NO.01
认证: 论文检测

掌柜:论文查重第一家

点击这里给我发消息

支付宝个人认证

2011-03-24

消费者保障协议

该店铺已签署消费者保障协议
已缴纳1000元保证金

店铺动态评分

描述相符5.0

服务态度5.0

物流服务5.0

与同行业相比

高于1.23%

持平0.45%

高于4.31%

开店时长5年老店

基于人工免疫的MANET不端行为检测模型

Ad hoe网络是一种无中心自组织的多跳无线网络,具有节点合作的本质,而相对于节点地位平等的平面网络结构,层次网络相对复杂的组织结构使其节点在路由过程中的合作性更强,自私性等不端行为都会对不同层次节点的路由转发行为产生很大影响,严重影响网络的性能。因此在不端行为检测体系结构的设计上需要考虑到各层次节点协作问题。移动自组织网络(MANET)不端行为…可以概括为:过载——没有足够的资源(CPU,内存,带宽)转发数据包;自私——没有直接的利益不愿承担事务,但总是希望别人为自己服务;恶意——故意丢包,一个拒绝服务攻击;毁坏——软硬件发生致命错误等。为解决移动Adhoe网络节点的不端行为,近年来相继提出了若干基于信誉(Reputation)的路由解决方案,如:斯坦福大学的Marti等人…提出了一种看门狗(Watchdog)和选路人(Pathrater)算法来监控和防止节点的不端行为。但这种机制没有详细区分节点拒绝转发数据包是出于恶意还是物理原因,如节点暂时电源耗尽等,并且对于自私节点也没有惩罚措施。Buehegger等提出针对自私路由行为的路由协议CONFIDANT,它动态调节Adhoe网络节点协作的信誉系统,可以阻止不端行为的攻击拉j。在CONFIDANT中,信任关系和路由的决定是基于经验、观察,或报告路由和转发其他节点的行为,由于没有机制验证收到的信息中不良行为的可靠性,恶意节点可以发送错误的信息来影响无恶意节点,易受到Sybil攻击。另外,对不端节点也没有救赎机制。PietroMichiardi等人提出的CORE则是通过联合信誉机制来抵御节点自私性路由行为【3j。由于来自其他节点的间接信誉仅统计正面评价值,因此,该机制能够防范“诽谤”攻击。 但是它不能很好地防范节点共谋攻击,也无法判断异常行为的发生原因是主观恶意还是客观故障。生物免疫系统是一个自适应、自学习、自组织的并行处理和分布协调复杂系统,其中蕴涵了丰富且有效的信息处理机制。人工免疫系统(Artificialimmunesystem,AIS)是一类基于生物免疫系统的功能、原理、基本特征以及相关理论免疫学说而建立的用于解决各种复杂问题的计算系统。Forrest博士首先将免疫原理应用于计算机安全中,提出了用于检测元(Detector)生成的阴性选择算法(Negativeselectionalgorithm)H1;Dasgupta将免疫原理引入到群智子(Multi—agent)系统中【5J,提出了免疫智子(InMnuneagent)概念,每一个Agent执行类似于人体免疫细胞的功能;Jungwon探讨了克隆算法(Clonalalgorithm)并做适当动态扩展,有效地解决了具有多维特征的计算机网络异常检测问题【6】。 将人工免疫原理应用于移动Adhoe网络不端行为检测系统是异常检测的一种新思路。例如:基于二进制编码模式的阴性选择和克隆选择应用于移动Adhoe网络不端行为检测"J,基于欧氏距离编码模式,采用遗传算法的检测器生成法Adhoe入侵检测【8J。1系统结构模型基于人工免疫的入侵检测系统结构模型有多种【6.9.10J。文献[9]LISYS系统中,节点共同完成基于免疫的入侵检测任务,任何的IDS节点都可以运行管理进程,并对其他的节点进行管理,对整个系统的所有节点进行负载均衡,该系统具有自主性、自学习性和自适应性,缺点是利用本地收集的正常行为信息独立训练检测器,信息量的局限性使得对全局的self集描述不精确。其实质是分布式的中枢免疫器官和免疫应答场所;文献[6]模型的主控IDS负责训练所有检测器,并将其发布到各个从属IDS,由从属IDS负责具体的入侵检测工作,实质为集中式中枢免疫器官和分布式免疫应答场所,其优点是对整个系统的正常特征属性有较好的描述。文献[10]模型IDSServer中完成的是对单类分类器的训练和阴性选择,现有的工作将免疫系统T细胞和B细胞分化发育场所分布或集中的机制割裂开来,存在局限性,并且2种模型关注于传统计算机网络,与MANET自组织的多跳无线网络特点不相符。本文在上述体系结构的基础上结合分布式与集中式中枢免疫器官的优缺点,提出基于MANET分层的不端行为检测系统模型,体系结构如图l所示。 本地节点检测器激活后,向其本簇他节点包括CHMD广播协助信息包;收到协助信息包的节点,CHMD和本簇CNMD依据协助信息包中携带的信息进行相应判断,如确认不端向本簇发送和其他簇首发送确认信息。按照基于分簇的路由算法,将检测器集合分成了2种(见图2、3)。(1)簇首节点检测器(Cluster head MD。CHMD),类似于胸腺、骨髓,主要功能包括:全局万方数据南京理T大学学报 第35卷第5期检测器生成,全局基因库管理,全局分析。全局节点按需生成全局检测器集合并发送到本地节点,属集中式中枢免疫器官训练,具有广泛的self容忍能力。位于全局节点的基因库具有全网的不端行为基因,这些基因来自本地节点的报告。●●o无线信道无线信道图1系统原型结构图‘全局、基因库,1-成检测器不成熟检测器全局阴性选样. 丝塑尘些&盛 ,,一L、、黑型垫, h磊刮盟堕卜-—絮乡图2簇首节点fCltMD,功能结构彰抗原,抗体匹配息认消息|斡塞氅1向驾到I蕊l螋器l阚—塑雾U\/检测器/l\.工奈幽图3簇内节点(CNM9)功能结构(2)簇内节点检测器(ClusternodesMD,CNMD),类似于脾脏、淋巴结、肝脏等,其功能包括:动态检测器集维护;本地基因库管理;分析检测;与CHMD或其他CNMD协作;克隆和记忆检测器管理。对non.self区域的覆盖由各分布式节点独立负责,即不同的检测节点具有不同的检测器集合(可能存在交集),节点之间是并行处理关系。维护本节点的检测器集合是不断更新的动态集合,属分布式中枢免疫器官训练;而位于本地节点的基因库只有属于该节点范围的不端行为基因。由图1可见,协助消息(Assistancemessage)分为请求协助消息和不端行为确认消息。 不端行为确认消息分为确认不端消息和确认误报消息。本地节点检测器激活后,向其他节点广播请求协助消息,如果得到确认不端消息,加人自己的基因库内.也同时加入记}乙集中,二次应答那些已经在别的节点识别为不端的行为。簇首节点检测器作为携带有用基因的染色体交给全网基因库管理模块。用于产生抗体分子的基因材料存储在基因库中,如图4所示。基因库可以收集并进化当前不端行为最匹配的检测器,使得新生检测器在lOOn-self覆盖上具有一定的方向性,快速适应当前环境,同时可以提高系统轻量级特性,使少量检测器能有效覆盖真正的异常区域。基因库并不参加检测,基本不消耗执行时间资源,关键是消耗存储资源。为节约基因库存储空间,库中仅保存被激活并克隆的成熟检测器的抗体基因片段。基因库越大,能保存的有用基因越多,但是MANET节点资源有限,为了保证抗体的多样性避免基因库太大影响系统性能,本文全局基因库为抗体规模的5倍。基因库通过学习新抗原信息不断动态进化,同时,基因库总数量限制将导致最旧抗原信息丢弃。本地基因库l本地基圜库I本地基因库N图4基因库和抗体重组簇首检测出不端行为后会通知簇内节点调整检测参数,使局部检测算法更加适应本地当时的网络状况。同时,如果簇首节点损坏无法运作,不会影响到簇内节点的检测,仅损失簇首节点独有的功能;而少数簇内节点损坏也不会影响系统整体检测能力。 2人工免疫不端行为检测技术分簇目前已经成为大多数Adhoc部署和组织方式,本文提出的基于人工免疫系统的分层检叁霉蚩凼万方数据总第180期 廖俊刘耀宗姜海涛张宏基于人工免疫的MANET不端行为检测模型 655测元生成算法是一种移动Adhoe网络不端行为的检测方法。对于簇内普通节点,采用Hamming距离来描述路由事件之间的差异度,而对于簇首节点。则采用马氏距离来描述路由事件间的差异度。在检测过程中,如果有数据能与检测器匹配,则表示系统处于一个异常状态;但是对不端行为的确认,须将簇内节点和簇首节点属性分别处理再加权得出结论。 2.1路由事件集的编码目前共有2类编码方法:一种是二进制编码模式,另一种是实值编码(Real—valuecode)模式。采用二进制编码无法有效地处理长串模式,因而不适合复杂、数目多的检测属性集合;普遍采用的feb匹配规则缺乏有效的动态自适应检测器集的维护方法,在高维数空间检测率较低。实值编码在抗体的训练、检测及更新方面比二进制优越。本文采用簇内普通节点二进制编码,簇首节点实值马氏距离编码。簇内节点监视其邻居节点并且收集每个被监视邻居节点的协议事件序列。一个协议序列包含了一系列的数据集,按不重叠的时间间隔收集被监视邻居的活动。一个数据集包含的一个时间间隔出事件纪录(默认At=5s),每个数据集的最大事件数默认为60。数据集按如下方法处理:(1)协议事件按照标识符被映像成一个基本的有限集,在MANET环境中,定义如下:A=RREQsent;B=RREPsent;C=RERRsent;D=DATAsent and IP source address isnotofmonitorednode;E=RREQ received;F=RREPreceived;G=BEBB received:H=DATAreceived andIPdestination addressis notof the monitorednodeo一个数据集被表示为,用以上定义的字母表标识符形成一个序列,例如:上,l=(HDEAFBHHEDEBHDHDHHDHD,….)。(2)基因是为匹配所使用的一个原子模式,基因的定义如下:Genel=撑Einsequence;Gene2=#(E宰(AorB))insequence;Gene3=棚in sequence;Gene4=#(H木D)insequence。其中,#代表子模式标识符,木代表零个或一个标识符。将上式中的厶通过基因编码表示为/.2=(32 87)(3)使用格雷码编码方法,提高抗原匹配算法的局部搜索能力,使交叉、变异等操作便于实现,同时符合最小字符编码原则,任意2个整数的海明距离是这2个整数所对应的格雷码之间的差。将上式中的厶通过格雷编码表示为厶=(oooooolo,0000001l,00001100,00000100)(4)匹配规则给定抗原菇=茗I,茹2,…,‰和抗体d=dI,d2,…,d。∑气①dldMx=———-====兰=_———————一≥r(1)∑名;④d;+2∑xiod;~式中:④是异或运算符;0≤r≤l是阈值,抗体和抗原之间的匹配存在不确定性和模糊性。簇首节点选择马氏距离来做检测,马氏距离里包含了属性间的内部关联性,这样就可以综合对比这些属性,避免因为某一个或者某几个属性的不准确带来的对检测结果的影响。x到总体G的马氏距离定义为:扩(X,G)=(X牛)。三一(X掣) (2)式中渺为总体的均值向量,=为协方差距阵,三=(orF)。。。,盯F=(∑::。(Xa/--互i)(戈q『-x—j))/(n-1),;t=(∑。n:。茗耐)In,弓=(∑::,省可)/n。 2.2节点检测与分类对行为匹配抗原是不足以决定被监测的节点是行为不端的,因为可能出现弃真错误。每个节点的行为结果是随机发生的,以0概率认为数据集是可疑的,并假设行为结果是独立同分布的。依据经典的概率假设检验,拒绝域%斌(厅)得式(4),如果受监控节点在足够大的数据集中可疑的的概率估计值大于阈值,则该节点被列为“行为不端”。该判定形式类似于聚集抗原的B细胞抗体的相匹配的过程。M。>K(,1) (3)P({M。>K(,1)}Ip=目~)=a (4)fminIt,:∑乙曰枷。(矗)≤a}ifnO一≤5尉∞-{rd=u(1+警仨H…(5)式中:召。.‰是带r/,sp。参数的二项分布,根据DeMoivre.Laplace定理,在凡充分大时,正态分布是二项式分布的极限分布;手(a)是正态分布,以显著性水平仅,如果式(3)成立,则判定为不端行为。在同一簇内的各节点的网络属性向量Y=(yl,…,匕)服从多维正态分布ⅣP(p,三)(P是维万方数据656南京理工大学学报 第35卷第5期数),可以推导出马氏距离的平方服从自由度为P的卡方分布。所以,某节点属性向量大于自由度为P的卡方分布霹(a)的值则判定为.不端行为。(y叫)。F1(y叫)娟;(口) (6)基于样本集合y=(yl,…,匕)的多维均值五和方差三的计算如下:(1)令D=diag(;(E))I产k…护得到X=(xl,…,五),式中甄=D~Yf,江1,…,n。(2)计算矩阵U=(um),第_『行第k列的元素定义如下:u裤:I÷[;(墨+五)2-5-(x;一瓦)2].『≠后(7)。【1 _『=k(3)分解U,【,=助怔1‘,式中层是U的特征矩阵;A是£,的特征值组成的对角矩阵;A=diag(AI'…,A。)o(4)定义z=(zl,…,乙),式中毛:F菇;,i=l,…,忍,然后计算:Zl=(五(弓))1k.…。,(8)F=diag(孑(z『)2)‰。…,,(9)式中:互为向量z的第.『个元素。(5)令A=DE则p=AA,互=AFAl (10)采用OGK方法[1¨可以在数据维数为P的时候将算法复杂度从0(2’)降低到o(p2),所以用较低的时间复杂度就完成了对均值五和方差皇的估计。 2.3动态检测算法‘MANET中节点采用监听方式,将网络行为经过预处理按时间先后顺序逐个发送给检测引擎,检测引擎将执行一系列匹配和自适应操作,每处理一个行为,就认为系统经过了一个时钟单元,需要检查成熟检测器的生存期是否已满,不成熟检测测器的耐受周期是否已满。记忆检测器和基因库维护各自独立的集合,其数目上限由系统设定,成熟和不成熟检测器同属一个集合,各自的数目是动态变化的,但其总和有数量上限,也由系统设定。总体流程如下:(1)利用收集到的正常训练集,对系统进行预训练,生成初始检测器集合。(2)行为B的判断:(a)记忆检测器集测试B,如果匹配,向簇首发送请求协助信息,行为B被簇首确认不端,则表明检测到了不端,否则为误报。(b)如果B没有被记忆检测器匹配,则用成熟检测器集测试,如果任何成熟检测器匹配,向簇首发送请求协助信息,行为被簇首确认不端,则表明检测到了不端。如果确认消息指示为误报,则删除该检测器。(c)激活的检测器变成记忆检测器,移入记忆集合,并克隆指定数目的变异个体进人不成熟检测器集合,其耐受周期要比普通新生检测器短。(d)该检测器还进人基因库中储存备用。(e)上述检测如果没有认定行为B为不端,则B作为训练模式,训练不成熟检测器,如果任一不成熟检测器匹配B,该检测器被丢弃。(3)检测器的检验检查每一个不成熟检测器的耐受周期,耐受周期已满的,将变为成熟检测器,赋予其特定的生存期。检查每一个成熟检测器的生存期,生存期到期限的将被删除。检查成熟和不成熟检测器总数,如果没有达到设定上限,则创建新的不成熟检测器,以P的概率从基因库创建,(1-p)的概率随机创建。3系统特性实验仿真平台为NS一2。 在仿真过程中,节点移动模式为随机点模型(Randomwaypointmodel),节点从一个随机起点向某个随机目的点移动,到达目的点后不做停留。节点的移动速率分布服从正态分布normal(5,I)。同时,配置网络背景流量,选取40个节点以恒定速率向随机的目的节点发送数据。不端行为检测系统参数见表l,依据文献[7]给出口。。,a阈值。

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

论文查重:

论文检测,论文查重第一家,是一家以检测抄袭与剽窃、伪造、篡改、不当署名、一稿多投等学术不端文献的论文检测平台,目前主要推荐的知名、权威检测产品包括中国知网的AMLC系统、VIP、TMLC2系统,万方数据库的万方相似比检测系统,维普文检测系统、gaperpass检测系统,等等常见检测软件

推荐软件知网期刊检测AMLC 知网本科检测 知网硕博检测 万方论文相似比检测 维普论文检测

检测须知:

1.此系统一旦提交,开始检测后,概不退款!2.在淘宝中购买宝贝后,可以在“我已购买宝贝”中看到有“订单编号”,知网系统检测需要输入订单编号才能使用。3.Word文档大小请不要超过15MB ,否则将无法上传;请把不必要的图片删除即可(系统不检测图片);4.上传检测的文档格式为Word的docx,doc格式,请勿上传其他格式的文档。

检测入口返回顶部
知网期刊检测
知网本科检测
知网硕博检测
万方论文检测
维普论文检测
paperpass
返回顶部