如今,随着互联网的日益普及,互联网已成为日常生活中必不可少的工具,面临着各种类型的攻击。因此,网络中的安全性成为一个严重的问题。
入侵检测系统(IDS)可能是解决此问题的有效方法。入侵检测(ID)的概念可以追溯到1980年,由Anderson[1]提出。入侵检测系统(IDS)是一种安全软件,可以监视,分析网络流量并在检测到恶意活动时自动向管理员发出警报。
已经使用了各种技术来开发IDS。一方面,已经使用了多种机器学习方法,例如人工神经网络(ANN),支持向量机(SVM)和朴素贝叶斯。另一方面,多Agent系统(MAS)是入侵检测领域中广泛研究的另一个概念。
由于大多数传统的机器学习方法不能有效地解决大规模入侵数据分类问题[29],因此基于深度学习的方法最近已成功地应用于构建的IDS。研究表明,深度学习完全优于传统方法[29]。
此外,大多数现有的IDS都具有包含中央分析器的整体架构。如果此分析仪发生故障,其他组件将受到影响。IDS体系结构的一项令人希望的功能是其实现分布式格式的能力,这可以使IDS更加强大。因此,针对入侵检测任务的多Agent系统(MAS)进行了一些研究。
为此,建议将上述方法结合起来利用深度学习和多Agent系统两者的优势。我们提出了一种基于自适应智能Agent的异常入侵检测方案。它是一个分布式IDS,将多Agent方法提供的功能与深度学习技术的性能集成在一起。因此,拟议的IDS中的Agent实现了三种算法:自动编码器(AE),多层感知器(MLP)和k近邻(K-NN)来识别网络上的入侵:自动编码器用作特征缩减工具,其后是MLP和K-NN分类器。KDDCUB99基准数据集用于测试建议的解决方案。
2概述
2.1深度学习
深度学习是机器学习的一个新领域,已应用于许多领域,例如语音和图像识别,自然语言处理,药物发现和推荐系统。在过去的几年中,深度学习已证明其在入侵检测领域和整个安全领域的效率。
深度学习基于人工神经网络,该人工神经网络是受人脑启发的计算模型。它由称为神经元(也称为感知器)的大量相连节点组成,每个神经元执行简单的数学运算(激活函数)。每个神经元的输出都由该操作以及该节点特有的一组参数(权重和偏差)决定。
深度神经网络是具有两层以上的神经网络:输入层,至少一个隐藏层和输出层(图1)。
2.1.1多层感知器
多层感知是深度神经网络(是前馈神经网络)的子集。多层感知器公式基于反向传播算法(“错误的向后传播”的缩写),该算法以错误传播方法为基础。它由两个阶段组成,前馈阶段和后馈阶段。第一步,数据在网络上传播以最终获得输出,并将其与实际值进行比较以获取误差,然后将其最小化,将误差反向传播到上一层,然后相应地调整权重。重复该过程,直到误差低于预定阈值为止。
本文中的MLP的目的是解决五类问题,即将输入模式分配给以神经网络输出表示的类别之一(四种攻击类型,即名称为DoS,Probe,U2R和R2L+normal)。
2.1.2自动编码器
自动编码器是前馈神经网络,与MLP非常相似,除了输出层必须具有与输入层相同数量的节点(图2)之外,因为自动编码器的目的是重建其自身的输入(而不是预测目标)给定输入X时的Y值)。通常,自动编码器用于降维。
降维尝试减少数据中的变量数量,并有助于对高维数据进行分类,可视化,通信和存储[7]。降维有两种类型:特征选择和特征提取。功能选择包括删除不必要的功能。但是,特征提取意味着将原始数据转换为适合建模的特征。
在这项工作中,自动编码器用于特征选择任务,并有效地将数据集的维数从120减少到仅10。
2.1.3过度拟合问题和解决方案
这是在神经网络训练期间将训练集上的分类误差驱动到非常小的值,但是当面对未知数据时,误差会增加的问题。这可以通过以下事实来解释:神经网络只是记住了训练示例,而没有学会将解决方案推广到新样本。
为了解决此问题,我们使用了一种称为“早期停止”的技术。该技术包括将数据集分为三个子集,即训练集,测试集和验证集。训练集用于训练神经网络,测试集用于测试神经网络,验证集用于监视训练阶段的错误。验证错误将与训练错误类似地减少。但是,当误差开始上升时,神经网络就会开始过度拟合数据。因此,训练过程停止,并且存储在验证集合上产生最小误差的权重。
2.1.4K近邻
K近邻(K-NN)是流行的机器学习算法之一。尽管简单,但K-NN是一种功能强大的算法,可用于分类任务和各种应用程序,例如入侵检测。它将给定数据集中的实例分为几类,以便可以预测新样本的分类。K-NN会记住要在预测阶段进一步使用的训练实例。因此,它没有明确学习模型[30]。该概念包括计算两个数据点之间的距离,以在K个最相似的数据点与给定的“新”数据点之间进行投票。
2.2多Agent系统
多Agent系统是由多个称为“主体”的交互式计算元素组成的系统[26]。Agent是具有两个重要功能的计算机系统(软件或机器人):自治和交互[26]。
2.2.1Agent的功能
根据[27,28],Agent具有以下特征:
自治性Agent可以自己决定需要做什么才能实现其目标。
反应性Agent感知并对其环境采取行动。
主动性Agent也许可以采取主动。
社交性Agent可以使用通信语言(ACL)与其他Agent进行交互。因此,Agent能够提供和请求服务,可以合作,协调,谈判等。
移动性Agent可以从一个系统迁移到另一个系统。
适应性Agent可以(如果需要)尝试适应新的或不断变化的环境或应对新的或不断变化的目标。
学习性Agent可以从环境中的过去事件中学习以预测未来。
2.2.2MAS的优势
根据[5],MAS有两个主要优点:
健壮性系统可以容忍一个或多个Agent失败的能力。
它的可伸缩性向MAS添加新Agent要比向整体系统添加新功能要容易。
2.3入侵检测系统
入侵检测(ID)的概念可以追溯到1980年,这是Anderson[1]提出的。IDS有三种类型,即基于主机的IDS,基于网络的IDS和分布式IDS。基于主机的入侵检测系统(HIDS)放置在特定的计算机或服务器(主机)上,并且仅监视该系统上的活动。但是,基于网络的入侵检测系统(NIDS)会分析网络流量并监视多个主机以识别入侵。一旦识别出攻击或检测到异常行为,便可以将警报发送给管理员。最后,分布式IDS(DIDS)由监视大型网络的多个入侵检测系统组成,并且它们彼此之间或与中央服务器进行通信。
IDS通常使用两种主要技术构建:基于签名的检测(或滥用检测)和异常检测。
基于签名的检测尝试定义一组规则(或签名),这些规则可用于确定给定的模式是攻击。因此,基于签名的系统能够在识别入侵时获得较高的准确性和最少的误报率[16]。但是,对于未知攻击,它会提供很高的误报率。结果,基于特征的入侵检测对于检测新的攻击不是很有效,即使已知攻击的微小变化都能欺骗它,而基于异常的检测则可以通过将实际行为与正常系统行为进行比较来搜索异常流量。与滥用检测方法不同,异常检测方法可以有效地检测未知攻击;因此,对于未知攻击,可以获得较低的误报率。
已经提出了许多基于深度学习方法的方法,并证明了其在入侵检测领域的成功。Yin等人[29]已经执行了使用递归神经网络进行入侵检测的深度学习方法,这是一种代表层之间以及节点之间的环路的人工神经网络。已经进行了两个实验来研究该模型在NSLKDD数据集上的二进制分类(正常,异常)和五类分类(正常,DoS,R2L,U2R和Probe)的性能。在二进制分类和多分类类别中,还对RNN-IDS与ANN,朴素贝叶斯,随机森林,多层感知器和支持向量机的性能进行了比较。使用RNN时,准确率比其他机器学习技术要好。
Kim也选择了RNN。但是,已通过Hessian-free优化对其进行了改进。
Javaid等。[8]提出了一种自学式的基于学习的IDS,STL是最受欢迎的DL算法之一,它由两个阶段组成。第一步,模型从称为无监督特征学习(UFL)的大量未标记数据中学习特征表示。然后,将该学习到的表示应用于标签数据以进行分类。在他们提出的模型中,已实现的STL由用于UFL的稀疏自动编码器和用于分类的softmax回归(SMR)组成。他们在NSLKDD数据集上验证了模型的性能。他们的方法基于使用单独的数据集进行培训和测试。进行了稀疏自动编码器(建议的STL)之前的SMR分类器与作为单个分类器的SMR之间的比较。对于二进制分类,SLT的准确率高于SMR。但是,它的精度较低。对于多分类,STL的准确性要高于SMR。
Chaurasia和Jain[2]提出了一种集成入侵检测系统,该系统结合了两个分类器:k近邻和人工神经网络。他们使用套袋技术。他们比较了使用套袋技术和使用ANN或K-NN作为单个分类器的结果:套袋可提供更好的准确性和更低的假阳性率。
Sammany和Sharawi[21]使用带有两个隐藏层和三个类输出神经元的MLP开发了IDS。但是,此IDS只能区分正常流量中的两种类型的攻击(海王星,撒旦)。
Siddiqui和Farooqui[23]提出了一种基于支持向量机和神经网络相结合的IDS。
Ugtakhbayar等。[25]提出了一种混合系统,结合了基于异常和基于签名的技术的优点。基于签名的检测包括使用SnortIDS实时检测已知入侵,而基于异常的检测则包括应用朴素贝叶斯算法作为分类器。在KDD99和NUM15数据集上进行了实验。作者还利用特征选择过程使用信息增益技术将数据集的特征数量从41个减少到25个。提出的模型评估结果表明,准确率达到97.5%。
Ren等人。[18]使用K-means算法在预测前准备KDD99数据集。他们使用神经网络进行检测。在KDD99数据集上的实验结果表明,该模型的准确率接近90%。
Sarnovsky和Paralic[22]提出了一种基于机器学习和本体形式的基于知识的方法相结合的分层检测系统。在KDD99数据集上进行评估后,该模型以97.5%的准确率完成了检测任务。
Ding等人[3]使用另一种深度学习算法,即卷积神经网络(CNN),来检测对网络的攻击。在KDD99数据集上进行的实验显示出较高的准确率:99.84%。
Kumar等。[10]使用均值漂移聚类算法来检测网络攻击。均值漂移聚类是一种无监督的机器学习算法,其基础是通过计算所有数据点的均值直至达到收敛,在数据集中找到每个组的中心。在KDD99数据集上进行的实验显示81.2%的准确性。
Lui等人[11]开发了一种自适应NIDS,它使用数据挖掘和五种基于聚类,关联规则和顺序规则方法的Agent与自适应学习。
Riyad等[17]提出了一种使用多主体系统方法的分布式IDS。在这项工作中使用的MAS由四种类型的Agent组成:(1)传递信息的网络Agent;协调Agent。(2)嗅探器收集数据;(3)过滤Agent,其作用是预处理嗅探器收集的数据;(4)分析和检测Agent,其使用多个分类器分析数据并检测攻击是否存在。实验结果表明准确率很高:平均为95.8%。
4建议的解决方案
选择多主体方法进行深度学习的原因有很多:首先,因为入侵检测通常等效于二进制或多分类问题,即识别网络流量行为是否正常[29]。因此,深度学习非常适合攻击检测问题,尤其是具有泛化功能。与通常基于签名的传统IDS不同,神经网络可能是检测已知和未知攻击的良好解决方案。
此外,人工神经网络(ANN)是入侵检测系统中最常用的方法,它超越了传统方法。Moradi和Zulkernine[12]和Yin等。[29]因为它是多类分类中的强大工具[21]。
在使用多Agent系统的情况下,深度学习可以使Agent更加智能和适应性强:它可以显着提高检测率和检测准确性,并且可以让他们学习新的攻击方式。
因此,我们的IDS由许多Agent组成,这些Agent植入了三种算法,即自动编码器(AE),多层感知器(MLP)和k近邻(K-NN)。自动编码器执行特征约简任务,而MLP和K-NN执行分类任务。KDD99基准数据集用于评估建议的模型。
5DLMAFID方案
深度学习方法主要用于入侵检测系统;在本文中,我们使用了三种算法:自动编码器,多层感知器和k最近邻。组合两个或多个算法是许多先前工作中使用的技术。这项工作的贡献在于,除了实现多个DL算法之外,我们还使用了多Agent方法来构建IDS。
5.1基于深度学习的IDS方案
我们的模型DL-MAFID由三个主要阶段组成:预处理阶段,特征缩减阶段和分类阶段。
5.1.1数据预处理
KDD99数据集中有三类要素。第一类型是符号特征(例如,协议类型,服务和标志)。第二种类型是二进制特征(例如land,login_in和root_shell)和数字特征(表1)。因此,应在使用前准备数据集。
KDDCUP99数据集预处理包含四个过程:
1.将符号特征转换为数值:数字化是必需的,因为馈送到神经网络输入的特征向量必须是数值的。
2.删除缺少数据的属性。
3.数据缩放:数据的变化范围很大,因此必须将其标准化。本文使用的归一化范围是-1到1。z得分用于归一化任务:
其中:
μ是数据的平均值。
σ是数据的标准偏差。
4.class属性为二进制格式(正常或特定类型的攻击)。但是,在这项工作中,执行了五分类模型。因此,我们将攻击名称分配给以下五个类别之一:DoS(拒绝服务)0,Probe1,2是R2L(远程到本地),3是U2R(用户到root)和4是正常。
执行上述预处理步骤后,特征值总数变为120。
5.1.2自动编码器降低特征数
在这项工作中,自动编码器将数据集的维数有效地从120个减少到只有10个。它由一个输入层和三个隐藏层组成,其中一个输入层具有120个表示预处理后的特征向量的节点,三个隐藏层分别具有80、40和20个节点,组成编码部分的还有瓶颈层,它是中间层,其输出表示将在分类阶段使用的新的缩减数据。瓶颈层由代表简化数据集的十个节点组成。解码部分还由三个隐藏层组成,这三个隐藏层分别与具有20、40和80个节点的编码部分对称。最后,输出层由代表重建数据的120个节点组成。图3描述了我们的自动编码器的结构。
5.1.3入侵分类
1.MLP分类
2.K-NN分类
由于我们构建分布式IDS,使用一个分类器是不够的,因此我们需要多个分类器,每个分类器位于网络中的不同网段中。如果一个分类器失败,则其他分类器可以提供更好的结果。
为了提高IDS的有效性和鲁棒性,我们不仅限于一种解决方案。因此,我们使用了另一个基于k最近邻算法的机器学习分类器。
经过多次实验和参数K的微调,我们得出结论,对于我们的情况,给出最高准确率的最佳值为K=5。
5.2多AgentIDS方案
诸如[4、11、17、19]中已经提出了在入侵检测领域中使用MAS方法的一些工作。MAS的使用可以利用Agent的某些特性,例如反应性,主动性和社交性,并且由于入侵检测任务在系统中的多个Agent之间共享,因此使入侵检测的任务更加强大,更快和更容易。
但是,通常以前的工作使用基于签名的技术,系统无法利用该技术检测未知或已知攻击的变体[6]。
在这项工作中,我们使用深度学习算法,这些算法以检测未知攻击的有效性而著称。在使用基于深度学习的多Agent系统的情况下,我们使Agent更加智能,因为它们使用智能DL算法来检测已知攻击,并且使自适应性更高,因为深度学习允许他们以这种方式学习和适应自己可以检测到未知攻击。提议的基于深度学习的IDS多智能体由四种类型的Agent组成:
预处理器Agent
降维器Agent
分类器Agent
决策者Agent
5.2.1预处理器Agent(PA)
预处理器Agent的任务是对数据进行预处理,如第5.1.1节中所述和图6所示。
该Agent可以扩展,因此可以适应在线版本,然后,它必须收集有关网络流量的数据端信息。在准备好数据之后,PA将其以神经网络可接受的格式发送给还原器Agent。
5.2.2降维器Agent(RA)
缩减器Agent执行自动编码器算法以缩减数据的维数。我们的自动编码器的结构在5.1.2节和图3中表示。然后,将简化后的数据发送到分类器Agent以执行分类任务。
5.2.3分类器Agent(CA)
位于网络同一节点上的分类器Agent的数量可以大于1(从1到n)。每个人都建立自己的模型;一旦建立了模型,就可以将其用于下一步预测。最后,每个Agent将其结果发送给决策者Agent。在实验中,建立了两个分类器Agent:K-NNAgent和MLPAgent。由于我们使用KDD99数据基准数据集对离线流量进行了实验,因此我们假设K-NN和MLPAgent都位于网络中的同一位置,并且表示未知数据的测试集是真实网络交通。K-NN运行解释的k最近邻居算法,而MLPAgent运行多层感知器算法。5.1.3节将详细介绍K-NN和MLP算法。他们做出预测,并将结果与正确率的值一起发送给决策者Agent。
5.2.4决策者Agent(DA)
DA为了做出决策会定期询问分类器。一旦收到它们,DA将分析情况:如果只有一个CA发送,则它对给定位置的预测;DA将这个预测作为最终决定。如果在同一位置存在多个CA,则DA将比较结果:如果它们相同,则DA将其作为最终决策;如果存在差异,则DA将具有最高准确率的预测作为最终决定。
请注意,在网络的每个部分中,我们都必须找到一个PA,一个RA和至少一个CA,它们会定期将其报告(预测结果)发送给DA,以得出有关系统状态的结论(最终决定)(图5)。
提议的IDS的总体工作流程如图6所示,并描述如下:
步骤1:PA接收数据集(41个要素)。如果发生在线流量,则必须收集数据。
步骤2:PA将符号特征转换为数值。
步骤3:PA删除缺少值的属性。
步骤4:PA缩放数据。
步骤5:PA将预处理后的数据(120个特征)发送给reduceragent(RA)。
步骤6:RA使用自动编码器算法将数据从120个特征减少到10个特征。
步骤7:RA将简化后的数据发送到分类器Agent(CA)。
步骤8:如果是第一次,MLP和K-NN分类器进入训练阶段以建立自己的模型。否则,两者都使用其构建的模型对新模式(测试集)进行预测。
步骤9:分类器Agent将准确率的预测结果发送给决策者Agent(DA)。
步骤10:DA分析情况:如果从给定位置的一个Agent接收到预测,则:最终决策=该预测。否则,如果Agent同意,则:最终决策=预测。否则:最终决策=具有最高准确率的预测。
6实验结果
6.1KDDCUP99数据集
为了评估我们提出的方法的性能,我们在KDDCUP99异常入侵检测数据集上进行了测试。创建于1999年的KDD99数据集广泛用于学术研究,尤其是机器学习研究和入侵检测系统。KDD99是公开可用的,被认为是用于测试入侵检测算法的基准数据集。它具有标记的攻击样本,这些样本是通过被动监视获得的。
数据集的每条记录都被标记为正常或特定类型的攻击(表2)。攻击可分为四个已知类别之一,即拒绝服务(DoS),用户到root(U2R),远程到本地(R2L)和Probe。
–拒绝服务(DoS):这种攻击使合法用户无法获得他们期望的服务或资源。DoS攻击通过向目标充斥流量和请求来实现此目的,以使资源过于繁忙,从而使系统变得超载,例如back,land,Neptune。
–远程用户攻击(R2L):在这种攻击中,入侵者通过Internet将数据包发送到计算机,从而暴露了计算机的漏洞,从而可以利用用户的特权。
–探测(Probe):黑客扫描计算机以确定其访问系统的弱点。
表3列出了不同类型的KDD99数据集。在本文中,使用了10%的校正KDD。它有494021个记录,每个记录中有41个描述数据不同特征的属性,第42个属性包含为每个记录分配攻击类型或正常记录的标签。
6.2实验与分析
CPU:英特尔i3,2.20GHZ
GPU:未使用GPU加速
RAM:4GB
操作系统:Windows10
为了评估模型的性能,有许多性能指标,例如准确率,检测率,假阳性率(FPR)和真阳性率(TPR)。
在提出的模型中,我们采用了准确率,精度,TPR,TNR,FPR,FNR和检测率。另外,我们回到混淆矩阵以获取指标。混淆矩阵由真阳性(TP),真阴性(TN),假阳性(FP)和假阴性(FN)组成。
真阳性合法攻击,IDS发出警报
真阴性没有攻击,IDS不发出警报
假阳性没有攻击,IDS发出警报
假阴性合法攻击,IDS不发出警报
所有指标均使用以下公式计算:
结果表明,提出的MLP分类器和K-NN分类器都在执行;但是,K-NNAgent要好一些,它以较低的FPR和FNR值以及较高的TPR和TNR值来实现其任务。例如,MLPAgent的准确性值为99.73%,而K-NNAgent的准确性值为99.95%。
图7和8显示了两个混淆矩阵。第一个矩阵显示仅使用由MLPAgent执行的MLP算法的模型结果(没有reduceAgent的贡献);但是,第二个显示了同时使用自动编码器和MLP算法的模型结果。
降维器Agent和MLPAgent分类器都应用了验证集的早期停止标准,以停止训练过程并防止模型过度拟合(第5.1.3节)。
表4显示了我们结合了DL和MAS的智能分布式IDS在准确率方面也胜过其他方法,表5显示了我们的系统以非常小的虚警率实现了检测任务。这证明了我们解决方案的效率。
7结论
DL-MAFID模型旨在基于深度学习的多Agent系统解决多类入侵检测问题,不仅可以区分攻击记录与正常记录,还可以识别攻击类型。我们使用了三种算法:用于减少维度的自动编码器,在此任务中提供了很好的结果,有效地将KDDCUP99数据集的维度减少到其原始大小的近91%,然后是两个分类器,即K-NN和MLP分类器,用于将简化后的数据分为五类,即普通攻击或网络攻击的主要类型之一(DoS,R2L,Probe和U2R)。同样,我们受益于MAS方法所需的功能,这些功能使我们的IDS比使用整体系统更强大,更高效。实验结果表明,该系统能够对记录进行分类,准确率达到99.95%。
将来的工作,我们计划:
在实际的网络流量(即在线IDS)中应用此解决方案。
通过添加更多的分类器Agent来提高入侵检测的准确性,从而从其他机器学习算法中受益。
利用MAS的更多优势,例如移动性和克隆性。
扩展我们的IDS,使其可以与云计算,雾计算和物联网一起使用,以达到安全目的。
遵守道德标准
利益冲突通讯作者代表所有作者,表示没有利益冲突。
参考文献
1.AndersonJP(1980)Computersecuritythreatmonitoringandsurveillance.Technicalreport,JamesP.AndersonCompany,FortWashington
2.ChaurasiaS,JainA(2014)EnsembleneuralnetworkandK-NNclassifiersforintrusiondetection.IntJComputSciInfTechnol5:2481–2485
3.DingN,LiuY,FanY,JieD(2020)Networkattackdetectionmethodbasedonconvolutionalneuralnetwork,chapter,vol68.Springer,Berlin,pp610–620
4.ErlankAO,BridgesCP(2017)Ahybridreal-timeagentplat-formforfault-tolerant,embeddedapplications.AutonAgentsMulti-AgentSyst32(2):252–274
5.GlavicM(2006)Agentsandmulti-agentsystems:ashortintro-ductionforpowerengineers.Technicalreport,UniversityofLiege,4000Liege,Belgium
6.Herreroá,CorchadoE(2009)Multiagentsystemsfornetworkintrusiondetection:areview.In:Herreroá,GastaldoP,ZuninoR,CorchadoE(eds)Advancesinintelligentandsoftcomput-ing,vol63.Springer,Berlin,pp143–154
7.HintonGE,SalakhutdinovRR(2006)Reducingthedimension-alityofdatawithneuralnetworks.Science313:7
8.JavaidA,NiyazQ,SunW,AlamM(2015)Adeeplearningapproachfornetworkintrusiondetectionsystem.In:BICT’15proceedingsofthe9thEAIinternationalconferenceonbio-inspiredinformationandcommunicationstechnologies(for-merlyBIONETICS),pp21–26,NewYorkCity,UnitedStates
9.KimJ,KimH(2015)Applyingrecurrentneuralnetworktointrusiondetectionwithhessianfreeoptimization.In:16thinternationalworkshop,WISA2015,pp357–369
10.KumarA,GlissonW,ChoH(2020)Networkattackdetectionusinganunsupervisedmachinelearningalgorithm
11.LuiC-L,FuT-C,CheungT-Y(2005)Agent-basednetworkintru-siondetectionsystemusingdataminingapproaches.In:Thirdinternationalconferenceoninformationtechnologyandapplications(ICITA’05),Sydney,NSW,Australia.IEEE
12.MoradiM,ZulkernineM(2004)Aneuralnetworkbasedsystemforintrusiondetectionandclassificationofattacks.In:Pro-ceedingsof2004IEEEinternationalconferenceonadvancesinintelligentsystems
13.MukhinV,KornagaY,SteshynV,MostovoyY(2016)Adaptivesecuritysystembasedonintelligentagentsfordistributedcom-putersystems.In:Internationalconferenceofdevelopmentandapplicationsystems(DAS),pp320–325
14.NelwamondoFV,GoldingD,MarwalaT(2009)Adynamicpro-grammingapproachtomissingdataestimationusingneuralnetworks.InfSci237:49–58
15.PandaM,PatraMR(2007)NetworkintrusiondetectionusingNaveBayes.IntJComputSciNetwSecur7(12):258–262
16.PatelHJ,PatelR(2014)Asurveyonintrusiondetectionsystemincloud)basedondatamining.IntJEngTechnRes2:5
17.RiyadAM,IrfanAhmedMS,RaheemaaKhanRL(2019)Anadap-tivedistributedintrusiondetectionsystemarchitectureusingmultiagents.IntJElectrComputEng9(6):4951–4960
18.RenB,HuM,YanH,YuP(2019)Classificationandpredictionofnetworkabnormaldatabasedonmachinelearning.In:Interna-tionalconferenceonrobotsandintelligentsystem(ICRIS).IEEE
19.SadhasivanDK,BalasubramanianK(2017)Afusionofmultia-gentfunctionalitiesforeffectiveintrusiondetectionsystem.SecurCommunNetw
20.SalamaMA,EidHF,RamadanRA,DarwishA,HassanienAE(2011)Hybridintelligentintrusiondetectionscheme.Softcomputinginindustrialapplication,vol96.Springer,Berlin,pp293–303
21.SammanyM,SharawiISaroitM,El-BeltagyM(2011)Artificialneuralnetworksarchitectureforintrusiondetectionsystemsandclassificationofattacks.Technicalreport,FacultyofScience,CairoUniversity,Egypt
22.SarnovskyM,ParalicJ(2020)Hierarchicalintrusiondetectionusingmachinelearningandknowledgemodel.Symmetry12:203
23.SiddiquiAK,FarooquiT(2017)Improvedensembletechniquebasedonsupportvectormachineandneuralnetworkforintru-siondetectionsystem.IntJOnlineSci3:12
25.UgtakhbayarN,UsukhbayarB,BaigaltugsS(2020)Ahybridmodelforanomaly-basedIntrusiondetectionsystem,chap-ter44.Springer,Berlin,pp419–431
26.WooldridgeM(2009)Anintroductiontomultiagentsystems,chapterpreface.Willey,Hoboken
27.WooldridgeM,JenningsNR(1995)Ecai-94proceedingsoftheworkshoponagenttheories,architectures,andlanguagesonintelligentagents.In:Agenttheories,architecturesandlan-guages:asurvey,Amsterdam,TheNetherlands.Springer,Berlin,pp1–39
28.WooldridgeM,JenningsNR(1995)Intelligentagents:theories,architecturesandlanguages,vol890.ACMDigitalLibrary,NewYork
29.YinC,ZhuY,FeiJ,HeX(2017)Adeeplearningapproachforintrusiondetectionusingrecurrentneuralnetworks.IEEEAccess5:7