基于异步联邦学习的工业互联网入侵检测方法

本发明属于互联网安全，涉及工业互联网场景下的入侵检测，具体涉及一种基于异步联邦学习的工业互联网入侵检测方法。

背景技术：

1、作为工业互联网中的一道重要防线，入侵检测系统(intrusion detectingsystem，ids)通过监视整个网络以检测攻击来维护工业互联网的安全。目前大多数与工业互联网相关的入侵检测方案都需要有足够的高质量网络攻击示例进行集中训练来构建入侵检测模型。然而，这在实际的工业场景中并非易事，一般来说，单个工业终端设备通常只有非常有限的攻击示例，这使得入侵检测模型的构建面临很大的挑战；同时，工业终端设备的所有者通常并不愿意将此类涉及大量关键的高度敏感的攻击示例(即那些异常行为示例)分享给第三方。

2、针对这个问题，目前主流的解决方式是将联邦学习(federated learning，fl)引入到入侵检测中确保以一种隐私保护的方式构建工业入侵检测模型。现有技术中提出了一种监控物联网设备安全的联邦自学习异常检测系统，将联邦学习引入到异常检测中，然而该系统仅限于单一(mirai)攻击类型。现有技术中提出利用paillier加密机制来保护局部模型参数的安全性和隐私性，但同时，这也产生了额外的计算开销，并且该模型仅适用于同域的工业cps。然而，上述相关研究对于入侵检测模型的聚合采用的都是中心化聚合的方式，容易出现单点故障、隐私泄露和模型构建过程不可信等问题。

3、为解决上述问题，考虑了区块链技术，区块链作为一个多方共同维护的分布式可信账本，由于其自身所固有的去中心化、可追溯性、不可篡改性、匿名性等特点，可以很好的解决入侵检测模型中心化聚合等所带来的问题。现有技术中的基于区块链和联邦学习的异常检测，使用上下文感知的transformer来对车辆数据的位置和时间特征进行有效建模，同时利用联盟区块链中一组可靠的共识节点交换中心服务器来处理所有局部模型更新。但是，以上现有的工业联邦入侵检测存在以下问题：

4、首先，当前工作虽然可以实现对工业流量的有效检测，但是存在着对流量数据特征提取能力和上下文感知能力不强导致的模型检测效果不理想的问题；其次，当前工作很少考虑到工业联邦入侵检测在模型的构建过程中敌手的恶意攻击对模型整体性能产生的影响。

5、考虑到当前存在的问题，需要一种能够兼顾检测效果和抗攻击能力的新型工业联邦入侵检测方法。

技术实现思路

1、有鉴于此，为解决上述现有技术的不足，本发明的目的在于提供一种基于异步联邦学习(asynchronousfederated learning，afl)的工业互联网入侵检测方法，构建基于acnn-agru的入侵检测模型，加入聚合因子，能够兼顾检测效果和抗攻击能力，解决了现有技术中工业联邦入侵检测模型对工业流量特征提取能力不强、序列数据上下文信息关注不够导致的检测效果不理想和模型构建过程中遭受恶意攻击的问题。

2、为实现上述目的，本发明所采用的技术方案是：

3、第一方面，本申请提供了一种基于异步联邦学习的工业互联网入侵检测方法，包括括以下步骤：

4、步骤一、本地工业边缘节点训练局部模型作为初始全局模型，建立创世块，根据创世块的哈希值选举出委员会领导者节点，训练轮数初始化为0；

5、步骤二、每个工业边缘节点下载最新全局模型，基于自身本地数据训练得到各自的本地模型并在节点间共享，将模型的哈希值传到区块链；

6、步骤三、委员会领导者节点根据聚合因子将最新的全局模型(wgl-1)与当前到达的局部模型(wlc)进行聚合，生成新的全局模型wgl，委员会领导者节点然后将最新的hash(wgl)上传到区块链，生成一个新的区块；并将新的全局模型wgl与所有委员会成员(工业边缘节点)共享；

7、步骤四、以训练轮数为判断指标，若小于需要训练的轮数设定值，则返回步骤二进行下一轮次训练；否则，循环终止，输出并得到最终的入侵检测模型。

8、步骤五、将待测的工业互联网流量输入到工业联邦入侵检测模型得到所述入侵检测结果。

9、进一步地，所述s1中初始全局模型为基于acnn-agru的入侵检测模型，包括基于注意力的卷积神经网络模块、基于注意力的门控循环单元模块、采用多头自注意力机制构成的模块、多层感知机模块和softmax层。

10、进一步地，所述s3中，聚合因子为新到达的局部模型分配适当的权重，削弱恶意参与者的攻击。

11、第二方面，本申请提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述第一方面所述的基于异步联邦学习的工业互联网入侵检测方法。

12、第三方面，一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述基于异步联邦学习的工业互联网入侵检测方法的步骤。

13、本发明的有益效果是：

14、本发明引入了通道注意力机制和上下文注意力机制以改进基于acnn-agru的入侵检测模型，并提出聚合因子来减轻恶意局部模型对全局模型的影响，该模型兼顾检测效果和抗攻击能力，解决了工业联邦入侵检测模型面临的单点故障、模型构建不可信、对工业流量特征提取能力不强、序列数据上下文信息关注不够导致的检测效果不理想等问题；

15、将通道注意力机制(seattention)和上下文注意力机制(cotattention)分别引入cnn与gru中，一方面可以动态地调整输出特征图中每个通道的重要性，提升cnn的特征提取能力、另一方面可以更好地帮助gru捕捉序列数据之间的上下文信息和相关性，提升模型性能；

16、基于聚合因子，综合考虑全局模型与局部模型聚合时局部模型的精度贡献度与对应工业终端信誉值之间的关系，为局部模型分配适当的权重，确保fl在遭受投毒攻击时仍可以安全高效地收敛到较高精度。

技术特征：

1.基于异步联邦学习的工业互联网入侵检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于异步联邦学习的工业互联网入侵检测方法，其特征在于，所述s1中初始全局模型为基于acnn-agru的入侵检测模型，包括基于注意力的卷积神经网络模块、基于注意力的门控循环单元模块、采用多头自注意力机制构成的模块、多层感知机模块和softmax层。

3.根据权利要求2所述的基于异步联邦学习的工业互联网入侵检测方法，其特征在于，所述基于注意力的门控循环单元模块中最后一层为上下文注意力机制。

4.根据权利要求1所述的基于异步联邦学习的工业互联网入侵检测方法，其特征在于，所述s3中，聚合因子为新到达的局部模型分配适当的权重，削弱恶意参与者的攻击，具体计算过程如下：

技术总结本发明公开了基于异步联邦学习的工业互联网入侵检测方法，首先初始化模型并选举委员会领导者节点，下发到工业边缘节点；每个工业边缘节点根据自己本地的数据训练后得到自己的局部模型并上传；委员会领导者节点根据聚合因子，为各局部模型分配适当的权重聚合重新形成新的全局模型，循环训练直到满足需要训练的次数，得到训练完成的工业联邦入侵检测模型，最后将待测工业互联网流量输入到模型中得到检测结果。本发明将区块链融入工业联邦入侵检测中以应对工业联邦入侵检测模型面临的单点故障、模型构建不可信等问题，兼顾了检测效果和抗攻击能力，有助于筑牢工业互联网安全防线。技术研发人员：张志勇,薛钦海,张航,赵可景,张中亚,张丽丽,赵长伟,于雅洁,姚运航,常亚楠受保护的技术使用者：河南科技大学技术研发日：技术公布日：2025/1/6