现单个检测器检测更多地异常,提高检测器的自适应未知攻击的能力。在免疫模 型中,匹配规则能表示或关系,如假设字符串为100101,亲和力为2,则100***或*001**都 能被100101匹配。如果把基于规则学习的基因表示方式同匹配规则结合,即加入亲和力阔 值,则可W使基因之间存在或的关系,从而使规则组合更加灵活,单个检测器能检测更多的 "非我"。假设有一条规则为: 阳1〇U(Gene1 =TCPorUD巧and(Gene2 =Null)and(Genen=ANYVALUE) 阳102] 若亲和力阔值设为1,即需有两个或两个W上规则匹配,则检测器的组合条件有四 种,见图9。
[0103] W此提出的培育算法的基因表达方式为实数表达方式,同运里记忆细胞培养算法 表达方式不一样,由于基于区域模型的分类规则表达方式具有更强的表达组合能力,单个 检测器的泛化能力明显提高,通过生命周期模型的压力机制,记忆细胞将具有很大优势取 得生存权,在某种程度上抑制了前面实数表达方式的T/B检测器数量,换句话说实现了保 证T/B检测器数量不变而检测能力提高。
[0104] 资源受限终端检测器快速检测与轻量存储模型:在云端实现了T/B检测器的培育 和更新后,将更新好的检测器部署到WSN终端节点,根据CWSN分簇结构,每个簇内实现单个 检测器集合的分解,一个簇对应一个检测器集合。当检测器根据自体/非自体集合的动态 变化更新后,相应簇内的节点对应的检测器分解也要更新,本项目设计基于IRsync的节点 内存更新机制,增量式更新检测器集合的差异部分。最后在部署完成的终端检测器实现在 线匹配网络数据包并检测,将形成的检测结果形成资源池反馈给云端数据中屯、。
[0105] 随着网络检测过程中WSN节点的电池能量耗尽,检测器集合会出现不完整或者异 常,因此我们在WSN节点耗尽前做好检测器的更新和更换。假设如图10所示的单个检测器 状态转换过程:节点发送、接收数据包,计算数据或检测的信息时,操作状态移动。其中一个 时间步长是四种操作状态中的最小时间单位。如果每一轮的时间Tround包含m个时间步 长,那么Tround=MXT个时间步长。每个状态包含多个时间步长。在一个时间步长中,从 状态i转换到状态j的有Pu的概率,其中i,j= 1,2,3,4。在一系列的n个时间步长里, 传感器节点的操作状态可W表示为X=找。,Xi, ...,X。}。巧表示在n个时间步长里从状 态i转换到状态j的概率。 阳106] 当一个传感器节点的运行状态在n个时间步长里从i变化到j,它首先在r时间步 长中变到一个中间状态k,然后,在n-r个时间步长里从状态k转变到状态j。 阳107] 因此,可由隐马尔科夫链模型计算得到:
(13)
[0109] 如果接收节点知道传感器节点的转移概率W及传感器节点的初始状态X,它是可W预测能量消耗的,那么接收节点预测传感器节点的能量消耗:
(14) 阳111] 设定能量阔值,当化的预测值低于阔值时,设计一种基于着色思想的检测器更新 策略,将不断增加新节点作为可更新资源,延长检测器的生存周期。主要思路:首先根据邻 节点查询协议和黑色节点通信半径推理,分S步实现:1.簇内调节;2.利用新加入节点补 充簇内检测器集合的分解,和第1步结合,可延缓各簇的检测器生存周期;3.通过拓扑重 建,均衡簇间检测器的负载能力。再次利用簇头节点(黑色节点)更新协议完成簇头改换, 当簇内可担任簇头的节点减少,大多数节点都剩余等量较小,需要新加入第二代节点,利用 新节点加入协议完成。整个拓扑控制过程分为拓扑生成、拓扑更新和拓扑自再生3个阶段。 最后实现WSN的检测器网络在节点消亡和更新时具有自更新能力。
[0112] 采用的WSN的实验平台是基于TinyOS系统平台,采用化ossBow公司的MICA2传 感器节点搭建实验平台环境。Sink节点作为无线传感器网络与外界通信的桥梁,除了配备 基本的MICA2,还搭载了Codex-AS系列嵌入式微控制器,运行主频高达IOlz,为攻击检测、 跟踪、响应系统提供高性能运算环境;1GBDDR3内存和2GBFlash存储空间完全能够满足攻 击攻击信息数据库对存储能力的需求。链路层的满足四种基本的安全服务:访问控制、数据 完整性、数据保密性、防止重播。从硬件配置分析,设计和部署本项目拟提出的攻击检测协 同机制和检测算法是可行性的。 阳113] 通过IE邸802. 15. 4协议采集的数据包信息,采用分组和密钥长度均为128bit的 对称加密算法AES。
[0114] 在简单广播网络攻击下,如下图所示。正常情况下节点1发送的数据a会被簇头 节点2正确接收,并发送Ack消息b。当恶意节点0发起Dos攻击时,频繁发送干扰信息,导 致节点1发送的数据C无法被簇头接收,造成丢包。
[0115] 根据现有分析可得到,通过AES算法解密后得到的数据时序图,可W通过进一步 的分析和模式挖掘得到未知攻击的特征,从而为攻击的检测、预警和隔离等功能做准备。
【主权项】
1. 一种基于免疫机制的无线传感器网络攻击协同检测方法,其特征在于:包括如下步 骤:: 1) 建立云数据中心、云计算节点和WSN三层协同检测模型 云端计算节点层通过访问云数据中心的自体/非自体样本集合,实现检测器的培育和 更新算法,同时数据中心根据WSN终端采集的样本实现自体/非自体样本更新;WSN终端基 于IRsync算法利用云端计算层培育的检测器集合更新本地检测器,实现对网络数据的快 速匹配检测,并通过资源池协同采集反馈给云端数据中心更新自身样本; 2) 自动识别未知攻击的检测器培育和更新 云端计算节点通过与云端数据中心协同,实现基于T/B免疫细胞的T/B检测器培育和 更新,以及T/B检测器的协同检测,过程如下: (i)T检测器培育和更新算法:研究基于匹配阈值自适应的否定选择算法培育T检测 器,其中检测器的匹配中存在正常区域和异常区域的临界区域随着攻击的变化而变化的, 提出"自身半径"学习模型,自动准确设定用于区分临界区的"自身半径"; (ii) B检测器培育和更新:设计基于动态克隆选择算法的B检测器方法,提出状态转换 模型,引入攻击频率特征参数来完善生命周期更新的数学模型,生命周期将自动适应攻击 数量和频率的改变,从而实现B检测器自适应未知攻击的数量和频率; (iii)T/B检测器协同检测算法:T/B检测器协同检测过程是T检测器作为异常检测器 和B检测器作为误用检测器的协同检测,解决正常、异常改变引起的自适应问题,通过误用 检测器和异常检测器协同检测,最终覆盖更广的"非己"空间,并且能迅速响应正在入侵的 异常活动; 3) 建立资源受限终端检测器快速检测与轻量存储模型 在T/B检测器培育和更新完成后,将生成的成熟检测器通过增量式更新算法更新WSN节点的本地检测器集合;本地检测器通过与网络数据快速匹配实现攻击检测,设计基于隐 马尔科夫链的节点剩余电量预测模型预测节点寿命,将即将损耗完的节点检测器反馈给 sink节点以及相应的云端计算节点,基于着色思想更新邻居节点检测器,实现WSN本地检 测器集合的轻量存储和更新。2. 如权利要求1所述的一种基于免疫机制的无线传感器网络攻击协同检测方法,其特 征在于:所述检测方法还包括:4)建立基于免疫机制的WSN协同攻击检测原型系统 搭建高性能服务器作为云计算服务端,存储自体和非自体数据集合,并部署高性能计 算机作为云服务节点实现自适应检测器的培育更新模型,WSN的部署和实现以NesC为编程 语言环境,采用CrossBow公司的MICA2传感器节点搭建实验平台环境,在TinyOS系统上设 计实现原型系统,原型系统运行在应用层,协议通信数据依赖于链路层TinySec协议;实现 原型系统的仿真测试。3. 如权利要求2所述的一种基于免疫机制的无线传感器网络攻击协同检测方法,其特 征在于:所述步骤4)中,将原型系统实施到CrossBow公司的MICA2传感器节点上,完成系 统测试,实现包含上述研究内容的原型系统,以验证所研究方法的有效性,同时建立一个包 含常见攻击信息的知识库,用于对原型系统进行验证和实现数据共享。
【专利摘要】一种基于免疫机制的无线传感器网络攻击协同检测方法,包括如下步骤:1)建立云数据中心、云计算节点和WSN三层协同检测模型;2)自动识别未知攻击的检测器培育和更新,云端计算节点通过与云端数据中心协同,实现基于T/B免疫细胞的T/B检测器培育和更新,以及T/B检测器的协同检测,过程如下:(i)T检测器培育和更新算法:(ii)B检测器培育和更新:(iii)T/B检测器协同检测算法;3)建立资源受限终端检测器快速检测与轻量存储模型。本发明提供了一种快速性良好、有效性良好的基于免疫机制的无线传感器网络攻击协同检测方法。
【IPC分类】H04W12/08, H04W84/18, H04W12/12
【公开号】CN105430650
【申请号】CN201510724639
【发明人】陈晋音, 陈军敢, 杨东勇, 俞山青
【申请人】浙江工业大学
【公开日】2016年3月23日
【申请日】2015年10月29日