基于免疫原理的建筑环境CPS安全监测系统设计

　　信息物理融合系统（）被喻为是继计算机、互联网以后的又一次IT革命，是近几年才兴起的一个热门的前沿性研究领域,其以感知、通信、计算、控制为核心，实现信息世界和物理世界的高度融合，是与传统的嵌入式系统、无线传感器网络相比更智能的分布式复杂系统^[1]。目前，对CPS的研究还处于起步阶段，许多概念和技术都不完善，而安全性作为CPS研究的重点，是一切功能实现的重要保障，还有很多问题亟待着我们去解决。

　　目前，对于CPS安全性的研究主要有以下几个方面：文献^[2][3]提出一类基于形式化的安全结构，从某些角度上可以提高CPS的安全性，但是形式化模型的状态空间规模较大，实用性较差。文献^[4][5]提出一种CPS的安全保障机制，这里强调的是人为对CPS维护，不能满足CPS智能性的要求。文献^[6][7][8]设计了由事件驱动的CPS 安全监控方法，但这种方法只能检测已知的侵害行为，并不能检测出未知的侵害行为，因此适应性较差。

　　本文结合生物免疫原理的优越性，针对前文研究的不足之处，设计了一种功能完备的建筑环境CPS安全检测系统，模拟生物免疫原理进行自免疫，体现了智能安全系统的特点，并通过仿真实验验证了此模型的可行性，为CPS安全系统的研究与发展打下一定的基础。

 

1　生物免疫系统简介

　　生物免疫系统由免疫组织器官、免疫细胞、免疫分子组成，能够准确的进行“自我/非我”的识别，对“自我”产生免疫耐受，对“非我”产生免疫应答，并产生记忆的复杂系统^[9]。他能够保护系统不受病毒、病菌等病原体的侵害，维护系统内环境的安全和稳定。同时，因为其具有分布性、自适应性和并行性等特点，使其在记忆、动态学习、抗体多样性等方面具有突出的优势。所以，本文意在把生物免疫系统优势特性引用到建筑环境CPS安全监测系统中来，使CPS安全监测系统更好适应未来发展的需要。

 

2　安全监测系统设计

    由于CPS网络本身具有大型、复杂、分布式等特点，这就要求CPS安全监测系统能够从不同子网络发生的异常情况，来判断整个网络的异常程度，并对其做出实时检测、及时预警和采取应对措施。同时考虑到当今网络入侵的分布式特点，CPS安全监测工作不可能由单个安全部件完成，需要整个网络中不同区域内的不同部件协同工作。在此本文结合生物免疫原理设计了一种新型建筑环境CPS安全检测系统。它由前端服务器、中心服务器、区域服务器和源服务器构成。下面结合免疫原理来介绍图1中各部件的功能和它们之间的相互联系。       

　　

　　图1　建筑环境CPS安全监测系统结构图

2.1　前端服务器

　　由协议分析单元、异常检测单元、事件响应单元组成。其中,协议分析单元分析命令信号、确定协议类型和探索碎片攻击等。异常检测单元负责对对其所辖区的建筑环境CPS系统的异常行为进行检测。事件响应单元负责对检测器所检测出来的异常行为进行报警和采取必要的相关措施。

2.2　中心服务器

　　由正常数据库、异常数据库、宏观调节数据集、非成熟检测单元、成熟检测单元和记忆检测单元组成。正常数据记录库用于记录正常网络环境下的数据，通过它统计出用户正常行为特征，作为异常检测单元进行异常检测时的依据。异常数据库用来记录与异常行为有关的数据，通过它可生成疫苗，用于对本区域系统进行疫苗的接种。宏观调节数据集用来存储管理员的指令信息。

　　非成熟检测单元、成熟检测单元和记忆检测单元，均负责系统的检测工作，并能够储存一定数目的检测器。

2.3　区域服务器

　　区域服务器是整个系统的协调、管理者，维护所管辖区域内各数据库安全与更新，为下级服务器提供网络安全支持，功能如下所示：①接受管理员的命令，为下级服务器提供宏观调节信息；②与其他区域进行通信，及时获取CPS网络的安全信息；③及时更新好的疫苗或检测器，以最快的速度提高整个网络的防御能力；④进行数据融合及关联性分析，以支持分布式和层次化的网络结构；⑤深入分析、处理系统中的安全信息，并将所得的结果发送给源服务器。

2.4　源服务器

    源服务器是整个安全监测系统的最高层。维护整个体系的合理构成、协调分区服务器间合作。实时的监控整个建筑环境CPS网络，根据各分区服务器所提供的融合数据，进行分析与决策，及时发布网络安全信息和灾难恢复情，构件动态安全的防御体系。

 

3　算法设计

3.1　基本定义

　　定义一：网络检测数据的结构定义为：。其中SIP为源IP地址，TIP为目的IP地址，Port为端口号，Bs为数据包装中待检测的数据，即抗原，ID为数据标识，Time为抓包时间。

　　定义二^[10]：检测器定义为：。其中ags为抗体As的年龄，count为与抗体As相匹配的抗原Bs的数目，type为检测器类型。若n为最大失效年龄，$为匹配数的阈值，则当，时，成熟检测器成为记忆检测器；当时，成熟检测器被删除。

　　定义三^[11]：匹配规则函数为：。文中通过海明规则计算出抗体As与抗原Bs海明距离，即匹配数count，然后比较海明距离与设定阈值r的大小，来判定两个字符串是否匹配。其数学表示为：

                 

3.2　学习过程

   (1) 在非成熟检测器的学习过程中，非成熟检测器组成的抗原集合与正常数据组成的抗体集合进行匹配，选择成功的非成熟检测器被删除，选择失败的非成熟检测器被送入成熟检测单元，晋升成为成熟检测器。

   (2) 在成熟检测器的学习过程中（成熟检测器的学习是在检测过程程中完成的），成熟检测器与抗原进行匹配，若，则成熟检测器晋升记忆检测器：若，则成熟检测器被送回非成熟检测单元。

图2　系统学习过程流程图

3.3　检测过程

    (1) 当网络数据包P被抓取后，首先被送至协议分析器，若协议正常，则P被送入异常检测单元；若协议异常，则启动事件处理单元进行相关处理。

    (2)在异常检测单元，数据包P与正常数据匹配，若 ，则数据包P正常，转（1）执行；若，则P被送入记忆检测单元。

    (3) 在记忆检测单元，数据包P与记忆检测器进行匹配，若 ，则数据包P异常，启动事件处理单元；若，则P被送入成熟检测单元。

    (4) 在成熟检测单元，数据包P与成熟检测器进行匹配，若 ，则数据包P异常，启动事件处理单元；若，则P被送入正常数据库。

    (5) 一个数据包的检测过程结束，接下来的数据包重复这个过程。

图3　系统检测过程流程图

 

4　仿真实验与仿真结果分析

　　4.1　仿真实验

    本实验采用KDDCU99入侵检测评估数据集kddcupdata-10-percent-corrected.txt。它是kddcup-data数据包10% 的抽样数据，该数据集共有 494032 条，每条共有 41 个特征性属性和 1 个标识性属性。标识性属性为normal 的共有 97287 条。实验数据截图如图4所示：

 

图4　实验数据截图

    实验中选取的数据的属性为：service 、 flag 、 src_bytes 、 dst_bytes 、dst_host_src_count、dst_host_same_src_port_rate、dst_host_src_diff_host_rate、dst_host_rerror_rate 和count。将它们转换后组成二进制串参与匹配，匹配的算法使用r位连续匹配算法。

（1）实验步骤。第一，Step1 学习。随机产生s 位二进制串，将其与 selfdata.txt（正常数据集）中记录的数据进行 r 位连续匹配。与正常数据集中匹配成功的串将被删除，匹配失败的加入到成熟检测器集中。重复Step1，直到成熟检测器的数量达到指定要求为止。第二，Step2 抽取、转换数据。从 kddcup_data 数据包 kddcup_data_corrected.txt文件中随机抽取一定数目的数据，并选取其中的九个属性，将其转换成二进制串，组成待检测的数据。第三，Step3 检测。通过文中算法对待检数据进行检测。

（2）学习过程。DDCUP99数据集均采用tcpdump 格式，每条数据包含7个非数值型字段 和34个数值型字段。为了检测方便，实验时将非数值型字段service和flag 转化成数值型，如表1、表2所示。

表1　Service数值型转换表

表2　flag数值型转换表

    入侵检测评估数据集kddcupdata-10-percent-corrected.txt中标识性属性为normal 的数据首先被提取到selfdataset.txt 文件中作为正常数据集，其余异常数据提取到no-selfdataset.txt  文件中作为异常数据集。实验时取 6000 条数据(包含了3000条正常数据和25种攻击行为的3000条异常数据），转换成二进制串，用于学习过程。

    学习时，首先对系统随机生成的二进制串进行匹配，然后再与异常数据集匹配，匹配成功的加入检测器中。

4.2　仿真结果与分析

　　我们从KDDCU99 入侵检测评估数据集中，选取8000条数据，包括6000条正常数据和有别于学习过程中的15种新型攻击行为特征的2000条异常数据。初始正常数据总数为50,异常检测的总数为60，非成熟检测器的总数为100,成熟检测器综述150，异常检测器综述80。所有检测器的最大失效年龄为15，匹配数阈值为20。

　　为了验证本文算法的性能，将本文算法与文献8算法比较，其中TR为正确肯定次数，TN为正确否定次数，FR为错误肯定次数，FN 为错误否定次数，，^[11]。实验结果如图5、6所示。

　　

　　图5　检测率对比图

　　

　　图6　误检率对比图

　　图5和图6分别为检测率和误检率的对比图。从图5可以看出,本文算法的检测率增加幅度大,当检测次数到150次左右时,检测率渐趋稳定,达到90%左右，明显高于文献8中算法。此时系统学习过程基本完成,各种检测器以达到指定数目，从而提升了检测率。从图6可以看出,本文算法也取得了较低的误检率,随着系统学习过程的完成，误检率逐渐降低，并趋于平稳，达到10%以下，说明本文算法能有效地降低系统的误检率。此外，图5、图6中显示出本文算法的检测率和误检率变化波动很大。由于实验所选取的训练数据集仅为kddcup-data数据包 10%的抽样数据中的约6000条数据，受训练数据集大小的限制，容易造成抽样数据的误检率和检测率波动幅度过大，但这并不影响对算法的有效性的检验。

 

5　总结

　　本文针对CPS高安全性的内涵要求，结合建筑环境CPS网络的特点，应用免疫原理及其相关算法，设计了一种能够满足系统需求的建筑环境CPS安全模型。并通过实验验证了其具有非常高的检测率，是一种可靠的建筑环境CPS安全监测模型。本文的创新之处在于把生物免疫原理应用到建筑环境CPS安全系统中来，为CPS安全性的研究起到了积极的促进作用。

 

参考文献：

[1]黎作鹏,张天驰,张菁.信息物理融合系统（ＣＰＳ）研究综述[J].计算机科学,2011(9):25-31.

[2]张侃,张广泉,张茗泰.一种可信的信息物理融合系统设计框架初探[J].计算机研究与发展,2011(7):242-246.

[3]Liberatore V. Networked Cyber-Physical Systems: an introduction[R/OL].

[2007-12-30]. http://vorlon.case.edu/~vxl11/NetBots/nsf07.pdf

[4]CPS Steering Group. Cyber-Physical System: executive summary[R/OL].

[2008-10-25]. http://varma.ece.cmu.edu/summit/CPS_Summit_Report.pdf.

[5]Doron A. Peled, David Gries, Fred B. Schneider, (Editors) Software reliability

methods. Secaucus, NJ, USA: Springer-Verlag New York, Inc., 2001

[6]毛建辉.基于混成自动机的事件驱动的CPS 系统监控方法研究[D].北京.国防科学技术大学研究生院,2011.

[7]R. A. Thacker, K. R. Jones, C. J. Myers, et al. Automatic abstraction for verification of Cyber-Physical Systems. In Proceedings of the 1st International Conference on Cyber-physical systems. April 2010, Stockholm, Sweden.

[8]方敏,张雅顺,李辉.混成系统的形式验证方法[J].系统仿真学报,2006,18(10):2921-2928.

[9]姚兴.免疫原理在大规模分布式入侵检测系统中的应用研究[D].江西:江西师范大学,2010.

[10]宋贤锋,陈光喜,李小龙.基于平均海明距离的 WSN 安全路由算法[J].计算机工程,2012(2):91-93.

[11]张鹏涛,王维,谭营.基于带有惩罚因子的阴性选择算法的恶意程序检测模型[J].信息科学,2011(7):798-812.