杨凯|董晓芳|王家瑞|王旭安|任亮辰|张瑞轩|吴俊|乔俊豪
西安电子科技大学计算机学院，中国陕西省西安市710123

**摘要**
在工业物联网（IIoT）环境中，网络入侵检测需要跨分布式设备进行协作训练，同时降低来自本地流量数据的隐私泄露风险。然而，大多数现有的联邦入侵检测方法依赖于单层聚合，通常缺乏可审计的隐私预算报告以及对成员推断攻击（MIA）的系统性评估。为了解决这些限制，本文提出了一种基于分层联邦学习和差分隐私的网络入侵检测方法，称为HFL-DP NIDS。在不改变标准分层聚合工作流程的情况下，该方法在客户端到边缘和边缘到云的上传接口引入了更新裁剪和高斯噪声注入。此外，还加入了热身噪声调度策略和轮次级别的Rényi差分隐私（RDP）会计机制，以支持统一的隐私预算核算和报告。在CIC-IDS2017和Edge-IIoTset上的实验表明，在统一的预处理、固定的训练预算以及相同的轻量级1D-CNN框架下，HFL-DP NIDS在大约ε=20的隐私预算下保持了可测量的攻击检测能力。与非私有HFL相比，其效用降低有限；当隐私预算从ε=50降低到ε=20时，在评估设置下F1分数下降了大约1%到3%。敏感性分析表明，客户端参与度、边缘上传参与度和边缘-云同步性会影响DP激活后的收敛稳定性。在Yeom风格的MIA下，MIA的准确率在更强的隐私约束下趋近于0.5的随机猜测基线。类别加权可以在评估的类别不平衡设置下进一步提高少数类攻击的检测能力。

**引言**
随着工业物联网（IIoT）和物联网（IoT）在制造、能源和关键基础设施中的持续部署，系统互连性不断增加，网络攻击面也随之扩大[1]。在这种背景下，入侵检测系统（IDS）作为识别异常流量和恶意行为的重要安全机制，已成为IIoT安全防御框架的关键组成部分[2]。然而，传统的集中式入侵检测通常需要将多个源端点生成的流量数据或日志信息集中收集到云端进行统一建模。一方面，这种集中式收集过程增加了原始数据的暴露范围，从而增加了敏感信息泄露的风险；另一方面，跨域数据的集中存储和统一处理也增加了合规管理的难度，并在数据收集、传输、匿名化、存储和访问控制方面增加了数据治理的开销。联邦学习（FL）通过仅在参与者之间交换模型参数或模型更新来支持协作训练，从而在不需要集中收集原始数据的情况下为隐私敏感场景中的分布式网络安全建模提供了协作训练范式[3],[4]。特别是在以密集的边缘节点和分布式计算资源为特征的IIoT部署环境中，分层联邦学习（HFL）采用的多层次协作训练组织结构——即客户端-边缘-云结构——更符合设备-边缘-云架构的实际部署逻辑[5],[6]。

尽管FL和HFL为IIoT中的入侵检测提供了新的协作训练路径，但现有研究在训练组织、适应异构数据以及隐私评估的可审计性方面仍存在局限性。当前的联邦入侵检测研究主要集中在将联邦训练应用于入侵检测任务的可行性上[4],[7]，而对客户端-边缘-云协作训练结构及其适应工业异构数据条件的分析仍相对有限[8],[9]。在工业场景中，跨设备、生产线和地区收集的数据通常表现出显著的统计异构性。关于联邦优化的现有研究表明，非独立同分布（non-IID）的数据特性可能导致客户端漂移，削弱分布式训练的一致性[10],[11]。因此，这一问题需要在IIoT入侵检测任务的分析框架中明确考虑。同时，入侵检测任务通常伴随着类别不平衡问题。在差分隐私（DP）训练下，与少数类相关的更新信号可能会受到进一步限制，从而导致识别性能下降，从而影响对攻击类的检测能力。更重要的是，不上传原始数据并不意味着正式可验证的隐私保障。在常见的威胁模型下，攻击者仍可能通过利用模型输出或更新信息来推断特定样本是否参与了训练。成员推断攻击（MIA）常用于描述此类隐私风险[12]，现有研究进一步指出，模型更新本身可能会泄露训练数据的成员信息或敏感属性[13],[14]。因此，如何在分层联邦入侵检测框架中同时平衡检测效用、在异构数据条件下的训练稳定性以及可审计的正式隐私保护，是本工作的核心问题。

为了解决上述问题，本文提出了一种基于分层联邦学习和差分隐私的网络入侵检测方法，称为HFL-DP NIDS。该方法构建了一个由客户端、边缘聚合器和云服务器组成的三层协作训练框架。在保持标准分层聚合训练流程的基础上，它在客户端上传接口和边缘上传接口分别引入了更新裁剪和高斯噪声注入。为了区分早期训练阶段和有效的隐私训练阶段，本文还设计了一种热身噪声控制策略。结合迭代训练过程中的差分隐私分析以及Rényi差分隐私（RDP）的组合方法，有效轮次的隐私预算在统一的核算方案下被建模和报告[15],[16],[17]。

**本文的主要贡献如下：**
1. 提出了一种用于IIoT场景的分层联邦入侵检测框架HFL-DP NIDS，该框架将更新裁剪和高斯噪声注入集成到客户端到边缘和边缘到云的上传接口中，同时保持了标准的分层聚合工作流程。
2. 为三层训练协议开发了热身噪声调度策略和轮次级别的RDP会计机制，该机制指定了有效的隐私训练轮次、参与假设和双层扰动过程，从而实现了可审计的隐私预算报告。
3. 引入了Yeom风格的成员推断攻击评估程序，以补充正式的DP预算和实证隐私风险分析。该方法在CIC-IDS2017和Edge-IIoTset上进行了评估，评估了独立同分布（IID）、非独立同分布（non-IID）和类别不平衡的情况。

**本文的其余部分组织如下：**第2节回顾了相关工作。第3节介绍了预备知识和问题阐述。第4节详细描述了所提出的HFL-DP NIDS方法。第5节介绍了实验设置。第6节报告了实验结果和分析。第7节讨论了实际部署考虑和局限性。第8节总结了本文并探讨了未来的工作。

**相关工作**
本节回顾了与本文最密切相关的三个研究方向：用于入侵检测的FL、IIoT边缘环境的HFL以及将DP集成到FL和HFL中。这三项研究反映了从协作训练范式到分层组织结构，再到正式隐私保护机制的进步。现有研究分别证明了FL在分布式入侵检测建模中的可行性。

**分层联邦学习**
考虑一个由K个客户端、M个边缘聚合器和一个云服务器组成的设备-边缘-云分层联邦学习（HFL）系统。客户端集合表示为C={1,?,K}，边缘集合表示为E={1,?,M}。每个客户端k∈C持有一个本地私有数据集Dk={(xi,yi)}i=1≤n≤k，其中xi是特征向量，yi∈{0, 1}是二进制标签，0表示良性，1表示攻击。每个边缘聚合器m∈E管理一个客户端子集Cm?C，满足?m∈E且Cm=C，Cm∩Cm′=?（m≠m′）。

**HFL-DP NIDS的总体框架和训练协议**
如图1所示，HFL-DP NIDS采用了一个涵盖客户端、边缘和云的三层协作训练框架。云服务器维护全局模型并执行跨边缘的全局聚合。边缘聚合器负责在其边缘域内的本地聚合和更新转发，而客户端仅对其本地数据进行训练并上传模型更新。训练过程以全局轮次进行。在每轮中，参与的客户端集合……

**实验环境和硬件**
实验环境总结在表2中。

**模型配置和训练设置**
使用轻量级的1D CNN作为二进制入侵检测分类器。该模型以统计流量特征向量作为输入，Edge-IIoTset的输入维度为61，CIC-IDS2017的输入维度为80。网络由两个1D卷积块和两个全连接层组成，中间层加入了Dropout。输出层使用Sigmoid激活函数进行二分类。

**基线性能比较和效用损失**
为了评估在差分隐私约束下HFL-DP NIDS的检测效用，本节比较了四种训练范式在相同的数据划分和统一训练协议下的性能：集中式CNN、云端单层联邦基线FedAvg、HFL和HFL-DP。表4报告了所有方法的最终性能，图2显示了HFL和HFL-DP的收敛轨迹。默认的隐私操作点对应于ε=20的隐私预算。

**讨论**
尽管HFL-DP NIDS是为设备-边缘-云IIoT入侵检测场景设计的，但当前的评估基于公共基准数据集和模拟的分层联邦训练环境。因此，结果为所提出的隐私保护训练框架提供了受控的实证证据，但它们尚未构成在真实工业环境中的完整验证。与标准HFL相比，HFL-DP NIDS没有修改主干检测模型。