车联网实时入侵检测方法、装置及系统

本发明属于数据安全，具体涉及一种车联网实时入侵检测方法、装置及系统。

背景技术：

1、车联网指的是通过无线通信和互联网技术，将车辆与外部网络和其他车辆连接起来，从而实现车辆之间、车辆与基础设施之间的实时数据交换和通信。这种互联性为人们驾驶提供了许多便利，如实时交通信息、自动驾驶功能、远程诊断和维护等，但同时也带来了一系列数据安全问题，例如车载用户的数据隐私问题，车辆每天都会产生大量数据，包括车辆状态、位置信息、盗取信息等。这些数据极易遭到外来的网络攻击，从而造成信息失窃或被恶意使用，因此如何确保这些数据的隐私和机密性至关重要。

2、入侵检测系统(intrusion detection system，简称ids)是一种通过监控计算机网络或系统，用于识别和检测可能的安全漏洞、攻击和异常活动的安全技术。ids主要分为两种类型：网络入侵检测系统和主机入侵检测系统，二者分别从流量端和主机端对攻击进行主动检测和识别。目前，车联网领域内的网络入侵检测系统主要基于深度学习技术进行构建，事实表明，由于深度学习技术能够有效从海量复杂数据中学习和建模，因此，基于车联网的网络入侵检测系统取得了巨大成功。但由于传统的在中央服务器上进行的集中式训练容易出现单点故障问题，并且用户在传输个人数据到中央服务器的过程中存在的数据泄露问题，均导致传统的中心化学习在车联网中不太可取。联邦学习是替代集中式学习的一种有效方式，它是由google于2016年提出的分布式机器学习技术，旨在保护用户数据隐私的前提下，实现多个设备或数据源之间的模型训练和知识共享，同时联邦学习也非常符合车联网的应用场景。此外，由于车联网中的边缘设备(如汽车)或边缘服务器(如路牌，基站)存在资源受限的问题，导致复杂的深度学习模型无法直接使用，因此只有将模型进行轻量化后，才能在边缘设备或服务器上进行部署。最后，网络攻击的不确定性和多样性致使入侵检测系统需要同时具备相当的检测能力和快速反应能力，二者的平衡非常重要。

技术实现思路

1、针对上述问题，本发明提出一种车联网实时入侵检测方法、装置及系统，具有高效检测网络流量攻击的能力，能够提高车联网环境下攻击检测能力和用户隐私的安全性。

2、为了实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

3、第一方面，本发明提供了一种车联网实时入侵检测方法，应用于边缘服务器，包括：

4、获取预先基于自注意力机制和残差网络构建的入侵行为检测模型，所述入侵行为检测模型是基于联邦学习方法训练获得；

5、将获取到的实时车联网流量数据预处理后，生成对应的图像数据；

6、将所述图像数据送入所述入侵行为检测模型，计算出该实时车联网流量数据的异常概率，完成车联网实时入侵检测。

7、可选地，所述入侵行为检测模型包括顺次设置的第一卷积层、sa-resnetv2-depthwise层、自适应平均池化层、全连接层和归一化层，所述入侵行为检测模型的输入数据为车联网流量数据，其输出数据为异常概率；

8、其中，所述sa-resnetv2-depthwise层包括：顺次设置的输入层、1x1的第二卷积层、3x3的深度卷积层、1x1的点卷积层、1x1的第三卷积层、自注意力机制层，以及残差连接；所述残差连接分别连接所述输入层的输入端和自注意力机制层的输出端，作为sa-resnetv2-depthwise层的输出。

9、可选地，所述sa-resnetv2-depthwise层的对第一卷积层输出的特征图a1的执行以下步骤：

10、所述第一卷积层输出的特征图a1经过bn标准化和relu非线性激活后，由所述1x1的第二卷积层进行特征提取，生成特征图a2；

11、所述特征图a2经过bn标准化和relu非线性激活后，由所述3x3的深度卷积层将特征图a2转化为特征图a3；

12、所述特征图a3经过bn标准化和relu非线性激活后，由所述1x1的点卷积层进行特征提取，得到特征图a4；

13、利用所述1x1的第三卷积层对特征图a4进行特征提取，得到特征图a5；

14、采用自注意力机制层捕捉特征图a5中不同通道间的长距离依赖关系，得到特征图a6；

15、使用残差连接将特征图a6与输入的特征图a1进行加法操作，进行特征融合，生成特征图a7。

16、可选地，所述入侵行为检测模型采用交叉熵函数作为损失函数；

17、对于二分类场景，所述损失函数为二元交叉熵损失函数，表达式为：

18、l(y，p)＝-[y·log(p)+(1-y)·log(1-p)]

19、对于多分类场景，所述损失函数为多元交叉熵损失函数，表达式为：

20、

21、其中，l(y，p)为损失值，y代表真实标签，yi代表真实标签的第i个元素；p是模型的预测概率，位于0到1之间；pi是预测概率分布的第i个元素。

22、可选地，所述入侵行为检测模型的训练方法包括：

23、接收中央服务器发送的初始入侵行为检测模型；

24、使用本地数据集对初始入侵行为检测模型进行一定轮数的训练，获得模型参数，并发送至中央服务器，使得中央服务器在收到所有边缘服务器上传的模型参数后，对模型参数进行聚合，获得全局聚合模型参数，并将全局聚合模型参数发送至边缘服务器，以更新边缘服务器的模型参数。

25、可选地，在进行模型参数聚合时，采用的计算公式为：

26、

27、

28、其中，为第t轮聚集时边缘服务器ci上传的模型参数，ωt为全局聚合模型参数，为边缘服务器总数，为个边缘服务器拥有的总的数据子集，|di|为第i个边缘服务器拥有数据子集的个数。

29、可选地，所述入侵行为检测模型的训练方法还包括：使用八位后量化压缩技术压缩各边缘服务器模型参数。

30、可选地，所述实时车联网流量数据包括：数值数据和非数值数据；

31、所述将获取到的实时车联网流量数据预处理后，生成对应的图像数据，包括：

32、将所述非数值数据处理为数值数据；

33、对所有数值数据进行归一化处理，并进行降维处理；

34、将降维后的数据转换为二维图像。

35、第二方面，本发明提供了一种车联网实时入侵检测装置，包括：

36、获取模块，用于获取预先基于自注意力机制和残差网络构建的入侵行为检测模型，所述入侵行为检测模型是基于联邦学习方法训练获得；

37、预处理模块，用于将获取到的实时车联网流量数据预处理后，生成对应的图像数据；

38、检测模块，将所述图像数据送入所述入侵行为检测模型，计算出该实时车联网流量数据的异常概率，完成车联网实时入侵检测。

39、第三方面，本发明提供了一种车联网实时入侵检测系统，包括存储介质和处理器；

40、所述存储介质用于存储指令；

41、所述处理器用于根据所述指令进行操作以执行根据第一方面中任一项所述的方法。

42、与现有技术相比，本发明的有益效果：

43、本发明使用自注意力机制来捕捉车联网攻击的关键行为特征，配合残差网络的强大提取能力，从而可以很好地从海量复杂的流量数据中挖掘出可能的攻击行为。进一步地，入侵行为检测模型的轻量化设计和八位后量化压缩技术的使用，使得本发明具有实时检测攻击的性能，能够高效地检测网络流量攻击，为管理员和安全团队后续的防御提供了便利