王 鑫， 張 鈺， 蔣 華， 劉建明

(桂林電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，廣西 桂林 541004)

基于危險(xiǎn)理論和DCA的WSNs入侵檢測(cè)系統(tǒng)模型*

王 鑫， 張 鈺， 蔣 華， 劉建明

(桂林電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，廣西 桂林 541004)

針對(duì)無(wú)線傳感器網(wǎng)絡(luò)(WSNs)由于自身特點(diǎn)易于遭到入侵且傳統(tǒng)被動(dòng)的安全機(jī)制無(wú)法完全應(yīng)對(duì)這一問(wèn)題，對(duì)人工免疫系統(tǒng)(AIS)進(jìn)行研究，設(shè)計(jì)一種新的入侵檢測(cè)系統(tǒng)(IDS)模型。模型采用危險(xiǎn)理論和適用于WSNs的改良樹突狀細(xì)胞算法(DCA)，可使節(jié)點(diǎn)之間彼此分工合作共同識(shí)別入侵，加強(qiáng)了網(wǎng)絡(luò)的魯棒性。仿真結(jié)果顯示：與早期的自我—非我(SNS)模型相比，研究的模型在檢測(cè)能力和能耗上均有很好的表現(xiàn)。

無(wú)線傳感器網(wǎng)絡(luò)； 入侵檢測(cè)系統(tǒng)； 人工免疫系統(tǒng)； 危險(xiǎn)理論； 樹突狀細(xì)胞算法

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)(wireless sensor networks，WSNs)由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的動(dòng)態(tài)變化和節(jié)點(diǎn)的資源有限性等特點(diǎn)，使其在安全方面極易受到威脅[1]。而傳統(tǒng)被動(dòng)的防御措施(如安全路由、信任機(jī)制等)很難滿足實(shí)際的安全需求，入侵檢測(cè)系統(tǒng)(intrusion detection system,IDS)便是解決以上問(wèn)題的方法之一。人工免疫系統(tǒng)(artificial immune system，AIS)受人體免疫系統(tǒng)啟發(fā)，近年來(lái),由于其與入侵檢測(cè)系統(tǒng)的運(yùn)作機(jī)制有著高度的相似性而受到廣泛的關(guān)注[2～4]。

目前，對(duì)基于AIS的入侵檢測(cè)技術(shù)的研究還處于初級(jí)階段，并且大部分都集中在對(duì)自我—非我(self-nonself，SNS)模型的應(yīng)用，這其中包括否定選擇(negative selection)、克隆選擇(clonal selection)和免疫網(wǎng)絡(luò)學(xué)說(shuō)(immune network theory)[5]。Drozda M等人[6]提出了一種受免疫啟發(fā)的WSNs的入侵檢測(cè)模型，模型利用否定選擇算法將監(jiān)聽信息編碼進(jìn)行模式匹配，但忽略了整個(gè)過(guò)程在單節(jié)點(diǎn)進(jìn)行會(huì)極大消耗節(jié)點(diǎn)的資源和能量從而減少節(jié)點(diǎn)壽命。Wallenta C等人[7]將樹突狀細(xì)胞算法(dendritic cell algorithm，DCA)和定向擴(kuò)散協(xié)議互相關(guān)聯(lián)用于WSNs的入侵檢測(cè)中，這使入侵檢測(cè)組件和路由協(xié)議無(wú)法相互獨(dú)立，入侵檢測(cè)的復(fù)用性降低，無(wú)法在不同的應(yīng)用場(chǎng)景中重復(fù)使用。

受AIS中的危險(xiǎn)理論和DCA的啟發(fā)，本文設(shè)計(jì)一個(gè)通用的分布式的IDS模型，傳感器被分配不同的功能，這樣可使單個(gè)節(jié)點(diǎn)無(wú)需運(yùn)行整個(gè)檢測(cè)實(shí)例，節(jié)約了節(jié)點(diǎn)的能量和資源，也加強(qiáng)了整個(gè)網(wǎng)絡(luò)的魯棒性。

1 IDS模型

1.1 模型結(jié)構(gòu)

根據(jù)危險(xiǎn)理論和DCA，并參照常規(guī)的入侵檢測(cè)框架[8]，本文設(shè)計(jì)的IDS模型的結(jié)構(gòu)如圖1所示，包含有：危險(xiǎn)監(jiān)測(cè)模塊、抗原提呈模塊、分析決策模塊、入侵檢測(cè)管理模塊、對(duì)策應(yīng)答模塊、信號(hào)參數(shù)庫(kù)、規(guī)則庫(kù)。

圖1 IDS模型結(jié)構(gòu)圖Fig 1 Architecture diagram of IDS model

從資源和能量的角度上看，每個(gè)節(jié)點(diǎn)完成一個(gè)完整的檢測(cè)實(shí)例是不合適的，而且WSNs和AIS都具有自組織這一特性。所以,在本文設(shè)計(jì)的IDS模型中，傳感器節(jié)點(diǎn)根據(jù)功能分為樹突狀細(xì)胞(dendritic cell，DC)節(jié)點(diǎn)和淋巴節(jié)點(diǎn)。DC節(jié)點(diǎn)位于邊界終端，用于檢測(cè)異常，并提呈入侵類型和相關(guān)信號(hào)。淋巴節(jié)點(diǎn)位于中心位置，負(fù)責(zé)分析評(píng)價(jià)環(huán)境異常程度，控制免疫應(yīng)答。表1給出了AIS到本文的系統(tǒng)模型的隱喻。

表1 AIS到系統(tǒng)模型的隱喻Tab 1 AIS system model mapping

危險(xiǎn)監(jiān)測(cè)模塊有2個(gè)功能：1)監(jiān)測(cè)管理;2)信號(hào)參數(shù)庫(kù)管理。監(jiān)測(cè)管理功能負(fù)責(zé)采集由信號(hào)參數(shù)庫(kù)定義的信號(hào)參數(shù)值，例如:收發(fā)報(bào)次數(shù)或者接收信號(hào)強(qiáng)度指示(received signal strength indication，RSSI)等，并且將采集的值與參數(shù)庫(kù)中的對(duì)應(yīng)數(shù)據(jù)值進(jìn)行比較判定是否異常。信號(hào)參數(shù)管理功能負(fù)責(zé)對(duì)信號(hào)參數(shù)數(shù)據(jù)庫(kù)的管理維護(hù)。

抗原提呈模塊執(zhí)行3個(gè)功能:1)規(guī)則庫(kù)管理；2)執(zhí)行改良DCA部分1；3)識(shí)別入侵類型。在識(shí)別入侵類型過(guò)程中，抗原提呈模塊根據(jù)危險(xiǎn)監(jiān)測(cè)模塊提交的信號(hào)信息，訪問(wèn)規(guī)則庫(kù)的數(shù)據(jù)，通過(guò)比較規(guī)則和評(píng)價(jià)抗原集來(lái)判定入侵類型。

分析決策模塊的功能是執(zhí)行改良DCA部分2，計(jì)算每個(gè)入侵類型的MCAV(mature context antigen value),得出系統(tǒng)的異常程度。其中，規(guī)則庫(kù)中的MCAV大小的設(shè)置是對(duì)入侵檢測(cè)是否準(zhǔn)確的重要保證。

入侵檢測(cè)管理模塊是整個(gè)模型的核心，負(fù)責(zé)組織和協(xié)調(diào)檢測(cè)任務(wù)，并將得到的MCAV發(fā)送給對(duì)策應(yīng)答模塊，同時(shí)也發(fā)送給基站。

對(duì)策應(yīng)答模塊負(fù)責(zé)對(duì)確定的入侵進(jìn)行免疫應(yīng)答，對(duì)策應(yīng)答模塊可以直接在自身節(jié)點(diǎn)上采取應(yīng)答行動(dòng)或者向其他節(jié)點(diǎn)發(fā)送參與應(yīng)答的對(duì)策消息。

信號(hào)參數(shù)庫(kù)儲(chǔ)存的數(shù)據(jù)包括采集的歷史參數(shù)值、入侵類型、入侵參數(shù)列表等，其中每個(gè)參數(shù)都有對(duì)應(yīng)閾值。規(guī)則庫(kù)儲(chǔ)存的數(shù)據(jù)包括用于識(shí)別某一入侵類型的規(guī)則和MCAV。信號(hào)參數(shù)庫(kù)和規(guī)則庫(kù)不是靜態(tài)的，可隨著檢測(cè)結(jié)果的變化而動(dòng)態(tài)改變。由于本文的關(guān)注點(diǎn)在于整個(gè)IDS模型的性能，在此不對(duì)信號(hào)參數(shù)庫(kù)和規(guī)則庫(kù)的具體管理和維護(hù)進(jìn)行討論。

1.2 模型工作流程

系統(tǒng)的流程如圖2所示，工作流程的具體描述如下：

1)入侵檢測(cè)管理模塊告知危險(xiǎn)監(jiān)測(cè)模塊需要檢測(cè)的入侵類型;

2)危險(xiǎn)監(jiān)測(cè)模塊訪問(wèn)信號(hào)參數(shù)庫(kù)查找需要檢測(cè)的參數(shù);

3)危險(xiǎn)監(jiān)測(cè)模塊開始從環(huán)境中采集參數(shù)值;

4)危險(xiǎn)監(jiān)測(cè)模塊將采集的新值與信號(hào)參數(shù)庫(kù)中的對(duì)應(yīng)參數(shù)閾值比較，找出異常信號(hào);

5)危險(xiǎn)監(jiān)測(cè)模塊將異常信號(hào)信息發(fā)送給抗原提呈模塊;

6)抗原提呈模塊根據(jù)規(guī)則庫(kù)中的對(duì)應(yīng)規(guī)則和抗原集對(duì)收到的異常信號(hào)進(jìn)行處理，確認(rèn)和核實(shí)入侵類型;

7)抗原提呈模塊開始執(zhí)行改良DCA部分1，得出遷移信息;

8)抗原提呈模塊提交遷移信息給分析決策模塊;

9)分析決策模塊從DC節(jié)點(diǎn)收到遷移信息后，開始執(zhí)行改良DCA部分2，計(jì)算分析入侵類型的MCAV;

10)分析決策模塊將MCAV發(fā)送給入侵檢測(cè)管理模塊;

11)入侵檢測(cè)管理模塊將MCAV發(fā)送給對(duì)策應(yīng)答模塊;

12)對(duì)策應(yīng)答模塊根據(jù)MCAV開始進(jìn)行免疫應(yīng)答，指示其他的節(jié)點(diǎn)采取應(yīng)答對(duì)策共同清除抗原;

13)入侵檢測(cè)管理模塊也將異常情況發(fā)送給基站，告知當(dāng)前網(wǎng)絡(luò)環(huán)境中的異常情況。

圖2 IDS模型序列圖Fig 2 Sequence diagram of IDS model

2 應(yīng)用于WSNs的DCA

本文將傳統(tǒng)DCA分為2個(gè)部分，第一部分位于DC節(jié)點(diǎn)中，每個(gè)DC節(jié)點(diǎn)執(zhí)行單個(gè)DC的任務(wù)流程。首先初始化DC為未成熟狀態(tài)，開始采集抗原和信號(hào)，累計(jì)3個(gè)輸出值：協(xié)同刺激分子(co-stimulatory molecules，CSM)、半成熟(semi)信號(hào)、成熟(mat)信號(hào)。如果DC超過(guò)生命周期，初始化重新開始；如果未超過(guò)生命周期，判斷∑CSM是否達(dá)到遷移閾值，如果沒(méi)有達(dá)到，則繼續(xù)采樣；達(dá)到的話，則比較∑semi和∑mat；如果∑semi>∑mat，DC轉(zhuǎn)換為半成熟狀態(tài)；反之，DC轉(zhuǎn)換為成熟狀態(tài)，狀態(tài)轉(zhuǎn)換完后輸出遷移信息。在對(duì)輸入信號(hào)進(jìn)行融合處理時(shí)，信號(hào)處理公式如下所示

(1)

式中WP，WD和WS分別為輸入信號(hào)病原體相關(guān)分子模式(pathogen-associated molecular pattern，PAMP)，危險(xiǎn)信號(hào)(danger signal，DS)，安全信號(hào)(safe signal，SS)相關(guān)的權(quán)值；Pi，Di和Si分別為輸入的PAMP，DS和SS的第i個(gè)信號(hào)。

改良DCA算法第一部分的偽代碼如表2所示。

改良DCA第二部分位于淋巴節(jié)點(diǎn)中，用來(lái)分析入侵類型并計(jì)算MCAV，傳統(tǒng)DCA是當(dāng)整個(gè)DC群體全部輸出遷移信息之后再對(duì)其進(jìn)行分析計(jì)算，這樣的設(shè)計(jì)無(wú)法做到實(shí)時(shí)檢測(cè)，不適用于WSNs的實(shí)際情況。因此,引入投票機(jī)制設(shè)計(jì)出一種新的分析流程：每當(dāng)收到一個(gè)DC節(jié)點(diǎn)的遷移信息，便對(duì)其提交的入侵類型進(jìn)行累積計(jì)數(shù)。如果該入侵類型的累積數(shù)目達(dá)到可判定閾值，便計(jì)算該入侵類型的MCAV，同時(shí)標(biāo)記該入侵類型已評(píng)價(jià),即該入侵類型的投票總數(shù)達(dá)到一個(gè)預(yù)定值就開始計(jì)算MCAV，無(wú)需等到所有DC節(jié)點(diǎn)投票完畢。其中,MCAV的計(jì)算公式如下所示

MCAV=M/NT,

(2)

式中M表示發(fā)現(xiàn)此入侵類型且分化狀態(tài)為mat的遷移DC的數(shù)目，NT為該入侵類型的可判定閾值。

改良DCA算法第二部分的偽代碼如表3所示。

表2 改良DCA部分1Tab 2 Part 1 of improved DCA

3 實(shí)驗(yàn)與性能分析

實(shí)驗(yàn)在Windows 7環(huán)境下，采用NS2仿真軟件，對(duì)模型在性能、能耗方面與SNS模型進(jìn)行驗(yàn)證比較。實(shí)驗(yàn)網(wǎng)絡(luò)模型的主要參數(shù)如下：200個(gè)節(jié)點(diǎn)隨機(jī)分布為500 m×500 m的區(qū)域范圍內(nèi)，網(wǎng)絡(luò)的傳輸率為4 μs/bit，數(shù)據(jù)分組長(zhǎng)度為32 bytes，干擾節(jié)點(diǎn)隨機(jī)選擇，并且每隔30 s發(fā)送一個(gè)無(wú)意義的數(shù)據(jù)分組進(jìn)行拒絕睡眠攻擊，淋巴節(jié)點(diǎn)的數(shù)目固定為4，

表3 改良DCA部分2Tab 3 Part 2 of improved DCA

DCA的遷移閾值為10。實(shí)驗(yàn)會(huì)對(duì)干擾結(jié)點(diǎn)數(shù)目做改變{1，2，4，6，9}，干擾結(jié)點(diǎn)數(shù)目改變后運(yùn)行10次仿真，每次仿真持續(xù)30 min，并對(duì)10次仿真的結(jié)果取平均值。

本文模型和SNS模型在檢測(cè)率和誤檢率方面的比較如表4所示，從表中可以看出:2個(gè)模型在檢測(cè)率方面均有很好的表現(xiàn)。干擾節(jié)點(diǎn)數(shù)目較少時(shí)2個(gè)模型的檢測(cè)率均為100 %，隨著干擾節(jié)點(diǎn)數(shù)目越來(lái)越多，2個(gè)模型的檢測(cè)率都有所下降，由于本文研究的模型結(jié)構(gòu)更能全面有效地獲取環(huán)境中的異常信息，所以，仍具有較好的檢測(cè)能力。在誤檢率方面，SNS模型采用模式匹配，一旦發(fā)現(xiàn)異常就認(rèn)定存在入侵，本文模型采用危險(xiǎn)理論和改良DCA，外圍DC節(jié)點(diǎn)感知危險(xiǎn)，提交異常信息，中心淋巴結(jié)點(diǎn)分析處理異常信息并下達(dá)決策，顯見(jiàn)本文的方法對(duì)降低誤檢率更有效果。圖3給出了本文模型和SNS模型在10次仿真后的能耗比較，與節(jié)點(diǎn)自身執(zhí)行計(jì)算相比，節(jié)點(diǎn)傳輸信息更消耗能量，所以,本文只考慮節(jié)點(diǎn)間傳輸信息的能量消耗。

表4 SNS模型和本文模型在檢測(cè)率和誤檢率比較Tab 4 Comparison of the designed model and SNS model in correct detection rate and false detection rate

本文采用的是CC2420射頻模塊，電壓為3 V，發(fā)送數(shù)據(jù)的電流為17.4 mA，接收數(shù)據(jù)時(shí)的電流為18.8 mA。仿真結(jié)束后需要分別計(jì)算發(fā)送能耗和接收能耗，最后相加得到總能耗。從圖中看出：本文研究的模型在干擾節(jié)點(diǎn)數(shù)目較少能耗優(yōu)勢(shì)明顯，當(dāng)干擾節(jié)點(diǎn)數(shù)目變多后，發(fā)現(xiàn)危險(xiǎn)并提交異常信息給淋巴結(jié)點(diǎn)的DC節(jié)點(diǎn)數(shù)目也變多，所以，2個(gè)模型的能耗越來(lái)越趨近。

圖3 SNS模型和本文模型的能耗比較Fig 3 Energy consumption comparison of designed model and SNS model

4 結(jié)束語(yǔ)

本文采用AIS研究成果中較新的2項(xiàng)技術(shù)：危險(xiǎn)理論和DCA，設(shè)計(jì)了一種應(yīng)用于WSNs的IDS模型。模型充分考慮到危險(xiǎn)理論與WSNs之間共有的自組織特性，讓傳感器節(jié)點(diǎn)執(zhí)行不同的功能共同識(shí)別入侵，提高了整個(gè)網(wǎng)絡(luò)的魯棒性；并對(duì)傳統(tǒng)DCA進(jìn)行改進(jìn)，不僅提高了算法的實(shí)時(shí)性，也有效降低了單個(gè)節(jié)點(diǎn)的能耗。仿真結(jié)果顯示：與傳統(tǒng)的AIS入侵檢測(cè)技術(shù)相比，本文研究的模型在檢測(cè)能力和能耗上均表現(xiàn)良好。

[1] Twycross J.Immune systems,danger theory and intrusion detection[C]∥Proc of the AISB Symposium on Immune Systems and Cognition,2004:40-42.

[2] Aickelin U,Greensmith J,Twycross J.Immune system approaches to intrusion detection—A review(ICARIS)[EB/OL].[2013—05—30]. http:∥arxiv.org/abs/1305.7144.

[3] Matzinger P. Tolerance, danger, and the extended family[J].Annual Review of Immunology,1994,12(1):991-1045.

[4] Greensmith J,Aickelin U,Twycross J.Detecting danger:Applying a novel immunological concept to intrusion detection systems[EB/OL].[2010—02—03].http:∥arxiv.org/abs/1002.0696.

[5] Greensmith J,Aickelin U.The deterministic dendritic cell algorithm[J].Artificial Immune Systems,2008,5132:291-302.

[6] Drozda M,Schaust S,Szczerbicka H.AIS for misbehavior detection in wireless sensor networks:Performance and design principles[C]∥Proceedings of 2007 IEEE Congress on Evolutionary Computation,2007:3719-3726.

[7] Wallenta C,Kim J,Bentley P J,et al.Detecting interest cache poisoning in sensor networks using an artificial immune algorith-m[J].Applied Intelligence,2010,32(1):1-26.

[8] Garcia-Teodoro P,Diaz-Verdejo J,Maciá-Fernández G,et al.Anomaly-based network intrusion detection:Techniques,systems and challenges[J].Computers & Security,2009,28(1):18-28.

Intrusion detection system model for WSNs based on danger theory and DCA*

WANG Xin， ZHANG Yu， JIANG Hua， LIU Jian-ming

(School of Computer Science & Engineering，Guilin University of Electronic Technology，Guilin 541004，China)

Aiming at the problem that WSNs is prone to different attacks due to his own features and traditional passive security mechanism can’t fully solve this problem,in order to improve the current security situation,design a new intrusion detection system(IDS) model inspired in artificial immune system(AIS).It uses danger theory and improved dendritic cell algorithm(DCA)applied in WSNs,which make nodes to execute different function and collaborate to identify intrusion，and strengthen robustness of WSNs.Simulation results shows that compared with self-nonself(SNS) model,the new IDS model is better in detecting capacity and energy consumption.

WSNs; intrusion detection system(IDS); artificial immune system(AIS); danger theory; dendritic cell algorithm(DCA)

2013—08—15

國(guó)家自然科學(xué)基金重點(diǎn)資助項(xiàng)目(61262074)

TP 393

A

1000—9787(2014)04—0102—04

王 鑫( 1976-) ，男，陜西藍(lán)田人，副教授，碩士研究生導(dǎo)師，主要研究方向?yàn)槲锫?lián)網(wǎng)與網(wǎng)絡(luò)信息安全。