專利名稱::一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及通信
技術(shù)領(lǐng)域:
,尤其涉及一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法。
背景技術(shù):
:現(xiàn)有的移動(dòng)終端一般都使用tcp/ip協(xié)議來(lái)傳輸數(shù)據(jù)業(yè)務(wù),而事實(shí)上,移動(dòng)終端的網(wǎng)絡(luò)安全是脆弱的,而且很容易就遭受惡意代碼以及惡意數(shù)據(jù)包的攻擊,例如當(dāng)收到網(wǎng)絡(luò)上惡意的數(shù)據(jù)包時(shí)候,移動(dòng)終端會(huì)從休眠態(tài)被喚醒,從而加重了耗電量,如果持續(xù)惡意的攻擊,將使移動(dòng)終端無(wú)法進(jìn)入休眠態(tài)。中國(guó)專利申請(qǐng)第CN200910091623.3號(hào)公開了一種移動(dòng)終端防火墻的實(shí)現(xiàn)方法及裝置,其主要是利用地理位置信息來(lái)智能的確定防火墻策略,其主要針對(duì)收到短信或者來(lái)電時(shí)候進(jìn)行過(guò)濾,其不足之處是無(wú)法過(guò)濾tcp/ip數(shù)據(jù)報(bào),因此,亟待尋求一種解決基于tcp/ip協(xié)議數(shù)據(jù)包攻擊的方法。
發(fā)明內(nèi)容本發(fā)明的目的在于提供一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,使得遭受網(wǎng)絡(luò)惡意數(shù)據(jù)包攻擊時(shí)可以實(shí)時(shí)監(jiān)測(cè)出屬于何種類型攻擊,同時(shí)觸發(fā)過(guò)濾策略并及時(shí)提示用戶。本發(fā)明的另一目的在于提供一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,通過(guò)自動(dòng)斷網(wǎng)或智能斷網(wǎng)等技術(shù)回避網(wǎng)絡(luò)攻擊,解決了移動(dòng)終端收到惡意數(shù)據(jù)包無(wú)法進(jìn)入休眠問(wèn)題,減低了耗電量。本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的。一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,包括以下步驟a:在系統(tǒng)底層建立一個(gè)入侵事件檢測(cè)模塊并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊;b:過(guò)濾接收的數(shù)據(jù)包,檢測(cè)入侵事件并將入侵信息集傳遞給入侵事件處理模塊;c:入侵事件處理模塊對(duì)接收到的入侵信息集進(jìn)行判斷,作智能斷網(wǎng)或自動(dòng)斷網(wǎng)處理。優(yōu)選的,所述步驟b具體包括bl.擴(kuò)展netfilter內(nèi)核模塊,按照規(guī)則集過(guò)濾數(shù)據(jù)包并觸發(fā)入侵事件傳遞;b2.創(chuàng)建守護(hù)進(jìn)程監(jiān)聽來(lái)自步驟bl中的入侵事件;b3.將入侵事件封裝成信息集傳送給入侵事件處理模塊。優(yōu)選的,所述信息集格式為{攻擊類型,攻擊者ip地址,時(shí)間戳}。優(yōu)選的,所述步驟c中若啟動(dòng)智能斷網(wǎng)處理,具體包括首先斷開數(shù)據(jù)業(yè)務(wù),假設(shè)當(dāng)前時(shí)間點(diǎn)為t,則在t+h時(shí)間點(diǎn)進(jìn)行一次攻擊事件判斷,如果此時(shí)仍然沒有攻擊,直接打開數(shù)據(jù)業(yè)務(wù),否則接著斷開t2時(shí)間,在t+t2時(shí)間點(diǎn)進(jìn)行判斷;按照如下集合Itptytyt4……tj(、是自然數(shù),單位為毫秒,η為整數(shù))中的時(shí)間開始回避直到策略集執(zhí)行完畢,如果執(zhí)行完畢仍然攻擊事件還在持續(xù),則取tn間隔反復(fù)嘗試直至攻擊事件消失。優(yōu)選的,所述步驟C中若啟動(dòng)自動(dòng)斷網(wǎng)處理,具體包括直接斷開數(shù)據(jù)連接T時(shí)刻(T是自然數(shù),單位為毫秒),假設(shè)當(dāng)前時(shí)間點(diǎn)為t,然后t+T時(shí)刻打開數(shù)據(jù)業(yè)務(wù)。優(yōu)選的,所述步驟c還包括當(dāng)入侵處理模塊收到入侵信息集A時(shí),以對(duì)話框或者狀態(tài)欄信息提示的方式給用戶提示信息。優(yōu)選的,所述提示信息為入侵事件信息集所含內(nèi)容。優(yōu)選的,步驟bl中,采用iptables來(lái)作為觸發(fā)netfilter內(nèi)核擴(kuò)展模塊的前臺(tái),在擴(kuò)展模塊中通過(guò)netlink來(lái)與步驟b2中所述進(jìn)程通信。本發(fā)明與現(xiàn)有技術(shù)相比,本發(fā)明通過(guò)在底層建立一個(gè)輕量級(jí)的入侵事件檢測(cè)模塊,并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊,對(duì)移動(dòng)終端網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行過(guò)濾,并對(duì)遭受的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)檢測(cè)分類并依此進(jìn)行智能斷網(wǎng)或者自動(dòng)斷網(wǎng)等操作,用以回避惡意攻擊,以達(dá)到實(shí)時(shí)提醒用戶并解決移動(dòng)終端收到惡意數(shù)據(jù)包頻繁喚醒問(wèn)題。同時(shí)也可以提高用戶滿意度以及提高網(wǎng)絡(luò)防火墻產(chǎn)品的競(jìng)爭(zhēng)力。圖I為本發(fā)明實(shí)現(xiàn)方法中的攻擊事件檢測(cè)流程圖。圖2為本發(fā)明實(shí)現(xiàn)方法中的攻擊事件處理流程圖。圖3為本發(fā)明移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法流程圖。具體實(shí)施例方式本發(fā)明核心思想通過(guò)在底層建立一個(gè)輕量級(jí)的入侵事件檢測(cè)模塊并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊,入侵事件檢測(cè)模塊中利用擴(kuò)展netfilter模塊,可以實(shí)時(shí)檢測(cè)每次入侵事件,觸發(fā)過(guò)濾規(guī)則集并及時(shí)將入侵信息集通知入侵事件處理模塊,以保護(hù)用戶移動(dòng)終端免受攻擊,特別適合移動(dòng)終端這種資源有限的嵌入式系統(tǒng)。同時(shí),入侵處理模塊采用智能斷網(wǎng)、自動(dòng)斷網(wǎng)等方法,可以有效的回避網(wǎng)絡(luò)攻擊,并減輕移動(dòng)終端在休眠時(shí)候被喚醒的次數(shù)。為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。本實(shí)施例中,提供了一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的實(shí)現(xiàn)方法包括入侵事件檢測(cè)以及入侵事件處理兩個(gè)子過(guò)程請(qǐng)參閱圖1,入侵事件檢測(cè)的過(guò)程,包括如下步驟101.擴(kuò)展netfilter內(nèi)核模塊,按照規(guī)則集過(guò)濾數(shù)據(jù)包并觸發(fā)入侵事件傳遞。其中采用iptables來(lái)作為觸發(fā)netfilter內(nèi)核擴(kuò)展模塊的前臺(tái),在擴(kuò)展模塊中通過(guò)netlink來(lái)和步驟102的用戶空間進(jìn)程通信。例如過(guò)濾的規(guī)則集以及入侵事件的觸發(fā)采用如下形式iptables-Atcprule-ptcp-mlimit-limit3/s-limit-burst6-jIDS102.創(chuàng)建守護(hù)進(jìn)程監(jiān)聽來(lái)自步驟101中的入侵事件,并將之傳遞到步驟103中。103.將攻擊事件封裝成信息集A{攻擊類型,攻擊者ip地址,時(shí)間戳}傳送給事件處理模塊,例如可以通過(guò)發(fā)送系統(tǒng)廣播的形式發(fā)送。請(qǐng)參閱圖2,入侵事件處理的過(guò)程,包括如下步驟201.從入侵檢測(cè)模塊收到入侵事件信息集A。202.以對(duì)話框或者狀態(tài)欄提醒的形式給用戶以提示,例如彈出對(duì)話框提示用戶攻擊者ip地址在某時(shí)間點(diǎn)對(duì)您發(fā)動(dòng)某類型的攻擊。203.判斷用戶的設(shè)置,如果用戶的設(shè)置是智能斷網(wǎng),則觸發(fā)智能斷網(wǎng)功能,如果用戶的設(shè)置是自動(dòng)斷網(wǎng)功能,則觸發(fā)自動(dòng)斷網(wǎng)功能。204.自動(dòng)斷網(wǎng),直接斷開數(shù)據(jù)連接T時(shí)刻(T是自然數(shù),單位為毫秒),假設(shè)當(dāng)前時(shí)間點(diǎn)為t,然后t+T時(shí)刻打開數(shù)據(jù)業(yè)務(wù)。例如T可以采取默認(rèn)值10000ms。205.啟動(dòng)智能斷網(wǎng)功能首先斷開數(shù)據(jù)業(yè)務(wù),假設(shè)當(dāng)前時(shí)間點(diǎn)為t,則在t+h時(shí)間點(diǎn)進(jìn)行一次攻擊事件判斷,如果此時(shí)仍然沒有攻擊,直接打開數(shù)據(jù)業(yè)務(wù),否則接著斷開t2時(shí)間,在t+t2時(shí)間點(diǎn)進(jìn)行判斷,依此類推按照如下集合Itptytyt4......tn}(tn是自然數(shù),單位為毫秒,η為整數(shù))中的時(shí)間開始回避直到執(zhí)行完畢,如果執(zhí)行完畢仍然攻擊事件還在持續(xù),則取tn間隔反復(fù)嘗試直至攻擊事件消失。例如,可以采用如下集合{5000ms,10000ms.20000ms,40000ms......},tn取半小時(shí)。請(qǐng)參閱圖3所示,包括步驟301.入侵事件檢測(cè)過(guò)濾數(shù)據(jù)包,檢測(cè)入侵事件并將攻擊信息集傳遞給入侵事件處理模塊。302.入侵事件處理接收入侵事件檢測(cè)模塊傳遞過(guò)來(lái)的信息,進(jìn)行判斷處理主要包括智能斷網(wǎng)或自動(dòng)斷網(wǎng)功能。本發(fā)明入侵事件處理模塊采用智能斷網(wǎng)等技術(shù),可以有效的回避網(wǎng)絡(luò)攻擊,并減輕移動(dòng)終端在休眠時(shí)候被喚醒的次數(shù)。入侵事件檢測(cè)模塊可以實(shí)時(shí)檢測(cè)每次入侵事件觸發(fā)過(guò)濾規(guī)則集并及時(shí)通知入侵處理模塊提示用戶,以保護(hù)用戶移動(dòng)終端免受攻擊。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1.一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,其特征在于,包括以下步驟a:在系統(tǒng)底層建立一個(gè)入侵事件檢測(cè)模塊并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊;b:過(guò)濾接收的數(shù)據(jù)包,檢測(cè)入侵事件并將入侵信息集傳遞給入侵事件處理模塊;c:入侵事件處理模塊對(duì)接收到的入侵信息集進(jìn)行判斷,作智能斷網(wǎng)或自動(dòng)斷網(wǎng)處理。2.如權(quán)利要求I所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,其特征在于,所述步驟b具體包括bl.擴(kuò)展netfilter內(nèi)核模塊,按照規(guī)則集過(guò)濾數(shù)據(jù)包并觸發(fā)入侵事件傳遞;b2.創(chuàng)建守護(hù)進(jìn)程監(jiān)聽來(lái)自步驟bl中的入侵事件;b3.將入侵事件封裝成信息集傳送給入侵事件處理模塊。3.如權(quán)利要求2所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,其特征在于,所述信息集格式為{攻擊類型,攻擊者ip地址,時(shí)間戳}。4.如權(quán)利要求3所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,其特征在于,所述步驟c中若啟動(dòng)智能斷網(wǎng)處理,具體包括首先斷開數(shù)據(jù)業(yè)務(wù),假設(shè)當(dāng)前時(shí)間點(diǎn)為t,則在t+h時(shí)間點(diǎn)進(jìn)行一次攻擊事件判斷,如果此時(shí)仍然沒有攻擊,直接打開數(shù)據(jù)業(yè)務(wù),否則接著斷開t2時(shí)間,在t+t2時(shí)間點(diǎn)進(jìn)行判斷;按照如下集合Itptytyt4……tj(、是自然數(shù),單位為毫秒,η為整數(shù))中的時(shí)間開始回避直到策略集執(zhí)行完畢,如果執(zhí)行完畢仍然攻擊事件還在持續(xù),則取tn間隔反復(fù)嘗試直至攻擊事件消失。5.如權(quán)利要求3所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,其特征在于,所述步驟c中若啟動(dòng)自動(dòng)斷網(wǎng)處理,具體包括直接斷開數(shù)據(jù)連接T時(shí)刻(T是自然數(shù),單位為毫秒),假設(shè)當(dāng)前時(shí)間點(diǎn)為t,然后t+T時(shí)刻打開數(shù)據(jù)業(yè)務(wù)。6.如權(quán)利要求4或5所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,其特征在于,所述步驟c還包括當(dāng)入侵處理模塊收到入侵信息集A時(shí),以對(duì)話框或者狀態(tài)欄信息提示的方式給用戶提示信息。7.如權(quán)利要求6所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,其特征在于,所述提示信息為入侵事件信息集所含內(nèi)容。8.如權(quán)利要求2所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,其特征在于,步驟bl中,采用iptables來(lái)作為觸發(fā)netfilter內(nèi)核擴(kuò)展模塊的前臺(tái),在擴(kuò)展模塊中通過(guò)netlink來(lái)與步驟b2中所述進(jìn)程通信。全文摘要本發(fā)明提供了一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,包括a在系統(tǒng)底層建立一個(gè)入侵事件檢測(cè)模塊并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊;b過(guò)濾接收的數(shù)據(jù)包,檢測(cè)入侵事件并將入侵信息集傳遞給入侵事件處理模塊;c入侵事件處理模塊對(duì)接收到的入侵信息集進(jìn)行判斷,作智能斷網(wǎng)或自動(dòng)斷網(wǎng)處理。本發(fā)明通過(guò)在底層建立一個(gè)輕量級(jí)的入侵事件檢測(cè)模塊,并在上層與之對(duì)應(yīng)建立入侵事件處理模塊,對(duì)移動(dòng)終端網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行過(guò)濾,并對(duì)遭受的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)檢測(cè)分類并依此進(jìn)行智能斷網(wǎng)或者自動(dòng)斷網(wǎng)等操作,用以回避惡意攻擊,以達(dá)到實(shí)時(shí)提醒用戶并解決移動(dòng)終端收到惡意數(shù)據(jù)包頻繁喚醒問(wèn)題,還可提高用戶滿意度及網(wǎng)絡(luò)防火墻產(chǎn)品競(jìng)爭(zhēng)力。文檔編號(hào)H04W12/00GK102780691SQ20121016291公開日2012年11月14日申請(qǐng)日期2012年5月24日優(yōu)先權(quán)日2012年5月24日發(fā)明者姜順豹,申世安申請(qǐng)人:深圳市中興移動(dòng)通信有限公司