基于跨组织图联邦学习和区块链的网络入侵检测方法技术

本发明专利技术提出一种基于跨组织图联邦学习和区块链的网络入侵检测方法

【技术实现步骤摘要】
基于跨组织图联邦学习和区块链的网络入侵检测方法


[0001]本专利技术属于网络安全
，具体是一种基于跨组织图联邦学习和区块链的网络入侵检测方法
。

技术介绍

[0002]随着互联网的广泛应用和人们对网络依赖程度的逐步加升，网络安全问题
(
包括
DDoS
攻击
、Web
攻击等
)
日益突出
[1]，造成巨大的经济损失，甚至严重威胁到国家
、
社会的安全和稳定
。Splunk
公司发布的
《2023
年安全现状报告
》(https://www.splunk.com/zh_cn/campaigns/state
‑
of
‑
security.html)
中指出，
62
％受访者的业务关键型应用至少每月都会出现因网络安全事件导致的意外停机，这一比例高于
2022
年的
54
％
。
如何有效地识别和防护网络攻击行为已成为当前亟需解决的问题
。
[0003]作为网络防护的重要防御手段，网络入侵检测旨在监测潜在网络入侵行为，及时发现恶意活动
[2]，在交通
、
物联网安全
、
工业控制等领域均有广泛应用
。
机器学习的许多研究运用在网络入侵检测中
。
传统机器学习方法
(
例如：支持向量机
、
人工神经网络和遗传算法
)
通常需要人工选取特征
[3]，难以实现准确的分析和预测目标
。
通过自动提取样本数据的内在规律和表示层次，深度学习能够从数据中捕捉和识别网络中的异常和恶意活动
[4]。
尽管如此，随着网络规模的扩大
、
攻击手段和种类的不断进化，基于深度学习的入侵检测依然面临许多挑战
。
[0004]挑战性问题和相关工作：
[0005]1、
数据孤岛问题
[0006]数据孤岛问题
[5]指数据存储在各个组织，无法集中式训练和模型更新
。
各组织单纯依赖本地数据进行训练，导致模型质量难以提升
。
作为一种分布式机器学习范式，联邦学习
(Federated Learning,FL)
保证各参与方拥有数据的绝对控制权，只需将本地模型参数上传至协调员
(
即中心控制器
)。
协调员负责参数聚合，形成全局模型，并分发给各参与方
。
这种“数据不动模型动”的协同训练模式破解了数据孤岛问题
。
[0007]FL
分为跨设备
FL
和跨组织
FL[6]。
与拥有大量本地设备的跨设备
FL
不同，跨组织
FL
包含二到几十个组织
(
公司或学校
)。
这些组织参加每一轮的模型训练
。
通过引入一种客户端过滤和局部模型加权策略，
DAFL[7]可以减少训练过程中表现不佳的局部模型对全局模型的影响
。
同时该方法可以减少通信开销，提高入侵检测的全局模型性能
。Zhao et al.
[8]提出了一种基于半监督跨设备联邦学习的入侵检测方法
。
通过卷积神经网络模型提取流量包的深层特征，该方法利用未标记的开放数据来提高网络流分类器的性能
。XGBoost[9]是一种跨组织联邦学习方法，融合了基于匿名的数据聚合和局部差异隐私，用于解决异常检测问题
。
[0008]2、
特征提取能力受限
[0009]网络流具有复杂的拓扑结构
[10]，包括节点之间的连接关系
、
交互模式和传播行为等
。
传统的特征提取方法通常只关注单个节点或局部的特征，难以捕捉和利用拓扑结构
信息
。
通过将网络流表示为图结构，图神经网络
(Graph Neural Network,GNN)
能够直接操作和学习网络流中丰富的结构信息
、
节点和边的属性信息
[11]，从而识别异常行为和入侵攻击
。Anomal
‑
E[12]以自监督的方式结合并利用边特征和图的拓扑结构来检测网络入侵和异常
。Xiao et al.[13]构建了一种图注意力网络模型
CAN
‑
GAT
，通过捕捉不同流量字节状态之间的相关性提高异常检测准确性
。
通过网络嵌入特征表示，
Zhang et al.[14]提出了一种基于图神经网络的入侵检测通用框架
。
该框架用于处理工业互联网中的高维冗余但类别不平衡和罕见的标记数据，能够区分网络攻击和物理故障
。
[0010]3、
模型安全可信问题
[0011]攻击者可能试图获取存储在协调员处的模型，从中获得敏感信息
[15][16]或反推参与方的私密的数据集信息
[17][18]。
区块链是一个公共分布式账本，具备潜力来解决分布式环境下的模型安全问题
。
所有参与者必须达成共识才能更改区块链中的内容
[19][20]，由此保证模型数据的完整性和不可篡改性
。Liu et al.[21]提出了一种基于
FL
和区块链的协作式入侵检测机制
。
多方聚合的方法降低了中央服务器的资源利用率，并且区块链确保了全局模型的安全性
。BFLC[22]是一个基于区块链的去中心化联邦学习框架
。
不依赖集中式服务器，该框架使用区块链进行全局模型存储和本地模型更新交换
。
通过引入上下文感知的变压器网络，
FED
‑
IDS[23]能够学习不同攻击的车辆交通流的时空表示
。
矿工确认来自车辆的分布式本地更新，以阻止不可靠的更新存储在区块链上
。

技术实现思路

[0012]为了解决现有技术中存在的上述问题，针对大规模网络入侵检测，本专利技术提出一种基于区块链赋能的跨组织图联邦学习
(Blockchain
‑
empowered Cross
‑
silo Graph Federated Learning,B
‑
CGFL)
和区块链的大规模网络入侵检测方法
。
本方法是在网络场景中，采用全局入侵检测模型对网络入侵进行检测；全局入侵检测模型简称全局模型；
[0013]网络场景被分为多个区域；
[0014]在任一区域中，由本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于跨组织图联邦学习和区块链的网络入侵检测方法，其特征是在网络场景中，采用全局入侵检测模型对网络入侵进行检测；全局入侵检测模型简称全局模型；网络场景被分为多个区域；在任一区域中，由一个协调员来管理区域内的多个组织；通过跨组织图联邦学习
CGFL
方法进行全局模型训练：各个组织分析本地网络流信息，训练图神经网络
GNN
作为本地网络入侵检测模型来识别不同的流量类型，本地网络入侵检测模型简称本地模型；协调员聚合区域内所有组织上传的本地模型参数，形成群聚优化模型参数作为全局模型参数；由链下数据提供方根据全局模型参数对全局模型进行测试，获得准确率，并反馈给相应区域的协调员，协调员广播其全局模型参数信息以及准确率信息；各个区域的协调员的全局模型参数通过竞争的方式上链；网络场景中，令
C
代表所有协调员的集合；任一区域的协调员
c∈C
在首次训练之前随机初始化全局模型参数；在第
r
次训练中，组织
o∈O
从协调员
c
处下载存储在区块链的
W
(r
‑
1)*
以及分发到密钥；组织
o
在本地数据集
H
o
上更新
W
(r
‑
1)*
，得到局部模型参数组织在上传至协调员时与分发的密钥相结合；秘密分享的实现过程：首先，一个秘密数字
x
r
和
Y
‑1个随机数被生成，其中
Y
＝
|O|
，即协调员
c
管辖范围内组织的数量；然后，计算第
Y
个数最后，令子秘密这
Y
个子秘密被分发到组织
o∈{1,
…
,O}
；组织
o
在更新本地参数后在模型参数中添加子秘密更新后的局部模型参数被表示为加密后的本地模型上传至协调员
c
；协调员
c
聚合管辖范围内所有组织的模型参数；由于各个子秘密都是随机分布的，当所有子秘密合并在一起时，上传的模型才被解密；通过联邦聚合原始的本地模型参数，协调员
c
得到全局模型参数，即经过多轮迭代之后，协调员
c
获得最优全局模型参数，表示为
W
c*
；当训练出最佳全局模型参数后，协调员向智能合约发送全局模型参数的哈希值；由链下数据提供方采用公共入侵检测数据集测试最优全局模型参数对应的最优全局模型的准确率，流程包括：步骤
①
：协调员
c
将
W
c*
的哈希发送给智能合约；步骤
②
：智能合约记录
W
c*
的哈希值，并调用预言机
Oracle
服务合约，请求获取对应的完整参数信息；
Oracle
节点收到请求，生成任务，分发给选定的
oracle
节点
n
；步骤
③
：
Oracle
节点
n
利用硬件安全模块
HSM
获取完整的
W
c*
；步骤
④
：
Oracle
节点
n
使用公钥加密
W
c*
，传输给授权的链下数据提供方；步骤
⑤
：链下数据提供方在隔离的安全环境中使用私钥解密
W
c*
；通过本地存储的公共入侵测试数据集，计算得到准确率
A
c
；步骤
⑥
：链下数据提供方使用数字证书对
A
c
签名，并将
A
c
及其数字签名发送给
Oracle
节
点
n
；步骤
⑦
：
Oracle
节点
n
接收到数字签名和
A
c
后验证签名的正确性；步骤
⑧
：验证通过后，
oracle
节点
n
通过调用在智能合约中预先定义的回调函数将
A
c
及其签名提交给智能合约；步骤
⑨
：智能合约再次验证签名是否有效；步骤
⑩
：验证通过后，智能合约将通过验证的
A
c
返回给协调员
c
；最后
oracle
节点
n
和链下数据提供方删除
W
c*
的副本
。2.
根据权利要求1所述的基于跨组织图联邦学习和区块链的网络入侵检测方法，其特征是各个区域的多个协调员共同维护一个区块链，依赖基于信誉值的共识机制
PoR
共识机制保证全局模型的安全更新
、
...

【专利技术属性】
技术研发人员：沈航，周妍婧，王天荆，白光伟，
申请(专利权)人：南京工业大学，
类型：发明
国别省市：