周根記等

摘要：針對(duì)傳統(tǒng)物聯(lián)網(wǎng)安全的靜態(tài)被動(dòng)防護(hù)方法和技術(shù)，應(yīng)用免疫危險(xiǎn)理論，建立基于危險(xiǎn)免疫理論的物聯(lián)網(wǎng)感應(yīng)層安全感知模型。模型采用分布式結(jié)構(gòu)設(shè)計(jì)以適應(yīng)感應(yīng)層節(jié)點(diǎn)的分布；同時(shí)針對(duì)感應(yīng)層面臨的各種攻擊，按照危險(xiǎn)程度將其劃分為不同的危險(xiǎn)等級(jí)，模型對(duì)各種危險(xiǎn)等級(jí)的攻擊采取與之對(duì)應(yīng)的感知策略，從而定量的感知整個(gè)感應(yīng)層的安全態(tài)勢(shì)。模型分析和仿真結(jié)果表明提出的危險(xiǎn)感知模型有效地提升了物聯(lián)網(wǎng)感應(yīng)層的安全性能。

關(guān)鍵詞：危險(xiǎn)免疫理論； 物聯(lián)網(wǎng)安全； 感知

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-2163（2013）06-0006-04

0引言

物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎(chǔ)上，將其用戶端延伸和擴(kuò)展到任何物品與物品之間進(jìn)行信息交換和通信的一種網(wǎng)絡(luò)。1999年在美國(guó)召開(kāi)的移動(dòng)計(jì)算和網(wǎng)絡(luò)國(guó)際會(huì)議上，MIT Auto-ID中心的Ashton教授首先提出物聯(lián)網(wǎng)（Internet of Things）概念[1]。物聯(lián)網(wǎng)現(xiàn)已成為當(dāng)前世界新一輪經(jīng)濟(jì)和科技發(fā)展的戰(zhàn)略制高點(diǎn)之一，發(fā)展物聯(lián)網(wǎng)對(duì)于促進(jìn)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步具有重要的現(xiàn)實(shí)意義[2]。隨著物聯(lián)網(wǎng)的發(fā)展， 安全問(wèn)題逐漸顯露出來(lái)，并成為制約物聯(lián)網(wǎng)發(fā)展的瓶頸[3]。

物聯(lián)網(wǎng)的安全問(wèn)題與生物免疫系統(tǒng)（Biological Immune System， BIS）所要解決的問(wèn)題具有較大的相似性，即都是要在不斷的變化的環(huán)境中保持系統(tǒng)的穩(wěn)定性。生物免疫系統(tǒng)（BIS）具有的多種優(yōu)良特性（免疫識(shí)別、免疫記憶、快速免疫應(yīng)答、多樣化、魯棒性等）得到了很多學(xué)者的關(guān)注[4-5]，基于BIS原理的人工免疫系統(tǒng)（Artificial Immune System， AIS）已經(jīng)成為現(xiàn)今信息安全領(lǐng)域的研究熱點(diǎn)，并涌現(xiàn)了一批研究成果。Matzinger在免疫應(yīng)答機(jī)制方面做了重大的突破，并引入了危險(xiǎn)理論[6]，該理論擺脫了傳統(tǒng)模型的束縛和局限，指出危險(xiǎn)信號(hào)是產(chǎn)生免疫應(yīng)答的原因，而危險(xiǎn)信號(hào)是由受損細(xì)胞決定的，危險(xiǎn)模式中不再有“自體”“非自體”這個(gè)概念，而只是“危險(xiǎn)”還是“不危險(xiǎn)”兩種概念。英國(guó)Nottingham大學(xué)的Uwe Aickelin小組將危險(xiǎn)理論應(yīng)用到入侵檢測(cè)中[7]，目標(biāo)是為危險(xiǎn)模式理論建立一個(gè)計(jì)算模型，以定義、研究和發(fā)現(xiàn)危險(xiǎn)信號(hào)，并根據(jù)該模型建立一些新的算法，以此來(lái)構(gòu)造具有較低誤報(bào)率的入侵檢測(cè)系統(tǒng)。文獻(xiàn)[8]基于危險(xiǎn)理論，提出了一種新的網(wǎng)絡(luò)攻擊態(tài)勢(shì)評(píng)估方法，并且該方法可彌補(bǔ)基于自體/非自體識(shí)別機(jī)理的傳統(tǒng)人工免疫網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)自體集龐大、免疫耐受時(shí)間長(zhǎng)等不足。文獻(xiàn)[9]基于自體和非自體建立了入侵檢測(cè)模型，并進(jìn)行了仿真實(shí)驗(yàn)，同時(shí)對(duì)一些重要的參數(shù)給出了實(shí)驗(yàn)分析，該模型具有一定適應(yīng)性和多樣性。文獻(xiàn)[10]基于免疫危險(xiǎn)理論建立一種新型網(wǎng)絡(luò)入侵檢測(cè)模型，還提出了基于危險(xiǎn)理論的入侵檢測(cè)模型算法，仿真實(shí)驗(yàn)表明基于危險(xiǎn)理論的模型具有較低的錯(cuò)誤肯定率；另外，該文獻(xiàn)中還提出了基于危險(xiǎn)理論的方法，定義了危險(xiǎn)信號(hào)，進(jìn)一步定量計(jì)算了危險(xiǎn)信號(hào)。文獻(xiàn)[11]設(shè)計(jì)了基于危險(xiǎn)理論的多 Agent 免疫模型，該模型有效解決了危險(xiǎn)域的較難控制問(wèn)題，并對(duì)危險(xiǎn)域進(jìn)行了合理的劃分，對(duì)危險(xiǎn)進(jìn)行多層的應(yīng)答。除此之外，文獻(xiàn)[12]又采用數(shù)據(jù)場(chǎng)來(lái)模擬危險(xiǎn)理論中的組織，模仿生物學(xué)的概念，危險(xiǎn)信號(hào)從組織中計(jì)算而得來(lái)。

然而，在真實(shí)的物聯(lián)網(wǎng)系統(tǒng)中，安全策略是不斷變化的，以上文獻(xiàn)中，雖然有部分學(xué)者給出了動(dòng)態(tài)演化策略，但并未給出具體的動(dòng)態(tài)反饋方法。本文借鑒免疫危險(xiǎn)理論中感知細(xì)胞異常死亡的危險(xiǎn)信號(hào)并激活抗體識(shí)別與響應(yīng)有害的異己和自體的原理，建立物聯(lián)網(wǎng)感應(yīng)層安全感知模型，并基于此而提出一種集危險(xiǎn)信號(hào)感知、攻擊主動(dòng)響應(yīng)為一體的物聯(lián)網(wǎng)感應(yīng)層主動(dòng)防御方法，由此提升物聯(lián)網(wǎng)感應(yīng)層安全體系的主動(dòng)性和適應(yīng)性。

1危險(xiǎn)理論基本原理

危險(xiǎn)理論（Danger Theory，DT）主要思想如下：

（1）自適應(yīng)免疫系統(tǒng)區(qū)分的不是自我/非我，而是危險(xiǎn)信號(hào)（danger signal）；

（2）免疫系統(tǒng)中免疫細(xì)胞受損或者非正常死亡時(shí)，均會(huì)產(chǎn)生危險(xiǎn)信號(hào)，進(jìn)而激活免疫反應(yīng)；

（3）在DT中，自適應(yīng)免疫中的細(xì)胞并不攻擊自身的宿主。

免疫理論中的免疫反應(yīng)是個(gè)體在受到危險(xiǎn)時(shí)刻的刺激反應(yīng)，不是對(duì)機(jī)體的非自我的反應(yīng)。圖1闡明了危險(xiǎn)模式的識(shí)別機(jī)制：危險(xiǎn)信號(hào)→激活A(yù)PC→激活T細(xì)胞→免疫應(yīng)答；沒(méi)有危險(xiǎn)信號(hào)→未激活A(yù)PC→T細(xì)胞耐受。

當(dāng)非正常死亡的細(xì)胞產(chǎn)生危險(xiǎn)信號(hào)，會(huì)在抗原周圍建立危險(xiǎn)區(qū)域，在這個(gè)危險(xiǎn)區(qū)域內(nèi)的APC捕獲抗原進(jìn)行抗原提呈，在此區(qū)域內(nèi)匹配抗原的淋巴細(xì)胞被激活進(jìn)入克隆選擇，而在此區(qū)域之外的淋巴細(xì)胞則不能被激活。Matzinger同時(shí)還從雙信號(hào)協(xié)調(diào)識(shí)別的角度定義危險(xiǎn)理論[13]，即免疫系統(tǒng)激活需要兩種信號(hào)：抗原識(shí)別信號(hào)（signal）和協(xié)同刺激信號(hào)（signal2）。協(xié)同刺激信號(hào)是對(duì)抗原識(shí)別的確認(rèn)，即認(rèn)定被識(shí)別到的抗原確實(shí)為一入侵行為，而在危險(xiǎn)模式理論中則對(duì)應(yīng)著危險(xiǎn)信號(hào)，即認(rèn)定該抗原確實(shí)是危險(xiǎn)的。

2基于危險(xiǎn)免疫理論的安全感知模型

2.1 術(shù)語(yǔ)定義

定義論域S = {0，1}n，n為正整數(shù)，抗原集合 AgS，自體集合 SelfAg，非自體集合 NonselfAg，則有 Self∪Nonself = Ag，且 Self∩Nonself = 。其中，Ag表示物聯(lián)網(wǎng)感應(yīng)層的所有事務(wù)的二進(jìn)制表示，Self集合表示正常的服務(wù)事務(wù)，Nonself集合表示受到的外部的攻擊。

由上述的定義可知，Self 和Nonself 各由m個(gè)片段組成（每個(gè)片段可以看做是一個(gè)獨(dú)立的服務(wù)或者外部攻擊），假設(shè)Self=Self1+Self2+……+Selfm-1+Selfm，Nonself=Nonself1+Nonself2+…+Nonseflm。其中，符號(hào)“+”表示連接運(yùn)算。設(shè)a為人工免疫淋巴細(xì)胞，n為a檢測(cè)到的抗原數(shù)目（即匹配數(shù)），age為a的年齡，danger代表危險(xiǎn)信號(hào)，Ab表示抗體集合，檢測(cè)器集合Sdetector的定義可以表示：

其中，N表示自然數(shù)集合，R表示實(shí)數(shù)集合。

在安全感知模型中，免疫細(xì)胞（免疫淋巴細(xì)胞）作為檢測(cè)器用來(lái)檢測(cè)感應(yīng)層的攻擊，分為記憶免疫細(xì)胞、成熟免疫細(xì)胞和未成熟免疫細(xì)胞。其中，未成熟免疫細(xì)胞是新生成的、尚未進(jìn)行自我耐受的免疫細(xì)胞，即其處于初始化狀態(tài)；成熟免疫細(xì)胞是成功經(jīng)歷了否定選擇的檢測(cè)器，在其生命周期內(nèi)已經(jīng)匹配到一定數(shù)目的被激活的免疫細(xì)胞；記憶免疫細(xì)胞是從被激活的成熟免疫細(xì)胞進(jìn)化而來(lái)的，達(dá)到激活閾值的有效免疫細(xì)胞，用來(lái)模擬生物系統(tǒng)的二次應(yīng)答，而其具有一個(gè)可以設(shè)定指定值的生命周期。用Smemory、Smature和Simmaturate表示記憶免疫細(xì)胞、成熟免疫細(xì)胞和未成熟免疫細(xì)胞的集合，并且滿足 Smemory∪Smature∪Simmaturate=Sdetector，Smemory∩Smature∩Simmaturate=。

2.2危險(xiǎn)信號(hào)定義

物聯(lián)網(wǎng)感應(yīng)層可能受到的攻擊可描述為如下形式：

（1） 物理攻擊：對(duì)節(jié)點(diǎn)的直接破壞；

（2）重放攻擊：敵手截獲節(jié)點(diǎn)傳播的信息，對(duì)這些截獲的信息進(jìn)行重新發(fā)送，造成節(jié)點(diǎn)感應(yīng)錯(cuò)誤；

（3）DoS攻擊：針對(duì)節(jié)點(diǎn)攜帶的能源有限，該攻擊消耗節(jié)點(diǎn)資源，使其喪失運(yùn)行能力；

（4）完整性攻擊：感應(yīng)層（如無(wú)線傳感器網(wǎng)絡(luò)）是一個(gè)多條和廣播性質(zhì)的網(wǎng)絡(luò)，敵手對(duì)傳輸?shù)男畔⑦M(jìn)行篡改等攻擊，造成網(wǎng)絡(luò)的決策失誤；

（5）假冒攻擊：在某些特定的場(chǎng)合，節(jié)點(diǎn)傳輸和接受信息需要一個(gè)合法的用戶身份，敵手截獲一個(gè)合法的用戶身份之后，利用這個(gè)身份來(lái)假冒該合法用戶入網(wǎng)；

（6）Sinkhole攻擊：敵手利用性能強(qiáng)勁的節(jié)點(diǎn)干擾其通信范圍內(nèi)的其他節(jié)點(diǎn)，破壞基于距離向量的路由機(jī)制，并形成路由黑洞。

本文研究的危險(xiǎn)信號(hào)是一個(gè)集合，由上述各種情況下產(chǎn)生的危險(xiǎn)信號(hào)共同構(gòu)成，即危險(xiǎn)信號(hào)（danger signal）是所有與系統(tǒng)失衡相關(guān)的變量的變化的集合。

2.3危險(xiǎn)信號(hào)等級(jí)劃分

本模型根據(jù)所面臨的定量總體危險(xiǎn)進(jìn)行危險(xiǎn)感知及相應(yīng)策略設(shè)定，危險(xiǎn)程度越高，感知就越敏感，相應(yīng)策略就越嚴(yán)厲，反之感知就相對(duì)遲緩，相應(yīng)策略就相對(duì)溫和。本文中，根據(jù)2.2中所定義的危險(xiǎn)信號(hào)進(jìn)行等級(jí)劃分，結(jié)果如表1所示。危險(xiǎn)等級(jí)數(shù)值越大，表明危險(xiǎn)程度越高。

編號(hào)危險(xiǎn)信號(hào)危險(xiǎn)等級(jí)1Dos攻擊12重放攻擊23完整性攻擊24假冒攻擊35Sinkhole攻擊36物理攻擊4

2.4危險(xiǎn)信號(hào)計(jì)算

根據(jù)危險(xiǎn)理論，系統(tǒng)中的記憶免疫細(xì)胞和成熟免疫細(xì)胞用于感應(yīng)層攻擊，并產(chǎn)生危險(xiǎn)信號(hào)；模擬二次免疫應(yīng)答功能，設(shè)定先由記憶免疫細(xì)胞進(jìn)行檢測(cè)。考慮到物聯(lián)網(wǎng)感應(yīng)層主要是一些FRID標(biāo)簽或是無(wú)線傳感器節(jié)點(diǎn)，而且均是分布式結(jié)構(gòu)，記憶免疫細(xì)胞和成熟免疫細(xì)胞將放置于每一個(gè)FRID標(biāo)簽或者無(wú)線傳感器節(jié)點(diǎn)上，對(duì)于危險(xiǎn)信號(hào)的計(jì)算方法可進(jìn)行如下描述：

每檢測(cè)到一次抗原，且在危險(xiǎn)區(qū)域內(nèi)，則下一時(shí)刻該節(jié)點(diǎn)的危險(xiǎn)信號(hào)按照線性遞增。

其增加的幅值與相應(yīng)的危險(xiǎn)因子的危險(xiǎn)等級(jí)（表1）相關(guān)，得出感應(yīng)層受到持續(xù)的攻擊時(shí)，檢測(cè)器產(chǎn)生的危險(xiǎn)信號(hào)按照線性增長(zhǎng)。

與此相反，當(dāng)在規(guī)定的時(shí)刻內(nèi)，沒(méi)有檢測(cè)到一次抗原，則下一時(shí)刻該節(jié)點(diǎn)的危險(xiǎn)信號(hào)逐漸遞減。當(dāng)感應(yīng)層不再受到攻擊，檢測(cè)器在該時(shí)間間隔內(nèi)也沒(méi)有檢測(cè)到攻擊抗原，危險(xiǎn)值就會(huì)減小。如果連續(xù)p（p∈N）個(gè)時(shí)間間隔均未檢測(cè)到攻擊抗原，危險(xiǎn)值持續(xù)減小，p越大，危險(xiǎn)值越小，表明危險(xiǎn)在衰減，當(dāng)pl，x（t+1）0，該類危險(xiǎn)將被清除，l的取值參照相應(yīng)的危險(xiǎn)因子。

在某一時(shí)刻，某一節(jié)點(diǎn)可能受到多種攻擊，則此時(shí)該節(jié)點(diǎn)的危險(xiǎn)信號(hào)按照如下方法計(jì)算：

x（t）=x（t）1+x（t）2+…+x（t）n（2）

其中，x（t）1，x（t）2，x（t）n分別對(duì)應(yīng)不同的危險(xiǎn)因子產(chǎn)生的危險(xiǎn)信號(hào)值。

物聯(lián)網(wǎng)感應(yīng)層的體系結(jié)構(gòu)是分布式的，依據(jù)上述危險(xiǎn)信號(hào)的計(jì)算方法，整個(gè)感應(yīng)層在t+1時(shí)刻安全態(tài)勢(shì)可以通過(guò)融合每個(gè)節(jié)點(diǎn)在t+1時(shí)刻的危險(xiǎn)信號(hào)而得到，該任務(wù)由每個(gè)區(qū)域的匯聚節(jié)點(diǎn)負(fù)責(zé)實(shí)現(xiàn)。

3模型分析與仿真

3.1模型分析

從理論分析，上一節(jié)提出的安全模型是可行的，這可從以下兩點(diǎn)論證得出：

（1）根據(jù)Smemory和Smature的定義可知，模型中實(shí)施攻擊檢測(cè)的免疫細(xì)胞模擬了物聯(lián)網(wǎng)感應(yīng)層的危險(xiǎn)檢測(cè)規(guī)則。同時(shí)，在同一時(shí)刻感應(yīng)層受到多種攻擊時(shí)，Smemory和Smature中的因子越多，式（2）表明模型感知到的危險(xiǎn)信號(hào)值越準(zhǔn)確，模型感知到的安全態(tài)勢(shì)就越準(zhǔn)確，此外，模型中用于檢測(cè)攻擊的記憶免疫細(xì)胞和成熟免疫細(xì)胞都是動(dòng)態(tài)生成的，能夠滿足真實(shí)服務(wù)環(huán)境變化的需求。

（2）物聯(lián)網(wǎng)感應(yīng)層的節(jié)點(diǎn)是分布式體系結(jié)構(gòu)，在每個(gè)節(jié)點(diǎn)中設(shè)置代表其編號(hào)的信息，當(dāng)檢測(cè)到攻擊時(shí)，在發(fā)送給匯聚節(jié)點(diǎn)的信息末尾插入其編號(hào)，匯聚節(jié)點(diǎn)在接受到其他節(jié)點(diǎn)發(fā)送的信息后，可以通過(guò)編號(hào)得知哪里受到了攻擊。

綜上所述，本文提出的基于免疫理論的物聯(lián)網(wǎng)感應(yīng)層安全感知模型是可行的。該模型可以實(shí)時(shí)感知某個(gè)區(qū)域乃至整個(gè)感應(yīng)層的安全態(tài)勢(shì)。并且，該模型感知到的安全態(tài)勢(shì)隨著受到的攻擊強(qiáng)度和周期的變化而變化，危險(xiǎn)信號(hào)的變化策略能夠顯示安全態(tài)勢(shì)的細(xì)小變化，即對(duì)安全態(tài)勢(shì)的變化的感知是敏感的。

3.2仿真

為驗(yàn)證本文提出的模型的有效性，進(jìn)行了仿真：仿真采用單一變量，感應(yīng)層遭受Dos攻擊，兩個(gè)實(shí)驗(yàn)組分別是應(yīng)用了本文提出的模型和未應(yīng)用此模型，在正常情況下和遭受Dos攻擊情況下，當(dāng)危險(xiǎn)信號(hào)積累到一定值的時(shí)候，采取反饋措施。其實(shí)驗(yàn)數(shù)據(jù)如表2所示，實(shí)驗(yàn)結(jié)果如圖2所示。

4結(jié)束語(yǔ)

危險(xiǎn)免疫理論是近年來(lái)人工免疫系統(tǒng)中開(kāi)發(fā)得到的一種新的方法，本文將其引入到物聯(lián)網(wǎng)感應(yīng)層的安全領(lǐng)域中，建立安全感知模型，仿真結(jié)果表明該模型能夠有效提高物聯(lián)網(wǎng)感應(yīng)層的安全性能。

參考文獻(xiàn)：

[1]FLOERKEMEIER C， LANGH E M， FLEISCH E， et al. The internet of things [C] // proceedings of the First International Conference For Industry And Academia. Zurich，Swit zerlan d： Springer， 2008： 49- 52.

[2]工信部[EB/OL].《物聯(lián)網(wǎng)“十二五”發(fā)展規(guī)劃》.http：//www.miit.gov. cn/n11293472/n11293-832/n11293907/n11368223/14457071.html.

[3]ROLF H. Internet of things - need for a new legal environment [J].Computer Law & Security Review， 2009， （25）： 522 - 527.

[4]DE ROECK N A. Multimodal dynamic optimization：from evolutionary algorithms to artificial immune systems[J]. Lecture Notes in Computer Science， 2007，4628：13-24.

[5]LI T. An immunity based network security risk estimation[J].Science in China Ser. F Information Science， 2005， 48：557-578.

[6]MATZINGER P. Tolerance， danger and the extended family [J]. Annual Review of Immunlogy， 1994，（12）： 991-1045.

[7]AICKELIN U， CAYZER S. The danger theory and its application to artificial immune systems[C] // Proceeding of the 1st Inernat Conference on Artificial Immune System （ICARIS2002），Canterbury，UK，2002：141-148.

[8]孫飛顯.一種受危險(xiǎn)理論啟發(fā)的網(wǎng)絡(luò)攻擊態(tài)勢(shì)評(píng)估方法[J].計(jì)算機(jī)工程與應(yīng)用， 2012， 48（2）： 8-10.

[9]許春， 李濤， 劉孫俊， 等. 基于免疫危險(xiǎn)理論的新型網(wǎng)絡(luò)入侵檢測(cè)方法研究[J].南京郵電大學(xué)學(xué)報(bào)， 2006，26（5）：80-85.

[10]梁可心，李濤.一種基于人工免疫理論的新型入侵檢測(cè)模型[J].計(jì)算機(jī)工程與應(yīng)用，2005（2）：129-131.

[11]袁細(xì)國(guó).基于危險(xiǎn)理論的多 Agent 人工免疫模型的研究[D].武漢：武漢科技大學(xué)，2007.

[12]李雪.基于免疫危險(xiǎn)模式的入侵檢測(cè)研究[D].武漢： 武漢科技大學(xué)， 2009.

[13]MATZINGER P. The danger model： a renewed sense of self. 2002，296：301-304.