摘要:本文介绍了基于嵌入式系统的入侵检测及权限管理系统的主要功能及其实现的原理,并且详细列出了其软硬件配置,比较了这套系统与其他产品相比所具有的优点。
关键词:嵌入式系统,入侵检测,权限管理,人工智能
当前入侵检测和权限管理是网络安全领域的两个热点,但是大部分这方面的产品都是软件形式的,运行时的性能依赖于其附属的操作系统和服务器,因此在执行效率和稳定性等方面是无法与纯硬件的产品相提并论的。我们将自行开发的入侵检测和权限管理软件固化到嵌入式系统中,大大提高了系统的运行速度和稳定性。
这套系统主要具有如下功能:1、入侵检测,采用基于规则的工作方式,对数据包内容进行规则匹配来检测多种不同的入侵行为和探测活动,如缓存溢出、隐蔽端口扫描、CGI攻击、SMB探测等等,并且具备实时报警和阻止入侵的功能,可以发送警报信息到系统日志文件以及阻止入侵行为进行。2、权限管理,可以控制内网计算机对广域网的访问以及内网计算机之间的访问,对内网计算机的访问权限进行分级。3、内网计算机之间的信息加密4、对系统内部人员的异常操作进行报警,例如,如果内网络中某台计算机正在进行监听,那么本系统马上显示监听计算机的IP地址和计算机名字,并发出警报声提醒管理员来解决。
这套系统主要功能是入侵检测,入侵检测根据分析方法分为:异常检测模型和误用检测模型。异常检测模型的特点是首先总结正常操作应该具有的特征,在得出正常操作的模型后,对后续的操作进行监视,一旦发现偏离正常统计学上意义上的操作模式,即进行报警。本系统采用的是误用检测模型。误用检测模型的特点是根据人工智能的正向推理收集非正常操作的特征,建立相关的特征库,在后续的过程中,将收集到的数据与特征库中的特征代码进行比较,得出是否入侵的结论。
本系统的入侵检测模块采用标准的C++高级语言开发,符合CIDF的标准框架模型,具有良好的用户接口,可移植强,程序经过长期的测试,有良好的健壮性。入侵检测模块的结构图见图1。解码模块和规则处理模块是本程序的核心,解码模块主要使用了计算机免疫技术和神经网络技术以及遗传算法,规则处理模块集成了针对不同的网络应用的各种规则。入侵检测模块除了具有其基本功能外还具有网络嗅探和数据包分析等功能,在植入嵌入式系统后,由于整个程序被固化在FLASH中,不但大大提高了运行速度,也提高了应用程序的安全性。
本系统的权限管理模块是基于Lightweight Directory Access Protocol(LDAP)协议和Address Resolution Protocol(ARP)协议实现的。LDAP是一种可让任何人找到网络中的组织,个人或档案或装置等其它资源的一种软件协议,不论是公共因特网或企业内网络。顾名思义,LDAP是「轻量级」 (程序代码较少smaller amount of code) 版本的DAP(Directory Access Protocol),DAP是网络目录服务标准X.500的一部分。ARP即地址转换协议是个链路层协议,它工作在图2的第二层的位置,在本层和硬件接口联系,同时对上层(网络层)提供服务。将内网的计算机信息存储在LDAP树形数据库中,然后通过ARP协议对内网中ARP缓存进行实时控制来实现整个内网的权限管理。
图1
图2
最后介绍以下整套系统所需的硬件及软件。硬件基本配置:MPC8245处理器,32位处理器 665Dhrystone 2.1MIPS @350MHz;两片16×2M位数据宽度的FLASH;256M字节 SDRAM;四个标准1000M光口等,可根据用户的需求相应改变配置。软件配置:嵌入式LINUX系统及源代码。
综上所述本系统具有如下特点:
1、将软件固化到嵌入式系统中使程序的执行效率,安全性,稳定性大幅度提高。
2、利用人工智能技术发展了误用检测模型的理论,大大提高了检测效率。
3、解码模块融合了计算机免疫技术和神经网络技术以及遗传算法,提高了解码的效率。
基于嵌入式系统的入侵检测和权限管理系统将软件固化在硬件中,提高了系统的安全性,节省了硬件的投资,简化了管理流程,在我国的信息化进程中将会有广阔的应用前景。
参考文献:
[1] 唐正军 等编著,网络入侵监测系统的设计与实现,电子工业出版社,2001年4月第一版
[2] 韩东海 王超 李群 编著,入侵监测系统实例剖析,清华大学出版社,2002年5月第一版