基于危险免疫理论的物联网感应层安全感知模型

周根记等

摘要：针对传统物联网安全的静态被动防护方法和技术，应用免疫危险理论，建立基于危险免疫理论的物联网感应层安全感知模型。模型采用分布式结构设计以适应感应层节点的分布；同时针对感应层面临的各种攻击，按照危险程度将其划分为不同的危险等级，模型对各种危险等级的攻击采取与之对应的感知策略，从而定量的感知整个感应层的安全态势。模型分析和仿真结果表明提出的危险感知模型有效地提升了物联网感应层的安全性能。

关键词：危险免疫理论； 物联网安全； 感知

中图分类号：TP393 文献标识码：A文章编号：2095-2163（2013）06-0006-04

0引言

物联网是在互联网的基础上，将其用户端延伸和扩展到任何物品与物品之间进行信息交换和通信的一种网络。1999年在美国召开的移动计算和网络国际会议上，MIT Auto-ID中心的Ashton教授首先提出物联网（Internet of Things）概念[1]。物联网现已成为当前世界新一轮经济和科技发展的战略制高点之一，发展物联网对于促进经济发展和社会进步具有重要的现实意义[2]。随着物联网的发展， 安全问题逐渐显露出来，并成为制约物联网发展的瓶颈[3]。

物联网的安全问题与生物免疫系统（Biological Immune System， BIS）所要解决的问题具有较大的相似性，即都是要在不断的变化的环境中保持系统的稳定性。生物免疫系统（BIS）具有的多种优良特性（免疫识别、免疫记忆、快速免疫应答、多样化、鲁棒性等）得到了很多学者的关注[4-5]，基于BIS原理的人工免疫系统（Artificial Immune System， AIS）已经成为现今信息安全领域的研究热点，并涌现了一批研究成果。Matzinger在免疫应答机制方面做了重大的突破，并引入了危险理论[6]，该理论摆脱了传统模型的束缚和局限，指出危险信号是产生免疫应答的原因，而危险信号是由受损细胞决定的，危险模式中不再有“自体”“非自体”这个概念，而只是“危险”还是“不危险”两种概念。英国Nottingham大学的Uwe Aickelin小组将危险理论应用到入侵检测中[7]，目标是为危险模式理论建立一个计算模型，以定义、研究和发现危险信号，并根据该模型建立一些新的算法，以此来构造具有较低误报率的入侵检测系统。文献[8]基于危险理论，提出了一种新的网络攻击态势评估方法，并且该方法可弥补基于自体/非自体识别机理的传统人工免疫网络态势感知技术自体集庞大、免疫耐受时间长等不足。文献[9]基于自体和非自体建立了入侵检测模型，并进行了仿真实验，同时对一些重要的参数给出了实验分析，该模型具有一定适应性和多样性。文献[10]基于免疫危险理论建立一种新型网络入侵检测模型，还提出了基于危险理论的入侵检测模型算法，仿真实验表明基于危险理论的模型具有较低的错误肯定率；另外，该文献中还提出了基于危险理论的方法，定义了危险信号，进一步定量计算了危险信号。文献[11]设计了基于危险理论的多 Agent 免疫模型，该模型有效解决了危险域的较难控制问题，并对危险域进行了合理的划分，对危险进行多层的应答。除此之外，文献[12]又采用数据场来模拟危险理论中的组织，模仿生物学的概念，危险信号从组织中计算而得来。

然而，在真实的物联网系统中，安全策略是不断变化的，以上文献中，虽然有部分学者给出了动态演化策略，但并未给出具体的动态反馈方法。本文借鉴免疫危险理论中感知细胞异常死亡的危险信号并激活抗体识别与响应有害的异己和自体的原理，建立物联网感应层安全感知模型，并基于此而提出一种集危险信号感知、攻击主动响应为一体的物联网感应层主动防御方法，由此提升物联网感应层安全体系的主动性和适应性。

1危险理论基本原理

危险理论（Danger Theory，DT）主要思想如下：

（1）自适应免疫系统区分的不是自我/非我，而是危险信号（danger signal）；

（2）免疫系统中免疫细胞受损或者非正常死亡时，均会产生危险信号，进而激活免疫反应；

（3）在DT中，自适应免疫中的细胞并不攻击自身的宿主。

免疫理论中的免疫反应是个体在受到危险时刻的刺激反应，不是对机体的非自我的反应。图1阐明了危险模式的识别机制：危险信号→激活APC→激活T细胞→免疫应答；没有危险信号→未激活APC→T细胞耐受。

当非正常死亡的细胞产生危险信号，会在抗原周围建立危险区域，在这个危险区域内的APC捕获抗原进行抗原提呈，在此区域内匹配抗原的淋巴细胞被激活进入克隆选择，而在此区域之外的淋巴细胞则不能被激活。Matzinger同时还从双信号协调识别的角度定义危险理论[13]，即免疫系统激活需要两种信号：抗原识别信号（signal）和协同刺激信号（signal2）。协同刺激信号是对抗原识别的确认，即认定被识别到的抗原确实为一入侵行为，而在危险模式理论中则对应着危险信号，即认定该抗原确实是危险的。

2基于危险免疫理论的安全感知模型

2.1 术语定义

定义论域S = {0，1}n，n为正整数，抗原集合 AgS，自体集合 SelfAg，非自体集合 NonselfAg，则有 Self∪Nonself = Ag，且 Self∩Nonself = 。其中，Ag表示物联网感应层的所有事务的二进制表示，Self集合表示正常的服务事务，Nonself集合表示受到的外部的攻击。

由上述的定义可知，Self 和Nonself 各由m个片段组成（每个片段可以看做是一个独立的服务或者外部攻击），假设Self=Self1+Self2+……+Selfm-1+Selfm，Nonself=Nonself1+Nonself2+…+Nonseflm。其中，符号“+”表示连接运算。设a为人工免疫淋巴细胞，n为a检测到的抗原数目（即匹配数），age为a的年龄，danger代表危险信号，Ab表示抗体集合，检测器集合Sdetector的定义可以表示：

其中，N表示自然数集合，R表示实数集合。

在安全感知模型中，免疫细胞（免疫淋巴细胞）作为检测器用来检测感应层的攻击，分为记忆免疫细胞、成熟免疫细胞和未成熟免疫细胞。其中，未成熟免疫细胞是新生成的、尚未进行自我耐受的免疫细胞，即其处于初始化状态；成熟免疫细胞是成功经历了否定选择的检测器，在其生命周期内已经匹配到一定数目的被激活的免疫细胞；记忆免疫细胞是从被激活的成熟免疫细胞进化而来的，达到激活阈值的有效免疫细胞，用来模拟生物系统的二次应答，而其具有一个可以设定指定值的生命周期。用Smemory、Smature和Simmaturate表示记忆免疫细胞、成熟免疫细胞和未成熟免疫细胞的集合，并且满足 Smemory∪Smature∪Simmaturate=Sdetector，Smemory∩Smature∩Simmaturate=。

2.2危险信号定义

物联网感应层可能受到的攻击可描述为如下形式：

（1） 物理攻击：对节点的直接破坏；

（2）重放攻击：敌手截获节点传播的信息，对这些截获的信息进行重新发送，造成节点感应错误；

（3）DoS攻击：针对节点携带的能源有限，该攻击消耗节点资源，使其丧失运行能力；

（4）完整性攻击：感应层（如无线传感器网络）是一个多条和广播性质的网络，敌手对传输的信息进行篡改等攻击，造成网络的决策失误；

（5）假冒攻击：在某些特定的场合，节点传输和接受信息需要一个合法的用户身份，敌手截获一个合法的用户身份之后，利用这个身份来假冒该合法用户入网；

（6）Sinkhole攻击：敌手利用性能强劲的节点干扰其通信范围内的其他节点，破坏基于距离向量的路由机制，并形成路由黑洞。

本文研究的危险信号是一个集合，由上述各种情况下产生的危险信号共同构成，即危险信号（danger signal）是所有与系统失衡相关的变量的变化的集合。

2.3危险信号等级划分

本模型根据所面临的定量总体危险进行危险感知及相应策略设定，危险程度越高，感知就越敏感，相应策略就越严厉，反之感知就相对迟缓，相应策略就相对温和。本文中，根据2.2中所定义的危险信号进行等级划分，结果如表1所示。危险等级数值越大，表明危险程度越高。

编号危险信号危险等级1Dos攻击12重放攻击23完整性攻击24假冒攻击35Sinkhole攻击36物理攻击4

2.4危险信号计算

根据危险理论，系统中的记忆免疫细胞和成熟免疫细胞用于感应层攻击，并产生危险信号；模拟二次免疫应答功能，设定先由记忆免疫细胞进行检测。考虑到物联网感应层主要是一些FRID标签或是无线传感器节点，而且均是分布式结构，记忆免疫细胞和成熟免疫细胞将放置于每一个FRID标签或者无线传感器节点上，对于危险信号的计算方法可进行如下描述：

每检测到一次抗原，且在危险区域内，则下一时刻该节点的危险信号按照线性递增。

其增加的幅值与相应的危险因子的危险等级（表1）相关，得出感应层受到持续的攻击时，检测器产生的危险信号按照线性增长。

与此相反，当在规定的时刻内，没有检测到一次抗原，则下一时刻该节点的危险信号逐渐递减。当感应层不再受到攻击，检测器在该时间间隔内也没有检测到攻击抗原，危险值就会减小。如果连续p（p∈N）个时间间隔均未检测到攻击抗原，危险值持续减小，p越大，危险值越小，表明危险在衰减，当pl，x（t+1）0，该类危险将被清除，l的取值参照相应的危险因子。

在某一时刻，某一节点可能受到多种攻击，则此时该节点的危险信号按照如下方法计算：

x（t）=x（t）1+x（t）2+…+x（t）n（2）

其中，x（t）1，x（t）2，x（t）n分别对应不同的危险因子产生的危险信号值。

物联网感应层的体系结构是分布式的，依据上述危险信号的计算方法，整个感应层在t+1时刻安全态势可以通过融合每个节点在t+1时刻的危险信号而得到，该任务由每个区域的汇聚节点负责实现。

3模型分析与仿真

3.1模型分析

从理论分析，上一节提出的安全模型是可行的，这可从以下两点论证得出：

（1）根据Smemory和Smature的定义可知，模型中实施攻击检测的免疫细胞模拟了物联网感应层的危险检测规则。同时，在同一时刻感应层受到多种攻击时，Smemory和Smature中的因子越多，式（2）表明模型感知到的危险信号值越准确，模型感知到的安全态势就越准确，此外，模型中用于检测攻击的记忆免疫细胞和成熟免疫细胞都是动态生成的，能够满足真实服务环境变化的需求。

（2）物联网感应层的节点是分布式体系结构，在每个节点中设置代表其编号的信息，当检测到攻击时，在发送给汇聚节点的信息末尾插入其编号，汇聚节点在接受到其他节点发送的信息后，可以通过编号得知哪里受到了攻击。

综上所述，本文提出的基于免疫理论的物联网感应层安全感知模型是可行的。该模型可以实时感知某个区域乃至整个感应层的安全态势。并且，该模型感知到的安全态势随着受到的攻击强度和周期的变化而变化，危险信号的变化策略能够显示安全态势的细小变化，即对安全态势的变化的感知是敏感的。

3.2仿真

为验证本文提出的模型的有效性，进行了仿真：仿真采用单一变量，感应层遭受Dos攻击，两个实验组分别是应用了本文提出的模型和未应用此模型，在正常情况下和遭受Dos攻击情况下，当危险信号积累到一定值的时候，采取反馈措施。其实验数据如表2所示，实验结果如图2所示。

4结束语

危险免疫理论是近年来人工免疫系统中开发得到的一种新的方法，本文将其引入到物联网感应层的安全领域中，建立安全感知模型，仿真结果表明该模型能够有效提高物联网感应层的安全性能。

参考文献：

[1]FLOERKEMEIER C， LANGH E M， FLEISCH E， et al. The internet of things [C] // proceedings of the First International Conference For Industry And Academia. Zurich，Swit zerlan d： Springer， 2008： 49- 52.

[2]工信部[EB/OL].《物联网“十二五”发展规划》.http：//www.miit.gov. cn/n11293472/n11293-832/n11293907/n11368223/14457071.html.

[3]ROLF H. Internet of things - need for a new legal environment [J].Computer Law & Security Review， 2009， （25）： 522 - 527.

[4]DE ROECK N A. Multimodal dynamic optimization：from evolutionary algorithms to artificial immune systems[J]. Lecture Notes in Computer Science， 2007，4628：13-24.

[5]LI T. An immunity based network security risk estimation[J].Science in China Ser. F Information Science， 2005， 48：557-578.

[6]MATZINGER P. Tolerance， danger and the extended family [J]. Annual Review of Immunlogy， 1994，（12）： 991-1045.

[7]AICKELIN U， CAYZER S. The danger theory and its application to artificial immune systems[C] // Proceeding of the 1st Inernat Conference on Artificial Immune System （ICARIS2002），Canterbury，UK，2002：141-148.

[8]孙飞显.一种受危险理论启发的网络攻击态势评估方法[J].计算机工程与应用， 2012， 48（2）： 8-10.

[9]许春， 李涛， 刘孙俊， 等. 基于免疫危险理论的新型网络入侵检测方法研究[J].南京邮电大学学报， 2006，26（5）：80-85.

[10]梁可心，李涛.一种基于人工免疫理论的新型入侵检测模型[J].计算机工程与应用，2005（2）：129-131.

[11]袁细国.基于危险理论的多 Agent 人工免疫模型的研究[D].武汉：武汉科技大学，2007.

[12]李雪.基于免疫危险模式的入侵检测研究[D].武汉： 武汉科技大学， 2009.

[13]MATZINGER P. The danger model： a renewed sense of self. 2002，296：301-304.