基于危险免疫理论的物联网网络层检测器动态自适应算法研究

白曜华　谭敏生　赵治国　周根记

摘 要：针对物联网网络安全，应用免疫危险理论原理，研究动态自适应算法，提出一种基于免疫危险理论的新型动态自适应算法。该算法能够动态调整机体内各个区域细胞器的数量，构建全方位的物联网网络层动态防御体系。算法分析表明该算法能够识别物联网网络层的危险信号，并对危险区域的范围大小、危险程度和危险频率进行计算，根据危险程度做出及时地响应，有效地保证物联网网络层的安全。

关键词：检测器；危险免疫理论；自适应

中图分类号：TP393 文献标识号：A 文章编号：2095-2163（2014）02-

The Generating Arithmetic of Detector Base on Immune Danger Theory

BAI Yaohua ， TAN Minsheng， ZHAO Zhiguo， ZHOU Genji

（School of Computer Science and Technology ， University of South China ， Hengyang Hunan 421001，China）

Abstract：According to the principle of immune danger theory， a new model of detectors Dynamic adaptive algorithm based on immune danger theory is proposed on the network security of Internet of Things after researched Dynamic adaptive algorithm. In every area of the body， the algorithm can dynamically change the number of cell organelles ， and build a comprehensive dynamic defense system on network layer of IoT. Algorithm analysis shows that in the first place the algorithm can recognize danger signal of network layer of IoT whether it is known or unknown. Secondly， it can calculate risk level of danger signal. Finally according to the type of threat， it can respond in time when the network is in danger. So it can keep network layer of IoT safe effectively.

Key words： Detector； Immune Peril Principle； Self-adaption

0 引 言

物联网是一个多层、异构的复杂网络（如图1所示），面临着多种不同的攻击，这些攻击则会产生各类不同的危险信号，因而，必须有多种类型检测器来检测不同类别的危险数据。借鉴免疫危险理论只对危险信号进行分析就能发现有害的异己和自体的思想，根据攻击目标的异常行为，可应用免疫危险理论来生成不同类型的检测器。

图1 物联网体系结构

Fig.1 network architecture of IOT

人体免疫系统具有强大的多样性、耐受性、自适应性和鲁棒性，同时还具有良好的免疫记忆、自组织和自学习能力。传统的人工免疫系统是基于“自我”和“非自我”的识别方式，这种方式需要系统构建庞大的自我集和非自我集，热自我集在很大程度上却无法满足复杂多变的网络需求，导致较高的误报率、漏报率，且效率较低。随着生物学研究的不断深入，全新的免疫危险理论已获提出。该理论克服了传统人工免疫系统的只区分自我—非自我的局限性所造成的“异常就是入侵”的错误，无需构建完善的抗体集，也不必对全体抗原进行匹配运算，因而大大减少了计算量、应答规模和应答次数；同时，适当的危险信号还会将非自我空间控制在一个可控的范围内，进而可以处理自我（或非自我）随时间而改变的情况。因此，基于免疫危险理论的攻击检测算法就将更加地简单、并且快速。

文献[1]提出了基于自组织临界（Self-Organized CriticalitySOC）和隐马尔可夫模型的异常检测技术，用其可以检测数据的不一致性问题。这种方法是以自然发生事件的结构为基础，运用隐马尔可夫模型（Hidden Markov Model，简称HMM），以便从部署区域的自组织临界点获得先验知识，进而使传感网络能够适应自然环境的动态变化，识别出非正常的网络行为。文献[2]论述了有关博弈论的攻击和防御的方法，利用马尔可夫判决过程揭示出最容易被摧毁的传感节点。方法将攻击和防御的问题看作是传感网和攻击者两个博弈者的非零和、非协作博弈问题，并且表明博弈的结果将趋于纳什均衡，由此而为传感网络构建防御策略。文献[3]描述了一种分布式算法-BOUNDHOLE，该算法围绕路由洞建立路由，这些路由洞是网络的连接区域，边界由所有的stuck nodes组成。hole-surrounding路由可以用于地理路由选择、路径迁徙、信息存储机制以及鉴别感兴趣的区域。

文献[4]将AIS 的工作原理用于传感网络的入侵和响应，并采用混杂模式获得两跳邻居节点的通信信息。混杂模式虽然能够提供全局知识，但却阻止了节点进入睡眠，并强制其进入空闲或接收状态，因此极为消耗能量。文献[5]给出了一种基于网络拓扑和传感器配置信息的入侵检测技术，可以判定在网络某个特定地方的恶意入侵行为。该技术的实施取决于能够自动生成正确传感器签名的一种算法，适用于域内距离向量协议。文献[6]提出了如何确保6LowPAN 网络中点到点网络数据的真实性和可靠性的方法，但是这种方法却并未考虑因网络应用行业的不同而引发的安全敏感度的不同。文献[7]基于免疫危险理论，提出了一种新型的网络攻击态势评估方法，该方法可弥补基于自我/非自我识别机制的传统人工免疫系统中网络态势感知技术的自我集过于庞大、且免疫耐受耗费时间长等不足。文献[8-11]则分析了物联网各逻辑层可能面临的安全问题以及能够采取的相应安全措施。文献[12-13]对物联网的安全需求展开分析，提出了基于感知网络的安全体系架构，并且阐述了其关键技术。

本文针对传统检测器的检测能力不能动态提升，且缺乏自适应性的问题，借鉴人体免疫系统对病原体的动态、主动和自适应的防御思想，应用免疫危险理论研发了一种物联网检测器动态自适应算法，以其来构建全方位的动态防御体系，藉此克服传统防御技术的不足。

1 物联网网络层攻击概要

鉴于网络层的协议繁多而且复杂，无论是在传统网络还是在无线传感器网络中，网络层都是入侵的攻击目标。因此，对于传统安全系统的设计，多数都是将网络层作为重点的保护对象。入侵者可以在网络层实行种类各异的攻击，如Sink黑洞攻击、女巫Sybil攻击、黑洞攻击、Hello洪泛、欺骗篡改路由攻击、自引导攻击、选择性转发攻击、虫洞攻击等。下面即对各类攻击进行详尽的论述和分析。

在Hello洪泛攻击中，大多数路由协议需要传感器节点向周围节点定时发送Hello包，以此声明自己是这些节点的邻居节点。但是一个强大的恶意节点如果使足够大的功率来广播Hello包时，接收到该包的节点就会误认为此恶意节点是其邻居节点。在其后的路由中，这些节点就可能会使用这条路径，经由其将数据包发送给恶意节点。

女巫Sybil攻击就是单个节点通过伪装自己以多个身份出现在网络中，迷惑其他节点，使该节点更容易成为路由路径中的节点，并和一些其它的攻击方法结合，来达到其入侵目的。在P2P网络中，女巫攻击出现频率很高，而且传感器节点使用的是无线广播通信方式，因此这种攻击也适用于传感器网络环境。

在虫洞攻击中，通常需要将两个恶意节点彼此串通，共同发动攻击。常见情况下，其中一个恶意节点在sink节点附近，而另一个恶意节点则离sink较远，远处的节点声称自己可以和sink附近的节点建立低时延、高带宽的通信链路，来达到吸引其邻近节点将数据包发送给该店的目的。这种情况下，离sink较远的那个恶意节点实际上也是一个sinkhole。这一类攻击通常与其它攻击结合起来进行使用。

黑洞攻击指的是恶意节点在网络上声称自己是最佳的路由节点，诱使网络上其他节点都将数据传送给这个恶意节点，通过这种方式恶意节点就能随意窃取和篡改网络中的信息。某些情况下，入侵者还可能会使用这种攻击方式来耗尽网络的能量。

在Sink黑洞攻击中，入侵者通过声称自己能源充足，且高效可靠，以此吸引附近的节点将其加入自身的路由路径中，再和其它攻击（如更改数据包的内容、选择攻击等）结合使用，来达到其攻击目的。但是由于传感器网络的通信模式是固定的，即全部的数据包都将发送至同一个目的地，因此很容易遭遇该类攻击。

欺骗篡改路由攻击是入侵者专门针对网络上节点的路由信息而发起的攻击，可通过欺骗和篡改网络上的路由信息来破坏网络的正常通信，如此即使得网络不能完成预期任务，最终导致整个网络失效。

在选择性转发攻击中，恶意节点收到数据包以后，有选择地转发或不转发所收到的数据包，致使数据包无法到达目的地。选择性转发攻击的特点就是并非全部的数据都不进行转发，而是只会转发一些特定的数据，其余的数据将不再转发，这样就能够降低受到检测的概率。倘若这种入侵行为发生在簇头节点中或是通往基站节点的路径上，就会对网络造成严重的破坏，原因在于会有大量的数据遭到选择性转发。

在自引导攻击中，将根据网络中数据包传递的方向和流量等信息来发现网络中特殊节点的位置，如sink节点、簇头节点等，并通过破坏这些网络中的关键节点以达到入侵网络的目的。由于入侵节点的特殊性，此类攻击将会对网络造成的巨大影响，甚至可能导致整个网络的瘫痪。

2 免疫危险理论

根据危险理论的思想，入侵的病原体会导致淋巴细胞的非正常死亡，随着体内细胞的受损，这些非正常死亡的淋巴细胞将会释放出一些对正常组织有害的物质，可将这类物质统称为危险关联分子（Damage Associated Molecular Patterns， 简称DAMPS ）。在上述情况下，组织内部的DAMPS可以由APCs中的一种模式识别受体—Toll样受体（Toll Like Receptors， 简称TLRs）所识别。假如一个APC能够识别足够多的DAMPS，此时就会从不成熟状态变为成熟状态，即该APC被激活，并从身体内各个部位的组织中转移到淋巴结处。淋巴结就是淋巴细胞聚集的部位，在淋巴结中，被DAMPs激活的APC将向T-helper细胞发出共同刺激信号，将T-helper细胞激活后，再激活T-killer细胞和B细胞，这就是淋巴细胞识别抗原的基本原理。

在免疫危险理论中，机体细胞受损时发出的“危险信号”是激活APC的关键；而APC又是接收危险信号、产生共同刺激信号、激活适应性免疫系统和处理危险信号的核心部件。这就是免疫危险理论研究的核心所在。免疫危险理论中的各类信号及相应含义如表1所示。

3 基于危险免疫理论的动态自适应算法

3.1 动态自适应算法概述

本文提出额动态自适应算法是借鉴动物器官组织原理，并基于免疫危险理论，借由该算法来调整检测器每一组成部分中各类细胞器的数量，以达到环境需要的最佳适应，同时取得更好的检测效果。

3.2 动态自适应算法

众所周知，网络环境较为复杂，并且时刻发生着变化，在下一时刻网络中会遭遇何种危险根本无法预料。因此在不同的网络环境中，需要面对的情况各不相同，而在某段时间的某个网络环境中，某种或某几种危险信号均有可能会对网络环境构成主要威胁，而在另一段时间的另一种网络环境中，又会是另外的几种危险信号将对网络环境造成威胁。鉴于时刻变化的不同的复杂的网络环境，采取检测器动态自适应算法，使检测器能根据当前需要动态调整不同种类的细胞器数量，这样检测器就能以最少的资源消耗，实现对更多危险信号的更为准确的检测。细胞器的基本结构如图2所示。

图2 细胞器基本结构

Fig.2 The organelles basic structure

细胞器是组成检测器的最小独立基本单位，由基本处理单元BC、基本记忆单元BM和计数单元acount组成。其中，基本处理单元可进行各项事务处理，基本记忆单元用于存储数据、方法和结构，而计数单元则完成对各类事务的计算。

首先，定义细胞器为C，感受单元RT C，检测单元DT C，基本处理单元BC C，基本记忆单元BM C，危险判断单元DD C，计数单元acount C。并且，不同种类的细胞器中的RT，DT，BC，CM，DD，acount的数量各不相同。

其次，定义危险信号集 。

动态自适应模块由大量细胞器构成，该模块细胞器中基本处理单元BC的数量要远远大于基本记忆单元BM以及计数单元acount的数目。动态自适应模块结构如图3所示。

图3 动态自适应模块结构

Fig.3 Dynamic adaptive module structure

3.3 动态自适应算法的基本原理

算法的具体步骤如下：

（1）构建机体动态平衡状态；

（2）感受单元接收到一个或多个异常信号，告知检测器发现异常；

（3）若异常信号为误报，返回第（1）步，否则判断异常信号是否为危险信号。如果是危险信号，就要确定该危险区域的范围大小、危险程度和危险频率；

（4）发出危险警报；

（5）根据危险区域的范围大小、危险程度和危险频率调整该区域范围内细胞器的数量；

（6）若该危险区域覆盖面积增大，危险程度和危险频率升高，可使用克隆增殖添加该区域内细胞器的数量，再对该危险区域内的危险信号进行处理；

（7） 若该危险区域覆盖面积减小，危险程度和危险频率降低，则对该危险区域内的危险信号进行处理，再杀死该区域内一定数量的细胞器；

（8）重新将该区域细胞器的数量存入计数单元account；

（9）返回第⑴步，构建新的平衡状态。

3.4 动态自适应算法的过程描述

⑴正常和异常信号的表示

每一个正常信号由i位的正常序列组成： 。

每一个异常信号由j位的正常序列组成： 。

（2）动态自适应算法流程

第一步：定义正常信号、异常信号和危险信号。对于一个问题域 ，分为两个集合：正常信号集（Normal）和异常信号集（AbNormal），其中有

，

若危险信号属于问题域 ，则危险信号集 ，其中危险信号集规模为n。

第二步：感受异常信号过程。通过异常特征匹配判断是否出现异常，若为异常，通知检测器发现异常。

第三步：异常信号判断过程。将收到的信号与正常信号集进行匹配，确定是否为异常信号。

第四步，危险信号判断过程。通过危险累积判断该信号是否为危险信号。

第四步，确定该信号为危险信号后，将本次该危险区域的范围大小、危险程度和危险频率与上一次该危险区域的范围大小、危险程度和危险频率进行比较，并根据比较结果调整该区域内细胞器的数量。记入基本记忆单元。

第五步，将本次该危险区域的范围大小、危险程度和危险频率记入基本记忆单元。

第六步，将调整后得到的细胞器数量值写入基本计数单元。

4 算法可行性分析

由理论分析可知，本文提出的动态自适应算法是可行的，理由如下：

首先，本文分别定义了正常信号集、异常信号集和危险信号集，可以正确地模拟正常信号、异常信号和危险信号。

其次，感受单元能够感受到物联网网络层节点的异常信号和正确地识别出危险信号，并计算出危险区域的范围大小、危险程度和危险频率。

最后，本算法能根据危险信号动态调整危险区域内细胞器的数量，有效地提高了识别和处理危险的能力。

综上所述，本文提出的基于免疫危险理论的物联网网络层动态自适应算法是可行的。

5 结束语

本文应用免疫危险理论原理，提出检测器动态自适应算法，加强物联网网络安全，具有较重要的理论意义和实用价值。

参考文献：

[1] CHAN P K， MAHONEY M V， ARSHAD M H. Learning rules and clusters for anomaly detection in network traffic[J]. in Managing Cyber Threats： Issues， Approaches and Challenges， Springer， 2005： 81-99.

[2] AGAH A， DAS S K， BASU K. Intrusion detection in sensor networks： a non-copporative game approach[J]. IEEE International Symposium on Network Computing and Applications， 2004：369-378.

[3] SCHAUST S， SZCZERBICKA H. Applying antigen-receptor degeneracy behavior for misbehavior response selection in wireless sensor networks[A]. Proceedings of the 10th International Conference on Artificial Immune Systems[C]. Cambridge， UK， 2011：212-225.

[4] CABRERA J B D， RAVICHANDRAN B， MEHRA R K. Statistical traffic modeling for network intrusion detection[C]//Proceedings of the Eighth International Symposium on Modeling， Analysis， and Simulation of Computer and Telecommunications Systems， San Francisco， CA， IEEE Computer Society， August 2000 ：466-473.

[5] BARKER R. Security aspects in 6lowPan networks[C]//Proc. Of Design， Automation & Test in Europe Conference & Exhibition.Dresden， Germany： [s. n.]， 2010.

[6] 孙飞显.一种受危险理论启发的网络攻击态势评估方法[J].计算机工程与应用.2012，48（2）：8-10.

[7] 李振汕.物联网安全问题研究[J].信息网络安全，2010，（12）：1-3.

[8] 武传坤. 物联网安全架构初探[J].中国科学院院刊， 2010， 25（4）：411-419.

[9] 孙知信，骆冰清，罗圣美.一种基于等级划分的物联网安全模型[J].计算机工程，2011，37（10）：1-7.

[10] CHEN Xiangqian， MAKKI K， YEN Kang， et al. Sensor network security： a survey[J]. IEEE Communications Surveys & Tutorials，2009，11（2）： 52-73.

[11] 张鸿亮，刘文予，符明丽.基于需求等级的传感器网络安全策略模型[J].微计算机信息，2008，24（13）： 134-136.

[12] TOMA I， SIMPERL E， HENCH G. A joint roadmap for semantic technologies and the internet of things[C]// Proceedings of the Third STI Road mapping Workshop， Crete， Greece， June 2009.

[13] LEUSSE de， PERORELLIS P， DIMTRAKOS P， et al. Self managed security cell， a security model for the Internet of Things and services[C]//Advances in Future Internet， 2009 First International Conference on，June 2009： 18-23.