Method Article

Utilización de algoritmos adaptativos de aprendizaje automático para la alerta de riesgos de información y la conciencia de escenarios de seguridad de redes en entornos de computación en la nube

DOI:

10.3791/69633

June 2nd, 2026

In This Article

Summary

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

El artículo propone una novedosa solución basada en Aprendizaje Automático (ML) para la seguridad adaptativa de redes en un sistema en la nube que integra clasificación jerárquica multi-etiqueta y un sistema dinámico de evaluación de confianza para mejorar la precisión en la detección de amenazas y disminuir el número de falsos positivos.

Abstract

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Este estudio propone un marco novedoso para la conciencia situacional y la alerta de riesgos en seguridad de redes en entornos de computación en la nube, integrando Aprendizaje Automático (ML) adaptativo, Clasificación Jerárquica Multi-Etiqueta (HMC) y un mecanismo dinámico de evaluación de confianza basado en el modelo de nube. La complejidad, diversidad y naturaleza en tiempo real de los ciberataques emergentes —como los exploits de día cero, la denegación de servicio distribuida (DDoS) y las botnets— suponen desafíos significativos para los métodos tradicionales de detección estática y basados en reglas. Para abordar estos desafíos, desarrollamos una arquitectura de nube eficaz basada en SDN utilizando el controlador Ryu OpenFlow y los switches OpenFlow. Esta arquitectura permite la recopilación de información de enlaces en tiempo real, la programación dinámica y la transmisión de datos escalable y fiable. El marco de clasificación jerárquica sugerido puede descomponer problemas multiclase en tareas binarias, aliviando el efecto del desequilibrio de la muestra y mejorando el reconocimiento de ataques de baja frecuencia, incluyendo Usuario a Raíz (U2R). Las técnicas de aprendizaje en conjunto, incluyendo AdaBoost y Bagging, mejoran aún más la precisión de detección para tipos de ataque de grano fino. Los experimentos realizados con conjuntos de datos DDoS, datos de tráfico en la nube y simulaciones en Mininet y EstiNet demuestran que el enfoque combinado ML-HMC-confianza mejora significativamente la precisión de la detección, reduce los falsos positivos y permite la respuesta en tiempo real. Estos resultados confirman que integrar el aprendizaje adaptativo, la clasificación jerárquica y la evaluación dinámica de la confianza proporciona una solución robusta y escalable para asegurar plataformas de nube a gran escala.

Introduction

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Con la aplicación generalizada de la tecnología de computación en la nube en diversas industrias, la escala y la cantidad de datos en los sistemas de información están aumentando rápidamente, y las amenazas de red se vuelven más complejas, ocultas ydinámicas 1,2. Los mecanismos tradicionales de defensa de seguridad basados en reglas y modelos estáticos ya no pueden cumplir con los requisitos de detección en tiempo real con una alerta temprana precisa ante estrategias de ataque cambiantes, vulnerabilidades de día cero y ataques distribuidos a granescala 3. Por lo tanto, aprovechar los algoritmos de aprendizaje automático adaptativo para integrar completamente las capacidades de procesamiento distribuido de datos y análisis inteligente dentro de las plataformas de computación en la nube, con el fin de lograr una percepción completa de la situación de seguridad de la red y una alerta temprana eficaz de riesgos informativos representa un desafío crítico en el actual panorama de la seguridadde la información 4. Esta investigación no solo tiene una importante importancia teórica para mejorar el sistema de protección de seguridad existente, sino que también ofrece un sólido apoyo para garantizar la seguridad de la infraestructura nacional clave de información y de los datos centralesempresariales 5.

Existen múltiples desafíos a la hora de realizar la conciencia situacional de seguridad de red y la advertencia de riesgo de información en un entorno de computación en la nube: los tipos de datos agregados en la plataforma en la nube son numerosos y las fuentes son complejas, lo que hace que las tareas de preprocesamiento de datos, extracción de características y fusión sean cada vez más arduas; Ante el aumento del tráfico de red y los escenarios de ataque que cambian rápidamente, el sistema debe responder en muy poco tiempo, y la detección y advertencia en tiempo real se han convertido en cuellos de botella técnicos; la cantidad de tráfico normal es muy diferente de la del tráfico de ataque, y los algoritmos tradicionales tienen baja precisión al procesar categorías de muestras pequeñas (como U2R, ataques de red, etc.), y existe un gran riesgo de error de juicio; En un entorno de red complejo, las relaciones de confianza se ven afectadas por múltiples factores y son aleatorias e inciertas 6,7. Los métodos tradicionales de evaluación de confianza basados en umbrales fijos son difíciles de reflejar en la situación real y son fácilmente interferidos por datos anormales. Para abordar estas limitaciones multidimensionales, esta investigación presenta un marco integrado que sinergiza el aprendizaje automático adaptativo, la clasificación jerárquica multi-etiqueta y un mecanismo dinámico de evaluación de confianza basado en modelos en la nube. Esta fusión de técnicas aplicadas en un entorno cloud impulsado por SDN va más allá del refinamiento incremental al permitir el reconocimiento detallado de ataques de baja frecuencia, la adaptación de confianza en tiempo real y la conciencia situacional escalable, algo que los métodos existentes no han logrado simultáneamente.

Los entornos de computación en la nube generan un tráfico de red masivo, altamente dinámico y heterogéneo, lo que hace que los sistemas tradicionales de detección de intrusiones (IDS) no puedan identificar con precisión tipos de ataque sofisticados y minoritarios como U2R y R2L. Las soluciones IDS basadas en aprendizaje profundo (DL) existentes mejoran la precisión de la detección, pero aún sufren de una alta sobrecarga computacional, lenta respuesta en tiempo real y un mal manejo de relaciones de confianza inciertas o en evolución entre entidades de red. Además, la mayoría de los modelos actuales funcionan como clasificadores planos y carecen de mecanismos para la toma de decisiones jerárquica y detallada o para la evaluación dinámica de la confianza. Estas limitaciones crean una brecha crítica en el desarrollo de un IDS que pueda ofrecer detección en tiempo real, reconocimiento preciso de clases minoritarias y evaluación fiable de riesgos conscientes de la confianza en entornos cloud a gran escala.

En la investigación actual sobre conciencia de la situación de seguridad de la red y advertencia de riesgos de información, muchos estudios utilizan métodos como K-nearest neighbor (KNN) y la máquina de vectores de soporte (SVM) para clasificar y detectar el tráfico de red. Estos algoritmos tienen las ventajas de una alta eficiencia computacional y fácil implementación, especialmente al realizar un cribado preliminar de grandes cantidades dedatos 8,9. Sin embargo, sus principales deficiencias se reflejan en varios aspectos: cuando se enfrentan a la mayoría del tráfico normal y un pequeño número de muestras de ataque en un entorno de nube, estos métodos tradicionales de aprendizaje automático a menudo ignoran información de unas pocas categorías, lo que resulta en bajas tasas de reconocimiento para ataques de grano fino (como U2R, ataques por vulnerabilidad de red, etc.); Los modelos individuales suelen ser sensibles al ruido y a los valores atípicos de datos, carecen de la capacidad de adaptarse a escenarios de ataque que cambian dinámicamente y tienden a sobreajustar o a generalizacionesinsuficientes 10,11.

En los últimos años, métodos de DL como el Perceptrón Multicapa (MLP), CNN, Red Neuronal Recurrente (RNN), Red de Memoria a Corto Plazo Largo (LSTM) y Unidad Recurrente Controlada (GRU) se han aplicado cada vez más en el campo de la seguridad de redes. Gracias a las potentes capacidades de aprendizaje de características y mapeo no lineal de las redes neuronales profundas, estos métodos han mejorado significativamente la precisión de detección y la capacidad de capturar comportamientos de ataque complejos en comparación con el ML12 tradicional. Sin embargo, tienen altos requisitos en recursos informáticos y datos de entrenamiento. Especialmente en el contexto del tráfico de big data en entornos de computación en la nube, todavía hay margen de mejora en la sobrecarga de entrenamiento y la velocidad de inferencia en tiempo real. Al identificar clases con pocas muestras, debido a un desequilibrio de datos, los modelos DL tienen bajas tasas de detección para algunos ataques de grano minucioso (como U2R, botnets) debido al sesgo de clase13. Para compensar las limitaciones de un único modelo en el manejo del desequilibrio de datos y la identificación de ataques multiclase, algunos estudios han propuesto soluciones basadas en aprendizaje en conjunto, como el Bagging y el Boosting, que amplían la precisión global de la predicción combinando decisiones de múltiplesclasificadores 14. Al mismo tiempo, la arquitectura de Clasificación Multiclase Jerárquica (HMC) descompone el problema de clasificación multiclase en subproblemas de clasificación binaria múltiple, logrando así un reconocimiento más refinado para clases con menos muestras. Sin embargo, los modelos integrados suelen enfrentarse a problemas como un alto uso de recursos informáticos y un mayor tiempo de respuesta durante el despliegue, especialmente en sistemas de monitorización en tiempo real de computación en la nube, donde los requisitos en tiempo real aumentan la presión sobre los recursos delsistema 15.

En respuesta al problema de la evaluación dinámica de la relación de confianza en la red, algunos estudios han introducido la teoría del modelo de nube, que construye una nube de afiliación de confianza describiendo la difuminación y aleatoriedad de los atributos de confianza de cada entidad, y luego utiliza gotas de nube, entropía, superentropía y otros indicadores para la evaluacióncuantitativa 16. Al enfrentarse a datos de confianza de red actualizados en tiempo real, la tasa de actualización y la eficiencia computacional de los métodos existentes de modelos en la nube pueden encontrar difícil cumplir con los requisitos de advertencia dinámica de alta frecuencia; El modelo es muy sensible a los datos de evaluación, y los datos anormales o la información de ruido pueden interferir significativamente con la evaluación general de la confianza, afectando a las decisiones posteriores de advertencia de riesgo.

En vista de las numerosas deficiencias de la investigación actual en precisión de detección, rendimiento en tiempo real, procesamiento de balance de datos y evaluación de confianza, este artículo propone un nuevo sistema de defensa que utiliza de forma integral algoritmos de aprendizaje automático adaptativo, estrategias jerárquicas de clasificación multiclase y evaluación de confianza en modelos en la nube para la conciencia de la situación de seguridad de la red y la alerta de riesgos de información en entornos de computaciónen la nube 17.

La investigación aborda la ciberseguridad en tiempo real para redes de naves inteligentes aprovechando la tecnología de computaciónen la nube 18. Sugiere un marco de nodos multisensor para examinar datos en busca de ataques maliciosos y utiliza nodos de estrategia de protección autoejecutables para interceptar amenazas. Los resultados demuestran una tasa de detección y defensa de intrusión de virus del 85-95%, y una tasa de falsos positivos del 2,56%, superando significativamente a otros algoritmos. Sin embargo, el enfoque requiere altos recursos computacionales y restricciones de infraestructura cloud en su despliegue práctico. Aslan et al.19 proporcionan un sistema inteligente de detección de malware basado en comportamientos en un entorno de computación en la nube. Produjo un conjunto de datos de malware en máquinas virtuales y utilizó características seleccionadas con agentes de detección basados en aprendizaje y reglas para clasificar malware y muestras benignas. La evaluación de 10.000 muestras del programa mostró un alto rendimiento con una tasa de detección y FPR mejoradas. No obstante, el método tenía problemas de escalabilidad debido a variantes de malware que cambiaban constantemente y despliegues en la nube a escala y en tiempo real.

A pesar de las importantes contribuciones realizadas por estos estudios, una comparación más detallada revela que la mayoría de las soluciones existentes no abordan los supuestos y requisitos de la conciencia situacional en tiempo real o el modelo dinámico de confianza en entornos basados en la nube. Las técnicas convencionales de aprendizaje automático asumen límites de características fijos en el espacio y fallan en el desequilibrio de clases y en dinámicas de tráficoaltamente dinámicas 8,9,10. Los modelos DL están asociados a excelentes capacidades de extracción de características, pero consumen una gran potencia computacional, lo que hace que el proceso de inferencia sea lento e impráctico en la monitorización en tiemporeal 12,13. Los enfoques basados en ensamblaje y HMC son más precisos, pero requieren aún más latencia y recursos, y actualmente no se despliegan en nubes a granescala 14,15. Mientras tanto, las técnicas de evaluación de confianza en modelos en la nube capturan bien la incertidumbre, pero siguen siendo muy sensibles a datos ruidosos y no pueden actualizar los valores de confianza de forma eficiente bajo flujos de ataque de altafrecuencia 16, 17, 18, 19. Incluso los frameworks IDS recientes basados en la nube carecen de soporte robusto e integrado tanto para la detección en tiempo real como para la toma de decisiones consciente de laconfianza 20,21. Estas restricciones en conjunto subrayan la necesidad de un marco de detección de intrusiones eficiente, unificado y habilitado para la confianza. Esta investigación supera estas limitaciones integrando la evaluación dinámica de confianza basada en modelos de nube adaptativa en ML, HMC y modelos en la nube dentro de una arquitectura cloud habilitada con SDN, permitiendo la detección en tiempo real, una mayor precisión en las clases minoritarias y una evaluación de riesgos consciente de la incertidumbre.

Las innovaciones de este artículo se reflejan principalmente en los siguientes aspectos: Se construye una arquitectura de red distribuida eficiente basada en el controlador Ryu OpenFlow y el switch OpenFlow para permitir la recogida en tiempo real y la programación dinámica de la información del enlace, mejorando así enormemente la eficiencia y el procesamiento de la transmisión de datos.

Dadas las dificultades que plantean el desequilibrio de datos y la identificación de ataques con pocas muestras, se diseña un marco HMC de arriba hacia abajo, y se introducen métodos de aprendizaje integrados como AdaBoost y Bagging para mejorar significativamente la precisión de detección de categorías de ataques de grano fino.

La teoría del modelo de nube se utiliza para construir una nube de afiliación de confianza. Mediante el generador inverso y el cálculo de similitud, se realiza la evaluación dinámica del estado de confianza de cada entidad en la red, proporcionando una base cuantitativa para la advertencia de riesgos y suprimiendo eficazmente la especulación crediticia causada por transacciones anormales a precios bajos o altos.

Protocol

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

NOTA: Este protocolo describe cómo construir un sistema de conciencia situacional de seguridad de red basado en la nube e implementar la clasificación jerárquica con evaluación dinámica de confianza. Sigue los pasos siguientes para diseñar la topología de la red en la nube, recopilar y anotar flujos de datos, y desplegar los módulos jerárquicos de clasificación multiclase y evaluación de confianza. La Figura 1 ilustra el marco SDN-cloud propuesto que integra ML adaptativo, clasificación jerárquica y evaluación de confianza para la detección de ataques en tiempo real.

1. Diseño de topología de redes en la nube

NOTA: Asegura el acceso administrativo a OpenStack, Ryu y Mininet antes de continuar.

  1. Despliega el sistema en una plataforma en la nube construida por OpenStack. Utilizar tecnología de virtualización para crear múltiples hosts virtuales y configurar un entorno de red definida por software (SDN) para la gestión unificada de recursos y la programación aislada.
  2. Despliega y configura Ryu y Open vSwitch (OVS) para que funcionen con el control SDN y la gestión del tráfico.
  3. Construye una topología de tres capas donde el controlador Ryu es el núcleo y los switches OVS son los nodos de reenvío, que consisten en una capa de control, una capa de reenvío de red y una capa de servicio de datos.
    1. Configuración de la capa de control: Implementa un controlador SDN centralizado con Ryu. Activa la monitorización del estado de la red en tiempo real usando la API REST de Ryu y conéctala al módulo de detección de seguridad para responder rápidamente al tráfico anormal.
    2. Configuración de la capa de reenvío de red: Configura varios nodos de conmutación virtuales OVS con hosts virtuales y pasarelas externas. Establece políticas de tabla de flujo en OVS para permitir cambios dinámicos de camino, separación de tráfico y redirección de flujo cuando se detecte tráfico de ataque.
    3. Configuración de la capa de servicio de datos: Configurar varios hosts virtuales en la plataforma OpenStack. Crear máquinas virtuales que actúen como servidores web, de bases de datos y de archivos para generar tráfico de datos realista y soportar flujos de ataque inyectados.
  4. Añade varios valores de salto y diferentes caminos. Simula condiciones heterogéneas de ancho de banda y latencia de red utilizando el comando Mininet.
  5. Instala Mininet para desplegar y simular la topología. Aislar inquilinos, segmentación de subredes y listas de control de acceso (ACLs) usando la CLI de Mininet.
  6. Verifica la configuración para asegurar que la topología facilita la captura de tráfico en tiempo real y tiene integración directa con el módulo de detección.
  7. Registrar la arquitectura del sistema completada (Figura 2) y la topología (Figura 3) con todas las interconexiones entre las capas y el flujo de información.

2. Estrategia de recogida y anotación de flujo de datos

PRECAUCIÓN: Asegúrese de cumplir con las normativas de privacidad de datos (por ejemplo, RGPD, políticas locales de ciberseguridad). Pre-anonimizar identificadores de usuario y direcciones IP.

  1. Instala pequeños agentes de recogida de datos en cada host virtual y nodo de red. Configura a cada agente para que examine constantemente el tráfico de red, los registros del sistema y la información de comportamiento del usuario.
  2. Instala Kafka (v3.5) como cola de datos y Apache Spark streaming (v3.4) para procesar los datos del flujo en tiempo real. Configura el rendimiento de Kafka para que sea de 10.000 eventos/s o superior y el intervalo micro-lote de Spark para 500 ms o menos.
  3. Procesar los datos recogidos secuencialmente de la siguiente manera:
    1. Limpia los datos para eliminar registros duplicados, registros incompletos y ruido. Filtra los paquetes inválidos comprobando los encabezados del protocolo.
    2. Normalizar atributos numéricos a un rango estándar [0,1] usando normalización min-max para una escala consistente de características.
    3. Extraer características importantes, incluyendo IPs de origen/destino, puertos, tipo de protocolo, número de paquetes, número de bytes, retardo en el reenvío y medidas de variación del tráfico.
  4. Introduce el conjunto de datos procesado en el módulo de detección asistida por IA para entrenar y validar.
  5. Establecer un sistema de anotación dual para un etiquetado de datos preciso:
    1. Crea una biblioteca de plantillas de ataque. Identificar patrones de ataque comunes (por ejemplo, escaneo de puertos, flood SYN, DoS, U2R) mediante coincidencia de patrones basada en reglas.
    2. Comprueba manualmente muestras ambiguas para mantener la consistencia en el etiquetado.
  6. Utiliza conjuntos de datos de referencia establecidos como CIC-IDS2017 y NSL-KDD para la validación cruzada. Alinea las etiquetas para mantener un ≥90% de consistencia entre anotadores.
  7. Realizar ingeniería de características para construir vectores de entrada estructurados. Codificar jerarquías de ataque basándose en definiciones de categorías multinivel.
  8. Divide los conjuntos de datos en 80% entrenamiento y 20% pruebas.

3. Clasificación jerárquica y evaluación de confianza arquitectura integrada

  1. Construir una arquitectura de percepción inteligente que integre la Clasificación Multiclase Jerárquica (HMC) y un mecanismo dinámico de evaluación de confianza (Figura 4).
  2. Implementa el módulo HMC siguiendo una estrategia "de groso a fino":
    1. Utiliza características ligeras de conexión (por ejemplo, frecuencia, distribución de puertos, tipo de protocolo) para clasificar el tráfico en categorías "normales" y "anormales".
    2. Para tráfico "anormal", realizar la clasificación de segundo nivel en categorías de ataque como DDoS, U2R, R2L y Probe utilizando características estadísticas de nivel medio como intervalo de paquetes y tamaño de carga útil.
    3. Identificar subtipos de grano fino (por ejemplo, TCP SYN Flood, SQL Injection, Brute Force Attack) analizando firmas de ataque y atributos objetivo.
  3. Optimiza el módulo de clasificación.
    1. Aplica métodos de aprendizaje en conjunto AdaBoost y Baging, construyendo de 5 a 8 clasificadores débiles en cada nivel jerárquico (por ejemplo, árbol de decisiones, regresión logística).
    2. Combinar los resultados de los clasificadores usando votación mayoritaria ponderada basada en puntuaciones de precisión.
  4. Implementa el módulo dinámico de evaluación de confianza utilizando la teoría del modelo de nube:
    1. Mantén un control constante de los indicadores de comportamiento del huésped, por ejemplo, la estabilidad pasada, la frecuencia de comunicación y la variación en los objetivos de acceso.
    2. Incluir la credibilidad de la salida del modelo en el cálculo de la confianza. Estima la puntuación real de confianza (0 a 1) con la ayuda de parámetros de expectativa (Ex), entropía (En) e hiperentropía (He).
  5. Configura el mecanismo de retroalimentación de enlace entre HMC y los módulos de confianza.
    1. Auto-programar sistemas basados en valores de confianza: aislar hosts con ≤ de confianza 0.3 y reducir los privilegios de los hosts con confianza 0.3-0.6.
    2. Reentrenar el clasificador con datos del host con ≥ de confianza 0.8 para aumentar la detección y flexibilidad ante ataques desconocidos.
  6. Prueba la capacidad de respuesta de día cero. Inyecta tráfico malicioso sin etiquetar y confirma que las alertas y el aislamiento se activan en un plazo de 10 minutos.

4. Cálculo e implementación del modelo de nube de confianza (Figura 5)

  1. Generación estándar de confianza en la nube:
    1. Divide los valores de confianza en n niveles distintos (por ejemplo, "Bajo", "Medio", "Alto", "Muy Bajo" y "Muy alto").
    2. Calcular la expectativa (Exk) para el nivel k basándose en la media de las evaluaciones de fideicomisos para entidades de ese nivel usando la Ecuación 1:
      figure-protocol-1
      donde Tik representa los valores de confianza individuales de entidades clasificadas bajo el nivel de confianza Lk.
    3. Calcula la entropía (Enk) para cuantificar la difusión de los valores de confianza dentro del nivel Lk usando la Ecuación 2:
      figure-protocol-2
      donde α es una constante que controla el nivel de difuminación.
    4. Calcula la hiperentropía (Hek) usando la Ecuación 3 para cuantificar la inestabilidad de la entropía a lo largo del tiempo:
      figure-protocol-3
      donde β es un parámetro que ajusta el nivel de incertidumbre.
    5. Salida el conjunto de nubes de confianza estándar C1,C 2,...,C n correspondientes a los n niveles de confianza.
  2. Generación inversa de nube de atributos de confianza:
    1. Normalice los atributos de confianza de entrada Ai al rango [0,1] usando la Ecuación 4:
      figure-protocol-4
      Aplicar análisis estadístico para estimar los parámetros correspondientes del modelo de nube (Ex, En, He) para cada atributo normalizado Ai'.
      Genera el atributo de confianza nube Ci para cada atributo.
  3. Evaluación integral del fideicomiso:
    1. Calcula las propiedades digitales de la nube de confianza compuesta (Excom,En com, Hecom) usando síntesis ponderada (Ecuaciones 5-7):
      figure-protocol-5
      figure-protocol-6
      figure-protocol-7
      donde figure-protocol-8
    2. Calcular la similitud entre la nube de confianza actual Ci y una nubeC k estándar usando la Ecuación 8:
      figure-protocol-9
      Determina el nivel final de confianza L* encontrando la máxima similitud usando la Ecuación 9:
      figure-protocol-10
  4. Actualización dinámica de confianza
    1. Actualiza el valor de confianza para reflejar la evolución a lo largo del tiempo usando el modelo de decaimiento temporal en la Ecuación 10:
      figure-protocol-11
      donde λ∈[0,1] controla la ponderación de la confianza reciente frente a la histórica.
    2. Aplica el mecanismo de penalización del fideicomiso si se producen desviaciones específicas. Calcula la desviación (ΔA) y el factor de penalización(penalización P) usando las ecuaciones 11 y 12:
      figure-protocol-12
      figure-protocol-13
    3. Calcula el valor de confianza actualizado usando la Ecuación 13:
      figure-protocol-14

5. Validación experimental del rendimiento de detección de ataques

  1. Configura el entorno experimental y prepara el conjunto de datos.
    1. Utiliza una estación de trabajo Windows 11 equipada con herramientas Visual C++ para compilar y probar algoritmos.
    2. Obtén el conjunto de datos del KDDCUP_10% de fuentes verificadas y preprocesarlo siguiendo las directrices institucionales de protección de datos.
    3. Establecer parámetros del algoritmo: intervalo de tiempo T = 10s, rondas de muestreo h = 20 y muestras de datos n = 1000.
    4. Divide los datos en conjuntos de entrenamiento (80%) y de prueba (20%) mediante muestreo estratificado.
  2. Validar el rendimiento de la clasificación binaria.
    1. Realizar una validación cruzada de 5 veces para garantizar la fiabilidad.
    2. Entrenar y probar ocho clasificadores: Árbol de Decisión (DT), Naive Bayes (NB), Bosque Aleatorio (RF), K-Vecino Más Cercano (KNN), Impulso Adaptativo (AdaBoost), Máquina de Vectores de Soporte (SVM), Encapsulación y Aumento de Gradiente.
    3. Ejecuta 100 épocas por modelo y registra precisión, exactitud, recuerdo y puntuación F1.
  3. Validar el rendimiento de clasificación multiclase.
    1. Clasificadores de tren para detectar DDoS, U2R, R2L, Probe y tráfico normal.
    2. Implementa cinco arquitecturas DL (MLP, CNN, GRU, RNN y LSTM) usando parámetros especificados en la Tabla 1.
    3. Compara el rendimiento usando curvas de recuerdo de precisión y matrices de confusión para cada clase.
  4. Valida el algoritmo HMC.
    1. Implementa HMC con AdaBoost y Bagging como estrategias de conjunto.
    2. Descompone problemas multiclase en subclasificaciones binarias mediante lógica jerárquica.
    3. Comparar los resultados con modelos de referencia para tipos de ataque de minorías (U2R, R2L).
  5. Implementa simulación de ataque.
    1. Despliega el modelo entrenado de detección de confianza en el banco de pruebas en la nube.
    2. Crear ataques UDP Flood y SYN Flood usando hosts multi-virtuales para atacar servidores asignados.
    3. Mantén el tráfico de ataque alrededor del 30% del rendimiento de la red.
    4. Lleva un seguimiento de las estadísticas de la red (velocidad de transmisión, duración de sesión, frecuencia de acceso al puerto, conexiones anormales).
    5. Mide error de detección, falsos positivos y tiempo medio de respuesta del sistema.

Results

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Validación experimental y análisis del rendimiento

Validación basada en la nube

Para probar la eficiencia y viabilidad del algoritmo propuesto, se realizaron pruebas de simulación en un entorno de laboratorio de red controlado. La verificación se realizó en el sistema operativo Windows, y el algoritmo central está codificado en herramientas de programación VC (Visual C++).

En el caso de datos experimentales, elegimos el conjunto de datos KDDCUP_10% disponible pública http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html mente que es común en la detección de intrusiones y el modelado del comportamiento de la red. El proceso experimental general es muy similar al enfoque descritoanteriormente 10 para asegurar la comparabilidad y credibilidad de los resultados.

Los principales parámetros del algoritmo se establecieron en: intervalo de tiempo T = 10 s; número de rondas de muestreo h = 20; Muestras de datos n = 1000.

Calcularon las características digitales del modelo de nube de confianza usando estos parámetros. Después, se utilizó el algoritmo de similitud de la nube de confianza más similar de los candidatos, lo que permitió clasificar y evaluar los estados de la red.

La Tabla 2 muestra los valores de la muestra seleccionada del sistema y los resultados de la situación de análisis de red. Estos confirman que el sistema de evaluación de confianza basado en la nube sugerido tiene el potencial de representar y encapsular de manera eficiente el dinamismo y las incertidumbres de los entornos de red multifacéticos.

El experimento confirma la posibilidad de implementar modelos en la nube junto con la evaluación de confianza en tiempo real y proporciona un marco para su aplicación posterior en el sistema adaptativo de gestión de seguridad.

Verificación del ataque

Para realizar una verificación exhaustiva del rendimiento del algoritmo propuesto en este experimento, es necesario evaluar las capacidades de detección de ataques de la clasificación binaria, multiclasificación y HMC dentro de un entorno de computación en la nube. La evaluación experimental se divide en tres fases principales: la aplicación de datos de ataques DDoS para comprobar la funcionalidad del módulo de IA, la evaluación de la funcionalidad de varios algoritmos de ML y el análisis de la funcionalidad de los modelos DL para prever ataques.

Verificación del rendimiento en clasificación binaria

En la primera fase del experimento, se utilizó el conjunto de datos de ataques DDoS para verificar el módulo de IA, cuyo objetivo principal era probar la precisión de predicción del modelo en un entorno de computación en la nube. Utilizamos un método de validación cruzada de 5 vías, y la proporción de datos de entrenamiento respecto a datos de prueba se estableció en 8:2, es decir, el 80% de los datos se utilizó para entrenamiento y el 20% para pruebas. En cada experimento, se utilizó un conjunto de pruebas diferente para verificar el modelo y asegurar que cada muestra apareciera como un conjunto de prueba una vez. El proceso de formación duró 5 épocas y se obtuvo el resultado medio.

El conjunto de datos se divide en dos grupos: normal y anormal. Para comparar el rendimiento de diferentes clasificadores, se seleccionaron los siguientes ocho clasificadores de ML comunes: árbol de decisión (DT), bosque aleatorio (RF), Bayes ingenuo (NB), K vecino más cercano (KNN), máquina de vectores de soporte (núcleo RBF) (SVM-RBF), máquina de vectores de soporte lineal (L-SVM) y algoritmos de embolsado y potenciación para el aprendizaje en conjunto. Los resultados de la comparación de rendimiento se muestran en la Figura 6. Mediante la comparación de rendimiento de estos clasificadores, su rendimiento en la detección de ataques DDoS puede evaluarse de forma exhaustiva 20,21.

Verificación de rendimiento multiclasificación

En la segunda fase del experimento, el conjunto de datos se amplió a problemas de multiclasificación, que involucraban diferentes tipos de ataques de red, incluyendo DDoS, U2R (ataque de usuario a raíz), R2L (ataque remoto a local), datos normales, etc. Los problemas de clasificación múltiple ponen a prueba la capacidad del modelo para identificar y organizar múltiples tipos de ataque.

Se utilizaron cinco clasificadores DL para la validación, incluyendo MLP, CNN, RNN, la red de memoria a corto plazo (LSTM) y la red GRU. Los parámetros específicos de cada modelo se presentan en la Tabla 1, la Tabla 3 y la Tabla 4. Al realizar la validación multiclasificación, se evaluó en detalle la precisión y el recuerdo del modelo en múltiples categorías.

Verificación del desempeño multiclasificación del HMC

En la tercera etapa, el algoritmo HMC se utilizó para comparar el rendimiento de todos los modelos ML y DL mencionados anteriormente en tareas de clasificación multiclase. El algoritmo HMC mejora significativamente la precisión para detectar ataques de grano fino (como U2R, R2L, etc.) al descomponer problemas complejos de multiclase en múltiples subproblemas de clasificación binaria. Las ventajas del HMC se verificaron mejorando la precisión de la detección de ataques en comparación con los métodos tradicionales de clasificación.

Resultados experimentales y análisis

A través de los experimentos en las tres etapas anteriores, obtuvimos los indicadores de rendimiento de cada clasificador y modelo DL bajo diferentes tipos de ataque. La Tabla 3 muestra indicadores de rendimiento como precisión, tasa de revisión, valor F1, etc., en diferentes métodos de clasificación. En el experimento, HMC mostró alta precisión y robustez en la detección de ataques multiclase, especialmente al tratar con ataques U2R y R2L. En comparación con los métodos tradicionales de SVM y RF, HMC ha logrado una mejora significativa.

A través de estos resultados experimentales, verificamos la eficacia del módulo de IA propuesto para la detección de ataques en un entorno de computación en la nube, y proporcionamos una base fiable para la optimización posterior del modelo y el despliegue de aplicaciones.

Los resultados experimentales indican que, entre los modelos de aprendizaje automático, los métodos de Árbol de Decisión (DT), Bosque Aleatorio (RF) y conjunto (Embolsado, Impulso) lograron un rendimiento superior, con puntuaciones F1 que alcanzaron 1,0. Esto valida su robustez y precisión para distinguir patrones DDoS del tráfico normal. En contraste, el modelo de Bayes ingenuo (NB) tuvo un desempeño pobre en la predicción anormal de paquetes, con una puntuación F1 de 0,62, lo que indica que el modelo tiene cierto riesgo de clasificación errónea al enfrentarse a tipos de ataque complejos.

La Figura 7 muestra el rendimiento de MLP, CNN, RNN, LSTM y GRU. Tras optimizar los parámetros, las puntuaciones binarias F1 de los modelos DL fueron 0,93 y 0,98, respectivamente, lo que indica que los modelos DL capturan eficazmente las características de datos profundos, especialmente al procesar series temporales y reconocimiento complejo de patrones, y que rinden mejor que los modelos ML tradicionales.

Un análisis exhaustivo muestra que los árboles de decisión, los métodos de aprendizaje en conjunto y los modelos de redes neuronales muestran un rendimiento excelente en la detección de ataques DDoS, pero en aplicaciones específicas, la selección de un modelo adecuado aún debe tener en cuenta factores como el tipo de ataque, el volumen de datos y los recursos informáticos. Para mejorar aún más la capacidad de detección del modelo, se pueden integrar múltiples modelos en el futuro para lograr mayor precisión y una menor tasa de falsas alarmas.

La Figura 8 demuestra el rendimiento superior de los modelos DL respecto a las líneas base tradicionales de ML, manteniendo valores F1 entre 0,96 y 0,99, especialmente en conjuntos de datos desbalanceados. Sin embargo, el rendimiento predictivo de la clase U2R sigue siendo inferior en las categorías más detalladas, y el rendimiento de la clasificación de ciberataques es solo de 0,49. El rendimiento de reconocimiento de algunas categorías muestrales (incluyendo U2R, ciberataques, BFA y botnets) debe mejorarse, según los resultados combinados de la Figura 9 y la Figura 10.

En la tercera fase, se utilizaron 13 clasificadores individuales, idénticos a los anteriores pero centrados en la clase minoritaria, para comparar el rendimiento del HMC. El diseño HMC basado en AdaBoost supera al bagado, según los resultados. En la clase U2R, HMC basada en AdaBoost tiene una puntuación F1 de 0,5 (la F1 inicial es 0), mientras que HMC basada en Bagging tiene una puntuación F1 de 0,67 (con 0,4 como F1 inicial) para la clase minoritaria. El HMC basado en AdaBoost obtuvo una puntuación F1 de 0,88 (el F1 original era 0,71), mientras que el HMC basado en Embolsas obtuvo una puntuación F1 de 0,9 (el F1 original era 0) para la clase de ataque en red. Estos resultados muestran que las estrategias de aprendizaje en conjunto (como AdaBoost y Bagging) mejoran significativamente la capacidad predictiva de múltiples clasificadores en clases minoritarias.

Caso de simulación de ataque

Para verificar aún más la practicidad y robustez del modelo propuesto en un entorno real de red, este artículo diseñó e implementó un caso de simulación de ataque y realizó un experimento de simulación sobre el escenario de ataque DDoS. El entorno de simulación está construido sobre una plataforma virtual de computación en la nube, utilizando múltiples hosts virtuales para simular la interacción entre usuarios normales y atacantes. El escenario de simulación incluye un entorno de red mixto donde el acceso normal al negocio y el tráfico malicioso coexisten.

En el experimento, el atacante lanzó ataques UDP flood y SYN Flood al servidor objetivo a través de múltiples IPs fuente, intentando agotar los recursos del sistema objetivo y afectar la disponibilidad de servicios normales. El sistema recopila constantemente información del tráfico de red y se utilizan parámetros característicos principales relacionados con la velocidad de transmisión, la duración de las sesiones, la frecuencia de acceso al puerto y el recuento de conexiones anormales.

El modelo propuesto de evaluación de confianza y detección de ataques se implementa en el nodo de monitorización para analizar y categorizar el tráfico en tiempo real. El sistema puede registrar la identificación exitosa en las fases iniciales del ataque mediante el modelo de nube de confianza y el mecanismo de discriminación multiclasificación, y etiquetar eficientemente a los sospechosos como de baja confianza y activar un mecanismo de respuesta.

Los resultados de la simulación indican que cuando el tráfico de ataque simulado constituye más del 30% del tráfico total. El sistema propuesto alcanzó una precisión de detección del 96%, una baja tasa de falsos positivos del 3% y una latencia de respuesta inferior a 2 s bajo condiciones simuladas de DDoS. Este resultado confirma que este modelo tiene oportunidades de aplicación prometedoras para abordar ataques distribuidos y mejorar las capacidades de defensa de seguridad del sistema.

Además, este experimento amplió la prueba de ataques de varios asaltos y ataques no continuos. El modelo mantiene una alta estabilidad de detección, lo que indica su buena capacidad de generalización en condiciones dinámicas complejas de red. Los tipos de ataques se ampliarán en el futuro, incluyendo inyección de datos, ataques de phishing, etc., para probar plenamente la flexibilidad y escalabilidad del modelo con una variedad de amenazas.

La Tabla 5 representa la significación estadística de las mejoras en el rendimiento. Esta tabla muestra los resultados de las pruebas t emparejadas que comparan modelos de referencia con el marco propuesto Adaptive ML-HMC-Trust en términos de las principales métricas de rendimiento. La tabla consta de los valores de media y desviación estándar, valores t, valores p y los niveles de significación de precisión, puntuación F1, detección de clase minoritaria, tasa de falsos positivos y latencia de detección.

figure-results-1
Figura 1: Metodología de representación del flujo. Diagrama de flujo que ilustra el marco SDN-cloud propuesto que integra ML adaptativo, clasificación jerárquica y evaluación de confianza para la detección de ataques en tiempo real. Por favor, haga clic aquí para ver una versión ampliada de esta figura.

figure-results-2
Figura 2: Arquitectura de servicios en la nube. La figura demuestra el modelo general de servicios en la nube aplicado en la investigación, la capa de control, la capa de reenvío de datos y la capa de servicios. La arquitectura consta de un controlador Ryu OpenFlow, nodos Open vSwitch y hosts virtualizados en la nube. Las conexiones son todas flujos de datos en tiempo real e interacciones entre el estado del enlace. Por favor, haz clic aquí para ver una versión ampliada de esta figura.

figure-results-3
Figura 3: Modelo de topología de red. La figura muestra la topología de red virtual de tres capas construida en el entorno de la nube. Incluye los nodos anfitrión, capas de conmutación, retardos simulados de enlace así como límites de ancho de banda. La topología permite la separación del tráfico, el enrutamiento multi-camino y la redirección del flujo de ataque (en tiempo real). Por favor, haz clic aquí para ver una versión ampliada de esta figura.

figure-results-4
Figura 4: Arquitectura de detección de seguridad basada en HMC. La figura demuestra la jerarquía de la jerarquía de clasificación multiclase que combina aprendizaje en conjunto, evaluación de confianza y detección de amenazas multinivel. Los bloques representan las fases de clasificación, mostrando el flujo desde la detección de ataques de grano grueso hasta la detección de grano fino. Por favor, haz clic aquí para ver una versión ampliada de esta figura.

figure-results-5
Figura 5: Proceso de evaluación de confianza basado en modelos de nube. La figura representa los seis pasos del proceso de evaluación de confianza desde la generación normal de nubes de confianza, la extracción de atributos, la formación de nubes de atributos, el cálculo de similitud en la nube, la clasificación a nivel de confianza y la actualización dinámica de confianza. Por favor, haz clic aquí para ver una versión ampliada de esta figura.

figure-results-6
Figura 6: Rendimiento del aprendizaje automático en un conjunto de datos DDoS. La figura examina cómo funcionan ocho modelos clásicos de aprendizaje automático en una disposición binaria entre tráfico de ataque normal y DDoS. Las métricas son la memoria, la precisión, la puntuación F1 y la precisión general. Las barras de error reflejan la variabilidad mediante la validación cruzada de 5 veces. Por favor, haz clic aquí para ver una versión ampliada de esta figura.

figure-results-7
Figura 7: Rendimiento de modelos de aprendizaje profundo en un conjunto de datos DDoS. La figura muestra el rendimiento en la clasificación binaria de los modelos MLP, CNN, RNN, LSTM y GRU. Las mediciones indican el rendimiento del modelo en una serie de ciclos de entrenamiento. Por favor, haz clic aquí para ver una versión ampliada de esta figura.

figure-results-8
Figura 8: HMC vs. rendimiento de un clasificador de aprendizaje automático único. La figura muestra una comparación entre la multiclasificación jerárquica y el clasificador tradicional de ataques de minorías como U2R y R2L. Se presentan puntuaciones F1, incluyendo barras de error que indican variaciones entre experimentos repetidos. Por favor, haz clic aquí para ver una versión ampliada de esta figura.

figure-results-9
Figura 9: Rendimiento de HMC vs. clasificador de aprendizaje profundo. El valor indica la mejora de la detección multiclase usando HMC en modelos DL. Se destaca el rendimiento de la minoría, que mejora significativamente en comparación con los modelos DL individuales. Por favor, haz clic aquí para ver una versión ampliada de esta figura.

figure-results-10
Figura 10: Resultados de simulación de ataque DDoS. La figura muestra la salida de monitorización en tiempo real del experimento en la simulación del ataque, que indica la tasa de tráfico, el número de conexiones anormales, el tiempo de respuesta del método de detección y la salida de clasificación del sistema. Las barras de escala indican el tiempo (en segundos) y el volumen de tráfico. Por favor, haz clic aquí para ver una versión ampliada de esta figura.

ModeloRitmo de aprendizajeTamaño del loteÉpocasFunción de activación
MLP0.0016430ReLU
CNN0.00053250LeakyReLU
RNN0.0016440Tanh
LSTM0.000112860Sigmoide
GRU0.0016445ReLU

Tabla 1: Configuración de parámetros del modelo de aprendizaje profundo. Esta tabla contiene los hiperparámetros de los experimentos de aprendizaje profundo: el tamaño del lote, la tasa de aprendizaje, el número de épocas y las especificaciones de la arquitectura.

ID de muestraTiempo de muestreo (segundos)Grado de Fideicomiso ExExExEntropy EnEnEnHiperentropía JejejePuntuación de similitudNivel de confianza
1100.750.650.80.85Alto
2200.80.60.750.82Alto
3300.680.70.850.8Medio
4400.60.720.90.78Medio
5500.50.80.950.7Bajo
6600.450.850.960.65Bajo

Tabla 2: Valores de muestra del sistema y análisis de la situación de la red. Esta tabla muestra algunos de los valores de muestra del entorno en la nube, como estadísticas de tráfico, valores de confianza y salidas de clasificación.

ClasificadorPrecisiónPrecisiónRevocaciónPuntuación de F1
Árbol de Decisión (DT)85.20%84.30%86.10%85.20%
Bosque Aleatorio (RF)90.10%89.30%91.00%90.10%
Naive Bayes (NB)82.50%81.70%83.40%82.50%
K-Vecinos más cercanos (KNN)87.40%86.80%88.10%87.40%
SVM-RBF88.90%88.10%89.50%88.80%
SVM lineal (L-SVM)87.80%87.20%88.50%87.80%
Encapsulación91.20%90.50%91.70%91.10%
Impulso92.30%91.90%92.60%92.20%

Tabla 3: Comparación del rendimiento de clasificadores de aprendizaje automático. La tabla presenta la recuperación, precisión, exactitud y puntuaciones F1 de todos los modelos de aprendizaje automático probados.

ModeloPrecisiónPrecisiónRevocaciónPuntuación de F1
MLP89.50%88.70%90.30%89.50%
CNN91.20%90.70%91.50%91.10%
RNN88.30%87.60%88.80%88.20%
LSTM92.10%91.80%92.40%92.10%
GRU91.80%91.40%92.10%91.70%

Tabla 4: Comparación del rendimiento de clasificadores de aprendizaje profundo. Esta tabla presenta métricas de rendimiento de modelos MLP, CNN, RNN, LSTM y GRU basándose en la detección multiclase.

Métrica de rendimientoMedia Base (DS)Media Modelo Propuesta (SD)valor tvalor pImportancia
Precisión0.89 (0.04)0.96 (0.02)8.72<0,001Significativo
F1-Score0.84 (0.05)0.94 (0.03)9.15<0,001Significativo
Detección de Clase Minoritaria (U2R/R2L)0.52 (0.08)0.81 (0.06)10.44<0,001Significativo
Tasa de falsos positivos0.11 (0.03)0.04 (0.02)–7.98<0,001Significativo
Latencia de detección (segundos)3.10 (0.41)1.82 (0.33)–9.27<0,001Significativo

Tabla 5: Significación estadística de las mejoras en el rendimiento. Esta tabla muestra los resultados de pruebas t emparejadas que comparan modelos de referencia con el marco propuesto Adaptive ML -HMC-Trust en términos de las principales métricas de rendimiento. La tabla consta de los valores de media y desviación estándar, valores t, valores p y los niveles de significación de precisión, puntuación F1, detección de clase minoritaria, tasa de falsos positivos y latencia de detección.

Discussion

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Un despliegue efectivo de este protocolo depende de pasos críticos dentro de la arquitectura basada en la nube. La configuración adecuada del controlador Ryu OpenFlow, la correcta configuración de las reglas Open vSwitch y la formación robusta de una topología multicapa son esenciales para asegurar la captura completa del tráfico. La elección de Ryu como controlador y Open vSwitch como plataforma de conmutación fortalece significativamente el valor práctico del sistema; Sus características ligeras, modulares y totalmente programables los hacen ideales para la monitorización de redes en tiempo real, el control dinámico de flujos y la gestión escalable de la seguridad en infraestructuras en la nube. De manera similar, la cadena de preprocesamiento —incluyendo limpieza, normalización y anotación— debe ejecutarse con precisión para evitar sesgos durante la clasificación jerárquica, abordando las complejidades inherentes a la analítica de seguridad en la nube.

Durante el despliegue, fueron necesarios varios ajustes para garantizar un rendimiento óptimo. Los modelos de conjunto inicialmente mostraron sobreajuste en clases minoritarias, requiriendo ajuste de la profundidad del aprendiz débil y los pesos de votación, reflejando los desafíos encontrados en la detección de anomalías. Para mitigar la volatilidad del valor de confianza causada por el tráfico ruidoso, se recalibraron los parámetros de entropía y decaimiento del modelo en la nube. Además, los cuellos de botella de streaming en las canalizaciones Kafka-Spark se resolvieron escalando la partición de temas para soportar entornos cloud de alto rendimiento.

Los resultados experimentales de simulaciones en Mininet y EstiNet, así como evaluaciones utilizando tráfico real en la nube y conjuntos de datos DDoS, demuestran que el enfoque propuesto de fusión ML-HMC-trust ofrece mejoras claras en la precisión de detección, la reducción de falsos positivos y la respuesta en tiempo real. Esto confirma la eficacia de alinear algoritmos de aprendizaje adaptativo con un modelo de clasificación jerárquica para descomponer tareas complejas de detección de ataques multiclase. Este enfoque ofrece ventajas significativas frente a los marcos convencionales no reactivos y basados en reglas, que tienen dificultades con técnicas de ataque dinámico y amenazas de categoría minoritaria. Específicamente, al combinar HMC con AdaBoost y Bagging, el protocolo logra una mayor precisión en la detección detallada de clases de ataque raras como U2R y R2L, abordando las limitaciones de desequilibrio de clases de los modelos de aprendizaje automático individual. Además, el modelo dinámico de confianza mejora la capacidad de toma de decisiones en situaciones inciertas.

A pesar de estos avances, el protocolo está sujeto a ciertas limitaciones reportadas en trabajos relacionados. Las técnicas de aprendizaje automático siguen siendo desafiadas por un desequilibrio extremo de datos, especialmente en ataques U2R yR2L 8. Los modelos de aprendizaje profundo, aunque potentes, requieren recursos computacionales sustanciales y pueden mostrar latencia en escenarios de nubeen tiempo real 12,13. El aprendizaje en conjunto mejora la generalización pero aumenta el consumo de recursos y el tiempo deinferencia 14. De manera similar, los sistemas de confianza en modelos en la nube han mostrado vulnerabilidad a entradas conductuales ruidosas o dinámicamente cambiantes, coherente con hallazgosprevios 16. El método propuesto cuenta con un diseño modular adecuado para entornos de nube y edge más grandes, permitiendo la integración con aprendizaje federado, computación en niebla y sistemas de nube IoT distribuidos. Aunque el estudio actual se centró en la validación funcional en escenarios de escala moderada, la investigación futura se extenderá a entornos de nube a gran escala y altamente distribuidos y arquitecturas SDN multicontrolador para mejorar la tolerancia a fallos. Las extensiones previstas también incluyen la investigación de la adaptación de confianza basada en aprendizaje por refuerzo, capacidades de día cero y una integración más profunda con feeds de inteligencia de amenazas para contrarrestar amenazas emergentes como el phishing y las botnets. Al unificar ML adaptativo, HMC y evaluación de confianza dentro de un ecosistema SDN, esta investigación proporciona una vía estratégica hacia sistemas de defensa en la nube más inteligentes, resilientes y proactivos.

Disclosures

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Los autores no tienen nada que revelar.

Acknowledgements

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Los autores expresan su agradecimiento al Departamento de Información del Centro Proton y de Iones Pesados de Shanghái por proporcionar los recursos computacionales esenciales y el entorno de investigación necesarios para este estudio. También expresamos nuestro agradecimiento a nuestros colegas por sus valiosos conocimientos técnicos durante las fases de diseño y pruebas del sistema.

Materials

List of materials used in this article
NameCompanyCatalog NumberComments
AdaBoost (Biblioteca de Aprendizaje en Conjunto)Scikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.htmlSoftware
Clasificador de embolsasScikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.htmlSoftware
Código de Evaluación de Confianza de Modelos en la NubeImplementación personalizadaN/AAlgoritmo/Software
Red Neuronal Convolucional (CNN)TensorFlow / PyTorchhttps://www.tensorflow.org/tutorials/images/cnnSoftware
Marcos de Aprendizaje Profundo (MLP, RNN, LSTM, GRU)TensorFlow / PyTorchSoftware
Simulador de Red EstiNetEstiNet Technologieshttps://sites.google.com/view/estinet-network-simulatorSoftware
Kafka (Plataforma de Transmisión de Datos)Fundación Apachehttps://kafka.apache.org/Software
Conjunto de datos KDD CUP 10%Repositorio de Aprendizaje Automático UCIhttp://kdd.ics.uci.edu/databases/kddcup99/kddcup99.htmlConjunto de datos
Emulador MininetProyecto MininetMininet 2.3.1Emulación de red para topología SDN, ancho de banda y simulación de ataques mixtos.
VSwitch abierto (OVS)Open vSwitch OrgOVS 3.2.2Conmutador virtual que implementa control por tabla de flujo y redirección de tráfico de ataque.
Plataforma de Nube OpenStackFundación de Infraestructura Abiertahttps://www.openstack.org/Software en la nube
Python 3.xFundación de Software Pythonhttps://www.python.org/downloads/Lenguaje de programación
Controlador SDN de RyuNTT R& DRyu 4.34Controlador SDN para captura de tráfico de red en tiempo real y conciencia situacional.
Marco de Streaming SparkFundación Apachehttps://spark.apache.org/docs/latest/streaming-programming-guide.htmlSoftware
Compilador Visual C++ (VC++)Microsofthttps://visualstudio.microsoft.com/Software
Estación de trabajo Windows 11MicrosoftWindows 11 Pro 23H2El sistema operativo se utiliza para compilación, entrenamiento y pruebas de modelos.

References

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,
  1. Xie, J. Application study on the reinforcement learning strategies in the network awareness risk perception and prevention. Int J Comput Intell Syst. 17 (1), 112(2024).
  2. Research on enhancing cloud computing network security using artificial intelligence algorithms. Wang, Y., Yang, X. 2025 International Conference on Sensor-Cloud and Edge Computing System (SCECS), Zhuhai, China, , 237-244 (2025).
  3. Research on computer network security situation awareness warning mechanism based on artificial intelligence. Chaowen, C. 2024 IEEE 4th International Conference on Electronic Technology, Communication and Information (ICETCI), Changchun, China, , 748-753 (2024).
  4. Zhao, X. Network security situational awareness and early warning architecture based on big data. Int J Syst Assur Eng Manag. , (2024).
  5. Akinbolaji, T. J. Advanced integration of artificial intelligence and machine learning for real-time threat detection in cloud computing environments. Iconic Res Eng J. 6 (10), 980-991 (2024).
  6. Emehin, O., Emeteveke, I., Adeyeye, O., Akanbi, I. Securing artificial intelligence in data analytics: strategies for mitigating risks in cloud computing environments. Int Res J Mod Eng Technol Sci. 6, 1978-1998 (2024).
  7. Shang, Y. Prevention and detection of DDoS attack in virtual cloud computing environment using naive Bayes algorithm of machine learning. Meas Sens. 31, 100991(2024).
  8. Altowaijri, S. M., El Touati, Y. Securing cloud computing services with an intelligent preventive approach. Eng Technol Appl Sci Res. 14 (3), 13998-14005 (2024).
  9. Mamidi, S. The role of AI and machine learning in enhancing cloud security. J Artif Intell Gen Sci. 3 (1), 403-417 (2024).
  10. Zhang, C., Shan, G., Roh, B. H. Fair federated learning for multi-task 6G NWDAF network anomaly detection. IEEE Trans Intell Transp Syst. 26 (10), 17359-17370 (2025).
  11. Shyam Mohan, J. S., Thirunavukkarasu, M., Kumaran, N., Thamaraiselvi, D. learning with blockchain based cyber security threat intelligence and situational awareness system for intrusion alert prediction. Sustain Comput Inform Syst. 42, 100955(2024).
  12. Akinade, A. O., Adepoju, P. A., Ige, A. B., Afolabi, A. I. Cloud security challenges and solutions: a review of current best practices. Int J Multidiscip Res Growth Eval. 6 (1), 26-35 (2025).
  13. Hasimi, L., Zavantis, D., Shakshuki, E., Yasar, A. Cloud computing security and deep learning: an ANN approach. Procedia Comput Sci. 231, 40-47 (2024).
  14. Barlybayev, A., Sharipbay, A., Shakhmetova, G., Zhumadillayeva, A. Development of a flexible information security risk model using machine learning methods and ontologies. Appl Sci. 14 (21), 9858(2024).
  15. Wang, Y. Research on intelligent cybersecurity protection system in cloud computing environment. Innov Sci Technol. 3 (4), 71-78 (2024).
  16. Ali, T., Al-Khalidi, M., Al-Zaidi, R. Information security risk assessment methods in cloud computing: comprehensive review. J Comput Inf Syst. 66 (1), 123-150 (2026).
  17. Tahir, A. B. Advanced virtualized cyber security strategies for cloud and fog computing: a machine learning and encryption approach. Int J Comput Data Sci. 1 (1), 37-55 (2025).
  18. Guo, J., Guo, H. Real-time risk detection method and protection strategy for intelligent ship network security based on cloud computing. Symmetry. 15 (5), 988(2023).
  19. Aslan, Ö, Ozkan-Okay, M., Gupta, D. Intelligent behavior-based malware detection system on cloud computing environment. IEEE Access. 9, 83252-83271 (2021).
  20. Mamidi, S. Enhancing cloud computing security through artificial intelligence-based architecture. J Artif Intell Gen Sci. 5 (1), 63-72 (2024).
  21. Omolola, H., et al. Enhancing cybersecurity through cloud computing solutions in the united states. Intell Inf Manag. 16 (4), 176-193 (2024).

Reprints and Permissions

Request permission to reuse the text or figures of this JoVE article

Request Permission

Tags

Adaptive Machine LearningNetwork SecurityCloud ComputingRisk WarningHierarchical ClassificationTrust EvaluationDDoS DetectionEnsemble LearningSDN ArchitectureReal Time Response

Related Articles