一种分布式物联网入侵检测方法及系统技术方案

本发明专利技术属于物联网入侵检测技术领域，公开了一种分布式物联网入侵检测方法及系统，安全云服务器使用IDS的公共数据初始化轻量级的机器学习模型，服务器向所有客户端分发公共数据和模型；在基于实例的迁移学习中，每个客户端使用所述模型作为基础分类器，并进行本地分类训练；客户端将更新后的分类器发送回服务器；当服务器从客户端接收到所有更新时，采用FedAvg进行模型聚合，并提出生成最终输出的加权投票算法；服务器将最终输出分发回客户端，客户端根据更新的模型启动本地化入侵检测系统IDS。本发明专利技术采用秩聚合算法对FedAvg方法进行改进，提高了检测性能，解决了在联邦学习中使用非独立同分布数据训练局部模型的关键问题。题。题。

【技术实现步骤摘要】
一种分布式物联网入侵检测方法及系统


[0001]本专利技术属于物联网入侵检测
，尤其涉及一种分布式物联网入侵检测方法及系统。

技术介绍

[0002]目前，工业物联网(IIoT)系统面临着严峻的安全挑战，主要是其资源受限的传感器系统易于受到来自网络的攻击和僵尸网络(例如Mirai Botnet)的入侵。IIoT数据的灵敏度、隐私性和高价值的性质也阻碍了共享内部数据用于训练高性能入侵检测机器学习模型。因此，亟需设计一种新的分布式物联网入侵检测方法及系统，以弥补现有技术存在的缺陷。
[0003]通过上述分析，现有技术存在的问题及缺陷为：
[0004](1)现有的资源受限的传感器系统易于受到来自网络的攻击和僵尸网络(例如Mirai Botnet)的入侵。
[0005](2)现有IIoT数据的灵敏度、隐私性和高价值的性质阻碍了共享内部数据用于训练高性能入侵检测机器学习模型。
[0006]解决以上问题及缺陷的难度为：
[0007]工业物联网(IIoT)系统正面临着严峻的安全挑战，因为它们连接的低成本和资源有限的传感器可能容易受到不断增加的入侵攻击，如Mirai僵尸网络。IIoT数据的敏感性、隐私性和高价值性也阻碍了训练高性能入侵检测模型的数据共享。
[0008]解决以上问题及缺陷的意义为：
[0009]本专利基于实例的迁移学习确保了局部训练的效果，并且还提出了私有化模型聚合的排名和最终模型输出的加权投票方法，该方法能够在不违反数据隐私和保持设备独立的情况下实现入侵检测。

技术实现思路

[0010]针对现有技术存在的问题，本专利技术提供了一种分布式物联网入侵检测方法及系统，尤其涉及一种基于联邦学习的分布式物联网入侵检测方法及系统。
[0011]本专利技术是这样实现的，一种分布式物联网入侵检测方法，所述分布式物联网入侵检测方法包括以下步骤：
[0012]步骤一，安全云服务器使用IDS的公共数据初始化轻量级的机器学习模型，安全云服务器向所有客户端分发公共数据和模型；
[0013]步骤二，在基于实例的迁移学习中，每个客户端使用所述模型作为基础分类器，构建本地分类训练算法进行本地分类训练；
[0014]步骤三，在完成整个本地化训练过程后，客户端将更新后的分类器发送回安全云服务器，而不是其传输学习策略；
[0015]步骤四，当服务器从客户端接收到所有更新时，采用FedAvg进行模型聚合，并提出
生成最终输出的加权投票算法；
[0016]步骤五，安全云服务器将最终输出分发回客户端，客户端根据更新的模型启动本地化入侵检测系统IDS。
[0017]进一步，所述步骤二中，将来自公共数据集中的实例作为源域传输，每个客户端均设置自己的实例重用策略适应检测任务，但所有客户端均共享相同的基分类器，并遵循基于实例的迁移学习。
[0018]进一步，所述步骤二中的本地分类训练算法包括：
[0019]利用来自公众的数据协助训练，从目标实例和实例初始化实例权重因子，x是特征，y是真正的标签；同时使用D
S
和D
T
来训练和返回预测的标签为H
k
，加权错误率ε
k
为：
[0020][0021][0022]其中，β
S
和β
T
在获得预测的标签后进行更新；β
T
是与ε
k
相关的该迭代的权重因子，而β
S
是源域的静态因子。
[0023][0024][0025]根据结果H
k
和迭代错误率ε
k
，对训练数据的权重因子ω
S
和ω
T
进行更新；开始训练过程的下一次迭代，以β
T
作为权重因子返回预测的标签。
[0026][0027][0028]进一步，所述训练策略包括：
[0029]准备工作：
[0030]公开数据集D
S
，私有数据集测试数据集D
test
，初始化模型f0；
[0031]目标：预测标签pred；
[0032](1)本地训练算法：
[0033]1)初始化源数据集D
S
的样本权重ω
S
和目标数据集D
T
的样本权重ω
T
；
[0034]2)for k＝1，2，3...K执行：
[0035]3)使用D
S
和训练模型f
k
获得样本权重ω
S
和ω
T
，返回预测值p
k
；
[0036]4)使用公式(2)计算错误率ε
k
和使用公式(3)和公式(4)计算
[0037]5)根据公式(5)和公式(6)更新样本权重ω
S
和ω
T
；
[0038]6)end for；
[0039]7)整合结果p
k
和
[0040]8)返回更新的模型f
i
。
[0041](2)联邦平均算法：
[0042]1)获取更新的模型中f
i
，i＝1，2，3...r；
[0043]2)返回总体模型f0。
[0044](3)加权投票方法
[0045]1)排序整合：
[0046]2)使用更新的模型f
i
根据不同攻击A
j
，j＝1，2，3...p的二进制数据集；
[0047]3)上的聚合攻击分类器F
j
。
[0048](4)权重投票：
[0049]1)使用公式(7)计算MMD距离MMD[D
test
，A
j
]以及使用公式(8)计算权重wts[D
test
，A
j
]，j＝1，2，3...p；
[0050]2)设置权重对于攻击分类F
j
以及生成预测标签D
test
；
[0051]3)返回pred。
[0052]进一步，所述步骤四中的加权投票方法包括：
[0053]模型训练部分由云模型初始化和局部化模型训练两个步骤组成；安全云平台基于公共数据初始化模型，并将模型发送给客户端；客户使用数据训练模型；安全云平台从客户端接收到所有更新后，安全云执行算法，对所有聚合参数进行平均；使用以决策树为基础分类器的自适应增强算法AdaBoost，通过结合输出获得最终的预测结果；其中，所述自适应增强算法AdaBoost是一种使用多个机器学习模型实现基础估计器的增强算法。
[0054]利用公共数据实现聚合方法，评估精度分数，并对所有基估计器进行排序；选择具有高强度的估计量排名和形成新的AdaBoost分类器；安全云本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式物联网入侵检测方法，其特征在于，所述分布式物联网入侵检测方法包括以下步骤：步骤一，安全云服务器使用IDS的公共数据初始化轻量级的机器学习模型，并向所有客户端分发公共数据和模型；步骤二，每个客户端使用所述模型作为基础分类器，构建本地分类训练算法进行本地分类训练；步骤三，完成整个本地化训练过程后，所述客户端将更新后的分类器发送回安全云服务器；步骤四，安全云服务器从客户端接收到所有更新时，采用FedAvg进行模型聚合，并生成最终输出的加权投票算法；步骤五，安全云服务器将最终输出分发回客户端，客户端根据更新的模型启动本地化入侵检测系统IDS。2.如权利要求1所述的分布式物联网入侵检测方法，其特征在于，所述步骤二中，将来自公共数据集中的实例作为源域传输，每个客户端均设置自己的实例重用策略适应检测任务，但所有客户端均共享相同的基分类器，并遵循基于实例的迁移学习。3.如权利要求1所述的分布式物联网入侵检测方法，其特征在于，所述步骤二中的本地分类训练算法包括：利用来自公众的数据协助训练，从目标实例和实例初始化实例权重因子，x是特征，y是真正的标签；同时使用D
S
和D
T
来训练和返回预测的标签为H
k
，加权错误率ε
k
为：为：其中，β
S
和β
T
在获得预测的标签后进行更新；β
T
是与ε
k
相关的该迭代的权重因子，而β
S
是源域的静态因子；源域的静态因子；根据结果H
k
和迭代错误率ε
k
，对训练数据的权重因子ω
S
和ω
T
进行更新；开始训练过程的下一次迭代，以β
T
作为权重因子返回预测的标签；
4.如权利要求3所述的分布式物联网入侵检测方法，其特征在于，所述训练策略包括：准备工作：公开数据集D
S
，私有数据集测试数据集D
test
，初始化模型f0；目标：预测标签pred；(1)本地训练算法：1)初始化源数据集D
S
的样本权重ω
S
和目标数据集D
T
的样本权重ω
T
；2)for k＝1，2，3...K执行：3)使用D
S
和训练模型f
k
获得样本权重ω
S
和ω
T
，返回预测值p
k
；4)使用公式(2)计算错误率ε
k
和使用公式(3)和公式(4)计算5)根据公式(5)和公式(6)更新样本权重ω
S
和ω
T
；6)end for；7)整合结果p
k
和8)返回更新的模型f
i
；(2)联邦平均算法：1)获取更新的模型中f
i
，i＝1，2，3...r；2)返回总体模型f0；(3)加权投票方法1)排序整合：2)使用更新的模型f
i
根据不同攻击A
j
，j＝1，2，3
...

【专利技术属性】
技术研发人员：骆春波，沙小豹，刘翔，罗杨，
申请(专利权)人：电子科技大学长三角研究院湖州，
类型：发明
国别省市：