王 鑫， 張 鈺， 蔣 華， 劉建明

(桂林電子科技大學(xué) 計算機科學(xué)與工程學(xué)院，廣西 桂林 541004)

基于危險理論和DCA的WSNs入侵檢測系統(tǒng)模型*

王 鑫， 張 鈺， 蔣 華， 劉建明

(桂林電子科技大學(xué) 計算機科學(xué)與工程學(xué)院，廣西 桂林 541004)

針對無線傳感器網(wǎng)絡(luò)(WSNs)由于自身特點易于遭到入侵且傳統(tǒng)被動的安全機制無法完全應(yīng)對這一問題，對人工免疫系統(tǒng)(AIS)進行研究，設(shè)計一種新的入侵檢測系統(tǒng)(IDS)模型。模型采用危險理論和適用于WSNs的改良樹突狀細胞算法(DCA)，可使節(jié)點之間彼此分工合作共同識別入侵，加強了網(wǎng)絡(luò)的魯棒性。仿真結(jié)果顯示：與早期的自我—非我(SNS)模型相比，研究的模型在檢測能力和能耗上均有很好的表現(xiàn)。

無線傳感器網(wǎng)絡(luò)； 入侵檢測系統(tǒng)； 人工免疫系統(tǒng)； 危險理論； 樹突狀細胞算法

0 引 言

無線傳感器網(wǎng)絡(luò)(wireless sensor networks，WSNs)由于網(wǎng)絡(luò)拓撲結(jié)構(gòu)的動態(tài)變化和節(jié)點的資源有限性等特點，使其在安全方面極易受到威脅[1]。而傳統(tǒng)被動的防御措施(如安全路由、信任機制等)很難滿足實際的安全需求，入侵檢測系統(tǒng)(intrusion detection system,IDS)便是解決以上問題的方法之一。人工免疫系統(tǒng)(artificial immune system，AIS)受人體免疫系統(tǒng)啟發(fā)，近年來,由于其與入侵檢測系統(tǒng)的運作機制有著高度的相似性而受到廣泛的關(guān)注[2～4]。

目前，對基于AIS的入侵檢測技術(shù)的研究還處于初級階段，并且大部分都集中在對自我—非我(self-nonself，SNS)模型的應(yīng)用，這其中包括否定選擇(negative selection)、克隆選擇(clonal selection)和免疫網(wǎng)絡(luò)學(xué)說(immune network theory)[5]。Drozda M等人[6]提出了一種受免疫啟發(fā)的WSNs的入侵檢測模型，模型利用否定選擇算法將監(jiān)聽信息編碼進行模式匹配，但忽略了整個過程在單節(jié)點進行會極大消耗節(jié)點的資源和能量從而減少節(jié)點壽命。Wallenta C等人[7]將樹突狀細胞算法(dendritic cell algorithm，DCA)和定向擴散協(xié)議互相關(guān)聯(lián)用于WSNs的入侵檢測中，這使入侵檢測組件和路由協(xié)議無法相互獨立，入侵檢測的復(fù)用性降低，無法在不同的應(yīng)用場景中重復(fù)使用。

受AIS中的危險理論和DCA的啟發(fā)，本文設(shè)計一個通用的分布式的IDS模型，傳感器被分配不同的功能，這樣可使單個節(jié)點無需運行整個檢測實例，節(jié)約了節(jié)點的能量和資源，也加強了整個網(wǎng)絡(luò)的魯棒性。

1 IDS模型

1.1 模型結(jié)構(gòu)

根據(jù)危險理論和DCA，并參照常規(guī)的入侵檢測框架[8]，本文設(shè)計的IDS模型的結(jié)構(gòu)如圖1所示，包含有：危險監(jiān)測模塊、抗原提呈模塊、分析決策模塊、入侵檢測管理模塊、對策應(yīng)答模塊、信號參數(shù)庫、規(guī)則庫。

圖1 IDS模型結(jié)構(gòu)圖Fig 1 Architecture diagram of IDS model

從資源和能量的角度上看，每個節(jié)點完成一個完整的檢測實例是不合適的，而且WSNs和AIS都具有自組織這一特性。所以,在本文設(shè)計的IDS模型中，傳感器節(jié)點根據(jù)功能分為樹突狀細胞(dendritic cell，DC)節(jié)點和淋巴節(jié)點。DC節(jié)點位于邊界終端，用于檢測異常，并提呈入侵類型和相關(guān)信號。淋巴節(jié)點位于中心位置，負責(zé)分析評價環(huán)境異常程度，控制免疫應(yīng)答。表1給出了AIS到本文的系統(tǒng)模型的隱喻。

表1 AIS到系統(tǒng)模型的隱喻Tab 1 AIS system model mapping

危險監(jiān)測模塊有2個功能：1)監(jiān)測管理;2)信號參數(shù)庫管理。監(jiān)測管理功能負責(zé)采集由信號參數(shù)庫定義的信號參數(shù)值，例如:收發(fā)報次數(shù)或者接收信號強度指示(received signal strength indication，RSSI)等，并且將采集的值與參數(shù)庫中的對應(yīng)數(shù)據(jù)值進行比較判定是否異常。信號參數(shù)管理功能負責(zé)對信號參數(shù)數(shù)據(jù)庫的管理維護。

抗原提呈模塊執(zhí)行3個功能:1)規(guī)則庫管理；2)執(zhí)行改良DCA部分1；3)識別入侵類型。在識別入侵類型過程中，抗原提呈模塊根據(jù)危險監(jiān)測模塊提交的信號信息，訪問規(guī)則庫的數(shù)據(jù)，通過比較規(guī)則和評價抗原集來判定入侵類型。

分析決策模塊的功能是執(zhí)行改良DCA部分2，計算每個入侵類型的MCAV(mature context antigen value),得出系統(tǒng)的異常程度。其中，規(guī)則庫中的MCAV大小的設(shè)置是對入侵檢測是否準確的重要保證。

入侵檢測管理模塊是整個模型的核心，負責(zé)組織和協(xié)調(diào)檢測任務(wù)，并將得到的MCAV發(fā)送給對策應(yīng)答模塊，同時也發(fā)送給基站。

對策應(yīng)答模塊負責(zé)對確定的入侵進行免疫應(yīng)答，對策應(yīng)答模塊可以直接在自身節(jié)點上采取應(yīng)答行動或者向其他節(jié)點發(fā)送參與應(yīng)答的對策消息。

信號參數(shù)庫儲存的數(shù)據(jù)包括采集的歷史參數(shù)值、入侵類型、入侵參數(shù)列表等，其中每個參數(shù)都有對應(yīng)閾值。規(guī)則庫儲存的數(shù)據(jù)包括用于識別某一入侵類型的規(guī)則和MCAV。信號參數(shù)庫和規(guī)則庫不是靜態(tài)的，可隨著檢測結(jié)果的變化而動態(tài)改變。由于本文的關(guān)注點在于整個IDS模型的性能，在此不對信號參數(shù)庫和規(guī)則庫的具體管理和維護進行討論。

1.2 模型工作流程

系統(tǒng)的流程如圖2所示，工作流程的具體描述如下：

1)入侵檢測管理模塊告知危險監(jiān)測模塊需要檢測的入侵類型;

2)危險監(jiān)測模塊訪問信號參數(shù)庫查找需要檢測的參數(shù);

3)危險監(jiān)測模塊開始從環(huán)境中采集參數(shù)值;

4)危險監(jiān)測模塊將采集的新值與信號參數(shù)庫中的對應(yīng)參數(shù)閾值比較，找出異常信號;

5)危險監(jiān)測模塊將異常信號信息發(fā)送給抗原提呈模塊;

6)抗原提呈模塊根據(jù)規(guī)則庫中的對應(yīng)規(guī)則和抗原集對收到的異常信號進行處理，確認和核實入侵類型;

7)抗原提呈模塊開始執(zhí)行改良DCA部分1，得出遷移信息;

8)抗原提呈模塊提交遷移信息給分析決策模塊;

9)分析決策模塊從DC節(jié)點收到遷移信息后，開始執(zhí)行改良DCA部分2，計算分析入侵類型的MCAV;

10)分析決策模塊將MCAV發(fā)送給入侵檢測管理模塊;

11)入侵檢測管理模塊將MCAV發(fā)送給對策應(yīng)答模塊;

12)對策應(yīng)答模塊根據(jù)MCAV開始進行免疫應(yīng)答，指示其他的節(jié)點采取應(yīng)答對策共同清除抗原;

13)入侵檢測管理模塊也將異常情況發(fā)送給基站，告知當前網(wǎng)絡(luò)環(huán)境中的異常情況。

圖2 IDS模型序列圖Fig 2 Sequence diagram of IDS model

2 應(yīng)用于WSNs的DCA

本文將傳統(tǒng)DCA分為2個部分，第一部分位于DC節(jié)點中，每個DC節(jié)點執(zhí)行單個DC的任務(wù)流程。首先初始化DC為未成熟狀態(tài)，開始采集抗原和信號，累計3個輸出值：協(xié)同刺激分子(co-stimulatory molecules，CSM)、半成熟(semi)信號、成熟(mat)信號。如果DC超過生命周期，初始化重新開始；如果未超過生命周期，判斷∑CSM是否達到遷移閾值，如果沒有達到，則繼續(xù)采樣；達到的話，則比較∑semi和∑mat；如果∑semi>∑mat，DC轉(zhuǎn)換為半成熟狀態(tài)；反之，DC轉(zhuǎn)換為成熟狀態(tài)，狀態(tài)轉(zhuǎn)換完后輸出遷移信息。在對輸入信號進行融合處理時，信號處理公式如下所示

(1)

式中WP，WD和WS分別為輸入信號病原體相關(guān)分子模式(pathogen-associated molecular pattern，PAMP)，危險信號(danger signal，DS)，安全信號(safe signal，SS)相關(guān)的權(quán)值；Pi，Di和Si分別為輸入的PAMP，DS和SS的第i個信號。

改良DCA算法第一部分的偽代碼如表2所示。

改良DCA第二部分位于淋巴節(jié)點中，用來分析入侵類型并計算MCAV，傳統(tǒng)DCA是當整個DC群體全部輸出遷移信息之后再對其進行分析計算，這樣的設(shè)計無法做到實時檢測，不適用于WSNs的實際情況。因此,引入投票機制設(shè)計出一種新的分析流程：每當收到一個DC節(jié)點的遷移信息，便對其提交的入侵類型進行累積計數(shù)。如果該入侵類型的累積數(shù)目達到可判定閾值，便計算該入侵類型的MCAV，同時標記該入侵類型已評價,即該入侵類型的投票總數(shù)達到一個預(yù)定值就開始計算MCAV，無需等到所有DC節(jié)點投票完畢。其中,MCAV的計算公式如下所示

MCAV=M/NT,

(2)

式中M表示發(fā)現(xiàn)此入侵類型且分化狀態(tài)為mat的遷移DC的數(shù)目，NT為該入侵類型的可判定閾值。

改良DCA算法第二部分的偽代碼如表3所示。

表2 改良DCA部分1Tab 2 Part 1 of improved DCA

3 實驗與性能分析

實驗在Windows 7環(huán)境下，采用NS2仿真軟件，對模型在性能、能耗方面與SNS模型進行驗證比較。實驗網(wǎng)絡(luò)模型的主要參數(shù)如下：200個節(jié)點隨機分布為500 m×500 m的區(qū)域范圍內(nèi)，網(wǎng)絡(luò)的傳輸率為4 μs/bit，數(shù)據(jù)分組長度為32 bytes，干擾節(jié)點隨機選擇，并且每隔30 s發(fā)送一個無意義的數(shù)據(jù)分組進行拒絕睡眠攻擊，淋巴節(jié)點的數(shù)目固定為4，

表3 改良DCA部分2Tab 3 Part 2 of improved DCA

DCA的遷移閾值為10。實驗會對干擾結(jié)點數(shù)目做改變{1，2，4，6，9}，干擾結(jié)點數(shù)目改變后運行10次仿真，每次仿真持續(xù)30 min，并對10次仿真的結(jié)果取平均值。

本文模型和SNS模型在檢測率和誤檢率方面的比較如表4所示，從表中可以看出:2個模型在檢測率方面均有很好的表現(xiàn)。干擾節(jié)點數(shù)目較少時2個模型的檢測率均為100 %，隨著干擾節(jié)點數(shù)目越來越多，2個模型的檢測率都有所下降，由于本文研究的模型結(jié)構(gòu)更能全面有效地獲取環(huán)境中的異常信息，所以，仍具有較好的檢測能力。在誤檢率方面，SNS模型采用模式匹配，一旦發(fā)現(xiàn)異常就認定存在入侵，本文模型采用危險理論和改良DCA，外圍DC節(jié)點感知危險，提交異常信息，中心淋巴結(jié)點分析處理異常信息并下達決策，顯見本文的方法對降低誤檢率更有效果。圖3給出了本文模型和SNS模型在10次仿真后的能耗比較，與節(jié)點自身執(zhí)行計算相比，節(jié)點傳輸信息更消耗能量，所以,本文只考慮節(jié)點間傳輸信息的能量消耗。

表4 SNS模型和本文模型在檢測率和誤檢率比較Tab 4 Comparison of the designed model and SNS model in correct detection rate and false detection rate

本文采用的是CC2420射頻模塊，電壓為3 V，發(fā)送數(shù)據(jù)的電流為17.4 mA，接收數(shù)據(jù)時的電流為18.8 mA。仿真結(jié)束后需要分別計算發(fā)送能耗和接收能耗，最后相加得到總能耗。從圖中看出：本文研究的模型在干擾節(jié)點數(shù)目較少能耗優(yōu)勢明顯，當干擾節(jié)點數(shù)目變多后，發(fā)現(xiàn)危險并提交異常信息給淋巴結(jié)點的DC節(jié)點數(shù)目也變多，所以，2個模型的能耗越來越趨近。

圖3 SNS模型和本文模型的能耗比較Fig 3 Energy consumption comparison of designed model and SNS model

4 結(jié)束語

本文采用AIS研究成果中較新的2項技術(shù)：危險理論和DCA，設(shè)計了一種應(yīng)用于WSNs的IDS模型。模型充分考慮到危險理論與WSNs之間共有的自組織特性，讓傳感器節(jié)點執(zhí)行不同的功能共同識別入侵，提高了整個網(wǎng)絡(luò)的魯棒性；并對傳統(tǒng)DCA進行改進，不僅提高了算法的實時性，也有效降低了單個節(jié)點的能耗。仿真結(jié)果顯示：與傳統(tǒng)的AIS入侵檢測技術(shù)相比，本文研究的模型在檢測能力和能耗上均表現(xiàn)良好。

[1] Twycross J.Immune systems,danger theory and intrusion detection[C]∥Proc of the AISB Symposium on Immune Systems and Cognition,2004:40-42.

[2] Aickelin U,Greensmith J,Twycross J.Immune system approaches to intrusion detection—A review(ICARIS)[EB/OL].[2013—05—30]. http:∥arxiv.org/abs/1305.7144.

[3] Matzinger P. Tolerance, danger, and the extended family[J].Annual Review of Immunology,1994,12(1):991-1045.

[4] Greensmith J,Aickelin U,Twycross J.Detecting danger:Applying a novel immunological concept to intrusion detection systems[EB/OL].[2010—02—03].http:∥arxiv.org/abs/1002.0696.

[5] Greensmith J,Aickelin U.The deterministic dendritic cell algorithm[J].Artificial Immune Systems,2008,5132:291-302.

[6] Drozda M,Schaust S,Szczerbicka H.AIS for misbehavior detection in wireless sensor networks:Performance and design principles[C]∥Proceedings of 2007 IEEE Congress on Evolutionary Computation,2007:3719-3726.

[7] Wallenta C,Kim J,Bentley P J,et al.Detecting interest cache poisoning in sensor networks using an artificial immune algorith-m[J].Applied Intelligence,2010,32(1):1-26.

[8] Garcia-Teodoro P,Diaz-Verdejo J,Maciá-Fernández G,et al.Anomaly-based network intrusion detection:Techniques,systems and challenges[J].Computers & Security,2009,28(1):18-28.

Intrusion detection system model for WSNs based on danger theory and DCA*

WANG Xin， ZHANG Yu， JIANG Hua， LIU Jian-ming

(School of Computer Science & Engineering，Guilin University of Electronic Technology，Guilin 541004，China)

Aiming at the problem that WSNs is prone to different attacks due to his own features and traditional passive security mechanism can’t fully solve this problem,in order to improve the current security situation,design a new intrusion detection system(IDS) model inspired in artificial immune system(AIS).It uses danger theory and improved dendritic cell algorithm(DCA)applied in WSNs,which make nodes to execute different function and collaborate to identify intrusion，and strengthen robustness of WSNs.Simulation results shows that compared with self-nonself(SNS) model,the new IDS model is better in detecting capacity and energy consumption.

WSNs; intrusion detection system(IDS); artificial immune system(AIS); danger theory; dendritic cell algorithm(DCA)

2013—08—15

國家自然科學(xué)基金重點資助項目(61262074)

TP 393

A

1000—9787(2014)04—0102—04

王 鑫( 1976-) ，男，陜西藍田人，副教授，碩士研究生導(dǎo)師，主要研究方向為物聯(lián)網(wǎng)與網(wǎng)絡(luò)信息安全。