基于联邦学习的网络流量攻击检测方法、系统及存储介质技术方案

本发明专利技术公开了基于联邦学习的网络流量攻击检测方法、系统及存储介质，其方法包括步骤：在中央服务器构建流量攻击检测的全局模型及在客户端构建流量攻击检测的本地模型；客户端根据网络流量特征识别攻击流量并标识生成流量数据集；客户端对标识后的流量数据集进行预处理并发送至中央服务器；中央服务器根据预处理后的流量数据集对全局模型进行训练；客户端同步全局模型的结构参数并对本地模型进行训练；将未知的流量数据输入到本地模型进行攻击流量判定。本发明专利技术解决了相关技术中不共享数据前提下存在数据孤岛的问题和网络攻击检测准确性低的问题。确性低的问题。确性低的问题。

【技术实现步骤摘要】
基于联邦学习的网络流量攻击检测方法、系统及存储介质


[0001]本专利技术属于网络安全
，特别是涉及基于联邦学习的网络流量攻击检测方法、系统及存储介质。

技术介绍

[0002]互联网技术的高速发展在方便人们生活的同时，也促进了网络攻击的传播和扩散。在现实生活中，网络攻击常用的手段包括网络监听、恶意代码、口令破解、拒绝服务攻击、漏洞利用、网站数据窃取、社会工程学攻击、APT等，这些攻击行为隐藏在网络流量中，被网络罪犯、地下黑客产业者、黑客行动主义者以及有国家背景的攻击者利用和发展，衍生出极具技术含量的网络威胁方式，给国计民生造成巨大的损失。
[0003]目前基于机器学习的检测和基于深度学习的网络攻击检测利用了智能算法强大的数据分析和学习能力，被认为是有效的网络攻击检测方式。但是出于数据隐私保护考虑，客户端的数据之间存在数据孤岛问题，在服务器训练的网络攻击检测模型在客户端应用时，会出现攻击检测准确性低的问题。
[0004]为了在不共享数据的前提下解决数据孤岛问题和提高网络攻击检测的准确性，提出一种基于联邦学习的网络流量攻击检测方法、系统及存储介质。

技术实现思路

[0005]本专利技术实施例提出一种基于联邦学习的网络流量攻击检测方法、系统及存储介质，以至少解决相关技术中不共享数据前提下存在数据孤岛的问题和网络攻击检测准确性低的问题。
[0006]根据本专利技术的一个实施例，提出一种基于联邦学习的网络流量攻击检测方法，包括：
[0007]在中央服务器构建流量攻击检测的全局模型及在客户端构建流量攻击检测的本地模型；
[0008]客户端根据网络流量特征识别攻击流量并标识生成流量数据集；
[0009]客户端对标识后的流量数据集进行预处理并发送至中央服务器；
[0010]中央服务器根据预处理后的流量数据集对全局模型进行训练；
[0011]客户端同步全局模型的结构参数并对本地模型进行训练；
[0012]将未知的流量数据输入到本地模型进行攻击流量判定。
[0013]在一个示例性实施例中，所述在中央服务器构建流量攻击检测的全局模型及在客户端构建流量攻击检测的本地模型，包括步骤：
[0014]在中央服务器基于CNN算法构建一个全局模型；
[0015]每个本地客户端基于CNN算法构建一个本地检测模型；所述客户端的本地模型与中央服务器的全局模型具有相同的网络结构。
[0016]在一个示例性实施例中，所述网络流量特征包括连接时间、协议类型、历史连接记
录、目标主机、服务类型、流量大小的任一项或多项组合。
[0017]在一个示例性实施例中，所述客户端根据网络流量特征识别攻击流量并标识生成流量数据集，包括步骤：
[0018]根据网络流量的连接时间匹配程度和/或协议类型匹配程度计算直接特征关联度；
[0019]根据当前连接与设定的历史时间段内的连接记录的关联情况计算统计特征关联度；
[0020]根据直接特征关联度和/或统计特征关联度计算攻击流量匹配度，将攻击流量匹配度大于设定阈值的网络流量标识为攻击流量，生成流量数据集。
[0021]在一个示例性实施例中，所述根据当前连接与设定的历史时间段内的连接记录的关联情况计算统计特征关联度，包括步骤：
[0022]根据设定的历史时间段内与当前连接有相同目标主机的连接数和/或设定的历史时间段内与当前连接有相同服务的连接数计算连接数量关联度；
[0023]根据当前连接与设定的历史时间段内连接的目标主机相似度和/或当前连接与设定的历史时间段内连接的服务类型相似度计算连接连接类型关联度；
[0024]根据当前连接与设定的历史时间段内连接的流量变化度量值和/或当前连接与设定的历史时间段内连接的持续时间变化度量值计算连接变化关联度；
[0025]根据连接数量关联度和/或连接连接类型关联度和/或连接变化关联度与统计特征关联度的正相关关系计算统计特征关联度。
[0026]在一个示例性实施例中，所述客户端对标识后的流量数据集进行预处理包括计算数据集的均值、计算数据集的数据量、计算数据集的方差、计算数据集的瞬时变化最大值、计算数据集的瞬时变化最小值、计算数据集的数据汇聚评估值的任一项或组合。
[0027]在一个示例性实施例中，所述中央服务器根据预处理后的流量数据集对全局模型进行训练，包括步骤：
[0028]中央服务器基于HTTP接收各个客户端预处理后的的流量数据集信息；
[0029]中央服务器对各个客户端的数据信息进行均值融合和/或极值融合和/或最大置信度融合得到全局数据集信息；
[0030]根据全局数据集信息对全局模型进行训练并将得到的全局模型结构参数保存到数组；
[0031]将全局模型的结构参数数组矩阵基于HTTP同时发送到各个客户端。
[0032]在一个示例性实施例中，所述客户端同步全局模型的结构参数并对本地模型进行训练，包括步骤：
[0033]客户端基于HTTP接收中央服务器发送的全局模型的结构参数数组；
[0034]客户端的本地模型同步全局模型的结构参数；
[0035]客户端上的流量数据集输入到本地模型，对本地模型进行训练；
[0036]客户端基于HTTP将训练后的本地模型结构参数发送到中央服务器；
[0037]中央服务器对各本地模型的结构参数进行均值融合和/或极值融合和/或最大置信度融合并以此训练全局模型得到全局模型的结构参数；
[0038]中央服务器对各本地模型的结构参数进行均值融合和/或极值融合和/或最大置
信度融合并以此训练全局模型得到全局模型的结构参数；
[0039]重复以上步骤直到达到指定的模型迭代次数，完成本地模型的训练。
[0040]一种计算机可读存储介质，其存储用于电子数据交换的计算机程序，其中，所述计算机程序使计算机执行上述的方法。
[0041]根据本专利技术的另一个实施例，提供了一种基于联邦学习的网络流量攻击检测系统，包括：
[0042]中央服务器；
[0043]客户端处理器；
[0044]存储器；
[0045]以及
[0046]一个或多个程序，其中所述一个或多个程序被存储在存储器中，并且被配置成由所述中央服务器和/或客户端处理器执行，所述程序使计算机执行上述方法。
[0047]本专利技术的基于联邦学习的网络流量攻击检测方法、系统及存储介质具有的优点是：
[0048](1)基于联邦学习架构，利用分散计算范式，在中央服务器对各客户端的孤岛数据训练模型进行融合和训练，相比传统的仅在中央服务器训练网络攻击检测模型的技术方案，可以有效实现对各客户端检测模型的扩展，在隐私保护的基础上增强了各客户端对流量攻击检测的正确率。
[0049](2)根据当前连接与设定的历史时间段内连接的目标主机情况和/或连接服务类型和/或流量变化度量值和/或连接持续时间变化度量值计算统计本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于联邦学习的网络流量攻击检测方法，其特征在于，包括：在中央服务器构建流量攻击检测的全局模型及在客户端构建流量攻击检测的本地模型；客户端根据网络流量特征识别攻击流量并标识生成流量数据集；客户端对标识后的流量数据集进行预处理并发送至中央服务器；中央服务器根据预处理后的流量数据集对全局模型进行训练；客户端同步全局模型的结构参数并对本地模型进行训练；将未知的流量数据输入到本地模型进行攻击流量判定。2.根据权利要求1所述的基于联邦学习的网络流量攻击检测方法，其特征在于，所述在中央服务器构建流量攻击检测的全局模型及在客户端构建流量攻击检测的本地模型，包括步骤：在中央服务器基于CNN算法构建一个全局模型；每个本地客户端基于CNN算法构建一个本地检测模型；所述客户端的本地模型与中央服务器的全局模型具有相同的网络结构。3.根据权利要求2所述的基于联邦学习的网络流量攻击检测方法，其特征在于，所述网络流量特征包括连接时间、协议类型、历史连接记录、目标主机、服务类型、流量大小的任一项或多项组合。4.根据权利要求3所述的基于联邦学习的网络流量攻击检测方法，其特征在于，所述客户端根据网络流量特征识别攻击流量并标识生成流量数据集，包括步骤：根据网络流量的连接时间匹配程度和/或协议类型匹配程度计算直接特征关联度；根据当前连接与设定的历史时间段内的连接记录的关联情况计算统计特征关联度；根据直接特征关联度和/或统计特征关联度计算攻击流量匹配度，将攻击流量匹配度大于设定阈值的网络流量标识为攻击流量，生成流量数据集。5.根据权利要求4所述的基于联邦学习的网络流量攻击检测方法，其特征在于，所述根据当前连接与设定的历史时间段内的连接记录的关联情况计算统计特征关联度，包括步骤：根据设定的历史时间段内与当前连接有相同目标主机的连接数和/或设定的历史时间段内与当前连接有相同服务的连接数计算连接数量关联度；根据当前连接与设定的历史时间段内连接的目标主机相似度和/或当前连接与设定的历史时间段内连接的服务类型相似度计算连接类型关联度；根据当前连接与设定的历史时间段内连接的流量变化度量值和/或当前连接与设定的历史时间段内连接的持续时间变化度量值计算连接变...

【专利技术属性】
技术研发人员：许艳萍，刘博，徐龙华，莫凡，严军荣，袁国平，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：