I A E S   I n t e r n at io n al  Jou r n al  of   A r t if ic ia I n t e ll ig e n c e   ( I J - AI )   V ol .   10 , N o.   1 M a r c h   202 1 , pp.  110 ~ 120   I S S N 2252 - 8938 ,   D O I 10.11591/ ij a i. v 10 .i 1 .pp 110 - 120           110       Jou r n al  h om e page ht tp : // ij ai . ia e s c or e .c om   T ow ar d  a d e e p  l e ar n i n g - b ase d  i n t r u s i on  d e t e c t i on  sys t e m  f or   IoT  agai n st  b ot n e t  at t ac k s       I d r is s   I d r is s i 1 M oh am m e d  B ou k ab ou s 2 ,   M os t af A z iz i 3 , O m ar  M ou s s aou i 4 , H ak im  E F ad il i 5   1 ,2,3,4 MATSI Researc h Lab., ESTO, Mohamme d First  University, Ouj da, Morocco   5 LIPI Research Lab., ENSAF, Sidi Mohamed Ben Abdell ah University, Fez, Morocco       A r t ic le  I n f o     A B S T R A C T   A r ti c le  h is to r y :   R e c e iv e J un  9 , 20 20   R e vi s e D e c   3 0, 20 20   A c c e pt e F e b   2, 20 21       The  massive  network  traffic   data  between   connected  devices   in  the   i nternet  of  things  have  taken  a   big  challenge  to   many  traditional  intrusion   de tection  systems  (IDS)  to  find  probable  security  breaches.   However,  security  attacks  lean  towards  unpredictabilit y.  There  are  numerous  difficulties  to  build  up  adaptable  and powerfu l IDS fo r IoT in  order to  avoid fal se alerts  and e nsure a  high  recognition  precision  against   attacks,  especially   with  the   ris ing  of  Botnet  attacks.  These  attacks  can  even  make  harmless  dev ices  be coming  zombies  that  send  malicio us   traffic  and  disturb   the  network.   In  this  pa per,  we   propose  new  IDS  solution,  baptized  BotIDS,  based  on  deep  l earning  convolut ional  neural  networks  (CNN).   The  main   interest   of   this  wor is  to   design,  implement  and   test  our  IDS  against  some  well - known   Botnet  attacks  using  specific  Bot - IoT  dataset.  Compared  to  other   deep  l earning  techniques,   such  as  simple  RNN,  LSTM  and  GRU,  the  obtained  results  of  our  BotIDS  are  promising  with   99.94%  in   validation  accuracy,  0. 58%  in   validation loss, and the prediction execution time is less than 0.34 ms.   K e y w o r d s :   B ot - I oT   B ot ne t   C N N   DL   I D S   I oT   R N N   This is an  open  acce ss artic le unde r the  CC BY - SA   license.     C or r e s pon di n g A u th or :   I dr is s  I dr is s i   M A T S I  L a bor a to r y, E S T O   M oha m m e d F ir s U ni ve r s it y   B P  473  C a m pus   uni ve r s it a ir e  A Q od s , O uj da  60000, M or oc c o   E m a il :   id r is s i@ump.a c .m a       1.   I N T R O D U C T I O N   N ow a da ys   a e nor m ous   num be r   of   obj e c ts   a r e   di s pa tc he a r ound  th e   w or ld   a nd  a r e   c onne c te be twe e th e m   a nd  to   th e   i nt e r ne t.   T he va r f r om   pe r s ona g a dge ts w e a r a bl e s s e n s or s a c tu a to r s   to   hom e   a ppl ia nc e s   a nd   m e di c a de vi c e s A s   e s ti m a te by  C I S C O   in   20 25,   it   w oul be   s om e w he r e   75   bi ll io de vi c e s   c onne c te to   th e   I nt e r ne t   [ 1] .   T he   I oT   ha s   r a is e c onc e r ns   th a a r e   gr ow in r a pi dl w i th out   f i tt in th ought   of   th e  s ig ni f ic a nt  s e c ur it y c ha ll e nge s   [ 2] .   N ow a da ys ,   m os of   th e   s e c ur it c onc e r ns   a r e   li ke   th os e   o f   r e gul a r   s e r ve r s w or k s ta ti ons   a nd  s m a r tp hone s how e ve r s e c ur it m ove s   e xt r a or di na r i l to   th e   I oT in c lu di ng  m e c ha ni c a s e c ur it c ont r ol s ,   hybr id   f r a m e w or ks I oT - e xpl ic it   bus in e s s   pr oc e dur e s a nd  e dg e   de vi c e s   [ 3] .   T r a di ti ona s e c ur it pr ot e c ti on  te c hnol ogy  is   li m it e due   Z e r o - D a a tt a c ks   a nd  vul ne r a bi li ti e s   a nd  f ut ur e   ne w   a tt a c ks   th a a r e   c ont in uous ly   c ha ngi ng  na tu r e s e tt in up   a   s te a dy,   r e li a bl e a nd   pr e c is e   in tr us io de te c ti on  i s   be c om in m a nda to r f or   im pr ovi ng t he  I oT  s e c ur it y   [ 4] .   B ot ne ts   or   z om bi e s   a r e   r obot s   of   in f e c t e i nt e r ne t - c onne c te de vi c e s ,   th e y   a r e   us e to   a c hi e ve   di s tr ib ut e de ni a l - of - s e r vi c e   a tt a c ( D D oS   a tt a c k) pa s s w or c r a c ki ng,  ke lo ggi ng  ( s te a da ta ) ,   c r ypt oc ur r e nc m in in g,  a nd  gi ve   th e   a tt a c ke r   th e   po s s ib il it of   a c c e s s in th e   de vi c e   us in c om m a nd  a nd   c ont r ol   ( C & C )   s of twa r e   [ 5] I S e pt e m be r   2016,   M ir a i”   m a lwa r e a I oT   B ot ne a tt a c ke m a ny  s it e s   of f li ne   Evaluation Warning : The document was created with Spire.PDF for Python.
I nt  J  A r ti f  I nt e ll   I S S N 2252 - 8938       T ow ar d a de e p l e a r ni ng - bas e d i nt r us io n d e te c ti on s y s te m  f or  I o T  agains bot ne at ta c k s   ( I dr is s  I dr i s s i )   111   li ke   th e   c lo ud  s e r vi c e   pr ovi de r   O V H   w it ne a r ly   1.1  T B p s ,   th e   w e bs it e   of   c om put e r   s e c ur it c ons ul ta nt   B r ia n K r e bs  w it h 620 G bps  of  t r a f f ic , a nd ma ny othe r  w e bs it e s  l ik e  dyna m ic  D N S  pr ovi de r  “ D yn”   [ 6] .   T he   de t e c ti on  a nd   pr e ve nt io f r om   di f f e r e nt   a tt a c ks   a r e  a   bi g c ha ll e nge I D S   us in g   m a c hi ne - le a r ni ng  m e th ods ha s   ga in e a   w id e   r e put a ti on   [ 7 ] I D S   is   a e s s e nt ia c om pone nt   in   th e   s e c ur it m e c ha ni s m it   is   us e f or   th e   a na ly s is   a nd  de te c ti on  of   t he   s e c ur it br e a c he s   on  a   ne twor k   [ 8] .   I D S   s ys te m s   c a b e   ga th e r e in to   two  c a te gor ie s :   th e   f ir s one   a nom a ly   de te c ti on”   a nd  th e   s e c ond  i s   M is us e   de te c ti on” or   ga th e r e in to   th r e e   m a jo r   di s ti nc f a m il ie s   hos t - ba s e d ne twor k - ba s e d   a n hybr id I D S   in ve s ti ga te   bot tr a f f ic   in   th e   ne twor a nd  in   th e   ope r a t in s ys te m s .   I D S   a r e   us e f or   e f f e c ti ve   ne twor pr ot e c ti on.  N um e r ous   r e s e a r c h   w or ks   a r e   tr yi ng  to   a ppl da ta   m in in g   a nd  m a c hi ne   le a r ni n a lg or it hm s   to   c ybe r   s e c ur it y.  I M a c hi ne   le a r ni ng,  pa tt e r ns   r e c ogni ti on  a nd  da ta   m in in a lg or it hm s   a r e   e xt e ns iv e ly   a ppl ie to   di s ti ngui s th e   nor m a tr a f f ic  f r om   th e  m a li c io us  one .       2.   A R T I F I C I A L   N E U R A L  N E T WO R K S  ( A N N )   I la s r e c e nt   y e a r s one   of   th e   m o s r e s ul ti ng  a nd   e f f ic ie nt   s ubs e ts   of   a r ti f ic ia in te ll ig e nt   is   de e p   le a r ni ng  ( D L )   w hi c it   is   a ls a   s ubs e of   m a c hi ne   le a r ni ng  ba s e on  a r ti f ic ia ne ur a ne twor ks   ( A N N )   [ 9] a   c om put in s ys te m   in s pi r e f r om   bi ol ogi c a br a in   w he r e   th e   m a c hi ne   le a r ns   f r om   m a ny  tr a in in e xa m pl e s a ll ow in it   to   c la s s if ot he r   e xa m pl e s   [ 10] D L   is   in c r e a s in gl be in us e d.  I c a be   a ppl ie in   m a ny  da t a   pr oc e s s in la ye r s   in to   a   hi e r a r c hi c a a r c hi te c tu r e   to   m a ke   a   de e m ode l.   D L   a c c ount s   on  it s   c a pa c it to   id e nt if id e a f e a tu r e s   in   r a w   da ta   th r ough   s uc c e s s iv e   nonl in e a r   tr a ns f or m a ti ons w it e ve r a lt e r a ti on   a c hi e vi ng  a   m or e   e le va te le ve of   c om pl e xi ty   a nd  a bs tr a c ti on  [ 10] I ha s   be e a ppl ie e f f ic ie nt ly   to   m a ny   di f f e r e nt   r e s e a r c f ie ld s f r om   m e di c a im a ge   pr oc e s s in g,  na tu r a la ngua ge   pr oc e s s in g,  s pe e c r e c ogni ti on,  a nd  s ig na r e c og ni ti on  to   m a ny  ot h e r   dom a in s   of   s c i e nc e bu s in e s s   a nd   gove r nm e nt I a ll   th e s e   f ie ld s D L   s how e tr e m e ndous ly   pr om is in r e s ul t s   [ 11] I th e   I oT   s e c ur it f ie ld th e   m a c hi ne   tr a in s   on  va r io us   c ol l e c te d a nd l a be le d a tt a c k s  a nd a ls o nor m a tr a f f ic  t o l e a r n t he m , w e r e  f in a ll y t hi s  m a c hi ne  c a n i de nt if y ne w   s im il a r  a tt a c ks .   C onvolut io na ne ur a ne twor ks   ( C N N   or   C onvNe ts ) it s   a   de e p   le a r ni ng  c la s s   de v e lo pe in   1998  by  L e C un  in   th e   L e N e a r c hi te c tu r e   [ 12] I r e c e nt   two  de c a de s ,   C N N   ga in e bi g   s uc c e s s I t’ s   c om pos e d   of   a in put   la ye r m a ny  hi dde n   la ye r s   in   be twe e n a nd  a out put   la ye r   a s   s how in   F ig ur e   1   li ke   th e   m ul ti   la ye r   pe r c e pt r on   ( M L P )   [ 13]   ne twor ks B e s known  a nd  us e la ye r s   a r e c onvolut io n,  a c ti va ti on  o r   R e L U a n d   pool in [ 14] T he   c onvolut io na la ye r   is   th e   m os im po r ta nt   o ne ,   it   ta ke s   a   c onvolut io ke r ne l   a ls c a ll e a   m a s k or  a  f i lt e r  t he n  pa s s  i ove r  t he  da ta  ( us ua ll y i m a ge s )  a nd  t r a ns f or m  i t  ba s e d on the  va lu e s  f r om  t he   f il te r   a s   s how in   F ig ur e   1 T he it   c a lc ul a te s   th e   f e a tu r e   m a va lu e s   us in th e   f or m ul a   ( 1) w he r e   th e   in put   da ta   is   r e pr e s e nt e by    a nd  th e   ke r ne by     a nd    a r e   r e s pe c ti ve ly   th e   in de xe s   of   r ow s   a nd  c ol um ns   of   th e   r e s ul ta nt  m a tr ix   [ 15] .   T he   pool in la ye r   it   is   w ha a c hi e ve s   pr ogr e s s iv e ly   dow s a m pl in to   r e duc e   th e   s iz e   of   th e   s uc c e e di ng  la ye r s   th r ough  m a pool in or   a ve r a ge   pool in to   h e lp   ove r f it ti ng.  M a pool in di vi de s   th e   in put   in to  non - ove r la ppi ng c lu s te r s  a nd s e le c ts  t he  m a xi m um  va lu e  f or  e a c h c lu s te r  i n t he  pr e vi ous  l a ye r   [ 16] .     [ , ] = ( ) [ , ] = [ , ] [ , ]   ( 1)       I n p u t O u t p u t I n p u t   L a y e r O u t p u t   L a y e r H i d e n   L a y e r s C o n v o l u t i o n a l   l a y e r P o o l i n g   l a y e r F u l l y   c o n n e c t e d     F ig ur e  1 . C N N   la ye r s       Evaluation Warning : The document was created with Spire.PDF for Python.
                      I S S N :   2252 - 8938     I nt  J  A r ti f   I nt e ll ,   V ol 10 , N o.  1 M a r c h   20 2 1   110     120   112   C ont r a r iwi s e   to   th e   tr a di ti ona l   f e a tu r e   s e le c ti on  a lg or it hm s   i ha s   th e   c a pa bi li ty   of   le a r ni ng  be tt e r   f e a tu r e s   a ut om a ti c a ll a nd   c a te gor iz e   th e   tr a f f ic I a ddi ti on,  it   c a a c hi e v e   be tt e r   c la s s if ic a ti on  a nd   le a r a ddi ti ona f e a tu r e s   w it m or e   tr a f f ic   da ta   be c a us e   it   s ha r e s   th e   s a m e   c onvolut io m a tr ix   ( ke r ne l) th a w oul d   de c r e a s e   th e   num be r   of   pa r a m e te r s   a nd  c a l c ul a ti on  s um   of   tr a in in s ig ni f ic a nt ly T hi s   gi ve s   C N N   a   f a s r e c ogni ti on  of   a tt a c na tu r e c ont r a r iwi s e   to   ot h e r   de e p - le a r ni n a lg or it hm s ,   or   m a c hi ne   le a r ni ng  a lg or it hm s   th a c a be   ove r - f it te w it m a s s iv e   bi da ta M or e ove r th e   li te r a tu r e   s how s   th a us in C N N s   in   in tr us io de te c ti on f ie ld  gi ve s  be tt e r  r e s ul ts  t ha n ot he r  a lg or it hm s   [ 17 - 18] .   R e c ur r e nt   ne ur a ne twor ks   ( R N N )   a r e   a   c la s s   of   de e ne ur a ne twor ks   th a c ont a in s   f e e dba c c onne c ti ons   a s   s how in   F ig ur e   2 T he   f ul ly   c onne c te la ye r   w or ks   on  a   f la tt e ne in put   w he r e   e a c of   th e s e   in put s   is   c onne c te to   a ll   ne ur ons .   T he   a c ti va ti on   f unc ti on  of   a  node   de s c r ib e s   it s   out put   gi ve n a   one   or   s e of   in put s R e c ti f ie li ne a r   uni ( R e L U )   a c ti va ti on  a s   s how in   F ig ur e   3 ( a ) it   is   a   R e L U   us e on  a ll   e le m e nt s   of   th e   vol um e I a im s   a in tr oduc in non - li ne a r it ie s   to   th e   ne twor k.  L S T M   is   c om pos e d   of   m e m or bl oc ks   th a a r e  a  s e of  r e c ur r e nt  c onne c te d s ubne twor ks . T he s e  bl oc ks  a r e   c om pos e d w it h a  s e lf - c onne c te d m e m or y c e ll s   ( one   or   m a ny)   a s   s how in   F ig ur e   w hi c h   of f e r   a   m e m or to   r e m e m be r   th e   pr e vi ous   da ta a nd  th r e e   uni t s   c a ll e ga te s in put   ga te   ( 3.a ) a   f or ge t   ga te   ( 3.b)   a nd  a out pu ga te   ( 3.c )   w hi c th e p r ovi de   a   c ont in uous   e qui va le nt   of   w r it e r e a a nd  r e s e ope r a ti ons   [ 21] T he s e   ga te s   a r e   s ig m oi a s   s how in   F ig ur e   3( b)   a nd  ta nh  a s  s how n i n F ig ur e  3( c )  a c ti va ti on   f unc ti ons  m e a ni ng t ha th e ir   out put  i s  a  va lu e  be twe e n 0 a nd 1 f or  s ig m oi d,  a nd  be twe e - a nd  f or   ta nh.  D e r iv e f r om   f e e df or w a r ne ur a ne twor ks   ( F N N )   but   unl ik e   F N N th e r e   a r e   lo ops   ( bi di r e c ti ona da ta   f lo w )   a nd  m e m or ie s   to   r e m e m be r   pr e vi ous   c om put a ti ons   a s   s how in   F ig ur e   4   [ 19 ] A nd  a ll ow in pr e c e di ng  out put s   to   be   us e d a s   in put s   w hi le   ha v in hi dde s ta te s   [ 20]   w he r e   f or   e a c ti m e s te p     , t he  a c ti va ti on  < >   a nd t he  out put   < > a r e  e xpr e s s e d:       ( 2)     W he r e        a r e   c oe f f ic ie nt s   th a a r e   s ha r e te m por a ll a nd  1 2   a c ti va ti on   f unc ti ons       In p u t L a y er O u t p u t L a y er H i d e n   L a yer s In p u t O u t p u t     F ig ur e  2 . R e c ur r e nt  ne ur a ne twor ks  l a ye r s       R N N   c a n   f a c e   th e   lo ng - te r m   de pe nd e nc pr obl e m   a nd  th e   va ni s hi ng  gr a di e nt   &   e xpl odi ng  gr a di e nt s w e  c it e   he r e   th e   be s known R N N   ne twor k s th e   lo ng   s hor t - te r m   m e m or ( L S T M )   a nd  ga te r e c ur r e nt   uni ( G R U )   ne twor ks   to   s ol ve   th e s e   pr obl e m s T he   m a in   di f f e r e n c e   to   s im pl e   R N N   is   th a th e   nonl in e a r   uni ts   in   th e   hi dde la ye r s   a r e   r e pl a c e by  m e m or bl oc ks T he   f ol lo w i ng  f or m ul a   ( 3 )   r e pr e s e nt s   th e   ga te s   in   L S T M   [ 22] .       (3 )     W he r e   a r e  t he  i nput  ga te s  (  f or  t he  i nput  ga te , “  f or  t he  f or g e t,  a nd “  f or  t he   out put  ga te ) ;   it  i s  t he  s ig m oi d f unc ti on;    i is  t he  bi a s e s  f or  t he  ga te ( x) ;   Evaluation Warning : The document was created with Spire.PDF for Python.
I nt  J  A r ti f  I nt e ll   I S S N 2252 - 8938       T ow ar d a de e p l e a r ni ng - bas e d i nt r us io n d e te c ti on s y s te m  f or  I o T  agains bot ne at ta c k s   ( I dr is s  I dr i s s i )   113   1  i is  t he  out put  of  t he  pr e c e de nt  L S T M  bl oc k;    i is  t he  c ur r e nt  i nput .   G a te r e c ur r e nt   uni ( G R U )   is   a   s im pl if ie ve r s io of   L S T M w he r e   th e   G R U   m odul a te s   th e   f lo w     of   in f or m a ti on  in s id e   th e   uni us in ga ti ng  uni ts   a s   s how in   F ig ur e   4 w it hout   s e pa r a ti ng  th e   m e m or c e ll s   [ 23 - 24] I m e r ge s   th e   f or ge a nd  th e   in put   ga te s   in to   a up da te   ga te a ls m e r ge s   c e ll   a nd  hi dde s ta te ,   G R U  ha s  f e w e r  pa r a m e te r s  t ha n t he  L S T M . I is  de f in e d by the   f ol lo w in g f or m ul a s .       ( 4)       R e L U   ( F i g u r e   2 . a ) T a n h   ( F i g u r e   2 . c ) S i g m o i d   ( F i g u r e   2 . b ) - 1 1 1 0 1 0 0   ( a )   ( b)   ( c )     F ig ur e   3 . A c ti va ti on f unc ti ons ( a )  R e L U , ( b)  S ig m oi d, ( c )  T a nh       x + x x x - 1 + x x x + T a n H S i g m o i d P o i n t w i s e   m u l t i p l i c a t i o n P o i n t w i s e   a d d i t i o n V e c t o r   c o n c a t e n a t i o n R N N L S T M G R U i n p ut g a t e o ut p ut g a t e f o r g e t g a t e ce l l   st a t e up d a t e g a t e r e se t g a t e     F ig ur e   4 . R N N , L S T M  &  G R U  bl oc ks   [ 25]       3.   R E L A T E D   WO R K S   K or oni ot is   e al [ 26]   a ppl ie s uppor t   ve c to r   m a c hi ne   ( S V M ) L S T M   a nd  R N N   t e v a lu a te   th e   I o T - D a ta s e t.   T he   a ut hor s   f oc u s e on  bi na r c la s s if ic a ti on  on  th e   d a ta s e t,   a nd  th e ir   pr e di c ti on  r e s ul w a s   e it he r   a   nor m a tr a f f ic   or   s om e   ty pe   of   a tt a c ks   ( f or   e ve r ty pe   of   a tt a c k) w hi c is   not   h e lp f ul   f or   im pl e m e nt in g   m a ny  m ode ls   ( f or   e ve r a tt a c ty pe )   to   a   w or ki ng  I D S   c ont r a r to   a   m ul ti - la be out put   ( num e r ous   c a te gor ie s   of  a tt a c ks )  t ha gi ve s  one  a nd only on e  m ode l.   I bi to ye   e al [ 27]   in   th e ir   r e s e a r c c om pa r e th e   pe r f o r m a nc e   be twe e two  de e le a r ni ng  m ode ls   s e lf   nor m a li z in ne twor ks   ( S N N )   a nd  f e e f or w a r ne ur a n e twor ks   ( F N N )   in s id e   th e   m il ie of   a I oT   ne twor k.  T hi s   c om pa r is on  s ho w s   th a F N N   out pe r f or m s   S N N e ve if   S N N   r e m a in s   be tt e r   in   r e ga r ds   to   a dve r s a r ia s a m pl e s A ls o,  th e   a ut hor s   e xa m in e th e   im pa c t   of   f e a tu r e   n or m a li z a ti on  on  th e   a dve r s a r ia s tr e ngt h a nd de m ons tr a te d i ts  ba d i nf lu e nc e  t o a dve r s a r ia a tt a c ks  r e s is ti ng.   F e r r a e al [ 28]   in   hi s   pa pe r   c onduc te a   c om pa r a ti ve   s tu dy   w it h   two  da ta s e ts B ot - I oT   a nd  C S E - C I C - I D S 2018  da ta s e ts   us in s om e   de e le a r ni ng  a ppr oa c he s ,   s uc h   R N N C N N B ol tz m a nn  m a c hi ne de e p   be li e f   ne twor ks   ( D B N ) de e B ol tz m a nn  m a c hi n e s   ( D B M ) ,   de e a ut oe nc ode r s   a nd  de e di s c r im in a ti ve   m ode ls , w it h 100 hidden la ye r s  t o ge a n a c c ur a c y of  98.394% .   M e ngm e ng   [ 29]   pr opos e us in g   F N N   a in te ll ig e nt   bi na r y   a nd  m ul ti c la s s   c la s s if ic a ti on but   w it ju s f e w   c la s s e s   to   ge 99%   in   a ll   e va lu a ti on  m e a s ur e s   ( a c c ur a c y,  pr e c is io n,  r e c a ll   a nd  F s c or e )   f or   D D oS /DoS  a tt a c ks  w hi le  t he  nor m a tr a f f ic  c la s s if ic a ti on got a n  a c c ur a c y of  98 % .   A lKa di   [ 30]   pr opos e a   s ys te m   n a m e m ix tu r e   lo c a li z a ti on - b a s e out li e r s   ( M L O )   on  th e   B o T - I oT   D a ta s e th a t   us e s   ut il iz e s   ga us s ia n - m ix tu r e   m ode ls   f or   f it ti ng  ne twor da ta   a nd  a   lo c a out li e r   f a c to r   f unc ti on   f or  di s c ove r in g a bnor m a pa tt e r ns  i n ne twor k t r a f f ic  da ta , a nd gott e n a n a c c ur a c y of  97.98 %.   Evaluation Warning : The document was created with Spire.PDF for Python.
                      I S S N :   2252 - 8938     I nt  J  A r ti f   I nt e ll ,   V ol 10 , N o.  1 M a r c h   20 2 1   110     120   114   I f a c t,   c onvolut io na ne ur a ne twor ks   ( C N N   or   C onvNe ts )   a r e   a   c la s s   of   de e ne ur a ne twor ks   th a t   a r e   us e in   m a ny  f ie ld s   but   m os tl in   pa tt e r r e c ogni ti on.  C N N   is   a   c la s s   of   ne ur a ne twor ks   th a us e s   th e   c onvolut io a nd  th e   pool in la ye r s   in s te a of   th e   f ul ly   c onne c te hi dde la ye r s   [ 31] C ont r a r iwi s e   to   th e   tr a di ti ona f e a tu r e   s e le c ti on  a lg or it hm s   it   ha s   th e   c a pa bi li ty   of   le a r ni ng  be tt e r   f e a tu r e s   a ut om a ti c a ll a nd   c a te gor iz e   th e   tr a f f ic I a ddi ti on,  it   c a a c hi e ve   be tt e r   c la s s if i c a ti on  a nd  le a r a ddi ti ona f e a tu r e s   w it m or e   tr a f f ic   da ta   be c a u s e   it   s ha r e s   th e   s a m e   c onvolut io n   m a tr ix   ( m a s k) th a w oul de c r e a s e   th e   num be r   of   pa r a m e te r s   a nd  c a lc ul a ti on  s um   of   tr a in in s ig ni f ic a nt ly T hi s   gi ve s   C N N   a   f a s r e c ogni ti on  of   a tt a c k   na tu r e c ont r a r iwi s e   to   ot he r   de e p - le a r ni ng  a lg or it hm s or   m a c hi ne   le a r ni ng  a lg or it hm s   th a c a be   ove r - f it te w it h   m a s s iv e   bi da ta M or e ove r th e   li te r a tu r e   s how s   th a us in C N N s   in   in tr us io de te c ti on  f ie ld   gi ve s   b e tt e r   r e s ul ts  t ha n ot he r  a lg or it hm s   [ 17 - 18] .   T he   r e la te w or li s te a bove   c a pr ovi de   a   good   pr e di c ti on  o f   bot ne a tt a c ks   th a c a a f f e c a I oT   s ys te m H ow e v e r th e s e   w or ks   c oul not   r e c ogni z e   ty pe   of   a tt a c due   to   th e   bi na r c la s s if ic a ti on.  H e nc e   our   s tu dy  c ons ti tu te s   a im por ta nt   e xpe r im e nt a e xt e ns io of   th e   a bove - m e nt io ne w or ks   by  be nc hm a r ki ng  th e   B ot - I oT   da ta s e t   us in C N N   c om pa r e to   di f f e r e nt   de e p   le a r ni ng  m ode ls us in th e   m ul ti la be c la s s if ic a ti on  c or r e s ponding t o va r io us  c a te gor ie s  o f  a tt a c k s  i n t he  I oT .       4.   P R O P O S E D   M E T H O D   B ot I D S   is  our  pr opos e d ne twor I D S  obt a in e d by  l e a r ni ng  f r o m  t he  B ot - I oT  da ta s e t.  T hi s  s ol ut io n i s   pl a nne to   be   pl a c e in   a   f og  node   w he it   w il be   im pl e m e nt e in   a   r e a I oT   e nvi r onm e nt A   s u c de pl oym e nt  gi ve s  i th e  pow e r  of  a na ly z in g i n r e a ti m e  t he  i nboun d a nd outbound t r a f f ic  t hr ough  th e  ne twor k   by  s ni f f in it   a s   s how in   F ig ur e   5 . T hi s   lo c a ti on  w il m a ke   our   B ot I D S   a bl e   to   m oni to r   a ll   tr a f f ic   to /f r om   th e   de vi c e s   bot in s id e   a nd  out s id e   th e   ne twor k,  a nd  e v e pa r ti c ul a r ly   th e   tr a f f ic   be twe e th is   in s id e r   d e vi c e s   in   c a s e  of  a  l ur ki ng z om bi e  de vi c e  i n s id e  t he  ne twor k.       W S N  /   M 2 M F o g  n o d e I n t e r n e t AP B o tI D S   s e r v e r R o u t e r  / G a te w a y C l ou d  D a t a b a s e AP AP I P   c a m e r a ( Z o m b i e ) I P  c a m e r a ( Z o m b i e ) I c a m e r a ( Z o m b i e ) Sm a r t T V ( Z om b i e ) Sm a r t Pho ne ( Z o m b i e ) Sm a r t Ph o n e ( Z o m b i e ) C o m p u t e r ( Z o m b i e ) T a b l e t ( Z o m b i e )     F ig ur e   5 . A r c hi te c tu r e  of  pr opos e d a ppr oa c h       T he  B ot I D S  i s  a  de e p l e a r ni ng - ba s e d m e th od on a  de e p l e a r ni ng mode th a c ont a in s  t hr e e  pha s e s a s   s how n i n   F ig ur e  6       Evaluation Warning : The document was created with Spire.PDF for Python.
I nt  J  A r ti f  I nt e ll   I S S N 2252 - 8938       T ow ar d a de e p l e a r ni ng - bas e d i nt r us io n d e te c ti on s y s te m  f or  I o T  agains bot ne at ta c k s   ( I dr is s  I dr i s s i )   115   U n i f yi n g   d a t a   f o rm a t No rma l i z i n g t h e   d a t a   va l u es C o n vert In g t h d a t a   i n t o   i ma g s h a p e S p l i t i n g   t h e   d a t a s e t   t o   T ra i n i n g   &   T e s t i n g   s e t B u i l d i n g   t h d eep   l ea rn i n g   mo d el T ra i n i n g   t h e   mo d el B a d P e rf o rm a n c e ? O T ra i n i n g s t o p p ed   ? No Y e s T e s t i n g   d a t a s e t T h ra w   D a t a s et Sa vi n t h e   m o d e l T ra i n i n g   d a t a s et A d j u s t i n g   t h p a ra met ers T e s t i n g   t h e   mo d e l     F ig ur e   6 M ode bui ld in g pr oc e s s         1s P ha s e D a ta s e pr e pr oc e s s in g;  F ir s of  a ll , w e  ne e d t o a lt e r  t he  r a w  da ta  a nd nor m a li z e  i ts  va lu e s  w it th e  goa of  t he  be s pe r f or m a nc e  of  de e p l e a r ni ng mode l,  a nd t h e n c onve r it   in to  i m a ge  s ha pe     2nd  P ha s e B ui ld in th e   m ode l;   th e   m ode is   a f ir s f it   on  a   t r a in in da ta s e ( a   pa r of   th e   da ta s e t)   us in g   pa r a m e te r s   to   a c hi e ve   th e   im pr ove m e nt   of   th e   m ode pe r f or m a nc e th e s e   p a r a m e te r s   a r e   c h a nge in   th e   tr a in in pr oc e s s   to   r e a c b e tt e r   pe r f or m a nc e S e c ondl y,  th e   te s da ta s e ( th e   r e m a in in pa r of   th e   da ta s e t)  i s  us e d t o va li da te  t he  a c c ur a c y of  t he  m ode l.     3r P ha s e E va lu a ti ng  th e   m ode by  pr e di c ti on;   a f te r   bui ld in g   a nd  ge ne r a ti ng  th e   m ode l,   w e   e v a lu a te   th is  m ode w it h t he  t e s da t a s e by pr e di c ti ng a tt a c ks   a nd c a lc ul a ti ng t he  t im e  ne e de d f or  t hi s  pr e di c ti on.       4.1.  Dat as e t  p r e p r oc e s s in g   F or   c onduc ti ng  pr opos e w or k,  w e   ha ve   us e th e   la te s B o t - I oT   da ta s e [ 32]   th a w a s   c r e a te s pe c if ic a ll f or   I oT   s ys te m s   by  a a c tu a ne twor m il ie a th e   C ybe r   R a nge   L a of   th e   C e nt e r   of   U N S W   C a nbe r r a   C ybe r T he   e nvi r onm e nt   in c or por a te s   a   c om bi na ti on of   us ua nor m a a nd  ba tr a f f i c w it s ix   ty pe s   of   a tt a c ks   a nd  10  s ubc a te gor ie s na m e ly r e c onna i s s a n c e   ( s e r vi c e   s c a nni ng  a nd  O S   f in ge r pr in ti ng) D D o S   ( T C P , U D P  a nd H T T P ) , D oS  ( T C P , U D P  a nd H T T P ) , t he f ( ke y l oggi ng a nd da ta  e xf il tr a ti on) .   W it 72  m il li on   r e c or ds   of   da ta   tr a f f ic   s im ul a te I oT   e nvi r on m e nt T he   w hol e   da ta   w a s   a s c e nd e dow to   5%   in to   a   f ul l - f e a tu r e   da ta s e w it a r ound  3.6  m il li on  r e c or ds   a nd  a not he r   ve r s io c a ll e 10   be s t   f e a tu r e s   is   a l s pr ovi de w it s e le c ti on  of   be s f e a tu r e s   f r om   th e   F ul f e a tu r e s   ve r s io n,  bot ve r s io ns   a r e   us e f or   our   e xpe r im e nt T he   tr a in in a nd  te s da ta s e ha ve   11 output   c la s s e s   w hi c r e f le c th e   nor m a tr a f f ic ,   a nd t he  10 t ype s  of  a tt a c k s  w hi c h w e r e  c a r r ie d out a ga in s th e  I oT  ne twor k.   T he   B ot - I O T   d a ta s e t   c ont a in s   n e twor c onne c ti on  a tt r ib u te s nom in a l,   num e r ic   a nd  I P   a ddr e s s e s .   W e   c onve r th e   nom in a da ta   to   num e r ic   da ta ip v4  a nd  ip v a ls be   c onv e r te to   num e r ic a s ha p e a nd   m e r gi ng  c a te gor a nd  s ubc a t e gor ie s   f ie ld s   in to   one   f ie ld   th a c ont a in s   10   ty pe s   of   a tt a c k s   a nd   th e   11t i s   a   nor m a l   tr a f f ic   th e w e   c onve r th e   ne w   c a te gor a tt r ib ut e   us in one - hot   e nc odi ng” a nd  dr oppe th e   bi na r y   A tt a c k”  f ie ld  c a us e . O ur  f oc us  i s  on a  m ul ti la be out put  a nd no a  bi na r y one .   A f te r   e nc odi ng  th e   da ta ,   w e   nor m a li z e d   it   us in S c ik it - l e a r n;   m e a ni ng  s c a li ng  th e   v e c to r s   in di vi dua ll y t o unit  nor m , a nd c onve r ti ng t he  nor m a li z e d output  da ta  i nt o i m a ge  da ta  s ha p e .   T he w e   s pl it   th e   da ta   a f ir s in to   d a ta   X   ( c ont a in s   a ll   th e   f e a tu r e s   e xc e pt   th e   c a te gor y”   f e a tu r e )   a nd  la be Y   ( c ont a in s   th e   c a te gor y”   f e a tu r e ) a nd  th e n   s pl it   it   in to   r a ndom  tr a in in s ubs e a nd  te s ti ng  s ubs e w it 75%   f or   tr a in in s e a nd  25%   f or   th e   te s ti ng  s e t.   F ig ur e   s how s   th e   num be r   of   da ta   r ow s   f or   e a c s e t   a nd e a c h a tt a c k t yp e .   Evaluation Warning : The document was created with Spire.PDF for Python.
                      I S S N :   2252 - 8938     I nt  J  A r ti f   I nt e ll ,   V ol 10 , N o.  1 M a r c h   20 2 1   110     120   116       F ig ur e   7 . A tt a c ks  di s tr ib ut io n i n t r a in in g a nd t e s ti ng s e ts       4.2.  B u il d in g ou r  m od e ls   T he   C N N   m ode l s   w e r e   de ne d   to   ha v e   a n   in put   la y e r   w it th e   num be r   of   ne ur ons   e qua l   to   th e   a m ount   of   in put   f e a tu r e s f our   hi dde n   la ye r s   C onvolut io n2D   la ye r M a xP ool in g2D   la ye r F la tt e n   la ye r D e ns e   la ye r  a nd a n output   la ye r . F or  t he  be s f e a tu r e s  da ta s e t,  t he  m od e w a s  t r a in e d i n 10 e poc hs  ( th e  w hol e  da ta s e is   pa s s e th r ough  th e   ne ur a ne twor 10  ti m e s )   w it ba tc s iz e   of   32  ( a m ount   of   t r a in in s im pl e s   in   a   s in gl e   ba tc h i s  32)  a nd a  ke r ne s iz e  of  ( 1, 10) . T he  ne ur a ne twor k c o m pr is e s  16 i nput  ne ur ons  ( in  t he  fi r s la ye r , t he   s a m e   num be r   a s   th e   f e a tu r e s ) w it in te r m e di a te   ( hi d de n)   la ye r s   w it 32  ( C onvolut io n2D ) 32  ( M a xP ool in g2D ) 480  ( F la tt e n) 22  ( D e ns e )   ne ur ons a nd  11  out put   ne ur ons   f or   th e   m ul ti la be c la s s ifi c a ti on  a s   s how in   F ig ur e   8 F or   our   f ul l - f e a tu r e   da ta s e t,   th e   m ode w a s   tr a in e in   15  e poc h s   ( ba tc s i z e   of   32  a nd  a   ke r ne s iz e   of   ( 1,  10) ) a nd  ha a   40 - ne ur on  in put   la ye r s a m e   num be r   a nd  c ons is te nc of   hi dde la ye r s   a s   w it h t he  be s f e a tu r e  m ode a nd 11 o ut put  ne ur ons  f or  t he  m ul ti la be c la s s ifi c a ti on. I n both c a s e s , f or  t he  i nput   a nd hidde n l a ye r s , t he  a c ti va ti on f unc ti on t ha w a s  us e d w a s  ‘ R e lu , w hi le  t he  out put  l a ye r  a c ti va ti on f unc ti on   w a s  ‘ S of tm a x’   a s  s how n i n   F ig ur e  8   a nd T a bl e  1 .   T he   ot he r   r e c ur r e nt   ne ur a ne twor ( R N N )   m ode ls   w e r e   de ne to   ha ve   one   in put   la ye r   w it th e   num be r   of   ne ur ons   e qua to   th e   a m ount   of   in put   f e a tu r e s f our   hi dde la ye r s   a nd  a out put   la ye r F or   th e   be s t   f e a tu r e s   da ta s e t,   th e   m ode w a s   tr a in e in   40  e po c hs   w it 32  in   th e   ba tc s iz e T h e   ne ur a ne twor c om pr is e d   16  in put   ne ur ons   ( in   th e   r s la ye r th e   s a m e   num be r   a s   th e   f e a tu r e s ) w it 4   ( S im pl e R N N /L S T M /G R U )   in te r m e di a te   ( hi dde n)   la ye r s   w it 32,   64,  128,  22   ne ur ons ,   a nd  11  out put   n e ur ons   f or   th e   m ul ti la be l   c la s s ifi c a ti on a s  s ho w n i n F ig ur e  9.  F or  our   f ul l - f e a tu r e  da ta s e t,  t he  m ode w a s  t r a in e d i n  40 e poc hs  ( 32  in  t he   ba tc s iz e ) a nd  ha a   40 - ne ur on  in put   la ye r s a m e   num be r   a nd   c ons is te n c of   hi dde la y e r s   a s   w it th e   b e s t   f e a tu r e   m ode a nd  11   out put   ne ur ons   f or   th e   m ul ti la be l   c la s s ifi c a ti on.  I bot c a s e s f or   th e   out put   la ye r   a c ti va ti on f unc ti on w a s  ‘ S of tm a x’  a s  s how n i n   F ig ur e  9 , a nd  T a bl e  1 .           F ig ur e   8 .   C N N  m ode la ye r s           F ig ur e   9 .   R N N  m ode ls  l a ye r s               Evaluation Warning : The document was created with Spire.PDF for Python.
I nt  J  A r ti f  I nt e ll   I S S N 2252 - 8938       T ow ar d a de e p l e a r ni ng - bas e d i nt r us io n d e te c ti on s y s te m  f or  I o T  agains bot ne at ta c k s   ( I dr is s  I dr i s s i )   117   T a bl e   1 .   M od e ls  pa r a m e te r s  f or  t he  i m pl e m e nt e d m ode l s   DL   A l gor i t hm   C onvol ut i ona l  ne ur a l  ne t w or ( C N N )   S i m pl e  r e c ur r e nt  ne ur a l   ne t w or k ( R N N )   L ong s hor t - t e r m  m e m or ( L S T M )   ba s e d R N N   G a t e d r e c ur r e nt  uni t   ( G R U )   ba s e d R N N   D a t a s e t   ve r s i on   F ul l   f e a t ur e s   B e s t   f e a t ur e s   F ul l   f e a t ur e s   B e s t   f e a t ur e s   F ul l   f e a t ur e s   B e s t   f e a t ur e s   F ul l   f e a t ur e s   B e s t   f e a t ur e s   E poc hs   15   10   40   40   30   25   40   20   L a ye r s   4   4   4   4   4   4   4   4   N e ur ons   40 I nput   C onvol ut i ona l  l a ye r  2D   M a x pool i ng s ha pe  l a y e r   D e ns e  L a ye r  ( R e L U )   11 O ut put   40 I nput   C onvol ut i ona l  l a ye r  2D   M a x pool i ng s ha pe  l a y e r   D e ns e  L a ye r  ( R e L U )   11 O ut put  11 O ut put   40 I nput   4 S i m pl e R N N  L a ye r s   11 O ut put   16 I nput   4 S i m pl e R N N  L a ye r s   11 O ut put   40 I nput   4 L S T M  L a ye r s   11 O ut put   16 I nput   4 L S T M  L a ye r s   11 O ut put   40 I nput   4 G R U  L a ye r s   11 O ut put   16 I nput   4 G R U  L a ye r s   11 O ut put   A c t i va t i on   f unc t i on   H i dde n l a ye r s :  R e l u   O ut put  l a ye r s :   S of t m a x   O ut put  l a ye r s :  ‘ S of t m a x’   O ut put  l a ye r s :  ‘ S of t m a x’   O ut put  l a ye r s :  ‘ S of t m a x’   O pt i m i z e r   a da m   a da m   a da m   a da m   B a t c h s i z e   32   32   32   32       5.   R E S U L T S   AND   D I S C U S S I O N   5.1.  Har d w ar e   c h ar ac t e r is t ic s   T he   r e s ul ts   w e   obt a in e a r e   pe r f or m e on  a   m a c hi ne   ( la pt op)   w it h   f ol lo w in g   ha r dw a r e   c ha r a c te r is ti c s .     C P U I nt e i7  8t h ge ne r a ti on ( 1 s oc ke t,  6 c or e s , 12 thr e a ds )     R A M 8 G B     G P U N V id ia   G e F or c e  G T X  1050 with  c uda  v10.1   I our   e xpe r im e nt s   w e   w or ke w it h   K e r a s   ( 2.2.4) a n   ope n - s our c e   pyt hon  de e le a r ni ng  li br a r y   w hi c is   r unni ng  on   to of   G oogl e s   ope n - s our c e   da ta   f lo w   s of twa r e T e n s or F lo w   ( 1.13.1)   a s   a   ba c ke nd  e ngi ne .     5.2.  E val u at in g t h e  m od e l   In   F ig ur e s   10 - 11   ( ge ne r a te by  T e ns or boa r d)   a nd  T a bl e   2 w e   pr e s e nt   th e   a c c ur a c tr a in in g,  lo s s   tr a in in g,  a c c ur a c va li da ti on,  lo s s   va li da ti on  a lo ng  w it tr a in in t im e   of   a ll   m ode ls   th a a r e   tr a in e ove r   s e ve r a e poc h s W e   c on s id e r   t he   num be r   of   e poc hs   f o r   w hi c our   m ode r e a c he s   th e   be s r e s ul ts   f or   e a c ve r s io n of  t he  da ta s e ( f ul f e a tu r e s  a nd be s f e a tu r e s ) .   W e  i ni ti a ll y t e s te d e a c h m ode w it h a  ba tc s iz e  of  1 28 w hi c h a ll ow e d us  t o ge good ti m in g f o r  a ll  m ode ls  but   w i th   a  p oor  pe r f or m a nc e , c om pa r e d t o a  s m a ll e r  ba tc h   s iz e  l ik e  32 r e c or ds  t ha le a d s   to  a n i m pr ove d r e s ul but  w it h a  h ig he r  c om put a ti on t im e .   A s   s how n   in   F ig ur e   10   a nd   T a bl e   2 , C N N   m ode l s   in   bot d a ta s e ve r s io ns  “ F ul F e a tu r e s   a nd  B e s t   F e a tu r e s   r e a c he s   r e s p e c ti ve ly   99,430  a nd  99,935  a s   a c c ur a c in   ju s 1395s   a nd  823s   ( 15   a nd  10  e poc hs   f o r   e a c h) C om pa r e to   our   C N N ,   G R U   is   a   li tt le   m or e   a c c ur a t e   b ut   it   to ok  m or e   ti m e   to   be   tr a in e ( 12412s   a nd  5818s   in   40  a nd  20  e poc hs ) T he   ti m e   of   our   C N N   is   a lm o s twi c e   c om pa r e to   s im pl e   R N N   f or   th e   F ul F e a tu r e s   ve r s io ( 6089s   in   40  e poc h s ) a nd  a lm os t   e qu a t th e   B e s F e a tu r e s   ve r s io ( 5708s   in   40   e poc hs ) O th e   ot he r   ha nd,  L S T M   m ode ls   ha ve   th e ir   be s a c c ur a c in   a   ti m in be twe e s im pl e   R N N   a nd  G R U   ( w it h   10627s   a nd  8302s   in   30   a nd  15  e poc hs ) F or   th e   L os s   a s   s how in   F ig ur e   11  a nd  T a bl e   2,  C N N   m ode ls   a r e   a lwa ys   th e   be s r e a c hi ng  m ode l s   in   bot da ta s e ve r s io ns F ul F e a tu r e s   a nd  B e s F e a tu r e s ,   w it r e s pe c ti ve ly   0,582%   a nd  1,663%   c om pa r e to   ot he r   R N N   m ode ls   ( be tw e e 1.7%   a nd  2.9% ) B y   e xa m in in th e s e   r e s ul ts it   is   c le a r   th a th e   C N N   m ode us in F u ll   F e a tu r e s   is   th e   be s m ode a c c or di ng  to   it s   hi ghe r   a c c ur a c ( 0.9993) a nd  th e   be s ti m e   pe r f or m a nc e   w he c ons id e r in th e   w hol e   ti m e   f or   obt a in in g   th e s e   r e s ul ts I a ddi ti on,  w he n   c om pa r in th e   r e s ul ti ng  m e tr ic s   in   a ll   m ode ls   w it th e   two - da ta s e t   ve r s io ns ,   w e   c le a r ly   s e e   th a th e  “ F ul F e a tu r e s   ve r s io ge ts   b e s pe r f or m a nc e   r e la te to   B e s F e a tu r e s   ve r s io n.  T hi s   m e a ns   th a d e e le a r ni ng  a lg or it hm s   c a n   a c hi e v e   be tt e r   c l a s s if ic a ti on  a nd  le a r a ddi ti ona f e a tu r e s   w it a ddi ti ona tr a f f ic   da ta   a s   a lr e a dy  e xpl a in e in   th e   pr e vi ou s   s e c ti on,  but   in   c om put a ti on  ti m e   a nd  e ne r gy  c ons um pt io n, i c ons um e s  m or e  be c a us e  m or e  da ta  t o t r a in  a r e   ne e de d.   In   F ig ur e   12 w e   c om pa r e th e   ti m e   th a a   pr e di c ti on  w oul ta k e   f or   a ll   th e   c ons id e r e m ode ls   ( how   m uc ti m e   th e   I D S   w oul ta ke   to   id e nt if a a tt a c k)   w hi c c oul be   a not he r   im por ta nt   m e tr ic   f o r   th e   I D S   im pl e m e nt a ti on  in   a   r e a I oT   e nvi r onm e nt W e   th e c onc lu de d   th a C N N   ha s   not   onl th e   be s a c c ur a c a nd  th e   lo w e s lo s s but   a ls th e   lo w e s ti m e   to   pr e di c a a tt a c w it h   ju s a   f r a gm e nt   of   m il li s e c onds   ( w it a n   a ve r a ge   of   0.34m s ) T he   ot he r   m ode l s   m a ke   a   d e te c ti on  of   a a tt a c in   m or e   th a twi c e   or   tr ip le   th a ti m e   of   C N N  ( 0.78ms  f or  s im pl e  R N N , 1.03ms  f or  G R U , a nd 1.08ms  f or  L S T M ) .   Evaluation Warning : The document was created with Spire.PDF for Python.
                      I S S N :   2252 - 8938     I nt  J  A r ti f   I nt e ll ,   V ol 10 , N o.  1 M a r c h   20 2 1   110     120   118   T he   a m ount   of   da ta   in   th e   da ta s e is   c o ns id e r a bl unba la nc e r e ga r di ng  th e   di f f e r e nt   ty pe s   of   a tt a c ks F or   e xa m pl e D oS   ( H T T P ) D D oS   ( H T T P ) ke lo ggi ng,  a nd  da ta   e xf il tr a ti on  a tt a c ks   in   th e   tr a in in g   a nd  te s s e ts   ha v e   ve r s m a ll   a m ount   of   da ta   a s   s how in   F ig ur e   7 T he r e f or e th e   m ode ha s   a   li m it e d   c a pa bi li ty   to   le a r a c c ur a te ly   th e s e   ty pe s   of   a tt a c ks . T he   de te c ti on  a ve r a ge   of   th e s e  a tt a c ks   i s   one   of   th e   m a in   f a c to r s  r e s tr ic ti ng t he  ove r a ll  de te c ti on a c c ur a c y.             F ig ur e   10 .   A c c ur a c y s c a la r             F ig ur e   11 . L os s  s c a la r       T a bl e   2 .   T r a in in g a nd t e s ti ng r e s ul ts  f or  t he  i m pl e m e nt e d m ode l s   DL   A l gor i t hm   C onvol ut i ona l  N e ur a l   N e t w or k   ( C N N )   S i m pl e   R N N   ( R e c ur r e nt   N e ur a l  N e t w or k)   L ong S hor t - T e r m  M e m or y   ( L S T M )   ba s e d R N N   G a t e d R e c ur r e nt  U ni t   ( G R U )   ba s e d R N N   D a t a s e t   ve r s i on   F ul l   F e a t ur e s   B e s t   F e a t ur e s   F ul l   F e a t ur e s   B e s t   F e a t ur e s   F ul l   F e a t ur e s   B e s t   F e a t ur e s   F ul l   F e a t ur e s   B e s t   F e a t ur e s   E poc hs   15   10   40   40   30   25   40   20   L a ye r s   4   4   4   4   4   4   4   4   A c c ur a c y   t r a i ni ng   0.99762   0.99086   0.98167   0.98038   0.98395   0.98285   0.98787   0.98301   L os s   t r a i ni ng   0.01132   0.03294   0.07101   0.07115   0.06155   0.06526   0.04508   0.06661   A c c ur a c y   va l i da t i on   0.99935   0.99430   0.99406   0.99427   0.99401   0.99747   0.99403   0.99430   L os s   va l i da t i on   0.00582   0.01663   0.02021   0.01819   0.01848   0.02278   0.01762   0.02921   T i m i ng   T ot a l :   1395s   E poc h:   138s   S t e p:   47μ s   T ot a l :   823s   E poc h:   82s   S t e p:   30μ s   T ot a l :  6089s   E poc h: 153s   S t e p:  52μ s   T ot a l :  5708s   E poc h: 142s   S t e p:  52μ s   T ot a l : 10627s   E poc h: 354s   S t e p: 121μ s   T ot a l :  8302s   E poc h: 332s   S t e p: 121μ s   T ot a l : 12412s   E poc h: 310s   S t e p: 106μ s   T ot a l : 5818s   E poc h:  291s   S t e p: 106μ s   Evaluation Warning : The document was created with Spire.PDF for Python.
I nt  J  A r ti f  I nt e ll   I S S N 2252 - 8938       T ow ar d a de e p l e a r ni ng - bas e d i nt r us io n d e te c ti on s y s te m  f or  I o T  agains bot ne at ta c k s   ( I dr is s  I dr i s s i )   119       F ig ur e   12 .   P r e di c ti on t im in g c om pa r is on       6.   C O N C L U S I O N   T he   num be r   of   I o T   obj e c t s   di s pa t c he a r ound  th e   w or ld   is   gr ow in pr ogr e s s iv e ly w hi c h   m a ke s   it s   s e c ur it a   bi c ha ll e nge O ur   w or he r e   f oc us e on  in tr us io d e te c ti on  s ys te m s   f or   I oT   us in f our   va r ia nt s   of   de e le a r ni ng  m ode ls a nd  c om pa r e th e m   e f f ic ie nt ly   to   de te c va r io us   ty pe s   of   I oT   n e twor a tt a c ks u s ua ll y   done   by  bot ne ts .   A f te r   s e v e r a e xpe r im e nt s w e   obt a in e a   r e a s ona bl e   de te c ti on  r a te   on  our   a ll   f our   m ode ls B a na ly z in th e   obt a in e r e s ul ts w e   c on c lu de th a C N N   is   t he   be s one   f or   in tr us io de te c ti on  s ys te m s it   w a s   a bl e   to   id e nt if s uc c e s s f ul ly   di f f e r e nt   ty pe s   of   a tt a c k s   a nd   s how e th e   hi ghe r   a c c ur a c ( w it 99.94% )   in   c om pa r is on  w it ot he r   D L   a lg o r it hm s s uc a s   S im pl e   R N N L S T M a nd  G R U a nd  it   a ll ow e a   de te c ti on   w it lo w e r   lo s s   r a te s   ( 0.58% )   a nd  a   be tt e r   pe r f o r m a nc e   in   te r m s   of   pr e di c ti on  t im e A s   f ut u r e   w or ks w e   w il l   a ppl th e   C N N   m ode l   on  a   r e a ne twor tr a f f ic   da t a ,   a nd   r e in f or c in it   us in de e tr a ns f e r   le a r ni ng  by  a ddi ng   ot he r   c ha r a c te r is ti c s   f r om   ot he r   da ta s e ts   or   f r om   di ve r s e   f ir e w a ll s lo gs a nd  I D S   s e r ve r s I a ddi ti on,  w e   w il l   tr to   us e   s e lf - s upe r vi s e le a r ni ng  to   ge n e r a te   a   pow e r f ul   a nd  upda te m ode l,   a nd   th e im pl e m e nt   a n   a ut onomous  i nt r us io n de te c ti on s ys t e m .       R E F E R E N C E S   [1]   “Internet  of  Things  (IoT)  -   The  future  of  IoT  miniguide:  The  burgeoning  IoT  market  continues  -   Cisco.”  [Online] Available: http s://www.cisco.com /c/en/us/sol utions/int ernet - of - things/futur e - of - iot.html. [Acc essed: 06 - Jun - 2020].   [2]   J.  Singh,  T.  Pasquier,  J.  Bacon,   H.  Ko,  and   D.  Eyers,  “Twenty   S ecurity  Considerations  for  Cloud - Supporte Internet  of  Things,”  IEEE   Internet  Things   J. vol.   3,  n o.  3,  pp.  269 284,   Jun.  2016.   DOI:  10.1109/JIOT.2015.2460333 .   [3]   J.  Lin,  W.  Yu,   N.  Zhang,  X.   Yang,  H.   Zhang,  and  W.   Zhao.,  “A   Survey  on  Internet  of   Things:  Architecture,   Enabling  Technologies,  Security  and  Privacy,  and  Applications,”  IEE Internet  Things  J. vol.  4,  no.  5,  pp.  1125 1142, 2017.   DOI: 10.1109/JIOT. 2017.2683200 .   [4]   Y.  Xiao,  C.  Xing,  T.  Zhang,  and  Z.  Zhao,  “An  Intrusion  Detecti on  Model  Based  on  Feature  Reduction  and   Convolutiona Neura Network s,”  IEEE  Access vol.  7,  pp.  42210 42219,  2019.   DOI:  10.1109/ACCESS.2019.2904620 .   [5]   E.  Bertino ,   N.  Islam,  “Botnets  and  Internet  of  Things  Security,”  Comp uter  (Long.  Beach.  Calif). vol.  50,  no.  2,  pp.  76 79, 2017.   DOI: 10.1109/MC .2017.62 .   [6]   C.  Kolias,  G.  Kambourakis,  A.  Stavrou,  and  J.  Voas.,  “DDoS  in  t he  IoT:  Mirai  and  other  botnets,”  Computer   (Long.   Beach. Calif). , vol. 50, no. 7, pp. 80 84, 2017.   DOI: 10.1109/MC .2017.201 .   [7]   A.  J.  Malik,  W.  Shahzad,  and  F.  A.  Khan.,  “Network  intrusion  det ection  using  hybrid  binary  PSO  and  random   forests algo rithm,”  Secur. Commun. Networks , vol. 8, no. 16, pp. 2646 2660 , 2015.   https://doi.org/10.1002/sec.508 .   [8]   J.  Jabez B.  Muthukumar.,  “Intrusion  detection  system  (ids):   Anomal detection  using  outlier  detection  approach,”  in  Procedia Computer Science , 2015, vol. 48, no. C, pp. 338 346.   DOI :   10.1016/j.procs.2015.04.191 .   [9]   N.  Ouerdi,  I.  Elfarissi,  A.  Azizi,  and  M.  Azizi.,   “Artificial  neural  ne twork - based  methodology  for  vulnerabilities  detection  in  EMV  cards,”  in  Proceedings  of  the  2015   11th  Internation al  Conference  on  Information  Assurance  and  S ecurity,  IAS 2015 , pp. 85 90 , 2016 .   DOI: 10.1109/IS IAS.2015.749275 0.   [10]   S.  Vieira,  W.  H.  L.   Pinaya,  and  A.   Mechelli.,  “Using  deep   learning  t investigate  the  neuroimaging  correlates   of   psychiatric  and  neurological  disorders:   Methods  and  applications,”   N eurosc ience  and  Biobehavioral  Reviews ,   vol.   74. Elsevier Ltd, pp. 58 75, 2017.   DOI: 10.1016/j. neubiorev.2017.01.0 02.   [11]   Y.  Lecun,  Y.  Bengio,  and  G.   Hinton.,  “Deep  learning,”   Nature vol.  521,  no.  7553.  Nature  Publishing  Group,   pp.  436 444, 2015 .   https://doi.org/10. 1038/nature14539 .   Evaluation Warning : The document was created with Spire.PDF for Python.