Intrusion detection system for software defined networking based on deep learning approaches / by Mahmoud Sami Ataa ; Supervised Prof. Reda A. El-khoribi, Dr. Eman E. Sanad.

By:

Mahmoud Sami Ataa [preparation.]

Contributor(s):

Material type:

TextLanguage: English Summary language: English, Arabic Producer: 2025Description: 103 Leaves : illustrations ; 30 cm. + CDContent type:

text

Media type:

Unmediated

Carrier type:

volume

Other title:

نظام كشف التسلل إلى الشبكات المعرفة بالبرمجيات على نهج التعلم العميق [Added title page title]

Subject(s):

DDC classification:

006.31

Available additional physical forms:

Issues also as CD.

Dissertation note: Thesis (M.Sc)-Cairo University, 2025. Summary: Ensuring robust network security is crucial in the context of Software- Defined Networking (SDN), which has become a multi -billion-dollar industry and is widely deployed in modern data centers. SDN provides network programmability, centralized control, and a global network view, offering significant advantages over traditional networks. However, these benefits come with new vulnerabilities and attack vectors, making SDN security a critical research area. The emergence of Machine Learning (ML) and, more specifically, Deep Learning (DL) has led to innovative approaches to securing SDN environments. This research focuses on developing an advanced Deep Learning -based Intrusion Detection System (IDS) to address SDN -specific attack vectors. We designed and evaluated two IDS models, a hybrid CNN-LSTM architecture and a Transformer encoder-only architecture. The IDS targets the SDN controller, a crucial component of the network that, if compromised, could lead to severe security breaches. The InSDN dataset was used for training and testing, as it accurately captures real -world SDN traffic. For evaluation, we employed accuracy, precision, recall, and F1-score as key metrics. Experimental results demonstrated that the Transformer model with 48 features achieved the highest accuracy of 99.02%, while the CNN -LSTM model closely followed with 99.01%. To optimize the IDS for real-world deployment, we reduced the feature set to 6 and 4 features, assessing the impact on performance. Additionally, we addressed the poor representation of certain attack types by merging four underrepresented attacks into a single class, significantly improving classification accuracy. Furthermore, we explored binary classification, where all attack types were combined into a single attack class, resulting in higher accuracy for both models. Notably, the CNN-LSTM model achieved the best results with 6 features, reaching an accuracy of 99. 19% and a 99.49% F1-score, surpassing state-of-the-art results. Beyond model evaluation, we assessed the IDS’s impact on SDN network performance by analyzing key metrics such as latency, throughput, CPU, and memory usage. The findings indicate that while the CNN -LSTM- based IDS introduced a slight increase in latency of 0.016 ms, a marginal decrease in throughput of approximately 100 kBps, and minimal resource consumption, 5% CPU and 1% memory increase, we also developed a Transformer-based IDS that exhibited a higher computational impact. This second IDS resulted in a 0.004 ms increase in latency, a 31 kBps decrease in throughput, a 25% increase in CPU usage, and a 3% increase in memory usage. These results highlight the tr ade-off between model complexity and network performance. While both IDS solutions effectively detect intrusions, the CNN-LSTM model offers a more lightweight implementation compared to the Transformer-based IDS, which provides more sensitive detection capabilities with higher resource consumption. Summary: تُعَدّ أمان الشبكات أمرًا بالغ الأهمية في الشبكات المعرفة بالبرمجيات (SDN)، وهي صناعة سريعة النمو تُقدَّر بمليارات الدولارات وتُستخدم على نطاق واسع في الشبكات الحديثة ومراكز البيانات. يوفر التحكم المركزي والرؤية الشاملة للشبكة في SDN مزايا واضحة مقارنة بالشبكات التقليدية، لكنها تُدخل أيضًا نقاط ضعف جديدة. لمواجهة هذه التحديات، لجأ الباحثون إلى تقنيات التعلم الآلي، وبشكل خاص التعلم العميق (DL)، لتأمين بنية SDN التحتية.في هذه الدراسة، تم تطوير نظامي كشف تسلل (IDS) متقدمين يعتمدان على التعلم العميق: أحدهما مزيج بين الشبكات الالتفافية (CNN) وذاكرة المدى الطويل القصير (LSTM)، والآخر يعتمد على نموذج المحول (Transformer) باستخدام طبقات التشفير فقط. تستهدف هذه الأنظمة وحدة التحكم في SDN، وهي مكون حرج ومعرض للهجمات، باستخدام مجموعة بيانات InSDN لمحاكاة حركة المرور الواقعية.ولتكييف هذه الأنظمة للاستخدام الفعلي، تم تقليص عدد السمات المستخدمة من 48 (المجموعة الكاملة) إلى 6 و4 سمات فقط. كما تم دمج أنواع الهجمات قليلة التمثيل لتحسين دقة التصنيف، وساهم التصنيف الثنائي في تعزيز الأداء من خلال تبسيط عملية الكشف عن الهجمات.حقق نموذج CNN-LSTM أداءً متميزًا باستخدام 6 سمات فقط، إذ وصلت دقته إلى 99.19% و 99.49% على مقياس F1، وهو ما يُعد من أفضل النتائج في هذا المجال. وفي التقييم النهائي للأداء، تبين أن نموذج Transformer يتمتع بحساسية كشف أعلى، لكن نموذج CNN-LSTM قدّم توازنًا أفضل من حيث تقليل التأثير على زمن الاستجابة، وسرعة المعالجة، واستهلاك الموارد.

Tags from this library: No tags from this library for this title. Log in to add tags.

Average rating: 0.0 (0 votes)

Holdings
Item type	Current library	Home library	Call number	Status	Barcode
Thesis	قاعة الرسائل الجامعية - الدور الاول	المكتبة المركزبة الجديدة - جامعة القاهرة	Cai01.20.01.M.Sc.2025.Ma.I (Browse shelf(Opens below))	Not for loan	01010110092934000

Thesis (M.Sc)-Cairo University, 2025.

Bibliography: pages 99-103.

Ensuring robust network security is crucial in the context of Software-
Defined Networking (SDN), which has become a multi -billion-dollar
industry and is widely deployed in modern data centers. SDN provides
network programmability, centralized control, and a global network view,
offering significant advantages over traditional networks. However, these
benefits come with new vulnerabilities and attack vectors, making SDN
security a critical research area. The emergence of Machine Learning (ML)
and, more specifically, Deep Learning (DL) has led to innovative approaches
to securing SDN environments.
This research focuses on developing an advanced Deep Learning -based
Intrusion Detection System (IDS) to address SDN -specific attack vectors.
We designed and evaluated two IDS models, a hybrid CNN-LSTM
architecture and a Transformer encoder-only architecture. The IDS targets
the SDN controller, a crucial component of the network that, if compromised,
could lead to severe security breaches. The InSDN dataset was used for
training and testing, as it accurately captures real -world SDN traffic. For
evaluation, we employed accuracy, precision, recall, and F1-score as key
metrics. Experimental results demonstrated that the Transformer model with
48 features achieved the highest accuracy of 99.02%, while the CNN -LSTM
model closely followed with 99.01%.
To optimize the IDS for real-world deployment, we reduced the feature
set to 6 and 4 features, assessing the impact on performance. Additionally,
we addressed the poor representation of certain attack types by merging four
underrepresented attacks into a single class, significantly improving
classification accuracy. Furthermore, we explored binary classification,
where all attack types were combined into a single attack class, resulting in
higher accuracy for both models. Notably, the CNN-LSTM model achieved
the best results with 6 features, reaching an accuracy of 99. 19% and a 99.49%
F1-score, surpassing state-of-the-art results.
Beyond model evaluation, we assessed the IDS’s impact on SDN
network performance by analyzing key metrics such as latency, throughput,
CPU, and memory usage. The findings indicate that while the CNN -LSTM-
based IDS introduced a slight increase in latency of 0.016 ms, a marginal
decrease in throughput of approximately 100 kBps, and minimal resource
consumption, 5% CPU and 1% memory increase, we also developed a
Transformer-based IDS that exhibited a higher computational impact. This
second IDS resulted in a 0.004 ms increase in latency, a 31 kBps decrease in
throughput, a 25% increase in CPU usage, and a 3% increase in memory
usage. These results highlight the tr ade-off between model complexity and
network performance. While both IDS solutions effectively detect intrusions,
the CNN-LSTM model offers a more lightweight implementation compared
to the Transformer-based IDS, which provides more sensitive detection
capabilities with higher resource consumption.

تُعَدّ أمان الشبكات أمرًا بالغ الأهمية في الشبكات المعرفة بالبرمجيات (SDN)، وهي صناعة سريعة النمو تُقدَّر بمليارات الدولارات وتُستخدم على نطاق واسع في الشبكات الحديثة ومراكز البيانات. يوفر التحكم المركزي والرؤية الشاملة للشبكة في SDN مزايا واضحة مقارنة بالشبكات التقليدية، لكنها تُدخل أيضًا نقاط ضعف جديدة. لمواجهة هذه التحديات، لجأ الباحثون إلى تقنيات التعلم الآلي، وبشكل خاص التعلم العميق (DL)، لتأمين بنية SDN التحتية.في هذه الدراسة، تم تطوير نظامي كشف تسلل (IDS) متقدمين يعتمدان على التعلم العميق: أحدهما مزيج بين الشبكات الالتفافية (CNN) وذاكرة المدى الطويل القصير (LSTM)، والآخر يعتمد على نموذج المحول (Transformer) باستخدام طبقات التشفير فقط. تستهدف هذه الأنظمة وحدة التحكم في SDN، وهي مكون حرج ومعرض للهجمات، باستخدام مجموعة بيانات InSDN لمحاكاة حركة المرور الواقعية.ولتكييف هذه الأنظمة للاستخدام الفعلي، تم تقليص عدد السمات المستخدمة من 48 (المجموعة الكاملة) إلى 6 و4 سمات فقط. كما تم دمج أنواع الهجمات قليلة التمثيل لتحسين دقة التصنيف، وساهم التصنيف الثنائي في تعزيز الأداء من خلال تبسيط عملية الكشف عن الهجمات.حقق نموذج CNN-LSTM أداءً متميزًا باستخدام 6 سمات فقط، إذ وصلت دقته إلى 99.19% و 99.49% على مقياس F1، وهو ما يُعد من أفضل النتائج في هذا المجال. وفي التقييم النهائي للأداء، تبين أن نموذج Transformer يتمتع بحساسية كشف أعلى، لكن نموذج CNN-LSTM قدّم توازنًا أفضل من حيث تقليل التأثير على زمن الاستجابة، وسرعة المعالجة، واستهلاك الموارد.

Issues also as CD.

Text in English and abstract in Arabic & English.

There are no comments on this title.

to post a comment.

جامعة القاهرة

المكتبة المركزية الجديدة

مكتبة جامعة القاهرة الأهلية

Intrusion detection system for software defined networking based on deep learning approaches / by Mahmoud Sami Ataa ; Supervised Prof. Reda A. El-khoribi, Dr. Eman E. Sanad.