Intrusion detection system for cyberattacks in the Internet of Vehicles environment论文阅读

针对车联网环境下网络攻击的入侵检测系统学习

期刊：Ad Hoc Networks，影响因子4.4

摘要

提出了一种新的入侵检测框架，专门针对位于车联网环境中的车辆上的网络攻击，如拒绝服务、分布式拒绝服务、分布式反射拒绝服务、暴力破解、僵尸网络和嗅探等。具体步骤：(i)使用Z-score归一化进行数据预处理，该归一化保留了所提出方法的数据分布并处理异常值；（ii）利用回归模型进行特征选择，简化模型复杂度，减少执行时间；（iii）模型选择和训练-随机森林，极端梯度增强，分类增强，轻梯度增强机-使用超参数优化来控制训练阶段的行为并防止过拟合。

主要贡献：

1. 提出了一种新的基于机器学习的优化算法，该算法减少了检测各种恶意车联网攻击的执行时间，并且准确率很高。
2. 建议使用回归模型进行特征选择，以评估这些特征的重要性，并去除非信息或冗余的预测因子。
3. 讨论了不同过采样技术的使用，并为每个入侵数据集确定了最合适的过采样技术。
4. 探讨了不同类型的超参数对每个数据集选择最佳模型参数的影响，并讨论了集成学习技术。
5. 首次展示了过度拟合的高精度模型如何因未正确泛化而导致检测车联网网络攻击的问题，并提出了一种在检测车联网网络攻击时减少过拟合的方法。
6. 执行时间和学习曲线以表明我们的模型可以很好地执行和推广不同的车联网网络攻击和新数据集
7. 与近期的文献进行了比较，并展示了结合CIC-IDS-2017、CSE-CICIDS-2018 和 CIC-DDoS-2019 这三个入侵数据集提出的框架的有效性。我们表明，我们的模型非常适合，在大多数情况下都优于文献中介绍的方法。

IDS框架

1. 收集外部网络流量
2. 采用数据预处理和特征选择的方法
3. 采用不同的技术减少数据不平衡带来的问题，如在CIC-DDoS-2019数据集和合并入侵数据集上采用SMOTE，在CIC-IDS-2017和CSE-CIC-IDS-2018数据集上采用基于编辑近邻算法（SMOTE-ENN）的SMOTE。
4. 利用树结构Parzen Estimator算法进行超参数优化，选择最佳模型参数
5. 在CIC-IDS-2017、CSE-CIC-IDS-2018和CIC-DDoS-2019数据集上分别使用RF、XGBoost、CatBoost和LightGBM四种不同的机器学习算法并进行合并。
6. 如果在调整超参数后模型仍然过拟合，则实现集成学习技术作为潜在的解决方案。

将三个数据集合并成一个综合的数据集，然后进行特征提取，数据平衡，训练，超参数优化，测试。

该文章将IDS分为了3个stage，比较了这三个stage各自的性能。
Stage1：直接使用数据进行训练测试
Stage2：进行特征选择和数据平衡后进行训练测试
Stage3：特征选择，数据平衡，超参数优化后进行训练测试
评价指标有：分类报告，学习曲线（train loss和val loss），对三个数据集的每种攻击的precision、recall和F1 score