本发明专利技术提供了一种基于去中心化联邦学习的工业控制网络入侵检测方法,该方法采用残差卷积神经网络、OHEM和基于模型参数的去中心化联邦学习方法,在保护数据隐私的前提下采用多方的数据共同训练一个入侵检测模型。针对工业控制网络入侵检测领域存在的数据获取困难、数据不均衡以及检测率低等问题,本方法首先通过捕获数据和数据预处理构建训练集和测试集,其次构建残差卷积神经网络作为入侵检测模型,并结合基于模型参数的去中心化联邦学习和OHEM训练残差卷积神经网络,最终将得到的最优的残差卷积神经网络应用于工业控制网络入侵检测。采用本方法进行工业控制网络入侵检测,有效的解决了工业控制网络流量数据获取困难、数据不均衡等问题,极大的提高了检测效率和准确率。极大的提高了检测效率和准确率。极大的提高了检测效率和准确率。
An intrusion detection method for industrial control network based on decentralized federated learning
【技术实现步骤摘要】
一种基于去中心化联邦学习的工业控制网络入侵检测方法
[0001]本专利技术涉及一种基于去中心化联邦学习的工业控制网络入侵检测方法,针对工业控制网络入侵检测领域,采用残差卷积神经网络、OHEM和去中心化联邦学习方法,利用残差卷积神经网络优秀的特征提取能力和OHEM对类别不均衡和简单
‑
难分样本不均衡的处理能力,并采用基于模型参数的去中心化联邦学习方法在保护数据隐私的前提下,使用多方的数据共同训练工业控制网络入侵检测模型,实现对各种攻击的有效检测。
技术介绍
[0002]随着工业化和信息化的融合发展,越来越多的计算机和信息技术被应用到工业生产过程中,特别是“工业5.0”等战略目标的提出,加快了工业控制网络对外的开放程度,这使得工业控制网络面临的安全威胁与日俱增。针对工业控制网络中数据获取困难,数据不均衡等问题,传统的入侵检测方法难以有效的为工业控制网络提供安全保护,严重影响整个工业生产环境的安全。
[0003]残差卷积神经网络,是一种带有残差结构的卷积神经网络。卷积神经网络是一种深度前馈神经网络,和普通神经网络的区别在于卷积神经网络包含了一个由卷积层和池化层构成的特征提取器,通过共享权值的方式减少网络各层之间的连接同时降低过拟合的风险,可以有效的从大量样本中学习有效的特征。传统的深层卷积神经网络在训练过程中会出现梯度消失或梯度爆炸等问题。残差结构将输出表述为输入和输入的一个非线性变换的线性叠加,有效的解决了深层卷积神经网络存在的问题,提高了神经网络的学习能力和分类精度。因此残差卷积神经网络非常适用于工业控制网络流量数据的特征提取。
[0004]OHEM是指在线难例挖掘方法,是一种处理数据不均衡的方法。OHEM的主要思想是将每个批次的样本输入到网络中,获得相应的损失且按照从大到小的顺序进行排序,按照比例选取若干损失较大的样本作为难分样本参与误差反向传播,更新模型参数。OHEM有效的均衡了简单
‑
难分样本之间的差距,并一定程度上解决了各类别数据不均衡问题,因此非常适用于处理工业控制网络数据不均衡问题。
[0005]基于模型参数的去中心化联邦学习方法是指采用模型参数作为临时中心服务器选取指标的一种联邦学习方法。联邦学习是一种分布式学习方法,在中心服务器或服务提供商的协调下,多个实体协作解决机器学习问题。每个参与者的原始数据存储在本地,不进行交换或传输,作为替代,通过特定中间运算结果的传输和聚合来达到训练深度学习模型的目的。联邦学习可以在保护数据隐私的前提下使用多方的数据共同训练一个高效的模型。基于模型参数的去中心化联邦学习方法通过选取临时中心服务器的方式,使每个参与者在模型的每轮训练中都有成为临时中心服务器的可能,因此可以解决传统联邦学习中心化和单点故障问题。因此基于模型参数的去中心化联邦学习方法可以解决传统工业控制网络数据获取困难问题。
[0006]minmax函数,又称极大极小化函数,是一种数据归一化方法。minmax函数可以将工业控制网络流量数据的特征映射到0、1之间来消除量纲对模型的影响,因此适用于工业控
制网络流量的特征处理。
[0007]针对当前工业控制网络入侵检测存在的数据量少、数据不均衡和检测精度等问题,首先利用minmax函数对工业控制网络流量数据进行归一化操作,其后在基于模型参数的去中心化联邦学习框架下,采用残差卷积神经网络对处理过的网络数据进行整体分析和特征提取,然后利用OHEM筛选难分样本参与误差反向传播,进而获得最优工业控制网络入侵检测模型。
技术实现思路
[0008]为提高工业控制网络入侵检测的效率和准确率,本专利技术提出一种基于去中心化联邦学习的工业控制网络入侵检测方法,通过结合基于模型参数的去中心化联邦学习方法,采用残差卷积神经网络提取相关数据特征,同时使用OHEM获得难分样本参与误差反向传播,从而提高入侵检测的效率和准确率。
[0009]其特征在于以下步骤:
[0010](1)获取工业控制网络数据,进行相应的预处理
[0011]去中心化联邦学习的各参与者通过采集工业控制网络信道中的流量数据生成原始数据集,在进行相应的归一化并划分为训练集D
train
=(x1,x2,...,x
n
,y),x
n
∈(0,1)和测试集D
test
=(x1,x2,...,x
n
,y),x
n
∈(0,1)后将一维数据转化为二维数据;
[0012](2)构建残差卷积神经网络
[0013]构建多层残差卷积神经网络,初始化残差卷积神经网络卷积核大小和通道数,添加两层全连接层,并设置激活函数为softmax,得出最终的检测结果;
[0014](3)训练残差卷积神经网络
[0015]初始参与者对去中心化联邦学习过程进行初始化操作,其它参与者根据模型参数和模型选取指标计算获得临时中心服务器,并利用训练集D
train
对残差卷积神经网络进行训练,将训练得出的预测数据和真实标签输入到交叉熵损失函数中获得损失并将损失从大到小排序,根据OHEM获取损失较大的损失参与误差反向传播调整模型参数,并将调整后的参数发送给临时中心服务器,临时中心服务器执行参数聚合操作后随机生成下一训练阶段的临时中心服务器选取指标,将聚合后的模型参数和临时中心服务器选取指标下发给各参与者,各参与者接收临时中心服务器下发的数据后重复上面的训练步骤直到训练结束;
[0016](4)利用残差卷积神经网络实现工业控制网络入侵检测
[0017]各参与者将测试集D
test
输入到优化后的残差卷积神经网络中,得到入侵检测结果;
附图说明
[0018]为了更清楚的说明本专利技术实施例中的技术方案,下面结合附图与具体实施方案对本专利技术做进一步说明:
[0019]图1基于去中心化联邦学习的工业控制网络入侵检测流程图。
[0020]图2残差卷积神经网络示意图。
具体实施方式
[0021]下面结合附图对本专利技术作进一步详细的描述,本专利技术主要包括以下几个步骤:
[0022](1)通过对工业控制网络进行实时监听捕获网络中的流量数据包,对流量数据包进行解析并提取特征构建原始的数据集D=(x1,x2,...,x
n
,y),其中x
n
表示数据样本的第n个特征,y表示该样本对应的标签,即分类;采用one
‑
hot编码方式将原始数据集中的字符型特征数字化;为消除不同特征的不同量纲对检测方法的效率以及准确率的影响,采用minmax方法进行归一化,将各个特征映射到0、1之间,计算方式如下所示:
[0023][0024]其中x
n
表示每条数据的第n个特征,经过处理后该值的取值范围在0、1之间,x
min
表示这个特征对应的数据中的最小值,x
max
表示这个特征对应的数据中的最大值本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于去中心化联邦学习的工业控制网络入侵检测方法,其特征在于包含以下步骤:a.获取工业控制网络数据,并进行相应的预处理,将采集到的工业控制网络流量数据进行解析后得到的原始数据集定义为D=(x1,x2,...,x
n
,y)的形式,通过独热编码的方式将字符特征转化为数字特征,为消除原始数据集中量纲的影响进行归一化操作,并在原始数据划分为训练集D
train
=(x1,x2,...,x
n
,y),x
n
∈(0,1)和测试集D
test
=(x1,x2,...,x
n
,y),x
n
∈(0,1)后将一维数据转化为二维数据;b.构建多层残差卷积神经网络,初始化残差卷积神经网络卷积核大小和通道数,并添加两层全连接层,使用softmax作为激活函数;c.结合OHEM和去中心化联邦学习训练残差卷积神经网络,初始节点向参与者发送开启联邦学习请求,各参与者根据自身情况决定是否加入该联邦学习...
【专利技术属性】
技术研发人员:石乐义,侯会文,兰松柏,许翰林,苗祎璠,吴维鑫,任佳豪,王琳,
申请(专利权)人:中国石油大学华东,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。