文摘
由5 g的发展物联网技术(物联网),物联网设备显示一个爆炸性的增长趋势与大规模数据在网络的边缘生成的。然而,物联网系统表现出固有的脆弱性多样的攻击,和先进的持续威胁(APT)是其中一个最强大的攻击模型,可能会导致系统的一个重要隐私泄漏。此外,最近检测技术很难满足的要求有效的安全防御了。为了解决上述问题,我们提出一个合适的预测方法基于不同的私人联合学习(APTPMFL)的概率预测随后的恰当的袭击发生在物联网系统。这是第一次应用联合学习机制聚合可疑活动的物联网系统,在恰当的预测阶段不需要任何相关规则。此外,达到保护隐私属性,我们进一步采用不同的私人数据扰动机制添加拉普拉斯算子的随机噪声对物联网设备的训练数据的特性,从而达到最大的隐私数据的保护。我们也提出一个5 g边缘computing-based框架训练和部署模型,从而可以缓解典型的物联网系统的计算和通信开销。我们的评估结果表明,APTPMFL可以有效地预测随后的恰当的行为在物联网系统准确、高效。
1。介绍
5 g物联网技术的不断发展,出现了大量的移动应用程序与各种需求在情报方面,延迟和带宽(1]。然而,巨大的风险和隐患的信息安全仍然存在5 g的应用物联网(物联网)。主要是由于物联网系统的特点,缺乏更新,拥有更长的寿命,推迟修补,和面对妥协的后果2,3]。多样的攻击中,先进的持续威胁(APT)属于一个类先进的多工位的攻击。归因于其渗透性、隐蔽和针对性,往往会带来严重的威胁到物联网系统(4]。为了捍卫这些日益复杂和潜在的安全风险,研究人员和组织已经提出了各种检测技术、入侵检测技术等,恶意代码检测技术和漏洞检测技术(5- - - - - -8]。然而,上述方法很难满足更高要求的保护5 g物联网系统因为恰当的攻击通常采用的方式逐步渗透和长期延迟实现机密数据漏出的最终目的9]。
最近,网络态势感知技术(CSA)提出的人员来解决上述问题。CSA的网络情况的理解是一个阶段的过程,侧重于分析检测到恶意活动语义和它们之间可能的内部关系(10]。这种技术有能力的概率推断出攻击者的意图和预测随后的攻击,这是非常有用的检测往往在5 g物联网系统。因此,在本文中,我们的目标是提出一个有效的和健壮的网络情况理解方法来预测随后的恰当的袭击事件发生的概率识别恰当的袭击后5 g的物联网系统。
然而,预测了恰当的攻击在物联网系统可能面临以下挑战:(1)不平衡数据集。由于往往是多步攻击模型,单个组织很难捕捉的数据可以覆盖完整的恰当的阶段和足够的攻击模式(11]。此外,由于不同的组织将面临不同的恰当的攻击,它将有助于恰当的数据的不平衡。(2)孤立的数据岛。随着由单个组织生成的数据并不足以描述复杂的恰当的过程,整合几个组织训练的数据共享模型是一个有前途的方法来抵御APT (12,13]。(3)有限的资源的物联网设备。物联网设备通常是资源约束他们的存储容量和计算能力通常是有限的。这不是可行的分配物联网的大规模数据分析和处理设备直接(14]。(4)因隐私问题。传统恰当的预测方法都需要收集每个设备的私人信息,比如系统日志和设备id,这可能产生重要的隐私的挑战[15]。
为满足上述问题,我们提出了一个基于不同私人联合学习恰当的预测方法(APTPMFL)的概率预测随后的恰当的袭击发生在物联网场景。我们取得了如下所示的贡献:(我)我们提出了一个新颖的恰当的预测方法,名叫APTPMFL,利用联邦学习框架总可疑活动物联网系统。物联网设备可以用边缘服务器统一训练预测模型在本地使用系统日志,只是上传参数更新云安全服务。(2)保护物联网设备数据隐私不受信任的边缘服务器,我们采用不同的私人数据扰动机制来扰乱拉普拉斯算子的随机噪声对物联网设备的训练数据的特性,从而达到保护隐私属性的用户的训练数据。(3)我们现在的优势computing-based框架部署典型的物联网系统的预测模型。边缘服务器不仅可以分享物联网设备的计算开销,还缓解物联网设备之间的通信成本和安全云服务。
剩下的纸是组织如下。部分2总结了相关的攻击预测网络安全和保护隐私深度学习。部分3概述了基于联邦学习恰当的预测物联网系统架构,其中包含的描述提出APTPMFL和边缘计算框架部署恰当的预测方法。部分4礼物APTPMFL的设计细节,包括联邦学习预测方法和恰当的攻击。部分5显示了我们的实验和分析。部分6提出了一些结论。
2。背景和相关工作
1999年,美国空军通信和信息中心最初应用情况感知技术的数据融合分析多个NIDS的检测结果。他们声称,多传感器数据融合技术提供了一个重要的功能框架的下一代入侵检测系统和CSA (4)系统,融合多源异构IDS的数据,识别入侵者,攻击频率,威胁程度,等等。CSA的情境意识的理论和方法应用于网络安全领域,网络安全管理人员可以掌握动态网络环境的安全状态并获得维护决策支持。我们也给CSA的一般功能模型,如图1。模型包括网络情况感知阶段,网络情况理解阶段,和网络情况预测阶段。每个阶段的功能简要总结如下:(我)网络情况感知的功能是识别系统的活动,也就是说,减少噪声产生的原始数据安全设备和信息管理系统的有效信息和分析他们的相关识别系统中的对象。通过这种方式,异常活动将脱颖而出。(2)网络情况的理解通常集中在识别恶意活动和相关的语义。通过这种方式,可以推断出攻击者的意图和随后的攻击也可以预测。(3)网络情况投影可以分析和评估的威胁攻击活动中的每个对象信息系统基于上述两个步骤。这个阶段侧重于评估攻击产生和可能产生的影响的对象。CSA的预测结果在某种系统对象,对象的状态可以在当前形势下获得的。虽然我们要识别和分析活动,CSA的最终结果应表示为系统上的这些活动对象的影响,不仅仅是活动的识别。网络情况的投影是一个反馈的过程的理解,融合中的各种对象的状态观察到从系统组成情况,然后评估情况,每个对象的意义。
网络状况的一个重要组成部分的理解,攻击预测之间的逻辑关系可以分析攻击行为和推断可能的变化趋势。攻击预测的目的是来推断随后的恶意行为通过理解他们的意图。目前,攻击预测的热门话题是有关四个主题如下:攻击/入侵预测,攻击投影,攻击意图识别和网络安全形势预测(5]。任务的攻击意图识别和攻击与入侵检测投影。他们的核心任务是预测一个对手的下一步移动,他的终极目标。攻击/入侵预测更一般只关注预测恶意行为发生。网络安全形势预测本质上是一个通用的概念与CSA有关。网络安全形势预测是预测的输出数量的恶意网络活动和脆弱性波动。
为解决挑战的攻击活动预测,Polatidis et al。6]给出一个推荐系统,可以用于有效地防御网络威胁和实际通过预测接下来的攻击行为攻击图。贝叶斯面前是由Okutan et al。7),利用预测攻击概率在某一天从社交媒体和整体事件处理信号。黄等。8]工业cyber-physical系统(icp)安全工作,提出了一个新颖的风险评估方法在美德的贝叶斯网络模型中传播的恶意活动和预测物联网设备被攻击的概率。Okutan et al。9)设计的一个创新,自动攻击预测系统称为捕获这全面使用生成的信号训练使用贝叶斯分类器预测网络的威胁。Dowling et al。10)实现动态和自适应honeypot捕获恶意数据集用于分析攻击类型和模型时间攻击模式,和每个攻击类型的概率进行在特定的插槽可以计算。一种新型攻击预测方法基于信息交换和数据挖掘提出了(11),它定义了规则来描述一般的恶意模式从众多的警报中提取信息。基于机器学习的系统命名MLAPT建议(12]。拟议的系统开发八个模块来检测各种恰当的工艺和machine-learning-based预测框架需要相关警报警报的概率作为输入来计算进化完全恰当的场景。一个data-snapshot-based恶意软件预测中描述的方法是(13]。递归神经网络,使用这种方法可以预测恶意软件执行的可执行文件在早期阶段。文献[14)设计了一个贝叶斯博弈框架基于博弈理论来分析多个APT攻击阶段和欺骗性策略。恰当的演员的行为可以预测的完美贝叶斯纳什均衡(PBNE)防御策略。针对复杂攻击网络模型名为TCAN开发的文献[15]。模型预测最优攻击路径通过构建一个动态的攻击图和监控状态变化。
因为我们采用不同私人联合学习机制来预测恰当的攻击,我们也调查了最近的研究保护隐私深度学习。深层神经网络的效率,优化模型分区技术(16)已经提议,可以分配松散耦合的隐藏层(17给第三方。与此同时,为了防止用户的隐私数据被恶意服务器,一些研究已经从不同的角度提出了(18]。保护隐私深Abadi提出的学习方法和楚19)提供了一个高斯摄动的机制(20.剪梯度)。这是一个非常有效的解决方案来保护用户的数据隐私。防止每个用户的更新泄漏不可信第三方通过学习模型共享,盖尔等人提出了一个device-side微分私人联合学习框架(21]。此外,一个秘密共享方法已应用于高维数据聚合协议由博纳和et al。22]。不幸的是,所有的这些隐私上面的解决方案必须依靠信任的存在聚合服务器工作在微扰全球模型参数和安全为每个用户分配噪声参数。这意味着聚合器服务器可以阅读每个单独的模型参数。因此,有必要采用一种实用的机制来保护物联网设备来自不受信任的第三方的隐私在恰当的攻击预测基于联合学习。
3所示。恰当的预测物联网系统
3.1。系统架构
在这项工作中,我们提供了一个边缘计算框架(如图2),可以分区APTPMFL方法在云安全服务,边缘服务器,和物联网设备。所有的物联网设备参加不同私人联合学习协议提供的云安全服务,以获得恰当的预测服务。由于恶意边缘服务器和不可信云安全服务甚至可能潜入联合学习的过程中,保证涉及物联网设备不会受到训练数据破坏的威胁,我们可以把当地的学习模式分为device-side部分和edge-side部分叫做ICP-GRU模型。《盗梦空间》(ICP)模型部署在物联网设备提取从日志数据的多尺度特性。封闭的复发性单位(格勒乌)模型边缘服务器上部署学习进化的恰当的场景。最终目标不是发现恰当的攻击,而是预测的概率恰当的场景下一阶段的发展可以促进物联网的网络情况理解场景。相关实体和它们的功能如图2。
3.1.1。物联网设备
物联网设备代表各种各样的设备(如工业个人电脑,智能电表和监控设备)。每一个物联网设备的通信和计算能力,它可以执行本地日志数据特征提取过程(ICP device-side部分模型)和它的提取特性转移到相邻的边缘服务器到5 g基站。
3.1.2。边缘服务器
边缘服务器配备更为强大的计算和存储资源和物联网设备相比,通常在物联网的边缘系统和分配工作作为计算单元之间的安全服务云计算和物联网设备。边缘服务器的角色是一个参与联合学习与训练的目的恰当的预测模型(edge-side格勒乌模型部分)。联合学习是一种分布式机器学习方法与有效沟通和隐私保护。从物联网设备提取的边缘服务器接收的特性通过5 g基站训练模型并更新本地安全服务云模型参数。参与边缘服务器可以学习各种恰当的攻击模式没有交换数据和监测物联网设备启动理解恰当的攻击对网络的预测情况。
3.1.3。云安全服务
每个边缘服务器更新模型参数后的云安全服务培训本地模型;之后,云安全服务聚合到一个全局模型的参数和每个边缘服务器分配聚合模型。在此基础上,所有参与者只需要与安全云服务交互模型参数没有交换自己的数据,保护数据隐私,提高传输效率。在这样的条件下,不同的边缘服务器可能属于不同的组织,安全服务云维护一个恰当的攻击模式库的参与者。与此同时,恰当的数据也可以缓解不平衡的挑战由于分布式学习模型。
3.2。威胁模型和假设
一般来说,一个完整的恰当的攻击场景由以下的攻击阶段。最初,一个恰当的表演者获得非法访问系统的入口点。然后,攻击者将C&C建立连接。之后,攻击者发现和收集资产组织内的特权升级和横向运动。最终,对手将会破坏基础设施或漏出机密数据的组织来实现最终的目标。在这个过程中,恰当的表现将会持续一段时间并使用大量的工艺。拟议中的APTPMFL关注学习恰当的场景发生收购它的演化特性。在这种情况下,一旦新的恰当的警告,我们随后的恶意行为发生的概率可以测量通过输入相关日志到ICP-GRU模型实例。
在这些实体参与ICP-GRU模型中,假定作为可信实体物联网设备受益于安全服务的协作执行培训过程与其它物联网设备。不幸的是,第三方,也就是说,云安全服务和边缘服务器,诚实但好奇的可能性23]。特别是,他们可以忠实地执行联邦学习过程和正确计算和发送结果。然而,他们好奇日志数据中包含的隐私和试图获取隐私数据(24]。此外,我们假设模型将不会受到攻击者在模型训练过程中。最后,我们假定数据收集框架完全记录的完整性的操作系统,和数据不会被攻击者伪造。
4所示。APTPMFL设计
4.1。联合学习方法
为了实现恰当的攻击预测在物联网情况下实现安全形势的理解,我们引入一个有效边缘的私人联合学习模型计算不同物联网系统,名为ICP-GRU(学习过程如图3)。考虑到性能以及隐私问题,这机器学习模型分为device-side部分和edge-side部分。因此,物联网设备的计算开销也能够减少(25]。ICP-GRU依赖于边缘计算架构在物联网的场景中,将学习协议的参与者。具体地说,当地的联邦学习训练过程分为两个阶段:device-side ICP和edge-side格勒乌。根据分工机制,《盗梦空间》卷积层被分配到device-side而其余层(即。封闭的复发性单元层)部署在边缘的一面。在这种方法中,物联网设备只提取和扰乱日志的轻量级和简单的特性实例。保证系统日志数据严格的隐私保护,我们在ICP-GRU提供一个微分隐私机制方案,提取特征的测井实例摄动的深思熟虑的拉普拉斯噪音然后传输到边缘服务器到5 g基站。安全服务云ICP-GRU模型旨在聚合和平均当地边缘服务器提供的更新。
提供正确的数据,这种恰当的预测方法基于不同私人联合学习,我们也标准化和规范化原系统日志。因为一些特性的属性是字符类型,如pname q_domain,推荐人,所需的所有符号特性转换为数值类型之前喂数据集的神经网络。与此同时,每一个特征维度的价值是不一致的,值的范围也明显不同。一些数据与高值高震级的特性或许有很大的重量,因此忽略一些隐藏底层数据的信息。因此,我们提供了一个日志实例建筑模数之初ICP-GRU模型对原始数据进行预处理。
以下4.4.1。《盗梦空间》卷积和数据扰动
CNN在图像处理取得了优良的性能,它也不断被应用到其他领域。然而,传统的CNN只着重于提取当地特性和忽略了多个地方特色的聚合。灵活地缓解这一问题,谷歌提出了卷积神经网络架构在GoogLeNet网络叫做《盗梦空间》。初始模块聚合1∗∗3和5∗5卷积核,max-pooling进一层。多重卷积核提取不同尺度的数据集的信息,和功能的融合可以获得更好的日志表示实例。我们采用初始模块执行卷积操作日志实例中提取特征的多尺度数据集可以使神经网络更聪明。
数据集数据预处理后,安排根据时间戳是输入初始卷积模块数据流的形式进行训练。考虑到上下文相关性数据,数据流分成固定大小的向量,每个向量包含n件的数据。处理每个向量后,就可以形成一个n∗m特性矩阵米每个数据的代表的数量特征。初始卷积模块将提取的特征数据集通过卷积核1∗∗2,和3 3和2的max-pooling∗∗2,和相同的卷积应该为了匹配输出矩阵的宽度和高度。然而,《盗梦空间》模块执行卷积操作时耗资源。因此,1∗卷积之前插入2 3∗∗2和3卷积降低特征维度,提高计算速度。
联邦学习方法通常在本地火车敏感数据,它可以提供一个基本的隐私保证涉及物联网设备。然而,这些等敏感设备数据(即更新参数。,features and gradients) still have probability stolen by the untrusted security service cloud and edge servers. Therefore, it is urgent to formulate a robust preserving mechanism to keep the confidentiality of each IoT device against the untrusted security service cloud and edge servers. Thereby, we perturb the features extracted by the ICP model, so as to protect the privacy of the IoT device logs. To meet the aforementioned challenge, we formulate a differentially private data perturbation mechanism to defense the untrusted entities acquiring the privacy information that exists in the features extracted by the IoT device-side ICP model. The ICP model can be regarded as a deterministic function: ,在哪里私人设备日志数据和吗代表了11届层ICP的输出模型。为了实现隐私保护,微分隐私的方法应用于ICP模型构造和我们的私人联合学习协议的边缘computing-based物联网的场景。作为一种有效的手段来实现є-differential隐私,拉普拉斯控制噪声添加到提取的特征。拉普拉斯分布的拉普拉斯噪音采样与规模 到输出 。根据微分隐私的定义,全球敏感查询 可以定义如下:
4.1.2。格勒乌网络
RNN的格勒乌是一种类似于LSTM,提出了解决问题的长期记忆和梯度反向传播。采用格勒乌的原因是它不仅达到效果相当于LSTM还可以节省更多的计算资源,这可以极大地提高培训的性能。
类似于RNN,隐藏的状态从之前的节点和当前输入传播构成格勒乌的输入。结合和 ,格勒乌将当前节点的输出和隐藏的状态传递给下一个节点。最初,两个盖茨通过之前的状态和当前节点的输入 。见公式(2)和(3),表明重置门口,代表更新门口,代表了乙状结肠函数。
门信号,复位门用于重置数据 ,也就是说, 。然后输入和到激活函数,输出范围将会下降 。 这里主要涉及当前输入的数据 ,和添加当前目标的方式隐藏状态相当于记忆在当前时刻的状态。正式的描述显示如下:
最后,格勒乌执行两个操作(忘记和记住)在同一时间。获得更新的大门,其价值下降 , 定义了多少以前的记忆是被遗忘的, 定义了多少包含当前节点信息要保持。越接近门更新为“1”,将保留更多的内存,和关闭更新门“0”,更多的内存将被遗忘。正式的描述显示如下:
多尺度的特性,可以提炼出隐藏在数据流后ICP模型是处理大量的测井实例。功能是随后以连载的形式送入格勒乌网络学习时间特性通过有选择地学习和忘记。将持续更新模型参数的梯度反向传播,和一个强大的恰当的攻击预测模型将多个轮迭代后获得的。
4.1.3。联邦的学习过程
APTPMFL方法在本文提出应用于物联网的计算环境。如图4恰当的预测,联邦学习过程包括以下步骤:(1)边缘服务器充当参与者联合学习和请求ICP-GRU模型的云安全服务。(2)云安全服务分配一个初始化模型每个边缘服务器一次参与者的请求,接收和相应的ICP模型传播通过5 g通信连接物联网设备。(3)每一个物联网设备本地收集的数据输入模型进行训练,学习独立的私人日志数据,扰乱拉普拉斯控制噪声的特性。(4)边缘服务器获得物联网设备的传输特性进行进一步的学习和更新本地格勒乌模型参数的云安全服务一旦实现模型的训练。(5)安全服务云聚集本地更新模型到一个全局模型。(6)云安全服务将提供每个边缘服务器的聚合全局模型。经过多轮的再培训,全球安全服务模型是聚合的云,和恰当的攻击模式将被收购。
最终,云安全服务提供全球模型每个参与者是用来预测的过程中恰当的攻击者5 g的物联网系统。的伪代码整体APTPMFL方法提出了表1和伪代码中使用的符号表中列出2。
4.2。恰当的攻击预测
恰当的袭击者穿透目标5 g物联网系统一段时间,慢慢发动攻击后卫必须不停地监视系统行为,这带来了巨大的挑战过程数据高效、准确地检测攻击。然而,这种低慢攻击是一把双刃剑。恰当的攻击阶段之间的大跨度的时间给后卫留下足够的时间预测攻击者的下一步行动。当一个恰当的攻击检测到在一定阶段和生成相应的警报,可疑的日志可以不断分析预测攻击者的行为,以便适当的防御措施之前可以选择恰当的攻击者实现自己的终极目标。在本节中,我们首先提供日志实例施工步骤恰当的行为学习和预测。然后,我们提出一个恰当的预测过程。
4.2.1。准备施工日志实例
物联网设备的日志数据收集被恰当的攻击是用于预测模型训练和恰当的攻击。检测系统将生成一系列警报当检测到某些恰当的攻击步骤5 g的物联网系统。虽然认出了恰当的袭击引发了警报,仍有大量相关的恶意行为不具攻击性,没有发现这可能是一个跳板攻击者启动下一步攻击活动。
因此,提醒属性值进行分析,会发现一些警报出现后威胁物联网设备。生成的日志数据在目标物联网设备将被构造成日志实例。日志实例的类型取决于数据提供者和操作系统安装在物联网设备。假设所有日志数据来自窗户嵌入式(Windows CE)物联网设备紧凑,各种不同的应用程序或提供的日志记录设施如表所示3。日志数据应该转变成一个统一的有效格式处理数据的目的。如表所示4,14个特征选择从日志数据构建日志实例。因为不同的日志数据源,并不是所有的功能都包含在每个日志实例,每个日志14-tuple实例可以被描述为: 。如果只有一个日志实例特性a1、a3, a5,其他特征值设置为零。
4.2.2。恰当的预测过程
一旦ICP-GRU模型完成了学习目标中的恰当的攻击活动行为5 g的物联网系统,可用于预测的概率后恰当的袭击活动。我们抽象4物联网环境下恰当的阶段,也就是说,入口,中华商务沟通、资产/数据发现,和数据漏出。日志实例可以通过日志分为良性和可疑实例社区检测算法提出了我们的以前的工作13),而只能收集可疑实例训练模型。整个恰当的预测过程呈现在图5。
假设恰当的阶段和 检测到的时候吗和 ,分别;所有的时间窗内的可疑的测井实例 应该是美联储ICP-GRU模型学习攻击行为特性。这意味着当物联网设备遭受这些可疑活动,恰当的攻击者将进行 阶段攻击高的概率。如果检测到某些恰当的阶段和相应的警报被触发时,日志记录威胁设备的实例开始 。可疑的日志实例被送入实时预测模型,模型的输出是一个概率值的范围 这表明系统的概率下一阶段恰当的攻击。一旦输出值超过阈值的预测 ,5 g物联网系统将下一阶段的一个恰当的攻击的危险场景有高概率。
5。实验评价
为了进行详细和客观评价提出恰当的预测方法(APTPMFL),我们实现一个联合学习原型系统上的日志数据内产生典型的七个恰当的攻击场景(Op-Clandestine福克斯,黑客团队,往往在台湾、西藏、香港Op-Tropic骑兵,俄罗斯运动,和攻击航空)(26]。
5.1。数据集和实验设置
5.1.1。数据集
不幸的是,适当的系统日志数据集和攻击警报数据集与典型的恰当的攻击不是可得的。然而,我们的以前的工作26)完成了恰当的场景和日志的建设实例相关性。因此,我们采用标记日志生成和识别恰当的场景在这个实例作为模拟数据来评估APTPMFL的有效性。表5介绍了这些数据集的详细信息。每个数据集是由重建一种典型的恰当的场景。恰当的场景设计和推出了不同的APT攻击团队;攻击者利用各种漏洞和采用不同的攻击策略。我们提供不同的数据集,可以充分验证我们方法的预测效果不同的恰当的场景。
5.1.2中。实验设置
为了使实验室环境反映真正的物联网系统的特点尽可能相似,我们链接四个相同的主机(主机上运行Red Hat Linux操作系统和英特尔酷睿i7 - 8550 u 2.53 GHz CPU、16 GB的RAM)部署基于联合学习计算机网络的优势。实验室环境如图6。第一个主机是云安全服务,和其他三个主机工作的边缘服务器。原因三个主机上部署相同的计算资源,我们分别设置八个虚拟机受害者边缘服务器作为虚拟物联网设备。一半的边缘服务器的计算资源共享的虚拟物联网设备。这意味着一个边缘服务器拥有8 GB RAM,和每个虚拟物联网设备占地1 GB RAM。这种资源分配方案非常符合真正的物联网系统。提出了APTPMFL满足物联网设备的资源限制的挑战。即使我们没有实现真正的物联网操作流程,每一个虚拟物联网设备只有1 GB RAM资源和没有任何更新补丁可以胜任地模拟,证明我们的方法在物联网系统的效率。
完成APTPMFL联合学习训练的过程,我们为每个虚拟机分配标记日志实例(模拟物联网设备)和边缘服务器分配识别恰当的场景。然后,虚拟机将传输的边缘服务器日志的一部分培训ICP-GRU模型并保持其他日志作证的预测性能。基线的实验中,我们采用标准联合学习方法提出了在文献[27]。当地培训配置是预测训练E= 20当地时代最初的学习速率δ= 0.1。APTPMFL作品的每个模块对应位置的基础上,提出了边缘computing-based框架。最后,我们基于一些验证我们的方法的性能评价指标。
的本质提出APTPMFL是预测随后的恰当的袭击发生在物联网的概率场景。我们实现了该算法和联合实验室学习框架边缘服务器和云安全服务。为了验证该方法能否有效地预测随后的恰当的攻击发生的概率在实验室环境中,我们选择F1分数和假阳性率(玻璃钢)来表示APTPMFL的性能。采用的原因F1分数而不是常见的指标 和 上面的两个指标是相互排斥在某些情况下,需要调和平均数来平衡各自的缺陷。TP的参数、FN和FP,分别计算真阳性的数量预测概率,假阴性预测概率的数量,和假阳性的数量预测概率。因此,正式的描述 - - - - - -分数显示在公式(5)。玻璃钢关注代表的比例假警报的组织下一个恰当的攻击的危险阶段。正式的描述玻璃钢见公式(6)。
5.2。评价APTPMFL
5.2.1。恰当的预测性能
我们将评估的预测性能APTPMFL玻璃钢和通过分析结果 - - - - - -分数。预测阈值会影响预测结果更倾向于攻击警报下一步将产生与其价值更高。我们已经评估了预测性能的APTPMFL 7典型的恰当的攻击场景,比如Op-Clandestine福克斯,黑客团队,恰当的在台湾、西藏和香港,Op-Tropic骑兵,俄罗斯运动,和对航空航天的攻击。相应的系统日志是重建我们之前的作品之一(26]。
APTPMFL预测7的表现典型的恰当的攻击图所示7和8。很容易得到玻璃钢和的结果将减少的值预测阈值增加。这是由于较低的事实会让更多的日志实例发现prestep APT攻击活动和良性的日志实例将有更高的可能性错误检测。我们努力获得一个合适的阈值,使我们的方法获得更好的预测性能7典型的恰当的攻击场景。幸运的是,当预测阈值的值是0.75, - - - - - -分数不低(80%左右)和玻璃钢可以降至一个可接受的水平(不超过5%)。
5.2.2。联合学习效率
我们进行了一系列的实验来评估联邦学习性能与不同数量的物联网设备(3 - 24)。时代,每一个物联网设备的数量与边缘服务器培训ICP-GRU本地模型设置为20和沟通的数量发边缘服务器和云安全服务之间设置为5。因此,每个局部模型已经在100时代训练。这是一个足够数量的训练时期因为我们已经完成了培训ICP-GRU模型在一个集中的学习场景,收敛后98时代。我们分配一个随机的培训从构建物联网设备日志数据集的子集,每个虚拟物联网设备和提出APTPMFL方法表现评估设备的数量参与联合学习模型不同。我们七次重复这个实验对于每一个恰当的场景,用随机重采样的训练数据集。预测阈值的值λ设置为0.75平衡 - - - - - -分数和玻璃钢。评价结果如图七恰当的场景9这表明APTPMFL和更多参与物联网设备可以获得更好的方法吗玻璃钢和 - - - - - -分数仅略有恶化。除此之外,我们还发现APTPMFL的另一个特点就是时间复杂度将近似线性增加日志实例的数量增加。
(一)
(b)
(c)
(d)
(e)
(f)
(g)
拟议中的APTPMFL方法可以提供更好的隐私为物联网设备导致没有训练在训练过程的数据共享。然而,ICP-GRU模型仍有一些局限性。与训练该模型在一个集中的框架,它将不可避免地失去一些恰当的预测精度。精度比较这种不可避免的损失,我们将另一个实验中使用整个训练数据集训练四个ICP-GRU模型除以6、12、18、24个物联网设备和比较这些ICP-GRU训练在一个集中的框架。的评估值 - - - - - -分数和玻璃钢7日是它们的有效性的平均阈值时恰当的场景设置为0.75。表6显示了一个小的减少 - - - - - -分数增加物联网设备的数量,和玻璃钢没有明显波动。这个小的下降 - - - - - -成绩不会担心,因为我们可以修正阈值修改一个适当的水平。
6。结论
我们现在APTPMFL,联合上优于恰当的预测方法在5 g部署物联网的场景。模型包含多个恰当的攻击模式是学习训练在一个分布式的方式和训练有素的模型将实现的概率预测随后的恰当的袭击发生在5 g物联网场景。结果,实验表明,APTPMFL成功的概率预测随后的恰当的活动与可接受的精度和低假率。
数据可用性
这项工作是国家重点支持的研究和发展项目的涉及安全与保密在军事领域中,数据集不适合公开曝光。
的利益冲突
作者宣称没有利益冲突有关的出版。
确认
这项研究是由中国国家重点研究和发展项目,在批准号2019 yfb2102000。