Method Article

Gebruik van adaptieve machine learning-algoritmen voor waarschuwing van informatierisico's en bewustzijn van netwerkbeveiligingsscenario's in cloud computing-omgevingen

DOI:

10.3791/69633

June 2nd, 2026

In This Article

Summary

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Het artikel stelt een nieuwe Machine Learning (ML)-gebaseerde oplossing voor adaptieve netwerkbeveiliging in een cloudgebaseerd systeem voor, die hiërarchische multi-label classificatie en een dynamisch vertrouwensevaluatiesysteem integreert om de nauwkeurigheid van dreigingsdetectie te verbeteren en het aantal vals-positieven te verminderen.

Abstract

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Deze studie stelt een nieuw kader voor netwerkbeveiligingssituationeel bewustzijn en risicowaarschuwing in cloud computing-omgevingen, waarbij adaptief Machine Learning (ML), Hierarchical Multi-Label Classification (HMC) en een dynamisch vertrouwensevaluatiemechanisme gebaseerd op het cloudmodel wordt geïntegreerd. De complexiteit, diversiteit en realtime aard van opkomende cyberaanvallen – zoals zero-day exploits, distributed denial-of-service (DDoS) en botnets – vormen aanzienlijke uitdagingen voor traditionele regelgebaseerde en statische detectiemethoden. Om deze uitdagingen aan te pakken, hebben we een effectieve SDN-gebaseerde cloudarchitectuur ontwikkeld met gebruik van de Ryu OpenFlow-controller en OpenFlow-switches. Deze architectuur maakt realtime verzameling van linkinformatie, dynamische planning en schaalbare, betrouwbare gegevensoverdracht mogelijk. Het voorgestelde hiërarchische classificatiekader kan multiclass-problemen opsplitsen in binaire taken, waardoor het effect van een onevenwicht in de steekproef wordt verminderd en de herkenning van laagfrequente aanvallen, waaronder User to Root (U2R), wordt verbeterd. Ensemble-leertechnieken, waaronder AdaBoost en Bagging, verbeteren de detectienauwkeurigheid voor fijnmazige aanvalstypes. Experimenten uitgevoerd met DDoS-datasets, cloudverkeersdata en simulaties in Mininet en EstiNet tonen aan dat de gecombineerde ML-HMC-trustbenadering de detectieprecisie aanzienlijk verbetert, valse positieven vermindert en realtime respons mogelijk maakt. Deze resultaten bevestigen dat het integreren van adaptief leren, hiërarchische classificatie en dynamische vertrouwensevaluatie een robuuste en schaalbare oplossing biedt voor het beveiligen van grootschalige cloudplatforms.

Introduction

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Met de brede toepassing van cloud computing-technologie in diverse sectoren nemen de schaal en hoeveelheid data in informatiesystemen snel toe, en worden netwerkdreigingen complexer, verborgen en dynamischer 1,2. Traditionele beveiligingsmechanismen gebaseerd op regels en statische modellen kunnen niet langer voldoen aan de eisen van realtime detectie met nauwkeurige vroege waarschuwing bij veranderende aanvalstrategieën, zero-day kwetsbaarheden en grootschalige verspreide aanvallen3. Daarom vormt het benutten van adaptieve ML-algoritmen om gedistribueerde dataverwerking en intelligente analysemogelijkheden volledig te integreren binnen cloud computing-platforms, om zo een volledig beeld te krijgen van de situatie van netwerkbeveiliging en effectieve vroege waarschuwing van informatierisico's, een kritieke uitdaging in het huidige informatiebeveiligingslandschap4. Dit onderzoek heeft niet alleen een belangrijke theoretische betekenis voor het verbeteren van het bestaande beveiligingssysteem, maar biedt ook sterke ondersteuning voor het waarborgen van de beveiliging van de nationale sleutelinformatie-infrastructuur en dekerngegevens van het bedrijf.

Er zijn meerdere uitdagingen bij het realiseren van bewustzijn van netwerkbeveiliging en waarschuwing voor informatierisico in een cloud computing-omgeving: datatypen die in het cloudplatform worden geaggregeerd zijn talrijk en de bronnen zijn complex, waardoor datapreprocessing, feature-extractie en fusietaken steeds zwaarder worden; In het licht van het toenemende netwerkverkeer en snel veranderende aanvalsscenario's moet het systeem in zeer korte tijd reageren, en realtime detectie en waarschuwing zijn technische knelpunten geworden; de hoeveelheid normaal verkeer verschilt sterk van die van aanvalsverkeer, en traditionele algoritmen hebben een lage nauwkeurigheid bij het verwerken van kleine steekproefcategorieën (zoals U2R, netwerkaanvallen, enz.), en er is een groot risico op misverstanden; In een complexe netwerkomgeving worden vertrouwensrelaties door meerdere factoren beïnvloed en zijn ze willekeurig en onzeker 6,7. Traditionele vertrouwensbeoordelingsmethoden gebaseerd op vaste drempels zijn moeilijk om de werkelijke situatie weer te geven en worden gemakkelijk verstoord door abnormale gegevens. Om deze multidimensionale beperkingen aan te pakken, presenteert dit onderzoek een geïntegreerd kader dat adaptief machine learning, hiërarchische multi-label classificatie en een dynamisch cloudmodel-gebaseerd vertrouwensevaluatiemechanisme combineert. Deze fusie van technieken die worden toegepast in een SDN-gedreven cloudomgeving gaat verder dan incrementele verfijning door fijnmazige herkenning van laagfrequente aanvallen, realtime vertrouwensadaptatie en schaalbaar situationeel bewustzijn mogelijk te maken, iets wat bestaande methoden niet gelijktijdig hebben bereikt.

Cloud computing-omgevingen genereren enorm, zeer dynamisch en heterogeen netwerkverkeer, waardoor traditionele inbraakdetectiesystemen (IDS) niet in staat zijn geavanceerde en minderheidsaanvalstypen zoals U2R en R2L nauwkeurig te identificeren. Bestaande deep learning (DL)-gebaseerde IDS-oplossingen verbeteren de detectienauwkeurigheid, maar lijden nog steeds onder hoge rekenlast, trage realtime respons en slechte afhandeling van onzekere of evoluerende vertrouwensrelaties tussen netwerkentiteiten. Bovendien functioneren de meeste huidige modellen als vlakke classifiers en missen ze mechanismen voor fijnmazige, hiërarchische besluitvorming of dynamische vertrouwensevaluatie. Deze beperkingen creëren een kritieke kloof in het ontwikkelen van een IDS die tegelijkertijd realtime detectie, nauwkeurige herkenning van minderheidsklassen en betrouwbare, trustbewuste risicobeoordeling kan leveren in grootschalige cloudomgevingen.

In het bestaande onderzoek naar bewustzijn van netwerkbeveiliging en waarschuwing voor informatierisico gebruiken veel studies methoden zoals K-nearest neighbor (KNN) en support vector machine (SVM) om netwerkverkeer te classificeren en te detecteren. Deze algoritmen hebben het voordeel van een hoge rekenkundige efficiëntie en eenvoudige implementatie, vooral bij het uitvoeren van voorlopige screening van grote hoeveelheden data 8,9. Hun belangrijkste tekortkomingen komen echter tot uiting in verschillende aspecten: wanneer ze geconfronteerd worden met het meeste normale verkeer en een klein aantal aanvalsvoorbeelden in een cloudomgeving, negeren deze traditionele ML-methoden vaak informatie uit enkele categorieën, wat resulteert in lage herkenningspercentages voor fijnkorrelige aanvallen (zoals U2R, netwerkkwetsbaarheidsaanvallen, enz.); Enkele modellen zijn meestal gevoelig voor ruis en data-outliers, missen het vermogen zich aan dynamisch veranderende aanvalscenario's en zijn gevoelig voor overfitting of onvoldoende generalisatie10,11.

In de afgelopen jaren zijn DL-methoden zoals Multi-Layer Perceptron (MLP), CNN, Recurrent Neural Network (RNN), Long Short-Term Memory Network (LSTM) en Gated Recurrent Unit (GRU) steeds vaker toegepast op het gebied van netwerkbeveiliging. Met de krachtige feature-learning en niet-lineaire mappingmogelijkheden van diepe neurale netwerken hebben deze methoden de detectienauwkeurigheid aanzienlijk verbeterd en het vermogen om complexe aanvalsgedragingen vast te leggen vergroot in vergelijking met traditionele ML12. Ze stellen echter hoge eisen aan rekenkracht en trainingsdata. Vooral in de context van big data-verkeer in cloud computing-omgevingen is er nog steeds ruimte voor verbetering in trainingsoverhead en realtime inferentiesnelheid. Bij het identificeren van klassen met weinig steekproeven, vanwege data-onevenwicht, hebben DL-modellen lage detectiepercentages voor sommige fijnkorrelige aanvallen (zoals U2R, botnets) vanwege klasse-bias13. Om de beperkingen van één model bij het omgaan met data-onevenwichtigheden en multiclass-aanvalidentificatie te compenseren, hebben sommige studies oplossingen op basis van ensemble learning voorgesteld, zoals Bagging and Boosting, die de algehele voorspellingsnauwkeurigheid vergroten door beslissingen van meerdere classifierste combineren 14. Tegelijkertijd verdeelt de Hierarchical Multiclass Classification (HMC)-architectuur het multiclassificatieprobleem in meerdere binaire classificatie-subproblemen, waardoor een verfijndere herkenning wordt bereikt voor klassen met minder steekproeven. Geïntegreerde modellen ondervinden echter vaak problemen zoals hoog rekengebruik en een verhoogde responstijd tijdens de implementatie, vooral in realtime monitoringsystemen voor cloud computing, waar realtime eisen de druk op systeembronnenverhogen 15.

Als reactie op het probleem van dynamische evaluatie van vertrouwensrelaties in het netwerk hebben sommige studies de cloudmodeltheorie geïntroduceerd, die een trust affiliation cloud construeert door de vaagheid en willekeur van de trustattributen van elke entiteit te beschrijven, en vervolgens cloud droplets, entropie, superentropie en andere indicatoren gebruikt voor kwantitatieve evaluatie16. Bij realtime bijgewerkte netwerkvertrouwensgegevens kunnen de updatesnelheid en rekenefficiëntie van bestaande cloudmodelmethoden het moeilijk vinden om te voldoen aan de eisen van hoogfrequente dynamische waarschuwing; Het model is zeer gevoelig voor evaluatiegegevens, en abnormale gegevens of ruisinformatie kunnen een significante interferentie hebben met de algehele trustevaluatie, wat latere risicowaarschuwingsbeslissingen beïnvloedt.

Gezien de vele tekortkomingen van huidig onderzoek op het gebied van detectienauwkeurigheid, realtime prestaties, gegevensbalansverwerking en betrouwbaarheidsevaluatie, stelt dit artikel een nieuw verdedigingssysteem voor dat op uitgebreide wijze adaptieve ML-algoritmen, hiërarchische multiclassclassificatiestrategieën en cloudmodel-betrouwbaarheidsevaluatie gebruikt voor netwerkbeveiligingssituatiebewustzijn en waarschuwing voor informatierisico in cloud computing-omgevingen17.

Het onderzoek richt zich op realtime cybersecurity voor intelligente scheepsnetwerken door gebruik te maken van cloud computing-technologie18. Het stelt een multi-sensor node-framework voor om data te onderzoeken op kwaadaardige aanvallen en gebruikt zelfuitvoerende beveiligingsstrategie-nodes om dreigingen te onderscheppen. De resultaten tonen een detectie- en verdedigingspercentage van 85-95% aan bij virusinbraak, en een vals-positievpercentage van 2,56%, waarmee het aanzienlijk beter presteert dan andere algoritmen. De aanpak vereist echter hoge rekenkracht en beperkingen in de cloudinfrastructuur bij praktische implementatie. Aslan et al.19 bieden een intelligent, gedragsgebaseerd malwaredetectiesysteem in een cloudcomputing-omgeving. Het produceerde een malwaredataset over virtuele machines en gebruikte geselecteerde functies met leer- en regelgebaseerde detectieagenten om malware en goedaardige monsters te classificeren. Beoordeling van 10.000 programmamonsters toonde een hoge prestatie met verbeterde detectiegraad en FPR. Desalniettemin had de methode schaalbaarheidsproblemen met voortdurend veranderende malwarevarianten en cloud-implementaties op schaal en in realtime.

Ondanks de belangrijke bijdragen van deze studies, toont een meer gedetailleerde vergelijking aan dat de meerderheid van de bestaande oplossingen niet voldoet aan de aannames en vereisten van realtime situatiebewustzijn of het dynamische vertrouwensmodel in cloudomgevingen. Conventionele ML-technieken gaan uit van featuregrenzen die vastliggen in de ruimte en falen in klasse-onevenwicht en zeer dynamische verkeersdynamiek 8,9,10. DL-modellen worden geassocieerd met uitstekende feature-extractievermogen, maar verbruiken veel rekenkracht, waardoor het inferentieproces traag en onpraktisch wordt in realtime monitoring12,13. Ensemble- en HMC-gebaseerde benaderingen zijn nauwkeuriger, maar vereisen nog meer latentie en middelen, en worden momenteel niet ingezet in grootschalige clouds14,15. Ondertussen vangen cloudmodel-trustevaluatietechnieken onzekerheid goed vast, maar blijven ze zeer gevoelig voor ruisachtige data en kunnen ze de vertrouwenswaarden niet efficiënt bijwerken onder hoogfrequente aanvalstromen 16,17,18,19. Zelfs recente cloudgebaseerde IDS-frameworks missen robuuste, geïntegreerde ondersteuning voor zowel realtime detectie als trust-aware decisionmaking20,21. Deze beperkingen onderstrepen samen de noodzaak van een efficiënt, uniform en vertrouwensgebaseerd inbraakdetectiekader. Dit onderzoek overwint deze beperkingen door adaptieve ML, HMC en cloudmodelgebaseerde dynamische vertrouwensevaluatie te integreren binnen een SDN-ondersteunde cloudarchitectuur, waardoor realtime detectie, verbeterde nauwkeurigheid van minderheidsklassen en risicobeoordeling op basis van onzekerheid mogelijk is.

De innovaties van dit artikel zijn vooral zichtbaar in de volgende aspecten: Een efficiënte gedistribueerde netwerkarchitectuur gebaseerd op de Ryu OpenFlow-controller en OpenFlow-switch is gebouwd om realtime verzameling en dynamische planning van linkinformatie mogelijk te maken, waardoor de efficiëntie en verwerking van gegevensoverdracht aanzienlijk verbetert.

Gezien de moeilijkheden van data-onevenwicht en identificatie van enkele steekproeven wordt een top-down HMC-framework ontworpen en worden geïntegreerde leermethoden zoals AdaBoost en Bagging geïntroduceerd om de detectienauwkeurigheid van fijnmazige aanvalscategorieën aanzienlijk te verbeteren.

De cloudmodeltheorie wordt gebruikt om een trust affiliation cloud te bouwen. Via de reverse generator en gelijkenisberekening wordt de dynamische evaluatie van de truststatus van elke entiteit in het netwerk gerealiseerd, wat een kwantitatieve basis biedt voor risicowaarschuwing en effectief de kredietspeculatie veroorzaakt door abnormale transacties tegen lage of hoge prijzen onderdrukt.

Protocol

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

OPMERKING: Dit protocol beschrijft hoe een cloudgebaseerd netwerkbeveiligingssysteem voor situationeel bewustzijn wordt gebouwd en hiërarchische classificatie wordt geïmplementeerd met dynamische vertrouwensevaluatie. Volg de onderstaande stappen om de cloudnetwerktopologie te ontwerpen, datastromen te verzamelen en te annoteren, en de hiërarchische multiclassclassificatie- en vertrouwensbeoordelingsmodules in te zetten. Figuur 1 illustreert het voorgestelde SDN-cloud-framework dat adaptieve ML, hiërarchische classificatie en vertrouwensevaluatie integreert voor realtime aanvaldetectie.

1. Ontwerp van cloudnetwerktopologie

OPMERKING: Zorg voor administratieve toegang tot OpenStack, Ryu en Mininet voordat u verder gaat.

  1. Rol het systeem uit op een door OpenStack gebouwde cloudplatform. Gebruik virtualisatietechnologie om meerdere virtuele hosts te creëren en een software-defined network (SDN)-omgeving te configureren voor uniforme resource management en geïsoleerde planning.
  2. Deploy en configureer Ryu en Open vSwitch (OVS) om te werken met SDN-controle en verkeersbeheer.
  3. Bouw een drielaagse topologie waarbij de Ryu-controller de kern is en de OVS-switches de forwarding-knooppunten, bestaande uit een controlelaag, een netwerkdoorstuurlaag en een dataservicelaag.
    1. Configuratie van de besturingslaag: Implementeer een gecentraliseerde SDN-controller met Ryu. Schakel realtime netwerkstatusmonitoring in door gebruik te maken van de REST API van Ryu en verbind deze met de beveiligingsdetectiemodule om snel te reageren op abnormaal verkeer.
    2. Configuratie van de netwerkdoorstuurlaag: Zet een aantal OVS virtuele schakelknopen op met virtuele hosts en externe gateways. Stel stroomtabelbeleid in op OVS om dynamische padwijzigingen, verkeersverdeling en stroomomleiding mogelijk te maken wanneer aanvalverkeer wordt gedetecteerd.
    3. Configuratie van de dataservicelaag: Configureer meerdere virtuele hosts op het OpenStack-platform. Creëer virtuele machines die fungeren als web-, database- en bestandsservers om realistisch dataverkeer te genereren en geïnjecteerde aanvalstromen te ondersteunen.
  4. Voeg verschillende hopwaarden en verschillende paden toe. Simuleer heterogene netwerkbandbreedte- en latentiecondities met behulp van het Mininet-commando.
  5. Installeer Mininet om de topologie te deployen en te simuleren. Isoleer tenants, subnetsegmentatie en toegangscontrolelijsten (ACL's) met behulp van de Mininet CLI.
  6. Controleer de setup om te garanderen dat de topologie realtime verkeersopvang mogelijk maakt en direct geïntegreerd is met de detectiemodule.
  7. Registreer de voltooide systeemarchitectuur (Figuur 2) en topologie (Figuur 3) met alle onderlinge verbindingen tussen de lagen en de informatiestroom.

2. Strategie voor het verzamelen van gegevensstromen en annotatie

VOORZICHTIG: Zorg ervoor dat je voldoet aan de privacyregels (bijv. de AVG, lokale cybersecuritybeleid). Anonimisiseer gebruikersidentificaties en IP-adressen vooraf.

  1. Installeer Small Data Collection Agents op elke virtuele host en netwerkknoop. Stel elke agent in om voortdurend netwerkverkeer, systeemlogs en gebruikersgedragsinformatie te controleren.
  2. Installeer Kafka (v3.5) als datawachtrij en Apache Spark streaming (v3.4) om stroomdata in realtime te verwerken. Stel de Kafka-doorvoer in op 10.000 gebeurtenissen/s of hoger en Spark micro-batch interval op 500 ms of minder.
  3. Verwerk de verzamelde gegevens sequentieel als volgt:
    1. Maak de data schoon om dubbele records, onvolledige records en ruis te elimineren. Filter ongeldige pakketten eruit door protocolheaders te controleren.
    2. Normaliseer numerieke attributen naar een standaardbereik [0,1] met min-max normalisatie voor consistente feature-schaalbaarheid.
    3. Extraheren belangrijke kenmerken, waaronder bron-/bestemmings-IP's, poorten, protocoltype, aantal pakketten, aantal bytes, doorstuurvertraging en metingen van verkeersvariatie.
  4. Voer de verwerkte dataset in de AI-ondersteunde detectiemodule om te trainen en te valideren.
  5. Stel een duale annotatiesysteem op voor nauwkeurige datalabeling:
    1. Maak een bibliotheek voor aanvalstemplates aan. Identificeer veelvoorkomende aanvalspatronen (bijv. port scanning, SYN flood, DoS, U2R) met regelgebaseerde patroonmatching.
    2. Controleer handmatig ambigue samples om consistentie in de etikettering te behouden.
  6. Gebruik gevestigde benchmarkdatasets zoals CIC-IDS2017 en NSL-KDD voor kruisvalidatie. Lijn labels uit om ≥90% consistentie tussen de annotators te behouden.
  7. Voer feature engineering uit om gestructureerde inputvectoren te construeren. Encodeer aanvalshiërarchieën op basis van meerlagige categorieëndefinities.
  8. Verdeel datasets in 80% training en 20% testen.

3. Geïntegreerde architectuur van hiërarchische classificatie en vertrouwensbeoordeling

  1. Bouw een intelligente waarnemingsarchitectuur die hiërarchische multiclassclassificatie (HMC) en een dynamisch vertrouwensbeoordelingsmechanisme integreert (Figuur 4).
  2. Implementeer de HMC-module volgens een "grof-naar-fijn" strategie:
    1. Gebruik lichtgewicht verbindingsfuncties (bijv. frequentie, poortverdeling, protocoltype) om het verkeer in "normale" en "abnormale" categorieën te classificeren.
    2. Voor "abnormaal" verkeer voer je een tweede niveau classificatie uit in aanvalscategorieën zoals DDoS, U2R, R2L en Probe met middelgrote statistische functies zoals pakketinterval en payloadgrootte.
    3. Identificeer fijnmazige subtypes (bijv. TCP SYN Flood, SQL Injection, Brute Force Attack) door aanvalshandtekeningen en doelattributen te analyseren.
  3. Optimaliseer de classificatiemodule.
    1. Pas AdaBoost- en Bagging-ensembleleermethoden toe, waarbij je 5-8 zwakke classifiers op elk hiërarchieniveau bouwt (bijv. beslissingsboom, logistische regressie).
    2. Combineer classifier-uitvoer met gewogen meerderheidsstemming op basis van nauwkeurigheidsscores.
  4. Implementeer de module voor dynamische vertrouwensevaluatie met behulp van cloudmodeltheorie:
    1. Houd constant de gedragsindicatoren van de gastheer in de gaten, bijvoorbeeld eerdere stabiliteit, frequentie van communicatie en variatie in toegangsdoelen.
    2. Neem de geloofwaardigheid van modeloutput mee in de berekening van vertrouwen. Schat de werkelijke vertrouwensscore (0 tot 1) met behulp van verwachtingsparameters (Ex), entropie (En) en hyper-entropie (He).
  5. Configureer het koppelingsfeedbackmechanisme tussen HMC en trustmodules.
    1. Automatische planning van systemen op basis van vertrouwenswaarden: isoleer hosts met vertrouwen ≤ 0.3 en verminder de privileges van hosts met vertrouwen 0.3-0.6.
    2. Hertrain de classifier met hostdata met vertrouwen ≥ 0,8 om detectie en flexibiliteit voor onbekende aanvallen te vergroten.
  6. Test de zero-day responscapaciteit. Injecteer ongelabeld kwaadaardig verkeer en bevestig dat waarschuwingen en isolatie binnen 10 minuten worden geactiveerd.

4. Berekening en implementatie van het trustcloudmodel (Figuur 5)

  1. Standaard trustcloudgeneratie:
    1. Verdeel vertrouwenswaarden in n verschillende niveaus (bijv. "Laag," "Middel", "Hoog," "Zeer laag," en "Zeer hoog").
    2. Bereken de verwachting (Exk) voor niveau k op basis van het gemiddelde van de trustbeoordelingen voor entiteiten op dat niveau met behulp van Vergelijking 1:
      figure-protocol-1
      waarbij Tik de individuele trustwaarden vertegenwoordigt van entiteiten die zijn geclassificeerd onder trustniveau Lk.
    3. Bereken de entropie (Enk) om de vaagheid van de vertrouwenswaarden binnen niveau Lk te kwantificeren met behulp van Vergelijking 2:
      figure-protocol-2
      waarbij α een constante is die het niveau van wazigheid bepaalt.
    4. Bereken de hyper-entropie (Hek) met behulp van Vergelijking 3 om de instabiliteit van de entropie over de tijd te kwantificeren:
      figure-protocol-3
      waarbij β een parameter is die het onzekerheidsniveau aanpast.
    5. Geef de set van standaard vertrouwenswolken C1,C 2,...,Cn uit die overeenkomen met de n vertrouwensniveaus.
  2. Trust attribuut cloud inverse generatie:
    1. Normaliseer de invoertrustattributen Ai aan het bereik [0,1] met behulp van Vergelijking 4:
      figure-protocol-4
      Pas statistische analyse toe om de bijbehorende wolkenmodelparameters (Ex, En, He) te schatten voor elk genormaliseerd attribuut Ai'.
      Genereer het trustattribuut cloud Ci voor elk attribuut.
  3. Uitgebreide trustevaluatie:
    1. Bereken de digitale eigenschappen van de samengestelde trustwolk (Excom, Encom, Hecom) met behulp van gewogen synthese (Vergelijkingen 5-7):
      figure-protocol-5
      figure-protocol-6
      figure-protocol-7
      waarbij figure-protocol-8
    2. Bereken de gelijkenis tussen de huidige trustcloud Ci en een standaard cloud Ck met behulp van Formule 8:
      figure-protocol-9
      Bepaal het uiteindelijke vertrouwensniveau L* door de maximale gelijkenis te vinden met behulp van Vergelijking 9:
      figure-protocol-10
  4. Dynamische vertrouwensupdate
    1. Werk de vertrouwenswaarde bij om de evolutie in de tijd weer te geven met behulp van het tijdsvervalmodel in Vergelijking 10:
      figure-protocol-11
      waarbij λ∈[0,1] de weging van recent versus historisch vertrouwen bepaalt.
    2. Pas het vertrouwensboetemechanisme toe als er specifieke afwijkingen optreden. Bereken de afwijking (ΔA) en straffactor (P-straf) met behulp van vergelijkingen 11 en 12:
      figure-protocol-12
      figure-protocol-13
    3. Bereken de bijgewerkte vertrouwenswaarde met behulp van Vergelijking 13:
      figure-protocol-14

5. Experimentele validatie van de prestaties van aanvaldetectie

  1. Configureer de experimentele omgeving en bereid de dataset voor.
    1. Gebruik een Windows 11-werkstation uitgerust met Visual C++-tools voor het compileren en testen van algoritmes.
    2. Verkrijg de KDDCUP_10%-dataset van geverifieerde bronnen en verwerk deze vooraf volgens institutionele richtlijnen voor gegevensbescherming.
    3. Stel algoritmeparameters in: tijdsinterval T = 10s, steekproefrondes h = 20, en datamonsters n = 1000.
    4. Splits gegevens in trainingssets (80%) en testsets (20%) door middel van gestratificeerde steekproeven.
  2. Valideer de prestaties van binaire classificatie.
    1. Voer 5-voudige kruisvalidatie uit voor betrouwbaarheid.
    2. Train en test acht classifiers: Decision Tree (DT), Naive Bayes (NB), Random Forest (RF), K-Nearest Neighbor (KNN), Adaptive Boosting (AdaBoost), Support Vector Machine (SVM), Bagging en Gradient Boosting.
    3. Rijd 100 epochs per model en registreer precisie, nauwkeurigheid, terugroep en F1-score.
  3. Valideer de prestaties van multiclassificatie.
    1. Train classifiers om DDoS, U2R, R2L, Probe en normaal verkeer te detecteren.
    2. Implementeer vijf DL-architecturen (MLP, CNN, GRU, RNN en LSTM) met parameters die in Tabel 1 zijn gespecificeerd.
    3. Vergelijk prestaties met precisie-recall curves en verwarringsmatrices voor elke klasse.
  4. Valideer het HMC-algoritme.
    1. Implementeer HMC met AdaBoost en Bagging als ensemblestrategieën.
    2. Verdeel multiklasseproblemen in binaire subclassificaties via hiërarchische logica.
    3. Vergelijk resultaten met basismodellen voor minderheidsaanvalstypen (U2R, R2L).
  5. Implementeer aanvalsimulatie.
    1. Rol het getrainde trust-detectiemodel uit op de cloudtestbed.
    2. Creëer UDP Flood- en SYN Flood-aanvallen met multi-virtuele hosts om toegewezen servers te targeten.
    3. Houd het aanvalverkeer rond de 30% van de netwerkdoorvoer.
    4. Houd netwerkstatistieken bij (transmissiesnelheid, sessietijd, frequentie van poorttoegang, abnormale verbindingen).
    5. Meet detectiefouten, vals-positieven en gemiddelde responstijd van het systeem.

Results

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Experimentele validatie en prestatie-analyse

Cloudgebaseerde validatie

Om de efficiëntie en haalbaarheid van het voorgestelde algoritme te testen, werden simulatietests uitgevoerd in een gecontroleerd netwerklaboratorium. De verificatie werd uitgevoerd op het Windows-besturingssysteem en het kernalgoritme is gecodeerd in VC (Visual C++) programmeertools.

In het geval van experimentele data kozen we de publiek beschikbare KDDCUP_10%-dataset(http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html) die gebruikelijk is bij inbraakdetectie en het modelleren van netwerkgedrag. Het algemene experimentele proces lijkt sterk op de eerder beschrevenaanpak 10 om de vergelijkbaarheid en geloofwaardigheid van de uitkomsten te waarborgen.

De belangrijkste algoritmeparameters werden ingesteld op: Tijdinterval T = 10 s; aantal steekproefrondes h = 20; Gegevensmonsters n = 1000.

Berekende de digitale kenmerken van het trustcloudmodel met behulp van deze parameters. Vervolgens werd het algoritme van cloudsimilariteit gebruikt om de meest vergelijkbare vertrouwenswolk van de kandidaten te identificeren, wat de mogelijkheid bood om de netwerktoestanden te classificeren en te evalueren.

Tabel 2 toont de waarden van de geselecteerde systeemsteekproef en de uitkomsten van de netwerkanalysesituatie. Deze bevestigen dat het voorgestelde cloudgebaseerde trustevaluatiesysteem het potentieel heeft om efficiënt de dynamiek en onzekerheden van multifacettische netwerkinstellingen te vertegenwoordigen en te omvatten.

Het experiment bevestigt de mogelijkheid om cloudmodellen te implementeren in combinatie met realtime vertrouwensbeoordeling en biedt een kader voor verdere toepassing in het adaptieve beveiligingsbeheersysteem.

Aanvalsverificatie

Om een grondige verificatie van de prestaties van het voorgestelde algoritme in dit experiment uit te voeren, is het noodzakelijk om de aanvaldetectiecapaciteiten van binaire classificatie, multiclassificatie en HMC binnen een cloud computing-omgeving te evalueren. De experimentele beoordeling is onderverdeeld in drie hoofdfasen: de toepassing van DDoS-aanvalsdata voor het controleren van de functionaliteit van de AI-module, de evaluatie van de functionaliteit van verschillende ML-algoritmen, en de analyse van de functionaliteit van de DL-modellen om aanvallen te voorspellen.

Binaire classificatieprestatieverificatie

In de eerste fase van het experiment werd de DDoS-aanvaldataset gebruikt om de AI-module te verifiëren, waarvan het hoofddoel was om de voorspellingsnauwkeurigheid van het model in een cloud computing-omgeving te testen. We gebruikten een 5-voudige kruisvalidatiemethode en de verhouding van trainingsdata tot testdata werd ingesteld op 8:2, dat wil zeggen 80% van de data werd gebruikt voor training en 20% voor testen. In elk experiment werd een andere testset gebruikt om het model te verifiëren en ervoor te zorgen dat elk monster eenmaal als testset verscheen. Het trainingsproces duurde 5 epochs en het gemiddelde resultaat werd gemeten.

De dataset wordt ingedeeld in twee groepen: normaal en abnormaal. Om de prestaties van verschillende classifiers te vergelijken, werden de volgende acht gangbare ML-classifiers geselecteerd: decision tree (DT), random forest (RF), naïeve Bayes (NB), K-dichtstbijzijnde buur (KNN), support vector machine (RBF kernel) (SVM-RBF), lineaire support vector machine (L-SVM) en Bagging and Boosting-algoritmen voor ensemble learning. De resultaten van prestatievergelijkingen zijn weergegeven in Figuur 6. Door de prestatievergelijking van deze classifiers kan hun prestaties bij DDoS-aanvaldetectie volledig worden geëvalueerd 20,21.

Multiclassificatie-prestatieverificatie

In de tweede fase van het experiment werd de dataset uitgebreid naar multiclassificatieproblemen, met verschillende soorten netwerkaanvallen, waaronder DDoS, U2R (user-to-root attack), R2L (remote-to-local attack), normale data, enzovoort. Multiclassificatieproblemen testen het vermogen van het model om meerdere aanvalstypen te identificeren en te organiseren.

Vijf DL-classifiers werden gebruikt voor validatie, waaronder MLP, CNN, RNN, het Long Short-term Memory (LSTM) netwerk en het GRU-netwerk. De specifieke parameterinstellingen van elk model worden gepresenteerd in Tabel 1, Tabel 3 en Tabel 4. Bij het uitvoeren van multiclassificatievalidatie werden de precisie en het terugroepen van het model over meerdere categorieën in detail geëvalueerd.

Verificatie van HMC's multiclassificatieprestaties

In de derde fase werd het HMC-algoritme gebruikt om de prestaties van alle bovenstaande ML- en DL-modellen in multiclassificatietaken te vergelijken. Het HMC-algoritme verbetert de nauwkeurigheid van het detecteren van fijnkorrelige aanvallen (zoals U2R, R2L, enz.) aanzienlijk door complexe multiclass-problemen op te splitsen in meerdere binaire classificatie-subproblemen. De voordelen van HMC werden geverifieerd door de nauwkeurigheid van aanvaldetectie te verbeteren ten opzichte van traditionele classificatiemethoden.

Experimentele resultaten en analyse

Door de experimenten in de bovenstaande drie fasen verkregen we de prestatie-indicatoren van elk classifier en DL-model onder verschillende aanvalstypen. Tabel 3 toont prestatie-indicatoren zoals nauwkeurigheid, terugroeppercentage, F1-waarde, enzovoort in verschillende classificatiemethoden. In het experiment toonde HMC hoge nauwkeurigheid en robuustheid bij het detecteren van multiclass-aanvallen, vooral bij U2R- en R2L-aanvallen. In vergelijking met traditionele SVM- en RF-methoden heeft HMC aanzienlijke verbeteringen geboekt.

Met deze experimentele resultaten hebben we de effectiviteit van de voorgestelde AI-module voor aanvaldetectie in een cloud computing-omgeving geverifieerd en een betrouwbare basis geboden voor latere modeloptimalisatie en applicatie-implementatie.

Experimentele resultaten geven aan dat onder de ML-modellen Decision Tree (DT), Random Forest (RF) en ensemblemethoden (Bagging, Boosting) superieure prestaties behaalden, met F1-scores die 1,0 bereikten. Dit bevestigt hun robuustheid en precisie in het onderscheiden van DDoS-patronen van normaal verkeer. Daarentegen presteerde het naïeve Bayes (NB)-model slecht in het voorspellen van abnormale pakketten, met een F1-score van 0,62, wat aangeeft dat het model een bepaald risico op verkeerde classificatie heeft bij complexe aanvaltypes.

Figuur 7 toont de prestaties van MLP, CNN, RNN, LSTM en GRU. Na het optimaliseren van de parameters waren de binaire F1-scores van de DL-modellen respectievelijk 0,93 en 0,98, wat aangeeft dat de DL-modellen effectief de diepgaande datakenmerken vastleggen, vooral bij het verwerken van tijdreeksgegevens en complexe patroonherkenning, en dat ze beter presteren dan traditionele ML-modellen.

Uitgebreide analyse toont aan dat beslissingsbomen, ensemble-leermethoden en neurale netwerkmodellen allemaal uitstekende prestaties laten zien bij het detecteren van DDoS-aanvallen, maar in specifieke toepassingen moet de keuze van een geschikt model nog steeds rekening houden met factoren zoals aanvalstype, datavolume en rekenkrachten. Om de detectiecapaciteit van het model verder te verbeteren, kunnen in de toekomst meerdere modellen worden geïntegreerd om een hogere nauwkeurigheid en een lager valsalarmpercentage te bereiken.

Figuur 8 toont de superieure prestaties van DL-modellen ten opzichte van traditionele ML-baselines, waarbij F1-waarden tussen 0,96 en 0,99 worden gehandhaafd, vooral op ongebalanceerde datasets. De voorspellingsprestaties van de U2R-klasse zijn echter nog steeds ondermaats in de fijnmazige categorieën, en de cyberaanvalclassificatie is slechts 0,49. De herkenningsprestaties van enkele voorbeeldcategorieën (waaronder U2R, cyberaanvallen, BFA en botnets) moeten worden verbeterd, volgens de gecombineerde resultaten van Figuur 9 en Figuur 10.

In de derde fase werden 13 enkele classificatoren, die identiek zijn aan de vorige maar zich concentreren op de minderheidsklasse, gebruikt om de prestaties van HMC te vergelijken. Het op AdaBoost gebaseerde HMC-ontwerp presteert beter dan de bagging, volgens de resultaten. In de U2R-klasse heeft AdaBoost-gebaseerde HMC een F1-score van 0,5 (de initiële F1 is 0), terwijl HMC op Bagging een F1-score van 0,67 heeft (met 0,4 als initiële F1) voor de minderheidsklasse. HMC op AdaBoost gebaseerd behaalde een F1-score van 0,88 (het oorspronkelijke F1 was 0,71), terwijl HMC op Bagging een F1-score van 0,9 behaalde (de oorspronkelijke F1 was 0) voor de netwerkaanvalklasse. Deze resultaten tonen aan dat ensemble-leerstrategieën (zoals AdaBoost en Bagging) het voorspellende vermogen van meerdere classifiers bij minderheidsklassen aanzienlijk verbeteren.

Aanvalssimulatiegeval

Om de praktische en robuustheid van het voorgestelde model in een daadwerkelijke netwerkomgeving verder te verifiëren, ontwierp en implementeerde dit artikel een aanvalssimulatiecase en voerde een simulatie-experiment uit op het DDoS-aanvalscenario. De simulatieomgeving is gebouwd op een virtueel cloud computing-platform, waarbij meerdere virtuele hosts worden gebruikt om de interactie tussen normale gebruikers en aanvallers te simuleren. Het simulatiescenario omvat een gemengde netwerkomgeving waar normale zakelijke toegang en kwaadaardig verkeer naast elkaar bestaan.

In het experiment voerde de aanvaller UDP flood-aanvallen en SYN Flood-aanvallen uit op de doelserver via meerdere bron-IP's, waarbij men probeerde de doelsysteembronnen uit te putten en de beschikbaarheid van normale diensten te beïnvloeden. Het systeem verzamelt voortdurend informatie over netwerkverkeer, en belangrijke kenmerkende parameters met betrekking tot transmissiesnelheid, de duur van sessies, de frequentie van poorttoegang en het aantal abnormale verbindingen worden gebruikt.

Het voorgestelde model van vertrouwensevaluatie en aanvaldetectie wordt geïmplementeerd in de monitoringknoop om realtime verkeer te analyseren en te categoriseren. Het systeem kan succesvolle identificatie registreren in de vroege fasen van de aanval via het trust cloud-model en het multiclassificatie-discriminatiemechanisme, en de verdachte aanvallen efficiënt als laag vertrouwen markeren en een responsmechanisme activeren.

De bevindingen van de simulatie geven aan dat wanneer het gesimuleerde aanvalverkeer meer dan 30% van het totale verkeer uitmaakt. Het voorgestelde systeem behaalde 96% detectienauwkeurigheid, een lage vals-positievpercentage van 3%, en een responslatentie van minder dan 2 seconden onder gesimuleerde DDoS-condities. Dit resultaat bevestigt dat dit model veelbelovende toepassingsmogelijkheden biedt bij het aanpakken van verspreide aanvallen en het versterken van de beveiligingsverdedigingsmogelijkheden van het systeem.

Bovendien breidde dit experiment ook de test van meervoudige en niet-continue aanvallen uit. Het model behoudt een hoge detectiestabiliteit, wat wijst op zijn goede generalisatiecapaciteit in complexe dynamische netwerkcondities. De soorten aanvallen zullen in de toekomst worden uitgebreid, waaronder data-injectie, phishingaanvallen, enzovoort, om de flexibiliteit en schaalbaarheid van het model volledig te testen met diverse dreigingen.

Tabel 5 geeft de statistische significantie van prestatieverbeteringen weer. Deze tabel toont de resultaten van gepaarde t-tests die baselinemodellen vergelijken met het voorgestelde Adaptive ML-HMC-Trust-framework op basis van de belangrijkste prestatie-indicatoren. De tabel bestaat uit de gemiddelde en standaardafwijkingswaarden, t-waarden, p-waarden en de significantieniveaus van nauwkeurigheid, F1-score, minderheidsklassedetectie, vals-positieve frequentie en detectielatentie.

figure-results-1
Figuur 1: Methodologie-flowrepresentatie. Stroomdiagram dat het voorgestelde SDN-cloud-framework illustreert en adaptieve ML, hiërarchische classificatie en vertrouwensevaluatie voor realtime aanvaldetectie integreert. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-2
Figuur 2: Cloudservice-architectuur. De figuur toont het algemene cloudservicemodel dat in het onderzoek wordt toegepast, de controlelaag, de dataforwarding-laag en de servicelaag. De architectuur bestaat uit Ryu OpenFlow-controller, Open vSwitch-nodes en gevirtualiseerde cloudhosts. De verbindingen zijn allemaal realtime datastroom en interacties tussen link-status en verbindingen. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-3
Figuur 3: Netwerktopologiemodel. De figuur toont de drielaagse virtuele netwerktopologie die in de cloudomgeving is gebouwd. Het omvat de hostknooppunten, schakellagen, gesimuleerde linkvertragingen en bandbreedtelimieten. De topologie maakt verkeersafscheiding, multi-path routing en het omleiden van aanvalsstromen (in realtime) mogelijk. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-4
Figuur 4: HMC-gebaseerde beveiligingsdetectiearchitectuur. De figuur toont de hiërarchie van multiclassclassificatiehiërarchie, waarbij ensemble learning, vertrouwensbeoordeling en multi-level threat detection worden gecombineerd. De blokken vertegenwoordigen de classificatiefasen en tonen de stroom van grofkorrelige naar fijnkorrelige aanvaldetectie. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-5
Figuur 5: Proces van evaluatie van trusten gebaseerd op cloudmodellen. De figuur vertegenwoordigt de zes stappen van het trustbeoordelingsproces via normale trustcloudgeneratie, attribuutextractie, attribuutwolkvorming, berekening van cloudgelijkheid, classificatie op trustniveau en dynamische trustupdate. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-6
Figuur 6: Machine learning-prestaties op DDoS-dataset. De figuur onderzoekt hoe acht klassieke ML-modellen presteren in een binaire opstelling van normaal versus DDoS-aanvalsverkeer. De meetwaarden zijn herinnering, precisie, F1-score en algemene nauwkeurigheid. Foutbalken weerspiegelen variabiliteit door 5-voudige kruisvalidatie. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-7
Figuur 7: Prestaties van deep learning-modellen op DDoS-dataset. De figuur toont de binaire classificatieprestaties van MLP-, CNN-, RNN-, LSTM- en GRU-modellen. Metingen geven modelprestaties aan in een reeks trainingscycli. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-8
Figuur 8: HMC versus prestaties van enkele machine learning-classifiers. De figuur toont een vergelijking tussen hiërarchische multiclassificatie en de traditionele classificator van minderheidsaanvallen zoals U2R en R2L. F1-scores worden gepresenteerd, inclusief foutbalken die variatie tussen herhaalde experimenten aangeven. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-9
Figuur 9: HMC versus prestaties van deep learning classifiers. De waarde geeft de verbetering van multiclass-detectie aan met behulp van HMC op DL-modellen. De minderheidsprestaties worden benadrukt en zijn aanzienlijk verbeterd ten opzichte van enkelvoudige DL-modellen. Klik hier om een grotere versie van deze figuur te bekijken.

figure-results-10
Figuur 10: DDoS-aanvalsimulatieresultaten. De figuur toont realtime monitoringsoutput van het experiment op de aanvalssimulatie, die het verkeersnelheid, het aantal abnormale verbindingen, de responstijd van de detectiemethode en de systeemclassificatie-output aangeeft. De schaalbalken geven de tijd (in seconden) en het verkeersvolume aan. Klik hier om een grotere versie van deze figuur te bekijken.

ModelLeertempoBatchgrootteTijdperkenActivatiefunctie
MLP0.0016430ReLU
CNN0.00053250LeakyReLU
RNN0.0016440Tanh
LSTM0.000112860Sigmoid
GRU0.0016445ReLU

Tabel 1: Instellingen van deep learning-modelparameters. Deze tabel bevat de hyperparameters van deep learning-experimenten: de batchgrootte, de leersnelheid, het aantal epochs en de architectuurspecificaties.

Voorbeeld-IDBemonsteringstijd (seconden)Trust Degree ExExExEntropie EnEnEnHyper-Entropie HeHeHeGelijkenisscoreVertrouwensniveau
1100.750.650.80.85Hoog
2200.80.60.750.82Hoog
3300.680.70.850.8Medium
4400.60.720.90.78Medium
5500.50.80.950.7Laag
6600.450.850.960.65Laag

Tabel 2: Systeemsteekproefwaarden en netwerksituatie-analyse. Deze tabel geeft enkele steekproefwaarden van de cloudomgeving, zoals verkeersstatistieken, vertrouwenswaarden en classificatie-outputs.

ClassifierNauwkeurigheidPrecisieTerugroepingF1-score
Beslissingsboom (DT)85.20%84.30%86.10%85.20%
Willekeurig Bos (RF)90.10%89.30%91.00%90.10%
Naïeve Bayes (NB)82.50%81.70%83.40%82.50%
K-Dichtstbijzijnde Buren (KNN)87.40%86.80%88.10%87.40%
SVM-RBF88.90%88.10%89.50%88.80%
Lineaire SVM (L-SVM)87.80%87.20%88.50%87.80%
Zakken91.20%90.50%91.70%91.10%
Boosting92.30%91.90%92.60%92.20%

Tabel 3: Vergelijking van de prestaties van machine learning classifiers. De tabel toont de terugroep-, precisie-, nauwkeurigheids- en F1-scores voor alle geteste ML-modellen.

ModelNauwkeurigheidPrecisieTerugroepingF1-score
MLP89.50%88.70%90.30%89.50%
CNN91.20%90.70%91.50%91.10%
RNN88.30%87.60%88.80%88.20%
LSTM92.10%91.80%92.40%92.10%
GRU91.80%91.40%92.10%91.70%

Tabel 4: Prestatievergelijking van deep learning classifiers. Deze tabel presenteert prestatie-metrics van MLP-, CNN-, RNN-, LSTM- en GRU-modellen op basis van multiclass-detectie.

PrestatiemaatstafBasisgemiddelde (SD)Voorgesteld modelgemiddelde (SD)T-waardep-waardeBetekenis
Nauwkeurigheid0.89 (0.04)0.96 (0.02)8.72<0,001Belangrijk
F1-score0.84 (0.05)0.94 (0.03)9.15<0,001Belangrijk
Minderheidsklassedetectie (U2R/R2L)0.52 (0.08)0.81 (0.06)10.44<0,001Belangrijk
Vals-positief percentage0.11 (0.03)0.04 (0.02)–7.98<0,001Belangrijk
Detectielatentie (seconden)3.10 (0.41)1.82 (0.33)–9.27<0,001Belangrijk

Tabel 5: Statistische significantie van prestatieverbeteringen. Deze tabel toont de resultaten van gepaarde t-tests die baselinemodellen vergelijken met het voorgestelde Adaptive ML -HMC-Trust kader op basis van de belangrijkste prestatie-indicatoren. De tabel bestaat uit de gemiddelde en standaardafwijkingswaarden, t-waarden, p-waarden en de significantieniveaus van nauwkeurigheid, F1-score, minderheidsklassedetectie, vals-positieve frequentie en detectielatentie.

Discussion

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Een effectieve implementatie van dit protocol is afhankelijk van kritieke stappen binnen de cloudgebaseerde architectuur. Een juiste configuratie van de Ryu OpenFlow-controller, correcte opstelling van Open vSwitch-regels en een robuuste vorming van een meerlagige topologie zijn essentieel om volledige verkeersopname te garanderen. De keuze van Ryu als controller en Open vSwitch als schakelplatform versterkt de praktische waarde van het systeem aanzienlijk; Hun lichtgewicht, modulaire en volledig programmeerbare eigenschappen maken ze ideaal voor realtime netwerkmonitoring, dynamische flow control en schaalbaar beveiligingsbeheer over cloudinfrastructuren. Evenzo moet de preprocessing-pijplijn – inclusief schoonmaak, normalisatie en annotatie – nauwkeurig worden uitgevoerd om bias tijdens hiërarchische classificatie te voorkomen, waarmee de inherente complexiteit van cloudbeveiligingsanalyse wordt aangepakt.

Tijdens de inzet waren verschillende aanpassingen nodig om optimale prestaties te garanderen. Ensemblemodellen vertoonden aanvankelijk overfitting in minderheidsklassen, waarbij afstemming van de diepte van zwakke leerlingen en stemgewichten nodig was, wat de uitdagingen weerspiegelt die bij anomaliedetectie voorkomen. Om de volatiliteit van de vertrouwenswaarde veroorzaakt door ruisend verkeer te beperken, zijn de entropie- en vervalparameters van het cloudmodel opnieuw gekalibreerd. Bovendien werden streamingknelpunten in de Kafka-Spark-pijplijnen opgelost door topic-partitionering op te schalen om cloudomgevingen met hoge doorvoersnelheid te ondersteunen.

De experimentele resultaten van simulaties in Mininet en EstiNet, evenals evaluaties met behulp van echt cloudverkeer en DDoS-datasets, tonen aan dat de voorgestelde ML-HMC-trust fusiebenadering duidelijke verbeteringen biedt in detectieprecisie, vermindering van vals-positieve positieven en realtime responsiviteit. Dit bevestigt de effectiviteit van het afstemmen van adaptieve leeralgoritmen op een hiërarchisch classificatiemodel om complexe multiclass aanvaldetectietaken te ontleden. Deze aanpak biedt aanzienlijke voordelen ten opzichte van conventionele niet-reactieve en regelgebaseerde kaders, die worstelen met dynamische aanvalstechnieken en minderheidscategorie-dreigingen. Specifiek bereikt het protocol door HMC te combineren met AdaBoost en Bagging een hogere nauwkeurigheid in fijnmazige detectie van zeldzame aanvalsklassen zoals U2R en R2L, waarmee de beperkingen van klasse-onevenwichtigheden van enkele ML-modellen worden aangepakt. Daarnaast verbetert het dynamische vertrouwensmodel de besluitvormingsmogelijkheden in onzekere situaties.

Ondanks deze ontwikkelingen is het protocol onderhevig aan bepaalde beperkingen die in gerelateerd werk worden gerapporteerd. Machine learning-technieken blijven uitgedaagd door extreme data-onevenwichtigheden, vooral bij U2R- en R2L-aanvallen8. Deep learning-modellen zijn krachtig, maar vereisen aanzienlijke rekenkracht en kunnen latentie vertonen in realtime cloudscenario's12,13. Ensemble learning verbetert generalisatie, maar verhoogt het verbruik van middelen en de inferentietijd14. Evenzo hebben cloudmodel-vertrouwenssystemen kwetsbaarheid getoond voor ruisachtige of dynamisch evoluerende gedragsinputs, in overeenstemming met eerdere bevindingen16. De voorgestelde methode beschikt over een modulair ontwerp dat geschikt is voor grotere cloud- en randomgevingen, waardoor integratie mogelijk is met gefedereerd leren, fog computing en gedistribueerde IoT-cloudsystemen. Hoewel de huidige studie zich richtte op functionele validatie in scenario's van middelgrote schaal, zal toekomstig onderzoek zich uitbreiden naar grootschalige, sterk verspreide cloudomgevingen en multi-controller SDN-architecturen om de fouttolerantie te vergroten. Geplande uitbreidingen omvatten ook het onderzoeken van op versterking leren gebaseerde vertrouwensadaptatie, zero-day-mogelijkheden en diepere integratie met dreigingsintelligentiefeeds om opkomende dreigingen zoals phishing en botnets tegen te gaan. Door adaptieve ML-, HMC- en vertrouwensevaluatie te verenigen binnen een SDN-ecosysteem, biedt dit onderzoek een strategisch pad naar intelligentere, veerkrachtigere en proactievere cloudverdedigingssystemen.

Disclosures

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

De auteurs hebben niets te onthullen.

Acknowledgements

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

De auteurs spreken hun dank uit aan de afdeling Informatie van het Shanghai Proton and Heavy Ion Center voor het leveren van de essentiële rekenmiddelen en onderzoeksomgeving die nodig zijn voor deze studie. We betuigen ook onze waardering aan onze collega's voor hun waardevolle technische inzichten tijdens de systeemontwerp- en testfases.

Materials

List of materials used in this article
NameCompanyCatalog NumberComments
AdaBoost (Ensemble Learning Library)Scikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.htmlSoftware
Bagging ClassifierScikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.htmlSoftware
Cloud Model Trust Evaluation CodeCustom implementationN/AAlgorithm/Software
Convolutional Neural Network (CNN)TensorFlow / PyTorchhttps://www.tensorflow.org/tutorials/images/cnnSoftware
Deep Learning Frameworks (MLP, RNN, LSTM, GRU)TensorFlow / PyTorchSoftware
EstiNet Network SimulatorEstiNet Technologieshttps://sites.google.com/view/estinet-network-simulatorSoftware
Kafka (Data Streaming Platform)Apache Foundationhttps://kafka.apache.org/Software
KDD CUP 10% DatasetUCI Machine Learning Repositoryhttp://kdd.ics.uci.edu/databases/kddcup99/kddcup99.htmlDataset
Mininet EmulatorMininet ProjectMininet 2.3.1Network emulation for SDN topology, bandwidth, and mixed attack simulation.
Open vSwitch (OVS)Open vSwitch OrgOVS 3.2.2Virtual switch implementing flow-table control and attack traffic redirection.
OpenStack Cloud PlatformOpen Infrastructure Foundationhttps://www.openstack.org/Cloud Software
Python 3.xPython Software Foundationhttps://www.python.org/downloads/Programming Language
Ryu SDN ControllerNTT R&DRyu 4.34SDN controller for real-time network traffic capture and situation awareness.
Spark Streaming FrameworkApache Foundationhttps://spark.apache.org/docs/latest/streaming-programming-guide.htmlSoftware
Visual C++ (VC++) CompilerMicrosofthttps://visualstudio.microsoft.com/Software
Windows 11 WorkstationMicrosoftWindows 11 Pro 23H2OS used for model compilation, training, and testing.

References

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,
  1. Xie, J. Application study on the reinforcement learning strategies in the network awareness risk perception and prevention. Int J Comput Intell Syst. 17 (1), 112(2024).
  2. Research on enhancing cloud computing network security using artificial intelligence algorithms. Wang, Y., Yang, X. 2025 International Conference on Sensor-Cloud and Edge Computing System (SCECS), Zhuhai, China, , 237-244 (2025).
  3. Research on computer network security situation awareness warning mechanism based on artificial intelligence. Chaowen, C. 2024 IEEE 4th International Conference on Electronic Technology, Communication and Information (ICETCI), Changchun, China, , 748-753 (2024).
  4. Zhao, X. Network security situational awareness and early warning architecture based on big data. Int J Syst Assur Eng Manag. , (2024).
  5. Akinbolaji, T. J. Advanced integration of artificial intelligence and machine learning for real-time threat detection in cloud computing environments. Iconic Res Eng J. 6 (10), 980-991 (2024).
  6. Emehin, O., Emeteveke, I., Adeyeye, O., Akanbi, I. Securing artificial intelligence in data analytics: strategies for mitigating risks in cloud computing environments. Int Res J Mod Eng Technol Sci. 6, 1978-1998 (2024).
  7. Shang, Y. Prevention and detection of DDoS attack in virtual cloud computing environment using naive Bayes algorithm of machine learning. Meas Sens. 31, 100991(2024).
  8. Altowaijri, S. M., El Touati, Y. Securing cloud computing services with an intelligent preventive approach. Eng Technol Appl Sci Res. 14 (3), 13998-14005 (2024).
  9. Mamidi, S. The role of AI and machine learning in enhancing cloud security. J Artif Intell Gen Sci. 3 (1), 403-417 (2024).
  10. Zhang, C., Shan, G., Roh, B. H. Fair federated learning for multi-task 6G NWDAF network anomaly detection. IEEE Trans Intell Transp Syst. 26 (10), 17359-17370 (2025).
  11. Shyam Mohan, J. S., Thirunavukkarasu, M., Kumaran, N., Thamaraiselvi, D. learning with blockchain based cyber security threat intelligence and situational awareness system for intrusion alert prediction. Sustain Comput Inform Syst. 42, 100955(2024).
  12. Akinade, A. O., Adepoju, P. A., Ige, A. B., Afolabi, A. I. Cloud security challenges and solutions: a review of current best practices. Int J Multidiscip Res Growth Eval. 6 (1), 26-35 (2025).
  13. Hasimi, L., Zavantis, D., Shakshuki, E., Yasar, A. Cloud computing security and deep learning: an ANN approach. Procedia Comput Sci. 231, 40-47 (2024).
  14. Barlybayev, A., Sharipbay, A., Shakhmetova, G., Zhumadillayeva, A. Development of a flexible information security risk model using machine learning methods and ontologies. Appl Sci. 14 (21), 9858(2024).
  15. Wang, Y. Research on intelligent cybersecurity protection system in cloud computing environment. Innov Sci Technol. 3 (4), 71-78 (2024).
  16. Ali, T., Al-Khalidi, M., Al-Zaidi, R. Information security risk assessment methods in cloud computing: comprehensive review. J Comput Inf Syst. 66 (1), 123-150 (2026).
  17. Tahir, A. B. Advanced virtualized cyber security strategies for cloud and fog computing: a machine learning and encryption approach. Int J Comput Data Sci. 1 (1), 37-55 (2025).
  18. Guo, J., Guo, H. Real-time risk detection method and protection strategy for intelligent ship network security based on cloud computing. Symmetry. 15 (5), 988(2023).
  19. Aslan, Ö, Ozkan-Okay, M., Gupta, D. Intelligent behavior-based malware detection system on cloud computing environment. IEEE Access. 9, 83252-83271 (2021).
  20. Mamidi, S. Enhancing cloud computing security through artificial intelligence-based architecture. J Artif Intell Gen Sci. 5 (1), 63-72 (2024).
  21. Omolola, H., et al. Enhancing cybersecurity through cloud computing solutions in the united states. Intell Inf Manag. 16 (4), 176-193 (2024).

Reprints and Permissions

Request permission to reuse the text or figures of this JoVE article

Request Permission

Tags

Adaptive Machine LearningNetwork SecurityCloud ComputingRisk WarningHierarchical ClassificationTrust EvaluationDDoS DetectionEnsemble LearningSDN ArchitectureReal Time Response

Related Articles