توليف نموذج لتعلم الآلة للكشف عن الهجمات الحاسوبية بناءً على مجموعة بيانات CICIDS2017

يتناول البحث بناء وتطبيق نموذج كشف الهجمات الحاسوبية المستند إلى أساليب التعلم الآلي. وتم اختيار أحد أكثر مجموعات البيانات العامة صلةً – CICIDS2017 – من بين المجموعات المتاحة. وتم تطوير إجراءات ما قبل المعالجة وعينة البيانات بشكل مفصل لبيانات هذا المجموعة. ولتقليل زمن الحساب، تم الاحتفاظ فقط بفئة واحدة من الهجمات الحاسوبية (الاختراق القسري، XSS، حقن SQL) في مجموعة التدريب. وتم وصف عملية بناء فضاء الميزات بشكل تسلسلي، مما سمح بتقليل أبعاده بشكل كبير – من 85 إلى 10 ميزات أساسية فقط. وتم إجراء تقييم جودة عشرة نماذج شائعة في التعلم الآلي على البيانات المُعدّة مسبقًا. وتم التبرير لاختيار نموذج "الغابة العشوائية" (Random Forest) بين النماذج التي أظهرت أفضل النتائج (الجيران الأقرب، شجرة القرار، الغابة العشوائية، AdaBoost، الانحدار اللوجستي)، بالنظر إلى أقل وقت تنفيذ. وتم إجراء اختيار شبه مثالي للبارامترات الفائقة، مما سمح بتحسين جودة النموذج مقارنةً بالنتائج المنشورة سابقًا. وتم اختبار النموذج المُنشأ للكشف عن الهجمات على حركة شبكات حقيقية. وقد أظهر النموذج صحته فقط عند تدريبه على بيانات تم جمعها ضمن شبكة محددة، نظرًا لاعتماد الميزات المهمة على البنية الفيزيائية للشبكة وإعدادات المعدات المستخدمة. وخلص البحث إلى إمكانية استخدام أساليب التعلم الآلي للكشف عن الهجمات الحاسوبية، مع مراعاة هذه القيود.