基于危險理論的WSN入侵檢測模型的研究

葉勇 劉朝暉 彭大為

南華大學計算機科學與技術學院 湖南 421001

0 引言

國內外的研究者對基于生物免疫原理的無線傳感器的入侵檢測技術進行了一些研究。曾鵬等人首先提出來一種基于生物免疫的無線傳感器網絡安全體系結構；將免疫原理應用在WSN安全系統，但沒有具體實現，且只采用了入侵隔離處理惡意入侵節點。張楠、董曉梅等人對基于分簇的無線傳感器網絡免疫體系進行了研究，提出 Multi-Agent機制和備份簇頭選舉機制，對無線傳感器網絡的安全性有了較明顯的提升，但是所提到的算法都相對復雜，在計算能力限制的節點中響應時間較長。Martin Drozda等提出了人工免疫系統在無線傳感器網絡異常檢測下的應用及對應設計，但也只是相對簡單地從傳統網絡的基于免疫系統的移植，對無線傳感器網絡的特點考慮不夠深刻。

綜合上述可知，雖然基于人工免疫系統無線傳感器網絡的入侵檢測的研究有很多優點，但目前仍處于研究的初期，仍有很多不完善的地方。本文將基于危險理論對無線傳感器網絡的入侵檢測技術進行研究，旨在提出一種輕量級的無線傳感網絡入侵檢測模型。

1 基于免疫原理的WSN安全體系

1.1 WSN的入侵檢測特點

無線傳感器網絡相對傳統網絡一些明顯的不同：(1)無線傳感器網絡中的節點數目相當巨大，基于成本考慮節點必須為廉價的；而且各個應用場合對節點大多限制大小，因此節點大多小巧。綜合來看，節點的計算能力和存儲能力都相當有限。(2)節點的通信能力較弱，以及帶寬和通信能量都受到極大的限制。(3)傳感器節點通常所處的物理環境都比較復雜。(4)無線傳感器網絡具有移動性，因此網絡拓撲結構具有動態性和隨機性。因此無線傳感器網絡的安全性相對較弱，針對無線傳感器網絡的攻擊更加容易，隨著無線傳感器網絡應用的越來越廣泛，其安全問題也越嚴峻。

入侵檢測系統(Intrusion Detection System,IDS)不僅可以抵抗入侵者對網絡攻擊，而且還可以根據已知攻擊來加強系統。然而，入侵檢測系統在無線傳感器網絡上應用出現了挑戰，因為無線傳感器網絡節點無法提供傳統入侵檢測技術所需足夠多的資源，傳統的入侵檢測技術無法直接應用在無線傳感器網絡中。因此，建立一個輕量級適合無線傳感器網絡的入侵檢測技術隨著無線傳感器網絡安全問題的嚴峻而變得越來越緊迫。

1.2 危險理論

免疫模型的核心思想是區分自我與非自我(Self/NonSelf，SNS)。在 SNS思想中，不斷增加的抗原集需要有一個與之匹配的抗體集，這需要大量的計算。在無線傳感器網絡中，任何浪費計算資源和能量的大量計算都是系統需要避免的。為了挑戰SNS理論，以Matzinger為首的研究人員提出了危險理論(Danger Theory，DT)模式(圖 1)。在長期的研究中，人們發現免疫系統區分的不是自我與非自我，而是危險信號(Danger Signal)的有無。研究認為機體不是對所有體內的異己都進行免疫應答， 而是選擇那些有產生危險信號的抗原進行免疫應答。同時，在危險理論模式的免疫系統中，免疫應答的過程中只會激活危險區域內的抗體。危險理論模式應用于無線傳感器網絡中較傳統的 SNS模式可減少大部分能量的損耗，在資源使用和時間節省上都得到了很大的改善。在應答方式上也有所改進，只要產生了危險信號，就會對其應答，是一種動態的應答方式。相比動態應答方式具有更高的自適應性和更強的適用性，以及更低的誤報率。

圖1 危險理論模式

危險理論模式與SNS模式在很大程度上是相同的, 根本區別為免疫應答的觸發信號不同。免疫系統應答的觸發信號是由機體受損細胞向抗原提呈細胞(antigen presentation cells,APC)發出的危險信號，而不是由與機體沒有直接關系的抗原向 APC發出的入侵信號。細胞受損時會發出危險信號(Signal0)，并在其周圍一定區域內建立一個危險域。危險域中的抗原被APC捕捉并提呈，并且在一定條件下APC會向淋巴細胞發出一個協同刺激信號(Signal2)。而APC向淋巴細胞提呈抗原的時候，會活化增殖淋巴細胞使其產生抗原提呈信號(Signal1)。在Signal1和Signal2同時存在的情況下，APC將B 細胞或Tk細胞活化從而使其能產生抗體。具體過程如圖2。

圖2 危險理論應答過程

2 基于危險理論的WSN入侵檢測模型

基于危險理論的無線傳感器網絡的入侵檢測模型由五大模塊組成：危險信號檢測模塊、危險域建立模塊、抗原提呈模塊、抗原識別模塊和響應應答模塊。組件間的結構關系如圖3。

圖3 系統模型

定義：所有的數據集合為全集 A；所有未知數據為非我集N；正常的自身數據為自我集S；危險數據為危險集D；危險區域的抗原集 Ag。在危險理論模式中，它們的關系是S∩N =Φ ，S∪N =A，Ag =D ∩N 。危險理論認為免疫系統只識別 Ag，對危險信號D ∩ N∈Ag 則應答，而對于危險區域外的危險數據Dn=D∩S認為是無害集合，不產生免疫響應。

2.1 聚類分析模塊

一般來說，異常攻擊數據的數量是總是遠小于正常數據的數量的，且攻擊數據與正常數據相差較大。因此在數據處理的前端引入聚類分析模塊，其中的聚類算法對所監控的原始數據進行分類。可根據各類中數據量的大小來區分正常數據集合和攻擊數據集合。該模塊的引入不僅能節省系統的計算資源，同時也能加快檢測的速度和降低節點的能耗。

2.2 危險信號檢測模塊

該模塊實時監測系統環境，當系統環境的狀態變化超過了設定的閥值，該模塊發出與危險信號。模型中以數據的變化來界定危險的發生，即當流入數據的總體情況偏向了危險數據集合，該模塊就是從數據全集A中找出危險的集合D。

2.3 危險區域的建立

系統檢測到危險信號后，根據危險區域界定算法在其周圍建立跟危險信號大小相關的危險區。危險區隔離出識別的范圍，為抗原識別縮小了范圍，因此能加速免疫應答的響應時間，從而提高的系統檢測的實時性和正確率。理論上，危險區域是在空間上和時間上相關聯的一組對象的集合，也就是實現Ag=D ∩ N 的過程，有效的危險域建立算法與其應用環境和危險信號的定義密切相關。

2.4 抗原提呈模塊

當出現危險信號或抗原數據收集到一定的數量或出現系統異常時激活該模塊工作，通過在危險區識別抗原Ag，通過預處理將危險區域內的抗原 Ag轉化成為適合檢測模塊檢測的數據數據類型，提交到下一個模塊，以便進行下一步響應。

2.5 抗原識別模塊

根據免疫系統的分布性及特異性免疫的原理，特定的抗體能夠匹配特定類型的抗原，這種識別仍然有用，但并非免疫應答的必要條件。免疫應答的啟動，需要抗原識別信號sig1和危險信號sig0共同決定，這種雙重決策機制在一定程度上降低了系統的誤報率。

2.6 免疫應答響應組件

快速處理提交的入侵數據，在免疫系統中克隆選擇是應對入侵的基本算法，因此該模塊使用克隆選擇算法實現。

3 模型特征分析

WSN入侵檢測技術受到其節點資源的限制，無法移植傳統網絡中的安全策略，需要一個輕型的WSN入侵檢測技術。危險理論是一個挑戰基于人工免疫的入侵檢測系統中傳統的自我/非我模式而出現的一個新興理論。該模型在解決降低能耗，節省計算資源，提高準確性，高效性等方面有著顯而易見的優勢，具體如下：

(1) 降低低能耗：模型只對危險域內的抗原進行識別，不需要對所有的抗原進行識別。不需要完善的抗體集，省去了前期的大量計算。這些特點都有效地節省了節點能量。

(2) 節省計算資源：除去不需要完善的抗體集，省去了前期的大量計算之外，在匹配之前需要進行篩選確實確實有害的抗原，然后進行相應的特點也節省了很大的計算資源。

(3) 提高準確性：入侵的最終識別建立在抗原識別信號和危險信號雙重作用的機制上，有效的保障了系統的準確性，降低了虛假報警。

(4) 高效性。模型只對危險域內的抗原進行識別，并非對所有的抗原，一定程度上，改善了系統的效率，加快入侵響應的時間，有利于實時入侵檢測。

4 結束語

隨著無線傳感器網絡應用越來越廣泛，其安全問題日益突出，為此本文提出了一種基于危險理論的WSN輕型入侵檢測模型。該模型在解決降低能耗，節省計算資源，提高準確性，高效性等方面有著顯而易見的優勢。缺點是危險理論還是一個新興的理論，還有很多不成熟的地方。總的來說，該模型對于建立一個更加輕型的 WSN入侵檢測系統有重要的意義。

[1]Steven A.Hofmeyr,Stephanie Forrest,Immunity by Design:An Articial Immune System[J].Evolutionary Computation.2000.

[2]曾鵬,梁韡,王軍,于海斌.一種基于生物免疫原理的無線傳感器網絡安全體系[J].小型微型計算機系統.2005.

[3]張楠,張建華,陳建英.WSN中基于免疫Multi-Agent 的入侵檢測機制[J].計算機工程與科學.2010.

[4]董曉梅,周越德,李曉華.一種無線傳感器網絡數據安全免疫體系結構[J].計算機科學與探索.2010.

[5]Martin Drozda,Sven Schaust,Helena Szczerbicka.AIS for Misbehavior Detection in Wireless Sensor Networks: Performance and Design Principles[J].2007IEEE Congress on Evolutionary Computation.2007.

[6]Uwe Aickelin, Steve Cayzer,The Danger Theory and Its Application to Artificial Immune Systems.1st International Conference on AIS.2002.