Method Article

Utilisation d’algorithmes d’apprentissage automatique adaptatif pour l’alerte aux risques liés à l’information et la sensibilisation aux scénarios de sécurité réseau dans les environnements de cloud computing

DOI:

10.3791/69633

June 2nd, 2026

In This Article

Summary

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

L’article propose une solution novatrice basée sur l’apprentissage automatique (ML) pour la sécurité des réseaux adaptatifs dans un système cloud qui intègre une classification hiérarchique multi-étiquettes et un système dynamique d’évaluation de la confiance afin d’améliorer la précision de la détection des menaces et de réduire le nombre de faux positifs.

Abstract

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Cette étude propose un cadre novateur pour la conscience situationnelle et l’alerte des risques en sécurité réseau dans les environnements de cloud computing, intégrant l’apprentissage automatique adaptatif (ML), la classification hiérarchique multi-étiquettes (HMC) et un mécanisme dynamique d’évaluation de la confiance basé sur le modèle cloud. La complexité, la diversité et la nature en temps réel des cyberattaques émergentes — telles que les exploits zero-day, le déni de service distribué (DDoS) et les botnets — posent des défis majeurs aux méthodes traditionnelles de détection statique et basées sur des règles. Pour relever ces défis, nous avons développé une architecture cloud efficace basée sur SDN utilisant le contrôleur Ryu OpenFlow et les commutateurs OpenFlow. Cette architecture permet la collecte en temps réel des informations sur les liaisons, la planification dynamique et la transmission de données évolutive et fiable. Le cadre de classification hiérarchique suggéré peut diviser les problèmes multiclasses en tâches binaires, atténuant l’effet du déséquilibre d’échantillon et améliorant la reconnaissance des attaques à basse fréquence, y compris User to Root (U2R). Les techniques d’apprentissage en ensemble, incluant AdaBoost et Bagging, améliorent encore la précision de détection pour les types d’attaques très précis. Des expériences menées sur des ensembles de données DDoS, des données de trafic cloud et des simulations dans Mininet et EstiNet démontrent que l’approche combinée ML-HMC-trust améliore significativement la précision de la détection, réduit les faux positifs et permet une réponse en temps réel. Ces résultats confirment que l’intégration de l’apprentissage adaptatif, de la classification hiérarchique et de l’évaluation dynamique de la confiance offre une solution robuste et évolutive pour sécuriser des plateformes cloud à grande échelle.

Introduction

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Avec l’application généralisée de la technologie de cloud computing dans divers secteurs, l’échelle et la quantité de données dans les systèmes d’information augmentent rapidement, et les menaces réseau deviennent plus complexes, cachées etdynamiques 1,2. Les mécanismes de défense de sécurité traditionnels, basés sur des règles et des modèles statiques, ne sont plus capables de répondre aux exigences de détection en temps réel avec une alerte précoce précise face à des stratégies d’attaque changeantes, des vulnérabilités zero-day et des attaques distribuées à grandeéchelle 3. Par conséquent, tirer parti des algorithmes d’apprentissage automatique adaptatif pour intégrer pleinement les capacités de traitement distribué des données et d’analyse intelligente au sein des plateformes d’informatique cloud afin d’obtenir une perception globale de la situation de sécurité réseau et un avertissement précoce efficace des risques informationnels représente un défi crucial dans le paysage actuel de la sécurité del’information 4. Cette recherche revêt non seulement une importance théorique importante pour améliorer le système de protection de sécurité existant, mais offre également un solide soutien pour garantir la sécurité de l’infrastructure nationale clé de l’information et des données centralesde l’entreprise 5.

Il existe de multiples défis pour réaliser la connaissance de la situation de sécurité réseau et l’alerte aux risques d’information dans un environnement cloud computing : les types de données agrégés sur la plateforme cloud sont nombreux et les sources complexes, rendant le prétraitement des données, l’extraction de fonctionnalités et les tâches de fusion de plus en plus ardues ; Face à l’augmentation du trafic réseau et aux scénarios d’attaque en rapide évolution, le système doit répondre en très peu de temps, et la détection et l’alerte en temps réel sont devenues des goulots d’étranglement techniques ; la quantité de trafic normal est très différente de celle du trafic d’attaque, et les algorithmes traditionnels ont une faible précision lors du traitement de petites catégories d’échantillons (comme U2R, attaques réseau, etc.), ce qui présente un grand risque de mauvaise estimation ; Dans un environnement réseau complexe, les relations de confiance sont affectées par plusieurs facteurs et sont aléatoires et incertaines 6,7. Les méthodes traditionnelles d’évaluation de la confiance basées sur des seuils fixes sont difficiles à refléter dans la réalité et sont facilement perturbées par des données anormales. Pour répondre à ces limites multidimensionnelles, cette recherche présente un cadre intégré qui synergise l’apprentissage automatique adaptatif, la classification hiérarchique multi-étiquettes et un mécanisme dynamique d’évaluation de confiance basé sur un modèle cloud. Cette fusion de techniques appliquées dans un environnement cloud piloté par SDN va au-delà du simple raffinement incrémental en permettant une reconnaissance fine des attaques basse fréquence, une adaptation de confiance en temps réel et une conscience situationnelle évolutive, ce que les méthodes existantes n’ont pas encore permis simultanément.

Les environnements de cloud computing générent un trafic réseau massif, très dynamique et hétérogène, rendant les systèmes traditionnels de détection d’intrusion (IDS) incapables d’identifier avec précision les types d’attaques sophistiqués et minoritaires tels que U2R et R2L. Les solutions IDS existantes basées sur l’apprentissage profond (DL) améliorent la précision de la détection mais souffrent toujours d’une forte surcharge de calcul, d’une réponse en temps réel lente et d’une mauvaise gestion des relations de confiance incertaines ou évolutives entre entités réseau. De plus, la plupart des modèles actuels fonctionnent comme des classificateurs plats et manquent de mécanismes pour une prise de décision hiérarchique fine ou une évaluation dynamique de la confiance. Ces limitations créent une lacune critique dans le développement d’un IDS capable d’assurer simultanément une détection en temps réel, une reconnaissance précise des classes minoritaires et une évaluation fiable des risques conscientes de la confiance dans des environnements cloud à grande échelle.

Dans les recherches existantes sur la conscience de la situation de sécurité réseau et l’alerte aux risques d’information, de nombreuses études utilisent des méthodes telles que K-nearest neighbor (KNN) et la machine à vecteurs de support (SVM) pour classifier et détecter le trafic réseau. Ces algorithmes présentent les avantages d’une grande efficacité de calcul et d’une implémentation facile, notamment lors d’un criblage préliminaire de grandes quantités dedonnées 8,9. Cependant, leurs principales lacunes se reflètent dans plusieurs aspects : face à la plupart du trafic normal et à un petit nombre d’échantillons d’attaques dans un environnement cloud, ces méthodes traditionnelles d’apprentissage automatique ignorent souvent les informations de quelques catégories, ce qui entraîne de faibles taux de reconnaissance pour des attaques fines (telles que U2R, attaques de vulnérabilité réseau, etc.) ; Les modèles individuels sont généralement sensibles au bruit et aux valeurs aberrantes de données, manquent de capacité à s’adapter à des scénarios d’attaque dynamiquement changeants, et sont sujets au surapprentissage ou à une généralisationinsuffisante 10,11.

Ces dernières années, les méthodes DL telles que le perceptron multi-couches (MLP), le CNN, le réseau de neurones récurrents (RNN), le réseau de mémoire longue et courte durée (LSTM) et l’unité récurrente à portes (GRU) ont été de plus en plus appliquées dans le domaine de la sécurité des réseaux. Grâce aux puissantes capacités d’apprentissage des caractéristiques et de cartographie non linéaire des réseaux de neurones profonds, ces méthodes ont considérablement amélioré la précision de la détection et la capacité de capturer des comportements d’attaque complexes par rapport au ML12 traditionnel. Cependant, ils ont des exigences élevées en matière de ressources informatiques et de données d’entraînement. Surtout dans le contexte du trafic de big data en environnements de cloud computing, il reste encore une marge de progression en termes de surcharge d’entraînement et de vitesse d’inférence en temps réel. Lors de l’identification des classes avec peu d’échantillons, en raison d’un déséquilibre de données, les modèles DL ont de faibles taux de détection pour certaines attaques fines (comme U2R, botnets) en raison du biais de classe13. Pour compenser les limites d’un seul modèle dans la gestion du déséquilibre des données et de l’identification des attaques multiclasses, certaines études ont proposé des solutions basées sur l’apprentissage par ensemble, telles que le Bagging et le Boosting, qui élargissent la précision globale des prédictions en combinant les décisions de plusieursclassificateurs 14. Parallèlement, l’architecture de classification multiclasse hiérarchique (HMC) décompose le problème de classification multiclasse en sous-problèmes de classification binaire multiple, permettant ainsi une reconnaissance plus affinée pour les classes avec moins d’échantillons. Cependant, les modèles intégrés rencontrent souvent des problèmes tels qu’une forte utilisation des ressources informatiques et un temps de réponse accru lors du déploiement, notamment dans les systèmes de surveillance en temps réel de l’informatique en cloud, où les exigences en temps réel augmentent la pression sur les ressources système15.

En réponse au problème de l’évaluation dynamique des relations de confiance dans le réseau, certaines études ont introduit la théorie des modèles de nuages, qui construit un nuage d’affiliation de confiance en décrivant le flou et l’aléatoire des attributs de confiance de chaque entité, puis utilise les gouttelettes de nuage, l’entropie, la super-entropie et d’autres indicateurs pour l’évaluationquantitative 16. Face à des données de confiance réseau mises à jour en temps réel, le taux de mise à jour et l’efficacité computationnelle des méthodes existantes du modèle cloud peuvent avoir du mal à répondre aux exigences d’alerte dynamique haute fréquence ; Le modèle est très sensible aux données d’évaluation, et des données anormales ou des informations bruyantes peuvent interférer significativement avec l’évaluation globale de la confiance, affectant les décisions ultérieures d’alerte aux risques.

Compte tenu des nombreuses lacunes de la recherche actuelle en matière de précision de détection, de performance en temps réel, de traitement de l’équilibre des données et d’évaluation de la confiance, cet article propose un nouveau système de défense qui utilise de manière globale des algorithmes d’apprentissage automatique adaptatif, des stratégies de classification multiclasses hiérarchique et l’évaluation de la confiance des modèles cloud pour la conscience de la situation de sécurité réseau et l’alerte aux risques d’information dans les environnementsde cloud computing 17.

La recherche aborde la cybersécurité en temps réel pour les réseaux navals intelligents en tirant parti de la technologie de cloudcomputing 18. Il suggère un cadre multi-nœuds pour examiner les données à la recherche d’attaques malveillantes et utilise des nœuds de stratégie de protection auto-exécutables pour intercepter les menaces. Les résultats démontrent une détection d’intrusion et un taux de défense de virus de 85 à 95 %, ainsi qu’un taux de faux positifs de 2,56 %, surpassant nettement les autres algorithmes. Cependant, cette approche nécessite des ressources informatiques élevées et des restrictions d’infrastructure cloud dans le déploiement pratique. Aslan et al.19 fournissent un système intelligent de détection de logiciels malveillants basé sur le comportement dans un environnement de cloud computing. Il a produit un ensemble de données de malwares à travers des machines virtuelles et a utilisé certaines fonctionnalités avec des agents de détection basés sur l’apprentissage et les règles pour classer les malwares et les échantillons bénins. L’évaluation sur 10 000 échantillons de programme a montré une performance élevée avec un taux de détection et un FPR améliorés. Néanmoins, la méthode présentait des problèmes de scalabilité avec des variantes de malwares en constante évolution et des déploiements cloud à grande échelle et en temps réel.

Malgré les contributions significatives de ces études, une comparaison plus détaillée révèle que la majorité des solutions existantes ne répondent pas aux hypothèses et exigences de la conscience de situation en temps réel ou du modèle de confiance dynamique dans les environnements cloud. Les techniques conventionnelles d’apprentissage automatique supposent des limites de caractéristiques fixes dans l’espace et échouent en cas de déséquilibre de classe et de dynamiques de trafictrès dynamiques 8,9,10. Les modèles DL sont associés à d’excellentes capacités d’extraction de caractéristiques mais consomment une grande puissance de calcul, ce qui rend le processus d’inférence lent et peu pratique en surveillance entemps réel 12,13. Les approches d’ensemble et basées sur le HMC sont plus précises, mais nécessitent encore plus de latence et de ressources, et ne sont actuellement pas déployées dans des nuages à grandeéchelle 14,15. Par ailleurs, les techniques d’évaluation de la confiance du modèle cloud captent bien l’incertitude mais restent très sensibles aux données bruitées et ne peuvent pas mettre à jour efficacement les valeurs de confiance sous les flux d’attaque à hautefréquence 16, 17, 18, 19. Même les frameworks IDS récents basés sur le cloud manquent de support robuste et intégré à la fois pour la détection en temps réel et la prise de décision consciente de laconfiance 20,21. Ces restrictions soulignent collectivement la nécessité d’un cadre de détection d’intrusion efficace, unifié et habilité par la confiance. Cette recherche surmonte ces limites en intégrant l’évaluation dynamique de la confiance basée sur le modèle adaptatif ML, HMC et le modèle cloud dans une architecture cloud compatible SDN, permettant la détection en temps réel, une meilleure précision des classes minoritaires et une évaluation des risques consciente de l’incertitude.

Les innovations de cet article se reflètent principalement dans les aspects suivants : une architecture réseau distribuée efficace basée sur le contrôleur Ryu OpenFlow et le commutateur OpenFlow est construite pour permettre la collecte en temps réel et la planification dynamique des informations de liens, améliorant ainsi considérablement l’efficacité et le traitement de la transmission des données.

Compte tenu des difficultés posées par le déséquilibre des données et l’identification des attaques par peu d’échantillons, un cadre HMC descendant est conçu, et des méthodes d’apprentissage intégrées telles que AdaBoost et Bagging sont introduites pour améliorer significativement la précision de détection des catégories d’attaques à grain précis.

La théorie du modèle cloud est utilisée pour construire un cloud d’affiliation de confiance. Grâce au générateur inverse et au calcul de similarité, l’évaluation dynamique du statut de confiance de chaque entité du réseau est réalisée, fournissant une base quantitative pour l’alerte aux risques et supprimant efficacement la spéculation de crédit causée par des transactions anormales à bas ou hauts prix.

Protocol

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

REMARQUE : Ce protocole décrit comment construire un système de sécurité réseau basé sur le cloud et mettre en œuvre une classification hiérarchique avec une évaluation dynamique de la confiance. Suivez les étapes ci-dessous pour concevoir la topologie du réseau cloud, collecter et annoter les flux de données, et déployer les modules hiérarchiques de classification multiclasse et d’évaluation de confiance. La figure 1 illustre le cadre SDN-cloud proposé intégrant l’apprentissage automatique adaptatif, la classification hiérarchique et l’évaluation de la confiance pour la détection d’attaques en temps réel.

1. Conception de topologie de réseau cloud

REMARQUE : Assurez-vous d’avoir accès administrateur à OpenStack, Ryu et Mininet avant de procéder.

  1. Déploie le système sur une plateforme cloud construite par OpenStack. Utilisez la technologie de virtualisation pour créer plusieurs hôtes virtuels et configurez un environnement réseau défini par logiciel (SDN) pour la gestion unifiée des ressources et la planification isolée.
  2. Déploie et configure Ryu et Open vSwitch (OVS) pour fonctionner avec le contrôle SDN et la gestion du trafic.
  3. Construisons une topologie à trois couches où le contrôleur Ryu est le cœur et les commutateurs OVS sont les nœuds de transmission, composée d’une couche de contrôle, d’une couche de transmission réseau et d’une couche de service de données.
    1. Configuration de la couche de contrôle : implémentez un contrôleur SDN centralisé avec Ryu. Activez la surveillance de l’état réseau en temps réel en utilisant l’API REST de Ryu et connectez-la au module de détection de sécurité pour répondre rapidement au trafic anormal.
    2. Configuration de la couche de transfert réseau : Configurez plusieurs nœuds de commutation virtuels OVS avec des hôtes virtuels et des passerelles externes. Définissez des politiques de table de flux sur OVS pour permettre des changements dynamiques de chemin, la séparation du trafic et la redirection du flux lorsque le trafic d’attaque est détecté.
    3. Configuration de la couche de service de données : Configurez plusieurs hôtes virtuels sur la plateforme OpenStack. Créer des machines virtuelles agissant comme serveurs web, de bases de données et de fichiers pour générer un trafic de données réaliste et supporter les flux d’attaque injectés.
  4. Ajoutez plusieurs valeurs de saut et différents chemins. Simulez des conditions hétérogènes de bande passante et de latence réseau en utilisant la commande Mininet.
  5. Installez Mininet pour déployer et simuler la topologie. Isoler les locataires, la segmentation des sous-réseaux et les listes de contrôle d’accès (ACL) à l’aide de la CLI Mininet.
  6. Vérifiez la configuration pour garantir que la topologie facilite la capture du trafic en temps réel et a une intégration directe avec le module de détection.
  7. Enregistrez l’architecture système complète (Figure 2) et la topologie (Figure 3) avec toutes les interconnexions entre les couches et le flux d’informations.

2. Stratégie de collecte et d’annotation des flux de données

ATTENTION : Veillez à respecter les réglementations sur la confidentialité des données (par exemple, le RGPD, les politiques locales de cybersécurité). Pré-anonymiser les identifiants utilisateurs et les adresses IP.

  1. Installez de petits agents de collecte de données sur chaque hôte virtuel et nœud réseau. Configurez chaque agent pour examiner en permanence le trafic réseau, les journaux système et les informations comportementales des utilisateurs.
  2. Installez Kafka (v3.5) en file d’attente de données et Apache Spark streaming (v3.4) pour traiter les données en flux en temps réel. Configurez le débit de Kafka à 10 000 événements/s ou plus et l’intervalle micro-batch de Spark à 500 ms ou moins.
  3. Traiter les données collectées séquentiellement comme suit :
    1. Nettoyez les données pour éliminer les doublons, les enregistrements incomplets et le bruit. Filtrez les paquets invalides en vérifiant les en-têtes de protocole.
    2. Normaliser les attributs numériques à une plage standard [0,1] en utilisant la normalisation min-max pour une mise à l’échelle cohérente des caractéristiques.
    3. Extraire des caractéristiques importantes, y compris les IP source/destination, les ports, le type de protocole, le nombre de paquets, le nombre d’octets, le délai de transfert et les mesures de variation du trafic.
  4. Alimentez le jeu de données traité dans le module de détection assistée par IA pour entraîner et valider.
  5. Établir un système de double annotation pour un étiquetage précis des données :
    1. Créez une bibliothèque de modèles d’attaque. Identifier les schémas d’attaque courants (par exemple, balayage de ports, inondation SYN, DoS, U2R) grâce à la correspondance de motifs basée sur des règles.
    2. Vérifiez manuellement les échantillons ambigus pour maintenir la cohérence de l’étiquetage.
  6. Utilisez des ensembles de données de référence établis tels que CIC-IDS2017 et NSL-KDD pour la validation croisée. Alignez les étiquettes pour maintenir ≥ 90 % de cohérence entre annotateurs.
  7. Effectuer de l’ingénierie des caractéristiques pour construire des vecteurs d’entrée structurés. Encodez les hiérarchies d’attaque en fonction de définitions de catégories multi-niveaux.
  8. Divisez les ensembles de données en 80 % d’entraînement et 20 % de tests.

3. Classification hiérarchique et architecture intégrée d’évaluation de la confiance

  1. Construisez une architecture de perception intelligente intégrant la classification multiclasse hiérarchique (HMC) et un mécanisme dynamique d’évaluation de la confiance (Figure 4).
  2. Mettre en œuvre le module HMC selon une stratégie « grossière à fine » :
    1. Utilisez des fonctionnalités de connexion légères (par exemple, fréquence, distribution de port, type de protocole) pour classer le trafic en catégories « normales » et « anormales ».
    2. Pour le trafic « anormal », effectuer une classification de second niveau en catégories d’attaque telles que DDoS, U2R, R2L et Probe en utilisant des caractéristiques statistiques de niveau intermédiaire telles que l’intervalle de paquets et la taille de la charge utile.
    3. Identifier des sous-types précis (par exemple, TCP SYN Flood, SQL Injection, Brute Force Attack) en analysant les signatures d’attaque et les attributs cibles.
  3. Optimisez le module de classification.
    1. Appliquez les méthodes d’apprentissage d’ensemble AdaBoost et Bagging, en construisant 5 à 8 classificateurs faibles à chaque niveau hiérarchique (par exemple, arbre de décision, régression logistique).
    2. Combinez les résultats des classificateurs en utilisant un vote majoritaire pondéré basé sur les scores de précision.
  4. Implémentez le module d’évaluation dynamique de la confiance en utilisant la théorie du modèle cloud :
    1. Gardez un contrôle constant des indicateurs comportementaux de l’hôte, par exemple la stabilité passée, la fréquence de communication et la variation des cibles d’accès.
    2. Inclure la crédibilité des résultats du modèle dans le calcul de la confiance. Estimez le score de confiance réel (0 à 1) à l’aide des paramètres d’espérance (Ex), d’entropie (En) et d’hyper-entropie (He).
  5. Configurez le mécanisme de rétroaction de liaison entre HMC et modules de confiance.
    1. Systèmes d’ordonnancement automatique basés sur des valeurs de confiance : isolez les hôtes avec ≤ de confiance 0,3 et réduisez les privilèges des hôtes ayant une confiance 0,3-0,6.
    2. Réentraîner le classificateur avec des données hôtes avec un ≥ de confiance 0,8 afin d’augmenter la détection et la flexibilité face aux attaques inconnues.
  6. Testez la capacité de réponse à jour zéro. Injectez du trafic malveillant non étiqueté et confirmez que les alertes et l’isolement sont déclenchés dans les 10 minutes.

4. Calcul et mise en œuvre du modèle de nuage de confiance (Figure 5)

  1. Génération standard de cloud de confiance :
    1. Divisez les valeurs de confiance en n niveaux distincts (par exemple, « Faible », « Moyen », « Élevé », « Très bas » et « Très élevé »).
    2. Calculez l’espérance (Exk) pour le niveau k à partir de la moyenne des évaluations de confiance pour les entités de ce niveau à l’aide de l’équation 1 :
      figure-protocol-1
      où Tik représente les valeurs de confiance individuelles des entités classées sous le niveau de confianceL k.
    3. Calculez l’entropie (Enk) pour quantifier le flou des valeurs de confiance au niveau Lk à l’aide de l’équation 2 :
      figure-protocol-2
      où α est une constante qui contrôle le niveau de flou.
    4. Calculons l’hyper-entropie (Hek) à l’aide de l’équation 3 pour quantifier l’instabilité de l’entropie au fil du temps :
      figure-protocol-3
      où β est un paramètre qui ajuste le niveau d’incertitude.
    5. Sortez l’ensemble des nuages de confiance standards C1,C 2,...,C n correspondant aux n niveaux de confiance.
  2. Génération inverse de cloud d’attributs de confiance :
    1. Normaliser les attributs de confiance d’entrée Ai à la plage [0,1] en utilisant l’équation 4 :
      figure-protocol-4
      Appliquez une analyse statistique pour estimer les paramètres correspondants du modèle de nuages (Ex, En, He) pour chaque attribut normalisé Ai'.
      Générez le cloud d’attribut de confiance Ci pour chaque attribut.
  3. Évaluation complète de la fiducie :
    1. Calculez les propriétés numériques du nuage de confiance composite (Excom,En com, Hecom) à l’aide d’une synthèse pondérée (Équations 5-7) :
      figure-protocol-5
      figure-protocol-6
      figure-protocol-7
      figure-protocol-8
    2. Calculez la similarité entre le nuage de confiance actuel Ci et un nuageC k standard à l’aide de l’équation 8 :
      figure-protocol-9
      Déterminez le niveau de confiance final L* en trouvant la similarité maximale à l’aide de l’équation 9 :
      figure-protocol-10
  4. Mise à jour de confiance dynamique
    1. Mettez à jour la valeur de confiance pour refléter l’évolution dans le temps en utilisant le modèle de désintégration temporelle dans l’équation 10 :
      figure-protocol-11
      où λ∈[0,1] contrôle la pondération de la confiance récente par rapport à celle historique.
    2. Appliquer le mécanisme de pénalité de fiducie si des écarts spécifiques surviennent. Calculez la déviation (ΔA) et le facteur de pénalité(pénalité P) à l’aide des équations 11 et 12 :
      figure-protocol-12
      figure-protocol-13
    3. Calculez la valeur de confiance mise à jour à l’aide de l’équation 13 :
      figure-protocol-14

5. Validation expérimentale de la performance de détection d’attaque

  1. Configurez l’environnement expérimental et préparez le jeu de données.
    1. Utilisez une station de travail Windows 11 équipée d’outils Visual C++ pour la compilation et les tests d’algorithmes.
    2. Obtenez l’ensemble de données KDDCUP_10 % auprès de sources vérifiées et prétraitez-le en suivant les directives institutionnelles de protection des données.
    3. Définir les paramètres de l’algorithme : intervalle de temps T = 10s, rondes d’échantillonnage h = 20, et échantillons de données n = 1000.
    4. Divisez les données en ensembles d’entraînement (80 %) et de tests (20 %) par échantillonnage stratifié.
  2. Validez la performance de classification binaire.
    1. Effectuer une validation croisée en 5 fois pour la fiabilité.
    2. Entraînez et testez huit classificateurs : Arbre de décision (DT), Naive Bayes (NB), Forêt aléatoire (RF), K-Voisin le plus proche (KNN), Boosting adaptatif (AdaBoost), Machine à vecteurs de support (SVM), Sagging et Gradient Boosting.
    3. Exécutez 100 époques par modèle et enregistrez la précision, la précision, le rappel et le score F1.
  3. Validez la performance de la classification multiclasse.
    1. Des classificateurs de train pour détecter DDoS, U2R, R2L, Probe et le trafic normal.
    2. Implémenter cinq architectures DL (MLP, CNN, GRU, RNN et LSTM) en utilisant les paramètres spécifiés dans le Tableau 1.
    3. Comparez les performances à l’aide de courbes de rappel précis et de matrices de confusion pour chaque classe.
  4. Validez l’algorithme HMC.
    1. Mettez en place HMC avec AdaBoost et Sagging comme stratégies d’ensemble.
    2. Décomposer les problèmes multiclasses en sous-classifications binaires par logique hiérarchique.
    3. Comparez les résultats avec les modèles de référence pour les types d’attaques minoritaires (U2R, R2L).
  5. Implémentez la simulation d’attaque.
    1. Déploie le modèle entraîné de détection de confiance sur le banc d’essai cloud.
    2. Créer des attaques UDP Flood et SYN Flood en utilisant des hôtes multi-virtuels pour cibler les serveurs assignés.
    3. Gardez le trafic d’attaque autour de 30 % du débit réseau.
    4. Suivez les statistiques du réseau (débit de transmission, durée de session, fréquence d’accès aux ports, connexions anormales).
    5. Mesurer l’erreur de détection, les faux positifs et le temps moyen de réponse du système.

Results

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Validation expérimentale et analyse de performance

Validation basée sur le cloud

Pour tester l’efficacité et la faisabilité de l’algorithme proposé, des tests de simulation ont été réalisés dans un laboratoire en réseau contrôlé. La vérification a été effectuée sur le système d’exploitation Windows, et l’algorithme de base est codé dans des outils de programmation VC (Visual C++).

Dans le cas des données expérimentales, nous avons choisi le jeu de données de KDDCUP_10 % disponible publiquement (http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html) courant dans la détection d’intrusion et la modélisation du comportement des réseaux. Le processus expérimental général est très similaire à l’approche décrite précédemment10 afin d’assurer la comparabilité et la crédibilité des résultats.

Les principaux paramètres de l’algorithme étaient fixés à : intervalle de temps T = 10 s ; nombre de ronds d’échantillonnage h = 20 ; Échantillons de données n = 1000.

A calculé les caractéristiques numériques du modèle de confiance cloud en utilisant ces paramètres. Ensuite, l’algorithme de similarité du cloud a été utilisé pour identifier le cloud de confiance le plus similaire des candidats, ce qui permettait de classifier et d’évaluer les états du réseau.

Le tableau 2 présente les valeurs de l’échantillon de système sélectionné et les résultats de la situation d’analyse de réseau. Ces éléments confirment que le système d’évaluation de confiance basé sur le cloud proposé a le potentiel de représenter et d’encapsuler efficacement le dynamisme et les incertitudes des paramètres réseau multifacettes.

L’expérience confirme la possibilité de mettre en œuvre des modèles cloud en conjonction avec une évaluation de confiance en temps réel et fournit un cadre pour une application ultérieure dans le système de gestion adaptative de la sécurité.

Vérification de l’attaque

Pour effectuer une vérification approfondie des performances de l’algorithme proposé dans cette expérience, il est nécessaire d’évaluer les capacités de détection d’attaques de la classification binaire, de la multi-classification et du HMC dans un environnement de cloud computing. L’évaluation expérimentale est divisée en trois phases principales : l’application des données d’attaque DDoS pour vérifier la fonctionnalité du module IA, l’évaluation des fonctionnalités de divers algorithmes d’apprentissage automatique, et l’analyse des fonctionnalités des modèles DL pour prévoir les attaques.

Vérification de la performance de la classification binaire

Dans la première phase de l’expérience, le jeu de données d’attaque DDoS a été utilisé pour vérifier le module IA, dont le principal objectif était de tester la précision de la prédiction du modèle dans un environnement de cloud computing. Nous avons utilisé une méthode de validation croisée à 5 fois, et le ratio entre les données d’entraînement et les données de test était fixé à 8:2, c’est-à-dire que 80 % des données étaient utilisées pour l’entraînement et 20 % pour les tests. Dans chaque expérience, un ensemble de test différent était utilisé pour vérifier le modèle afin de s’assurer que chaque échantillon apparaissait comme un ensemble de test une fois. Le processus de formation durait 5 époques, et le résultat moyen était obtenu.

L’ensemble de données est classé en deux groupes : normal et anormal. Pour comparer les performances de différents classificateurs, les huit classificateurs ML courants suivants ont été sélectionnés : arbre de décision (DT), forêt aléatoire (RF), Bayes naïve (NB), K-plus proche voisin (KNN), machine à vecteurs de support (noyau RBF) (SVM-RBF), machine à vecteurs de support linéaire (L-SVM), ainsi que les algorithmes de Bagging and Boosting pour l’apprentissage en ensemble. Les résultats de la comparaison de performance sont présentés à la Figure 6. Grâce à la comparaison des performances de ces classificateurs, leur performance dans la détection d’attaques DDoS peut être évaluée de manière exhaustive 20,21.

Vérification de performance multi-classification

Dans la seconde phase de l’expérience, l’ensemble de données a été étendu à des problèmes de multi-classification, impliquant différents types d’attaques réseau, notamment DDoS, U2R (attaque utilisateur-racine), R2L (attaque distante vers local), données normales, etc. Les problèmes de multi-classification testent la capacité du modèle à identifier et organiser plusieurs types d’attaques.

Cinq classificateurs DL ont été utilisés pour la validation, dont MLP, CNN, RNN, le réseau à mémoire longue et courte durée (LSTM) et le réseau GRU. Les paramètres spécifiques de chaque modèle sont présentés dans les Tables 1, 3 et 4. Lors de la validation multi-classification, la précision et la mémoire du modèle dans plusieurs catégories ont été évaluées en détail.

Vérification des performances multi-classification du HMC

À la troisième étape, l’algorithme HMC a été utilisé pour comparer les performances de tous les modèles ML et DL ci-dessus dans des tâches de classification multiclasse. L’algorithme HMC améliore considérablement la précision de la détection d’attaques fines (telles que U2R, R2L, etc.) en décomposant des problèmes complexes multiclasses en plusieurs sous-problèmes de classification binaire. Les avantages du HMC ont été vérifiés en améliorant la précision de la détection d’attaque par rapport aux méthodes traditionnelles de classification.

Résultats expérimentaux et analyses

Grâce aux expériences des trois étapes ci-dessus, nous avons obtenu les indicateurs de performance de chaque classificateur et modèle DL sous différents types d’attaque. Le tableau 3 présente des indicateurs de performance tels que la précision, le taux de rappel, la valeur F1, etc., dans différentes méthodes de classification. Dans l’expérience, le HMC a montré une grande précision et robustesse dans la détection des attaques multiclasses, notamment lors des attaques U2R et R2L. Comparé aux méthodes traditionnelles SVM et RF, HMC a connu une amélioration significative.

Grâce à ces résultats expérimentaux, nous avons vérifié l’efficacité du module d’IA proposé pour la détection d’attaques dans un environnement de cloud computing, et fourni une base fiable pour l’optimisation ultérieure des modèles et le déploiement des applications.

Les résultats expérimentaux indiquent que parmi les modèles ML, l’arbre de décision (DT), la forêt aléatoire (RF) et les méthodes d’ensemble (Bagging, Boosting) ont obtenu des performances supérieures, avec des scores F1 atteignant 1,0. Cela valide leur robustesse et leur précision pour distinguer les schémas DDoS du trafic normal. En revanche, le modèle naïf Bayes (NB) a mal performé en prédiction anormale des paquets, avec un score F1 de 0,62, ce qui indique que le modèle présente un certain risque de mauvaise classification face à des types d’attaques complexes.

La figure 7 montre la performance de MLP, CNN, RNN, LSTM et GRU. Après optimisation des paramètres, les scores binaires F1 des modèles DL étaient respectivement de 0,93 et 0,98, indiquant que les modèles DL capturent efficacement les caractéristiques profondes des données, notamment lors du traitement des séries temporelles et de la reconnaissance complexe de motifs, et qu’ils performent mieux que les modèles ML traditionnels.

Une analyse complète montre que les arbres de décision, les méthodes d’apprentissage en ensemble et les modèles de réseaux de neurones affichent tous d’excellentes performances pour détecter les attaques DDoS, mais dans des applications spécifiques, la sélection d’un modèle adapté doit toujours prendre en compte des facteurs tels que le type d’attaque, le volume de données et les ressources informatiques. Pour renforcer davantage la capacité de détection du modèle, plusieurs modèles pourront être intégrés à l’avenir afin d’obtenir une plus grande précision et un taux de fausse alerte plus faible.

La Figure 8 démontre la performance supérieure des modèles DL par rapport aux bases traditionnelles de ML, en maintenant des valeurs F1 entre 0,96 et 0,99, en particulier sur des ensembles de données déséquilibrés. La performance prédictive de la classe U2R reste cependant inférieure à la moyenne dans les catégories plus détaillées, et la performance de la classification cyberattaque n’est que de 0,49. La performance de reconnaissance de quelques catégories d’échantillons (y compris U2R, cyberattaques, BFA et botnets) doit être améliorée, selon les résultats combinés de la Figure 9 et de la Figure 10.

Lors de la troisième étape, 13 classificateurs simples, identiques aux précédents mais concentrés sur la classe minoritaire, ont été utilisés pour comparer les performances du HMC. Selon les résultats, la conception HMC basée sur AdaBoost surpasse le sachage. Dans la classe U2R, le HMC basé sur AdaBoost a un score F1 de 0,5 (le F1 initial est 0), tandis que le HMC basé sur le Baggings a un score F1 de 0,67 (avec 0,4 comme F1 initial) pour la classe minoritaire. Le HMC basé sur AdaBoost a obtenu un score F1 de 0,88 (le F1 original était de 0,71), tandis que le HMC basé sur le Bagging-a obtenu un score F1 de 0,9 (le F1 original était 0) pour la classe d’attaque réseau. Ces résultats montrent que les stratégies d’apprentissage d’ensemble (telles que AdaBoost et Bagging) améliorent significativement la capacité prédictive de multiples classificateurs sur les classes minoritaires.

Cas de simulation d’attaque

Pour vérifier davantage la praticité et la robustesse du modèle proposé dans un environnement réseau réel, cet article a conçu et implémenté un cas de simulation d’attaque et a mené une expérience de simulation sur le scénario d’attaque DDoS. L’environnement de simulation est construit sur une plateforme virtuelle de cloud computing, utilisant plusieurs hôtes virtuels pour simuler l’interaction entre utilisateurs normaux et attaquants. Le scénario de simulation inclut un environnement réseau mixte où l’accès commercial normal et le trafic malveillant coexistent.

Dans l’expérience, l’attaquant a lancé des attaques UDP flood et SYN Flood sur le serveur cible via plusieurs IP sources, tentant d’épuiser les ressources du système cible et d’affecter la disponibilité des services normaux. Le système collecte constamment des informations sur le trafic réseau, et des paramètres caractéristiques majeurs liés au débit de transmission, à la durée des sessions, à la fréquence d’accès aux ports et au nombre de connexions anormales sont utilisés.

Le modèle proposé d’évaluation de la confiance et de détection d’attaque est implémenté dans le nœud de surveillance pour analyser et catégoriser le trafic en temps réel. Le système peut enregistrer une identification réussie dans les phases initiales de l’attaque via le modèle de nuage de confiance et le mécanisme de discrimination multi-classification, et étiqueter efficacement les suspects comme étant à faible confiance et activer un mécanisme de réponse.

Les résultats de la simulation indiquent que lorsque le trafic d’attaque simulé constitue plus de 30 % du trafic total. Le système proposé a atteint une précision de détection de 96 %, un faible taux de faux positifs de 3 %, et une latence de réponse inférieure à 2 s sous des conditions DDoS simulées. Ce résultat confirme que ce modèle offre des opportunités d’application prometteuses pour lutter contre les attaques distribuées et renforcer les capacités de défense sécuritaire du système.

De plus, cette expérience a également étendu le test des attaques à plusieurs rounds et des attaques non continues. Le modèle conserve une grande stabilité de détection, ce qui indique sa bonne capacité de généralisation dans les conditions complexes du réseau dynamique. Les types d’attaques seront étendus à l’avenir, y compris l’injection de données, les attaques de phishing, etc., afin de tester pleinement la flexibilité et l’évolutivité du modèle face à une variété de menaces.

Le tableau 5 représente la signification statistique des améliorations de performance. Ce tableau présente les résultats des tests t appariés qui comparent les modèles de référence avec le cadre Adaptive ML-HMC-Trust proposé en termes des principales métriques de performance. Le tableau comprend les valeurs moyennes et d’écart-types, les valeurs t, les valeurs p, ainsi que les niveaux de signification de précision, le score F1, la détection des classes minoritaires, le taux de faux positifs et la latence de détection.

figure-results-1
Figure 1 : Méthodologie de la représentation du flux. Organigramme illustrant le cadre SDN-cloud proposé intégrant l’apprentissage automatique adaptatif, la classification hiérarchique et l’évaluation de la confiance pour la détection d’attaques en temps réel. Veuillez cliquer ici pour consulter une version agrandie de cette figure.

figure-results-2
Figure 2 : Architecture des services cloud. La figure illustre le modèle général de service cloud appliqué dans la recherche, la couche de contrôle, la couche de transfert de données et la couche de service. L’architecture se compose de contrôleur Ryu OpenFlow, de nœuds Open vSwitch et d’hôtes cloud virtualisés. Les connexions sont toutes des flux de données en temps réel et des interactions entre le statut du lien. Veuillez cliquer ici pour voir une version agrandie de cette figurine.

figure-results-3
Figure 3 : Modèle topologique du réseau. La figure montre la topologie du réseau virtuel à trois couches construite dans l’environnement cloud. Il comprend les nœuds hôtes, les couches de commutation, les délais simulés de liaison ainsi que les limites de bande passante. La topologie permet la séparation du trafic, le routage multi-chemins et la redirection des flux d’attaque (en temps réel). Veuillez cliquer ici pour voir une version agrandie de cette figurine.

figure-results-4
Figure 4 : Architecture de détection de sécurité basée sur le HMC. La figure illustre la hiérarchie de la classification multiclasse, combinant apprentissage en ensemble, évaluation de la confiance et détection de menaces à plusieurs niveaux. Les blocs représentent les phases de classification, montrant le passage de la détection d’attaque grossière à la détection d’attaque à grain fin. Veuillez cliquer ici pour voir une version agrandie de cette figurine.

figure-results-5
Figure 5 : Processus d’évaluation de confiance basé sur un modèle cloud. La figure représente les six étapes du processus d’évaluation de la confiance à travers la génération normale de nuages de confiance, l’extraction d’attributs, la formation des nuages d’attributs, le calcul de similarité des nuages, la classification au niveau de confiance et la mise à jour dynamique de la confiance. Veuillez cliquer ici pour voir une version agrandie de cette figurine.

figure-results-6
Figure 6 : Performance de l’apprentissage automatique sur un jeu de données DDoS. La figure examine comment huit modèles classiques d’apprentissage automatique fonctionnent dans une configuration binaire entre le trafic d’attaque normal et le trafic DDoS. Les métriques sont le rappel, la précision, le score F1 et la précision générale. Les barres d’erreur reflètent la variabilité grâce à une validation croisée en 5 parties. Veuillez cliquer ici pour voir une version agrandie de cette figurine.

figure-results-7
Figure 7 : Performance du modèle d’apprentissage profond sur un ensemble de données DDoS. La figure montre la performance de classification binaire des modèles MLP, CNN, RNN, LSTM et GRU. Les mesures indiquent la performance du modèle dans une série de cycles d’entraînement. Veuillez cliquer ici pour voir une version agrandie de cette figurine.

figure-results-8
Figure 8 : Performances du HMC vs. un seul classificateur d’apprentissage automatique. La figure montre une comparaison entre la multiclassification hiérarchique et le classificateur traditionnel des attaques minoritaires comme U2R et R2L. Les scores F1 sont présentés, y compris des barres d’erreur indiquant la variation entre les expériences répétées. Veuillez cliquer ici pour voir une version agrandie de cette figurine.

figure-results-9
Figure 9 : Performance du classificateur HMC vs. Deep Learning. Cette valeur indique l’amélioration de la détection multiclasse à l’aide du HMC sur les modèles DL. Les performances des minorités sont mises en avant, et elles sont nettement améliorées par rapport aux modèles DL monologes. Veuillez cliquer ici pour voir une version agrandie de cette figurine.

figure-results-10
Figure 10 : Résultats de simulation d’attaque DDoS. La figure montre la sortie de surveillance en temps réel de l’expérience sur la simulation d’attaque, qui indique le débit de trafic, le nombre de connexions anormales, le temps de réponse de la méthode de détection et la sortie de classification du système. Les barres d’échelle indiquent le temps (en secondes) et le volume de trafic. Veuillez cliquer ici pour voir une version agrandie de cette figurine.

ModèleTaux d’apprentissageTaille du lotÉpoquesFonction d’activation
MLP0.0016430ReLU
CNN0.00053250LeakyReLU
RNN0.0016440Tanh
LSTM0.000112860Sigmoïde
GRU0.0016445ReLU

Tableau 1 : Paramètres des paramètres du modèle d’apprentissage profond. Ce tableau contient les hyperparamètres des expériences d’apprentissage profond : la taille du lot, le taux d’apprentissage, le nombre d’époques et les spécifications architecturales.

ID d’exempleTemps d’échantillonnage (secondes)Degré de fiducie ExExExEntropy EnEnEnHyper-entropie HeHeHeScore de similaritéNiveau de confiance
1100.750.650.80.85Haut
2200.80.60.750.82Haut
3300.680.70.850.8Moyen
4400.60.720.90.78Moyen
5500.50.80.950.7Low
6600.450.850.960.65Low

Tableau 2 : Valeurs d’échantillonnage système et analyse de la situation réseau. Ce tableau présente certaines des valeurs d’exemple de l’environnement cloud, telles que les statistiques de trafic, les valeurs de confiance et les sorties de classification.

ClassificateurPrécisionPrécisionRappelF1 Score
Arbre de décision (DT)85.20%84.30%86.10%85.20%
Forêt aléatoire (RF)90.10%89.30%91.00%90.10%
Naïve Bayes (NB)82.50%81.70%83.40%82.50%
K-Voisins les plus proches (KNN)87.40%86.80%88.10%87.40%
SVM-RBF88.90%88.10%89.50%88.80%
SVM linéaire (L-SVM)87.80%87.20%88.50%87.80%
Sachage91.20%90.50%91.70%91.10%
Propulsion92.30%91.90%92.60%92.20%

Tableau 3 : Comparaison des performances des classificateurs d’apprentissage automatique. Le tableau présente le rappel, la précision, l’exactitude et les scores F1 pour tous les modèles ML testés.

ModèlePrécisionPrécisionRappelF1 Score
MLP89.50%88.70%90.30%89.50%
CNN91.20%90.70%91.50%91.10%
RNN88.30%87.60%88.80%88.20%
LSTM92.10%91.80%92.40%92.10%
GRU91.80%91.40%92.10%91.70%

Tableau 4 : Comparaison des performances des classificateurs en apprentissage profond. Ce tableau présente les métriques de performance des modèles MLP, CNN, RNN, LSTM et GRU sur la base de la détection multiclasse.

Mesure de performanceMoyenne de référence (DS)Moyenne modélaire proposée (SD)valeur tvaleur pImportance
Précision0.89 (0.04)0.96 (0.02)8.72<0,001Significatif
F1-Score0.84 (0.05)0.94 (0.03)9.15<0,001Significatif
Détection de classe minoritaire (U2R/R2L)0.52 (0.08)0.81 (0.06)10.44<0,001Significatif
Taux de faux positifs0.11 (0.03)0.04 (0.02)–7.98<0,001Significatif
Latence de détection (secondes)3.10 (0.41)1.82 (0.33)–9.27<0,001Significatif

Tableau 5 : Signification statistique des améliorations de performance. Ce tableau présente les résultats des tests t appariés qui comparent les modèles de référence avec le cadre Adaptive ML -HMC-Trust proposé en termes des principales métriques de performance. Le tableau comprend les valeurs moyennes et d’écart-types, les valeurs t, les valeurs p, ainsi que les niveaux de signification de précision, le score F1, la détection des classes minoritaires, le taux de faux positifs et la latence de détection.

Discussion

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Un déploiement efficace de ce protocole repose sur des étapes critiques au sein de l’architecture basée sur le cloud. Une configuration correcte du contrôleur OpenFlow de Ryu, une configuration correcte des règles OpenvSwitch et la formation robuste d’une topologie multi-couches sont essentielles pour garantir une capture complète du trafic. Le choix de Ryu comme contrôleur et d’Open vSwitch comme plateforme de commutation renforce considérablement la valeur pratique du système ; Leurs caractéristiques légères, modulaires et entièrement programmables les rendent idéaux pour la surveillance réseau en temps réel, le contrôle dynamique des flux et la gestion de la sécurité évolutive sur les infrastructures cloud. De même, le pipeline de prétraitement — incluant nettoyage, normalisation et annotation — doit être exécuté avec précision pour éviter les biais lors de la classification hiérarchique, en répondant aux complexités inhérentes à l’analytique de sécurité cloud.

Pendant le déploiement, plusieurs ajustements ont été nécessaires pour garantir des performances optimales. Les modèles d’ensemble présentaient initialement un surajustement dans les classes minoritaires, nécessitant un ajustement de la profondeur de l’apprenant faible et des poids de vote, reflétant les défis rencontrés dans la détection d’anomalies. Pour atténuer la volatilité de la valeur de confiance causée par le trafic bruiteux, les paramètres d’entropie et de décroissance du modèle cloud ont été recalibrés. De plus, les goulots d’étranglement de streaming dans les pipelines Kafka-Spark ont été résolus en augmentant l’échelle du partitionnement des sujets pour supporter des environnements cloud à haut débit.

Les résultats expérimentaux issus des simulations dans Mininet et EstiNet, ainsi que des évaluations utilisant le trafic cloud réel et les ensembles de données DDoS, démontrent que l’approche proposée de fusion ML-HMC-trust offre des améliorations claires en termes de précision de détection, de réduction des faux positifs et de réactivité en temps réel. Cela confirme l’efficacité de l’alignement des algorithmes d’apprentissage adaptatif avec un modèle de classification hiérarchique pour décomposer des tâches complexes de détection d’attaques multiclasses. Cette approche offre des avantages significatifs par rapport aux cadres conventionnels non réactifs et basés sur des règles, qui peinent à gérer les techniques d’attaque dynamique et les menaces de catégorie minoritaire. Plus précisément, en combinant HMC avec AdaBoost et Bagging, le protocole atteint une précision plus élevée dans la détection fine des classes d’attaques rares comme U2R et R2L, répondant ainsi aux limitations de déséquilibre de classe des modèles ML uniques. De plus, le modèle de confiance dynamique améliore les capacités de prise de décision dans des situations incertaines.

Malgré ces avancées, le protocole est soumis à certaines limitations rapportées dans les travaux connexes. Les techniques d’apprentissage automatique restent mises en difficulté par un déséquilibre extrême des données, en particulier dans les attaques U2R etR2L 8. Les modèles d’apprentissage profond, bien que puissants, nécessitent des ressources informatiques substantielles et peuvent présenter une latence dans des scénarios cloud entemps réel 12,13. L’apprentissage en ensemble favorise la généralisation mais augmente la consommation de ressources et le temps d’inférence14. De même, les systèmes de confiance du modèle cloud ont montré une vulnérabilité aux entrées comportementales bruitées ou en évolution dynamique, conformément aux résultatsprécédents 16. La méthode proposée propose une conception modulaire adaptée aux environnements cloud et edge plus larges, permettant une intégration avec l’apprentissage fédéré, l’informatique en brouillard et les systèmes IoT-cloud distribués. Alors que l’étude actuelle s’est concentrée sur la validation fonctionnelle dans des scénarios à moyenne échelle, les recherches futures s’étendront aux environnements cloud à grande échelle, hautement distribués, ainsi qu’aux architectures SDN multi-contrôleurs afin d’améliorer la tolérance aux pannes. Les extensions prévues incluent également l’étude de l’adaptation de confiance basée sur l’apprentissage par renforcement, les capacités zero-day, et une intégration plus profonde avec les flux de renseignement sur les menaces pour contrer les menaces émergentes telles que le phishing et les botnets. En unifiant l’apprentissage automatique adaptatif, le HMC et l’évaluation de confiance au sein d’un écosystème SDN, cette recherche offre une voie stratégique vers des systèmes de défense cloud plus intelligents, résilients et proactifs.

Disclosures

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Les auteurs n’ont rien à divulguer.

Acknowledgements

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Les auteurs expriment leur gratitude au Département de l’Information du Centre Proton et Ion Lourd de Shanghai pour avoir fourni les ressources informatiques essentielles et l’environnement de recherche nécessaires à cette étude. Nous adressons également notre reconnaissance à nos collègues pour leurs précieuses connaissances techniques lors des phases de conception et de test du système.

Materials

List of materials used in this article
NameCompanyCatalog NumberComments
AdaBoost (Bibliothèque d’apprentissage en ensemble)Scikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.htmlLogiciels
Classificateur de sachageScikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.htmlLogiciels
Code d’évaluation de confiance du modèle cloudImplémentation personnaliséeN/AAlgorithme/Logiciel
Réseau de neurones convolutionnel (CNN)TensorFlow / PyTorchhttps://www.tensorflow.org/tutorials/images/cnnLogiciels
Cadres d’apprentissage profond (MLP, RNN, LSTM, GRU)TensorFlow / PyTorchLogiciels
Simulateur de réseau EstiNetEstiNet Technologieshttps://sites.google.com/view/estinet-network-simulatorLogiciels
Kafka (plateforme de diffusion de données)Fondation Apachehttps://kafka.apache.org/Logiciels
Jeu de données KDD CUP 10 %Dépôt d’apprentissage automatique UCIhttp://kdd.ics.uci.edu/databases/kddcup99/kddcup99.htmlJeu de données
Émulateur MininetProjet MininetMininet 2.3.1Émulation réseau pour la topologie SDN, la bande passante et la simulation d’attaques mixtes.
Open vSwitch (OVS)Open vSwitch OrgOVS 3.2.2Commutateur virtuel implémentant le contrôle par table de flux et la redirection du trafic d’attaque.
Plateforme CloudStack CloudFondation Open Infrastructurehttps://www.openstack.org/Logiciels cloud
Python 3.xFondation Python Softwarehttps://www.python.org/downloads/Langage de programmation
Contrôleur SDN RyuNTT R& DRyu 4.34Contrôleur SDN pour la capture en temps réel du trafic réseau et la connaissance de la situation.
Cadre de diffusion SparkFondation Apachehttps://spark.apache.org/docs/latest/streaming-programming-guide.htmlLogiciels
Compilateur Visual C++ (VC++)Microsofthttps://visualstudio.microsoft.com/Logiciels
Station de travail Windows 11MicrosoftWindows 11 Pro 23H2OS utilisé pour la compilation, l’entraînement et les tests de modèles.

References

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,
  1. Xie, J. Application study on the reinforcement learning strategies in the network awareness risk perception and prevention. Int J Comput Intell Syst. 17 (1), 112(2024).
  2. Research on enhancing cloud computing network security using artificial intelligence algorithms. Wang, Y., Yang, X. 2025 International Conference on Sensor-Cloud and Edge Computing System (SCECS), Zhuhai, China, , 237-244 (2025).
  3. Research on computer network security situation awareness warning mechanism based on artificial intelligence. Chaowen, C. 2024 IEEE 4th International Conference on Electronic Technology, Communication and Information (ICETCI), Changchun, China, , 748-753 (2024).
  4. Zhao, X. Network security situational awareness and early warning architecture based on big data. Int J Syst Assur Eng Manag. , (2024).
  5. Akinbolaji, T. J. Advanced integration of artificial intelligence and machine learning for real-time threat detection in cloud computing environments. Iconic Res Eng J. 6 (10), 980-991 (2024).
  6. Emehin, O., Emeteveke, I., Adeyeye, O., Akanbi, I. Securing artificial intelligence in data analytics: strategies for mitigating risks in cloud computing environments. Int Res J Mod Eng Technol Sci. 6, 1978-1998 (2024).
  7. Shang, Y. Prevention and detection of DDoS attack in virtual cloud computing environment using naive Bayes algorithm of machine learning. Meas Sens. 31, 100991(2024).
  8. Altowaijri, S. M., El Touati, Y. Securing cloud computing services with an intelligent preventive approach. Eng Technol Appl Sci Res. 14 (3), 13998-14005 (2024).
  9. Mamidi, S. The role of AI and machine learning in enhancing cloud security. J Artif Intell Gen Sci. 3 (1), 403-417 (2024).
  10. Zhang, C., Shan, G., Roh, B. H. Fair federated learning for multi-task 6G NWDAF network anomaly detection. IEEE Trans Intell Transp Syst. 26 (10), 17359-17370 (2025).
  11. Shyam Mohan, J. S., Thirunavukkarasu, M., Kumaran, N., Thamaraiselvi, D. learning with blockchain based cyber security threat intelligence and situational awareness system for intrusion alert prediction. Sustain Comput Inform Syst. 42, 100955(2024).
  12. Akinade, A. O., Adepoju, P. A., Ige, A. B., Afolabi, A. I. Cloud security challenges and solutions: a review of current best practices. Int J Multidiscip Res Growth Eval. 6 (1), 26-35 (2025).
  13. Hasimi, L., Zavantis, D., Shakshuki, E., Yasar, A. Cloud computing security and deep learning: an ANN approach. Procedia Comput Sci. 231, 40-47 (2024).
  14. Barlybayev, A., Sharipbay, A., Shakhmetova, G., Zhumadillayeva, A. Development of a flexible information security risk model using machine learning methods and ontologies. Appl Sci. 14 (21), 9858(2024).
  15. Wang, Y. Research on intelligent cybersecurity protection system in cloud computing environment. Innov Sci Technol. 3 (4), 71-78 (2024).
  16. Ali, T., Al-Khalidi, M., Al-Zaidi, R. Information security risk assessment methods in cloud computing: comprehensive review. J Comput Inf Syst. 66 (1), 123-150 (2026).
  17. Tahir, A. B. Advanced virtualized cyber security strategies for cloud and fog computing: a machine learning and encryption approach. Int J Comput Data Sci. 1 (1), 37-55 (2025).
  18. Guo, J., Guo, H. Real-time risk detection method and protection strategy for intelligent ship network security based on cloud computing. Symmetry. 15 (5), 988(2023).
  19. Aslan, Ö, Ozkan-Okay, M., Gupta, D. Intelligent behavior-based malware detection system on cloud computing environment. IEEE Access. 9, 83252-83271 (2021).
  20. Mamidi, S. Enhancing cloud computing security through artificial intelligence-based architecture. J Artif Intell Gen Sci. 5 (1), 63-72 (2024).
  21. Omolola, H., et al. Enhancing cybersecurity through cloud computing solutions in the united states. Intell Inf Manag. 16 (4), 176-193 (2024).

Reprints and Permissions

Request permission to reuse the text or figures of this JoVE article

Request Permission

Tags

Adaptive Machine LearningNetwork SecurityCloud ComputingRisk WarningHierarchical ClassificationTrust EvaluationDDoS DetectionEnsemble LearningSDN ArchitectureReal Time Response

Related Articles