傅蓉蓉，鄭康鋒，蘆天亮，楊義先,

(1. 北京交通大學(xué) 計(jì)算機(jī)與信息技術(shù)學(xué)院，北京 100044；2. 北京郵電大學(xué) 信息安全中心，北京 100876)

1 引言

由于傳感器網(wǎng)絡(luò)的缺乏人工干預(yù)及資源受限的特點(diǎn)，使得無(wú)線傳感器網(wǎng)絡(luò)的入侵檢測(cè)面臨著巨大的挑戰(zhàn)。近年來(lái)生物免疫啟發(fā)的人工免疫系統(tǒng)（AIS）由于其在工作原理上與入侵檢測(cè)的一致性得到了廣泛的關(guān)注，AIS的基本特征包括：自組織、分布式、高頑健性、輕量級(jí)、多層次及多樣性等。這些特征使其在入侵檢測(cè)方面體現(xiàn)出了優(yōu)勢(shì)并取得了一定成果[1,2]。

早期的研究中，自我-非我 (SNS, self-nonself)模型在AIS領(lǐng)域得到了深入的研究，這種模型將抗原空間分為2種，一種是自我抗原，另一種是非我抗原。自我抗原被用作為淋巴細(xì)胞（如B細(xì)胞）的訓(xùn)練基礎(chǔ)數(shù)據(jù)，那些會(huì)引起自身免疫反應(yīng)的淋巴細(xì)胞將被刪除，即免疫耐受，而通過(guò)了免疫耐受的淋巴細(xì)胞將存活下來(lái)，稱為成熟的淋巴細(xì)胞，它們用來(lái)攻擊外來(lái)抗原以便保護(hù)機(jī)體的安全；而非我抗原卻是構(gòu)成機(jī)體威脅的物質(zhì)，也就是淋巴細(xì)胞的應(yīng)答對(duì)象。SNS免疫模型的思想是免疫應(yīng)答由抗體表面受體對(duì)外來(lái)抗原的識(shí)別而誘導(dǎo)的，即由非我抗原觸發(fā)免疫應(yīng)答，非我抗原通過(guò)激活抗原提呈細(xì)胞（APC, antigen presenting cell）提呈的抗原并產(chǎn)生響應(yīng)。

但是免疫系統(tǒng)對(duì)于人們吃的食物中的外界細(xì)菌或者對(duì)一些明顯發(fā)生細(xì)胞突變的腫瘤等異己抗原不發(fā)生免疫響應(yīng)，所以自我-非我模型的合理性受到了質(zhì)疑。1994年，Matzinger[3]首先提出危險(xiǎn)理論，認(rèn)為免疫系統(tǒng)所能區(qū)分的實(shí)際上是“從某些非我中區(qū)分出某些自我”。危險(xiǎn)理論假定免疫系統(tǒng)的激活不是由非我的檢測(cè)唯一決定，也不對(duì)一個(gè)潛在的入侵做出響應(yīng)，直到危險(xiǎn)被檢測(cè)到。

受到生物領(lǐng)域中危險(xiǎn)理論的啟發(fā)，本文提出了基于危險(xiǎn)理論的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)模型。并通過(guò)仿真實(shí)驗(yàn)驗(yàn)證了提出的模型在檢測(cè)率、誤檢率和能量消耗方面具有優(yōu)勢(shì)。

2 相關(guān)工作

2.1 危險(xiǎn)理論

危險(xiǎn)模型在細(xì)胞和信號(hào)的基礎(chǔ)上增加了額外的一層，認(rèn)為 APC由受難細(xì)胞（如受到病原體侵入、毒素侵入、創(chuàng)傷等影響的細(xì)胞）發(fā)出的危險(xiǎn)信號(hào)觸發(fā)，而不一定是非我觸發(fā)的，危險(xiǎn)信號(hào)被APC識(shí)別，是引起免疫應(yīng)答的關(guān)鍵因素。圖1描述了危險(xiǎn)模型中免疫應(yīng)答的響應(yīng)。免疫過(guò)程可分為以下步驟：一個(gè)非正常死亡的細(xì)胞發(fā)出了一個(gè)危險(xiǎn)信號(hào)；鄰近的抗原提呈細(xì)胞APC被激活并開始識(shí)別和捕獲抗原；APC通知本地的淋巴結(jié)并把所識(shí)別的抗原提呈給淋巴細(xì)胞；淋巴細(xì)胞產(chǎn)生抗體進(jìn)行抗原識(shí)別。

從本質(zhì)上講，危險(xiǎn)信號(hào)的產(chǎn)生將會(huì)在受難細(xì)胞周圍建立一個(gè)危險(xiǎn)區(qū)域，在危險(xiǎn)區(qū)域內(nèi)的淋巴細(xì)胞才會(huì)被激活，產(chǎn)生大量的對(duì)應(yīng)能匹配該抗原的抗體。而那些不在危險(xiǎn)區(qū)域內(nèi)的淋巴細(xì)胞則不被激活，因而也不能產(chǎn)生抗體。

雖然危險(xiǎn)理論在傳統(tǒng)的生物免疫領(lǐng)域仍然存在爭(zhēng)議，但是危險(xiǎn)理論相比SNS模型更加適用于入侵檢測(cè)領(lǐng)域[4,5]。危險(xiǎn)模式應(yīng)用于無(wú)線傳感網(wǎng)絡(luò)的入侵檢測(cè)主要存在以下2個(gè)優(yōu)點(diǎn)：1) 發(fā)生危險(xiǎn)時(shí)才會(huì)觸發(fā)檢測(cè)過(guò)程，可以降低誤檢率并且降低不必要的能量消耗；2) 危險(xiǎn)域可以根據(jù)不同的危險(xiǎn)程度或者安全策略來(lái)確定，可以提高檢測(cè)系統(tǒng)的靈活性。

圖1 危險(xiǎn)模型中免疫應(yīng)答的響應(yīng)

2.2 人工免疫啟發(fā)的入侵檢測(cè)

當(dāng)前，將危險(xiǎn)理論應(yīng)用于入侵檢測(cè)的工作主要集中在主機(jī)或者互聯(lián)網(wǎng)領(lǐng)域，而關(guān)于無(wú)線傳感網(wǎng)絡(luò)的研究則不多。Junwon Kim等人[6]通過(guò)危險(xiǎn)理論相關(guān)算法解決了針對(duì) DD路由協(xié)議的 Interest Cache Poisoning攻擊，文章僅利用了節(jié)點(diǎn)本地的緩沖區(qū)信息，并沒(méi)有考慮如何獲取全局知識(shí)。

Martin Drozda等人[7～9]將AIS引入傳感網(wǎng)絡(luò)，解決丟棄、延遲轉(zhuǎn)發(fā)數(shù)據(jù)分組和Wormhole等問(wèn)題。文章采用了SNS檢測(cè)模型，同時(shí)為了獲得全局的信息，引入了 Watchdog算法[10]。提出讓節(jié)點(diǎn)處于在混雜模式下，監(jiān)聽通信范圍內(nèi)的數(shù)據(jù)流量，并將監(jiān)聽到的信息編碼成基因進(jìn)行模式匹配。文獻(xiàn)[11,12]將AIS的工作原理用于傳感網(wǎng)絡(luò)的入侵和響應(yīng)，但是同樣采用了混雜模式獲得兩跳鄰居節(jié)點(diǎn)的通信信息?；祀s模式雖然能夠提供全局知識(shí)，但是這種模式阻止了節(jié)點(diǎn)進(jìn)入睡眠，強(qiáng)制其進(jìn)入空閑或接收狀態(tài)，極其消耗能量。研究表明，傳感器節(jié)點(diǎn)的大部分能量消耗在無(wú)線通信模塊，傳輸lbit信息所消耗的能量大約是執(zhí)行一條計(jì)算指令所消耗能量的3 000倍[13]。

此外，大多數(shù)的研究[6～9]將單個(gè)節(jié)點(diǎn)模擬成一個(gè)人體，程序或者其他的計(jì)算單元模擬組織、器官或者細(xì)胞。這就導(dǎo)致需要在單個(gè)節(jié)點(diǎn)上運(yùn)行整個(gè)檢測(cè)實(shí)例，這在資源受限的傳感網(wǎng)絡(luò)中是不實(shí)用的。

本文的目的是設(shè)計(jì)一個(gè)分布式和分層的檢測(cè)模型，在無(wú)線傳感網(wǎng)絡(luò)中為危險(xiǎn)理論建立一個(gè)合理隱喻。利用危險(xiǎn)理論的優(yōu)勢(shì)，終端節(jié)點(diǎn)只需檢測(cè)自身本地的信息感知危險(xiǎn)，并合作提供全局知識(shí)。

2.3 IEEE 802.15.4

IEEE 802.15.4標(biāo)準(zhǔn)提供了對(duì)無(wú)線傳感器網(wǎng)絡(luò)物理層及媒體接入層的具體描述，而這 2層的信息都可以由節(jié)點(diǎn)從本地獲得。通過(guò)節(jié)點(diǎn)監(jiān)視本地的信息發(fā)現(xiàn)危險(xiǎn)可以避免節(jié)點(diǎn)處于混雜模式以節(jié)省能量。同時(shí)IEEE 802.15.4提供了一個(gè)天然分層的結(jié)構(gòu)，這種結(jié)構(gòu)在信息管理和聚合方面表現(xiàn)出了強(qiáng)大的優(yōu)勢(shì)。

IEEE 802.15.4使用了CSMA/CA協(xié)議[14]接入物理媒介，這個(gè)協(xié)議提供了沖突避退機(jī)制，在節(jié)點(diǎn)開始傳輸數(shù)據(jù)之前，需要首先偵聽信道并持續(xù)一個(gè)預(yù)定義的時(shí)間，如果信道忙碌，節(jié)點(diǎn)需要等待一個(gè)特定的時(shí)間再重新嘗試。同時(shí)IEEE 802.15.4支持ACK確認(rèn)機(jī)制保證數(shù)據(jù)的可靠傳輸。

2種節(jié)點(diǎn)存在于IEEE 802.15.4，F(xiàn)FD和RFD。FFD可以作為PAN協(xié)調(diào)器、路由和終端，但是RFD只能作為終端。這種節(jié)點(diǎn)類型的劃分可以提供分層的網(wǎng)絡(luò)拓?fù)?，在這種分層網(wǎng)絡(luò)中被入侵節(jié)點(diǎn)影響的節(jié)點(diǎn)只需將自身的信息傳輸給中心 PAN協(xié)調(diào)器，PAN協(xié)調(diào)器便能獲得全局信息來(lái)做出入侵判決。

3 系統(tǒng)模型

根據(jù)危險(xiǎn)理論，受難細(xì)胞發(fā)出危險(xiǎn)信號(hào)，并在其周圍建立一個(gè)危險(xiǎn)區(qū)域，其中的抗原被 APC捕獲，APC提呈抗原提供共同刺激信號(hào)，從而引起了免疫應(yīng)答。在免疫應(yīng)答過(guò)程中，淋巴細(xì)胞產(chǎn)生與危險(xiǎn)域內(nèi)的抗原匹配的抗體。

本文利用危險(xiǎn)理論的工作原理，將檢測(cè)過(guò)程分成3個(gè)階段：危險(xiǎn)感知階段、抗原提呈階段和決策階段，圖2描述了本文提出的檢測(cè)系統(tǒng)模型。

圖2 入侵檢測(cè)模型

從能源的角度來(lái)看，每個(gè)節(jié)點(diǎn)同時(shí)運(yùn)行一個(gè)完整的檢測(cè)實(shí)例是不合適的。所以本文利用 IEEE 802.15.4的分層結(jié)構(gòu)實(shí)現(xiàn)合作式檢測(cè)，邊界終端節(jié)點(diǎn)只需檢測(cè)自身屬性的變化來(lái)感知風(fēng)險(xiǎn)，中心節(jié)點(diǎn)（稱作決策節(jié)點(diǎn)）收到危險(xiǎn)后確定危險(xiǎn)程度及危險(xiǎn)域的大小并要求獲得抗原，危險(xiǎn)域內(nèi)的節(jié)點(diǎn)合作提供網(wǎng)絡(luò)流量信息形成抗原，中心節(jié)點(diǎn)負(fù)責(zé)產(chǎn)生抗體，動(dòng)態(tài)地維護(hù)抗體，并將抗體與抗原進(jìn)行匹配確定是否發(fā)生了入侵。表 1給出了基于危險(xiǎn)理論的AIS到本文系統(tǒng)模型的隱喻。

表1 危險(xiǎn)理論AIS到系統(tǒng)模型的隱喻

3.1 危險(xiǎn)感知

在生物免疫系統(tǒng)當(dāng)中，如果一個(gè)細(xì)胞由于正常原因死亡（凋亡細(xì)胞），細(xì)胞實(shí)體在分解之前就會(huì)被清除掉。但是由于非正常原因壞死的細(xì)胞（受難細(xì)胞）會(huì)分解實(shí)體并且釋放出危險(xiǎn)信號(hào)。類似地，在本文提出的模型中，節(jié)點(diǎn)感知自身的變化發(fā)現(xiàn)危險(xiǎn)并釋放出危險(xiǎn)信號(hào)，通常情況下，節(jié)點(diǎn)能夠在失去工作能力之前發(fā)現(xiàn)危險(xiǎn)并且做出反應(yīng)。

節(jié)點(diǎn)自身屬性的異常變化反應(yīng)了潛在的危險(xiǎn)。節(jié)點(diǎn)的物理層和媒體接入層的屬性都可以本地獲得，所以本文關(guān)注這2層的屬性信息。用來(lái)感知危險(xiǎn)的屬性用DFi(danger features)來(lái)表示。

DF1 電源能量下降速率。傳感節(jié)點(diǎn)是資源受限的，對(duì)DoS類攻擊非常敏感。DF1的計(jì)算式為

其中，Cpower表示在Δt時(shí)間內(nèi)電能的變化量。

DF2 數(shù)據(jù)分組發(fā)送回退頻率。由于采用了沖突避退機(jī)制，當(dāng)發(fā)生分組阻塞攻擊時(shí)，這個(gè)屬性的變化明顯。DF2的計(jì)算式為

DF3 平均回退持續(xù)時(shí)間。此屬性的變化可以發(fā)現(xiàn)持續(xù)的阻塞干擾類攻擊。DF3的計(jì)算式為

其中，TBP表示在Δt時(shí)間內(nèi)總共回退等待的時(shí)間。

DF4 ACK成功率。在發(fā)送數(shù)據(jù)之后，節(jié)點(diǎn)通常希望獲得ACK以證實(shí)數(shù)據(jù)發(fā)送成功，ACK成功率過(guò)低也表明存在危險(xiǎn)。DF4的計(jì)算式為

式(4)計(jì)算了在Δt時(shí)間內(nèi)發(fā)送的數(shù)據(jù)分組的個(gè)數(shù)與實(shí)際收到的ACK的個(gè)數(shù)的比值。

DF5 數(shù)據(jù)幀接收頻率。接收到的數(shù)據(jù)幀頻率的異常變化暗示著危險(xiǎn)， 比如節(jié)點(diǎn)作為攻擊目標(biāo)時(shí)，接收到的數(shù)據(jù)幀數(shù)目增大，接收頻率增大。DF5的計(jì)算式為

DF6 數(shù)據(jù)幀發(fā)送頻率。發(fā)送的數(shù)據(jù)幀數(shù)頻率的異常變化也暗示著危險(xiǎn)，比如發(fā)生大規(guī)模的蠕蟲或阻塞攻擊時(shí)，節(jié)點(diǎn)通常要轉(zhuǎn)發(fā)這些惡意的數(shù)據(jù)分組導(dǎo)致發(fā)送數(shù)據(jù)幀數(shù)目增大，發(fā)送頻率增大。而發(fā)生Sinkhole攻擊時(shí)，本來(lái)作為正常路由的節(jié)點(diǎn)將不再轉(zhuǎn)發(fā)數(shù)據(jù)導(dǎo)致發(fā)送數(shù)據(jù)幀數(shù)目驟減，發(fā)送頻率驟減，計(jì)算式為

將每個(gè)屬性歸一化，并給定統(tǒng)一的變化閾值δ，在 t時(shí)刻，如果 CFi=|DFit-DFit-1|＞δ，則認(rèn)為屬性DFi發(fā)生了不正常的變化，可能存在危險(xiǎn)。

感知到危險(xiǎn)之后，節(jié)點(diǎn)發(fā)送危險(xiǎn)信號(hào)給決策節(jié)點(diǎn),危險(xiǎn)信號(hào)表示為

危險(xiǎn)感知過(guò)程可以利用每次節(jié)點(diǎn)的正常工作時(shí)間，不需要產(chǎn)生額外的調(diào)度將節(jié)點(diǎn)喚醒。

3.2 抗原提呈

一旦決策節(jié)點(diǎn)收到危險(xiǎn)信號(hào)，便要建立一個(gè)危險(xiǎn)域，危險(xiǎn)域以發(fā)出危險(xiǎn)信號(hào)的節(jié)點(diǎn)為中心，覆蓋范圍稱作危險(xiǎn)域半徑，以跳數(shù)為單位。危險(xiǎn)域半徑與危險(xiǎn)程度有關(guān)，危險(xiǎn)程度表示為

其中，nd為一個(gè)時(shí)間段內(nèi)，決策節(jié)點(diǎn)收到的危險(xiǎn)信號(hào)的個(gè)數(shù)。ωi為每一個(gè)危險(xiǎn)屬性變化的權(quán)重。危險(xiǎn)域半徑為

參數(shù) s為保護(hù)的無(wú)線網(wǎng)絡(luò)的安全等級(jí)，從 Ra的表達(dá)式可以看出，危險(xiǎn)半徑與網(wǎng)絡(luò)的危險(xiǎn)程度和網(wǎng)絡(luò)的安全等級(jí)成正比。

感知到危險(xiǎn)的節(jié)點(diǎn)在自己 Ra跳范圍之內(nèi)建立危險(xiǎn)域，此節(jié)點(diǎn)向危險(xiǎn)域內(nèi)的節(jié)點(diǎn)廣播流量日志獲取請(qǐng)求。在一些情況下，比如蠕蟲攻擊，很多節(jié)點(diǎn)感知到危險(xiǎn)，危險(xiǎn)域就會(huì)存在重疊，這種情況下，節(jié)點(diǎn)選擇最近的節(jié)點(diǎn)上傳自己的流量日志。流量日志表示為log=＜Ps, Pr, Pf ＞，其中

NSP、NRP和NFP分別表示節(jié)點(diǎn)在Δt時(shí)間內(nèi)發(fā)送，接收和轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)分組的數(shù)目。在決策節(jié)點(diǎn)接收到危險(xiǎn)域內(nèi)所有節(jié)點(diǎn)的流量日志或者等待超時(shí)之后，決策節(jié)點(diǎn)停止收集，并提呈抗原。

受體是組成抗原和抗體的基本單元，每一個(gè)節(jié)點(diǎn)i，都有一個(gè)Idi和相對(duì)應(yīng)的受體，受體表示為

假設(shè)危險(xiǎn)域有k個(gè)節(jié)點(diǎn)，抗原可以表示為

3.3 決策

決策節(jié)點(diǎn)負(fù)責(zé)分析提呈的抗原，確認(rèn)入侵行為的存在。

分析過(guò)程采用傳統(tǒng)的自我-非我識(shí)別，通過(guò)計(jì)算抗原和抗體之間的親和度確認(rèn)是否發(fā)生了入侵?？乖ㄟ^(guò)對(duì)受體庫(kù)進(jìn)行免疫耐受過(guò)程產(chǎn)生。受體庫(kù)為每個(gè)節(jié)點(diǎn)預(yù)定義的自我集合，僅存儲(chǔ)在決策節(jié)點(diǎn)上。APC激活了受體庫(kù)，為每個(gè)節(jié)點(diǎn)提供數(shù)目為m的非我受體，非我受體組成抗原。

從式(13)可以看出，受體是組成抗原和抗體的基本單元，受體也是用來(lái)識(shí)別的基本單元。決策節(jié)點(diǎn)從抗原當(dāng)中提取出Idi，并激活受體庫(kù)產(chǎn)生抗原，分別將抗原與抗體中的受體使用親和度函數(shù)。本文使用Euclidean距離函數(shù)來(lái)計(jì)算親和力，對(duì)每個(gè)Idi，受體之間的距離為

抗原和抗體之間的親和力為

如果A(Ag, Ab)＞β，則認(rèn)為確實(shí)發(fā)生了入侵，β為親和力閾值。

圖3描述了危險(xiǎn)域中有4個(gè)節(jié)點(diǎn)的抗原和抗體的匹配過(guò)程，從圖中可以看出R( Id1)、R( Id4)與( Id1)、( Id4)匹配度高，這就說(shuō)明Id1及Id4節(jié)點(diǎn)為潛在的入侵者和嚴(yán)重受害者。

圖3 抗原、抗體親和力匹配

自我受體庫(kù)不應(yīng)是靜態(tài)的，而應(yīng)是隨著檢測(cè)結(jié)果動(dòng)態(tài)變化的，如可以通過(guò)記憶受體減低檢測(cè)試驗(yàn)或者淘汰長(zhǎng)時(shí)間沒(méi)有用到的受體等，本文關(guān)注與整個(gè)檢測(cè)模型的性能，對(duì)自我受體庫(kù)的維護(hù)不做過(guò)多的討論。

4 仿真實(shí)驗(yàn)及性能分析

通過(guò)仿真驗(yàn)證將危險(xiǎn)理論應(yīng)用到無(wú)線傳感網(wǎng)絡(luò)的優(yōu)勢(shì)，從檢測(cè)率、誤檢率、能耗等方面分析檢測(cè)模型的性能。本文采用基于離散事件的OMNET++4.1仿真器進(jìn)行仿真。節(jié)點(diǎn)隨機(jī)分布在網(wǎng)絡(luò)當(dāng)中，具體的網(wǎng)絡(luò)參數(shù)如表2所示。

表2 模擬實(shí)驗(yàn)參數(shù)

圖4給出了最終形成的仿真網(wǎng)絡(luò)拓?fù)?，隨機(jī)選擇攻擊節(jié)點(diǎn)的位置。

圖4 仿真網(wǎng)絡(luò)拓?fù)?/p>

主要仿真包阻塞攻擊，攻擊節(jié)點(diǎn)每隔60s就向周圍廣播一個(gè)無(wú)意義的數(shù)據(jù)分組，以達(dá)到降低信道可用性及消耗周圍節(jié)點(diǎn)能量的目的。首先采集 10次正常情況下的數(shù)據(jù)以產(chǎn)生自我受體。對(duì)于每一種攻擊節(jié)點(diǎn)數(shù)目{1,3,5,7,10,15}獨(dú)立運(yùn)行10次仿真，模擬持續(xù)2個(gè)小時(shí)網(wǎng)絡(luò)的變化，結(jié)果取均值。

4.1 檢測(cè)性能分析

將本文提出的模型與單一閾值 Watchdog和SNS模型進(jìn)行對(duì)比。單一閾值Watchdog采用文獻(xiàn)[10]提出的Watchdog算法的基本思想，監(jiān)聽網(wǎng)絡(luò)流量通過(guò)單一閾值判斷是否發(fā)生入侵。SNS模型采用文獻(xiàn)[7]的檢測(cè)方法，單個(gè)節(jié)點(diǎn)運(yùn)行檢測(cè)實(shí)例，通過(guò)自我-非我來(lái)判斷是否發(fā)生入侵。

圖5給出了在檢測(cè)率和誤檢率方面的性能對(duì)比。從圖5(a)可以看出，采用了人工免疫思想的方法在檢測(cè)率上具有更好的性能。當(dāng)攻擊節(jié)點(diǎn)數(shù)量比較少時(shí)，基于 SNS模型的方法和本文提出的方法都能準(zhǔn)確地檢測(cè)到入侵，檢測(cè)率為1，當(dāng)攻擊節(jié)點(diǎn)數(shù)目多時(shí)，由于本文提出的模型能夠獲得更加全局的信息，而不限于2跳范圍內(nèi)的流量信息（采用混雜模式監(jiān)聽），所以在檢測(cè)大規(guī)模的入侵時(shí)，具有較好的檢測(cè)結(jié)果。

在誤檢率方面，從圖5(b)可看出，采用單一閾值Watchdog的方法和SNS模型中節(jié)點(diǎn)通過(guò)將收集到的流量異常與正常流量相比較或匹配，發(fā)現(xiàn)異常就認(rèn)為檢測(cè)到入侵，而在基于危險(xiǎn)理論的入侵檢測(cè)中，存在2層檢測(cè)確認(rèn)，第1層是節(jié)點(diǎn)感知到危險(xiǎn)，認(rèn)為存在潛在的入侵，第2層是全局流量匹配確認(rèn)，所以本文提出的方法有效地降低了檢測(cè)系統(tǒng)的誤檢率。

圖5 檢測(cè)率和誤檢率對(duì)比

4.2 能耗分析

在單一閾值Watchdog和SNS模型當(dāng)中，節(jié)點(diǎn)需要時(shí)刻處于混雜模式監(jiān)聽網(wǎng)絡(luò)流量信息，一直有能量的消耗。而在本文提出的模型當(dāng)中，節(jié)點(diǎn)只需在正常喚醒時(shí)處理感知自身的危險(xiǎn)，在收到上傳流量日志時(shí)上傳自身的流量信息，沒(méi)有過(guò)多的檢測(cè)能量消耗。本文仿真了TI CC2420射頻模塊，節(jié)點(diǎn)電壓為3.3V，接收產(chǎn)生的能耗為18.8mA，發(fā)送時(shí)的能耗為17.4mA，睡眠時(shí)的能耗為0.021μA。

傳感器傳輸信息要比執(zhí)行計(jì)算更消耗電能，研究表明，傳感器傳輸1bit信息需要的電能足以執(zhí)行3 000條計(jì)算指令。所以主要考慮接收發(fā)送數(shù)據(jù)產(chǎn)生的能耗，而不考慮由于計(jì)算產(chǎn)生的能耗。能量消耗可以表示為

式(16)中參數(shù) bitrate為250kbit/s，n是每個(gè)數(shù)據(jù)分組的比特?cái)?shù)為 128×8bit，Is為 17.4mA，Ir為18.8mA，V為3.3V, Ns和Nr為仿真結(jié)束時(shí)節(jié)點(diǎn)收到的發(fā)送和接收的數(shù)據(jù)分組的總和，與具體的網(wǎng)絡(luò)環(huán)境有關(guān)，表3描述了不同攻擊節(jié)點(diǎn)數(shù)目情況下，感知到危險(xiǎn)節(jié)點(diǎn)數(shù)目，可以看出攻擊節(jié)點(diǎn)越多，發(fā)出的危險(xiǎn)信號(hào)越多，用于檢測(cè)的數(shù)據(jù)分組越多，能耗越大。而對(duì)于采用監(jiān)聽模式的方法來(lái)說(shuō)，每個(gè)節(jié)點(diǎn)都要捕獲自己通信范圍內(nèi)的數(shù)據(jù)，所以能耗與網(wǎng)絡(luò)通信流量直接相關(guān)。

圖6描述了在重復(fù)10次實(shí)驗(yàn)取均值后的系統(tǒng)能耗比較。從圖中可以看出，在攻擊節(jié)點(diǎn)少的情況下，本文提出的檢測(cè)模型具有明顯優(yōu)勢(shì)，當(dāng)攻擊節(jié)點(diǎn)增多時(shí)，如表3所示，網(wǎng)絡(luò)中感知到危險(xiǎn)的節(jié)點(diǎn)增多，當(dāng)出現(xiàn)15個(gè)攻擊節(jié)點(diǎn)時(shí)，有1/3的節(jié)點(diǎn)發(fā)出了危險(xiǎn)信號(hào)，這樣由于抗原提呈產(chǎn)生的能耗也增大，系統(tǒng)能耗趨近于其他2種方法。所以在能耗方面，在受難節(jié)點(diǎn)數(shù)量不多的入侵環(huán)境當(dāng)中，本文提出的模型具有明顯的優(yōu)勢(shì)。

圖6 系統(tǒng)能耗

表3 不同攻擊節(jié)點(diǎn)數(shù)目情況下感知到危險(xiǎn)的節(jié)點(diǎn)數(shù)目

5 結(jié)束語(yǔ)

本文引進(jìn)危險(xiǎn)理論的基本工作原理，提出了一種適用于無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)模型。與傳統(tǒng)的基于AIS的入侵檢測(cè)技術(shù)相比，本文提出的模型具有以下特點(diǎn)：1）只有感知到危險(xiǎn)之后才對(duì)網(wǎng)絡(luò)流量進(jìn)行異常識(shí)別，危險(xiǎn)感知過(guò)程基于本地知識(shí)不產(chǎn)生額外的通信開銷；2）沒(méi)有采用混雜模式獲得全局的流量信息，引入了節(jié)點(diǎn)合作，不需要額外的喚醒節(jié)點(diǎn)收集信息；3）由于采用了分布式的合作機(jī)制，不需要在每個(gè)節(jié)點(diǎn)上都運(yùn)行一個(gè)完整的檢測(cè)實(shí)例，只有在中心節(jié)點(diǎn)上維護(hù)受體庫(kù)和抗體進(jìn)行流量的異常檢測(cè)。結(jié)果表明，這3個(gè)方面大大降低了普通節(jié)點(diǎn)和整個(gè)網(wǎng)絡(luò)的檢測(cè)開銷并提高了檢測(cè)性能。

[1] KIM J, BENTLEY P, AICKELIN U, et al. Immune system approaches to intrusion detection-a review[J]. Natural Computing, 2007, 6(4):413-466.

[2] YI P, WU Y, CHEN J L. Towards an artificial immune system for detecting anomalies in wireless mesh networks[J]. China Communications, 2011, 8(3): 107-117.

[3] MATZINGER P. Tolerance, danger and the extended family[J]. Annual Review Immunology, 1994, 12: 991-1045.

[4] WU S X, BANZHAF W. The use of computational intelligence in intrusion detection systems: a review[J]. Applied Soft Computing,2010, 10(1):1-35.

[5] AICKELIN U, BENTLEY P, CAYZER S, et al. Danger theory: the link between AIS and IDS[A]. Proceedings of the Second International Conference on Artificial Immune Systems[C]. Edinburgh, UK, 2003.147-155.

[6] KIM J, BENTLEY P, WALLENTA C, et al. Danger is ubiquitous:detecting malicious activities in sensor networks using the dendritic cell algorithm[A]. Proceedings of the International Conference on Artificial Immune Systems[C]. Cambridge, UK , 2006.390-403.

[7] DROZDA M, SCHAUST S, SZCZERBICKA H. AIS for misbehavior detection in wireless sensor networks: performance and design principles[A]. Proceedings of the IEEE Congress on Evolutionary Computation, Special Session on Recent Developments in Artificial Immune Systems[C]. Singapore , 2007. 3719-3726.

[8] DROZDA M, SCHAUST S, SCHILDT S, et al. Priming: making the reaction to intrusion or fault predictable[J]. Natural Computing, 2011,10(1):243-274.

[9] DROZDA M, SCHILDT S, SCHAUST S, et al. An immuno-inspired approach to misbehavior detection in ad hoc wireless networks[EB/OL].http://arxiv. org/abs/1001. 3113, 2010.

[10] MARTI S, GIULI T, LAI K, et al. Mitigating routing misbehavior in mobile ad hoc networks[A]. Proceedings of the International Conference on Mobile Computing and Networking[C]. Massachusetts, USA,2000. 255-265.

[11] SCHAUST S, SZCZERBICKA H. Applying antigen-receptor degeneracy behavior for misbehavior response selection in wireless sensor networks[A]. Proceedings of the 10th International Conference on Artificial Immune Systems[C]. Cambridge, UK, 2011.212-225.

[12] BALACHANDRAN S, DASGUPTA D, WANG L. A hybrid approach for misbehavior detection in wireless ad-hoc networks[A]. Proceedings of the Symposium on Information Assurance[C]. New York, USA,2006. 14-15.

[13] 孫利民, 李建中, 陳渝等. 無(wú)線傳感器網(wǎng)絡(luò)[M]. 北京: 清華大學(xué)出版社, 2005.SUN L M, LI J Z, CHEN Y, et al. Wireless Sensor Networks[M]. Beijing: Tsinghua University Press, 2005.

[14] RAO V P, MARANDIN D. Adaptive backoff exponent algorithm for zigbee(IEEE 802.15.4)[A]. Proceedings of 6th International Conference on Next Generation Teletraffic and Wired/Wireless Advanced Networking[C]. St Petersburg, Russia, 2006. 501-516.