基于混合网络模型和联邦学习的网络入侵检测

1.本技术涉及网络安全领域，特别涉及一种网络入侵检测方法、系统、装置、存储介质及电子设备。


背景技术：

2.随着互联网的应用渗透到人类世界的各方各面，网络入侵也越来越多样化。
3.现有的网络入侵检测是通过分析单个网络关键节点的网络流量来识别恶意攻击行为。
4.单个网络域在一定时间内生成的攻击行为标签非常有限，这意味着很难及时检测大规模的网络入侵，从而泄露网络域中的敏感信息和用户数据。


技术实现要素：

5.本技术提供一种网络入侵检测方法、系统、装置、存储介质及电子设备，以对网络入侵进行准确检测，提高了检测结果的准确性，同时解决了网络入侵场景中的数据孤岛问题，保障了本地用户数据不被泄露。
6.第一方面，本技术实施例提供一种网络入侵检测方法，该方法包括：
7.获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据；
8.根据所述流量时序数据和所述本地检测模型，确定所述本地检测模型的局部模型参数，所述局部模型参数是在所述入侵检测模型的参数的基础上进行更新的；
9.通过联邦学习算法对所述局部模型参数进行全局聚合，得到所述入侵检测模型的全局模型参数；
10.若所述全局模型参数满足预设条件，则根据全局流量时序数据和所述入侵检测模型，确定网络入侵检测结果。
11.可选地，所述方法还包括：
12.若所述全局模型参数不满足预设条件，则返回获取当前所述入侵检测模型的参数和当前所述本地检测模型的流量时序数据。
13.可选地，所述全局流量时序数据为流量时序数据聚合的结果；
14.所述根据全局流量时序数据和所述入侵检测模型，确定网络入侵检测结果，包括：
15.将所述全局流量时序数据输入所述入侵检测模型，进行特征工程处理，得到目标流量时序数据；
16.在所述入侵检测模型中，根据所述目标流量时序数据，确定所述当前时刻之后预设时长的网络入侵检测结果。
17.可选地，所述根据所述目标流量时序数据，确定所述当前时刻之后预设时长的网络入侵检测结果，包括：
18.根据所述目标流量时序数据，确定所述当前时刻之后预设时长的目标流量数据；
19.根据所述目标流量数据，确定当前时刻之后预设时长的网络入侵检测结果。
20.可选地，所述入侵检测模型通过以下方式训练：
21.获取历史时段内的全局流量时序数据；
22.对所述历史全局流量时序数据进行特征工程处理，得到历史目标流量时序数据；
23.构建训练样本集，其中，所述训练样本集中的每一训练样本包括所述历史目标流量时序数据；
24.利用所述训练样本集训练神经网络模型，得到输出结果；
25.确定所述输出结果与在所述历史时刻之后预设时长的网络入侵检测结果之间的误差；
26.如果所述误差不符合要求，则调整参数，重新训练调整之后的模型，得到所述入侵检测模型。
27.可选地，所述特征工程处理包括以下中的一者或多者：向量化、归一化。
28.可选地，所述入侵检测模型为cnn-bigru。
29.第二方面，本技术实施例提供一种网络入侵检测系统，该系统包括：
30.服务器，所述服务器用于执行实现如第一方面所述的方法；
31.客户端，用于获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据；根据所述流量时序数据和所述本地检测模型，确定所述本地检测模型的局部模型参数。
32.第三方面，本技术实施例提供一种网络入侵检测装置，包括：
33.获取模块，用于获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据；
34.第一确定模块，用于根据所述流量时序数据和所述本地检测模型，确定所述本地检测模型的局部模型参数；
35.聚合模块，用于通过联邦学习算法对所述局部模型参数进行全局聚合，得到所述入侵检测模型的全局模型参数；
36.第二确定模块，用于若所述全局模型参数满足预设条件，则根据全局流量时序数据和所述入侵检测模型，确定网络入侵检测结果。
37.第四方面，本技术实施例提供一种电子设备，包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时使得所述电子设备实现如上第一方面所述的方法。
38.第五方面，本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机指令，所述计算机指令在被处理器执行时用于实现如上第一方面所述的方法。
39.在上述技术方案中，在对网络入侵进行检测时，首先获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据，然后根据本地检测模型和流量时序数据，确定本地检测模型的局部模型参数，之后，通过联邦学习对局部模型参数进行全局聚合，从而得到入侵检测模型的全局模型参数，这样，一方面通过联邦学习可以确定入侵检测模型的全局模型参数，从而对网络入侵进行准确检测，提高了检测结果的准确性，另一方面，增加了入侵检测模型的数据量，解决了网络入侵场景中的数据孤岛问题，同时保障本地用户数据不被泄露。
附图说明
40.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
41.图1是本技术实施例提供的网络入侵检测方法的流程图；
42.图2是本技术实施例提供的入侵检测模型的示意图；
43.图3是本技术实施例提供的卷积层的示意图；
44.图4是本技术实施例提供的gru层的示意图；
45.图5是本技术实施例提供的网络入侵检测系统的结构示意图；
46.图6是本技术实施例提供的网络入侵检测装置的框图；
47.图7为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
48.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
49.基于此，本技术实施例提供一种网络入侵检测方法、系统、装置、存储介质及电子设备，在本实施例中提供了一种网络入侵检测方法，图1是本技术实施例提供的一种网络入侵检测方法的流程图，如图1所述，该方法可以包括以下步骤：
50.s101，获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据。
51.可以理解的是，当前入侵检测模型参数可以是由上一轮聚合得到的全局模型参数，若当前轮的数据是首轮获取时，其入侵检测模型的参数根据实验数据和经验进行定义，在此不做说明。当获取到入侵检测模型的参数时，可以将该入侵检测模型的参数作为本地检测模型的初始参数。示例地，本地检测模型的流量时序数据可以是nsl-kdd数据集。
52.s102，根据流量时序数据和本地检测模型，确定本地检测模型的局部模型参数。
53.其中，局部模型参数是在入侵检测模型的参数的基础上进行更新的。
54.示例地，可以将本地检测模型的流量时序数据输入本地检测模型，从而得到输出结果，确定所述输出结果与在所述历史时刻之后预设时长的所述网络入侵检测结果之间的误差；如果所述误差不符合要求，则调整参数，重新训练调整之后的模型，从而得到本地检测模型，进而确定本地检测模型的局部模型参数，然后，将本地检测模型的局部模型参数发送至入侵检测模型。
55.示例地，本地检测模型可以是基于pysyft(隐私保护深度学习框架)建立起来的，pysyft是用于安全和隐私深度学习的python库，结合了联邦学习、安全多方计算和差分隐私，以确保各个本地检测模型的更新保持加密，以保护数据中心免受威胁。
56.s103，通过联邦学习算法对局部模型参数进行全局聚合，得到入侵检测模型的全局模型参数。
57.示例地，联邦学习算法是在保障大数据交换时的信息安全、保护终端数据和个人数据隐私的基础上，在本地检测模型与入侵检测模型之间开展的机器学习，如可以为fedavg模型。各本地检测模型每训练完一轮后，根据联邦学习算法聚合其模型参数，以得到
入侵检测模型。在入侵检测模型的训练过程中，任何本地检测模型都不会相互公开数据，从而保证数据的安全性。具体地，本地检测模型可以为m个，联邦学习算法可以对所有本地检测模型中的参数进行随机采样，然后可以将本地检测模型的参数进行求平均值如式1所示，以得到入侵检测模型的全局模型参数，从而实现聚合所有本地检测模型的参数。之后，通过梯度下降法对局部模型参数和全局模型参数进行更新。之后，将更新后的全局模型参数替换初始的入侵检测模型的参数以发送到各本地预测模型。
[0058][0059]
其中，ω和b是入侵检测模型的权重和偏差，m表示本地检测模型的数量总和，ωj和bj是第j个本地检测模型的权重和偏差。
[0060]
s104，若全局模型参数满足预设条件，则根据全局流量时序数据和入侵检测模型，确定网络入侵检测结果。
[0061]
示例地，入侵检测模型可以是基于神经网络实现的、用于输出网络入侵检测结果的模型，如该神经网络可以是cnn-bigru(convolutional neural network-bidirectional gated recurrent unit，卷积-门控循环单元)神经网络，也可以为其他时间序列模型。示例地，入侵检测模型可以是基于pysyft(隐私保护深度学习框架)建立起来的。预设条件可以为损失函数的损失达到某一种程度或者达到某种阈值，本公开在此不做具体说明，可以根据实际情况进行设定。如果全局模型参数满足预设条件，那么可以将流量时序数据聚合为全局流量时序数据，将全局流量时序数据输入入侵检测模型，从而可以确定网络入侵检测结果，如为dos攻击。
[0062]
入侵检测模型一方面通过安全多方计算，从而得到各个本地检测模型的局部模型参数更新后的总和，从而可以保证入侵检测模型全局模型参数的隐私性。另一方面，通过利用安全聚合从而对本地模型参数的更新进行加密。
[0063]
此外，入侵检测模型中还可以包括同态加密和差分隐私。这样，一方面通过使用同态加密来进一步保证入侵检测模型的隐私，另一方面通过使用差分隐私来进一步保护每个本地检测模型的隐私。
[0064]
在上述技术方案中，在对网络入侵进行检测时，首先获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据，然后根据本地检测模型和流量时序数据，确定本地检测模型的局部模型参数，之后，通过联邦学习对局部模型参数进行全局聚合，从而得到入侵检测模型的全局模型参数，这样，一方面通过联邦学习可以确定入侵检测模型的全局模型参数，从而对网络入侵进行准确检测，提高了检测结果的准确性，另一方面，增加了入侵检测模型的数据量，解决了网络入侵场景中的数据孤岛问题，同时保障本地用户数据不被泄露。
[0065]
在一种可能的实施例中，所述方法还包括：
[0066]
若所述全局模型参数不满足预设条件，则返回s101获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据，进行重复训练，直至全局模型参数满足预设条件。这样，提高了入侵检测模型的准确性。
[0067]
在一种可能的实施例中，所述全局流量时序数据为流量时序数据聚合的结果；
[0068]
所述根据全局流量时序数据和所述入侵检测模型，确定网络入侵检测结果，包括：
[0069]
将所述全局流量时序数据输入所述入侵检测模型，进行特征工程处理，得到目标流量时序数据；
[0070]
在所述入侵检测模型中，根据所述目标流量时序数据，确定所述当前时刻之后预设时长的网络入侵检测结果。
[0071]
如图2所示，为入侵检测模型的示意图。示例地，入侵检测模型可以为cnn-bigru，cnn-bigru包括输入层、预处理层、卷积层、bigru层、注意力层和输出层。由于全局流量数据是流量时序数据聚合的结果，因此，全局流量数据中包括nsl-kdd数据，具体包含协议、状态、服务、等非数值型的数据。因此需要预处理层进行特征工程处理，从而得到目标流量时序数据，然后依次进入卷积层(cnn层)、注意力层、bigru层和注意力层提取目标流量时序数据的特征。接着，将目标流量时序数据的特征输入输出层，从而得到网络入侵检测结果。这样，提高了目标检测模型的准确性。
[0072]
在一种可能的实施例中，所述根据所述目标流量时序数据，确定所述当前时刻之后预设时长的网络入侵检测结果，包括：
[0073]
根据所述目标流量时序数据，确定所述当前时刻之后预设时长的目标流量数据；
[0074]
根据所述目标流量数据，确定当前时刻之后预设时长的网络入侵检测结果。
[0075]
具体地，如图3所示，为卷积层的示意图，该层的组成部分包括卷积和池化。输入层输出的目标流量时序数据(一维数据)经过cnn层时，滤波器将会通过卷积运算来构造特征映射生成特征图hl，如式1所示，
[0076][0077]
其中，f是数据包中的一组新的特征，fm是从特征组中获得的特征映射。
[0078]
为了减少训练时间，防止过度拟合，可以对每个特征映射进行最大池操作如式2所示。
[0079][0080]
如图2所示，在卷积层末端后将会通过注意力层，以改善卷积神经网络仅关注局部特征而导致对全局特征学习不准确的情况。
[0081]
示例地，从卷积层输出的目标流量时序数据将会进入bigru层，以进行深层次的特征提取和确定当前时刻之后预设时长的目标流量数据。bigru分为前向gru和反向gru。如图4所示，为gru层的示意图。其中，e
t
为从cnn层的最大池化中提取的特征。gru的前向传播公式如式2～式5所示。
[0082]zt
＝σ(w
zet
+u
zht
+bz)
ꢀꢀ
式2
[0083]rt
＝σ(w
ret
+u
rht-1
+br)
ꢀꢀ
式3
[0084]h′
t
＝tanh(w
het
+uh(r
t
*h
t-1
)+bh)
ꢀꢀ
式4
[0085]ht
＝z
t
*h
t-1
+(1-z
t
)*h
′
t
ꢀꢀ
式5
[0086]
其中h
t
表示t时刻gru单元的输出，h
′
t
表示候选状态，当r
t
＝0时，h
′
t
与历史信息h
t-1
无关，只与当前输入e
t
相关，当r
t
＝1时，和当前输入e
t
及h
t-1
相关。w、u、b为参数矩阵和向量。
[0087]
如图2所示，可以在bigru网络中引入注意力机制，以将模型的注意力集中到流量
的重点特征上。具体操作如下：对bigru输出的隐层向量h
t
进行加权求和计算得到其隐式表示ρ
t
，其表达式如式6所示。
[0088]
ρ
t
＝u tan h(w
t h
t
+b)
ꢀꢀ
式6
[0089]
然后评估不同时刻t下的流量特征的重要性。示例地，可以通过softmax函数计算归一化的重要性向量α
t
，也称为注意权重如式7所示。细粒度特征s
t
可由粗粒度特征(重要性向量)α
t
加权和得到，如式8所示。
[0090][0091][0092]
最后，可以通过分类器预测目标流量数据所属的流量类型，从而确定网络入侵检测结果，示例地，根据检测目标需求，分类器的类型可以分为二元分类器和多类别分类器。示例地，可以使用sigmoid函数作为二元分类器区分正常流量和攻击流量，函数值h表示预测为入侵行为的概率，范围是[0，1]上的值。函数表达式可以为：
[0093][0094]
在一种可能的实施例中，所述入侵检测模型通过以下方式训练：
[0095]
获取历史时段内的全局流量时序数据；
[0096]
对所述历史全局流量时序数据进行特征工程处理，得到历史目标流量时序数据；
[0097]
构建训练样本集，其中，所述训练样本集中的每一训练样本包括所述历史目标流量时序数据；
[0098]
利用所述训练样本集训练神经网络模型，得到输出结果；
[0099]
确定所述输出结果与在所述历史时刻之后预设时长的网络入侵检测结果之间的误差；
[0100]
如果所述误差不符合要求，则调整参数，重新训练调整之后的模型，得到所述入侵检测模型。
[0101]
其中，可以将历史全局流量时序数据作为入侵检测模型的输入，将输出结果作为神经网络模型的输出，对该模型进行训练。例如，将历史全局流量时序数据输入神经网络模型，基于输出结果和历史时刻之后预设时长的网络入侵检测结果进行损失计算(即误差计算)，从而根据误差值对模型参数进行调节，使入侵检测模型的精度满足要求。
[0102]
关于二分类的损失函数，可以选用二元交叉熵bce，函数表达式可以为：
[0103]
bceloss＝-yilogyi′‑
(1-yi)log(1-yi′
)
ꢀꢀ
式10
[0104]
其中yi表示真实标签，yi′
表示对应真实标签的预测标签值。
[0105]
示例地，使用softmax函数作为多类别分类器区分攻击流量类别时，对于网络入侵样本分布不均衡的问题，我们采用focal loss函数，添加调制因子α和1-α来降低分类类别的所有样本的损失权重，添加调制因子(1-yi′
)
β
和yi′
来降低某个分类类别的单个样本的损失权重。应用在二分类的场景中的函数表达式为：
[0106]
binary loss＝-yiα(1-yi′
)
β
logyi′‑
(1-yi)(1-α)log(1-yi′
)
ꢀꢀ
式11
[0107]
应用在多分类检测场景中的函数表达式为：
[0108][0109]
其中，y
s，q
，表示真实标签，y
′
s，q
表示对应真实标签的预测标签值。
[0110]
当模型精度达到预设的精度要求，或者是训练次数达到预设的训练次数阈值，确定模型训练完成。在模型训练完成后，便可得到入侵检测模型。
[0111]
在一种可能的实施例中，所述特征工程处理包括以下中的一者或多者：向量化、归一化。
[0112]
向量化包括独热编码即one-hot编码，又称为一位有效编码，主要是采用n位状态寄存器来对n个状态进行编码，每个状态都有独立的寄存器位，并且只有一位有效。这样，可以将字符型特征映射到整数值，可以对字符型特征进行数值化操作，以得到符合要求的流量时序数据。为了缩短模型的训练时间，可以采用归一化操作，将流量时序数据缩放到特定范围。如可以采用最小-最大归一化，使流量时序数据映射到[0，1]区间上。如式13所示。
[0113][0114]
基于相同的发明构思，本技术实施例还提供一种网络入侵检测系统，如图5所示，该系统包括：服务器，所述服务器用于执行实现如上文所述的网络入侵检测方法；
[0115]
客户端，用于获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据；根据所述流量时序数据和所述本地检测模型，确定所述本地检测模型的局部模型参数。
[0116]
基于相同的发明构思，本实施例中还提供了一种网络入侵检测装置，图6是本技术实施例提供的一种网络入侵检测装置的框图，如图6所述，该装置可以包括：
[0117]
获取模块610，用于获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据；
[0118]
第一确定模块620，用于根据所述流量时序数据和所述本地检测模型，确定所述本地检测模型的局部模型参数；
[0119]
聚合模块630，用于通过联邦学习算法对所述局部模型参数进行全局聚合，得到所述入侵检测模型的全局模型参数；
[0120]
第二确定模块640，用于若所述全局模型参数满足预设条件，则根据全局流量时序数据和所述入侵检测模型，确定网络入侵检测结果。
[0121]
可选地，所述装置还包括：
[0122]
返回模块，用于若所述全局模型参数不满足预设条件，则返回获取当前所述入侵检测模型的参数和当前所述本地检测模型的流量时序数据。
[0123]
可选地，所述全局流量时序数据为流量时序数据聚合的结果；所述第二确定模块640包括：
[0124]
处理子模块，用于将所述全局流量时序数据输入所述入侵检测模型，进行特征工程处理，得到目标流量时序数据；
[0125]
第一确定子模块，用于在所述入侵检测模型中，根据所述目标流量时序数据，确定所述当前时刻之后预设时长的网络入侵检测结果。
[0126]
可选地，所述第一确定子模块包括：
[0127]
第二确定子模块，用于根据所述目标流量时序数据，确定所述当前时刻之后预设
时长的目标流量数据；
[0128]
第三确定子模块，用于根据所述目标流量数据，确定当前时刻之后预设时长的网络入侵检测结果。
[0129]
可选地，所述入侵检测模型通过以下方式训练：
[0130]
获取历史时段内的全局流量时序数据；
[0131]
对所述历史全局流量时序数据进行特征工程处理，得到历史目标流量时序数据；
[0132]
构建训练样本集，其中，所述训练样本集中的每一训练样本包括所述历史目标流量时序数据；
[0133]
利用所述训练样本集训练神经网络模型，得到输出结果；
[0134]
确定所述输出结果与在所述历史时刻之后预设时长的网络入侵检测结果之间的误差；
[0135]
如果所述误差不符合要求，则调整参数，重新训练调整之后的模型，得到所述入侵检测模型。
[0136]
可选地，所述特征工程处理包括以下中的一者或多者：向量化、归一化。
[0137]
可选地，所述入侵检测模型为cnn-bigru。
[0138]
图7为本技术实施例提供的一种电子设备的结构示意图。如图7所示，该电子设备700包括：
[0139]
处理器701和存储器702；
[0140]
所述存储器702存储计算机指令；
[0141]
所述处理器701执行所述存储器702存储的计算机指令，使得所述处理器701执行如上实施的网络入侵检测方法。
[0142]
处理器701的具体实现过程可参见上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
[0143]
可选地，该电子设备700还包括通信部件703。其中，处理器701、存储器702以及通信部件703可以通过总线704连接。
[0144]
本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机指令，所述计算机指令被处理器执行时用于实现如上实施的网络入侵检测方法。
[0145]
本技术实施例还提供一种计算机程序产品，该计算机程序产品包含计算机程序，计算机程序被处理器执行时实现如上实施的网络入侵检测方法。
[0146]
本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本技术的真正范围和精神由下面的权利要求书指出。
[0147]
应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求书来限制。

技术特征：
1.一种网络入侵检测方法，其特征在于，所述方法包括：获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据；根据所述流量时序数据和所述本地检测模型，确定所述本地检测模型的局部模型参数，所述局部模型参数是在所述入侵检测模型的参数的基础上进行更新的；通过联邦学习算法对所述局部模型参数进行全局聚合，得到所述入侵检测模型的全局模型参数；若所述全局模型参数满足预设条件，则根据全局流量时序数据和所述入侵检测模型，确定网络入侵检测结果。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：若所述全局模型参数不满足预设条件，则返回获取当前所述入侵检测模型的参数和当前所述本地检测模型的流量时序数据。3.根据权利要求1所述的方法，其特征在于，所述全局流量时序数据为流量时序数据聚合的结果；所述根据全局流量时序数据和所述入侵检测模型，确定网络入侵检测结果，包括：将所述全局流量时序数据输入所述入侵检测模型，进行特征工程处理，得到目标流量时序数据；在所述入侵检测模型中，根据所述目标流量时序数据，确定所述当前时刻之后预设时长的网络入侵检测结果。4.根据权利要求3所述的方法，其特征在于，所述根据所述目标流量时序数据，确定所述当前时刻之后预设时长的网络入侵检测结果，包括：根据所述目标流量时序数据，确定所述当前时刻之后预设时长的目标流量数据；根据所述目标流量数据，确定当前时刻之后预设时长的网络入侵检测结果。5.根据权利要求1所述的方法，其特征在于，所述入侵检测模型通过以下方式训练：获取历史时段内的全局流量时序数据；对所述历史全局流量时序数据进行特征工程处理，得到历史目标流量时序数据；构建训练样本集，其中，所述训练样本集中的每一训练样本包括所述历史目标流量时序数据；利用所述训练样本集训练神经网络模型，得到输出结果；确定所述输出结果与在所述历史时刻之后预设时长的网络入侵检测结果之间的误差；如果所述误差不符合要求，则调整参数，重新训练调整之后的模型，得到所述入侵检测模型。6.根据权利要求3所述的方法，其特征在于，所述特征工程处理包括以下中的一者或多者：向量化、归一化。7.根据权利要求1-6中任一项所述的方法，其特征在于，所述入侵检测模型为cnn-bigru。8.一种网络入侵检测系统，其特征在于，包括：服务器，所述服务器用于执行实现如权利要求1至7任一所述的方法；客户端，用于获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据；根据所述流量时序数据和所述本地检测模型，确定所述本地检测模型的局部模型参数。
9.一种电子设备，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时使得所述电子设备实现如权利要求1至7任一所述的方法。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一所述的方法。

技术总结
本申请公开了一种网络入侵检测方法、系统、装置、存储介质及电子设备，所述方法包括：获取当前入侵检测模型的参数和当前本地检测模型的流量时序数据；根据流量时序数据和本地检测模型，确定所述本地检测模型的局部模型参数；通过联邦学习算法对局部模型参数进行全局聚合，得到入侵检测模型的全局模型参数；若全局模型参数满足预设条件，则根据全局流量时序数据和入侵检测模型，确定网络入侵检测结果。这样，一方面通过联邦学习可以确定入侵检测模型的全局模型参数，从而对网络入侵进行准确检测，提高了检测结果的准确性，另一方面增加了入侵检测模型的数据量，解决了网络入侵场景中的数据孤岛问题，同时保障本地用户数据不被泄露。露。露。


技术研发人员：程杰仁 寇雨晴
受保护的技术使用者：海南大学
技术研发日：2023.05.09
技术公布日：2023/10/8