一种移动终端检测、回避网络攻击的方法
技术领域
本发明涉及通信技术领域,尤其涉及一种移动终端检测、回避网络攻击的方法。
背景技术
现有的移动终端一般都使用tcp/ip协议来传输数据业务,而事实上,移动终端的网络安全是脆弱的,而且很容易就遭受恶意代码以及恶意数据包的攻击,例如当收到网络上恶意的数据包时候,移动终端会从休眠态被唤醒,从而加重了耗电量,如果持续恶意的攻击,将使移动终端无法进入休眠态。
中国专利申请第CN200910091623.3号公开了一种移动终端防火墙的实现方法及装置,其主要是利用地理位置信息来智能的确定防火墙策略,其主要针对收到短信或者来电时候进行过滤,其不足之处是无法过滤tcp/ip数据报,因此,亟待寻求一种解决基于tcp/ip协议数据包攻击的方法。
发明内容
本发明的目的在于提供一种移动终端检测、回避网络攻击的方法,使得遭受网络恶意数据包攻击时可以实时监测出属于何种类型攻击,同时触发过滤策略并及时提示用户。
本发明的另一目的在于提供一种移动终端检测、回避网络攻击的方法,通过自动断网或智能断网等技术回避网络攻击,解决了移动终端收到恶意数据包无法进入休眠问题,减低了耗电量。
本发明的目的是通过以下技术方案实现的。
一种移动终端检测、回避网络攻击的方法,包括以下步骤:
a:在系统底层建立一个入侵事件检测模块并在上层与之对应建立一个入侵事件处理模块;
b:过滤接收的数据包,检测入侵事件并将入侵信息集传递给入侵事件处理模块;
c:入侵事件处理模块对接收到的入侵信息集进行判断,作智能断网处理;
所述步骤c中若启动智能断网处理,包括:
首先断开数据业务,假设当前时间点为t,则在t+t1时间点进行一次攻击事件判断,如果此时仍然没有攻击,直接打开数据业务,否则接着断开t2时间,在t+t2时间点进行判断;
按照如下集合{t1,t2,t3,t4……tn}(tn是自然数,单位为毫秒,n为整数)中的时间开始回避直到策略集执行完毕,如果执行完毕仍然攻击事件还在持续,则取tn间隔反复尝试直至攻击事件消失。
优选的,所述步骤b具体包括:
b1.扩展netfilter内核模块,按照规则集过滤数据包并触发入侵事件传递;
b2.创建守护进程监听来自步骤b1中的入侵事件;
b3.将入侵事件封装成信息集传送给入侵事件处理模块。
优选的,所述信息集格式为{攻击类型,攻击者ip地址,时间戳}。
优选的,所述步骤c中若启动自动断网处理,具体包括:直接断开数据连接T时刻(T是自然数,单位为毫秒),假设当前时间点为t,然后t+T时刻打开数据业务。
优选的,所述步骤c还包括:当入侵处理模块收到入侵信息集A时,以对话框或者状态栏信息提示的方式给用户提示信息。
优选的,所述提示信息为入侵事件信息集所含内容。
优选的,步骤b1中,采用iptables来作为触发netfilter内核扩展模块的前台,在扩展模块中通过netlink来与步骤b2中所述进程通信。
本发明与现有技术相比,本发明通过在底层建立一个轻量级的入侵事件检测模块,并在上层与之对应建立一个入侵事件处理模块,对移动终端网络传输的数据包进行过滤,并对遭受的网络攻击进行实时检测分类并依此进行智能断网或者自动断网等操作,用以回避恶意攻击,以达到实时提醒用户并解决移动终端收到恶意数据包频繁唤醒问题。同时也可以提高用户满意度以及提高网络防火墙产品的竞争力。
附图说明
图1为本发明实现方法中的攻击事件检测流程图。
图2为本发明实现方法中的攻击事件处理流程图。
图3为本发明移动终端检测、回避网络攻击的方法流程图。
具体实施方式
本发明核心思想:通过在底层建立一个轻量级的入侵事件检测模块并在上层与之对应建立一个入侵事件处理模块,入侵事件检测模块中利用扩展netfilter模块,可以实时检测每次入侵事件,触发过滤规则集并及时将入侵信息集通知入侵事件处理模块,以保护用户移动终端免受攻击,特别适合移动终端这种资源有限的嵌入式系统。同时,入侵处理模块采用智能断网、自动断网等方法,可以有效的回避网络攻击,并减轻移动终端在休眠时候被唤醒的次数。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本实施例中,提供了一种移动终端检测、回避网络攻击的实现方法包括入侵事件检测以及入侵事件处理两个子过程:
请参阅图1,入侵事件检测的过程,包括如下步骤:
101.扩展netfilter内核模块,按照规则集过滤数据包并触发入侵事件传递。其中采用iptables来作为触发netfilter内核扩展模块的前台,在扩展模块中通过netlink来和步骤102的用户空间进程通信。例如:过滤的规则集以及入侵事件的触发采用如下形式:
iptables–Atcprule–ptcp–mlimit–limit3/s–limit-burst6–jIDS
102.创建守护进程监听来自步骤101中的入侵事件,并将之传递到步骤103中。
103.将攻击事件封装成信息集A{攻击类型,攻击者ip地址,时间戳}传送给事件处理模块,例如可以通过发送系统广播的形式发送。
请参阅图2,入侵事件处理的过程,包括如下步骤:
201.从入侵检测模块收到入侵事件信息集A。
202.以对话框或者状态栏提醒的形式给用户以提示,例如:弹出对话框提示用户攻击者ip地址在某时间点对您发动某类型的攻击。
203.判断用户的设置,如果用户的设置是智能断网,则触发智能断网功能,如果用户的设置是自动断网功能,则触发自动断网功能。
204.自动断网,直接断开数据连接T时刻(T是自然数,单位为毫秒),假设当前时间点为t,然后t+T时刻打开数据业务。例如T可以采取默认值10000ms。
205.启动智能断网功能:首先断开数据业务,假设当前时间点为t,则在t+t1时间点进行一次攻击事件判断,如果此时仍然没有攻击,直接打开数据业务,否则接着断开t2时间,在t+t2时间点进行判断,依此类推按照如下集合{t1,t2,t3,t4……tn}(tn是自然数,单位为毫秒,n为整数)中的时间开始回避直到执行完毕,如果执行完毕仍然攻击事件还在持续,则取tn间隔反复尝试直至攻击事件消失。例如,可以采用如下集合{5000ms,10000ms.20000ms,40000ms……},tn取半小时。
请参阅图3所示,包括步骤:
301.入侵事件检测:过滤数据包,检测入侵事件并将攻击信息集传递给入侵事件处理模块。
302.入侵事件处理:接收入侵事件检测模块传递过来的信息,进行判断处理主要包括智能断网或自动断网功能。
本发明入侵事件处理模块采用智能断网等技术,可以有效的回避网络攻击,并减轻移动终端在休眠时候被唤醒的次数。入侵事件检测模块可以实时检测每次入侵事件触发过滤规则集并及时通知入侵处理模块提示用户,以保护用户移动终端免受攻击。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。