CN103259761A - 基于Android平台的防火墙系统及其构建方法 - Google Patents
基于Android平台的防火墙系统及其构建方法 Download PDFInfo
- Publication number
- CN103259761A CN103259761A CN2012100336494A CN201210033649A CN103259761A CN 103259761 A CN103259761 A CN 103259761A CN 2012100336494 A CN2012100336494 A CN 2012100336494A CN 201210033649 A CN201210033649 A CN 201210033649A CN 103259761 A CN103259761 A CN 103259761A
- Authority
- CN
- China
- Prior art keywords
- firewall
- firewall rule
- rule
- unit
- unusual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于Android平台的防火墙系统及其构建方法,包括:数据包相关信息获取单元,以获取防火墙规则中所要求过滤的信息域;防火墙规则形式化表示单元,用以对防火墙规则进行形式化描述;防火墙规则异常分类单元,用以对防火墙规则异常情况进行描述;防火墙规则异常分析单元,用以对防火墙规则出现的异常进行处理;以及数据包过滤实施单元,用以对数据包按照防火墙规则进行过滤。构建方法包括:利用Android硬件抽象层进行开发,将防火墙的实现编译成动态链接库,并挂载到系统,供上层应用程序依靠JNI机制调用。本发明可有效地减小防火墙系统对智能移动终端资源的开销,提高防火墙系统过滤的效率。
Description
技术领域
本发明涉及网络安全技术,尤其涉及智能移动终端的防火墙系统。
背景技术
随着科学技术的快速发展,在当今信息化的社会中,我们生活和工作中的许多资源与信息都通过计算机系统来存储和处理,伴随着网络技术的不断进步和完善,这些信息都通过网络来传送、接收和处理,所以网络在社会生活中的作用越来越大。智能移动终端的迅猛发展为个人信息处理带来了巨大的便捷,其正成为计算资源中越来越重要的一部分。为了维护网络安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理,将防火墙应用到智能移动终端显得势在必行。
防火墙系统的技术原理是在信息传输时依据规则对被传输数据进行过滤,仅仅使得被允许的数据可被传输,不被允许的数据传输则被拒绝。其中规则是防火墙系统的使用者可根据实际应用需要自行设计的,以实现对信息交换和访问行为的有效管理。网络数量的增长和网络应用的增加使防火墙的安全策略变得越来越复杂,具体表现为防火墙规则集所包含的规则的数量不断增加,再加上编辑规则时不可避免的人为错误等原因,几乎所有的防火墙规则集都会存在或多或少的错误和冗余,致使预想的安全策略无法有效地实施。因此,处理防火墙规则之间的异常成为整个防火墙系统面临的一个主要任务。
传统PC平台的防火墙系统已经提出一些规则异常的模型和算法。防火墙的规则配置应该满足三个条件:一致性,完整性和紧密型,并采用FDD(Firewall Decision Diagram,防火墙决策图)来表示防火墙的初始配置,把一些类的算法引用到FDD上,从而保证了防火墙规则配置的上述三个条件。改模型主要基于策略树和状态及理论检测防火墙规则之间可能存在的异常,同时采用翻译树完成规则的高层翻译。
发明内容
本发明要解决的技术问题在于改进上述现有防火墙技术的不足,而提出一种基于Android平台的防火墙系统及其构建方法,能够减少移动智能终端防火墙系统的开销、提高防火墙过滤效率。
本发明针对Android(安卓)平台,采用的防火墙模型从集合角度对规则及规则之间的异常进行定义,并结合Android平台资源的有限性对防火墙规则异常分析方法进行优化,根据协议划分及先后次序对规则异常进行处理,可减少异常处理开销,节约处理时间和计算资源;并基于Android硬件抽象层(HAL,Hardware Abstraction Layer)在智能移动终端上实现上述防火墙系统。
本发明解决上述技术问题采用的技术方案包括,提出一种基于Android平台的防火墙系统,包括:
数据包相关信息获取单元,用以获取防火墙规则中所要求过滤的信息域;
防火墙规则形式化表示单元,用以对防火墙规则进行形式化描述;
防火墙规则异常分类单元,用以对防火墙规则异常情况进行描述;
防火墙规则异常分析单元,用以对防火墙规则出现的异常进行处理;
数据包过滤实施单元,用以对数据包按照防火墙规则进行过滤。
在本发明中,该数据包相关信息获取单元是直接调用Android内核相关函数以获取防火墙规则中所要求过滤的信息域。
在本发明中,该防火墙规则形式化表示单元将防火墙规则抽象为三部分:规则序号、过滤域和动作域。
该规则序号是一条规则在访问控制列表中的位置标识;该过滤域可由多个子域构成,子域类型包括:协议类型、源IP地址、源端口号、目标IP地址和目标端口号;该动作域包括:接受和拒绝。
每一条防火墙规则可以被形式化描述为:<规则序号,协议类型,源IP地址,源端口号,目标IP地址,目标端口号,动作>,记为:R < R[1],R[2],R[3],R[4],R[5] ,R[6],R[7] >。
在本发明中,该防火墙规则异常分类单元将出现的异常分为四类:屏蔽异常、冲突异常、冗余异常和重叠异常。
该防火墙规则异常分类单元给出下列定义:
规则R过滤域中的所有子域的笛卡尔积称为R所匹配的数据包集合,记
该防火墙规则异常分析单元处理两条规则之间异常是通过计算两条规则匹配数据包集合的差集并写出与差集相匹配的新规则的;
该防火墙规则异常分析单元首先对所有的防火墙规则按照协议类型进行分类,在每一类中按照规则序号的先后顺序重复执行两条规则之间异常的处理,直到处理完所有两两规则异常。
在本发明中,该数据包过滤实施单元将经过规则异常处理的防火墙规则建立为多叉树,然后依据数据包相关信息深度优先遍历该多叉树,直到遍历到一枝的叶子,从而确定是否传输该数据包。
本发明解决上述技术问题采用的技术方案还包括,提出一种如上所述的防火墙系统的构建方法,包括:利用Android硬件抽象层进行开发,将防火墙的实现编译成动态链接库,并挂载到系统,供上层应用程序依靠JNI机制调用。
与现有技术相比,本发明的基于Android平台的防火墙系统及其构建方法,通过改进防火墙系统核心的规则异常处理算法,可有效地减小防火墙系统对智能移动终端资源的开销,提高防火墙系统过滤的效率。
附图说明
图1为本发明的基于Android平台的防火墙系统实施例的防火墙底层模块结构示意图。
图2为本发明的基于Android平台的防火墙系统的构建方法的流程示意图。
具体实施方式
以下结合附图所示之实施例作进一步详述。
参见图1,本发明的基于Android平台的防火墙系统1实施例大致包括:数据包相关信息获取单元11;防火墙规则形式化表示单元12;防火墙规则异常分类单元13;一防火墙规则异常分析单元14;以及数据包过滤实施单元15。
其中,数据包相关信息获取是指对传入防火墙的数据包中的有用信息进行获取,这些有用数据是指防火墙规则中所涉及的数据,例如:协议类型、源IP地址等,防火墙将依据这些信息参照防火墙规则对该数据包进行过滤,这些信息直接决定此数据包是否会被传输。数据包相关信息获取单元11是通过调用Android内核中的相关函数进行提取。
防火墙规则形式化表示单元12将防火墙规则抽象为三部分:规则序号、过滤域和动作域。规则序号是一条规则在访问控制列表中的位置标识。过滤域可由多个子域构成,通常情况下子域有以下五类:协议类型、源IP地址、源端口号、目标IP地址和目标端口号。动作域只有两种选择:接受和拒绝。每一条规则可以被形式化描述为:
<规则序号,协议类型,源IP地址,源端口号,目标IP地址,目标端口号,动作>;
记为:R<R[1],R[2],R[3],R[4],R[5],R[6],R[7]>
防火墙规则异常分类单元13将出现的异常分为四类:屏蔽异常、冲突异常、冗余异常和重叠异常,相关的定义包括:
规则R过滤域中的所有子域的笛卡尔积称为R所匹配的数据包集合,记
防火墙规则异常分析单元14定义了规则相关性,并给出两条规则之间异常的处理方法:假设相关规则间只有两个过滤域出现部分重叠(非包含关系),其余过滤域都是包含关系,若只写出部分重叠的过滤域,那么可将规则表示如下:
Ra< A1,A2 >和Rb< B1,B2 >
所以 {Rb}-{Ra}={Rb}-{Rinter}
最终,将有异常的Ra和Rb转换成为:
Ra,Rb1< B1-m ,B2-n >,Rb2< B1-m ,n>,Rb3<m,B2-n >
在给出上述方法后,对防火墙所有规则按协议进行分类,在每一类中按照规则序号的先后顺序重复执行两条规则之间异常的处理,直到处理完所有两两规则异常。
数据包过滤实施单元15将经过规则异常处理的防火墙规则建立为多叉树,然后依据数据包相关信息深度优先遍历此多叉树,直到遍历到一枝的叶子,从而确定是否传输此数据包。
本发明的基于Android平台的防火墙系统的构建方法大致包括:利用Android硬件抽象层进行开发,将防火墙的实现编译成动态链接库,并挂载到系统,供上层应用程序依靠JNI( Java Native Interface)机制调用以实现防火墙功能。参见图2,具体可包括以下步骤:
S101:编写防火墙底层模块,也就是用软件构建上述的防火墙系统1中的五个单元;
S102:编写JNI函数;
S103:编译成模块;
S104:加载到Android系统;
S105:编写前台UI。
需要说明的是,虽然在上述的实施例中,基于Android平台的防火墙系统1是采用软件编程实现的,在其他的实施例中,也可以采用硬件的功能模块电路来实现。
以上,仅为本发明之较佳实施例,意在进一步说明本发明,而非对其进行限定。凡根据上述之文字和附图所公开的内容进行的简单的替换,都在本专利的权利保护范围之列。
Claims (10)
1.一种基于Android平台的防火墙系统,其特征在于,包括:
数据包相关信息获取单元,用以获取防火墙规则中所要求过滤的信息域;
防火墙规则形式化表示单元,用以对防火墙规则进行形式化描述;
防火墙规则异常分类单元,用以对防火墙规则异常情况进行描述;
防火墙规则异常分析单元,用以对防火墙规则出现的异常进行处理;以及
数据包过滤实施单元,用以对数据包按照防火墙规则进行过滤。
2.如权利要求1所述的防火墙系统,其特征在于,该数据包相关信息获取单元是直接调用Android内核相关函数以获取防火墙规则中所要求过滤的信息域。
3.如权利要求1所述的防火墙系统,其特征在于,该防火墙规则形式化表示单元将防火墙规则抽象为三部分:规则序号、过滤域和动作域。
4.如权利要求3所述的防火墙系统,其特征在于,该规则序号是一条规则在访问控制列表中的位置标识;该过滤域可由多个子域构成,子域类型包括:协议类型、源IP地址、源端口号、目标IP地址和目标端口号;该动作域包括:接受和拒绝。
5.如权利要求3所述的防火墙系统,其特征在于,每一条防火墙规则可以被形式化描述为:<规则序号,协议类型,源IP地址,源端口号,目标IP地址,目标端口号,动作>,记为:R < R[1],R[2],R[3],R[4],R[5] ,R[6],R[7] >。
6.如权利要求1所述的防火墙系统,其特征在于,该防火墙规则异常分类单元将出现的异常分为四类:屏蔽异常、冲突异常、冗余异常和重叠异常。
7.如权利要求6所述的防火墙系统,其特征在于,该防火墙规则异常分类单元给出下列定义:规则R过滤域中的所有子域的笛卡尔积称为R所匹配的数据包集合,记
9.如权利要求1所述的防火墙系统,其特征在于,该数据包过滤实施单元将经过规则异常处理的防火墙规则建立为多叉树,然后依据数据包相关信息深度优先遍历该多叉树,直到遍历到一枝的叶子,从而确定是否传输该数据包。
10.一种如权利要求1至9任一所述的防火墙系统的构建方法,其特征在于,包括:利用Android硬件抽象层进行开发,将防火墙的实现编译成动态链接库,并挂载到系统,供上层应用程序依靠JNI机制调用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100336494A CN103259761A (zh) | 2012-02-15 | 2012-02-15 | 基于Android平台的防火墙系统及其构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100336494A CN103259761A (zh) | 2012-02-15 | 2012-02-15 | 基于Android平台的防火墙系统及其构建方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103259761A true CN103259761A (zh) | 2013-08-21 |
Family
ID=48963464
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012100336494A Pending CN103259761A (zh) | 2012-02-15 | 2012-02-15 | 基于Android平台的防火墙系统及其构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103259761A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104735026A (zh) * | 2013-12-19 | 2015-06-24 | 华为技术有限公司 | 安全策略控制方法和装置 |
CN104883347A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种网络安全规则冲突分析与简化方法 |
CN108471412A (zh) * | 2018-03-19 | 2018-08-31 | 武汉华大国家数字化学习工程技术有限公司 | 一种防火墙规则冲突检测方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101213811A (zh) * | 2005-06-30 | 2008-07-02 | 英特尔公司 | 采用标记值的多样本包内容检测机制 |
-
2012
- 2012-02-15 CN CN2012100336494A patent/CN103259761A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101213811A (zh) * | 2005-06-30 | 2008-07-02 | 英特尔公司 | 采用标记值的多样本包内容检测机制 |
Non-Patent Citations (3)
Title |
---|
WOOL A: "《A Qutantitative study of firewall Configuration Errors》", 《PROCEEDINGS OF IEEE COMPUTER》 * |
孙云等: "《一种防火墙规则配置异常分析方法》", 《计算机工程》 * |
王力生等: "《一种基于Android的防火墙的研究与实现》", 《计算机安全》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104735026A (zh) * | 2013-12-19 | 2015-06-24 | 华为技术有限公司 | 安全策略控制方法和装置 |
CN104735026B (zh) * | 2013-12-19 | 2018-05-18 | 华为技术有限公司 | 安全策略控制方法和装置 |
CN104883347A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种网络安全规则冲突分析与简化方法 |
CN108471412A (zh) * | 2018-03-19 | 2018-08-31 | 武汉华大国家数字化学习工程技术有限公司 | 一种防火墙规则冲突检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109271793B (zh) | 物联网云平台设备类别识别方法及系统 | |
US20160344772A1 (en) | Modelling network to assess security properties | |
CN102904729B (zh) | 根据协议、端口分流支持多应用的智能加速网卡 | |
CN102369703B (zh) | 通信流控制系统、通信流控制方法和通信流处理程序 | |
CN109462534A (zh) | 区域互联控制器、区域互联控制方法以及计算机存储介质 | |
Eden et al. | A forensic taxonomy of SCADA systems and approach to incident response | |
CN103858392A (zh) | 包分类规则的增量更新 | |
CN104509034A (zh) | 模式合并以识别恶意行为 | |
Zhang et al. | A simple median-based resilient consensus algorithm | |
CN110175027A (zh) | 一种开发业务功能的方法和装置 | |
Venturi et al. | Drelab-deep reinforcement learning adversarial botnet: A benchmark dataset for adversarial attacks against botnet intrusion detection systems | |
CN104468282A (zh) | 集群监控处理系统及方法 | |
CN111652732A (zh) | 一种基于交易图匹配的比特币异常交易实体识别方法 | |
CN104092581A (zh) | 智能变电站报文记录与分析系统中报文快速处理方法 | |
CN113572780A (zh) | 设备安全策略配置方法 | |
CN103259761A (zh) | 基于Android平台的防火墙系统及其构建方法 | |
CN113542074A (zh) | 一种可视化管理kubernetes集群的东西向网络流量的方法及系统 | |
Gopi et al. | Classification of denial-of-service attacks in IoT networks using AlexNet | |
CN101242409A (zh) | 一种多语言的网络数据包高效过滤的方法 | |
US20150046507A1 (en) | Secure Network Data | |
CN106055561A (zh) | 一种防止网络用户恶意操作的方法及装置 | |
CN108805725A (zh) | 风险事件确认方法、服务器及计算机可读存储介质 | |
CN102104609B (zh) | 一种网络协议安全缺陷分析方法 | |
Accorsi et al. | Static information fow analysis of workflow models | |
CN109040089A (zh) | 网络策略审计方法、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130821 |