proposed solutions to deal with botnets that lead to remote contamination of systems. one of the main problems of existing methods is the high rate of false alarms produced by attack detection systems, including the rate of false positives and false negatives. in the present research, by using machine learning algorithms, these alarm rates were reduced. in the first stage of the proposed solution, the dataset entered a pre-processing stage so that outliers and noise data were identified and discarded. then, using the k-nearest neighbor algorithm, the non-useful features that had no effect in determining the data class were excluded from the dataset. in the next step, the gradient descent algorithm was used to accurately detect the class of data and categorize them into normal data or botnet attack. finally, by performing various tests on the ctu-13 and bot-iot datasets in both binary and multi-class modes, the values of the important criteria for evaluating the effectiveness of the botnet attack detection system were obtained. the results showed that in the ctu-13 dataset, in binary and multi-class mode, the false negative rates were 0.01 and 0.04, and the false positive rates were 0.01 and 0.05, respectively; and for the bot-iot dataset, in binary and multi-class mode, the false negative rates were 0.02 and 0.05 and the false positive rates were 0.03 and 0.05, respectively. compared to other existing methods, the proposed method is superior and demonstrates a reduction in the rate of false alarms and improves efficiency.