信息物理融合系統(tǒng)（）被喻為是繼計算機(jī)、互聯(lián)網(wǎng)以后的又一次IT革命，是近幾年才興起的一個熱門的前沿性研究領(lǐng)域,其以感知、通信、計算、控制為核心，實現(xiàn)信息世界和物理世界的高度融合，是與傳統(tǒng)的嵌入式系統(tǒng)、無線傳感器網(wǎng)絡(luò)相比更智能的分布式復(fù)雜系統(tǒng)^[1]。目前，對CPS的研究還處于起步階段，許多概念和技術(shù)都不完善，而安全性作為CPS研究的重點，是一切功能實現(xiàn)的重要保障，還有很多問題亟待著我們?nèi)ソ鉀Q。

　　目前，對于CPS安全性的研究主要有以下幾個方面：文獻(xiàn)^[2][3]提出一類基于形式化的安全結(jié)構(gòu)，從某些角度上可以提高CPS的安全性，但是形式化模型的狀態(tài)空間規(guī)模較大，實用性較差。文獻(xiàn)^[4][5]提出一種CPS的安全保障機(jī)制，這里強(qiáng)調(diào)的是人為對CPS維護(hù)，不能滿足CPS智能性的要求。文獻(xiàn)^[6][7][8]設(shè)計了由事件驅(qū)動的CPS 安全監(jiān)控方法，但這種方法只能檢測已知的侵害行為，并不能檢測出未知的侵害行為，因此適應(yīng)性較差。

　　本文結(jié)合生物免疫原理的優(yōu)越性，針對前文研究的不足之處，設(shè)計了一種功能完備的建筑環(huán)境CPS安全檢測系統(tǒng)，模擬生物免疫原理進(jìn)行自免疫，體現(xiàn)了智能安全系統(tǒng)的特點，并通過仿真實驗驗證了此模型的可行性，為CPS安全系統(tǒng)的研究與發(fā)展打下一定的基礎(chǔ)。

 

1　生物免疫系統(tǒng)簡介

　　生物免疫系統(tǒng)由免疫組織器官、免疫細(xì)胞、免疫分子組成，能夠準(zhǔn)確的進(jìn)行“自我/非我”的識別，對“自我”產(chǎn)生免疫耐受，對“非我”產(chǎn)生免疫應(yīng)答，并產(chǎn)生記憶的復(fù)雜系統(tǒng)^[9]。他能夠保護(hù)系統(tǒng)不受病毒、病菌等病原體的侵害，維護(hù)系統(tǒng)內(nèi)環(huán)境的安全和穩(wěn)定。同時，因為其具有分布性、自適應(yīng)性和并行性等特點，使其在記憶、動態(tài)學(xué)習(xí)、抗體多樣性等方面具有突出的優(yōu)勢。所以，本文意在把生物免疫系統(tǒng)優(yōu)勢特性引用到建筑環(huán)境CPS安全監(jiān)測系統(tǒng)中來，使CPS安全監(jiān)測系統(tǒng)更好適應(yīng)未來發(fā)展的需要。

 

2　安全監(jiān)測系統(tǒng)設(shè)計

    由于CPS網(wǎng)絡(luò)本身具有大型、復(fù)雜、分布式等特點，這就要求CPS安全監(jiān)測系統(tǒng)能夠從不同子網(wǎng)絡(luò)發(fā)生的異常情況，來判斷整個網(wǎng)絡(luò)的異常程度，并對其做出實時檢測、及時預(yù)警和采取應(yīng)對措施。同時考慮到當(dāng)今網(wǎng)絡(luò)入侵的分布式特點，CPS安全監(jiān)測工作不可能由單個安全部件完成，需要整個網(wǎng)絡(luò)中不同區(qū)域內(nèi)的不同部件協(xié)同工作。在此本文結(jié)合生物免疫原理設(shè)計了一種新型建筑環(huán)境CPS安全檢測系統(tǒng)。它由前端服務(wù)器、中心服務(wù)器、區(qū)域服務(wù)器和源服務(wù)器構(gòu)成。下面結(jié)合免疫原理來介紹圖1中各部件的功能和它們之間的相互聯(lián)系。       

　　

　　圖1　建筑環(huán)境CPS安全監(jiān)測系統(tǒng)結(jié)構(gòu)圖

2.1　前端服務(wù)器

　　由協(xié)議分析單元、異常檢測單元、事件響應(yīng)單元組成。其中,協(xié)議分析單元分析命令信號、確定協(xié)議類型和探索碎片攻擊等。異常檢測單元負(fù)責(zé)對對其所轄區(qū)的建筑環(huán)境CPS系統(tǒng)的異常行為進(jìn)行檢測。事件響應(yīng)單元負(fù)責(zé)對檢測器所檢測出來的異常行為進(jìn)行報警和采取必要的相關(guān)措施。

2.2　中心服務(wù)器

　　由正常數(shù)據(jù)庫、異常數(shù)據(jù)庫、宏觀調(diào)節(jié)數(shù)據(jù)集、非成熟檢測單元、成熟檢測單元和記憶檢測單元組成。正常數(shù)據(jù)記錄庫用于記錄正常網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)，通過它統(tǒng)計出用戶正常行為特征，作為異常檢測單元進(jìn)行異常檢測時的依據(jù)。異常數(shù)據(jù)庫用來記錄與異常行為有關(guān)的數(shù)據(jù)，通過它可生成疫苗，用于對本區(qū)域系統(tǒng)進(jìn)行疫苗的接種。宏觀調(diào)節(jié)數(shù)據(jù)集用來存儲管理員的指令信息。

　　非成熟檢測單元、成熟檢測單元和記憶檢測單元，均負(fù)責(zé)系統(tǒng)的檢測工作，并能夠儲存一定數(shù)目的檢測器。

2.3　區(qū)域服務(wù)器

　　區(qū)域服務(wù)器是整個系統(tǒng)的協(xié)調(diào)、管理者，維護(hù)所管轄區(qū)域內(nèi)各數(shù)據(jù)庫安全與更新，為下級服務(wù)器提供網(wǎng)絡(luò)安全支持，功能如下所示：①接受管理員的命令，為下級服務(wù)器提供宏觀調(diào)節(jié)信息；②與其他區(qū)域進(jìn)行通信，及時獲取CPS網(wǎng)絡(luò)的安全信息；③及時更新好的疫苗或檢測器，以最快的速度提高整個網(wǎng)絡(luò)的防御能力；④進(jìn)行數(shù)據(jù)融合及關(guān)聯(lián)性分析，以支持分布式和層次化的網(wǎng)絡(luò)結(jié)構(gòu)；⑤深入分析、處理系統(tǒng)中的安全信息，并將所得的結(jié)果發(fā)送給源服務(wù)器。

2.4　源服務(wù)器

    源服務(wù)器是整個安全監(jiān)測系統(tǒng)的最高層。維護(hù)整個體系的合理構(gòu)成、協(xié)調(diào)分區(qū)服務(wù)器間合作。實時的監(jiān)控整個建筑環(huán)境CPS網(wǎng)絡(luò)，根據(jù)各分區(qū)服務(wù)器所提供的融合數(shù)據(jù)，進(jìn)行分析與決策，及時發(fā)布網(wǎng)絡(luò)安全信息和災(zāi)難恢復(fù)情，構(gòu)件動態(tài)安全的防御體系。

 

3　算法設(shè)計

3.1　基本定義

　　定義一：網(wǎng)絡(luò)檢測數(shù)據(jù)的結(jié)構(gòu)定義為：。其中SIP為源IP地址，TIP為目的IP地址，Port為端口號，Bs為數(shù)據(jù)包裝中待檢測的數(shù)據(jù)，即抗原，ID為數(shù)據(jù)標(biāo)識，Time為抓包時間。

　　定義二^[10]：檢測器定義為：。其中ags為抗體As的年齡，count為與抗體As相匹配的抗原Bs的數(shù)目，type為檢測器類型。若n為最大失效年齡，$為匹配數(shù)的閾值，則當(dāng)，時，成熟檢測器成為記憶檢測器；當(dāng)時，成熟檢測器被刪除。

　　定義三^[11]：匹配規(guī)則函數(shù)為：。文中通過海明規(guī)則計算出抗體As與抗原Bs海明距離，即匹配數(shù)count，然后比較海明距離與設(shè)定閾值r的大小，來判定兩個字符串是否匹配。其數(shù)學(xué)表示為：

                 

3.2　學(xué)習(xí)過程

   (1) 在非成熟檢測器的學(xué)習(xí)過程中，非成熟檢測器組成的抗原集合與正常數(shù)據(jù)組成的抗體集合進(jìn)行匹配，選擇成功的非成熟檢測器被刪除，選擇失敗的非成熟檢測器被送入成熟檢測單元，晉升成為成熟檢測器。

   (2) 在成熟檢測器的學(xué)習(xí)過程中（成熟檢測器的學(xué)習(xí)是在檢測過程程中完成的），成熟檢測器與抗原進(jìn)行匹配，若，則成熟檢測器晉升記憶檢測器：若，則成熟檢測器被送回非成熟檢測單元。

圖2　系統(tǒng)學(xué)習(xí)過程流程圖

3.3　檢測過程

    (1) 當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包P被抓取后，首先被送至協(xié)議分析器，若協(xié)議正常，則P被送入異常檢測單元；若協(xié)議異常，則啟動事件處理單元進(jìn)行相關(guān)處理。

    (2)在異常檢測單元，數(shù)據(jù)包P與正常數(shù)據(jù)匹配，若 ，則數(shù)據(jù)包P正常，轉(zhuǎn)（1）執(zhí)行；若，則P被送入記憶檢測單元。

    (3) 在記憶檢測單元，數(shù)據(jù)包P與記憶檢測器進(jìn)行匹配，若 ，則數(shù)據(jù)包P異常，啟動事件處理單元；若，則P被送入成熟檢測單元。

    (4) 在成熟檢測單元，數(shù)據(jù)包P與成熟檢測器進(jìn)行匹配，若 ，則數(shù)據(jù)包P異常，啟動事件處理單元；若，則P被送入正常數(shù)據(jù)庫。

    (5) 一個數(shù)據(jù)包的檢測過程結(jié)束，接下來的數(shù)據(jù)包重復(fù)這個過程。

圖3　系統(tǒng)檢測過程流程圖

 

4　仿真實驗與仿真結(jié)果分析

　　4.1　仿真實驗

    本實驗采用KDDCU99入侵檢測評估數(shù)據(jù)集kddcupdata-10-percent-corrected.txt。它是kddcup-data數(shù)據(jù)包10% 的抽樣數(shù)據(jù)，該數(shù)據(jù)集共有 494032 條，每條共有 41 個特征性屬性和 1 個標(biāo)識性屬性。標(biāo)識性屬性為normal 的共有 97287 條。實驗數(shù)據(jù)截圖如圖4所示：

 

圖4　實驗數(shù)據(jù)截圖

    實驗中選取的數(shù)據(jù)的屬性為：service 、 flag 、 src_bytes 、 dst_bytes 、dst_host_src_count、dst_host_same_src_port_rate、dst_host_src_diff_host_rate、dst_host_rerror_rate 和count。將它們轉(zhuǎn)換后組成二進(jìn)制串參與匹配，匹配的算法使用r位連續(xù)匹配算法。

（1）實驗步驟。第一，Step1 學(xué)習(xí)。隨機(jī)產(chǎn)生s 位二進(jìn)制串，將其與 selfdata.txt（正常數(shù)據(jù)集）中記錄的數(shù)據(jù)進(jìn)行 r 位連續(xù)匹配。與正常數(shù)據(jù)集中匹配成功的串將被刪除，匹配失敗的加入到成熟檢測器集中。重復(fù)Step1，直到成熟檢測器的數(shù)量達(dá)到指定要求為止。第二，Step2 抽取、轉(zhuǎn)換數(shù)據(jù)。從 kddcup_data 數(shù)據(jù)包 kddcup_data_corrected.txt文件中隨機(jī)抽取一定數(shù)目的數(shù)據(jù)，并選取其中的九個屬性，將其轉(zhuǎn)換成二進(jìn)制串，組成待檢測的數(shù)據(jù)。第三，Step3 檢測。通過文中算法對待檢數(shù)據(jù)進(jìn)行檢測。

（2）學(xué)習(xí)過程。DDCUP99數(shù)據(jù)集均采用tcpdump 格式，每條數(shù)據(jù)包含7個非數(shù)值型字段 和34個數(shù)值型字段。為了檢測方便，實驗時將非數(shù)值型字段service和flag 轉(zhuǎn)化成數(shù)值型，如表1、表2所示。

表1　Service數(shù)值型轉(zhuǎn)換表

表2　flag數(shù)值型轉(zhuǎn)換表

    入侵檢測評估數(shù)據(jù)集kddcupdata-10-percent-corrected.txt中標(biāo)識性屬性為normal 的數(shù)據(jù)首先被提取到selfdataset.txt 文件中作為正常數(shù)據(jù)集，其余異常數(shù)據(jù)提取到no-selfdataset.txt  文件中作為異常數(shù)據(jù)集。實驗時取 6000 條數(shù)據(jù)(包含了3000條正常數(shù)據(jù)和25種攻擊行為的3000條異常數(shù)據(jù)），轉(zhuǎn)換成二進(jìn)制串，用于學(xué)習(xí)過程。

    學(xué)習(xí)時，首先對系統(tǒng)隨機(jī)生成的二進(jìn)制串進(jìn)行匹配，然后再與異常數(shù)據(jù)集匹配，匹配成功的加入檢測器中。

4.2　仿真結(jié)果與分析

　　我們從KDDCU99 入侵檢測評估數(shù)據(jù)集中，選取8000條數(shù)據(jù)，包括6000條正常數(shù)據(jù)和有別于學(xué)習(xí)過程中的15種新型攻擊行為特征的2000條異常數(shù)據(jù)。初始正常數(shù)據(jù)總數(shù)為50,異常檢測的總數(shù)為60，非成熟檢測器的總數(shù)為100,成熟檢測器綜述150，異常檢測器綜述80。所有檢測器的最大失效年齡為15，匹配數(shù)閾值為20。

　　為了驗證本文算法的性能，將本文算法與文獻(xiàn)8算法比較，其中TR為正確肯定次數(shù)，TN為正確否定次數(shù)，F(xiàn)R為錯誤肯定次數(shù)，F(xiàn)N 為錯誤否定次數(shù)，，^[11]。實驗結(jié)果如圖5、6所示。

　　

　　圖5　檢測率對比圖

　　

　　圖6　誤檢率對比圖

　　圖5和圖6分別為檢測率和誤檢率的對比圖。從圖5可以看出,本文算法的檢測率增加幅度大,當(dāng)檢測次數(shù)到150次左右時,檢測率漸趨穩(wěn)定,達(dá)到90%左右，明顯高于文獻(xiàn)8中算法。此時系統(tǒng)學(xué)習(xí)過程基本完成,各種檢測器以達(dá)到指定數(shù)目，從而提升了檢測率。從圖6可以看出,本文算法也取得了較低的誤檢率,隨著系統(tǒng)學(xué)習(xí)過程的完成，誤檢率逐漸降低，并趨于平穩(wěn)，達(dá)到10%以下，說明本文算法能有效地降低系統(tǒng)的誤檢率。此外，圖5、圖6中顯示出本文算法的檢測率和誤檢率變化波動很大。由于實驗所選取的訓(xùn)練數(shù)據(jù)集僅為kddcup-data數(shù)據(jù)包 10%的抽樣數(shù)據(jù)中的約6000條數(shù)據(jù)，受訓(xùn)練數(shù)據(jù)集大小的限制，容易造成抽樣數(shù)據(jù)的誤檢率和檢測率波動幅度過大，但這并不影響對算法的有效性的檢驗。

 

5　總結(jié)

　　本文針對CPS高安全性的內(nèi)涵要求，結(jié)合建筑環(huán)境CPS網(wǎng)絡(luò)的特點，應(yīng)用免疫原理及其相關(guān)算法，設(shè)計了一種能夠滿足系統(tǒng)需求的建筑環(huán)境CPS安全模型。并通過實驗驗證了其具有非常高的檢測率，是一種可靠的建筑環(huán)境CPS安全監(jiān)測模型。本文的創(chuàng)新之處在于把生物免疫原理應(yīng)用到建筑環(huán)境CPS安全系統(tǒng)中來，為CPS安全性的研究起到了積極的促進(jìn)作用。

 

參考文獻(xiàn)：

[1]黎作鵬,張?zhí)祚Y,張菁.信息物理融合系統(tǒng)（ＣＰＳ）研究綜述[J].計算機(jī)科學(xué),2011(9):25-31.

[2]張侃,張廣泉,張茗泰.一種可信的信息物理融合系統(tǒng)設(shè)計框架初探[J].計算機(jī)研究與發(fā)展,2011(7):242-246.

[3]Liberatore V. Networked Cyber-Physical Systems: an introduction[R/OL].

[2007-12-30]. http://vorlon.case.edu/~vxl11/NetBots/nsf07.pdf

[4]CPS Steering Group. Cyber-Physical System: executive summary[R/OL].

[2008-10-25]. http://varma.ece.cmu.edu/summit/CPS_Summit_Report.pdf.

[5]Doron A. Peled, David Gries, Fred B. Schneider, (Editors) Software reliability

methods. Secaucus, NJ, USA: Springer-Verlag New York, Inc., 2001

[6]毛建輝.基于混成自動機(jī)的事件驅(qū)動的CPS 系統(tǒng)監(jiān)控方法研究[D].北京.國防科學(xué)技術(shù)大學(xué)研究生院,2011.

[7]R. A. Thacker, K. R. Jones, C. J. Myers, et al. Automatic abstraction for verification of Cyber-Physical Systems. In Proceedings of the 1st International Conference on Cyber-physical systems. April 2010, Stockholm, Sweden.

[8]方敏,張雅順,李輝.混成系統(tǒng)的形式驗證方法[J].系統(tǒng)仿真學(xué)報,2006,18(10):2921-2928.

[9]姚興.免疫原理在大規(guī)模分布式入侵檢測系統(tǒng)中的應(yīng)用研究[D].江西:江西師范大學(xué),2010.

[10]宋賢鋒,陳光喜,李小龍.基于平均海明距離的 WSN 安全路由算法[J].計算機(jī)工程,2012(2):91-93.

[11]張鵬濤,王維,譚營.基于帶有懲罰因子的陰性選擇算法的惡意程序檢測模型[J].信息科學(xué),2011(7):798-812.