Стивен Барретт - Встраиваемые системы. Проектирование приложений на микроконтроллерах семейства 68HC12/HCS12 с применением языка С

При сравнении каждого файла на атакующее поведение (у нас три таких файла, описывающих три типа несанкционированной активности при туннелировании HTTP: атаки на интерактивные сеансы туннелирования, атаки с помощью скриптов и внедрение видео и аудио потоков) с профилем данных обычного трафика шины ПК система обнаружения вторжения формирует оценку членства во множестве действий туннелирования HTTP (tunneling activity detection — TAD). Другие три входа системы формируют оценки членства в множестве ключевых слов, характерных для каждого из видов атаки.

Пакеты данных в сеансе туннелирования HTTP, содержат одно или несколько ключевых слов, по которым можно идентифицировать присутствие туннелирования. Испытуемый ПК сравнивает 40 ключевых слов со словами, которые появляются в данных сеанса. Оценка соответствия передается переносной системе в качестве второй входной величины.

На рис. 7.27 показана вся система с необходимыми входными сигналами. На рис. 7.28 приведено размещение переносной системы для обнаружения вторжения в сетевую среду. В беспроводной сети переносная система может быть связана с персональным компьютером. Библиотечные подпрограммы Libpcap используются, чтобы выбрать пакеты сеанса из необработанных данных Internet, программа Psplice проводит синтаксический анализ отдельных пакетов, а модуль предварительной обработки сравнивает данные пакета по трем профилям поведения и по оценке членства во множестве ключевых слов. Более подробно о библиотечных подпрограммах, программе Psplice и модуле предварительной обработки, см. в [11].

Рис. 7.28. Структура связей переносной системы обнаружения вторжения с общей сетью

7.6.4. Структура программы и блок-схема алгоритма

На рис. 7.29 приведена структура аппаратных средств системы HTTP. Структура программы для системы защиты относительно проста. Она состоит из трех машин с нечеткой логикой, каждая из которых работает как программный модуль, показанный на на рис. 7.27. Чтобы увеличить быстродействие, можно использовать три платы HCS12 для обнаружения на шине трех действий вторжения. На рис. 7.30 показана блок-схема алгоритма для системы защиты.

Рис. 7.29. Структура аппаратных средств системы защиты

Рис. 7.30. Блок-схема алгоритма UML для системы защиты

7.6.5. Описание системы

На рис. 7.31a, показан внешний вид переносной системы при работе. ЖК дисплей показывает следующее начальное сообщение:

Portable HTTP

TAD System

Version 1.0

На рис. 7.31б, показан следующий типовой экран после того, как сеанс оценен:

IA: 60 Med Alert

SA: 40 Low Alert

S : 40 Low Alert

a) Компоненты, которые составляют систему контроллера. В левой нижней части показана плата 68HC12, используемая для интерфейса ПК с целевой платой, показанной в правом нижнем углу фотографии. Целевая плата использует микроконтроллер 68HC129S12DP256B, входящий в семейство контроллеров HCS12

б) Жидкокристаллический дисплей отображает типовое сообщение

Рис. 7.31. Микроконтроллерная система оценки атак на HTTP туннелирование (TAD)

Сообщение показывает ряд оценок текущего сеанса для трех типов атак на туннелирование HTTP и соответствующих им сообщения.

Процессы для каждой из трех подсистем с нечеткой логикой в переносной микроконтроллерной системе TAD идентичны. Каждая подсистема состоит из модуля с нечеткой логикой и модуля дефаззификации. Используются две оценки членства: для профиля поведения и для ключевых слов, позволяющие определить состояние защищаемой сессии. Состояние соответствует одной из трех категорий, и соответствующие сообщения отображаются на экране графического ЖК дисплея.

В модуле предварительной обработки, стандартные профили поведения сравниваются с полученными в сеансе, чтобы вычислить оценку членства для интерактивной подсистемы TAD, подсистемы скриптового вторжения и подсистемы внедрения потоков. Точно так же три набора ключевых слов соответствуют сеансу вторжения в интерактивное туннелирование HTTP, сеансу скриптового вторжения и сеансу внедрения потоков. После расшифровки стенограммы, формируются три оценки членства во множестве ключевых слов. Шесть числовых множеств затем посылаются на микроконтроллерную систему.

Как только переносная система безопасности TAD получает набор шести оценок, он пересылается на три подсистемы с нечеткой логикой — подсистемы фаззификации. Каждая из подсистем TAD вычисляет оценку для каждого из видов атаки на туннелирование. Опишем теперь системы фаззификации.

Три подсистемы фаззификации HTTP TAD обнаруживают каждый из трех рассматриваемых типов атаки. Так как все три подсистемы имеют одинаковую структуру, мы опишем только одну из них, указав отличия для других двух подсистем. Как только две оценки сеанса, созданные модулем предварительной обработки посылаются одной из подсистем, подсистема сначала их фаззифицирует: сравнивает значения членства по правилам нечеткой логики с набором соответствующих лингвистических переменных, называемых функциями членства. Машина с нечеткой логикой преобразует входные лингвистические переменные к выходные. После этого преобразования, подсистема выполняет процесс дефаззификации, чтобы вычислить численное значение, которое указывает состояние защиты исследуемого сеанса.

Начнем с входных лингвистических переменных. Все подсистема имеют одинаковую градацию входных переменных. Имеются три значения переменной, описывающей уровень пар конфигурации поведения: низкий уровень членства, средний уровень и высокий уровень. Входные функции членства показаны на рис. 7.32.

Рис. 7.32. Входные функции членства для вторжения в интерактивное туннелирование подсистемы TAD

В дополнение к профилю поведения, подсистема получает также соответствующую оценку членства ключевых слов, выраженную натуральным числом пределах от 0 до 255. Функцию на рис. 7.32 можно применить и для оценки членства ключевых слов. Как показано на рисунке, использовано идентичное описаниие входной функции членства. Снова ось у представляет уровень членства от 0 до 255, и значение оси x определяет оценку членства для полученных ключевых слов.

Из-за перекрытий функций членства, одно числовое значение может соответствовать нескольким входным функциям членства. Процесс идентификации входной функции членства и соответствующего значения членства для всех возможных входных функций членства назван процессом фаззификации (fuzzification).

В конце процесса фаззификации, мы имеем одну или несколько входных функций членства с соответствующими значениями. Следующий шаг в процессе должен отобразить нечеткие входные функции в нечеткие выходные функции, используя определенный набор правил. Прежде, чем мы обсудим процесс отображения в логической машине с нечеткой логикой, необходимо определить нечеткие выходные функции членства. Пять из них показаны на рис. 7.33: (1) нет опасности, (2) низкая опасность, (3) средняя опасность, (4) опасность и (5) высокая опасность.

Рис. 7.33. Выходные функции членства для интерактивного вмешательства

Вывод лингвистических переменных функции членства на рис. 7.33 может выглядеть необычно для экспертов по система с нечеткой логикой. Как мы покажем далее, проектировщики МК HCS12 фирмы Motorola упростили процесс дефаззификации, сопоставив каждой выходной функции с нечеткой логикой одно значение. Для текущей подсистемы, мы применяем девять правил, показанных в табл. 7.1, чтобы преобразовать входные переменные в выходные.

Таблица 7.1. Правила фаззификации, позволяющие преобразовать входные переменные в выходные