CN102780691A - 一种移动终端检测、回避网络攻击的方法 - Google Patents
一种移动终端检测、回避网络攻击的方法 Download PDFInfo
- Publication number
- CN102780691A CN102780691A CN2012101629149A CN201210162914A CN102780691A CN 102780691 A CN102780691 A CN 102780691A CN 2012101629149 A CN2012101629149 A CN 2012101629149A CN 201210162914 A CN201210162914 A CN 201210162914A CN 102780691 A CN102780691 A CN 102780691A
- Authority
- CN
- China
- Prior art keywords
- attack
- intrusion event
- processing module
- invasion
- network attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种移动终端检测、回避网络攻击的方法,包括:a:在系统底层建立一个入侵事件检测模块并在上层与之对应建立一个入侵事件处理模块;b:过滤接收的数据包,检测入侵事件并将入侵信息集传递给入侵事件处理模块;c:入侵事件处理模块对接收到的入侵信息集进行判断,作智能断网或自动断网处理。本发明通过在底层建立一个轻量级的入侵事件检测模块,并在上层与之对应建立入侵事件处理模块,对移动终端网络传输的数据包进行过滤,并对遭受的网络攻击进行实时检测分类并依此进行智能断网或者自动断网等操作,用以回避恶意攻击,以达到实时提醒用户并解决移动终端收到恶意数据包频繁唤醒问题,还可提高用户满意度及网络防火墙产品竞争力。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种移动终端检测、回避网络攻击的方法。
背景技术
现有的移动终端一般都使用tcp/ip协议来传输数据业务,而事实上,移动终端的网络安全是脆弱的,而且很容易就遭受恶意代码以及恶意数据包的攻击,例如当收到网络上恶意的数据包时候,移动终端会从休眠态被唤醒,从而加重了耗电量,如果持续恶意的攻击,将使移动终端无法进入休眠态。
中国专利申请第CN200910091623.3号公开了一种移动终端防火墙的实现方法及装置,其主要是利用地理位置信息来智能的确定防火墙策略,其主要针对收到短信或者来电时候进行过滤,其不足之处是无法过滤tcp/ip数据报,因此,亟待寻求一种解决基于tcp/ip协议数据包攻击的方法。
发明内容
本发明的目的在于提供一种移动终端检测、回避网络攻击的方法,使得遭受网络恶意数据包攻击时可以实时监测出属于何种类型攻击,同时触发过滤策略并及时提示用户。
本发明的另一目的在于提供一种移动终端检测、回避网络攻击的方法,通过自动断网或智能断网等技术回避网络攻击,解决了移动终端收到恶意数据包无法进入休眠问题,减低了耗电量。
本发明的目的是通过以下技术方案实现的。
一种移动终端检测、回避网络攻击的方法,包括以下步骤:
a:在系统底层建立一个入侵事件检测模块并在上层与之对应建立一个入侵事件处理模块;
b:过滤接收的数据包,检测入侵事件并将入侵信息集传递给入侵事件处理模块;
c:入侵事件处理模块对接收到的入侵信息集进行判断,作智能断网或自动断网处理。
优选的,所述步骤b具体包括:
b1. 扩展netfilter内核模块,按照规则集过滤数据包并触发入侵事件传递;
b2. 创建守护进程监听来自步骤b1中的入侵事件;
b3. 将入侵事件封装成信息集传送给入侵事件处理模块。
优选的,所述信息集格式为{攻击类型,攻击者ip地址,时间戳}。
优选的,所述步骤c中若启动智能断网处理,具体包括:
首先断开数据业务,假设当前时间点为t,则在t+t1时间点进行一次攻击事件判断,如果此时仍然没有攻击,直接打开数据业务,否则接着断开t2时间, 在t+t2时间点进行判断;
按照如下集合{t1,t2,t3,t4……tn}(tn是自然数,单位为毫秒,n为整数)中的时间开始回避直到策略集执行完毕,如果执行完毕仍然攻击事件还在持续,则取tn间隔反复尝试直至攻击事件消失。
优选的,所述步骤c中若启动自动断网处理,具体包括:直接断开数据连接T时刻(T是自然数,单位为毫秒),假设当前时间点为t,然后t+T时刻打开数据业务。
优选的,所述步骤c还包括:当入侵处理模块收到入侵信息集A时,以对话框或者状态栏信息提示的方式给用户提示信息。
优选的,所述提示信息为入侵事件信息集所含内容。
优选的,步骤b1中,采用iptables来作为触发netfilter内核扩展模块的前台,在扩展模块中通过netlink来与步骤b2中所述进程通信。
本发明与现有技术相比,本发明通过在底层建立一个轻量级的入侵事件检测模块,并在上层与之对应建立一个入侵事件处理模块,对移动终端网络传输的数据包进行过滤,并对遭受的网络攻击进行实时检测分类并依此进行智能断网或者自动断网等操作,用以回避恶意攻击,以达到实时提醒用户并解决移动终端收到恶意数据包频繁唤醒问题。同时也可以提高用户满意度以及提高网络防火墙产品的竞争力。
附图说明
图1为本发明实现方法中的攻击事件检测流程图。
图2为本发明实现方法中的攻击事件处理流程图。
图3为本发明移动终端检测、回避网络攻击的方法流程图。
具体实施方式
本发明核心思想:通过在底层建立一个轻量级的入侵事件检测模块并在上层与之对应建立一个入侵事件处理模块,入侵事件检测模块中利用扩展netfilter模块,可以实时检测每次入侵事件,触发过滤规则集并及时将入侵信息集通知入侵事件处理模块,以保护用户移动终端免受攻击,特别适合移动终端这种资源有限的嵌入式系统。同时,入侵处理模块采用智能断网、自动断网等方法,可以有效的回避网络攻击,并减轻移动终端在休眠时候被唤醒的次数。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本实施例中,提供了一种移动终端检测、回避网络攻击的实现方法包括入侵事件检测以及入侵事件处理两个子过程:
请参阅图1,入侵事件检测的过程,包括如下步骤:
101. 扩展netfilter内核模块,按照规则集过滤数据包并触发入侵事件传递。其中采用iptables来作为触发netfilter内核扩展模块的前台,在扩展模块中通过netlink来和步骤102的用户空间进程通信。例如:过滤的规则集以及入侵事件的触发采用如下形式:
iptables –A tcprule –p tcp –m limit –limit 3/s –limit-burst 6 –j IDS
102. 创建守护进程监听来自步骤101中的入侵事件,并将之传递到步骤103中。
103. 将攻击事件封装成信息集A{攻击类型,攻击者ip地址,时间戳}传送给事件处理模块,例如可以通过发送系统广播的形式发送。
请参阅图2,入侵事件处理的过程,包括如下步骤:
201. 从入侵检测模块收到入侵事件信息集A。
202. 以对话框或者状态栏提醒的形式给用户以提示,例如:弹出对话框提示用户攻击者ip地址在某时间点对您发动某类型的攻击。
203. 判断用户的设置,如果用户的设置是智能断网,则触发智能断网功能,如果用户的设置是自动断网功能,则触发自动断网功能。
204. 自动断网, 直接断开数据连接T时刻(T是自然数,单位为毫秒),假设当前时间点为t,然后t+T时刻打开数据业务。例如T可以采取默认值10000ms。
205. 启动智能断网功能: 首先断开数据业务,假设当前时间点为t,则在t+t1时间点进行一次攻击事件判断,如果此时仍然没有攻击,直接打开数据业务,否则接着断开t2时间, 在t+t2时间点进行判断,依此类推按照如下集合{t1,t2,t3,t4……tn}(tn是自然数,单位为毫秒,n为整数)中的时间开始回避直到执行完毕,如果执行完毕仍然攻击事件还在持续,则取tn间隔反复尝试直至攻击事件消失。例如,可以采用如下集合{5000ms,10000ms.20000ms,40000ms…… },tn取半小时。
请参阅图3所示,包括步骤:
301. 入侵事件检测:过滤数据包,检测入侵事件并将攻击信息集传递给入侵事件处理模块。
302. 入侵事件处理:接收入侵事件检测模块传递过来的信息,进行判断处理主要包括智能断网或自动断网功能。
本发明入侵事件处理模块采用智能断网等技术,可以有效的回避网络攻击,并减轻移动终端在休眠时候被唤醒的次数。入侵事件检测模块可以实时检测每次入侵事件触发过滤规则集并及时通知入侵处理模块提示用户,以保护用户移动终端免受攻击。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种移动终端检测、回避网络攻击的方法,其特征在于,包括以下步骤:
a:在系统底层建立一个入侵事件检测模块并在上层与之对应建立一个入侵事件处理模块;
b:过滤接收的数据包,检测入侵事件并将入侵信息集传递给入侵事件处理模块;
c:入侵事件处理模块对接收到的入侵信息集进行判断,作智能断网或自动断网处理。
2.如权利要求1所述的移动终端检测、回避网络攻击的方法,其特征在于,所述步骤b具体包括:
b1. 扩展netfilter内核模块,按照规则集过滤数据包并触发入侵事件传递;
b2. 创建守护进程监听来自步骤b1中的入侵事件;
b3. 将入侵事件封装成信息集传送给入侵事件处理模块。
3.如权利要求2所述的移动终端检测、回避网络攻击的方法,其特征在于, 所述信息集格式为{攻击类型,攻击者ip地址,时间戳}。
4.如权利要求3所述的移动终端检测、回避网络攻击的方法,其特征在于,所述步骤c中若启动智能断网处理,具体包括:
首先断开数据业务,假设当前时间点为t,则在t+t1时间点进行一次攻击事件判断,如果此时仍然没有攻击,直接打开数据业务,否则接着断开t2时间, 在t+t2时间点进行判断;
按照如下集合{t1,t2,t3,t4……tn}(tn是自然数,单位为毫秒,n为整数)中的时间开始回避直到策略集执行完毕,如果执行完毕仍然攻击事件还在持续,则取tn间隔反复尝试直至攻击事件消失。
5.如权利要求3所述的移动终端检测、回避网络攻击的方法,其特征在于,所述步骤c中若启动自动断网处理,具体包括:直接断开数据连接T时刻(T是自然数,单位为毫秒),假设当前时间点为t,然后t+T时刻打开数据业务。
6.如权利要求4或5所述的移动终端检测、回避网络攻击的方法,其特征在于,所述步骤c还包括:当入侵处理模块收到入侵信息集A时,以对话框或者状态栏信息提示的方式给用户提示信息。
7.如权利要求6所述的移动终端检测、回避网络攻击的方法,其特征在于,所述提示信息为入侵事件信息集所含内容。
8.如权利要求2所述的移动终端检测、回避网络攻击的方法,其特征在于,步骤b1中,采用iptables来作为触发netfilter内核扩展模块的前台,在扩展模块中通过netlink来与步骤b2中所述进程通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210162914.9A CN102780691B (zh) | 2012-05-24 | 2012-05-24 | 一种移动终端检测、回避网络攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210162914.9A CN102780691B (zh) | 2012-05-24 | 2012-05-24 | 一种移动终端检测、回避网络攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102780691A true CN102780691A (zh) | 2012-11-14 |
| CN102780691B CN102780691B (zh) | 2016-01-20 |
Family
ID=47125445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210162914.9A Active CN102780691B (zh) | 2012-05-24 | 2012-05-24 | 一种移动终端检测、回避网络攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102780691B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105808275A (zh) * | 2014-12-30 | 2016-07-27 | 北京奇虎科技有限公司 | 软件净化安装装置及方法 |
| CN105808279A (zh) * | 2014-12-30 | 2016-07-27 | 北京奇虎科技有限公司 | 一种软件净化安装方法及装置 |
| CN113132359A (zh) * | 2021-03-30 | 2021-07-16 | 深圳市吉方工控有限公司 | 一种网络安全数据信息检测方法 |
| CN114866332A (zh) * | 2022-06-08 | 2022-08-05 | 上海百功半导体有限公司 | 一种光通信设备的轻量级入侵检测系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222506A (zh) * | 2008-01-28 | 2008-07-16 | 南京航空航天大学 | 基于微处理器的嵌入式防火墙 |
| CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| CN101901317A (zh) * | 2010-07-09 | 2010-12-01 | 北京大学 | 一种基于生长型分级自组织映射神经网络的入侵检测方法 |
-
2012
- 2012-05-24 CN CN201210162914.9A patent/CN102780691B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222506A (zh) * | 2008-01-28 | 2008-07-16 | 南京航空航天大学 | 基于微处理器的嵌入式防火墙 |
| CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| CN101901317A (zh) * | 2010-07-09 | 2010-12-01 | 北京大学 | 一种基于生长型分级自组织映射神经网络的入侵检测方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105808275A (zh) * | 2014-12-30 | 2016-07-27 | 北京奇虎科技有限公司 | 软件净化安装装置及方法 |
| CN105808279A (zh) * | 2014-12-30 | 2016-07-27 | 北京奇虎科技有限公司 | 一种软件净化安装方法及装置 |
| CN113132359A (zh) * | 2021-03-30 | 2021-07-16 | 深圳市吉方工控有限公司 | 一种网络安全数据信息检测方法 |
| CN114866332A (zh) * | 2022-06-08 | 2022-08-05 | 上海百功半导体有限公司 | 一种光通信设备的轻量级入侵检测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102780691B (zh) | 2016-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9467360B2 (en) | System, device and method for managing network traffic by using monitoring and filtering policies | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| CN102333313A (zh) | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 | |
| CN100454895C (zh) | 一种通过报文处理提高网络安全性的方法 | |
| CN102594814A (zh) | 基于端末的网络访问控制系统 | |
| CN104113883B (zh) | 一种无线网络休眠和唤醒的方法及系统 | |
| CN104301321A (zh) | 一种实现分布式网络安全防护的方法及系统 | |
| CN105323259B (zh) | 一种防止同步包攻击的方法和装置 | |
| CN107360182B (zh) | 一种用于嵌入式的主动网络防御系统及其防御方法 | |
| CN102780691A (zh) | 一种移动终端检测、回避网络攻击的方法 | |
| CN103378998A (zh) | 以太网端口环回检测方法及装置 | |
| CN103795632A (zh) | 一种数据报文传输方法及相关设备、系统 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN104580227A (zh) | 基于家庭网络探测手机mac地址的自动布撤防方法 | |
| CN104486243A (zh) | 数据传输方法、设备及系统 | |
| CN103780663A (zh) | 一种终端外设的远程管理方法、装置和系统 | |
| CN102238049A (zh) | 针对MAC层DoS攻击的检测方法 | |
| CN104283716B (zh) | 数据传输方法、设备及系统 | |
| CN101340275B (zh) | 数据卡及其数据处理和传输方法 | |
| CN102946400B (zh) | 一种基于行为分析的海量短信内容安全过滤方法和系统 | |
| CN108737344A (zh) | 一种网络攻击防护方法和装置 | |
| KR101423975B1 (ko) | 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법 | |
| CN102075535B (zh) | 一种应用层分布式拒绝服务攻击过滤方法及系统 | |
| CN101127744B (zh) | 对非法客户端进行隔离提示的方法和系统以及网关设备 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 518000 Guangdong province Shenzhen city Nanshan District high tech park, No. 9018 North Central Avenue, building A, floor 10, Han's innovation Applicant after: Nubian Technologies Ltd. Address before: 518000 Guangdong province Shenzhen city Nanshan District high tech park, No. 9018 North Central Avenue, building A, floor 10, Han's innovation Applicant before: Shenzhen ZTE Mobile Tech Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170428 Address after: Yuhuatai District of Nanjing city Ning dual 210000 Jiangsu province No. 28 room 1008 Patentee after: Nanjing Zhongxing Technology Co., Ltd. Address before: 518000 Guangdong province Shenzhen city Nanshan District high tech park, No. 9018 North Central Avenue, building A, floor 10, Han's innovation Patentee before: Nubian Technologies Ltd. |