無線傳感器網絡中基于免疫原理的DoS 攻擊檢測算法*

江 超

(吉林師范大學 數學學院，吉林 四平136000)

0 引 言

無線傳感器網絡(WSNs)傳輸能力、計算能力、存儲能力、感知能力等方面的限制，安全面臨著巨大的挑戰。拒絕服務(denial－of service，DoS)攻擊在 WSNs 中是常見的［1］，而且危害巨大。攻擊者通過干擾無線信道，大量重放、插入或丟棄報文等手段發起攻擊，削弱和消耗傳感器節點有限的能量，使網絡部分或全部癱瘓。

WSNs 需要具有節能、易擴展、分布式特點的多層安全體系，生物免疫原理為WSNs 安全體系的建立提供了堅實的基礎。生物免疫系統是在長期的進化過程中形成的一套嚴密的、安全高效的、多層次的體系。該體系中不同層次的不同成員嚴格遵守各自的規則，協同抵御各種抗原的襲擊［2］，特別符合 WSNs 安全機制的需求。但是，WSNs 與生物系統畢竟還存在著巨大差異，這使得應用醫學原理的WSNs 安全機制同樣面臨一些挑戰性問題:機密性保護、入侵的界定、知識存儲、多節點協作信息處理技術。傳感器網絡節點局部協同的工作模式要能夠實現對被觀測區域內所發生事件進行探測、分類和跟蹤，并滿足實時性要求，其實現方面還存在著困難。

目前對WSNs 安全機制研究和基于生物免疫原理的網絡安全機制的研究還處于初級階段。文獻［3］中提出了一種人工免疫系統(artificial immune system，ARTIS)通用框架，并應用到了計算機安全領域中，對于免疫入侵檢測在計算機中的發展起到了重要作用。文獻［4］在文獻［3，5］的基礎上，提出了一種動態克隆選擇(dynamic clonal selection，DynamiCS)算法，進一步證明了生物免疫原理在信息學領域的可行性。在文獻［6］中，對生物免疫原理進行了更為形式化的描述，給出了一個基于人工免疫機理的動態入侵檢測模型，更好地推動了生物免疫原理在信息學領域的應用。上述這些模型的特點主要體現在對人體自然免疫系統的模擬和抗體與抗原集合的動態結構演化上。只是限制在模仿層面上，并不能完全體現人工免疫算法的特點與優勢。文獻［7，8］中，對生物免疫學原理在信息學中的應用又做了進一步的研究，但仍具有一定的局限性。

1 基于生物免疫原理的無線傳感器網絡安全算法

根據現階段無線傳感器網絡發展現狀和安全需求，本文設計了一種基于生物免疫原理的DoS 攻擊檢測算法--DDMI。

1)DDMI 算法體系結構

DDMI 算法的安全體系結構包含4 個層次，如圖1 所示。

圖1 WSNs 安全體系結構圖Fig 1 Structure diagram of WSNs security system

偽裝和防篡改設計:處于安全體系的最外層，節點硬件設計時，通過偽裝和防篡改機制，可降低節點暴露與被策反的幾率。該層采用成熟的硬件設計方法實現，在此不做深入研究。

全局密鑰加密:是安全系統的第二層，加密可以克服WSNs 信息易被竊聽的弱點;并可以防止被策反后的節點成為破壞能力更強的內部攻擊。該層采用簡單的成熟加密算法，在此不做深入研究。

已知入侵識別:是安全體系的第三層，該層模擬生物的先天性免疫系統，主要功能是分析提取已知網絡入侵模式，建立網絡入侵特征庫，檢測并確認網絡入侵。

未知入侵識別:是安全體系的最內層，該層模擬生物體適應性免疫系統，用于識別和學習新的網絡入侵方式。在新的網絡攻擊方式不斷涌現的今天，該層越來越重要。

2)入侵特征庫的建立

對于入侵特征庫的建立，本文擬采用基于粗糙集的知識獲取方法，模型如圖2 所示。

由于缺乏傳感器網絡入侵模式和正常網絡行為的統計數據，以及沒有傳感器網絡知識獲取研究的先例可借鑒，DDMI 算法確定采用基于實驗樣本分析的方法，研究傳感器網絡入侵特征庫建立。其中，特征屬性包括:節點發送報文的頻率、報文的源地址和目的地址、報文長度、不同類型報文在總報文數量中所占的比例等。

圖2 入侵特征庫知識獲取模型Fig 2 Knowledge acquisition model of intrusion characteristic library

由于傳感器網絡負載極度不均衡、結構高度分散，獲取實驗數據的周期較長，可獲得的樣本數量有限、不完整、不精確。粗糙集理論在實現這種樣本的知識發現和約簡方面有天然的優勢。因此，本文擬采用基于粗糙集(rough sets)的知識獲取方法實現入侵知識的學習。

Pawlak Z 于1982 年提出的粗糙集理論［9］是一種處理不完整性和不確定性的數學工具，能有效地分析和處理不精確、不一致、不完整等各種不完備信息。知識表達是粗糙集理論的關鍵部分，是要從大量的原始數據信息中分析發現有用的規律信息，即將知識從一種原來的表達形式轉換為一種新的目標表達形式(人類或計算機便于處理的形式，如邏輯形式等)。

3)生物免疫原理的學習和記憶

免疫識別過程同時也是一個學習過程，學習的結果使傳感器節點的入侵檢測能力提高、群體規模擴大，并且最優入侵特征庫。免疫學習大致可分為2 種:一種發生在新入侵檢測階段，即免疫系統首次識別一種新的入侵時，其檢測時間和消耗能力也相對較長;而當節點重復遇到同一入侵時，由于免疫記憶機制的作用，入侵特征庫中已經加入了新入侵特征，免疫系統對該入侵的檢測速度大大提高，并且能量消耗大為減少，這個過程是一個增強式學習過程。

2 安全算法的實現

2.1 定 義

信息表知識表達系統M 形式化地表示為四元組M =(U，R，V，f)，其中，U={x1，x2，x3，…，xn，n∈N}為樣本的集合，即論域，R= C∪D 是屬性集合，子集C 和D 分別稱為條件屬性和決策屬性，V 是屬性值的集合，f:U·R→V 是一個信息函數，它指定U 中每一個樣本x 的屬性值。在本文算法中屬性規定為R ={節點發送報文的頻率，報文的源地址，目的地址，報文長度，不同類型報文在總報文數量中所占的比例}。

對于屬性子集B?R 和相應決策邏輯語言L，本文作如下定義:

定義1 對于每個屬性子集B?R，定義一個不可分辨關系IND(B)

顯然，IND(B)是一個等價關系(具有對稱性、自反性、傳遞性)。

定義2 決策表在粗糙集中起重要作用，也是一種具有特定功能的信息表，它表示滿足某些條件時，決策(行為、操作、控制)應當如何進行。可表示為 S = (U，R，V，f)，R =C∪D 是屬性集合，子集C 和D 分別稱為條件屬性和決策屬性，D≠Ф。

定義3 給定信息表M，對于每個子集X?U 和不可分辨關系B，X 的上近似集和下近似集分別可定義由B 基本集定義如下

B*= ∪{Yi|(Yi∈U| IND(B)∧Yi?X)}

B*=∪{Yi|(Yi∈U| IND(B)∧Yi∩X≠Ф)}

定義4 集合BNB(X)= B*(X)B*(X)稱為X 的B邊界;POSB(X)= B*(X)稱為B 正域;NEGB(X)=UB*(X)稱為X 的B 負域。對邊界域定義之后，可以得到上近似集、下近似集、正域、邊界域之間如下關系

定義5 假設集合X 是論域U 上的一個關系知識B 粗糙集，定義其B 精度為

其中，X≠Ф;如果X=Ф，則規定dB(X)=1。

定義6 假定集合X 是論域U 上的一個關于B 粗糙集，定義其B 的粗糙度為

PB(X)=1 － dB(X)，

X 的粗糙度與精度剛好相反，表示集合X 的知識的不完全程度。

定義7 新入侵特征xi與入侵特征庫中的特征xk之間的相似度為

其中，i，k=1…N，且 i≠k，N 為入侵特征屬性數量;j =1…n，n 為特征庫中某個特征的屬性數量值，aj，bj為 j 維空間的約束條件。當A 大于某個限定值K 時，認為入侵特征與特征庫中某特征值相同，確定為入侵。

2.2 算法描述

本文中的算法分為2 個階段，檢測規則形成階段和入侵特征庫更新階段(學習階段)。

1)在一個檢測周期T 內，收集節點周圍監聽的數據，提取數據特征，寫入信息表M 中。

2)對信息表M 進行屬性約簡，將收集的數據集進行屬性整理，對入侵檢測屬性進行約簡(在M 中刪除重復數據和無關數據)，刪除冗余入侵屬性數據。

3)檢測網絡運行有無異常，如果正常，進入下一個檢測周期T+1，轉到步驟(1);如果異常，用經過屬性約簡后的信息表構建決策表，導出規則屬性。對照特征庫中數據，查找異常特征是否存在，如果存在，將按已設置方法隔離、消除入侵節點;否則，進入步驟(4)。

4)對異常特征進行分類，使集合R 逐漸清晰，并判斷BNB(X)是否為空集或小于閾值 To，如果為否，則令X =BNB(X)，重復步驟(4)。其中，To=PB(X)。

5)將分類后的異常特征通知Agent，Agent 根據異常特征確定異常節點，并定位入侵節點，用廣播方式通知簇內的節點，簇內節點接到通知后，將不再與入侵節點進行通信，達到消除入侵節點的作用。

6)將異常特征寫入特征庫。

If(check(xi)= =true and check(xi)= =new)

Then write(xi);k=k+1;

Else if(check(xi)= =false or not new)

Then i=i+1;

End if;

等待進入下一檢測周期，轉到步驟(1)。

3 仿真與性能分析

3.1 仿真環境

本文在仿真軟件NS2 環境中，200 m ×200 m 的區域內布置了1000 個節點和20 個基站。每個節點的原始能量為2.5 J，采樣周期為100 s，基站為攜帶較多能量的節點，可暫不考慮能量問題，而只考慮普通節點的能量消耗。入侵節點25 個，在每個檢測周期呈現不同狀態(睡眠、等待、激活等)。

3.2 流量分析

DoS 攻擊是以消耗網絡能量、迫使網絡癱瘓為目標的，網絡流量明顯增加是其主要特征之一。圖3 為WSNs 在理想狀態(無DoS 攻擊)下，網絡流量情況。圖4 是 DDMI 算法中，根據網絡運行情況，判斷出的網絡流量。從圖3 與圖4 比較可以看出:網絡流量趨勢大致相同，在誤差允許的前提下，可以認為二者是相同的，也就是說DDMI 算法中判斷所得網絡流量可以近似代替理想狀態下WSNs 的網絡流量。這樣，在WSNs 正常運行狀態(可能有DoS 攻擊)下，受到攻擊時，網絡流量會與DDMI 算法中的判斷的網絡流量產生明顯不同的趨勢，即初步斷定網絡受到攻擊。

3.3 能量消耗

圖3 WSNs 流量圖Fig 3 Flow diagram of WSNs

圖4 DDMI 算法中判斷網絡流量圖Fig 4 Diagram of networks flow judged by DDMI algorithm

圖5 為節點平均能耗與入侵次數關系圖。由圖中曲線可以看出:在網絡沒有受到入侵時，節點平均能耗僅為維持網絡運行的能耗值。當發生網絡入侵時，在前10 次之內，平均能耗迅速增加，在入侵達到10 次以上時，能耗相對平穩，而且保持在一個相對較低的水平。這一現象與生物免疫學原理中的記憶和自學習能力相吻合，也就是當網絡剛剛發生入侵時，特征庫內還沒有入侵節點的特征，簇內節點如沒識別入侵，需要消耗較多能量進行入侵識別、檢測、寫入特征庫等工作后才能完成識別入侵的任務;當發生幾次入侵后，特征庫中已經記錄了發生過的入侵節點特征，同種入侵再次發生時，就會變成已知入侵，節點只需要對照特征庫中入侵節點的特征，就可以采取相應防御手段，隔離并消除入侵，所以，當大多數入侵都變為已知入侵時，能量消耗變得相對平穩，基本處于未發生入侵之前的狀態。

圖5 節點能量隨入侵發生次數關系圖Fig 5 Diagram of relation between node energy and intrusion numbers

從圖5 中，還可以發現在未使用DDMI 方法之前，節點能量隨著網絡入侵發生的次數不斷減少，直至能量完全消耗。說明不使用DDMI 算法，網絡不具有的記憶和自學習能力，每次入侵都需要進行同樣的檢測，并采取相應的方法隔離入侵節點，這樣，每次入侵檢測都需要消耗一定量的能量，最終由于不斷發生DoS 攻擊使得能量耗盡，網絡癱瘓。使用DDMI 算法，使得網絡具有自學習和識別功能，相同性質的網絡入侵，無需檢測就可以對照入侵特性庫判斷，并采取相應方法，大大減輕了相同入侵對網絡能量的損耗。

3.4 檢測入侵能力分析

以WSNs 中常見的8 種資源消耗型DoS 攻擊(擁塞攻擊、泛洪攻擊等)方式為例，通過仿真對本文提出的DDMI算法檢測能力進行比較，如圖6 所示。其余6 種DoS 攻擊為服務程序漏洞型，只需在發送源地址和目的地址的同時，加發TCP SYN 包，就可以使該服務完全停止。而且，已有較成熟的路由協議，本文不再討論。

從圖6 可以看出:隨著檢測周期不斷進行，檢測率不斷增加，最后達到(接近)100%，這說明，DDMI 算法可以檢測出WSNs 中全部DoS 攻擊。曲線是逐漸達到最大值的，這是本文算法具有學習能力的一種體現，因為隨著時間推移，每檢測出一種新攻擊，就加入到入侵特征庫中，這樣，當全部DoS 攻擊都被加入到入侵特征庫時，網絡就可以完全識別全部DoS 攻擊，使檢測率達到100%。

圖6 相似度A 取不同值時檢測率比較Fig 6 Detecting rate contrast while A value of similarity is different

從圖6 中還可以看出:3 條曲線并不完全相同，這是由入侵特征xi與入侵特征庫中的特征xk之間的相似度A 決定的。當A 值較大時，說明入侵特征與入侵特征庫中的特征屬性值相似度高，容易判斷入侵的種類(通過與入侵特征庫中特征值對照)，也容易采取相關措施隔離、消除入侵;反之，A 值較小時，入侵特征與入侵特征庫中特征屬性值相似度低，不易辨別入侵種類，甚至可能將其當成庫中沒有入侵進行處理，極大地浪費了時間和通信資源。選取合適的A 值會使網絡達到良好的運行狀態。

3.5 錯檢率分析

從圖7 可以看出:錯檢率隨閾值To的增加而增加。閾值To表示粗糙集的粗糙程度，也就是說將收集到的信息處理和分析得精確度、完整性、一致性越高，錯檢率就越低，也就是越容易檢測入侵。

圖7 闕值To 對錯檢率的影響Fig 7 Effect of threshold To on false detecting rate

4 結 論

本文在對WSNs 中DoS 攻擊進行分析的基礎上，結合生物免疫原理，提出基于生物免疫原理的DoS 攻擊檢測算法。采用粗糙集很好地解決了WSNs 信息的不完整性和不確定性。仿真結果表明:在使用了本文提出的DDMI 算法后，對于DoS 入侵攻擊的檢測率可以達到100%。入侵特征庫和自學習能力的引入也使得入侵檢測高效和節能。

降低粗糙程度可以使錯檢率降低，使入侵檢測更準確，但在WSNs 中，能量、計算能力及內存都是有限的，如何在減少能量消耗的情況下，降低粗糙程度，保證檢測率更高，將是今后需要繼續研究的課題。

［1］ Raymond D R，Midkiff S F.Denial－of－service in wireless sensor networks:Attacks and defenses［J］.IEEE Pervasive Computing，2008，7(1):74 －81.

［2］ Hofmeyr S.An immunological model of distributed detection and its application to computer security［D］.Albuquerque:University of New Mexico，1999.

［3］ Hofmeyr S，Forrest S.Architecture for an artificial immune system［J］.Evolutionary Computation，2000，8(4):443 －473.

［4］ Kim J，Bentley P.Towards an artificial immune system for network intrusion detection:An investigation of dynamic clonal selection［C］∥Proceedings of the 2002 Congress on Evolutionary Computation，CEC’02，Washington DC，USA，IEEE Computer Society，2002:1015 － 1020.

［5］ 李 濤.計算機免疫學［M］.北京:電子工業出版社，2004.

［6］ 李 濤.Idid:一種基于免疫的動態入侵檢測模型［J］.科學通報，2005，50(17):1912 －1919.

［7］ 公茂果，郝 琳，焦李成，等.基于人工免疫系統的數據簡化［J］.軟件學報，2009，20(4):804 －814.

［8］ 嚴宣輝.應用疫苗接種策略的免疫入侵檢測模型［J］.電子學報，2009，37(4):780 －785.

［9］ Pawalk Z.Rough sets-Theoretical aspects of reasoning about data［M］.Dordrecht:Kluwer Academic Publishesr，1991.