CN103281288A - 一种手机防火墙系统及方法 - Google Patents
一种手机防火墙系统及方法 Download PDFInfo
- Publication number
- CN103281288A CN103281288A CN2012105811189A CN201210581118A CN103281288A CN 103281288 A CN103281288 A CN 103281288A CN 2012105811189 A CN2012105811189 A CN 2012105811189A CN 201210581118 A CN201210581118 A CN 201210581118A CN 103281288 A CN103281288 A CN 103281288A
- Authority
- CN
- China
- Prior art keywords
- access control
- equipment
- network
- user
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种手机防火墙系统及方法,通过在移动终端的防火墙客户端修改移动终端的APN配置,使移动终端的网络接入请求发送到APN接入控制设备,APN接入控制设备将收到的网络访问请求转发给防火墙服务设备,防火墙服务设备对网络访问请求进行相关的检测,并将检测结果返回给APN接入控制设备。如果检测后需要经过用户控制,则用户将网络行为控制指令发送给防火墙,防火墙通知APN接入控制设备对网络接入请求放行或阻止。同时防火墙客户端设备还可以向防火墙服务器发送获取当前状态的信息和数据。通过本发明的方法,能够在不需要获得手机平台权限的情况下,对移动终端进行防火墙设置保护,适用于所有的移动终端平台。
Description
技术领域
本发明涉及移动终端恶意代码检测领域,特别涉及一种手机防火墙系统及方法。
背景技术
随着移动互联网的快速发展,普通用户使用手机来访问互联网资源已经成了一个非常普遍的现象。而互联网上存在着大量的不良信息,垃圾网站,钓鱼网站和恶意网站,对用户的手机使用安全造成较大的影响。现有的移动终端恶意代码检测方法,通常是在恶意行为已经发生后,根据所产生的行为来判断是否为恶意代码,而并不能在恶意行为发生前对其进行预防。相对来说,不同的手机平台都有不同的研发环境和开发方式,程序也无法通用。同时,许多系统并没有提供比较好的开发支持来实现防火墙功能。比如Android系统上,在不提权的情况下是无法实现完整的防火墙拦截和控制功能的,在Symbian,Winphone,iPhoneOS等各种手机系统上都存在类似的问题,导致无法在手机操作系统上实现比较好的网络行为控制和安全检查的防火墙功能。
发明内容
本发明提供一种手机防火墙系统及方法,解决了现有技术中无法提权的情况下无法实现防火墙控制的问题,具有更准确的检测效果。
一种手机防火墙系统,包括:
至少一台防火墙客户端设备,用于向APN接入控制设备发送网络接入请求,并接收APN接入控制设备返回的页面;或当接收到APN接入控制设备返回的用户控制页面后,向防火墙服务设备发送网络行为控制指令;
APN接入控制设备,包括:通信模块,用于等待网络接入请求;
客户端判断模块,用于判断所述网络接入请求是否是防火墙客户端设备发送的请求,如果不是,则结束接入控制判断,否则将网络接入请求发送到防火墙服务设备,并接收防火墙服务设备返回的处理结果;
页面反馈模块,若处理结果为通过,则转发网络请求到目标服务器,并返回结果页面给客户端所在设备;若处理结果为不通过,则关闭所述网络接入请求,并将不通过详细信息页面返回给客户端所在设备;若处理结果为请求用户控制,则保留所述网络接入请求,并将用户控制页面返回给客户端所在设备;
防火墙服务设备,包括通信模块,用于接收服务请求指令;
指令判断模块,判断服务请求指令为网络行为控制指令或APN接入控制设备转发的网络接入请求指令;
网络行为控制模块,用于当判断为网络行为控制指令时,通过用户会话记录库确定所述网络行为控制指令所对应的防火墙客户端及URL,判断所述网络行为控制指令类型,若网络行为控制指令为通过,则将通过信息发送给APN接入控制设备,若网络行为控制指令为不通过,则将不通过信息发送给APN接入控制设备;
网络接入请求判断模块,用于当判断为APN接入控制设备转发的网络接入请求指令时,检测所述网络接入请求是否为恶意,如果是,则返回给APN接入控制设备不通过信息;否则通过用户控制策略库匹配网络接入请求指令,若匹配到黑名单中,则返回给APN接入控制设备不通过信息;若匹配到白名单或直接放行名单中,则返回给APN接入控制设备通过信息;若匹配到要求用户控制名单中,则返回给APN接入控制设备请求用户控制信息。
所述的系统中,在防火墙客户端上配置APN接入点为接入到APN接入控制设备的地址及访问端口。
所述的系统,中,所述的用户会话记录库中包括所有客户端的网络会话记录及对应的URL会话关系。
所述的系统中,所述的用户控制策略库为每个防火墙客户端设备的策略配置信息,所述配置信息中至少包括:客户端ID、会话ID、禁止接入网络的黑名单、允许接入网络的白名单及直接放行名单。
所述的系统中,所述的防火墙服务设备还包括,数据查询模块,用于接收用户使用状态数据查询指令,并通过用户使用管理记录库获取用户使用状态数据,并返回给客户端所在设备。
所述的系统中,防火墙服务设备检测所述网络接入请求是否为恶意具体为:通过恶意URL特征库中的恶意URL特征,判断所述网络接入请求是否包含恶意URL特征,如果是,则返回给APN接入控制设备不通过信息,否则通过恶意网络行为特征库,判断所述网络接入请求是否包含用户敏感信息,如果是,则返回给APN接入控制设备不通过信息,否则通过用户控制策略库匹配网络接入请求指令。
所述的系统中,所述的恶意URL特征至少包括URL域名、URL完整连接或URL规则通配符。
一种手机防火墙方法,包括:
防火墙客户端设备向APN接入控制设备发送网络接入请求,并接收APN接入控制设备返回的页面;或当接收到APN接入控制设备返回的用户控制页面后,向防火墙服务设备发送网络行为控制指令;
APN接入控制设备等待网络接入请求,并判断所述网络接入请求是否是防火墙客户端设备发送的请求,如果不是,则结束接入控制判断,否则将网络接入请求发送到防火墙服务设备,并接收防火墙服务设备返回的处理结果,返回对应页面到客户端所在设备;若处理结果为通过,则转发网络请求到目标服务器,并返回结果页面给客户端所在设备;若处理结果为不通过,则关闭所述网络接入请求,并将不通过详细信息页面返回给客户端所在设备;若处理结果为请求用户控制,则保留所述网络接入请求,并将用户控制页面返回给客户端所在设备;
防火墙服务设备接收服务请求指令,并判断服务请求指令为网络行为控制指令或APN接入控制设备转发的网络接入请求指令;
若为网络行为控制指令,则通过用户会话记录库确定所述网络行为控制指令所对应的防火墙客户端及URL,判断所述网络行为控制指令类型,若网络行为控制指令为通过,则将通过信息发送给APN接入控制设备,若网络行为控制指令为不通过,则将不通过信息发送给APN接入控制设备;
若为APN接入控制设备转发的网络接入请求指令,则检测所述网络接入请求是否为恶意,如果是,则返回给APN接入控制设备不通过信息;否则通过用户控制策略库匹配网络接入请求指令,若匹配到黑名单中,则返回给APN接入控制设备不通过信息;若匹配到白名单或直接放行名单中,则返回给APN接入控制设备通过信息;若匹配到要求用户控制名单中,则返回给APN接入控制设备请求用户控制信息。
所述的方法中,在防火墙客户端上配置APN接入点为接入到APN接入控制设备的地址及访问端口。
所述的方法中,所述的用户会话记录库中包括所有客户端的网络会话记录及对应的URL会话关系。
所述的方法中,所述的用户控制策略库为每个防火墙客户端设备的策略配置信息,所述配置信息中至少包括:客户端ID、会话ID、禁止接入网络的黑名单、允许接入网络的白名单及直接放行名单。
所述的方法中,所述的防火墙服务设备还包括,接收用户使用状态数据查询指令,并通过用户使用管理记录库获取用户使用状态数据,并返回给客户端所在设备。
所述的方法中,防火墙服务设备检测所述网络接入请求是否为恶意具体为:通过恶意URL特征库中的恶意URL特征,判断所述网络接入请求是否包含恶意URL特征,如果是,则返回给APN接入控制设备不通过信息,否则通过恶意网络行为特征库,判断所述网络接入请求是否包含用户敏感信息,如果是,则返回给APN接入控制设备不通过信息,否则通过用户控制策略库匹配网络接入请求指令。
所述的方法中,所述的恶意URL特征至少包括URL域名、URL完整连接或URL规则通配符。
本发明的方法及系统,利用手机系统的网络访问的功能配置策略,手机系统在接入网络时,需要根据运营商提供的不同的网络接入服务来进行不同的APN配置,通过配置不同的APN可以通过不同的方式来使用移动运营商提供的网络接入服务,使手机可以访问互联网上的数据。因此本发明利用了APN的配置特点提供了一种可以适用于所有平台的手机防火墙系统,能够以极低的成本实现手机操作系统的网络行为控制,对移动终端的网络行为发生前,将网络行为获取到APN接入控制设备进行判断和拦截。不需要获得移动终端平台控制权限,即能够实现防火墙的拦截和控制功能。
本发明提供了一种手机防火墙系统及方法,通过在移动终端的防火墙客户端修改移动终端的APN配置,使移动终端的网络接入请求发送到APN接入控制设备,APN接入控制设备将收到的网络访问请求转发给防火墙服务设备,防火墙服务设备对网络访问请求进行相关的检测,并将检测结果返回给APN接入控制设备。如果检测后需要经过用户控制,则用户将网络行为控制指令发送给防火墙,防火墙通知APN接入控制设备对网络接入请求放行或阻止。同时防火墙客户端设备还可以向防火墙服务器发送获取当前状态的信息和数据。通过本发明的方法,能够在不需要获得手机平台权限的情况下,对移动终端进行防火墙设置保护,适用于所有的移动终端平台。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种手机防火墙系统结构示意图;
图2为一种手机防火墙方法中防火墙客户端设备流程图;
图3为一种手机防火墙方法中APN接入控制设备流程图;
图4为一种手机防火墙方法中防火墙服务器设备流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供一种手机防火墙系统及方法,解决了现有技术中无法提权的情况下无法实现防火墙控制的问题,具有更准确的检测效果。
一种手机防火墙系统,如图1所示,包括:
至少一台防火墙客户端设备101,用于向APN接入控制设备发送网络接入请求,并接收APN接入控制设备返回的页面;或当接收到APN接入控制设备返回的用户控制页面后,向防火墙服务设备发送网络行为控制指令;
APN接入控制设备102,包括:通信模块102-1,用于等待网络接入请求;
客户端判断模块102-2,用于判断所述网络接入请求是否是防火墙客户端设备发送的请求,如果不是,则结束接入控制判断,否则将网络接入请求发送到防火墙服务设备,并接收防火墙服务设备返回的处理结果;
页面反馈模块102-3,若处理结果为通过,则转发网络请求到目标服务器,并返回结果页面给客户端所在设备;若处理结果为不通过,则关闭所述网络接入请求,并将不通过详细信息页面返回给客户端所在设备;若处理结果为请求用户控制,则保留所述网络接入请求,并将用户控制页面返回给客户端所在设备;
防火墙服务设备103,包括通信模块103-1,用于接收服务请求指令;
指令判断模块103-2,判断服务请求指令为网络行为控制指令或APN接入控制设备转发的网络接入请求指令;
网络行为控制模块103-3,用于当判断为网络行为控制指令时,通过用户会话记录库确定所述网络行为控制指令所对应的防火墙客户端及URL,判断所述网络行为控制指令类型,若网络行为控制指令为通过,则将通过信息发送给APN接入控制设备,若网络行为控制指令为不通过,则将不通过信息发送给APN接入控制设备;
网络接入请求判断模块103-4,用于当判断为APN接入控制设备转发的网络接入请求指令时,检测所述网络接入请求是否为恶意,如果是,则返回给APN接入控制设备不通过信息;否则通过用户控制策略库匹配网络接入请求指令,若匹配到黑名单中,则返回给APN接入控制设备不通过信息;若匹配到白名单或直接放行名单中,则返回给APN接入控制设备通过信息;若匹配到要求用户控制名单中,则返回给APN接入控制设备请求用户控制信息。
所述的系统中,在防火墙客户端设备上配置APN接入点为接入到APN接入控制设备的地址及访问端口。本步骤的目的在于将手机上所有的网络行为的访问都转发给APN接入控制设备。
所述的系统中,所述的用户会话记录库中包括所有客户端的网络会话记录及对应的URL会话关系。
所述的系统中,所述的用户控制策略库中为每个防火墙客户端设备的策略配置信息,所述配置信息至少包括:客户端ID、会话ID、禁止接入网络的黑名单、允许接入网络的白名单及直接放行名单。
所述的系统中,所述的防火墙服务设备还包括,数据查询模块,用于接收用户使用状态数据查询指令,并通过用户使用管理记录库获取用户使用状态数据,并返回给客户端所在设备。
所述的系统中,防火墙服务设备检测所述网络接入请求是否为恶意具体为:通过恶意URL特征库中的恶意URL特征,判断所述网络接入请求是否包含恶意URL特征,如果是,则返回给APN接入控制设备不通过信息,否则通过恶意网络行为特征库,判断所述网络接入请求是否包含用户敏感信息,如果是,则返回给APN接入控制设备不通过信息,否则通过用户控制策略库匹配网络接入请求指令。
所述的系统中,所述的恶意URL特征至少包括URL域名、URL完整连接或URL规则通配符。
一种手机防火墙方法,包括:
防火墙客户端设备方法流程如图2所示:
S201:向APN接入控制设备发送网络接入请求;
或S202:当接收到APN接入控制设备返回的用户控制页面后,向防火墙服务设备发送网络行为控制指令;
S203:接收APN接入控制设备返回的页面。
APN接入控制设备方法流程图如图3所示:
S301:等待网络接入请求;
S302:判断所述网络接入请求是否是防火墙客户端设备发送的请求,如果不是,则结束接入控制判断,否则执行S303;
S303:将网络接入请求发送到防火墙服务设备,并接收防火墙服务设备返回的处理结果;若处理结果为通过,则执行S304;若处理结果为不通过,则执行S305;若处理结果为请求用户控制,则执行S306;
S304:转发网络请求到目标服务器,并返回结果页面给客户端所在设备;
S305:关闭所述网络接入请求,并将不通过详细信息页面返回给客户端所在设备;
S306:保留所述网络接入请求,并将用户控制页面返回给客户端所在设备。
防火墙服务设备方法流程图如图4所示:
S401:接收服务请求指令;
S402判断服务请求指令为网络行为控制指令或APN接入控制设备转发的网络接入请求指令;
若为网络行为控制指令,则执行S403;若为APN接入控制设备转发的网络接入请求指令,则执行S406;
S403:通过用户会话记录库确定所述网络行为控制指令所对应的防火墙客户端及URL,判断所述网络行为控制指令类型,若网络行为控制指令为通过,则执行S404;若网络行为控制指令为不通过,则执行S405;
S404:将通过信息发送给APN接入控制设备;
S405:将不通过信息发送给APN接入控制设备;
S406:检测所述网络接入请求是否为恶意,如果是,则执行S405;否则执行S407;
S407:通过用户控制策略库匹配网络接入请求指令,若匹配到黑名单中,则执行S405;若匹配到白名单或直接放行名单中,则执行S404;若匹配到要求用户控制名单中,则执行S408;
S408:返回给APN接入控制设备请求用户控制信息。
所述的方法中,在防火墙客户端上配置APN接入点为接入到APN接入控制设备的地址及访问端口。本步骤的目的在于将手机上所有的网络行为的访问都转发给APN接入控制设备。
所述的方法中,所述的用户会话记录库中包括所有客户端的网络会话记录及对应的URL会话关系。
所述的方法中,所述的用户控制策略库中为每个防火墙客户端设备的策略配置信息,所述配置信息至少包括:客户端ID、会话ID、禁止接入网络的黑名单、允许接入网络的白名单及直接放行名单。
所述的方法中,所述的防火墙服务设备还包括,接收用户使用状态数据查询指令,并通过用户使用管理记录库获取用户使用状态数据,并返回给客户端所在设备。
所述的方法中,防火墙服务设备检测所述网络接入请求是否为恶意具体为:通过恶意URL特征库中的恶意URL特征,判断所述网络接入请求是否包含恶意URL特征,如果是,则返回给APN接入控制设备不通过信息,否则通过恶意网络行为特征库,判断所述网络接入请求是否包含用户敏感信息,如果是,则返回给APN接入控制设备不通过信息,否则通过用户控制策略库匹配网络接入请求指令。
对恶意URL特征库举例如下:
其中MalURLDatabase为恶意URL特征库,由MalURL数组组成,malurlsig为恶意URL的特征,maldescription为对该特征的描述。
所述的方法中,所述的恶意URL特征至少包括URL域名、URL完整连接或URL规则通配符。
本发明的方法及系统,利用手机系统的网络访问的功能配置策略,手机系统在接入网络时,需要根据运营商提供的不同的网络接入服务来进行不同的APN配置,通过配置不同的APN可以通过不同的方式来使用移动运营商提供的网络接入服务,使手机可以访问互联网上的数据。因此本发明利用了APN的配置特点提供了一种可以适用于所有平台的手机防火墙系统,能够以极低的成本实现手机操作系统的网络行为控制,对移动终端的网络行为发生前,将网络行为获取到APN接入控制设备进行判断和拦截。
不需要获得移动终端平台控制权限,即能够实现防火墙的拦截和控制功能。
本发明提供了一种手机防火墙系统及方法,通过在移动终端的防火墙客户端修改移动终端的APN配置,使移动终端的网络接入请求发送到APN接入控制设备,APN接入控制设备将收到的网络访问请求转发给防火墙服务设备,防火墙服务设备对网络访问请求进行相关的检测,并将检测结果返回给APN接入控制设备。如果检测后需要经过用户控制,则用户将网络行为控制指令发送给防火墙,防火墙通知APN接入控制设备对网络接入请求放行或阻止。同时防火墙客户端设备还可以向防火墙服务器发送获取当前状态的信息和数据。通过本发明的方法,能够在不需要获得手机平台权限的情况下,对移动终端进行防火墙设置保护,适用于所有的移动终端平台。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (14)
1.一种手机防火墙系统,其特征在于,包括:
至少一台防火墙客户端设备,用于向APN接入控制设备发送网络接入请求,并接收APN接入控制设备返回的页面;或当接收到APN接入控制设备返回的用户控制页面后,向防火墙服务设备发送网络行为控制指令;
APN接入控制设备,包括:通信模块,用于等待网络接入请求;
客户端判断模块,用于判断所述网络接入请求是否是防火墙客户端设备发送的请求,如果不是,则结束接入控制判断,否则将网络接入请求发送到防火墙服务设备,并接收防火墙服务设备返回的处理结果;
页面反馈模块,若处理结果为通过,则转发网络请求到目标服务器,并返回结果页面给客户端所在设备;若处理结果为不通过,则关闭所述网络接入请求,并将不通过详细信息页面返回给客户端所在设备;若处理结果为请求用户控制,则保留所述网络接入请求,并将用户控制页面返回给客户端所在设备;
防火墙服务设备,包括通信模块,用于接收服务请求指令;
指令判断模块,判断服务请求指令为网络行为控制指令或APN接入控制设备转发的网络接入请求指令;
网络行为控制模块,用于当判断为网络行为控制指令时,通过用户会话记录库确定所述网络行为控制指令所对应的防火墙客户端及URL,判断所述网络行为控制指令类型,若网络行为控制指令为通过,则将通过信息发送给APN接入控制设备,若网络行为控制指令为不通过,则将不通过信息发送给APN接入控制设备;
网络接入请求判断模块,用于当判断为APN接入控制设备转发的网络接入请求指令时,检测所述网络接入请求是否为恶意,如果是,则返回给APN接入控制设备不通过信息;否则通过用户控制策略库匹配网络接入请求指令,若匹配到黑名单中,则返回给APN接入控制设备不通过信息;若匹配到白名单或直接放行名单中,则返回给APN接入控制设备通过信息;若匹配到要求用户控制名单中,则返回给APN接入控制设备请求用户控制信息。
2.如权利要求1所述的系统,其特征在于,在防火墙客户端设备上配置APN接入点为接入到APN接入控制设备的地址及访问端口。
3.如权利要求1所述的系统,其特征在于,所述的用户会话记录库中包括所有防火墙客户端设备的网络会话记录及对应的URL会话关系。
4.如权利要求1所述的系统,其特征在于,所述的用户控制策略库为每个防火墙客户端设备的策略配置信息,所述配置信息中至少包括:客户端ID、会话ID、禁止接入网络的黑名单、允许接入网络的白名单及直接放行名单。
5.如权利要求1所述的系统,其特征在于,所述的防火墙服务设备还包括,数据查询模块,用于接收用户使用状态数据查询指令,并通过用户使用管理记录库获取用户使用状态数据,并返回给客户端所在设备。
6.如权利要求1所述的系统,其特征在于,防火墙服务设备检测所述网络接入请求是否为恶意具体为:通过恶意URL特征库中的恶意URL特征,判断所述网络接入请求是否包含恶意URL特征,如果是,则返回给APN接入控制设备不通过信息,否则通过恶意网络行为特征库,判断所述网络接入请求是否包含用户敏感信息,如果是,则返回给APN接入控制设备不通过信息,否则通过用户控制策略库匹配网络接入请求指令。
7.如权利要求6所述的系统,其特征在于,所述的恶意URL特征至少包括URL域名、URL完整连接或URL规则通配符。
8.一种手机防火墙方法,其特征在于,包括:
防火墙客户端设备向APN接入控制设备发送网络接入请求,并接收APN接入控制设备返回的页面;或当接收到APN接入控制设备返回的用户控制页面后,向防火墙服务设备发送网络行为控制指令;
APN接入控制设备等待网络接入请求,并判断所述网络接入请求是否是防火墙客户端设备发送的请求,如果不是,则结束接入控制判断,否则将网络接入请求发送到防火墙服务设备,并接收防火墙服务设备返回的处理结果,返回对应页面到客户端所在设备;若处理结果为通过,则转发网络请求到目标服务器,并返回结果页面给客户端所在设备;若处理结果为不通过,则关闭所述网络接入请求,并将不通过详细信息页面返回给客户端所在设备;若处理结果为请求用户控制,则保留所述网络接入请求,并将用户控制页面返回给客户端所在设备;
防火墙服务设备接收服务请求指令,并判断服务请求指令为网络行为控制指令或APN接入控制设备转发的网络接入请求指令;
若为网络行为控制指令,则通过用户会话记录库确定所述网络行为控制指令所对应的防火墙客户端及URL,判断所述网络行为控制指令类型,若网络行为控制指令为通过,则将通过信息发送给APN接入控制设备,若网络行为控制指令为不通过,则将不通过信息发送给APN接入控制设备;
若为APN接入控制设备转发的网络接入请求指令,则检测所述网络接入请求是否为恶意,如果是,则返回给APN接入控制设备不通过信息;否则通过用户控制策略库匹配网络接入请求指令,若匹配到黑名单中,则返回给APN接入控制设备不通过信息;若匹配到白名单或直接放行名单中,则返回给APN接入控制设备通过信息;若匹配到要求用户控制名单中,则返回给APN接入控制设备请求用户控制信息。
9.如权利要求8所述的方法,其特征在于,在防火墙客户端设备上配置APN接入点为接入到APN接入控制设备的地址及访问端口。
10.如权利要求8所述的方法,其特征在于,所述的用户会话记录库中包括所有防火墙客户端设备的网络会话记录及对应的URL会话关系。
11.如权利要求8所述的方法,其特征在于,所述的用户控制策略库为每个防火墙客户端设备的策略配置信息,所述配置信息中至少包括:客户端ID、会话ID、禁止接入网络的黑名单、允许接入网络的白名单及直接放行名单。
12.如权利要求8所述的方法,其特征在于,所述的防火墙服务设备还包括,接收用户使用状态数据查询指令,并通过用户使用管理记录库获取用户使用状态数据,并返回给客户端所在设备。
13.如权利要求8所述的方法,其特征在于,防火墙服务设备检测所述网络接入请求是否为恶意具体为:通过恶意URL特征库中的恶意URL特征,判断所述网络接入请求是否包含恶意URL特征,如果是,则返回给APN接入控制设备不通过信息,否则通过恶意网络行为特征库,判断所述网络接入请求是否包含用户敏感信息,如果是,则返回给APN接入控制设备不通过信息,否则通过用户控制策略库匹配网络接入请求指令。
14.如权利要求13所述的方法,其特征在于,所述的恶意URL特征至少包括URL域名、URL完整连接或URL规则通配符。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210581118.9A CN103281288B (zh) | 2013-02-05 | 2013-02-05 | 一种手机防火墙系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210581118.9A CN103281288B (zh) | 2013-02-05 | 2013-02-05 | 一种手机防火墙系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103281288A true CN103281288A (zh) | 2013-09-04 |
| CN103281288B CN103281288B (zh) | 2016-01-13 |
Family
ID=49063738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210581118.9A Active CN103281288B (zh) | 2013-02-05 | 2013-02-05 | 一种手机防火墙系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103281288B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795736A (zh) * | 2014-03-10 | 2014-05-14 | 成都达信通通讯设备有限公司 | 针对移动终端不同联网通道的防火墙联网系统 |
| CN104092691A (zh) * | 2014-07-15 | 2014-10-08 | 北京奇虎科技有限公司 | 免root权限的联网防火墙的实现方法及客户端 |
| CN111355740A (zh) * | 2020-03-09 | 2020-06-30 | 云南电网有限责任公司昆明供电局 | 一种快速便捷检测防火墙配置的方法 |
| CN112104661A (zh) * | 2020-09-18 | 2020-12-18 | 北京珞安科技有限责任公司 | 一种工控设备防火墙的动态控制方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007069245A2 (en) * | 2005-12-13 | 2007-06-21 | Yoggie Security Systems Ltd. | System and method for providing network security to mobile devices |
| CN101527721A (zh) * | 2009-04-22 | 2009-09-09 | 中兴通讯股份有限公司 | 一种基于家庭网关的防病毒方法及相关装置 |
| CN101938849A (zh) * | 2010-09-07 | 2011-01-05 | 上海同想文化传播有限公司 | 基于移动通讯技术的高尔夫球车通信系统及其通信方法 |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
-
2013
- 2013-02-05 CN CN201210581118.9A patent/CN103281288B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007069245A2 (en) * | 2005-12-13 | 2007-06-21 | Yoggie Security Systems Ltd. | System and method for providing network security to mobile devices |
| CN101527721A (zh) * | 2009-04-22 | 2009-09-09 | 中兴通讯股份有限公司 | 一种基于家庭网关的防病毒方法及相关装置 |
| CN101938849A (zh) * | 2010-09-07 | 2011-01-05 | 上海同想文化传播有限公司 | 基于移动通讯技术的高尔夫球车通信系统及其通信方法 |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
Non-Patent Citations (2)
| Title |
|---|
| 孙建召: "手机病毒分析与防护", 《电脑知识与技术》, vol. 5, no. 17, 30 June 2009 (2009-06-30) * |
| 毛卿: "APN体系结构及其典型应用", 《郑州铁路职业技术学院学报》, vol. 19, no. 3, 30 September 2007 (2007-09-30) * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795736A (zh) * | 2014-03-10 | 2014-05-14 | 成都达信通通讯设备有限公司 | 针对移动终端不同联网通道的防火墙联网系统 |
| WO2015135314A1 (zh) * | 2014-03-10 | 2015-09-17 | 成都达信通通讯设备有限公司 | 针对移动终端不同联网通道的防火墙联网系统 |
| CN103795736B (zh) * | 2014-03-10 | 2017-04-12 | 成都达信通通讯设备有限公司 | 针对移动终端不同联网通道的防火墙联网系统 |
| CN104092691A (zh) * | 2014-07-15 | 2014-10-08 | 北京奇虎科技有限公司 | 免root权限的联网防火墙的实现方法及客户端 |
| CN111355740A (zh) * | 2020-03-09 | 2020-06-30 | 云南电网有限责任公司昆明供电局 | 一种快速便捷检测防火墙配置的方法 |
| CN112104661A (zh) * | 2020-09-18 | 2020-12-18 | 北京珞安科技有限责任公司 | 一种工控设备防火墙的动态控制方法及系统 |
| CN112104661B (zh) * | 2020-09-18 | 2022-10-21 | 北京珞安科技有限责任公司 | 一种工控设备防火墙的动态控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103281288B (zh) | 2016-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2018536932A (ja) | 動的ハニーポットシステム | |
| CN105988846B (zh) | 页面加载方法及页面加载装置 | |
| US20140214963A1 (en) | Method, server and system for data sharing in social networking service | |
| CN105162768A (zh) | 检测钓鱼Wi-Fi热点的方法及装置 | |
| CN110503433B (zh) | 一种区块链中背书的实现方法、装置、设备和介质 | |
| WO2014012504A1 (en) | Method, device, and mobile terminal for api interception | |
| CN104901925A (zh) | 终端用户身份认证方法、装置、系统及终端设备 | |
| CN105024984A (zh) | 权限设置方法、装置及系统 | |
| CN104168339A (zh) | 防止域名劫持的方法及设备 | |
| CN105550584A (zh) | 一种Android平台下基于RBAC的恶意程序拦截及处置方法 | |
| CN106096450A (zh) | 一种应用程序冻结方法及移动终端 | |
| CN102843440A (zh) | 一种防止媒体访问控制地址漂移的方法及网络处理设备 | |
| CN104735657A (zh) | 安全终端验证方法、无线接入点绑定方法、装置及系统 | |
| CN104636664A (zh) | 基于文档对象模型的跨站脚本攻击漏洞检测方法及装置 | |
| CN103281288B (zh) | 一种手机防火墙系统及方法 | |
| CN110197075A (zh) | 资源访问方法、装置、计算设备以及存储介质 | |
| CN104954233A (zh) | 信息推送方法、装置和系统 | |
| CN204376941U (zh) | 外网中间件、内网中间件和中间件系统 | |
| CN109889468B (zh) | 网络数据的传输方法、系统、装置、设备及存储介质 | |
| CN103634935A (zh) | 基于wps或qss的网络接入方法和装置 | |
| CN103067465B (zh) | 文件分享方法及系统 | |
| CN104391629A (zh) | 定向发送消息的方法、显示消息的方法、服务器及终端 | |
| CN110134529A (zh) | 一种基于浏览器进入容器能力的解决方法 | |
| MX2014009375A (es) | Metodo, dispositivo y equipo para instalar aplicaciones. | |
| CN106681884A (zh) | 一种系统调用的监控方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 430000 Hubei Province, East Lake New Technology Development Zone, software park, No. 1 East Road, software industry, B4, building 4-1, room 12, floor, room 01 Applicant after: Wuhan Antian Information Technology Co., Ltd. Address before: 430000 Hubei Development Zone, East Lake, Optics Valley Venture Street, building 6, building 2, building Applicant before: Wuhan Antian Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |