《Knowledge-Based Systems》:Intrusion Detection in Networks using Ensemble-Based Deep Federated Learning
编辑推荐:
物联网入侵检测中基于联邦学习的集成模型研究,提出结合残差自编码器、注意力胶囊网络和双向LSTM的联邦学习框架,通过本地训练与参数聚合提升隐私保护下的攻击检测精度,在Edge-IIoT数据集上达到99.23%准确率。
Dhanraj Somaling Jadhav | Sneha R Jadhav-Mane | Kayan Devappa Bamane | Sonal Suresh Mohite | Abhijit Janardan Patankar | Arati Sidu Gaikwad
助理教授,信息技术系,DY Patil工程学院,Akurdi,Pune-411044,印度
摘要
物联网(IoT)设备的迅猛发展对互联系统在隐私和安全方面带来了独特的挑战。随着网络攻击数量的增加,可扩展的入侵检测系统(IDS)已成为所有组织的必备工具。在应对网络攻击时,现有的方法难以捕捉空间和时间特征。当边缘系统的数量增加时,由于缺乏多样性而存在权衡问题。因此,提出了基于联邦学习(FL)的IDS,以确保隐私保护、准确检测攻击并降低成本,这些在传统的集中式机器学习IDS中难以实现。基于FL的模型提供了隐私优势,但仍面临通过用户数据合作被对手规避的漏洞。因此,评估了集成模型作为改进攻击检测和分类的潜在解决方案。本研究介绍了一种基于集成的深度联邦学习模型(E-DFL)驱动的IDS框架,用于物联网应用。该概念使用残差自编码器、注意力胶囊网络和堆叠双向长短期记忆(Bi-LSTM)作为基础分类器来生成集成数据。然后,元分类器使用来自不同客户端的集成模型更新创建的全球模型对测试集进行最终入侵检测。与传统的FL方法相比,E-DFL模型提供了更好的用户隐私保护。使用Edge-IIoT网络安全数据集评估了所提出的E-DFL方法的有效性,准确率达到99.23%。
引言
信息和通信技术(ICT)涵盖了广泛的技术,这些技术促进了信息的创建、传输和接收[1]。ICT使人们能够在全球范围内进行交流、工作和互动。ICT的广泛应用及其进步改变了日常活动。ICT通过实现实时操作,改善了个人和组织的决策能力[2,3]。数字信息在网络中的传输引入了危害企业和个人的漏洞。因此,强大的网络安全措施对于保护隐私、真实性和可访问性至关重要。网络安全被视为多层网络设计的第一道防线[4,5]。IDS持续监控网络中的可疑行为,并在检测到威胁时发送通知。早期检测可以防止数据泄露并允许采取补救措施。IDS使用硬件或软件在多个位置监控入侵[6]。
物联网(IoT)是一种通信技术,它利用传感器将物品连接到互联网,使它们能够感知物体、相互交流以及传输数据[7]。连接到网络的IoT设备数量每天都在增加;一些应用包括农业、电子健康等领域。与IoT设备采用相关的问题包括安全性、可扩展性和可靠性。IoT设备通过易受攻击的通信协议连接到互联网,这导致了安全漏洞[8,9]。为了缓解安全威胁,这些问题对IoT生态系统提出了挑战,并需要不同标准和协议之间的合作。IoT应用的分布式特性引发了网络组织和安全方面的问题。因此,需要IDS来保护IoT应用免受网络威胁[10]。这个问题可以通过反应性或主动性技术来解决。
IDS分为三种类型:基于签名的、基于异常的和混合型IDS。基于签名的方法效率低下,因为它仅适用于已知攻击,并且需要专业知识来检测威胁[11]。基于异常的IDS因其较少的人为干预而受到欢迎,而混合方法结合了基于签名和基于异常的IDS。由于基于签名的方法在IoT网络中的应用有限,基于异常的IDS在IoT网络IDS中起着重要作用[12,13]。常见的网络攻击包括拒绝服务(DoS)、用户到根(U2R)、探测和远程到本地(R2L)。然而,由于连接到网络的大量IoT设备,这些攻击难以检测。现有研究使用机器学习技术来检测入侵[14]。然而,IoT设备产生的大量数据对传统数据处理方法构成了障碍;因此,机器学习方法被认为对深入研究很有帮助。因此,研究使用深度学习(DL)方法来检测入侵,这些方法比传统学习算法更可靠地提取信息[15,16]。
DL方法包括卷积神经网络(CNN)、深度信念网络(DBN)、循环神经网络(RNN)等。DL模型使用层次结构从输入中提取特征,并以监督、无监督或半监督的方式训练。由于特定配置、网络拓扑等原因,不同网络会经历不同的攻击。因此,有必要从多个网络收集数据并训练模型以检测攻击[17,18]。然而,由于高成本、计算开销、复杂性增加和隐私问题,将数据传输到中央服务器是困难的。由于隐私问题,在中央服务器上存储数据是不可行的。在IoT网络中,每个节点都有能力在本地处理数据;因此,每个节点被设计为在本地训练模型,并仅与中央服务器共享参数[19,20]。服务器汇总参数以形成聚合模型,然后用于检测入侵。
动机:物联网技术在系统转型中发挥着重要作用,包括智能农业、智慧城市和智能健康。然而,大规模部署IoT设备由于其处于无人监督的环境中,引发了安全问题。由于IoT设备通过无线网络连接,黑客可以侵入通信渠道并获取敏感数据。由于能源和计算资源有限,IoT设备在实施强大的安全措施方面经常面临挑战。这需要开发预防措施来抵御威胁。已经引入了IDS来保护IoT系统免受威胁;然而,由于容量、能源、连接性等方面的限制,传统的IDS效果不佳且不足。因此,使用机器学习/深度学习方法来检测良性行为和异常行为。因此,本研究提出了一种用于检测网络入侵的E-DFL。所提出的入侵检测系统的主要目标如下:
- 提出了一种针对IoT入侵检测的E-DFL方法,以增强安全性并有效检测IoT网络上的各种攻击类型。
- 结合了三种深度学习分类器(残差AE、堆叠Bi-LSTM和注意力胶囊网络)来生成局部模型的权重。然后使用这些权重提取空间和时间信息以检测各种类型的攻击。
- 为了汇总不同的用户权重,联邦服务器使用了带有动量的联邦平均算法来生成聚合权重。
- 使用Edge-IIoT数据集评估了与传统集中式学习方法相比的性能。
本研究的结构如下:第2节讨论了基于联邦学习的DL方法在IoT系统中的入侵识别方面的当前研究。第3节描述了所提出的基于集成的深度联邦学习。第4节解释了结果和讨论。第5节讨论了结论和未来的工作。
通信技术的发展导致了连接系统和网络流量的增加。因此,Ons Aouedi等人[21]采用了一种联邦混合方法进行入侵检测(F-BIDS)。FL模型存在漏洞;因此,通过结合多个模型来增强攻击检测。从Edge-IIoTset和InSDN数据集收集的数据经过特征映射预处理,以转换分类特征,然后进行最小-最大处理
计算机网络在各种功能中的使用正在迅速增长,尤其是在关键基础设施中。当今关键基础设施中计算机网络的快速扩展提高了效率和可靠性,但也增加了网络攻击的风险。最近,DL算法被应用于各种应用;然而,它们经常引发隐私问题。联邦学习作为一种潜在策略,已被开发出来解决这些问题。
这部分详细描述了实验设置、数据集描述、用于结果分析的性能参数以及来自提出和现有研究的模拟结果。首先,从edge IIoT数据集收集的数据按80:20的比例划分,其中80%用于训练,20%用于测试。本研究中使用的实验设置在表2中提供。
本研究重点关注使用E-DFL来保护IoT数据。网络系统中网络攻击的增加使得开发可扩展的入侵检测系统变得更加困难。因此,所提出的E-DFL模型结合了残差自编码器、堆叠Bi-LSTM和注意力胶囊网络,创建了一个用于检测edge IIoT数据集中入侵的聚合全局模型。数据为每个用户在本地进行训练,仅交换本地训练参数以进行协作
本手稿的准备工作未获得任何资金支持。
Dhanraj Somaling Jadhav:撰写——原始草稿、可视化、监督、概念化。
Sneha R Jadhav-Mane:撰写——审阅与编辑、验证、软件。
Kayan Devappa Bamane:监督、项目管理、概念化。
Sonal Suresh Mohite:可视化、监督、软件。
Abhijit Janardan Patankar:撰写——审阅与编辑、形式分析、概念化。
Arati Sidu Gaikwad:监督、软件、资源。
无利益冲突
