葉勇 劉朝暉 彭大為

南華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 湖南 421001

0 引言

國(guó)內(nèi)外的研究者對(duì)基于生物免疫原理的無(wú)線傳感器的入侵檢測(cè)技術(shù)進(jìn)行了一些研究。曾鵬等人首先提出來(lái)一種基于生物免疫的無(wú)線傳感器網(wǎng)絡(luò)安全體系結(jié)構(gòu)；將免疫原理應(yīng)用在WSN安全系統(tǒng)，但沒有具體實(shí)現(xiàn)，且只采用了入侵隔離處理惡意入侵節(jié)點(diǎn)。張楠、董曉梅等人對(duì)基于分簇的無(wú)線傳感器網(wǎng)絡(luò)免疫體系進(jìn)行了研究，提出 Multi-Agent機(jī)制和備份簇頭選舉機(jī)制，對(duì)無(wú)線傳感器網(wǎng)絡(luò)的安全性有了較明顯的提升，但是所提到的算法都相對(duì)復(fù)雜，在計(jì)算能力限制的節(jié)點(diǎn)中響應(yīng)時(shí)間較長(zhǎng)。Martin Drozda等提出了人工免疫系統(tǒng)在無(wú)線傳感器網(wǎng)絡(luò)異常檢測(cè)下的應(yīng)用及對(duì)應(yīng)設(shè)計(jì)，但也只是相對(duì)簡(jiǎn)單地從傳統(tǒng)網(wǎng)絡(luò)的基于免疫系統(tǒng)的移植，對(duì)無(wú)線傳感器網(wǎng)絡(luò)的特點(diǎn)考慮不夠深刻。

綜合上述可知，雖然基于人工免疫系統(tǒng)無(wú)線傳感器網(wǎng)絡(luò)的入侵檢測(cè)的研究有很多優(yōu)點(diǎn)，但目前仍處于研究的初期，仍有很多不完善的地方。本文將基于危險(xiǎn)理論對(duì)無(wú)線傳感器網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)進(jìn)行研究，旨在提出一種輕量級(jí)的無(wú)線傳感網(wǎng)絡(luò)入侵檢測(cè)模型。

1 基于免疫原理的WSN安全體系

1.1 WSN的入侵檢測(cè)特點(diǎn)

無(wú)線傳感器網(wǎng)絡(luò)相對(duì)傳統(tǒng)網(wǎng)絡(luò)一些明顯的不同：(1)無(wú)線傳感器網(wǎng)絡(luò)中的節(jié)點(diǎn)數(shù)目相當(dāng)巨大，基于成本考慮節(jié)點(diǎn)必須為廉價(jià)的；而且各個(gè)應(yīng)用場(chǎng)合對(duì)節(jié)點(diǎn)大多限制大小，因此節(jié)點(diǎn)大多小巧。綜合來(lái)看，節(jié)點(diǎn)的計(jì)算能力和存儲(chǔ)能力都相當(dāng)有限。(2)節(jié)點(diǎn)的通信能力較弱，以及帶寬和通信能量都受到極大的限制。(3)傳感器節(jié)點(diǎn)通常所處的物理環(huán)境都比較復(fù)雜。(4)無(wú)線傳感器網(wǎng)絡(luò)具有移動(dòng)性，因此網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)具有動(dòng)態(tài)性和隨機(jī)性。因此無(wú)線傳感器網(wǎng)絡(luò)的安全性相對(duì)較弱，針對(duì)無(wú)線傳感器網(wǎng)絡(luò)的攻擊更加容易，隨著無(wú)線傳感器網(wǎng)絡(luò)應(yīng)用的越來(lái)越廣泛，其安全問題也越嚴(yán)峻。

入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)不僅可以抵抗入侵者對(duì)網(wǎng)絡(luò)攻擊，而且還可以根據(jù)已知攻擊來(lái)加強(qiáng)系統(tǒng)。然而，入侵檢測(cè)系統(tǒng)在無(wú)線傳感器網(wǎng)絡(luò)上應(yīng)用出現(xiàn)了挑戰(zhàn)，因?yàn)闊o(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)無(wú)法提供傳統(tǒng)入侵檢測(cè)技術(shù)所需足夠多的資源，傳統(tǒng)的入侵檢測(cè)技術(shù)無(wú)法直接應(yīng)用在無(wú)線傳感器網(wǎng)絡(luò)中。因此，建立一個(gè)輕量級(jí)適合無(wú)線傳感器網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)隨著無(wú)線傳感器網(wǎng)絡(luò)安全問題的嚴(yán)峻而變得越來(lái)越緊迫。

1.2 危險(xiǎn)理論

免疫模型的核心思想是區(qū)分自我與非自我(Self/NonSelf，SNS)。在 SNS思想中，不斷增加的抗原集需要有一個(gè)與之匹配的抗體集，這需要大量的計(jì)算。在無(wú)線傳感器網(wǎng)絡(luò)中，任何浪費(fèi)計(jì)算資源和能量的大量計(jì)算都是系統(tǒng)需要避免的。為了挑戰(zhàn)SNS理論，以Matzinger為首的研究人員提出了危險(xiǎn)理論(Danger Theory，DT)模式(圖 1)。在長(zhǎng)期的研究中，人們發(fā)現(xiàn)免疫系統(tǒng)區(qū)分的不是自我與非自我，而是危險(xiǎn)信號(hào)(Danger Signal)的有無(wú)。研究認(rèn)為機(jī)體不是對(duì)所有體內(nèi)的異己都進(jìn)行免疫應(yīng)答， 而是選擇那些有產(chǎn)生危險(xiǎn)信號(hào)的抗原進(jìn)行免疫應(yīng)答。同時(shí)，在危險(xiǎn)理論模式的免疫系統(tǒng)中，免疫應(yīng)答的過(guò)程中只會(huì)激活危險(xiǎn)區(qū)域內(nèi)的抗體。危險(xiǎn)理論模式應(yīng)用于無(wú)線傳感器網(wǎng)絡(luò)中較傳統(tǒng)的 SNS模式可減少大部分能量的損耗，在資源使用和時(shí)間節(jié)省上都得到了很大的改善。在應(yīng)答方式上也有所改進(jìn)，只要產(chǎn)生了危險(xiǎn)信號(hào)，就會(huì)對(duì)其應(yīng)答，是一種動(dòng)態(tài)的應(yīng)答方式。相比動(dòng)態(tài)應(yīng)答方式具有更高的自適應(yīng)性和更強(qiáng)的適用性，以及更低的誤報(bào)率。

圖1 危險(xiǎn)理論模式

危險(xiǎn)理論模式與SNS模式在很大程度上是相同的, 根本區(qū)別為免疫應(yīng)答的觸發(fā)信號(hào)不同。免疫系統(tǒng)應(yīng)答的觸發(fā)信號(hào)是由機(jī)體受損細(xì)胞向抗原提呈細(xì)胞(antigen presentation cells,APC)發(fā)出的危險(xiǎn)信號(hào)，而不是由與機(jī)體沒有直接關(guān)系的抗原向 APC發(fā)出的入侵信號(hào)。細(xì)胞受損時(shí)會(huì)發(fā)出危險(xiǎn)信號(hào)(Signal0)，并在其周圍一定區(qū)域內(nèi)建立一個(gè)危險(xiǎn)域。危險(xiǎn)域中的抗原被APC捕捉并提呈，并且在一定條件下APC會(huì)向淋巴細(xì)胞發(fā)出一個(gè)協(xié)同刺激信號(hào)(Signal2)。而APC向淋巴細(xì)胞提呈抗原的時(shí)候，會(huì)活化增殖淋巴細(xì)胞使其產(chǎn)生抗原提呈信號(hào)(Signal1)。在Signal1和Signal2同時(shí)存在的情況下，APC將B 細(xì)胞或Tk細(xì)胞活化從而使其能產(chǎn)生抗體。具體過(guò)程如圖2。

圖2 危險(xiǎn)理論應(yīng)答過(guò)程

2 基于危險(xiǎn)理論的WSN入侵檢測(cè)模型

基于危險(xiǎn)理論的無(wú)線傳感器網(wǎng)絡(luò)的入侵檢測(cè)模型由五大模塊組成：危險(xiǎn)信號(hào)檢測(cè)模塊、危險(xiǎn)域建立模塊、抗原提呈模塊、抗原識(shí)別模塊和響應(yīng)應(yīng)答模塊。組件間的結(jié)構(gòu)關(guān)系如圖3。

圖3 系統(tǒng)模型

定義：所有的數(shù)據(jù)集合為全集 A；所有未知數(shù)據(jù)為非我集N；正常的自身數(shù)據(jù)為自我集S；危險(xiǎn)數(shù)據(jù)為危險(xiǎn)集D；危險(xiǎn)區(qū)域的抗原集 Ag。在危險(xiǎn)理論模式中，它們的關(guān)系是S∩N =Φ ，S∪N =A，Ag =D ∩N 。危險(xiǎn)理論認(rèn)為免疫系統(tǒng)只識(shí)別 Ag，對(duì)危險(xiǎn)信號(hào)D ∩ N∈Ag 則應(yīng)答，而對(duì)于危險(xiǎn)區(qū)域外的危險(xiǎn)數(shù)據(jù)Dn=D∩S認(rèn)為是無(wú)害集合，不產(chǎn)生免疫響應(yīng)。

2.1 聚類分析模塊

一般來(lái)說(shuō)，異常攻擊數(shù)據(jù)的數(shù)量是總是遠(yuǎn)小于正常數(shù)據(jù)的數(shù)量的，且攻擊數(shù)據(jù)與正常數(shù)據(jù)相差較大。因此在數(shù)據(jù)處理的前端引入聚類分析模塊，其中的聚類算法對(duì)所監(jiān)控的原始數(shù)據(jù)進(jìn)行分類?？筛鶕?jù)各類中數(shù)據(jù)量的大小來(lái)區(qū)分正常數(shù)據(jù)集合和攻擊數(shù)據(jù)集合。該模塊的引入不僅能節(jié)省系統(tǒng)的計(jì)算資源，同時(shí)也能加快檢測(cè)的速度和降低節(jié)點(diǎn)的能耗。

2.2 危險(xiǎn)信號(hào)檢測(cè)模塊

該模塊實(shí)時(shí)監(jiān)測(cè)系統(tǒng)環(huán)境，當(dāng)系統(tǒng)環(huán)境的狀態(tài)變化超過(guò)了設(shè)定的閥值，該模塊發(fā)出與危險(xiǎn)信號(hào)。模型中以數(shù)據(jù)的變化來(lái)界定危險(xiǎn)的發(fā)生，即當(dāng)流入數(shù)據(jù)的總體情況偏向了危險(xiǎn)數(shù)據(jù)集合，該模塊就是從數(shù)據(jù)全集A中找出危險(xiǎn)的集合D。

2.3 危險(xiǎn)區(qū)域的建立

系統(tǒng)檢測(cè)到危險(xiǎn)信號(hào)后，根據(jù)危險(xiǎn)區(qū)域界定算法在其周圍建立跟危險(xiǎn)信號(hào)大小相關(guān)的危險(xiǎn)區(qū)。危險(xiǎn)區(qū)隔離出識(shí)別的范圍，為抗原識(shí)別縮小了范圍，因此能加速免疫應(yīng)答的響應(yīng)時(shí)間，從而提高的系統(tǒng)檢測(cè)的實(shí)時(shí)性和正確率。理論上，危險(xiǎn)區(qū)域是在空間上和時(shí)間上相關(guān)聯(lián)的一組對(duì)象的集合，也就是實(shí)現(xiàn)Ag=D ∩ N 的過(guò)程，有效的危險(xiǎn)域建立算法與其應(yīng)用環(huán)境和危險(xiǎn)信號(hào)的定義密切相關(guān)。

2.4 抗原提呈模塊

當(dāng)出現(xiàn)危險(xiǎn)信號(hào)或抗原數(shù)據(jù)收集到一定的數(shù)量或出現(xiàn)系統(tǒng)異常時(shí)激活該模塊工作，通過(guò)在危險(xiǎn)區(qū)識(shí)別抗原Ag，通過(guò)預(yù)處理將危險(xiǎn)區(qū)域內(nèi)的抗原 Ag轉(zhuǎn)化成為適合檢測(cè)模塊檢測(cè)的數(shù)據(jù)數(shù)據(jù)類型，提交到下一個(gè)模塊，以便進(jìn)行下一步響應(yīng)。

2.5 抗原識(shí)別模塊

根據(jù)免疫系統(tǒng)的分布性及特異性免疫的原理，特定的抗體能夠匹配特定類型的抗原，這種識(shí)別仍然有用，但并非免疫應(yīng)答的必要條件。免疫應(yīng)答的啟動(dòng)，需要抗原識(shí)別信號(hào)sig1和危險(xiǎn)信號(hào)sig0共同決定，這種雙重決策機(jī)制在一定程度上降低了系統(tǒng)的誤報(bào)率。

2.6 免疫應(yīng)答響應(yīng)組件

快速處理提交的入侵?jǐn)?shù)據(jù)，在免疫系統(tǒng)中克隆選擇是應(yīng)對(duì)入侵的基本算法，因此該模塊使用克隆選擇算法實(shí)現(xiàn)。

3 模型特征分析

WSN入侵檢測(cè)技術(shù)受到其節(jié)點(diǎn)資源的限制，無(wú)法移植傳統(tǒng)網(wǎng)絡(luò)中的安全策略，需要一個(gè)輕型的WSN入侵檢測(cè)技術(shù)。危險(xiǎn)理論是一個(gè)挑戰(zhàn)基于人工免疫的入侵檢測(cè)系統(tǒng)中傳統(tǒng)的自我/非我模式而出現(xiàn)的一個(gè)新興理論。該模型在解決降低能耗，節(jié)省計(jì)算資源，提高準(zhǔn)確性，高效性等方面有著顯而易見的優(yōu)勢(shì)，具體如下：

(1) 降低低能耗：模型只對(duì)危險(xiǎn)域內(nèi)的抗原進(jìn)行識(shí)別，不需要對(duì)所有的抗原進(jìn)行識(shí)別。不需要完善的抗體集，省去了前期的大量計(jì)算。這些特點(diǎn)都有效地節(jié)省了節(jié)點(diǎn)能量。

(2) 節(jié)省計(jì)算資源：除去不需要完善的抗體集，省去了前期的大量計(jì)算之外，在匹配之前需要進(jìn)行篩選確實(shí)確實(shí)有害的抗原，然后進(jìn)行相應(yīng)的特點(diǎn)也節(jié)省了很大的計(jì)算資源。

(3) 提高準(zhǔn)確性：入侵的最終識(shí)別建立在抗原識(shí)別信號(hào)和危險(xiǎn)信號(hào)雙重作用的機(jī)制上，有效的保障了系統(tǒng)的準(zhǔn)確性，降低了虛假報(bào)警。

(4) 高效性。模型只對(duì)危險(xiǎn)域內(nèi)的抗原進(jìn)行識(shí)別，并非對(duì)所有的抗原，一定程度上，改善了系統(tǒng)的效率，加快入侵響應(yīng)的時(shí)間，有利于實(shí)時(shí)入侵檢測(cè)。

4 結(jié)束語(yǔ)

隨著無(wú)線傳感器網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛，其安全問題日益突出，為此本文提出了一種基于危險(xiǎn)理論的WSN輕型入侵檢測(cè)模型。該模型在解決降低能耗，節(jié)省計(jì)算資源，提高準(zhǔn)確性，高效性等方面有著顯而易見的優(yōu)勢(shì)。缺點(diǎn)是危險(xiǎn)理論還是一個(gè)新興的理論，還有很多不成熟的地方。總的來(lái)說(shuō)，該模型對(duì)于建立一個(gè)更加輕型的 WSN入侵檢測(cè)系統(tǒng)有重要的意義。

[1]Steven A.Hofmeyr,Stephanie Forrest,Immunity by Design:An Articial Immune System[J].Evolutionary Computation.2000.

[2]曾鵬,梁韡,王軍,于海斌.一種基于生物免疫原理的無(wú)線傳感器網(wǎng)絡(luò)安全體系[J].小型微型計(jì)算機(jī)系統(tǒng).2005.

[3]張楠,張建華,陳建英.WSN中基于免疫M(jìn)ulti-Agent 的入侵檢測(cè)機(jī)制[J].計(jì)算機(jī)工程與科學(xué).2010.

[4]董曉梅,周越德,李曉華.一種無(wú)線傳感器網(wǎng)絡(luò)數(shù)據(jù)安全免疫體系結(jié)構(gòu)[J].計(jì)算機(jī)科學(xué)與探索.2010.

[5]Martin Drozda,Sven Schaust,Helena Szczerbicka.AIS for Misbehavior Detection in Wireless Sensor Networks: Performance and Design Principles[J].2007IEEE Congress on Evolutionary Computation.2007.

[6]Uwe Aickelin, Steve Cayzer,The Danger Theory and Its Application to Artificial Immune Systems.1st International Conference on AIS.2002.