基于ML或DL的iot ddos detection 文献整理

1
Gupta, B. B., et al. “Smart defense against distributed Denial of service attack in IoT networks using supervised learning classifiers.” Computers & Electrical Engineering 98 (2022): 107726.
模型：RF（误报最低）SVM LR KNN DT NB

数据集：自己生成
通过模拟包含本地路由器的物联网网络，生成包含物联网网络相关功能的数据集
正常流量的消费者物联网设备，以及攻击流量的受损物联网设备。其中包含总共 241,289 个数据包，其中 31,233 个数据包是良性数据包，210,056 个数据包是恶意数据包
特征：

https://www.sciencedirect.com/science/article/pii/S0045790622000404

2
Aslam, Muhammad, et al. “Adaptive Machine Learning Based Distributed Denial-of-Services Attacks Detection and Mitigation System for SDN-Enabled IoT.” Sensors 22.7 (2022): 2697.
模型：AMLSDM（本文提出的基于自适应机器学习的分类模型） LEDEM CONA
结合EV RF KNN SVM LR NB AMLSDM-EV最优

数据集：自己生成
在我们的主机 Linux 机器上运行 sFlow-RT 以捕获由 Mininet SDN 网络拓扑生成的网络流量。我们启动前面描述的 DDoS 威胁模型，并通过 sFlow-RT 监控性能变化。然后我们启动基于机器学习的检测模型 collect.sh，它将网络流量分类为正常攻击或 DDoS 攻击
sklearn.model-selection 将数据集拆分为训练集和测试集。

特征
源 IP 速率 (RSIP)：对于给定的目标 IP 地址，此函数显示每单位 tim 的源 IP 数量
流数据包标准差 (SDFP)：这是T周期的数据包数量标准差
流字节标准偏差 (SDFB)：这是T周期标准偏差中的字节数
交换机上的流条目速率 (RFES)：这是每单位时间到交换机的流条目数
The Ratio of Pair-Flow Entries on Switch (RPFES)：T周期内的总流数除以交换机中交互划分的流条目数
https://www.mdpi.com/1424-8220/22/7/2697

3
Wang, Jiushuang, Ying Liu, and Huifen Feng. “IFACNN: efficient DDoS attack detection based on improved firefly algorithm to optimize convolutional neural networks.” Mathematical Biosciences and Engineering 19.2 (2022): 1280-1303.
模型：不同结构的IFACNN

数据集：自己生成

特征

https://www.aimspress.com/aimspress-data/mbe/2022/2/PDF/mbe-19-02-059.pdf

4
Mihoub, Alaeddine, et al. “Denial of service attack detection and mitigation for internet of things using looking-back-enabled machine learning techniques.” Computers & Electrical Engineering 98 (2022): 107716.
模型：支持LB机制的DT RF KNN MLP RNN LSTM

数据集 Bot-loT
特征

https://www.sciencedirect.com/science/article/pii/S0045790622000337

5
Kareem, Saif S., et al. “An Effective Feature Selection Model Using Hybrid Metaheuristic Algorithms for IoT Intrusion Detection.” Sensors 22.4 (2022): 1396.
模型 GTO-BSO（基于鸟群算法的Gorilla Troops Optimizer）GTO BSA HGS MVO HHO PSO

数据集：NSL-KDD、CICIDS-2017、UNSW-NB15 和 BoT-IoT
特征 本文侧重算法 具体特征见不同数据集

https://www.mdpi.com/1424-8220/22/4/1396/htm

6
Almiani, Muder, et al. “DDoS detection in 5G-enabled IoT networks using deep Kalman backpropagation neural network.” International Journal of Machine Learning and Cybernetics 12.11 (2021): 3337-3349.
模型：深度卡尔曼反向传播神经网络

数据集：CICDDoS2019
DDoS 标记实例占数据集的 56.7%，而 43.2% 代表良性标记实例的百分比。在我们的模型中，我们将 DDoS 标签编码为 1，而良性标签编码为 0。
特征：流 ID”、“源 IP”、“目标 IP”和“时间戳”字段导致每个连接记录有 80 个代表属性属于 CICDDoS2019 数据集
https://link.springer.com/article/10.1007/s13042-021-01323-7

7
Shareena, Jishma, Aiswarya Ramdas, and Haripriya AP. “Intrusion detection system for iot botnet attacks using deep learning.” SN Computer Science 2.3 (2021): 1-8.
模型DNN
数据集 BoT-IoT
修剪后的攻击数据使正常和恶意流量数据条目的比例为1：7。
特征
数据包大小、源和目标 IP 地址、端口、协议
https://link.springer.com/article/10.1007/s42979-021-00516-9

8
Bhayo, Jalal, et al. “A time-efficient approach towards DDoS attack detection in IoT network using SDN.” IEEE Internet of Things Journal (2021). 文献综述
模型SDN（软件定义网络）
分为1）控制器模块；2）SINK模块；3）物联网模块
数据集 自己生成
在 COOJA 模拟器上制作了 SD-IoT 网络模型
特征

https://ieeexplore.ieee.org/abstract/document/9490298

9
Gaur, Vimal, and Rajneesh Kumar. “Analysis of Machine Learning Classifiers for Early Detection of DDoS Attacks on IoT Devices.” Arabian Journal for Science and Engineering (2021): 1-22.
模型：XGBoost RF、DT、KNN
数据集 cicddos2019
特征

https://link.springer.com/article/10.1007/s13369-021-05947-3

10
Gopi, R., et al. “Enhanced method of ANN based model for detection of DDoS attacks on multimedia internet of things.” Multimedia Tools and Applications (2021): 1-19.
模型：ANN PSO

数据集：CICIDS 2017
特征：具体见CICIDS 2017

https://link.springer.com/article/10.1007/s11042-021-10640-6

11
R. Doshi, N. Apthorpe and N. Feamster, “Machine Learning DDoS Detection for Consumer Internet of Things Devices,” 2018 IEEE Security and Privacy Workshops (SPW), 2018, pp. 29-35, doi: 10.1109/SPW.2018.00013.
模型 KN LSVM DT RF NN

数据集 自己生成
模拟消费者物联网设备在ddos攻击对抗的本地网络
491,855 个数据包的数据集，其中包括 459,565 个恶意数据包和 32,290 个良性数据包。
85%训练集
序列特征
the source IP address, source port, destination IP address, destination port, packet size, and timestamp
统计特征

https://ieeexplore.ieee.org/abstract/document/8424629

12
O. Rahman, M. A. G. Quraishi and C. -H. Lung, “DDoS Attacks Detection and Mitigation in SDN Using Machine Learning,” 2019 IEEE World Congress on Services (SERVICES), 2019, pp. 184-189, doi: 10.1109/SERVICES.2019.00051.
模型：SDN+分类器J48、knn、svm、rf J48最优

数据集：自己生成
由于正常流量的随机性和 DDoS 流量的快速数据包到达率，训练数据集大约有 566,611 个 DDoS 数据包，只有 85,853 个正常流量。为了避免过度拟合模型的可能性，使用 Class Balancer Weka 过滤器重新加权数据中的实例，以便每个类具有相同的总权重。因此，我们为训练数据集平衡了 326,232 个正常和异常类实例，为测试数据集平衡了 80,915 个正常和 DDoS 类实例。
特征
源IP，源端口，时间戳、数据包大小 等24个数据特征

https://ieeexplore.ieee.org/abstract/document/8817237/figures#figures

13
M. H. Aysa, A. A. Ibrahim and A. H. Mohammed, “IoT Ddos Attack Detection Using Machine Learning,” 2020 4th International Symposium on Multidisciplinary Studies and Innovative Technologies (ISMSIT), 2020, pp. 1-7, doi: 10.1109/ISMSIT50672.2020.9254703.
模型：LSVM、DT、NN、RF
数据集：自己生成
使用许多服务器来扫描漏洞并加载攻击。这些服务器是命令与控制服务器（C&C 服务器）和扫描服务器。我们只分析了两种最常见的物联网僵尸网络攻击[15]。主要类型是 BASHLITE，这是一种恶意软件攻击，通过开放 telnet 发送虚拟信息来污染 Linux 框架。下一种是 Mirai，它会削弱清扫人员以发现和区分物联网小工具中可以通过其 IP 或 Mac 地址攻击的弱点，然后在这些小工具上引入恶意软件，将它们限制在组织之外。
特征
https://ieeexplore.ieee.org/abstract/document/9254703

14
R. Doriguzzi-Corin, S. Millar, S. Scott-Hayward, J. Martínez-del-Rincón and D. Siracusa, “Lucid: A Practical, Lightweight Deep Learning Solution for DDoS Attack Detection,” in IEEE Transactions on Network and Service Management, vol. 17, no. 2, pp. 876-889, June 2020, doi: 10.1109/TNSM.2020.2971776.
模型：LUCID（本文提出的新算法，基于CNN）LDCNN-LSTM 1D-CNN+LSTM

数据集：UNB201X (ISCX2012 CIC2017 CSECIC2018)
特征
11个特征及基于ReLU平均列特征激活和的 11 个特征的排名

https://ieeexplore.ieee.org/document/8984222