$$\rightleftharpoonup{xx}$$
$$\longleftharp{xx}$$,
$$\longrightharp{xx}$$,
Экспериментальная валидация и анализ производительности
Облачная валидация
Для проверки эффективности и целесообразности предлагаемого алгоритма симуляционные тесты проводились в лабораторных условиях контролируемой сети. Проверка проводилась на операционной системе Windows, а основной алгоритм запрограммирован в инструментах программирования VC (Visual C++).
В случае экспериментальных данных мы выбрали общедоступный KDDCUP_10% набор данных(http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html), который часто используется при обнаружении вторжений и моделировании поведения сети. Общий экспериментальный процесс очень похож на подход, описанныйранее, для обеспечения сопоставимости и достоверности результатов.
Основные параметры алгоритма были установлены так: интервал времени T = 10 с; количество раундов отбора проб h = 20; Выборки данных n = 1000.
Рассчитали цифровые характеристики модели облака доверия с использованием этих параметров. Затем алгоритм облачного сходства использовался для выявления наиболее похожего облака доверия среди кандидатов, что дало возможность классифицировать и оценивать состояния сети.
Таблица 2 показывает значения выбранной выборки системы и результаты ситуации сетевого анализа. Это подтверждает, что предлагаемая облачная система оценки доверия обладает потенциалом эффективно представлять и инкапсулировать динамику и неопределённости многогранных сетевых настроек.
Эксперимент подтверждает возможность внедрения облачных моделей в сочетании с оценкой доверия в реальном времени и предоставляет основу для дальнейшего применения в адаптивной системе управления безопасностью.
Проверка атак
Для проведения тщательной проверки эффективности предлагаемого алгоритма в этом эксперименте необходимо оценить возможности обнаружения атак бинарной классификации, мультиклассификации и HMC в облачной среде. Экспериментальная оценка разделена на три основных этапа: применение данных DDoS-атак для проверки функциональности AI-модуля, оценка функциональности различных алгоритмов машинного обучения и анализ функциональности DL-моделей для прогнозирования атак.
Проверка производительности бинарной классификации
На первом этапе эксперимента для проверки модуля ИИ использовался набор данных о DDoS-атаках, основной целью которого было проверить точность прогнозирования модели в облачных вычислениях. Мы использовали пятикратный метод перекрёстной валидации, и соотношение обучающих к тестовым данным было установлено на 8:2, то есть 80% данных использовалось для обучения, а 20% — для тестирования. В каждом эксперименте использовался разный тестовый набор для проверки модели, чтобы убедиться, что каждый образец один раз появляется как тестовый набор. Процесс обучения длился 5 эпох, и средний результат был взят.
Набор данных делится на две группы: нормальные и ненормальные. Для сравнения производительности различных классификаторов были выбраны следующие восемь распространённых ML-классификаторов: дерево принятия решений (DT), случайный лес (RF), наивный Байес (NB), K-ближайший сосед (KNN), опорная векторная машина (ядро RBF) (SVM-RBF), линейная опорная векторная машина (L-SVM) и алгоритмы Bagging и Boosting для ансамблевого обучения. Результаты сравнения производительности показаны на рисунке 6. С помощью сравнения производительности этих классификаторов их эффективность в обнаружении DDoS-атак можно комплексно оценить на 20,21.
Многоклассифицированная проверка производительности
На втором этапе эксперимента набор данных был расширен до задач мультиклассификации, включающих различные типы сетевых атак, включая DDoS, U2R (атака пользователя на root), R2L (удалённая атака на локальный режим), обычные данные и др. Задачи мультиклассификации проверяют способность модели выявлять и организовывать несколько типов атак.
Для валидации использовалось пять классификаторов DL, включая MLP, CNN, RNN, сеть долгой краткосрочной памяти (LSTM) и сеть GRU. Конкретные параметры каждой модели представлены в Таблице 1, Таблице 3 и Таблице 4. При проведении многоклассификационной валидации точность и воспоминание модели по нескольким категориям оценивались подробно.
Проверка многоклассифицированной эффективности HMC
На третьем этапе алгоритм HMC использовался для сравнения производительности всех вышеуказанных моделей ML и DL в задачах многоклассовой классификации. Алгоритм HMC значительно повышает точность обнаружения мелких атак (таких как U2R, R2L и др.), разбивая сложные многоклассовые задачи на несколько подзадач бинарной классификации. Преимущества HMC подтверждались повышением точности обнаружения атак по сравнению с традиционными методами классификации.
Экспериментальные результаты и анализ
В ходе экспериментов на предыдущих трёх этапах мы получили показатели эффективности каждого классификатора и модели DL при различных типах атак. Таблица 3 показывает показатели эффективности, такие как точность, скорость воспоминания, значение F1 и др. в различных методах классификации. В эксперименте HMC показал высокую точность и устойчивость в обнаружении многоклассовых атак, особенно при работе с атаками U2R и R2L. По сравнению с традиционными методами SVM и RF, HMC достиг значительных улучшений.
Благодаря этим экспериментальным результатам мы подтвердили эффективность предлагаемого модуля ИИ для обнаружения атак в облачных вычислениях и предоставили надёжную основу для последующего оптимизации моделей и развертывания приложений.
Экспериментальные результаты показывают, что среди моделей машинного обучения дерево принятия решений (DT), случайный лес (RF) и ансамблевые методы (пакетирование, бустинг) достигли более высокой производительности, при этом оценки F1 достигли 1,0. Это подтверждает их надёжность и точность в отличии DDoS-паттернов от обычного трафика. В отличие от этого, наивная модель Байеса (NB) показала плохие результаты в прогнозировании аномальных пакетов, имея F1-балл 0,62, что указывает на определённый риск ошибочной классификации при столкновении со сложными типами атак.
Рисунок 7 показывает результаты MLP, CNN, RNN, LSTM и GRU. После оптимизации параметров бинарные оценки F1 моделей DL составили соответственно 0,93 и 0,98, что свидетельствует о том, что DL-модели эффективно захватывают глубокие особенности данных, особенно при обработке временных рядов и сложного распознавания шаблонов, и они работают лучше, чем традиционные модели машинного обучения.
Комплексный анализ показывает, что деревья решений, методы ансамблевого обучения и модели нейронных сетей демонстрируют отличную эффективность в обнаружении DDoS-атак, однако в конкретных приложениях выбор подходящей модели всё ещё должен учитывать такие факторы, как тип атаки, объем данных и вычислительные ресурсы. Для дальнейшего улучшения возможностей обнаружения модели в будущем можно интегрировать несколько моделей для достижения большей точности и снижения уровня ложных тревог.
Рисунок 8 демонстрирует превосходящую производительность моделей DL по сравнению с традиционными базовыми значениями машинного обучения, сохраняя значения F1 от 0,96 до 0,99, особенно на несбалансированных наборах данных. Однако прогнозные показатели класса U2R всё ещё уступают в тонких категориях, а классификация кибератак составляет всего 0,49. Производительность распознавания нескольких примерочных категорий (включая U2R, кибератаки, BFA и ботнеты) необходимо улучшить, согласно совокупным результатам рисунка 9 и рисунка 10.
На третьем этапе для сравнения эффективности HMC использовалось 13 одиночных классификаторов, идентичных предыдущим, но сосредоточенных на классе меньшинства. Согласно результатам, дизайн HMC на базе AdaBoost превосходит упаковку. В классе U2R HMC на базе AdaBoost имеет результат F1 0,5 (начальная F1 равна 0), тогда как HMC, основанная на Bagging, имеет результат F1 0,67 (с 0,4 как начальный F1) для класса меньшинств. HMC на базе AdaBoost получил F1 0,88 (оригинальный F1 был 0,71), тогда как HMC на базе Bagging получил F1 0,9 (оригинальный F1 был 0) для класса сетевых атак. Эти результаты показывают, что стратегии ансамблевого обучения (такие как AdaBoost и Bagging) значительно улучшают предсказательные способности нескольких классификаторов по классам меньшинств.
Случай симуляции атак
Для дальнейшей проверки практичности и надёжности предлагаемой модели в реальной сетевой среде в этой статье был разработан и реализован случай симуляции атак и проведен эксперимент по сценарию DDoS-атаки. Среда симуляции построена на виртуальной облачной платформе, использующей несколько виртуальных хостов для моделирования взаимодействия между обычными пользователями и злоумышленниками. Сценарий симуляции включает смешанную сетевую среду, где обычный бизнес-доступ и вредоносный трафик сосуществуют.
В эксперименте злоумышленник запускал атаки UDP flood и SYN Flood на целевой сервер через несколько IP-источников, пытаясь исчерпать ресурсы целевой системы и повлиять на доступность обычных сервисов. Система постоянно собирает информацию о сетевом трафике, а также используются основные характерные параметры, связанные со скоростью передачи, продолжительностью сессий, частотой доступа к порту и подсчётом аномальных соединений.
Предлагаемая модель оценки доверия и обнаружения атак реализуется в мониторинговом узле для анализа и категоризации трафика в реальном времени. Система может записывать успешную идентификацию на ранних этапах атаки с помощью модели облака доверия и механизма мультиклассификационной дискриминации, а также эффективно отмечать подозрительные объекты как низкодоверенные и активировать механизм реагирования.
Результаты симуляции показывают, что при симулировании трафик атаки составляет более 30% от общего трафика. Предлагаемая система достигла точности обнаружения 96%, низкий уровень ложноположительных результатов — 3%, а задержка ответа менее 2 секунд в условиях имитации DDoS. Этот результат подтверждает, что эта модель обладает перспективными возможностями применения для борьбы с распределёнными атаками и повышения возможностей системы безопасности.
Кроме того, этот эксперимент расширил тестирование многораундовых и ненепрерывных атак. Модель сохраняет высокую устойчивость обнаружения, что свидетельствует о её хорошей универсальной способности в сложных условиях динамической сети. Типы атак будут расширены в будущем, включая инъекции данных, фишинговые атаки и т.д., чтобы полностью проверить гибкость и масштабируемость модели с учётом различных угроз.
Таблица 5 показывает статистическую значимость улучшений производительности. В этой таблице представлены результаты парных t-тестов, которые сравнивают базовые модели с предлагаемой адаптивной структурой ML-HMC-Trust с точки зрения основных показателей производительности. Таблица состоит из средних и стандартных значений отклонения, t-значений, p-значений и уровней значимости точности, результата F1, обнаружения по классу меньшинств, частоты ложноположительных результатов и задержки обнаружения.

Рисунок 1: Представление методологического потока. Блок-схема, иллюстрирующая предлагаемый фреймворк SDN-облака, интегрирующий адаптивное машинное обучение, иерархическую классификацию и оценку доверия для обнаружения атак в реальном времени. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этого рисунка.

Рисунок 2: Архитектура облачных сервисов. На рисунке демонстрируется общая модель облачных сервисов, применяемая в исследованиях: уровень управления, слой пересылки данных и уровень сервиса. Архитектура состоит из контроллера Ryu OpenFlow, узлов Open vSwitch и виртуализированных облачных хостов. Соединения — это все взаимодействия потока данных в реальном времени и состояния связи. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.

Рисунок 3: Модель топологии сети. На рисунке показана трёхслойная топология виртуальной сети, встроенная в облачную среду. Это включает узлы-хосты, уровни коммутации, имитируемые задержки канала, а также ограничения пропускной способности. Топология позволяет разделять трафик, маршрутизацию по нескольким путям и перенаправлять потоки атак (в реальном времени). Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.

Рисунок 4: Архитектура обнаружения безопасности на основе HMC. На рисунке демонстрируется иерархия иерархии мультиклассовой классификации, объединяющей ансамблевое обучение, оценку доверия и многоуровневое обнаружение угроз. Блоки представляют фазы классификации, показывая переход от крупнозернистого к мелкозернистому обнаружению атак. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.

Рисунок 5: Процесс оценки доверия на основе облачных моделей. На рисунке представлены шесть этапов процесса оценки доверия: обычная генерация облака доверия, извлечение атрибутов, формирование облака атрибутов, расчёт сходства облака, классификация на уровне доверия и динамическое обновление доверия. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.

Рисунок 6: Производительность машинного обучения на наборе данных DDoS. На рисунке показано, как восемь классических моделей машинного обучения работают в бинарной структуре нормального и DDoS-трафика атак. Показатели включают отзыв, точность, результат F1 и общую точность. Индикаторы ошибок отражают вариабельность через пятикратную перекрёстную валидацию. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.

Рисунок 7: Производительность модели глубокого обучения на DDoS-наборе данных. На рисунке показана бинарная классификационная эффективность моделей MLP, CNN, RNN, LSTM и GRU. Измерения показывают производительность модели в серии обучающих циклов. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.

Рисунок 8: производительность классификатора HMC и одного классификатора машинного обучения. На рисунке показано сравнение иерархической мультиклассификации и традиционного классификатора меньшинственных атак, таких как U2R и R2L. Представлены оценки F1, включая полоски ошибок, указывающие на вариации между повторными экспериментами. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.

Рисунок 9: Производительность классификаторов HMC против глубокого обучения. Это значение указывает на улучшение мультиклассового обнаружения с помощью HMC на моделях DL. Выделена производительность меньшинства, которая значительно улучшилась по сравнению с моделями с одним DL. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.

Рисунок 10: Результаты симуляции DDoS-атак. На рисунке показаны результаты мониторинга эксперимента в реальном времени по симуляции атаки, которые указывают скорость трафика, количество аномальных соединений, время отклика метода обнаружения и выход классификации системы. Шкалы указывают время (в секундах) и объём трафика. Пожалуйста, нажмите здесь, чтобы увидеть увеличенную версию этой фигуры.
| Модель | Скорость обучения | Размер партии | Эпохи | Функция активации |
| MLP | 0.001 | 64 | 30 | ReLU |
| CNN | 0.0005 | 32 | 50 | LeakyReLU |
| RNN | 0.001 | 64 | 40 | Тань |
| LSTM | 0.0001 | 128 | 60 | Сигмоид |
| ГРУ | 0.001 | 64 | 45 | ReLU |
Таблица 1: Настройки параметров модели глубокого обучения. В этой таблице приведены гиперпараметры экспериментов по глубокому обучению: размер пакета, скорость обучения, количество эпох и спецификации архитектуры.
| Идентификатор образца | Время отбора проб (секунды) | Степень доверия ExExEx | Entropy EnEnEn | Гиперэнтропия HeHeHe | Оценка сходства | Уровень доверия |
| 1 | 10 | 0.75 | 0.65 | 0.8 | 0.85 | Высокий |
| 2 | 20 | 0.8 | 0.6 | 0.75 | 0.82 | Высокий |
| 3 | 30 | 0.68 | 0.7 | 0.85 | 0.8 | Среда |
| 4 | 40 | 0.6 | 0.72 | 0.9 | 0.78 | Среда |
| 5 | 50 | 0.5 | 0.8 | 0.95 | 0.7 | Низкий |
| 6 | 60 | 0.45 | 0.85 | 0.96 | 0.65 | Низкий |
Таблица 2: Значения выборки системы и анализ ситуации в сети. В этой таблице приведены некоторые выборочные значения облачной среды, такие как статистика трафика, значения доверия и результаты классификации.
| Классификатор | Точность | Точность | Отзыв | Счёт F1 |
| Дерево решений (DT) | 85.20% | 84.30% | 86.10% | 85.20% |
| Случайный лес (RF) | 90.10% | 89.30% | 91.00% | 90.10% |
| Наивный Байес (NB) | 82.50% | 81.70% | 83.40% | 82.50% |
| K — ближайшие соседи (KNN) | 87.40% | 86.80% | 88.10% | 87.40% |
| SVM-RBF | 88.90% | 88.10% | 89.50% | 88.80% |
| Линейный SVM (L-SVM) | 87.80% | 87.20% | 88.50% | 87.80% |
| Упаковка | 91.20% | 90.50% | 91.70% | 91.10% |
| Ускорение | 92.30% | 91.90% | 92.60% | 92.20% |
Таблица 3: Сравнение производительности классификаторов машинного обучения. В таблице представлены показатели отзыва, точности, точности и результатов F1 для всех тестируемых моделей машинного обучения.
| Модель | Точность | Точность | Отзыв | Счёт F1 |
| MLP | 89.50% | 88.70% | 90.30% | 89.50% |
| CNN | 91.20% | 90.70% | 91.50% | 91.10% |
| RNN | 88.30% | 87.60% | 88.80% | 88.20% |
| LSTM | 92.10% | 91.80% | 92.40% | 92.10% |
| ГРУ | 91.80% | 91.40% | 92.10% | 91.70% |
Таблица 4: Сравнение производительности классификаторов глубокого обучения. В этой таблице представлены метрики производительности моделей MLP, CNN, RNN, LSTM и GRU на основе мультиклассового обнаружения.
| Метрика производительности | Базовое среднее значение (SD) | Предлагаемое среднее значение модели (SD) | t-значение | p-значение | Значение |
| Точность | 0.89 (0.04) | 0.96 (0.02) | 8.72 | <0.001 | Значимость |
| F1-Score | 0.84 (0.05) | 0.94 (0.03) | 9.15 | <0.001 | Значимость |
| Обнаружение класса меньшинства (U2R/R2L) | 0.52 (0.08) | 0.81 (0.06) | 10.44 | <0.001 | Значимость |
| Процент ложноположительных результатов | 0.11 (0.03) | 0.04 (0.02) | –7.98 | <0.001 | Значимость |
| Задержка обнаружения (секунды) | 3.10 (0.41) | 1.82 (0.33) | –9.27 | <0.001 | Значимость |
Таблица 5: Статистическая значимость улучшений производительности. В этой таблице представлены результаты парных t-тестов, которые сравнивают базовые модели с предлагаемым фреймворком Adaptive ML -HMC-Trust с точки зрения основных показателей производительности. Таблица состоит из средних и стандартных значений отклонения, t-значений, p-значений и уровней значимости точности, результата F1, обнаружения по классу меньшинств, частоты ложноположительных результатов и задержки обнаружения.