CN101282244B - 基于spm的入侵检测方法 - Google Patents

Abstract

本发明涉及嵌入式操作系统安全领域，旨在提供一种基于SPM的入侵检测方法。包括以下步骤：(1)启动原始boot loader；(2)片内操作系统的初始化；(3)片内操作系统的运行；(4)通用操作系统的装载和启动；(5)启动通用操作系统的网络驱动监控；(6)网络数据获取；(7)网络数据分包并统计；(8)与记录库进行比较；(9)报告并删除被检测出的可疑数据包；(10)向通用操作系统提供过滤后的数据。本发明所述的基于SPM的入侵检测方法，一方面降低了入侵检测系统对通用操作系统性能影响，另一方面通过提高了入侵检测系统的运行级别，提高检测能力，同时提高了本身的安全性保障。

Description

基于SPM的入侵检测方法 

技术领域

本发明涉及嵌入式操作系统安全领域，更具体的说，是涉及一种基于SPM的入侵检测方法。 

背景技术

随着计算机使用的普及，人们的工作和生活越来越离不开计算机的应用。特别在金融，消费，工业，控制等领域，除了需要计算机的不间断的工作保证外，更重要的是对运行期间的可靠性与安全性的保障。又由于互联网的逐步普及和第三代乃至第四代无线网络通讯技术的发展，除了已经连入互联网的许多大型服务器和个人电脑，甚至手机，PDA等小型嵌入式系统也逐步地加入了互联网终端的行列。 

大型服务器往往有专业的技术人员进行维护和支持，而个人电脑由于存储了较少的敏感和机密信息，很少成为攻击的主要目标。另外个人防火墙的普及和人们安全意识的提高也使这些已经成为互联网终端多年的机器安全性越来越高。而新进连入互联网的手机，PDA等小型嵌入式设备由于通讯技术的新发展，进入了新的环境，安全性的问题也逐渐突出出来。 

入侵检测系统正是为了保证接入网络的终端的安全性而开发设计的一个网络数据流检测系统。它被安装在网络驱动的最底层，以此保证对低层网络数据的实时监控。 

但是，由于现在的入侵检测系统都是运行在操作系统之上，并利用操作系统提供的一些服务，这就造成了可信链的缺失。因为作为入侵检测系统基础的操作系统底层服务接口是操作系统的一部分，尽管运行在内核空间中，但并不具有完全的安全性。无论入侵检测系统的处理策略，智能学习作的再出色，一旦操作系统被控制，攻击者可以改变底层接口的控制路径，运行任意的非法代码。 

另外由于嵌入式技术的迅猛发展，越来越多嵌入式处理器在内部签入了高 效节能的片内静态随机存储器。这种片内静态随机存储器的物理性能类似与常用的处理器内部缓存，因此可以提高很快的访问速度。同时，尽管片内静态随机存储器独立于主内存而位于处理器内部，但它可以根据用户的需要进程编程存储。 

正是由于片内静态随机存储器具有这样的高效性，节能性，可控制性和物理独立性，因此可以将原本位于通用操作系统上层的入侵检测系统放如片内存储器中。这样的框架不但保证了入侵检测系统本身的安全性，同时也使该系统的运行在比通用操作系统更高的级别上。在更新和兼容性方面，该入侵检测系统的升级更新将与操作系统无关，已有的操作系统也可以不经修改直接运行在这样一个框架中。 

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种涉及一种基于SPM的入侵检测方法。 

为了解决上述技术问题，本发明是通过以下技术方案实现的。 

(1)启动原始boot loader：启动原始boot loader，将片内操作系统镜像装载进入处理器内置的静态随机存储器中，并将控制权交给片内操作系统开始运行； 

(2)片内操作系统的初始化： 

片内操作系统初始化处理器、时钟、处理器内置的静态随机存储器和主内存以及网卡； 

(3)片内操作系统的运行： 

启动片内操作系统的主线程，响应用户的命令参数以及启动处理基本的网络数据的网络模块；为以后运行的通用操作系统提供网卡驱动的接口；最后将网络监控所用到的数字签名和规则从闪存或从网络指定路径中读取并存储在处理器内置的静态随机存储器中以便以后使用； 

(4)通用操作系统的装载和启动： 

通过在片内操作系统提供的命令界面中键入指定位置将通用操作系统的内核镜像装载进入主内存的内核区，该内核区的具体位置由用户的参数指定；然后，通过启动命令将控制权交给通用操作系统，完成通用操作系统的启动工作； 

(5)启动通用操作系统的网络驱动监控； 

(6)网络数据获取： 

网络数据到来时首先被网卡驱动放入网络适配器的缓存中，然后由入侵检测系统将这些原始数据拷贝到片内静态存储器的指定区域进行临时存储以备以后处理； 

(7)网络数据分包并统计： 

首先将网络流的数据分成一个个的数据包，然后根据协议进行分类，并将IP和ARP的对应关系存储在处理器内置的静态随机存储器固定地址中，用来作为防止ARP欺骗攻击的数据记录；记录按照最近最少使用的方式进行替换，同时根据IP地址和MAC地址进行分类，记录最常出现的前N条记录，N由用户在片内操作系统的命令行里指定； 

(8)与记录库进行比较： 

对每个数据包进行检查，如果该记录出现排在前N并且在数字流中检测到相应的数字签名则根据已经存储的策略进行处理； 

(9)报告并处理： 

如果在(8)中的比较成功，那么该数据包被认为是可疑数据包，于是向通用操作系统报告检测的结果，并根据已存储的规则进行处理； 

(10)向通用操作系统提供过滤后的数据： 

将过滤后的数据存储在主内存中网络驱动程序指定的地方，以便通用操作系统从这里取走已经是合法的数据流。 

作为一种改进，在处理器内置的静态随机存储器中运行独立于通用操作系统的片内操作系统，以及实时的检测方式。 

与现有技术相比，本发明的有益效果是： 

(1)高效性。本发明实现了在嵌入式环境下入侵检测系统工作的方法，通过将入侵检测系统在高速的片内静态随机存储器中运行，利用了片内静态随机存储器的存取高效性，加快了入侵检测系统处理数据的速度，降低了由于网络数据的处理对通用操作系统乃至应用程序的性能影响。 

(2)可靠性。本发明中的基于SPM的入侵检测方法，使入侵检测系统独立于原通用操作系统，不但保证了入侵检测系统本身的安全性，同时也使该系统的运行在比通用操作系统更高的级别上，因此增强了入侵检测的能力和自我保护的能力。 

(3)实用性。本发明提出的基于SPM的入侵检测方法，可以使用在各种 具有片内静态存储器的嵌入式设备上，特别是对于接入互联网的手机的PDA等嵌入式设备的安全性和可靠性提供了保障。 

附图说明

图1是本发明的总体结构框架图。 

图2是入侵检测系统的流程图。 

具体实施方式

结合附图，通过具体实施例对本发明进一步说明。 

首先解释一下用到的名词 

Boot loader：一段固定代码，用于装载系统内核并启动。 

IP：：网际协议，用于传输互联网网络数据。 

TCP：传输控制协议，以IP协议为基础，提供可靠的流传输。 

ARP：地址解析协议，提供通过IP地址查询物理地址的服务。 

ICMP：互联网控制消息协议，用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。 

SPM：处理器内部的静态随机存储器，具有高效，低能耗，物理独立性等优点。 

一种基于SPM的入侵检测方法，包括以下步骤： 

(1)启动原始boot loader：启动原始boot loader，将片内操作系统镜像装载进入处理器内置的静态随机存储器中，并将控制权交给片内操作系统开始运行； 

(2)片内操作系统的初始化： 

片内操作系统初始化处理器、时钟、处理器内置的静态随机存储器和主内存以及网卡； 

(3)片内操作系统的运行： 

初始化工作结束后，启动片内操作系统的主线程，用于响应用户的命令参数以及启动处理基本的网络数据的网络模块。该网络模块为以后运行的通用操作系统提供网卡驱动的接口。最后将网络监控所用到的数字签名和规则从闪存或从网络指定路径中读取并存储在处理器内置的静态随机存储器中以便以后使用。 

(4)通用操作系统的装载和启动： 

通过在片内操作系统提供的命令界面中键入指定位置将通用操作系统的内核镜像装载进入主内存的内核区，该内核区的具体位置由用户的参数指定；然后，通过启动命令将控制权交给通用操作系统，完成通用操作系统的启动工作； 

(5)启动通用操作系统的网络驱动监控： 

由于通用操作系统的网卡驱动利用的是底层片内操作系统提供的网络接口，因此每次有网络数据到来的时候，都会由位于处理器内置的静态随机存储器片内操作系统内部的网络处理函数来进行前期检查。这样的体系结构保证了处理检测的代码运行在高于通用操作系统网络驱动的优先级上，也以此保证了通用操作系统的安全性； 

(6)网络数据获取： 

网络数据到来时首先被网卡驱动放入网络适配器的缓存中，然后由入侵检测系统将这些原始数据拷贝到片内静态存储器的指定区域进行临时存储以备以后处理； 

(7)网络数据分包并统计： 

首先将网络流的数据分成一个个的数据包，然后根据协议进行分类，比如有IP类，ARP类，ICMP类。并将IP和ARP的对应关系存储在处理器内置的静态随机存储器固定地址中，用来作为防止ARP欺骗攻击的数据记录。但是这些存储空间有限，因此记录将按照最近最少使用的方式进行替换。同时要根据IP地址和MAC地址进行分类，记录最常出现的前N条记录，N可以由用户在片内操作系统的命令行里指定； 

(8)与记录库进行比较： 

对每个数据包进行检查，如果该记录出现排在前N并且在数字流中检测到相应的数字签名则根据已经存储的策略进行处理； 

(9)报告并删除被检测出的可疑数据包： 

如果在(8)中的比较成功，那么该数据包被认为是恶意数据包，于是向通用操作系统报告检测的结果并根据策略进行处理，比如屏蔽该IP地址的数据包或直接删除该数据包等； 

(10)向通用操作系统提供过滤后的数据： 

将过滤后的数据存储在主内存中网络驱动程序指定的地方，以便通用操作系统可以从这里取走已经是合法的数据流。 

本发明所述的是一种基于SPM的入侵检测方法，其主要功能利用了嵌入式处理器的片内随机静态存储器存取的高效性和物理独立性，将入侵检测系统放置在其中运行，一方面降低了入侵检测系统对通用操作系统性能影响，另一方面通过提高了入侵检测系统的运行级别，提高检测能力，同时提高了本身的安全性保障。本框架具有很好的通用性，可以在各种具有片内静态随机存储器的嵌入式设备中使用。 

最后，还需要注意的是，以上列举的仅是本发明的具体实施例子。显然，本发明不限于以上实施例子，还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形，均应认为是本发明的保护范围。 

Claims (2)

1.基于处理器内置的静态随机存储器的入侵检测方法，其特征在于，包括以下步骤：

(1)启动原始boot loader：启动原始boot loader，将片内操作系统镜像装载进入处理器内置的静态随机存储器中，并将控制权交给片内操作系统开始运行；

(2)片内操作系统的初始化：

片内操作系统初始化处理器、时钟、处理器内置的静态随机存储器和主内存以及网卡；

(3)片内操作系统的运行：

启动片内操作系统的主线程，响应用户的命令参数以及启动处理基本的网络数据的网络模块；为以后运行的通用操作系统提供网卡驱动的接口；最后将网络监控所用到的数字签名和规则从闪存或从网络指定路径中读取并存储在处理器内置的静态随机存储器中以便以后使用；

(4)通用操作系统的装载和启动：

通过在片内操作系统提供的命令界面中键入指定位置将通用操作系统的内核镜像装载进入主内存的内核区，该内核区的具体位置由用户的参数指定；然后，通过启动命令将控制权交给通用操作系统，完成通用操作系统的启动工作；

(5)启动通用操作系统的网络驱动监控；

(6)网络数据获取：

网络数据到来时首先被网卡驱动放入网络适配器的缓存中，然后由入侵检测系统将这些原始数据拷贝到处理器内置的静态随机存储器的指定区域进行临时存储以备以后处理；

(7)网络数据分包并统计：

首先将网络流的数据分成一个个的数据包，然后根据协议进行分类，并将IP和ARP的对应关系存储在处理器内置的静态随机存储器固定地址中，用来作为防止ARP欺骗攻击的数据记录；记录按照最近最少使用的方式进行替换，同时根据IP地址和MAC地址进行分类，记录最常出现的前N条记录，N由用户在片内操作系统的命令行里指定；

(8)与记录库进行比较：

对每个数据包进行检查，如果该数据包的记录出现排在前N并且在数字流 中检测到相应的数字签名则进入下一步；

(9)报告并处理：

如果在(8)中的比较成功，那么该数据包被认为是可疑数据包，于是向通用操作系统报告检测的结果，并根据已存储的规则进行处理；

(10)向通用操作系统提供过滤后的数据：

将过滤后的数据存储在主内存中网络驱动程序指定的地方，以便通用操作系统从这里取走已经是合法的数据流。

2.根据权利要求1所述的入侵检测方法，其特征在于，在处理器内置的静态随机存储器中运行独立于通用操作系统的片内操作系统，以及实时的检测方式。 

Images