基于危險免疫理論的物聯網感應層安全感知模型

周根記等

摘要：針對傳統物聯網安全的靜態被動防護方法和技術，應用免疫危險理論，建立基于危險免疫理論的物聯網感應層安全感知模型。模型采用分布式結構設計以適應感應層節點的分布；同時針對感應層面臨的各種攻擊，按照危險程度將其劃分為不同的危險等級，模型對各種危險等級的攻擊采取與之對應的感知策略，從而定量的感知整個感應層的安全態勢。模型分析和仿真結果表明提出的危險感知模型有效地提升了物聯網感應層的安全性能。

關鍵詞：危險免疫理論； 物聯網安全； 感知

中圖分類號：TP393 文獻標識碼：A文章編號：2095-2163（2013）06-0006-04

0引言

物聯網是在互聯網的基礎上，將其用戶端延伸和擴展到任何物品與物品之間進行信息交換和通信的一種網絡。1999年在美國召開的移動計算和網絡國際會議上，MIT Auto-ID中心的Ashton教授首先提出物聯網（Internet of Things）概念[1]。物聯網現已成為當前世界新一輪經濟和科技發展的戰略制高點之一，發展物聯網對于促進經濟發展和社會進步具有重要的現實意義[2]。隨著物聯網的發展， 安全問題逐漸顯露出來，并成為制約物聯網發展的瓶頸[3]。

物聯網的安全問題與生物免疫系統（Biological Immune System， BIS）所要解決的問題具有較大的相似性，即都是要在不斷的變化的環境中保持系統的穩定性。生物免疫系統（BIS）具有的多種優良特性（免疫識別、免疫記憶、快速免疫應答、多樣化、魯棒性等）得到了很多學者的關注[4-5]，基于BIS原理的人工免疫系統（Artificial Immune System， AIS）已經成為現今信息安全領域的研究熱點，并涌現了一批研究成果。Matzinger在免疫應答機制方面做了重大的突破，并引入了危險理論[6]，該理論擺脫了傳統模型的束縛和局限，指出危險信號是產生免疫應答的原因，而危險信號是由受損細胞決定的，危險模式中不再有“自體”“非自體”這個概念，而只是“危險”還是“不危險”兩種概念。英國Nottingham大學的Uwe Aickelin小組將危險理論應用到入侵檢測中[7]，目標是為危險模式理論建立一個計算模型，以定義、研究和發現危險信號，并根據該模型建立一些新的算法，以此來構造具有較低誤報率的入侵檢測系統。文獻[8]基于危險理論，提出了一種新的網絡攻擊態勢評估方法，并且該方法可彌補基于自體/非自體識別機理的傳統人工免疫網絡態勢感知技術自體集龐大、免疫耐受時間長等不足。文獻[9]基于自體和非自體建立了入侵檢測模型，并進行了仿真實驗，同時對一些重要的參數給出了實驗分析，該模型具有一定適應性和多樣性。文獻[10]基于免疫危險理論建立一種新型網絡入侵檢測模型，還提出了基于危險理論的入侵檢測模型算法，仿真實驗表明基于危險理論的模型具有較低的錯誤肯定率；另外，該文獻中還提出了基于危險理論的方法，定義了危險信號，進一步定量計算了危險信號。文獻[11]設計了基于危險理論的多 Agent 免疫模型，該模型有效解決了危險域的較難控制問題，并對危險域進行了合理的劃分，對危險進行多層的應答。除此之外，文獻[12]又采用數據場來模擬危險理論中的組織，模仿生物學的概念，危險信號從組織中計算而得來。

然而，在真實的物聯網系統中，安全策略是不斷變化的，以上文獻中，雖然有部分學者給出了動態演化策略，但并未給出具體的動態反饋方法。本文借鑒免疫危險理論中感知細胞異常死亡的危險信號并激活抗體識別與響應有害的異己和自體的原理，建立物聯網感應層安全感知模型，并基于此而提出一種集危險信號感知、攻擊主動響應為一體的物聯網感應層主動防御方法，由此提升物聯網感應層安全體系的主動性和適應性。

1危險理論基本原理

危險理論（Danger Theory，DT）主要思想如下：

（1）自適應免疫系統區分的不是自我/非我，而是危險信號（danger signal）；

（2）免疫系統中免疫細胞受損或者非正常死亡時，均會產生危險信號，進而激活免疫反應；

（3）在DT中，自適應免疫中的細胞并不攻擊自身的宿主。

免疫理論中的免疫反應是個體在受到危險時刻的刺激反應，不是對機體的非自我的反應。圖1闡明了危險模式的識別機制：危險信號→激活APC→激活T細胞→免疫應答；沒有危險信號→未激活APC→T細胞耐受。

當非正常死亡的細胞產生危險信號，會在抗原周圍建立危險區域，在這個危險區域內的APC捕獲抗原進行抗原提呈，在此區域內匹配抗原的淋巴細胞被激活進入克隆選擇，而在此區域之外的淋巴細胞則不能被激活。Matzinger同時還從雙信號協調識別的角度定義危險理論[13]，即免疫系統激活需要兩種信號：抗原識別信號（signal）和協同刺激信號（signal2）。協同刺激信號是對抗原識別的確認，即認定被識別到的抗原確實為一入侵行為，而在危險模式理論中則對應著危險信號，即認定該抗原確實是危險的。

2基于危險免疫理論的安全感知模型

2.1 術語定義

定義論域S = {0，1}n，n為正整數，抗原集合 AgS，自體集合 SelfAg，非自體集合 NonselfAg，則有 Self∪Nonself = Ag，且 Self∩Nonself = 。其中，Ag表示物聯網感應層的所有事務的二進制表示，Self集合表示正常的服務事務，Nonself集合表示受到的外部的攻擊。

由上述的定義可知，Self 和Nonself 各由m個片段組成（每個片段可以看做是一個獨立的服務或者外部攻擊），假設Self=Self1+Self2+……+Selfm-1+Selfm，Nonself=Nonself1+Nonself2+…+Nonseflm。其中，符號“+”表示連接運算。設a為人工免疫淋巴細胞，n為a檢測到的抗原數目（即匹配數），age為a的年齡，danger代表危險信號，Ab表示抗體集合，檢測器集合Sdetector的定義可以表示：

其中，N表示自然數集合，R表示實數集合。

在安全感知模型中，免疫細胞（免疫淋巴細胞）作為檢測器用來檢測感應層的攻擊，分為記憶免疫細胞、成熟免疫細胞和未成熟免疫細胞。其中，未成熟免疫細胞是新生成的、尚未進行自我耐受的免疫細胞，即其處于初始化狀態；成熟免疫細胞是成功經歷了否定選擇的檢測器，在其生命周期內已經匹配到一定數目的被激活的免疫細胞；記憶免疫細胞是從被激活的成熟免疫細胞進化而來的，達到激活閾值的有效免疫細胞，用來模擬生物系統的二次應答，而其具有一個可以設定指定值的生命周期。用Smemory、Smature和Simmaturate表示記憶免疫細胞、成熟免疫細胞和未成熟免疫細胞的集合，并且滿足 Smemory∪Smature∪Simmaturate=Sdetector，Smemory∩Smature∩Simmaturate=。

2.2危險信號定義

物聯網感應層可能受到的攻擊可描述為如下形式：

（1） 物理攻擊：對節點的直接破壞；

（2）重放攻擊：敵手截獲節點傳播的信息，對這些截獲的信息進行重新發送，造成節點感應錯誤；

（3）DoS攻擊：針對節點攜帶的能源有限，該攻擊消耗節點資源，使其喪失運行能力；

（4）完整性攻擊：感應層（如無線傳感器網絡）是一個多條和廣播性質的網絡，敵手對傳輸的信息進行篡改等攻擊，造成網絡的決策失誤；

（5）假冒攻擊：在某些特定的場合，節點傳輸和接受信息需要一個合法的用戶身份，敵手截獲一個合法的用戶身份之后，利用這個身份來假冒該合法用戶入網；

（6）Sinkhole攻擊：敵手利用性能強勁的節點干擾其通信范圍內的其他節點，破壞基于距離向量的路由機制，并形成路由黑洞。

本文研究的危險信號是一個集合，由上述各種情況下產生的危險信號共同構成，即危險信號（danger signal）是所有與系統失衡相關的變量的變化的集合。

2.3危險信號等級劃分

本模型根據所面臨的定量總體危險進行危險感知及相應策略設定，危險程度越高，感知就越敏感，相應策略就越嚴厲，反之感知就相對遲緩，相應策略就相對溫和。本文中，根據2.2中所定義的危險信號進行等級劃分，結果如表1所示。危險等級數值越大，表明危險程度越高。

編號危險信號危險等級1Dos攻擊12重放攻擊23完整性攻擊24假冒攻擊35Sinkhole攻擊36物理攻擊4

2.4危險信號計算

根據危險理論，系統中的記憶免疫細胞和成熟免疫細胞用于感應層攻擊，并產生危險信號；模擬二次免疫應答功能，設定先由記憶免疫細胞進行檢測。考慮到物聯網感應層主要是一些FRID標簽或是無線傳感器節點，而且均是分布式結構，記憶免疫細胞和成熟免疫細胞將放置于每一個FRID標簽或者無線傳感器節點上，對于危險信號的計算方法可進行如下描述：

每檢測到一次抗原，且在危險區域內，則下一時刻該節點的危險信號按照線性遞增。

其增加的幅值與相應的危險因子的危險等級（表1）相關，得出感應層受到持續的攻擊時，檢測器產生的危險信號按照線性增長。

與此相反，當在規定的時刻內，沒有檢測到一次抗原，則下一時刻該節點的危險信號逐漸遞減。當感應層不再受到攻擊，檢測器在該時間間隔內也沒有檢測到攻擊抗原，危險值就會減小。如果連續p（p∈N）個時間間隔均未檢測到攻擊抗原，危險值持續減小，p越大，危險值越小，表明危險在衰減，當pl，x（t+1）0，該類危險將被清除，l的取值參照相應的危險因子。

在某一時刻，某一節點可能受到多種攻擊，則此時該節點的危險信號按照如下方法計算：

x（t）=x（t）1+x（t）2+…+x（t）n（2）

其中，x（t）1，x（t）2，x（t）n分別對應不同的危險因子產生的危險信號值。

物聯網感應層的體系結構是分布式的，依據上述危險信號的計算方法，整個感應層在t+1時刻安全態勢可以通過融合每個節點在t+1時刻的危險信號而得到，該任務由每個區域的匯聚節點負責實現。

3模型分析與仿真

3.1模型分析

從理論分析，上一節提出的安全模型是可行的，這可從以下兩點論證得出：

（1）根據Smemory和Smature的定義可知，模型中實施攻擊檢測的免疫細胞模擬了物聯網感應層的危險檢測規則。同時，在同一時刻感應層受到多種攻擊時，Smemory和Smature中的因子越多，式（2）表明模型感知到的危險信號值越準確，模型感知到的安全態勢就越準確，此外，模型中用于檢測攻擊的記憶免疫細胞和成熟免疫細胞都是動態生成的，能夠滿足真實服務環境變化的需求。

（2）物聯網感應層的節點是分布式體系結構，在每個節點中設置代表其編號的信息，當檢測到攻擊時，在發送給匯聚節點的信息末尾插入其編號，匯聚節點在接受到其他節點發送的信息后，可以通過編號得知哪里受到了攻擊。

綜上所述，本文提出的基于免疫理論的物聯網感應層安全感知模型是可行的。該模型可以實時感知某個區域乃至整個感應層的安全態勢。并且，該模型感知到的安全態勢隨著受到的攻擊強度和周期的變化而變化，危險信號的變化策略能夠顯示安全態勢的細小變化，即對安全態勢的變化的感知是敏感的。

3.2仿真

為驗證本文提出的模型的有效性，進行了仿真：仿真采用單一變量，感應層遭受Dos攻擊，兩個實驗組分別是應用了本文提出的模型和未應用此模型，在正常情況下和遭受Dos攻擊情況下，當危險信號積累到一定值的時候，采取反饋措施。其實驗數據如表2所示，實驗結果如圖2所示。

4結束語

危險免疫理論是近年來人工免疫系統中開發得到的一種新的方法，本文將其引入到物聯網感應層的安全領域中，建立安全感知模型，仿真結果表明該模型能夠有效提高物聯網感應層的安全性能。

參考文獻：

[1]FLOERKEMEIER C， LANGH E M， FLEISCH E， et al. The internet of things [C] // proceedings of the First International Conference For Industry And Academia. Zurich，Swit zerlan d： Springer， 2008： 49- 52.

[2]工信部[EB/OL].《物聯網“十二五”發展規劃》.http：//www.miit.gov. cn/n11293472/n11293-832/n11293907/n11368223/14457071.html.

[3]ROLF H. Internet of things - need for a new legal environment [J].Computer Law & Security Review， 2009， （25）： 522 - 527.

[4]DE ROECK N A. Multimodal dynamic optimization：from evolutionary algorithms to artificial immune systems[J]. Lecture Notes in Computer Science， 2007，4628：13-24.

[5]LI T. An immunity based network security risk estimation[J].Science in China Ser. F Information Science， 2005， 48：557-578.

[6]MATZINGER P. Tolerance， danger and the extended family [J]. Annual Review of Immunlogy， 1994，（12）： 991-1045.

[7]AICKELIN U， CAYZER S. The danger theory and its application to artificial immune systems[C] // Proceeding of the 1st Inernat Conference on Artificial Immune System （ICARIS2002），Canterbury，UK，2002：141-148.

[8]孫飛顯.一種受危險理論啟發的網絡攻擊態勢評估方法[J].計算機工程與應用， 2012， 48（2）： 8-10.

[9]許春， 李濤， 劉孫俊， 等. 基于免疫危險理論的新型網絡入侵檢測方法研究[J].南京郵電大學學報， 2006，26（5）：80-85.

[10]梁可心，李濤.一種基于人工免疫理論的新型入侵檢測模型[J].計算機工程與應用，2005（2）：129-131.

[11]袁細國.基于危險理論的多 Agent 人工免疫模型的研究[D].武漢：武漢科技大學，2007.

[12]李雪.基于免疫危險模式的入侵檢測研究[D].武漢： 武漢科技大學， 2009.

[13]MATZINGER P. The danger model： a renewed sense of self. 2002，296：301-304.