李云凌， 韓曉霞， 穆躍宏

(太原理工大學 信息工程學院，山西 太原 030024)

0 引 言

由于無線傳感器網(wǎng)絡(wireless sensor networks,WSNs)節(jié)點一般分布在無人看守的空曠地帶，接觸到的環(huán)境非常惡劣且節(jié)點自身的防范能力很差，很容易被入侵，而且僅靠自身攜帶的電池供電，能量非常有限，因此,如何提高入侵檢測率、降低節(jié)點能耗是當前無線傳感器網(wǎng)絡必須考慮的困難問題[1]。

1987年,Adelman率先將生物免疫技術應用到計算機安全領域，為研究計算機網(wǎng)絡安全方面提供了一個全新的思路。因為生物免疫系統(tǒng)同無線傳感器網(wǎng)絡入侵檢測系統(tǒng)的工作機理具有很高的相似性，將生物免疫技術引入到網(wǎng)絡安全領域的入侵檢測系統(tǒng)中具有很高的可行性，所以,Kim J等人一直致力于研究基于生物免疫的入侵檢測系統(tǒng)[2]。 Multi-Agent技術的引入在解決較大規(guī)模的網(wǎng)絡入侵檢測方面具有很強的魯棒性和可靠性，并且有較高的問題求解效率。綜合生物免疫理論與Multi-Agent技術，并將免疫Multi-Agent技術應用于網(wǎng)絡入侵檢測是一個很好的思路[3]。

1 免疫系統(tǒng)原理

1.1 免疫系統(tǒng)結構

免疫系統(tǒng)由免疫分子、免疫細胞、免疫組織和器官組成的復雜系統(tǒng)，其結構本質(zhì)上是多層次的防御系統(tǒng)，它在4個層次上保護人體不受外界細菌和病毒的侵擾。第一層是皮膚，是人體抵抗感染的一個天然屏障；第二層是生理環(huán)境，人體體液中特殊的pH值和溫度范圍等生理要素為外來有機體提供了非常不適宜生存的環(huán)境;第三層和第四層分別是先天性和獲得性免疫系統(tǒng)(統(tǒng)稱為適應性免疫系統(tǒng))，是帶來開發(fā)入侵檢測系統(tǒng)的主要靈感來源[4]。

適應性免疫系統(tǒng)具有自學習和分析的能力，對于入侵到系統(tǒng)內(nèi)部的有害物質(zhì)(如抗原)能夠通過分析自適應地去識別，并產(chǎn)生相應的抗體去清除入侵抗原。生物體內(nèi)起免疫作用的淋巴細胞主要包括T細胞和B細胞2種。B細胞的主要功能是免疫保護，對外部入侵的有害物質(zhì)(抗原)進行識別并產(chǎn)生相應的抗體；T細胞主要作用是能夠直接殺死抗原細胞，輔助或抑制B細胞產(chǎn)生抗體。當病原體入侵機體后，被一些B細胞識別，這些B細胞在T細胞的作用下分裂，分泌抗體來消滅病原體，發(fā)生免疫應答[5]。其原理圖如圖1所示。

圖1 免疫系統(tǒng)結構圖

1.2 抗體優(yōu)良選擇

本文采用了優(yōu)良抗體疫苗提取接種技術使抗體應對不同變異、復雜的抗原，不但增加了抗體的多樣性，而且也能夠提高優(yōu)良抗體繁殖的概率。首先，將記憶免疫細胞群的不同抗體進行分類，這里采用聚類算法對其分類，在分類的基礎上選取若干個體進行優(yōu)良篩選，然后，將選取的優(yōu)良抗體作為疫苗修改其某些部位上的基因，使其形成一個成熟免疫細胞集合，從而實現(xiàn)優(yōu)良基因代代相傳。本文做如下定義：

定義1 疫苗va為長度L的字符串，由0,1，*組成；vak為疫苗va第k個基因位上的編碼。

提取疫苗公式如下

接種疫苗操作如下

2 基于免疫原理Multi-Agent入侵檢測模型與檢測機制

2.1 檢測模型的建立

根據(jù)Russel和Norvig的觀點[7]，Agent可以是任何能通過傳感器感知環(huán)境并通過效應器作用于環(huán)境的事物。Agent所具有的自治性、響應性、主動性、自學習性、通信性等眾多特性使其更加適合于無線傳感器網(wǎng)絡中應用。

Multi-Agent系統(tǒng)是由許多獨立且大體上自主的Agent通過相互作用形成的框架,每個Agent根據(jù)自己分配任務的不同完成自己的檢測任務，或是與其它相鄰或相近Agent進行數(shù)據(jù)交換協(xié)同完成任務，其入侵檢測模型如圖2。

圖2 Multi-Agent入侵檢測模型

在該模型中，用層次結構來組織和管理各種Agent，如圖3，大大地方便了系統(tǒng)的管理和維護。

圖3 分層式Multi-Agent結構圖

在本模型中，將各個Agent結合免疫學原理，可以得到表1。

2.2 檢測機制

在分層式Multi-Agent結構模型中，根據(jù)網(wǎng)絡特點的不同需求，需對節(jié)點Agent和簇頭管理Agent以及全局管理Agent進行不同的分工，總體設計來說，即簇頭管理Agent監(jiān)視節(jié)點檢測Agent；同時節(jié)點檢測Agent也檢測簇頭管理Agent，并將檢測到的異常簇頭Agent信息反饋給全局管理Agent，進行聯(lián)合檢測[8]。為了便于描述和研究，本文作如下定義：

表1 Agent與免疫學相似性

i：任一成員節(jié)點；

m：參與通信的成員節(jié)點的個數(shù)；

C：任一節(jié)點與其它節(jié)點存在的信任度，0≤C≤1;

α：信任度閾值，安全級別越高，值越大，一般入侵檢測系統(tǒng)可用性的值為0<α<0.5;

Ei：任一節(jié)點i的初始電量值；

E0：最低電量閾值;

γ：節(jié)點之間信任度百分比，0<γ<1，其值與節(jié)點的個數(shù)m的多少有關。

2.2.1 簇頭節(jié)點Agent對成員節(jié)點Agent的監(jiān)測

配置在簇頭節(jié)點上的監(jiān)視Agent收集整個節(jié)點內(nèi)的通信活動，其工作內(nèi)容和需要完成的任務如下：

1)節(jié)點Agent工作狀態(tài)中會與其它Agent進行數(shù)據(jù)交換和信息通信，而簇頭Agent則對節(jié)點Agent的一切行為進行檢測，判斷節(jié)點Agent之間有無入侵和通信異常的發(fā)生。

2)根據(jù)步驟(1)的檢測結果，響應Agent做出適當?shù)姆磻?，例如：降低簇頭節(jié)點Agent對節(jié)點Agent的信任度CCH→i(其降低的等級取決于檢測結果)。

3)一旦CCH→i<α，則檢測機制做出相應的判斷，該節(jié)點i已經(jīng)遭受入侵，同時廣播其它節(jié)點成員中斷與節(jié)點i的一切通信活動，并把信任度降低到α以下。

4)需要注意的是，如果其中一個簇頭節(jié)點Agent撤銷的成員節(jié)點的個數(shù)超過了閾值M，則懷疑該簇頭節(jié)點Agent被入侵，需要對可疑節(jié)點進一步檢測。

2.2.2 成員節(jié)點Agent對簇頭節(jié)點Agent的監(jiān)測

因為無線傳感器節(jié)點的能量一般都是有限的E0，且無法充電，所以，考慮到實際因素，不需要所有的成員節(jié)點Agent都參與到監(jiān)測簇頭節(jié)點Agent的活動當中，本文選取相應成員節(jié)點的原則如下：

1)成員節(jié)點Agent和簇頭節(jié)點Agent之間的信任度CCH→I>C0(C0為提前設定的最低信任度閾值)；

2)成員節(jié)點Agent為Ei>E0(E0為提前設定好的最低能量閾值)。

所以，參與監(jiān)視簇頭節(jié)點Agent的的成員節(jié)點i必須符合以下條件

i∈m,CCH→i>C0,Ei>E0.

首先,節(jié)點Agent初始會對簇頭Agent有一定的信任度C0，其次,節(jié)點Agent反檢測于簇頭Agent的通信或者活動有無異常，如果有異常行為則向相鄰的節(jié)點i發(fā)送一份質(zhì)疑報告，此時節(jié)點i信任度變?yōu)镃1，當連續(xù)監(jiān)測到X次異常行為并發(fā)送X次質(zhì)疑報告以后，此時節(jié)點i對簇頭Agent的信任度為Cx(2

C1=(1-γm)C0，

C2=(1-γm)(1-γm-1)C0，

?

Cx=(1-γm)(1-γm-1)…(1-γm+1-x)C0.

當Cx<α，表明節(jié)點Agent對被檢測到簇頭Agent的信任度降到了最低閾值α以下，可以判斷此簇頭Agent已被入侵，通知其它節(jié)點Agent與之中斷通信等相應措施。

需要注意的是，因為簇頭節(jié)點Agent對無線傳感器網(wǎng)絡起到重要的檢測作用，所以,僅僅依靠成員節(jié)點Agent的檢測是不夠的，有必要聯(lián)合全局管理Agent對簇頭節(jié)點Agent進一步的檢測進行確認。當成員節(jié)點Agent對簇頭的信任度Cx<α時，初步判斷簇頭節(jié)點受到攻擊或入侵，此時需要切斷對簇頭節(jié)點的通信，同時向全局管理Agent反饋一個入侵信息，全局Agent收到反饋信息后會與自身監(jiān)測到的簇頭Agent信息進行相似度對比，通過相似度的對比結果進行下一步的檢測工作，并作對簇頭節(jié)點Agent最終的判斷。

3 實驗結果分析

實驗采用Matlab軟件進行仿真實驗，將本文提出的疫苗優(yōu)良接種技術和不接種技術系統(tǒng)檢測率進行比較，以及基于反饋式的Multi-Agent入侵檢測(MAIDS)和其它層次式IDS方案(如文獻[10]，稱為DAIDS)對于節(jié)點能耗進行對比。

應用Matlab仿真軟件建立如下模擬場景：在100×100區(qū)域隨機部署50只完全相同的傳感器(本模型只考慮底層檢測Agent的能耗情況，更高層簇頭Agent和全局管理Agent不在仿真中出現(xiàn))，節(jié)點初始能耗E=2 J，最低能量閾值E0=0.2 J(最低能量閾值設定為初始能耗的10 %),入侵數(shù)據(jù)流占總數(shù)據(jù)量20 %左右。

圖4為系統(tǒng)檢測率的仿真結果圖，因為系統(tǒng)采用接種技術后，隨著成熟記憶免疫細胞的增多，免疫細胞的多樣性增加，所以,面對變異、復雜以及未知的抗體入侵時，記憶免疫細胞能夠快速準確的做出反應，從圖中通過對比可以看出:采用接種技術的檢測率要高于不采用接種技術的檢測率。

圖4 系統(tǒng)檢測率

圖5反映了MAIDS入侵檢測和DAIDS入侵檢測的傳感器節(jié)點剩余能量百分比的仿真結果圖。MAIDS入侵檢測系統(tǒng)前2000次入侵內(nèi)，節(jié)點的能耗下降較DAIDS的下降速度更快，但之后能耗的下降相對減慢，趨向穩(wěn)定。因為剛開始系統(tǒng)處于不斷學習中，許多入侵都是未知的、復雜的，通過疫苗提取和接種技術不斷使記憶免疫細胞增多。隨著免疫細胞的增多，許多入侵都成為已知的入侵，僅需記憶檢測器工作，而且隨著MAIDS的系統(tǒng)漸近成熟，已將被入侵的節(jié)點Agent(CCH→i<α)排除在系統(tǒng)之外，中斷與之通信，所以，系統(tǒng)的能耗處于一個較低的狀態(tài)，變化不大。而DAIDS隨著數(shù)據(jù)總流量的增加能耗不斷下降，最終低于能量閾值E0=0.2 J(節(jié)點總剩余能耗10 %),所以,DAIDS入侵檢測系統(tǒng)生命周期不如MAIDS入侵檢測系統(tǒng)生命周期。

圖5 網(wǎng)絡能效對比

4 結束語

針對無線傳感器網(wǎng)絡能量有限且無法充電、檢測效率低等特點，本文引入了疫苗提取與接種技術以及Multi-Agent模型，最后通過Matlab軟件進行仿真，通過實驗結果表明:采用疫苗接種與提取技術后可以有效提高無線傳感器網(wǎng)絡的入侵檢測率；Multi-Agent入侵檢測系統(tǒng)對于降低節(jié)點能耗也有一定的幫助，對解決無線傳感器網(wǎng)絡現(xiàn)存的一些問題有一定的參考價值。

參考文獻:

[1] 沈玉龍,裴慶祺,馬建峰,等.無線傳感器網(wǎng)絡安全技術概論[M].1版.北京:人民郵電出版社,2010:22-25.

[2] Kim J,Peter J B.Towards an artificial immune system for network intrusion detection:An investigation of dynamic clone selec-tion[C]∥Proceeding of World Congress on Computation Intelligence,Piscataway:IEEE,2002.

[3] 張 然,錢德沛,包崇明,等.基于Multi-Agent的入侵檢測模型的研究與實現(xiàn)[J].小型微型計算機系統(tǒng),2003,24(6):996-997.

[4] 劉 陽.基于免疫原理的無線傳感器網(wǎng)絡入侵檢測系統(tǒng)研究[D].北京：中國科學院,2008:5-7.

[5] 肖人彬,王 磊.人工免疫系統(tǒng):原理、模型、分析及展望[J].計算機學報,2002,25(12):1281-1293.

[6] 劉 寧,趙建華.應用免疫原理的無線傳感器網(wǎng)絡入侵檢測系統(tǒng)[J].計算機工程與應用,2011，47(15)：80-82.

[7] Oliveira Eugenio,Fischer Klaus,Stepankova Olga.Multi-agent system:Which research for which applications[J].Robotics and Autonomous System,1999,27:91-106.

[8] 李 冬.一種基于免疫多代理的網(wǎng)絡入侵檢測模型[J].計算機應用與軟件,2008,25(5):251-253.

[9] 王 培,周賢偉,覃伯平,等.基于多代理的無線傳感器網(wǎng)絡入侵檢測系統(tǒng)研究[J].傳感技術學報，2007(3):677-681.

[10] Rajasegarar S,Leckie C,Palaniswami M.Distributed anomaly detection in wireless sensor network[C]∥Proc of the 10th IEEE Singapore International Conference on Communication System,ICCS 2006,2006.