Method Article

Utilizzo di algoritmi di machine learning adattivo per l'allerta di rischio informativo e la consapevolezza degli scenari di sicurezza di rete negli ambienti di cloud computing

DOI:

10.3791/69633

June 2nd, 2026

In This Article

Summary

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

L'articolo propone una soluzione innovativa basata su Machine Learning (ML) per la sicurezza di rete adattiva in un sistema cloud che integra la classificazione gerarchica multi-etichetta e un sistema dinamico di valutazione della fiducia per migliorare l'accuratezza del rilevamento delle minacce e ridurre il numero di falsi positivi.

Abstract

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Questo studio propone un nuovo quadro per la consapevolezza situazionale della sicurezza di rete e l'allerta dei rischi negli ambienti di cloud computing, integrando Machine Learning (ML) adattivo, Hierarchical Multi-Label Classification (HMC) e un meccanismo dinamico di valutazione della fiducia basato sul modello cloud. La complessità, la diversità e la natura in tempo reale degli attacchi informatici emergenti — come gli exploit zero-day, il distributed denial-of-service (DDoS) e le botnet — rappresentano sfide significative ai metodi tradizionali di rilevamento statico e basati su regole. Per affrontare queste sfide, abbiamo sviluppato un'efficace architettura cloud basata su SDN utilizzando il controller Ryu OpenFlow e gli switch OpenFlow. Questa architettura consente la raccolta in tempo reale delle informazioni sui collegamenti, la programmazione dinamica e la trasmissione di dati scalabile e affidabile. Il framework di classificazione gerarchica suggerito può suddividere i problemi multiclass in compiti binari, alleviando l'effetto dello squilibrio del campione e migliorando il riconoscimento degli attacchi a bassa frequenza, incluso User to Root (U2R). Le tecniche di apprendimento in ensemble, tra cui AdaBoost e Bagging, migliorano ulteriormente la precisione di rilevamento per tipi di attacco a grana fine. Esperimenti condotti su dataset DDoS, dati di traffico cloud e simulazioni in Mininet ed EstiNet dimostrano che l'approccio combinato ML-HMC-trust migliora significativamente la precisione della rilevazione, riduce i falsi positivi e consente una risposta in tempo reale. Questi risultati confermano che l'integrazione dell'apprendimento adattivo, della classificazione gerarchica e della valutazione dinamica della fiducia offre una soluzione robusta e scalabile per la sicurezza di piattaforme cloud su larga scala.

Introduction

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Con l'ampia applicazione della tecnologia cloud computing in vari settori, la scala e la quantità di dati nei sistemi informativi stanno aumentando rapidamente, e le minacce di rete stanno diventando più complesse, nascoste edinamiche 1,2. I meccanismi tradizionali di difesa di sicurezza basati su regole e modelli statici non sono più in grado di soddisfare i requisiti di rilevamento in tempo reale con un accurato allarme precoce di fronte a strategie di attacco in cambiamento, vulnerabilità zero-day e attacchi distribuiti su largascala 3. Pertanto, sfruttare algoritmi di ML adattivo per integrare pienamente le capacità di elaborazione dati distribuite e analisi intelligenti all'interno delle piattaforme di cloud computing, al fine di ottenere una percezione completa della situazione della sicurezza di rete e un efficace allerta precoce dei rischi informativi rappresenta una sfida critica nell'attuale panorama della sicurezzainformatica 4. Questa ricerca non solo ha un importante significato teorico per il miglioramento del sistema di protezione della sicurezza esistente, ma offre anche un forte supporto per garantire la sicurezza dell'infrastruttura informativa nazionale chiave e dei dati centraliaziendali 5.

Ci sono molteplici sfide nel realizzare la consapevolezza della situazione della sicurezza di rete e l'allarme di rischio informativo in un ambiente di cloud computing: i tipi di dati aggregati nella piattaforma cloud sono numerosi e le sorgenti sono complesse, rendendo la preelaborazione dei dati, l'estrazione di funzionalità e i compiti di fusione sempre più ardui; Di fronte all'aumento del traffico di rete e agli scenari di attacco in rapido cambiamento, il sistema è tenuto a rispondere in tempi molto brevi, e il rilevamento e l'avviso in tempo reale sono diventati colli di bottiglia tecnici; la quantità di traffico normale è molto diversa da quella del traffico d'attacco, e gli algoritmi tradizionali hanno bassa precisione nell'elaborazione di categorie di campioni piccoli (come U2R, attacchi di rete, ecc.), e c'è un alto rischio di errori di valutazione; In un ambiente di rete complesso, le relazioni di fiducia sono influenzate da molteplici fattori e sono casuali eincerte 6,7. I metodi tradizionali di valutazione della fiducia basati su soglie fisse sono difficili da riflettere lo stato reale e sono facilmente interferiti da dati anomali. Per affrontare queste limitazioni multidimensionali, questa ricerca presenta un quadro integrato che sinergizza il machine learning adattivo, la classificazione gerarchica multi-etichetta e un meccanismo dinamico di valutazione della fiducia basato su modello cloud. Questa fusione di tecniche applicate all'interno di un ambiente cloud guidato da SDN va oltre il semplice raffinamento incrementale, consentendo un riconoscimento dettagliato di attacchi a bassa frequenza, l'adattamento della fiducia in tempo reale e una consapevolezza situazionale scalabile, che i metodi esistenti non hanno ancora raggiunto contemporaneamente.

Gli ambienti di cloud computing generano un traffico di rete massiccio, altamente dinamico ed eterogeneo, rendendo i sistemi tradizionali di rilevamento intrusioni (IDS) incapaci di identificare accuratamente tipi di attacco sofisticati e minoritari come U2R e R2L. Le soluzioni IDS esistenti basate su deep learning (DL) migliorano la precisione del rilevamento ma soffrono ancora di un alto sovraccarico computazionale, risposta in tempo reale lenta e scarsa gestione delle relazioni di fiducia incerte o in evoluzione tra entità di rete. Inoltre, la maggior parte dei modelli attuali funziona come classificatori piatti e manca di meccanismi per decisioni gerarchiche e finemente definite o per la valutazione dinamica della fiducia. Queste limitazioni creano una lacuna critica nello sviluppo di un IDS che possa offrire simultaneamente rilevamento in tempo reale, riconoscimento accurato delle classi minoritarie e valutazione affidabile del rischio consapevole della fiducia in ambienti cloud su larga scala.

Nelle ricerche esistenti sulla consapevolezza della situazione di sicurezza di rete e sull'allerta del rischio informativo, molti studi utilizzano metodi come K-nearest neighbor (KNN) e support vector machine (SVM) per classificare e rilevare il traffico di rete. Questi algoritmi hanno i vantaggi di un'elevata efficienza computazionale e una facile implementazione, specialmente durante lo screening preliminare di grandi quantità didati 8,9. Tuttavia, le loro principali carenze si riflettono in diversi aspetti: quando si trovano di fronte alla maggior parte del traffico normale e a un numero ridotto di campioni di attacco in un ambiente cloud, questi metodi tradizionali di ML spesso ignorano informazioni provenienti da alcune categorie, causando bassi tassi di riconoscimento per attacchi a grana fine (come U2R, attacchi a vulnerabilità di rete, ecc.); I singoli modelli sono solitamente sensibili a rumori e outlier di dati, non hanno la capacità di adattarsi a scenari di attacco dinamici e tendono a sovraattaccamento o a una generalizzazioneinsufficiente 10,11.

Negli ultimi anni, metodi DL come Multi-Layer Perceptron (MLP), CNN, Recurrent Neural Network (RNN), Long Short-Term Memory Network (LSTM) e Gated Recurrent Unit (GRU) sono stati sempre più applicati nel campo della sicurezza di rete. Grazie alle potenti capacità di apprendimento delle caratteristiche e mappatura non lineare delle reti neurali profonde, questi metodi hanno migliorato significativamente la precisione del rilevamento e la capacità di catturare comportamenti di attacco complessi rispetto al tradizionale ML12. Tuttavia, hanno requisiti elevati per risorse di calcolo e dati di addestramento. Soprattutto nel contesto del traffico big data negli ambienti di cloud computing, c'è ancora margine di miglioramento nella spesa di addestramento e nella velocità di inferenza in tempo reale. Quando si identificano classi con pochi campioni, a causa di uno squilibrio dei dati, i modelli DL hanno bassi tassi di rilevamento per alcuni attacchi a grana fine (come U2R, botnet) a causa del bias di classe13. Per compensare i limiti di un singolo modello nel gestire lo squilibrio dei dati e l'identificazione degli attacchi multiclasse, alcuni studi hanno proposto soluzioni basate sull'apprendimento in ensemble, come Bagging e Boosting, che ampliano l'accuratezza complessiva della previsione combinando decisioni su piùclassificatori 14. Allo stesso tempo, l'architettura di Classificazione Multiclasse Gerarchica (HMC) scompone il problema della classificazione multiclasse in sotto-problemi di classificazione binaria multipla, ottenendo così un riconoscimento più raffinato per classi con meno campioni. Tuttavia, i modelli integrati spesso affrontano problemi come un alto utilizzo delle risorse di calcolo e un aumento dei tempi di risposta durante la implementazione, specialmente nei sistemi di monitoraggio in tempo reale del cloud computing, dove i requisiti in tempo reale aumentano la pressione sulle risorse disistema 15.

In risposta al problema della valutazione dinamica delle relazioni di fiducia nella rete, alcuni studi hanno introdotto la teoria dei modelli di nuvola, che costruisce una nube di affiliazione di fiducia descrivendo la fuzziness e la casualità degli attributi di trust di ciascuna entità, e poi utilizza gocce di nuvola, entropia, super entropia e altri indicatori per la valutazionequantitativa 16. Quando si affrontano dati di fiducia di rete aggiornati in tempo reale, il tasso di aggiornamento e l'efficienza computazionale dei metodi esistenti del modello cloud possono trovare difficile soddisfare i requisiti di avviso dinamico ad alta frequenza; Il modello è altamente sensibile ai dati di valutazione e dati anomali o informazioni di rumore possono interferire significativamente con la valutazione complessiva della fiducia, influenzando le successive decisioni di allerta del rischio.

In considerazione delle numerose carenze della ricerca attuale in accuratezza del rilevamento, prestazioni in tempo reale, elaborazione del bilanciamento dei dati e valutazione della fiducia, questo articolo propone un nuovo sistema di difesa che utilizza in modo completo algoritmi di ML adattivo, strategie di classificazione gerarchica multiclass e valutazione della fiducia dei modelli cloud per la consapevolezza della situazione della sicurezza di rete e l'allerta del rischio informativo negli ambienti di cloudcomputing 17.

La ricerca affronta la cybersecurity in tempo reale per le reti di navi intelligenti sfruttando la tecnologia di cloudcomputing 18. Suggerisce un framework multi-sensore per esaminare i dati in caso di attacchi dannosi e utilizza nodi di strategia di protezione auto-eseguibili per intercettare le minacce. I risultati dimostrano un tasso di rilevamento e difesa dell'intrusione virus dell'85-95% e un tasso di falsi positivi del 2,56%, superando significativamente altri algoritmi. Tuttavia, l'approccio richiede elevate risorse computazionali e restrizioni sull'infrastruttura cloud per la implementazione pratica. Aslan et al.19 forniscono un sistema intelligente di rilevamento malware basato sul comportamento in un ambiente di cloud computing. Ha prodotto un dataset di malware su macchine virtuali e ha utilizzato funzionalità selezionate con agenti di rilevamento basati sull'apprendimento e su regole per classificare malware e campioni benigni. La valutazione su 10.000 campioni di programma ha mostrato alte prestazioni con tasso di rilevamento e FPR migliorati. Tuttavia, il metodo presentava problemi di scalabilità a causa di varianti malware in costante cambiamento e implementazioni cloud su larga scala e in tempo reale.

Nonostante i contributi significativi di questi studi, un confronto più dettagliato rivela che la maggior parte delle soluzioni esistenti non risponde alle assunzioni e ai requisiti della consapevolezza della situazione in tempo reale o del modello di fiducia dinamica negli ambienti basati sul cloud. Le tecniche ML convenzionali assumono confini di caratteristiche fissi nello spazio e falliscono nello squilibrio di classe e dinamiche deltraffico altamente dinamiche 8,9,10. I modelli DL sono associati a eccellenti capacità di estrazione delle caratteristiche ma consumano grande potenza di calcolo, il che rende il processo di inferenza lento e poco pratico nel monitoraggio in temporeale 12,13. Gli approcci basati su ensemble e HMC sono più accurati, ma richiedono ancora più latenza e risorse, e attualmente non sono distribuiti in grandi nuvole14,15. Nel frattempo, le tecniche di valutazione della fiducia dei modelli cloud catturano bene l'incertezza ma rimangono altamente sensibili ai dati rumorosi e non possono aggiornare i valori di fiducia in modo efficiente sotto flussi di attacco ad altafrequenza 16, 17, 18, 19. Anche i recenti framework IDS basati su cloud non hanno un supporto robusto e integrato sia per il rilevamento in tempo reale sia per il processo decisionale consapevole dellafiducia 20,21. Queste restrizioni sottolineano insieme la necessità di un sistema efficiente, unificato e abilitato dalla fiducia per il rilevamento delle intrusioni. Questa ricerca supera queste limitazioni integrando ML adattivo, HMC e valutazione dinamica della fiducia basata su modelli cloud all'interno di un'architettura cloud abilitata a SDN, consentendo il rilevamento in tempo reale, una maggiore accuratezza delle classi minoritarie e una valutazione del rischio consapevole dell'incertezza.

Le innovazioni di questo articolo si riflettono principalmente nei seguenti aspetti: è costruita un'architettura di rete distribuita efficiente basata sul controller Ryu OpenFlow e sull'interruttore OpenFlow per consentire la raccolta in tempo reale e la programmazione dinamica delle informazioni del collegamento, migliorando notevolmente l'efficienza della trasmissione dei dati e l'elaborazione.

In considerazione delle difficoltà poste dallo squilibrio dei dati e dall'identificazione degli attacchi con pochi campioni, viene progettato un framework HMC top-down e vengono introdotti metodi di apprendimento integrati come AdaBoost e Bagging per migliorare significativamente la precisione di rilevamento delle categorie di attacco a grana fine.

La teoria del modello cloud viene utilizzata per costruire una cloud di affiliazione fiduciaria. Attraverso il generatore inverso e il calcolo di similarità, si ottiene la valutazione dinamica dello stato di fiducia di ciascuna entità nella rete, fornendo una base quantitativa per l'allerta del rischio e sopprimendo efficacemente la speculazione creditizia causata da transazioni anomale a prezzi bassi o alti.

Protocol

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

NOTA: Questo protocollo descrive come costruire un sistema di consapevolezza situazionale basato su sicurezza di rete basato sul cloud e implementare una classificazione gerarchica con valutazione dinamica della fiducia. Segui i passaggi seguenti per progettare la topologia della rete cloud, raccogliere e annotare i flussi di dati e distribuire i moduli gerarchici di classificazione multiclasse e valutazione della fiducia. La Figura 1 illustra il framework SDN-cloud proposto che integra ML adattivo, classificazione gerarchica e valutazione della fiducia per il rilevamento degli attacchi in tempo reale.

1. Progettazione della topologia della rete cloud

NOTA: Assicurati l'accesso amministrativo a OpenStack, Ryu e Mininet prima di procedere.

  1. Distribuisci il sistema su una piattaforma cloud costruita da OpenStack. Utilizzare la tecnologia di virtualizzazione per creare più host virtuali e configurare un ambiente di rete definita dal software (SDN) per la gestione unificata delle risorse e la pianificazione isolata.
  2. Distribuisci e configura Ryu e Open vSwitch (OVS) per lavorare con il controllo SDN e la gestione del traffico.
  3. Costruire una topologia a tre livelli in cui il controller Ryu è il core e gli switch OVS sono i nodi di inoltro, costituiti da un livello di controllo, un livello di inoltro di rete e un livello di servizio dati.
    1. Configurazione del livello di controllo: Implementa un controller SDN centralizzato con Ryu. Abilita il monitoraggio dello stato della rete in tempo reale utilizzando l'API REST di Ryu e collegalo al modulo di rilevamento della sicurezza per rispondere rapidamente al traffico anomalo.
    2. Configurazione del livello di inoltro di rete: Configurare un certo numero di nodi di commutazione virtuali OVS con host virtuali e gateway esterni. Imposta le policy della tabella di flusso su OVS per consentire cambiamenti dinamici di percorso, separazione del traffico e reindirizzamento del flusso quando viene rilevato traffico di attacco.
    3. Configurazione a livello di servizio dati: Configura diversi host virtuali sulla piattaforma OpenStack. Creare macchine virtuali che fungano da web, database e server di file per generare traffico dati realistico e supportare flussi di attacco iniettati.
  4. Aggiungi diversi valori di salto e percorsi diversi. Simula condizioni eterogenee di banda e latenza di rete utilizzando il comando Mininet.
  5. Installa Mininet per distribuire e simulare la topologia. Isolare i tenant, la segmentazione delle sottoreti e le liste di controllo degli accessi (ACL) utilizzando la CLI Mininet.
  6. Verifica la configurazione per garantire che la topologia faciliti la cattura del traffico in tempo reale e abbia un'integrazione diretta con il modulo di rilevamento.
  7. Registra l'architettura di sistema completa (Figura 2) e la topologia (Figura 3) con tutte le interconnessioni tra i livelli e il flusso di informazioni.

2. Strategia di raccolta e annotazione del flusso di dati

ATTENZIONE: Assicurati di rispettare le normative sulla privacy dei dati (ad esempio, GDPR, politiche locali di cybersecurity). Pre-anonimizzare gli identificatori utente e gli indirizzi IP.

  1. Installa piccoli agenti di raccolta dati su ogni host virtuale e nodo di rete. Configura ogni agente per esaminare costantemente il traffico di rete, i log di sistema e le informazioni comportamentali degli utenti.
  2. Installa Kafka (v3.5) come data queue e Apache Spark streaming (v3.4) per elaborare i dati del flusso in tempo reale. Configura la velocità di Kafka a 10.000 eventi/s o superiore e l'intervallo micro-batch di Spark a 500 ms o meno.
  3. Elaborare i dati raccolti in ordine sequenziale come segue:
    1. Pulisci i dati per eliminare record duplicati, record incompleti e rumore. Filtra i pacchetti non validi controllando le intestazioni del protocollo.
    2. Normalizzare gli attributi numerici in un intervallo standard [0,1] usando la normalizzazione min-max per una scala coerente delle caratteristiche.
    3. Estrarre caratteristiche importanti, inclusi IP sorgente/destinazione, porte, tipo di protocollo, numero di pacchetti, numero di byte, ritardo di inoltro e misure di variazione del traffico.
  4. Inserire il dataset elaborato nel modulo di rilevamento assistito dall'IA per addestrarlo e validarlo.
  5. Stabilire un sistema di doppia annotazione per un'etichettatura accurata dei dati:
    1. Crea una libreria di template di attacco. Identificare i pattern di attacco comuni (ad esempio, scansione delle porte, flood SYN, DoS, U2R) con pattern matching basato su regole.
    2. Controlla manualmente i campioni ambigui per mantenere la coerenza nell'etichettatura.
  6. Utilizzare dataset di benchmark consolidati come CIC-IDS2017 e NSL-KDD per la validazione incrociata. Allinea le etichette per mantenere ≥90% di coerenza tra annotatori.
  7. Eseguire ingegneria delle caratteristiche per costruire vettori di input strutturati. Codificare le gerarchie degli attacchi basate su definizioni di categoria multilivello.
  8. Dividere i dataset in 80% addestramento e 20% test.

3. Architettura integrata di classificazione gerarchica e valutazione della fiducia

  1. Costruire un'architettura di percezione intelligente che integra la Classificazione Gerarchica Multiclass (HMC) e un meccanismo dinamico di valutazione della fiducia (Figura 4).
  2. Implementare il modulo HMC seguendo una strategia "grossolana a fine":
    1. Utilizzare funzionalità di connessione leggere (ad esempio, frequenza, distribuzione di porta, tipo di protocollo) per classificare il traffico in categorie "normale" e "anomala".
    2. Per traffico "anomalo", eseguire una classificazione di secondo livello in categorie di attacco come DDoS, U2R, R2L e Probe utilizzando caratteristiche statistiche di medio livello come intervallo di pacchetti e dimensione del payload.
    3. Identificare sottotipi a grana fine (ad esempio, TCP SYN Flood, SQL Injection, Brute Force Attack) analizzando le firme degli attacchi e gli attributi del bersaglio.
  3. Ottimizza il modulo di classificazione.
    1. Applicare metodi di apprendimento per ensemble AdaBoost e Bagging, costruendo 5-8 classificatori deboli a ogni livello gerarchico (ad esempio, albero decisionale, regressione logistica).
    2. Combinare i risultati dei classificatori usando il voto a maggioranza ponderata basato sui punteggi di accuratezza.
  4. Implementa il modulo di valutazione dinamica della fiducia usando la teoria dei modelli cloud:
    1. Tieni un controllo costante sugli indicatori comportamentali dell'ospite, ad esempio la stabilità passata, la frequenza di comunicazione e la variazione degli obiettivi di accesso.
    2. Includere la credibilità dell'output del modello nel calcolo della fiducia. Stima il punteggio effettivo di fiducia (0 a 1) con l'aiuto dei parametri di aspettativa (Ex), entropia (En) e iper-entropia (He).
  5. Configurare il meccanismo di feedback di collegamento tra HMC e moduli di fiducia.
    1. Sistemi di auto-programmazione basati su valori di trust: isolare host con trust ≤ 0.3 e ridurre i privilegi degli host con trust 0.3-0.6.
    2. Riaddestrare il classificatore con dati host con trust ≥ 0.8 per aumentare la rilevazione e la flessibilità contro attacchi sconosciuti.
  6. Testare la capacità di risposta zero-day. Inietta traffico malevolo non etichettato e conferma che avvisi e isolamento vengano attivati entro 10 minuti.

4. Calcolo e implementazione del modello trust cloud (Figura 5)

  1. Generazione standard di cloud fiduciaria:
    1. Dividere i valori di fiducia in n livelli distinti (ad esempio, "Basso", "Medio", "Alto", "Molto Basso" e "Molto Alto").
    2. Calcola l'aspettativa (Exk) per il livello k basandosi sulla media delle valutazioni di trust per entità di quel livello usando l'Equazione 1:
      figure-protocol-1
      dove Tik rappresenta i valori di trust individuali delle entità classificate sotto il livello di trustL k.
    3. Calcola l'entropia (Enk) per quantificare la fuzziness dei valori di fiducia all'interno del livello Lk usando l'Equazione 2:
      figure-protocol-2
      dove α è una costante che controlla il livello di sfocatura.
    4. Calcolare l'iper-entropia (Hek) usando l'Equazione 3 per quantificare l'instabilità dell'entropia nel tempo:
      figure-protocol-3
      dove β è un parametro che regola il livello di incertezza.
    5. Emettere l'insieme dei cloud di trust standard C1,C 2,...,C n corrispondenti ai n livelli di trust.
  2. Generazione inversa di nuvole di attributi fiduciari:
    1. Normalizzare gli attributi di trust in input Ai all'intervallo [0,1] usando l'Equazione 4:
      figure-protocol-4
      Applicare l'analisi statistica per stimare i corrispondenti parametri del modello cloud (Ex, En, He) per ciascun attributo normalizzato Ai'.
      Genera il cloud di trust attributo Ci per ogni attributo.
  3. Valutazione completa del trust:
    1. Calcola le proprietà digitali della nube di fiducia composita (Excom,En com, Hecom) usando la sintesi pesata (Equazioni 5-7):
      figure-protocol-5
      figure-protocol-6
      figure-protocol-7
      dove figure-protocol-8
    2. Calcola la somiglianza tra l'attuale cloud di fiducia Ci e una cloud standard Ck usando l'Equazione 8:
      figure-protocol-9
      Determinare il livello di fiducia finale L* trovando la massima somiglianza usando l'Equazione 9:
      figure-protocol-10
  4. Aggiornamento della fiducia dinamica
    1. Aggiorna il valore di fiducia per riflettere l'evoluzione nel tempo usando il modello di decadimento temporale nell'Equazione 10:
      figure-protocol-11
      dove λ∈[0,1] controlla il peso della fiducia recente rispetto a quella storica.
    2. Applica il meccanismo di penalità per trust se si verificano deviazioni specifiche. Calcola la deviazione (ΔA) e il fattore di penalità(penalità P) usando le Equazioni 11 e 12:
      figure-protocol-12
      figure-protocol-13
    3. Calcola il valore di fiducia aggiornato usando l'Equazione 13:
      figure-protocol-14

5. Validazione sperimentale delle prestazioni di rilevamento degli attacchi

  1. Configura l'ambiente sperimentale e prepara il dataset.
    1. Utilizza una workstation Windows 11 dotata di strumenti Visual C++ per la compilazione e il test degli algoritmi.
    2. Ottieni il dataset KDDCUP_10% da fonti verificate e pre-elaborarlo seguendo le linee guida istituzionali per la protezione dei dati.
    3. Impostare i parametri dell'algoritmo: intervallo di tempo T = 10s, round di campionamento h = 20 e campioni dati n = 1000.
    4. Dividere i dati in set di addestramento (80%) e test (20%) tramite campionamento stratificato.
  2. Validare le prestazioni della classificazione binaria.
    1. Effettuare una validazione incrociata in 5 volte per l'affidabilità.
    2. Addestrare e testare otto classificatori: Albero Decisionale (DT), Naive Bayes (NB), Foresta Casuale (RF), K-Vicino Più Prossimo (KNN), Boosting Adattivivo (AdaBoost), Macchina a Vetori di Supporto (SVM), Sacco e Aumento del Gradiente.
    3. Esegui 100 epoche per modello e registra precisione, accuratezza, richiamo e punteggio F1.
  3. Valida le prestazioni della classificazione multiclasse.
    1. Classificatori di treni per rilevare DDoS, U2R, R2L, Probe e traffico normale.
    2. Implementare cinque architetture DL (MLP, CNN, GRU, RNN e LSTM) utilizzando i parametri specificati nella Tabella 1.
    3. Confronta le prestazioni usando curve di richiamo di precisione e matrici di confusione per ogni classe.
  4. Valida l'algoritmo HMC.
    1. Implementa HMC con AdaBoost e Bagging come strategie di ensemble.
    2. Scompone i problemi multiclasse in sotto-classificazioni binarie tramite logica gerarchica.
    3. Confrontare i risultati con i modelli di base per i tipi di attacco delle minoranze (U2R, R2L).
  5. Implementa la simulazione degli attacchi.
    1. Distribuire il modello addestrato di rilevamento della fiducia sul banco di prova cloud.
    2. Creare attacchi UDP Flood e SYN Flood utilizzando host multi-virtuali per colpire i server assegnati.
    3. Mantieni il traffico di attacco intorno al 30% della velocità di rete.
    4. Tieni traccia delle statistiche di rete (velocità di trasmissione, durata della sessione, frequenza di accesso alle porte, connessioni anomale).
    5. Misurare l'errore di rilevamento, i falsi positivi e il tempo medio di risposta del sistema.

Results

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Validazione sperimentale e analisi delle prestazioni

Validazione basata sul cloud

Per testare l'efficienza e la fattibilità dell'algoritmo proposto, sono stati eseguiti test di simulazione in un laboratorio di rete controllato. La verifica è stata effettuata sul sistema operativo Windows e l'algoritmo di base è codificato in strumenti di programmazione VC (Visual C++).

Nel caso dei dati sperimentali, abbiamo scelto il dataset del KDDCUP_10% disponibile pubblicamente (http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html) comune nel rilevamento delle intrusioni e nella modellazione del comportamento di rete. Il processo sperimentale generale è molto simile all'approccio descritto inprecedenza 10 per garantire la comparabilità e la credibilità degli esiti.

I principali parametri dell'algoritmo erano impostati a: intervallo di tempo T = 10 s; numero di round campioni h = 20; Campioni dati n = 1000.

Calcolò le caratteristiche digitali del modello trust cloud utilizzando questi parametri. Successivamente, l'algoritmo di cloud similarity è stato utilizzato per identificare il cloud di fiducia più simile dei candidati, offrendo così la possibilità di classificare e valutare gli stati della rete.

La Tabella 2 mostra i valori del campione di sistema selezionato e gli esiti della situazione di analisi della rete. Questi confermano che il sistema di valutazione della fiducia basato su cloud suggerito ha il potenziale di rappresentare e racchiudere in modo efficiente il dinamismo e le incertezze delle impostazioni di rete multifaccettate.

L'esperimento conferma la possibilità di implementare modelli cloud in combinazione con la valutazione della fiducia in tempo reale e fornisce un quadro per ulteriori applicazioni nel sistema di gestione della sicurezza adattivo.

Verifica dell'attacco

Per effettuare una verifica approfondita delle prestazioni dell'algoritmo proposto in questo esperimento, è necessario valutare le capacità di rilevamento degli attacchi della classificazione binaria, multi-classificazione e HMC all'interno di un ambiente di cloud computing. La valutazione sperimentale è suddivisa in tre fasi principali: l'applicazione dei dati di attacco DDoS per verificare la funzionalità del modulo AI, la valutazione delle funzionalità di vari algoritmi ML e l'analisi delle funzionalità dei modelli DL per prevedere attacchi.

Verifica delle prestazioni della classificazione binaria

Nella prima fase dell'esperimento, il dataset di attacco DDoS è stato utilizzato per verificare il modulo AI, il cui scopo principale era testare l'accuratezza delle previsioni del modello in un ambiente di cloud computing. Abbiamo utilizzato un metodo di validazione incrociata a 5 volte, e il rapporto tra dati di addestramento e dati di test è stato impostato a 8:2, cioè l'80% dei dati è stato utilizzato per l'addestramento e il 20% per i test. In ogni esperimento, veniva utilizzato un set di test diverso per verificare il modello e assicurarsi che ogni campione apparisse come set di prova una sola volta. Il processo di addestramento durò 5 epoche e il risultato medio fu raggiunto.

Il dataset è suddiviso in due gruppi: normali e anomali. Per confrontare le prestazioni dei diversi classificatori, sono stati selezionati i seguenti otto classificatori ML comuni: albero decisionale (DT), foresta casuale (RF), Bayes naïve (NB), K-vicino più prossimo (KNN), macchina a vettori di supporto (kernel RBF) (SVM-RBF), macchina a vettori di supporto lineari (L-SVM) e algoritmi di Bagging e Boosting per l'apprendimento in ensemble. I risultati del confronto delle prestazioni sono mostrati nella Figura 6. Attraverso il confronto delle prestazioni di questi classificatori, le loro prestazioni nel rilevamento degli attacchi DDoS possono essere valutate in modo completo 20,21.

Verifica delle prestazioni multi-classificazione

Nella seconda fase dell'esperimento, il dataset è stato ampliato a problemi di multi-classificazione, coinvolgendo diversi tipi di attacchi di rete, tra cui DDoS, U2R (attacco utente-root), R2L (attacco remota a locale), dati normali, ecc. I problemi multi-classificazione testano la capacità del modello di identificare e organizzare molteplici tipi di attacco.

Cinque classificatori DL furono utilizzati per la validazione, tra cui MLP, CNN, RNN, rete a memoria a lungo termine (LSTM) e rete GRU. Le specifiche impostazioni dei parametri di ciascun modello sono presentate nella Tabella 1, Tabella 3 e Tabella 4. Durante l'esecuzione della validazione multi-classificazione, la precisione e il richiamo del modello in più categorie sono stati valutati in dettaglio.

Verifica delle prestazioni multi-classificazione dell'HMC

Nella terza fase, l'algoritmo HMC è stato utilizzato per confrontare le prestazioni di tutti i modelli ML e DL sopra menzionati nei compiti di classificazione multiclasse. L'algoritmo HMC migliora significativamente la precisione nel rilevare attacchi a grana fine (come U2R, R2L, ecc.) scomponendo problemi complessi multiclasse in sotto-problemi di classificazione binaria multipla. I vantaggi dell'HMC sono stati verificati migliorando la precisione del rilevamento degli attacchi rispetto ai metodi tradizionali di classificazione.

Risultati sperimentali e analisi

Attraverso gli esperimenti nelle tre fasi sopra elencate, abbiamo ottenuto gli indicatori di performance di ciascun classificatore e modello DL sotto diversi tipi di attacco. La Tabella 3 mostra indicatori di performance come accuratezza, tasso di richiamo, valore F1, ecc. in diversi metodi di classificazione. Nell'esperimento, HMC mostrò grande accuratezza e robustezza nel rilevamento di attacchi multiclasse, specialmente quando si trattava di attacchi U2R e R2L. Rispetto ai metodi tradizionali SVM e RF, HMC ha ottenuto miglioramenti significativi.

Attraverso questi risultati sperimentali, abbiamo verificato l'efficacia del modulo AI proposto per il rilevamento degli attacchi in un ambiente di cloud computing, fornendo una base affidabile per l'ottimizzazione successiva del modello e la distribuzione delle applicazioni.

I risultati sperimentali indicano che tra i modelli ML, i metodi Decision Tree (DT), Random Forest (RF) e ensemble (Bagging, Boosting) hanno raggiunto prestazioni superiori, con punteggi F1 che hanno raggiunto 1,0. Questo conferma la loro robustezza e precisione nel distinguere i pattern DDoS dal traffico normale. Al contrario, il modello di Bayes naïve (NB) ha avuto scarsi risultati nella previsione anomala dei pacchetti, con un punteggio F1 di 0,62, indicando che il modello presenta un certo rischio di classificazione errata quando si trova di fronte a tipi di attacco complessi.

La Figura 7 mostra le prestazioni di MLP, CNN, RNN, LSTM e GRU. Dopo aver ottimizzato i parametri, i punteggi binari F1 dei modelli DL erano rispettivamente 0,93 e 0,98, indicando che i modelli DL catturano efficacemente le caratteristiche dei dati profondi, specialmente durante l'elaborazione di serie temporali e riconoscimento di pattern complessi, e hanno prestazioni migliori rispetto ai modelli ML tradizionali.

Un'analisi completa mostra che alberi decisionali, metodi di apprendimento in ensemble e modelli di reti neurali mostrano tutti eccellenti prestazioni nel rilevare attacchi DDoS, ma in applicazioni specifiche la selezione di un modello adatto deve comunque considerare fattori come il tipo di attacco, il volume dei dati e le risorse di calcolo. Per migliorare ulteriormente la capacità di rilevamento del modello, in futuro potranno essere integrati più modelli per ottenere maggiore precisione e un tasso di falsi allarmi più basso.

La Figura 8 dimostra le prestazioni superiori dei modelli DL rispetto alle tradizionali basi ML, mantenendo valori F1 tra 0,96 e 0,99, in particolare su dataset sbilanciati. Tuttavia, la performance di previsione della classe U2R è ancora inferiore nelle categorie più dettagliate, mentre la performance della classificazione dei cyberattacchi è solo 0,49. Le prestazioni di riconoscimento di alcune categorie campionarie (inclusi U2R, attacchi informatici, BFA e botnet) devono essere migliorate, secondo i risultati combinati della Figura 9 e della Figura 10.

Nella terza fase, sono stati utilizzati 13 classificatori singoli, identici ai precedenti ma concentrati sulla classe minoritaria, per confrontare le prestazioni dell'HMC. Il design HMC basato su AdaBoost supera il bagking, secondo i risultati. Nella classe U2R, l'HMC basato su AdaBoost ha un punteggio F1 di 0,5 (il punteggio iniziale F1 è 0), mentre l'HMC basato su Baging ha un punteggio F1 di 0,67 (con 0,4 come F1 iniziale) per la classe minoritaria. L'HMC basato su AdaBoost ha ottenuto un punteggio F1 di 0,88 (l'originale F1 era 0,71), mentre l'HMC basato su Sacchetti ha ottenuto un punteggio F1 di 0,9 (l'originale F1 era 0) per la classe di attacco di rete. Questi risultati mostrano che le strategie di apprendimento in ensemble (come AdaBoost e Bagging) migliorano significativamente la capacità predittiva di più classificatori sulle classi minoritarie.

Caso di simulazione di attacco

Per verificare ulteriormente la praticità e la robustezza del modello proposto in un ambiente di rete reale, questo articolo ha progettato e implementato un caso di simulazione di attacco e condotto un esperimento di simulazione sullo scenario di attacco DDoS. L'ambiente di simulazione è costruito su una piattaforma di cloud computing virtuale, utilizzando più host virtuali per simulare l'interazione tra utenti normali e attaccanti. Lo scenario di simulazione include un ambiente di rete misto dove l'accesso normale al business e il traffico dannoso coesistono.

Nell'esperimento, l'attaccante ha lanciato attacchi UDP flood e SYN Flood sul server target tramite più IP sorgente, cercando di esaurire le risorse del sistema target e influenzare la disponibilità dei servizi normali. Il sistema raccoglie costantemente informazioni sul traffico di rete e vengono utilizzati parametri caratteristici principali relativi alla velocità di trasmissione, alla durata delle sessioni, alla frequenza di accesso alle porte e al conteggio delle connessioni anomale.

Il modello proposto di valutazione della fiducia e rilevamento degli attacchi è implementato nel nodo di monitoraggio per analizzare e categorizzare il traffico in tempo reale. Il sistema può registrare l'identificazione di successo nelle fasi iniziali dell'attacco tramite il modello di trust cloud e il meccanismo di discriminazione multi-classificazione, e contrassegnare efficacemente i modelli sospetti come a bassa fiducia e attivare un meccanismo di risposta.

I risultati della simulazione indicano che quando il traffico di attacco simulato costituisce oltre il 30% del traffico totale. Il sistema proposto ha raggiunto una precisione di rilevamento del 96%, un basso tasso di falsi positivi del 3% e una latenza di risposta inferiore a 2 secondi in condizioni simulate di DDoS. Questo risultato conferma che questo modello offre promettenti opportunità di applicazione nell'affrontare attacchi distribuiti e nel migliorare le capacità di difesa di sicurezza del sistema.

Inoltre, questo esperimento ha esteso anche il test degli attacchi multiround e degli attacchi non continui. Il modello mantiene un'elevata stabilità di rilevamento, che indica la sua buona capacità di generalizzazione nelle complesse condizioni di rete dinamica. I tipi di attacchi saranno estesi in futuro, inclusi data injection, attacchi di phishing, ecc., per testare pienamente la flessibilità e la scalabilità del modello con una varietà di minacce.

La Tabella 5 rappresenta la significatività statistica dei miglioramenti delle prestazioni. Questa tabella mostra i risultati dei t test accoppiati che confrontano i modelli di base con il framework proposto Adaptive ML-HMC-Trust in termini delle principali metriche di prestazione. La tabella è composta dai valori media e deviazione standard, valori t, valori p e i livelli di precisione di significatività, punteggio F1, rilevamento di classi minoritarie, tasso di falsi positivi e latenza di rilevamento.

figure-results-1
Figura 1: Metodologia rappresentazione del flusso. Diagramma di flusso che illustra il framework proposto SDN-cloud che integra ML adattivo, classificazione gerarchica e valutazione della fiducia per il rilevamento di attacchi in tempo reale. Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-2
Figura 2: Architettura dei servizi cloud. La figura mostra il modello generale di servizi cloud applicato nella ricerca, il livello di controllo, il livello di inoltro dati e il livello di servizio. L'architettura è composta da controller Ryu OpenFlow, nodi Open vSwitch e host cloud virtualizzati. Le connessioni sono tutte interazioni di flusso di dati in tempo reale e stato collegamento. Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-3
Figura 3: Modello di topologia della rete. La figura mostra la topologia di rete virtuale a tre livelli costruita nell'ambiente cloud. Comprende i nodi host, i livelli di commutazione, i ritardi simulati dei collegamenti e i limiti di larghezza di banda. La topologia consente la separazione del traffico, l'instradamento multi-percorso e la reindirizzazione del flusso di attacco (in tempo reale). Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-4
Figura 4: Architettura di rilevamento di sicurezza basata su HMC. La figura dimostra la gerarchia della gerarchia della classificazione multiclasse, che combina apprendimento in ensemble, valutazione della fiducia e rilevamento delle minacce multilivello. I blocchi rappresentano le fasi di classificazione, mostrando il flusso dal rilevamento degli attacchi a grana grossa a quello a granula fine. Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-5
Figura 5: Processo di valutazione della fiducia basato su modelli cloud. La figura rappresenta i sei passaggi del processo di valutazione della fiducia attraverso la normale generazione di trust cloud, l'estrazione degli attributi, la formazione delle nuvole di attributi, il calcolo della somiglianza delle nuvole, la classificazione a livello di trust e l'aggiornamento dinamico della fiducia. Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-6
Figura 6: Prestazioni di machine learning su dataset DDoS. La figura esamina come otto modelli classici di ML si comportano in un sistema binario tra traffico di attacco normale e DDoS. Le metriche sono richiamo, precisione, punteggio F1 e accuratezza generale. Le barre di errore riflettono la variabilità tramite la validazione incrociata a 5 volte. Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-7
Figura 7: Prestazioni del modello di deep learning su dataset DDoS. La figura mostra le prestazioni di classificazione binaria dei modelli MLP, CNN, RNN, LSTM e GRU. Le misurazioni indicano le prestazioni del modello in una serie di cicli di addestramento. Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-8
Figura 8: Prestazioni HMC vs. singolo classificatore di machine learning. La figura mostra un confronto tra la multi-classificazione gerarchica e il classificatore tradizionale degli attacchi delle minoranze come U2R e R2L. Vengono presentati punteggi F1, inclusi i barre di errore che indicano variazioni tra esperimenti ripetuti. Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-9
Figura 9: Prestazioni HMC vs. classificatore di deep learning. Il valore indica il miglioramento del rilevamento multiclasse usando HMC sui modelli DL. Le prestazioni delle minoranze sono evidenziate e sono significativamente migliorate rispetto ai modelli a singolo DL. Clicca qui per visualizzare una versione più grande di questa figura.

figure-results-10
Figura 10: Risultati della simulazione di attacco DDoS. La figura mostra l'output di monitoraggio in tempo reale dell'esperimento sulla simulazione dell'attacco, che indica la velocità del traffico, il numero di connessioni anomale, il tempo di risposta del metodo di rilevamento e l'output della classificazione del sistema. Le barre della scala indicano l'ora (in secondi) e il volume del traffico. Clicca qui per visualizzare una versione più grande di questa figura.

ModelloTasso di apprendimentoDimensione del lottoEpocheFunzione di attivazione
MLP0.0016430ReLU
CNN0.00053250LeakyReLU
RNN0.0016440Tanh
LSTM0.000112860Sigmoid
GRU0.0016445ReLU

Tabella 1: Impostazioni dei parametri del modello di deep learning. Questa tabella contiene gli iperparametri degli esperimenti di deep learning: la dimensione del lotto, la velocità di apprendimento, il numero di epoche e le specifiche dell'architettura.

ID campioneTempo di campionamento (secondi)Grado Fiduciario ExExExEntropy EnEnEnIper-entropia HeHeHePunteggio di SomiglianzaLivello di fiducia
1100.750.650.80.85Alto
2200.80.60.750.82Alto
3300.680.70.850.8Medium
4400.60.720.90.78Medium
5500.50.80.950.7Basso
6600.450.850.960.65Basso

Tabella 2: Valori campionari di sistema e analisi della situazione della rete. Questa tabella fornisce alcuni dei valori campioni dell'ambiente cloud, come statistiche di traffico, valori di fiducia e output di classificazione.

ClassificatoreAccuratezzaPrecisioneRichiamoPunteggio F1
Albero decisionale (DT)85.20%84.30%86.10%85.20%
Foresta Casuale (RF)90.10%89.30%91.00%90.10%
Naive Bayes (NB)82.50%81.70%83.40%82.50%
K-Vicini più prossimi (KNN)87.40%86.80%88.10%87.40%
SVM-RBF88.90%88.10%89.50%88.80%
SVM Lineare (L-SVM)87.80%87.20%88.50%87.80%
Imballaggio91.20%90.50%91.70%91.10%
Potenziamento92.30%91.90%92.60%92.20%

Tabella 3: Confronto delle prestazioni dei classificatori di machine learning. La tabella presenta il richiuto, la precisione, l'accuratezza e i punteggi F1 per tutti i modelli ML testati.

ModelloAccuratezzaPrecisioneRichiamoPunteggio F1
MLP89.50%88.70%90.30%89.50%
CNN91.20%90.70%91.50%91.10%
RNN88.30%87.60%88.80%88.20%
LSTM92.10%91.80%92.40%92.10%
GRU91.80%91.40%92.10%91.70%

Tabella 4: Confronto delle prestazioni dei classificatori di deep learning. Questa tabella presenta le metriche di performance dei modelli MLP, CNN, RNN, LSTM e GRU sulla base del rilevamento multiclasse.

Metrica di PrestazioniMedia di base (SD)Proposta di Medio Modello (SD)valore tp-valoreSignificato
Accuratezza0.89 (0.04)0.96 (0.02)8.72<0.001Significativi
F1-Score0.84 (0.05)0.94 (0.03)9.15<0.001Significativi
Rilevamento di Classe Minoritaria (U2R/R2L)0.52 (0.08)0.81 (0.06)10.44<0.001Significativi
Tasso di falsi positivi0.11 (0.03)0.04 (0.02)–7.98<0.001Significativi
Latenza di rilevamento (secondi)3.10 (0.41)1.82 (0.33)–9.27<0.001Significativi

Tabella 5: Significatività statistica dei miglioramenti delle prestazioni. Questa tabella mostra i risultati dei t-test accoppiati che confrontano i modelli di base con il framework proposto Adaptive ML -HMC-Trust in termini delle principali metriche di prestazione. La tabella è composta dai valori media e deviazione standard, valori t, valori p e i livelli di precisione di significatività, punteggio F1, rilevamento di classi minoritarie, tasso di falsi positivi e latenza di rilevamento.

Discussion

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Un implementazione efficace di questo protocollo si basa su passaggi critici all'interno dell'architettura cloud-basata. Una corretta configurazione del controller Ryu OpenFlow, la corretta configurazione delle regole Open vSwitch e la formazione robusta di una topologia multilivello sono essenziali per garantire la piena cattura del traffico. La scelta di Ryu come controller e OpenvSwitch come piattaforma di switching rafforza significativamente il valore pratico del sistema; Le loro caratteristiche leggere, modulari e completamente programmabili li rendono ideali per il monitoraggio in tempo reale della rete, il controllo dinamico del flusso e la gestione della sicurezza scalabile nelle infrastrutture cloud. Allo stesso modo, la pipeline di preprocessing - inclusi pulizia, normalizzazione e annotazione - deve essere eseguita con precisione per prevenire bias durante la classificazione gerarchica, affrontando così le complessità intrinseche dell'analisi della sicurezza cloud.

Durante il dispiegamento, furono necessari diversi aggiustamenti per garantire prestazioni ottimali. I modelli di ensemble inizialmente mostravano sovrafitting nelle classi minoritarie, richiedendo la regolazione della profondità degli studenti deboli e dei pesi di voto, rispecchiando le sfide riscontrate nel rilevamento delle anomalie. Per mitigare la volatilità del valore di fiducia causata dal traffico rumoroso, i parametri di entropia e decadimento del modello cloud sono stati ricalibrati. Inoltre, i colli di bottiglia dello streaming nelle pipeline Kafka-Spark sono stati risolti scalando la partizione degli argomenti per supportare ambienti cloud ad alto throughput.

I risultati sperimentali delle simulazioni in Mininet ed EstiNet, così come le valutazioni utilizzando traffico cloud reale e dataset DDoS, dimostrano che l'approccio proposto di fusione ML-HMC-trust offre chiari miglioramenti nella precisione del rilevamento, nella riduzione dei falsi positivi e nella reattività in tempo reale. Ciò conferma l'efficacia dell'allineamento degli algoritmi di apprendimento adattivo con un modello di classificazione gerarchica per decomporre compiti complessi di rilevamento di attacchi multiclasse. Questo approccio offre vantaggi significativi rispetto ai quadri convenzionali non reattivi e basati su regole, che faticano con le tecniche di attacco dinamico e le minacce di categoria minoritaria. In particolare, combinando HMC con AdaBoost e Bagging, il protocollo raggiunge una maggiore precisione nel rilevamento fine di rare classi di attacco come U2R e R2L, affrontando le limitazioni di squilibrio di classe dei modelli ML singoli. Inoltre, il modello di fiducia dinamica migliora le capacità decisionali in situazioni incerte.

Nonostante questi progressi, il protocollo è soggetto a alcune limitazioni riportate in lavori correlati. Le tecniche di machine learning restano sfidate da un estremo squilibrio dei dati, in particolare negli attacchi U2R eR2L 8. I modelli di deep learning, pur essendo potenti, richiedono risorse computazionali sostanziali e possono mostrare latenza in scenari cloud intempo reale 12,13. L'apprendimento in ensemble migliora la generalizzazione ma aumenta il consumo di risorse e il tempo diinferenza 14. Analogamente, i sistemi di fiducia con modelli cloud hanno mostrato vulnerabilità a input comportamentali rumorosi o dinamicamente evolutivi, coerente con i risultatiprecedenti 16. Il metodo proposto presenta un design modulare adatto a ambienti cloud e edge più ampi, consentendo l'integrazione con apprendimento federato, computazione a nebbia e sistemi cloud IoT distribuiti. Sebbene l'attuale studio si sia concentrato sulla validazione funzionale in scenari di scarsa media, le ricerche future si estenderanno a ambienti cloud su larga scala e altamente distribuiti e ad architetture SDN multi-controller per migliorare la tolleranza ai guasti. Le estensioni previste includono anche l'indagine sull'adattamento della fiducia basato sull'apprendimento per rinforzo, le capacità zero-day e una maggiore integrazione con feed di intelligence sulle minacce per contrastare minacce emergenti come phishing e botnet. Unificando ML adattivo, HMC e valutazione della fiducia all'interno di un ecosistema SDN, questa ricerca offre un percorso strategico verso sistemi di difesa cloud più intelligenti, resilienti e proattivi.

Disclosures

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Gli autori non hanno nulla da rivelare.

Acknowledgements

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Gli autori esprimono la loro gratitudine al Dipartimento dell'Informazione del Shanghai Proton and Heavy Ion Center per aver fornito le risorse calcolare essenziali e l'ambiente di ricerca necessari per questo studio. Esprimiamo inoltre il nostro ringraziamento ai colleghi per le preziose intuizioni tecniche ricevute durante le fasi di progettazione e test del sistema.

Materials

List of materials used in this article
NameCompanyCatalog NumberComments
AdaBoost (Libreria di Apprendimento Ensemble)Scikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.htmlSoftware
Classificatore di RaccoltaScikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.htmlSoftware
Codice di valutazione della fiducia dei modelli cloudImplementazione personalizzataN/AAlgoritmo/Software
Rete Neurale Convoluzionale (CNN)TensorFlow / PyTorchhttps://www.tensorflow.org/tutorials/images/cnnSoftware
Framework per il Deep Learning (MLP, RNN, LSTM, GRU)TensorFlow / PyTorchSoftware
EstiNet Network SimulatorTecnologie EstiNethttps://sites.google.com/view/estinet-network-simulatorSoftware
Kafka (Piattaforma di Streaming Dati)Apache Foundationhttps://kafka.apache.org/Software
KDD CUP 10% DatasetUCI Machine Learning Repositoryhttp://kdd.ics.uci.edu/databases/kddcup99/kddcup99.htmlDataset
Emulatore MininetProgetto MininetMininet 2.3.1Emulazione di rete per topologia SDN, larghezza di banda e simulazione di attacco misto.
Open vSwitch (OVS)Open vSwitch OrgOVS 3.2.2Switch virtuale che implementa il controllo a tavolo di flusso e la reindirizzazione del traffico di attacco.
Piattaforma CloudStack CloudOpen Infrastructure Foundationhttps://www.openstack.org/Cloud Software
Python 3.xPython Software Foundationhttps://www.python.org/downloads/Linguaggio di programmazione
Ryu SDN ControllerNTT R& DRyu 4.34Controller SDN per la cattura in tempo reale del traffico di rete e la consapevolezza della situazione.
Spark Streaming FrameworkApache Foundationhttps://spark.apache.org/docs/latest/streaming-programming-guide.htmlSoftware
Compilatore Visual C++ (VC++)Microsofthttps://visualstudio.microsoft.com/Software
Stazione di lavoro Windows 11MicrosoftWindows 11 Pro 23H2Sistema operativo utilizzato per la compilazione, l'addestramento e il test dei modelli.

References

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,
  1. Xie, J. Application study on the reinforcement learning strategies in the network awareness risk perception and prevention. Int J Comput Intell Syst. 17 (1), 112(2024).
  2. Research on enhancing cloud computing network security using artificial intelligence algorithms. Wang, Y., Yang, X. 2025 International Conference on Sensor-Cloud and Edge Computing System (SCECS), Zhuhai, China, , 237-244 (2025).
  3. Research on computer network security situation awareness warning mechanism based on artificial intelligence. Chaowen, C. 2024 IEEE 4th International Conference on Electronic Technology, Communication and Information (ICETCI), Changchun, China, , 748-753 (2024).
  4. Zhao, X. Network security situational awareness and early warning architecture based on big data. Int J Syst Assur Eng Manag. , (2024).
  5. Akinbolaji, T. J. Advanced integration of artificial intelligence and machine learning for real-time threat detection in cloud computing environments. Iconic Res Eng J. 6 (10), 980-991 (2024).
  6. Emehin, O., Emeteveke, I., Adeyeye, O., Akanbi, I. Securing artificial intelligence in data analytics: strategies for mitigating risks in cloud computing environments. Int Res J Mod Eng Technol Sci. 6, 1978-1998 (2024).
  7. Shang, Y. Prevention and detection of DDoS attack in virtual cloud computing environment using naive Bayes algorithm of machine learning. Meas Sens. 31, 100991(2024).
  8. Altowaijri, S. M., El Touati, Y. Securing cloud computing services with an intelligent preventive approach. Eng Technol Appl Sci Res. 14 (3), 13998-14005 (2024).
  9. Mamidi, S. The role of AI and machine learning in enhancing cloud security. J Artif Intell Gen Sci. 3 (1), 403-417 (2024).
  10. Zhang, C., Shan, G., Roh, B. H. Fair federated learning for multi-task 6G NWDAF network anomaly detection. IEEE Trans Intell Transp Syst. 26 (10), 17359-17370 (2025).
  11. Shyam Mohan, J. S., Thirunavukkarasu, M., Kumaran, N., Thamaraiselvi, D. learning with blockchain based cyber security threat intelligence and situational awareness system for intrusion alert prediction. Sustain Comput Inform Syst. 42, 100955(2024).
  12. Akinade, A. O., Adepoju, P. A., Ige, A. B., Afolabi, A. I. Cloud security challenges and solutions: a review of current best practices. Int J Multidiscip Res Growth Eval. 6 (1), 26-35 (2025).
  13. Hasimi, L., Zavantis, D., Shakshuki, E., Yasar, A. Cloud computing security and deep learning: an ANN approach. Procedia Comput Sci. 231, 40-47 (2024).
  14. Barlybayev, A., Sharipbay, A., Shakhmetova, G., Zhumadillayeva, A. Development of a flexible information security risk model using machine learning methods and ontologies. Appl Sci. 14 (21), 9858(2024).
  15. Wang, Y. Research on intelligent cybersecurity protection system in cloud computing environment. Innov Sci Technol. 3 (4), 71-78 (2024).
  16. Ali, T., Al-Khalidi, M., Al-Zaidi, R. Information security risk assessment methods in cloud computing: comprehensive review. J Comput Inf Syst. 66 (1), 123-150 (2026).
  17. Tahir, A. B. Advanced virtualized cyber security strategies for cloud and fog computing: a machine learning and encryption approach. Int J Comput Data Sci. 1 (1), 37-55 (2025).
  18. Guo, J., Guo, H. Real-time risk detection method and protection strategy for intelligent ship network security based on cloud computing. Symmetry. 15 (5), 988(2023).
  19. Aslan, Ö, Ozkan-Okay, M., Gupta, D. Intelligent behavior-based malware detection system on cloud computing environment. IEEE Access. 9, 83252-83271 (2021).
  20. Mamidi, S. Enhancing cloud computing security through artificial intelligence-based architecture. J Artif Intell Gen Sci. 5 (1), 63-72 (2024).
  21. Omolola, H., et al. Enhancing cybersecurity through cloud computing solutions in the united states. Intell Inf Manag. 16 (4), 176-193 (2024).

Reprints and Permissions

Request permission to reuse the text or figures of this JoVE article

Request Permission

Tags

Adaptive Machine LearningNetwork SecurityCloud ComputingRisk WarningHierarchical ClassificationTrust EvaluationDDoS DetectionEnsemble LearningSDN ArchitectureReal Time Response

Related Articles