تقترح الورقة حلا جديدا قائما على تعلم الآلة (ML) لأمن الشبكات التكيفية في نظام سحابي يدمج التصنيف الهرمي متعدد العلامات ونظام تقييم الثقة الديناميكي لتعزيز دقة اكتشاف التهديدات وتقليل عدد الإيجابيات الكاذبة.
Method Article
تقترح الورقة حلا جديدا قائما على تعلم الآلة (ML) لأمن الشبكات التكيفية في نظام سحابي يدمج التصنيف الهرمي متعدد العلامات ونظام تقييم الثقة الديناميكي لتعزيز دقة اكتشاف التهديدات وتقليل عدد الإيجابيات الكاذبة.
تقترح هذه الدراسة إطارا جديدا للوعي الوضعي بأمن الشبكات والتحذير من المخاطر في بيئات الحوسبة السحابية، مع دمج التعلم الآلي التكيفي (ML)، والتصنيف الهرمي متعدد العلامات (HMC)، وآلية تقييم الثقة الديناميكية المبنية على نموذج السحابة. تشكل تعقيد وتنوعها وطبيعة الهجمات الإلكترونية الناشئة في الوقت الحقيقي - مثل استغلالات اليوم الصفري، وحجب الخدمة الموزعة (DDoS)، والشبكات البوتية الآلية - تحديات كبيرة لطرق الكشف التقليدية القائمة على القواعد والاستقرار. لمعالجة هذه التحديات، طورنا بنية سحابية فعالة تعتمد على SDN باستخدام وحدة تحكم Ryu OpenFlow ومفاتيح OpenFlow. تمكن هذه البنية من جمع معلومات الروابط في الوقت الحقيقي، والجدولة الديناميكية، ونقل البيانات القابل للتوسع والموثوق. يمكن لإطار التصنيف الهرمي المقترح أن يقسم المشكلات متعددة الفئات إلى مهام ثنائية، مما يخفف من تأثير عدم توازن العينات ويعزز التعرف على الهجمات منخفضة التردد، بما في ذلك الهجوم المستخدم إلى الجذر (U2R). تقنيات التعلم الجماعي، بما في ذلك AdaBoost وBagging، تعزز دقة الكشف لأنواع الهجمات الدقيقة الدقيقة. تظهر التجارب التي أجريت على مجموعات بيانات DDoS، وبيانات حركة السحابة، والمحاكاة في Mininet وEstiNet أن النهج المشترك بين ML-HMC-الثقة يحسن بشكل كبير دقة الكشف، ويقلل من الإيجابيات الكاذبة، ويتيح الاستجابة في الوقت الحقيقي. تؤكد هذه النتائج أن دمج التعلم التكيفي، والتصنيف الهرمي، والتقييم الديناميكي للثقة يوفر حلا قويا وقابلا للتوسع لتأمين منصات سحابية واسعة النطاق.
مع انتشار تطبيقات تكنولوجيا الحوسبة السحابية في مختلف الصناعات، يزداد حجم وكمية البيانات في أنظمة المعلومات بسرعة، وتصبح تهديدات الشبكة أكثر تعقيدا واختفاء وديناميكية 1,2. آليات الدفاع الأمني التقليدية المبنية على القواعد والنماذج الثابتة لم تعد قادرة على تلبية متطلبات الكشف في الوقت الحقيقي مع إنذار مبكر دقيق عند مواجهة استراتيجيات هجوم متغيرة، وثغرات يوم الصفر، وهجمات موزعة واسعة النطاق3. لذلك، فإن الاستفادة من خوارزميات التعلم الآلي التكيفية لدمج معالجة البيانات الموزعة وقدرات التحليل الذكي بالكامل داخل منصات الحوسبة السحابية لتحقيق تصور شامل لوضع أمن الشبكات والإنذار المبكر الفعال لمخاطر المعلومات يمثل تحديا حاسما في المشهد الحالي لأمن المعلومات4. هذا البحث لا يحمل فقط أهمية نظرية مهمة لتحسين نظام الحماية الأمنية الحالي، بل يقدم أيضا دعما قويا لضمان أمن البنية التحتية الوطنية للمعلومات الرئيسيةوالبيانات الأساسية للمؤسسات.
هناك تحديات متعددة في تحقيق الوعي بوضع أمن الشبكات والتحذير من مخاطر المعلومات في بيئة الحوسبة السحابية: أنواع البيانات المجمعة في منصة السحابة كثيرة والمصادر معقدة، مما يجعل مهام معالجة البيانات المسبقة واستخراج الميزات والدمج أكثر صعوبة؛ في ظل تزايد حركة المرور على الشبكة وسيناريوهات الهجوم المتغيرة بسرعة، يطلب من النظام الاستجابة في وقت قصير جدا، وأصبحت عمليات الكشف والتحذير في الوقت الحقيقي عنق زجاجة تقنية؛ كمية الحركة العادية تختلف كثيرا عن حركة الهجوم، والخوارزميات التقليدية تتميز بدقة منخفضة عند معالجة فئات عينات صغيرة (مثل U2R، هجمات الشبكة، إلخ)، وهناك خطر كبير لسوء التقدير؛ في بيئة الشبكة المعقدة، تتأثر علاقات الثقة بعوامل متعددة وتكون عشوائية وغير مؤكدة 6,7. طرق تقييم الثقة التقليدية المبنية على عتبات ثابتة يصعب عكاس الحالة الحقيقية ويتأثر بها بسهولة البيانات غير الطبيعية. لمعالجة هذه القيود متعددة الأبعاد، يقدم هذا البحث إطارا متكاملا يجمع بين التعلم الآلي التكيفي، والتصنيف الهرمي متعدد التسميات، وآلية تقييم الثقة الديناميكية القائمة على نموذج السحابة. يتجاوز هذا الدمج بين التقنيات المطبقة في بيئة سحابية مدفوعة بشبكة SDN التحسين التدريجي من خلال تمكين التعرف الدقيق على الهجمات منخفضة التردد، والتكيف في الثقة في الوقت الحقيقي، والوعي الوضعي القابل للتوسع، وهو ما لم تحققه الطرق الحالية في الوقت نفسه.
تولد بيئات الحوسبة السحابية حركة مرور شبكية ضخمة وديناميكية ومتجانسة، مما يجعل أنظمة كشف التسلل التقليدية (IDS) غير قادرة على تحديد أنواع الهجمات المتطورة والأقلية بدقة مثل U2R وR2L. تحسن حلول IDS القائمة على التعلم العميق (DL) دقة الكشف لكنها لا تزال تعاني من عبء حسابي مرتفع، واستجابة بطيئة في الوقت الحقيقي، وسوء التعامل مع علاقات الثقة غير المؤكدة أو المتطورة بين كيانات الشبكة. علاوة على ذلك، تعمل معظم النماذج الحالية كمصنفات مسطحة وتفتقر إلى آليات لاتخاذ قرارات دقيقة وهرمية أو تقييم ديناميكي للثقة. تخلق هذه القيود فجوة حرجة في تطوير نظام IDS يمكنه في الوقت نفسه تقديم اكتشاف في الوقت الحقيقي، وتعرف دقيق على فئة الأقليات، وتقييم مخاطر موثوق وواع للثقة في بيئات سحابية واسعة النطاق.
في الأبحاث الحالية حول الوعي بوضع أمن الشبكة وتحذير مخاطر المعلومات، تستخدم العديد من الدراسات طرقا مثل K-أقرب جار (KNN) وآلة الدعم المتجه (SVM) لتصنيف واكتشاف حركة مرور الشبكة. تتمتع هذه الخوارزميات بمزايا الكفاءة الحاسوبية العالية وسهولة التنفيذ، خاصة عند إجراء فحص أولي لكميات كبيرة من البيانات 8,9. ومع ذلك، تنعكس عيوبها الرئيسية في عدة جوانب: عند مواجهة معظم حركة المرور العادية وعدد قليل من عينات الهجوم في بيئة سحابية، غالبا ما تتجاهل هذه الطرق التقليدية معلومات من بعض الفئات، مما يؤدي إلى معدلات تعرف منخفضة على الهجمات الدقيقة (مثل U2R، هجمات الثغرات الشبكية، وغيرها)؛ عادة ما تكون النماذج الفردية حساسة للضوضاء والقيم الشاذة للبيانات، وتفتقر إلى القدرة على التكيف مع سيناريوهات الهجوم المتغيرة ديناميكيا، وعرضة للإفراط في التوافق أو عدم التعميم10,11.
في السنوات الأخيرة، تم تطبيق طرق التعلم العصبي مثل بيرسيبترون متعدد الطبقات (MLP)، CNN، الشبكة العصبية المتكررة (RNN)، شبكة الذاكرة طويلة المدى قصيرة المدى (LSTM)، ووحدة التكرار المبوبة (GRU) بشكل متزايد في مجال أمن الشبكات. بفضل قدرات التعلم القوي على الميزات ورسم الخرائط غير الخطية في الشبكات العصبية العميقة، حسنت هذه الطرق بشكل كبير دقة الكشف وعززت القدرة على التقاط سلوكيات الهجوم المعقدة مقارنة بالتعلم الآلي12 التقليدي. ومع ذلك، لديهم متطلبات عالية لموارد الحوسبة وبيانات التدريب. خاصة في سياق حركة البيانات الضخمة في بيئات الحوسبة السحابية، لا يزال هناك مجال لتحسين التكاليف التشغيلية للتدريب وسرعة الاستدلال في الوقت الحقيقي. عند تحديد الفئات ذات العينات القليلة، بسبب اختلال في البيانات، تكون نماذج DL ذات معدلات كشف منخفضة لبعض الهجمات الدقيقة (مثل U2R، شبكات البوت) بسبب انحياز الفئة13. لتعويض محدودية نموذج واحد في التعامل مع اختلال توازن البيانات وتحديد الهجمات متعددة الفئات، اقترحت بعض الدراسات حلولا قائمة على التعلم الجماعي، مثل التعبئة والتعزيز، التي توسع دقة التنبؤ العامة من خلال دمج قرارات عدة مصنفين14. في الوقت نفسه، تقوم بنية التصنيف المتعدد الفئات الهرمي (HMC) بتفكيك مشكلة التصنيف متعدد الفئات إلى عدة مشاكل فرعية للتصنيف الثنائي، مما يحقق اعترافا أكثر دقة للفئات التي تحتوي على عينات أقل. ومع ذلك، غالبا ما تواجه النماذج المتكاملة مشاكل مثل الاستخدام العالي لموارد الحوسبة وزيادة زمن الاستجابة أثناء النشر، خاصة في أنظمة المراقبة الفورية للحوسبة السحابية، حيث تزيد المتطلبات اللحظية الضغط على موارد النظام15.
استجابة لمشكلة تقييم علاقات الثقة الديناميكي في الشبكة، قدمت بعض الدراسات نظرية نموذج السحابة، التي تبني سحابة انتماء الثقة من خلال وصف ضبابية وعشوائية سمات الثقة لكل كيان، ثم تستخدم قطرات السحاب، الإنتروبيا، الإنتروبيا الفائقة، ومؤشرات أخرى للتقييم الكمي16. عند مواجهة بيانات الثقة الشبكية المحدثة في الوقت الحقيقي، قد يجد معدل التحديث والكفاءة الحسابية لطرق نماذج السحابة الحالية صعوبة في تلبية متطلبات التحذير الديناميكي عالي التردد؛ النموذج حساس للغاية لبيانات التقييم، وقد تؤثر البيانات غير الطبيعية أو معلومات الضوضاء بشكل كبير على تقييم الثقة الشامل، مما يؤثر على قرارات التحذير من المخاطر اللاحقة.
نظرا للعديد من أوجه القصور في الأبحاث الحالية في دقة الكشف، والأداء اللحظي، ومعالجة توازن البيانات، وتقييم الثقة، تقترح هذه الورقة نظام دفاع جديد يستخدم بشكل شامل خوارزميات التعلم الآلي التكيفي، واستراتيجيات التصنيف متعددة الفئات الهرمية، وتقييم الثقة في نماذج السحابة للتوعية بوضع أمن الشبكات وتحذير مخاطر المعلومات في بيئات الحوسبة السحابية.
تتناول الأبحاث الأمن السيبراني في الوقت الحقيقي لشبكات السفن الذكية من خلال الاستفادة من تقنية الحوسبة السحابية18. يقترح هذا النموذج إطار عمل عقد متعددة المستشعرات لفحص البيانات بحثا عن الهجمات الخبيثة ويستخدم عقد استراتيجية حماية ذاتية التنفيذ لاعتراض التهديدات. تظهر النتائج معدل كشف ودفاع عن تسرب الفيروسات يتراوح بين 85-95٪، ومعدل إيجابيات كاذبة يبلغ 2.56٪، متفوقا بشكل ملحوظ على غيرها من الخوارزميات. ومع ذلك، يتطلب هذا النهج موارد حسابية عالية وقيود على البنية التحتية السحابية في النشر العملي. يوفر أصلان وآخرون نظام ذكي قائم على السلوك لكشف البرمجيات الخبيثة في بيئة الحوسبة السحابية. أنتجت مجموعة بيانات للبرمجيات الخبيثة عبر الأجهزة الافتراضية واستخدمت ميزات مختارة مع عوامل كشف قائمة على التعلم والقواعد لتصنيف البرمجيات الخبيثة والعينات غير الضارة. أظهر التقييم على 10,000 عينة من البرنامج أداء عاليا مع تحسين معدل الكشف ومعدل FPR. ومع ذلك، واجهت الطريقة مشاكل في التوسع مع تغير مستمر لأنواع البرمجيات الخبيثة ونشر السحابة على نطاق واسع وفي الوقت الفعلي.
على الرغم من المساهمات الكبيرة التي قدمتها هذه الدراسات، تكشف مقارنة أكثر تفصيلا أن غالبية الحلول الحالية تفشل في تلبية افتراضات ومتطلبات الوعي بالموقف في الوقت الحقيقي أو نموذج الثقة الديناميكي في البيئات السحابية. تفترض تقنيات التعلم الآلي التقليدية حدود ميزات ثابتة في الفضاء وتفشل في عدم توازن الفئة وديناميكيات حركة المرور الديناميكية العالية 8,9,10. ترتبط نماذج DL بقدرات ممتازة على استخراج الميزات لكنها تستهلك قوة حسابية عالية، مما يجعل عملية الاستدلال بطيئة وغير عملية في المراقبة الفورية12,13. الأساليب المعتمدة على المجموعات وHMC أكثر دقة، لكنها تحتاج إلى زمن استجابة وموارد أكبر، ولا تنشر حاليا في السحب واسعة النطاق 14,15. في الوقت نفسه، تلتقط تقنيات تقييم الثقة في نماذج السحابة عدم اليقين جيدا لكنها تظل شديدة الحساسية تجاه البيانات المشوشة ولا يمكنها تحديث قيم الثقة بكفاءة تحت تدفقات الهجوم عالية التردد 16,17,18,19. حتى أطر IDS السحابية الحديثة تفتقر إلى دعم قوي ومتكامل لكل من الكشف في الوقت الحقيقي واتخاذ القرار الواعي بالثقة20,21. تسلط هذه القيود الضوء مجتمعة على ضرورة وجود إطار عمل فعال وموحد ومدعوم بالثقة. تتغلب هذه الأبحاث على هذه القيود من خلال دمج تقييم الثقة الديناميكي القائم على التعلم الآلي التكيفي، ونظام HMC، والنموذج السحابي ضمن بنية سحابية مدعومة بشبكة SDN، مما يتيح الكشف في الوقت الحقيقي، وتحسين الدقة حسب فئة الأقليات، وتقييم المخاطر الواعية لعدم اليقين.
تنعكس ابتكارات هذه الورقة بشكل رئيسي في الجوانب التالية: تم بناء بنية شبكة موزعة فعالة تعتمد على وحدة تحكم Ryu OpenFlow ومفتاح OpenFlow لتمكين جمع المعلومات في الوقت الحقيقي والجدولة الديناميكية لمعلومات الرابط، مما يحسن بشكل كبير كفاءة نقل البيانات ومعالجتها.
نظرا للصعوبات الناتجة عن اختلال توازن البيانات وتحديد الهجمات بعينة قليلة، تم تصميم إطار عمل HMC من الأعلى إلى الأسفل، وتم إدخال طرق تعلم متكاملة مثل AdaBoost وBagging لتحسين دقة الكشف لفئات الهجمات الدقيقة بشكل كبير.
تستخدم نظرية نموذج السحابة لبناء سحابة انتماء ثقة. من خلال المولد العكسي وحساب التشابه، يتم تحقيق التقييم الديناميكي لحالة الثقة لكل كيان في الشبكة، مما يوفر أساسا كميا للتحذير من المخاطر ويكبح فعليا المضاربة الائتمانية الناتجة عن المعاملات غير الطبيعية بأسعار منخفضة أو مرتفعة.
ملاحظة: يصف هذا البروتوكول كيفية بناء نظام وعي أمني الشبكة السحابي وتنفيذ التصنيف الهرمي مع تقييم الثقة الديناميكي. اتبع الخطوات التالية لتصميم طوبولوجيا شبكة السحابة، وجمع وتعليق تدفقات البيانات، ونشر وحدات التصنيف متعدد الفئات الهرمية وتقييم الثقة. يوضح الشكل 1 إطار العمل المقترح لسحابة SDN الذي يدمج تعلم الآلة، والتصنيف الهرمي، وتقييم الثقة لاكتشاف الهجمات في الوقت الحقيقي.
1. تصميم طوبولوجيا شبكة السحابة
ملاحظة: تأكد من الوصول الإداري إلى OpenStack وRyu وMininet قبل المتابعة.
2. استراتيجية جمع تدفق البيانات والتعليق
تحذير: تأكد من الامتثال للوائح خصوصية البيانات (مثل GDPR، سياسات الأمن السيبراني المحلية). تم إخفاء هوية معرفات المستخدمين وعناوين IP مسبقا.
3. التصنيف الهرمي وتقييم الثقة المعمارية المتكاملة
4. حساب وتنفيذ نموذج سحابة الثقة (الشكل 5)














5. التحقق التجريبي لأداء اكتشاف الهجمات
التحقق التجريبي وتحليل الأداء
التحقق السحابي
لاختبار كفاءة وإمكانية تنفيذ الخوارزمية المقترحة، أجريت اختبارات محاكاة في بيئة مختبرية شبكية محكمة. تم التحقق على نظام ويندوز، وتم ترميز الخوارزمية الأساسية في أدوات برمجة VC (Visual C++).
في حالة البيانات التجريبية، اخترنا مجموعة البيانات المتاحة للجمهور بنسبة KDDCUP_10٪ (http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html) الشائعة في كشف التسلل ونمذجة سلوك الشبكة. العملية التجريبية العامة مشابهة جدا للنهج الموصوف سابقافي الجزء 10 لضمان قابلية المقارنة ومصداقية النتائج.
تم تعيين معلمات الخوارزمية الرئيسية على: الفترة الزمنية T = 10 ثوان؛ عدد جولات العينة h = 20؛ عينات البيانات n = 1000.
تم حساب الخصائص الرقمية لنموذج سحابة الثقة باستخدام هذه المعايير. ثم تم استخدام خوارزمية تشابه السحابة لتحديد أكثر سحابة ثقة تشابها بين المرشحين، مما أتاح إمكانية تصنيف وتقييم حالات الشبكة.
يوضح الجدول 2 قيم عينة النظام المختارة ونتائج حالة تحليل الشبكة. تؤكد هذه الأدلة أن نظام تقييم الثقة القائم على السحابة المقترح لديه القدرة على تمثيل وتغليف ديناميكية وعدم يقين إعدادات الشبكة متعددة الأوجه بكفاءة.
تؤكد التجربة إمكانية تنفيذ نماذج سحابية بالتزامن مع تقييم الثقة في الوقت الحقيقي وتوفر إطارا لمزيد من التطبيقات في نظام إدارة الأمان التكيفي.
التحقق من الهجوم
لإجراء تحقق شامل من أداء الخوارزمية المقترحة في هذه التجربة، من الضروري تقييم قدرات اكتشاف الهجمات للتصنيف الثنائي، والتصنيف المتعدد، وHMC ضمن بيئة الحوسبة السحابية. ينقسم التقييم التجريبي إلى ثلاث مراحل رئيسية: تطبيق بيانات هجوم DDoS للتحقق من وظائف وحدة الذكاء الاصطناعي، وتقييم وظائف خوارزميات التعلم الآلي المختلفة، وتحليل وظائف نماذج DL للتنبؤ بالهجمات.
التحقق من أداء التصنيف الثنائي
في المرحلة الأولى من التجربة، تم استخدام مجموعة بيانات هجوم DDoS للتحقق من وحدة الذكاء الاصطناعي، وكان الغرض الرئيسي منها اختبار دقة التنبؤ بالنموذج في بيئة الحوسبة السحابية. استخدمنا طريقة التحقق المتقاطع من خمسة أضعاف، وتم تعيين نسبة بيانات التدريب إلى بيانات الاختبار إلى 8:2، أي أن 80٪ من البيانات استخدمت للتدريب، و20٪ للاختبار. في كل تجربة، تم استخدام مجموعة اختبار مختلفة للتحقق من النموذج لضمان ظهور كل عينة كمجموعة اختبار مرة واحدة. استمرت عملية التدريب لمدة 5 فترات، وتم احتساب النتيجة المتوسطة.
تصنف مجموعة البيانات إلى مجموعتين: طبيعي وغير طبيعي. لمقارنة أداء المصنفات المختلفة، تم اختيار ثمانية مصنفات تعلم آلة شائعة التالية: شجرة القرار (DT)، الغابة العشوائية (RF)، بايز الساذجة (NB)، أقرب جار K (KNN)، آلة متجه الدعم (نواة RBF) (SVM-RBF)، آلة متجه الدعم الخطية (L-SVM)، وخوارزميات التجميع والتعزيز للتعلم الجماعي. تظهر نتائج مقارنة الأداء في الشكل 6. من خلال مقارنة أداء هذه المصنفات، يمكن تقييم أدائها في اكتشاف هجمات DDoS بشكل شامل 20,21.
التحقق من الأداء عبر التصنيفات المتعددة
في المرحلة الثانية من التجربة، تم توسيع مجموعة البيانات لتشمل مشاكل التصنيف المتعدد، والتي تشمل أنواعا مختلفة من هجمات الشبكة، بما في ذلك DDoS، U2R (هجوم المستخدم إلى الجذر)، R2L (هجوم من البعيد إلى المحلي)، البيانات العادية، وغيرها. تختبر مشاكل التصنيف المتعدد قدرة النموذج على تحديد وتنظيم أنواع الهجمات المتعددة.
تم استخدام خمسة مصنفات DL للتحقق من الصحة، بما في ذلك MLP وCNN وRNN وشبكة الذاكرة قصيرة المدى طويلة (LSTM)، وشبكة GRU. يتم عرض إعدادات المعلمات المحددة لكل نموذج في الجدول 1، والجدول 3، والجدول 4. عند إجراء التحقق من صحة التصنيفات المتعددة، تم تقييم دقة واستدعاء النموذج عبر عدة فئات بالتفصيل.
التحقق من أداء HMC في التصنيفات المتعددة
في المرحلة الثالثة، تم استخدام خوارزمية HMC لمقارنة أداء جميع نماذج التعلم الآلي والتعلم العميق أعلاه في مهام التصنيف متعددة الفئات. تحسن خوارزمية HMC بشكل كبير دقة اكتشاف الهجمات دقيقة الحبيبات (مثل U2R وR2L وغيرها) من خلال تفكيك المشكلات متعددة الفئات المعقدة إلى عدة مشاكل فرعية للتصنيف الثنائي. تم التحقق من مزايا HMC من خلال تحسين دقة اكتشاف الهجمات مقارنة بطرق التصنيف التقليدية.
النتائج والتحليل التجريبي
من خلال التجارب في المراحل الثلاث أعلاه، حصلنا على مؤشرات الأداء لكل مصنف ونموذج DL تحت أنواع هجوم مختلفة. يوضح الجدول 3 مؤشرات الأداء مثل الدقة، معدل الاستدعاء، قيمة F1، وغيرها في طرق تصنيف مختلفة. في التجربة، أظهر HMC دقة عالية ومتانة في اكتشاف هجمات الفئات المتعددة، خاصة عند التعامل مع هجمات U2R وR2L. مقارنة بطرق SVM وRF التقليدية، حقق HMC تحسنا كبيرا.
من خلال هذه النتائج التجريبية، تحققنا من فعالية وحدة الذكاء الاصطناعي المقترحة لاكتشاف الهجمات في بيئة الحوسبة السحابية، وقدمنا أساسا موثوقا لتحسين النماذج لاحقا ونشر التطبيقات.
تشير النتائج التجريبية إلى أنه من بين نماذج التعلم الآلي، حققت طرق شجرة القرار (DT)، وطرق الغابة العشوائية (RF)، وطرق المجموعات (التكبس، التعزيز) أداء أفضل، حيث وصلت درجات F1 إلى 1.0. وهذا يثبت مدى قوتها ودقتها في تمييز أنماط DDoS عن حركة المرور العادية. على النقيض من ذلك، كان نموذج بايز الساذج (NB) أداء ضعيفا في التنبؤ بالحزمة غير الطبيعية، حيث حصل على درجة F1 بلغت 0.62، مما يشير إلى أن النموذج يواجه خطرا معينا من سوء التصنيف عند مواجهة أنواع الهجمات المعقدة.
يوضح الشكل 7 أداء الخطوط المستقلة للبطولة، وCNN، وRNN، وLSTM، وGRU. بعد تحسين المعلمات، كانت درجات F1 الثنائية لنماذج DL 0.93 و0.98 على التوالي، مما يشير إلى أن نماذج DL تلتقط بفعالية ميزات البيانات العميقة، خاصة عند معالجة بيانات السلاسل الزمنية والتعرف على الأنماط المعقدة، وتؤدي أداء أفضل من نماذج التعلم الآلي التقليدية.
تظهر التحليلات الشاملة أن أشجار القرار، وطرق التعلم الجماعي، ونماذج الشبكات العصبية جميعها تظهر أداء ممتازا في اكتشاف هجمات DDoS، لكن في تطبيقات محددة، لا يزال اختيار النموذج المناسب يتطلب مراعاة عوامل مثل نوع الهجوم، حجم البيانات، وموارد الحوسبة. لتعزيز قدرة الكشف في النموذج، يمكن دمج عدة نماذج في المستقبل لتحقيق دقة أعلى ومعدل إنذار كاذب أقل.
يوضح الشكل 8 الأداء المتفوق لنماذج DL مقارنة بخطوط التعلم الآلي التقليدية، مع الحفاظ على قيم F1 بين 0.96 و0.99، خاصة على مجموعات البيانات غير المتوازنة. ومع ذلك، لا يزال أداء التنبؤ في فئة U2R أقل من المستوى في الفئات الدقيقة، وأداء تصنيف الهجمات السيبرانية هو فقط 0.49. يجب تحسين أداء التعرف على بعض فئات العينات (بما في ذلك U2R، الهجمات السيبرانية، BFA، والبوت نت)، وفقا للنتائج المجمعة في الشكل 9 والشكل 10.
في المرحلة الثالثة، تم استخدام 13 مصنفا واحدا، وهو مطابق للمصنفين السابقين لكنه يركز على الفئة الأقلية، لمقارنة أداء HMC. تصميم HMC المبني على AdaBoost يتفوق على التغليف بالأكياس، وفقا للنتائج. في فئة U2R، حصلت فئة HMC القائمة على AdaBoost على درجة F1 تبلغ 0.5 (بينما F1 الأولية هي 0)، بينما حصلت فئة HMC القائمة على Bagging على درجة F1 تبلغ 0.67 (مع 0.4 كفئة F1 الأولية) لفئة الأقليات. حصلت HMC المبنية على AdaBoost على درجة F1 بلغت 0.88 (بينما كانت F1 الأصلية 0.71)، بينما حصلت HMC القائمة على Bagging على درجة F1 بلغت 0.9 (وكانت F1 الأصلية 0) لفئة هجوم الشبكة. تظهر هذه النتائج أن استراتيجيات التعلم الجماعي (مثل AdaBoost وBagging) تحسن بشكل كبير القدرة التنبؤية لعدة مصنفات على فئات الأقليات.
حالة محاكاة الهجوم
للتحقق بشكل أكبر من عملية ومتانة النموذج المقترح في بيئة الشبكة الفعلية، صممت هذه الورقة ونفذت حالة محاكاة هجوم وأجرت تجربة محاكاة على سيناريو هجوم DDoS. بيئة المحاكاة مبنية على منصة حوسبة سحابية افتراضية، تستخدم عدة مضيفين افتراضيين لمحاكاة التفاعل بين المستخدمين العاديين والمهاجمين. يتضمن سيناريو المحاكاة بيئة شبكة مختلطة حيث يتعايش الوصول الطبيعي للأعمال وحركة المرور الخبيثة.
في التجربة، أطلق المهاجم هجمات فيضان UDP وهجمات SYN Flood على الخادم المستهدف عبر عناوين IP مصادر، محاولا استنفاد موارد النظام المستهدف والتأثير على توفر الخدمات العادية. يقوم النظام بجمع معلومات حركة المرور الشبكية باستمرار، وتستخدم المعلمات الرئيسية المتعلقة بمعدل الإرسال، مدة الجلسات، تردد الوصول إلى المنفذ، وعدد الاتصالات غير الطبيعية.
يتم تنفيذ النموذج المقترح لتقييم الثقة واكتشاف الهجمات في عقدة المراقبة لتحليل وتصنيف حركة المرور في الوقت الحقيقي. يمكن للنظام تسجيل التعرف الناجح في المراحل الأولى من الهجوم من خلال نموذج سحابة الثقة وآلية التمييز بين التصنيفات المتعددة، وتحديد الأسماء المشبوهة بكفاءة على أنها منخفضة الثقة وتفعيل آلية استجابة.
تشير نتائج المحاكاة إلى أنه عندما يمثل حركة الهجوم المحاكاة أكثر من 30٪ من إجمالي الحركة. حقق النظام المقترح دقة كشف بنسبة 96٪، ومعدل إيجابي كاذب منخفض بنسبة 3٪، وكمون استجابة أقل من ثانيتين تحت ظروف DDoS محاكاة. تؤكد هذه النتيجة أن هذا النموذج يوفر فرصا واعدة في التطبيقات في مواجهة الهجمات الموزعة وتعزيز قدرات الدفاع الأمني للنظام.
علاوة على ذلك، وسعت هذه التجربة أيضا اختبار الهجمات متعددة الجولات والهجمات غير المستمرة. يحتفظ النموذج باستقرار عالي في الكشف، مما يدل على قدرته الجيدة على التعميم في ظروف الشبكة الديناميكية المعقدة. سيتم توسيع أنواع الهجمات في المستقبل، بما في ذلك حقن البيانات، وهجمات التصيد الاحتيالي، وغيرها، لاختبار مرونة وقابلية التوسع للنموذج بالكامل مع مجموعة متنوعة من التهديدات.
يمثل الجدول 5 الأهمية الإحصائية لتحسن الأداء. يعرض هذا الجدول نتائج اختبارات t المزدوجة التي تقارن النماذج الأساسية مع إطار العمل المقترح لتعلم التعلم الآلي-HMC-الثقة من حيث مقاييس الأداء الرئيسية. يتكون الجدول من قيم المتوسط والانحراف المعياري، قيم t، قيم p، ومستويات الدقة، ودرجة F1، واكتشاف فئة الأقلية، ومعدل الإيجابيات الكاذبة، وكمون الكشف.

الشكل 1: منهجية تمثيل التدفق. مخطط انسيابي يوضح إطار العمل المقترح لسحابة SDN الذي يدمج التعلم الآلي التكيفي، والتصنيف الهرمي، وتقييم الثقة لاكتشاف الهجمات في الوقت الحقيقي. يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 2: بنية خدمات السحابة. يوضح الشكل نموذج الخدمة السحابية العام المطبق في البحث، وطبقة التحكم، وطبقة إعادة توجيه البيانات، وطبقة الخدمة. تتكون البنية من وحدة تحكم Ryu OpenFlow، وعقد Open vSwitch، ومضيفين سحابيين افتراضيين. جميع الاتصالات هي تدفق بيانات في الوقت الحقيقي وتفاعلات حالة الرابط. يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 3: نموذج طوبولوجيا الشبكة. يوضح الشكل طوبولوجيا الشبكة الافتراضية ذات الطبقات الثلاث المبنية في بيئة السحابة. يتضمن عقد المضيف، وطبقات التبديل، وتأخيرات الربط المحاكاة، بالإضافة إلى حدود عرض النطاق الترددي. تمكن الطوبولوجيا فصل حركة المرور، والتوجيه متعدد المسارات، وإعادة توجيه تدفق الهجوم (في الوقت الحقيقي). يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 4: بنية كشف الأمان المعتمدة على HMC. يوضح الشكل تسلسل هرمي التصنيف متعدد الفئات الذي يجمع بين التعلم الجماعي، وتقييم الثقة، واكتشاف التهديدات متعدد المستويات. تمثل الكتل مراحل التصنيف، وتعرض التدفق من كشف الهجوم الخشن إلى الكشف الدقيق الحبيبات. يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 5: عملية تقييم الثقة القائمة على نموذج السحابة. يمثل الشكل الخطوات الست لعملية تقييم الثقة من خلال توليد سحابة الثقة العادية، واستخراج السمات، وتكوين سحابة السمات، وحساب التشابه السحابي، وتصنيف على مستوى الثقة، وتحديث الثقة الديناميكي. يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 6: أداء التعلم الآلي على مجموعة بيانات DDoS. يفحص الشكل كيف تؤدي ثمانية نماذج كلاسيكية للتعلم الآلي في ترتيب ثنائي لحركة الهجوم العادية مقابل حركة هجمات DDoS. المقاييس هي الاستدعاء، الدقة، نتيجة الفورمولا 1، والدقة العامة. تعكس أشرطة الخطأ التباين من خلال التحقق المتقاطع الخماسي (5 أضعاف). يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 7: أداء نموذج التعلم العميق على مجموعة بيانات DDoS. يظهر الشكل أداء التصنيف الثنائي لنماذج MLP وCNN وRNN وLSTM وGRU. تشير القياسات إلى أداء النموذج في سلسلة من دورات التدريب. يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 8: أداء مصنف التعلم الآلي الواحد مقابل HMC. يوضح الشكل مقارنة بين التصنيف الهرمي المتعدد والمصنف التقليدي لهجمات الأقليات مثل U2R وR2L. تعرض درجات F1، بما في ذلك أشرطة الخطأ التي تشير إلى التفاوت بين التجارب المتكررة. يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 9: أداء مصنف التعلم العالي مقابل التعلم العميق. تشير القيمة إلى تعزيز الكشف متعدد الفئات باستخدام HMC في نماذج DL. يتم إبراز أداء الأقلية، وتحسن بشكل ملحوظ مقارنة بنماذج DL الفردية. يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.

الشكل 10: نتائج محاكاة هجوم DDoS. يظهر الشكل مخرجات المراقبة في الوقت الحقيقي للتجربة على محاكاة الهجوم، والتي تشير إلى معدل حركة المرور، وعدد الاتصالات غير الطبيعية، وزمن استجابة طريقة الكشف، ومخرجات تصنيف النظام. تشير أشرطة المقياس إلى الوقت (بالثواني) وحجم حركة المرور. يرجى الضغط هنا لعرض نسخة أكبر من هذا الشكل.
| النموذج | معدل التعلم | حجم الدفعة | العصور | وظيفة التفعيل |
| MLP | 0.001 | 64 | 30 | ReLU |
| سي إن إن | 0.0005 | 32 | 50 | ليكي ريلو |
| RNN | 0.001 | 64 | 40 | تانه |
| LSTM | 0.0001 | 128 | 60 | سيغمويد |
| GRU | 0.001 | 64 | 45 | ReLU |
الجدول 1: إعدادات معلمات نموذج التعلم العميق. يحتوي هذا الجدول على المعلمات الفائقة لتجارب التعلم العميق: حجم الدفعة، معدل التعلم، عدد الفترات الزمنية (epochs)، ومواصفات البنية.
| معرف العينة | زمن أخذ العينات (ثواني) | درجة الثقة ExExEx | إنتروبيا إنين | الفوضى الفائقة هي هي | درجة التشابه | مستوى الثقة |
| 1 | 10 | 0.75 | 0.65 | 0.8 | 0.85 | عالي |
| 2 | 20 | 0.8 | 0.6 | 0.75 | 0.82 | عالي |
| 3 | 30 | 0.68 | 0.7 | 0.85 | 0.8 | الوسيط |
| 4 | 40 | 0.6 | 0.72 | 0.9 | 0.78 | الوسيط |
| 5 | 50 | 0.5 | 0.8 | 0.95 | 0.7 | منخفض |
| 6 | 60 | 0.45 | 0.85 | 0.96 | 0.65 | منخفض |
الجدول 2: قيم عينات النظام وتحليل حالة الشبكة. يقدم هذا الجدول بعض قيم عينة بيئة السحابة، مثل إحصائيات حركة المرور، وقيم الثقة، ومخرجات التصنيف.
| المصنف | الدقة | الدقة | الاستدعاء | نتيجة الفورمولا 1 |
| شجرة القرار (DT) | 85.20% | 84.30% | 86.10% | 85.20% |
| الغابة العشوائية (RF) | 90.10% | 89.30% | 91.00% | 90.10% |
| نايف بايز (NB) | 82.50% | 81.70% | 83.40% | 82.50% |
| أقرب جيران (KNN) | 87.40% | 86.80% | 88.10% | 87.40% |
| SVM-RBF | 88.90% | 88.10% | 89.50% | 88.80% |
| SVM الخطي (L-SVM) | 87.80% | 87.20% | 88.50% | 87.80% |
| التغليف | 91.20% | 90.50% | 91.70% | 91.10% |
| التعزيز | 92.30% | 91.90% | 92.60% | 92.20% |
الجدول 3: مقارنة أداء مصنفات التعلم الآلي. يعرض الجدول الاستدعاء، والدقة، والدقة، ودرجات F1 لجميع نماذج ML التي تم اختبارها.
| النموذج | الدقة | الدقة | الاستدعاء | نتيجة الفورمولا 1 |
| MLP | 89.50% | 88.70% | 90.30% | 89.50% |
| سي إن إن | 91.20% | 90.70% | 91.50% | 91.10% |
| RNN | 88.30% | 87.60% | 88.80% | 88.20% |
| LSTM | 92.10% | 91.80% | 92.40% | 92.10% |
| GRU | 91.80% | 91.40% | 92.10% | 91.70% |
الجدول 4: مقارنة أداء مصنفي التعلم العميق. يقدم هذا الجدول مقاييس أداء نماذج MLP وCNN وRNN وLSTM وGRU بناء على الكشف متعدد الفئات.
| مقياس الأداء | المتوسط الأساسي (SD) | متوسط النموذج المقترح (SD) | قيمة t | قيمة p | الأهمية |
| الدقة | 0.89 (0.04) | 0.96 (0.02) | 8.72 | <0.001 | أهمية |
| F1-Score | 0.84 (0.05) | 0.94 (0.03) | 9.15 | <0.001 | أهمية |
| كشف فئة الأقليات (U2R/R2L) | 0.52 (0.08) | 0.81 (0.06) | 10.44 | <0.001 | أهمية |
| معدل الإيجابيات الكاذبة | 0.11 (0.03) | 0.04 (0.02) | –7.98 | <0.001 | أهمية |
| زمن الاستجابة للكشف (ثواني) | 3.10 (0.41) | 1.82 (0.33) | –9.27 | <0.001 | أهمية |
الجدول 5: الدلالة الإحصائية لتحسن الأداء. يعرض هذا الجدول نتائج اختبارات t المزدوجة التي تقارن النماذج الأساسية مع إطار العمل المقترح لتعلم الآلة التكيفي -HMC-Trust من حيث المقاييس الرئيسية للأداء. يتكون الجدول من قيم المتوسط والانحراف المعياري، قيم t، قيم p، ومستويات الدقة، ودرجة F1، واكتشاف فئة الأقلية، ومعدل الإيجابيات الكاذبة، وكمون الكشف.
يعتمد النشر الفعال لهذا البروتوكول على خطوات حاسمة ضمن البنية السحابية. التكوين الصحيح لوحدة تحكم Ryu OpenFlow، والإعداد الصحيح لقواعد Open vSwitch، وتكوين طوبولوجيا متعددة الطبقات القوي ضرورية لضمان التقاط حركة المرور بالكامل. اختيار ريو كوحدة تحكم وOpen vSwitch كمنصة تبديل يعزز بشكل كبير القيمة العملية للنظام؛ خصائصها الخفيفة الوزن والقابلة للبرمجة بالكامل تجعلها مثالية لمراقبة الشبكة في الوقت الحقيقي، والتحكم الديناميكي في التدفق، وإدارة الأمان القابلة للتوسع عبر البنى التحتية السحابية. وبالمثل، يجب تنفيذ خط معالجة ما قبل المعالجة - بما في ذلك التنظيف، والتطبيع، والتعليق - بدقة لمنع التحيز أثناء التصنيف الهرمي، مع معالجة التعقيدات الكامنة في تحليلات أمن السحابة.
خلال فترة النشر، كان هناك حاجة لعدة تعديلات لضمان الأداء الأمثل. أظهرت نماذج المجموعات في البداية ملاءمة مفرطة في فئات الأقليات، مما تطلب ضبط عمق المتعلم الضعيف وأوزان التصويت، مما يعكس التحديات الموجودة في اكتشاف الشذوذ. لتقليل تقلبات قيمة الثقة الناتجة عن حركة المرور الضوضاء، تم إعادة معايرة معلمات الإنتروبيا والانحلال في نموذج السحابة. علاوة على ذلك، تم حل عنق الزجاجة في خطوط أنابيب Kafka-Spark للبث من خلال توسيع تقسيم المواضيع لدعم بيئات سحابية عالية الإنتاجية.
تظهر النتائج التجريبية من المحاكاة في Mininet وEstiNet، بالإضافة إلى التقييمات باستخدام حركة مرور السحابة الحقيقية ومجموعات بيانات DDoS، أن نهج دمج ML-HMC-الثقة المقترح يوفر تحسينات واضحة في دقة الكشف، وتقليل الإيجابيات الكاذبة، والاستجابة في الوقت الحقيقي. يؤكد هذا فعالية مواءمة خوارزميات التعلم التكيفي مع نموذج تصنيف هرمي لتفكيك مهام اكتشاف الهجمات متعددة الفئات المعقدة. يقدم هذا النهج مزايا كبيرة مقارنة بالأطر التقليدية غير التفاعلية والمعتمدة على القواعد، التي تواجه صعوبة في تقنيات الهجوم الديناميكي والتهديدات من فئة الأقليات. تحديدا، من خلال دمج HMC مع AdaBoost وBagging، يحقق البروتوكول دقة أعلى في الكشف الدقيق لفئات الهجوم النادرة مثل U2R وR2L، مما يعالج حدود عدم توازن الفئات في نماذج التعلم الآلي المفردة. بالإضافة إلى ذلك، يعزز نموذج الثقة الديناميكي قدرات اتخاذ القرار في المواقف غير المؤكدة.
على الرغم من هذه التطورات، يخضع البروتوكول لقيود معينة تم الإبلاغ عنها في الأعمال ذات الصلة. لا تزال تقنيات التعلم الآلي تواجه تحديات شديدة بسبب اختلال كبير في البيانات، خاصة في هجمات U2R وR2L8. نماذج التعلم العميق، رغم قوتها، تتطلب موارد حسابية كبيرة وقد تظهر زمن استجابة في سيناريوهات السحابة في الوقت الحقيقي12,13. التعلم الجماعي يعزز التعميم لكنه يزيد من استهلاك الموارد ووقت الاستدلال14. وبالمثل، أظهرت أنظمة الثقة في نماذج السحابة عرضة للمدخلات السلوكية الصاخبة أو المتطورة ديناميكيا، بما يتوافق مع النتائج السابقة16. تتميز الطريقة المقترحة بتصميم معياري مناسب للبيئات السحابية الكبيرة والبيئات الحوافية، مما يتيح التكامل مع أنظمة التعلم الفيدرالي، والحوسبة الضبابية، وأنظمة إنترنت الأشياء السحابية الموزعة. بينما ركزت الدراسة الحالية على التحقق الوظيفي في سيناريوهات متوسطة النطاق، ستمتد الأبحاث المستقبلية إلى بيئات سحابية واسعة النطاق موزعة بدرجة عالية وبنى شبكات SDN متعددة التحكم لتعزيز تحمل الأخطاء. تشمل التمديدات المخطط لها أيضا التحقيق في تكييف الثقة القائم على التعلم المعزز، وقدرات يوم الصفر، والتكامل الأعمق مع مصادر استخبارات التهديدات لمواجهة التهديدات الناشئة مثل التصيد الاحتيالي والشبكات البوتية. من خلال توحيد تقييم التعلم الآلي التكيفي، والرعاية العالية والرعاية البشرية، والثقة ضمن منظومة SDN، يوفر هذا البحث مسارا استراتيجيا نحو أنظمة دفاع سحابية أكثر ذكاء ومرونة واستباقية.
المؤلفون ليس لديهم ما يكشفون عنه.
يعبر المؤلفون عن امتنانهم لقسم المعلومات في مركز شنغهاي للبروتون والأيونات الثقيلة لتوفير الموارد الحاسوبية الأساسية وبيئة البحث المطلوبة لهذه الدراسة. كما نعبر عن تقديرنا لزملائنا على رؤاهم التقنية القيمة خلال مراحل تصميم النظام والاختبار.
| Name | Company | Catalog Number | Comments |
|---|---|---|---|
| AdaBoost (مكتبة التعلم الجماعي) | Scikit-learn، بايثون | https://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.html | البرمجيات |
| مصنف التعبئة | Scikit-learn، بايثون | https://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.html | البرمجيات |
| كود تقييم الثقة في نموذج السحابة | تنفيذ مخصص | لا يوجد | الخوارزمية/البرمجيات |
| الشبكة العصبية الالتفافية (CNN) | تينسورفلو / بايتورش | https://www.tensorflow.org/tutorials/images/cnn | البرمجيات |
| أطر التعلم العميق (MLP، RNN، LSTM، GRU) | تينسورفلو / بايتورش | البرمجيات | |
| محاكي شبكة إستينت | تقنيات إستينت | https://sites.google.com/view/estinet-network-simulator | البرمجيات |
| كافكا (منصة تدفق البيانات) | مؤسسة أباتشي | https://kafka.apache.org/ | البرمجيات |
| مجموعة بيانات KDD CUP 10٪ | مستودع تعلم الآلة في UCI | http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html | مجموعة البيانات |
| محاكي مينينت | مشروع مينينت | مينينت 2.3.1 | محاكاة الشبكة لطوبولوجيا SDN، وعرض النطاق الترددي، ومحاكاة الهجوم المختلط. |
| فتح vSwitch (OVS) | افتح vSwitch Org | OVS 3.2.2 | المفتاح الافتراضي ينفذ التحكم في جدول التدفق وإعادة توجيه حركة الهجوم. |
| منصة OpenStack السحابية | مؤسسة البنية التحتية المفتوحة | https://www.openstack.org/ | برامج السحابة |
| بايثون 3.x | مؤسسة بايثون للبرمجيات | https://www.python.org/downloads/ | لغة البرمجة |
| وحدة تحكم SDN ريو | NTT R& D | ريو 4.34 | وحدة تحكم SDN لالتقاط حركة مرور الشبكة في الوقت الحقيقي وزيادة الوعي بالموقف. |
| إطار عمل سبارك ستريمينغ | مؤسسة أباتشي | https://spark.apache.org/docs/latest/streaming-programming-guide.html | البرمجيات |
| مترجم Visual C++ (VC++) | مايكروسوفت | https://visualstudio.microsoft.com/ | البرمجيات |
| محطة العمل ويندوز 11 | مايكروسوفت | ويندوز 11 برو 23H2 | يستخدم نظام التشغيل لتجميع النماذج والتدريب والاختبار. |
Request permission to reuse the text or figures of this JoVE article
Request Permission