專利名稱::一種移動(dòng)終端檢測(cè)�����、回避網(wǎng)絡(luò)攻擊的方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及通信
技術(shù)領(lǐng)域:
�,尤其涉及一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法���。
背景技術(shù):
:現(xiàn)有的移動(dòng)終端一般都使用tcp/ip協(xié)議來(lái)傳輸數(shù)據(jù)業(yè)務(wù),而事實(shí)上,移動(dòng)終端的網(wǎng)絡(luò)安全是脆弱的����,而且很容易就遭受惡意代碼以及惡意數(shù)據(jù)包的攻擊���,例如當(dāng)收到網(wǎng)絡(luò)上惡意的數(shù)據(jù)包時(shí)候���,移動(dòng)終端會(huì)從休眠態(tài)被喚醒,從而加重了耗電量�,如果持續(xù)惡意的攻擊,將使移動(dòng)終端無(wú)法進(jìn)入休眠態(tài)�����。中國(guó)專利申請(qǐng)第CN200910091623.3號(hào)公開了一種移動(dòng)終端防火墻的實(shí)現(xiàn)方法及裝置�����,其主要是利用地理位置信息來(lái)智能的確定防火墻策略�,其主要針對(duì)收到短信或者來(lái)電時(shí)候進(jìn)行過(guò)濾,其不足之處是無(wú)法過(guò)濾tcp/ip數(shù)據(jù)報(bào)�����,因此�,亟待尋求一種解決基于tcp/ip協(xié)議數(shù)據(jù)包攻擊的方法。
發(fā)明內(nèi)容本發(fā)明的目的在于提供一種移動(dòng)終端檢測(cè)���、回避網(wǎng)絡(luò)攻擊的方法���,使得遭受網(wǎng)絡(luò)惡意數(shù)據(jù)包攻擊時(shí)可以實(shí)時(shí)監(jiān)測(cè)出屬于何種類型攻擊,同時(shí)觸發(fā)過(guò)濾策略并及時(shí)提示用戶���。本發(fā)明的另一目的在于提供一種移動(dòng)終端檢測(cè)���、回避網(wǎng)絡(luò)攻擊的方法,通過(guò)自動(dòng)斷網(wǎng)或智能斷網(wǎng)等技術(shù)回避網(wǎng)絡(luò)攻擊�,解決了移動(dòng)終端收到惡意數(shù)據(jù)包無(wú)法進(jìn)入休眠問(wèn)題,減低了耗電量��。本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的�。一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法,包括以下步驟a:在系統(tǒng)底層建立一個(gè)入侵事件檢測(cè)模塊并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊����;b:過(guò)濾接收的數(shù)據(jù)包,檢測(cè)入侵事件并將入侵信息集傳遞給入侵事件處理模塊����;c:入侵事件處理模塊對(duì)接收到的入侵信息集進(jìn)行判斷,作智能斷網(wǎng)或自動(dòng)斷網(wǎng)處理�����。優(yōu)選的,所述步驟b具體包括bl.擴(kuò)展netfilter內(nèi)核模塊����,按照規(guī)則集過(guò)濾數(shù)據(jù)包并觸發(fā)入侵事件傳遞;b2.創(chuàng)建守護(hù)進(jìn)程監(jiān)聽來(lái)自步驟bl中的入侵事件����;b3.將入侵事件封裝成信息集傳送給入侵事件處理模塊。優(yōu)選的�����,所述信息集格式為{攻擊類型��,攻擊者ip地址,時(shí)間戳}�。優(yōu)選的,所述步驟c中若啟動(dòng)智能斷網(wǎng)處理���,具體包括首先斷開數(shù)據(jù)業(yè)務(wù),假設(shè)當(dāng)前時(shí)間點(diǎn)為t���,則在t+h時(shí)間點(diǎn)進(jìn)行一次攻擊事件判斷�,如果此時(shí)仍然沒有攻擊��,直接打開數(shù)據(jù)業(yè)務(wù)�,否則接著斷開t2時(shí)間,在t+t2時(shí)間點(diǎn)進(jìn)行判斷��;按照如下集合Itptytyt4……tj(����、是自然數(shù),單位為毫秒���,η為整數(shù))中的時(shí)間開始回避直到策略集執(zhí)行完畢����,如果執(zhí)行完畢仍然攻擊事件還在持續(xù),則取tn間隔反復(fù)嘗試直至攻擊事件消失��。優(yōu)選的�,所述步驟C中若啟動(dòng)自動(dòng)斷網(wǎng)處理,具體包括直接斷開數(shù)據(jù)連接T時(shí)刻(T是自然數(shù)��,單位為毫秒)��,假設(shè)當(dāng)前時(shí)間點(diǎn)為t����,然后t+T時(shí)刻打開數(shù)據(jù)業(yè)務(wù)。優(yōu)選的���,所述步驟c還包括當(dāng)入侵處理模塊收到入侵信息集A時(shí)�,以對(duì)話框或者狀態(tài)欄信息提示的方式給用戶提示信息��。優(yōu)選的���,所述提示信息為入侵事件信息集所含內(nèi)容�。優(yōu)選的�����,步驟bl中,采用iptables來(lái)作為觸發(fā)netfilter內(nèi)核擴(kuò)展模塊的前臺(tái)����,在擴(kuò)展模塊中通過(guò)netlink來(lái)與步驟b2中所述進(jìn)程通信。本發(fā)明與現(xiàn)有技術(shù)相比��,本發(fā)明通過(guò)在底層建立一個(gè)輕量級(jí)的入侵事件檢測(cè)模塊�,并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊���,對(duì)移動(dòng)終端網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行過(guò)濾�����,并對(duì)遭受的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)檢測(cè)分類并依此進(jìn)行智能斷網(wǎng)或者自動(dòng)斷網(wǎng)等操作�����,用以回避惡意攻擊���,以達(dá)到實(shí)時(shí)提醒用戶并解決移動(dòng)終端收到惡意數(shù)據(jù)包頻繁喚醒問(wèn)題。同時(shí)也可以提高用戶滿意度以及提高網(wǎng)絡(luò)防火墻產(chǎn)品的競(jìng)爭(zhēng)力��。圖I為本發(fā)明實(shí)現(xiàn)方法中的攻擊事件檢測(cè)流程圖��。圖2為本發(fā)明實(shí)現(xiàn)方法中的攻擊事件處理流程圖。圖3為本發(fā)明移動(dòng)終端檢測(cè)���、回避網(wǎng)絡(luò)攻擊的方法流程圖����。具體實(shí)施例方式本發(fā)明核心思想通過(guò)在底層建立一個(gè)輕量級(jí)的入侵事件檢測(cè)模塊并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊����,入侵事件檢測(cè)模塊中利用擴(kuò)展netfilter模塊,可以實(shí)時(shí)檢測(cè)每次入侵事件�����,觸發(fā)過(guò)濾規(guī)則集并及時(shí)將入侵信息集通知入侵事件處理模塊���,以保護(hù)用戶移動(dòng)終端免受攻擊���,特別適合移動(dòng)終端這種資源有限的嵌入式系統(tǒng)。同時(shí)�����,入侵處理模塊采用智能斷網(wǎng)���、自動(dòng)斷網(wǎng)等方法�,可以有效的回避網(wǎng)絡(luò)攻擊,并減輕移動(dòng)終端在休眠時(shí)候被喚醒的次數(shù)��。為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�,以下結(jié)合附圖及實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明����,并不用于限定本發(fā)明。本實(shí)施例中�����,提供了一種移動(dòng)終端檢測(cè)����、回避網(wǎng)絡(luò)攻擊的實(shí)現(xiàn)方法包括入侵事件檢測(cè)以及入侵事件處理兩個(gè)子過(guò)程請(qǐng)參閱圖1���,入侵事件檢測(cè)的過(guò)程,包括如下步驟101.擴(kuò)展netfilter內(nèi)核模塊�,按照規(guī)則集過(guò)濾數(shù)據(jù)包并觸發(fā)入侵事件傳遞�。其中采用iptables來(lái)作為觸發(fā)netfilter內(nèi)核擴(kuò)展模塊的前臺(tái),在擴(kuò)展模塊中通過(guò)netlink來(lái)和步驟102的用戶空間進(jìn)程通信���。例如過(guò)濾的規(guī)則集以及入侵事件的觸發(fā)采用如下形式iptables-Atcprule-ptcp-mlimit-limit3/s-limit-burst6-jIDS102.創(chuàng)建守護(hù)進(jìn)程監(jiān)聽來(lái)自步驟101中的入侵事件�����,并將之傳遞到步驟103中�����。103.將攻擊事件封裝成信息集A{攻擊類型��,攻擊者ip地址����,時(shí)間戳}傳送給事件處理模塊��,例如可以通過(guò)發(fā)送系統(tǒng)廣播的形式發(fā)送。請(qǐng)參閱圖2�����,入侵事件處理的過(guò)程���,包括如下步驟201.從入侵檢測(cè)模塊收到入侵事件信息集A�����。202.以對(duì)話框或者狀態(tài)欄提醒的形式給用戶以提示��,例如彈出對(duì)話框提示用戶攻擊者ip地址在某時(shí)間點(diǎn)對(duì)您發(fā)動(dòng)某類型的攻擊����。203.判斷用戶的設(shè)置���,如果用戶的設(shè)置是智能斷網(wǎng),則觸發(fā)智能斷網(wǎng)功能�����,如果用戶的設(shè)置是自動(dòng)斷網(wǎng)功能����,則觸發(fā)自動(dòng)斷網(wǎng)功能���。204.自動(dòng)斷網(wǎng),直接斷開數(shù)據(jù)連接T時(shí)刻(T是自然數(shù)����,單位為毫秒),假設(shè)當(dāng)前時(shí)間點(diǎn)為t����,然后t+T時(shí)刻打開數(shù)據(jù)業(yè)務(wù)。例如T可以采取默認(rèn)值10000ms�����。205.啟動(dòng)智能斷網(wǎng)功能首先斷開數(shù)據(jù)業(yè)務(wù)����,假設(shè)當(dāng)前時(shí)間點(diǎn)為t,則在t+h時(shí)間點(diǎn)進(jìn)行一次攻擊事件判斷���,如果此時(shí)仍然沒有攻擊���,直接打開數(shù)據(jù)業(yè)務(wù)���,否則接著斷開t2時(shí)間,在t+t2時(shí)間點(diǎn)進(jìn)行判斷,依此類推按照如下集合Itptytyt4......tn}(tn是自然數(shù)��,單位為毫秒��,η為整數(shù))中的時(shí)間開始回避直到執(zhí)行完畢����,如果執(zhí)行完畢仍然攻擊事件還在持續(xù),則取tn間隔反復(fù)嘗試直至攻擊事件消失��。例如��,可以采用如下集合{5000ms��,10000ms.20000ms,40000ms......}����,tn取半小時(shí)。請(qǐng)參閱圖3所示,包括步驟301.入侵事件檢測(cè)過(guò)濾數(shù)據(jù)包���,檢測(cè)入侵事件并將攻擊信息集傳遞給入侵事件處理模塊。302.入侵事件處理接收入侵事件檢測(cè)模塊傳遞過(guò)來(lái)的信息����,進(jìn)行判斷處理主要包括智能斷網(wǎng)或自動(dòng)斷網(wǎng)功能���。本發(fā)明入侵事件處理模塊采用智能斷網(wǎng)等技術(shù),可以有效的回避網(wǎng)絡(luò)攻擊��,并減輕移動(dòng)終端在休眠時(shí)候被喚醒的次數(shù)����。入侵事件檢測(cè)模塊可以實(shí)時(shí)檢測(cè)每次入侵事件觸發(fā)過(guò)濾規(guī)則集并及時(shí)通知入侵處理模塊提示用戶,以保護(hù)用戶移動(dòng)終端免受攻擊���。以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。權(quán)利要求1.一種移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法���,其特征在于�����,包括以下步驟a:在系統(tǒng)底層建立一個(gè)入侵事件檢測(cè)模塊并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊�����;b:過(guò)濾接收的數(shù)據(jù)包��,檢測(cè)入侵事件并將入侵信息集傳遞給入侵事件處理模塊���;c:入侵事件處理模塊對(duì)接收到的入侵信息集進(jìn)行判斷����,作智能斷網(wǎng)或自動(dòng)斷網(wǎng)處理��。2.如權(quán)利要求I所述的移動(dòng)終端檢測(cè)����、回避網(wǎng)絡(luò)攻擊的方法,其特征在于�����,所述步驟b具體包括bl.擴(kuò)展netfilter內(nèi)核模塊��,按照規(guī)則集過(guò)濾數(shù)據(jù)包并觸發(fā)入侵事件傳遞�;b2.創(chuàng)建守護(hù)進(jìn)程監(jiān)聽來(lái)自步驟bl中的入侵事件;b3.將入侵事件封裝成信息集傳送給入侵事件處理模塊��。3.如權(quán)利要求2所述的移動(dòng)終端檢測(cè)����、回避網(wǎng)絡(luò)攻擊的方法,其特征在于����,所述信息集格式為{攻擊類型,攻擊者ip地址�����,時(shí)間戳}�。4.如權(quán)利要求3所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法����,其特征在于,所述步驟c中若啟動(dòng)智能斷網(wǎng)處理���,具體包括首先斷開數(shù)據(jù)業(yè)務(wù)�����,假設(shè)當(dāng)前時(shí)間點(diǎn)為t���,則在t+h時(shí)間點(diǎn)進(jìn)行一次攻擊事件判斷�����,如果此時(shí)仍然沒有攻擊�����,直接打開數(shù)據(jù)業(yè)務(wù)��,否則接著斷開t2時(shí)間��,在t+t2時(shí)間點(diǎn)進(jìn)行判斷�����;按照如下集合Itptytyt4……tj(�����、是自然數(shù)�����,單位為毫秒����,η為整數(shù))中的時(shí)間開始回避直到策略集執(zhí)行完畢�����,如果執(zhí)行完畢仍然攻擊事件還在持續(xù)���,則取tn間隔反復(fù)嘗試直至攻擊事件消失�。5.如權(quán)利要求3所述的移動(dòng)終端檢測(cè)�、回避網(wǎng)絡(luò)攻擊的方法,其特征在于����,所述步驟c中若啟動(dòng)自動(dòng)斷網(wǎng)處理,具體包括直接斷開數(shù)據(jù)連接T時(shí)刻(T是自然數(shù)����,單位為毫秒),假設(shè)當(dāng)前時(shí)間點(diǎn)為t��,然后t+T時(shí)刻打開數(shù)據(jù)業(yè)務(wù)。6.如權(quán)利要求4或5所述的移動(dòng)終端檢測(cè)���、回避網(wǎng)絡(luò)攻擊的方法���,其特征在于,所述步驟c還包括當(dāng)入侵處理模塊收到入侵信息集A時(shí)�,以對(duì)話框或者狀態(tài)欄信息提示的方式給用戶提示信息。7.如權(quán)利要求6所述的移動(dòng)終端檢測(cè)���、回避網(wǎng)絡(luò)攻擊的方法��,其特征在于�����,所述提示信息為入侵事件信息集所含內(nèi)容���。8.如權(quán)利要求2所述的移動(dòng)終端檢測(cè)、回避網(wǎng)絡(luò)攻擊的方法�,其特征在于,步驟bl中��,采用iptables來(lái)作為觸發(fā)netfilter內(nèi)核擴(kuò)展模塊的前臺(tái),在擴(kuò)展模塊中通過(guò)netlink來(lái)與步驟b2中所述進(jìn)程通信��。全文摘要本發(fā)明提供了一種移動(dòng)終端檢測(cè)����、回避網(wǎng)絡(luò)攻擊的方法,包括a在系統(tǒng)底層建立一個(gè)入侵事件檢測(cè)模塊并在上層與之對(duì)應(yīng)建立一個(gè)入侵事件處理模塊��;b過(guò)濾接收的數(shù)據(jù)包����,檢測(cè)入侵事件并將入侵信息集傳遞給入侵事件處理模塊�����;c入侵事件處理模塊對(duì)接收到的入侵信息集進(jìn)行判斷���,作智能斷網(wǎng)或自動(dòng)斷網(wǎng)處理���。本發(fā)明通過(guò)在底層建立一個(gè)輕量級(jí)的入侵事件檢測(cè)模塊,并在上層與之對(duì)應(yīng)建立入侵事件處理模塊���,對(duì)移動(dòng)終端網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行過(guò)濾�,并對(duì)遭受的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)檢測(cè)分類并依此進(jìn)行智能斷網(wǎng)或者自動(dòng)斷網(wǎng)等操作,用以回避惡意攻擊���,以達(dá)到實(shí)時(shí)提醒用戶并解決移動(dòng)終端收到惡意數(shù)據(jù)包頻繁喚醒問(wèn)題��,還可提高用戶滿意度及網(wǎng)絡(luò)防火墻產(chǎn)品競(jìng)爭(zhēng)力��。文檔編號(hào)H04W12/00GK102780691SQ20121016291公開日2012年11月14日申請(qǐng)日期2012年5月24日優(yōu)先權(quán)日2012年5月24日發(fā)明者姜順豹,申世安申請(qǐng)人:深圳市中興移動(dòng)通信有限公司