Method Article

Wykorzystanie adaptacyjnych algorytmów uczenia maszynowego do ostrzegania przed ryzykiem informacyjnym oraz świadomości scenariusza bezpieczeństwa sieciowego w środowiskach chmurowych

DOI:

10.3791/69633

June 2nd, 2026

In This Article

Summary

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Artykuł proponuje nowatorskie rozwiązanie oparte na uczeniu maszynowym (ML) oparte na adaptacyjnym bezpieczeństwie sieciowym w systemie opartym na chmurze, które integruje hierarchiczną klasyfikację wieloznaczną oraz dynamiczny system oceny zaufania, aby zwiększyć dokładność wykrywania zagrożeń i zmniejszyć liczbę fałszywie pozytywnych wyników.

Abstract

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Niniejsze badanie proponuje nowatorskie ramy świadomości sytuacyjnej i ostrzegania przed ryzykiem bezpieczeństwa sieciowego w środowiskach chmurowych, integrujące adaptacyjne uczenie maszynowe (ML), hierarchiczną klasyfikację wieloetykietową (HMC) oraz dynamiczny mechanizm oceny zaufania oparty na modelu chmurowym. Złożoność, różnorodność i charakter w czasie rzeczywistym pojawiających się cyberataków – takich jak zero-day exploity, rozproszone odmowy usługi (DDoS) oraz botnety – stanowią poważne wyzwanie dla tradycyjnych metod wykrywania opartych na regułach i statycznych metodach wykrywania. Aby sprostać tym wyzwaniom, opracowaliśmy skuteczną architekturę chmurową opartą na SDN, wykorzystującą kontroler Ryu OpenFlow oraz przełączniki OpenFlow. Ta architektura umożliwia zbieranie informacji o łączu w czasie rzeczywistym, dynamiczne planowanie oraz skalowalną, niezawodną transmisję danych. Proponowany hierarchiczny system klasyfikacji może rozbijać problemy wieloklasowe na zadania binarne, łagodząc wpływ nierównowagi próbek i poprawiając rozpoznawanie ataków niskoczęstotliwościowych, w tym User to Root (U2R). Techniki uczenia zespołowego, w tym AdaBoost i Bagging, dodatkowo zwiększają dokładność wykrywania dla drobnoziarnistych typów ataków. Eksperymenty przeprowadzone na zbiorach danych DDoS, danych o ruchu chmurowym oraz symulacjach w Mininet i EstiNet pokazują, że połączone podejście ML-HMC-trust znacząco poprawia precyzję wykrywania, redukuje liczbę fałszywych alarmów i umożliwia reakcję w czasie rzeczywistym. Wyniki te potwierdzają, że integracja adaptacyjnego uczenia się, hierarchicznej klasyfikacji oraz dynamicznej oceny zaufania zapewnia solidne i skalowalne rozwiązanie do zabezpieczania dużych platform chmurowych.

Introduction

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Wraz z powszechnym zastosowaniem technologii chmury obliczeniowej w różnych branżach, skala i ilość danych w systemach informacyjnych szybko rosną, a zagrożenia sieciowe stają się coraz bardziej złożone, ukryte i dynamiczne 1,2. Tradycyjne mechanizmy obrony bezpieczeństwa oparte na regułach i modelach statycznych nie są już w stanie sprostać wymaganiom wykrywania w czasie rzeczywistym z dokładnym wczesnym ostrzeżeniem, gdy obliczą zmieniające się strategie ataków, podatności zero-dayoraz rozproszone ataki na dużą skalę. Dlatego wykorzystanie adaptacyjnych algorytmów ML do pełnej integracji rozproszonego przetwarzania danych i inteligentnej analizy w ramach platform chmurowych, aby osiągnąć kompleksowe postrzeganie sytuacji bezpieczeństwa sieci oraz skuteczne wczesne ostrzeganie przed ryzykiem informacyjnym, stanowi kluczowe wyzwanie w obecnym krajobrazie bezpieczeństwa informacji4. Badania te mają nie tylko istotne znaczenie teoretyczne dla poprawy istniejącego systemu ochrony bezpieczeństwa, ale także stanowią silne wsparcie dla zapewnienia bezpieczeństwa krajowej kluczowej infrastruktury informacyjnejoraz podstawowych danych przedsiębiorstwa.

Istnieje wiele wyzwań związanych z realizacją świadomości sytuacji bezpieczeństwa sieci oraz ostrzegania przed ryzykiem informacyjnym w środowisku chmurowym: typy danych agregowane na platformie chmurowej są liczne, a źródła są złożone, co sprawia, że zadania wstępnego przetwarzania, ekstrakcji funkcji i fuzji są coraz trudniejsze; W obliczu rosnącego ruchu sieciowego i szybko zmieniających się scenariuszy ataków, system musi reagować w bardzo krótkim czasie, a wykrywanie i ostrzeganie w czasie rzeczywistym stały się technicznymi wąskimi gardłami; ilość ruchu normalnego różni się znacznie od ruchu atakującego, a tradycyjne algorytmy mają niską dokładność przy przetwarzaniu małych kategorii próbek (takich jak U2R, ataki sieciowe itp.), co wiąże się z dużym ryzykiem błędnej oceny; W złożonym środowisku sieciowym relacje zaufania są zależne od wielu czynników i są losowe oraz niepewne 6,7. Tradycyjne metody oceny zaufania oparte na stałych progach trudno odzwierciedlają stan rzeczywisty i łatwo są zakłócane przez nieprawidłowe dane. Aby sprostać tym wielowymiarowym ograniczeniom, badania przedstawiają zintegrowane ramy, które łączą adaptacyjne uczenie maszynowe, hierarchiczną klasyfikację wieloetykietową oraz dynamiczny mechanizm oceny zaufania oparty na modelach chmurowych. Ta fuzja technik zastosowanych w środowisku chmurowym opartym na SDN wykracza poza stopniowe udoskonalanie, umożliwiając precyzyjne rozpoznawanie ataków niskiej częstotliwości, adaptację zaufania w czasie rzeczywistym oraz skalowalną świadomość sytuacyjną, czego istniejące metody nie osiągnęły jednocześnie.

Środowiska chmurowe generują ogromny, bardzo dynamiczny i heterogeniczny ruch sieciowy, przez co tradycyjne systemy wykrywania włamań (IDS) nie są w stanie dokładnie identyfikować zaawansowanych i mniejszościowych typów ataków, takich jak U2R i R2L. Istniejące rozwiązania IDS oparte na głębokim uczeniu (DL) poprawiają dokładność wykrywania, ale nadal cierpią na wysokie obciążenie obliczeniowe, wolną reakcję w czasie rzeczywistym oraz słabe zarządzanie niepewnymi lub ewoluującymi relacjami zaufania między podmiotami sieciowymi. Ponadto większość obecnych modeli działa jako płaskie klasyfikatory i nie ma mechanizmów do precyzyjnego, hierarchicznego podejmowania decyzji ani dynamicznej oceny zaufania. Te ograniczenia tworzą kluczową lukę w rozwoju IDS, który jednocześnie zapewnia wykrywanie w czasie rzeczywistym, dokładne rozpoznawanie mniejszości oraz wiarygodną, świadomą zaufania ocenę ryzyka w dużych środowiskach chmurowych.

W istniejących badaniach nad świadomością sytuacyjną bezpieczeństwa sieci oraz ostrzeganiem przed ryzykiem informacji wiele badań wykorzystuje metody takie jak K-nearest neighbor (KNN) oraz support vector machine (SVM) do klasyfikacji i wykrywania ruchu sieciowego. Algorytmy te mają zalety wysokiej wydajności obliczeniowej i łatwej implementacji, zwłaszcza przy wstępnym przesiewaniu dużych ilości danych 8,9. Jednak ich główne wady odzwierciedlają się w kilku aspektach: gdy w chmurze mają do czynienia z większością normalnego ruchu i niewielką liczbą próbek ataków, tradycyjne metody ML często ignorują informacje z kilku kategorii, co skutkuje niskimi wskaźnikami rozpoznawania ataków drobnoziarnistych (takich jak U2R, ataki na luki sieciowe itp.); Pojedyncze modele są zazwyczaj wrażliwe na szum i odstawcze danych, nie potrafią dostosować się do dynamicznie zmieniających się scenariuszy ataku i są podatne na nadmierne dopasowanie lub niewystarczające uogólnienie10,11.

W ostatnich latach coraz częściej stosuje się metody DL, takie jak Multi-Layer Perceptron (MLP), CNN, Recurrent Neural Network (RNN), Long Short-Term Memory Network (LSTM) oraz Gated Recurrent Unit (GRU). Dzięki potężnym możliwościom uczenia się cech i mapowania nieliniowego głębokich sieci neuronowych metody te znacznie poprawiły dokładność wykrywania i zwiększyły zdolność do rejestrowania złożonych zachowań ataków w porównaniu z tradycyjnym ML12. Jednak mają wysokie wymagania dotyczące zasobów obliczeniowych i danych treningowych. Szczególnie w kontekście ruchu big data w środowiskach chmurowych wciąż istnieje pole do poprawy narzutu treningowego i szybkości wnioskowania w czasie rzeczywistym. Przy identyfikacji klas z niewielką liczbą próbek, ze względu na nierównowagę danych, modele DL mają niskie wskaźniki wykrywania niektórych drobnoziarnistych ataków (takich jak U2R, botnety) z powodu błędu klasowego13. Aby zrekompensować ograniczenia pojedynczego modelu w radzeniu sobie z nierównowagą danych i identyfikacją ataków wieloklasowych, niektóre badania zaproponowały rozwiązania oparte na uczeniu zespołowym, takie jak Bagging i Boosting, które rozszerzają ogólną dokładność predykcji poprzez łączenie decyzji wielu klasyfikatorów14. Jednocześnie architektura hierarchicznej klasyfikacji wieloklasowej (HMC) rozkłada problem klasyfikacji wieloklasowej na wiele podwójnych podproblemów klasyfikacji, osiągając tym samym bardziej precyzyjne rozpoznanie klas z mniejszą liczbą próbek. Jednak modele zintegrowane często napotykają problemy takie jak wysokie zużycie zasobów obliczeniowych i wydłużony czas reakcji podczas wdrażania, zwłaszcza w systemach monitorowania czasu rzeczywistego w chmurze, gdzie wymagania w czasie rzeczywistym zwiększają obciążenie zasobów systemowych15.

W odpowiedzi na problem dynamicznej oceny relacji zaufania w sieci, niektóre badania wprowadziły teorię modeli chmur, która konstruuje chmurę afiliacji zaufania poprzez opis rozmycia i losowości atrybutów zaufania każdego podmiotu, a następnie wykorzystuje krople chmur, entropię, superentropię i inne wskaźniki do oceny ilościowej16. W obliczu aktualizacji danych o zaufaniu sieciowym w czasie rzeczywistym, szybkość aktualizacji i wydajność obliczeniowa istniejących metod modeli chmurowych mogą mieć trudności z spełnieniem wymagań ostrzegania dynamicznego o wysokiej częstotliwości; Model jest bardzo wrażliwy na dane ewaluacyjne, a nieprawidłowe dane lub informacje o szumie mogą znacząco zakłócać ogólną ocenę zaufania, wpływając na późniejsze decyzje dotyczące ostrzeżeń o ryzyku.

W świetle licznych niedociągnięć obecnych badań dotyczących dokładności wykrywania, wydajności w czasie rzeczywistym, przetwarzania balansowania danych oraz oceny zaufania, niniejszy artykuł proponuje nowy system obrony, który kompleksowo wykorzystuje adaptacyjne algorytmy ML, hierarchiczne strategie klasyfikacji wieloklasowej oraz ewaluację zaufania modeli chmurowych dla świadomości sytuacyjnej bezpieczeństwa sieciowego oraz ostrzegania przed ryzykiem informacji w środowiskach chmurowych17.

Badania dotyczą cyberbezpieczeństwa w czasie rzeczywistym dla inteligentnych sieci statków poprzez wykorzystanie technologii chmury obliczeniowej18. Proponuje ramę węzłów wielosensorowych do analizy danych pod kątem złośliwych ataków oraz wykorzystuje samowykonujące się węzły ochrony do przechwytywania zagrożeń. Wyniki pokazują wskaźnik wykrywania i obrony przed włamaniem wirusów na poziomie 85-95% oraz wskaźnik fałszywie pozytywnych wyników na poziomie 2,56%, co znacząco przewyższa inne algorytmy. Jednak podejście to wymaga dużych zasobów obliczeniowych i ograniczeń infrastruktury chmurowej w praktyce wdrożenia. Aslan i in.19 dostarczają inteligentny system wykrywania złośliwego oprogramowania opartego na zachowaniu w środowisku chmurowym. Opracowano zbiór danych o złośliwym złośliwym złośliwie dla maszyn wirtualnych i wykorzystywało wybrane funkcje z agentami wykrywania opartymi na uczeniu się i regułach do klasyfikacji złośliwego oprogramowania i nieszkodliwych próbek. Ocena 10 000 próbek programów wykazała wysoką wydajność z lepszym wskaźnikiem wykrywania i FPR. Niemniej jednak metoda miała problemy ze skalowalnością ze względu na stale zmieniające się warianty złośliwego oprogramowania i wdrożenia w chmurze na skalę i w czasie rzeczywistym.

Pomimo znaczącego wkładu tych badań, bardziej szczegółowe porównanie pokazuje, że większość istniejących rozwiązań nie uwzględnia założeń i wymagań świadomości sytuacyjnej w czasie rzeczywistym ani dynamicznego modelu zaufania w środowiskach chmurowych. Konwencjonalne techniki ML zakładają granice cech ustalonych w przestrzeni i zawodzą w zakresie nierównowagi klasowej oraz wysoce dynamicznej dynamiki ruchu 8,9,10. Modele DL cechują się doskonałymi możliwościami wyodrębniania cech, ale zużywają dużą moc obliczeniową, co sprawia, że proces wnioskowania jest powolny i niepraktyczny w monitorowaniu w czasie rzeczywistym12,13. Podejścia oparte na zespołach i HMC są dokładniejsze, ale wymagają jeszcze większego opóźnienia i zasobów, a obecnie nie są wdrażane w chmurach na dużą skalę14,15. Tymczasem techniki oceny zaufania oparte na modelach chmurowych dobrze rejestrują niepewność, ale pozostają bardzo wrażliwe na zaszumione dane i nie mogą efektywnie aktualizować wartości zaufania w strumieniach ataków o wysokiej częstotliwości 16,17,18,19. Nawet najnowsze chmurowe frameworki IDS nie mają solidnego, zintegrowanego wsparcia zarówno dla wykrywania w czasie rzeczywistym, jak i podejmowania decyzji świadomych zaufania20,21. Te ograniczenia łącznie podkreślają konieczność efektywnego, zintegrowanego i opartego na zaufaniu ram wykrywania włamań. Badania te przezwyciężają te ograniczenia poprzez integrację adaptacyjnej oceny zaufania opartej na modelu ML, HMC oraz opartej na modelu chmurowym w architekturze chmurowej z SDN, umożliwiając wykrywanie w czasie rzeczywistym, poprawę dokładności klasy mniejszości oraz świadomą oceny ryzyka z uwzględnieniem niepewności.

Innowacje zawarte w tym artykule odzwierciedlają się głównie w następujących aspektach: Zbudowano wydajną architekturę sieci rozproszonej opartą na kontrolerze Ryu OpenFlow i przełączniku OpenFlow, która umożliwia zbieranie w czasie rzeczywistym i dynamiczne planowanie informacji o łączu, co znacznie poprawia efektywność i przetwarzanie danych.

W świetle trudności związanych z nierównowagą danych i identyfikacją ataków w niewielkich próbkach, zaprojektowano odgórny framework HMC oraz wprowadzono zintegrowane metody uczenia, takie jak AdaBoost i Bagging, aby znacząco poprawić dokładność wykrywania kategorii ataków o drobnym ziarnie.

Teoria modelu chmury jest wykorzystywana do budowy chmury afiliacyjnej zaufania. Dzięki generatorowi odwrotnemu i obliczeniu podobieństwa realizowana jest dynamiczna ocena statusu funduszu powierniczego każdego podmiotu w sieci, zapewniając ilościową podstawę do ostrzegania przed ryzykiem i skutecznie tłumiąc spekulacje kredytowe spowodowane nietypowymi transakcjami o niskich lub wysokich cenach.

Protocol

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

UWAGA: Protokół ten opisuje, jak zbudować oparty na chmurze system sytuacyjnej świadomości bezpieczeństwa sieciowego oraz wdrożyć hierarchiczną klasyfikację z dynamiczną oceną zaufania. Postępuj zgodnie z poniższymi krokami, aby zaprojektować topologię sieci chmurowej, zbierać i adnotować przepływy danych oraz wdrażać hierarchiczne moduły klasyfikacji wieloklasowej i oceny zaufania. Rysunek 1 ilustruje proponowany framework SDN-cloud integrujący adaptacyjne ML, hierarchiczną klasyfikację oraz ocenę zaufania dla wykrywania ataków w czasie rzeczywistym.

1. Projekt topologii sieci chmurowej

UWAGA: Przed kontynuowaniem upewnij się o dostęp administracyjny do OpenStack, Ryu i Mininet.

  1. Wdroż system na platformie chmurowej stworzonej przez OpenStack. Wykorzystaj technologię wirtualizacji do tworzenia wielu wirtualnych hostów i konfiguracji środowiska sieci definiowanej programowo (SDN) do zunifikowanego zarządzania zasobami i izolowanego harmonogramowania.
  2. Wdrożenie i konfiguracja Ryu oraz Open vSwitch (OVS) do współpracy z kontrolą SDN i zarządzaniem ruchem.
  3. Skonstruuj topologię trójwarstwową, gdzie kontroler Ryu jest rdzeniem, a przełączniki OVS to węzły przekazywania, składające się z warstwy kontrolnej, warstwy przekierowania sieci oraz warstwy usług danych.
    1. Konfiguracja warstwy sterowania: Implementuj scentralizowany kontroler SDN z Ryu. Włącz monitorowanie stanu sieci w czasie rzeczywistym, korzystając z API REST Ryu i podłącz je do modułu wykrywania bezpieczeństwa, aby szybko reagować na nieprawidłowy ruch.
    2. Konfiguracja warstwy przekierowania sieci: Skonfiguruj kilka wirtualnych węzłów przełączających OVS z wirtualnymi hostami i zewnętrznymi bramami. Ustaw polityki tabel przepływu na OVS, aby umożliwić dynamiczne zmiany ścieżek, separację ruchu oraz przekierowanie przepływu po wykryciu ruchu ataku.
    3. Konfiguracja warstwy usług danych: Konfiguruj kilka wirtualnych hostów na platformie OpenStack. Tworzą maszyny wirtualne działające jako serwery webowe, bazowe i plikowe, aby generować realistyczny ruch danych i wspierać przepływy ataków z wtryskami.
  4. Dodaj kilka wartości skoków i różne ścieżki. Symuluj heterogeniczne warunki przepustowości i opóźnień sieci, używając polecenia Mininet.
  5. Zainstaluj Mininet, aby wdrożyć i zasymulować topologię. Izoluj dzierżawców, segmentację podsieci oraz listy kontroli dostępu (ACL) za pomocą CLI Mininet.
  6. Zweryfikowaj konfigurację, aby upewnić się, że topologia umożliwia rejestrowanie ruchu w czasie rzeczywistym i ma bezpośrednią integrację z modułem detekcyjnym.
  7. Zapisz ukończoną architekturę systemu (Rysunek 2) i topologię (Rysunek 3) wraz ze wszystkimi powiązaniami między warstwami oraz przepływem informacji.

2. Strategia zbierania przepływu danych i adnotacji

UWAGA: Upewnij się, że przestrzegasz przepisów dotyczących ochrony danych (np. RODO, lokalne polityki cyberbezpieczeństwa). Przedanonimizacja identyfikatorów użytkowników i adresów IP.

  1. Instaluj małe agenty zbierania danych na każdym wirtualnym hostze i węźle sieciowym. Ustaw każdego agenta tak, aby stale analizował ruch sieciowy, logi systemowe i informacje o zachowaniach użytkowników.
  2. Zainstaluj Kafkę (v3.5) jako kolejkę danych oraz Apache Spark streaming (v3.4), aby przetwarzać dane strumieniowe w czasie rzeczywistym. Skonfiguruj przepustowość Kafki na poziomie 10 000 zdarzeń/s lub wyższą, a interwał mikro-batch w Spark na 500 ms lub mniej.
  3. Przetwarzaj zebrane dane sekwencyjnie w następujący sposób:
    1. Oczyść dane, aby wyeliminować duplikaty, niekompletne zapisy i szumy. Filtruj nieprawidłowe pakiety, sprawdzając nagłówki protokołu.
    2. Normalizuj atrybuty numeryczne do standardowego zakresu [0,1], stosując normalizację min-max dla spójnego skalowania cech.
    3. Wyodrębniaj ważne cechy, w tym adresy IP źródłow/docelowe, porty, typ protokołu, liczbę pakietów, liczbę bajtów, opóźnienie przekazywania oraz miary zmienności ruchu.
  4. Wprowadź przetworzony zbiór danych do modułu wykrywania wspomaganego AI, aby trenować i weryfikować.
  5. Ustalenie podwójnego systemu adnotacji dla dokładnego oznaczania danych:
    1. Stwórz bibliotekę szablonów ataku. Zidentyfikuj typowe wzorce ataków (np. skanowanie portów, zalew SYN, DoS, U2R) za pomocą dopasowania wzorców opartych na regułach.
    2. Ręcznie sprawdzaj niejednoznaczne próbki, aby zachować spójność w etykietach.
  6. Do weryfikacji krzyżowej korzystaj z ustalonych zestawów danych benchmarkowych, takich jak CIC-IDS2017 i NSL-KDD. Alignuj etykiety, aby zachować ≥90% spójności między anotatorami.
  7. Wykonaj inżynierię cech w celu skonstruowania ustrukturyzowanych wektorów wejściowych. Koduj hierarchie ataków oparte na wielopoziomowych definicjach kategorii.
  8. Podziel zbiory danych na 80% treningu i 20% testowania.

3. Hierarchiczna klasyfikacja i ocena zaufania – zintegrowana architektura

  1. Skonstruuj inteligentną architekturę percepcji integrującą hierarchiczną klasyfikację wieloklasową (HMC) oraz dynamiczny mechanizm oceny zaufania (rysunek 4).
  2. Implementuj moduł HMC według strategii "od grubego do drobnego":
    1. Używaj lekkich funkcji połączenia (np. częstotliwość, rozkład portów, typ protokołu), aby klasyfikować ruch na kategorie "normalne" i "nienormalne".
    2. Dla ruchu "nienormalnego" należy przeprowadzić klasyfikację drugiego poziomu do kategorii ataków, takich jak DDoS, U2R, R2L i Probe, wykorzystując średniopoziomowe cechy statystyczne, takie jak interwał pakietów i rozmiar ładunku.
    3. Zidentyfikuj drobnoziarniste podtypy (np. TCP SYN Flood, SQL Injection, Brute Force Attack) poprzez analizę sygnatur ataku i atrybutów celu.
  3. Zoptymalizuj moduł klasyfikacji.
    1. Zastosuj metody uczenia zespołowego AdaBoost i Bagging, budując 5-8 słabych klasyfikatorów na każdym poziomie hierarchii (np. drzewo decyzyjne, regresja logistyczna).
    2. Łącz wyniki klasyfikatora za pomocą ważonego głosowania większościowego opartego na wynikach dokładności.
  4. Implementuj moduł dynamicznej oceny zaufania z wykorzystaniem teorii modeli chmurowych:
    1. Stale monitoruj wskaźniki zachowań gospodarza, np. przeszłą stabilność, częstotliwość komunikacji oraz zmienność celów dostępu.
    2. Uwzględnij wiarygodność wyjścia modelu w obliczaniu zaufania. Oszacuj rzeczywisty wynik zaufania (0 do 1) za pomocą parametrów oczekiwania (Ex), entropii (En) i hiperentropii (He).
  5. Konfiguruj mechanizm sprzężenia zwrotnego między HMC a modułami zaufania.
    1. Systemy automatycznego harmonogramowania oparte na wartościach zaufania: izoluj hosty z zaufaniem ≤ 0.3 i ograniczaj uprawnienia hostów z zaufaniem 0.3-0.6.
    2. Przeszkol klasyfikator z danymi hosta z zaufaniem ≥ 0.8, aby zwiększyć wykrywalność i elastyczność wobec nieznanych ataków.
  6. Testuj zdolność do reakcji zerowego dnia. Włóż nieoznaczony ruch złośliwy i popewnij, że powiadomienia i izolacja zostaną wywołane w ciągu 10 minut.

4. Obliczanie i wdrożenie modelu chmury zaufania (Rysunek 5)

  1. Standardowe generowanie chmury zaufania:
    1. Podziel wartości zaufania na n różnych poziomów (np. "Niski", "Średni", "Wysoki", "Bardzo niski" i "Bardzo wysoki").
    2. Oblicz oczekiwanie (Exk) dla poziomu k na podstawie średniej wycen funduszy powierniczych dla podmiotów na tym poziomie, stosując Równanie 1:
      figure-protocol-1
      gdzie Tik oznacza indywidualne wartości trustowe podmiotów sklasyfikowanych pod poziomem trustu Lk.
    3. Oblicz entropię (Enk), aby ilościowo określić rozmytą wartość zaufania na poziomie Lk , stosując równanie 2:
      figure-protocol-2
      gdzie α jest stałą kontrolującą poziom rozmycia.
    4. Oblicz hiper-entropię (Hek) za pomocą równania 3, aby zmierzyć niestabilność entropii w czasie:
      figure-protocol-3
      gdzie β jest parametrem regulującym poziom niepewności.
    5. Na wyjściu wypisz zestaw standardowych chmur zaufania C1,C 2,...,Cn odpowiadający n poziomom zaufania.
  2. Zaufanie atrybutów odwrotnych do chmury:
    1. Znormalizuj atrybuty zaufania wejściowego Ai do zakresu [0,1] za pomocą równania 4:
      figure-protocol-4
      Zastosuj analizę statystyczną, aby oszacować odpowiadające parametry modelu chmur (Ex, En, He) dla każdego znormalizowanego atrybutu Ai'.
      Generuj atrybut zaufania cloud Ci dla każdego atrybutu.
  3. Kompleksowa ocena funduszu powierniczego:
    1. Oblicz cyfrowe właściwości złożonej chmury zaufania (np.com,En com,He com) za pomocą syntezy ważonej (Równania 5-7):
      figure-protocol-5
      figure-protocol-6
      figure-protocol-7
      gdzie figure-protocol-8
    2. Oblicz podobieństwo między obecną chmurą zaufania Ci a standardową chmurą Ck za pomocą równania 8:
      figure-protocol-9
      Określ końcowy poziom zaufania L*, znajdując maksymalne podobieństwo za pomocą równania 9:
      figure-protocol-10
  4. Dynamiczna aktualizacja zaufania
    1. Zaktualizuj wartość zaufania, aby odzwierciedlała ewolucję w czasie za pomocą modelu zaniku czasu w równaniu 10:
      figure-protocol-11
      gdzie λ∈[0,1] kontroluje wagę zaufania niedawnego i historycznego.
    2. Stosuj mechanizm kary powierniczej, jeśli wystąpią określone odchylenia. Oblicz odchylenie (ΔA) i współczynnik kary(kara P) za pomocą równań 11 i 12:
      figure-protocol-12
      figure-protocol-13
    3. Oblicz zaktualizowaną wartość zaufania za pomocą równania 13:
      figure-protocol-14

5. Eksperymentalne walidacja wydajności wykrywania ataków

  1. Konfiguruj środowisko eksperymentalne i przygotuj zbiór danych.
    1. Użyj stacji roboczej z Windows 11 wyposażonej w narzędzia Visual C++ do kompilacji i testowania algorytmów.
    2. Pobierz zbiór danych KDDCUP_10% z zweryfikowanych źródeł i przerób go wstępnie zgodnie z wytycznymi dotyczącymi ochrony danych instytucjonalnych.
    3. Ustaw parametry algorytmu: przedział czasowy T = 10s, rundy próbkowania h = 20, a próbki danych n = 1000.
    4. Podziel dane na zestawy treningowe (80%) i testowe (20%) za pomocą stratyfikowanego próbkowania.
  2. Zweryfikowaj wydajność klasyfikacji binarnej.
    1. Przeprowadz pięciokrotną weryfikację krzyżową pod kątem niezawodności.
    2. Wytrenuj i testuj osiem klasyfikatorów: Drzewo Decyzyjne (DT), Naive Bayes (NB), Random Forest (RF), K-Nearest Neighbor (KNN), Adaptive Boosting (AdaBoost), Support Vector Machine (SVM), bagowanie oraz gradient boosting.
    3. Przebiegnij 100 epoch na model i zapisz precyzję, dokładność, przywołanie i wynik F1.
  3. Zweryfikowaj wydajność klasyfikacji wieloklasowej.
    1. Klasyfikatory pociągów wykrywające DDoS, U2R, R2L, Probe oraz normalny ruch.
    2. Zaimplementuj pięć architektur DL (MLP, CNN, GRU, RNN i LSTM) z wykorzystaniem parametrów określonych w Tabeli 1.
    3. Porównaj wydajność za pomocą krzywych precyzji i przypomnienia oraz macierzy pomyłek dla każdej klasy.
  4. Zweryfikowaj algorytm HMC.
    1. Zaimplementuj HMC z AdaBoost i Baggingiem jako strategiami zespołowymi.
    2. Rozkładaj problemy wieloklasowe na binarne podklasyfikacje za pomocą logiki hierarchicznej.
    3. Porównaj wyniki z modelami bazowymi dla typów ataków mniejszościowych (U2R, R2L).
  5. Wprowadź symulację ataku.
    1. Wdroż wytrenowany model wykrywania zaufania na platformie testowym w chmurze.
    2. Tworzenie ataków UDP Flood i SYN Flood za pomocą hostów wielowirtualnych do atakowania przypisanych serwerów.
    3. Utrzymuj ruch ataków na poziomie około 30% przepustowości sieci.
    4. Śledź statystyki sieci (szybkość transmisji, długość sesji, częstotliwość dostępu do portów, nieprawidłowe połączenia).
    5. Błąd wykrywania pomiarów, fałszywe alarmy oraz średni czas reakcji systemu.

Results

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Walidacja eksperymentalna i analiza wydajności

Walidacja oparta na chmurze

Aby przetestować efektywność i wykonalność proponowanego algorytmu, przeprowadzono testy symulacyjne w laboratorium kontrolowanej sieci. Weryfikacja została przeprowadzona na systemie operacyjnym Windows, a podstawowy algorytm jest kodowany w narzędziach programistycznych VC (Visual C++).

W przypadku danych eksperymentalnych wybraliśmy publicznie dostępny z http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html biór danych KDDCUP_10%, który jest powszechny w wykrywaniu włamań i modelowaniu zachowań sieci. Ogólny proces eksperymentalny jest bardzo podobny do podejścia opisanego wcześniejw 10, aby zapewnić porównywalność i wiarygodność wyników.

Główne parametry algorytmu ustawiono na: Przedział czasowy T = 10 s; liczba rund próbkowania h = 20; Próbki danych n = 1000.

Obliczyłem cyfrowe cechy modelu chmury zaufania na podstawie tych parametrów. Następnie algorytm podobieństwa chmury został użyty do identyfikacji najbardziej podobnej chmury zaufania kandydatów, co umożliwiło klasyfikację i ocenę stanów sieci.

Tabela 2 pokazuje wartości wybranej próby systemu oraz wyniki sytuacji analizy sieci. Potwierdzają one, że sugerowany system oceny zaufania oparty na chmurze ma potencjał, by efektywnie odzwierciedlać i uchwycić dynamikę oraz niepewność wieloaspektowych ustawień sieci.

Eksperyment potwierdza możliwość wdrożenia modeli chmurowych w połączeniu z oceną zaufania w czasie rzeczywistym i dostarcza ram do dalszego zastosowania w adaptacyjnym systemie zarządzania bezpieczeństwem.

Weryfikacja ataku

Aby dokładnie zweryfikować działanie proponowanego algorytmu w tym eksperymencie, konieczne jest ocenenie możliwości wykrywania ataków klasyfikacji binarnej, wieloklasyfikacyjnej oraz HMC w środowisku chmurowym. Ocena eksperymentalna dzieli się na trzy główne fazy: zastosowanie danych o atakach DDoS do sprawdzania funkcjonalności modułu AI, ocena funkcjonalności różnych algorytmów ML oraz analiza funkcjonalności modeli DL w celu prognozowania ataków.

Weryfikacja wydajności klasyfikacji binarnej

W pierwszej fazie eksperymentu zbiór danych ataków DDoS został użyty do weryfikacji modułu AI, którego głównym celem było sprawdzenie dokładności predykcji modelu w środowisku chmurowym. Zastosowaliśmy pięciokrotną metodę walidacji krzyżowej, a stosunek danych treningowych do danych testowych ustawiono na 8:2, czyli 80% danych było wykorzystywane do treningu, a 20% do testowania. W każdym eksperymencie używano innego zestawu testowego do weryfikacji modelu, aby upewnić się, że każda próbka pojawi się jako zestaw testowy raz. Proces szkoleniowy trwał 5 epok i osiągano średni wynik.

Zbiór danych dzieli się na dwie grupy: normalne i nieprawidłowe. Aby porównać wydajność różnych klasyfikatorów, wybrano następujące osiem popularnych klasyfikatorów ML: drzewo decyzyjne (DT), las losowy (RF), naiwnego Bayesa (NB), K-najbliższego sąsiada (KNN), maszynę wektorową wspierającą (jądro RBF) (SVM-RBF), liniową maszynę wektorową wspierającą (L-SVM) oraz algorytmy Bagging i Boosting do uczenia zespołowego. Wyniki porównania wydajności przedstawiono na Rysunku 6. Dzięki porównaniu wydajności tych klasyfikatorów ich wydajność w wykrywaniu ataków DDoS można kompleksowo ocenić na poziomie 20,21.

Wieloklasyfikacyjna weryfikacja wydajności

W drugiej fazie eksperymentu zbiór danych został rozszerzony o problemy wieloklasyfikacyjne, obejmujące różne typy ataków sieciowych, w tym DDoS, U2R (atak użytkownik-na-root), R2L (atak zdalny-na-lokalny), dane normalne itd. Problemy z wieloma klasyfikacjami testują zdolność modelu do identyfikowania i organizowania wielu typów ataków.

Do walidacji użyto pięciu klasyfikatorów DL, w tym MLP, CNN, RNN, sieć długiej pamięci krótkotrwałej (LSTM) oraz sieć GRU. Szczegółowe ustawienia parametrów każdego modelu przedstawiono w Tabeli 1, Tabeli 3 i Tabeli 4. Podczas walidacji wieloklasyfikacyjnej szczegółowo oceniano precyzję i przypomnienie modelu w wielu kategoriach.

Weryfikacja wydajności HMC w zakresie wieloklasyfikacyjnych

W trzecim etapie algorytm HMC został użyty do porównania wydajności wszystkich powyższych modeli ML i DL w zadaniach klasyfikacji wieloklasowej. Algorytm HMC znacząco poprawia dokładność wykrywania ataków drobnoziarnistych (takich jak U2R, R2L itp.) poprzez rozkładanie złożonych problemów wieloklasowych na wiele binarnych podproblemów klasyfikacji. Zalety HMC zostały potwierdzone poprzez poprawę dokładności wykrywania ataków w porównaniu z tradycyjnymi metodami klasyfikacji.

Wyniki eksperymentów i analiza

Dzięki eksperymentom w powyższych trzech etapach uzyskaliśmy wskaźniki wydajności każdego klasyfikatora i modelu DL pod różnymi typami ataków. Tabela 3 pokazuje wskaźniki wydajności, takie jak dokładność, wskaźnik wycofania, wartość F1 itp. w różnych metodach klasyfikacji. W eksperymencie HMC wykazało wysoką dokładność i odporność w wykrywaniu ataków wieloklasowych, zwłaszcza w przypadku ataków U2R i R2L. W porównaniu z tradycyjnymi metodami SVM i RF, HMC osiągnęło znaczącą poprawę.

Dzięki tym eksperymentom zweryfikowaliśmy skuteczność proponowanego modułu AI w wykrywaniu ataków w środowisku chmurowym oraz zapewniliśmy wiarygodną podstawę do dalszej optymalizacji modelu i wdrażania aplikacji.

Wyniki eksperymentalne wskazują, że spośród modeli ML metody Decision Tree (DT), Random Forest (RF) oraz ensemble (Bagging, Boosting) osiągnęły lepsze wyniki, osiągając wyniki F1 osiągające 1,0. Potwierdza to ich odporność i precyzję w rozróżnianiu wzorców DDoS od zwykłego ruchu. Dla porównania, naiwny model Bayesa (NB) radził sobie słabo w nieprawidłowym przewidywaniu pakietów, z wynikiem F1 0,62, co wskazuje, że model ma pewne ryzyko błędnej klasyfikacji przy złożonych typach ataków.

Rysunek 7 przedstawia wyniki MLP, CNN, RNN, LSTM i GRU. Po optymalizacji parametrów, binarne wyniki F1 modeli DL wynosiły odpowiednio 0,93 i 0,98, co wskazuje, że modele DL skutecznie rejestrują cechy głębokich danych, zwłaszcza przy przetwarzaniu danych o szeregach czasowych i rozpoznawaniu złożonych wzorców, i osiągają lepsze wyniki niż tradycyjne modele ML.

Kompleksowa analiza pokazuje, że drzewa decyzyjne, metody uczenia zespołowego oraz modele sieci neuronowych wykazują doskonałe wyniki w wykrywaniu ataków DDoS, jednak w konkretnych zastosowaniach wybór odpowiedniego modelu wymaga również uwzględnienia takich czynników jak typ ataku, objętość danych oraz zasoby obliczeniowe. Aby jeszcze bardziej zwiększyć możliwości wykrywania modelu, w przyszłości można integrować wiele modeli, aby osiągnąć wyższą dokładność i niższy wskaźnik fałszywych alarmów.

Rysunek 8 pokazuje lepszą wydajność modeli DL w porównaniu z tradycyjnymi bazami ML, utrzymując wartości F1 między 0,96 a 0,99, szczególnie na niezrównoważonych zbiorach danych. Jednak wydajność przewidywania klasy U2R wciąż jest poniżej przeciętnej w kategoriach szczegółowych, a klasyfikacja cyberataków wynosi zaledwie 0,49. Wydajność rozpoznawania kilku kategorii próbek (w tym U2R, cyberataków, BFA i botnetów) musi zostać poprawiona, zgodnie z łącznymi wynikami z Rysunku 9 i Rysunku 10.

W trzecim etapie użyto 13 pojedynczych klasyfikatorów, identycznych z poprzednimi, ale skupiających się na klasie mniejszościowej, aby porównać wyniki HMC. Według wyników, konstrukcja HMC oparta na AdaBoost przewyższa pakowanie torebkowe. W klasie U2R HMC oparte na AdaBoost ma wynik F1 0,5 (początkowy F1 to 0), natomiast HMC oparty na Baggingu ma wynik F1 0,67 (z 0,4 jako początkowa F1) dla klasy mniejszościowej. HMC oparty na AdaBoost uzyskał wynik F1 0,88 (oryginalny F1 0,71), podczas gdy HMC oparty na bagingu uzyskał wynik F1 0,9 (oryginalny F1 to 0) dla klasy ataku sieciowego. Wyniki te pokazują, że strategie uczenia się zespołowego (takie jak AdaBoost i Bagging) znacząco poprawiają zdolność predykcyjną wielu klasyfikatorów dla klas mniejszościowych.

Przypadek symulacji ataku

Aby dodatkowo zweryfikować praktyczność i odporność proponowanego modelu w rzeczywistym środowisku sieciowym, artykuł ten zaprojektował i wdrożył przypadek symulacji ataku oraz przeprowadził eksperyment symulacyjny scenariusza ataku DDoS. Środowisko symulacyjne opiera się na wirtualnej platformie obliczeniowej chmury, wykorzystującej wiele wirtualnych hostów do symulacji interakcji między zwykłymi użytkownikami a atakującymi. Scenariusz symulacji obejmuje mieszane środowisko sieciowe, gdzie normalny dostęp biznesowy i złośliwy ruch współistnieją.

W eksperymencie atakujący przeprowadził ataki UDP flood oraz SYN Flood na docelowy serwer przez wiele źródeł IP z różnych źródeł, próbując wyczerpać zasoby systemu docelowego i wpłynąć na dostępność normalnych usług. System nieustannie zbiera informacje o ruchu sieciowym, a główne parametry charakterystyczne związane z prędkością transmisji, czasem trwania sesji, częstotliwością dostępu do portów oraz liczbą nieprawidłowych połączeń są wykorzystywane.

Proponowany model oceny zaufania i wykrywania ataków jest implementowany w węźle monitorującym, aby analizować i kategoryzować ruch w czasie rzeczywistym. System może rejestrować pomyślną identyfikację we wczesnych fazach ataku za pomocą modelu chmury zaufania i mechanizmu dyskryminacji wieloklasyfikacyjnej, a podejrzane osoby efektywnie oznaczać jako niskiego zaufania i aktywować mechanizm reakcji.

Wyniki symulacji wskazują, że podczas symulowanego ruchu ataku ruch stanowi ponad 30% całkowitego ruchu. Proponowany system osiągnął 96% dokładności wykrywania, niską skuteczność fałszywie pozytywnych na poziomie 3% oraz opóźnienie odpowiedzi poniżej 2 s w symulowanych warunkach DDoS. Ten wynik potwierdza, że model ten ma obiecujące możliwości zastosowań w przeciwdziałaniu rozproszonym atakom oraz wzmacnianiu możliwości obrony bezpieczeństwa systemu.

Ponadto eksperyment ten rozszerzył test ataków wielostrzałowych i nieciągłych. Model zachowuje wysoką stabilność detekcji, co świadczy o jego dobrej zdolności uogólniania w złożonych warunkach dynamicznych sieci. Rodzaje ataków zostaną rozszerzone w przyszłości, w tym wstrzykiwanie danych, ataki phishingowe itp., aby w pełni przetestować elastyczność i skalowalność modelu wobec różnych zagrożeń.

Tabela 5 przedstawia statystyczną istotność poprawy wyników. Ta tabela przedstawia wyniki sparowanych testów t, które porównują modele bazowe z proponowanym ramowym systemem Adaptive ML-HMC-Trust pod względem głównych wskaźników wydajności. Tabela zawiera wartości średnie i odchylenia standardowego, wartości t, p oraz poziomy istotności dokładności, wyniku F1, wykrywania w klasie mniejszości, wskaźnika fałszywie dodatnich wyników oraz opóźnienia wykrywania.

figure-results-1
Rysunek 1: Reprezentacja przepływu metodologicznego. Schemat blokowy ilustrujący proponowany framework SDN-cloud integrujący adaptacyjne ML, hierarchiczną klasyfikację oraz ocenę zaufania do wykrywania ataków w czasie rzeczywistym. Kliknij tutaj, aby zobaczyć większą wersję tego rysunku.

figure-results-2
Rysunek 2: Architektura usług chmurowych. Rysunek pokazuje ogólny model usług chmurowych stosowany w badaniach, warstwę kontrolną, warstwę przekazywania danych oraz warstwę usług. Architektura składa się z kontrolera Ryu OpenFlow, węzłów Open vSwitch oraz wirtualnych hostów chmurowych. Wszystkie połączenia to interakcje przepływu danych w czasie rzeczywistym oraz status łącza. Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

figure-results-3
Rysunek 3: Model topologii sieci. Rysunek przedstawia trójwarstwową wirtualną topologię sieci wbudowaną w środowisku chmurowym. Obejmuje węzły hosta, warstwy przełączające, symulowane opóźnienia łącza oraz limity przepustowości. Topologia umożliwia rozdzielanie ruchu, trasowanie wielościeżkowe oraz przekierowanie przepływu ataku (w czasie rzeczywistym). Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

figure-results-4
Rysunek 4: Architektura wykrywania zabezpieczeń oparta na HMC. Ilustracja pokazuje hierarchię hierarchii klasyfikacji wieloklasowej, łączącą uczenie zespołowe, ocenę zaufania oraz wielopoziomowe wykrywanie zagrożeń. Bloki reprezentują fazy klasyfikacji, pokazując przepływ od wykrywania ataków gruboziarnistych do drobnoziarnistych. Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

figure-results-5
Rysunek 5: Proces oceny zaufania oparty na modelach chmurowych. Rysunek przedstawia sześć etapów procesu oceny zaufania: generowanie standardowej chmury zaufania, ekstrakcję atrybutów, tworzenie chmur atrybutów, obliczanie podobieństwa chmury, klasyfikację na poziomie zaufania oraz dynamiczną aktualizację zaufania. Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

figure-results-6
Rysunek 6: Wydajność uczenia maszynowego na zbiorze danych DDoS. Rysunek analizuje, jak osiem klasycznych modeli ML radzi sobie w binarnym układzie ruchu ataku normalnego i DDoS. Metryki to przypomnienie, precyzja, wynik F1 oraz ogólna dokładność. Paski błędu odzwierciedlają zmienność poprzez pięciokrotną walidację krzyżową. Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

figure-results-7
Rysunek 7: Wydajność modelu deep learning na zbiorze danych DDoS. Rysunek pokazuje wyniki klasyfikacji binarnej modeli MLP, CNN, RNN, LSTM i GRU. Pomiary wskazują wydajność modelu w serii cykli treningowych. Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

figure-results-8
Rysunek 8: wydajność HMC vs. pojedynczy klasyfikator uczenia maszynowego. Rysunek pokazuje porównanie hierarchicznego wieloklasyfikacyjnego systemu z tradycyjnym klasyfikatorem ataków mniejszościowych, takich jak U2R i R2L. Prezentowane są wyniki F1, w tym paski błędu wskazujące na różnice między powtarzanymi eksperymentami. Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

figure-results-9
Rysunek 9: Wydajność klasyfikatora HMC vs. deep learning. Wartość ta wskazuje na ulepszenie wykrywania wieloklasowego przy użyciu HMC na modelach DL. Osiągi mniejszościowe są podkreślone, co jest znacznie lepsze w porównaniu z modelami pojedynczych DL. Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

figure-results-10
Rysunek 10: Wyniki symulacji ataku DDoS. Rysunek przedstawia wyniki monitorowania eksperymentu w czasie rzeczywistym w symulacji ataku, które wskazują szybkość ruchu, liczbę nieprawidłowych połączeń, czas reakcji metody detekcji oraz wyjście klasyfikacji systemu. Paski skali wskazują czas (w sekundach) oraz natężenie ruchu. Proszę kliknąć tutaj, aby zobaczyć większą wersję tej figurki.

ModelTempo uczenia sięWielkość partiiEpokiFunkcja aktywacji
MLP0.0016430ReLU
CNN0.00053250LeakyReLU
RNN0.0016440Tanh
LSTM0.000112860Sigmoid
GRU0.0016445ReLU

Tabela 1: Ustawienia parametrów modelu głębokiego uczenia. Ta tabela zawiera hiperparametry eksperymentów deep learning: rozmiar partii, tempo uczenia się, liczbę epok oraz specyfikacje architektury.

Przykładowy identyfikatorCzas próbkowania (sekundy)Stopień powierniczy ExExExEntropia EnEnHiper-Entropia HeHeHeWskaźnik podobieństwaPoziom zaufania
1100.750.650.80.85Wysoko
2200.80.60.750.82Wysoko
3300.680.70.850.8Medium
4400.60.720.90.78Medium
5500.50.80.950.7Low
6600.450.850.960.65Low

Tabela 2: Wartości próbek systemowych i analiza sytuacji sieciowej. Ta tabela przedstawia niektóre z przykładowych wartości środowiska chmurowego, takie jak statystyki ruchu, wartości zaufania oraz wyniki klasyfikacji.

KlasyfikatorDokładnośćPrecyzjaPrzypomnienieWynik F1
Drzewo decyzyjne (DT)85.20%84.30%86.10%85.20%
Losowy Las (RF)90.10%89.30%91.00%90.10%
Naive Bayes (NB)82.50%81.70%83.40%82.50%
K-Najbliżsi Sąsiedzi (KNN)87.40%86.80%88.10%87.40%
SVM-RBF88.90%88.10%89.50%88.80%
Liniowy SVM (L-SVM)87.80%87.20%88.50%87.80%
Pakowanie91.20%90.50%91.70%91.10%
Wzmacnianie92.30%91.90%92.60%92.20%

Tabela 3: Porównanie wydajności klasyfikatorów uczenia maszynowego. Tabela przedstawia przywołanie, precyzję, dokładność oraz wyniki F1 dla wszystkich testowanych modeli ML.

ModelDokładnośćPrecyzjaPrzypomnienieWynik F1
MLP89.50%88.70%90.30%89.50%
CNN91.20%90.70%91.50%91.10%
RNN88.30%87.60%88.80%88.20%
LSTM92.10%91.80%92.40%92.10%
GRU91.80%91.40%92.10%91.70%

Tabela 4: Porównanie wydajności klasyfikatorów głębokiego uczenia. Ta tabela przedstawia metryki wydajności modeli MLP, CNN, RNN, LSTM i GRU na podstawie wykrywania wieloklasowego.

Metryka wydajnościŚrednia bazowa (SD)Proponowana średnia modelu (SD)Wartość twartość pZnaczenie
Dokładność0.89 (0.04)0.96 (0.02)8.72<0.001Znaczące
F1-Score0.84 (0.05)0.94 (0.03)9.15<0.001Znaczące
Wykrywanie klasy mniejszościowej (U2R/R2L)0.52 (0.08)0.81 (0.06)10.44<0.001Znaczące
Wskaźnik fałszywie pozytywnych wyników0.11 (0.03)0.04 (0.02)–7.98<0.001Znaczące
Opóźnienie wykrywania (sekundy)3.10 (0.41)1.82 (0.33)–9.27<0.001Znaczące

Tabela 5: Statystyczna istotność poprawy wydajności. Ta tabela przedstawia wyniki sparowanych testów t, które porównują modele bazowe z proponowanym ramowym systemem Adaptive ML -HMC-Trust pod względem głównych wskaźników wydajności. Tabela zawiera wartości średnie i odchylenia standardowego, wartości t, p oraz poziomy istotności dokładności, wyniku F1, wykrywania w klasie mniejszości, wskaźnika fałszywie dodatnich wyników oraz opóźnienia wykrywania.

Discussion

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Skuteczne wdrożenie tego protokołu wymaga kluczowych kroków w architekturze chmurowej. Prawidłowa konfiguracja kontrolera Ryu OpenFlow, poprawne skonfigurowanie reguł Open vSwitch oraz solidne tworzenie topologii wielowarstwowej są niezbędne, aby zapewnić pełne przechwycenie ruchu. Wybór Ryu jako kontrolera oraz Open vSwitch jako platformy przełączającej znacząco zwiększa praktyczną wartość systemu; Ich lekkie, modułowe i w pełni programowalne cechy czynią je idealnymi do monitorowania sieci w czasie rzeczywistym, dynamicznej kontroli przepływu oraz skalowalnego zarządzania bezpieczeństwem w infrastrukturze chmurowej. Podobnie, proces wstępnego przetwarzania – w tym czyszczenie, normalizacja i adnotacje – musi być wykonany dokładnie, aby zapobiec stronniczości podczas hierarchicznej klasyfikacji, odpowiadając na złożoność analityki bezpieczeństwa w chmurze.

Podczas wdrożenia konieczne było kilka korekt, aby zapewnić optymalną wydajność. Modele zespołowe początkowo wykazywały naddopasowanie w klasach mniejszościowych, wymagające dostrojenia głębi i wag głosowania słabego ucznia, co odzwierciedla wyzwania spotykane z wykrywaniem anomalii. Aby złagodzić zmienność wartości zaufania spowodowaną szumem ruchu, parametry entropii i spadku modelu chmury zostały ponownie skalibrowane. Ponadto wąskie gardła strumieniowe w potokach Kafka-Spark zostały rozwiązane poprzez skalowanie partycjonowania tematów do obsługi środowisk chmurowych o wysokiej przepustowości.

Wyniki eksperymentów z symulacji w Mininet i EstiNet, a także oceny z wykorzystaniem rzeczywistych zbiorów danych chmurowego i DDoS, pokazują, że proponowane podejście ML-HMC-trust przynosi wyraźne poprawy w zakresie precyzji wykrywania, redukcji fałszywie pozytywnych wyników oraz responsywności w czasie rzeczywistym. Potwierdza to skuteczność dostosowania algorytmów adaptacyjnego uczenia się do hierarchicznego modelu klasyfikacji, aby rozłożyć złożone zadania wykrywania ataków wieloklasowych. Takie podejście oferuje znaczące przewagi w porównaniu z konwencjonalnymi, niereaktywnymi i opartymi na regułach ramami, które mają trudności z dynamicznymi technikami ataku i zagrożeniami kategorii mniejszościowych. Konkretnie, łącząc HMC z AdaBoost i Baggingiem, protokół osiąga wyższą dokładność w precyzyjnym wykrywaniu rzadkich klas ataków, takich jak U2R i R2L, rozwiązując ograniczenia nierównowagi klas pojedynczych modeli ML. Dodatkowo dynamiczny model zaufania zwiększa możliwości podejmowania decyzji w niepewnych sytuacjach.

Pomimo tych postępów, protokół podlega pewnym ograniczeniom zgłaszanym w powiązanych pracach. Techniki uczenia maszynowego nadal są trudne z powodu skrajnej nierównowagi danych, szczególnie w atakach U2R i R2L8. Modele głębokiego uczenia, choć potężne, wymagają znacznych zasobów obliczeniowych i mogą wykazywać opóźnienia w scenariuszach chmury czasu rzeczywistego12,13. Uczenie zespołowe zwiększa uogólnianie, ale zwiększa zużycie zasobów i czas wnioskowania14. Podobnie systemy zaufania oparte na modelach chmurowych wykazały podatność na szumy lub dynamicznie ewoluujące sygnały behawioralne, co jest zgodne z wcześniejszymi ustaleniami16. Proponowana metoda charakteryzuje się modułową konstrukcją odpowiednią dla większych środowisk chmurowych i brzegowych, umożliwiając integrację z federated learning, obliczeniami mgłowymi oraz rozproszonymi systemami IoT-cloud. Podczas gdy obecne badanie koncentrowało się na walidacji funkcjonalnej w scenariuszach umiarkowanej skali, przyszłe badania obejmią duże, wysoce rozproszone środowiska chmurowe oraz wielokontrolerowe architektury SDN, aby zwiększyć odporność na awarie. Planowane rozszerzenia obejmują także badanie adaptacji do zaufania opartej na uczeniu ze wzmocnieniem, możliwości zero-day oraz głębszej integracji z kanałami wywiadu zagrożeń, aby przeciwdziałać nowym zagrożeniom, takim jak phishing i botnety. Poprzez ujednolicenie adaptacyjnego ML, HMC i oceny zaufania w ekosystemie SDN, badania te stanowią strategiczną ścieżkę do bardziej inteligentnych, odpornych i proaktywnych systemów obrony chmurowej.

Disclosures

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Autorzy nie mają nic do ujawnienia.

Acknowledgements

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,

Autorzy wyrażają wdzięczność Departamentowi Informacji w Shanghai Proton and Heavy Ion Center za zapewnienie niezbędnych zasobów obliczeniowych i środowiska badawczego potrzebnego do tego badania. Wyrażamy również podziękowania naszym kolegom za cenne techniczne wskazówki podczas faz projektowania i testowania systemu.

Materials

List of materials used in this article
NameCompanyCatalog NumberComments
AdaBoost (Biblioteka Nauczania Zespołowego)Scikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.AdaBoostClassifier.htmlOprogramowanie
Klasyfikator do pakowaniaScikit-learn, Pythonhttps://scikit-learn.org/stable/modules/generated/sklearn.ensemble.BaggingClassifier.htmlOprogramowanie
Kod oceny zaufania modelu chmurowegoImplementacja niestandardowaNie maAlgorytm/Oprogramowanie
Konwolucyjne Sieci Neuronowe (CNN)TensorFlow / PyTorchhttps://www.tensorflow.org/tutorials/images/cnnOprogramowanie
Frameworki do głębokiego uczenia (MLP, RNN, LSTM, GRU)TensorFlow / PyTorchOprogramowanie
Symulator sieci EstiNetEstiNet Technologieshttps://sites.google.com/view/estinet-network-simulatorOprogramowanie
Kafka (platforma do strumieniowania danych)Fundacja Apaczówhttps://kafka.apache.org/Oprogramowanie
KDD CUP 10% DanychRepozytorium uczenia maszynowego UCIhttp://kdd.ics.uci.edu/databases/kddcup99/kddcup99.htmlZbiór danych
Emulator mininetuProjekt MininetMininet 2.3.1Emulacja sieci dla topologii SDN, przepustowości i symulacji mieszanych ataków.
Open vSwitch (OVS)Open vSwitch OrgOVS 3.2.2Wirtualny przełącznik implementujący kontrolę tablic przepływu oraz przekierowanie ruchu ataku.
OpenStack Cloud PlatformFundacja Otwartej Infrastrukturyhttps://www.openstack.org/Oprogramowanie chmurowe
Python 3.xPython Software Foundationhttps://www.python.org/downloads/Język programowania
Ryu SDN ControllerNTT R& DRyu 4.34Kontroler SDN do rejestrowania ruchu sieciowego w czasie rzeczywistym i świadomości sytuacyjnej.
Spark Streaming FrameworkFundacja Apaczówhttps://spark.apache.org/docs/latest/streaming-programming-guide.htmlOprogramowanie
Visual C++ (VC++) KompilatorMicrosofthttps://visualstudio.microsoft.com/Oprogramowanie
Stacja robocza Windows 11MicrosoftWindows 11 Pro 23H2System operacyjny używany do kompilacji modeli, treningu i testowania.

References

Loading...
$$\rightleftharpoonup{xx}$$ $$\longleftharp{xx}$$, $$\longrightharp{xx}$$,
  1. Xie, J. Application study on the reinforcement learning strategies in the network awareness risk perception and prevention. Int J Comput Intell Syst. 17 (1), 112(2024).
  2. Research on enhancing cloud computing network security using artificial intelligence algorithms. Wang, Y., Yang, X. 2025 International Conference on Sensor-Cloud and Edge Computing System (SCECS), Zhuhai, China, , 237-244 (2025).
  3. Research on computer network security situation awareness warning mechanism based on artificial intelligence. Chaowen, C. 2024 IEEE 4th International Conference on Electronic Technology, Communication and Information (ICETCI), Changchun, China, , 748-753 (2024).
  4. Zhao, X. Network security situational awareness and early warning architecture based on big data. Int J Syst Assur Eng Manag. , (2024).
  5. Akinbolaji, T. J. Advanced integration of artificial intelligence and machine learning for real-time threat detection in cloud computing environments. Iconic Res Eng J. 6 (10), 980-991 (2024).
  6. Emehin, O., Emeteveke, I., Adeyeye, O., Akanbi, I. Securing artificial intelligence in data analytics: strategies for mitigating risks in cloud computing environments. Int Res J Mod Eng Technol Sci. 6, 1978-1998 (2024).
  7. Shang, Y. Prevention and detection of DDoS attack in virtual cloud computing environment using naive Bayes algorithm of machine learning. Meas Sens. 31, 100991(2024).
  8. Altowaijri, S. M., El Touati, Y. Securing cloud computing services with an intelligent preventive approach. Eng Technol Appl Sci Res. 14 (3), 13998-14005 (2024).
  9. Mamidi, S. The role of AI and machine learning in enhancing cloud security. J Artif Intell Gen Sci. 3 (1), 403-417 (2024).
  10. Zhang, C., Shan, G., Roh, B. H. Fair federated learning for multi-task 6G NWDAF network anomaly detection. IEEE Trans Intell Transp Syst. 26 (10), 17359-17370 (2025).
  11. Shyam Mohan, J. S., Thirunavukkarasu, M., Kumaran, N., Thamaraiselvi, D. learning with blockchain based cyber security threat intelligence and situational awareness system for intrusion alert prediction. Sustain Comput Inform Syst. 42, 100955(2024).
  12. Akinade, A. O., Adepoju, P. A., Ige, A. B., Afolabi, A. I. Cloud security challenges and solutions: a review of current best practices. Int J Multidiscip Res Growth Eval. 6 (1), 26-35 (2025).
  13. Hasimi, L., Zavantis, D., Shakshuki, E., Yasar, A. Cloud computing security and deep learning: an ANN approach. Procedia Comput Sci. 231, 40-47 (2024).
  14. Barlybayev, A., Sharipbay, A., Shakhmetova, G., Zhumadillayeva, A. Development of a flexible information security risk model using machine learning methods and ontologies. Appl Sci. 14 (21), 9858(2024).
  15. Wang, Y. Research on intelligent cybersecurity protection system in cloud computing environment. Innov Sci Technol. 3 (4), 71-78 (2024).
  16. Ali, T., Al-Khalidi, M., Al-Zaidi, R. Information security risk assessment methods in cloud computing: comprehensive review. J Comput Inf Syst. 66 (1), 123-150 (2026).
  17. Tahir, A. B. Advanced virtualized cyber security strategies for cloud and fog computing: a machine learning and encryption approach. Int J Comput Data Sci. 1 (1), 37-55 (2025).
  18. Guo, J., Guo, H. Real-time risk detection method and protection strategy for intelligent ship network security based on cloud computing. Symmetry. 15 (5), 988(2023).
  19. Aslan, Ö, Ozkan-Okay, M., Gupta, D. Intelligent behavior-based malware detection system on cloud computing environment. IEEE Access. 9, 83252-83271 (2021).
  20. Mamidi, S. Enhancing cloud computing security through artificial intelligence-based architecture. J Artif Intell Gen Sci. 5 (1), 63-72 (2024).
  21. Omolola, H., et al. Enhancing cybersecurity through cloud computing solutions in the united states. Intell Inf Manag. 16 (4), 176-193 (2024).

Reprints and Permissions

Request permission to reuse the text or figures of this JoVE article

Request Permission

Tags

Adaptive Machine LearningNetwork SecurityCloud ComputingRisk WarningHierarchical ClassificationTrust EvaluationDDoS DetectionEnsemble LearningSDN ArchitectureReal Time Response

Related Articles