葉勇 劉朝暉 彭大為

南華大學(xué)計算機科學(xué)與技術(shù)學(xué)院 湖南 421001

0 引言

國內(nèi)外的研究者對基于生物免疫原理的無線傳感器的入侵檢測技術(shù)進行了一些研究。曾鵬等人首先提出來一種基于生物免疫的無線傳感器網(wǎng)絡(luò)安全體系結(jié)構(gòu)；將免疫原理應(yīng)用在WSN安全系統(tǒng)，但沒有具體實現(xiàn)，且只采用了入侵隔離處理惡意入侵節(jié)點。張楠、董曉梅等人對基于分簇的無線傳感器網(wǎng)絡(luò)免疫體系進行了研究，提出 Multi-Agent機制和備份簇頭選舉機制，對無線傳感器網(wǎng)絡(luò)的安全性有了較明顯的提升，但是所提到的算法都相對復(fù)雜，在計算能力限制的節(jié)點中響應(yīng)時間較長。Martin Drozda等提出了人工免疫系統(tǒng)在無線傳感器網(wǎng)絡(luò)異常檢測下的應(yīng)用及對應(yīng)設(shè)計，但也只是相對簡單地從傳統(tǒng)網(wǎng)絡(luò)的基于免疫系統(tǒng)的移植，對無線傳感器網(wǎng)絡(luò)的特點考慮不夠深刻。

綜合上述可知，雖然基于人工免疫系統(tǒng)無線傳感器網(wǎng)絡(luò)的入侵檢測的研究有很多優(yōu)點，但目前仍處于研究的初期，仍有很多不完善的地方。本文將基于危險理論對無線傳感器網(wǎng)絡(luò)的入侵檢測技術(shù)進行研究，旨在提出一種輕量級的無線傳感網(wǎng)絡(luò)入侵檢測模型。

1 基于免疫原理的WSN安全體系

1.1 WSN的入侵檢測特點

無線傳感器網(wǎng)絡(luò)相對傳統(tǒng)網(wǎng)絡(luò)一些明顯的不同：(1)無線傳感器網(wǎng)絡(luò)中的節(jié)點數(shù)目相當(dāng)巨大，基于成本考慮節(jié)點必須為廉價的；而且各個應(yīng)用場合對節(jié)點大多限制大小，因此節(jié)點大多小巧。綜合來看，節(jié)點的計算能力和存儲能力都相當(dāng)有限。(2)節(jié)點的通信能力較弱，以及帶寬和通信能量都受到極大的限制。(3)傳感器節(jié)點通常所處的物理環(huán)境都比較復(fù)雜。(4)無線傳感器網(wǎng)絡(luò)具有移動性，因此網(wǎng)絡(luò)拓撲結(jié)構(gòu)具有動態(tài)性和隨機性。因此無線傳感器網(wǎng)絡(luò)的安全性相對較弱，針對無線傳感器網(wǎng)絡(luò)的攻擊更加容易，隨著無線傳感器網(wǎng)絡(luò)應(yīng)用的越來越廣泛，其安全問題也越嚴峻。

入侵檢測系統(tǒng)(Intrusion Detection System,IDS)不僅可以抵抗入侵者對網(wǎng)絡(luò)攻擊，而且還可以根據(jù)已知攻擊來加強系統(tǒng)。然而，入侵檢測系統(tǒng)在無線傳感器網(wǎng)絡(luò)上應(yīng)用出現(xiàn)了挑戰(zhàn)，因為無線傳感器網(wǎng)絡(luò)節(jié)點無法提供傳統(tǒng)入侵檢測技術(shù)所需足夠多的資源，傳統(tǒng)的入侵檢測技術(shù)無法直接應(yīng)用在無線傳感器網(wǎng)絡(luò)中。因此，建立一個輕量級適合無線傳感器網(wǎng)絡(luò)的入侵檢測技術(shù)隨著無線傳感器網(wǎng)絡(luò)安全問題的嚴峻而變得越來越緊迫。

1.2 危險理論

免疫模型的核心思想是區(qū)分自我與非自我(Self/NonSelf，SNS)。在 SNS思想中，不斷增加的抗原集需要有一個與之匹配的抗體集，這需要大量的計算。在無線傳感器網(wǎng)絡(luò)中，任何浪費計算資源和能量的大量計算都是系統(tǒng)需要避免的。為了挑戰(zhàn)SNS理論，以Matzinger為首的研究人員提出了危險理論(Danger Theory，DT)模式(圖 1)。在長期的研究中，人們發(fā)現(xiàn)免疫系統(tǒng)區(qū)分的不是自我與非自我，而是危險信號(Danger Signal)的有無。研究認為機體不是對所有體內(nèi)的異己都進行免疫應(yīng)答， 而是選擇那些有產(chǎn)生危險信號的抗原進行免疫應(yīng)答。同時，在危險理論模式的免疫系統(tǒng)中，免疫應(yīng)答的過程中只會激活危險區(qū)域內(nèi)的抗體。危險理論模式應(yīng)用于無線傳感器網(wǎng)絡(luò)中較傳統(tǒng)的 SNS模式可減少大部分能量的損耗，在資源使用和時間節(jié)省上都得到了很大的改善。在應(yīng)答方式上也有所改進，只要產(chǎn)生了危險信號，就會對其應(yīng)答，是一種動態(tài)的應(yīng)答方式。相比動態(tài)應(yīng)答方式具有更高的自適應(yīng)性和更強的適用性，以及更低的誤報率。

圖1 危險理論模式

危險理論模式與SNS模式在很大程度上是相同的, 根本區(qū)別為免疫應(yīng)答的觸發(fā)信號不同。免疫系統(tǒng)應(yīng)答的觸發(fā)信號是由機體受損細胞向抗原提呈細胞(antigen presentation cells,APC)發(fā)出的危險信號，而不是由與機體沒有直接關(guān)系的抗原向 APC發(fā)出的入侵信號。細胞受損時會發(fā)出危險信號(Signal0)，并在其周圍一定區(qū)域內(nèi)建立一個危險域。危險域中的抗原被APC捕捉并提呈，并且在一定條件下APC會向淋巴細胞發(fā)出一個協(xié)同刺激信號(Signal2)。而APC向淋巴細胞提呈抗原的時候，會活化增殖淋巴細胞使其產(chǎn)生抗原提呈信號(Signal1)。在Signal1和Signal2同時存在的情況下，APC將B 細胞或Tk細胞活化從而使其能產(chǎn)生抗體。具體過程如圖2。

圖2 危險理論應(yīng)答過程

2 基于危險理論的WSN入侵檢測模型

基于危險理論的無線傳感器網(wǎng)絡(luò)的入侵檢測模型由五大模塊組成：危險信號檢測模塊、危險域建立模塊、抗原提呈模塊、抗原識別模塊和響應(yīng)應(yīng)答模塊。組件間的結(jié)構(gòu)關(guān)系如圖3。

圖3 系統(tǒng)模型

定義：所有的數(shù)據(jù)集合為全集 A；所有未知數(shù)據(jù)為非我集N；正常的自身數(shù)據(jù)為自我集S；危險數(shù)據(jù)為危險集D；危險區(qū)域的抗原集 Ag。在危險理論模式中，它們的關(guān)系是S∩N =Φ ，S∪N =A，Ag =D ∩N 。危險理論認為免疫系統(tǒng)只識別 Ag，對危險信號D ∩ N∈Ag 則應(yīng)答，而對于危險區(qū)域外的危險數(shù)據(jù)Dn=D∩S認為是無害集合，不產(chǎn)生免疫響應(yīng)。

2.1 聚類分析模塊

一般來說，異常攻擊數(shù)據(jù)的數(shù)量是總是遠小于正常數(shù)據(jù)的數(shù)量的，且攻擊數(shù)據(jù)與正常數(shù)據(jù)相差較大。因此在數(shù)據(jù)處理的前端引入聚類分析模塊，其中的聚類算法對所監(jiān)控的原始數(shù)據(jù)進行分類。可根據(jù)各類中數(shù)據(jù)量的大小來區(qū)分正常數(shù)據(jù)集合和攻擊數(shù)據(jù)集合。該模塊的引入不僅能節(jié)省系統(tǒng)的計算資源，同時也能加快檢測的速度和降低節(jié)點的能耗。

2.2 危險信號檢測模塊

該模塊實時監(jiān)測系統(tǒng)環(huán)境，當(dāng)系統(tǒng)環(huán)境的狀態(tài)變化超過了設(shè)定的閥值，該模塊發(fā)出與危險信號。模型中以數(shù)據(jù)的變化來界定危險的發(fā)生，即當(dāng)流入數(shù)據(jù)的總體情況偏向了危險數(shù)據(jù)集合，該模塊就是從數(shù)據(jù)全集A中找出危險的集合D。

2.3 危險區(qū)域的建立

系統(tǒng)檢測到危險信號后，根據(jù)危險區(qū)域界定算法在其周圍建立跟危險信號大小相關(guān)的危險區(qū)。危險區(qū)隔離出識別的范圍，為抗原識別縮小了范圍，因此能加速免疫應(yīng)答的響應(yīng)時間，從而提高的系統(tǒng)檢測的實時性和正確率。理論上，危險區(qū)域是在空間上和時間上相關(guān)聯(lián)的一組對象的集合，也就是實現(xiàn)Ag=D ∩ N 的過程，有效的危險域建立算法與其應(yīng)用環(huán)境和危險信號的定義密切相關(guān)。

2.4 抗原提呈模塊

當(dāng)出現(xiàn)危險信號或抗原數(shù)據(jù)收集到一定的數(shù)量或出現(xiàn)系統(tǒng)異常時激活該模塊工作，通過在危險區(qū)識別抗原Ag，通過預(yù)處理將危險區(qū)域內(nèi)的抗原 Ag轉(zhuǎn)化成為適合檢測模塊檢測的數(shù)據(jù)數(shù)據(jù)類型，提交到下一個模塊，以便進行下一步響應(yīng)。

2.5 抗原識別模塊

根據(jù)免疫系統(tǒng)的分布性及特異性免疫的原理，特定的抗體能夠匹配特定類型的抗原，這種識別仍然有用，但并非免疫應(yīng)答的必要條件。免疫應(yīng)答的啟動，需要抗原識別信號sig1和危險信號sig0共同決定，這種雙重決策機制在一定程度上降低了系統(tǒng)的誤報率。

2.6 免疫應(yīng)答響應(yīng)組件

快速處理提交的入侵數(shù)據(jù)，在免疫系統(tǒng)中克隆選擇是應(yīng)對入侵的基本算法，因此該模塊使用克隆選擇算法實現(xiàn)。

3 模型特征分析

WSN入侵檢測技術(shù)受到其節(jié)點資源的限制，無法移植傳統(tǒng)網(wǎng)絡(luò)中的安全策略，需要一個輕型的WSN入侵檢測技術(shù)。危險理論是一個挑戰(zhàn)基于人工免疫的入侵檢測系統(tǒng)中傳統(tǒng)的自我/非我模式而出現(xiàn)的一個新興理論。該模型在解決降低能耗，節(jié)省計算資源，提高準(zhǔn)確性，高效性等方面有著顯而易見的優(yōu)勢，具體如下：

(1) 降低低能耗：模型只對危險域內(nèi)的抗原進行識別，不需要對所有的抗原進行識別。不需要完善的抗體集，省去了前期的大量計算。這些特點都有效地節(jié)省了節(jié)點能量。

(2) 節(jié)省計算資源：除去不需要完善的抗體集，省去了前期的大量計算之外，在匹配之前需要進行篩選確實確實有害的抗原，然后進行相應(yīng)的特點也節(jié)省了很大的計算資源。

(3) 提高準(zhǔn)確性：入侵的最終識別建立在抗原識別信號和危險信號雙重作用的機制上，有效的保障了系統(tǒng)的準(zhǔn)確性，降低了虛假報警。

(4) 高效性。模型只對危險域內(nèi)的抗原進行識別，并非對所有的抗原，一定程度上，改善了系統(tǒng)的效率，加快入侵響應(yīng)的時間，有利于實時入侵檢測。

4 結(jié)束語

隨著無線傳感器網(wǎng)絡(luò)應(yīng)用越來越廣泛，其安全問題日益突出，為此本文提出了一種基于危險理論的WSN輕型入侵檢測模型。該模型在解決降低能耗，節(jié)省計算資源，提高準(zhǔn)確性，高效性等方面有著顯而易見的優(yōu)勢。缺點是危險理論還是一個新興的理論，還有很多不成熟的地方?？偟膩碚f，該模型對于建立一個更加輕型的 WSN入侵檢測系統(tǒng)有重要的意義。

[1]Steven A.Hofmeyr,Stephanie Forrest,Immunity by Design:An Articial Immune System[J].Evolutionary Computation.2000.

[2]曾鵬,梁韡,王軍,于海斌.一種基于生物免疫原理的無線傳感器網(wǎng)絡(luò)安全體系[J].小型微型計算機系統(tǒng).2005.

[3]張楠,張建華,陳建英.WSN中基于免疫Multi-Agent 的入侵檢測機制[J].計算機工程與科學(xué).2010.

[4]董曉梅,周越德,李曉華.一種無線傳感器網(wǎng)絡(luò)數(shù)據(jù)安全免疫體系結(jié)構(gòu)[J].計算機科學(xué)與探索.2010.

[5]Martin Drozda,Sven Schaust,Helena Szczerbicka.AIS for Misbehavior Detection in Wireless Sensor Networks: Performance and Design Principles[J].2007IEEE Congress on Evolutionary Computation.2007.

[6]Uwe Aickelin, Steve Cayzer,The Danger Theory and Its Application to Artificial Immune Systems.1st International Conference on AIS.2002.