A Hybrid Machine Learning System for Detection of Known and Zero-day Attacks in IoMT Environments. Masters thesis, King Fahd University of Petroleum and Minerals.

PDF (MS thesis) Razan_Al-Fageer_g202203760_thesis.pdf - Submitted Version Restricted to Repository staff only until 4 August 2026. Download (11MB)

Arabic Abstract

يُحسِّن إنترنت الأشياء الطبية (IoMT) الرعاية الصحية بشكل كبير من خلال تسهيل مراقبة المرضى في الوقت الفعلي واتخاذ القرارات السريرية القائمة على البيانات. ومع ذلك، فإن أنظمة IoMT معرضة بشكل متزايد لتهديدات الأمن السيبراني المتنوعة والمتطورة. تواجه المنهجيات الحالية لكشف الحالات الشاذة صعوبة في تصنيف نواقل الهجوم المتنوعة، واكتشاف تهديدات اليوم-الصفر (zero-day threats)، وتحقيق التوازن بين الدقة والكفاءة. علاوة على ذلك، تعتمد هذه المنهجيات عادةً على مجموعات بيانات قديمة أو أساليب عامة لإنترنت الأشياء. لمواجهة هذه التحديات، نقترح إطار عمل هرميًا وقابلًا للتطوير، يتضمن نماذج خفيفة الوزن وآلية لتحديد عتبة الثقة التكيفية مُحسَّنة لأمن إنترنت الأشياء الطبي في الوقت الفعلي. وبشكل أكثر تحديدًا، يستخدم إطار العمل المقترح مشفّرًا آليًا (Auto-Encoder) غير خاضع للإشراف، مُدرَّبًا حصريًا على حركة البيانات السليمة للكشف عن الحالات الشاذة بكفاءة، تليه مصنّفات هرمية خاضعة للإشراف تشمل Random Forest، XGBoost، وLightweight Convolutional Neural Network لتصنيف الحالات الشاذة على مستويات ثنائية وفئوية ومتعددة الفئات. علاوة على ذلك، تُستخدم آلية تحديد عتبة الثقة للتمييز بكفاءة بين الهجمات المعروفة وهجمات اليوم-الصفر. لقد استخدمنا تقنيات معالجة أولية صارمة، بما في ذلك زيادة العينات (oversampling) واختيار الميزات (feature selection)، للتخفيف من عدم توازن الفئات بشكل فعال. وبالتالي، يوفر النهج المقترح حلاً قويًا وقابلًا للتطوير وعمليًا للأمن السيبراني مصممًا خصيصًا لبيئات إنترنت الأشياء الطبية الديناميكية والمقيدة بالموارد. يُظهر تقييمنا الشامل على مجموعة بيانات CIC IoMT 2024 الأداء المتفوق لإطار العمل المقترح، حيث حقق دقة في كشف الحالات الشاذة بنسبة 99.67٪، ودقة في التصنيف الثنائي بنسبة 99.94٪، ودقة في التصنيف الفئوي بنسبة 99.85٪، ودقة في التصنيف متعدد الفئات بنسبة 99.77٪. يتفوق إطار العمل أيضًا في تحديد تهديدات اليوم-الصفر، حيث يكتشف هجمات MQTT غير المعروفة وهجمات الاستطلاع بنسب نجاح تبلغ 100٪ و99.7٪ على التوالي. بمجرد اكتشاف هجمات اليوم-الصفر المحتملة في المرحلة متعددة الفئات، نستخدم مخرجات المرحلة الفئوية لتعيين اسم عائلة للهجوم. ولمساعدة النموذج في التعرف على هذا الهجوم المكتشف حديثًا، يتم استخدام آلية تحديث لربطه بأقرب نوع هجوم موجود في التصنيف. بعد ذلك، تُضاف هذه الهجمات إلى مجموعة البيانات كفئات شبه جديدة، ويُعاد تدريب النموذج مع تضمين هذه الهجمات الجديدة.

English Abstract

The Internet of Medical Things (IoMT) significantly improves healthcare by facilitating real-time patient monitoring and data-driven clinical decision making. However, IoMT systems are increasingly vulnerable to diverse and sophisticated cybersecurity threats. Existing anomaly detection approaches struggle to classify diverse attack vectors, detect zero-day threats, and balance accuracy with efficiency. Furthermore, these approaches typically rely on outdated datasets or generic IoT approaches. To address these challenges, we propose a scalable hierarchical framework that includes lightweight models and an adaptive confidence thresholding mechanism optimized for real-time IoMT security. More specifically, the proposed framework employs an unsupervised Auto-Encoder trained exclusively on benign traffic to efficiently detect anomalies, followed by hierarchical supervised classifiers including Random Forest, XGBoost, and a Lightweight Convolutional Neural Network to classify anomalies at binary, categorical, and multiclass levels. Furthermore, the confidence-thresholding mechanism is used to efficiently differentiate between known and zero-day attacks. We employ rigorous preprocessing techniques, including oversampling and feature selection, to effectively mitigate class imbalance. The proposed approach thus provides a robust, scalable, and practical cybersecurity solution tailored specifically for dynamic and resource-constrained IoMT environments. Our extensive evaluation on the CIC IoMT 2024 dataset demonstrates the superior performance of the proposed framework, achieving anomaly detection accuracy of 99.67%, binary classification accuracy of 99.94%, categorical accuracy of 99.85%, and multiclass accuracy of 99.77%. The framework also excels at identifying zero-day threats, detecting unknown MQTT-based and reconnaissance attacks with success rates of 100% and 99.7%, respectively. Once potential zero-day attacks are detected at the multiclass stage, we utilize the categorical stage’s output to assign a family name. To assist the model in identifying this newly recognized attack, an update mechanism is employed to associate it with the closest existing attack type in the classification. Subsequently, these attacks are added to the dataset as semi-classes, and the model is retrained with the inclusion of these new attacks.

Item Type:	Thesis (Masters)
Subjects:	Computer Systems
Department:	College of Computing and Mathematics > Information and Computer Science
Committee Advisor:	Al-Gobi, Waleed
Committee Members:	Azzedin, Farag and Felemban, Muhamad
Depositing User:	RAZAN AL-FAGEER (g202203760)
Date Deposited:	10 Aug 2025 06:03
Last Modified:	10 Aug 2025 06:03
URI:	http://eprints.kfupm.edu.sa/id/eprint/143636