Method Article

Einsatz adaptiver Machine-Learning-Algorithmen zur Informationsrisikowarnung und zur Bewusstsein von Netzwerksicherheitsszenarien in Cloud-Computing-Umgebungen

DOI:

10.3791/69633

June 2nd, 2026

In This Article

Summary

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Das Papier schlägt eine neuartige, maschinelle Lernmethode (ML)-basierte Lösung adaptiver Netzwerksicherheit in einem cloudbasierten System vor, die hierarchische Multi-Label-Klassifikation und ein dynamisches Vertrauensbewertungssystem integriert, um die Genauigkeit der Bedrohungserkennung zu erhöhen und die Anzahl der Fehlalarme zu verringern.

Abstract

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Diese Studie schlägt einen neuartigen Rahmen für das Situationsbewusstsein und die Risikowarnung in Cloud-Computing-Umgebungen in Netzwerksicherheit vor, der adaptives maschinelles Lernen (ML), die hierarchische Multi-Label-Klassifikation (HMC) und einen dynamischen Vertrauensbewertungsmechanismus auf Basis des Cloud-Modells integriert. Die Komplexität, Vielfalt und Echtzeit-Natur aufkommender Cyberangriffe – wie Zero-Day-Exploits, Distributed Denial-of-Service (DDoS) und Botnets – stellen traditionelle regelbasierte und statische Erkennungsmethoden erhebliche Herausforderungen dar. Um diese Herausforderungen zu bewältigen, entwickelten wir eine effektive SDN-basierte Cloud-Architektur mit dem Ryu OpenFlow Controller und OpenFlow-Switches. Diese Architektur ermöglicht die Echtzeiterfassung von Link-Informationen, dynamische Planung und skalierbare, zuverlässige Datenübertragung. Das vorgeschlagene hierarchische Klassifikationsrahmen kann Multiklassenprobleme in binäre Aufgaben unterteilen, wodurch die Wirkung von Stichprobenungleichgewichten abmildert und die Erkennung von Niederfrequenzangriffen, einschließlich User to Root (U2R), verbessert wird. Ensemble-Lerntechniken, einschließlich AdaBoost und Bagging, verbessern die Erkennungsgenauigkeit für feinkörnige Angriffstypen zusätzlich. Experimente mit DDoS-Datensätzen, Cloud-Datenverkehrsdaten und Simulationen in Mininet und EstiNet zeigen, dass der kombinierte ML-HMC-Trust-Ansatz die Erkennungsgenauigkeit deutlich verbessert, Fehlalarme reduziert und Echtzeitreaktionen ermöglicht. Diese Ergebnisse bestätigen, dass die Integration von adaptivem Lernen, hierarchischer Klassifikation und dynamischer Vertrauensbewertung eine robuste und skalierbare Lösung zur Sicherung groß angelegter Cloud-Plattformen bietet.

Introduction

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Mit der weitverbreiteten Anwendung von Cloud-Computing-Technologie in verschiedenen Branchen nehmen die Größe und Menge der Daten in Informationssystemen rapide zu, und Netzwerkbedrohungen werden komplexer, verborgenerund dynamischer. Traditionelle Sicherheitsverteidigungsmechanismen, die auf Regeln und statischen Modellen basieren, können die Anforderungen der Echtzeiterkennung mit präziser Frühwarnung nicht mehr erfüllen, wenn sie sich ändernden Angriffsstrategien, Zero-Day-Schwachstellen und groß angelegten verteilten Angriffen gegenüberstehen. Daher stellt der Einsatz adaptiver ML-Algorithmen zur vollständigen Integration verteilter Datenverarbeitung und intelligenter Analysefähigkeiten in Cloud-Computing-Plattformen eine zentrale Wahrnehmung der Netzwerksicherheitssituation und eine effektive Frühwarnung von Informationsrisiken dar, eine kritische Herausforderung in der aktuellen Informationssicherheitslandschaft4. Diese Forschung hat nicht nur eine wichtige theoretische Bedeutung für die Verbesserung des bestehenden Sicherheitsschutzsystems, sondern bietet auch eine starke Unterstützung für die Sicherheit der nationalen Schlüsselinformationsinfrastruktur und der Unternehmenskerndaten5.

Es gibt mehrere Herausforderungen bei der Verwirklichung von Netzwerksicherheitssituationsbewusstsein und Informationsrisikowarnung in einer Cloud-Computing-Umgebung: Datentypen, die in der Cloud-Plattform aggregiert werden, sind zahlreich und die Quellen komplex, was die Datenvorverarbeitung, Feature-Extraktion und Fusionsaufgaben zunehmend erschwert; Angesichts des zunehmenden Netzwerkverkehrs und rasch wechselnder Angriffsszenarien ist das System verpflichtet, in sehr kurzer Zeit zu reagieren, und Echtzeit-Erkennung und -warnung sind zu technischen Engpässen geworden; die Menge des normalen Datenverkehrs unterscheidet sich stark von der des Angriffsverkehrs, und traditionelle Algorithmen weisen eine geringe Genauigkeit bei der Verarbeitung kleiner Stichprobenkategorien auf (wie U2R, Netzwerkangriffe usw.), und es besteht ein großes Risiko von Fehlurteilungen; In einer komplexen Netzwerkumgebung werden Vertrauensverhältnisse von mehreren Faktoren beeinflusst und sind zufällig und unsicher 6,7. Traditionelle Vertrauensbewertungsmethoden, die auf festen Schwellenwerten basieren, spiegeln den realen Zustand nur schwer wider und werden leicht durch abnormale Daten beeinflusst. Um diese multidimensionalen Einschränkungen zu adressieren, präsentiert diese Forschung einen integrierten Rahmen, der adaptives maschinelles Lernen, hierarchische Multi-Label-Klassifikation und einen dynamischen, cloud-basierten Vertrauensbewertungsmechanismus synergiert. Diese Verschmelzung von Techniken, die in einer SDN-gesteuerten Cloud-Umgebung angewendet werden, geht über inkrementelle Verfeinerungen hinaus, indem sie eine feine Erkennung von Niederfrequenzangriffen, Echtzeit-Vertrauensadaption und skalierbares Lagebewusstsein ermöglicht, was bestehende Methoden gleichzeitig nicht erreicht haben.

Cloud-Computing-Umgebungen erzeugen massiven, hochdynamischen und heterogenen Netzwerkverkehr, sodass herkömmliche Intrusion Detection Systems (IDS) nicht in der Lage sind, anspruchsvolle und Minderheitenangriffstypen wie U2R und R2L genau zu identifizieren. Bestehende IDS-Lösungen auf Basis von Deep Learning (DL) verbessern die Erkennungsgenauigkeit, leiden aber weiterhin unter hohem Rechenaufwand, langsamer Echtzeitantwort und schlechtem Umgang mit unsicheren oder sich entwickelnden Vertrauensverhältnissen zwischen Netzwerkentitäten. Zudem funktionieren die meisten aktuellen Modelle als flache Klassifikatoren und fehlen Mechanismen für feinkörnige, hierarchische Entscheidungsfindung oder dynamische Vertrauensbewertung. Diese Einschränkungen schaffen eine kritische Lücke bei der Entwicklung eines IDS, das gleichzeitig Echtzeiterkennung, genaue Erkennung von Minderheitenklassen und eine zuverlässige, vertrauensbewusste Risikobewertung in groß angelegten Cloud-Umgebungen liefern kann.

In der bestehenden Forschung zur Situationsbewusstheit für Netzwerksicherheit und Informationsrisikowarnung verwenden viele Studien Methoden wie K-nearest neighbor (KNN) und Support Vector Machine (SVM), um Netzwerkverkehr zu klassifizieren und zu erkennen. Diese Algorithmen haben den Vorteil einer hohen Recheneffizienz und einer einfachen Implementierung, insbesondere bei der vorläufigen Überprüfung großer Datenmengen 8,9. Ihre Hauptmängel spiegeln sich jedoch in mehreren Aspekten wider: Wenn sie mit dem meisten normalen Datenverkehr und einer kleinen Anzahl von Angriffsproben in einer Cloud-Umgebung konfrontiert sind, ignorieren diese traditionellen ML-Methoden oft Informationen aus wenigen Kategorien, was zu niedrigen Erkennungsraten für feinkornige Angriffe (wie U2R, Netzwerkschwachstellen usw.) führt; Einzelmodelle sind in der Regel empfindlich gegenüber Rauschen und Datenausreißern, fehlen der Fähigkeit, sich dynamisch ändernden Angriffsszenarien anzupassen, und neigen zu Überanpassungen oder unzureichender Verallgemeinerungen10,11.

In den letzten Jahren wurden DL-Methoden wie Multi-Layer Perceptron (MLP), CNN, Recurrent Neural Network (RNN), Long Short-Term Memory Network (LSTM) und Gated Recurrent Unit (GRU) zunehmend im Bereich der Netzwerksicherheit eingesetzt. Mit den leistungsstarken Feature-Learning- und nichtlinearen Mapping-Fähigkeiten tiefer neuronaler Netzwerke haben diese Methoden die Erkennungsgenauigkeit deutlich verbessert und die Fähigkeit verbessert, komplexe Angriffsverhalten im Vergleich zu traditionellem ML12 zu erfassen. Allerdings haben sie hohe Anforderungen an Rechenressourcen und Trainingsdaten. Gerade im Kontext des Big-Data-Verkehrs in Cloud-Computing-Umgebungen gibt es noch Verbesserungsmöglichkeiten bei Trainingsaufwand und Echtzeit-Inferenzgeschwindigkeit. Bei der Identifizierung von Klassen mit wenigen Stichproben haben DL-Modelle aufgrund von Datenungleichgewichten niedrige Erkennungsraten für einige fein-granulare Angriffe (wie U2R, Botnets) aufgrund von Klassenbias13. Um die Einschränkungen eines einzigen Modells bei der Behandlung von Datenungleichgewichten und Multiclass-Angriffsidentifikation auszugleichen, haben einige Studien Ensemble-Learning-basierte Lösungen vorgeschlagen, wie Bagging and Boosting, die die Gesamtgenauigkeit der Vorhersage durch die Kombination mehrerer Klassifikatorenerweitern. Gleichzeitig zerlegt die Hierarchical Multiclass Classification (HMC)-Architektur das Multiclass-Klassifikationsproblem in mehrere binäre Klassifikationsteilprobleme, wodurch eine verfeinerte Erkennung für Klassen mit weniger Stichproben erreicht wird. Integrierte Modelle stehen jedoch häufig vor Problemen wie hohem Rechenressourcenverbrauch und erhöhter Reaktionszeit während der Bereitstellung, insbesondere in Cloud-Computing-Echtzeitüberwachungssystemen, wo Echtzeitanforderungen den Druck auf Systemressourcenerhöhen.

Als Antwort auf das Problem der dynamischen Vertrauensbeziehungsbewertung im Netzwerk haben einige Studien die Cloud-Modelltheorie eingeführt, die eine Vertrauenszugehörigkeitswolke konstruiert, indem sie die Unschärfe und Zufälligkeit der Vertrauensattribute jeder Entität beschreibt und dann Wolkentropfen, Entropie, Superentropie und andere Indikatoren für die quantitative Bewertung verwendet16. Bei Echtzeit-aktualisierten Netzwerkvertrauensdaten kann es für die Aktualisierungsrate und die Recheneffizienz bestehender Cloud-Modellmethoden schwierig sein, die Anforderungen der dynamischen Hochfrequenzwarnung zu erfüllen; Das Modell ist hochsensibel gegenüber Bewertungsdaten, und abnormale Daten oder Rauschinformationen können die Gesamtbewertung des Vertrauens erheblich beeinträchtigen, was nachfolgende Risikowarnungen beeinflusst.

Angesichts der vielen Mängel der aktuellen Forschung in den Bereichen Erkennungsgenauigkeit, Echtzeitleistung, Datenbilanzverarbeitung und Vertrauensbewertung schlägt dieses Papier ein neues Verteidigungssystem vor, das adaptive ML-Algorithmen, hierarchische Multiklassenklassifikationsstrategien und Cloud-Modell-Vertrauensbewertung umfassend nutzt, um Netzwerksicherheitssituation und Informationsrisikowarnung in Cloud-Computing-Umgebungenzu gewährleisten 17.

Die Forschung beschäftigt sich mit der Echtzeit-Cybersicherheit für intelligente Schiffsnetzwerke durch den Einsatz von Cloud-Computing-Technologie18. Es schlägt ein Multi-Sensor-Node-Framework vor, um Daten auf bösartige Angriffe zu untersuchen, und verwendet selbstausführende Schutzstrategie-Knoten, um Bedrohungen abzufangen. Die Ergebnisse zeigen eine Virus-Eindringlingserkennungs- und Verteidigungsrate von 85–95 % sowie eine Falsch-Positiv-Rate von 2,56 %, was andere Algorithmen deutlich übertrifft. Der Ansatz erfordert jedoch hohe Rechenressourcen und Cloud-Infrastrukturbeschränkungen bei der praktischen Implementierung. Aslan et al.19 bieten ein intelligentes, verhaltensbasiertes Malware-Erkennungssystem in einer Cloud-Computing-Umgebung. Es erstellte einen Malware-Datensatz über virtuelle Maschinen hinweg und nutzte ausgewählte Funktionen mit lernbasierten und regelbasierten Erkennungsagenten, um Malware und harmlose Proben zu klassifizieren. Die Bewertung von 10.000 Programmproben zeigte eine hohe Leistung mit verbesserter Erkennungsrate und FPR. Dennoch hatte die Methode Skalierbarkeitsprobleme mit ständig wechselnden Malware-Varianten und Cloud-Deployments in großem Maßstab und Echtzeit.

Trotz der bedeutenden Beiträge dieser Studien zeigt ein detaillierterer Vergleich, dass die Mehrheit der bestehenden Lösungen die Annahmen und Anforderungen des Echtzeit-Situationsbewusstseins oder des dynamischen Vertrauensmodells in cloudbasierten Umgebungen nicht berücksichtigt. Konventionelle ML-Techniken gehen von Feature-Grenzen aus, die im Raum festgelegt sind, und scheitern an Klassenungleichgewichten sowie hochdynamischen Verkehrsdynamiken 8,9,10. DL-Modelle sind mit ausgezeichneten Fähigkeiten zur Feature-Extraktion verbunden, verbrauchen jedoch eine hohe Rechenleistung, was den Inferenzprozess inEchtzeitüberwachung langsam und unpraktisch macht. Ensemble- und HMC-basierte Ansätze sind genauer, benötigen aber noch mehr Latenz und Ressourcen und werden derzeit nicht in großflächigen Clouds14,15 eingesetzt. Gleichzeitig erfassen Cloud-Modell-Vertrauensbewertungstechniken Unsicherheiten gut, bleiben aber sehr empfindlich gegenüber rauschen Daten und können unter Hochfrequenz-Angriffsströmennicht effizient aktualisiert werden. Selbst neuere cloudbasierte IDS-Frameworks verfügen über robuste, integrierte Unterstützung sowohl für Echtzeiterkennung als auch für vertrauensbewusste Entscheidungsfindung20,21. Diese Einschränkungen unterstreichen zusammen die Notwendigkeit eines effizienten, einheitlichen und vertrauensbasierten Intrusionserkennungssystems. Diese Forschung überwindet diese Einschränkungen, indem sie adaptives ML, HMC und cloud-modellbasierte dynamische Vertrauensbewertung in eine SDN-fähige Cloud-Architektur integriert, was Echtzeiterkennung, verbesserte Genauigkeit der Minderheitenklassen und eine risikobewusste Risikoanalyse ermöglicht.

Die Innovationen dieses Artikels spiegeln sich hauptsächlich in folgenden Aspekten wider: Eine effiziente verteilte Netzwerkarchitektur basierend auf dem Ryu OpenFlow-Controller und dem OpenFlow-Switch wurde gebaut, um eine Echtzeiterfassung und dynamische Planung von Link-Informationen zu ermöglichen und so die Effizienz und Verarbeitung der Datenübertragung erheblich zu verbessern.

Angesichts der Schwierigkeiten durch Datenungleichgewichte und die Identifikation von Angriffen mit wenigen Stichproben wird ein Top-down-HMC-Framework entwickelt, und integrierte Lernmethoden wie AdaBoost und Bagging werden eingeführt, um die Erkennungsgenauigkeit feiner Angriffskategorien deutlich zu verbessern.

Die Cloud-Modelltheorie wird verwendet, um eine Trust Affiliation Cloud aufzubauen. Durch den Rückgewinngenerator und die Ähnlichkeitsberechnung wird die dynamische Bewertung des Truststatus jeder einzelnen Einheit im Netzwerk realisiert, was eine quantitative Grundlage für Risikowarnungen bietet und die durch abnormale Transaktionen zu niedrigen oder hohen Preisen verursachte Kreditspekulationen effektiv unterdrückt.

Protocol

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

HINWEIS: Dieses Protokoll beschreibt, wie ein cloudbasiertes Netzwerksicherheitssystem für Situational Awareness erstellt und hierarchische Klassifikationen mit dynamischer Vertrauensbewertung implementiert werden kann. Befolgen Sie die untenstehenden Schritte, um die Cloud-Netzwerktopologie zu entwerfen, Datenströme zu sammeln und zu annotieren sowie die hierarchischen Multiclass-Klassifikations- und Vertrauensbewertungsmodule einzusetzen. Abbildung 1 zeigt das vorgeschlagene SDN-Cloud-Framework , das adaptives ML, hierarchische Klassifikation und Vertrauensbewertung für die Echtzeit-Angriffserkennung integriert.

1. Design der Cloud-Netzwerktopologie

HINWEIS: Stellen Sie vor der Weiterfahrt den administrativen Zugriff auf OpenStack, Ryu und Mininet sicher.

  1. Stellen Sie das System auf einer von OpenStack entwickelten Cloud-Plattform bereit. Nutzen Sie Virtualisierungstechnologie, um mehrere virtuelle Hosts zu erstellen und eine softwaredefinierte Netzwerkumgebung (SDN) für einheitliches Ressourcenmanagement und isolierte Planung zu konfigurieren.
  2. Bereite Ryu und Open vSwitch (OVS) bereit und konfiguriere sie, um mit SDN-Steuerung und Verkehrsmanagement zu arbeiten.
  3. Erstelle eine dreischichtige Topologie, bei der der Ryu-Controller der Kern ist und die OVS-Switches die Weiterleitungsknoten, bestehend aus einer Kontrollschicht, einer Netzwerkweiterleitungsschicht und einer Datendienstschicht.
    1. Konfiguration der Steuerungsschicht: Implementiere einen zentralisierten SDN-Controller mit Ryu. Aktivieren Sie Echtzeit-Netzwerkstatusüberwachung durch die REST-API von Ryu und verbinden Sie sie mit dem Sicherheitserkennungsmodul, um schnell auf abnormalen Datenverkehr zu reagieren.
    2. Netzwerk-Weiterleitungsschicht-Konfiguration: Richten Sie eine Anzahl von OVS-virtuellen Switching-Knoten mit virtuellen Hosts und externen Gateways ein. Setzen Sie Flusstabellen-Richtlinien auf OVS ein, um dynamische Pfadänderungen, Verkehrstrennung und Flussumleitung zu ermöglichen, wenn Angriffsverkehr erkannt wird.
    3. Konfiguration der Datendienstschicht: Konfigurieren Sie mehrere virtuelle Hosts auf der OpenStack-Plattform. Erstelle virtuelle Maschinen, die als Web-, Datenbank- und Dateiserver fungieren, um realistischen Datenverkehr zu erzeugen und injizierte Angriffsflüsse zu unterstützen.
  4. Füge mehrere Hop-Werte und verschiedene Pfade hinzu. Simuliere heterogene Netzwerkbandbreiten- und Latenzbedingungen mit dem Befehl Mininet.
  5. Installiere Mininet, um die Topologie zu deployen und zu simulieren. Isolieren Sie Tenants, Subnetzsegmentierung und Zugriffskontrolllisten (ACLs) mithilfe der Mininet-CLI.
  6. Verifizieren Sie die Einrichtung, um sicherzustellen, dass die Topologie die Echtzeit-Datenerfassung erleichtert und eine direkte Integration mit dem Erkennungsmodul hat.
  7. Erfassen Sie die fertige Systemarchitektur (Abbildung 2) und Topologie (Abbildung 3) mit allen Verbindungen zwischen den Schichten und dem Informationsfluss.

2. Datenfluss-Erfassung und Annotationsstrategie

VORSICHT: Achten Sie darauf, Datenschutzbestimmungen (z. B. DSGVO, lokale Cybersicherheitsrichtlinien) einzuhalten. Verwenden Sie Benutzerkennungen und IP-Adressen vorab anonymisieren.

  1. Installiere Small Data Collection Agents auf jedem virtuellen Host und Netzwerkknoten. Richten Sie jeden Agenten so ein, dass er ständig Netzwerkverkehr, Systemprotokolle und Nutzerverhaltensinformationen überprüft.
  2. Installiere Kafka (v3.5) als Datenwarteschlange und Apache Spark Streaming (v3.4), um Stream-Daten in Echtzeit zu verarbeiten. Konfigurieren Sie den Kafka-Durchsatz auf 10.000 Ereignisse/s oder mehr und Sparks Mikro-Batch-Intervall auf 500 ms oder weniger.
  3. Verarbeiten Sie die gesammelten Daten nacheinander wie folgt:
    1. Bereinigen Sie die Daten, um doppelte Datensätze, unvollständige Datensätze und Rauschen zu eliminieren. Filtere ungültige Pakete heraus, indem du Protokollheader prüfst.
    2. Normalisiere numerische Attribute auf einen Standardbereich [0,1] mit Min-Max-Normalisierung für konsistente Feature-Skalierung.
    3. Wichtige Eigenschaften werden extrahiert, darunter Quell-/Ziel-IPs, Ports, Protokolltyp, Anzahl der Pakete, Anzahl der Bytes, Weiterleitungsverzögerung und Messungen von Verkehrsvariationen.
  4. Geben Sie den verarbeiteten Datensatz in das KI-unterstützte Erkennungsmodul ein, um es zu trainieren und zu validieren.
  5. Einrichtung eines dualen Annotationssystems für eine genaue Datenkennzeichnung:
    1. Erstelle eine Angriffsvorlagen-Bibliothek. Identifikation häufiger Angriffsmuster (z. B. Port Scanning, SYN Flood, DoS, U2R) mit regelbasierter Musterabgleichung.
    2. Überprüfen Sie mehrdeutige Proben manuell, um die Konsistenz der Beschriftung zu gewährleisten.
  6. Verwenden Sie bereits etablierte Benchmark-Datensätze wie CIC-IDS2017 und NSL-KDD für die Kreuzvalidierung. Richten Sie Labels aus, um ≥90 % Konsistenz zwischen den Annotatoren zu gewährleisten.
  7. Führen Sie Feature Engineering durch, um strukturierte Eingabevektoren zu konstruieren. Angriffshierarchien basierend auf mehrstufigen Kategoriedefinitionen kodieren.
  8. Teile die Datensätze in 80 % Training und 20 % Testing auf.

3. Integrierte Architektur der hierarchischen Klassifikation und Vertrauensbewertung

  1. Konstruiere eine intelligente Wahrnehmungsarchitektur, die die hierarchische Multiclass-Klassifikation (HMC) und einen dynamischen Vertrauensbewertungsmechanismus integriert (Abbildung 4).
  2. Implementieren Sie das HMC-Modul nach einer "grob bis fein"-Strategie:
    1. Verwenden Sie leichte Verbindungsfunktionen (z. B. Frequenz, Portverteilung, Protokolltyp), um den Verkehr in "normale" und "abnormale" Kategorien zu klassifizieren.
    2. Für "abnormalen" Verkehr führen Sie eine zweite Stufe-Klassifizierung in Angriffskategorien wie DDoS, U2R, R2L und Probe unter Verwendung von mittleren statistischen Merkmalen wie Paketintervall und Nutzlastgröße durch.
    3. Identifizieren Sie feinkorrelierte Untertypen (z. B. TCP SYN Flood, SQL Injection, Brute Force Attack) durch Analyse von Angriffssignaturen und Zielattributen.
  3. Optimieren Sie das Klassifikationsmodul.
    1. Wenden Sie AdaBoost- und Bagging-Ensemble-Lernmethoden an und bauen Sie auf jeder Hierarchieebene 5–8 schwache Klassifikatoren (z. B. Entscheidungsbaum, logistische Regression).
    2. Klassifikatorergebnisse werden mit gewichteter Mehrheitsabstimmung auf Basis von Genauigkeitswerten kombiniert.
  4. Implementierung des dynamischen Vertrauensbewertungsmoduls unter Verwendung der Cloud-Modelltheorie:
    1. Behalten Sie ständig die Verhaltensindikatoren des Wirts, z. B. die Stabilität der Vergangenheit, die Häufigkeit der Kommunikation und Variationen bei den Zugriffszielen.
    2. Integriere die Glaubwürdigkeit des Modellergebnisses in die Berechnung von Vertrauen. Schätzen Sie den tatsächlichen Vertrauenswert (0 bis 1) mit Hilfe von Erwartungsparametern (Ex), Entropie (En) und Hyperentropie (He).
  5. Konfigurieren Sie den Verknüpfungsmechanismus zwischen HMC und Vertrauensmodulen.
    1. Automatische Planung von Systemen basierend auf Vertrauenswerten: Isoliere Hosts mit Trust ≤ 0.3 und reduziere die Rechte von Hosts mit Trust 0.3-0.6.
    2. Trainieren Sie den Klassifikator mit Host-Daten mit Trust ≥ 0,8 neu, um die Erkennung und Flexibilität bei unbekannten Angriffen zu erhöhen.
  6. Testen Sie die Zero-Day-Antwortfähigkeit. Injiziere unmarkierten bösartigen Datenverkehr und stelle sicher, dass Warnungen und Isolation innerhalb von 10 Minuten ausgelöst werden.

4. Berechnung und Implementierung des Trust-Cloud-Modells (Abbildung 5)

  1. Standard-Trust-Cloud-Generierung:
    1. Unterteilen Sie Vertrauenswerte in n verschiedene Stufen (z. B. "Niedrig", "Mittel", "Hoch", "Sehr niedrig" und "Sehr hoch").
    2. Berechnen Sie die Erwartung (Exk) für Ebene k basierend auf dem Durchschnitt der Trustbewertungen für Einheiten auf dieser Ebene mit Gleichung 1:
      figure-protocol-1
      wobei Tik die individuellen Treuhandwerte von unter Treuhandebene Lk klassifizierten Einheiten darstellt.
    3. Berechnen Sie die Entropie (Enk), um die Unschärfe der Vertrauenswerte innerhalb der Ebene Lk mit Gleichung 2 zu quantifizieren:
      figure-protocol-2
      wobei α eine Konstante ist, die den Unschärfegrad steuert.
    4. Berechnen Sie die Hyperentropie (Hek) mit Gleichung 3, um die Instabilität der Entropie über die Zeit zu quantifizieren:
      figure-protocol-3
      wobei β ein Parameter ist, der das Unsicherheitsniveau anpasst.
    5. Geben Sie die Menge der Standard-Vertrauenswolken C1,C 2,...,Cn aus, die den n Vertrauensstufen entsprechen.
  2. Vertrauensattribut-Cloud-Inverse Generierung:
    1. Normalisiere die Eingabevertrauensattribute Ai auf den Bereich [0,1] mit Gleichung 4:
      figure-protocol-4
      Wenden Sie statistische Analysen an, um die entsprechenden Wolkenmodellparameter (Ex, En, He) für jedes normalisierte Attribut Ai' zu schätzen.
      Generiere für jedes Attribut das Vertrauensattribut cloud Ci .
  3. Umfassende Treuhandbewertung:
    1. Berechnen Sie die digitalen Eigenschaften der zusammengesetzten Vertrauenswolke (Excom, Encom, Hecom) mittels gewichteter Synthese (Gleichungen 5-7):
      figure-protocol-5
      figure-protocol-6
      figure-protocol-7
      wobei figure-protocol-8
    2. Berechnen Sie die Ähnlichkeit zwischen der aktuellen Trust-Cloud Ci und einer Standard-Cloud Ck mit Gleichung 8:
      figure-protocol-9
      Bestimmen Sie das endgültige Vertrauensniveau L* , indem Sie die maximale Ähnlichkeit mit Gleichung 9 bestimmen:
      figure-protocol-10
  4. Dynamische Vertrauensaktualisierung
    1. Aktualisieren Sie den Vertrauenswert, um die Entwicklung über die Zeit mit dem Zeitabfallmodell in Gleichung 10 widerzuspiegeln:
      figure-protocol-11
      wobei λ∈[0,1] die Gewichtung von jüngerem versus historischem Vertrauen steuert.
    2. Wenden Sie den Trust-Penalty-Mechanismus an, wenn bestimmte Abweichungen auftreten. Berechnen Sie die Abweichung (ΔA) und den Straffaktor (P-Strafe) mit den Gleichungen 11 und 12:
      figure-protocol-12
      figure-protocol-13
    3. Berechnen Sie den aktualisierten Vertrauenswert mit Gleichung 13:
      figure-protocol-14

5. Experimentelle Validierung der Angriffserkennungsleistung

  1. Konfigurieren Sie die experimentelle Umgebung und bereiten Sie den Datensatz vor.
    1. Verwenden Sie eine Windows-11-Workstation mit Visual C++-Tools für die Kompilierung und das Testen von Algorithmen.
    2. Holen Sie den KDDCUP_10%-Datensatz aus verifizierten Quellen ab und verarbeiten Sie ihn gemäß institutionellen Datenschutzrichtlinien vor.
    3. Setze Algorithmusparameter: Zeitintervall T = 10s, Stichprobenrunden h = 20 und Datenproben n = 1000.
    4. Teilen Sie die Daten in Trainingsgruppen (80 %) und Testsets (20 %) mittels geschichteter Stichprobe auf.
  2. Validiere die Leistung der binären Klassifikation.
    1. Führen Sie eine fünffache Kreuzvalidierung zur Zuverlässigkeit durch.
    2. Trainieren und testen Sie acht Klassifikatoren: Decision Tree (DT), Naive Bayes (NB), Random Forest (RF), K-Nearest Neighbor (KNN), Adaptive Boosting (AdaBoost), Support Vector Machine (SVM), Bagging und Gradient Boosting.
    3. Führe 100 Epochen pro Modell und erzeuge Präzision, Genauigkeit, Rückruf und F1-Score.
  3. Validiere die Leistung der Multiclass-Klassifikation.
    1. Trainieren Sie Klassifikatoren, um DDoS, U2R, R2L, Sonde und normalen Verkehr zu erkennen.
    2. Implementieren Sie fünf DL-Architekturen (MLP, CNN, GRU, RNN und LSTM) unter Verwendung von in Tabelle 1 angegebenen Parametern.
    3. Vergleichen Sie die Leistung mit Präzisions-Rückrufkurven und Verwirrungsmatrizen für jede Klasse.
  4. Validiere den HMC-Algorithmus.
    1. Implementiere HMC mit AdaBoost und Bagging als Ensemble-Strategien.
    2. Zerlegte Multiklassenprobleme in binäre Unterklassifikationen mittels hierarchischer Logik.
    3. Vergleichen Sie die Ergebnisse mit Baseline-Modellen für Minderheitenangriffstypen (U2R, R2L).
  5. Implementiere Angriffssimulation.
    1. Setzen Sie das trainierte Vertrauenserkennungsmodell auf dem Cloud-Testbed ein.
    2. Erstellen Sie UDP Flood- und SYN-Flood-Angriffe mit multivirtuellen Hosts, um zugewiesene Server anzuvisieren.
    3. Halte den Angriffsverkehr bei etwa 30 % des Netzwerkdurchsatzes.
    4. Verfolgen Sie Netzwerkstatistiken (Übertragungsrate, Sitzungsdauer, Portzugriffsfrequenz, abnormale Verbindungen).
    5. Messen Sie Erkennungsfehler, Fehlalarme und die mittlere Antwortzeit des Systems.

Results

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Experimentelle Validierung und Leistungsanalyse

Cloudbasierte Validierung

Um die Effizienz und Machbarkeit des vorgeschlagenen Algorithmus zu testen, wurden Simulationstests in einem kontrollierten Netzwerklabor durchgeführt. Die Überprüfung erfolgte auf dem Windows-Betriebssystem, und der Kernalgorithmus ist in VC (Visual C++) Programmierwerkzeugen programmiert.

Im Fall experimenteller Daten wählten wir den öffentlich verfügbaren KDDCUP_10%-Datensatz(http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html), der bei der Störungserkennung und Modellierung von Netzwerkverhalten üblich ist. Der allgemeine experimentelle Prozess ähnelt sehr dem zuvorbeschriebenen Ansatz 10 , um die Vergleichbarkeit und Glaubwürdigkeit der Ergebnisse sicherzustellen.

Die wichtigsten Algorithmusparameter wurden gesetzt auf: Zeitintervall T = 10 s; Anzahl der Stichprobenrunden h = 20; Datenproben n = 1000.

Die digitalen Eigenschaften des Trust-Cloud-Modells wurden mit diesen Parametern berechnet. Anschließend wurde der Algorithmus der Cloud-Ähnlichkeit verwendet, um die ähnlichste Vertrauenswolke der Kandidaten zu identifizieren, was die Möglichkeit bot, die Netzwerkzustände zu klassifizieren und zu bewerten.

Tabelle 2 zeigt die Werte der ausgewählten Systemstichprobe und die Ergebnisse der Netzwerkanalyse. Diese bestätigen, dass das vorgeschlagene cloudbasierte Vertrauensbewertungssystem das Potenzial hat, die Dynamik und Unsicherheiten vielschichtiger Netzwerkumgebungen effizient darzustellen und einzukapseln.

Das Experiment bestätigt die Möglichkeit, Cloud-Modelle in Verbindung mit Echtzeit-Vertrauensbewertung zu implementieren, und bietet einen Rahmen für weitere Anwendungen im adaptiven Sicherheitsmanagementsystem.

Angriffsverifikation

Um die Leistung des vorgeschlagenen Algorithmus in diesem Experiment gründlich zu überprüfen, ist es notwendig, die Angriffserkennungsfähigkeiten von binärer Klassifikation, Multiklassifikation und HMC innerhalb einer Cloud-Computing-Umgebung zu bewerten. Die experimentelle Bewertung ist in drei Hauptphasen unterteilt: die Anwendung von DDoS-Angriffsdaten zur Überprüfung der Funktionalität des KI-Moduls, die Bewertung der Funktionalität verschiedener ML-Algorithmen und die Analyse der Funktionalität der DL-Modelle zur Vorhersage von Angriffen.

Binäre Klassifikations-Leistungsverifikation

In der ersten Phase des Experiments wurde der DDoS-Angriffsdatensatz zur Verifizierung des KI-Moduls verwendet, dessen Hauptzweck es war, die Vorhersagegenauigkeit des Modells in einer Cloud-Computing-Umgebung zu testen. Wir verwendeten eine 5-fache Kreuzvalidierungsmethode, und das Verhältnis von Trainingsdaten zu Testdaten wurde auf 8:2 gesetzt, das heißt, 80 % der Daten wurden für das Training genutzt und 20 % für Tests. In jedem Experiment wurde ein anderer Testsatz verwendet, um das Modell zu überprüfen und sicherzustellen, dass jede Probe einmal als Testsatz erschien. Der Ausbildungsprozess dauerte fünf Epochen, und das durchschnittliche Ergebnis wurde angegeben.

Der Datensatz wird in zwei Gruppen unterteilt: normal und abnormal. Um die Leistung verschiedener Klassifikatoren zu vergleichen, wurden die folgenden acht gängigen ML-Klassifikatoren ausgewählt: Entscheidungsbaum (DT), Random Forest (RF), naiver Bayes (NB), K-nächster Nachbar (KNN), Support Vector Machine (RBF-Kernel) (SVM-RBF), lineare Support Vector Machine (L-SVM) und Bagging and Boosting-Algorithmen für Ensemble Learning. Die Leistungsvergleichsergebnisse sind in Abbildung 6 dargestellt. Durch den Leistungsvergleich dieser Klassifikatoren kann ihre Leistung bei der DDoS-Angriffserkennung umfassend bewertet werden: 20,21.

Leistungsverifikation durch mehrere Klassifizierungen

In der zweiten Phase des Experiments wurde der Datensatz auf Multiklassifikationsprobleme erweitert, die verschiedene Arten von Netzwerkangriffen umfassten, darunter DDoS, U2R (User-to-Root-Angriff), R2L (Remote-to-Local-Angriff), normale Daten usw. Multiklassifizierungsaufgaben testen die Fähigkeit des Modells, mehrere Angriffstypen zu identifizieren und zu organisieren.

Für die Validierung wurden fünf DL-Klassifikatoren verwendet, darunter MLP, CNN, RNN, das Langzeit-Kurzzeitgedächtnis-(LSTM)-Netzwerk und das GRU-Netzwerk. Die spezifischen Parametereinstellungen jedes Modells werden in Tabelle 1, Tabelle 3 und Tabelle 4 dargestellt. Bei der Durchführung der Multiklassifikationsvalidierung wurden die Genauigkeit und der Abruf des Modells über mehrere Kategorien hinweg detailliert bewertet.

Überprüfung der Multiklassifikationsleistung von HMC

In der dritten Stufe wurde der HMC-Algorithmus verwendet, um die Leistung aller oben genannten ML- und DL-Modelle in Multiclass-Klassifikationsaufgaben zu vergleichen. Der HMC-Algorithmus verbessert die Genauigkeit bei der Erkennung feingranulärer Angriffe (wie U2R, R2L usw.) erheblich, indem er komplexe Multiklassenprobleme in mehrere binäre Klassifikations-Teilprobleme zerlegt. Die Vorteile von HMC wurden durch eine Verbesserung der Angriffserkennungsgenauigkeit im Vergleich zu traditionellen Klassifikationsmethoden bestätigt.

Experimentelle Ergebnisse und Analyse

Durch die Experimente in den oben genannten drei Stufen erhielten wir die Leistungsindikatoren jedes Klassifikators und DL-Modells unter verschiedenen Angriffstypen. Tabelle 3 zeigt Leistungsindikatoren wie Genauigkeit, Rückrufrate, F1-Wert usw. in verschiedenen Klassifikationsmethoden. Im Experiment zeigte HMC hohe Genauigkeit und Robustheit bei der Erkennung von Multiclass-Angriffen, insbesondere bei U2R- und R2L-Angriffen. Im Vergleich zu traditionellen SVM- und RF-Methoden hat HMC erhebliche Verbesserungen erzielt.

Durch diese experimentellen Ergebnisse haben wir die Wirksamkeit des vorgeschlagenen KI-Moduls zur Angriffserkennung in einer Cloud-Computing-Umgebung überprüft und eine verlässliche Grundlage für die anschließende Modelloptimierung und Anwendungsbereitstellung bereitgestellt.

Experimentelle Ergebnisse zeigen, dass unter den ML-Modellen Decision Tree (DT), Random Forest (RF) und Ensemble-Methoden (Bagging, Boosting) eine überlegene Leistung erzielten, wobei F1-Werte bis zu 1,0 erreichten. Dies bestätigt ihre Robustheit und Präzision bei der Unterscheidung von DDoS-Mustern von normalem Datenverkehr. Im Gegensatz dazu schnitt das naive Bayes-(NB)-Modell bei der abnormen Paketvorhersage schlecht ab, mit einem F1-Wert von 0,62, was darauf hindeutet, dass das Modell bei komplexen Angriffstypen ein gewisses Risiko einer Fehlklassifizierung birgt.

Abbildung 7 zeigt die Leistung von MLP, CNN, RNN, LSTM und GRU. Nach der Optimierung der Parameter lagen die binären F1-Werte der DL-Modelle bei 0,93 bzw. 0,98, was darauf hindeutet, dass die DL-Modelle die tiefen Datenmerkmale effektiv erfassen, insbesondere bei der Verarbeitung von Zeitreihendaten und komplexer Mustererkennung, und sie schneiden besser ab als traditionelle ML-Modelle.

Umfassende Analysen zeigen, dass Entscheidungsbäume, Ensemble-Lernmethoden und neuronale Netzwerkmodelle alle hervorragende Leistungen bei der Erkennung von DDoS-Angriffen zeigen, aber in spezifischen Anwendungen muss bei der Auswahl eines geeigneten Modells weiterhin Faktoren wie Angriffstyp, Datenvolumen und Rechenressourcen berücksichtigt werden. Um die Erkennungsfähigkeit des Modells weiter zu verbessern, können in Zukunft mehrere Modelle integriert werden, um eine höhere Genauigkeit und eine geringere Fehlalarmrate zu erreichen.

Abbildung 8 zeigt die überlegene Leistung von DL-Modellen gegenüber traditionellen ML-Baselines und hält F1-Werte zwischen 0,96 und 0,99, insbesondere bei unsymmetrischen Datensätzen. Die Vorhersageleistung der U2R-Klasse ist in den feingranulären Kategorien jedoch immer noch unterdurchschnittlich, und die Cyberangriffsklassifikation liegt nur bei 0,49. Die Erkennungsleistung einiger Stichprobenkategorien (einschließlich U2R, Cyberangriffe, BFA und Botnets) muss gemäß den kombinierten Ergebnissen von Abbildung 9 und Abbildung 10 verbessert werden.

In der dritten Stufe wurden 13 einzelne Klassifikatoren verwendet, die mit den vorherigen identisch sind, sich aber auf die Minderheitenklasse konzentrieren, um die Leistung von HMC zu vergleichen. Das auf AdaBoost basierende HMC-Design übertrifft laut den Ergebnissen das Verpacken. In der U2R-Klasse hat das auf AdaBoost basierende HMC eine F1-Punktzahl von 0,5 (das anfängliche F1 ist 0), während das Bagging-basierte HMC für die Minderheitenklasse eine F1-Punktzahl von 0,67 (mit 0,4 als Anfangs-F1) erreicht. AdaBoost-basierte HMC erreichte einen F1-Wert von 0,88 (ursprüngliches F1 war 0,71), während Bagging-basierte HMC für die Netzwerkangriffsklasse einen F1-Wert von 0,9 erhielt (ursprüngliches F1 war 0). Diese Ergebnisse zeigen, dass Ensemble-Lernstrategien (wie AdaBoost und Bagging) die Vorhersagefähigkeit mehrerer Klassifikatoren bei Minderheitenklassen signifikant verbessern.

Angriffssimulationsfall

Um die Praktikabilität und Robustheit des vorgeschlagenen Modells in einer tatsächlichen Netzwerkumgebung weiter zu überprüfen, entwarf und implementierte dieses Paper einen Angriffssimulationsfall und führte ein Simulationsexperiment zum DDoS-Angriffsszenario durch. Die Simulationsumgebung basiert auf einer virtuellen Cloud-Computing-Plattform und verwendet mehrere virtuelle Hosts, um die Interaktion zwischen normalen Nutzern und Angreifern zu simulieren. Das Simulationsszenario umfasst eine gemischte Netzwerkumgebung, in der normaler Geschäftszugang und bösartiger Datenverkehr koexistieren.

Im Experiment startete der Angreifer UDP-Flood-Angriffe und SYN-Flood-Angriffe über mehrere Quell-IPs auf den Zielserver, um die Ressourcen des Zielsystems zu erschöpfen und die Verfügbarkeit normaler Dienste zu beeinträchtigen. Das System sammelt ständig Netzwerkverkehrsinformationen, und wichtige Charakteristika wie Übertragungsrate, Sitzungsdauer, Portzugriffsfrequenz und Anzahl abnormaler Verbindungen werden verwendet.

Das vorgeschlagene Modell der Vertrauensbewertung und Angriffserkennung wird im Überwachungsknoten implementiert, um Echtzeitverkehr zu analysieren und zu kategorisieren. Das System kann eine erfolgreiche Identifikation in den frühen Phasen des Angriffs über das Trust-Cloud-Modell und den Multi-Klassifikations-Diskriminierungsmechanismus aufzeichnen und die verdächtigen effizient als Low Trust markieren und einen Reaktionsmechanismus aktivieren.

Die Simulationsergebnisse zeigen, dass der simulierte Angriffsverkehr über 30 % des gesamten Verkehrs ausmacht. Das vorgeschlagene System erreichte eine Erkennungsgenauigkeit von 96 %, eine niedrige Fehlalarmrate von 3 % und eine Antwortlatenz von weniger als 2 Sekunden unter simulierten DDoS-Bedingungen. Dieses Ergebnis bestätigt, dass dieses Modell vielversprechende Anwendungsmöglichkeiten bietet, um verteilte Angriffe zu bewältigen und die Sicherheitsverteidigungsfähigkeiten des Systems zu verbessern.

Darüber hinaus erweiterte dieses Experiment auch die Tests von Mehrrundenangriffen und nicht-kontinuierlichen Angriffen. Das Modell behält eine hohe Erkennungsstabilität, was auf seine gute Verallgemeinerungsfähigkeit unter komplexen dynamischen Netzwerkbedingungen hinweist. Die Arten von Angriffen werden in Zukunft erweitert, einschließlich Dateninjektion, Phishing-Angriffen usw., um die Flexibilität und Skalierbarkeit des Modells bei verschiedenen Bedrohungen vollständig zu testen.

Tabelle 5 stellt die statistische Signifikanz von Leistungsverbesserungen dar. Diese Tabelle zeigt die Ergebnisse gepaarter t-Tests, die Baseline-Modelle mit dem vorgeschlagenen Adaptive ML-HMC-Trust-Framework hinsichtlich der wichtigsten Leistungskennzahlen vergleichen. Die Tabelle besteht aus den Mittelwerten und Standardabweichungen, t-Werten, p-Werten sowie den Signifikanzstufen der Genauigkeit, F1-Wert, Minderheitenklassenerkennung, Falsch-Positiv-Rate und Erkennungslatenz.

figure-results-1
Abbildung 1: Methodische Flussdarstellung. Flussdiagramm, das das vorgeschlagene SDN-Cloud-Framework illustriert, das adaptives ML, hierarchische Klassifikation und Vertrauensbewertung für die Echtzeit-Angriffserkennung integriert. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-2
Abbildung 2: Cloud-Service-Architektur. Die Abbildung zeigt das allgemeine Cloud-Service-Modell, das in der Forschung angewandt wird, die Kontrollschicht, die Datenweiterleitungsschicht und die Service-Schicht. Die Architektur besteht aus Ryu OpenFlow Controller, Open vSwitch-Knoten und virtualisierten Cloud-Hosts. Die Verbindungen sind alle Echtzeit-Datenfluss- und Link-Status-Interaktionen. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-3
Abbildung 3: Netzwerktopologiemodell. Die Abbildung zeigt die dreischichtige virtuelle Netzwerktopologie, die in der Cloud-Umgebung aufgebaut ist. Es umfasst die Host-Knoten, Schaltschichten, simulierte Link-Verzögerungen sowie Bandbreitenbegrenzungen. Die Topologie ermöglicht Verkehrstrennung, Mehrweg-Routing und Echtzeit-Umleitung von Angriffsflussen. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-4
Abbildung 4: HMC-basierte Sicherheitserkennungsarchitektur. Die Abbildung zeigt die Hierarchie der Multiclass-Klassifikationshierarchie, die Ensemble-Lernen, Vertrauensbewertung und Multi-Level-Bedrohungserkennung kombiniert. Die Blöcke stellen die Klassifikationsphasen dar und zeigen den Fluss von grobkörniger zur feinkörnigen Angriffserkennung. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-5
Abbildung 5: Prozess der Vertrauensbewertung auf Basis des Cloud-Modells. Die Abbildung stellt die sechs Schritte des Vertrauensbewertungsprozesses dar: die normale Trust-Cloud-Generierung, Attribut-Extraktion, Attribut-Cloud-Bildung, Cloud-Ähnlichkeitsberechnung, Trust-Level-Klassifikation und dynamische Trust-Aktualisierung. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-6
Abbildung 6: Leistung des maschinellen Lernens im DDoS-Datensatz. Die Abbildung untersucht, wie acht klassische ML-Modelle in einer binären Anordnung von normalem vs. DDoS-Angriffsverkehr abschneiden. Die Kennzahlen sind Abruf, Präzision, F1-Score und allgemeine Genauigkeit. Fehlerbalken spiegeln die Variabilität durch fünffache Kreuzvalidierung wider. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-7
Abbildung 7: Performance des Deep-Learning-Modells auf DDoS-Datensatz. Die Abbildung zeigt die binäre Klassifikationsleistung der MLP-, CNN-, RNN-, LSTM- und GRU-Modelle. Messungen zeigen die Modellleistung in einer Reihe von Trainingszyklen an. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-8
Abbildung 8: HMC vs. Leistung eines einzelnen maschinellen Lernklassifikators. Die Abbildung zeigt einen Vergleich zwischen der hierarchischen Multiklassifikation und dem traditionellen Klassifikator von Minderheitenangriffen wie U2R und R2L. F1-Werte werden präsentiert, einschließlich Fehlerbalken, die Unterschiede zwischen wiederholten Experimenten anzeigen. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-9
Abbildung 9: HMC vs. Deep-Learning-Klassifikatorleistung. Der Wert zeigt die Verbesserung der Multiclass-Detektion mit HMC auf DL-Modellen an. Die Minderheitsleistung wird hervorgehoben und ist im Vergleich zu Single-DL-Modellen deutlich verbessert. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

figure-results-10
Abbildung 10: Ergebnisse der DDoS-Angriffssimulation. Die Abbildung zeigt die Echtzeit-Überwachungsausgabe des Experiments in der Angriffssimulation, die die Verkehrsrate, die Anzahl abnormaler Verbindungen, die Reaktionszeit der Erkennungsmethode und die Systemklassifikationsausgabe angibt. Die Skalenbalken zeigen die Zeit (in Sekunden) und das Verkehrsvolumen an. Bitte klicken Sie hier, um eine größere Version dieser Abbildung anzusehen.

ModellLernrateChargengrößeEpochenAktivierungsfunktion
MLP0.0016430ReLU
CNN0.00053250LeakyReLU
RNN0.0016440Tanh
LSTM0.000112860Sigmoid
GRU0.0016445ReLU

Tabelle 1: Parametereinstellungen für Deep-Learning-Modelle. Diese Tabelle enthält die Hyperparameter von Deep-Learning-Experimenten: die Batchgröße, die Lernrate, die Anzahl der Epochen und die Architekturspezifikationen.

Beispiel-IDAbtastzeit (Sekunden)Trust Degree ExExExEntropy EnEnEnHyper-Entropie HeHeHeÄhnlichkeitswertVertrauensstufe
1100.750.650.80.85Hoch
2200.80.60.750.82Hoch
3300.680.70.850.8Medium
4400.60.720.90.78Medium
5500.50.80.950.7Niedrig
6600.450.850.960.65Niedrig

Tabelle 2: Systemstichprobenwerte und Netzwerksituationsanalyse. Diese Tabelle gibt einige der Stichprobenwerte der Cloud-Umgebung an, wie Verkehrsstatistiken, Vertrauenswerte und Klassifikationsausgaben.

KlassifikatorGenauigkeitPräzisionRückrufF1-Ergebnis
Entscheidungsbaum (DT)85.20%84.30%86.10%85.20%
Zufallswald (RF)90.10%89.30%91.00%90.10%
Naive Bayes (NB)82.50%81.70%83.40%82.50%
K-Nächstgelegene Nachbarn (KNN)87.40%86.80%88.10%87.40%
SVM-RBF88.90%88.10%89.50%88.80%
Lineares SVM (L-SVM)87.80%87.20%88.50%87.80%
Einpacken91.20%90.50%91.70%91.10%
Boosting92.30%91.90%92.60%92.20%

Tabelle 3: Leistungsvergleich des maschinellen Lern-Klassifikators. Die Tabelle zeigt den Rückruf, die Präzision, die Genauigkeit und die F1-Ergebnisse aller getesteten ML-Modelle.

ModellGenauigkeitPräzisionRückrufF1-Ergebnis
MLP89.50%88.70%90.30%89.50%
CNN91.20%90.70%91.50%91.10%
RNN88.30%87.60%88.80%88.20%
LSTM92.10%91.80%92.40%92.10%
GRU91.80%91.40%92.10%91.70%

Tabelle 4: Leistungsvergleich von Deep-Learning-Klassifikatoren. Diese Tabelle präsentiert Leistungskennzahlen der MLP-, CNN-, RNN-, LSTM- und GRU-Modelle auf Basis der Multiclass-Erkennung.

LeistungskennzahlBasismittelwert (SD)Vorgeschlagener Modellmittelwert (SD)T-Wertp-WertBedeutung
Genauigkeit0.89 (0.04)0.96 (0.02)8.72<0,001Bedeutend
F1-Score0.84 (0.05)0.94 (0.03)9.15<0,001Bedeutend
Minderheitenklasse-Detektion (U2R/R2L)0.52 (0.08)0.81 (0.06)10.44<0,001Bedeutend
Falsch-Positiv-Rate0.11 (0.03)0.04 (0.02)–7.98<0,001Bedeutend
Erkennungslatenz (Sekunden)3.10 (0.41)1.82 (0.33)–9.27<0,001Bedeutend

Tabelle 5: Statistische Signifikans von Leistungsverbesserungen. Diese Tabelle zeigt die Ergebnisse gepaarter t-Tests, die Basismodelle mit dem vorgeschlagenen Adaptive ML-HMC-Trust-Framework hinsichtlich der wichtigsten Leistungskennzahlen vergleichen. Die Tabelle besteht aus den Mittelwerten und Standardabweichungen, t-Werten, p-Werten sowie den Signifikanzstufen der Genauigkeit, F1-Wert, Minderheitenklassenerkennung, Falsch-Positiv-Rate und Erkennungslatenz.

Discussion

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Eine effektive Implementierung dieses Protokolls beruht auf kritischen Schritten innerhalb der cloudbasierten Architektur. Eine korrekte Konfiguration des Ryu OpenFlow Controllers, die korrekte Einrichtung der Open-vSwitch-Regeln und die robuste Bildung einer mehrschichtigen Topologie sind unerlässlich, um eine vollständige Verkehrserfassung sicherzustellen. Die Wahl von Ryu als Controller und Open vSwitch als Switch-Plattform stärkt den praktischen Wert des Systems erheblich; Ihre leichten, modularen und vollständig programmierbaren Eigenschaften machen sie ideal für Echtzeit-Netzwerküberwachung, dynamische Flusskontrolle und skalierbares Sicherheitsmanagement über Cloud-Infrastrukturen hinweg. Ebenso muss die Vorverarbeitungspipeline – einschließlich Reinigung, Normalisierung und Annotation – genau ausgeführt werden, um Verzerrungen bei der hierarchischen Klassifikation zu vermeiden und die inhärenten Komplexitäten der Cloud-Sicherheitsanalyse zu adressieren.

Während des Einsatzes waren mehrere Anpassungen erforderlich, um eine optimale Leistung sicherzustellen. Ensemble-Modelle zeigten zunächst Überanpassung in Minderheitenklassen, was eine Abstimmung der Tiefe schwacher Lernender und des Wahlgewichts erforderte – ähnlich wie Herausforderungen bei der Anomalieerkennung. Um die durch rauschen Verkehr verursachte Vertrauenswertvolatilität zu mindern, wurden die Entropie- und Verfallparameter des Cloud-Modells neu kalibriert. Darüber hinaus wurden Streaming-Engpässe in den Kafka-Spark-Pipelines durch die Skalierung der Themenpartitionierung zur Unterstützung von Hochdurchsatz-Cloud-Umgebungen behoben.

Die experimentellen Ergebnisse von Simulationen in Mininet und EstiNet sowie Bewertungen mit echtem Cloud-Verkehr und DDoS-Datensätzen zeigen, dass der vorgeschlagene ML-HMC-Trust-Fusionsansatz deutliche Verbesserungen bei der Erkennungsgenauigkeit, der Reduktion von falschen positiven Ergebnissen und der Echtzeitreaktionsfähigkeit bietet. Dies bestätigt die Wirksamkeit, adaptive Lernalgorithmen mit einem hierarchischen Klassifikationsmodell abzustimmen, um komplexe Aufgaben zur Erkennung von Mehrklassenangriffen zu zerlegen. Dieser Ansatz bietet erhebliche Vorteile gegenüber konventionellen, nicht-reaktiven und regelbasierten Frameworks, die mit dynamischen Angriffstechniken und Bedrohungen aus Minderheitenkategorien zu kämpfen haben. Konkret erreicht das Protokoll durch die Kombination von HMC mit AdaBoost und Bagging eine höhere Genauigkeit bei der feinkörnigen Erkennung seltener Angriffsklassen wie U2R und R2L und adressiert so die Klassenungleichgewichtsgrenzen einzelner ML-Modelle. Darüber hinaus verbessert das dynamische Vertrauensmodell die Entscheidungsfähigkeit in unsicheren Situationen.

Trotz dieser Fortschritte unterliegt das Protokoll bestimmten Einschränkungen, die in verwandten Arbeiten berichtet werden. Machine-Learning-Techniken bleiben durch extreme Datenungleichgewichte herausgefordert, insbesondere bei U2R- und R2L-Angriffen8. Deep-Learning-Modelle sind zwar leistungsfähig, benötigen aber erhebliche Rechenressourcen und können in Echtzeit-Cloud-Szenarien Latenzen zeigen12,13. Ensemble-Lernen verbessert die Verallgemeinerung, erhöht aber den Ressourcenverbrauch und die Schlussfolgerzeit14. Ähnlich haben Cloud-Modell-Vertrauenssysteme eine Verwundbarkeit gegenüber verrauschten oder dynamisch entwickelnden Verhaltenseingaben gezeigt, was mit früheren Ergebnissenübereinstimmt 16. Die vorgeschlagene Methode verfügt über ein modulares Design, das für größere Cloud- und Edge-Umgebungen geeignet ist und die Integration mit föderiertem Lernen, Nebelrechnen und verteilten IoT-Cloud-Systemen ermöglicht. Während sich die aktuelle Studie auf funktionale Validierung in mittelgroßen Szenarien konzentrierte, wird zukünftige Forschung auf großflächige, hochverteilte Cloud-Umgebungen und Multi-Controller-SDN-Architekturen ausgeweitet, um die Fehlertoleranz zu verbessern. Geplante Erweiterungen umfassen außerdem die Untersuchung von Vertrauensadaption auf Basis von Reinforcement Learning, Zero-Day-Fähigkeiten und eine tiefere Integration mit Bedrohungsinformationen zur Bekämpfung neuer Bedrohungen wie Phishing und Botnets. Durch die Vereinheitlichung von adaptivem ML, HMC und Vertrauensbewertung innerhalb eines SDN-Ökosystems bietet diese Forschung einen strategischen Weg zu intelligenteren, widerstandsfähigeren und proaktiveren Cloud-Verteidigungssystemen.

Disclosures

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Die Autoren haben nichts offenzulegen.

Acknowledgements

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Die Autoren sprechen dem Informationsdepartment des Shanghai Proton and Heavy Ion Center ihren Dank für die Bereitstellung der für diese Studie erforderlichen Rechenressourcen und Forschungsumgebungen aus. Wir danken auch unseren Kollegen für ihre wertvollen technischen Erkenntnisse während der Systemdesign- und Testphasen.

Materials

List of materials used in this article
NameCompanyCatalog NumberComments
AdaBoost (Ensemble-Lernbibliothek)Scikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.htmlSoftware
Bagging-KlassifikatorScikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.htmlSoftware
Cloud Model Trust Evaluation CodeBenutzerdefinierte ImplementierungN/AAlgorithmus/Software
Konvolutionales neuronales Netzwerk (CNN)TensorFlow / PyTorchhttps://www.tensorflow.org/tutorials/images/cnnSoftware
Deep-Learning-Frameworks (MLP, RNN, LSTM, GRU)TensorFlow / PyTorchSoftware
EstiNet Network SimulatorEstiNet Technologieshttps://sites.google.com/view/estinet-network-simulatorSoftware
Kafka (Datenstreaming-Plattform)Apache Foundationhttps://kafka.apache.org/Software
KDD CUP 10% DatensatzUCI Machine Learning Repositoryhttp://kdd.ics.uci.edu/databases/kddcup99/kddcup99.htmlDatensatz
Mininet-EmulatorMininet-ProjektMininet 2.3.1Netzwerkemulation für SDN-Topologie, Bandbreite und gemischte Angriffssimulation.
Open vSwitch (OVS)Open vSwitch OrgOVS 3.2.2Virtueller Switch implementiert Flusstabellensteuerung und Angriffsverkehrsumleitung.
OpenStack Cloud PlatformOpen Infrastructure Foundationhttps://www.openstack.org/Cloud-Software
Python 3.xPython Software Foundationhttps://www.python.org/downloads/Programmiersprache
Ryu SDN ControllerNTT R& DRyu 4.34SDN-Controller zur Echtzeiterfassung von Netzwerkverkehr und Situationsbewusstsein.
Spark Streaming-FrameworkApache Foundationhttps://spark.apache.org/docs/latest/streaming-programming-guide.htmlSoftware
Visual C++ (VC++) CompilerMicrosofthttps://visualstudio.microsoft.com/Software
Windows 11 WorkstationMicrosoftWindows 11 Pro 23H2Das Betriebssystem wird für Modellkompilierung, Training und Testing verwendet.

References

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,
  1. Xie, J. Application study on the reinforcement learning strategies in the network awareness risk perception and prevention. Int J Comput Intell Syst. 17 (1), 112(2024).
  2. Research on enhancing cloud computing network security using artificial intelligence algorithms. Wang, Y., Yang, X. 2025 International Conference on Sensor-Cloud and Edge Computing System (SCECS), Zhuhai, China, , 237-244 (2025).
  3. Research on computer network security situation awareness warning mechanism based on artificial intelligence. Chaowen, C. 2024 IEEE 4th International Conference on Electronic Technology, Communication and Information (ICETCI), Changchun, China, , 748-753 (2024).
  4. Zhao, X. Network security situational awareness and early warning architecture based on big data. Int J Syst Assur Eng Manag. , (2024).
  5. Akinbolaji, T. J. Advanced integration of artificial intelligence and machine learning for real-time threat detection in cloud computing environments. Iconic Res Eng J. 6 (10), 980-991 (2024).
  6. Emehin, O., Emeteveke, I., Adeyeye, O., Akanbi, I. Securing artificial intelligence in data analytics: strategies for mitigating risks in cloud computing environments. Int Res J Mod Eng Technol Sci. 6, 1978-1998 (2024).
  7. Shang, Y. Prevention and detection of DDoS attack in virtual cloud computing environment using naive Bayes algorithm of machine learning. Meas Sens. 31, 100991(2024).
  8. Altowaijri, S. M., El Touati, Y. Securing cloud computing services with an intelligent preventive approach. Eng Technol Appl Sci Res. 14 (3), 13998-14005 (2024).
  9. Mamidi, S. The role of AI and machine learning in enhancing cloud security. J Artif Intell Gen Sci. 3 (1), 403-417 (2024).
  10. Zhang, C., Shan, G., Roh, B. H. Fair federated learning for multi-task 6G NWDAF network anomaly detection. IEEE Trans Intell Transp Syst. 26 (10), 17359-17370 (2025).
  11. Shyam Mohan, J. S., Thirunavukkarasu, M., Kumaran, N., Thamaraiselvi, D. learning with blockchain based cyber security threat intelligence and situational awareness system for intrusion alert prediction. Sustain Comput Inform Syst. 42, 100955(2024).
  12. Akinade, A. O., Adepoju, P. A., Ige, A. B., Afolabi, A. I. Cloud security challenges and solutions: a review of current best practices. Int J Multidiscip Res Growth Eval. 6 (1), 26-35 (2025).
  13. Hasimi, L., Zavantis, D., Shakshuki, E., Yasar, A. Cloud computing security and deep learning: an ANN approach. Procedia Comput Sci. 231, 40-47 (2024).
  14. Barlybayev, A., Sharipbay, A., Shakhmetova, G., Zhumadillayeva, A. Development of a flexible information security risk model using machine learning methods and ontologies. Appl Sci. 14 (21), 9858(2024).
  15. Wang, Y. Research on intelligent cybersecurity protection system in cloud computing environment. Innov Sci Technol. 3 (4), 71-78 (2024).
  16. Ali, T., Al-Khalidi, M., Al-Zaidi, R. Information security risk assessment methods in cloud computing: comprehensive review. J Comput Inf Syst. 66 (1), 123-150 (2026).
  17. Tahir, A. B. Advanced virtualized cyber security strategies for cloud and fog computing: a machine learning and encryption approach. Int J Comput Data Sci. 1 (1), 37-55 (2025).
  18. Guo, J., Guo, H. Real-time risk detection method and protection strategy for intelligent ship network security based on cloud computing. Symmetry. 15 (5), 988(2023).
  19. Aslan, Ö, Ozkan-Okay, M., Gupta, D. Intelligent behavior-based malware detection system on cloud computing environment. IEEE Access. 9, 83252-83271 (2021).
  20. Mamidi, S. Enhancing cloud computing security through artificial intelligence-based architecture. J Artif Intell Gen Sci. 5 (1), 63-72 (2024).
  21. Omolola, H., et al. Enhancing cybersecurity through cloud computing solutions in the united states. Intell Inf Manag. 16 (4), 176-193 (2024).

Reprints and Permissions

Request permission to reuse the text or figures of this JoVE article

Request Permission

Tags

Adaptive Machine LearningNetwork SecurityCloud ComputingRisk WarningHierarchical ClassificationTrust EvaluationDDoS DetectionEnsemble LearningSDN ArchitectureReal Time Response

Related Articles