CN102111399A - 一种基于数字机顶盒的自动检测方法 - Google Patents
一种基于数字机顶盒的自动检测方法 Download PDFInfo
- Publication number
- CN102111399A CN102111399A CN2010105697926A CN201010569792A CN102111399A CN 102111399 A CN102111399 A CN 102111399A CN 2010105697926 A CN2010105697926 A CN 2010105697926A CN 201010569792 A CN201010569792 A CN 201010569792A CN 102111399 A CN102111399 A CN 102111399A
- Authority
- CN
- China
- Prior art keywords
- intrusion
- top box
- invasion
- digital machine
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开一种基于数字机顶盒的自动检测方法。该方法包括:入侵保护平台在初始化完成后,进入等待触发状态;如果获取用户的指令后,进入防御状态,如果未收到用户的指令,自动开启主动防御;入侵保护平台对网络协议进行解析;入侵保护平台进行入侵规则解析;根据解析结果,确定是否为入侵行为;根据所述确定结果进行相应处理。本发明技术方案可以有效的对入侵行为进行检测,更好对机顶盒进行保护,使得数字机顶盒整体性能更加稳定,为数字机顶盒的操作系统提供安全的环境。
Description
技术领域
本发明数字家庭技术领域,具体涉及一种基于数字机顶盒的自动检测方法。
背景技术
近年来,随着科学技术的发展,因特网已经得到了飞快的发展。关于因特网的安全性也提出了更高的要求。
随着我国三网融合的启动,数字机顶盒的系统安全和用户的个人信息安全也引起了广泛的关注。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。目前,在数字机顶盒中的系统安全领域,还很缺乏系统防御的软件或者平台,缺乏安全防御和入侵检测。
因此,希望提供一种自动检测方法,能够保护数字机顶盒应对攻击。
发明内容
本发明要解决的技术问题是提供一种基于数字机顶盒的自动检测方法,能够保护机顶盒,为数字机顶盒的操作系统提供安全的环境。
本发明提供的技术方案如下:
本发明提供一种基于数字机顶盒的自动检测方法,包括:
入侵保护平台在初始化完成后,进入等待触发状态;
如果获取用户的指令后,进入防御状态,如果未收到用户的指令,自动开启主动防御;
入侵保护平台对网络协议进行解析;
入侵保护平台进行入侵规则解析;
根据解析结果,确定是否为入侵行为;
根据所述确定结果进行相应处理。
其中,所述对网络协议进行解析是从获取的网络数据包中解析出网络的各种协议;
进行网络协议解析是按顺序层层剥离协议头,按照网络协议的数据打包的逆序,进行解析。
其中,所述进行入侵规则解析具体为:
预先把新的入侵加入到规则库,然后不断的更新规则库;
检测的时候,自动地进行规则入侵方式的匹配,如果匹配一致,则说明是入侵。
其中,所述处理包括:
通知系统的各个在内存中运行的进程暂时性的停止该入侵进程的访问;
各进程停止与该入侵进程的任何的数据交换和信息共享,保护好所有在运行进程。
其中,所述处理还包括:
对于内存中的静态数据和硬盘中的任何数据,防止入侵进程的任何访问,禁止其对硬盘的扫描和访问,读写。
上述技术方案可以看出:
本发明提出的自动检测方法,通过为数字机顶盒设置入侵保护平台,通过入侵保护平台对网络协议进行解析和进行入侵规则解析,可以有效的对入侵行为进行检测,更好对机顶盒进行保护,使得数字机顶盒整体性能更加稳定,为数字机顶盒的操作系统提供安全的环境。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明方法的流程示意图;
图2是本发明的平台系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明提供一种基于数字机顶盒的自动检测方法,能够检测入侵,保护机顶盒,为数字机顶盒的操作系统提供安全的环境。
同时,由于入侵数据检测和文件管理检索的相似性,本发明还同时还提供了用户文件管理检索方法,使得入侵检测的方法同样也可以用于文件检索管理,充分地利用了数字机顶盒的优先资源,大大地提高了系统的运行效率。
本发明为机顶盒设置一个入侵保护平台,如图2所示,该平台包括:事件产生器、事件分析器、事件响应器和事件数据库。
本发明方法是数字机顶盒在开机启动后便开始初始化,然后数字机顶盒入侵保护平台开始工作,监听外部事件,看是否有非法代码、数据的入侵,是否有非法的黑客代码检索用户的文件或日志等,同时默认开启系统的主动防御功能,实时的检测、跟踪非法入侵数据,并提出解决方法,从而保障用户的系统安全和个人信息安全。
概括而言,本发明方法包括以下步骤:
1)入侵保护平台在初始化完成后,进入等待触发状态;
2)如果获取用户的指令后,进入防御状态,如果未收到用户的指令,自动开启主动防御;
3)入侵保护平台对网络协议进行解析;
4)入侵保护平台进行入侵规则解析;
5)根据解析结果,确定是否为入侵行为;
6)根据所述确定结果进行相应处理。
以下结合附图对本发明方法进行详细介绍。
实施例一、入侵检测的监控
数字机顶盒开机启动后,首先是系统初始化,然后随机启动入侵保护平台。保护平台在随机启动后,同时让系统对于用户的需求做好准备。
在保护平台初始化后,平台开始保护数字机顶盒,在默认情况下选对数字机顶盒进行入侵防御,此时保护平台会监控系统日志和审计记录,平台通过对系统日志和审计记录的不断监控和分析来发现攻击,这样平台就可以针对不同的操作,捕获应用层入侵,达到高准确率,同时具有实时性,快速性。同时在另一方面,平台检测和监控来源于网络上的数据流。它利用一个混合模式下的网卡来实时监视并分析通过网络的数据流,提取其特征并与特征库中已知的模式串相比较,从而达到检测的目的,这样就不用去分析,寻找,判断该数据流是否为非法入侵,所以大大减少了系统的资源开销。
图1是本发明方法的流程示意图。本发明方法的工作流程如下:
平台在初始化完成后,进入等待触发状态。此时平台创建等待触发进程,该进程负责等待用户发出的触发指令,即文件搜索或者入侵检查、病毒防御等。如果此时用户并没有发出任何触发指令,则平台智能地进入到系统的默认状态,即开启主动防御触发。
在主动防御触发中,平台检测数据的来源是网络数据包和系统日志,还有其他异常捕捉的情况,以防止非法的数据入侵数字机顶盒操作系统。
主动防御的详细过程如下:
平台首先对网络协议进行解析,从获取的网络数据包中解析出网络的各种协议,由于网络协议是分层协议,因此,需要层层剥离协议头来取得最后的效果。本系统采用了网络协议分析算法,加快了协议解析的速度。网络协议解析顺序如下:以太网协议解析,ARp协议解析,lP协议解析,RARP协议解析,ICMP协议解析,TCP协议解析,UDP协议解析,HTTP协议解析,通过这样分层地,按照网络协议的数据打包的逆序,即自下而上的顺序来解析网络协议,大大地提高了解析的速度。
接着是入侵规则解析,规则解析也就是把入侵的方式从文件中解析出来,这个过程就是规则解析,因为入侵的方式多种多样,并且还在不断变换之中,所以不可能把所有的入侵规则都固化在程序里,因此采用了入侵规则解析。
本发明方法的规则解析就是把新的入侵加入到规则库,然后不断的更新和丰富在规则库,而在入侵检测的时候,则可以读取文件,自动将规则添加到内存之中,在检测的时候,就可以自动地实现了规则入侵方式的匹配,如果匹配一致,则说明是入侵数据,且其入侵手法都已经明确,所以根据这个特点就可以到数据库备份里面寻找相应的入侵解决方法,而不需要进行全盘的扫描,进行病毒的清除,从而大大的减少了系统的开销。
然后是入侵检测的处理过程,其详细过程如下:
当平台在进行网络协议解析之后,如果发现新的可疑数据,则在内存中将它进行暂时性的隔离,然后将其动作行为与数据库中的既定义的入侵行为相比较,进行动态的匹配,最终判断该操作是否为非法的入侵行为,根据判断结果,发出下一步的指令。
如果是入侵判断结果是入侵行为,则发出相应的响应,进行相应处理。
平台通知系统的各个在内存中运行的进程暂时性的停止该入侵进程的访问,各进程停止与该入侵进程的任何的数据交换和信息共享,保护好所有在运行进程。同时,对于内存中的静态数据和硬盘中的任何数据,坚决防止该入侵进程的任何访问,禁止其对硬盘的扫描和访问,读写。然后,进行处理工作。
进行处理工作时,发出全局警告,配合入侵检测系统一起工作,关闭端口,关闭应用程序,将该入侵数据进行封杀,即把它进行规则处理,按照数据库的原有原则对它进行数据包头的处理,把他加入到数据库中,同时数据库的预处理智能部分进行自适应的学习,丰富规则数据库。
另外一方面,平台通过判断,解析,自适应学习,定义该入侵数据的处理方式,然后加载到数据库备份中,同时在数据库中对该入侵检测的判断方法,处理流程,处理动作,处理结果进行语义相关处理,使得它们都连接起来,方便及时索引,提高入侵检测方案系统的实时性和高可靠的响应性。
综上所述,随着技术和用户需求的发展,数字机顶盒需要和可用的数字业务越来越大,这间接地需要加强数字机顶盒系统安全和用户的个人信息安全。数字机顶盒有了数据入侵检测方法就可以安全地防御数字机顶盒系统和用户的个人信息安全,从而开业间接促进数字机顶盒各种业务的发展,这有助于数字电视的发展,有助于三网融合的进程的推进。
上述技术方案可以看出,本发明提出的自动检测方法,通过为数字机顶盒设置入侵保护平台,通过入侵保护平台对网络协议进行解析和进行入侵规则解析,可以有效的对入侵行为进行检测,更好对机顶盒进行保护,使得数字机顶盒整体性能更加稳定,为数字机顶盒的操作系统提供安全的环境。
以上对本发明实施例所提供的一种基于数字机顶盒的自动检测方法,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (5)
1.一种基于数字机顶盒的自动检测方法,其特征在于,包括:
入侵保护平台在初始化完成后,进入等待触发状态;
如果获取用户的指令后,进入防御状态,如果未收到用户的指令,自动开启主动防御;
入侵保护平台对网络协议进行解析;
入侵保护平台进行入侵规则解析;
根据解析结果,确定是否为入侵行为;
根据所述确定结果进行相应处理。
2.根据权利要求1所述的基于数字机顶盒的自动检测方法,其特征在于:
所述对网络协议进行解析是从获取的网络数据包中解析出网络的各种协议;
进行网络协议解析是按顺序层层剥离协议头,按照网络协议的数据打包的逆序,进行解析。
3.根据权利要求1所述的基于数字机顶盒的自动检测方法,其特征在于:
所述进行入侵规则解析具体为:
预先把新的入侵加入到规则库,然后不断的更新规则库;
检测的时候,自动地进行规则入侵方式的匹配,如果匹配一致,则说明是入侵。
4.根据权利要求1至3任一项所述的基于数字机顶盒的自动检测方法,其特征在于:
所述处理包括:
通知系统的各个在内存中运行的进程暂时性的停止该入侵进程的访问;
各进程停止与该入侵进程的任何的数据交换和信息共享,保护好所有在运行进程。
5.根据权利要求4所述的基于数字机顶盒的自动检测方法,其特征在于:
所述处理还包括:
对于内存中的静态数据和硬盘中的任何数据,防止入侵进程的任何访问,禁止其对硬盘的扫描和访问,读写。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105697926A CN102111399A (zh) | 2010-11-30 | 2010-11-30 | 一种基于数字机顶盒的自动检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105697926A CN102111399A (zh) | 2010-11-30 | 2010-11-30 | 一种基于数字机顶盒的自动检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102111399A true CN102111399A (zh) | 2011-06-29 |
Family
ID=44175429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105697926A Pending CN102111399A (zh) | 2010-11-30 | 2010-11-30 | 一种基于数字机顶盒的自动检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102111399A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454117A (zh) * | 2017-09-30 | 2017-12-08 | 中国联合网络通信集团有限公司 | 一种车联网的入侵检测方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0999679A2 (en) * | 1998-08-31 | 2000-05-10 | Matsushita Electric Industrial Co., Ltd. | Packet filtering apparatus that applies a plurality of filtering conditions including different comparison criteria to a single packet |
| CN101222611A (zh) * | 2008-01-28 | 2008-07-16 | 四川金网通电子科技有限公司 | 一种非法干扰信号监控方法 |
| CN101834865A (zh) * | 2003-06-06 | 2010-09-15 | 微软公司 | 用于管理基于网络过滤器的策略的方法 |
-
2010
- 2010-11-30 CN CN2010105697926A patent/CN102111399A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0999679A2 (en) * | 1998-08-31 | 2000-05-10 | Matsushita Electric Industrial Co., Ltd. | Packet filtering apparatus that applies a plurality of filtering conditions including different comparison criteria to a single packet |
| CN101834865A (zh) * | 2003-06-06 | 2010-09-15 | 微软公司 | 用于管理基于网络过滤器的策略的方法 |
| CN101222611A (zh) * | 2008-01-28 | 2008-07-16 | 四川金网通电子科技有限公司 | 一种非法干扰信号监控方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454117A (zh) * | 2017-09-30 | 2017-12-08 | 中国联合网络通信集团有限公司 | 一种车联网的入侵检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| Zhang et al. | An IoT honeynet based on multiport honeypots for capturing IoT attacks | |
| US10516671B2 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
| CN104598824B (zh) | 一种恶意程序检测方法及其装置 | |
| CN106789935B (zh) | 一种终端异常检测方法 | |
| CN110391937B (zh) | 一种基于soap服务模拟的物联网蜜网系统 | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| US11546295B2 (en) | Industrial control system firewall module | |
| CN113486334A (zh) | 网络攻击预测方法、装置、电子设备及存储介质 | |
| Grégio et al. | Ontology for malware behavior: A core model proposal | |
| CN114329489A (zh) | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 | |
| CN104135490A (zh) | 入侵检测系统分析方法和入侵检测系统 | |
| CN102035793A (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
| Koroniotis et al. | The sair-iiot cyber testbed as a service: A novel cybertwins architecture in iiot-based smart airports | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| Cheng et al. | Cyber situation perception for Internet of Things systems based on zero‐day attack activities recognition within advanced persistent threat | |
| JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| CN109800571A (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN115550049A (zh) | 一种物联网设备的漏洞检测方法及系统 | |
| CN116915484A (zh) | 元宇宙网络威胁事件推演方法 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| Ping et al. | An incident response decision support system based on CBR and ontology | |
| CN103914652B (zh) | 恶意程序控制指令识别方法及装置 | |
| CN102111399A (zh) | 一种基于数字机顶盒的自动检测方法 | |
| Godefroy et al. | Automatic generation of correlation rules to detect complex attack scenarios |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110629 |