解析嵌入式系統(tǒng)中入侵檢測的設(shè)計

隨著通信技術(shù)和電子技術(shù)的不斷發(fā)展，嵌入式系統(tǒng)在電力系統(tǒng)中得到越來越廣泛的應(yīng)用，電力嵌入式系統(tǒng)連接Internet將成為一大發(fā)展趨勢。但是Internet是一個不確定的網(wǎng)絡(luò)，存在著許多安全隱患，這是一個突出的、急待解決的問題。嵌入式芯片的發(fā)展將使機器人在微型化，高智能方面優(yōu)勢更加明顯，同時會大幅度降低機器人的價格，使其在工業(yè)領(lǐng)域和服務(wù)領(lǐng)域獲得更廣泛的應(yīng)用。這些應(yīng)用中，可以著重于在控制方面的應(yīng)用。就遠程家電控制而言，除了開發(fā)出支持TCP/IP的嵌入式系統(tǒng)之外，家電產(chǎn)品控制協(xié)議也需要制訂和統(tǒng)一，這需要家電生產(chǎn)廠家來做。同樣的道理，所有基于網(wǎng)絡(luò)的遠程控制器件都需要與嵌入式系統(tǒng)之間實現(xiàn)接口，然后再由嵌入式系統(tǒng)來控制并通過網(wǎng)絡(luò)實現(xiàn)控制。所以，開發(fā)和探討嵌入式系統(tǒng)有著十分重要的意義。

目前，比較流行的嵌入式操作系統(tǒng)有QNX、VxWorks、Widow CE、μC/OS-II等。其中，μC/OS-II內(nèi)核以穩(wěn)定、簡短、源代碼公開等特性得到了人們的青睞。但μC/OS-II只是一個微內(nèi)核，并沒有安全方面的設(shè)計。為了更加適合應(yīng)用在電力系統(tǒng)中，這部分功能必須增強。μC /OS-II是一個完整的、可移植、可固化、可裁剪的占先式實時多任務(wù)內(nèi)核。μC/OS-II絕大部分的代碼是用ANSI的C語言編寫的，包含一小部分匯編代碼，使之可供不同架構(gòu)的微處理器使用。至今，從8位到64位，μC/OS-II已在超過40種不同架構(gòu)上的微處理器上運行。μC/OS-II已經(jīng)在世界范圍內(nèi)得到廣泛應(yīng)用，包括很多領(lǐng)域， 如手機、路由器、集線器、不間斷電源、飛行器、醫(yī)療設(shè)備及工業(yè)控制上。實際上，μC/OS-II已經(jīng)通過了非常嚴格的測試，并且得到了美國航空管 理局（Federal AviatiON AdminiSTration）的認證，可以用在飛行器上。這說明μC/OS-II是穩(wěn)定可靠的，可用于與人性命攸關(guān)的安全緊要（safety critical）系統(tǒng)。除此以外，μC/OS-II 的鮮明特點就是源碼公開，便于移植和維護。

本文將針對電力系統(tǒng)的需求，基于一個改寫的μC/OS-II說明該嵌入式操作系統(tǒng)中入侵檢測模塊的設(shè)計與實現(xiàn)。

1、針對電力系統(tǒng)的安全威脅分析

嵌入式系統(tǒng)在電力系統(tǒng)中主要應(yīng)用于數(shù)據(jù)采集和遠程監(jiān)控，所以它面臨的最大威脅是數(shù)據(jù)的保密性和完整性問題。通過現(xiàn)有的保密技術(shù)和網(wǎng)絡(luò)安全措施可以基本上保證數(shù)據(jù)的安全，但并不能絕對保證。入侵檢測模塊可以認為是整個系統(tǒng)的最后一道防線，在系統(tǒng)遭受威脅或被攻擊后，可以分析攻擊行為，有效保護系統(tǒng)免受同樣的攻擊。入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

　?。?） 內(nèi)部人員的違規(guī)行為。通常，數(shù)據(jù)保密技術(shù)和賬戶安全管理手段，只能防止外來人員的攻擊，而對于內(nèi)部人員則束手無策。若內(nèi)部人員濫用權(quán)限也會使系統(tǒng)面臨很大的威脅。小則造成設(shè)備損壞，大則危害公共安全和經(jīng)濟生產(chǎn)。

　?。?） 非授權(quán)用戶登錄操作。一個電力監(jiān)控系統(tǒng)不僅可以遠程采集電力終端設(shè)備的數(shù)據(jù)，同時也可以進行設(shè)備故障診斷、實時控制等操作。

　?。?） 對系統(tǒng)資源的非法訪問。這里所謂的系統(tǒng)資源主要包括存儲器中的數(shù)據(jù)、系統(tǒng)的運行參數(shù)以及用于控制電力設(shè)備的硬件。當(dāng)攻擊者繞過正常的操作順序獲取數(shù)據(jù)或是硬件的控制權(quán)時，系統(tǒng)的所有安全措施形同虛設(shè)。

通過上述分析可知，為了進一步加強系統(tǒng)的安全性，必須使系統(tǒng)具有個人行為監(jiān)控、事件重建、抵御網(wǎng)絡(luò)攻擊和故障分析能力。

2、基于主機的入侵檢測模塊設(shè)計

2.1 檢測技術(shù)

檢測技術(shù)與自動化裝置是將自動化、電子、計算機、控制工程、信息處理、機械等多種學(xué)科、多種技術(shù)融合為一體并綜合運用的符合技術(shù)，廣泛應(yīng)用于交通、電力、冶金、化工、建材等各領(lǐng)域自動化裝備及生產(chǎn)自動化過程。檢測技術(shù)與自動化裝置的研究與應(yīng)用，不僅具有重要的理論意義，符合當(dāng)前及今后相當(dāng)長時期內(nèi)我國科技發(fā)展的戰(zhàn)略，而且緊密結(jié)合國民經(jīng)濟的實際情況，對促進企業(yè)技術(shù)進步、傳統(tǒng)工業(yè)技術(shù)改造和鐵路技術(shù)裝備的現(xiàn)代化有著重要的意義。

考慮到嵌入式系統(tǒng)資源的有限性，入侵檢測模塊將采用濫用檢測技術(shù)。所謂濫用檢測是直接對入侵行為進行特征化描述，建立某種或某類入侵的特征行為模式庫。如果發(fā)現(xiàn)當(dāng)前行為與某個入侵模式一致，則表示發(fā)生了這種入侵。

2.2 框架設(shè)計

入侵檢測模塊一般分為四部分：

　?。?） 事件產(chǎn)生器。從環(huán)境中抽取感興趣的信息，并把信息轉(zhuǎn)化為標(biāo)準格式供系統(tǒng)其他部件使用。

　?。?） 事件數(shù)據(jù)庫。事件數(shù)據(jù)庫保存事件日志。

　　（3） 事件分析器。分析輸入的格式化后的事件，進行真正意義上的入侵檢測，并產(chǎn)生新的警告。

　?。?） 響應(yīng)單元。響應(yīng)單元按照警告進行相應(yīng)的保護，反擊入侵行為。

根據(jù)電力應(yīng)用的特性和嵌入式系統(tǒng)的特點，對上述入侵檢測框架進行修改如下：

　　（1）事件發(fā)生器產(chǎn)生原始日志數(shù)據(jù)，為了避免對進程實時性造成太大的影響，先不做格式化處理。

　?。?）事件數(shù)據(jù)庫將接收的原始日志數(shù)據(jù)進行格式化處理，并進行相應(yīng)的分類保存。

　　（3）事件分析器與響應(yīng)單元合并，以減少對系統(tǒng)進程的占用。

整個入侵檢測框架如圖1所示。

圖1 入侵檢測框架圖

3 基于主機的入侵檢測模塊的實現(xiàn)

3.1 入侵檢測模塊的實現(xiàn)流程

該操作系統(tǒng)是一個實時操作系統(tǒng)，為了不影響系統(tǒng)的實時性，入侵檢測并不是實時處理，數(shù)據(jù)流在整個處理過程中可能并不是很流暢，所以在設(shè)計時采用消息隊列形式傳遞原始記錄。即每個事件產(chǎn)生器發(fā)送的消息都送到一個消息隊列中，事件數(shù)據(jù)庫在系統(tǒng)空閑時取出消息做統(tǒng)一的格式化處理，并保存到數(shù)據(jù)庫中。當(dāng)日志記錄累積到一定程度時，由事件數(shù)據(jù)庫觸發(fā)事件分析器做分析檢測，經(jīng)過檢測的日志記錄可以適當(dāng)刪除，以保持事件數(shù)據(jù)庫接收新日志的能力。事件分析器作為整個入侵檢測模塊的核心，其程序流程如圖2所示。

'

　圖2 事件分析器程序流程圖

從圖2可以看出，系統(tǒng)目前只檢測三種安全威脅，這是針對電力系統(tǒng)的威脅而確定。檢測的結(jié)果保存到威脅日志中并生成相應(yīng)錯誤號，輔助響應(yīng)單元完成后續(xù)操作。可以根據(jù)需求，通過修改檢測策略庫增加檢測的攻擊類型，但是為了不影響嵌入式系統(tǒng)的實時性，原則上只檢測必要的攻擊行為。

3.2 主要數(shù)據(jù)結(jié)構(gòu)和方法

大型入侵檢測系統(tǒng)采用標(biāo)準的日志數(shù)據(jù)結(jié)構(gòu)，以方便系統(tǒng)之間的數(shù)據(jù)交流。但作為一個嵌入式的應(yīng)用，目前并沒有做分布式架構(gòu)的設(shè)計。若采用標(biāo)準數(shù)據(jù)結(jié)構(gòu)，則會使日志記錄的數(shù)據(jù)量大大增加，占用大量有限的存儲器空間。因此系統(tǒng)自定義了一個日志記錄的數(shù)據(jù)結(jié)構(gòu)，而事件數(shù)據(jù)庫以一個結(jié)構(gòu)體數(shù)組形式存在，并通過一個結(jié)構(gòu)體控制數(shù)組使其成為一個循環(huán)區(qū)域。日志記錄和控制循環(huán)區(qū)域的結(jié)構(gòu)體數(shù)據(jù)格式如下：

　　struct log {

　　unsigned char tp;  //說明日志文件類型

　　unsigned char action;  //說明操作類型

　　unsigned long time;  //說明操作時間

　　unsigned long ip;  //說明操作地點

　　long backup;  //供擴展用

　　}

日志記錄是整個模塊中最占用存儲器的部分，為了盡量減少占用存儲區(qū)域，各個字段都做了優(yōu)化處理。在時間上并不采用傳統(tǒng)標(biāo)準的年/月/日/時/分/秒表示，而是以一個無符號的長整型表示時間差來計算時間。

　　struct logchain {

　　struct log*  start;  //緩存區(qū)開始的地址

　　struct log*  end;  //緩存區(qū)結(jié)束的地址

　　unsigned short lpoint//上次入侵檢測提取的最后一條記錄

　　unsigned short  ttsize//整個緩存區(qū)的大小

　　unsigned short  entries//目前被占用的記錄數(shù)目

　　unsigned short  curpoint//指向當(dāng)前可以寫入的緩存區(qū)點

　　}

上述數(shù)據(jù)結(jié)構(gòu)將控制整個事件數(shù)據(jù)庫日志的存儲管理。事件數(shù)據(jù)庫以一個循環(huán)的結(jié)構(gòu)體數(shù)組表示，可以避免數(shù)據(jù)緩沖區(qū)的溢出。

整個入侵檢測模塊主要有以下幾個功能函數(shù)。為了保證通用性，所有函數(shù)都是以標(biāo)準C語言編寫。

（1）入侵檢測模塊的啟動：unsigned char audit_init（void）。該功能函數(shù)將完成事件數(shù)據(jù)庫存儲區(qū)域的初始化、消息隊列的初始化和常駐任務(wù)的建立。

（2）常駐任務(wù)：void audittrail_thread（void*arg）。當(dāng)系統(tǒng)啟動入侵檢測服務(wù)后，該任務(wù)將作為常駐任務(wù)運行在系統(tǒng)中。常駐任務(wù)是接收事件產(chǎn)生器發(fā)送的消息，經(jīng)格式化處理保存在事件數(shù)據(jù)庫中，并根據(jù)事件數(shù)據(jù)庫的情況觸發(fā)事件分析器。

（3）檢測函數(shù)

密碼猜測攻擊：void check_countguess（void）

異常操作行為：void check_abnormalaction（void）

資源訪問情況：void check_resoucestatus（void）

這三個功能函數(shù)用來分析用戶登錄日志記錄，檢測是否存在惡意攻擊。

（4）響應(yīng)單元主函數(shù)：void response_main（unsigned char alarm）。該函數(shù)根據(jù)分析器得出的警告，調(diào)用響應(yīng)策略庫中的相關(guān)策略，實施保護或者反擊措施。

本文提出的基于改進的μC/OS-II入侵檢測模塊的設(shè)計已基本實現(xiàn)。μC/OS-II 是一種基于優(yōu)先級的搶占式多任務(wù)實時操作系統(tǒng)，包含了實時內(nèi)核、任務(wù)管理、時間管理、任務(wù)間通信同步（信號量，郵箱，消息 隊列）和內(nèi)存管理等功能。它可以使各個任務(wù)獨立工作，互不干涉，很容易實現(xiàn)準時而且無誤執(zhí)行，使實時應(yīng)用程序的設(shè)計和擴展變得容易，使應(yīng)用程序的設(shè)計過程大為減化。并且，作者修改了本實驗室已實現(xiàn)的智能脫扣器項目的軟件，并把它加載到修改后的嵌入式操作系統(tǒng)上進行初步測試。測試結(jié)果表明：系統(tǒng)的實時性和安全性均能滿足要求。在本論文的基礎(chǔ)上，作者將對入侵檢測的策略進行進一步改進和擴充，增強其穩(wěn)定性和實時性，以使其能更適應(yīng)實際的電力應(yīng)用領(lǐng)域。