融合区块链与联邦学习的网络入侵检测算法.docx

融合区块链与联邦学习的网络入侵检测算法 摘要：为了保护网络用户的数据隐私，并提升入侵检测在多变小样本数据环境下的分类效果，文章采用联邦学习机制来解决网络数据存放在各独立设备并且互不共享的问题。文章提出一种融合区块链的联邦学习机制（BFL），采用区块链网络替代中央服务器构建新型联邦学习模式。结合BFL机制，设计面向轻量级网络设备的入侵检测算法（BFL-IDS），克服联邦学习过于依赖单一服务器的缺点，避免联邦学习的服务器单点故障问题。实验表明，该算法的分类正确率可以达到98.8%。进一步，在网络入侵数据检测分析框架中引入了麻雀搜索算法优化的支持向量机，改进后的入侵检测分析方法结果相比传统搜索算法检测准确率提高5.01%，误报率降低6.24%。 0 引言入侵检测系统（Intrusion Detection System,IDS）通过检测和分析网络流量、系统审核记录等来检测和识别入侵行为，以便采取有效安全措施。目前的人工智能技术，如深度学习，高度依赖训练数据的数量和多样性。在网络入侵方面，由于用户数量有限，在单一设备中无法获取足够的样本数据。同时，网络数据隐私规定，各机构不能集中设置数据池用来收集和共享用户的数据。因此，数据量的不足和入侵数据分布过于复杂分散都会导致机器深度学习入侵模型的检测性能不理想，成为当前网络安全入侵数据检测的一大瓶颈为了提升入侵检测领域面临的多变小样本数据的分类效果，本文采用最近广泛应用于分布式训练的联邦学习机制，解决了网络数据存储在单独的设备中而不彼此共享的问题。联邦学习指多个客户端在一个中央服务器的协调下进行协作训练的机器学习框架当前联邦网络学习一般都是采用中心化学习训练机制模式，这类联邦学习训练机制往往存在系统可靠性差，成本高，效率低等诸多问题。区块链技术使用类链表的账本数据块链式数据结构，按照一定时间顺序存储，并通过密码学技术保证这种分布式账本数据不会被非法篡改和恶意伪造本文提出一种融合区块链的联邦学习机制，并且设计了具有该学习机制、面向轻量级设备的网络入侵检测算法。采用联邦学习框架在保护用户隐私安全的前提下，进行协同深度学习模型训练来对网络数据进行分类。通过将区块链机制融入联邦学习，克服了联邦学习过于依赖单一服务器的缺点以解决联邦学习的服务器单点故障问题，通过NSL-KDD等代表性数据集上测试，准确率可以达到98.8%；通过网络入侵检测框架中麻雀搜索算法优化的支持向量机，相比传统支持向量机算法准确率平均提高了5.01%，误报率平均降低了6.24%1 研究现状目前，有3种常见入侵网络信息安全检测系统架构：主机型（Host-Based）、网络型（Network-Based）和主体型（Agent-Based)基于主机的入侵检测系统是一种前期以主机系统和系统的本地用户为主要检测目标的入侵检测系统。工作原理是利用系统可直接在主机检测中找到可疑主机基于主机和网络的主机入侵事件检测监控系统虽然是一个统一的网络集中式检测系统，但是，随着主机网络检测系统的物理结构变得越来越复杂和广泛，系统结构中的技术弱点或安全漏洞也将逐渐发展趋向于分布式如今，传统的入侵检测技术通过与深度学习神经网络算法相结合而不断得到改进。文献2 融合区块链的联邦学习入侵检测算法2.1 联邦学习框架入侵网络检测系统需要大量有效的网络标签分析数据进行特征提取分析学习，对于中小型民营企业或政府单位来说，其直接产生的网络标签数据很少且数据类型单一。本文通过采用联邦数据学习的设计方法使其实现了更多用户的分布式数据学习，以打破传统数据资源孤岛，聚合获取更多用户数据。在联合学习中，参与者不需要共享他们的本地训练模型数据，而是重新训练本地模型并将更新的模型发送到集中式学习单元进行汇总2.2 融合区块链的联邦学习在服务器端，每个路由器设备都有与其相关联的服务器设备（又称节点），与路由器设备相连的所有节点共同构成区块链。节点在收到各路由器设备上传的参数更新后，通过比较样本大小以及相应的本地计算时间来验证参数更新的真实性，验证通过的更新参数被存储在节点候选块中。每个区块分为头部和主体两部分：头部存放指向前一个块的指针信息，主体存放设备的本地模型更新。每个节点都有一个候选块，其中包含来自相关联的本地设备或其他节点的模型更新，候选块的填充过程一直进行，直到候选块达到预定块大小或者超出等待时间。结合Po S、BFT和VRF的基于可验证随机函数的拜占庭共识机制（VBFT）能够抵抗恶意攻击，去中心化程度和安全性高，实现了网络的快速共识。本文采用VBFT共识，其中每个区块的VRF值根据前一个区块计算得到，具体过程为提取前一个区块中的交易事务，计算1024 bit的哈希值并将该哈希值作为输出。系统将网络分为共识网络和公