協同入侵檢測研究現狀與展望

摘 要：協同入侵檢測技術（collaborative intrusion detection system，CIDS）能夠檢測分布式協同攻擊，應對大規模網絡入侵，擁有傳統入侵檢測系統所不具備的優勢，而如何在提高檢測性能的同時實現去中心化是一個重要的研究課題。通過對近年來CIDS研究成果的梳理，闡述了在檢測方法、數據聚合、隱私保護和信任管理方面的研究進展和問題，分析了在去中心化方面面臨的挑戰，探討了基于區塊鏈技術的CIDS未來發展方向，最后展望了CIDS在云計算、物聯網等新興領域的應用前景。

關鍵詞： 入侵檢測； 協同入侵檢測； 深度學習； 聯邦學習； 區塊鏈技術

中圖分類號： TP393.08 文獻標志碼："A 文章編號： 1001-3695（2023）06-002-1614-07

doi： 10.19734/j.issn.1001-3695.2022.10.0503

Research and prospect of collaborative intrusion detection system

Wang Yonghao， Li Zhicheng Tian Yuhe， Dong Zichao

（Dept. of Cyberspace Security， Beijing Electronic Science amp; Technology Institute， Beijing 100070， China）

Abstract：Collaborative intrusion detection system （CIDS） can detect distributed cooperative attacks and deal with large-scale network intrusion. It has the advantages that traditional intrusion detection systems do not have. How to improve the detection performance while achieving decentralization is an important research topic. Through reviewing the research achievements of CIDS in recent years， this paper expounded the research progress and problems in detection methods， data aggregation， privacy protection and trust management， analyzed the challenges faced in decentralization， discussed the future development direction of CIDS based on blockchain technology. Finally this paper looked forward to the application prospects of CIDS in cloud computing， the Internet of Things and other emerging fields.

Key words：intrusion detection; collaborative intrusion detection; deep learning; federal learning; blockchain technology

0 引言

互聯網技術的蓬勃發展徹底改變了人們的生活方式，在給人們生活帶來諸多便利的同時，網絡安全事件層出不窮、網絡安全形勢日益嚴峻。根據國家計算機網絡應急技術處理協調中心發布的《2021年上半年我國互聯網網絡安全監測數據分析報告》中統計的數據：a）在惡意程序方面，我國境內受到攻擊的IP地址近3 048萬個，約占我國IP總數的7.8%，感染惡意程序的主機數量約446萬臺，同比增長46.8%，新增移動互聯網惡意程序86.6萬余個；b）在安全漏洞方面，收錄通用性安全漏洞13 083個，同比增長18.2%；c）在拒絕服務攻擊方面，DDoS攻擊的時長呈現出縮短趨勢，表明攻擊者越來越傾向于利用大流量攻擊瞬間癱瘓目標；d）網站安全方面，網站仿冒頁面約1.3萬余個，約1.4萬個網站被植入后門，遭到竄改的網站有近3.4萬個；e）云平臺安全方面，發生在我國云平臺上的各類網絡安全事件數量占比仍然較高；f）工業控制系統安全方面，存在高危漏洞的系統涉及煤炭、石油、電力、城市軌道交通等重點行業，覆蓋企業生產管理、企業經營管理、政府監管、工業云平臺等［1］。入侵檢測技術即入侵檢測系統，是一種通過監控和分析系統活動情況來分析并提取入侵行為特征、對入侵行為進行實時響應的一種動態安全技術［2］，通常包括監控系統行為、系統故障和結構的審計、分析監測入侵行為并發出警報、異常行為的統計分析、評估系統和數據完整性等功能。

1980年，在一份由Anderson為美軍做的技術報告中首次闡述了入侵檢測的概念，提出通過審計數據來監視入侵活動的方法［3］。1987年，Denning［4］提出了一種實時入侵檢測模型，該模型提出了IDS的六要素，即主體（用戶）、客體（文件等系統資源）、審計記錄、特征文件、異常記錄、活動規則（響應規則），該模型可以生成審計記錄，并通過與特征文件中的規則進行匹配來檢測異常行為。1998年，公共入侵檢測框架（Common Intrusion Detection Framework Architecture，CIDF）工作組［5］提出了一個入侵檢測框架，將入侵檢測系統分成事件產生器、事件分析器、事件數據庫和響應單元四個組件，其體系結構如圖1所示。

根據不同的分類標準，IDS可以進行如下分類：a）按照檢測技術的不同，可分為誤用檢測（misuse detection）和異常檢測（anomaly detection）［6］；b）按照數據源不同，可分為基于主機（host）的入侵檢測（HIDS）、基于網絡（network）的入侵檢測（NIDS）和混合型的入侵檢測；c）按照系統結構不同，分為中心式IDS和分布式IDS（distributed intrusion detection system，DIDS）［7］。IDS分類框架如圖2所示。

在網絡安全形勢日益嚴峻的今天，傳統的基于規則定義的IDS已經不能滿足安全防護的需要。深度學習［8］在IDS上的應用被認為是一種有效的改進方法，但現實情形下，遭受攻擊的通常是多節點的復雜網絡，單一網絡節點應對攻擊的檢測能力十分有限。因此，僅僅依靠改進檢測方法來提高防護能力的中心式IDS已經無法滿足安全形勢的需求。協同入侵檢測技術（collaborative intrusion detection system，CIDS）以DIDS結構為基礎，能夠結合其他技術，通過多種協同方式檢測出大規模協同攻擊，是一種能夠提高檢測精度、可以部署在大規模網絡的入侵檢測技術。

本文旨在通過對協同入侵檢測技術的相關研究介紹CIDS的研究進展，探討解決協同入侵檢測技術現存問題的新思路。

1 協同入侵檢測的概念

協同即兩個及以上個體為完成一個相同目標的過程或能力，在IDS中，協同可以理解為多個檢測部件通過相互協作共同完成入侵檢測任務的能力，可以是數據采集上的協同，也可以是數據處理上的協同。協同概念引入到IDS中，旨在通過多源數據采集、多方協同處理來提高整體IDS的檢測率。

CIDS概念由Wu等人［9］第一次提出，通過設置三個可以收集不同數據源的數據收集器和一個數據處理器實現了一個高效的分布式入侵檢測系統，從此，對CIDS的研究呈現出逐年上漲的趨勢。從本質上講，CIDS屬于DIDS的一種。目前研究人員普遍將CIDS定義為：兩個及以上具備一定獨立檢測能力的個體，通過數據收集、檢測分析、告警響應三個方面的協同工作，共同達到入侵檢測目的的綜合入侵檢測系統。

CIDS與傳統IDS的不同主要體現在協同上，協同的目的是通過多個節點（或設備）的協同工作達到“1+1gt;2”的效果。隨著研究的深入，CIDS的概念不斷豐富、功能不斷完善，根據結構不同，可以將CIDS細分為集中式CIDS、分層式CIDS和對等式CIDS［10］，三種結構示例如圖3所示。

集中式CIDS也叫做內部協同IDS，通常由多個分布在網絡中的數據收集組件和一個數據處理中心組成，多個數據收集組件擴展了數據源，為系統分析檢測提供了更豐富的數據支持，而數據處理中心負責對所有數據進行聚合和綜合分析，這也是CIDS最初的構造模型，Wu等人提出的CIDS架構就屬于集中式CIDS。類似的還有Snapp等人［11］提出的DIDS，系統由主機監控器、網絡監控器和一個中心處理器組成，中心處理器通過綜合分析來自主機和網絡監控器發來的警報信息達到入侵檢測的目的。集中式CIDS通過設置不同的數據收集器擴大了數據范圍，且結構簡單、易于實施，可以抵御一定規模的并行攻擊，被廣泛應用于中小規模網絡中。但是系統安全受制于中心檢測單元，存在單點故障風險，一旦中心檢測單元出現故障，系統將無法進行工作；此外，系統整體檢測能力基于數據處理中心，當面對復雜網絡情況時，分布在系統中的數據收集器將產生大量通信數據，這些數據的集中處理給中心處理器造成了較大壓力，容易出現響應超時、數據丟失的情況，因此集中式CIDS不適合部署在大規模網絡。

分層式CIDS即子系統協同IDS，是集中式CIDS的改進。它將整個IDS分成若干個小的子系統，子系統能夠對收集的數據進行過濾和關聯，并反饋給上級的處理節點，最終交付到頂層處理中心，實現以頂層處理中心為根節點的樹狀層次檢測模型。基于圖的入侵檢測系統（GrIDS）［12］是最早的分層式CIDS之一，GrIDS以“部門”作為子系統，每個部門由一個分析處理中心、多個網絡監視器和多個主機監視器組成，監視器負責數據收集，分析處理中心負責分析檢測，通過部門間的上下相連構成一個龐大的樹狀網絡結構。美國Purdue大學提出的基于智能代理（agent）的入侵檢測結構（AAFID）［13］也屬于分層式CIDS，系統中每臺主機可以部署多個agent，agent用于收集數據并受到主機上唯一的收發器監管，收發器處理數據后上報給監視器，監視器以分層的結構組織，最終由根節點監視器與用戶交互。在分層式CIDS中，通過子處理器對數據的過濾和聚合緩解了中心處理器的數據處理壓力，提高了系統處理性能和處理效率，但是數據在每一層都被聚合處理，存在數據損失的情況，一些隱蔽性強的攻擊可能會被忽略；此外，基于上下級的協同關系容易因為單點故障而使檢測路徑中斷，進而影響整體檢測能力；最后，系統安全性仍然受限于根節點，對根節點的安全要求較高。

對等式CIDS是在分層式CIDS基礎上的進一步改進，節點的自主性得到進一步加強。在對等式CIDS中，各個節點地位平等，具有完整的入侵檢測能力，因此可以并行處理數據，通過節點間的數據共享和聚合檢測出復雜協同攻擊，提高了系統檢測能力，同時可以有效避免單點故障，提高了系統的健壯性。在基于機器學習的對等式CIDS中，各節點通過與其他節點共享學習經驗，能夠不斷提高自己的檢測能力，進而有效提高系統的檢測水平。國內最早的對等式CIDS模型是中國科學院軟件研究所［14］提出的，該模型基于智能代理技術為每個節點配置一個通信agent、一個狀態維護agent和多個檢測agent，多個節點通過通信agent相連構成了一個分布式協作的網絡，當節點檢測到入侵行為時將進行系統內廣播，達到協同的目的。這種多智能代理（multi-agent）的結構提高了系統靈活性，成為日后對等式CIDS結構模型的基礎。區別于上述的在全節點進行廣播同步數據的方式，文獻［15］提出了基于“發布—訂閱”（publish-subscribe）模型的對等式CIDS，在這種模型中，當節點檢測到一個惡意入侵時，會將入侵信息發布給系統內的其他節點，其他節點將通過一定的規則選擇性地接收此信息，以此達到協作的目的。除此之外，文獻［16］對基于移動智能代理的分布式入侵檢測（distributed intrusion detection system using mobile agent，DIDMA）進行了研究，在DIDMA中，系統設置了靜態agent和移動agent，靜態agent負責監控主機，移動agent通過在各個節點間的移動進行數據聚合和分析檢測。移動agent結構是在multi-agent結構上發展而來的，更強調agent間的協作性，而且極大程度上減少了系統的網絡負載，實現了分布式結構下的數據聚合。

對等式CIDS有效解決了單點故障對系統的影響，并且通過節點間相互協同能夠檢測大規模的復雜攻擊，提高了系統的安全性、健壯性和靈活性。對比另外兩種結構的CIDS，對等式CIDS的安全級別最高、系統健壯性最好、應用領域最廣，但是結構更復雜，涉及到的技術領域更廣泛，并且由此也帶來了通信負載均衡、數據聚合策略、隱私保護措施和信任管理等方面的問題，需要繼續深入的研究。

2 協同入侵檢測研究現狀

2.1 檢測方法

早期的IDS中，負責檢測的模塊通過匹配預定義的規則和策略完成對數據的檢測分類，而內置的規則是依靠經驗分析由管理人員制定的，這種原始方式死板僵硬、檢測精度低、優化過程長、成長速度慢，已經不再適用于當前復雜的網絡環境。近幾年，人工智能技術的蓬勃發展，促進了入侵檢測技術研究與機器學習算法的結合，改變了人為提取特征的局限性，使節點具有檢測復雜攻擊的能力，可以有效提高檢測精度，同時降低誤報率，得到了越來越廣泛的應用。目前，基于機器學習的入侵檢測方法是當前一個主流的研究方向。

在協同入侵檢測領域，利用機器學習算法檢測攻擊的各獨立節點可以共享信息，完成更加復雜的操作。Servin等人［17］提出了基于強化學習的多智能代理（multi-agent）CIDS，使用Q-learning算法實現了一個上下協同的智能檢測系統。Sethi等人［18］同樣對基于multi-agent的CIDS進行了研究，并引入DQN（deep Q-network）算法，能夠有效檢測高級網絡攻擊，同時提高了系統入侵檢測的準確率。Louati等人［19］設計了一種基于自適應agent的入侵檢測模型，在該模型中，四類agent被部署在網絡中的不同層次，利用自編碼器（autoencoder， AE）、多層感知器（multilayer perceptron，MLP）和K近鄰算法（K-nearest neighbor，KNN）實現了一個高精度的混合分布式CIDS。陳思等人［20］利用Mobile Net模型構建了一個邊云協同的入侵檢測模型，有效減小了計算量，提高了檢測效率。尚立等人［21］針對軟件定義網絡（SDN）易受DDoS攻擊的情況，設計了一種防御分布式攻擊的CIDS模型，該模型利用卷積神經網絡（convolutional neural network，CNN）提取數據特征，使用支持向量機（support vector machine，SVM）檢測攻擊，有效提高了對DDoS攻擊的檢測準確率。不同檢測方法的對比情況如表1所示。

以上這些將multi-agent技術與機器學習相融合應用在CIDS領域中是一個新的趨勢，可以充分發揮出分布式的優勢，使系統節點具有自治性、智能適應性、協作性、社交性等特性，具有傳統CIDS所不能比擬的優勢，能夠更好地發揮分布式網絡性能，提高系統入侵檢測能力。

2.2 數據聚合

CIDS相較于傳統IDS的優勢在于可以檢測出大規模的分布式攻擊和協同攻擊，如網絡掃描、蠕蟲病毒與分布式拒絕服務攻擊（distributed denial-of-service，DDoS）等，還可以通過數據的共享改善檢測方法，提高入侵檢測精度，這就涉及到數據聚合的問題。數據聚合（data aggregation）是指對多源數據進行檢測、分析、關聯，并將其結合起來獲得更具有描述性和實際意義結果的過程。在CIDS中，數據聚合是指將各分布式節點收集的數據進行聚合處理后，再綜合分析攻擊行為的方法。通過數據聚合可以使不同檢測方法、不同IDS中的異構數據融合在一起，進而提高系統檢測精度，增強系統穩定性和可靠性，提高系統整體性能。這里根據聚合方式的不同主要分為兩個研究方向，一是集中聚合，二是警報關聯。相關研究情況的對比如表2所示。

2.2.1 集中聚合

集中聚合主要應用在集中式CIDS中，是將原始數據直接進行聚合分析，是最常見、最簡單的數據聚合方式。使用這種方式，系統將分布式節點的數據共享到一個中心服務器，中心服務器按照一定的算法進行檢測分析，實現全局范圍內的入侵檢測。如Li等人［22］使用反向傳播算法（back propagation）實現了云環境下基于神經網絡的入侵檢測系統。Wankhade等人［23］結合機器學習算法，使用SVM和蟻群優化算法（ant colony optimization，ACO）將各節點收集的原始數據進行聚合分析，實現了一個高性能的入侵檢測系統。盧明星等人［24］將數據聚合后，利用誤用檢測和異常檢測綜合分析，設計了一種自適應監督和聚類混合的入侵檢測系統（adaptively supervised and clustered hybrid intrusion detection system，AC-IDS），提高了檢測準確率。

這種方式具有很大的局限性，最主要的問題在于所有的數據都交由中心服務器聚合處理，導致中心服務器的通信負載壓力比較大，系統性能對中心服務器的依賴性較高，面對大規模的網絡攻擊時系統面臨癱瘓的風險，結構上無法避免單點故障。此外，這種檢測模式忽略了節點間和警報信息間的關聯性，無法檢測多步攻擊。最后，數據全都交由中心服務器處理，各節點的網絡情況和通信情況容易遭到泄露，從而導致隱私泄露的風險。

2.2.2 警報關聯

在CIDS中，各節點可以獨立發出警報，但各節點的檢測方法和檢測重點都不盡相同，這就產生兩個問題：一是分散的、差異的警報數據如何在全局范圍內檢測出高級攻擊；二是系統內各個節點發出的警報存在冗余的情況，如何減少冗余信息提高系統性能。警報關聯技術通過將各節點的警報按照一定的算法進行分析、聚合達到檢測出高級攻擊的目的，通常包括對警報的分類、合并、關聯三個步驟。利用警報關聯技術可以減少系統警報冗余，進而減少系統的報警負荷，同時可以獲得對攻擊行為的高級描述，幫助系統管理人員更好了解系統情況和整個網絡的安全狀態，為CIDS檢測大范圍攻擊行為提供了保障，還可以提高系統分析檢測的效率。早期的警報關聯技術有建立概率模型［28］、預定義攻擊場景［29］、分析警報原因［30］等方式，這些方式通過將警報信息與預設模型匹配，進而關聯分析得出更有效的結果，但是這樣的方式對系統的性能提高十分有限。近幾年，警報間的內部相關性得到了學者們的關注，通過挖掘警報之間的特征相關性對相關的警報聚合分析取得了很好的效果，Zhang等人［25］通過基于時間差的序列分割方法（time-lag based sequence splitting，TSS）和序列剪枝算法（sequence pruning algorithm，SPA）重建會話，獲取警報間的真實相關性，構建了一種入侵動作關聯框架（intrusion action based correlation framework，IACF），具有一定的創新性。Anjum等人［26］通過將警報的特征信息進行數據融合（data fusion）挖掘特征間的相關性，并使用KNN算法進行聚類分析，有效降低了誤報率。Landauer等人［27］提出一種將異構的警報信息轉換為元警報（meta-alerts）的方法，利用詞袋模型（bag-of-words model）等三種策略將同類警報信息關聯合并，有效降低了警報冗余和誤報率。

警報關聯技術是為了解決CIDS中存在的數據聚合分析和數據冗余問題，但在實際的研究中，通常都是在系統中設置一個數據聚合服務器，負責數據的聚合和分析，以檢測高級入侵行為。這樣的結構問題依然違背CIDS完全分布式的發展方向。因此，警報關聯技術雖然解決了一定程度上的數據冗余，并且可以檢測出更高級的協同攻擊，但卻減少了系統的健壯性，學者們仍在積極探討完全分布式結構下數據聚合的方式方法。

2.3 隱私保護

在CIDS中，各節點相互協作，在通信過程中不可避免會涉及到數據共享問題。區別于不同的系統設計，節點間通信的數據可能是流量數據包、主機日志、審計記錄、警報等信息，直接使用這些原始信息進行通信是不安全的，因為這其中很可能包含節點的敏感信息，也容易暴露節點的通信狀況，所以CIDS中的隱私保護也是需要重點研究的內容。不同隱私保護方法的對比情況如表3所示。

2.3.1 傳統方式

早期Locasto等人［31］注意到了CIDS中的敏感數據隱私的問題，提出使用Bloom過濾器處理節點產生的警報信息的方法，將警報重新編碼為一種更加緊湊的格式，以此保護節點的敏感數據。Verma等人［32］則使用一種安全正則表達式映射（secure regular expression mapping，SREXM）的結構將協作信息轉換為安全的正則表達式，達到保護隱私的目的。Zhang等人［33］提出了一種雙變量干擾（dual variable perturbation，DVP）的隱私保護方法，實現了基于機器學習的協同入侵檢測系統的隱私保護。

以上幾種方法都是數據通過加密的方式共享，確實減少了數據泄露的風險，但是通過加密數據共享情況的特征描述，中心服務器仍然可以掌握節點的網絡狀況等敏感信息；另一方面，數據在轉換過程中可能存在數據損耗，在基于機器學習的CIDS中容易影響學習結果。解決這個問題需要用到聯邦學習技術。

2.3.2 聯邦學習聯邦學習（federated learning，FL）的概念由谷歌公司［34］于2017年提出。在聯邦學習中，分布式系統的參與方擁有本地原始數據，并且不會將數據共享出去，學習在本地更新模型，通過共享模型參數達到分布式學習的目的。聯邦學習的提出為解決CIDS分布式學習和隱私保護問題創造了新的思路，使機器學習通過分布式協同提高效率的同時又能充分保護原始數據。因此，將聯邦學習的概念引入CIDS是一個新的趨勢。

Chen等人［35］聚焦無線邊緣網絡安全性問題，提出了一種基于聯邦學習的無線邊緣網絡入侵檢測算法，采用GRU（gate recurrent unit）和SVM算法檢測入侵行為，并且根據設備重要程度設置了不同的權重，避免了不重要的更新對系統的影響，減少了通信開銷。Sun等人［36］考慮了大規模分布式網絡中不同節點的系統結構、通信數據等方面的差異性，提出了一種分段聯邦學習（segmented-FL）的模型，通過將網絡分段建立多個局部模型，由具有相似網絡特征的節點共同維護，從而提高大規模分布式網絡的入侵檢測精度。Zhao等人［37］提出了一種基于聯邦學習輔助長短期記憶（long short-term memory，LSTM）的入侵檢測框架，每個節點得到初始化LSTM模型后自行訓練，然后將模型參數上傳到中央服務器，由中央服務器執行模型參數聚合成一個新的全局模型，并將其分發給用戶服務器。除此之外，Liu等人［38］基于聯邦學習的改進K-means聚類入侵檢測算法；梁浩然等人［39］基于聯邦學習的博弈優化邊緣學習入侵檢測框架；陳何雄等人［40］基于聯邦學習的SDN入侵檢測框架；Li等人［41］提出的基于聯邦學習的工業網絡入侵檢測系統，都對基于聯邦學習的入侵檢測進行了深入的研究；Lavaur等人［42］對比了目前聯邦學習在入侵檢測領域的研究成果，指出目前基于聯邦學習的入侵檢測存在檢測方式單一和評價標準不統一的問題，認為未來基于聯邦學習的入侵檢測應該充分考慮對系統性能的影響以及自身的適用性、可移植性和安全性。

總之，將聯邦學習與分布式網絡相結合，通過學習模型的中心化聚合解決了協同學習在隱私保護方面的問題，有效提高了獨立節點的學習效率，進而提高了CIDS整體檢測能力，最大化發揮出分布式系統的協同能力。但是這種中心化模型聚合的方式也存在如下問題：a）存在數據竄改和隱私泄露的風險；b）可能存在惡意節點提交惡意模型影響聯邦訓練結果的情況；c）整體學習效率依賴中心服務器性能，在復雜網絡中，各節點學習模型迭代速度快，會極大影響系統通信性能，也給中心服務器數據處理帶來了巨大壓力。

2.4 信任管理

在對等式CIDS中，系統由一組具備入侵檢測能力的獨立節點組成，系統能夠通過聚合各節點的警報信息檢測出高級攻擊。因此，系統的檢測能力依靠節點共享的信息，但由于節點獨立性強，如果缺少系統監管，可能存在來自惡意節點的內部攻擊。惡意節點可以通過共享錯誤數據來干擾入侵檢測系統正常進行。CIDS信任管理方法的對比情況如表4所示。

防止分布式網絡中內部攻擊的有效措施是在系統內建立信譽體系。在信譽體系下，每個節點受到系統的監管，依靠一定的正常行為規則積累信譽值，當惡意節點違反行為規則時，信譽值會降低，如果節點信譽值下降到某種程度時，系統將認為該節點是不可信的，采取一定處置措施限制該節點參與到協作網絡。

Pérez等人［43］提出了一種基于信譽的協同入侵檢測網絡，在系統中設置了一個明智委員會（Wise Committee，WC），各節點的警報信息經過WC的評估同意才可發布，從而避免了惡意警報的影響，而WC內的成員依靠與其他節點的交互歷史評估其可信度。類似地，Ganesh等人［44］通過在節點中引入信譽機制（CORE），各節點通過鄰節點的評價確保通信節點的可信，實現了一個可信的協同入侵檢測系統。Khan等人［45］提出了一種基于多agent和多層博弈算法的入侵檢測模型，在該模型中，各節點通過參與通信積累信譽，信譽值低的被視為惡意節點，惡意節點將被系統限制通信，使用這種方式可以有效防范網絡內部的安全風險，提高入侵檢測精度，同時通過節點的博弈競爭提高網絡通信吞吐量。陳趙懿等人［46］采用了一種更加綜合的方式進行信譽評估，通過共享信譽的方式綜合計算節點直接信譽與鄰節點的間接信譽，構筑了一種有效的信譽評估模型，提高了對惡意節點的檢測準確率。

但是上述的幾種模型中，有的設置了一個集中的信任管理機構負責管理節點信譽，這就不可避免地存在單點故障和性能瓶頸問題，有的利用分布式思路實行節點間的自管理，這又缺少統一的協調管理機制，不能對各節點形成實質性約束。另一方面，這些模型對節點的信譽評估方式都較為簡單，單純依靠節點參與通信的程度作為信譽評價標準，容易受具體網絡部署結構和實際網絡狀態的影響，具有一定局限性。＼

2.5 小結本節從檢測方法、數據聚合、隱私保護和信任管理四個方面對CIDS的研究現狀進行了梳理。

a）在檢測方法方面，傳統的檢測方式已經不再適應當前的網絡形勢，基于機器學習的入侵檢測方法不僅能夠應對復雜的網絡狀況檢測出未知攻擊，而且在檢測精度方面具有突出優勢，能夠有效提高檢測率、降低誤報率，是目前研究的主要方向。結合機器學習和multi-agent技術的CIDS，能夠充分發揮分布式網絡性能，通過各節點的協同提高了系統安全性。但隨著目前網絡規模的不斷增大，檢測過程也越來越復雜，如何提高通信效率，保障系統數據處理和響應速度需要進一步研究。

b）在數據聚合方面，不同于傳統IDS只需應對單一節點的情況，CIDS被部署在一定規模的分布式網絡中，能夠為網絡中的所有節點提供保護，因此需要面對復雜性更高、隱蔽性更強的協同攻擊。數據聚合能夠挖掘數據間、警報間的關聯性，提高CIDS應對高級攻擊的能力。使用集中聚合的方式能夠檢測大規模同步攻擊，效率較高，但是由于忽略了數據間的時間、空間方面的關聯性，對多步攻擊檢測力度不夠，且中心服務器擁有原始數據的使用權，隱私泄露風險較大。使用警報關聯的方式，通過挖掘警報間的關聯性能夠檢測多步攻擊，提高檢測準確率、降低誤報率；此外，不再使用原始數據進行分析，一定程度上降低了隱私泄露風險；最后，通過合并同類警報、過濾重復警報降低了數據冗余，提高了中心服務器的負載能力，更適用于數據規模較大的網絡環境。因此，相較于集中聚合的方式，警報關聯技術的優勢更加明顯，但是這兩種方法的實現都基于中心服務器。這種中心式的結構，其安全性依賴于中心服務器，具有一定的性能瓶頸，無法避免單點故障。

c）在隱私保護方面，數據的協同帶來的隱私泄露問題需要一種安全的數據共享方式。在傳統的隱私保護方式中，通過對通信數據的加密，一定程度上保護了隱私，但是數據發送量、數據發送頻率等統計信息仍然可以反映節點的網絡狀況，隱私暴露的風險仍然存在；同時，復雜的加密轉換帶來了一定的數據損失，并不利于提高檢測精度；最后，數據轉換帶來的系統開銷降低了系統性能。在基于聯邦學習的方式中，中心服務器并不能直接獲取各節點的數據，只是維護各節點發送的模型數據，從根本上實現了隱私保護，同時，各節點可以獨立維護模型數據，提高了中心服務器的處理能力。但在復雜網絡中，各節點模型迭代速度很快，會給中心服務器帶來巨大壓力；此外，各節點網絡狀況的差異性對模型聚合也有一定影響，因此，模型聚合方式有待進一步優化和改進。

d）在信任管理方面，旨在解決分布式網絡中的內部攻擊問題，防止內部惡意節點對系統性能的影響，這依賴于在內部建立有效的信譽體系。但是目前的研究結果對于信譽的評價標準仍不夠完善，獎懲機制完全依賴于節點對系統的參與度，容易受制于網絡狀況，存在一定的應用局限性，另一方面，對于惡意節點的懲罰具有滯后性，可能會對系統造成不可逆損失。因此，需要探索一種合理的信任管理機制，在有效保障通信安全的前提下平衡系統開銷，有效防范內部攻擊。

3 研究展望在網絡形勢日趨嚴峻的今天，入侵檢測技術已經成為網絡空間中不可或缺的安全防護手段。傳統IDS無法檢測出大規模的網絡攻擊，由此衍生了協同入侵檢測系統CIDS。在CIDS中，對等式CIDS相較于集中式和分層式CIDS，節點的自主性得到提高，可以檢測大規模協同攻擊，同時減輕了系統通信負載，提高了系統的靈活性、健壯性，優勢更加突出。隨著multi-agent技術和深度學習的發展，引發了學者對基于深度學習與multi-agent的CIDS的研究，在提高節點獨立性的前提下進一步提高了入侵檢測精度。但是CIDS引發的多節點協同的數據聚合策略、隱私保護措施和信任管理等方面的問題仍然需要進一步深入研究。一個功能完備、性能良好的CIDS應該是具有隱私保護措施、檢測精度高、數據聚合效率高、具有內部防范措施的完全分布式CIDS，但目前已有的一些研究成果都很難解決CIDS去中心化的問題。區塊鏈技術的出現，給CIDS解決這些問題提供了新的思路。

3.1 區塊鏈技術

區塊鏈技術起源于比特幣［47］，本質是一種去中心式的數據庫，技術安全性基于密碼學原理，具有防竄改、可追溯、公開透明、安全可信等優秀特質。近年來，越來越多的學者對區塊鏈技術開展了研究，其技術上的優勢在CIDS中具有廣泛應用場景。

在數據聚合方面，區塊鏈技術本身具有天生的去中心化的優勢，可以利用區塊鏈技術實現數據模型去中心化聚合。Fu等人［48］提出了一個基于區塊鏈技術的網絡入侵檢測系統模型，在該模型中，各節點通過區塊鏈的共識算法完成了特征庫的共享，實現了真正的完全分布式結構，極大程度地提高了系統的安全性。Liang等人［49］提出了基于區塊鏈的協同入侵檢測的數據融合方法，利用區塊鏈實現了各節點學習模型的聚合。Golomb等人［50］針對物聯網的安全問題設計了一種基于區塊鏈的協同檢測系統，在該系統中，同類型的設備在區塊鏈上共同維護一個全局模型，通過全局模型與本地模型的合并達到數據聚合的目的，該系統還引入了身份驗證機制提高安全性。

在聯邦學習方面，區塊鏈技術與聯邦學習的結合可以實現模型去中心化聚合、模型數據分布式存儲、模型數據可追溯、模型數據防竄改等安全能力。Liu等人［51］使用區塊鏈實現了數據的聚合和存儲，代替了傳統聯邦學習的中心服務器，真正實現了CIDS的去中心化，有效提高了系統安全水平。Preuveneers等人［52］考慮到惡意樣本對聯邦學習結果的影響，提出了基于區塊鏈的聯邦學習方法，通過區塊鏈技術與聯邦學習的結合，利用區塊鏈技術審計聯邦學習過程，防止惡意數據影響學習效果，實現了聯邦學習的可靠性。Weng等人［53］研究了聯邦學習中可能存在的梯度泄露和內部惡意攻擊問題，基于區塊鏈技術提出了一種安全的、去中心化的隱私保護深度學習框架DeepChain，通過在節點間建立激勵機制和共識協議實現安全有效的分布式協同，增強了分布式數據的保密性和安全性。

在信任管理方面，區塊鏈技術的分布式優勢為解決分布式系統的信任管理問題提供了新的解決思路。在基于區塊鏈的CIDS中，通過節點間建立的共識協議實現安全數據共享，單個惡意的節點不能夠影響整個系統；通過智能合約建立信任管理機制對節點進行信任監督，防止惡意節點對共享數據的破壞；通過默克爾樹（Merkle tree）的數據結構保證數據的不可竄改和可追溯，維護了數據的可信性；各節點獨立存儲完整的數據，避免單個節點被攻擊造成的數據損失。Li等人［54］注意到了CIDS的內部威脅，利用區塊鏈驗證共享簽名的方法提出了一種基于區塊鏈簽名的協同入侵檢測框架，通過增量構建和維護一個可信的簽名庫實現一種可驗證的安全共享簽名，以此對抗系統內惡意節點的攻擊，解決了分布式節點簽名的可信問題。在此研究的基礎上，文獻［55，56］利用區塊鏈技術提出了基于挑戰（challenge）信任機制的CIDS，在此模型中建立了信任管理機制，節點發送的警報和接收的響應均記載在區塊鏈上，利用區塊鏈實現了警報的共享和聚合，并以此評估其他節點可信度，保證了數據的真實可信，降低了惡意數據的影響。

雖然基于區塊鏈技術的CIDS結構提高了系統去中心化程度，提高了系統安全性，為解決CIDS中的數據聚合、隱私保護、信任管理等問題提供了思路，但是區塊鏈技術本身對系統性能造成的影響也應該被考慮進來，這既包括數據上鏈帶來的通信損耗，也包括數據驗證時延遲對性能的影響，以及鏈上數據冗余存儲的硬盤消耗。

3.2 應用前景隨著互聯網的飛速發展，CIDS的應用領域也越來越廣泛，不僅用來保護傳統的內網系統，而且在云計算（cloud computing）、物聯網（Internet of Things，IoT）等新型領域中得到廣泛應用，尤其在物聯網領域，研究人員做了大量的研究。

在云計算領域，云計算利用分布式技術通過互聯網向用戶提供了便捷的數據處理、數據存儲、并行計算等服務，被越來越多的用戶使用。但是云環境本質上是一個大規模的分布式網絡，容易受到DDoS等協同攻擊，傳統的IDS很難有效解決這種問題，而CIDS將各個獨立的IDS聯合起來，通過提前建立一定的規則可以有效防范大規模網絡攻擊。Haddad等人［57］提出了一種基于云計算的安全CIDS框架，通過在云中部署的多個NIDS間的協同，結合SVM算法和Snort實現了云基礎設施的安全防護。Idhammad等人［58］基于分布式機器學習的云環境CIDS，采用基于時間的滑動窗口算法對每個云路由器上捕獲的網絡流量進行預處理，并將異常流量傳至中心服務器，中心服務器使用基于隨機森林（random forest）算法的分類器進行分類檢測，以檢測出每種攻擊的類型。

在物聯網領域，隨著近幾年物聯網技術的飛速發展，物聯網設備數量逐年攀升，物聯網系統的安全性也越來越受到關注。由于物聯網系統由多個分散的、獨立的智能設備組成，CIDS被認為是一種有效的防護手段，研究人員結合機器學習算法、聯邦學習、multi-agent技術、區塊鏈技術等產生了大量的CIDS模型。2019年，Nguyen等人［59］率先提出基于聯邦學習的物聯網入侵檢測模型，該模型采用GRU（gate recurrent unit）算法檢測惡意攻擊，通過聯邦學習將節點共享的模型聚合，進而提高整個系統的入侵檢測能力，有效保護了物聯網的網絡安全。Liang等人［60，61］為了解決物聯網的安全性問題，結合深度學習算法和multi-agent技術，提出了一種基于區塊鏈的CIDS，該系統利用區塊鏈記錄各物聯網設備的操作行為，該方法減少了鏈上的冗余信息，提高了系統檢測速度和安全性。Attota等人［62］考慮了單一數據類型在機器學習中的局限性，提出了一種基于多視圖聯邦學習的物聯網入侵檢測模型，在該模型中，將數據按照單向流、雙向流和數據包分為三個視圖，使用灰狼優化算法（grey wolves optimization，GWO）提取特征，再利用前饋神經網絡構造了三個并行的深度學習模型，最后通過中心服務器將三個模型分別聚合綜合作出檢測判斷。

CIDS作為一種分布式安全應用，能夠為云計算和物聯網提供一定程度的安全防護。但是隨著物聯網和云計算網絡規模的不斷擴大，系統通信數據量越來越大、并發性越來越高，導致CIDS的檢測能力下降、響應速度變慢等情況，給系統安全防護帶來了新的挑戰。接下來，CIDS應該注重改進協同檢測方式，在有效防范網絡攻擊的同時提高系統檢測效率，進而減少入侵檢測對系統性能的影響。

4 結束語

協同入侵檢測在當前的網絡安全防御中發揮著重要作用，本文通過對協同入侵檢測系統CIDS的介紹，著重從檢測方法、數據聚合、隱私保護和信任管理等方面分析了CIDS的研究現狀，指出了目前研究中仍然存在的問題，尤其在實現完全去中心化方面所面臨的巨大挑戰。區塊鏈技術的出現為解決這些問題提供了可能。區塊鏈技術的防竄改、可追溯、公開透明、安全可信、抗宕機性和不可否認性，能夠解決現存CIDS的數據聚合、隱私保護、信任管理等方面的問題，從而為實現CIDS的完全去中心化奠定基礎。但是引入區塊鏈技術同樣會帶來新的問題，如通信和存儲的額外開銷、區塊鏈驗證的延遲等，這也將是學者們下一步亟需解決的問題。參考文獻：

［1］國家計算機網絡應急技術處理協調中心. 2021年上半年我國互聯網網絡安全監測數據分析報告 ［R/OL］. （2021-07-31） ［2022-11-29］. https：//www.cert.org.cn/publish/main/46/2021/20210731090556980286517/20210731090556980286517_.html.（CNCERT. Report on data analysis of China’s Internet network security monitoring in the first half of 2021［R/OL］.（2021-07-31） ［2022-11-29］. https：//www.cert.org.cn/publish/main/46/2021/20210731090556 980286517/20210731090556980286517_. html.）

［2］Bai Yuebin，Kobayashi H. Intrusion detection systems： technology and development ［C］// Proc of the 17th International Conference on Advanced Information Networking amp; Applications. Washington DC： IEEE Computer Society，2003： 710.

［3］Computer security threat monitoring and surveillance，Contract 79F296400 ［R］. ［S. l.］： James P Anderson Company，1980.

［4］Denning D. E. An intrusion-detection model ［J］. IEEE Trans on Software Engineering，1987，13（2）： 222-232.

［5］Porras P，Schnackenberg D，Staniford-Chen S，et al. The common intrusion detection framework architecture ［EB/OL］. （1999） ［2022-11-29］. http：//gost.isi.edu/cidf/drafts/architecture.txt.

［6］Asif M K，Khan T A，Taj T A，et al. Network intrusion detection and its strategic importance［C］//Proc of Business Engineering and Industrial Applications Colloquium.Piscataway，NJ：IEEE Press，2013：140-144.

［7］Snapp S R，Brentano J，Dias G V，et al. A system for distributed intrusion detection ［C］// COMPCON Spring’91 Digest of Papers. Pisca-taway，NJ： IEEE Press，1991.

［8］LeCun Y，Bengio Y，Hinton G. Deep learning ［J］. Nature，2015，521（7553）： 436-444.

［9］Wu Y S，Foo B，Mei Y G，et al. Collaborative intrusion detection system （CIDS）： a framework for accurate and efficient IDS ［C］// Proc of the 19th Annual Computer Security Applications Conference. Piscataway，NJ： IEEE Press，2003： 234-244.

［10］Vasilomanolakis E，Karuppayah S，Mühlhuser M，et al. Taxonomy and survey of collaborative intrusion detection ［J］. ACM Computing Surveys，2015，47（4）： article No. 55.

［11］Snapp S R，Brentano J，Dias G V，et al. DIDS （distributed intrusion detection system）-motivation，architecture，and an early prototype ［C］// Proc of the 14th National Computer Security Conference. Gaithersburg： NIST，1991： 167-176.

［12］Staniford-Chen S，Cheung S，Crawford R，et al. GrIDS： a graph based intrusion detection system for large networks ［C］//Proc of the 19th National Information Systems Security Conference.Gaithersburg：NIST，1996.

［13］Balasubramaniyan J S，Garcia-Fernandez J O，Isacoff D，et al. An architecture for intrusion detection using autonomous agents ［C］// Proc of the 14th Annual Computer Security Applications Conference. Piscataway，NJ： IEEE Press，1998： 13-24.

［14］馬恒太，蔣建春，陳偉鋒，等. 基于agent的分布式入侵檢測系統模型 ［J］. 軟件學報，2000，11（10）： 1312-1319. （Ma Hengtai，Jiang Jianchun，Chen Weifeng，et al. Distributed model of intrusion detection system based on agent ［J］. Journal of Software，2000，11（10）： 1312-1319. ）

［15］Marchetti M，Messori M，Colajanni M. Peer-to-peer architecture for collaborative intrusion and malware detection on a large scale ［C］// Proc of the 12th International Conference on Information Security. Berlin： Springer-Verlag，2009： 475-490.

［16］Nandeshwar K K，Bijwe K B. Distributed intrusion detection system using mobile agent technology ［J］. International Journal of Engineering Research and General Science，2015，3（2）： 319-323.

［17］Servin A，Kudenko D. Multi-agent reinforcement learning for intrusion detection ［C］// Proc of the 6th German Conference on Multi-agent System Technologies. Berlin： Springer-Verlag，2008： 211-223.

［18］Sethi K，Madhav Y V，Kumar R，et al. Attention based multi-agent intrusion detection systems using reinforcement learning ［J］. Journal of Information Security and Applications，2021，61（9）：102923-103941.

［19］Louati F，Ktata F B. A deep learning-based multi-agent system for intrusion detection［J］.SN Applied Sciences，2020，2（3）：article No.675.

［20］陳思，吳秋新，張銘坤，等. 基于邊云協同的智能工控系統入侵檢測技術 ［J］. 計算機應用與軟件，2020，37（11）： 280-285，333. （Chen Si，Wu Qiuxin，Zhang Mingkun，et al. Intrusion detection technology of intelligent industrial control system based on edge cloud collaboration ［J］. Computer Applications and Software，2020，37（11）： 280-285，333. ）

［21］尚立，陳明，張磊，等. SDN中基于機器學習的DDoS攻擊協同防御 ［J］. 電力系統保護與控制，2021，49（16）： 170-176. （Shang Li，Chen Ming，Zhang Lei，et al. Cooperative defense of DDoS attack based on machine learning in SDN ［J］. Power System Protection and Control，2021，49（16）： 170-176. ）

［22］Li Zhe，Sun Weiqing，Wang Lingfeng. A neural network based distri-buted intrusion detection system on cloud platform ［C］// Proc of the 2nd International Conference on Cloud Computing and Intelligence Systems. Piscataway，NJ： IEEE Press，2012.

［23］Wankhade A，Chandrasekaran K. Distributed-intrusion detection system using combination of ant colony optimization（ACO） and support vector machine（SVM） ［C］// Proc of International Conference on Micro-Electronics and Telecommunication Engineering. Piscataway，NJ： IEEE Press，2016.

［24］盧明星，陳恩慶. 自適應監督和聚類混合的WSN入侵檢測系統設計 ［J］. 計算機應用與軟件，2022，39（5）： 320-324，329. （Lu Mingxing，Chen Enqing. Design of adaptively supervised and clustered hybrid WSN intrusion detection system ［J］. Computer Applications and Software，2022，39（5）： 320-324，329. ）

［25］Zhang Kai，Zhao Fei，Luo Shoushan，et al. An intrusion action-based IDS alert correlation analysis and prediction framework ［J］. IEEE Access，2019，7： 150540-150551.

［26］Anjum N，Latif Z，Lee C，et al. MIND： a multi-source data fusion scheme for intrusion detection in networks ［J］. Sensors，2021，21（14）： 4941.

［27］Landauer M，Skopik F，Wurzenberger M. Dealing with security alert flooding： using machine learning for domain-independent alert aggregation［J］.ACM Trans on Privacy and Security，2022，25（3）：1-36.

［28］Thomas C，Balakrishnan N. Improvement in intrusion detection with advances in sensor fusion ［J］. IEEE Trans on Information Forensics and Security，2009，4（3）： 542-551.

［29］Al-Mamory S O，Zhang Hongli. IDS alerts correlation using Grammar-based approach ［J］. Journal in Computer Virology，2009，5（4）： 271-282.

［30］Al-Mamory S O，Zhang Hongli. Intrusion detection alarms reduction using root cause analysis and clustering ［J］. Computer Communications，2009，32（2）： 419-430.

［31］Locasto M E，Parekh J J，Keromytis A D，et al. Towards collaborative security and P2P intrusion detection ［C］// Proc of the 6th Annual IEEE Systems，Man and Cybernetics Information Assurance Workshop. Piscataway，NJ： IEEE Press，2005： 333-339.

［32］Verma N，Trousset F，Poncelet P，et al. Intrusion detections in collabo-rative organizations by preserving privacy ［M］// Advances in Know-ledge Discovery and Management.Berlin：Springer，2010：235-247.

［33］Zhang Tao，Zhu Quanyan. Distributed privacy-preserving collaborative intrusion detection systems for VANETs ［J］. IEEE Trans on Signal and Information Processing over Networks，2018，4（1）：148-161.

［34］McMahan H B，Moore E，D Ramage，et al. Communication-efficient learning of deep networks from decentralized data ［EB/OL］. （2016-02-17）. https：//arxiv.org/pdf/1602.05629.pdf.

［35］Chen Zhuo，Lyu Na，Liu Pengfei，et al. Intrusion detection for wireless edge networks based on federated learning ［J］. IEEE Access，2020，8： 217463-217472.

［36］Sun Yuwei，Esaki H，Ochiai H. Adaptive intrusion detection in the networking of large-scale LANs with segmented federated learning ［J］. IEEE Open Journal of the Communications Society，2021，2： 102-112.

［37］Zhao Ruijie，Yin Yue，Shi Yong，et al. Intelligent intrusion detection based on federated learning aided long short-term memory ［J］. Physical Communication，2020，42（10）： 101157.

［38］Liu Ximeng，Xie Bin，Dong Xinyu，et al. An improved K-means clustering intrusion detection algorithm for wireless networks based on fe-derated learning ［J/OL］. Wireless Communications and Mobile Computing. （2021）.https：//doi.org/10.1155/2021/9322368.

［39］梁浩然，伍軍，趙程程，等. 基于博弈優化邊緣學習的物聯網入侵檢測研究 ［J］. 物聯網學報，2021，5（2）： 37-47. （Liang Haoran，Wu Jun，Zhao Chengcheng，et al. Leveraging edge learning and game theory for intrusion detection in Internet of things ［J］. Chinese Journal on Internet of Things，2021，5（2）： 37-47. ）

［40］陳何雄，羅宇薇，韋云凱，等. 基于聯邦學習的SDN異常流量協同檢測技術 ［J/OL］. 計算機工程. https：//doi. org/10. 19678/j. issn. 1000-3428. 0064310. （Chen Hexiong，Luo Yuwei，Wei Yunkai，et al. Federated learning based cooperative anomaly detection in software define network［J/OL］. Computer Engineering. https：//doi.org/10.19678/j.issn.1000-3428.0064310.）

［41］Li Beibei，Wu Yuhao，Song Jiarui，et al.DeepFed：federated deep learning for intrusion detection in industrial cyber-physical systems［J］.IEEE Trans on Industrial Informatics，2021，17（8）：5615-5624.

［42］Lavaur L，Pahl M O，Busnel Y，et al. The evolution of federated learning-based intrusion detection and mitigation： a survey［J］.IEEE Trans on Network and Service Management，2022，19（3）：2309-2332.

［43］Pérez M G，Mármol F G，Pérez G M，et al. RepCIDN： a reputation-based collaborative intrusion detection network to lessen the impact of malicious alarms ［J］. Journal of Network and Systems Management，2013，21（1）： 128-167.

［44］Ganesh S S，Somasundaram K. A collaborative intrusion detection system for cognitive radio networks with trust and reputation management ［J］. International Journal of Recent Technology and Enginee-ring，2019，8（2）： 4489-4498.

［45］Khan B U I，Anwar F，Olanrewaju R F，et al. A novel multi-agent and multilayered game formulation for intrusion detection in Internet of things （IoT） ［J］. IEEE Access，2020，8： 98481-98490.

［46］陳趙懿，高秀峰，王帥，等. 基于信譽評估的Ad hoc分布式入侵檢測 ［J］. 火力與指揮控制，2020，45（9）： 6-11. （Chen Zhaoyi，Gao Xiufeng，Wang Shuai，et al. Distributed intrusion detection of Ad hoc network based on reputation［J］. Fire Control amp; Command Control，2020，45（9）： 6-11. ）

［47］Nakamoto S. Bitcoin： a peer-to-peer electronic cash system ［EB/OL］. （2008） ［2022-11-29］. https：//bitcoin.org/bitcoin.pdf.

［48］Fu Jinhua，Xu Mixue，Huang Yongzhong，et al. A new network intrusion detection system based on blockchain ［J］. International Journal of Performability Engineering，2019，15（12）： 3187-3195.

［49］Liang Wei，Xiao Lijun，Zhang Ke，et al. Data fusion approach for collaborative anomaly intrusion detection in blockchain-based systems ［J］. IEEE Internet of Things Journal，2022，9（16）：14741-14751.

［50］Golomb T，Mirsky Y，Elovici Y. CIoTA： collaborative IoT anomaly detection via blockchain ［EB/OL］. （2018-04-09）. https：//arxiv.org/pdf/1803.03807.pdf.

［51］Liu Hong，Zhang Shuaipeng，Zhang Pengfei，et al. Blockchain and federated learning for collaborative intrusion detection in vehicular edge computing ［J］. IEEE Trans on Vehicular Technology，2021，70（6）： 6073-6084.

［52］Preuveneers D，Rimmer V，Tsingenopoulos I，et al. Chained anomaly detection models for federated learning： an intrusion detection case study ［J］. Applied Sciences，2018，8（12）： 2663.

［53］Weng Jiasi，Weng Jian，Zhang Jilian，et al. DeepChain： auditable and privacy-preserving deep learning with blockchain-based incentive ［J］. IEEE Trans on Dependable and Secure Computing，2019，18（5）： 2438-2455.

［54］Li Wenjuan，Tug S，Meng Weizhi，et al. Designing collaborative blockchained signature-based intrusion detection in IoT environments ［J］. Future Generation Computer Systems，2019，96： 481-489.

［55］Meng Weizhi，Li Wenjuan，Yang L T，et al. Enhancing challenge-based collaborative intrusion detection networks against insider attacks using blockchain ［J］. International Journal of Information Security，2020，19（3）： 279-290.

［56］Li Wenjuan，Wang Yu，Li Jin，et al. Toward a blockchain-based framework for challenge-based collaborative intrusion detection ［J］. International Journal of Information Security，2021，20（2）： 127-139.

［57］Haddad Z A，Hanoune M，Mamouni A. A collaborative framework for intrusion detection （C-NIDS） in cloud computing ［C］// Proc of the 2nd International Conference on Cloud Computing Technologies and Applications. Piscataway，NJ： IEEE Press，2017.

［58］Idhammad M，Afdel K，Belouch M. Distributed intrusion detection system for cloud environments based on data mining techniques ［J］. Procedia Computer Science，2018，127（5）： 35-41.

［59］Nguyen T D，Marchal S，Miettinen M，et al. DoT： a federated self-learning anomaly detection system for IoT ［C］// Proc of the 39th IEEE International Conference on Distributed Computing Systems. Piscataway，NJ： IEEE Press，2018.

［60］Liang Chao，Shanmugam B，Azam S，et al. Intrusion detection system for Internet of things based on a machine learning approach ［C］// Proc of International Conference on Vision Towards Emerging Trends in Communication and Networking. Piscataway，NJ： IEEE Press，2019.

［61］Liang Chao，Shanmugam B，Azam S，et al. Intrusion detection system for the internet of things based on blockchain and multi-agent systems ［J］. Electronics，2020，9（7）： 1120-1147.

［62］Attota D C，Mothukuri V，Parizi R M，et al. An ensemble multi-view federated learning intrusion detection for IoT ［J］. IEEE Access，2021，9： 117734-117745.