[发明专利]基于SPM的入侵检测方法

摘要

本发明涉及嵌入式操作系统安全领域，旨在提供一种基于SPM的入侵检测方法。包括以下步骤：(1)启动原始boot loader；(2)片内操作系统的初始化；(3)片内操作系统的运行；(4)通用操作系统的装载和启动；(5)启动通用操作系统的网络驱动监控；(6)网络数据获取；(7)网络数据分包并统计；(8)与记录库进行比较；(9)报告并删除被检测出的可疑数据包；(10)向通用操作系统提供过滤后的数据。本发明所述的基于SPM的入侵检测方法，一方面降低了入侵检测系统对通用操作系统性能影响，另一方面通过提高了入侵检测系统的运行级别，提高检测能力，同时提高了本身的安全性保障。

主权项

1、基于SPM的入侵检测方法，其特征在于，包括以下步骤：(1)启动原始boot loader：启动原始boot loader，将片内操作系统镜像装载进入处理器内置的静态随机存储器中，并将控制权交给片内操作系统开始运行；(2)片内操作系统的初始化：片内操作系统初始化处理器、时钟、处理器内置的静态随机存储器和主内存以及网卡；(3)片内操作系统的运行：启动片内操作系统的主线程，响应用户的命令参数以及启动处理基本的网络数据的网络模块；为以后运行的通用操作系统提供网卡驱动的接口；最后将网络监控所用到的数字签名和规则从闪存或从网络指定路径中读取并存储在处理器内置的静态随机存储器中以便以后使用；(4)通用操作系统的装载和启动：通过在片内操作系统提供的命令界面中键入指定位置将通用操作系统的内核镜像装载进入主内存的内核区，该内核区的具体位置由用户的参数指定；然后，通过启动命令将控制权交给通用操作系统，完成通用操作系统的启动工作；(5)启动通用操作系统的网络驱动监控；(6)网络数据获取：网络数据到来时首先被网卡驱动放入网络适配器的缓存中，然后由入侵检测系统将这些原始数据拷贝到片内静态存储器的指定区域进行临时存储以备以后处理；(7)网络数据分包并统计：首先将网络流的数据分成一个个的数据包，然后根据协议进行分类，并将IP和ARP的对应关系存储在处理器内置的静态随机存储器固定地址中，用来作为防止ARP欺骗攻击的数据记录；记录按照最近最少使用的方式进行替换，同时根据IP地址和MAC地址进行分类，记录最常出现的前N条记录，N由用户在片内操作系统的命令行里指定；(8)与记录库进行比较：对每个数据包进行检查，如果该记录出现排在前N并且在数字流中检测到相应的数字签名则根据已经存储的策略进行处理；(9)报告并删除被检测出的可疑数据包：如果在(8)中的比较成功，那么该数据包被认为是恶意数据包，于是向通用操作系统报告检测的结果并根据策略进行处理；(10)向通用操作系统提供过滤后的数据：将过滤后的数据存储在主内存中网络驱动程序指定的地方，以便通用操作系统从这里取走已经是合法的数据流。