Sdílení modelu hrozeb IDS pomocí federativního učení

Abstract

V této práci zkoumáme využití federativního učení pro sdílení modelů hrozeb IDS v distribuovaném prostředí bez nutnosti přenosu samotných dat. Náš přístup je založen na detekci anomálií pomocí shlukovacího algoritmu K-means aplikovaného na data ze síťových toků seskupených do časových oken. Hodnotíme dva přístupy k trénování modelu: v prvním případě se K-means učí pouze z provozu bez útoků, ve druhém na celém datasetu včetně škodlivého provozu. Experimenty provádíme na datasetech CIC-IDS2017 a UNSW-NB15. Navrhujeme dvě nové strategie federativního učení: FedCoordAvg a FedKmeans. Tytometody jsou implementovány ve vlastním federativním frameworku. V rámci experimentální evaluace porovnáváme centralizované a federativní scénáře. Výsledky potvrzují, že shlukování lze efektivně integrovat do federativního učení při zachování důvěrnosti dat a bez významného dopadu na detekční schopnosti.In this work, we explore the use of federated learning to share IDS threat models across distributed environments without transmitting raw network data. Our approach relies on anomaly detection using the K-means clustering algorithm applied to flow-based data grouped into time windows. We evaluate two training approaches: (i) K-means trained solely on benign traffic; (ii) K-means trained on the full dataset including malicious flows. Experiments are conducted on the CIC-IDS2017 and UNSW-NB15 datasets. We propose two novel federated learning strategies: FedCoordAvg and FedKmeans. These methods are implemented in a custom federated framework. Our evaluation compares centralized and federated scenarios. The results demonstrate that clustering can be effectively integrated into federated learning while preserving data privacy and maintaining detection capabilities.