CN117560183A - 车联网实时入侵检测方法、装置及系统 - Google Patents

车联网实时入侵检测方法、装置及系统 Download PDF

Info

Publication number
CN117560183A
CN117560183A CN202311504777.7A CN202311504777A CN117560183A CN 117560183 A CN117560183 A CN 117560183A CN 202311504777 A CN202311504777 A CN 202311504777A CN 117560183 A CN117560183 A CN 117560183A
Authority
CN
China
Prior art keywords
real
internet
intrusion
vehicles
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311504777.7A
Other languages
English (en)
Inventor
瞿治国
蔡子泓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Information Science and Technology
Original Assignee
Nanjing University of Information Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Information Science and Technology filed Critical Nanjing University of Information Science and Technology
Priority to CN202311504777.7A priority Critical patent/CN117560183A/zh
Publication of CN117560183A publication Critical patent/CN117560183A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/098Distributed learning, e.g. federated learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/82Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Medical Informatics (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种车联网实时入侵检测方法、装置及系统,所述车联网实时入侵检测方法包括获取预先基于自注意力机制和残差网络构建的入侵行为检测模型,所述入侵行为检测模型是基于联邦学习方法训练获得;将获取到的实时车联网流量数据预处理后,生成对应的图像数据;将所述图像数据送入所述入侵行为检测模型,计算出该实时车联网流量数据的异常概率,完成车联网实时入侵检测。本发明具有高效检测网络流量攻击的能力,能够提高车联网环境下攻击检测能力和用户隐私的安全性。

Description

车联网实时入侵检测方法、装置及系统
技术领域
本发明属于数据安全技术领域,具体涉及一种车联网实时入侵检测方法、装置及系统。
背景技术
车联网指的是通过无线通信和互联网技术,将车辆与外部网络和其他车辆连接起来,从而实现车辆之间、车辆与基础设施之间的实时数据交换和通信。这种互联性为人们驾驶提供了许多便利,如实时交通信息、自动驾驶功能、远程诊断和维护等,但同时也带来了一系列数据安全问题,例如车载用户的数据隐私问题,车辆每天都会产生大量数据,包括车辆状态、位置信息、盗取信息等。这些数据极易遭到外来的网络攻击,从而造成信息失窃或被恶意使用,因此如何确保这些数据的隐私和机密性至关重要。
入侵检测系统(Intrusion Detection System,简称IDS)是一种通过监控计算机网络或系统,用于识别和检测可能的安全漏洞、攻击和异常活动的安全技术。IDS主要分为两种类型:网络入侵检测系统和主机入侵检测系统,二者分别从流量端和主机端对攻击进行主动检测和识别。目前,车联网领域内的网络入侵检测系统主要基于深度学习技术进行构建,事实表明,由于深度学习技术能够有效从海量复杂数据中学习和建模,因此,基于车联网的网络入侵检测系统取得了巨大成功。但由于传统的在中央服务器上进行的集中式训练容易出现单点故障问题,并且用户在传输个人数据到中央服务器的过程中存在的数据泄露问题,均导致传统的中心化学习在车联网中不太可取。联邦学习是替代集中式学习的一种有效方式,它是由Google于2016年提出的分布式机器学习技术,旨在保护用户数据隐私的前提下,实现多个设备或数据源之间的模型训练和知识共享,同时联邦学习也非常符合车联网的应用场景。此外,由于车联网中的边缘设备(如汽车)或边缘服务器(如路牌,基站)存在资源受限的问题,导致复杂的深度学习模型无法直接使用,因此只有将模型进行轻量化后,才能在边缘设备或服务器上进行部署。最后,网络攻击的不确定性和多样性致使入侵检测系统需要同时具备相当的检测能力和快速反应能力,二者的平衡非常重要。
发明内容
针对上述问题,本发明提出一种车联网实时入侵检测方法、装置及系统,具有高效检测网络流量攻击的能力,能够提高车联网环境下攻击检测能力和用户隐私的安全性。
为了实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
第一方面,本发明提供了一种车联网实时入侵检测方法,应用于边缘服务器,包括:
获取预先基于自注意力机制和残差网络构建的入侵行为检测模型,所述入侵行为检测模型是基于联邦学习方法训练获得;
将获取到的实时车联网流量数据预处理后,生成对应的图像数据;
将所述图像数据送入所述入侵行为检测模型,计算出该实时车联网流量数据的异常概率,完成车联网实时入侵检测。
可选地,所述入侵行为检测模型包括顺次设置的第一卷积层、SA-ResnetV2-depthwise层、自适应平均池化层、全连接层和归一化层,所述入侵行为检测模型的输入数据为车联网流量数据,其输出数据为异常概率;
其中,所述SA-ResnetV2-depthwise层包括:顺次设置的输入层、1x1的第二卷积层、3x3的深度卷积层、1x1的点卷积层、1x1的第三卷积层、自注意力机制层,以及残差连接;所述残差连接分别连接所述输入层的输入端和自注意力机制层的输出端,作为SA-ResnetV2-depthwise层的输出。
可选地,所述SA-ResnetV2-depthwise层的对第一卷积层输出的特征图A1的执行以下步骤:
所述第一卷积层输出的特征图A1经过BN标准化和Relu非线性激活后,由所述1x1的第二卷积层进行特征提取,生成特征图A2;
所述特征图A2经过BN标准化和Relu非线性激活后,由所述3x3的深度卷积层将特征图A2转化为特征图A3;
所述特征图A3经过BN标准化和Relu非线性激活后,由所述1x1的点卷积层进行特征提取,得到特征图A4;
利用所述1x1的第三卷积层对特征图A4进行特征提取,得到特征图A5;
采用自注意力机制层捕捉特征图A5中不同通道间的长距离依赖关系,得到特征图A6;
使用残差连接将特征图A6与输入的特征图A1进行加法操作,进行特征融合,生成特征图A7。
可选地,所述入侵行为检测模型采用交叉熵函数作为损失函数;
对于二分类场景,所述损失函数为二元交叉熵损失函数,表达式为:
L(y,p)=-[y·log(p)+(1-y)·log(1-p)]
对于多分类场景,所述损失函数为多元交叉熵损失函数,表达式为:
其中,L(y,p)为损失值,y代表真实标签,yi代表真实标签的第i个元素;p是模型的预测概率,位于0到1之间;pi是预测概率分布的第i个元素。
可选地,所述入侵行为检测模型的训练方法包括:
接收中央服务器发送的初始入侵行为检测模型;
使用本地数据集对初始入侵行为检测模型进行一定轮数的训练,获得模型参数,并发送至中央服务器,使得中央服务器在收到所有边缘服务器上传的模型参数后,对模型参数进行聚合,获得全局聚合模型参数,并将全局聚合模型参数发送至边缘服务器,以更新边缘服务器的模型参数。
可选地,在进行模型参数聚合时,采用的计算公式为:
其中,为第t轮聚集时边缘服务器Ci上传的模型参数,ωt为全局聚合模型参数,为边缘服务器总数,/>为/>个边缘服务器拥有的总的数据子集,|Di|为第i个边缘服务器拥有数据子集的个数。
可选地,所述入侵行为检测模型的训练方法还包括:使用八位后量化压缩技术压缩各边缘服务器模型参数。
可选地,所述实时车联网流量数据包括:数值数据和非数值数据;
所述将获取到的实时车联网流量数据预处理后,生成对应的图像数据,包括:
将所述非数值数据处理为数值数据;
对所有数值数据进行归一化处理,并进行降维处理;
将降维后的数据转换为二维图像。
第二方面,本发明提供了一种车联网实时入侵检测装置,包括:
获取模块,用于获取预先基于自注意力机制和残差网络构建的入侵行为检测模型,所述入侵行为检测模型是基于联邦学习方法训练获得;
预处理模块,用于将获取到的实时车联网流量数据预处理后,生成对应的图像数据;
检测模块,将所述图像数据送入所述入侵行为检测模型,计算出该实时车联网流量数据的异常概率,完成车联网实时入侵检测。
第三方面,本发明提供了一种车联网实时入侵检测系统,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据第一方面中任一项所述的方法。
与现有技术相比,本发明的有益效果:
本发明使用自注意力机制来捕捉车联网攻击的关键行为特征,配合残差网络的强大提取能力,从而可以很好地从海量复杂的流量数据中挖掘出可能的攻击行为。进一步地,入侵行为检测模型的轻量化设计和八位后量化压缩技术的使用,使得本发明具有实时检测攻击的性能,能够高效地检测网络流量攻击,为管理员和安全团队后续的防御提供了便利
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图,其中:
图1为本发明一种实施例的车联网实时入侵检测方法的原理图;
图2为本发明一种实施例的入侵行为检测模型的结构图;
图3为本发明一种实施例的联邦学习训练的原理图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外,若本发明实施例中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
实施例1
本发明实施例中提供了一种车联网实时入侵检测方法,应用于边缘服务器,包括以下步骤:
(1)获取预先基于自注意力机制和残差网络构建的入侵行为检测模型,所述入侵行为检测模型是基于联邦学习方法训练获得;
(2)将获取到的实时车联网流量数据预处理后,生成对应的图像数据;
(3)将所述图像数据送入所述入侵行为检测模型,计算出该实时车联网流量数据的异常概率,完成车联网实时入侵检测。
在本发明实施例的一种具体实施方式中,如图2所示,所述入侵行为检测模型包括顺次设置的第一卷积层、SA-ResnetV2-depthwise层、自适应平均池化层、全连接层和归一化层,所述入侵行为检测模型的输入数据为车联网流量数据,其输出数据为异常概率;
其中,所述SA-ResnetV2-depthwise层包括:顺次设置的输入层、1x1的第二卷积层、3x3的深度卷积层、1x1的点卷积层、1x1的第三卷积层、自注意力机制层,以及残差连接;所述残差连接分别连接所述输入层的输入端和自注意力机制层的输出端,作为SA-ResnetV2-depthwise层的输出。
所述SA-ResnetV2-depthwise层的对第一卷积层输出的特征图A1的执行以下步骤:
所述第一卷积层输出的特征图A1经过BN标准化和Relu非线性激活后,由所述1x1的第二卷积层进行特征提取,生成特征图A2;
所述特征图A2经过BN标准化和Relu非线性激活后,由所述3x3的深度卷积层将特征图A2转化为特征图A3;
所述特征图A3经过BN标准化和Relu非线性激活后,由所述1x1的点卷积层进行特征提取,得到特征图A4;
利用所述1x1的第三卷积层对特征图A4进行特征提取,得到特征图A5;
采用自注意力机制层捕捉特征图A5中不同通道间的长距离依赖关系,得到特征图A6;
使用残差连接将特征图A6与输入的特征图A1进行加法操作,进行特征融合,生成特征图A7。
其中,所述自注意力机制层采用的计算公式为:
其中,l和/>分别代表查询、键和值的三个向量,/>代表比例因子。
在本发明实施例的一种具体实施方式中,所述入侵行为检测模型采用交叉熵函数作为损失函数;
对于二分类场景,所述损失函数为二元交叉熵损失函数,表达式为:
L(y,p)=-[y·log(p)+(1-y)·log(1-p)]
对于多分类场景,所述损失函数为多元交叉熵损失函数,表达式为:
其中,L(y,p)为损失值,y代表真实标签,yi代表真实标签的第i个元素;p是模型的预测概率,位于0到1之间;pi是预测概率分布的第i个元素。
在本发明实施例的一种具体实施方式中,所述入侵行为检测模型的训练方法包括:
接收中央服务器发送的初始入侵行为检测模型;
使用本地数据集对初始入侵行为检测模型进行一定轮数的训练,获得模型参数,并发送至中央服务器,使得中央服务器在收到所有边缘服务器上传的模型参数后,对模型参数进行聚合,获得全局聚合模型参数,并将全局聚合模型参数发送至边缘服务器,以更新边缘服务器的模型参数。
其中,在进行模型参数聚合时,采用的计算公式为:
其中,为第t轮聚集时边缘服务器Ci上传的模型参数,ωt为全局聚合模型参数,为边缘服务器总数,/>为/>个边缘服务器拥有的总的数据子集,|Di|为第i个边缘服务器拥有数据子集的个数。
在本发明实施例的一种具体实施方式中,所述实时车联网流量数据包括:数值数据和非数值数据;
所述将获取到的实时车联网流量数据预处理后,生成对应的图像数据,包括:
将所述非数值数据处理为数值数据;
对所有数值数据进行归一化处理,并进行降维处理;
将降维后的数据转换为二维图像。
下面结合一具体实施方式对本发明实施例中的车联网实时入侵检测方法进行详细说明。
步骤1:数据预处理,包括以下子步骤:
1.1特征编码:车联网流量数据一般分为数值数据和非数值数据,由于入侵行为检测模型的输入必须为数值型数据,为此,需要将非数值数据转化为数值数据。在具体实施过程中,可以采用读热编码和标签编码分别对数据集中的非数值数据进行处理。
1.2ip地址转换:车联网流量数据中一般包含ip地址信息,为此,首先将ip地址信息转化为对应的版本号(如ipv4或ipv6),然后再根据得到的版本号将原始的ip地址信息转化为整数。
1.3数值归一化:经过前两步处理后,数据集中的所有数据都变成了数值数据。但所有数值数据的值并非处在相同范围内,数值较大将会影响入侵行为检测模型整体的训练速度,因此,在具体实施过程中,往往采用最大最小归一化对数据集中的所有数据进行处理,最大最小归一化处理的公式如(1)所示:
上式中,x为输入数据,xmax、xmin分别是由数据集中所有最大值元素和最小值元素组成的向量,x′为归一化后的数据。
1.4数据降维:为满足入侵行为检测模型的输入(n*n的二维图像)要求,需对数据集中的数据进行降维。在具体实施过程中,可以采用经典的主成分分析(PCA)算法,以去除对数据贡献较小的特征,从而获得更加精简的特征表示。
1.5数据转换:数据降维后,将一维数据转化为二维图像。
1.6数据集划分:将1.5中获得的所有二维图像将划分为训练集、测试集和验证集。
步骤2:搭建入侵行为检测模型(即SA-ResnetV2模型)
2.1构建基于自注意力机制和残差网络的SA-ResnetV2模型
1)模型设计:SA-ResnetV2模型如图2所示,包括顺次设置的输入层、第一卷积层、SA-ResnetV2-depthwise层、自适应平均池化层和全接连层(FC层),其中,SA-ResnetV2-depthwise层是核心模块,它由输入层、第二卷积层、深度可分离卷积层(深度卷积和点卷积)和第三卷积层组成。SA-ResnetV2-depthwise层在第二卷积层和深度可分离卷积层前使用批归一化(BN)和Relu函数,加快了模型的训练速度;SA-ResnetV2-depthwise层在前半段采用深度可分离卷积,相比于普通卷积,其大大减少了参数量;将第三卷积层的输出通道大小设置成与输入通道相同,使整体模型的参数量进一步减少;此外,在SA-ResnetV2-depthwise层还引入了自注意力机制,以提高对图像关键信息的捕捉能力。自注意力机制按照公式(2)对接收到的数据进行处理:
上式中,l和/>分别代表查询、键和值的三个向量,/>代表比例因子。此外,SA-ResnetV2-depthwise层还引入1x1卷积的残差网络,在步长为2时实现了下采样操作,以适应不同尺度的特征,进而提升模型的性能和表示能力,而在步长为1时无需跨层连接。
总体来说,SA-ResnetV2使用轻量化的SA-ResnetV2-depthwise模块代替了原先ResnetV2模型的多层bottleneck块,在大大减少参数量的同时,解决了残差模型无法很好部署在车联网资源受限的边缘设备上的问题,并能够更快更好地检测来自车联网的攻击。
SA-ResnetV2模型及其核心模块SA-ResnetV2-depthwise的具体参数设置如表1和表2所示。
表1
表2
卷积核大小 步幅 填充 激活函数/使用的注意力机制 输出
输入 - - - BN+Relu 8*8*64
第二卷积 1*1 - - BN+Relu 8*8*64
深度卷积 3*3 2 1 BN+Relu 4*4*64
点卷积 1*1 - - - 4*4*64
第三卷积 1*1 - - 自注意力机制 4*4*64
残差连接(卷积) 1*1 2 - - 4*4*64
2)正向传播:经步骤1进行预处理后,得到8x8x1(宽x高x通道)的灰度图像数据,将所述灰度图像数据送入SA-ResnetV2模型中进行计算。
首先,使用3x3的第一卷积层将8x8x1的灰度图像转变为8x8x64的特征图A1;
接着,将特征图A1送入SA-ResnetV2-depthwise层中进行特征提取。所述SA-ResnetV2-depthwise对接收到的特征图A1进行以下处理:
(i)将所述特征图A1经过BN标准化和Relu非线性激活后,使用1x1的卷积进行特征提取,得到8x8x64的特征图A2;
(ii)使用BN标准化和Relu非线性激活,采用3x3的深度卷积将A2转化为4x4x64的特征图A3;
(iii)经过BN标准化和Relu非线性激活后,使用1x1的点卷积提取目标特征图,得到4x4x64的特征图A4;
(iv)使用1x1卷积对特征图A4进行特征提取,得到特征图A5,并采用自注意力机制捕捉特征图A5中不同通道间的长距离依赖关系,得到4x4x64的特征图A6;
(v)使用残差连接将特征图A6与输入的特征图A1进行加法操作,进行特征融合,得到特征图A7。
对从SA-ResnetV2-depthwise输出的特征图A7使用BN操作,将图像分布标准化,缓解协变量偏移问题。
使用自适应平均池化将标准化后的图像从4x4x64转化为1x1x64。
使用全连接层将转化后的图像维度从64转化为2或10的向量。
最后,使用softmax函数对向量归一化,便于输出最终攻击检测的概率(这里维度为2的向量代表二分类场景,值为正常和攻击的概率;10代表多分类场景,值为正常行为和每种攻击的概率)。
2.2模型初始化:采用Kaiming正态分布初始化方法来初始化所有卷积层权重,并使用常数初始化方法将批归一化层的权重初始化为1,偏置初始化为0。
2.3模型训练参数设置:反向传播,采用交叉熵函数作为损失函数(考虑二分类和多分类场景,分为二元交叉熵损失函数和多元交叉熵损失函数,基本公式如(3)和(4)所示),使用Adam优化算法减少损失。批处理大小为32,学习率为0.01。
二元交叉熵损失函数:
L(y,p)=-[y·log(p)+(1-y)·log(1-p)] (3)
多元交叉熵损失函数:
L(y,p)=-∑i(yi·log(pi)) (4)
式(3)和(4)中,L(y,p)为损失值,y代表真实标签(0或1),yi代表真实标签的第i个元素,p是模型的预测概率(0到1之间),pi是模型的预测概率分布的第i个元素。
步骤3:运用联邦学习方式训练入侵行为检测模型
3.1联邦学习训练过程
SA-ResnetV2模型的输入是1x8x8的灰度图像,输出为2维向量(二分类场景下0/1,代表正常或攻击行为)或10维向量(多分类场景,代表是否是正常行为或9类攻击行为中的哪种攻击)。
联邦学习训练前提假定:一个中央服务器(例如一个算力较强的数据处理中心)由k个边缘服务器(如路标或路牌)构成的集合C=(C1,C2,...,Ck),拥有总数据集D=(D1,D2,...,Dk)。其中,Ci表示第i个边缘服务器,拥有独立的数据集Di=(d1,d2,...,dh)(Di表示所有路标或路牌从附近的汽车接收到所有数据的集合)。 是Di的一个子集(dh表示路标从附近的汽车接收到的数据),|Di|为第i个边缘服务器拥有数据子集的个数,p为输入数据的维度。
1)中央服务器发送全局模型至选定的边缘服务器
设抽取的边缘服务器比率为e,则中央服务器G每轮将会随机挑选C中个边缘服务器,向它们发送SA-ResnetV2模型。
2)边缘服务器进行本地训练及上传参数
每个边缘服务器Ci在收到中央服务器G发送的SA-ResnetV2模型后,使用本地数据集Di对模型进行一定轮数ε的训练。每次训练随机抽取Di中的部分数据集dτ,以提高模型的整体训练效率。设Ci的SA-ResnetV2为fi(x),则每轮中Ci的损失函数Li如下:
式(5)中,L(fi(xh),yh)代表Ci在Di的数据子集dh下模型的训练损失。假定每轮的学习率为l,经反向传播后,局部模型fi(x)更新的梯度为:
因此,参数在本地的更新公式如下所示:
ωi←ωi+Δωi (7)
训练完成后,每个边缘服务器会将模型参数上传至中央服务器。
3)中央服务器进行模型聚合
中央服务器在收到所有边缘服务器上传的模型参数后,对它们进行聚合,并用于更新SA-ResnetV2模型。假定在第t轮聚集时,每个边缘服务器Ci上传的模型参数为全局聚合参数为ωt,/>个用户拥有的总的数据子集为/>为拥有总的数据子集的个数,则全局聚合和/>的计算公式如下:
4)中央服务器选取最优模型和模型参数发回
接着,使用验证集对更新完的SA-ResnetV2模型进行评估,以验证准确率和损失为指标,和以往的SA-ResnetV2模型进行对比,以选取最优模型,并将最佳模型的参数发回给所有边缘服务器以至新一轮的训练。
上述1)-4)过程不断循环,直到SA-ResnetV2模型收敛或人为设置好的轮数。
3.2联邦学习参数设置:为了模拟简单的联邦学习场景,这里设置中央服务器数量为1,边缘服务器总数为100,每次迭代抽取其中10%进行训练。全局通信轮数设为20,本地通信轮数为3。
步骤4:使用后量化技术对训练好的入侵行为检测模型进行参数压缩
经过3.1联邦训练后的入侵行为检测模型,使用八位后量化压缩技术进一步压缩模型参数。
步骤5:在测试集上评估入侵行为检测模型的效果。
实施例2
基于与实施例1相同的发明构思,本发明实施例中提供了一种车联网实时入侵检测装置,包括:
获取模块,用于获取预先基于自注意力机制和残差网络构建的入侵行为检测模型,所述入侵行为检测模型是基于联邦学习方法训练获得;
预处理模块,用于将获取到的实时车联网流量数据预处理后,生成对应的图像数据;
检测模块,将所述图像数据送入所述入侵行为检测模型,计算出该实时车联网流量数据的异常概率,完成车联网实时入侵检测。
其余部分均与实施例1相同。
实施例3
本发明实施例中提供了一种车联网实时入侵检测系统,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据第一方面中任一项所述的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (10)

1.一种车联网实时入侵检测方法,其特征在于,应用于边缘服务器,包括:
获取预先基于自注意力机制和残差网络构建的入侵行为检测模型,所述入侵行为检测模型是基于联邦学习方法训练获得;
将获取到的实时车联网流量数据预处理后,生成对应的图像数据;
将所述图像数据送入所述入侵行为检测模型,计算出该实时车联网流量数据的异常概率,完成车联网实时入侵检测。
2.根据权利要求1所述的一种车联网实时入侵检测方法,其特征在于:所述入侵行为检测模型包括顺次设置的第一卷积层、SA-ResnetV2-depthwise层、自适应平均池化层、全连接层和归一化层,所述入侵行为检测模型的输入数据为车联网流量数据,其输出数据为异常概率;
其中,所述SA-ResnetV2-depthwise层包括:顺次设置的输入层、1x1的第二卷积层、3x3的深度卷积层、1x1的点卷积层、1x1的第三卷积层、自注意力机制层,以及残差连接;所述残差连接分别连接所述输入层的输入端和自注意力机制层的输出端,作为SA-ResnetV2-depthwise层的输出。
3.根据权利要求2所述的一种车联网实时入侵检测方法,其特征在于:所述SA-ResnetV2-depthwise层的对第一卷积层输出的特征图A1的执行以下步骤:
所述第一卷积层输出的特征图A1经过BN标准化和Relu非线性激活后,由所述1x1的第二卷积层进行特征提取,生成特征图A2;
所述特征图A2经过BN标准化和Relu非线性激活后,由所述3x3的深度卷积层将特征图A2转化为特征图A3;
所述特征图A3经过BN标准化和Relu非线性激活后,由所述1x1的点卷积层进行特征提取,得到特征图A4;
利用所述1x1的第三卷积层对特征图A4进行特征提取,得到特征图A5;
采用自注意力机制层捕捉特征图A5中不同通道间的长距离依赖关系,得到特征图A6;使用残差连接将特征图A6与输入的特征图A1进行加法操作,进行特征融合,生成特征图A7。
4.根据权利要求1所述的一种车联网实时入侵检测方法,其特征在于:所述入侵行为检测模型采用交叉熵函数作为损失函数;
对于二分类场景,所述损失函数为二元交叉熵损失函数,表达式为:
L(y,p)=-[y·log(p)+(1-y)·log(1-p)]
对于多分类场景,所述损失函数为多元交叉熵损失函数,表达式为:
其中,L(y,p)为损失值,y代表真实标签,yi代表真实标签的第i个元素;p是模型的预测概率,位于0到1之间;pi是预测概率分布的第i个元素。
5.根据权利要求1所述的一种车联网实时入侵检测方法,其特征在于:所述入侵行为检测模型的训练方法包括:
接收中央服务器发送的初始入侵行为检测模型;
使用本地数据集对初始入侵行为检测模型进行一定轮数的训练,获得模型参数,并发送至中央服务器,使得中央服务器在收到所有边缘服务器上传的模型参数后,对模型参数进行聚合,获得全局聚合模型参数,并将全局聚合模型参数发送至边缘服务器,以更新边缘服务器的模型参数。
6.根据权利要求5所述的一种车联网实时入侵检测方法,其特征在于:在进行模型参数聚合时,采用的计算公式为:
其中,为第t轮聚集时边缘服务器Ci上传的模型参数,ωt为全局聚合模型参数,/>为边缘服务器总数,/>为/>个边缘服务器拥有的总的数据子集,|Di|为第i个边缘服务器拥有数据子集的个数。
7.根据权利要求5所述的一种车联网实时入侵检测方法,其特征在于:所述入侵行为检测模型的训练方法还包括:使用八位后量化压缩技术压缩各边缘服务器模型参数。
8.根据权利要求1所述的一种车联网实时入侵检测方法,其特征在于:所述实时车联网流量数据包括:数值数据和非数值数据;
所述将获取到的实时车联网流量数据预处理后,生成对应的图像数据,包括:
将所述非数值数据处理为数值数据;
对所有数值数据进行归一化处理,并进行降维处理;
将降维后的数据转换为二维图像。
9.一种车联网实时入侵检测装置,其特征在于,包括:
获取模块,用于获取预先基于自注意力机制和残差网络构建的入侵行为检测模型,所述入侵行为检测模型是基于联邦学习方法训练获得;
预处理模块,用于将获取到的实时车联网流量数据预处理后,生成对应的图像数据;检测模块,将所述图像数据送入所述入侵行为检测模型,计算出该实时车联网流量数据的异常概率,完成车联网实时入侵检测。
10.一种车联网实时入侵检测系统,其特征在于,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1-8中任一项所述的方法。
CN202311504777.7A 2023-11-13 2023-11-13 车联网实时入侵检测方法、装置及系统 Pending CN117560183A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311504777.7A CN117560183A (zh) 2023-11-13 2023-11-13 车联网实时入侵检测方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311504777.7A CN117560183A (zh) 2023-11-13 2023-11-13 车联网实时入侵检测方法、装置及系统

Publications (1)

Publication Number Publication Date
CN117560183A true CN117560183A (zh) 2024-02-13

Family

ID=89822620

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311504777.7A Pending CN117560183A (zh) 2023-11-13 2023-11-13 车联网实时入侵检测方法、装置及系统

Country Status (1)

Country Link
CN (1) CN117560183A (zh)

Similar Documents

Publication Publication Date Title
Zheng et al. Learning to classify: A flow-based relation network for encrypted traffic classification
Wang et al. Privacy-enhanced data collection based on deep learning for internet of vehicles
Hayes et al. Generating steganographic images via adversarial training
CN108509775B (zh) 一种基于机器学习的恶意png图像识别方法
CN109104441A (zh) 一种基于深度学习的加密恶意流量的检测系统和方法
CN111967609B (zh) 模型参数验证方法、设备及可读存储介质
CN111507386B (zh) 一种存储文件及网络数据流加密通信检测方法及系统
Phan et al. Tracking multiple image sharing on social networks
KR102067324B1 (ko) 무선 Wi-Fi 망에서 딥러닝을 이용한 위장 공격 특장점 분석 장치 및 방법
CN116992299B (zh) 区块链交易异常检测模型的训练方法、检测方法及装置
CN111091102B (zh) 一种视频分析装置、服务器、系统及保护身份隐私的方法
Wang et al. Steganalysis of convolutional neural network based on neural architecture search
CN115795548A (zh) 一种基于联邦学习的隐蔽通信检测方法
CN113688814B (zh) 图像识别方法及装置
CN114301850A (zh) 一种基于生成对抗网络与模型压缩的军用通信加密流量识别方法
CN113034332A (zh) 不可见水印图像、后门攻击模型构建、分类方法及系统
CN116745782A (zh) 具有使用异构标签分布的新标签的分布式机器学习
Kumar et al. Image steganography analysis based on deep learning
CN116805039A (zh) 特征筛选方法、装置、计算机设备和数据扰动方法
CN117560183A (zh) 车联网实时入侵检测方法、装置及系统
CN115953849A (zh) 活体检测模型的训练方法、活体检测方法及系统
CN114884704A (zh) 一种基于对合和投票的网络流量异常行为检测方法和系统
Khowaja et al. SLIP: Self-Supervised Learning Based Model Inversion and Poisoning Detection-Based Zero-Trust Systems for Vehicular Networks
KR20220071843A (ko) 무인 이동체 메시지 id 시퀀스 생성을 위한 생성적 적대 신경망 모델과 그 학습 방법
Wang et al. One bit matters: Understanding adversarial examples as the abuse of redundancy

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination