Next–Generation Intrusion Detection for Iot evcs: Integrating cnn, lstm, and gru models

Mathematics 2024, 12, 571
12 of 26
Figure 5.
GRU: The Temporal Refiners.
The integration of CNN, LSTM, and GRU within the proposed model is seamless.
The output from the convolutional layers–rich in spatial feature representation–flows into
the LSTM and GRU layers, which further process the data in the temporal dimension. This
sequential processing pipeline ensures that every piece of information is optimally used to
make informed decisions about the nature of the traffic–whether it is benign or malicious.
Our ensemble approach strategically combines the strengths of these models through
a sophisticated weighted voting mechanism. This mechanism assigns weights to each
model’s predictions, calibrated based on their performance in the validation phase, ensuring
a balanced contribution to the final intrusion detection decision. This nuanced integration
not only enhances the detection accuracy but also ensures robustness against diverse cyber
threats, marking a significant advancement in safeguarding IoT-based EVCS.
The academic implications of this ensemble approach are profound. It provides a
blueprint for designing sophisticated NIDS that can learn from complex data streams and
adapt to evolving cyber threats. Future work may explore the scalability of the proposed
model across different IoT platforms [
6
], further refine the model to handle encrypted
traffic, and develop unsupervised learning techniques to autonomously label and classify
new types of intrusions.
The CNN-LSTM-GRU ensemble model is not merely an architectural novelty; it is a
methodologically sound and empirically robust approach to safeguarding IoT infrastruc-
tures. By leveraging the distinctive capabilities of CNNs for feature extraction and the
sequential data processing prowess of the LSTM and GRU layers, the proposed model
sets a new standard for NIDS in IoT environments. Its application in EVCS represents
a significant leap forward in the domain of IoT security, promising enhanced resilience
against cyber threats in an increasingly interconnected world.
4.4. Data Preprocessing
Edge-IIoTset is a comprehensive, realistic cybersecurity dataset designed for IoT and
IIoT applications [
33
]. It is tailored for ML-based IDS in both centralized and federated
learning contexts. This dataset was generated using a custom-built IoT/IIoT testbed
encompassing a diverse range of devices, sensors, protocols, and cloud/edge configurations.
It includes data from more than 10 different IoT devices and identifies 14 distinct IoT and
IIoT attack types, categorized into five threats. The dataset features 61 highly correlated
features out of 1176 identified, covering various sources, such as alerts, system resources,
logs, and network traffic. In addition, it provides a primary exploratory data analysis and
evaluates ML approaches in different learning modes.
The preprocessing of Edge-IIoTset constitutes a pivotal phase in our research, designed
to render the data compatible and optimized for the intricate workings of the ensemble
model. This phase encapsulates a series of methodical steps, ensuring that the data not
only reflect the underlying complexities of IoT environments but are also conducive to
effective DL.
Initially, the dataset comprised 63 features representative of the diverse and multi-
faceted nature of network traffic within IoT-based EVCS. Preprocessing started with a focus

Mathematics 2024, 12, 571
13 of 26
on categorical variables, which are predominant in network datasets. Variables such as
HTTP methods, DNS query lengths, and MQTT topics were subjected to label encoding.
This step transformed these categorical strings into a numerical format, a prerequisite for
subsequent ML algorithms.
Following the encoding, the numerical representations underwent one-hot encoding.
This transformation is particularly crucial because it converts categorical integer features
into a binary matrix, thereby mitigating any misleading ordinal relationships that traditional
numerical encoding might imply. One-hot encoding expands the feature space, enabling the
model to better understand and differentiate categorical data. Consequently, the number of
features after the one-hot encoding increased to 119.
Given the expanded feature space, the next step involved streamlining the dataset.
•
The dataset was scrutinized for duplicate records, and such instances were removed
to prevent biases in the model’s learning process.
•
The data was examined for null values, ensuring the integrity and consistency of
the dataset.
•
A novel approach was adopted in which a hash function was employed for each
column to identify identical columns. By comparing the hashes, groups of identical
columns were identified, and all but one in each group were removed. This step is cru-
cial for reducing redundancy in the dataset, thereby enhancing the model’s efficiency.
After the reduction and cleaning processes, the feature count decreased to 99. To fur-
ther refine the dataset, a Chi-squared test was applied. This statistical test is instrumental
in feature selection because it evaluates the independence of each feature against the target
variable. The Chi-squared test scored each of the 99 features, allowing us to identify and
select the top 93 features that exhibited the most significant relationships with the target
variable. This selection was influenced by the intrinsic ability of the CNN component in
the ensemble to discern and use the most pertinent features effectively.
The data processing efforts culminated in the distribution of network traffic as follows,
effectively delineating the varied landscape of normal and anomalous activities within the
dataset (Table
2
).

Download 6 Mb.