基于可信联邦学习多域DDoS攻击检测方法与装置制造方法及图纸

本发明专利技术提供基于可信联邦学习多域DDoS攻击检测方法与装置，属于网络安全检测技术领域，利用区块链进行联邦学习参与方注册和初始信誉设定，等待并处理任务申请；申请通过后分别对本地联邦学习数据集进行预处理，利用预处理后的本地数据集对机器学习或深度学习方法进行训练，得到本地模型；将本地模型参数加密上传至聚合服务器生成全局模型，迭代训练生成最终全局模型；将任务的相关信息上传至区块链进行审计，利用智能合约计算综合信誉值并对参与方的信誉进行更新。本发明专利技术根据参与方的交互状态、数据状态和资源状态来计算参与方的综合信誉，在可信条件下联合多域训练DDoS检测模型，使每个域学习到所有域的DDoS攻击知识，提高了每个域对DDoS攻击的检测能力。高了每个域对DDoS攻击的检测能力。高了每个域对DDoS攻击的检测能力。

【技术实现步骤摘要】
基于可信联邦学习多域DDoS攻击检测方法与装置


[0001]本专利技术涉及网络安全检测
，具体涉及一种基于可信联邦学习多域DDoS攻击检测方法与装置。

技术介绍

[0002]随着5G和互联网的快速发展，网络场景和规模正在不断扩大，随之而来的网络安全问题也呈现增长之势，分布式拒绝服务(Distributed Denial of Service,DDoS)尤其具有破坏性。DDoS攻击按照不同的角度可以划分为不同的种类，从攻击来源来看，绝大部分DDoS攻击都是由僵尸网络产生，此类攻击称为僵尸网络DDoS攻击；根据攻击的手段，可以分为直接型DDoS和反射攻击(DRDoS)；从攻击频率和速度划分，包括洪水攻击和慢速攻击(LDDoS)；根据攻击数据包所在的网络层次来看，可以分为网络层/传输层DDoS攻击和应用层DDoS攻击。
[0003]目前，现有技术中的对DDoS攻击的检测方法研究主要以基于机器学习和深度学习的方法为主，这两种方法通过选择合适的机器学习模型或深度学习模型构建入侵检测分类器，分析网络正常的流数据和异常的流数据在特征方面的差异来判断攻击种类，但这两种方法需要大规模数据，因此存在如下问题：(1)上传数据延时较高。(2)敏感数据在上传时面临泄露等隐私安全问题。(3)检测的攻击类别有限。
[0004]基于联邦学习DDoS检测方法有效解决了隐私泄露问题，其利用各个参与方掌握的数据训练本地模型并共享模型参数实现多方共同建模，无需上传数据即可完成联合训练。但是目前联邦学习也存在一些安全问题，如多方信任问题，即拜占庭攻击，是最为突出的安全问题。
[0005]现有技术提出信誉评估方法对联邦学习参与方进行信誉评估，在一定程度上缓解了多方信任问题，其主要以交互信誉为主，需要区块链对每轮的训练模型进行评估，但此类信誉评估方法涉及模型在区块链上的频繁交互，会导致消耗大量通信资源，且模型在评估时容易被恶意推理，同时，目前未有装置针对多域DDoS检测提出高效且安全的联合检测方案。

技术实现思路

[0006]本专利技术的目的在于提供一种可实现在不共享各自完整数据集的前提下，协同可靠参与方，准确检测出多域的DDoS攻击类别的基于可信联邦学习多域DDoS攻击检测方法与装置，以解决上述
技术介绍
中存在的至少一项技术问题。
[0007]为了实现上述目的，本专利技术采取了如下技术方案：
[0008]一方面，本专利技术提供一种可信联邦学习的多域DDoS(Distributed Denial of Service)攻击检测方法，包括：
[0009]各域在区块链进行联邦学习参与方身份注册，区块链初始化参与方信息如信誉值并处理接收到的任务申请，并对申请中的各参与方信息进行反馈，通过信誉评估后开始训
练任务；
[0010]各域参与方对本地联邦学习数据集进行预处理，分别利用预处理后的数据集对神经网络等机器学习或深度学习模型进行本地训练，得到本地模型；
[0011]利用安全聚合算法进行模型的安全传输与参数聚合，参与方分别将本地模型参数加密上传至聚合服务器，由聚合服务器对所有模型进行加权聚合或平均聚合得到全局模型，并将全局模型分发至每个参与方进行迭代训练生成最终全局模型；
[0012]利用区块链对本次任务的相关信息进行审计，如训练好后的最终全局模型的交叉熵等，利用智能合约综合评估参与方的最新的交互信誉、数据信誉和资源信誉并对参与方进行信誉度更新和信息管理。
[0013]优选的，所述的参与方身份注册需将账户ID、域名称等发送至区块链，调用智能合约将申请参与到联邦学习训练任务的参与方信息写入区块链中进行注册，同时智能合约对初始信誉值等信息进行默认设置，注册完毕后等待任务申请方提出任务请求。
[0014]优选的，所述的任务申请包括申请方的身份ID、聚合方的身份ID和协同参与方的身份ID，以便区块链提供反馈，反馈的信息包括所有参与方的注册状态、在线状态、数据描述和信誉值，信誉评估通过后开始联邦学习任务。
[0015]优选的，所述的联邦学习任务所使用的数据集由原始数据集进行标签划分生成，原始数据集为捕获的攻击和正常流量的pcap数据包经cicflowmeter转换后生成的包含84种特征的csv文件，所述的攻击类型包括ACK、UDP、SYN、SlowBody、Shrew、SlowHeaders、SlowRead；Ares、BYOB、Miral、Zeus、IRC
‑
Botnet、TFTP、Memcached、DRDoS_SSDP、DRDoS_NTP、Chargen、DRDoS_SNMP、CC、HTTP
‑
Get、HTTP
‑
Flood、HTTP
‑
Post等，原始的csv数据集经种类划分将23种攻击类别转为5大攻击种类以及正常流量，分别为网络层/传输层DDoS攻击、低速率DDoS攻击、僵尸网络DDoS攻击、反射型DDoS攻击、应用层DDoS攻击和正常流量。
[0016]优选的，所述的训练过程包括：
[0017]数据预处理用于消除数据不规范的影响，包括去除不规范值以及特征归一化；特征分析将使用合适的特征选择方法联合其他参与方选出有意义的特征；本地训练将使用本域内的数据集对本地的机器学习模型进行训练；安全聚合使用加权聚合或平均聚合方案对加密过的各方模型参数进行安全聚合生成全局模型并将其反馈给各参与方，各参与方继续使用本地数据集训练刚得到的全局模型以生成下一轮模型，最终经过多次迭代至模型收敛或达到最大迭代次数后结束训练。
[0018]优选的，所述的本地训练模型所使用的训练数据仅为本域的DDoS攻击数据，因此其对DDoS的检测能力较弱。所述的全局模型为使用聚合算法把其他域的本地模型安全聚合并进行多次迭代后的模型，其拥有了多个域的DDoS攻击知识，除了识别本地数据集中包括的攻击外，也能对其他域出现的攻击类型进行检测。
[0019]优选的，所述的训练任务结束后各参与方的最终全局模型交叉熵等任务信息需上传至区块链进行审计，利用智能合约对参与方进行信誉评估并更新其信誉。信誉评估包括综合计算参与方的交互信誉、数据信誉以及资源信誉以判断参与方是否为恶意节点，确定在训练开始前该参与方是否满足可信条件，以确定其是否可以协同完成训练。
[0020]优选的，所述的参与方的交互信誉由最新模型的交互信誉分数S
LATEST
与历史模型交互信誉分数S
HISTORY
加权构成。S
LATEST
与S
HISTORY
的评估指标均为训练模型的交叉熵，交叉熵
的计算公式如下所示，其中(x
i
,y
i
)是评估模型所用的数据集，f
i
(x
i
)是每个参与方训练好的最终全局模型，N是评估数据集的数量：
[0021][0022]所述的参与方的数据信誉由用户所有数据集的数据量分数S
Nd<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信联邦学习多域DDoS攻击检测方法，其特征在于，包括：各域在区块链进行联邦学习参与方身份注册，区块链初始化参与方信息如信誉值并处理接收到的任务申请，并对申请中的各参与方信息进行反馈，通过信誉评估后开始训练任务；各域参与方对本地联邦学习数据集进行预处理，分别利用预处理后的数据集对神经网络等机器学习或深度学习模型进行本地训练，得到本地模型；利用安全聚合算法进行模型的安全传输与参数聚合，参与方分别将本地模型参数加密上传至聚合服务器，由聚合服务器对所有模型进行加权聚合或平均聚合得到全局模型，并将全局模型分发至每个参与方进行迭代训练生成最终全局模型；利用区块链对本次任务的相关信息进行审计，利用智能合约综合评估参与方的最新的交互信誉、数据信誉和资源信誉并对参与方进行信誉度更新和信息管理。2.根据权利要求1所述的基于可信联邦学习多域DDoS攻击检测方法，其特征在于，所述的参与方身份注册需将账户ID、域名称发送至区块链，调用智能合约将申请参与到联邦学习训练任务的参与方信息写入区块链中进行注册，同时智能合约对初始信誉值等信息进行默认设置，注册完毕后等待任务申请方提出任务请求；所述的任务申请包括申请方的身份ID、聚合方的身份ID和协同参与方的身份ID，以便区块链提供反馈，反馈的信息包括所有参与方的注册状态、在线状态、数据描述和信誉值，信誉评估通过后开始联邦学习任务。3.根据权利要求2所述的基于可信联邦学习多域DDoS攻击检测方法，其特征在于，所述的联邦学习任务所使用的数据集由原始数据集进行标签划分生成，原始数据集为捕获的攻击和正常流量的pcap数据包经cicflowmeter转换后生成的包含84种特征的csv文件，所述的攻击类型包括ACK、UDP、SYN、SlowBody、Shrew、SlowHeaders、SlowRead；Ares、BYOB、Miral、Zeus、IRC
‑
Botnet、TFTP、Memcached、DRDoS_SSDP、DRDoS_NTP、Chargen、DRDoS_SNMP、CC、HTTP
‑
Get、HTTP
‑
Flood、HTTP
‑
Post，原始的csv数据集经种类划分将23种攻击类型转为网络层/传输层DDoS攻击、低速率DDoS攻击、僵尸网络DDoS攻击、反射型DDoS攻击、应用层DDoS攻击和正常流量。4.根据权利要求1或3所述的基于可信联邦学习多域DDoS攻击检测方法，其特征在于，训练过程包括：数据预处理用于消除数据不规范的影响，包括去除不规范值以及特征归一化；特征分析将使用合适的特征选择方法联合其他参与方选出有意义的特征；本地训练将使用本域内的数据集对本地的机器学习模型进行训练；安全聚合使用加权聚合或平均聚合方案对加密过的各方模型参数进行安全聚合生成全局模型并将其反馈给各参与方，各参与方继续使用本地数据集训练刚得到的全局模型以生成下一轮模型，最终经过多次迭代至模型收敛或达到最大迭代次数后结束训练。5.根据权利要求4所述的基于可信联邦学习多域DDoS攻击检测方法，其特征在于，所述的本地训练模型所使用的训练数据仅为本域的DDoS攻击数据，所述的全局模型为使用聚合算法把其他域的本地模型安全聚合并进行多次迭代后的模型...

【专利技术属性】
技术研发人员：周华春，殷紫玮，李坤，李曼，王玮琳，刘欧阳，
申请(专利权)人：北京交通大学，
类型：发明
国别省市：