Clear Sky Science
شروحات قائمة على الأدلة وخفيفة المصطلحات

Clear Sky Science · ar

نهج هجين بالتعلم الآلي لاكتشاف هجمات DDoS في الشبكات المعرفة برمجياً

· العودة إلى الفهرس

لماذا يهم وقف فيضانات حركة الإنترنت

عندما تشاهد فيلمًا عبر الإنترنت أو تتسوق أو تستخدم تطبيقات السحابة، تنتقل بياناتك عبر شبكات يجب أن تبقى سريعة وموثوقة. طريقة شائعة وحديثة لتشغيل هذه الشبكات، تُعرف بالشبكات المعرفة برمجياً (SDN)، تمنح الشركات مزيداً من السيطرة والمرونة—لكنها تفتح أيضاً الباب أمام هجمات سيبرانية قوية تُعرف بهجمات الحرمان من الخدمة الموزعة (DDoS). تُغرق هذه الهجمات الأنظمة بحركة مرورية عديمة الفائدة حتى يُحرم المستخدمون الحقيقيون من الوصول. تُظهر هذه الدراسة كيف يمكن لشكل مُصمم بعناية من التعلم الآلي اكتشاف هذه الفياضانات المرورية مبكراً وبدقة، مما يساعد في الحفاظ على توفُّر الخدمات عبر الإنترنت عندما نحتاجها أكثر.

Figure 1
Figure 1.

نوع جديد من الشبكات، مع نقاط ضعف جديدة

تعتمد الشبكات التقليدية على أجهزة مثل الموجِّهات التي تقرر إلى أين تُرسل البيانات وتقوم أيضاً بنقلها فعلياً. تفصل SDN هذه الأدوار: «مخّ» مركزي يُسمى المتحكم يقرر كيفية سير الحركة، بينما تلتزم المحولات الأبسط بتعليماته. تجعل هذه الفصلية الشبكات أسهل في الإدارة وأرخص في البناء وأكثر تكيفاً للاستخدامات الثقيلة مثل مراكز البيانات ومنصات السحابة و5G وإنترنت الأشياء. لكن هناك ثمن لذلك. لأن الكثير من السلطة يتركز في المتحكم ويُكشَف عبر واجهات برمجية مفتوحة، يمكن للمهاجمين تركيز جهودهم هناك. إذا تمكنوا من إغراق المتحكم بطلبات مزيفة، يمكنهم شل الشبكة بأكملها دفعة واحدة.

كيف يحول المهاجمون الميزات المفيدة إلى أسلحة

تستعين هجمات DDoS بجيوش من الأجهزة المخترَقة—أي شيء من حواسيب منزلية إلى كاميرات غير مؤمَّنة—لإرسال موجات من الحركة غير المرغوب فيها إلى هدف. في SDN، غالباً ما يكون هذا الهدف هو المتحكم أو المحولات التي تبلغ عنه. كل تدفُّق بيانات جديد أو غير اعتيادي يمكن أن يجبر المتحكم على اتخاذ قرار وتحديث قواعد في المحولات. أثناء فيض DDoS، يمكن أن ترتفع أعداد التدفقات ورسائل التحكم بشكل هائل، مما يشحَن موارد المتحكم ويمنع المستخدمين العاديين. اعتمدت أدوات الكشف السابقة غالباً على بيانات قديمة غير متوافقة مع SDN أو على عتبات ثابتة، مما جعلها تكافح أمام هجمات أحدث وأكثر خلسة والأنماط المتغيرة لحركة الشبكة الحديثة.

بناء صورة واقعية عن الهجوم والحالة الطبيعية

لمعالجة هذه الفجوات، بنى الباحثون بيئة اختبار SDN خاصة بهم بدلاً من إعادة استخدام مجموعات بيانات قديمة. باستخدام متحكم SDN مفتوح المصدر واسع الانتشار (Ryu) ومحوّل افتراضي، أنشأوا شبكة بسيطة لكن محكمة التحكم يمكنهم من خلالها توليد كل من حركة الحياة اليومية وأنواع عدة من فيضانات DDoS (معتمدة على TCP وUDP وICMP). جمع المتحكم بانتظام إحصاءات مفصّلة عن كل تدفق بيانات وكل منفذ محول، مثل مدة التدفقات، وعدد الحزم والبايتات المارة، وعدد التدفقات النشطة، ومقدار النطاق الترددي الذي يستخدمه كل منفذ. حوّلت هذه القياسات إلى 22 ميزة مركّزة، بما في ذلك متوسطات جديدة تلتقط كمية البيانات التي يحملها كل تدفق. وُسِم كل سجل تدفق تلقائياً إما بأنه حميد أو خبيث، مما أسفر عن مجموعة بيانات متوسطة الحجم خاصة بـSDN تضم 99,225 مثالاً.

محرك تعلم متعاون لرصد المشاكل

مزوَّدين بهذه المجموعة، قارن الفريق مجموعة من طرق التعلم الآلي لتصنيف التدفقات كحركة عادية أو هجوم. وجدوا أن النماذج البسيطة مثل الانحدار اللوجستي أو أشجار القرار الأساسية فشلت في التقاط العديد من الأنماط الدقيقة المخبأة في الإحصاءات. برزا طريقتان قائمتان على الأشجار من نوع «التجميع»—Random Forest وXGBoost—كلتاهما تتعاملان مع العلاقات المعقّدة بطرق مختلفة. ثم دمج الباحثون بينهما في نموذج هجين يسمح للطريقتين بالتصويت على النتيجة. بلغ دقة هذا الكاشف التعاوني 99.36%، مع إنذارات كاذبة قليلة جداً وتقريباً لا هجمات فائتة. أظهرت اختبارات باستخدام منحنيات التشغيل التشغيلي للمستقبل (ROC) أداءً قريباً من المثالي، ما يعني أن النموذج قادر على تمييز حركة الهجوم عن الحركة العادية عبر نطاق واسع من الإعدادات.

Figure 2
Figure 2.

من التحذير المبكر إلى الدفاع الآلي

بعيداً عن الكشف فحسب، يحدد المؤلفون كيف يمكن ربط مثل هذا النموذج مباشرة بمتحكم SDN. بينما يجمع المتحكم إحصاءات حية، يمكن أن يُدخلها في النموذج المدرب وعندما يبدو أن تدفقاً ما خبيث، يدفع فوراً قواعد جديدة إلى المحولات لرفض أو إبطاء أو حجب تلك الحركة. على الرغم من أن هذه الدراسة اختبرت فقط في إعداد متحكم واحد ومحول واحد مع حركة اصطناعية، إلا أنها تظهر أن الميزات الواعية لـSDN المختارة بعناية، مقترنة بنهج تعلم هجيني ذكي، يمكن أن تكتشف هجمات DDoS بشكل موثوق وفي وقت يكفي للاستجابة. للقراء غير المتخصصين، الرسالة الأساسية هي أن ربط تصميمات الشبكات الحديثة بدفاعات حديثة مدفوعة بالبيانات يمكن أن يجعل الخدمات عبر الإنترنت التي نعتمد عليها أكثر مرونة ضد فيضانات الحركة واسعة النطاق.

الاستشهاد: Mahar, I.A., Aziz, K., Chakrabarti, P. et al. A hybrid machine learning approach for detecting DDoS attacks in software-defined networks. Sci Rep 16, 6533 (2026). https://doi.org/10.1038/s41598-026-35458-w

الكلمات المفتاحية: الشبكات المعرفة برمجياً, هجمات DDoS, التعلم الآلي, أمن الشبكات, كشف المرور