嵌入式系統(tǒng)中入侵檢測的設(shè)計及實現(xiàn)
隨著通信技術(shù)和電子技術(shù)的不斷發(fā)展,嵌入式系統(tǒng)在電力系統(tǒng)中得到越來越廣泛的應(yīng)用,電力嵌入式系統(tǒng)連接Internet將成為一大發(fā)展趨勢。但是Internet是一個不確定的網(wǎng)絡(luò),存在著許多安全隱患,這是一個突出的、急待解決的問題。因此要求嵌入式操作系統(tǒng)設(shè)計時,除了考慮實時性,還必須考慮其安全性設(shè)計。
本文引用地址:http://butianyuan.cn/article/152416.htm目前,比較流行的嵌入式操作系統(tǒng)有QNX、VxWorks、Widow CE、μC/OS-II等。其中,μC/OS-II內(nèi)核以穩(wěn)定、簡短、源代碼公開等特性得到了人們的青睞。但μC/OS-II只是一個微內(nèi)核,并沒有安全方面的設(shè)計。為了更加適合應(yīng)用在電力系統(tǒng)中,這部分功能必須增強。
本文將針對電力系統(tǒng)的需求,基于一個改寫的μC/OS-II說明該嵌入式操作系統(tǒng)中入侵檢測模塊的設(shè)計與實現(xiàn)。
1、針對電力系統(tǒng)的安全威脅分析
嵌入式系統(tǒng)在電力系統(tǒng)中主要應(yīng)用于數(shù)據(jù)采集和遠(yuǎn)程監(jiān)控,所以它面臨的最大威脅是數(shù)據(jù)(指令也認(rèn)為是一種數(shù)據(jù))的保密性和完整性問題。通過現(xiàn)有的保密技術(shù)和網(wǎng)絡(luò)安全措施可以基本上保證數(shù)據(jù)的安全,但并不能絕對保證。入侵檢測模塊可以認(rèn)為是整個系統(tǒng)的最后一道防線,在系統(tǒng)遭受威脅或被攻擊后,可以分析攻擊行為,有效保護(hù)系統(tǒng)免受同樣的攻擊。針對電力系統(tǒng),可以歸納出三個主要的安全威脅,這些威脅不能通過常規(guī)的數(shù)據(jù)保密技術(shù)和網(wǎng)絡(luò)安全措施得到絕對有效的解決。
(1) 內(nèi)部人員的違規(guī)行為。通常,數(shù)據(jù)保密技術(shù)和賬戶安全管理手段,只能防止外來人員的攻擊,而對于內(nèi)部人員則束手無策。若內(nèi)部人員濫用權(quán)限也會使系統(tǒng)面臨很大的威脅。小則造成設(shè)備損壞,大則危害公共安全和經(jīng)濟(jì)生產(chǎn)。
(2) 非授權(quán)用戶登錄操作。一個電力監(jiān)控系統(tǒng)不僅可以遠(yuǎn)程采集電力終端設(shè)備的數(shù)據(jù),同時也可以進(jìn)行設(shè)備故障診斷、實時控制等操作。非授權(quán)用戶通過盜取密碼等非法手段登錄嵌入式系統(tǒng)并進(jìn)行非法的設(shè)備控制是監(jiān)控系統(tǒng)面臨的最大安全威脅。
(3) 對系統(tǒng)資源的非法訪問。這里所謂的系統(tǒng)資源主要包括存儲器中的數(shù)據(jù)、系統(tǒng)的運行參數(shù)以及用于控制電力設(shè)備的硬件。當(dāng)攻擊者繞過正常的操作順序獲取數(shù)據(jù)或是硬件的控制權(quán)時,系統(tǒng)的所有安全措施形同虛設(shè)。
通過上述分析可知,為了進(jìn)一步加強系統(tǒng)的安全性,必須使系統(tǒng)具有個人行為監(jiān)控、事件重建、抵御網(wǎng)絡(luò)攻擊和故障分析能力。這些都將在入侵檢測模塊中實現(xiàn)。
2、基于主機的入侵檢測模塊設(shè)計
2.1 檢測技術(shù)
考慮到嵌入式系統(tǒng)資源的有限性,入侵檢測模塊將采用濫用檢測技術(shù)。所謂濫用檢測是直接對入侵行為進(jìn)行特征化描述,建立某種或某類入侵的特征行為模式庫。如果發(fā)現(xiàn)當(dāng)前行為與某個入侵模式一致,則表示發(fā)生了這種入侵。采用這種技術(shù)將降低判斷入侵檢測程序的復(fù)雜度,并且大大減少審計開銷,系統(tǒng)只記錄一些必要的日志信息,節(jié)省了有限的存儲器空間。
2.2 框架設(shè)計
入侵檢測模塊一般分為四部分:
(1) 事件產(chǎn)生器。從環(huán)境中抽取感興趣的信息,并把信息轉(zhuǎn)化為標(biāo)準(zhǔn)格式供系統(tǒng)其他部件使用。
(2) 事件數(shù)據(jù)庫。事件數(shù)據(jù)庫保存事件日志。
(3) 事件分析器。分析輸入的格式化后的事件,進(jìn)行真正意義上的入侵檢測,并產(chǎn)生新的警告。
(4) 響應(yīng)單元。響應(yīng)單元按照警告進(jìn)行相應(yīng)的保護(hù),反擊入侵行為。
根據(jù)電力應(yīng)用的特性和嵌入式系統(tǒng)的特點,對上述入侵檢測框架進(jìn)行修改如下:
(1)事件發(fā)生器產(chǎn)生原始日志數(shù)據(jù),為了避免對進(jìn)程實時性造成太大的影響,先不做格式化處理。
(2)事件數(shù)據(jù)庫將接收的原始日志數(shù)據(jù)進(jìn)行格式化處理,并進(jìn)行相應(yīng)的分類保存。
(3)事件分析器與響應(yīng)單元合并,以減少對系統(tǒng)進(jìn)程的占用。
整個入侵檢測框架如圖1所示。
圖1 入侵檢測框架圖
3 基于主機的入侵檢測模塊的實現(xiàn)
3.1 入侵檢測模塊的實現(xiàn)流程
該操作系統(tǒng)是一個實時操作系統(tǒng),為了不影響系統(tǒng)的實時性,入侵檢測并不是實時處理,數(shù)據(jù)流在整個處理過程中可能并不是很流暢,所以在設(shè)計時采用消息隊列形式傳遞原始記錄。即每個事件產(chǎn)生器發(fā)送的消息都送到一個消息隊列中,事件數(shù)據(jù)庫在系統(tǒng)空閑時取出消息做統(tǒng)一的格式化處理,并保存到數(shù)據(jù)庫中。當(dāng)日志記錄累積到一定程度時,由事件數(shù)據(jù)庫觸發(fā)事件分析器做分析檢測,經(jīng)過檢測的日志記錄可以適當(dāng)刪除,以保持事件數(shù)據(jù)庫接收新日志的能力。事件分析器作為整個入侵檢測模塊的核心,其程序流程如圖2所示。
linux操作系統(tǒng)文章專題:linux操作系統(tǒng)詳解(linux不再難懂)
評論