(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211161541.3 (22)申请日 2022.09.23 (65)同一申请的已公布的文献号 申请公布号 CN 115242559 A (43)申请公布日 2022.10.25 (73)专利权人 北京航空航天大 学 地址 100191 北京市海淀区学院路37号 专利权人 中国信息通信研究院 　 中国科学院数学与系统科 学研究 院 (72)发明人 吕金虎　孙楠　王薇　朱斯语　 刘克新　杨鹏　 (74)专利代理 机构 北京天汇航智知识产权代理 事务所(普通 合伙) 11987 专利代理师 高永(51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 20/00(2019.01) (56)对比文件 CN 113794675 A,2021.12.14 WO 2021159753 A1,2021.08.19 李永忠等.主动学习半监 督聚类入侵 检测算 法. 《微电子学与计算机》 .201 1,(第10期), 任涛等.融合区块链与联邦学习的网络入侵 检测算法. 《技 术研究》 .2021,(第7期), 审查员 张华晶 (54)发明名称 基于区块链和联邦学习的网络流量入侵检 测方法 (57)摘要 本发明公开了一种基于区块链和联邦学习 的网络流量入侵检测方法， 包括： 各设备独立进 行新型攻击的检测与标记； 进行全局模型的初始 化； 将各设备随机划分为工作节点和挖掘节点， 工作节点利用本地数据训练局部检测模型， 将自 身的局部模 型参数上传至区块链； 挖掘节点对模 型参数合法性进行验证， 并基于区块链一致性算 法生成合法区块； 各工作节点下载合法区块， 并 基于联邦聚合算法对模型参数进行更新； 迭代进 行上述训练过程， 最终得到全局的网络流量入侵 检测模型。 该方法基于联邦学习和区块链建立全 局网络流量入侵检测模型， 能够在发现新的未标 记攻击类型的同时， 保证各设备产生的各种流量 数据留在设备本地， 实现了数据隐私保护的目 的。 权利要求书3页 说明书10页 附图3页 CN 115242559 B 2022.12.02 CN 115242559 B 1.一种基于区块链和联邦学习的网络流 量入侵检测方法， 其特 征在于， 包括以下步骤： S1， 针对工业互联网中各设备在生产过程中产生的本地流量数据集， 利用未标记攻击 类型检测模型， 独立进行新型攻击的检测与标记， 得到 本地伪标签数据和有标签数据； S2， 工业互联网中各设备协作维护一个区块链， 并搭建用于网络流量入侵检测的全局 检测模型， 将全局检测模型发送给 各设备； S3， 在每一轮通信轮次中， 各设备被随机划分为工作节点和挖掘节点； 各工作节点利用 本地伪标签数据和有标签数据对收到的全局检测模型进行迭代训练， 生成本地的局部检测 模型， 并将各自的局部检测模型参数加密上传至区块链； 各挖掘节点对局部检测模型参数 合法性进行验证， 排除恶意工作节点和挖掘节点， 基于区块链一 致性算法生成合法区块； S4， 各工作节点从区块链中下载合法区块， 利用基于互信息量的联邦聚合算法， 实现全 局检测模型参数的更新； S5， 迭代进行步骤S3 ‑S4， 直到训练误差达到误差容限或者到达要求的最大训练轮次， 最终得到全局的网络流 量入侵检测模型； 所述步骤S1， 所述未标记攻击类型检测模型采用深度学习网络架构， 包括数据预处理 模块、 特征提取模块、 分类模块和伪标签生成模块； 所述数据预处理模块， 去 除数据集中缺失值超过给定比例的特征， 将文本数据类型转 换为数值数据， 并将数值数据归一 化到给定数值范围； 所述特征提取模块， 基于稀疏自动 编码器， 获得 数据特征的特征表示； 所述分类模块， 利用特征表示， 采用相似度聚类方法对数据集中的未标记攻击类型进 行新类发现； 所述伪标签生成模块， 对网络最后一层输出进行置信度评估， 给予其中置信度高于给 定范围的数据伪标签； 所述步骤S3， 所述各挖掘节点对局部检测模型参数合法性进行验证， 排除恶意工作节 点， 包括： 所述各挖掘节点分别对收到的局部检测模型参数进行验证， 并将第 步通信轮次的模 型重建损失 与第 步通信轮次的模型重建损失 相比较， 如果两者之 差超出阈值 ， 则将产生该局部检测 模型参数的工作节点标记为非法， 否则将其标记为合 法； 其中， 为第 步通信轮次的局部检测模型， 为第 步通信轮次的局部检测模 型； 所述各挖掘节点共同对某一工作节点的局部检测模型参数进行联合投票， 如果该工作 节点被标记的合法数目多于非法数目， 则该工作节点将被视为 合法节点； 所述基于区块链一致性算法生成合法区块， 包括： 所述各挖掘节点将收到的局部检测 模型参数及其对应的奖励值加密打包到一个区块中， 对区块内容进行哈希计算， 并根据区 块链一致性算法对候选区块进行区块挖掘， 得到合法区块。 2.根据权利要求1所述的基于区块链和联邦学习的网络流量入侵检测方法， 其特征在 于， 所述奖励值包括工作节点的奖励值和挖掘节点的奖励值： 所述工作节点的奖励值， 如果工作节点被判定为合法节点， 则该工作节点获得工作奖权　利　要　求　书 1/3 页 2 CN 115242559 B 2励值： 其中， 为工作节点的奖励值， 为局部训练时间， 为工作节点样本数目， 为奖 励因子， 表示将该工作节点标记为合法的挖掘节点数目， 表示将该工作 节点标记为非法的挖掘节点数目； 所述挖掘节点的奖励值， 包括挖掘节点对收到的区块签名验证奖励 、 区块挖掘奖 励 ， 挖掘节点对 模型参数进行验证投票获得的验证奖励 ： 其中， 为挖掘节点的奖励值， 、 分别为挖掘节点产生的验证区块和候选区 块， 为挖掘节点的投票结果。 3.根据权利要求2所述的基于区块链和联邦学习的网络流量入侵检测方法， 其特征在 于， 在存在恶意挖掘节点的情况下， 具有最高奖励的挖掘节点有权将其挖掘 到的合法区块 添加到区块链中， 包括： 所述挖掘节点对区块内容进行哈希计算， 并根据区块链一致性算法挖掘出候选区块， 并将挖掘出的所有候选区块广播给其它挖掘节点； 所述挖掘节点获得所有提交的挖掘出的候选区块后， 选择具备最高奖励值的挖掘节点 所挖掘出的候选区块 为合法区块， 并将其添加到区块链中。 4.根据权利要求1所述的基于区块链和联邦学习的网络流量入侵检测方法， 其特征在 于， 所述步骤S4， 所述利用基于互信息量的联邦聚合算法， 实现全局 检测模型参数的更新， 具体为： 全局检测模型 和局部检测模型 间的互信息量 如下式计算： 其中， 表示模型的熵， 表示 和 的联合熵， 其定义如下 所示： 假设 和 服从高斯分布， 和 为其对应方差， 表示 和 之间的相关系权　利　要　求　书 2/3 页 3 CN 115242559 B 3