CN103780457A - 一种基于边界检测的移动智能终端安全检测方法 - Google Patents
一种基于边界检测的移动智能终端安全检测方法 Download PDFInfo
- Publication number
- CN103780457A CN103780457A CN201410001872.XA CN201410001872A CN103780457A CN 103780457 A CN103780457 A CN 103780457A CN 201410001872 A CN201410001872 A CN 201410001872A CN 103780457 A CN103780457 A CN 103780457A
- Authority
- CN
- China
- Prior art keywords
- protocol
- detection
- intelligent terminal
- message
- mobile intelligent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 130
- 238000000034 method Methods 0.000 claims abstract description 100
- 238000004891 communication Methods 0.000 claims abstract description 27
- 230000008569 process Effects 0.000 claims description 80
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 claims description 24
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 claims description 24
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 claims description 24
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 24
- 238000012360 testing method Methods 0.000 claims description 24
- 238000012546 transfer Methods 0.000 claims description 18
- 238000012544 monitoring process Methods 0.000 claims description 11
- 230000006835 compression Effects 0.000 claims description 8
- 238000007906 compression Methods 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 241001269238 Data Species 0.000 claims description 3
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 238000009434 installation Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 13
- 239000003999 initiator Substances 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 3
- 102100036402 DAP3-binding cell death enhancer 1 Human genes 0.000 description 2
- 101000929221 Homo sapiens DAP3-binding cell death enhancer 1 Proteins 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101100285518 Drosophila melanogaster how gene Proteins 0.000 description 1
- 101000617738 Homo sapiens Survival motor neuron protein Proteins 0.000 description 1
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 102100021947 Survival motor neuron protein Human genes 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于边界检测的移动智能终端安全检测方法,包括以下骤:在检测设备上开启软无线接入点,将移动智能终端连接至检测设备,检测设备连接互联网;检测设备从移动智能终端上获取敏感数据并建立敏感数据库;在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用;在检测设备上开启抓包程序,实时捕获网络通信数据包;在检测设备上开启检测程序,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测数据包是否泄露敏感数据库中的敏感数据;将检测结果生成检测报告。本发明实现了针对移动智能终端的敏感数据泄露和基于IP业务层协议的协议符合性的安全检测方法。
Description
技术领域
本发明涉及一种移动智能终端安全检测方法,具体涉及一种基于边界检测的移动智能终端安全检测方法。
背景技术
随着移动通信技术的发展,移动通信网络在不断演进,从1G、2G、3G到LTE,以及现今大量WiFi热点的部署;移动终端也发生了巨大的变化,朝着智能化的方向不断迈进。伴随着终端智能化及网络宽带化的趋势,移动互联网业务层出不穷,日益繁荣。但于此同时,移动终端越来越多的涉及商业秘密和个人隐私等敏感信息。移动终端作为移动互联网时代最主要的载体,面临着严峻的安全挑战。
移动智能终端的用户日益增加,应用市场也涌现出了成千上万的应用程序,随着移动办公、移动支付等的普及,智能移动终端中也存储了用户的办公文件、账号、密码等用户隐私信息。然而窃取隐私的恶意软件层出不穷,同时为了商业利益,越来越多的软件开发商与广告商等合作,在用户未授权的情况下将用户隐私信息提供给第三方。
目前移动智能终端主要的操作系统平台有Android、iOS、WindowsPhone、Symbian等,但各个平台的安全机制差异较大。例如,从API开发层面来说,iOS和Windows Phone平台是封闭的,缺省没有读取通话记录、短信等的API,这保护了用户的隐私;而Android平台是开放的,开发者在使用API时只需进行申明,就可以对一些敏感API进行调用;Symbian接口比较开放,只要申请到对应的能力,就可以做对应的事情。目前应用程序大多通过移动数据、wifi等网络业务将获得的终端用户信息发送到开发商或其他第三方服务器,移动智能终端安全公司的产品主要围绕着隐私保护、杀毒、反骚扰、防扣费等功能展开,现有的隐私泄漏检测方案主要有开发客户端软件,检测已安装应用对终端数据访问情况,或是在虚拟环境下模拟各应用程序操作,监控已标记的隐私数据流向。但上述移动智能终端安全公司的产品的安全检测方法存在以下缺点:
1)、平台兼容性差,即没有一种很好的安全检测方法适用于上述几种主流操作系统平台;
2)、在移动智能终端实施时增加系统资源和时间的消耗,效率低,资源消耗大;
3)、不能向用户直观呈现使用过程中敏感数据泄漏情况。
进一步的检索中,尚未发现针对移动智能终端的敏感数据泄露和基于IP的业务层协议的协议符合性的安全检测方法的文献报道。
发明内容
发明目的:为了克服现有技术中存在的不足,本发明提供一种基于边界检测的移动智能终端安全检测方法,实现了针对移动智能终端的敏感数据泄露和基于IP的业务层协议的协议符合性的安全检测方法,解决了现有安全检测方法平台兼容性差、效率低、资源消耗大以及使用过程中敏感数据泄漏情况不直观的问题。
为解决上述技术问题,本发明采用的技术方案是:
一种基于边界检测的移动智能终端安全检测方法,包括以下步骤:
(1)在检测设备上开启软无线接入点,将移动智能终端连接至检测设备,检测设备连接互联网;
(2)检测设备从移动智能终端上获取敏感数据并建立敏感数据库;
(3)在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用;
(4)在检测设备上开启抓包程序,实时捕获网络通信数据包;所述网络通信数据包包括协议包和数据包,所述协议包主要由基于IP的业务层协议报文构成;所述数据包主要由移动智能终端向外发出的传输数据报文构成,或者经过编码/压缩后的移动智能终端向外发出的传输数据报文构成,或者经过编码压缩后的移动智能终端向外发出的传输数据报文构成;
(5)在检测设备上开启检测程序,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测数据包是否泄露敏感数据库中的敏感数据;
(6)将检测结果生成检测报告。
步骤(4)中,捕获网络通信数据包的过程为,先在检测设备上把网卡设置为混杂模式,通过调用libpcap网络抓包库函数进行循环监听,然后根据设置的监听规则抓取特定报文。
所述基于IP的业务层协议包括HTTP协议、SMTP协议、POP3协议、FTP协议、BT协议和IPSec协议。
步骤(5)中,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符的过程包括HTTP协议一致性检测、SMTP协议一致性检测、POP3协议一致性检测、FTP协议一致性检测、BT协议一致性检测和IPSec协议一致性检测;所述HTTP协议一致性检测过程包括请求行一致性检测、请求头域一致性检测、通用头域一致性检测和实体头域一致性检测,全部通过则认为HTTP协议与标准HTTP协议相符;所述请求行一致性检测过程为,先按照标准格式将HTTP协议请求行分为方法、请求URL和版本信息;然后匹配方法是否在标准规定的方法范围内,匹配请求URL和版本信息是否与标准规范相符,如果方法、请求URL和版本信息全部与标准匹配则检测通过;所述请求头域一致性检测、通用头域一致性检测和实体头域一致性检测过程为,先确定头域类型,根据头域类型获取标准规范,然后标准规范分别与请求头域、通用头域和实体头域进行匹配,如果匹配相符则通过一致性检测;所述SMTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为SMTP协议与标准SMTP协议相符;所述状态机检测过程为,根据SMTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在SMTP服务器所允许的命令范围内,如果在范围内则检测通过;所述POP3协议一致性检测包括状态机检测和命令格式检测,全部通过则认为POP3协议与标准POP3协议相符;所述状态机检测过程为,根据POP3协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在POP3服务器所允许的命令范围内,如果在范围内则检测通过;所述FTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为FTP协议与标准FTP协议相符;所述状态机检测过程为,根据FTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在FTP服务器所允许的命令范围内,如果在范围内则检测通过;所述BT协议一致性检测过程为,根据BT协议获取消息类型和消息长度,根据消息类型和消息长度确定内容是否与标准BT协议相符,如果相符则检测通过;所述IPSec协议一致性检测过程包括IKE密钥交换协议的第一阶段的一致性检测和IKE密钥交换协议的第二阶段的一致性检测,全部通过则认为IPSec协议与标准IPSec协议相符;IKE密钥交换协议规范的主模式交换用于第一阶段,所述主模式交换过程包括6个消息;所述IKE密钥交换协议的第一阶段的一致性检测过程为,检查6个消息报文格式是否符合标准格式,并同时检查第一阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若6个消息报文格式与标准格式一致,且第一阶段交换过程中不出现通知交换报文,则第一阶段一致性检测通过;IKE密钥交换协议规范的快速模式交换用于第二阶段,所述快速模式交换过程包括3个消息;所述IKE密钥交换协议的第二阶段的一致性检测过程为,检查3个消息报文格式是否符合标准格式,并同时检查第二阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若3个消息报文格式与标准格式一致,且第二阶段交换过程中不出现通知交换报文,则第二阶段一致性检测通过。
步骤(5)中,检测数据包是否泄露敏感数据库中的敏感数据的过程为:
1)提取数据包的发送时间、源IP地址、源端口、目的IP地址和目的端口;
2)通过源IP地址判断数据包是否是移动智能终端向外发出,判断数据包中是否承载有效信息,如果都不是则进行下一个数据包的检测,如果都是则转至下一步;
3)解析数据包,获取传输数据报文中的传输数据;
4)采用字符串匹配的方法,将敏感数据库中的敏感数据与传输数据进行匹配,如果传输数据中包含若干个敏感数据或者敏感数据的变换,则敏感数据泄露;
5)记录数据包的信息和匹配到的敏感数据。
所述软无线接入点为通过Hostapd将无线网卡切换为AP/Master模式,通过修改配置文件,建立的一个开放式的无线接入点。
检测设备为一台运行Linux平台并已安装检测工具的PC。
本发明的有益效果:1、本发明在检测设备上开启检测程序,根据网络通信数据包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测网络通信数据包是否泄露敏感数据库中的敏感数据,实现了针对移动智能终端的敏感数据泄露和基于IP的业务层协议的协议符合性的安全检测方法;2、本发明的安全检测方法在检测设备上实施,不受移动智能终端操作系统的影响,具有很好的兼容性,同时也不会消耗移动智能终端的资源,效率高;3、本发明生成的检测报告直观的反映了敏感数据泄露情况。
附图说明
图1为本发明的流程图。
图2为本发明的实物连接图。
图3为SMTP的状态机。
图4为POP3的状态机。
图5为FTP的状态机。
具体实施方式
下面结合附图对本发明作更进一步的说明。
如图1所示,一种基于边界检测的移动智能终端安全检测方法,包括以下步骤:
(1)在检测设备上开启软无线接入点,将移动智能终端连接至检测设备,检测设备连接互联网如图2所示,其中检测设备为一台运行Linux平台并已安装检测工具的PC。
软无线接入点为通过Hostapd将无线网卡切换为AP/Master模式,通过修改配置文件,建立的一个开放式的无线接入点。
(2)检测设备从移动智能终端上获取敏感数据并建立敏感数据库。
(3)在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用;基于IP的业务层协议包括HTTP协议、SMTP协议、POP3协议、FTP协议、BT协议和IPSec协议。
(4)在检测设备上开启抓包程序,实时捕获网络通信数据包;所述网络通信数据包包括协议包和数据包,所述协议包主要由基于IP的业务层协议报文构成;所述数据包主要由移动智能终端向外发出的传输数据报文构成,或者经过编码/压缩后的移动智能终端向外发出的传输数据报文构成,或者经过编码压缩后的移动智能终端向外发出的传输数据报文构成。
捕获网络通信数据包的过程为,先在检测设备上把网卡设置为混杂模式,通过调用libpcap网络抓包库函数进行循环监听,然后根据设置的监听规则抓取特定报文。
Libpcap是一个C语言库,其功能是通过网卡抓取以太网中的网络通信数据包,为不同平台提供了统一的编程接口。
进行循环监听,根据设置的监听规则抓取特定报文,具体步骤如下:
4.1)查找网卡或指定网卡;通过调用libpcap网络抓包库函数pcap_lookupdev选择监听的网卡设备。
4.2)打开监听设备;调用libpcap库函数pcap_open_live,把网卡设置为混杂模式。
4.3)设置监听规则;通过设置libpcap网络抓包库提供的抓包过滤器BPF(BarkleyPacket Filter)来设置抓包条件;调用pcap_compile对抓包过滤器BPF进行编译,变成汇编代码,然后调用pcap_setfilter实施该规则。
设置抓包条件的情况如下:
4.3.1)针对基于IP的业务层协议HTTP、SMTP、POP3、FTP和BT,设置抓包条件具体为TCP报文;
4.3.2)针对基于IP的业务层协议IPSec,设置抓包条件具体为UDP报文,端口为500和4500;
4.3.3)针对敏感数据泄露检测,设置抓包条件具体为TCP报文。
4.4)处理特定分组;调用libpcap库函数pcap_loop,将接收分组数设为-1,表示无限循环。
4.5)设置回调函数(callback);针对移动智能终端在基于IP的业务层的通信协议进行检测,在步骤(5)中设置检测程序的回调函数callback为相应的协议一致性检测函数;针对敏感数据泄露进行检测,在步骤(5)中设置检测程序的回调函数callback为相应的敏感数据泄露检测函数,每次抓到一个符合过滤条件的网络通信数据包就循环调用回调函数进行分析和处理。
4.6)关闭监听;调用libpcap库函数pcap_close,结束监听。
(5)在检测设备上开启检测程序,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测数据包是否泄露敏感数据库中的敏感数据。
根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符的过程包括HTTP协议一致性检测、SMTP协议一致性检测、POP3协议一致性检测、FTP协议一致性检测、BT协议一致性检测和IPSec协议一致性检测。
所述HTTP协议一致性检测过程包括请求行一致性检测、请求头域一致性检测、通用头域一致性检测和实体头域一致性检测,全部通过则认为HTTP协议与标准HTTP协议相符。
所述请求行一致性检测过程为,先按照标准格式将HTTP协议请求行分为方法、请求URL和版本信息;然后匹配方法是否在标准规定的方法范围内,方法范围为“OPTIONS”、“GET”、“HEAD”、“POST”、“PUT”、“DELETE”、“TRACE”、“CONNECT”、extension-method;匹配请求URL和版本信息是否与标准规范相符,如果方法、请求URL和版本信息全部与标准匹配则检测通过。
所述请求头域一致性检测、通用头域一致性检测和实体头域一致性检测过程为,先确定头域类型,根据头域类型获取标准规范,然后标准规范分别与请求头域、通用头域和实体头域进行匹配,如果匹配相符则通过一致性检测。其中头域类型包括“ACCEPT”、“ACCEPT-CHARST”、“ACCEPT-ENCODING”、“ACCEPT-LANGIAGE”、“AUTHORIZATION”、“EXPECT”、“FROM”、“HOST”、“IF-MATCH”、“IF-MODIFIED-SINCE”、“IF-NONE-MATCH”、“IF-RANGE”、“IF-UNMODIFIED-SINCE”、“MAX-FORWARDS”、“PROXY-AUTHORIZATION”、“RANGE”、“REFERER”、“TE”、“USERAGENT”、“CACHE-CONTROL”、“CONNECTION”、“DATE”、“PRAGMA”、“UPGRADE”、“VIA”、“WARNING”。
所述SMTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为SMTP协议与标准SMTP协议相符。
所述状态机检测过程为,根据SMTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过。SMTP的状态机如图3所示,在建立连接后,首先,客户端需要发送HELO/EHLO来向服务器表示已准备就绪,之后发送AUTH LOGIN,然后依次输入账号密码完成登录,之后发送MAIL FROM来确定发件人,RCPT TO确定收件人,DATA为邮件内容,并最终以作为结束符完成发送。
所述命令格式检测过程为,判断命令是否在SMTP服务器所允许的命令范围内,如果在范围内则检测通过。命令范围包括:“EHLO”、“HELO”、“NOOP”、“RSET”、“QUIT”、“AUTH LOGIN”、“MAIL FROM”、“RCPT TO”、“DATA”。
所述POP3协议一致性检测包括状态机检测和命令格式检测,全部通过则认为POP3协议与标准POP3协议相符。
所述状态机检测过程为,根据POP3协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过。POP3的状态机如图4所示,在建立连接后,首先,需要发送USER命令来输入用户名,PASS命令来输入密码,登录成功后,可以执行一系列其他命令以完成对邮件的访问管理等。
所述命令格式检测过程为,判断命令是否在POP3服务器所允许的命令范围内,如果在范围内则检测通过。命令范围包括“USER”、“PASS”、“APOP”、“STAT”、“UIDL”、“LIST”、“RETR”、“DELE”、“RSET”、“TOP”、“NOOP”、“QUIT”。
所述FTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为FTP协议与标准FTP协议相符。
所述状态机检测过程为,根据FTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过。FTP的状态机如图5所示,在建立连接后,首先,需要发送USER命令来输入用户名,PASS命令来输入密码,登录成功后,可以执行一系列其他命令以完成对文件的访问管理等。
所述命令格式检测过程为,判断命令是否在FTP服务器所允许的命令范围内,如果在范围内则检测通过。命令范围包括“HELP”、“NOOP”、“QUIT”、“USER”、“ACCT”、“CWD”、“CDUP”、“SMNT”、“REIN”、“PORT”、“PASV”、“TYPE”、“STRU”、“MODE”、“RETR”、“STOR”、“STOU”、“APPE”、“ALLO”、“REST”、“RNFR”、“RNTO”、“ABOR”、“DELE”、“RMD”、“MKD”、“PWD”、“LIST”、“NLST”、“SITE”、“SYST”、“STAT”。
所述BT协议一致性检测过程由命令格式检测构成,在收到BitTorrent protocol消息后,确定源端口和目标端口,进行检测。根据BT协议获取消息类型和消息长度,根据消息类型和消息长度确定内容是否与标准BT协议相符,如果相符则检测通过。消息类型包括0-choke、1-unchoke、2-interested、3-not interested、4-have、5-bitfield、6-request、7-piece、8-chancel。
所述IPSec协议一致性检测过程包括IKE密钥交换协议的第一阶段的一致性检测和IKE密钥交换协议的第二阶段的一致性检测,全部通过则认为IPSec协议与标准IPSec协议相符;
IKE密钥交换协议规范的主模式交换用于第一阶段,所述主模式交换过程包括6个消息,交换过程如下:
消息1:发起方向响应方发送一个封装有建议载荷的安全联盟载荷,而建议载荷中又封装有变换载荷。
消息2:响应方发送一个安全联盟载荷,该载荷表明它所接受的发起方发送的安全联盟提议。
消息3和4:发起方和响应方交换数据,交换的数据内容包括Nonce、身份表示(ID)、可选的证书等载荷;Nonce是生成加密密钥和认证密钥所必需的参数,ID是发起方或响应方的标识。
消息5和6:发起方和响应方认证前面的交换过程。
所述IKE密钥交换协议的第一阶段的一致性检测过程为,检查6个消息报文格式是否符合标准格式,并同时检查第一阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若6个消息报文格式与标准格式一致,且第一阶段交换过程中不出现通知交换报文,则第一阶段一致性检测通过;具体过程如下:
1)检查消息版本号是否符合标准消息中的规定;
2)检查消息1-6交换类型是否为身份保护交换(主模式);
3)检查标志Flag字段是否符合标准中的规定,即消息1-4中值为0,消息5-6中值为1;
4)检查消息ID字段是否符合标准中的规定,即第一阶段该字段值为0;
5)检查消息1内的安全联盟载荷数和建议载荷数是否符合标准中的规定,即只能包含一个安全联盟载荷和一个建议载荷;
6)检查消息1、2内安全联盟载荷内的解释域DOI字段是否符合标准中的规定,即指定协商所基于的DOI为IPSec(值为1);
7)检查消息1、2内安全联盟载荷内的情形Situation字段是否符合标准中的规定,即表明协商发生时的情形为SIT_IDENTITY_ONLY(值为1);
8)检查消息1、2内建议载荷内的协议ID字段是否符合标准中的规定,即标明协议标识符为ISAKMP的协议标识符(值为1);
9)检查消息1、2内建议载荷内的SPI长度字段是否符合标准中的规定,即第一阶段该长度为0;
10)检查消息1、2内安全联盟属性载荷内是否包含未识别的属性类型;
11)检查消息3、4是否包含对称密钥载荷和Nonce载荷;
12)检查消息5、6是否包含的标识载荷;
13)检查第一阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。
IKE密钥交换协议规范的快速模式交换用于第二阶段,所述快速模式交换过程包括3个消息,交换过程如下:
消息1:发起方向响应方发送一个杂凑载荷、一个安全联盟载荷、一个Nonce载荷和标识载荷。
消息2:响应方向发起方发送一个杂凑载荷、一个安全联盟载荷、一个Nonce载荷和标识载荷。
消息3:发起方向响应方发送一个杂凑载荷,用于对前面的交换进行认证。
所述IKE密钥交换协议的第二阶段的一致性检测过程为,检查3个消息报文格式是否符合标准格式,并同时检查第二阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若3个消息报文格式与标准格式一致,且第二阶段交换过程中不出现通知交换报文,则第二阶段一致性检测通过;具体过程如下:
1)检查消息版本号是否符合标准消息中的规定1.0;
2)检查消息1-3交换类型是否为快速模式;
3)检查标志Flag字段是否符合标准中的规定,即消息1-3中值为1;
4)检查消息ID字段是否符合标准中的规定,即第二阶段该字段值为发起方生成的随机数,且消息1-3中该ID字段值相同;
5)检查消息1-3是否包含的杂凑载荷;
6)检查第二阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。
检测数据包是否泄露敏感数据库中的敏感数据的过程为:
1)提取数据包的发送时间、源IP地址、源端口、目的IP地址和目的端口;
2)通过源IP地址判断数据包是否是移动智能终端向外发出,判断数据包中是否承载有效信息,如果都不是则进行下一个数据包的检测,如果都是则转至下一步;
3)解析数据包,获取传输数据报文中的传输数据;
解析数据包,获取传输数据的具体过程为:
先判断数据包是否经过编码和压缩;
如果经过编码,则先解码,一般采用的是chunk编码,根据chunk编码格式进行chunk解码,将chunk串zhong实际内容提取并串接成传输数据;
如果经过压缩,则先解压缩,一般采用的是gzip压缩方法,进行gzip解压缩,恢复传数据;
如果移动智能终端发出的是HTTP请求报文,则进一步解析HTTP请求报文的构成;HTTP请求报文由请求行、请求头部、空行和请求数据四个部分组成,其中请求头中包含请求方法、URL和HTTP协议版本字段;请求头部由多对关键字/值对组成,典型的有产生请求的浏览器类型,客户端可识别的内容类型和请求的主机名等;请求数据在POST请求方法中使用,包含了客户端上传的数据内容。
4)采用字符串匹配的方法,将敏感数据库中的敏感数据与传输数据进行匹配,如果传输数据中包含若干个敏感数据或者敏感数据的变换,则敏感数据泄露。
在匹配过程中无论是否已经匹配到某敏感数据,都需要将敏感数据库中的每一条数据与传输数据匹配一次,以找出该数据包中泄漏的所有隐私信息。其中对每一条从敏感数据库中读出的敏感数据,除了要对其本身做匹配外,还要对其做字母大小写变换、内容倒序、MD5加密、SHA1加密、base64等变换进行匹配,防止应用程序以这些常见的变换方式处理数据后发送出去导致的漏检情况。在匹配过程中,一旦匹配到某条敏感数据或其变换,则将匹配标志量置1,表示有匹配到敏感数据。
5)记录数据包的信息(发送时间、源IP地址、源端口、目的IP地址和目的端口等)和匹配到的敏感数据。
(6)将检测结果生成检测报告。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种基于边界检测的移动智能终端安全检测方法,其特征在于:包括以下步骤:
(1)在检测设备上开启软无线接入点,将移动智能终端连接至检测设备,检测设备连接互联网;
(2)检测设备从移动智能终端上获取敏感数据并建立敏感数据库;
(3)在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用;
(4)在检测设备上开启抓包程序,实时捕获网络通信数据包;所述网络通信数据包包括协议包和数据包,所述协议包主要由基于IP的业务层协议报文构成;所述数据包主要由移动智能终端向外发出的传输数据报文构成,或者经过编码/压缩后的移动智能终端向外发出的传输数据报文构成,或者经过编码压缩后的移动智能终端向外发出的传输数据报文构成;
(5)在检测设备上开启检测程序,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测数据包是否泄露敏感数据库中的敏感数据;
(6)将检测结果生成检测报告。
2.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:步骤(4)中,捕获网络通信数据包的过程为,先在检测设备上把网卡设置为混杂模式,通过调用libpcap网络抓包库函数进行循环监听,然后根据设置的监听规则抓取特定报文。
3.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:所述基于IP的业务层协议包括HTTP协议、SMTP协议、POP3协议、FTP协议、BT协议和IPSec协议。
4.根据权利要求3所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:步骤(5)中,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符的过程包括HTTP协议一致性检测、SMTP协议一致性检测、POP3协议一致性检测、FTP协议一致性检测、BT协议一致性检测和IPSec协议一致性检测;
所述HTTP协议一致性检测过程包括请求行一致性检测、请求头域一致性检测、通用头域一致性检测和实体头域一致性检测,全部通过则认为HTTP协议与标准HTTP协议相符;
所述请求行一致性检测过程为,先按照标准格式将HTTP协议请求行分为方法、请求URL和版本信息;然后匹配方法是否在标准规定的方法范围内,匹配请求URL和版本信息是否与标准规范相符,如果方法、请求URL和版本信息全部与标准匹配则检测通过;
所述请求头域一致性检测、通用头域一致性检测和实体头域一致性检测过程为,先确定头域类型,根据头域类型获取标准规范,然后标准规范分别与请求头域、通用头域和实体头域进行匹配,如果匹配相符则通过一致性检测;
所述SMTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为SMTP协议与标准SMTP协议相符;
所述状态机检测过程为,根据SMTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在SMTP服务器所允许的命令范围内,如果在范围内则检测通过;
所述POP3协议一致性检测包括状态机检测和命令格式检测,全部通过则认为POP3协议与标准POP3协议相符;
所述状态机检测过程为,根据POP3协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在POP3服务器所允许的命令范围内,如果在范围内则检测通过;
所述FTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为FTP协议与标准FTP协议相符;
所述状态机检测过程为,根据FTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在FTP服务器所允许的命令范围内,如果在范围内则检测通过;
所述BT协议一致性检测过程为,根据BT协议获取消息类型和消息长度,根据消息类型和消息长度确定内容是否与标准BT协议相符,如果相符则检测通过;
所述IPSec协议一致性检测过程包括IKE密钥交换协议的第一阶段的一致性检测和IKE密钥交换协议的第二阶段的一致性检测,全部通过则认为IPSec协议与标准IPSec协议相符;
IKE密钥交换协议规范的主模式交换用于第一阶段,所述主模式交换过程包括6个消息;所述IKE密钥交换协议的第一阶段的一致性检测过程为,检查6个消息报文格式是否符合标准格式,并同时检查第一阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若6个消息报文格式与标准格式一致,且第一阶段交换过程中不出现通知交换报文,则第一阶段一致性检测通过;
IKE密钥交换协议规范的快速模式交换用于第二阶段,所述快速模式交换过程包括3个消息;所述IKE密钥交换协议的第二阶段的一致性检测过程为,检查3个消息报文格式是否符合标准格式,并同时检查第二阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若3个消息报文格式与标准格式一致,且第二阶段交换过程中不出现通知交换报文,则第二阶段一致性检测通过。
5.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:步骤(5)中,检测数据包是否泄露敏感数据库中的敏感数据的过程为:
1)提取数据包的发送时间、源IP地址、源端口、目的IP地址和目的端口;
2)通过源IP地址判断数据包是否是移动智能终端向外发出,判断数据包中是否承载有效信息,如果都不是则进行下一个数据包的检测,如果都是则转至下一步;
3)解析数据包,获取传输数据报文中的传输数据;
4)采用字符串匹配的方法,将敏感数据库中的敏感数据与传输数据进行匹配,如果传输数据中包含若干个敏感数据或者敏感数据的变换,则敏感数据泄露;
5)记录数据包的信息和匹配到的敏感数据。
6.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:所述软无线接入点为通过Hostapd将无线网卡切换为AP/Master模式,通过修改配置文件,建立的一个开放式的无线接入点。
7.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:检测设备为一台运行Linux平台并已安装检测工具的PC。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410001872.XA CN103780457B (zh) | 2014-01-02 | 2014-01-02 | 一种基于边界检测的移动智能终端安全检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410001872.XA CN103780457B (zh) | 2014-01-02 | 2014-01-02 | 一种基于边界检测的移动智能终端安全检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103780457A true CN103780457A (zh) | 2014-05-07 |
| CN103780457B CN103780457B (zh) | 2017-05-03 |
Family
ID=50572320
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410001872.XA Expired - Fee Related CN103780457B (zh) | 2014-01-02 | 2014-01-02 | 一种基于边界检测的移动智能终端安全检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103780457B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973708A (zh) * | 2014-05-26 | 2014-08-06 | 中电长城网际系统应用有限公司 | 一种外泄事件的确定方法和系统 |
| CN104618186A (zh) * | 2015-01-30 | 2015-05-13 | 英华达(上海)科技有限公司 | 后台服务监听方法及系统 |
| CN104899118A (zh) * | 2015-06-26 | 2015-09-09 | 上海斐讯数据通信技术有限公司 | 一种对删除的隐私数据的恢复方法及系统 |
| CN105553979A (zh) * | 2015-12-15 | 2016-05-04 | 国网智能电网研究院 | 一种智能电网中隐私信息的加密发布方法 |
| CN105631346A (zh) * | 2015-12-25 | 2016-06-01 | 深圳市华讯方舟软件技术有限公司 | 一种既安全又方便使用的Spark数据库电子密码锁及其操作方法 |
| CN106572010A (zh) * | 2015-10-12 | 2017-04-19 | 小米科技有限责任公司 | 数据包抓取方法、装置及终端 |
| CN106657151A (zh) * | 2017-02-06 | 2017-05-10 | 杭州迪普科技股份有限公司 | 网站信息泄露防护方法、装置及设备 |
| CN107733834A (zh) * | 2016-08-10 | 2018-02-23 | 中国移动通信集团甘肃有限公司 | 一种数据泄露防护方法及装置 |
| CN108494614A (zh) * | 2018-02-06 | 2018-09-04 | 杭州泰酷科技有限公司 | 一种基于现网数据的http测试方法 |
| CN108737212A (zh) * | 2018-05-18 | 2018-11-02 | 中国人民解放军61062部队科技装备处 | 一种传输协议符合性检测装置、系统及方法 |
| CN108845905A (zh) * | 2018-06-27 | 2018-11-20 | 北京计算机技术及应用研究所 | 一种适用于大系统的通讯协议快速并行测试方法 |
| CN110336920A (zh) * | 2019-07-05 | 2019-10-15 | 中邮建技术有限公司 | 一种基于tcp协议评估移动支付感知的方法 |
| CN111367784A (zh) * | 2018-12-26 | 2020-07-03 | 全球能源互联网研究院有限公司 | 一种iOS移动应用传输层安全测试方法及系统 |
| WO2020210989A1 (zh) * | 2019-04-16 | 2020-10-22 | 深圳市欢太科技有限公司 | 隐私合规检测方法及相关产品 |
| CN112532734A (zh) * | 2020-12-02 | 2021-03-19 | 建信金融科技有限责任公司 | 报文敏感信息检测方法和装置 |
| CN113806715A (zh) * | 2020-06-16 | 2021-12-17 | 上海交通大学 | 嵌入式设备sdk安全性分析方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130031595A1 (en) * | 2011-07-26 | 2013-01-31 | Nevstruev Sergey V | Efficient securing of data on mobile devices |
| CN103368978A (zh) * | 2013-08-02 | 2013-10-23 | 公安部第三研究所 | 实现智能移动终端应用漏洞和通信安全检测的系统及方法 |
| WO2013162556A1 (en) * | 2012-04-26 | 2013-10-31 | Siemens Enterprise Communications Gmbh & Co. Kg | Content security for a mobile communication terminal |
-
2014
- 2014-01-02 CN CN201410001872.XA patent/CN103780457B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130031595A1 (en) * | 2011-07-26 | 2013-01-31 | Nevstruev Sergey V | Efficient securing of data on mobile devices |
| WO2013162556A1 (en) * | 2012-04-26 | 2013-10-31 | Siemens Enterprise Communications Gmbh & Co. Kg | Content security for a mobile communication terminal |
| CN103368978A (zh) * | 2013-08-02 | 2013-10-23 | 公安部第三研究所 | 实现智能移动终端应用漏洞和通信安全检测的系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 周健咏 等: "移动终端安全检测问题研究", 《现代电信科技》 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973708A (zh) * | 2014-05-26 | 2014-08-06 | 中电长城网际系统应用有限公司 | 一种外泄事件的确定方法和系统 |
| CN104618186A (zh) * | 2015-01-30 | 2015-05-13 | 英华达(上海)科技有限公司 | 后台服务监听方法及系统 |
| CN104618186B (zh) * | 2015-01-30 | 2018-06-26 | 英华达(上海)科技有限公司 | 后台服务监听方法及系统 |
| CN104899118A (zh) * | 2015-06-26 | 2015-09-09 | 上海斐讯数据通信技术有限公司 | 一种对删除的隐私数据的恢复方法及系统 |
| CN104899118B (zh) * | 2015-06-26 | 2018-04-27 | 上海斐讯数据通信技术有限公司 | 一种对删除的隐私数据的恢复方法及系统 |
| CN106572010A (zh) * | 2015-10-12 | 2017-04-19 | 小米科技有限责任公司 | 数据包抓取方法、装置及终端 |
| CN105553979A (zh) * | 2015-12-15 | 2016-05-04 | 国网智能电网研究院 | 一种智能电网中隐私信息的加密发布方法 |
| WO2017107530A1 (zh) * | 2015-12-25 | 2017-06-29 | 深圳市华讯方舟软件技术有限公司 | 一种spark数据库电子密码锁及其操作方法 |
| CN105631346A (zh) * | 2015-12-25 | 2016-06-01 | 深圳市华讯方舟软件技术有限公司 | 一种既安全又方便使用的Spark数据库电子密码锁及其操作方法 |
| CN107733834A (zh) * | 2016-08-10 | 2018-02-23 | 中国移动通信集团甘肃有限公司 | 一种数据泄露防护方法及装置 |
| CN106657151A (zh) * | 2017-02-06 | 2017-05-10 | 杭州迪普科技股份有限公司 | 网站信息泄露防护方法、装置及设备 |
| CN108494614A (zh) * | 2018-02-06 | 2018-09-04 | 杭州泰酷科技有限公司 | 一种基于现网数据的http测试方法 |
| CN108737212A (zh) * | 2018-05-18 | 2018-11-02 | 中国人民解放军61062部队科技装备处 | 一种传输协议符合性检测装置、系统及方法 |
| CN108845905A (zh) * | 2018-06-27 | 2018-11-20 | 北京计算机技术及应用研究所 | 一种适用于大系统的通讯协议快速并行测试方法 |
| CN111367784A (zh) * | 2018-12-26 | 2020-07-03 | 全球能源互联网研究院有限公司 | 一种iOS移动应用传输层安全测试方法及系统 |
| WO2020210989A1 (zh) * | 2019-04-16 | 2020-10-22 | 深圳市欢太科技有限公司 | 隐私合规检测方法及相关产品 |
| CN110336920A (zh) * | 2019-07-05 | 2019-10-15 | 中邮建技术有限公司 | 一种基于tcp协议评估移动支付感知的方法 |
| CN113806715A (zh) * | 2020-06-16 | 2021-12-17 | 上海交通大学 | 嵌入式设备sdk安全性分析方法 |
| CN113806715B (zh) * | 2020-06-16 | 2024-04-05 | 上海交通大学 | 嵌入式设备sdk安全性分析方法及系统 |
| CN112532734A (zh) * | 2020-12-02 | 2021-03-19 | 建信金融科技有限责任公司 | 报文敏感信息检测方法和装置 |
| CN112532734B (zh) * | 2020-12-02 | 2023-11-21 | 建信金融科技有限责任公司 | 报文敏感信息检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103780457B (zh) | 2017-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103780457A (zh) | 一种基于边界检测的移动智能终端安全检测方法 | |
| US11516239B2 (en) | System, device, and method of adaptive network protection for managed internet-of-things services | |
| Chatzoglou et al. | Empirical evaluation of attacks against IEEE 802.11 enterprise networks: The AWID3 dataset | |
| US11323884B2 (en) | System, device, and method of detecting, mitigating and isolating a signaling storm | |
| US9456339B1 (en) | Mobile device monitoring and tracking system | |
| CN103368978B (zh) | 实现智能移动终端应用漏洞和通信安全检测的方法 | |
| CN104348811A (zh) | 分布式拒绝服务攻击检测方法及装置 | |
| Van Den Broek et al. | Security testing of GSM implementations | |
| CN107645480B (zh) | 数据监控方法及系统、装置 | |
| CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
| CN104219314A (zh) | 电子设备、远程控制电子设备的方法及系统 | |
| WO2011076984A1 (en) | Apparatus, method and computer-readable storage medium for determining application protocol elements as different types of lawful interception content | |
| CN104507141A (zh) | 客户端接收文件的方法及接收方客户端 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| JP2021521509A (ja) | 電子メールの暗号化添付ファイル無害化システム及びこれを用いた無害化方法 | |
| CN109257338A (zh) | 一种服务器登录二次认证的系统与方法 | |
| Wu et al. | IoT network traffic analysis: Opportunities and challenges for forensic investigators? | |
| Jain et al. | Towards mining latent client identifiers from network traffic | |
| Barbera et al. | Cdroid: Towards a cloud-integrated mobile operating system | |
| WO2016037489A1 (zh) | Rcs垃圾消息的监控方法、装置及系统 | |
| CN104507176A (zh) | 客户端发送文件的方法及发送方客户端 | |
| CN115550074B (zh) | 零信任验证方法、装置、系统及电子设备 | |
| Kurowski | Using a whatsapp vulnerability for profiling individuals | |
| CN112511569A (zh) | 网络资源访问请求的处理方法、系统及计算机设备 | |
| CN103369518A (zh) | 一种通信方法及通信终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170503 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |