潘建國(guó) 李豪

摘 要：物聯(lián)網(wǎng)入侵的檢測(cè)率雖高，但面臨節(jié)點(diǎn)能力消耗過(guò)大的問(wèn)題，為此提出一種基于共識(shí)的實(shí)用拜占庭容錯(cuò)（PBFT）算法的入侵檢測(cè)方法。首先，使用支持向量機(jī)（SVM）進(jìn)行預(yù)訓(xùn)練得到入侵檢測(cè)判定規(guī)則，并將訓(xùn)練規(guī)則應(yīng)用于物聯(lián)網(wǎng)中的每個(gè)節(jié)點(diǎn);然后，選舉出部分節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)中其他節(jié)點(diǎn)進(jìn)行主動(dòng)入侵檢測(cè)，同時(shí)將自身的檢測(cè)結(jié)果向其他節(jié)點(diǎn)公布;最后，每個(gè)節(jié)點(diǎn)依據(jù)PBFT算法判斷其他節(jié)點(diǎn)的狀態(tài)，使檢測(cè)結(jié)果在系統(tǒng)內(nèi)達(dá)到一致性。在NSL-KDD數(shù)據(jù)集上使用TinyOS進(jìn)行仿真的實(shí)驗(yàn)結(jié)果表明，所提方法與集成入侵檢測(cè)系統(tǒng)（IIDS）和雙重降維雙重檢測(cè)（TDTC）方法相比，能量消耗平均降低12.2%和7.6%，能夠有效地降低物聯(lián)網(wǎng)的能量消耗。

關(guān)鍵詞：物聯(lián)網(wǎng);實(shí)用拜占庭容錯(cuò);入侵檢測(cè);低能耗;支持向量機(jī)

中圖分類(lèi)號(hào)： TP393.08

文獻(xiàn)標(biāo)志碼：A

Abstract： Current Internet of Things （IoT） networks have high detection rate of known types of attacks but the network node energy consumption is high. Aiming at this fact， an intrusion detection approach based on Practical Byzantine Fault Tolerance （PBFT） algorithm was proposed. Firstly， Support Vector Machine （SVM） was used for pre-training to obtain the intrusion detection decision rule， and the trained rule was applied to each node in IoT. Then， some nodes were voted to perform the active intrusion detection on other nodes in the network， while announce their detection results to other nodes. Finally， each node judged the state of other nodes according to PBFT algorithm， making the detection results reach consistency in the system. The simulation results on NSL-KDD dataset by TinyOS show that the proposed approach reduces the energy consumption by 12.2% and 7.6% averagely and respectively compared with Integrated Intrusion Detection System （IIDS） and Two-layer Dimension reduction and Two-tier Classification （TDTC） approach， effectively reducing the energy consumption of IoT.

Key words： Internet of Things （IoT）; Practical Byzantine Fault Tolerance （PBFT）; intrusion detection; low energy consumption; Support Vector Machine （SVM）

0 引言

近年來(lái)，物聯(lián)網(wǎng)因具有節(jié)點(diǎn)數(shù)量大、低功耗、部署方法便捷等優(yōu)點(diǎn)，在設(shè)備監(jiān)控、環(huán)境檢測(cè)、安保消防等領(lǐng)域得到了飛速發(fā)展，與此同時(shí)，其安全性問(wèn)題也受到越來(lái)越多研究者的關(guān)注。傳統(tǒng)被動(dòng)防御的安全策略已經(jīng)不能有效地保證物聯(lián)網(wǎng)安全運(yùn)行，如黑洞攻擊、能源耗盡攻擊和女巫攻擊等不能被有效識(shí)別并防御[1]。入侵檢測(cè)技術(shù)作為一種主動(dòng)防御策略，通過(guò)采集網(wǎng)絡(luò)中關(guān)鍵節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行分析，可以在攻擊者發(fā)起攻擊之前采取防御措施，有效保系統(tǒng)的安全[2-3]。

物聯(lián)網(wǎng)入侵檢測(cè)系統(tǒng)主要完成以下功能：采集數(shù)據(jù)、識(shí)別入侵行為、識(shí)別入侵者、采取相應(yīng)的防御措施[4]。目前，依托于物聯(lián)網(wǎng)海量數(shù)據(jù)，研究人員提出了綜合先驗(yàn)知識(shí)和機(jī)器學(xué)習(xí)的入侵檢測(cè)方法，取得了比較好的檢測(cè)效果。但是，由于物聯(lián)網(wǎng)中網(wǎng)絡(luò)節(jié)點(diǎn)一般由電池進(jìn)行供電，其能量資源受限。因此，如何在能量受限的情況下使入侵檢測(cè)系統(tǒng)能夠長(zhǎng)時(shí)間可靠運(yùn)行成為當(dāng)下的研究熱點(diǎn)。

Wang等[5]提出了一種集成入侵檢測(cè)系統(tǒng)（Integrated Intrusion Detection System， IIDS），IIDS將物聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)分成三層：在頂層IHIDS（Intelligent Hybrid IDS）層進(jìn)行異常檢測(cè)和特征檢測(cè)，并對(duì)新的攻擊類(lèi)型進(jìn)行學(xué)習(xí)，并將學(xué)習(xí)結(jié)果傳遞給中間層HIDS;HIDS對(duì)攻擊類(lèi)型進(jìn)行識(shí)別;在底層mIDS（misuse IDS）進(jìn)行特征檢測(cè)，對(duì)正常數(shù)據(jù)進(jìn)行過(guò)濾。由于加入了IHIDS進(jìn)行二次學(xué)習(xí)，提升了對(duì)未知攻擊的檢測(cè)準(zhǔn)確率;但是帶來(lái)了較高的資源消耗。Loo等[6]針對(duì)路由攻擊提出了一種基于特征篩選的檢測(cè)方法，對(duì)路由攻擊的檢測(cè)進(jìn)行優(yōu)化;但對(duì)其他攻擊類(lèi)型的檢測(cè)率沒(méi)有提升。Pajouh等[7]對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析，提出了雙重降維雙重檢測(cè)（Two-layer Dimension reduction and Two-tier Classification， TDTC）的方法，通過(guò)特征檢測(cè)[6]篩選已知攻擊類(lèi)型的攻擊節(jié)點(diǎn)，再通過(guò)異常檢測(cè)判斷未確定節(jié)點(diǎn)的可信性。該方法通過(guò)特征檢測(cè)來(lái)規(guī)避異常檢測(cè)的高額開(kāi)銷(xiāo);但是同時(shí)帶了較高的誤報(bào)率。Sedjelmaci等[8]和劉雅菲等[9]分別提出了基于博弈論（Game Theory， GT）的入侵檢測(cè)方法，其核心是通過(guò)收益比來(lái)遏制攻擊節(jié)點(diǎn)發(fā)起攻擊，通過(guò)減少入侵檢測(cè)次數(shù)達(dá)到降低資源消耗的目的;但該種模型需要對(duì)攻擊節(jié)點(diǎn)的行為模式進(jìn)行額外計(jì)算。Lin等[10]提出了一種基于投票的入侵檢測(cè)方法，該方法采用檢測(cè)率最高的節(jié)點(diǎn)的檢測(cè)結(jié)果作為系統(tǒng)其他節(jié)點(diǎn)的檢測(cè)結(jié)果;但當(dāng)該節(jié)點(diǎn)遭受攻擊后會(huì)大幅影響系統(tǒng)的穩(wěn)定性。

目前，物聯(lián)網(wǎng)入侵檢測(cè)系統(tǒng)工作時(shí)能量消耗主要源于入侵檢測(cè)時(shí)的計(jì)算開(kāi)銷(xiāo)，單個(gè)節(jié)點(diǎn)的入侵檢測(cè)策略的優(yōu)化對(duì)能量消耗的減少影響很小，因此物聯(lián)網(wǎng)入侵檢測(cè)方法的研究集中于減少檢測(cè)次數(shù)方向。實(shí)用拜占庭容錯(cuò)（Practical Byzantine Fault Tolerance， PBFT） [11]證明在滿足節(jié)點(diǎn)總數(shù)N≥3m+1（m為惡意節(jié)點(diǎn)數(shù)量）的情況下，系統(tǒng)是可靠和穩(wěn)定的。為了實(shí)現(xiàn)物聯(lián)網(wǎng)入侵檢測(cè)高檢測(cè)率的同時(shí)降低能量消耗，本文引入基于PBFT的選舉機(jī)制，選擇可信度較高的部分節(jié)點(diǎn)進(jìn)行入侵檢測(cè)，待檢測(cè)結(jié)束后將投票結(jié)果向網(wǎng)絡(luò)中的全部節(jié)點(diǎn)公布，完成物聯(lián)網(wǎng)入侵檢測(cè)過(guò)程。

1 PBFT算法

1.1 拜占庭容錯(cuò)系統(tǒng)

PBFT模型源于拜占庭將軍問(wèn)題[12]，該問(wèn)題的核心思想可以描述為，當(dāng)節(jié)點(diǎn)總數(shù)為N，惡意節(jié)點(diǎn)為m時(shí)，若N≥3m+1時(shí)，惡意節(jié)點(diǎn)的決定不會(huì)對(duì)系統(tǒng)產(chǎn)生影響。

為簡(jiǎn)化證明過(guò)程，以一個(gè)節(jié)點(diǎn)發(fā)送決定給其他節(jié)點(diǎn)的形式來(lái)證明。系統(tǒng)的穩(wěn)定運(yùn)行需要以下前提條件：

IC1 所有正常節(jié)點(diǎn)能無(wú)誤地處理接收到的決定。

IC2 如果發(fā)送節(jié)點(diǎn)是正常的，那么所有正常節(jié)點(diǎn)能正確處理其決定。

定義1 majority（node1，node2，…，noden）為統(tǒng)計(jì)數(shù)據(jù)中出現(xiàn)次數(shù)最多的結(jié)果。其中，nodei表示一個(gè)節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的檢測(cè)結(jié)果。

定義2 OM（0）。

1）檢測(cè)節(jié)點(diǎn)將決定發(fā)送給其他節(jié)點(diǎn)。

2）接收節(jié)點(diǎn)采用接收到的檢測(cè)結(jié)果。如果沒(méi)接收到檢測(cè)節(jié)點(diǎn)的檢測(cè)結(jié)果，則將該檢測(cè)節(jié)點(diǎn)標(biāo)記為異常狀態(tài)。

定義3 OM（m）。

1）發(fā)送者將決定發(fā)送給其他節(jié)點(diǎn)。

2）對(duì)于每個(gè)接收節(jié)點(diǎn)i，decisioni是每個(gè)接收節(jié)點(diǎn)i收到的決定，如果沒(méi)接收到某檢測(cè)節(jié)點(diǎn)的檢測(cè)結(jié)果，則將該檢測(cè)節(jié)點(diǎn)標(biāo)記為異常狀態(tài)。接收節(jié)點(diǎn)i在OM（m-1）中作為發(fā)送節(jié)點(diǎn)將決定發(fā)送給另外N-2個(gè)節(jié)點(diǎn)。

3）對(duì)于每個(gè)接收節(jié)點(diǎn)j，并且j≠i，decisionj是節(jié)點(diǎn)j接收到的從第2）步中的節(jié)點(diǎn)i發(fā)送過(guò)來(lái)的決定（使用OM（m-1）算法）。如果沒(méi)有收到第2）步中節(jié)點(diǎn)i的決定，則將該檢測(cè)節(jié)點(diǎn)標(biāo)記為異常狀態(tài)。最后節(jié)點(diǎn)j使用majority（node1，node2，…，noden）得到最終決定。

引理 對(duì)于任意m和k，如果有超過(guò)2k+m個(gè)正常節(jié)點(diǎn)和最多k個(gè)惡意節(jié)點(diǎn)，那么算法OM（m）滿足IC2。

證明 當(dāng)m=0時(shí)，OM（0）在節(jié)點(diǎn)是正常的時(shí)候滿足IC2。

當(dāng)m>0時(shí)，首先節(jié)點(diǎn)將決定傳遞給n-1個(gè)其他節(jié)點(diǎn)，然后每個(gè)節(jié)點(diǎn)對(duì)n-1個(gè)節(jié)點(diǎn)執(zhí)行OM（m-1）算法。因?yàn)榧僭O(shè)了n>2k+m，所以n-1>2k+（m-1）≥2k，這樣每輪OM（m-k）算法中正常節(jié)點(diǎn)收到的決定都是majority（node1，node2，…，noden）。

定理1 對(duì)于任意m，如果有超過(guò)3m個(gè)節(jié)點(diǎn)和最多m個(gè)惡意節(jié)點(diǎn)，算法OM（m）滿足條件IC1 和條件IC2。

證明 當(dāng)n=4，m=1時(shí)：

1）假定節(jié)點(diǎn)3為惡意節(jié)點(diǎn)，以節(jié)點(diǎn)2作為首個(gè)發(fā)布者為例：

a）節(jié)點(diǎn)2執(zhí)行算法OM（1）將自己的決定發(fā)送給其他3個(gè)節(jié)點(diǎn)，它們都正確地收到了命令。

b）每個(gè)收到?jīng)Q定的節(jié)點(diǎn)都作為發(fā)布者執(zhí)行算法OM（0），將自己的決定轉(zhuǎn)發(fā)給其余節(jié)點(diǎn)，因?yàn)楣?jié)點(diǎn)3是惡意節(jié)點(diǎn)，所以它給節(jié)點(diǎn)2傳遞的結(jié)果是錯(cuò)誤結(jié)果。節(jié)點(diǎn)2最后根據(jù)majority（node1，node2，…，noden）函數(shù)來(lái)決定命令。

節(jié)點(diǎn)3無(wú)法干擾節(jié)點(diǎn)2的結(jié)果，對(duì)其他兩個(gè)節(jié)點(diǎn)也一樣。

2）假定節(jié)點(diǎn)3為惡意節(jié)點(diǎn)，且為首個(gè)發(fā)布者：

a）節(jié)點(diǎn)3向其他節(jié)點(diǎn)發(fā)送了惡意的決定。

b）其他節(jié)點(diǎn)收到?jīng)Q定后，執(zhí)行OM（0）向所有的節(jié)點(diǎn)發(fā)送自身的決定，這樣所有節(jié)點(diǎn)接收到的決定不相同，其他節(jié)點(diǎn)通過(guò)majority（node1，node2，…，noden）函數(shù)判斷最終結(jié)果，因此節(jié)點(diǎn)3無(wú)法達(dá)到目標(biāo)。

當(dāng)m>1時(shí)，假定第1）輪中節(jié)點(diǎn)是正常節(jié)點(diǎn)，那么將引理中k設(shè)為m，則OM（m）滿足IC2、IC1。

若第1）輪為惡意節(jié)點(diǎn)，則第2）輪中最多就只有m-1個(gè)惡意節(jié)點(diǎn)，又因?yàn)橛?m個(gè)正常節(jié)點(diǎn)，所以正常節(jié)點(diǎn)的總數(shù)超過(guò)3m-1，且有3m-1>3（m-1）。通過(guò)歸納法可以證明OM（m-1）滿足IC1和IC2。當(dāng)任意兩個(gè)正常節(jié)點(diǎn)在OM（m-1）過(guò)程中獲得相同決定，那么在OM（m）中每個(gè)正常節(jié)點(diǎn)可以得到majority（node1，node2，…，noden），可知滿足條件IC1和IC2。

因此，從全部N個(gè)節(jié)點(diǎn)中選舉2N/3+1個(gè)節(jié)點(diǎn)即可保證全部節(jié)點(diǎn)的最終決定一致。

1.2 一致性協(xié)議

為保證每個(gè)節(jié)點(diǎn)在入侵檢測(cè)過(guò)程中都能夠按照一個(gè)確定順序選舉入侵檢測(cè)節(jié)點(diǎn)、進(jìn)行入侵檢測(cè)、檢測(cè)結(jié)果公布、對(duì)結(jié)果進(jìn)行統(tǒng)計(jì)與處理，所有節(jié)點(diǎn)應(yīng)遵循同樣的一致性協(xié)議。在入侵檢測(cè)系統(tǒng)的工作過(guò)程中，一致性協(xié)議至少包含三個(gè)階段：節(jié)點(diǎn)選舉、結(jié)果公布、結(jié)果統(tǒng)計(jì)。其具體可以描述為：1）對(duì)于一個(gè)包含3m+1個(gè)節(jié)點(diǎn)的拜占庭容錯(cuò)系統(tǒng)，選舉2m+1個(gè)可信節(jié)點(diǎn)進(jìn)行入侵檢測(cè)。2）每個(gè)被選舉節(jié)點(diǎn)在入侵檢測(cè)完成后將自身的檢測(cè)結(jié)果向網(wǎng)絡(luò)中其他節(jié)點(diǎn)公布。3）對(duì)每次入侵檢測(cè)結(jié)果的統(tǒng)計(jì)在接收到第一個(gè)結(jié)果后開(kāi)始進(jìn)行，當(dāng)節(jié)點(diǎn)i接收到的decisioni中關(guān)于節(jié)點(diǎn)j的統(tǒng)計(jì)結(jié)果大于m+1時(shí)，節(jié)點(diǎn)j的可信度確定。一致性協(xié)議運(yùn)行示意圖如圖1所示。

2 基于PBFT的入侵檢測(cè)

2.1 基于PBFT的入侵檢測(cè)流程

將一致性協(xié)議融入PBFT，提出IPBFT（Improved PBFT），用于物聯(lián)網(wǎng)入侵檢測(cè)。物聯(lián)網(wǎng)在構(gòu)建時(shí)對(duì)每個(gè)節(jié)點(diǎn)進(jìn)行初始化。首先使用支持向量機(jī)（Support Vector Machine， SVM）算法對(duì)現(xiàn)有數(shù)據(jù)集進(jìn)行預(yù)訓(xùn)練，得到的分類(lèi)標(biāo)準(zhǔn)作為入侵檢測(cè)異常節(jié)點(diǎn)的檢測(cè)引擎，將該規(guī)則寫(xiě)入物聯(lián)網(wǎng)中每個(gè)節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)運(yùn)行同樣的入侵檢測(cè)規(guī)則可以保證物聯(lián)網(wǎng)中入檢測(cè)標(biāo)準(zhǔn)的一致性。

將設(shè)備的可信狀態(tài)分為可信狀態(tài)、可疑狀態(tài)、惡意狀態(tài)等三種狀態(tài)，不同的可信狀態(tài)在選舉過(guò)程中擁有不同的權(quán)值w，w∈[0，1]，可信狀態(tài)權(quán)值為1，可疑狀態(tài)權(quán)值為0，每個(gè)節(jié)點(diǎn)的可信度為c，網(wǎng)絡(luò)內(nèi)每個(gè)節(jié)點(diǎn)擁有獨(dú)立的入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）。

物聯(lián)網(wǎng)節(jié)點(diǎn)初始化進(jìn)行組網(wǎng)時(shí)，默認(rèn)簇頭節(jié)點(diǎn)均為可信節(jié)點(diǎn)。新加入節(jié)點(diǎn)將可信度置0。每個(gè)節(jié)點(diǎn)具有獨(dú)立的身份標(biāo)識(shí)ID，每個(gè)節(jié)點(diǎn)獨(dú)立保存其他節(jié)點(diǎn)的歷史可信狀態(tài)表TSi?；贗PBFT的入侵檢測(cè)工作流程如圖2所示。

2.2 節(jié)點(diǎn)的選舉

在本文背景中，選舉總數(shù)大于2N/3+1時(shí)，可以保證系統(tǒng)的可信性。每個(gè)節(jié)點(diǎn)各自的可信狀態(tài)可被全部節(jié)點(diǎn)得知，候選節(jié)點(diǎn)的范圍將控制在擁有高可信度節(jié)點(diǎn)的范圍內(nèi)，可以使結(jié)果更趨于真實(shí)。以wi代表某節(jié)點(diǎn)擁有權(quán)值，以權(quán)值代表該節(jié)點(diǎn)的可信度。隨機(jī)從N個(gè)節(jié)點(diǎn)中選舉n個(gè)節(jié)點(diǎn)，選舉結(jié)果的可信度為：

2.3 主動(dòng)入侵檢測(cè)

物聯(lián)網(wǎng)中的節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的選舉結(jié)果進(jìn)行合并及統(tǒng)計(jì)，一旦選舉節(jié)點(diǎn)數(shù)量到達(dá)2m+1，則選舉結(jié)果確定，保存當(dāng)前應(yīng)進(jìn)行入侵檢測(cè)的節(jié)點(diǎn)列表。若自身被選舉，則進(jìn)行主動(dòng)入侵檢測(cè);否則等待。

被選舉節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集，標(biāo)準(zhǔn)化處理成形如NSL-KDD數(shù)據(jù)集[13]的格式，并使用預(yù)訓(xùn)練好的檢測(cè)引擎進(jìn)行檢測(cè)，對(duì)物聯(lián)網(wǎng)中其他節(jié)點(diǎn)的行為模式作出判斷。此過(guò)程中每個(gè)節(jié)點(diǎn)的檢測(cè)引擎獨(dú)立工作互不影響。

2.4 結(jié)果公布與可信狀態(tài)更新

進(jìn)行入侵檢測(cè)的節(jié)點(diǎn)將檢測(cè)結(jié)果對(duì)本網(wǎng)絡(luò)中的全部節(jié)點(diǎn)公布。每個(gè)節(jié)點(diǎn)只接收GID中IDS的檢測(cè)結(jié)果，并對(duì)接收到的所有檢測(cè)結(jié)果進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)數(shù)目最高的可信狀態(tài)即為節(jié)點(diǎn)的當(dāng)前可信狀態(tài)，并更新TSi。

每個(gè)節(jié)點(diǎn)存儲(chǔ)每次檢測(cè)結(jié)果。每個(gè)節(jié)點(diǎn)在當(dāng)前入侵檢測(cè)結(jié)束后更新權(quán)值和可信狀態(tài)，其可信度更新為：

3 實(shí)驗(yàn)結(jié)果及分析

3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

本文中采用的物聯(lián)網(wǎng)簇型結(jié)構(gòu)主要由簇頭節(jié)點(diǎn)及普通節(jié)點(diǎn)組成，是實(shí)際應(yīng)用中常見(jiàn)的拓?fù)浣Y(jié)構(gòu)[14]。普通節(jié)點(diǎn)即傳感器節(jié)點(diǎn)，是物聯(lián)網(wǎng)網(wǎng)絡(luò)中的終端節(jié)點(diǎn)。簇頭節(jié)點(diǎn)即物聯(lián)網(wǎng)中的網(wǎng)關(guān)設(shè)備，負(fù)責(zé)管理簇內(nèi)節(jié)點(diǎn)，并向外部報(bào)告數(shù)據(jù)。IDS運(yùn)行于簇頭節(jié)點(diǎn)，每個(gè)簇頭節(jié)點(diǎn)在與其他簇頭節(jié)點(diǎn)之間基于PBFT進(jìn)行入侵檢測(cè)。具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

3.2 數(shù)據(jù)集預(yù)處理

實(shí)驗(yàn)采用NSL-KDD數(shù)據(jù)集作為訓(xùn)練數(shù)據(jù)集。該數(shù)據(jù)集每條數(shù)據(jù)包含41項(xiàng)特征及1個(gè)分類(lèi)標(biāo)簽，分類(lèi)標(biāo)簽將數(shù)據(jù)分為4類(lèi)攻擊（Abnormal）類(lèi)型和1類(lèi)正常（Normal）類(lèi)型，如表1所示。相較于KDD CUP99數(shù)據(jù)集去除了部分冗余數(shù)據(jù)，訓(xùn)練出的模型具有更好的檢測(cè)效果。

3.3 實(shí)驗(yàn)評(píng)價(jià)標(biāo)準(zhǔn)

入侵檢測(cè)方法的安全性能主要體現(xiàn)在檢測(cè)率指標(biāo)上，具體為檢測(cè)出的惡意節(jié)點(diǎn)數(shù)量占網(wǎng)絡(luò)中全部惡意節(jié)點(diǎn)總數(shù)的比例。在此采用通用評(píng)價(jià)標(biāo)準(zhǔn)如下：1）TP（True Positive）表示樣本正確判斷為正類(lèi)的樣本數(shù);2）TN（True Negative）表示樣本正確判斷為負(fù)類(lèi)的樣本數(shù);3）FP（False Positive）表示樣本錯(cuò)誤判斷為負(fù)類(lèi)的樣本數(shù)。

3.4 實(shí)驗(yàn)方案設(shè)計(jì)

為驗(yàn)證本文提出的入侵檢測(cè)方法IPBFT，使用SVM作為異常檢測(cè)算法對(duì)NSL-KDD數(shù)據(jù)集進(jìn)行學(xué)習(xí)獲取入侵檢測(cè)規(guī)則。使用TinyOS及TOSSIM工具[15]對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)及參數(shù)進(jìn)行仿真。TinyOS定義了兩類(lèi)設(shè)備：微控制器和外圍設(shè)備。本實(shí)驗(yàn)中使用微控制器進(jìn)行流程控制及執(zhí)行入侵檢測(cè)規(guī)則，使用Active Message層對(duì)無(wú)線射頻模塊進(jìn)行控制，完成節(jié)點(diǎn)間的通信。根據(jù)文獻(xiàn)[5，8]提出的物聯(lián)網(wǎng)整體入侵檢測(cè)方法，結(jié)合本文提出的基于共識(shí)的方法進(jìn)行仿真實(shí)驗(yàn)。具體的仿真環(huán)境參數(shù)如表2所示。

3.5 結(jié)果分析

實(shí)驗(yàn)分別對(duì)擁有不同數(shù)量網(wǎng)絡(luò)節(jié)點(diǎn)且初始狀態(tài)擁有不同比例異常節(jié)點(diǎn)的網(wǎng)絡(luò)進(jìn)行仿真，不同網(wǎng)絡(luò)狀態(tài)下的實(shí)驗(yàn)結(jié)果如圖4所示。從圖4可以看出，采用雙重降維再進(jìn)行檢測(cè)策略的TDTC方法具有最低的檢測(cè)率，原因是雙重降維會(huì)降低訓(xùn)練數(shù)據(jù)集的精度。IPBFT由于采用了PBFT模型，并引入一致性協(xié)議，在網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量較多的情況下能夠擁有更高的檢測(cè)率，與采用三層結(jié)構(gòu)并進(jìn)行多次入侵檢測(cè)的IIDS相近。

4 結(jié)語(yǔ)

本文提出了一種物聯(lián)網(wǎng)中基于PBFT的入侵檢測(cè)方法IPBFT，該方法具有如下特點(diǎn)：1）引入選舉機(jī)制，減少了進(jìn)行入侵檢測(cè)節(jié)點(diǎn)數(shù)量，降低了能量開(kāi)銷(xiāo);2）節(jié)點(diǎn)將檢測(cè)結(jié)果進(jìn)行發(fā)布，使系統(tǒng)節(jié)點(diǎn)擁有一致的檢測(cè)結(jié)果;3）檢測(cè)率比TDTC方法有提高，而誤報(bào)率則大幅下降，且在不同攻擊節(jié)點(diǎn)數(shù)量的物聯(lián)網(wǎng)中保持穩(wěn)定的水平，因此系統(tǒng)的魯棒性得到提升。實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有的IIDS和TDTC方法相比，在不影響對(duì)已知攻擊類(lèi)型識(shí)別和檢測(cè)的前提下，IPBFT能夠降低能量消耗，可以對(duì)常見(jiàn)的攻擊類(lèi)型進(jìn)行有效的入侵檢測(cè)。然而，IPBFT中節(jié)點(diǎn)選舉具有隨機(jī)性，單個(gè)節(jié)點(diǎn)可能因?yàn)槊看味急贿x舉而導(dǎo)致能量消耗速度過(guò)快，因此接下來(lái)將考慮引入能量消耗模型，在選舉時(shí)綜合考慮節(jié)點(diǎn)的可信狀態(tài)和節(jié)點(diǎn)剩余能量，確保物聯(lián)網(wǎng)能夠長(zhǎng)期穩(wěn)定工作。

參考文獻(xiàn) （References）

[1] 劉海燕，張鈺，畢建權(quán)，等.基于分布式及協(xié)同式網(wǎng)絡(luò)入侵檢測(cè)技術(shù)綜述[J].計(jì)算機(jī)工程與應(yīng)用，2018，54（8）：1-6，20.（LIU H Y， ZHANG Y， BI J Q， et al. Review of technology based on distributed and collaborative network intrusion detection [J]. Computer Engineering and Applications， 2018， 54 （8）： 1-6， 20.）

[2] JOKAR P， LEUNG V C M. Intrusion detection and prevention for ZigBee-based home area networks in smart grids [J]. IEEE Transactions on Smart Grid， 2016，9（3）： 1800-1811.

[3] SEDJELMACI H， SENOUCI S M. Efficient and lightweight intrusion detection based on nodes' behaviors in wireless sensor networks [C]// Proceedings of the IEEE 2013 Global Information Infrastructure Symposium. Piscataway， NJ： IEEE， 2013： 1-6.

[4] ARRINGTON B ， BARNETT L E ， RUFUS R ， et al. Behavioral Modeling Intrusion Detection System （BMIDS） using Internet of Things （IoT） behavior-based anomaly detection via immunity-inspired algorithms [C]// Proceedings of the IEEE 2016 25th International Conference on Computer Communication and Networks. Piscataway， NJ： IEEE， 2016： 1-6.

[5] WANG S S， YAN K Q， WANG S C， et al. An integrated intrusion detection system for cluster-based wireless sensor networks [J]. Expert Systems with Applications， 2011， 38（12）： 15234-15243.

[6] LOO C E， NG M Y， LECKIE C. Intrusion detection for routing attacks in sensor networks [J]. International Journal of Distributed Sensor Networks， 2006， 2（4）： 313-332.

[7] PAJOUH H H， JAVIDAN R， KHAYMAI R， et al. A two-layer dimension reduction and two-tier classification model for anomaly-based intrusion detection in IoT backbone networks [EB/OL]. [2018-08-18]. IEEE Transactions on Emerging Topics in Computing， 2016. https：//core.ac.uk/download/pdf/74220285.pdf.

[8] SEDJELMACI H， SENOUCI S M， TALEB T. An accurate security game for low-resource IoT devices [J]. IEEE Transactions on Vehicular Technology， 2017， 66（10）： 9381-9393.

[9] 劉雅菲，劉宴兵.WSN中一種新的基于重復(fù)博弈的入侵檢測(cè)研究[J].計(jì)算機(jī)應(yīng)用研究，2013，30（5）：1540-1543.（LIU Y F， LIU Y B. Novel research of intrusion detection based on repeated game in wireless sensor network [J]. Application Research of Computers， 2013， 30（5）： 1540-1543.）

[10] LIN Y-D， LAI Y-C， HO C-Y， et al. Creditability-based weighted voting for reducing false positives and negatives in intrusion detection [J]. Computers & Security， 2013， 39（Part B）： 460-474.

[11] COWLING J， MYERS D， LISKOV B， et al. HQ replication： a hybrid quorum protocol for byzantine fault tolerance [C]// Proceedings of the 2006 7th USENIX Symposium on Operating Systems Design & Implementation. Berkeley， CA： USENIX Association， 2006： 177-190.

[12] 范捷，易樂(lè)天，舒繼武.拜占庭系統(tǒng)技術(shù)研究綜述[J].軟件學(xué)報(bào)，2013，24（6）：1346-1360.（FAN J， YI L T， SHU J W. Research on the technologies of Byzantine system [J]. Journal of Software， 2013， 24（6）： 1346-1360.）

[13] DHANABAL L， SHANTHARAJAH D S. A study on NSL-KDD dataset for intrusion detection system based on classification algorithms [J]. International Journal of Advanced Research in Computer and Communication Engineering， 2015， 4（6）： 446-452.

[14] 柳亞男，王箭，張楠楠.層次型傳感器網(wǎng)絡(luò)簇內(nèi)密鑰協(xié)商方法[J].系統(tǒng)工程與電子技術(shù)，2011，33（7）：1633-1637.（LIU Y N， WANG J， ZHANG N N. Intra-cluster key agreement in hierarchical sensor networks [J]. Systems Engineering and Electronics， 2011， 33（7）： 1633-1637.）

[15] LEVIS P， LEE N， WELSH M， et al. TOSSIM： accurate and scalable simulation of entire TinyOS applications [C]// SenSys 2003： Proceedings of the 1st International Conference on Embedded Networked Sensor Systems. New York： ACM， 2003： 126-137.