论文提出了一种基于机器学习(ML)的自适应网络安全解决方案,集成了层级多标签分类和动态信任评估系统,以提升威胁检测的准确性并减少误报数量。
Method Article
论文提出了一种基于机器学习(ML)的自适应网络安全解决方案,集成了层级多标签分类和动态信任评估系统,以提升威胁检测的准确性并减少误报数量。
本研究提出了一种新的网络安全态势感知和风险预警框架,集成了自适应机器学习(ML)、分层多标签分类(HMC)以及基于云模型的动态信任评估机制。新兴网络攻击的复杂性、多样性和实时性——如零日漏洞利用、分布式拒绝服务(DDoS)和僵尸网络——对传统的基于规则和静态检测方法构成了重大挑战。为应对这些挑战,我们开发了一套有效的基于SDN的云架构,利用Ryu OpenFlow控制器和OpenFlow交换机。该架构支持实时链路信息收集、动态调度以及可扩展、可靠的数据传输。所建议的分层分类框架可以将多类问题拆分为二元任务,减轻样本失衡的影响,并增强对低频攻击(包括用户到根(U2R)的识别能力。集成学习技术,包括AdaBoost和Bagging,进一步提升了细粒度攻击类型的检测准确率。对DDoS数据集、云流量数据以及Mininet和EstiNet模拟的实验表明,ML-HMC-trust结合方法显著提升了检测精度,减少误报,并实现了实时响应。这些结果证实了,整合自适应学习、分层分类和动态信任评估为保障大型云平台提供了稳健且可扩展的解决方案。
随着云计算技术在各行业的广泛应用,信息系统中数据的规模和数量迅速增加,网络威胁变得更加复杂、隐蔽和动态化 1,2。基于规则和静态模型的传统安全防御机制已无法满足在面对攻击策略变化、零日漏洞和大规模分布式攻击时,实现实时检测和准确预警的需求。3.因此,利用自适应机器学习算法在云计算平台上全面整合分布式数据处理和智能分析能力,实现对网络安全形势的全面感知和有效的信息风险预警,是当前信息安全格局中的关键挑战。.该研究不仅在理论上对完善现有安全保护体系具有重要意义,也为保障国家关键信息基础设施和企业核心数据的安全提供了有力支持。
在云计算环境中实现网络安全态势感知和信息风险预警面临多重挑战:云平台中汇总的数据类型众多且来源复杂,使得数据预处理、特征提取和融合任务日益艰巨;面对日益增长的网络流量和快速变化的攻击场景,系统必须在极短时间内响应,实时检测和预警已成为技术瓶颈;普通流量的数量与攻击流量差异很大,传统算法在处理小样本类别(如U2R、网络攻击等)时准确性较低,存在较大误判风险;在复杂的网络环境中,信任关系受多种因素影响,且是随机且不确定的 6,7。基于固定阈值的传统信任评估方法难以反映真实情况,且容易被异常数据干扰。为解决这些多维局限性,本研究提出了一个集成框架,协同自适应机器学习、分层多标签分类和基于云模型的动态信任评估机制。这种在SDN驱动云环境中应用的技术融合,超越了增量式优化,实现了对低频攻击的细粒度识别、实时信任适应和可扩展态势感知,而现有方法尚未同时实现这些。
云计算环境会产生庞大、高度动态且异构的网络流量,使得传统的入侵检测系统(IDS)无法准确识别如U2R和R2L等复杂且少数的攻击类型。现有基于深度学习(DL)的IDS解决方案提高了检测准确性,但仍存在较高的计算开销、响应缓慢以及对网络实体间不确定或不断变化的信任关系处理不佳的问题。此外,大多数现有模型作为扁平分类器运行,缺乏细粒度、层级决策或动态信任评估的机制。这些局限在开发能够同时实现实时检测、准确的少数族裔识别和可靠信任感知风险评估的IDS中,形成了关键空白。
在现有的网络安全态势感知和信息风险预警研究中,许多研究采用了K最近邻(KNN)和支持向量机(SVM)等方法来分类和检测网络流量。这些算法具有高计算效率和易于实现的优势,尤其是在对大量数据进行初步筛查时 8,9。然而,它们的主要缺点体现在多个方面:面对大多数正常流量和少量攻击样本的云环境中,这些传统机器学习方法常常忽略少数类别的信息,导致细粒度攻击(如U2R、网络漏洞攻击等)识别率较低;单模型通常对噪声和数据异常值敏感,缺乏适应动态变化攻击场景的能力,且容易出现过拟合或泛化不足(10,11)。
近年来,多层感知器(MLP)、卷积神经网络(CNN)、循环神经网络(RNN)、长短期记忆网络(LSTM)和门控循环单元(GRU)等深度学习方法在网络安全领域被越来越多地应用。借助深度神经网络强大的特征学习和非线性映射能力,这些方法显著提高了检测准确率,并增强了复杂攻击行为捕捉能力,相较于传统ML12。然而,它们对计算资源和训练数据的要求很高。尤其是在云计算环境中的大数据流量背景下,训练开销和实时推理速度仍有提升空间。在识别样本较少的类别时,由于数据不平衡,DL模型对某些细粒度攻击(如U2R、僵尸网络)的检测率较低,原因是类别偏差13。为弥补单一模型在处理数据失衡和多类攻击识别方面的局限性,一些研究提出了基于集合学习的解决方案,如Bagging和Boosting,通过结合多个分类器的决策来扩展整体预测准确率14。同时,层级多类分类(HMC)架构将多类分类问题分解为多个二元分类子问题,从而实现了样本较少类别更精细的识别。然而,集成模型常面临高计算资源使用和部署响应时间增加等问题,尤其是在云计算实时监控系统中,实时需求会增加系统资源压力15。
针对网络中动态信任关系评估的问题,一些研究引入了云模型理论,该理论通过描述每个实体信任属性的模糊性和随机性来构建信任关联云,然后利用云滴、熵、超熵及其他指标进行定量评估。.面对实时更新的网络信任数据时,现有云模型方法的更新率和计算效率可能难以满足高频动态警告的需求;该模型对评估数据高度敏感,异常数据或噪声信息可能对整体信任评估产生重大干扰,影响后续的风险预警决策。
鉴于当前在检测准确性、实时性能、数据平衡处理和信任评估等方面的诸多不足,本文提出了一种新的防御系统,全面利用自适应机器学习算法、分层多类分类策略和云模型信任评估,用于云计算环境中的网络安全态势感知和信息风险预警。
该研究通过利用云计算技术,解决智能船舶网络的实时网络安全。它提出了一个多传感器节点框架用于检测恶意攻击数据,并利用自执行的防护策略节点拦截威胁。结果显示病毒入侵检测和防御率为85-95%,假阳性率为2.56%,显著优于其他算法。然而,该方法在实际部署中需要高计算资源和云基础设施限制。Aslan等人提供了一套 基于行为的智能恶意软件检测系统,应用于云计算环境。它生成了跨虚拟机的恶意软件数据集,并利用基于学习和规则的检测代理工具对恶意软件和良性样本进行分类。对1万个项目样本的评估显示,检测率和FPR均表现优异。尽管如此,该方法存在扩展性问题,涉及不断变化的恶意软件变种和大规模、实时云部署。
尽管这些研究贡献显著,但更详细的比较显示,大多数现有解决方案未能满足云环境中实时态势感知或动态信任模型的假设和需求。传统的机器学习技术假设特征边界在空间中固定,并在类别不平衡和高度动态的交通动态中失效 8,9,10。DL模型具有出色的特征提取能力,但计算能力消耗较高,这使得推理过程在实时监控中变得缓慢且不切实际(12,13)。基于集成和HMC的方法更为准确,但需要更高的延迟和资源,目前尚未部署于大规模云中14,15。与此同时,云模型信任评估技术能够很好地捕捉不确定性,但对噪声数据仍然高度敏感,且在高频攻击流16、17、18、19下无法高效更新信任值。即使是最近的基于云的IDS框架,也缺乏对实时检测和信任感知决策的强健集成支持(20,21)。这些限制共同凸显了高效、统一且信任驱动的入侵检测框架的必要性。本研究通过将自适应机器学习、HMC和基于云模型的动态信任评估整合到支持SDN的云架构中,克服了这些局限,实现了实时检测、提升少数族裔阶级准确性和不确定性感知的风险评估。
本文的创新主要体现在以下方面:基于Ryu OpenFlow控制器和OpenFlow交换机构建了高效的分布式网络架构,实现链路信息的实时收集和动态调度,从而大幅提升数据传输效率和处理能力。
鉴于数据失衡和少样本攻击识别带来的困难,设计了一个自上而下的HMC框架,并引入了AdaBoost和Bagging等集成学习方法,以显著提升细粒度攻击类别的检测准确率。
云模型理论用于构建信任关联云。通过逆生成器和相似性计算,实现了网络中每个实体信托状态的动态评估,为风险预警提供定量基础,有效抑制低价或高价异常交易引发的信用投机。
注意:该协议描述了如何构建基于云的网络安全态势感知系统,并实现带有动态信任评估的层级分类。请按照以下步骤设计云网络拓扑,收集并注释数据流,并部署分层多类分类和信任评估模块。 图1 展示了所提出的SDN云框架,整合了自适应机器学习、分层分类和信任评估,用于实时攻击检测。
1. 云网络拓扑设计
注意:在继续前,请确保对OpenStack、Ryu和Mininet有管理员访问权限。
2. 数据流收集与注释策略
注意:务必遵守数据隐私法规(如GDPR、本地网络安全政策)。预先匿名化用户标识和IP地址。
3. 层级分类与信任评估集成架构
4. 信任云模型的计算与实现(见图5)














5. 攻击检测性能的实验验证
实验验证与性能分析
基于云的验证
为了测试所提算法的效率和可行性,在受控网络实验室环境中进行了模拟测试。验证在 Windows 操作系统上进行,核心算法由 VC(Visual C++)编程工具编写。
对于实验数据,我们选择了入侵检测和网络行为建模中常见的公开KDDCUP_10%数据集(http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html)。一般的实验过程与前述 方法非常相似,旨在确保结果的可比性和可信度。
主要算法参数设置为:时间区间T = 10秒;抽样轮数 h = 20;数据样本 n = 1000。
利用这些参数计算了信任云模型的数字特性。随后,使用云相似度算法识别候选对象中最相似的信任云,从而实现了网络状态的分类和评估。
表2 显示了所选系统样本的数值及网络分析结果。这些数据证实了所建议的基于云的信任评估系统有潜力高效地表示和封装多维网络环境的动态性与不确定性。
该实验确认了将云模型与实时信任评估结合实现的可能性,并为在自适应安全管理系统中的进一步应用提供了框架。
攻击验证
为了对本实验中提出的算法性能进行全面验证,有必要评估云计算环境中二进制分类、多分类和HMC的攻击检测能力。实验评估分为三个主要阶段:应用DDoS攻击数据以检查AI模块的功能,评估各种机器学习算法的功能,以及分析DL模型预测攻击的功能。
二分类性能验证
实验第一阶段,利用DDoS攻击数据集验证AI模块,其主要目的是测试模型在云计算环境中的预测准确性。我们采用了五折交叉验证方法,训练数据与测试数据的比例设置为8:2,即80%的数据用于训练,20%用于测试。每个实验中,使用不同的测试集来验证模型,以确保每个样本作为测试集出现一次。训练过程持续了5个纪元,取出平均结果。
数据集分为两组:正常和异常。为了比较不同分类器的性能,我们选择了以下八种常见的机器学习分类器:决策树(DT)、随机森林(RF)、朴素贝叶斯(NB)、K最近邻(KNN)、支持向量机(RBF核)(SVM-RBF)、线性支持向量机(L-SVM)以及用于集成学习的袋装和增强算法。性能比较结果如图6所示。通过对这些分类器的性能比较,它们在DDoS攻击检测中的表现可以被全面评估,20,21。
多分类性能验证
在实验的第二阶段,数据集扩展为多分类问题,涉及不同类型的网络攻击,包括DDoS、用户对root攻击(U2R)、远程本地攻击(R2L)、普通数据等。多分类问题测试模型识别和组织多种攻击类型的能力。
验证使用了五种DL分类器,包括MLP、CNN、RNN、长短期记忆(LSTM)网络和GRU网络。每个模型的具体参数设置见 表1、 表3和 表4。在进行多分类验证时,会详细评估模型在多个类别中的精度和召回率。
HMC多级表现的验证
第三阶段,HMC算法被用来比较上述所有机器学习和深度学习模型在多类分类任务中的表现。HMC算法通过将复杂的多类问题分解为多个二元分类子问题,显著提高了检测细粒度攻击(如U2R、R2L等)的准确性。HMC的优势通过提升攻击检测准确性相较于传统分类方法得到验证。
实验结果与分析
通过上述三个阶段的实验,我们获得了不同攻击类型下每个分类器和DL模型的性能指标。 表3 展示了不同分类方法中的性能指标,如准确率、召回率、F1值等。在实验中,HMC在多类攻击的检测中表现出高的准确性和鲁棒性,尤其是在处理U2R和R2L攻击时。与传统的单向显微镜和射频方法相比,HMC取得了显著改进。
通过这些实验结果,我们验证了所提AI模块在云计算环境中攻击检测的有效性,并为后续模型优化和应用部署提供了可靠基础。
实验结果显示,在机器学习模型中,决策树(DT)、随机森林(RF)和集合方法(装袋、提升)表现更优,F1得分达到1.0。这验证了他们在区分DDoS模式与普通流量方面的能力和精准度。相比之下,朴素的贝叶斯(NB)模型在异常数据包预测中表现不佳,F1分数为0.62,表明该模型在面对复杂攻击类型时存在一定的误分类风险。
图7显示了MLP、CNN、RNN、LSTM和GRU的表现。优化参数后,DL模型的二元F1分数分别为0.93和0.98,表明DL模型在处理时间序列数据和复杂模式识别时,有效捕捉了深度数据特征,且表现优于传统机器学习模型。
综合分析显示,决策树、集合学习方法和神经网络模型在检测DDoS攻击方面表现优异,但在特定应用中,选择合适模型仍需考虑攻击类型、数据量和计算资源等因素。为进一步增强模型的检测能力,未来可集成多个模型以实现更高的精度和更低的误报率。
图8展示了DL模型优于传统机器学习基线的性能,F1值在0.96至0.99之间,尤其是在不平衡数据集上。不过,U2R类别在细致类别的预测表现仍然不尽如人意,网络攻击分类表现仅为0.49。根据 图9 和 图10的综合结果,部分样本类别(包括U2R、网络攻击、BFA和僵尸网络)的识别性能需要提升。
第三阶段使用了13个单一分类器,这些分类器与之前相同,但专注于少数类别,用于比较HMC的性能。基于AdaBoost的HMC设计在结果中优于装袋。在U2R组别中,基于AdaBoost的HMC为F1分数为0.5(初始F1为0),而基于包装的HMC少数族裔组的F1分数为0.67(初始F1为0.4)。基于AdaBoost的HMC在网络攻击类别中获得了0.88的F1得分(原F1为0.71),而基于包包的HMC在网络攻击类别中获得了0.9的F1分数(原F1为0)。这些结果表明,集合学习策略(如AdaBoost和Bagging)显著提升了少数群体多分类器的预测能力。
攻击模拟情形
为了进一步验证所提模型在实际网络环境中的实用性和鲁棒性,本文设计并实现了一个攻击模拟案例,并进行了DDoS攻击场景的模拟实验。该模拟环境基于虚拟云计算平台,利用多个虚拟主机模拟普通用户与攻击者之间的交互。模拟场景包括一个混合网络环境,其中普通业务访问与恶意流量共存。
在实验中,攻击者通过多个源IP对目标服务器发动UDP洪水攻击和SYN洪水攻击,试图使目标系统资源耗尽并影响正常服务的可用性。系统不断收集网络流量信息,并使用与传输速率、会话持续时间、端口访问频率及异常连接计数等主要特征参数。
在监控节点中实现了信任评估和攻击检测模型,用于分析和分类实时流量。系统可通过信任云模型和多分类识别机制记录攻击早期成功识别,并高效标记可疑对象为低信任并激活响应机制。
模拟结果表明,当模拟攻击流量占总流量的30%以上时,该系统在模拟DDoS条件下实现了96%的检测准确率、3%的低误报率和不到2秒的响应延迟。这一结果证实了该模型在应对分布式攻击和增强系统安全防御能力方面具有有前景的应用机会。
此外,该实验还扩展了多轮攻击和非连续攻击的测试。该模型保持较高的检测稳定性,表明其在复杂动态网络条件下具有良好的泛化能力。未来攻击类型将进一步扩展,包括数据注入、网络钓鱼攻击等,以全面测试模型在多种威胁下的灵活性和可扩展性。
表5 代表了绩效改进的统计显著性。下表展示了对t检验的结果,这些测试将基线模型与拟议的自适应机器学习-HMC-Trust框架在主要性能指标方面进行比较。该表包含均值和标准差值、t值、p值,以及准确率、F1分数、少数族裔检测率、假阳性率和检测延迟的显著水平。

图1:方法论流程表示。流程图展示了所提的SDN云框架,整合了自适应机器学习、层级分类和信任评估,用于实时攻击检测。请点击此处查看该图的放大版本。

图2:云服务架构。 图示展示了研究中应用的通用云服务模型:控制层、数据转发层和服务层。该架构由 Ryu OpenFlow 控制器、Open vSwitch 节点和虚拟化云主机组成。这些连接都是实时数据流和链路状态交互。 请点击此处查看该图的放大版本。

图3:网络拓扑模型。 图中展示了云环境中构建的三层虚拟网络拓扑结构。它涉及主机节点、交换层、模拟链路延迟以及带宽限制。该拓扑支持流量分离、多径路由和攻击流重定向(实时实现)。 请点击此处查看该图的放大版本。

图4:基于HMC的安全检测架构。 图示了结合集合学习、信任评估和多层次威胁检测的多类别分类层级结构。这些块代表分类阶段,显示从粗粒度到细粒度攻击检测的流程。 请点击此处查看该图的放大版本。

图5:基于云模型的信任评估过程。 图示展示了信任评估过程的六个步骤,包括正常的信任云生成、属性提取、属性云形成、云相似度计算、信任级别分类以及动态信任更新。 请点击此处查看该图的放大版本。

图6:DDoS数据集上的机器学习性能。 图中考察了八种经典机器学习模型在常规攻击与DDoS攻击流量的二进制排列中表现。这些指标包括回忆、准确度、F1分数和整体准确性。误差条通过五重交叉验证反映变异性。 请点击此处查看该图的放大版本。

图7:DDoS数据集上的深度学习模型表现。 图中展示了MLP、CNN、RNN、LSTM和GRU模型的二元分类性能。测量显示模型在一系列训练周期中的表现。 请点击此处查看该图的放大版本。

图8:HMC与单一机器学习分类器的性能。 图中展示了分层多重分类与传统少数群体攻击(如U2R和R2L)分类工具的比较。会呈现F1分数,包括表示重复实验间差异的误差条。 请点击此处查看该图的放大版本。

图9:HMC与深度学习分类器的性能。 该值表示利用HMC增强了DL模型上的多类检测能力。少数性能被突出,且与单一DL车型相比有显著提升。 请点击此处查看该图的放大版本。

图10:DDoS攻击模拟结果。 图示了实验在攻击模拟中的实时监测输出,显示了流量率、异常连接数量、检测方法的响应时间以及系统分类输出。比例条显示时间(以秒为单位)和交通量。 请点击此处查看该图的放大版本。
| 模型 | 学习率 | 批次大小 | 时代 | 激活函数 |
| MLP | 0.001 | 64 | 30 | ReLU |
| CNN | 0.0005 | 32 | 50 | 漏水ReLU |
| RNN(注册营养师) | 0.001 | 64 | 40 | Tanh |
| LSTM | 0.0001 | 128 | 60 | 乙状结肠 |
| 格鲁 | 0.001 | 64 | 45 | ReLU |
表1:深度学习模型参数设置。 本表包含深度学习实验的超参数:批次大小、学习速率、纪元数和架构规格。
| 样本编号 | 采样时间(秒) | 信托学位ExEx | 熵 EnEn | 超熵 呵呵 | 相似度评分 | 信任等级 |
| 1 | 10 | 0.75 | 0.65 | 0.8 | 0.85 | 高 |
| 2 | 20 | 0.8 | 0.6 | 0.75 | 0.82 | 高 |
| 3 | 30 | 0.68 | 0.7 | 0.85 | 0.8 | 媒介 |
| 4 | 40 | 0.6 | 0.72 | 0.9 | 0.78 | 媒介 |
| 5 | 50 | 0.5 | 0.8 | 0.95 | 0.7 | 低 |
| 6 | 60 | 0.45 | 0.85 | 0.96 | 0.65 | 低 |
表2:系统样本值与网络状况分析。 本表提供了云环境的一些样本值,如流量统计、信任值和分类输出。
| 分类器 | 准确性 | 精度 | 召回 | F1 积分 |
| 决策树(DT) | 85.20% | 84.30% | 86.10% | 85.20% |
| 随机森林(RF) | 90.10% | 89.30% | 91.00% | 90.10% |
| 天真贝叶斯(NB) | 82.50% | 81.70% | 83.40% | 82.50% |
| K-最近邻(KNN) | 87.40% | 86.80% | 88.10% | 87.40% |
| SVM-RBF | 88.90% | 88.10% | 89.50% | 88.80% |
| 线性SVM(L-SVM) | 87.80% | 87.20% | 88.50% | 87.80% |
| 装袋 | 91.20% | 90.50% | 91.70% | 91.10% |
| 增压 | 92.30% | 91.90% | 92.60% | 92.20% |
表3:机器学习分类器性能比较。 表格展示了所有机器学习模型的回忆率、精度、准确性和F1分数。
| 模型 | 准确性 | 精度 | 召回 | F1 积分 |
| MLP | 89.50% | 88.70% | 90.30% | 89.50% |
| CNN | 91.20% | 90.70% | 91.50% | 91.10% |
| RNN(注册营养师) | 88.30% | 87.60% | 88.80% | 88.20% |
| LSTM | 92.10% | 91.80% | 92.40% | 92.10% |
| 格鲁 | 91.80% | 91.40% | 92.10% | 91.70% |
表4:深度学习分类器性能比较。 本表展示了基于多类检测的MLP、CNN、RNN、LSTM和GRU模型的性能指标。
| 绩效指标 | 基线平均值(SD) | 拟议模型均值(SD) | t值 | p值 | 重要性 |
| 准确性 | 0.89 (0.04) | 0.96 (0.02) | 8.72 | <0.001 | 重要性 |
| F1评分 | 0.84 (0.05) | 0.94 (0.03) | 9.15 | <0.001 | 重要性 |
| 少数族裔侦测(U2R/R2L) | 0.52 (0.08) | 0.81 (0.06) | 10.44 | <0.001 | 重要性 |
| 假阳性率 | 0.11 (0.03) | 0.04 (0.02) | –7.98 | <0.001 | 重要性 |
| 检测延迟(秒) | 3.10 (0.41) | 1.82 (0.33) | –9.27 | <0.001 | 重要性 |
表5:绩效改进的统计显著性。 下表展示了对对t检验的结果,这些检验将基线模型与拟议的自适应机器学习-HMC-Trust框架在主要性能指标方面进行比较。该表包含均值和标准差值、t值、p值,以及准确率、F1分数、少数族裔检测率、假阳性率和检测延迟的显著水平。
该协议的有效部署依赖于云架构中的关键步骤。正确配置Ryu OpenFlow控制器、正确设置OpenvSwitch规则以及稳健形成多层拓扑,是确保完整流量捕获的关键。选择Ryu作为控制器,Open vSwitch作为交换平台,显著增强了系统的实用价值;其轻量化、模块化且完全可编程的特性,使其非常适合实时网络监控、动态流量控制以及跨云基础设施的可扩展安全管理。同样,预处理流程——包括清理、归一化和注释——必须准确执行,以防止层级分类中的偏见,解决云安全分析的固有复杂性。
部署过程中,为了确保最佳性能,需要进行多项调整。集合模型最初在少数群体中表现出过拟合,需要调优弱学习者的深度和投票权重,这与异常检测中的挑战相呼应。为减轻噪声流量引起的信任值波动,重新校准了云模型的熵和衰减参数。此外,Kafka-Spark 流水线中的流瓶颈通过扩大主题分区以支持高通量云环境得到了解决。
Mininet和EstiNet模拟的实验结果,以及使用真实云流量和DDoS数据集的评估,表明所提出的机器学习-HMC-信任融合方法在检测精度、误报减少和实时响应性方面有明显提升。这证实了将自适应学习算法与分层分类模型对齐以分解复杂多类攻击检测任务的有效性。这种方法相较于传统的非反应式和基于规则的框架具有显著优势,后者在动态攻击技术和少数类别威胁方面遇到困难。具体来说,通过将HMC与AdaBoost和Bagging结合,该协议在对稀有攻击类别如U2R和R2L的细粒度检测中实现了更高的准确性,解决了单一机器学习模型的类别不平衡限制。此外,动态信任模型增强了在不确定情况下的决策能力。
尽管取得了这些进展,该协议仍受到相关研究中报道的某些局限。机器学习技术仍面临极端数据不平衡的挑战,尤其是在U2R和R2L攻击中。深度学习模型虽然强大,但需要大量计算资源,并且在实时云环境中可能出现延迟12,13。集合学习增强了泛化能力,但增加了资源消耗和推断时间14.同样,云模型信任系统也显示出对噪声或动态演变行为输入的脆弱性,这与之前的发现一致16。该方法采用模块化设计,适用于更大规模的云和边缘环境,能够与联邦学习、雾化计算和分布式物联网云系统集成。当前研究聚焦于中等规模场景下的功能验证,未来研究将扩展到大规模、高度分布的云环境和多控制器SDN架构,以增强容错能力。计划中的扩展还包括研究基于学习的强化信任适应、零日能力,以及与威胁情报源的深度集成,以应对如钓鱼和僵尸网络等新兴威胁。通过统一SDN生态系统中的自适应机器学习、HMC和信任评估,本研究为实现更智能、更具韧性和主动性的云防御系统提供了战略路径。
作者没有什么可透露的。
作者感谢上海质子与重离子中心信息部为本研究提供了必要的计算资源和研究环境。我们也感谢同事们在系统设计和测试阶段提供的宝贵技术见解。
| Name | Company | Catalog Number | Comments |
|---|---|---|---|
| AdaBoost(合奏学习库) | Scikit-learn,Python | https://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.html | 软件 |
| 装袋分类器 | Scikit-learn,Python | https://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.html | 软件 |
| 云模型信任评估代码 | 自定义实现 | 无 | 算法/软件 |
| 卷积神经网络(CNN) | 张量流 / PyTorch | https://www.tensorflow.org/tutorials/images/cnn | 软件 |
| 深度学习框架(MLP、RNN、LSTM、GRU) | 张量流 / PyTorch | 软件 | |
| EstiNet 网络模拟器 | EstiNet 技术 | https://sites.google.com/view/estinet-network-simulator | 软件 |
| Kafka (Data Streaming Platform) | 阿帕奇基金会 | https://kafka.apache.org/ | 软件 |
| KDD CUP 10% 数据集 | UCI机器学习存储库 | http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html | 数据集 |
| Mininet 模拟器 | Mininet 项目 | 迷你网 2.3.1 | 用于SDN拓扑、带宽和混合攻击仿真的网络仿真。 |
| 开放vSwitch(OVS) | 开放vSwitch Org | OVS 3.2.2 | 实现流表控制和攻击流量重定向的虚拟交换机。 |
| OpenStack 云平台 | 开放基础设施基金会 | https://www.openstack.org/ | 云软件 |
| Python 3.x | Python 软件基础 | https://www.python.org/downloads/ | 编程语言 |
| Ryu SDN 控制器 | NTT R&D | 龙 4.34 | SDN控制器,用于实时网络流量捕获和态势感知。 |
| Spark 流式框架 | 阿帕奇基金会 | https://spark.apache.org/docs/latest/streaming-programming-guide.html | 软件 |
| Visual C++(VC++)编译器 | Microsoft | https://visualstudio.microsoft.com/ | 软件 |
| Windows 11 工作站 | Microsoft | Windows 11 专业版 23H2 | 操作系统用于模型编译、训练和测试。 |
Request permission to reuse the text or figures of this JoVE article
Request Permission