An Efficient Unsupervised Federated Learning Approach for Anomaly Detection in Heterogeneous IoT Networks

Deze studie presenteert een efficiënt, onbewaakt federatief leerframework dat door het benutten van gedeelde kenmerken uit complementaire IoT-datasets en het toepassen van uitlegbare AI, de prestaties van anomaliedetectie in heterogene IoT-netwerken aanzienlijk verbetert ten opzichte van conventionele methoden.

De kern

De Grootse Probleem: Een Taalbarrière in de IoT-Wereld

Stel je voor dat je een enorme groep mensen hebt die allemaal een veiligheidscontrole moeten uitvoeren in een stad vol slimme apparaten (zoals slimme camera's, sensoren en thermostaten). Dit noemen we het "Internet of Things" (IoT).

Het probleem is dat deze apparaten allemaal van verschillende merken zijn en allemaal een eigen taal spreken.

• Apparaat A (een camera) zegt: "Ik zie een beweging, maar ik gebruik 48 woorden om dat te beschrijven."
• Apparaat B (een sensor) zegt: "Ik zie een beweging, maar ik gebruik maar 46 woorden."
• Apparaat C (een andere sensor) zegt: "Ik heb 78 woorden nodig."

Als ze allemaal hun geheime notities (de ruwe data) naar één centraal kantoor sturen om samen te leren, is dat een groot probleem:

1. Privacy: Niemand wil hun geheime notities delen.
2. Chaotisch: De centrale kantoor kan de verschillende talen niet direct begrijpen. Het is alsof je probeert een vergadering te houden met mensen die verschillende talen spreken, zonder vertalers.

De Oplossing: De "Slimme Vertaler" (Federated Learning)

De auteurs van dit paper hebben een slimme oplossing bedacht, genaamd Federated Learning. In plaats van dat iedereen zijn notities naar het kantoor stuurt, gaat het kantoor naar de mensen toe (of beter: de mensen sturen alleen hun leerresultaten, niet hun notities).

Maar hoe los je het taalprobleem op als de woordenlijsten (de data) verschillend zijn?

1. De Gedeelde Woordenlijst (Shared Features)

Stel je voor dat al deze apparaten, ondanks hun verschillen, een paar gemeenschappelijke woorden hebben. Bijvoorbeeld: "beweging", "tijd" en "temperatuur".

• De onderzoekers zeggen: "Laten we niet proberen de hele zinnen te vertalen. Laten we ons alleen concentreren op die gemeenschappelijke woorden."
• Ze laten de apparaten hun eigen unieke woorden (die ze alleen hebben) voor zichzelf houden, maar ze sturen wel de kennis over die gemeenschappelijke woorden naar het centrale kantoor.

2. De Bouwmeester (Het Auto-Encoder Model)

Het centrale kantoor gebruikt een slim bouwsysteem (een Deep Autoencoder).

• De Encoder: Dit is als een vertaler die de ingewikkelde zinnen van de apparaten samenvat tot een kort, krachtig berichtje (een "latent representation").
• De Decoder: Dit is de vertaler die probeert het originele bericht weer te reconstrueren. Als het systeem goed is, kan het het originele bericht bijna perfect nabootsen.
• Het Leerproces: Als een apparaat een aanval (zoals een hacker) ziet, is het bericht heel anders dan normaal. Het systeem leert: "Hé, dit berichtje klinkt raar, dit is een aanval!"

3. De Groepsdiscussie (Federated Aggregation)

Elk apparaat leert lokaal. Dan sturen ze hun "gewicht" (hoe belangrijk ze bepaalde woorden vinden) naar het centrale kantoor.

• Het kantoor pakt alleen de gemeenschappelijke woorden uit de verschillende apparaten en maakt een gemiddelde.
• De unieke woorden van elk apparaat blijven bij het apparaat zelf.
• Het kantoor stuurt dit verbeterde "gemiddelde boek" terug naar de apparaten. Nu is elk apparaat slimmer geworden door de kennis van de anderen, zonder dat ze hun geheime notities hebben gedeeld.

Het Resultaat: Wie is de Indringer?

Na het trainen moeten ze bepalen wie een indringer is. Omdat ze geen "ja/nee" labels hebben gekregen (het is onzelftoezicht of unsupervised), moeten ze zelf patronen ontdekken.

• Ze gebruiken een techniek genaamd K-means clustering.
• Vergelijking: Stel je voor dat je een grote bak met knikkers hebt. Sommige knikkers zijn rood (normaal), andere blauw (aanval). Je gooit ze in een machine die ze automatisch in twee stapels verdeelt op basis van kleur.
• Omdat de machine soms de stapels verwisselt (de ene keer noemt hij de blauwe stapel "rood"), gebruiken de onderzoekers een slimme truc (Label Alignment) om te checken: "Wacht, klopt dit wel? Is deze stapel echt de indringers?"

Waarom is dit zo goed? (De "SHAP" Magie)

Om te bewijzen dat het werkt, gebruiken ze een techniek genaamd SHAP.

• Vergelijking: Stel je voor dat je een detective bent. SHAP is als een vergrootglas dat je op de zinnen van de apparaten houdt. Het zegt: "Kijk, dit specifieke woord (bijvoorbeeld 'ongewone tijd') was de reden waarom we dachten dat het een aanval was."
• Dit maakt het systeem doorzichtig. We weten niet alleen dat het werkt, maar ook waarom.

De Conclusie in Eén Zin

De onderzoekers hebben bewezen dat je een supersterk veiligheidsnetwerk kunt bouwen door apparaten met verschillende talen en formaten samen te laten werken, zolang ze maar een paar gemeenschappelijke woorden delen. Ze hoeven hun geheime notities niet te delen, maar worden samen slimmer en kunnen indringers (hackers) veel beter opsporen dan als ze alleen zouden werken.

Kortom: Het is alsof een groep mensen met verschillende dialecten samen een geheimtaal ontwikkelt om dieven te vangen, zonder dat ze hun persoonlijke dagboeken hoeven in te leveren.

Technische samenvatting

Titel

Een efficiënte onbewaakte Federated Learning-aanpak voor anomaliedetectie in heterogene IoT-netwerken.

1. Probleemstelling

De snelle groei van het Internet of Things (IoT) heeft geleid tot een ecosysteem met extreme heterogeniteit. IoT-apparaten variëren in fabrikant, functionaliteit, rekenkracht en dataformaten. Dit creëert twee hoofduitdagingen voor beveiliging en privacy:

• Privacy en Data Lokaal: Het centraliseren van ruwe data van diverse apparaten voor training van detectiemodellen is vaak onwenselijk vanwege privacy- en beveiligingsrisico's.
• Feature Heterogeniteit: In Federated Learning (FL) hebben clients vaak verschillende input-features (niet-IID data). Bestaande FL-frameworks gaan vaak uit van homogene netwerken of vereisen dat unieke features worden verwijderd of getransformeerd, wat leidt tot informatieverlies en suboptimale prestaties bij anomaliedetectie.
• Onbewaakte Leerprobleem: Anomaliedetectie in IoT vereist vaak onbewaakte methoden (zonder gelabelde data), wat de training van robuuste globale modellen in een gedecentraliseerde omgeving complexer maakt.

2. Methodologie

De auteurs stellen een nieuw onbewaakt Federated Learning-framework voor dat specifiek is ontworpen om heterogene clients te integreren zonder ruwe data uit te wisselen. Het systeem bestaat uit vier fasen:

A. Semantische Data Refinement (Data Preprocessing)

• Drie datasets worden gebruikt: CICIoT2022 (apparaatidentificatie), CICIoT2023 (anomaliedetectie) en CICIoT-DIAD 2024 (anomaliedetectie).
• Data wordt genormaliseerd (Min-Max scaling) en gebalanceerd.
• Het systeem identificeert gemeenschappelijke features tussen de datasets en behoudt de specifieke features per client.

B. Federated Knowledge Aggregation (Het FL-framework)

• Architectuur: Elke client traint een lokaal Deep Autoencoder-model (Encoder-Decoder) met de Adam-optimizer en MSE-verliesfunctie.
• Omgaan met Heterogeniteit:
  • Clients hebben verschillende input- en output-lagen (bijv. 48 features vs. 46 features).
  • Strategie: Alleen de lagen met gemeenschappelijke dimensies (de verborgen lagen in het midden van de autoencoder) worden naar de server gestuurd voor aggregatie.
  • De unieke eerste en laatste lagen blijven lokaal.
  • De server berekent een gewogen gemiddelde van de gemeenschappelijke gewichten (gebaseerd op steekproefgrootte of verlies).
• Weight Adjustment & Fine-tuning: Na het ontvangen van het globale gemiddelde, herbouwt elke client zijn model door de nieuwe gewichten voor de gemeenschappelijke lagen te combineren met zijn eigen lokale lagen. Het model wordt vervolgens kort gefine-tuned met lokale validatie-data om de gewichten van de overgangslagen af te stemmen.

C. Intelligent Device and Anomaly Profiling

• Latente Representatie: De testdata wordt door de autoencoder gehaald om een latente vector (bottleneck) te extraheren.
• Clustering: In plaats van een gelabelde classifier te gebruiken, wordt K-means clustering toegepast op deze latente representaties:
  • $k=11$ voor apparaatidentificatie.
  • $k=2$ voor anomaliedetectie (normaal vs. aanval).
• Label Alignment: Omdat K-means willekeurige labels toekent, wordt een algoritme gebruikt om de voorspellingen af te stemmen op de ground truth (bijv. door inversie te testen bij binaire classificatie of frequentie-mapping bij multi-class).

D. Explainable Intelligence Assessment

• SHAP (SHapley Additive exPlanations): Wordt gebruikt om de bijdrage van individuele features aan de modelbeslissingen te visualiseren. Dit verhoogt de transparantie en helpt te begrijpen welke features de detectie van anomalieën drijven.

3. Belangrijkste Bijdragen

1. Unificatie Framework voor Heterogene Features: Een FL-framework dat zowel homogene als heterogene clients kan verwerken door dynamische gewichtsafstemming. Het integreert datasets met verschillende feature-dimensies zonder unieke features te verliezen.
2. Collaboratieve Feature Sharing: Een strategie die gebruikmaakt van overlappende features tussen datasets om het leren te versterken, terwijl client-specifieke kenmerken behouden blijven.
3. Verbeterde Interpretatie: Integratie van SHAP voor onbewaakte modellen, wat inzicht geeft in de drijvende krachten achter anomaliedetectie in een privacy-bewuste omgeving.
4. Robuuste Evaluatie: Toepassing op drie real-world IoT-datasets met een specifieke focus op het oplossen van het label-alignment-probleem bij onbewaakte clustering.

4. Resultaten

De methode is getest op de drie CICIoT-datasets en vergeleken met een baseline (lokaal getrainde autoencoder zonder federatie):

• Prestatieverbetering: De voorgestelde methode presteert significant beter dan de baseline, vooral op complexere en recentere datasets.
  • Op CICIoT-DIAD 2024 werd een verbetering van ongeveer 15% in de F1-score waargenomen (van ~0.79 naar ~0.95).
  • Op CICIoT2022 (apparaatidentificatie) was er ook een duidelijke stijging (F1 van ~0.12 naar ~0.30, hoewel de absolute waarden lager zijn, is de relatieve verbetering groot).
  • Op CICIoT2023 waren de resultaten vergelijkbaar met de baseline, wat aangeeft dat het framework stabiel blijft zelfs bij minder overlap.
• Convergentie: Het model convergeerde stabiel over 21 federatie-rondes.
• Explainability: SHAP-analyses bevestigden dat de gedeelde features de belangrijkste drijvende krachten zijn voor de detectiebeslissingen, wat de effectiviteit van de gedeelde kennis bevestigt.

5. Betekenis en Conclusie

Dit werk toont aan dat het mogelijk is om een robuust, onbewaakt Federated Learning-systeem te bouwen voor IoT-netwerken, ondanks de grote heterogeniteit in data en apparaten.

• Privacy: Het behoudt de privacy door ruwe data lokaal te houden.
• Efficiëntie: Het maximaliseert de prestaties door gedeelde features te benutten zonder de unieke eigenschappen van lokale datasets te offeren.
• Toekomstperspectief: De studie benadrukt dat het combineren van complementaire datasets via FL een veelbelovende richting is voor gedecentraliseerde beveiliging. Toekomstig werk richt zich op het verbeteren van de representatie-afstemming (bijv. via contrastive learning) en het toevoegen van privacy-versterkende technieken zoals differentiele privacy.

Kortom, de auteurs hebben bewezen dat het "samenwerken" van diverse IoT-apparaten via een slimme federatie-strategie leidt tot betere beveiliging dan het werken in silo's, zelfs zonder centrale data-aggregatie.