本論文は、階層的マルチラベル分類と動的信頼評価システムを統合し、脅威検出の精度を高め偽陽性の数を減らすために、クラウドベースのシステムにおける新しい機械学習(ML)ベースの適応型ネットワークセキュリティソリューションを提案しています。
Method Article
本論文は、階層的マルチラベル分類と動的信頼評価システムを統合し、脅威検出の精度を高め偽陽性の数を減らすために、クラウドベースのシステムにおける新しい機械学習(ML)ベースの適応型ネットワークセキュリティソリューションを提案しています。
本研究は、クラウドコンピューティング環境におけるネットワークセキュリティの状況認識とリスク警告のための新しいフレームワークを提案し、適応型機械学習(ML)、階層的多ラベル分類(HMC)、クラウドモデルに基づく動的信頼評価メカニズムを統合します。ゼロデイエクスプロイト、分散型サービス拒否(DDoS)、ボットネットなどの新興サイバー攻撃の複雑さ、多様性、リアルタイム性は、従来のルールベースおよび静的検出手法に大きな課題をもたらしています。これらの課題に対応するため、Ryu OpenFlowコントローラーとOpenFlowスイッチを活用した効果的なSDNベースのクラウドアーキテクチャを開発しました。このアーキテクチャにより、リアルタイムのリンク情報収集、動的スケジューリング、そしてスケーラブルで信頼性の高いデータ伝送が可能となります。提案された階層的分類フレームワークは、多クラス問題を二項タスクに分解し、サンプルの不均衡の影響を緩和し、ユーザーからルートへの攻撃(U2R)を含む低周波攻撃の認識を高めることができます。AdaBoostやBaggingなどのアンサンブル学習技術は、細かい攻撃タイプに対する検出精度をさらに向上させます。DDoSデータセット、クラウドトラフィックデータ、MininetおよびEstiNetでのシミュレーション実験により、MLとHMC-trustの統合アプローチが検出精度を大幅に向上させ、誤検知を減らし、リアルタイム対応を可能にすることが示されています。これらの結果は、適応学習、階層的分類、動的信頼評価の統合が、大規模クラウドプラットフォームのセキュリティにおいて堅牢かつスケーラブルなソリューションを提供することを裏付けています。
クラウドコンピューティング技術がさまざまな業界で広く応用される中、情報システムにおけるデータの規模と量は急速に増加し、ネットワーク脅威はより複雑で隠れ、動的になっています1,2。ルールや静的モデルに基づく従来のセキュリティ防御メカニズムは、攻撃戦略の変化、ゼロデイ脆弱性、大規模な分散攻撃に直面した際に、リアルタイムの正確な早期警戒の要件を満たすことができなくなっています。したがって、クラウドコンピューティングプラットフォーム内で分散データ処理とインテリジェント分析能力を完全に統合するために適応型MLアルゴリズムを活用し、ネットワークセキュリティ状況の包括的な認識と情報リスクの効果的な早期警告を達成することは、現在の情報セキュリティ環境における重大な課題となっています。.この研究は、既存のセキュリティ保護システムの改善に理論的に重要な意義を持つだけでなく、国家の重要情報インフラおよび企業コアデータのセキュリティ確保にも強力な支援を提供します。
クラウドコンピューティング環境におけるネットワークセキュリティの状況認識と情報リスク警告の実現には多くの課題があります。クラウドプラットフォームに集約されたデータタイプは多数で、ソースも複雑であるため、データの前処理、特徴抽出、融合作業がますます困難になっています。増加するネットワークトラフィックと急速に変化する攻撃シナリオに直面し、システムは非常に短時間で対応する必要があり、リアルタイムの検知と警告は技術的なボトルネックとなっています。通常のトラフィック量は攻撃トラフィックとは大きく異なり、従来のアルゴリズムはU2Rやネットワーク攻撃などの小規模サンプルカテゴリの処理精度が低く、誤判断のリスクも大きいです。複雑なネットワーク環境では、信頼関係は複数の要因に影響され、ランダムかつ不確実です 6,7.固定された閾値に基づく従来の信頼評価方法は、実際の状況を反映するのが難しく、異常なデータによって簡単に妨害されます。これらの多次元的な制約に対処するため、本研究は適応型機械学習、階層的マルチラベル分類、動的なクラウドモデルベースの信頼評価メカニズムを相乗効果とする統合フレームワークを提示します。SDN駆動のクラウド環境で適用されるこの技術の融合は、単なる段階的な洗練を超え、低周波攻撃の細かい認識、リアルタイムの信頼適応、そして既存の手法では同時に達成できていないスケーラブルな状況認識を可能にします。
クラウドコンピューティング環境は、膨大で非常に動的かつ異種なネットワークトラフィックを発生させるため、従来の侵入検知システム(IDS)ではU2RやR2Lのような高度で少数派の攻撃タイプを正確に識別できません。既存の深層学習(DL)ベースのIDSソリューションは検出精度を向上させますが、依然として高い計算負荷、リアルタイム応答の遅さ、ネットワークエンティティ間の不確実または進化する信頼関係の扱いが不十分という問題を抱えています。さらに、現在のほとんどのモデルはフラットな分類器として動作し、細かく階層的な意思決定や動的な信頼評価のメカニズムを欠いています。これらの制約は、リアルタイムの検出、正確なマイノリティクラス認識、信頼性の高い信頼認識リスク評価を大規模クラウド環境で同時に提供できるIDSの開発に重大なギャップを生み出しています。
ネットワークセキュリティの状況認識や情報リスク警告に関する既存の研究では、多くの研究でK近傍法(KNN)やサポートベクターマシン(SVM)などの手法が用いられ、ネットワークトラフィックを分類・検出しています。これらのアルゴリズムは、特に大量データの予備スクリーニングを行う際に高い計算効率と実装の容易さという利点があります 8,9。しかし、主な欠点はいくつかの側面に反映されています。クラウド環境で通常のトラフィックや攻撃サンプルが少ない場合、これらの従来のML手法は一部の情報を無視しがちで、U2Rやネットワーク脆弱性攻撃などの細かい攻撃に対して認識率が低くなること。単一モデルは通常、ノイズやデータの外れ値に敏感で、動的に変化する攻撃シナリオに適応する能力を欠き、過学習や一般化不足に陥りやすいです(10,11)。
近年では、多層知知(MLP)、CNN、リカレントニューラルネットワーク(RNN)、長短記憶ネットワーク(LSTM)、ゲーテッドリカレントユニット(GRU)などのDL手法がネットワークセキュリティ分野でますます応用されています。深層ニューラルネットワークの強力な特徴学習および非線形マッピング能力により、これらの手法は従来のML12と比較して検出精度を大幅に向上させ、複雑な攻撃行動の捉え能力を向上させました。しかし、計算資源やトレーニングデータに対しては高い要件があります。特にクラウドコンピューティング環境におけるビッグデータトラフィックの文脈では、トレーニングオーバーヘッドやリアルタイム推論速度にはまだ改善の余地があります。サンプル数の少ないクラスを特定する際、データバランスの不均衡により、DLモデルはクラスバイアス13のため、U2Rやボットネットなどの細かい攻撃に対して検出率が低いことがあります。データバランスの不均衡や多クラス攻撃識別における単一モデルの限界を補うため、複数の分類器の決定を組み合わせることで全体的な予測精度を拡大するBaggingやBoostingのようなアンサンブル学習ベースの解決策が提案されています14。同時に、階層的多クラス分類(HMC)アーキテクチャは、多クラス分類問題を複数の二値分類のサブ問題に分解し、サンプル数の少ないクラスに対してより精緻な認識を実現します。しかし、統合モデルは特にクラウドコンピューティングのリアルタイム監視システムにおいて、高い計算資源使用や応答時間の増加といった問題に直面し、リアルタイムの要件がシステムリソースへの負担を増大させます15。
ネットワークにおける動的信頼関係評価の問題に対応するため、いくつかの研究ではクラウドモデル理論が導入されています。これは、各エンティティの信頼属性の曖昧さとランダム性を記述し、クラウドの滴、エントロピー、スーパーエントロピーなどの指標を用いて定量的評価を行うものです。.リアルタイムで更新されたネットワーク信頼データに直面した場合、既存のクラウドモデル手法の更新速度や計算効率は高周波動的警告の要件を満たすのが難しい場合があります。このモデルは評価データに非常に敏感であり、異常なデータやノイズ情報は全体的な信頼評価に大きな干渉を及ぼし、その後のリスク警告の決定に影響を与える可能性があります。
検出精度、リアルタイム性能、データバランス処理、信頼評価に関する現在の研究の多くの課題を踏まえ、本論文は、クラウドコンピューティング環境におけるネットワークセキュリティ状況認識および情報リスク警告のために、適応型機械学習アルゴリズム、階層的マルチクラス分類戦略、クラウドモデルの信頼評価を包括的に活用した新しい防御システムを提案します。
この研究は、クラウドコンピューティング技術を活用してインテリジェント船舶ネットワークのリアルタイムサイバーセキュリティに取り組んでいます。悪意のある攻撃を検出するためのマルチセンサーノードフレームワークを提案し、自己実行型の保護戦略ノードを用いて脅威を傍受します。結果は、ウイルス侵入検出および防御率が85〜95%、偽陽性率2.56%を示し、他のアルゴリズムを大きく上回っています。しかし、このアプローチは実際の展開には高度な計算資源とクラウドインフラの制約を必要とします。Aslanらはクラウドコンピューティング環境におけるインテリジェントな行動ベースのマルウェア検出システムを提供しています。 仮想マシン上でマルウェアデータセットを作成し、学習ベースおよびルールベースの検出エージェントを用いた選択的な特徴を用いてマルウェアと無害サンプルを分類しました。10,000件のプログラムサンプルを対象とした評価では、検出率とFPRが向上した高いパフォーマンスが示されました。しかしながら、この手法はマルウェアのバリエーションが絶えず変化し、クラウドの大規模かつリアルタイムでの展開が難しくなるため、スケーラビリティに問題がありました。
これらの研究がもたらした重要な貢献にもかかわらず、より詳細な比較により、既存の多くのソリューションはクラウド環境におけるリアルタイム状況認識や動的信頼モデルの前提や要件を満たしていないことが明らかになります。従来の機械学習手法は、空間上で固定された特徴境界を仮定し、クラスの不均衡や非常に動的なトラフィックダイナミクスで失敗します 8,9,10。DLモデルは優れた特徴抽出能力を持つ一方で計算能力が高く、リアルタイム監視における推論プロセスは遅く非実用的です(12,13)。アンサンブルやHMCベースのアプローチはより正確ですが、さらに多くのレイテンシとリソースを必要とし、現在は大規模クラウドでの展開は行われていません14,15。一方、クラウドモデルの信頼評価手法は不確実性をうまく捉えますが、ノイズの多いデータに対しては非常に敏感であり、高頻度攻撃ストリーム16、17、18、19の下では信頼値を効率的に更新できません。最近のクラウドベースのIDSフレームワークでさえ、リアルタイム検出と信頼認識型意思決定の両方に対して堅牢で統合されたサポートが不足しています(20,21)。これらの制限は、効率的で統一された信頼に基づく侵入検知システムの必要性を強調しています。本研究は、SDN対応のクラウドアーキテクチャ内に適応型機械学習、HMC、クラウドモデルベースの動的信頼評価を統合することでこれらの制約を克服し、リアルタイムの検出、マイノリティクラスの精度向上、不確実性を認識したリスク評価を可能にします。
本論文の革新は主に以下の点に反映されています。Ryu OpenFlowコントローラとOpenFlowスイッチに基づく効率的な分散ネットワークアーキテクチャを構築し、リンク情報のリアルタイム収集と動的スケジューリングを可能にし、データ伝送の効率と処理を大幅に向上させました。
データの不均衡や少サンプル攻撃識別の困難を考慮し、トップダウン型のHMCフレームワークを設計し、AdaBoostやバギングなどの統合学習手法を導入して、細粒度攻撃カテゴリの検出精度を大幅に向上させています。
クラウドモデル理論は信頼アフィリエーションクラウドを構築するために用いられます。リバースジェネレーターと類似度計算を通じて、ネットワーク内の各主体の信頼状況の動的評価を実現し、リスク警告の定量的基盤を提供し、低価格または高価格での異常取引による信用投機を効果的に抑制します。
注:このプロトコルは、クラウドベースのネットワークセキュリティ状況認識システムの構築方法と、動的信頼評価を用いた階層的分類の実装方法を説明しています。以下の手順に従ってクラウドネットワークトポロジーの設計、データフローの収集・注釈付け、階層的なマルチクラス分類および信頼評価モジュールの展開を行います。 図1 は、リアルタイム攻撃検出のための適応型ML、階層的分類、信頼評価を統合した提案されたSDNクラウドフレームワークを示しています。
1. クラウドネットワークトポロジー設計
注意:進める前にOpenStack、Ryu、Mininetの管理者アクセス権を確保してください。
2. データフロー収集と注釈戦略
注意:データプライバシー規制(例:GDPR、地域のサイバーセキュリティポリシー)を遵守してください。ユーザー識別子やIPアドレスを事前に匿名化します。
3. 階層的分類と信頼評価の統合アーキテクチャ
4. 信頼クラウドモデルの計算と実装(図5)














5. 攻撃検出性能の実験的検証
実験的検証と性能分析
クラウドベースの検証
提案されたアルゴリズムの効率性と実現可能性を検証するため、制御されたネットワーク実験室環境でシミュレーションテストが実施されました。検証はWindowsオペレーティングシステム上で行われ、コアアルゴリズムはVC(Visual C++)プログラミングツールでコーディングされています。
実験データの場合、侵入検知やネットワーク挙動のモデリングで一般的な公開データセット(http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html KDDCUP_10%)を選びました。一般的な実験プロセスは、結果の比較可能性と信頼性を確保するために前述のアプローチ と非常に似ています。
主要なアルゴリズムパラメータは以下の通りに設定されました:時間間隔T = 10秒;サンプリングラウンド数 h = 20;データサンプルn = 1000。
これらのパラメータを用いて信頼クラウドモデルのデジタル特性を計算しました。次に、クラウド類似度アルゴリズムを用いて候補の最も類似した信頼クラウドを特定し、ネットワーク状態の分類と評価が可能になりました。
表2は 、選択されたシステムサンプルの値とネットワーク解析の結果を示しています。これらは、提案されたクラウドベースの信頼評価システムが、多面的なネットワーク環境のダイナミズムと不確実性を効率的に表現し、カプセル化する可能性を持っていることを裏付けています。
この実験は、リアルタイム信頼評価と組み合わせてクラウドモデルを実装する可能性を確認し、適応型セキュリティ管理システムへのさらなる応用の枠組みを提供します。
攻撃検証
本実験で提案されたアルゴリズムの性能を徹底的に検証するためには、クラウドコンピューティング環境内での二値分類、多重分類、HMCの攻撃検出能力を評価する必要があります。実験評価は主に3つの段階に分かれています。AIモジュールの機能確認のためのDDoS攻撃データの適用、各種MLアルゴリズムの機能評価、そして攻撃予測のためのDLモデルの機能分析です。
二値分類性能検証
実験の第1フェーズでは、DDoS攻撃データセットを用いてAIモジュールの検証を行い、その主な目的はクラウドコンピューティング環境におけるモデルの予測精度をテストすることでした。5分割のクロスバリデーション手法を用い、トレーニングデータとテストデータの比率を8:2に設定しました。つまり、データの80%がトレーニングに、20%がテストに使われました。各実験では、異なるテストセットを用いてモデルを検証し、各サンプルが一度だけテストセットとして現れることを確認しました。訓練過程は5つの時代にわたり続き、平均的な結果が取られました。
データセットは正常と異常の2つのグループに分類されています。異なる分類器の性能を比較するために、以下の8つの一般的なML分類器が選ばれました:決定木(DT)、ランダムフォレスト(RF)、ナイーブベイズ(NB)、K近傍分類(KNN)、サポートベクトルマシン(RBFカーネル)(SVM-RBF)、線形サポートベクトルマシン(L-SVM)、そしてアンサンブル学習のためのバギングおよびブースティングアルゴリズムです。性能比較結果は図6に示されています。これらの分類器のパフォーマンス比較を通じて、DDoS攻撃検出における性能を包括的に評価できます。
マルチクラシフィケーション性能検証
実験の第2段階では、データセットはDDoS、U2R(ユーザー対root攻撃)、R2L(リモート・トゥ・ローカル攻撃)、通常データなど、さまざまな種類のネットワーク攻撃を含む多分類問題に拡張されました。マルチクラス化問題は、モデルが複数の攻撃タイプを識別・整理する能力をテストします。
検証にはMLP、CNN、RNN、長時記憶(LSTM)ネットワーク、GRUネットワークを含む5つのDL分類器が使用されました。各モデルの具体的なパラメータ設定は 表1、 表3、 表4に示されています。マルチクラス化検証を行う際には、モデルの精度と呼び戻し率を複数カテゴリ間で詳細に評価しました。
HMCのマルチクラス性能の検証
第3段階では、HMCアルゴリズムを用いて上記のすべてのMLおよびDLモデルのマルチクラス分類タスクにおける性能を比較しました。HMCアルゴリズムは、複雑な多重クラス問題を複数の二値分類サブ問題に分解することで、細粒度攻撃(U2R、R2Lなど)の検出精度を大幅に向上させます。HMCの利点は、従来の分類手法と比較して攻撃検出の精度を向上させることで検証されました。
実験結果と解析
上記の3段階の実験を通じて、各分類器およびDLモデルの異なる攻撃タイプにおける性能指標を得ました。 表3は 、精度、リコール率、F1値などの異なる分類方法におけるパフォーマンス指標を示しています。実験では、HMCは特にU2RおよびR2L攻撃に対して、マルチクラス攻撃の検出において高い精度と堅牢性を示しました。従来のSVMおよびRF手法と比較して、HMCは大幅な改善を遂げています。
これらの実験結果を通じて、クラウドコンピューティング環境における攻撃検出における提案されたAIモジュールの有効性を検証し、その後のモデル最適化およびアプリケーション展開の信頼できる基盤を提供しました。
実験結果によると、MLモデルの中では、意思決定木(DT)、ランダムフォレスト(RF)、およびアンサンブル手法(バグ、ブースティング)が優れた性能を示し、F1スコアは1.0に達しました。これにより、DDoSパターンを通常のトラフィックと区別する際の堅牢性と精度が証明されます。対照的に、素朴なベイズ(NB)モデルは異常パケット予測でF1スコア0.62と低く、複雑な攻撃タイプに対して誤分類のリスクがあることを示しています。
図7はMLP、CNN、RNN、LSTM、GRUのパフォーマンスを示しています。パラメータ最適化後、DLモデルの二値F1スコアはそれぞれ0.93と0.98となり、DLモデルが特に時系列データや複雑なパターン認識の処理において深いデータ特徴を効果的に捉え、従来のMLモデルよりも優れた性能を示していることを示しました。
包括的な分析により、意思決定木、アンサンブル学習手法、ニューラルネットワークモデルはいずれもDDoS攻撃の検出において優れた性能を示しますが、特定の用途では適切なモデルの選択には攻撃タイプ、データ量、計算資源などの要素を考慮する必要があります。モデルの検出能力をさらに強化するために、将来的には複数のモデルを統合し、より高い精度と誤報率の低さを実現できます。
図8は、特に不均衡データセットにおいて、従来の機器学習ベースラインに比べてDLモデルの優れた性能を示しており、F1値を0.96から0.99の範囲で維持しています。ただし、U2Rクラスの予測性能は細かいカテゴリで依然として劣っており、サイバー攻撃の分類性能はわずか0.49にとどまります。 図9 と 図10の統合結果によると、U2R、サイバー攻撃、BFA、ボットネットなどいくつかのサンプルカテゴリーの認識性能を向上させる必要があります。
第3段階では、前回と同一だが少数派クラスに焦点を当てた13の単一分類器がHMCの性能を比較するために使用されました。結果によると、AdaBoostベースのHMC設計は袋付けよりも優れています。U2Rクラスでは、AdaBoostベースのHMCはF1スコア0.5(初期F1は0)で、バギングベースのHMCはマイノリティクラスのF1スコア0.67(初期F1は0.4)です。AdaBoostベースのHMCはネットワーク攻撃クラスでF1スコア0.88(元のF1は0.71)を獲得し、バギングベースのHMCはネットワーク攻撃クラスでF1スコア0.9(元のF1は0)を獲得しました。これらの結果は、AdaBoostやBaggingなどのアンサンブル学習戦略が、マイノリティクラスにおける複数の分類器の予測能力を大幅に向上させることを示しています。
攻撃シミュレーションのケース
実際のネットワーク環境における提案モデルの実用性と堅牢性をさらに検証するため、本論文では攻撃シミュレーションケースを設計・実装し、DDoS攻撃シナリオに関するシミュレーション実験を実施しました。シミュレーション環境は仮想クラウドコンピューティングプラットフォーム上に構築されており、複数の仮想ホストを用いて通常のユーザーと攻撃者の相互作用をシミュレートします。シミュレーションシナリオには、通常のビジネスアクセスと悪意のあるトラフィックが共存する混合ネットワーク環境が含まれます。
実験では、攻撃者が複数のソースIPを通じてターゲットサーバーに対してUDPフラッド攻撃やSYNフラッド攻撃を仕掛け、ターゲットシステムのリソースを使い果たし、通常のサービスの利用可能性に影響を与えようとしました。システムはネットワークトラフィック情報を常に収集しており、伝送速度、セッションの持続時間、ポートアクセスの頻度、異常接続の回数などの主要な特徴パラメータが使用されます。
信頼評価と攻撃検出の提案モデルは、リアルタイムトラフィックの解析と分類のために監視ノードに実装されています。システムは、トラストクラウドモデルとマルチクラシフィション識別メカニズムを通じて攻撃の初期段階で成功した識別を記録し、疑わしいものを低信頼として効率的にタグ付けして応答メカニズムを発動します。
シミュレーションの結果によると、シミュレーション攻撃トラフィックが全体の30%以上を占める場合、提案されたシステムは、DDoS条件下で96%の検出精度、3%の低誤陽性率、および2秒未満の応答遅延を達成しました。この結果は、分散攻撃への対応やシステムのセキュリティ防御能力強化において有望な応用機会があることを裏付けています。
さらに、この実験は多ラウンド攻撃や非連続攻撃のテストも拡張しました。このモデルは高い検出安定性を保っており、複雑な動的ネットワーク条件における優れた一般化能力を示しています。今後はデータ注入やフィッシング攻撃など、さまざまな脅威に対してモデルの柔軟性とスケーラビリティを十分にテストするために、攻撃の種類も拡大される予定です。
表5 はパフォーマンス改善の統計的有意性を示しています。この表は、ベースラインモデルと提案されたAdaptive ML-HMC-Trustフレームワークを主要な性能指標の観点から比較したペアt検定の結果を示しています。表は平均および標準偏差値、t値、p値、および有意水準の正確さ、F1スコア、マイノリティクラス検出率、誤陽性率、検出遅延で構成されています。

図1:手法の流れ表現。リアルタイム攻撃検出のための適応型機械学習、階層的分類、信頼評価を統合した提案されたSDNクラウドフレームワークを示すフローチャートです。この図の拡大版はこちらをクリックしてご覧ください。

図2:クラウドサービスのアーキテクチャ。 図は、研究で適用された一般的なクラウドサービスモデル、制御層、データ転送層、サービス層を示しています。アーキテクチャはRyu OpenFlowコントローラー、Open vSwitchノード、仮想化されたクラウドホストで構成されています。接続はすべてリアルタイムのデータフローおよびリンク状態の相互作用です。 この図の拡大版はこちらをクリックしてご覧ください。

図3:ネットワークトポロジーモデル。 図はクラウド環境で構築された3層の仮想ネットワークトポロジーを示しています。これにはホストノード、スイッチング層、シミュレートされたリンク遅延、帯域幅制限が含まれます。このトポロジーにより、トラフィック分離、多経路ルーティング、攻撃フローのリダイレクト(リアルタイム)が可能となります。 この図の拡大版はこちらをクリックしてご覧ください。

図4:HMCベースのセキュリティ検出アーキテクチャ。 図は、アンサンブル学習、信頼評価、多層脅威検出を組み合わせたマルチクラス分類階層の階層を示しています。ブロックは分類フェーズを表し、粗粒度から細粒度攻撃検出への流れを示します。 この図の拡大版はこちらをクリックしてご覧ください。

図5:クラウドモデルベースの信頼評価プロセス。 図は、通常の信頼クラウド生成、属性抽出、属性クラウド形成、クラウド類似度計算、信頼レベル分類、動的信頼更新に至るまでの信頼評価プロセスの6つのステップを示しています。 この図の拡大版はこちらをクリックしてご覧ください。

図6:DDoSデータセットにおける機械学習のパフォーマンス。 図は、8つの古典的なMLモデルが通常の攻撃トラフィックとDDoS攻撃トラフィックの二進配置でどのように動作するかを検証しています。指標は、想起率、正確さ、F1スコア、そして一般的な正確さです。エラーバーは5重のクロスバリデーションを通じて変動を反映しています。 この図の拡大版はこちらをクリックしてご覧ください。

図7:DDoSデータセットにおけるディープラーニングモデルのパフォーマンス。 図はMLP、CNN、RNN、LSTM、GRUモデルの二値分類性能を示しています。測定値は一連のトレーニングサイクルにおけるモデルのパフォーマンスを示します。 この図の拡大版はこちらをクリックしてご覧ください。

図8:HMCと単一機械学習分類器のパフォーマンス。 図は階層的マルチクラシフィケーションと、U2RやR2Lのような少数派攻撃の伝統的な分類器との比較を示しています。F1スコアが提示され、反復実験間の変動を示す誤差バーも含まれます。 この図の拡大版はこちらをクリックしてご覧ください。

図9:HMCとディープラーニング分類器のパフォーマンス。 この値は、DLモデルにおけるHMCを用いたマルチクラス検出の強化を示しています。少数派の性能が強調されており、単一DLモデルと比べて大幅に向上しています。 この図の拡大版はこちらをクリックしてご覧ください。

図10:DDoS攻撃シミュレーションの結果。 図は攻撃シミュレーションにおける実験のリアルタイム監視出力を示しており、トラフィック率、異常接続数、検出方法の応答時間、システム分類出力を示しています。スケールバーは時間(秒単位)と交通量を示します。 この図の拡大版はこちらをクリックしてご覧ください。
| モデル | 学習速度 | バッチサイズ | 時代 | 活性化関数 |
| MLP | 0.001 | 64 | 30 | ReLU |
| CNN | 0.0005 | 32 | 50 | 漏れレル |
| RNN | 0.001 | 64 | 40 | タン |
| LSTM | 0.0001 | 128 | 60 | シグモイド |
| グル | 0.001 | 64 | 45 | ReLU |
表1:ディープラーニングモデルのパラメータ設定。 この表には、ディープラーニング実験のハイパーパラメータ、すなわちバッチサイズ、学習率、エポック数、アーキテクチャ仕様が含まれています。
| サンプルID | サンプリング時間(秒) | 信託学位ExEx | エントロピー エネネン | ハイパーエントロピー へへへ | 類似度スコア | 信頼レベル |
| 1 | 10 | 0.75 | 0.65 | 0.8 | 0.85 | ハイ |
| 2 | 20 | 0.8 | 0.6 | 0.75 | 0.82 | ハイ |
| 3 | 30 | 0.68 | 0.7 | 0.85 | 0.8 | メディア |
| 4 | 40 | 0.6 | 0.72 | 0.9 | 0.78 | メディア |
| 5 | 50 | 0.5 | 0.8 | 0.95 | 0.7 | 低め |
| 6 | 60 | 0.45 | 0.85 | 0.96 | 0.65 | 低め |
表2:システムサンプル値およびネットワーク状況解析。 この表は、トラフィック統計、信頼値、分類出力など、クラウド環境のサンプル値の一部を示しています。
| 分類器 | 精度 | 精密さ | リコール | F1スコア |
| 意思決定ツリー(DT) | 85.20% | 84.30% | 86.10% | 85.20% |
| ランダムフォレスト(RF) | 90.10% | 89.30% | 91.00% | 90.10% |
| ナイーブ・ベイズ(NB) | 82.50% | 81.70% | 83.40% | 82.50% |
| K-最近隣接(KNN) | 87.40% | 86.80% | 88.10% | 87.40% |
| SVM-RBF | 88.90% | 88.10% | 89.50% | 88.80% |
| リニアSVM(L-SVM) | 87.80% | 87.20% | 88.50% | 87.80% |
| 袋詰め | 91.20% | 90.50% | 91.70% | 91.10% |
| ブースト | 92.30% | 91.90% | 92.60% | 92.20% |
表3:機械学習分類器のパフォーマンス比較。 この表は、テストされたすべてのMLモデルのリコール率、精度、精度、F1スコアを示しています。
| モデル | 精度 | 精密さ | リコール | F1スコア |
| MLP | 89.50% | 88.70% | 90.30% | 89.50% |
| CNN | 91.20% | 90.70% | 91.50% | 91.10% |
| RNN | 88.30% | 87.60% | 88.80% | 88.20% |
| LSTM | 92.10% | 91.80% | 92.40% | 92.10% |
| グル | 91.80% | 91.40% | 92.10% | 91.70% |
表4:ディープラーニング分類器のパフォーマンス比較。 この表は、マルチクラス検出に基づくMLP、CNN、RNN、LSTM、GRUモデルのパフォーマンス指標を示しています。
| パフォーマンス指標 | 基準平均(SD) | 提案モデル平均(SD) | t値 | p値 | 意義 |
| 精度 | 0.89 (0.04) | 0.96 (0.02) | 8.72 | <0.001 | 重要な点 |
| F1スコア | 0.84 (0.05) | 0.94 (0.03) | 9.15 | <0.001 | 重要な点 |
| 少数派クラス検知(U2R/R2L) | 0.52 (0.08) | 0.81 (0.06) | 10.44 | <0.001 | 重要な点 |
| 偽陽性率 | 0.11 (0.03) | 0.04 (0.02) | –7.98 | <0.001 | 重要な点 |
| 検出遅延(秒) | 3.10 (0.41) | 1.82 (0.33) | –9.27 | <0.001 | 重要な点 |
表5:パフォーマンス改善の統計的有意性。 この表は、ベースラインモデルと提案されたAdaptive ML-HMC-Trustフレームワークを主要な性能指標の観点で比較したペアt検定の結果を示しています。表は平均および標準偏差値、t値、p値、および有意水準の正確さ、F1スコア、マイノリティクラス検出率、誤陽性率、検出遅延で構成されています。
このプロトコルの効果的な展開は、クラウドベースのアーキテクチャ内での重要なステップに依存しています。Ryu OpenFlowコントローラーの適切な設定、Open vSwitchルールの正しい設定、そして多層トポロジーの堅牢な形成が、完全なトラフィックキャプチャを保証するために不可欠です。Ryuをコントローラーに、Open vSwitchをスイッチングプラットフォームに選んだことで、システムの実用性が大幅に強化されています。軽量でモジュール化され、完全にプログラム可能な特性により、リアルタイムネットワーク監視、動的フロー制御、クラウドインフラ全体でのスケーラブルなセキュリティ管理に理想的です。同様に、クリーンニング、正規化、注釈を含む前処理パイプラインも、階層的分類時のバイアスを防ぐために正確に実行されなければならず、クラウドセキュリティ分析の本質的な複雑さに対応しています。
展開時には、最適な性能を確保するためにいくつかの調整が必要でした。アンサンブルモデルは当初、マイノリティクラスで過学習を示し、弱学習者の深さや投票重みの調整が必要となり、異常検出における課題を反映しました。ノイズの多いトラフィックによる信頼価値の変動を緩和するため、クラウドモデルのエントロピーと減衰パラメータが再調整されました。さらに、Kafka-Sparkパイプラインにおけるストリーミングのボトルネックは、トピック分割を拡大して高スループットのクラウド環境をサポートすることで解決されました。
MininetおよびEstiNetでのシミュレーション結果、さらに実際のクラウドトラフィックおよびDDoSデータセットを用いた評価は、提案されたML-HMC-トラスト融合アプローチが検出精度、誤検知率の減少、リアルタイム応答性において明確な向上をもたらすことを示しています。これは、適応学習アルゴリズムを階層的分類モデルと整合させて複雑な多クラス攻撃検出タスクを分解する効果を裏付けています。このアプローチは、動的攻撃手法やマイノリティカテゴリーの脅威に苦戦する従来の非反応型かつルールベースのフレームワークに比べて大きな利点を提供します。具体的には、HMCとAdaBoostおよびBaggingを組み合わせることで、U2RやR2Lのような希少攻撃クラスの細かい検出精度を向上させ、単一のMLモデルのクラス不均衡の制約を解消します。さらに、動的信頼モデルは不確実な状況下での意思決定能力を高めます。
これらの進歩にもかかわらず、プロトコルには関連研究で報告されている一定の制限があります。機械学習技術は依然として極度のデータ不均衡に直面しており、特にU2RおよびR2L攻撃8。深層学習モデルは強力であるものの、かなりの計算資源を必要とし、リアルタイムのクラウドシナリオでは遅延が発生することもあります12,13。アンサンブル学習は一般化を高めるが、資源消費と推論時間を増加させます。同様に、クラウドモデルの信頼システムは、ノイズや動的に進化する行動入力に対して脆弱であることを示しており、これは以前の発見と一致しています16。提案された手法は、より大規模なクラウドおよびエッジ環境に適したモジュール設計を特徴とし、フェデレーテッドラーニング、フォグコンピューティング、分散型IoTクラウドシステムとの統合を可能にします。現在の研究は中規模シナリオでの機能検証に焦点を当てていましたが、今後の研究は大規模で高度に分散したクラウド環境やマルチコントローラSDNアーキテクチャにまで拡大し、フォールトトレランスを強化する予定です。計画されている拡張には、強化学習に基づく信頼適応、ゼロデイ機能、そしてフィッシングやボットネットなどの新興脅威に対抗するための脅威インテリジェンスフィードとのより深い統合の調査も含まれています。SDNエコシステム内で適応型機械学習、HMC、信頼評価を統合することで、本研究はより知能的で強靭かつ積極的なクラウド防御システムへの戦略的道筋を提供します。
著者たちは何も明かすことはありません。
著者らは、本研究に必要な必要な計算資源と研究環境を提供してくれた上海陽子・重イオンセンター情報部に感謝の意を表します。また、システム設計およびテスト段階での貴重な技術的洞察をいただく同僚にも感謝申し上げます。
| Name | Company | Catalog Number | Comments |
|---|---|---|---|
| AdaBoost(アンサンブル学習ライブラリ) | Scikit-learn、Python | https://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.html | ソフトウェア |
| バギング分類器 | Scikit-learn、Python | https://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.html | ソフトウェア |
| クラウドモデル信頼評価コード | カスタム実装 | 該当なし | アルゴリズム/ソフトウェア |
| 畳み込みニューラルネットワーク(CNN) | テンソルフロー / PyTorch | https://www.tensorflow.org/tutorials/images/cnn | ソフトウェア |
| ディープラーニングフレームワーク(MLP、RNN、LSTM、GRU) | テンソルフロー / PyTorch | ソフトウェア | |
| EstiNet ネットワークシミュレーター | エスティネット・テクノロジーズ | https://sites.google.com/view/estinet-network-simulator | ソフトウェア |
| Kafka (Data Streaming Platform) | アパッチ財団 | https://kafka.apache.org/ | ソフトウェア |
| KDD CUP 10%データセット | UCI機械学習リポジトリ | http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html | データセット |
| ミニネットエミュレーター | ミニネットプロジェクト | ミニネット 2.3.1 | SDNトポロジー、帯域幅、混合攻撃シミュレーションのためのネットワークエミュレーション。 |
| Open vSwitch(OVS) | オープンvSwitch Org | OVS 3.2.2 | フローテーブル制御とトラフィックリダイレクト攻撃の仮想スイッチの実装。 |
| OpenStackクラウドプラットフォーム | オープンインフラストラクチャー財団 | https://www.openstack.org/ | クラウドソフトウェア |
| Python 3.x | Pythonソフトウェア財団 | https://www.python.org/downloads/ | プログラミング言語 |
| リュウSDNコントローラー | NTT R&D | リュウ 4.34 | リアルタイムネットワークトラフィックキャプチャと状況認識のためのSDNコントローラー。 |
| スパークストリーミングフレームワーク | アパッチ財団 | https://spark.apache.org/docs/latest/streaming-programming-guide.html | ソフトウェア |
| Visual C++(VC++)コンパイラ | マイクロソフト | https://visualstudio.microsoft.com/ | ソフトウェア |
| Windows 11 ワークステーション | マイクロソフト | Windows 11 Pro 23H2 | モデルのコンパイル、トレーニング、テストに使用されるOSです。 |
Request permission to reuse the text or figures of this JoVE article
Request Permission