Semi-supervised federated learning based intrusion detection in a heterogeneous industrial IoT setting

Abstract

Der Aufstieg von Industrie 4.0 hat die Entwicklung hochvernetzter intelligenter Systeme vorangetrieben, wobei Machine Learning (ML) zunehmend in anomaliebasierten Intrusion Detection Systemen (IDS) in Industrial-Internet-of-Things (IIoT)-Umgebungen eingesetzt wird. In diesem Kontext hat sich Federated Learning (FL) als dezentraler Ansatz etabliert, der Sicherheit und Datenschutz verbessert, indem ML-Modelle auf verteilten Geräten trainiert und die Ergebnisse auf einem zentralen Server aggregiert werden, ohne dabei lokale Daten zu übertragen. Traditionelle Ansätze wie Federated Averaging (FedAvg) stoßen jedoch in heterogenen Umgebungen auf Herausforderungen, insbesondere hinsichtlich der ineffizienten Ressourcennutzung und einer erhöhten Anfälligkeit gegenüber Denial-of-Service (DoS)-Angriffen aufgrund der zugrunde liegenden synchronen Aggregation. Asynchronous Federated Learning (AFL) bietet eine vielversprechende Alternative, indem es Probleme in Zusammenhang mit Geräteunzuverlässigkeit, Aggregationseffizienz und Konvergenzgeschwindigkeit mindert. Trotz dieser Entwicklungen adressieren bestehende Federated Learning-basierte IDS Frameworks die Heterogenität der Geräte in IIoT-Umgebungen weiterhin unzureichend. Diese Arbeit schlägt ein verbessertes Federated Learning Framework für heterogene Umgebungen vor, mit besonderem Fokus auf die Erkennung von DoS-Angriffen. Zur Unterstützung des Übergangs zu einer heterogenen Systemarchitektur wird eine strukturierte Methodik erstellt, die als Grundlage für die Entwicklung des Frameworks dient. Diese Methodik wird auf ein bestehendes Federated Learning-basiertes Intrusion Detection Framework angewandt, und ein umfassendes Architekturdesign wird präsentiert, das eine einheitliche Systembereitstellung auf heterogenen Edge-Geräten, asynchrone Modellaggregation, dynamischen Datenumgang, Backup-Mechanismen sowie eine zentrale Modellevaluierung umfasst. Die vorgeschlagene Lösung wird in einem kleinen, heterogenen IIoT-Testumfeld bezüglich System- und Modellleistung empirisch evaluiert. Die Ergebnisse zeigen, dass unser Framework Leerlaufzeiten signifikant reduziert, die Update-Rate erhöht und zusätzliche systemseitige Widerstandsfähigkeit gegenüber DoS-Angriffen bietet sowie die Modellleistung und die Konvergenzrate verbessert.

The rise of Industry 4.0 has driven the development of highly interconnected intelligent systems, with Machine Learning (ML) increasingly utilized in anomaly-based intrusion detection systems (IDS) in Industrial Internet of Things (IIoT) settings. In this context, Federated Learning (FL) has emerged as a decentralized approach that enhances security and privacy by training ML models on distributed clients and aggregating the results on a central server without sharing the underlying local data. However, traditional federated learning methods, such as Federated Averaging (FedAvg), face challenges in heterogeneous environments, including inefficient resource utilization and vulnerability to Denial of Service (DoS) attacks caused by the underlying synchronous aggregation. Asynchronous Federated Learning (AFL) presents a promising alternative, mitigating issues related to device unreliability, aggregation efficiency, and convergence speed. Despite these advancements, existing federated-learning-based anomaly detection frameworks still inadequately address device heterogeneity in IIoT settings. This thesis proposes an improved federated learning framework for heterogeneous environments, with a particular focus on DoS attack detection. To guide the transition to a heterogeneous system architecture, we develop a structured methodology that serves as the foundation of our framework development. We apply this methodology to an existing federated-learning-based intrusion detection framework and present a comprehensive architectural design that features uniform system deployment on heterogeneous edge devices, asynchronous model aggregation, dynamic data utilization, backup mechanisms, and a centralized model evaluation. The proposed solution is empirically evaluated in a small-scale, heterogeneous IIoT testbed with respect to system and model performance. Results demonstrate that our framework significantly reduces idle times, increases update rates, and provides additional system-level resilience against DoS attacks, while also improving model performance and convergence rate.