趙自平

湖北工業(yè)大學(xué) 湖北 430068

0 引言

無線傳感器網(wǎng)絡(luò)是一種特殊的自主無線網(wǎng)絡(luò)，可廣泛地應(yīng)用于軍事、環(huán)境、醫(yī)療、家庭、工業(yè)、交通和環(huán)保等領(lǐng)域。與傳統(tǒng)無線網(wǎng)絡(luò)相比，傳感器網(wǎng)絡(luò)具有節(jié)點分布稠密、能量有限、節(jié)點計算能力和存儲空間有限、容易遭受安全攻擊等特點。由于其不依賴于固定基礎(chǔ)設(shè)施，使得防火墻方案無可適從。在加密、認(rèn)證等技術(shù)得到廣泛認(rèn)可之后，入侵檢測成為了網(wǎng)絡(luò)防御的第二道防線。入侵檢測技術(shù)是為保證系統(tǒng)安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，作為一種主動的入侵防御技術(shù)，它能夠提供一種動態(tài)的監(jiān)控、預(yù)防或抵御系統(tǒng)入侵行為的安全機(jī)制。由于無線傳感器網(wǎng)絡(luò)的特殊性，傳統(tǒng)網(wǎng)絡(luò)中的入侵檢測技術(shù)不能直接用于無線傳感器網(wǎng)絡(luò)中。隨著無線傳感器網(wǎng)絡(luò)的應(yīng)用越來越廣泛，基于規(guī)則的入侵檢測技術(shù)無法有效地檢測到不斷增加的新型攻擊，因此無線傳感器網(wǎng)絡(luò)的攻擊檢測主要采用異常檢測技術(shù)。Krishnamachari等人利用貝葉斯模型預(yù)測入侵發(fā)生的位置，但沒有對攻擊行為實現(xiàn)量化。Su針對分簇式WSN提出一種能量節(jié)省的入侵檢測方案，卻增加了系統(tǒng)的復(fù)雜性。本文將人工免疫原理和多代理技術(shù)相結(jié)合，提出了一種適用于分簇式無線傳感器網(wǎng)絡(luò)的入侵檢測機(jī)制。在該機(jī)制中利用免疫系統(tǒng)的多樣性和Agent的輕型特征對無線傳感器網(wǎng)絡(luò)中不斷出現(xiàn)的各類新型入侵進(jìn)行快速檢測，在提高系統(tǒng)安全性的同時減少網(wǎng)絡(luò)能量消耗，盡可能地延長WSN的生命周期。

1 Multi-Agent免疫模型

Multi-Agent系統(tǒng)是管理一定數(shù)量和種類的Agent來完成特定目標(biāo)的系統(tǒng)。每個Agent可以單獨存在，也可以存在于一個由很多Agent構(gòu)成的整體系統(tǒng)中。它們有事先設(shè)定好的目標(biāo)，有固定的活動準(zhǔn)則，同時可以了解所處的環(huán)境信息，并且能夠根據(jù)環(huán)境信息進(jìn)行判斷、交流、合作、學(xué)習(xí)并做出決策。Agent的自治性、移動性和智能性使其成為檢測入侵的理想載體。免疫系統(tǒng)本身是一個復(fù)雜的自治Agent系統(tǒng)，其分布式、自適應(yīng)、自學(xué)習(xí)和多樣性等優(yōu)良特征使其在信息安全技術(shù)研究中得到廣泛關(guān)注，并取得了一定成果?；谌斯っ庖叩?Multi-Agent系統(tǒng)所具有的開放性、分布式和多樣性等特征與無線傳感器網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)動態(tài)性、節(jié)點易失效及入侵形式廣泛等特點不謀而合。

1.1 免疫定義

定義1抗原。定義問題域 X∈ {0,1}l，抗原Ag?X，在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，抗原定義為節(jié)點對發(fā)送給簇頭的數(shù)據(jù)包進(jìn)行特征提取后得到的長度為l的比特串。它包括自體集合S?Ag和非自體集合F?Ag兩個子集，有S ∪F=Ag 且S∩F=φ。在入侵檢測系統(tǒng)中，自體為正常的網(wǎng)絡(luò)數(shù)據(jù)，而非自體代表來自網(wǎng)絡(luò)攻擊的數(shù)據(jù)。免疫系統(tǒng)所面臨的主要問題是如何識別自體和非自體，抗原的判斷結(jié)果對應(yīng)識別入侵行為問題的解。

定義2抗體。定義抗體Ab?X是入侵檢測系統(tǒng)中的檢測器，系統(tǒng)的識別過程是在抗原和抗體之間發(fā)生的。Ab ={＜ ab, t, d ＞|a b ∈Ab, t ∈ {1,… ,T },d ∈{0,1,2}}，其中，ab為免疫細(xì)胞，t為ab的年齡，T為免疫細(xì)胞的最大生存周期，d為ab的狀態(tài)標(biāo)識。又有 Ab = AbI∪ AbT∪ AbM，其中AbI為未成熟免疫細(xì)胞，有 AbI= {i| i ∈ Ab, i, d = 0}，表示由基因重組和變異產(chǎn)生的新型檢測器；AbT為成熟免疫細(xì)胞，有AbT= {t| t ∈ Ab, t, d = 1}，表示用于識別未知入侵行為的檢測器；AbM為記憶細(xì)胞，有 AbM= {m| m ∈ Ab, m, d =2}，表示用于識別已知入侵行為的檢測器。

定義3親和力?？乖贵w的親和力與它們之間的距離相關(guān)，表示抗原與抗體的匹配程度；抗體—抗體的親和力表示抗體之間的相似程度。本文采用 Hamming距離來定義親和力。

其中，x、y表示參與計算的抗原或抗體，抗體的坐標(biāo)用＜ab1, ab2,… ,a bl＞表示，抗原坐標(biāo)用 ＜ag1, ag2,… ,agl＞表示。參與計算的兩者之間的距離越小，即兩者越匹配，則它們的親和力越大，且0 ＜ A( x, y)≤ 1?？乖贵w的親和力用來檢測是否有入侵行為發(fā)生。假設(shè)簇頭收到來自某個傳感器節(jié)點的數(shù)據(jù)并提取出抗原ag，若?ab使得 A( a g, a b)＞γ(γ為抗原—抗體匹配閾值，又稱檢測閾值)，則表示有入侵行為發(fā)生。同時，抗體—抗體的親和力表示抗體的相似性，用來控制檢測器的規(guī)模，以適應(yīng)傳感器節(jié)點存儲空間有限的特點。對于一個未成熟抗體 ab∈AbI，若 ?a b′ ∈ Ab使得A( ab, ab′)＞φ (φ為抗體—抗體匹配閾值)，則ab與抗體ab′具有較高的相似性。

1.2 Multi-Agent結(jié)構(gòu)

圖1 節(jié)點的入侵檢測單元

無線傳感器網(wǎng)絡(luò)內(nèi)每個傳感器節(jié)點都配置一個入侵檢測單元(IDU)，每個IDU由多個Agent構(gòu)成，如圖1所示。在簇的形成階段，傳感器節(jié)點利用DU判斷簇頭是否被入侵，從而決定是否加入該簇。在簇形成以后，由簇頭來監(jiān)視簇內(nèi)節(jié)點的活動。簇頭IDU從節(jié)點上傳的數(shù)據(jù)來判斷入侵，能有效地避免內(nèi)部叛變。

（1）監(jiān)視Agent(MonA)

簇頭節(jié)點上的監(jiān)視 Agent收集簇內(nèi)所有節(jié)點的通信活動，將收集到的數(shù)據(jù)進(jìn)行特征提取后，產(chǎn)生抗原交給上層的檢測Agent分析。本文中抗原和抗體的編碼方式采用二進(jìn)制編碼，如圖2所示。主要考慮從能量、協(xié)議、IP地址和端口等內(nèi)容發(fā)現(xiàn)異常，從而判斷是否有入侵發(fā)生。

圖2 抗原的編碼形式

（2）檢測Agent(DetA)

檢測Agent利用免疫原理對抗原進(jìn)行檢測，這是整個入侵檢測系統(tǒng)的核心部分。如果發(fā)現(xiàn)入侵，則激活上層的響應(yīng)Agent。檢測Agent使用的入侵檢測器為所有成熟免疫細(xì)胞和記憶細(xì)胞的集合，其中記憶細(xì)胞利用先驗知識能夠快速識別入侵，成熟免疫細(xì)胞用于檢測未知新型入侵。

（3）響應(yīng)Agent(ResA)

響應(yīng)Agent負(fù)責(zé)處理報警信息和接收疫苗，響應(yīng)Agent根據(jù)具體的情況采取相應(yīng)的響應(yīng)措施，包括降低相應(yīng)節(jié)點的信任度、切斷通信、更新密鑰等。簇頭的IDU將檢測到新型入侵的抗體作為疫苗朝發(fā)送給簇內(nèi)所有傳感器節(jié)點，減少網(wǎng)絡(luò)學(xué)習(xí)的時間。為了降低誤報率，每個節(jié)點的DU對來自其它節(jié)點的疫苗首先要進(jìn)行自體耐受，只有疫苗不與該節(jié)點的任何自體匹配時才能成為該節(jié)點的記憶細(xì)胞。

（4）管理Agent(ManA)

管理Agent負(fù)責(zé)刺激應(yīng)答、更新自體集、管理和控制其他 Agent。簇頭與簇內(nèi)節(jié)點之間、簇頭與簇頭之間以及簇頭與Sink節(jié)點之間通過各自的管理Agent相互通信，交換檢測結(jié)果及相關(guān)信息。管理Agent再通過接口與 IDU內(nèi)的其它Agent通信，達(dá)到分布式協(xié)作檢測的目的。

2 IMAIDM檢測機(jī)制

2.1 抗體的生命周期

為適應(yīng)無線傳感器網(wǎng)絡(luò)的動態(tài)性，IMAIDM的抗體在檢測過程中也是動態(tài)變化的。如圖3所示。

隨機(jī)生成的二進(jìn)制串作為未成熟免疫細(xì)胞，但其不能與任何自體相匹配。利用否定選擇算法對未成熟細(xì)胞進(jìn)行自體耐受，如果在耐受期內(nèi)沒有與任何自體匹配，則成長為成熟免疫細(xì)胞，期望能檢測未知新型入侵。由于傳感器節(jié)點存儲空間有限，因此有必要對成熟細(xì)胞的濃度進(jìn)行一定的控制，即高相似性的細(xì)胞不應(yīng)太多，對每個新成熟的免疫細(xì)胞，按式(1)和式(2)計算它與成熟細(xì)胞集中其它抗體的親和力，并按式(3)計算其濃度。

圖3 IMAIDM中的抗體

對于抗體x，若有 AbCh( x)＞λ(λ為抗體濃度閾值)，則x發(fā)生了冗余，無需重復(fù)存儲。同時，對每個抗體設(shè)置一個生命期，在生命期內(nèi)若匹配可疑抗原，則該細(xì)胞被激活，管理Agent向Sink節(jié)點及其它簇頭節(jié)點發(fā)起協(xié)同檢測，如果協(xié)同判斷的結(jié)果為入侵，則成熟細(xì)胞成長為記憶細(xì)胞。記憶細(xì)胞將優(yōu)先檢測所有的抗原，利用先驗知識達(dá)到快速檢測入侵的目的。為解決諸如檢測效率隨著記憶細(xì)胞集的無限增長而降低、記憶細(xì)胞達(dá)到飽和后新的抗體無法生成，導(dǎo)致無法檢測到新的入侵等問題，本文通過 LRU算法來淘汰最近最少使用的記憶細(xì)胞，以保證記憶細(xì)胞集的容量一定，并有能力動態(tài)地加入最新的抗體。淘汰的記憶細(xì)胞將重新加入成熟細(xì)胞集。針對網(wǎng)絡(luò)入侵行為的相似性，本文對記憶細(xì)胞進(jìn)行交叉變異生成新的未成熟細(xì)胞，減少未成熟細(xì)胞產(chǎn)生的盲目性，提高學(xué)習(xí)效率。同時，我們注意到新增的記憶細(xì)胞可以檢測最新的入侵，因此本文利用簇頭節(jié)點之間相互交換最新的記憶細(xì)胞，以注射疫苗的方式，迅速提高全網(wǎng)的安全性。

2.2 入侵檢測算法

IMAIDM中入侵檢測分兩個階段，第一個階段是在形成簇的時期，第二個階段則是在簇形成以后。當(dāng)某一個節(jié)點競爭成為簇頭，向其它節(jié)點發(fā)布當(dāng)選信息時，每個傳感器節(jié)點內(nèi)的IDU將被激活，檢測該簇頭節(jié)點的安全性以判斷是否加入該簇。

算法l 簇頭判定檢測算法

MonA：抗原提呈

（1）MonA接收簇頭當(dāng)選信息、密鑰驗證應(yīng)答等信息；

（2）將收到的相關(guān)信息進(jìn)行數(shù)據(jù)融合，提取特征向量組成抗原ag；

（3）將ag上傳給本地DetA。

DetA：免疫檢測

（1）計算抗原ag與記憶細(xì)胞集AbM以及成熟細(xì)胞集AbT中的每一個抗體ab的親和力 A( a g, ab)；

（2）若?ab使得 A( a g, a b)＞γ，則判斷該簇頭節(jié)點為入侵，將結(jié)果上傳給本地ResA；

（3）否則，判斷沒有發(fā)生入侵，接受并加入該簇。

ResA：入侵響應(yīng)

（1）若收到ResA上傳的入侵信息，將該簇頭的入侵標(biāo)簽Ttag++，并上傳給本地ManA；

（2）若收到ManA發(fā)送的聯(lián)合入侵信息，則將該簇頭的入侵標(biāo)簽Itag++；

（3）若入侵標(biāo)簽Itag＞τ(τ為聯(lián)合閾值)，則將該簇頭標(biāo)記為入侵；

（4）切斷與入侵節(jié)點的通信，不選擇該節(jié)點作為簇頭。

ManA：協(xié)同檢測

（1）收到本地ResA發(fā)送的入侵信息，將該消息聯(lián)合發(fā)送給其它鄰居節(jié)點；

（2）收到鄰居節(jié)點發(fā)送的聯(lián)合入侵消息，將該消息傳給本地ResA。第一階段的檢測是分布式聯(lián)合檢測，當(dāng)鄰居中有τ個節(jié)點認(rèn)為該簇頭不安全時，傳感器節(jié)點將拒絕加入該簇。其中聯(lián)合閾值τ可根據(jù)安全性要求進(jìn)行設(shè)置。當(dāng)簇頭選擇完成以后進(jìn)入第二階段，被選為簇頭的節(jié)點負(fù)責(zé)整個簇內(nèi)的入侵檢測任務(wù)。在第二階段中，僅簇頭節(jié)點的IDU處于激活狀態(tài)，監(jiān)視簇內(nèi)其它節(jié)點發(fā)送來的數(shù)據(jù)，并檢測是否有入侵發(fā)生。簇內(nèi)的普通節(jié)點除管理Agent外，其它Agent均處于休眠狀態(tài)，達(dá)到節(jié)能的目的。

算法2 簇內(nèi)入侵檢測算法

MonA：抗原提呈

（1）簇頭IDU的MonA接收簇內(nèi)每個節(jié)點發(fā)送來的數(shù)據(jù)包，并提取特征向量組成抗原ag；

（2）將抗原ag上傳給本地DetA。

DetA：免疫檢測

（1）For ab∈AbM，計算抗原—抗體的親和力A( ag,ab)。若?ab使得 A( a g, a b)＞γ，則轉(zhuǎn)(4)；

（2）For ab∈AbT，計算抗原—抗體的親和力 A( a g, a b)。若?ab使得 A( a g, a b)＞γ，則轉(zhuǎn)(5)；

（3）判斷沒有發(fā)生入侵，接受該數(shù)據(jù)包，轉(zhuǎn)(7)；

（4）判斷有入侵發(fā)生，并將入侵信息上傳給本地ResA，轉(zhuǎn)(7)；

（5）將入侵信息上傳給本地ManA，請求協(xié)同刺激；

（6）根據(jù)ManA發(fā)回的協(xié)同刺激，若協(xié)同判定為入侵，則匹配該抗原的成熟細(xì)胞成長為記憶細(xì)胞，轉(zhuǎn)(4)；否則匹配該抗原的成熟細(xì)胞死亡，轉(zhuǎn)(3)。

（7）檢測結(jié)束。ResA：入侵響應(yīng)

（1）若收到ResA上傳的入侵信息，丟棄該數(shù)據(jù)包，并標(biāo)記該節(jié)點，切斷與該節(jié)點的通信，將入侵消息上傳給ManA。

（2）若收到ManA發(fā)送的疫苗信息，則對疫苗進(jìn)行自體耐受，耐受成功以后加入A%。

ManA：協(xié)同檢測

（1）收到本地DetA發(fā)送的協(xié)同請求，將入侵消息發(fā)送給Sink節(jié)點，并將Sink節(jié)點返回的協(xié)同判定發(fā)送給DetA。

（2）收到本地ResA發(fā)送的入侵信息，將相關(guān)抗體作為疫苗發(fā)送給其它簇頭節(jié)點和本簇內(nèi)的所有節(jié)點。

（3）收到鄰居簇頭節(jié)點發(fā)送的疫苗，將該疫苗傳給本地ResA。

（4）收到Sink節(jié)點發(fā)送的網(wǎng)絡(luò)變更消息，更新自體集，并將消息發(fā)送給簇內(nèi)所有節(jié)點。在第二階段，簇內(nèi)節(jié)點將數(shù)據(jù)發(fā)送到簇頭，由簇頭節(jié)點負(fù)責(zé)全簇的安全。同時，簇頭節(jié)點之間進(jìn)行疫苗交換，以加快全網(wǎng)的學(xué)習(xí)效率。當(dāng)有未知情況發(fā)生時，由Sink節(jié)點來判定是入侵行為，還是網(wǎng)絡(luò)的合法變更。在這一階段，簇內(nèi)節(jié)點的IDU功能僅僅是更新自體集和接受疫苗，而不再對簇頭節(jié)點進(jìn)行監(jiān)視和檢測，以減少能量的消耗。對于這一階段簇頭節(jié)點叛變的問題，可以通過限制簇頭的任期來進(jìn)行一定的控制。

3 結(jié)束語

IMAIDM采用多代理技術(shù)，傳感器節(jié)點和簇頭在不同的時期承擔(dān)不同的檢測任務(wù)，融合本地檢測和聯(lián)合檢測于一體，能有效降低網(wǎng)絡(luò)的能耗。每個節(jié)點中的Agents基于人工免疫的基本原理，利用免疫系統(tǒng)的多樣性和自適應(yīng)性來加強(qiáng)對未知新型入侵的檢測。同時，各Agent之間通過疫苗注射來加快入侵檢測的速度，從而迅速提高了全網(wǎng)的安全性并延長了網(wǎng)絡(luò)的生存周期。IMADM符合無線傳感器網(wǎng)絡(luò)的動態(tài)特點，可成為無線傳感器網(wǎng)絡(luò)中繼加密、認(rèn)證等安全措施之后的又一安全保障措施。

[1]孫利民,李建中,陳渝.無線傳感器網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社.2005.

[2]Denning DE An Intrusion Detection Model [J].IEEE Tram Off Software Engineering.1987.

[3]楊黎斌,慕德俊,蔡曉妍.基于核聚類的無線傳感器網(wǎng)絡(luò)異常檢測方案[J].傳感技術(shù)學(xué)報.2009.

[4]王騏,王殊,盂中樓.無線傳感器網(wǎng)絡(luò)中一種基于接收功率異常的入侵檢測算法[J].計算機(jī)科學(xué).2009.

[5]Krishnamachari B,Lyengar S.Distributed Bayesian Algorithms for Dault-Tolerantevent Region Detection in Wireless Sensor Networks[J].IEEE Trans on Computer.2004.