【发明内容】
[0019] 为了克服已有面向WSN网络攻击的检测方法的快速性较差、有效性较低的不足, 本发明提供了一种快速性良好、有效性良好的基于免疫机制的无线传感器网络攻击协同检 测方法。
[0020] 本发明解决其技术问题所采用的技术方案是:
[0021] 一种基于免疫机制的无线传感器网络攻击协同检测方法,包括如下步骤:: 阳02引1)建立云数据中屯、、云计算节点和WSN立层协同检测模型
[0023] 云端计算节点层通过访问云数据中屯、的自体/非自体样本集合,实现检测器的培 育和更新算法,同时数据中屯、根据WSN终端采集的样本实现自体/非自体样本更新;WSN终 端基于IRsync算法利用云端计算层培育的检测器集合更新本地检测器,实现对网络数据 的快速匹配检测,并通过资源池协同采集反馈给云端数据中屯、更新自身样本;
[0024] 2)自动识别未知攻击的检测器培育和更新
[00巧]云端计算节点通过与云端数据中屯、协同,实现基于T/B免疫细胞的T/B检测器培 育和更新,W及T/B检测器的协同检测,过程如下:
[00%] (i) T检测器培育和更新算法:研究基于匹配阔值自适应的否定选择算法培育T 检测器,其中检测器的匹配中存在正常区域和异常区域的临界区域随着攻击的变化而变化 的,提出"自身半径"学习模型,自动准确设定用于区分临界区的"自身半径";
[0027] (ii) B检测器培育和更新:设计基于动态克隆选择算法的B检测器方法,提出状态 转换模型,引入攻击频率特征参数来完善生命周期更新的数学模型,生命周期将自动适应 攻击数量和频率的改变,从而实现B检测器自适应未知攻击的数量和频率;
[0028] (iii)T/B检测器协同检测算法:T/B检测器协同检测过程是T检测器作为异常检 测器和B检测器作为误用检测器的协同检测,解决正常、异常改变引起的自适应问题,通过 误用检测器和异常检测器协同检测,最终覆盖更广的"非己"空间,并且能迅速响应正在入 侵的异常活动;
[0029] 3)建立资源受限终端检测器快速检测与轻量存储模型
[0030] 在T/B检测器培育和更新完成后,将生成的成熟检测器通过增量式更新算法更新 WSN节点的本地检测器集合;本地检测器通过与网络数据快速匹配实现攻击检测,设计基 于隐马尔科夫链的节点剩余电量预测模型预测节点寿命,将即将损耗完的节点检测器反馈 给sink节点W及相应的云端计算节点,基于着色思想更新邻居节点检测器,实现WSN本地 检测器集合的轻量存储和更新。
[0031] 进一步,所述检测方法还包括:4)建立基于免疫机制的WSN协同攻击检测原型系 统
[0032] 搭建高性能服务器作为云计算服务端,存储自体和非自体数据集合,并部署高性 能计算机作为云服务节点实现自适应检测器的培育更新模型,WSN的部署和实现W化SC为 编程语言环境,采用化ossBow公司的MICA2传感器节点搭建实验平台环境,在TinyOS系统 上设计实现原型系统,原型系统运行在应用层,协议通信数据依赖于链路层TinySec协议; 实现原型系统的仿真测试。
[0033] 进一步,所述步骤4)中,将原型系统实施到化ossBow公司的MICA2传感器节点 上,完成系统测试,实现包含上述研究内容的原型系统,W验证所研究方法的有效性,同时 建立一个包含常见攻击信息的知识库,用于对原型系统进行验证和实现数据共享。
[0034] 本发明的有益效果主要表现在:快速性良好、有效性良好。
【附图说明】
[0035] 图1是云端自适应免疫和资源受限节点快速匹配协同检测模型的示意图。
[0036] 图2是自适应免疫云端培育协同检测反馈模型的示意图。
[0037] 图3是自身半径学习模型的示意图。
[0038] 图4是状态转换模型的示意图。
[0039]图5是T/B检测器协作检测模型的示意图。
[0040] 图6是tl~t3时间段内所有存在过的检测器检测范围变化的示意图。
[0041]图7是生存周期和检测情况的关系模型的示意图。
[0042] 图8是重叠率估计模型的示意图。
[0043]图9是组合规则的示意图。 W44]图10是WSN检测节点的状态转换模型的示意图。
【具体实施方式】
[0045] 下面结合附图对本发明作进一步描述。
[0046] 参照图1~图10,一种基于免疫机制的无线传感器网络攻击协同检测方法,设计 WSN本地节点和云端数据中屯、协同免疫检测模型,采用自适应免疫T细胞和B细胞检测器培 育、更新算法,实现WSN对大规模未知网络攻击快速有效检测。
[0047] 设计WSN的资源受限端、云端计算节点集合层和云端数据中屯、的S层协同检测模 型(如图1)。其中云端计算节点和数据中屯、:设计基于T/B免疫细胞的自适应检测器培育、 更新和协同攻击检测算法;WSN节点终端协同基于IRsync算法更新检测器集合并快速匹配 异常个体实现检测,从而实现WSN的协同攻击检测。
[0048] 图1是S层协同检测模型示意图。其中,(1)云端数据中屯、层建立自体样本和非 自体样本,提出基于检测器状态转换模和样本状态转换模型实现检测器的更新;(2)云端 计算节点集合层实现基于自适应T/B检测器培育和更新算法,针对检测器集合大小参数敏 感性,提出了检测器数量上限控制及泛化能力提高机制,实现最小化检测器数量、最大化检 器异常匹配能力;(3)资源受限终端层将WSN的单个节点作为资源受限终端采集数据并 实现快速检测,基于实现增量式更新算法(IRsync)完成检测器存储,实现终端检测器轻量 存储。
[0049] 方法如下:
[0050] 1)建立云数据中屯、、云计算节点和WSN立层协同检测模型
[0051] 云端计算节点层通过访问云数据中屯、的自体/非自体样本集合,实现检测器的培 育和更新算法,同时数据中屯、根据WSN终端采集的样本实现自体/非自体样本更新;WSN终 端基于IRsync算法利用云端计算层培育的检测器集合更新本地检测器,实现对网络数据 的快速匹配检测,并通过资源池协同采集反馈给云端数据中屯、更新自身样本;
[0052] 2)自动识别未知攻击的检测器培育和更新
[0053] 云端计算节点通过与云端数据中屯、协同,实现基于T/B免疫细胞的T/B检测器培 育和更新,W及T/B检测器的协同检测,过程如下:
[0054] (i)T检测器培育和更新算法:研究基于匹配阔值自适应的否定选择算法 (TM-NSA)培育T检测器,其中检测器的匹配中存在正常区域和异常区域的临界区域随着攻 击的变化而变化的,提出"自身半径"(W某一正常样本为圆屯、的半径)学习模型,自动准确 设定用于区分临界区的"自身半径"。另外随着攻击的种类发生变化,异常行为(非己)随 时间不断变化,设计基于函数优化的抑制操作机制和重叠率估计模型的检测器数量上限控 制及泛化能力提高算法,是的检测器基因和数量能自动适应异常行为,自动识别未知攻击。 阳化5] (ii)B检测器培育和更新:设计基于动态克隆选择算法的B检测器方法,提出状 态转换模型,引入攻击频率特征参数来完善生命周期更新的数学模型(自适应生命周期模 型),生命周期将自动适应攻击数量和频率的改变,从而实现B检测器自适应未知攻击的数 量和频率。
[0056] (iii)T/B检测器协同检测算法:T/B检测器协同检测过程是T检测器作为异常检 测器和B检测器作为误用检测器的协同检测,解决正常("自身")、异常("非己")改变引 起的自适应问题,通过误用检测器和异常检测器协同检测,最终覆盖更广的"非己"空间,并 且能迅速响应正在入侵的异常活动,降低漏报率和误报率。
[0057] 3)建立资源受限终端检测器快速检测与轻量存储模型
[0058] 在T/B检测器培育和更新完成后,将生成的成熟检测器通过增量式更新算法 (IRsync)更新WSN节点的本地检测器集合,降低检测器的更新频率。本地检测器通过与网 络数据快速匹配实现攻击检测。设计基于隐马尔科夫链的节点剩余电量预测模型预测节点 寿命,将即将损耗完的节点检测器反馈给sink节点化及相应的云端计算节点,基于着色思 想更新邻居节点检测器,实现WSN本地检测器集合的轻量存储和更新。
[0059] 4)建立基于免疫机制的WSN协同攻击检测原型系统
[0060] 搭建高性能服务器作为云计算服务端,存储自体和非自体数据集合,并部署高性 能计算机作为云服务节点实现自适应检测器的培育更新模型。WSN的部署和实现W化SC为 编程语言环境,采用化ossBow公司的MICA2传感器节点搭建实验平台环境,在TinyOS系统 上设计实现原型系统,原型系统运行在应用层,协议通信数据依赖于链路层TinySec协议; 实现原型系统的仿真测试。最后,尝试将原型系统实施到化ossBow公司的MICA2传感器节 点上,完成系统测试。实现包含上述研究内容的原型系统,W验证所研究方法的有效性。同 时建立一个包含常见攻击信息