一种基于联邦学习的边缘异构网络入侵检测方法及系统

本发明涉及网络安全，特别是一种基于联邦学习的边缘异构网络入侵检测方法及系统。

背景技术：

1、随着数字化转型的发展，网络安全面临越来越多的挑战，特别是在边缘计算环境下，由于资源受限和网络异构性，传统的入侵检测方法往往难以适应。因此，基于机器学习和联邦学习的入侵检测方法备受关注。

2、虽然机器学习技术早已广泛应用于网络入侵检测领域，但深度学习和联邦学习等新兴技术的快速发展为该领域带来了新的视角和可能性。联邦学习(fl)是一种旨在使分布式代理能够在不共享数据的情况下协作学习特定任务的技术。fl在边缘计算和自动驾驶等领域有广泛的应用，包括物联网环境中恶意活动的检测。然而，由于硬件的限制，边缘设备的处理能力受到限制。因此，在参与联邦学习时，必须谨慎控制数据传输和计算负担。

3、尽管fl在网络安全领域取得了一些突破，但对其泛化能力的关注相对较少。入侵检测研究越来越强调隐私和效率。边缘设备有限的处理能力和联邦学习面临的潜在中毒攻击威胁影响了模型的泛化能力和性能。这对实现泛化提出了更大的挑战。这意味着在真实和复杂的网络环境中，实现模型泛化仍然是一个紧迫的问题。

技术实现思路

1、鉴于现有的网络安全领域中存在的问题，提出了本发明。

2、因此，本发明所要解决的问题在于边缘设备有限的处理能力和联邦学习面临的潜在中毒攻击威胁影响了模型的泛化能力和性能。

3、为解决上述技术问题，本发明提供如下技术方案：

4、第一方面，本发明实施例提供了一种基于联邦学习的边缘异构网络入侵检测方法，其包括，

5、对原始数据进行预处理得到测试数据；

6、采用模型对所述测试数据进行概率密度估计，并评估所述测试数据的异常性质；

7、去除异常数据，采用算法更新节点参数，并循环迭代直至所述模型在异构网络环境下收敛。

8、作为本发明所述基于联邦学习的边缘异构网络入侵检测方法的一种优选方案，其中：所述概率密度估计包括针对每个测试样本，计算测试样本属于正态数据分布的概率密度，具体如下式所示：

9、

10、其中，k为gmm中混合成分的个数，ωi为第i个混合成分的权重，μi为均值，∑i为协方差矩阵，d为特征维数。

11、作为本发明所述基于联邦学习的边缘异构网络入侵检测方法的一种优选方案，其中：所述算法的参数更新公式如下式所示：

12、

13、其中，表示第t次迭代中参与者k的每个参数的历史梯度平方和，而∈是用于数值稳定性的小常数，⊙表示逐元素乘法，为第t次迭代中第k个参与者的局部参数，lk(ω)为损失函数，η为学习率。

14、作为本发明所述基于联邦学习的边缘异构网络入侵检测方法的一种优选方案，其中：所述历史梯度平方和的计算公式如下式所示：

15、

16、在接收到来自每个参与者的更新参数和历史梯度平方和后，中央服务器使用加权平均值汇总这些参数，如下式所示：

17、

18、其中，ω(t+1)表示第(t+1)次迭代后的全局模型参数。

19、作为本发明所述基于联邦学习的边缘异构网络入侵检测方法的一种优选方案，其中：所述联邦学习包括以下步骤：

20、模拟不同的异构网络结构；

21、客户端从服务器获取模型架构并初始化参数；

22、采用fedadagrad算法进行联邦学习；

23、客户端使用最新的全局模型进行本地训练；

24、循环上述过程直至模型训练完成。

25、作为本发明所述基于联邦学习的边缘异构网络入侵检测方法的一种优选方案，其中：所述预处理将数据缩放到区间[n,m]中，如下式所示：

26、

27、其中，xi是数据特征的值，xmin表示特征最小值，xmax为特征最大值。

28、作为本发明所述基于联邦学习的边缘异构网络入侵检测方法的一种优选方案，其中：根据阈值评估所述测试数据的异常性质；

29、当所述概率密度高于所述阈值，则判定所述属于为正常数据；若所述概率密度低于所述阈值，则判定所述测试样本为异常数据；

30、所述阈值根据所述模型的误报率、当前异常比例和遗漏率进行动态调整。

31、第二方面，本发明实施例提供了一种基于联邦学习的边缘异构网络入侵检测系统，其包括：

32、数据预处理模块，用于将非数字特征进行独立编码映射，并对数据进行归一化处理；

33、模型构建模块，用于处理非独立同分布数据，并对测试数据进行概率密度估计，评估样本的异常性质；

34、动态阈值调整模块，用于根据误报率、遗漏率和异常比例指标动态调整概率密度阈值，优化异常检测性能；

35、优化模块，采用改进的联邦学习算法，用于在异构网络环境下进行模型参数的分布式更新和聚合。

36、第三方面，本发明实施例提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其中：所述处理器执行所述计算机程序时实现上述的基于联邦学习的边缘异构网络入侵检测方法的任一步骤。

37、第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，其中：所述计算机程序被处理器执行时实现上述的基于联邦学习的边缘异构网络入侵检测方法的任一步骤。

38、本发明有益效果为在处理边缘计算环境下的入侵检测问题时表现出了显著的优点。首先，它提升了入侵检测系统的泛化能力，使其能够适应各种异构网络环境，并有效地处理不同类型的攻击行为。其次，该方法具备处理非独立分布数据的能力，能够有效地应对数据分布不均匀的情况，提高了入侵检测的准确性和可靠性。最重要的是，该方法在资源受限的边缘设备上实现了高效的入侵检测，通过在边缘端进行处理和分析，降低了数据传输和处理的成本，同时保护了用户隐私和数据安全。本发明的方法为边缘计算环境下的入侵检测提供了一种有效且可行的解决方案，具有实际意义和应用前景。

技术特征：

1.一种基于联邦学习的边缘异构网络入侵检测方法，其特征在于：包括，

2.如权利要求1所述的基于联邦学习的边缘异构网络入侵检测方法，其特征在于：所述概率密度估计包括针对每个测试样本，计算测试样本属于正态数据分布的概率密度，具体如下式所示：

3.如权利要求2所述的基于联邦学习的边缘异构网络入侵检测方法，其特征在于：所述算法的参数更新公式如下式所示：

4.如权利要求3所述的基于联邦学习的边缘异构网络入侵检测方法，其特征在于：所述历史梯度平方和的计算公式如下式所示：

5.如权利要求1所述的基于联邦学习的边缘异构网络入侵检测方法，其特征在于：所述联邦学习包括以下步骤：

6.如权利要求5所述的基于联邦学习的边缘异构网络入侵检测方法，其特征在于：所述预处理将数据缩放到区间[n,m]中，如下式所示：

7.如权利要求6所述的基于联邦学习的边缘异构网络入侵检测方法，其特征在于：根据阈值评估所述测试数据的异常性质；

8.一种基于联邦学习的边缘异构网络入侵检测系统，基于权利要求1～7任一所述的基于联邦学习的边缘异构网络入侵检测方法，其特征在于：包括，

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于：所述处理器执行所述计算机程序时实现权利要求1～7任一所述的基于联邦学习的边缘异构网络入侵检测方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1～7任一所述的基于联邦学习的边缘异构网络入侵检测方法的步骤。

技术总结本发明公开了一种基于联邦学习的边缘异构网络入侵检测方法及系统，涉及网络安全技术领域，包括对原始数据进行预处理得到测试数据；采用模型对所述测试数据进行概率密度估计，并评估所述测试数据的异常性质；去除异常数据，采用算法更新节点参数，并循环迭代直至所述模型在异构网络环境下收敛。本发明提升了入侵检测系统的泛化能力，使其能够适应各种异构网络环境，并有效地处理不同类型的攻击行为。其次，该方法具备处理非独立分布数据的能力，能够有效地应对数据分布不均匀的情况，提高了入侵检测的准确性和可靠性。技术研发人员：王勇,朱跃翟,刘蔚受保护的技术使用者：上海电力大学技术研发日：技术公布日：2024/9/2