基于實用拜占庭容錯的物聯(lián)網(wǎng)入侵檢測方法

潘建國 李豪

摘 要：物聯(lián)網(wǎng)入侵的檢測率雖高，但面臨節(jié)點能力消耗過大的問題，為此提出一種基于共識的實用拜占庭容錯（PBFT）算法的入侵檢測方法。首先，使用支持向量機（SVM）進行預訓練得到入侵檢測判定規(guī)則，并將訓練規(guī)則應(yīng)用于物聯(lián)網(wǎng)中的每個節(jié)點;然后，選舉出部分節(jié)點對網(wǎng)絡(luò)中其他節(jié)點進行主動入侵檢測，同時將自身的檢測結(jié)果向其他節(jié)點公布;最后，每個節(jié)點依據(jù)PBFT算法判斷其他節(jié)點的狀態(tài)，使檢測結(jié)果在系統(tǒng)內(nèi)達到一致性。在NSL-KDD數(shù)據(jù)集上使用TinyOS進行仿真的實驗結(jié)果表明，所提方法與集成入侵檢測系統(tǒng)（IIDS）和雙重降維雙重檢測（TDTC）方法相比，能量消耗平均降低12.2%和7.6%，能夠有效地降低物聯(lián)網(wǎng)的能量消耗。

關(guān)鍵詞：物聯(lián)網(wǎng);實用拜占庭容錯;入侵檢測;低能耗;支持向量機

中圖分類號： TP393.08

文獻標志碼：A

Abstract： Current Internet of Things （IoT） networks have high detection rate of known types of attacks but the network node energy consumption is high. Aiming at this fact， an intrusion detection approach based on Practical Byzantine Fault Tolerance （PBFT） algorithm was proposed. Firstly， Support Vector Machine （SVM） was used for pre-training to obtain the intrusion detection decision rule， and the trained rule was applied to each node in IoT. Then， some nodes were voted to perform the active intrusion detection on other nodes in the network， while announce their detection results to other nodes. Finally， each node judged the state of other nodes according to PBFT algorithm， making the detection results reach consistency in the system. The simulation results on NSL-KDD dataset by TinyOS show that the proposed approach reduces the energy consumption by 12.2% and 7.6% averagely and respectively compared with Integrated Intrusion Detection System （IIDS） and Two-layer Dimension reduction and Two-tier Classification （TDTC） approach， effectively reducing the energy consumption of IoT.

Key words： Internet of Things （IoT）; Practical Byzantine Fault Tolerance （PBFT）; intrusion detection; low energy consumption; Support Vector Machine （SVM）

0 引言

近年來，物聯(lián)網(wǎng)因具有節(jié)點數(shù)量大、低功耗、部署方法便捷等優(yōu)點，在設(shè)備監(jiān)控、環(huán)境檢測、安保消防等領(lǐng)域得到了飛速發(fā)展，與此同時，其安全性問題也受到越來越多研究者的關(guān)注。傳統(tǒng)被動防御的安全策略已經(jīng)不能有效地保證物聯(lián)網(wǎng)安全運行，如黑洞攻擊、能源耗盡攻擊和女巫攻擊等不能被有效識別并防御[1]。入侵檢測技術(shù)作為一種主動防御策略，通過采集網(wǎng)絡(luò)中關(guān)鍵節(jié)點的數(shù)據(jù)進行分析，可以在攻擊者發(fā)起攻擊之前采取防御措施，有效保系統(tǒng)的安全[2-3]。

物聯(lián)網(wǎng)入侵檢測系統(tǒng)主要完成以下功能：采集數(shù)據(jù)、識別入侵行為、識別入侵者、采取相應(yīng)的防御措施[4]。目前，依托于物聯(lián)網(wǎng)海量數(shù)據(jù)，研究人員提出了綜合先驗知識和機器學習的入侵檢測方法，取得了比較好的檢測效果。但是，由于物聯(lián)網(wǎng)中網(wǎng)絡(luò)節(jié)點一般由電池進行供電，其能量資源受限。因此，如何在能量受限的情況下使入侵檢測系統(tǒng)能夠長時間可靠運行成為當下的研究熱點。

Wang等[5]提出了一種集成入侵檢測系統(tǒng)（Integrated Intrusion Detection System， IIDS），IIDS將物聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)分成三層：在頂層IHIDS（Intelligent Hybrid IDS）層進行異常檢測和特征檢測，并對新的攻擊類型進行學習，并將學習結(jié)果傳遞給中間層HIDS;HIDS對攻擊類型進行識別;在底層mIDS（misuse IDS）進行特征檢測，對正常數(shù)據(jù)進行過濾。由于加入了IHIDS進行二次學習，提升了對未知攻擊的檢測準確率;但是帶來了較高的資源消耗。Loo等[6]針對路由攻擊提出了一種基于特征篩選的檢測方法，對路由攻擊的檢測進行優(yōu)化;但對其他攻擊類型的檢測率沒有提升。Pajouh等[7]對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進行分析，提出了雙重降維雙重檢測（Two-layer Dimension reduction and Two-tier Classification， TDTC）的方法，通過特征檢測[6]篩選已知攻擊類型的攻擊節(jié)點，再通過異常檢測判斷未確定節(jié)點的可信性。該方法通過特征檢測來規(guī)避異常檢測的高額開銷;但是同時帶了較高的誤報率。Sedjelmaci等[8]和劉雅菲等[9]分別提出了基于博弈論（Game Theory， GT）的入侵檢測方法，其核心是通過收益比來遏制攻擊節(jié)點發(fā)起攻擊，通過減少入侵檢測次數(shù)達到降低資源消耗的目的;但該種模型需要對攻擊節(jié)點的行為模式進行額外計算。Lin等[10]提出了一種基于投票的入侵檢測方法，該方法采用檢測率最高的節(jié)點的檢測結(jié)果作為系統(tǒng)其他節(jié)點的檢測結(jié)果;但當該節(jié)點遭受攻擊后會大幅影響系統(tǒng)的穩(wěn)定性。

目前，物聯(lián)網(wǎng)入侵檢測系統(tǒng)工作時能量消耗主要源于入侵檢測時的計算開銷，單個節(jié)點的入侵檢測策略的優(yōu)化對能量消耗的減少影響很小，因此物聯(lián)網(wǎng)入侵檢測方法的研究集中于減少檢測次數(shù)方向。實用拜占庭容錯（Practical Byzantine Fault Tolerance， PBFT） [11]證明在滿足節(jié)點總數(shù)N≥3m+1（m為惡意節(jié)點數(shù)量）的情況下，系統(tǒng)是可靠和穩(wěn)定的。為了實現(xiàn)物聯(lián)網(wǎng)入侵檢測高檢測率的同時降低能量消耗，本文引入基于PBFT的選舉機制，選擇可信度較高的部分節(jié)點進行入侵檢測，待檢測結(jié)束后將投票結(jié)果向網(wǎng)絡(luò)中的全部節(jié)點公布，完成物聯(lián)網(wǎng)入侵檢測過程。

1 PBFT算法

1.1 拜占庭容錯系統(tǒng)

PBFT模型源于拜占庭將軍問題[12]，該問題的核心思想可以描述為，當節(jié)點總數(shù)為N，惡意節(jié)點為m時，若N≥3m+1時，惡意節(jié)點的決定不會對系統(tǒng)產(chǎn)生影響。

為簡化證明過程，以一個節(jié)點發(fā)送決定給其他節(jié)點的形式來證明。系統(tǒng)的穩(wěn)定運行需要以下前提條件：

IC1 所有正常節(jié)點能無誤地處理接收到的決定。

IC2 如果發(fā)送節(jié)點是正常的，那么所有正常節(jié)點能正確處理其決定。

定義1 majority（node1，node2，…，noden）為統(tǒng)計數(shù)據(jù)中出現(xiàn)次數(shù)最多的結(jié)果。其中，nodei表示一個節(jié)點對其他節(jié)點的檢測結(jié)果。

定義2 OM（0）。

1）檢測節(jié)點將決定發(fā)送給其他節(jié)點。

2）接收節(jié)點采用接收到的檢測結(jié)果。如果沒接收到檢測節(jié)點的檢測結(jié)果，則將該檢測節(jié)點標記為異常狀態(tài)。

定義3 OM（m）。

1）發(fā)送者將決定發(fā)送給其他節(jié)點。

2）對于每個接收節(jié)點i，decisioni是每個接收節(jié)點i收到的決定，如果沒接收到某檢測節(jié)點的檢測結(jié)果，則將該檢測節(jié)點標記為異常狀態(tài)。接收節(jié)點i在OM（m-1）中作為發(fā)送節(jié)點將決定發(fā)送給另外N-2個節(jié)點。

3）對于每個接收節(jié)點j，并且j≠i，decisionj是節(jié)點j接收到的從第2）步中的節(jié)點i發(fā)送過來的決定（使用OM（m-1）算法）。如果沒有收到第2）步中節(jié)點i的決定，則將該檢測節(jié)點標記為異常狀態(tài)。最后節(jié)點j使用majority（node1，node2，…，noden）得到最終決定。

引理 對于任意m和k，如果有超過2k+m個正常節(jié)點和最多k個惡意節(jié)點，那么算法OM（m）滿足IC2。

證明 當m=0時，OM（0）在節(jié)點是正常的時候滿足IC2。

當m>0時，首先節(jié)點將決定傳遞給n-1個其他節(jié)點，然后每個節(jié)點對n-1個節(jié)點執(zhí)行OM（m-1）算法。因為假設(shè)了n>2k+m，所以n-1>2k+（m-1）≥2k，這樣每輪OM（m-k）算法中正常節(jié)點收到的決定都是majority（node1，node2，…，noden）。

定理1 對于任意m，如果有超過3m個節(jié)點和最多m個惡意節(jié)點，算法OM（m）滿足條件IC1 和條件IC2。

證明 當n=4，m=1時：

1）假定節(jié)點3為惡意節(jié)點，以節(jié)點2作為首個發(fā)布者為例：

a）節(jié)點2執(zhí)行算法OM（1）將自己的決定發(fā)送給其他3個節(jié)點，它們都正確地收到了命令。

b）每個收到?jīng)Q定的節(jié)點都作為發(fā)布者執(zhí)行算法OM（0），將自己的決定轉(zhuǎn)發(fā)給其余節(jié)點，因為節(jié)點3是惡意節(jié)點，所以它給節(jié)點2傳遞的結(jié)果是錯誤結(jié)果。節(jié)點2最后根據(jù)majority（node1，node2，…，noden）函數(shù)來決定命令。

節(jié)點3無法干擾節(jié)點2的結(jié)果，對其他兩個節(jié)點也一樣。

2）假定節(jié)點3為惡意節(jié)點，且為首個發(fā)布者：

a）節(jié)點3向其他節(jié)點發(fā)送了惡意的決定。

b）其他節(jié)點收到?jīng)Q定后，執(zhí)行OM（0）向所有的節(jié)點發(fā)送自身的決定，這樣所有節(jié)點接收到的決定不相同，其他節(jié)點通過majority（node1，node2，…，noden）函數(shù)判斷最終結(jié)果，因此節(jié)點3無法達到目標。

當m>1時，假定第1）輪中節(jié)點是正常節(jié)點，那么將引理中k設(shè)為m，則OM（m）滿足IC2、IC1。

若第1）輪為惡意節(jié)點，則第2）輪中最多就只有m-1個惡意節(jié)點，又因為有3m個正常節(jié)點，所以正常節(jié)點的總數(shù)超過3m-1，且有3m-1>3（m-1）。通過歸納法可以證明OM（m-1）滿足IC1和IC2。當任意兩個正常節(jié)點在OM（m-1）過程中獲得相同決定，那么在OM（m）中每個正常節(jié)點可以得到majority（node1，node2，…，noden），可知滿足條件IC1和IC2。

因此，從全部N個節(jié)點中選舉2N/3+1個節(jié)點即可保證全部節(jié)點的最終決定一致。

1.2 一致性協(xié)議

為保證每個節(jié)點在入侵檢測過程中都能夠按照一個確定順序選舉入侵檢測節(jié)點、進行入侵檢測、檢測結(jié)果公布、對結(jié)果進行統(tǒng)計與處理，所有節(jié)點應(yīng)遵循同樣的一致性協(xié)議。在入侵檢測系統(tǒng)的工作過程中，一致性協(xié)議至少包含三個階段：節(jié)點選舉、結(jié)果公布、結(jié)果統(tǒng)計。其具體可以描述為：1）對于一個包含3m+1個節(jié)點的拜占庭容錯系統(tǒng)，選舉2m+1個可信節(jié)點進行入侵檢測。2）每個被選舉節(jié)點在入侵檢測完成后將自身的檢測結(jié)果向網(wǎng)絡(luò)中其他節(jié)點公布。3）對每次入侵檢測結(jié)果的統(tǒng)計在接收到第一個結(jié)果后開始進行，當節(jié)點i接收到的decisioni中關(guān)于節(jié)點j的統(tǒng)計結(jié)果大于m+1時，節(jié)點j的可信度確定。一致性協(xié)議運行示意圖如圖1所示。

2 基于PBFT的入侵檢測

2.1 基于PBFT的入侵檢測流程

將一致性協(xié)議融入PBFT，提出IPBFT（Improved PBFT），用于物聯(lián)網(wǎng)入侵檢測。物聯(lián)網(wǎng)在構(gòu)建時對每個節(jié)點進行初始化。首先使用支持向量機（Support Vector Machine， SVM）算法對現(xiàn)有數(shù)據(jù)集進行預訓練，得到的分類標準作為入侵檢測異常節(jié)點的檢測引擎，將該規(guī)則寫入物聯(lián)網(wǎng)中每個節(jié)點。每個節(jié)點運行同樣的入侵檢測規(guī)則可以保證物聯(lián)網(wǎng)中入檢測標準的一致性。

將設(shè)備的可信狀態(tài)分為可信狀態(tài)、可疑狀態(tài)、惡意狀態(tài)等三種狀態(tài)，不同的可信狀態(tài)在選舉過程中擁有不同的權(quán)值w，w∈[0，1]，可信狀態(tài)權(quán)值為1，可疑狀態(tài)權(quán)值為0，每個節(jié)點的可信度為c，網(wǎng)絡(luò)內(nèi)每個節(jié)點擁有獨立的入侵檢測系統(tǒng)（Intrusion Detection System， IDS）。

物聯(lián)網(wǎng)節(jié)點初始化進行組網(wǎng)時，默認簇頭節(jié)點均為可信節(jié)點。新加入節(jié)點將可信度置0。每個節(jié)點具有獨立的身份標識ID，每個節(jié)點獨立保存其他節(jié)點的歷史可信狀態(tài)表TSi?；贗PBFT的入侵檢測工作流程如圖2所示。

2.2 節(jié)點的選舉

在本文背景中，選舉總數(shù)大于2N/3+1時，可以保證系統(tǒng)的可信性。每個節(jié)點各自的可信狀態(tài)可被全部節(jié)點得知，候選節(jié)點的范圍將控制在擁有高可信度節(jié)點的范圍內(nèi)，可以使結(jié)果更趨于真實。以wi代表某節(jié)點擁有權(quán)值，以權(quán)值代表該節(jié)點的可信度。隨機從N個節(jié)點中選舉n個節(jié)點，選舉結(jié)果的可信度為：

2.3 主動入侵檢測

物聯(lián)網(wǎng)中的節(jié)點對其他節(jié)點的選舉結(jié)果進行合并及統(tǒng)計，一旦選舉節(jié)點數(shù)量到達2m+1，則選舉結(jié)果確定，保存當前應(yīng)進行入侵檢測的節(jié)點列表。若自身被選舉，則進行主動入侵檢測;否則等待。

被選舉節(jié)點對網(wǎng)絡(luò)數(shù)據(jù)進行采集，標準化處理成形如NSL-KDD數(shù)據(jù)集[13]的格式，并使用預訓練好的檢測引擎進行檢測，對物聯(lián)網(wǎng)中其他節(jié)點的行為模式作出判斷。此過程中每個節(jié)點的檢測引擎獨立工作互不影響。

2.4 結(jié)果公布與可信狀態(tài)更新

進行入侵檢測的節(jié)點將檢測結(jié)果對本網(wǎng)絡(luò)中的全部節(jié)點公布。每個節(jié)點只接收GID中IDS的檢測結(jié)果，并對接收到的所有檢測結(jié)果進行統(tǒng)計，統(tǒng)計數(shù)目最高的可信狀態(tài)即為節(jié)點的當前可信狀態(tài)，并更新TSi。

每個節(jié)點存儲每次檢測結(jié)果。每個節(jié)點在當前入侵檢測結(jié)束后更新權(quán)值和可信狀態(tài)，其可信度更新為：

3 實驗結(jié)果及分析

3.1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)

本文中采用的物聯(lián)網(wǎng)簇型結(jié)構(gòu)主要由簇頭節(jié)點及普通節(jié)點組成，是實際應(yīng)用中常見的拓撲結(jié)構(gòu)[14]。普通節(jié)點即傳感器節(jié)點，是物聯(lián)網(wǎng)網(wǎng)絡(luò)中的終端節(jié)點。簇頭節(jié)點即物聯(lián)網(wǎng)中的網(wǎng)關(guān)設(shè)備，負責管理簇內(nèi)節(jié)點，并向外部報告數(shù)據(jù)。IDS運行于簇頭節(jié)點，每個簇頭節(jié)點在與其他簇頭節(jié)點之間基于PBFT進行入侵檢測。具體的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖3所示。

3.2 數(shù)據(jù)集預處理

實驗采用NSL-KDD數(shù)據(jù)集作為訓練數(shù)據(jù)集。該數(shù)據(jù)集每條數(shù)據(jù)包含41項特征及1個分類標簽，分類標簽將數(shù)據(jù)分為4類攻擊（Abnormal）類型和1類正常（Normal）類型，如表1所示。相較于KDD CUP99數(shù)據(jù)集去除了部分冗余數(shù)據(jù)，訓練出的模型具有更好的檢測效果。

3.3 實驗評價標準

入侵檢測方法的安全性能主要體現(xiàn)在檢測率指標上，具體為檢測出的惡意節(jié)點數(shù)量占網(wǎng)絡(luò)中全部惡意節(jié)點總數(shù)的比例。在此采用通用評價標準如下：1）TP（True Positive）表示樣本正確判斷為正類的樣本數(shù);2）TN（True Negative）表示樣本正確判斷為負類的樣本數(shù);3）FP（False Positive）表示樣本錯誤判斷為負類的樣本數(shù)。

3.4 實驗方案設(shè)計

為驗證本文提出的入侵檢測方法IPBFT，使用SVM作為異常檢測算法對NSL-KDD數(shù)據(jù)集進行學習獲取入侵檢測規(guī)則。使用TinyOS及TOSSIM工具[15]對網(wǎng)絡(luò)節(jié)點及參數(shù)進行仿真。TinyOS定義了兩類設(shè)備：微控制器和外圍設(shè)備。本實驗中使用微控制器進行流程控制及執(zhí)行入侵檢測規(guī)則，使用Active Message層對無線射頻模塊進行控制，完成節(jié)點間的通信。根據(jù)文獻[5，8]提出的物聯(lián)網(wǎng)整體入侵檢測方法，結(jié)合本文提出的基于共識的方法進行仿真實驗。具體的仿真環(huán)境參數(shù)如表2所示。

3.5 結(jié)果分析

實驗分別對擁有不同數(shù)量網(wǎng)絡(luò)節(jié)點且初始狀態(tài)擁有不同比例異常節(jié)點的網(wǎng)絡(luò)進行仿真，不同網(wǎng)絡(luò)狀態(tài)下的實驗結(jié)果如圖4所示。從圖4可以看出，采用雙重降維再進行檢測策略的TDTC方法具有最低的檢測率，原因是雙重降維會降低訓練數(shù)據(jù)集的精度。IPBFT由于采用了PBFT模型，并引入一致性協(xié)議，在網(wǎng)絡(luò)中節(jié)點數(shù)量較多的情況下能夠擁有更高的檢測率，與采用三層結(jié)構(gòu)并進行多次入侵檢測的IIDS相近。

4 結(jié)語

本文提出了一種物聯(lián)網(wǎng)中基于PBFT的入侵檢測方法IPBFT，該方法具有如下特點：1）引入選舉機制，減少了進行入侵檢測節(jié)點數(shù)量，降低了能量開銷;2）節(jié)點將檢測結(jié)果進行發(fā)布，使系統(tǒng)節(jié)點擁有一致的檢測結(jié)果;3）檢測率比TDTC方法有提高，而誤報率則大幅下降，且在不同攻擊節(jié)點數(shù)量的物聯(lián)網(wǎng)中保持穩(wěn)定的水平，因此系統(tǒng)的魯棒性得到提升。實驗結(jié)果表明，與現(xiàn)有的IIDS和TDTC方法相比，在不影響對已知攻擊類型識別和檢測的前提下，IPBFT能夠降低能量消耗，可以對常見的攻擊類型進行有效的入侵檢測。然而，IPBFT中節(jié)點選舉具有隨機性，單個節(jié)點可能因為每次都被選舉而導致能量消耗速度過快，因此接下來將考慮引入能量消耗模型，在選舉時綜合考慮節(jié)點的可信狀態(tài)和節(jié)點剩余能量，確保物聯(lián)網(wǎng)能夠長期穩(wěn)定工作。

參考文獻 （References）

[1] 劉海燕，張鈺，畢建權(quán)，等.基于分布式及協(xié)同式網(wǎng)絡(luò)入侵檢測技術(shù)綜述[J].計算機工程與應(yīng)用，2018，54（8）：1-6，20.（LIU H Y， ZHANG Y， BI J Q， et al. Review of technology based on distributed and collaborative network intrusion detection [J]. Computer Engineering and Applications， 2018， 54 （8）： 1-6， 20.）

[2] JOKAR P， LEUNG V C M. Intrusion detection and prevention for ZigBee-based home area networks in smart grids [J]. IEEE Transactions on Smart Grid， 2016，9（3）： 1800-1811.

[3] SEDJELMACI H， SENOUCI S M. Efficient and lightweight intrusion detection based on nodes' behaviors in wireless sensor networks [C]// Proceedings of the IEEE 2013 Global Information Infrastructure Symposium. Piscataway， NJ： IEEE， 2013： 1-6.

[4] ARRINGTON B ， BARNETT L E ， RUFUS R ， et al. Behavioral Modeling Intrusion Detection System （BMIDS） using Internet of Things （IoT） behavior-based anomaly detection via immunity-inspired algorithms [C]// Proceedings of the IEEE 2016 25th International Conference on Computer Communication and Networks. Piscataway， NJ： IEEE， 2016： 1-6.

[5] WANG S S， YAN K Q， WANG S C， et al. An integrated intrusion detection system for cluster-based wireless sensor networks [J]. Expert Systems with Applications， 2011， 38（12）： 15234-15243.

[6] LOO C E， NG M Y， LECKIE C. Intrusion detection for routing attacks in sensor networks [J]. International Journal of Distributed Sensor Networks， 2006， 2（4）： 313-332.

[7] PAJOUH H H， JAVIDAN R， KHAYMAI R， et al. A two-layer dimension reduction and two-tier classification model for anomaly-based intrusion detection in IoT backbone networks [EB/OL]. [2018-08-18]. IEEE Transactions on Emerging Topics in Computing， 2016. https：//core.ac.uk/download/pdf/74220285.pdf.

[8] SEDJELMACI H， SENOUCI S M， TALEB T. An accurate security game for low-resource IoT devices [J]. IEEE Transactions on Vehicular Technology， 2017， 66（10）： 9381-9393.

[9] 劉雅菲，劉宴兵.WSN中一種新的基于重復博弈的入侵檢測研究[J].計算機應(yīng)用研究，2013，30（5）：1540-1543.（LIU Y F， LIU Y B. Novel research of intrusion detection based on repeated game in wireless sensor network [J]. Application Research of Computers， 2013， 30（5）： 1540-1543.）

[10] LIN Y-D， LAI Y-C， HO C-Y， et al. Creditability-based weighted voting for reducing false positives and negatives in intrusion detection [J]. Computers & Security， 2013， 39（Part B）： 460-474.

[11] COWLING J， MYERS D， LISKOV B， et al. HQ replication： a hybrid quorum protocol for byzantine fault tolerance [C]// Proceedings of the 2006 7th USENIX Symposium on Operating Systems Design & Implementation. Berkeley， CA： USENIX Association， 2006： 177-190.

[12] 范捷，易樂天，舒繼武.拜占庭系統(tǒng)技術(shù)研究綜述[J].軟件學報，2013，24（6）：1346-1360.（FAN J， YI L T， SHU J W. Research on the technologies of Byzantine system [J]. Journal of Software， 2013， 24（6）： 1346-1360.）

[13] DHANABAL L， SHANTHARAJAH D S. A study on NSL-KDD dataset for intrusion detection system based on classification algorithms [J]. International Journal of Advanced Research in Computer and Communication Engineering， 2015， 4（6）： 446-452.

[14] 柳亞男，王箭，張楠楠.層次型傳感器網(wǎng)絡(luò)簇內(nèi)密鑰協(xié)商方法[J].系統(tǒng)工程與電子技術(shù)，2011，33（7）：1633-1637.（LIU Y N， WANG J， ZHANG N N. Intra-cluster key agreement in hierarchical sensor networks [J]. Systems Engineering and Electronics， 2011， 33（7）： 1633-1637.）

[15] LEVIS P， LEE N， WELSH M， et al. TOSSIM： accurate and scalable simulation of entire TinyOS applications [C]// SenSys 2003： Proceedings of the 1st International Conference on Embedded Networked Sensor Systems. New York： ACM， 2003： 126-137.