CN116155592A - 一种基于dcgan联邦半监督学习的ami网络入侵检测的方法 - Google Patents

一种基于dcgan联邦半监督学习的ami网络入侵检测的方法 Download PDF

Info

Publication number
CN116155592A
CN116155592A CN202310143182.7A CN202310143182A CN116155592A CN 116155592 A CN116155592 A CN 116155592A CN 202310143182 A CN202310143182 A CN 202310143182A CN 116155592 A CN116155592 A CN 116155592A
Authority
CN
China
Prior art keywords
model
data
federal
dcgan
cloud server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310143182.7A
Other languages
English (en)
Inventor
夏卓群
周红梅
周楷鑫
曾祥君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changsha University of Science and Technology
Original Assignee
Changsha University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changsha University of Science and Technology filed Critical Changsha University of Science and Technology
Priority to CN202310143182.7A priority Critical patent/CN116155592A/zh
Publication of CN116155592A publication Critical patent/CN116155592A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供的一种保护隐私和高效通信的AMI网络入侵检测的方法,适用于智能电网领域。云服务器基于DCGAN生成器生成合成数据,进行稀疏类别平衡,然后利用合成标记数据和原始标记数据训练监督模型。集中器通过5G下载监督分类模型,利用未标记数据根据联邦蒸馏算法更新本地模型输出,进行类别预测。集中器通过5G上传本地模型输出,云服务器全局聚合得到全局模型输出,将全局模型输出输入到DCGAN模型再次进行监督训练,更新监督模型。集中器根据全局模型输出进行联邦蒸馏,返回更新本地模型输出步骤,重复训练。最后,判断监督模型是否满足收敛,若满足则说明分类模型收敛,若不满足则返回获取当前全局模型输出步骤。最后,根据DCGAN模型实现AMI网络入侵检测。

Description

一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法
技术领域
本发明涉及智能电网领域,特别涉及一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,以实现隐私保护和高效通信。
背景技术
智能电网近年来发展迅速,给用户和电网公司带来了极大的便利,例如高级量测体系(Advanced Metering Infrastructure,AMI)、需求响应和实时定价等服务。AMI作为智能电网的核心组成部分是近年来的研究重点。AMI是一个由智能电表、集中器和数据中心(云服务器)构成的综合配电网络,实现了用户和电力公司之间能源和信息的双向通信。然而,随着用户需求的逐渐增加,传输数据量也在极大剧增,给AMI网络通信带了巨大的挑战。最近,随着第五代无线通信技术(5G)的不断发展,它提供了一个大带宽、高传输速度、低通信延迟的通信网络,使得AMI网络与5G的结合成为未来一个必要的发展方向。将无线技术集成到智能电网中,将使智能电表的部署更加灵活,AMI的服务或应用更加多样化。然而,AMI系统分布广泛,网络环境极其不确定,大量的AMI设备缺乏适当的安全防御措施,使得该系统容易遭受各种安全攻击。拒绝服务攻击、虚假数据注入攻击、中间人攻击和信息重放等攻击会严重破坏AMI系统的可用性、完整性和保密性。因此,各种类型的安全攻击不仅造成了严重的经济损失,而且严重阻碍了人们正常的学习、工作和生活。
为了保护AMI网络的通信安全,采用入侵检测系统(Intrusion DetectionSystem,IDS)具有重要的意义。IDS可以通过拦截网络流量动态检测可疑或异常的行为,并及时触发警报。因此,为了实现实时监控和快速故障检测,设计一个通信高效并满足AMI网络要求的入侵检测系统至关重要。现有AMI网络中的基于深度学习(Deep Learning,DL)的入侵检测方法是基于一个强烈的假设,即可用的流量样本是足够的、标记的和对模型训练有用的。然而,基于DL的方案是通过监督学习检测异常数据,但是这些数据与训练期间的可用标记数据有一定的差异。在现实场景中,因为昂贵的数据标记成本,实际的AMI网络的特点是集中器(数据拥有方)所包含的数据大部分是没有相应标签的,且存在数据有限、缺失和不平衡的问题。此外,未标注数据的规模通常比标注数据的规模大得多,而这些大量的未标注数据很少参与监督学习过程。这种缺失导致了有用信息的丢失,甚至导致监督学习过程的失败。此外,集中式DL方法需要从集中器收集大量的网络流量数据,并将这些数据上传到云服务器,用于训练DL模型进行AMI网络入侵检测。在这种情况下,隐私敏感的网络流量数据被上传到云服务器可能被滥用,存在隐私、效率和延迟的问题。
为了解决AMI网络中集中式DL方法的隐私数据泄露问题,联邦学习(FederatedLearning,FL)在AMI网络IDS中被少量研究。基于FL的AMI网络IDS框架,允许多个集中器通过与云服务器交换模型参数协同训练共享DL模型,无需直接上传原始数据,从而保护数据隐私。然而,在AMI网络中应用传统FL框架,由于所有的AMI设备都可以直接将本地模型参数上传到云服务器,这可能会给云服务器造成很大的负担。而且随着AMI设备的增加,会造成巨大的通信开销,这将严重阻碍AMI网络IDS的实际部署。此外,攻击者可以从上传的模型参数还原客户端原始数据,这意味着基于传统FL的AMI网络IDS方案存在信息泄露的安全风险。
因此,AMI网络实现入侵检测存在的以下挑战是本领域技术人员亟需要解决的。(1)缺乏标记数据:AMI电力流量数据通常以其未标记的性质可用,而标记数据由于标记操作复杂、人力成本高和所需的时间长而具有挑战性。(2)安全和隐私:AMI网络通常容易受到多种攻击,保护用户的原始电力流量数据隐私安全至关重要,然而FL过程交换模型参数仍然存在原始电力流量数据泄漏问题,因为交换的模型参数能够被攻击者逆向推理,从而得到电力用户原始数据。(3)通信开销:在AMI网络现实环境中,集中器和云服务器地理位置相对较远,频繁地进行FL模型参数交换,将会导致通信开销高的问题,从而导致AMI网络入侵检测失败。
发明内容
本发明的目的是提供一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,以实现隐私保护和高效通信。
为解决上述技术问题,本发明提供一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,包括:
AMI设备(集中器)在本地利用未标记数据进行联邦蒸馏(FederatedDistillation,FD)训练,并将它们的本地模型输出,而不是本地模型参数,上传到云服务器进行聚合,得到全局模型输出。通过捕获更多相关特征微调监督模型参数,从而提高云服务器上少量公开标记数据的监督模型训练,监控AMI系统网络流量,实现隐私保护和高效通信的入侵检测。同时,电力用户也可以利用最终入侵检测模型对攻击进行本地监控,及时触发告警。此外,鉴于AMI系统的异构性和大数据量,设计了5G架构下的AMI系统,为集中器和云服务之间定期交换模型输出提供高连接性、高可靠性和高连通性,从而提高AMI网络联邦检测的通信效率。本发明除了用于联邦蒸馏的未标记数据外,只需要少量标记数据。
初始化步骤:参与模型训练的公开少量的标记数据被存放在云服务器中,进行监督模型训练,实现攻击检测。此外,云服务基于全局DCGAN网络的生成器生成标记数据的合成数据,平衡标记数据中的稀疏类缺失问题,提高判别器的检测性能。云服务器基于合成标记数据和原始标记数据训练鉴别器,初始化监督模型参数;
本地模型输出更新步骤:集中器获取当前云服务器的监督模型参数,利用本地未标记数据进行无监督学习,基于联邦蒸馏实现未标记数据的类别预测,并将本地模型输出而不是本地模型参数,通过5G核心网络上传至云服务器,可以大大降低入侵检测模型训练的通信开销;
全局聚合阶段:云服务器聚合各集中器上传的本地模型输出,聚合本地模型输出,得到全局模型输出。将全局模型输出,输入到全局DCGAN网络,提高监督模型的分类性能,为监督分类模型提供有价值的特征信息。最后,并将全局模型输出分发至集中器;
判断监督分类模型是否满足预设条件;
若是,则在云服务器端和电力用户端将监督分类模型监控AMI系统,实现入侵检测;
若否,则返回至本地模型输出更新步骤;
优选地,本地模型输出更新步骤,包括:
集中器收集区域内多个智能电表未标记流量数据;
随机选择集中器作为客户端参与联邦蒸馏训练;
优选地,联邦蒸馏训练,包括:
将全局模型输出和未标记流量数据作为输入,输入到本地DCGAN模型,进行无监督训练;
优选地,无监督训练,包括:
根据联邦蒸馏对未标记数据进行类别预测,更新本地模型输出;
优选地,选择的集中器将本地模型输出通过5G核心网络上传至云服务器,云服务器进行全局聚合;
优选地,全局聚合,包括:
云服务器根据FedAVG算法进行本地模型输出的全局聚合,得到全局模型输出;
将全局模型输出输入到全局DCGAN模型;
全局DCGAN模型基于全局模型输出、合成标记数据和原始标记数据进行监督训练,利用全局模型输出得到电力流量数据大量相关特征帮助监督模型训练,提高入侵检测性能。
本发明提供的一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,包括在FL训练过程中基于DCGAN充分利用未标记数据和标记数据,提高AMI网络入侵检测性能。充分利用AMI网络设备大量的未标记数据,进行本地无监督训练,从而提取相关特征信息,帮助云服务器少量标记数据的监督训练,从而实现高精度的分类效果。区别于基于深度学习的AMI网络入侵检测的方法,本发明通过使用联邦蒸馏,试图在不破坏数据隐私的情况下检测攻击,大大降低通信开销和安全风险,只将本地模型输出发送给云服务器,而不是典型联邦学习框架高通信开销和隐私泄露风险的本地模型参数。本地模型输出和全局模型输出都是softmax函数操作后的归一化的向量值,通信成本只取决于模型的输出尺寸,并不随模型大小而增加。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法的系统模型架构图;
图2为本发明实施例提供的一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法的通信流程图;
图3为本发明实施例提供的一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法的DCGAN模型图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本发明保护范围。
本发明的核心是提供一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,以实现隐私保护和高效通信。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
需要说明的是,在电力公司和客户之间的双向通信的过程中,不管是设备还是传输的数据都会面临各种网络威胁攻击,例如中间人攻击、虚假数据注入攻击和拒绝服务攻击。为确保AMI的信息机密性、完整性、可用可靠性是智能电网安全问题的核心,故本发明提供一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,适用于智能电网的电力系统领域,还可适用于数据容易被攻击的场景以防止攻击,本发明不做具体限定。
图1为本发明实施例提供的一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法的系统模型架构图,如图1所示,该方法包括:
数据中心:数据中心是部署在电力公司的云服务器,负责分析和处理集中器收集的智能电表电力数据,即FL训练的中心实体。云服务器在训练开始时,负责利用公开的少量标记数据基于DCGAN模型进行监督学习。考虑到少量公开的标记数据存在类不平衡问题,即正常样本占大部分,攻击样本占少数。在开始监督学习之前,利用DCGAN模型的生成器网络基于原始标记数据生成合成数据,然后将合成数据和原始的标记数据输入鉴别器网络进行监督学习,将初始DCGAN模型广播给集中器。此外,云服务器在每一轮通信之后聚合本地模型输出(local logits)来构建全局模型输出(global logits),然后将全局模型输出作为输入微调监督模型DCGAN,最后将全局模型输出和监督模型DCGAN广播回集中器。总的来说,云服务器不仅实现监督学习,而且实现本地模型输出聚合。
集中器:集中器是FL训练的本地客户端,拥有家庭用户的智能电表电力数据,是需要保护隐私和安全威胁的AMI网络边缘设备。智能电表通过家庭局域网与家用电器进行通信以收集数据,然而由于资源有限,电力数据被定期发送到附近的集中器进行存储和协同训练,以创建最终模型。在每一轮训练中,集中器利用大量的未标记数据执行无监督的本地蒸馏训练,然后将学习到的本地模型输出(local logits)上传到数据中心进行聚合,以得到新一轮的全局模型输出(global logits)。
5G基站:5G基站部署在集中器附近,借助5G网络切片技术提高集中器和云服务器通信频谱效率,提供低端到端的延迟,极大程度上改善AMI网络中进行FL训练的不稳定性和可连接性。集中器在本地进行蒸馏训练,本地模型输出(local logits)通过5G核心网络传输到数据中心进行聚合。
在上述实施例的基础上,图2为本发明实施例提供的一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法的通信流程图,具体包括:
步骤1:参与模型训练的公开少量的标记数据被存放在云服务器中,进行监督模型训练,实现攻击检测。此外,云服务基于全局DCGAN网络的生成器生成标记数据的合成数据,平衡标记数据中的稀疏类缺失问题,提高判别器的检测性能。云服务器基于合成标记数据和原始标记数据训练鉴别器,初始化监督模型参数。
假设有M个集中器,每个集中器m∈{1,2,...,M}拥有本地未标记数据集
Figure BDA0004088231660000061
云服务器拥有一个公开的少量标记数据集
Figure BDA0004088231660000062
入侵检测类似于分类任务,我们假设有L个类别,/>
Figure BDA0004088231660000063
是一个one-hot向量。此外,每一个集中器在本地进行无监督训练之前,都会接收到云服务器广播的监督分类模型θ0,这是基于公开的少量标记数据集训练的。
云服务器用公开的少量标记数据集训练监督分类模型θ0。考虑到标记数据集中存在类不平衡问题,将导致集中器联邦蒸馏训练失败。因此,在训练之前,利用DCGAN模型的生成器网络基于原始标记数据生成合成数据。然后,再将合成数据和原始的标记数据输入鉴别器网络进行监督学习。详细的公式表示如下。
Zi=GAUSSIAN NOISE(b)
XG=G(ω,Z)|Z∈Zi
D′=XG+Dp
Figure BDA0004088231660000071
其中b是随机数字,Zi是高斯分布生成的噪声,XG是生成器生成的合成数据,D′是鉴别器的输入,θ0是鉴别器的输出,Adam是优化器函数,D是鉴别器网络,G是生成器网络,α是学习率。
步骤2:集中器获取当前云服务器的监督模型参数θ0
步骤3:利用本地未标记数据进行无监督学习,进行模型参数更新。
每个集中器用本地大量的未标记数据基于随机梯度下降算法进行无监督训练,本地更新模型θt计算如下所示。
Figure BDA0004088231660000072
其中Ψ(.|.)表示最小化损失函数,η表示学习率,Dm,c表示未标记数据集。在入侵检测问题中,一般采用交叉熵损失函数,Ψ(Dm,c0)具体计算如下。
Figure BDA0004088231660000073
步骤4:集中器基于联邦蒸馏实现未标记数据的类别预测。
集中器m根据上一步学习的本地无监督模型,计算本地模型输出(local logits),local logits代表每个数据样本被归入每个类别的推测概率,从而实现未标记数据的类别预测。每个集中器m预测的local logits计算公式如下。
Figure BDA0004088231660000074
用矩阵
Figure BDA0004088231660000075
表示集合/>
Figure BDA0004088231660000076
步骤5:集中器将本地模型输出
Figure BDA0004088231660000077
而不是本地模型参数θt,通过5G核心网络上传至云服务器,可以大大降低入侵检测模型训练的通信开销。/>
步骤6:云服务器聚合各集中器上传的本地模型输出,聚合本地模型输出,得到全局模型输出。
云服务器对上传的本地模型输出进行聚合,得到全局模型输出
Figure BDA0004088231660000078
并进行熵减操作,主要是为了加速和稳定联邦蒸馏的过程,具体计算如下。
Figure BDA0004088231660000081
Figure BDA0004088231660000082
其中S(.|T)是T温度下的softmax函数。
步骤7:云服务器将全局模型输出globallogits,输入到全局DCGAN网络,提高监督模型的分类性能,为监督分类模型提供有价值的特征信息。
云服务器将全局模型输出
Figure BDA0004088231660000083
作为DCGAN模型的输入,帮助DCGAN模型再次进行监督训练,θt+1计算如下。
Figure BDA0004088231660000084
步骤8:云服务器将全局模型输出广播至集中器。
云服务器将全局模型输出
Figure BDA0004088231660000085
通过5G核心网络广播给所有集中器客户端。
步骤9:判断监督分类模型是否满足预设条件,若是,则进入步骤10,若否,则进入步骤11。
在步骤7中得到的监督分类模型后,判断监督分类模型是否满足预设条件,若满足,则说明当前数据训练达到监督分类模型收敛,可以跳出循环进入步骤10;若不满足,则需要根据聚合得到的全局模型输出作为下一轮的初始化参数继续训练,进入步骤11,直到监督分类模型收敛为止。
可以理解的是,预设条件可以是损失函数的损失达到某一种程度或者达到某种阈值作为判断监督分类模型的判断依据,在此不做具体说明,可以根据实际情况进行设定。
步骤10:在云服务器端和电力用户端将监督分类模型监控AMI系统,实现入侵检测。
步骤11:返回至本地模型输出更新步骤。
当监督分类模型不满足预设条件时,则将当前轮得到的全局模型输出作为下一轮初始化时的全局模型输出,返回至步骤3。
集中器根据广播的全局模型输出
Figure BDA0004088231660000086
和本地未标记数据Dm,c更新本地模型,具体来说,本地模型参数计算公式如下。
Figure BDA0004088231660000087
图3为本发明实施例提供的一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法的DCGAN模型图。
使用深度卷积生成对抗网络(DCGAN)在AMI网络上构建IDS模型,其中DCGAN不仅用于云服务器的监督训练,而且用于本地集中器的无监督训练,云服务器和本地集中器通过5G核心网络基于联邦蒸馏协同训练半监督入侵检测模型。DCGAN由鉴别器和生成器组成,双方需要通过博弈进行优化。生成器的目标是生成新的数据样本来扩充数据。同时,该鉴别器是鉴别异常数据的分类器。DCGAN是GAN的优化模型,其中CNN用于AMI网络流量的深度特征提取,CNN可以提高GAN的稳定性和训练时间。DCGAN可以表示如下。
Figure BDA0004088231660000091
其中XZ表示噪声变量,Z表示噪声向量。
基于DCGAN入侵检测模型,从随机噪声数据集XZ中选择数据Z作为DCGAN生成器的输入。XZ和Z分别是jm×km矩阵和jm×k′m矩阵,其中km和k′m分别是XZ和Z的样本大小,jm是噪声数据的特征大小。然后,生成合成数据X′Z=G(XZ),其中X′Z是km C×C矩阵。通过生成器G从随机噪声数据生成合成数据的过程可以表示如下。
Figure BDA0004088231660000092
其中,
Figure BDA0004088231660000098
表示输入数据Z,/>
Figure BDA0004088231660000097
表示生成器G的输出X′Z,/>
Figure BDA0004088231660000099
表示第ι层的输出,
Figure BDA0004088231660000094
表示第ι层转置卷积层的参数。激活函数gι是双曲线正切函数。我们使用均方误差函数(MSE)来优化生成器G,以使网络得到最优解。MSE损失函数表示如下。
Figure BDA0004088231660000095
将生成器生成的合成数据集X′Z和真实数据集
Figure BDA0004088231660000096
进行组合,生成组合数据集xC。其中,mχ是真实数据样本的数量,xi(i=1,2,3,...,mχ)是数据矩阵,XC是km+mχ矩阵。组合数据集xC用于训练鉴别器网络,鉴别器生成鉴别数据YD=D(XC),YD是2×(km+mχ)矩阵。鉴别器D是CNN,其训练过程如下所示。
Figure BDA0004088231660000101
其中X0表示输入数据X,
Figure BDA0004088231660000102
表示输出数据Y,Xι表示第ι层的输出。此外,所有池化层使用最大池化操作。同时,用/>
Figure BDA0004088231660000103
表示第ι层卷积层的参数。激活函数/>
Figure BDA0004088231660000104
使用双曲线正切函数、ReLU函数和softmax函数。损失函数使用交叉熵损失函数ζ,定义如下。
Figure BDA0004088231660000105
其中,Q′表示一批输入数据中第ι个实际值,Q表示一批输入数据中第ι个神经网络预测器,e表示一批样本的数量。交叉熵损失函数可以有效地优化CNN。
最后,对鉴别器产生的数据进行预处理,具体实现过程如下所示。
Figure BDA0004088231660000106
其中,y和y表示鉴别器第ι个数据的鉴别结果。鉴别器的输出数据Y(D)由YZ和YR组成,YZ是合成数据X′Z的判别结果,YR是真实数据XR的判别结果。然后,根据函数
Figure BDA0004088231660000107
计算YZ和YR,通过函数/>
Figure BDA0004088231660000108
具体得到真实数据和合成数据的判别能力,函数/>
Figure BDA0004088231660000109
的实现过程如下所示。
Figure BDA00040882316600001010
其中,TP、FP、FN和TN分别表示真阳性、假阳性、假阴性和真阳性样本。
通过实现纳什均衡得到最优鉴别器,具体实现过程表示如下。
Figure BDA00040882316600001011
目标函数是获得最佳鉴别器。因此,将值函数定义如下。
Figure BDA0004088231660000111
如果G是常数,则
Figure BDA0004088231660000112
可以定义为最优鉴别器。相应地,如果D是常数,则可得到最优生成器/>
Figure BDA0004088231660000113
经过一系列训练,可以得到最优鉴别器/>
Figure BDA0004088231660000114
Figure BDA0004088231660000115
Figure BDA0004088231660000116
Figure BDA0004088231660000117
以上对本发明所提供的一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如术语“包括”“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (9)

1.一种基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,包括:
初始化步骤:参与模型训练的公开少量的标记数据被存放在云服务器中,进行监督模型训练,实现攻击检测,此外,云服务基于全局DCGAN网络的生成器生成标记数据的合成数据,平衡标记数据中的稀疏类缺失问题,提高判别器的检测性能,云服务器基于合成标记数据和原始标记数据训练鉴别器,初始化监督模型参数;
本地模型输出更新步骤:集中器获取当前云服务器的监督模型参数,利用本地未标记数据进行无监督学习,基于联邦蒸馏实现未标记数据的类别预测,并将本地模型输出而不是本地模型参数,通过5G核心网络上传至云服务器,可以大大降低入侵检测模型训练的通信开销;
全局聚合阶段:云服务器聚合各集中器上传的本地模型输出,聚合本地模型输出,得到全局模型输出。将全局模型输出,输入到全局DCGAN网络,提高监督模型的分类性能,为监督分类模型提供有价值的特征信息,最后,并将全局模型输出分发至集中器;
判断监督分类模型是否满足预设条件;
若是,则在云服务器端和电力用户端将监督分类模型监控AMI系统,实现入侵检测;
若否,则返回至本地模型输出更新步骤。
2.根据权利要求1所述的基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,所述初始化步骤包括:
云服务器获取公开的少量标签数据;
云服务器初始化全局DCGAN分类模型;
云服务器基于DCGAN模型的生成器网络进行少量标签数据的稀疏类平衡,生成合成标签数据;
云服务器将合成标签数据和原始标签数据输入鉴别器网络,实现监督分类模型训练,得到初始化联邦蒸馏训练的监督分类模型参数。
3.根据权利要求2所述的基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,所述基于DCGAN模型的生成器网络进行少量标签数据的稀疏类平衡,生成合成标签数据,包括:
利用高斯函数生成随机噪声数据,随机选择噪声作为生成器网络输入。
4.根据权利要求1所述的基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,所述本地模型输出更新步骤,包括:
各集中器收集区域内多个智能电表未标记流量数据;
各集中器将未标记流量数据基于接收的监督分类模型参数进行本地无监督训练;
各集中器对未标记流量数据进行类别预测,得到本地模型输出;
各集中器将本地模型输出通过5G核心网络上传至云服务器。
5.根据权利要求4所述的基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,所述各集中器收集区域内多个智能电表未标记流量数据,包括:
各集中器收集未标记流量数据,对未标记流量数据进行预处理;
预处理包括数值化、归一化和one-hot等函数处理。
6.根据权利要求4所述的基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,所述对未标记流量数据进行类别预测,得到本地模型输出,包括:
本地模型输出是通过联邦蒸馏算法实现的,softmax函数操作处理后的向量值即为本地模型输出。
7.根据权利要求1所述的基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,所述全局聚合阶段,包括:
云服务器下载各集中器上传的本地模型输出;
云服务器通过联邦平均算法处理本地模型输出,得到全局模型输出;
云服务器将全局模型输出输入至全局DCGAN模型,基于合成标签数据和原始数据再次进行监督分类模型训练,获取监督分类模型参数;
判断监督分类模型是否满足预设条件;
将监督分类模型参数通过5G核心网络分发至各集中器。
8.根据权利要求6所述的基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,所述云服务器通过联邦平均算法处理本地模型输出,得到全局模型输出,包括:
联邦蒸馏聚合算法使用联邦平均算法,等同于传统联邦学习的聚合算法,全局模型输出,即softmax函数操作处理后的向量值。
9.根据权利要求6所述的基于DCGAN联邦半监督学习的AMI网络入侵检测的方法,其特征在于,所述判断监督分类模型是否满足预设条件,包括:
预设条件是监督分类模型损失函数的损失达到某一种程度或者达到某种阈值作为判断全局模型参数的判断依据;
若满足,则在云服务器端和电力用户端将监督分类模型监控AMI系统,实现入侵检测;
若不满足,则返回至本地模型输出更新步骤,即权力4所述步骤。
CN202310143182.7A 2023-02-21 2023-02-21 一种基于dcgan联邦半监督学习的ami网络入侵检测的方法 Pending CN116155592A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310143182.7A CN116155592A (zh) 2023-02-21 2023-02-21 一种基于dcgan联邦半监督学习的ami网络入侵检测的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310143182.7A CN116155592A (zh) 2023-02-21 2023-02-21 一种基于dcgan联邦半监督学习的ami网络入侵检测的方法

Publications (1)

Publication Number Publication Date
CN116155592A true CN116155592A (zh) 2023-05-23

Family

ID=86355943

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310143182.7A Pending CN116155592A (zh) 2023-02-21 2023-02-21 一种基于dcgan联邦半监督学习的ami网络入侵检测的方法

Country Status (1)

Country Link
CN (1) CN116155592A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117910539A (zh) * 2024-03-19 2024-04-19 电子科技大学 一种基于异构半监督联邦学习的家庭特征识别方法
CN117910539B (zh) * 2024-03-19 2024-05-31 电子科技大学 一种基于异构半监督联邦学习的家庭特征识别方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117910539A (zh) * 2024-03-19 2024-04-19 电子科技大学 一种基于异构半监督联邦学习的家庭特征识别方法
CN117910539B (zh) * 2024-03-19 2024-05-31 电子科技大学 一种基于异构半监督联邦学习的家庭特征识别方法

Similar Documents

Publication Publication Date Title
Li et al. DeepFed: Federated deep learning for intrusion detection in industrial cyber–physical systems
CN107770263B (zh) 一种基于边缘计算的物联网终端安全接入方法及系统
CN111818052B (zh) 基于cnn-lstm的工控协议同源攻击检测方法
US11303652B2 (en) System and method for generating data sets for learning to identify user actions
WO2022083353A1 (zh) 异常网络数据检测方法、装置、计算机设备和存储介质
Salinas et al. Privacy-preserving energy theft detection in microgrids: A state estimation approach
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN110557447B (zh) 一种用户行为识别方法、装置及存储介质和服务器
Efstathopoulos et al. Operational data based intrusion detection system for smart grid
CN109347829B (zh) 一种基于隐私保护的群智感知网络真值发现方法
CN111935168A (zh) 面向工业信息物理系统的入侵检测模型建立方法
Gu et al. Multiple‐Features‐Based Semisupervised Clustering DDoS Detection Method
Mirzaee et al. Fids: A federated intrusion detection system for 5g smart metering network
CN114330544A (zh) 一种业务流量异常检测模型建立方法及异常检测方法
Dairi et al. Semi-supervised deep learning-driven anomaly detection schemes for cyber-attack detection in smart grids
Erroutbi et al. Secure and lightweight HMAC mutual authentication protocol for communication between IoT devices and fog nodes
Shan et al. NeuPot: A neural network-based honeypot for detecting cyber threats in industrial control systems
Algarni et al. P3S: Pertinent Privacy Preserving Scheme for Remotely Sensed Environmental Data in Smart Cities
Li et al. A physical layer authentication mechanism for IoT devices
CN110097017B (zh) 输电网络特型电表监控系统及方法
CN116155592A (zh) 一种基于dcgan联邦半监督学习的ami网络入侵检测的方法
CN112469034B (zh) 能安全认证物理感知设备的物联网网关装置及其接入方法
CN110912906B (zh) 一种边缘计算恶意节点识别方法
CN111262862B (zh) 基于单独组网及数据加密的工控系统数据处理系统及方法
CN114205816A (zh) 一种电力移动物联网信息安全架构及其使用方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination