基于免疫原理的無(wú)線傳感器網(wǎng)絡(luò)Multi-Agent入侵檢測(cè)研究

李云凌， 韓曉霞， 穆躍宏

(太原理工大學(xué) 信息工程學(xué)院，山西 太原 030024)

0 引 言

由于無(wú)線傳感器網(wǎng)絡(luò)(wireless sensor networks,WSNs)節(jié)點(diǎn)一般分布在無(wú)人看守的空曠地帶，接觸到的環(huán)境非常惡劣且節(jié)點(diǎn)自身的防范能力很差，很容易被入侵，而且僅靠自身攜帶的電池供電，能量非常有限，因此,如何提高入侵檢測(cè)率、降低節(jié)點(diǎn)能耗是當(dāng)前無(wú)線傳感器網(wǎng)絡(luò)必須考慮的困難問題[1]。

1987年,Adelman率先將生物免疫技術(shù)應(yīng)用到計(jì)算機(jī)安全領(lǐng)域，為研究計(jì)算機(jī)網(wǎng)絡(luò)安全方面提供了一個(gè)全新的思路。因?yàn)樯锩庖呦到y(tǒng)同無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的工作機(jī)理具有很高的相似性，將生物免疫技術(shù)引入到網(wǎng)絡(luò)安全領(lǐng)域的入侵檢測(cè)系統(tǒng)中具有很高的可行性，所以,Kim J等人一直致力于研究基于生物免疫的入侵檢測(cè)系統(tǒng)[2]。 Multi-Agent技術(shù)的引入在解決較大規(guī)模的網(wǎng)絡(luò)入侵檢測(cè)方面具有很強(qiáng)的魯棒性和可靠性，并且有較高的問題求解效率。綜合生物免疫理論與Multi-Agent技術(shù)，并將免疫M(jìn)ulti-Agent技術(shù)應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)是一個(gè)很好的思路[3]。

1 免疫系統(tǒng)原理

1.1 免疫系統(tǒng)結(jié)構(gòu)

免疫系統(tǒng)由免疫分子、免疫細(xì)胞、免疫組織和器官組成的復(fù)雜系統(tǒng)，其結(jié)構(gòu)本質(zhì)上是多層次的防御系統(tǒng)，它在4個(gè)層次上保護(hù)人體不受外界細(xì)菌和病毒的侵?jǐn)_。第一層是皮膚，是人體抵抗感染的一個(gè)天然屏障；第二層是生理環(huán)境，人體體液中特殊的pH值和溫度范圍等生理要素為外來(lái)有機(jī)體提供了非常不適宜生存的環(huán)境;第三層和第四層分別是先天性和獲得性免疫系統(tǒng)(統(tǒng)稱為適應(yīng)性免疫系統(tǒng))，是帶來(lái)開發(fā)入侵檢測(cè)系統(tǒng)的主要靈感來(lái)源[4]。

適應(yīng)性免疫系統(tǒng)具有自學(xué)習(xí)和分析的能力，對(duì)于入侵到系統(tǒng)內(nèi)部的有害物質(zhì)(如抗原)能夠通過分析自適應(yīng)地去識(shí)別，并產(chǎn)生相應(yīng)的抗體去清除入侵抗原。生物體內(nèi)起免疫作用的淋巴細(xì)胞主要包括T細(xì)胞和B細(xì)胞2種。B細(xì)胞的主要功能是免疫保護(hù)，對(duì)外部入侵的有害物質(zhì)(抗原)進(jìn)行識(shí)別并產(chǎn)生相應(yīng)的抗體；T細(xì)胞主要作用是能夠直接殺死抗原細(xì)胞，輔助或抑制B細(xì)胞產(chǎn)生抗體。當(dāng)病原體入侵機(jī)體后，被一些B細(xì)胞識(shí)別，這些B細(xì)胞在T細(xì)胞的作用下分裂，分泌抗體來(lái)消滅病原體，發(fā)生免疫應(yīng)答[5]。其原理圖如圖1所示。

圖1 免疫系統(tǒng)結(jié)構(gòu)圖

1.2 抗體優(yōu)良選擇

本文采用了優(yōu)良抗體疫苗提取接種技術(shù)使抗體應(yīng)對(duì)不同變異、復(fù)雜的抗原，不但增加了抗體的多樣性，而且也能夠提高優(yōu)良抗體繁殖的概率。首先，將記憶免疫細(xì)胞群的不同抗體進(jìn)行分類，這里采用聚類算法對(duì)其分類，在分類的基礎(chǔ)上選取若干個(gè)體進(jìn)行優(yōu)良篩選，然后，將選取的優(yōu)良抗體作為疫苗修改其某些部位上的基因，使其形成一個(gè)成熟免疫細(xì)胞集合，從而實(shí)現(xiàn)優(yōu)良基因代代相傳。本文做如下定義：

定義1 疫苗va為長(zhǎng)度L的字符串，由0,1，*組成；vak為疫苗va第k個(gè)基因位上的編碼。

提取疫苗公式如下

接種疫苗操作如下

2 基于免疫原理Multi-Agent入侵檢測(cè)模型與檢測(cè)機(jī)制

2.1 檢測(cè)模型的建立

根據(jù)Russel和Norvig的觀點(diǎn)[7]，Agent可以是任何能通過傳感器感知環(huán)境并通過效應(yīng)器作用于環(huán)境的事物。Agent所具有的自治性、響應(yīng)性、主動(dòng)性、自學(xué)習(xí)性、通信性等眾多特性使其更加適合于無(wú)線傳感器網(wǎng)絡(luò)中應(yīng)用。

Multi-Agent系統(tǒng)是由許多獨(dú)立且大體上自主的Agent通過相互作用形成的框架,每個(gè)Agent根據(jù)自己分配任務(wù)的不同完成自己的檢測(cè)任務(wù)，或是與其它相鄰或相近Agent進(jìn)行數(shù)據(jù)交換協(xié)同完成任務(wù)，其入侵檢測(cè)模型如圖2。

圖2 Multi-Agent入侵檢測(cè)模型

在該模型中，用層次結(jié)構(gòu)來(lái)組織和管理各種Agent，如圖3，大大地方便了系統(tǒng)的管理和維護(hù)。

圖3 分層式Multi-Agent結(jié)構(gòu)圖

在本模型中，將各個(gè)Agent結(jié)合免疫學(xué)原理，可以得到表1。

2.2 檢測(cè)機(jī)制

在分層式Multi-Agent結(jié)構(gòu)模型中，根據(jù)網(wǎng)絡(luò)特點(diǎn)的不同需求，需對(duì)節(jié)點(diǎn)Agent和簇頭管理Agent以及全局管理Agent進(jìn)行不同的分工，總體設(shè)計(jì)來(lái)說(shuō)，即簇頭管理Agent監(jiān)視節(jié)點(diǎn)檢測(cè)Agent；同時(shí)節(jié)點(diǎn)檢測(cè)Agent也檢測(cè)簇頭管理Agent，并將檢測(cè)到的異常簇頭Agent信息反饋給全局管理Agent，進(jìn)行聯(lián)合檢測(cè)[8]。為了便于描述和研究，本文作如下定義：

表1 Agent與免疫學(xué)相似性

i：任一成員節(jié)點(diǎn)；

m：參與通信的成員節(jié)點(diǎn)的個(gè)數(shù)；

C：任一節(jié)點(diǎn)與其它節(jié)點(diǎn)存在的信任度，0≤C≤1;

α：信任度閾值，安全級(jí)別越高，值越大，一般入侵檢測(cè)系統(tǒng)可用性的值為0<α<0.5;

Ei：任一節(jié)點(diǎn)i的初始電量值；

E0：最低電量閾值;

γ：節(jié)點(diǎn)之間信任度百分比，0<γ<1，其值與節(jié)點(diǎn)的個(gè)數(shù)m的多少有關(guān)。

2.2.1 簇頭節(jié)點(diǎn)Agent對(duì)成員節(jié)點(diǎn)Agent的監(jiān)測(cè)

配置在簇頭節(jié)點(diǎn)上的監(jiān)視Agent收集整個(gè)節(jié)點(diǎn)內(nèi)的通信活動(dòng)，其工作內(nèi)容和需要完成的任務(wù)如下：

1)節(jié)點(diǎn)Agent工作狀態(tài)中會(huì)與其它Agent進(jìn)行數(shù)據(jù)交換和信息通信，而簇頭Agent則對(duì)節(jié)點(diǎn)Agent的一切行為進(jìn)行檢測(cè)，判斷節(jié)點(diǎn)Agent之間有無(wú)入侵和通信異常的發(fā)生。

2)根據(jù)步驟(1)的檢測(cè)結(jié)果，響應(yīng)Agent做出適當(dāng)?shù)姆磻?yīng)，例如：降低簇頭節(jié)點(diǎn)Agent對(duì)節(jié)點(diǎn)Agent的信任度CCH→i(其降低的等級(jí)取決于檢測(cè)結(jié)果)。

3)一旦CCH→i<α，則檢測(cè)機(jī)制做出相應(yīng)的判斷，該節(jié)點(diǎn)i已經(jīng)遭受入侵，同時(shí)廣播其它節(jié)點(diǎn)成員中斷與節(jié)點(diǎn)i的一切通信活動(dòng)，并把信任度降低到α以下。

4)需要注意的是，如果其中一個(gè)簇頭節(jié)點(diǎn)Agent撤銷的成員節(jié)點(diǎn)的個(gè)數(shù)超過了閾值M，則懷疑該簇頭節(jié)點(diǎn)Agent被入侵，需要對(duì)可疑節(jié)點(diǎn)進(jìn)一步檢測(cè)。

2.2.2 成員節(jié)點(diǎn)Agent對(duì)簇頭節(jié)點(diǎn)Agent的監(jiān)測(cè)

因?yàn)闊o(wú)線傳感器節(jié)點(diǎn)的能量一般都是有限的E0，且無(wú)法充電，所以，考慮到實(shí)際因素，不需要所有的成員節(jié)點(diǎn)Agent都參與到監(jiān)測(cè)簇頭節(jié)點(diǎn)Agent的活動(dòng)當(dāng)中，本文選取相應(yīng)成員節(jié)點(diǎn)的原則如下：

1)成員節(jié)點(diǎn)Agent和簇頭節(jié)點(diǎn)Agent之間的信任度CCH→I>C0(C0為提前設(shè)定的最低信任度閾值)；

2)成員節(jié)點(diǎn)Agent為Ei>E0(E0為提前設(shè)定好的最低能量閾值)。

所以，參與監(jiān)視簇頭節(jié)點(diǎn)Agent的的成員節(jié)點(diǎn)i必須符合以下條件

i∈m,CCH→i>C0,Ei>E0.

首先,節(jié)點(diǎn)Agent初始會(huì)對(duì)簇頭Agent有一定的信任度C0，其次,節(jié)點(diǎn)Agent反檢測(cè)于簇頭Agent的通信或者活動(dòng)有無(wú)異常，如果有異常行為則向相鄰的節(jié)點(diǎn)i發(fā)送一份質(zhì)疑報(bào)告，此時(shí)節(jié)點(diǎn)i信任度變?yōu)镃1，當(dāng)連續(xù)監(jiān)測(cè)到X次異常行為并發(fā)送X次質(zhì)疑報(bào)告以后，此時(shí)節(jié)點(diǎn)i對(duì)簇頭Agent的信任度為Cx(2

C1=(1-γm)C0，

C2=(1-γm)(1-γm-1)C0，

?

Cx=(1-γm)(1-γm-1)…(1-γm+1-x)C0.

當(dāng)Cx<α，表明節(jié)點(diǎn)Agent對(duì)被檢測(cè)到簇頭Agent的信任度降到了最低閾值α以下，可以判斷此簇頭Agent已被入侵，通知其它節(jié)點(diǎn)Agent與之中斷通信等相應(yīng)措施。

需要注意的是，因?yàn)榇仡^節(jié)點(diǎn)Agent對(duì)無(wú)線傳感器網(wǎng)絡(luò)起到重要的檢測(cè)作用，所以,僅僅依靠成員節(jié)點(diǎn)Agent的檢測(cè)是不夠的，有必要聯(lián)合全局管理Agent對(duì)簇頭節(jié)點(diǎn)Agent進(jìn)一步的檢測(cè)進(jìn)行確認(rèn)。當(dāng)成員節(jié)點(diǎn)Agent對(duì)簇頭的信任度Cx<α?xí)r，初步判斷簇頭節(jié)點(diǎn)受到攻擊或入侵，此時(shí)需要切斷對(duì)簇頭節(jié)點(diǎn)的通信，同時(shí)向全局管理Agent反饋一個(gè)入侵信息，全局Agent收到反饋信息后會(huì)與自身監(jiān)測(cè)到的簇頭Agent信息進(jìn)行相似度對(duì)比，通過相似度的對(duì)比結(jié)果進(jìn)行下一步的檢測(cè)工作，并作對(duì)簇頭節(jié)點(diǎn)Agent最終的判斷。

3 實(shí)驗(yàn)結(jié)果分析

實(shí)驗(yàn)采用Matlab軟件進(jìn)行仿真實(shí)驗(yàn)，將本文提出的疫苗優(yōu)良接種技術(shù)和不接種技術(shù)系統(tǒng)檢測(cè)率進(jìn)行比較，以及基于反饋式的Multi-Agent入侵檢測(cè)(MAIDS)和其它層次式IDS方案(如文獻(xiàn)[10]，稱為DAIDS)對(duì)于節(jié)點(diǎn)能耗進(jìn)行對(duì)比。

應(yīng)用Matlab仿真軟件建立如下模擬場(chǎng)景：在100×100區(qū)域隨機(jī)部署50只完全相同的傳感器(本模型只考慮底層檢測(cè)Agent的能耗情況，更高層簇頭Agent和全局管理Agent不在仿真中出現(xiàn))，節(jié)點(diǎn)初始能耗E=2 J，最低能量閾值E0=0.2 J(最低能量閾值設(shè)定為初始能耗的10 %),入侵?jǐn)?shù)據(jù)流占總數(shù)據(jù)量20 %左右。

圖4為系統(tǒng)檢測(cè)率的仿真結(jié)果圖，因?yàn)橄到y(tǒng)采用接種技術(shù)后，隨著成熟記憶免疫細(xì)胞的增多，免疫細(xì)胞的多樣性增加，所以,面對(duì)變異、復(fù)雜以及未知的抗體入侵時(shí)，記憶免疫細(xì)胞能夠快速準(zhǔn)確的做出反應(yīng)，從圖中通過對(duì)比可以看出:采用接種技術(shù)的檢測(cè)率要高于不采用接種技術(shù)的檢測(cè)率。

圖4 系統(tǒng)檢測(cè)率

圖5反映了MAIDS入侵檢測(cè)和DAIDS入侵檢測(cè)的傳感器節(jié)點(diǎn)剩余能量百分比的仿真結(jié)果圖。MAIDS入侵檢測(cè)系統(tǒng)前2000次入侵內(nèi)，節(jié)點(diǎn)的能耗下降較DAIDS的下降速度更快，但之后能耗的下降相對(duì)減慢，趨向穩(wěn)定。因?yàn)閯傞_始系統(tǒng)處于不斷學(xué)習(xí)中，許多入侵都是未知的、復(fù)雜的，通過疫苗提取和接種技術(shù)不斷使記憶免疫細(xì)胞增多。隨著免疫細(xì)胞的增多，許多入侵都成為已知的入侵，僅需記憶檢測(cè)器工作，而且隨著MAIDS的系統(tǒng)漸近成熟，已將被入侵的節(jié)點(diǎn)Agent(CCH→i<α)排除在系統(tǒng)之外，中斷與之通信，所以，系統(tǒng)的能耗處于一個(gè)較低的狀態(tài)，變化不大。而DAIDS隨著數(shù)據(jù)總流量的增加能耗不斷下降，最終低于能量閾值E0=0.2 J(節(jié)點(diǎn)總剩余能耗10 %),所以,DAIDS入侵檢測(cè)系統(tǒng)生命周期不如MAIDS入侵檢測(cè)系統(tǒng)生命周期。

圖5 網(wǎng)絡(luò)能效對(duì)比

4 結(jié)束語(yǔ)

針對(duì)無(wú)線傳感器網(wǎng)絡(luò)能量有限且無(wú)法充電、檢測(cè)效率低等特點(diǎn)，本文引入了疫苗提取與接種技術(shù)以及Multi-Agent模型，最后通過Matlab軟件進(jìn)行仿真，通過實(shí)驗(yàn)結(jié)果表明:采用疫苗接種與提取技術(shù)后可以有效提高無(wú)線傳感器網(wǎng)絡(luò)的入侵檢測(cè)率；Multi-Agent入侵檢測(cè)系統(tǒng)對(duì)于降低節(jié)點(diǎn)能耗也有一定的幫助，對(duì)解決無(wú)線傳感器網(wǎng)絡(luò)現(xiàn)存的一些問題有一定的參考價(jià)值。

參考文獻(xiàn):

[1] 沈玉龍,裴慶祺,馬建峰,等.無(wú)線傳感器網(wǎng)絡(luò)安全技術(shù)概論[M].1版.北京:人民郵電出版社,2010:22-25.

[2] Kim J,Peter J B.Towards an artificial immune system for network intrusion detection:An investigation of dynamic clone selec-tion[C]∥Proceeding of World Congress on Computation Intelligence,Piscataway:IEEE,2002.

[3] 張 然,錢德沛,包崇明,等.基于Multi-Agent的入侵檢測(cè)模型的研究與實(shí)現(xiàn)[J].小型微型計(jì)算機(jī)系統(tǒng),2003,24(6):996-997.

[4] 劉 陽(yáng).基于免疫原理的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究[D].北京：中國(guó)科學(xué)院,2008:5-7.

[5] 肖人彬,王 磊.人工免疫系統(tǒng):原理、模型、分析及展望[J].計(jì)算機(jī)學(xué)報(bào),2002,25(12):1281-1293.

[6] 劉 寧,趙建華.應(yīng)用免疫原理的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用,2011，47(15)：80-82.

[7] Oliveira Eugenio,Fischer Klaus,Stepankova Olga.Multi-agent system:Which research for which applications[J].Robotics and Autonomous System,1999,27:91-106.

[8] 李 冬.一種基于免疫多代理的網(wǎng)絡(luò)入侵檢測(cè)模型[J].計(jì)算機(jī)應(yīng)用與軟件,2008,25(5):251-253.

[9] 王 培,周賢偉,覃伯平,等.基于多代理的無(wú)線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究[J].傳感技術(shù)學(xué)報(bào)，2007(3):677-681.

[10] Rajasegarar S,Leckie C,Palaniswami M.Distributed anomaly detection in wireless sensor network[C]∥Proc of the 10th IEEE Singapore International Conference on Communication System,ICCS 2006,2006.