一种基于免疫机制的无线传感器网络攻击协同检测方法

摘要

一种基于免疫机制的无线传感器网络攻击协同检测方法，包括如下步骤：1)建立云数据中心、云计算节点和WSN三层协同检测模型；2)自动识别未知攻击的检测器培育和更新，云端计算节点通过与云端数据中心协同，实现基于T/B免疫细胞的T/B检测器培育和更新，以及T/B检测器的协同检测，过程如下：(i)T检测器培育和更新算法：(ii)B检测器培育和更新：(iii)T/B检测器协同检测算法；3)建立资源受限终端检测器快速检测与轻量存储模型。本发明提供了一种快速性良好、有效性良好的基于免疫机制的无线传感器网络攻击协同检测方法。

说明书

技术领域

本发明属于涉及无线传感器网络(WSN)的入侵检测方法，针对目前WSN网络安全存在隐患，尤其是对于未知的网络攻击存在检测效率低、检测系统硬件要求高等问题，设计了一种基于免疫机制的无线传感器网络攻击协同检测方法，实现了面向WSN的轻量级高效入侵检测。

背景技术

无线传感器网络(WSN)是由大量体积小、价格便宜、电池供电、具有无线通信和检测能力的传感器节点组成。这些节点被稠密部署在检测区域，以达到检测物理世界的目的。由于传感节点大多被部署在无人照看或者敌方区域，WSN的安全问题尤为突出。事实上、缺乏有效的安全机制已经成为传感器网络应用的主要障碍。尽管在WSN安全技术研究方面已经取得了较大的成绩，许多传感器网络安全技术已经被提议，但是由于在传感器网络协议设计阶段，没有考虑安全问题，因此没有形成完善的安全体系，传感器网络存在着巨大的安全隐患。WSN网络安全技术研究和传统网络有着较大区别，但是他们的出发点都是相同的，均需要解决信息的机密性、完整性、消息认证、组播/广播认证、信息新鲜度、攻击检测以及访问控制等问题。WSN的自身特点(受限的计算、通信、存储能力，缺乏节点部署的先验知识，部署区域的物理安全无法保证以及网络拓扑结构动态变化等)使得非对称密码体制难以直接应用，实现WSN安全存在着巨大的挑战。从技术研究现状来看，面向WSN的攻击检测技术还存在如下三个方面的问题：

(1)无线传感器网络能量有限，每个节点的计算能力和存储能力受限，导致复杂的攻击检测算法和机制无法直接应用，因此研究高效的轻量级的攻击检测算法至关重要。基于人工免疫计算的网络攻击检测技术已经被验证为有效检测方法，但是由于传统的人工免疫计算方法对节点的计算能力和存储能力要求较高，因此如何设计轻量级的基于免疫机制的攻击检测机制具有研究意义。

(2)针对无线传感器网络安全，虽然安全防御如加密，认证等方法在一定程度上能预防攻击，但是还不能完全阻止各类攻击。如果网络中传感器节点被捕获，那么拥有合法身份的攻击者能肆意发起对整个网络的攻击。此时，通常被认为是第二层攻击防御的攻击检测机制往往能有效地防止这类攻击。因此，设计和研究面向WSN的攻击检测模型和相应的算法，使得WSN能够检测Dos攻击、拥塞攻击、泛洪攻击、异步攻击和捕获攻击等，采取隔离、切断等有效措施，才能保障其真正安全。

(3)无线传感器网络动态网络拓扑结构，前期针对WSN拓扑研究主要是节能，尽量均衡全网范围内的能量损耗；目前由于攻击行为与节点故障及电池耗竭对网络拓扑的不同影响，对容错和容侵的要求提高，面对攻击情况如何生成一个具有较高容侵能力的拓扑，在节点能源都会耗尽时维持一个可生成的网络是个关键问题。

综上所述，设计和实现一套适应无线传感器网络的低能耗、计算能力受限和动态拓扑结构特征的攻击检测模型和轻量级异常检测算法是满足无线传感器网络安全需求的关键。

由于资源限制等特性，WSN的安全问题比传统网络面临更多挑战。适用于WSN的低能耗攻击检测机制需考虑通信和计算的负载、动态拓扑结构、无线多跳传输的传输方式，使得传感器网络与传统有限网络、adhoc网络都不尽相同，需要达到几个设计目标：(1)分布式协作检测的结构，降低单个节点的检测处理复杂度；(2)提出一种能量有效的攻击检测算法和模型；(3)兼顾监控节点的检测攻击和定位攻击；(4)攻击检测机制适应WSN的动态拓扑结构，快速同步异常检测机制在各个节点的更新，保证系统的检测率和误测率。

按照攻击者的类型，传感器网络的攻击可以分为内部(insider)攻击和外部(outsider)攻击。外部攻击中，攻击者不知道传感器网络内部信息，如传感器节点的密钥信息、各种参数等，不能直接攻击网络中的节点。内部攻击，是指敌方伪装成网络中的合法节点进行的攻击。攻击者既可以是网络中被敌方攻陷的合法传感器节点，也可以是敌方在获得合法节点信息(包括密钥，代码等)后注入网络中的伪节点。显而易见，内部攻击比外部攻击更难检测和预防，其破坏性也更大。针对面向WSN的内部攻击检测方案一直是传感器网络安全的研究重点。

针对内部攻击的分布式检测机制。W.Lee在文献提出了面向Adhoc网络攻击的检测模型MWNIDS(IntrusionDetectionSystemforMobileWirelessNetwork)。该模型基于协同工作的分布式代理，每个监控节点负责检测本地攻击活动，同时协助邻近监控节点进行联合检测。MWNIDS设计分布式网络结构，利用部分节点收集信息、检测攻击，最后利用收集的信息统一更新路由表，是传统的网络攻击检测方法在WSN中的应用。MWNIDS检测器使用支持向量机分类算法，构造移动Adhoc网络攻击路由信息模型来检测针对AODV路由协议的攻击。由于支持向量机数据规模庞大，只适合部分信息量较小的传感器网络，因此无法大规模推广应用。Yao等提出了就监控狗的内部攻击防御措施，通过设置信任机制的级别完成对内部节点篡改和恶意攻击的检测。

携带攻击检测系统的监控节点随同普通节点一起抛洒在待侦查的区域，实施分布式检测。系统自带特征分析模块，可以检测出网络中比较明显的攻击和攻击，除此之外还能对攻击数据进行分析，检测器采用事件驱动的模式，针对网络中事件计数进行度量，当需要进行分析的某个参数x超过一个阈值的时候，检测器判断为攻击。阈值通常是通过分析以往正常数据得到的经验值。该模型是传感器网络中第一个真正意义上的攻击检测系统，它主要应对网络层的攻击，能检测出当前常见的网络层攻击，有较强的实用性。检测器比较依赖阈值的选定，早期的时候，如果阈值选的不准确会给系统带来不利影响，造成大量误检或漏检。

非合作博弈论(Non-cooperativeGameTheory)用于传感器网络攻击检测，将攻击和检测作为博弈双方建模，制定双方的策略将其归一化为一个非合作、非零和(nonzero-sum)的博弈模型，通过此模型博弈双方达到纳什均衡(NashEquilibrium)，并使检测方找到最大化收益(maximizepayoff)策略，从而增加检测概率更好地保护系统。博弈模型虽然可以发现攻击，由于缺乏特征分析，它无法知道确定是何种攻击和攻击的来源，因此不能适应传感器网络中复杂多变的攻击和攻击。

基于自组织原理和统计学习的IDS，Doumit等提出的基于事件的攻击检测方法，根据环境变量利用局部位置的自组织能力，通过比较新旧数据来检测未知的攻击。使用隐式马尔科夫模型下一个状态出现的概率与前一状态相关，因此模型是无记忆的。

而在WSN的应用中，传感器节点常常布置在人们易于接近的环境中。因此，WSN也容易受到各种恶意的攻击，例如干扰服务、节点捕获等。对干扰服务攻击进行了研究，识别出几种攻击的简单形式：敌方通过向整个WSN广播高能信号来干扰整个网络的运行；在更复杂的攻击中，敌方可通过违反802.11的MAC层协议来抑制网络中的数据传输。

对抗阻塞攻击的方法自动发现拥塞的区域并通过路由绕开拥塞区域。采用被干扰区内节点切换通信频率的方式抵御干扰，并解决了干扰区节点和干扰区外节点通信频率协调问题。分别从攻击者和防御者的角度考虑以多大的概率实施干扰攻击和检测才能取得最优的效果。当传感器被敌方获取、解密甚至篡改程序后将对WSN的运行和数据的正确性带来很大的威胁。

面向WSN的攻击检测主要包括误用检测和异常检测。由于异常检测能检测未知的坏死节点、恶意攻击节点和簇，因此WSN的异常检测研究更有必要性。不同于传统网络的攻击检测，单一的安全体制无法为WSN提供可行的攻击检测方案。针对各类攻击模型的检测方案和模型面临的最大挑战是节点能量有效、网络结构动态变化、检测器算法效率低等，研究高效低耗的检测机制具有研究价值。综合分析面向WSN的IDS研究现状，总结已有研究成果依然未能很好解决的问题是：

(1)单个传感器节点的计算、存储和通信能力有限，导致适用于传统网络的攻击检测技术和方法不能直接应用于WSN，例如博弈论方法、基于数据挖掘的规则模型、基于高斯分布或者δ-分布的WSN攻击检测等方法必须通过简化改进才能应用，带来的问题是参数依赖性大、检测攻击种类单一、检测实时性差和检测效率低等问题。

(2)无线通信环境本身存在传输稳定性和可靠性的缺陷，即便没有内部或者外部的恶意攻击，依然可能存在异常节点和异常数据，设计的攻击检测机制必须充分考虑节点的通信能力和存储能力，并且满足一定的容错性，不能过分依赖单个节点。

(3)WSN的动态拓扑结构也是区别于传统网络的特征，在部署攻击检测系统和设计检测算法时考虑老节点的死亡和新节点加入，检测机制对结构的变化有自适应的能力，继续实现该网络的攻击检测。

发明内容

为了克服已有面向WSN网络攻击的检测方法的快速性较差、有效性较低的不足，本发明提供了一种快速性良好、有效性良好的基于免疫机制的无线传感器网络攻击协同检测方法。

本发明解决其技术问题所采用的技术方案是：

一种基于免疫机制的无线传感器网络攻击协同检测方法，包括如下步骤：：

1)建立云数据中心、云计算节点和WSN三层协同检测模型

云端计算节点层通过访问云数据中心的自体/非自体样本集合，实现检测器的培育和更新算法，同时数据中心根据WSN终端采集的样本实现自体/非自体样本更新；WSN终端基于IRsync算法利用云端计算层培育的检测器集合更新本地检测器，实现对网络数据的快速匹配检测，并通过资源池协同采集反馈给云端数据中心更新自身样本；

2)自动识别未知攻击的检测器培育和更新

云端计算节点通过与云端数据中心协同，实现基于T/B免疫细胞的T/B检测器培育和更新，以及T/B检测器的协同检测，过程如下：

(i)T检测器培育和更新算法：研究基于匹配阈值自适应的否定选择算法培育T检测器，其中检测器的匹配中存在正常区域和异常区域的临界区域随着攻击的变化而变化的，提出“自身半径”学习模型，自动准确设定用于区分临界区的“自身半径”；

(ii)B检测器培育和更新：设计基于动态克隆选择算法的B检测器方法，提出状态转换模型，引入攻击频率特征参数来完善生命周期更新的数学模型，生命周期将自动适应攻击数量和频率的改变，从而实现B检测器自适应未知攻击的数量和频率；

(iii)T/B检测器协同检测算法：T/B检测器协同检测过程是T检测器作为异常检测器和B检测器作为误用检测器的协同检测，解决正常、异常改变引起的自适应问题，通过误用检测器和异常检测器协同检测，最终覆盖更广的“非己”空间，并且能迅速响应正在入侵的异常活动；

3)建立资源受限终端检测器快速检测与轻量存储模型

在T/B检测器培育和更新完成后，将生成的成熟检测器通过增量式更新算法更新WSN节点的本地检测器集合；本地检测器通过与网络数据快速匹配实现攻击检测，设计基于隐马尔科夫链的节点剩余电量预测模型预测节点寿命，将即将损耗完的节点检测器反馈给sink节点以及相应的云端计算节点，基于着色思想更新邻居节点检测器，实现WSN本地检测器集合的轻量存储和更新。

进一步，所述检测方法还包括：4)建立基于免疫机制的WSN协同攻击检测原型系统

搭建高性能服务器作为云计算服务端，存储自体和非自体数据集合，并部署高性能计算机作为云服务节点实现自适应检测器的培育更新模型，WSN的部署和实现以NesC为编程语言环境，采用CrossBow公司的MICA2传感器节点搭建实验平台环境，在TinyOS系统上设计实现原型系统，原型系统运行在应用层，协议通信数据依赖于链路层TinySec协议；实现原型系统的仿真测试。

进一步，所述步骤4)中，将原型系统实施到CrossBow公司的MICA2传感器节点上，完成系统测试，实现包含上述研究内容的原型系统，以验证所研究方法的有效性，同时建立一个包含常见攻击信息的知识库，用于对原型系统进行验证和实现数据共享。

本发明的有益效果主要表现在：快速性良好、有效性良好。

附图说明

图1是云端自适应免疫和资源受限节点快速匹配协同检测模型的示意图。

图2是自适应免疫云端培育协同检测反馈模型的示意图。

图3是自身半径学习模型的示意图。

图4是状态转换模型的示意图。

图5是T/B检测器协作检测模型的示意图。

图6是t1～t3时间段内所有存在过的检测器检测范围变化的示意图。

图7是生存周期和检测情况的关系模型的示意图。

图8是重叠率估计模型的示意图。

图9是组合规则的示意图。

图10是WSN检测节点的状态转换模型的示意图。

具体实施方式

下面结合附图对本发明作进一步描述。

参照图1～图10，一种基于免疫机制的无线传感器网络攻击协同检测方法，设计WSN本地节点和云端数据中心协同免疫检测模型，采用自适应免疫T细胞和B细胞检测器培育、更新算法，实现WSN对大规模未知网络攻击快速有效检测。

设计WSN的资源受限端、云端计算节点集合层和云端数据中心的三层协同检测模型(如图1)。其中云端计算节点和数据中心：设计基于T/B免疫细胞的自适应检测器培育、更新和协同攻击检测算法；WSN节点终端协同基于IRsync算法更新检测器集合并快速匹配异常个体实现检测，从而实现WSN的协同攻击检测。

图1是三层协同检测模型示意图。其中，(1)云端数据中心层建立自体样本和非自体样本，提出基于检测器状态转换模和样本状态转换模型实现检测器的更新；(2)云端计算节点集合层实现基于自适应T/B检测器培育和更新算法，针对检测器集合大小参数敏感性，提出了检测器数量上限控制及泛化能力提高机制，实现最小化检测器数量、最大化检测器异常匹配能力；(3)资源受限终端层将WSN的单个节点作为资源受限终端采集数据并实现快速检测，基于实现增量式更新算法(IRsync)完成检测器存储，实现终端检测器轻量存储。

方法如下：

1)建立云数据中心、云计算节点和WSN三层协同检测模型

云端计算节点层通过访问云数据中心的自体/非自体样本集合，实现检测器的培育和更新算法，同时数据中心根据WSN终端采集的样本实现自体/非自体样本更新；WSN终端基于IRsync算法利用云端计算层培育的检测器集合更新本地检测器，实现对网络数据的快速匹配检测，并通过资源池协同采集反馈给云端数据中心更新自身样本；

2)自动识别未知攻击的检测器培育和更新

云端计算节点通过与云端数据中心协同，实现基于T/B免疫细胞的T/B检测器培育和更新，以及T/B检测器的协同检测，过程如下：

(i)T检测器培育和更新算法：研究基于匹配阈值自适应的否定选择算法(TM-NSA)培育T检测器，其中检测器的匹配中存在正常区域和异常区域的临界区域随着攻击的变化而变化的，提出“自身半径”(以某一正常样本为圆心的半径)学习模型，自动准确设定用于区分临界区的“自身半径”。另外随着攻击的种类发生变化，异常行为(非己)随时间不断变化，设计基于函数优化的抑制操作机制和重叠率估计模型的检测器数量上限控制及泛化能力提高算法，是的检测器基因和数量能自动适应异常行为，自动识别未知攻击。

(ii)B检测器培育和更新：设计基于动态克隆选择算法的B检测器方法，提出状态转换模型，引入攻击频率特征参数来完善生命周期更新的数学模型(自适应生命周期模型)，生命周期将自动适应攻击数量和频率的改变，从而实现B检测器自适应未知攻击的数量和频率。

(iii)T/B检测器协同检测算法：T/B检测器协同检测过程是T检测器作为异常检测器和B检测器作为误用检测器的协同检测，解决正常(“自身”)、异常(“非己”)改变引起的自适应问题，通过误用检测器和异常检测器协同检测，最终覆盖更广的“非己”空间，并且能迅速响应正在入侵的异常活动，降低漏报率和误报率。

3)建立资源受限终端检测器快速检测与轻量存储模型

在T/B检测器培育和更新完成后，将生成的成熟检测器通过增量式更新算法(IRsync)更新WSN节点的本地检测器集合，降低检测器的更新频率。本地检测器通过与网络数据快速匹配实现攻击检测。设计基于隐马尔科夫链的节点剩余电量预测模型预测节点寿命，将即将损耗完的节点检测器反馈给sink节点以及相应的云端计算节点，基于着色思想更新邻居节点检测器，实现WSN本地检测器集合的轻量存储和更新。

4)建立基于免疫机制的WSN协同攻击检测原型系统

搭建高性能服务器作为云计算服务端，存储自体和非自体数据集合，并部署高性能计算机作为云服务节点实现自适应检测器的培育更新模型。WSN的部署和实现以NesC为编程语言环境，采用CrossBow公司的MICA2传感器节点搭建实验平台环境，在TinyOS系统上设计实现原型系统，原型系统运行在应用层，协议通信数据依赖于链路层TinySec协议；实现原型系统的仿真测试。最后，尝试将原型系统实施到CrossBow公司的MICA2传感器节点上，完成系统测试。实现包含上述研究内容的原型系统，以验证所研究方法的有效性。同时建立一个包含常见攻击信息的知识库，用于对原型系统进行验证和实现数据共享。

搭建三层协同攻击检测模型(云数据中心、云计算节点和WSN资源受限终端)，其中云计算节点实现T/B检测器的培育协同检测算法，T/B检测器更新机制；WSN终端节点实现检测器的部署和更新并在线快速匹配检测攻击；并且实现容侵的WSN拓扑结构变化时的检测器更新策略。最后将以上设计的模型和算法的仿真实验基础上，搭建云计算服务器、计算机和WSN连接的三层协同攻击检测原型系统。

整体三层协同攻击检测模型建立：结合云计算来实现WSN的攻击检测系统，设计云数据中心、云计算节点和WSN三层协同检测机制。该项研究主要是通过前面提出的算法根据各自特点进行云端分布式部署，实现物联网环境中自适应免疫检测器的云端集中培育，再通过云计算节点层协同检测反馈机制，实现样本自适应采集和资源池同步更新反馈功能，最终实现检测器、异常、正常样本的自适应，

根据图2分析，得到：①云端集中培育。每个资源受限终端都有一个ID，表示服务对象序号，云端所有节点的数据交互都以ID进行区分计算，各算法根据各自特点分别部署在不同虚拟机中。②分布式协同检测采集机制。见图2终端部分，在检测器检测区分的同时必须通过最新自身、非己样本的匹配区分，进而通过资源池协同反馈更新机制实现当前经常发生的正常(自身)、异常(非己)样本的采集反馈，切实实现正常异常样本的自适应。③分布式协同反馈更新机制。主要有三个步骤：一是协同检测时能成功区分正常或异常时，更新云端对应的检测器、非己、自身的生命周期信息，实现了样本采集、检测器检测反馈；二是把云端生命周期值排序最前的检测器、非己、自身自动复制到终端(因为生命周期值越大，表明对应的样本经常发生)；三是对于生命周期较低的检测器、非己、自身，自动从资源池移除。

T/B检测器自适应培育算法和协作检测模型：检测器培育与更新的算法设计与验证，项目的网络数据特征采用KDDCup1999样本特征，KDDCup1999是一个在入侵检测领域较具权威性的一个数据集，主要包括两个数据集(已标示正常或攻击类型的标准数据集和未标记的测试数据集)，数据集具有41个属性(特征)，其属性值类型包括数值型和符号型。

①自适应T检测器培育算法

培育算法的匹配阈值自适应：引入区域模型(最大亲和力selfmax和最小亲和力参数selfmin)，并采用区域匹配规则，替代传统基于亲和力阈值的匹配规则，使区域模型能自动适应“自身”的改变，从而解决正常网络行为变化引起的误报问题，降低误报率。

通过基于前面提出的区域匹配规则，引入hamming区域、contiguous区域和chunck区域的多种形状检测器并存实现多视图检测，从而来更好的覆盖漏洞，使漏报率降低；提出“自身半径”学习模型，用于自动设定“自身半径”，实现正常异常临界区域的划分。

“自身半径”学习模型思路：给定一个半径设定原则，即如果离检测器中心最近的三个自身点(正常样本)相对比较集中(这是容易引起误报的“异常区域和正常区域的临界区”)，则可以考虑进行自身半径自动设定，值为三点两两距离的最小值，否则按默认半径设定。

以下为判定三个自身点相对集中的方案：假设某一个检测器d，半径为r，与其最近的一个自身点为s₁，其次分别为s₂,s₃，d和自身点的距离分别为r₁，r₂，r₃(r₁<r₂<r₃)，根据区域模型原则，r＝selfmin＝r₁。三个自身点间的两两距离分别为l₁₂,l₂₃,l₁₃(l₁₂<l₂₃<l₁₃)，取两两距离最短和最长的两直线，确定有一个共有点，如图3中，两两距离最短和最长为l₁₂和l₁₃，则确定共有点为s₁。以圆心d和共有点的连线为共有边，得到夹角α和β。由于α和β以及r₁，r₂，r₃能基本反映三点的分布，本项目以此作为判断三点相对集中的依据，即如果α和β度数小于某阈值λ(见公式(4))，并且r₁，r₂，r₃两两之间的最大差值小于某阈值δ(见公式(5))时，定义为三点相对集中。

r＝selfmin＝r₁(1)

$>\alpha =\arccos \left(\frac{{r_1}^2+{r_2}^2-{1_{12}}^2}{2*r_1*r_2}\right)---\left(2\right)$>

$>\beta =\arccos \left(\frac{{r_1}^2+{r_3}^2-{1_{13}}^2}{2*r_1*r_3}\right)---\left(3\right)$>

α＜λ∩β＜λ(4)

|r₁-r₂|＜δ∩|r₁-r₃|＜δ∩|r₂-r₃|＜δ(5)

②自适应B检测器培育算法

根据前面提出的自适应T检测器培育算法所产生的检测器不受特定异常行为的影响，T检测器并不能及时快速的检测出特定的异常行为。本算法受亲和力培育机制的启发，采用遗传算法来自动进化检测器，实现检测器的自动更新。

采用亲和力变异机制动态快速响应外来入侵，其所产生的子代数量同父代检测到的“非己”数量成正比，从而实现“非己”变化引起的自适应控制；提出生命周期模型(见公式6，n_[g][x]为第g代检测器x检测到的异常数量，l_[g][x]为第g代检测器x的生命周期值，μ为调整参数)，让每个检测器有自身的生命周期，其生命周期同检测到的“非己”数量存在相关性，因而检测器生命周期受“非己”控制，最终达到检测器数量的自动调节。

l_[g][x]＝l_[g-1][x]-1+n_[g][x]*μ(6)

③T/B检测器协同检测模型

T检测器培育算法产生的检测器具有通用性，检测范围较广，但检测速度相对缓慢。动态克隆选择撒UN房产色很难过的B检测器具有针对性(专用检测器)，能自学习、动态快速响应。

T/B检测器实现异常检测器和误用检测器、通用检测器和专用检测器的结合。为实现该目标，本研究首先提出状态转换模型，见图4，样本状态分为：新增、怀疑、正常、异常、消亡五种状态(虚线部分)，检测器状态分为：新增、有效、消亡三种状态(粗线部分)。当网络信息被采集送入系统检测时，变为新增状态的待检测样本；若被检测器成功检测，则状态为异常样本；若检测失败，则状态变为可疑状态，当失败次数到一定值时，状态变为正常样本。检测器每次都会根据生命周期模型(公式6)自动更新生命周期值，当生命周期值为0时，检测器会自动消亡。当某个正常或异常样本到一定时间以后，未再出现则自动消亡。

基于状态转换模型，通过进一步深入仿生研究，提出图5模型，T细胞培育算法和动态克隆选择算法为培育算法的最基本组成部分，分别解决了自身(系统正常网络行为)、非己(入侵行为)改变引起的自适应问题，算法培育的检测器具有生存周期和最大最小亲和力(区域模型参数)、自身半径、所检测到的异常数量等属性；通过T细胞培育算法培育出检测器放入检测器池进行入侵检测；如果待检测样本被成功检测，则作为异常样本放入相应样本池，并根据公式6改变检测器的生存周期；如果未能成功检测，待检测样本变为可疑样本，并触发启动动态阴性选择算法，通过亲和力培育机制，进行快速识别检测，在特定时间内未能成功检测，则认为是正常网络行为，否则改变检测器的生命周期。该算法解决了自身、非己改变引起的自适应问题，并且能够快速响应新的攻击行为。

基于动态覆盖机制的检测器更新算法：由于异常空间是非常庞大的，不可能实时产生数量巨大的检测器来覆盖异常空间，因此本项目拟在时间面上做一些尝试。假设在特定时间段内，所有存在过的有效检测器数量足够多的情况下，其检测范围一定是很大的，如图6(灰色阴影部分表示检测到的空间)，各时间检测范围的叠加使t1～t3时间段的总检测范围增大。因此，如果能在特定时间内尽可能广的覆盖“非己”空间，则绝大部分入侵都能被检测到，这里把特定时间段设定为攻击时间即从系统踩点到入侵结束所花费的时间。

在自适应算法中引入动态覆盖机制，建立检测器生存周期和检测情况的关系模型(见图7及公式10)，使入侵频率加剧时，增加生存周期，从而在特定时间内的检测器数量增加，扩大动态检测范围，使漏洞进一步减少，降低漏报率。

图7和公式(7)-(11)中，G_w为采样窗口大小，每隔G_w代进行重新采样；i表示第i个采样窗口；

n_[i][g][x]为第i个采样窗口中第g代检测器x检测到的异常数量；

n_i表示第i个采样窗口期间内检测到的总异常数量；

f_i表示第i个采样窗口期间的入侵频率；

L_△i为大于或等于0的整数，表示生命周期调整量；

l_[i][g][x]为第i个采样窗口中第g代检测器x的生命周期值。

$>n_i=\underset{i=0}{\Sigma }\underset{g=0}{\overset{G_W}{\Sigma }}\underset{x=0}{\Sigma }{n}_{\left[i\right]\left[g\right]\left[x\right]}---\left(7\right)$>

$>f_i=\frac{n_i}{G_W}---\left(8\right)$>

$>L_{\Delta i}=\omega *f_i=\frac{\omega *n_i}{G_W}---\left(9\right)$>

$>\begin{array}{c}{1}_{\left[i\right]\left[g\right]\left[x\right]}=1_{\left[i\right]\left[g-1\right]\left[x\right]}-1+n_{\left[i\right]\left[g\right]\left[x\right]}*L_{\Delta i-1}\\ =1_{\left[i\right]\left[g-1\right]\left[x\right]}-1+\frac{n_{\left[i\right]\left[g\right]\left[x\right]}*\omega *n_{i-1}}{G_W}\end{array}---\left(10\right)$>

此时，将公式(6)和公式(10)合并，本研究提出的自适应生命周期模型最终定义为公式(11)。

$>\begin{array}{c}{1}_{\left[i\right]\left[g\right]\left[x\right]}=1_{\left[i\right]\left[g-1\right]\left[x\right]}-1+n_{\left[i\right]\left[g\right]\left[x\right]}*\mu +\frac{n_{\left[i\right]\left[g\right]\left[x\right]}*\omega *n_{i-1}}{G_W}\\ =1_{\left[i\right]\left[g-1\right]\left[x\right]}-1+n_{\left[i\right]\left[g\right]\left[x\right]}*(\mu +\frac{\omega *n_{i-1}}{G_W})\end{array}---\left(11\right)$>

①数量上限控制机制

提出如下重叠率估计模型，如图8。假设两个检测器半径分别为r和R，检测器间距离为d，则重叠率o可通过公式12获得。当重叠率大于某一阈值时，则丢弃当前检测器，从而初步实现数量控制。

$>o=1-\frac{d}{r+R}---\left(12\right)$>

提出了基于区域模型的分类规则表达方式，采用克隆选择机制进行异常样本的特征学习，实现单个检测器检测更多地异常，提高检测器的自适应未知攻击的能力。在免疫模型中，匹配规则能表示或关系，如假设字符串为100101，亲和力为2，则100***或*001**都能被100101匹配。如果把基于规则学习的基因表示方式同匹配规则结合，即加入亲和力阈值，则可以使基因之间存在或的关系，从而使规则组合更加灵活，单个检测器能检测更多的“非我”。假设有一条规则为：

(Gene1＝TCPorUDP)and(Gene2＝Null)and(Genen＝ANYVALUE)

若亲和力阈值设为1，即需有两个或两个以上规则匹配，则检测器的组合条件有四种，见图9。

以此提出的培育算法的基因表达方式为实数表达方式，同这里记忆细胞培养算法表达方式不一样，由于基于区域模型的分类规则表达方式具有更强的表达组合能力，单个检测器的泛化能力明显提高，通过生命周期模型的压力机制，记忆细胞将具有很大优势取得生存权，在某种程度上抑制了前面实数表达方式的T/B检测器数量，换句话说实现了保证T/B检测器数量不变而检测能力提高。

资源受限终端检测器快速检测与轻量存储模型：在云端实现了T/B检测器的培育和更新后，将更新好的检测器部署到WSN终端节点，根据CWSN分簇结构，每个簇内实现单个检测器集合的分解，一个簇对应一个检测器集合。当检测器根据自体/非自体集合的动态变化更新后，相应簇内的节点对应的检测器分解也要更新，本项目设计基于IRsync的节点内存更新机制，增量式更新检测器集合的差异部分。最后在部署完成的终端检测器实现在线匹配网络数据包并检测，将形成的检测结果形成资源池反馈给云端数据中心。

随着网络检测过程中WSN节点的电池能量耗尽，检测器集合会出现不完整或者异常，因此我们在WSN节点耗尽前做好检测器的更新和更换。假设如图10所示的单个检测器状态转换过程：节点发送、接收数据包，计算数据或检测的信息时，操作状态移动。其中一个时间步长是四种操作状态中的最小时间单位。如果每一轮的时间Tround包含m个时间步长，那么Tround＝M×T个时间步长。每个状态包含多个时间步长。在一个时间步长中，从状态i转换到状态j的有P_ij的概率，其中i，j＝1，2，3，4。在一系列的n个时间步长里，传感器节点的操作状态可以表示为X＝{X₀，X₁，...，X_n}。表示在n个时间步长里从状态i转换到状态j的概率。

当一个传感器节点的运行状态在n个时间步长里从i变化到j，它首先在r时间步长中变到一个中间状态k，然后，在n-r个时间步长里从状态k转变到状态j。

因此，可由隐马尔科夫链模型计算得到：

$>P_{i,j}\left(\left(n\right)\right)=\underset{1}{\overset{n}{\Sigma }}{P_k}^{\left(r\right)}{P}_{kj}^{(n-r)}---\left(13\right)$>

如果接收节点知道传感器节点的转移概率以及传感器节点的初始状态x，它是可以预测能量消耗的，那么接收节点预测传感器节点的能量消耗：

$>E_p=\underset{j=1}{\overset{n}{\Sigma }}\left(\underset{t=1}{\overset{m}{\Sigma }}{p}_{ij}^{\left(t\right)}\right)E_j---\left(14\right)$>

设定能量阈值，当Ep的预测值低于阈值时，设计一种基于着色思想的检测器更新策略，将不断增加新节点作为可更新资源，延长检测器的生存周期。主要思路：首先根据邻节点查询协议和黑色节点通信半径推理，分三步实现：1.簇内调节；2.利用新加入节点补充簇内检测器集合的分解，和第1步结合，可延缓各簇的检测器生存周期；3.通过拓扑重建，均衡簇间检测器的负载能力。再次利用簇头节点(黑色节点)更新协议完成簇头改换，当簇内可担任簇头的节点减少，大多数节点都剩余等量较小，需要新加入第二代节点，利用新节点加入协议完成。整个拓扑控制过程分为拓扑生成、拓扑更新和拓扑自再生3个阶段。最后实现WSN的检测器网络在节点消亡和更新时具有自更新能力。

采用的WSN的实验平台是基于TinyOS系统平台，采用CrossBow公司的MICA2传感器节点搭建实验平台环境。Sink节点作为无线传感器网络与外界通信的桥梁，除了配备基本的MICA2，还搭载了Cortex-A8系列嵌入式微控制器，运行主频高达1GHz，为攻击检测、跟踪、响应系统提供高性能运算环境；1GBDDR3内存和2GBFlash存储空间完全能够满足攻击攻击信息数据库对存储能力的需求。链路层的满足四种基本的安全服务：访问控制、数据完整性、数据保密性、防止重播。从硬件配置分析，设计和部署本项目拟提出的攻击检测协同机制和检测算法是可行性的。

通过IEEE802.15.4协议采集的数据包信息，采用分组和密钥长度均为128bit的对称加密算法AES。

在简单广播网络攻击下，如下图所示。正常情况下节点1发送的数据a会被簇头节点2正确接收，并发送Ack消息b。当恶意节点0发起Dos攻击时，频繁发送干扰信息，导致节点1发送的数据c无法被簇头接收，造成丢包。

根据现有分析可得到，通过AES算法解密后得到的数据时序图，可以通过进一步的分析和模式挖掘得到未知攻击的特征，从而为攻击的检测、预警和隔离等功能做准备。