一種移動終端檢測、回避網絡攻擊的方法

專利名稱：：一種移動終端檢測、回避網絡攻擊的方法
技術領域：
：本發明涉及通信
技術領域：
，尤其涉及一種移動終端檢測、回避網絡攻擊的方法。
背景技術：
：現有的移動終端一般都使用tcp/ip協議來傳輸數據業務,而事實上,移動終端的網絡安全是脆弱的，而且很容易就遭受惡意代碼以及惡意數據包的攻擊，例如當收到網絡上惡意的數據包時候，移動終端會從休眠態被喚醒，從而加重了耗電量，如果持續惡意的攻擊，將使移動終端無法進入休眠態。中國專利申請第CN200910091623.3號公開了一種移動終端防火墻的實現方法及裝置，其主要是利用地理位置信息來智能的確定防火墻策略，其主要針對收到短信或者來電時候進行過濾，其不足之處是無法過濾tcp/ip數據報，因此，亟待尋求一種解決基于tcp/ip協議數據包攻擊的方法。
發明內容本發明的目的在于提供一種移動終端檢測、回避網絡攻擊的方法，使得遭受網絡惡意數據包攻擊時可以實時監測出屬于何種類型攻擊，同時觸發過濾策略并及時提示用戶。本發明的另一目的在于提供一種移動終端檢測、回避網絡攻擊的方法，通過自動斷網或智能斷網等技術回避網絡攻擊，解決了移動終端收到惡意數據包無法進入休眠問題，減低了耗電量。本發明的目的是通過以下技術方案實現的。一種移動終端檢測、回避網絡攻擊的方法，包括以下步驟a:在系統底層建立一個入侵事件檢測模塊并在上層與之對應建立一個入侵事件處理模塊；b:過濾接收的數據包，檢測入侵事件并將入侵信息集傳遞給入侵事件處理模塊；c:入侵事件處理模塊對接收到的入侵信息集進行判斷，作智能斷網或自動斷網處理。優選的,所述步驟b具體包括bl.擴展netfilter內核模塊，按照規則集過濾數據包并觸發入侵事件傳遞；b2.創建守護進程監聽來自步驟bl中的入侵事件；b3.將入侵事件封裝成信息集傳送給入侵事件處理模塊。優選的，所述信息集格式為{攻擊類型，攻擊者ip地址，時間戳}。優選的，所述步驟c中若啟動智能斷網處理，具體包括首先斷開數據業務，假設當前時間點為t，則在t+h時間點進行一次攻擊事件判斷，如果此時仍然沒有攻擊，直接打開數據業務，否則接著斷開t2時間，在t+t2時間點進行判斷；按照如下集合Itptytyt4……tj(、是自然數，單位為毫秒，η為整數)中的時間開始回避直到策略集執行完畢，如果執行完畢仍然攻擊事件還在持續，則取tn間隔反復嘗試直至攻擊事件消失。優選的，所述步驟C中若啟動自動斷網處理，具體包括直接斷開數據連接T時刻(T是自然數，單位為毫秒)，假設當前時間點為t，然后t+T時刻打開數據業務。優選的，所述步驟c還包括當入侵處理模塊收到入侵信息集A時，以對話框或者狀態欄信息提示的方式給用戶提示信息。優選的，所述提示信息為入侵事件信息集所含內容。優選的，步驟bl中，采用iptables來作為觸發netfilter內核擴展模塊的前臺，在擴展模塊中通過netlink來與步驟b2中所述進程通信。本發明與現有技術相比，本發明通過在底層建立一個輕量級的入侵事件檢測模塊，并在上層與之對應建立一個入侵事件處理模塊，對移動終端網絡傳輸的數據包進行過濾，并對遭受的網絡攻擊進行實時檢測分類并依此進行智能斷網或者自動斷網等操作，用以回避惡意攻擊，以達到實時提醒用戶并解決移動終端收到惡意數據包頻繁喚醒問題。同時也可以提高用戶滿意度以及提高網絡防火墻產品的競爭力。圖I為本發明實現方法中的攻擊事件檢測流程圖。圖2為本發明實現方法中的攻擊事件處理流程圖。圖3為本發明移動終端檢測、回避網絡攻擊的方法流程圖。具體實施例方式本發明核心思想通過在底層建立一個輕量級的入侵事件檢測模塊并在上層與之對應建立一個入侵事件處理模塊，入侵事件檢測模塊中利用擴展netfilter模塊，可以實時檢測每次入侵事件，觸發過濾規則集并及時將入侵信息集通知入侵事件處理模塊，以保護用戶移動終端免受攻擊，特別適合移動終端這種資源有限的嵌入式系統。同時，入侵處理模塊采用智能斷網、自動斷網等方法，可以有效的回避網絡攻擊，并減輕移動終端在休眠時候被喚醒的次數。為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，并不用于限定本發明。本實施例中，提供了一種移動終端檢測、回避網絡攻擊的實現方法包括入侵事件檢測以及入侵事件處理兩個子過程請參閱圖1，入侵事件檢測的過程，包括如下步驟101.擴展netfilter內核模塊，按照規則集過濾數據包并觸發入侵事件傳遞。其中采用iptables來作為觸發netfilter內核擴展模塊的前臺，在擴展模塊中通過netlink來和步驟102的用戶空間進程通信。例如過濾的規則集以及入侵事件的觸發采用如下形式iptables-Atcprule-ptcp-mlimit-limit3/s-limit-burst6-jIDS102.創建守護進程監聽來自步驟101中的入侵事件，并將之傳遞到步驟103中。103.將攻擊事件封裝成信息集A{攻擊類型，攻擊者ip地址，時間戳}傳送給事件處理模塊，例如可以通過發送系統廣播的形式發送。請參閱圖2，入侵事件處理的過程，包括如下步驟201.從入侵檢測模塊收到入侵事件信息集A。202.以對話框或者狀態欄提醒的形式給用戶以提示，例如彈出對話框提示用戶攻擊者ip地址在某時間點對您發動某類型的攻擊。203.判斷用戶的設置，如果用戶的設置是智能斷網，則觸發智能斷網功能，如果用戶的設置是自動斷網功能，則觸發自動斷網功能。204.自動斷網，直接斷開數據連接T時刻(T是自然數，單位為毫秒)，假設當前時間點為t，然后t+T時刻打開數據業務。例如T可以采取默認值10000ms。205.啟動智能斷網功能首先斷開數據業務，假設當前時間點為t，則在t+h時間點進行一次攻擊事件判斷，如果此時仍然沒有攻擊，直接打開數據業務，否則接著斷開t2時間，在t+t2時間點進行判斷,依此類推按照如下集合Itptytyt4......tn}(tn是自然數，單位為毫秒，η為整數)中的時間開始回避直到執行完畢，如果執行完畢仍然攻擊事件還在持續，則取tn間隔反復嘗試直至攻擊事件消失。例如，可以采用如下集合{5000ms，10000ms.20000ms,40000ms......}，tn取半小時。請參閱圖3所示,包括步驟301.入侵事件檢測過濾數據包，檢測入侵事件并將攻擊信息集傳遞給入侵事件處理模塊。302.入侵事件處理接收入侵事件檢測模塊傳遞過來的信息，進行判斷處理主要包括智能斷網或自動斷網功能。本發明入侵事件處理模塊采用智能斷網等技術，可以有效的回避網絡攻擊，并減輕移動終端在休眠時候被喚醒的次數。入侵事件檢測模塊可以實時檢測每次入侵事件觸發過濾規則集并及時通知入侵處理模塊提示用戶，以保護用戶移動終端免受攻擊。以上所述僅為本發明的較佳實施例而已，并不用以限制本發明，凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發明的保護范圍之內。權利要求1.一種移動終端檢測、回避網絡攻擊的方法，其特征在于，包括以下步驟a:在系統底層建立一個入侵事件檢測模塊并在上層與之對應建立一個入侵事件處理模塊；b:過濾接收的數據包，檢測入侵事件并將入侵信息集傳遞給入侵事件處理模塊；c:入侵事件處理模塊對接收到的入侵信息集進行判斷，作智能斷網或自動斷網處理。2.如權利要求I所述的移動終端檢測、回避網絡攻擊的方法，其特征在于，所述步驟b具體包括bl.擴展netfilter內核模塊，按照規則集過濾數據包并觸發入侵事件傳遞；b2.創建守護進程監聽來自步驟bl中的入侵事件；b3.將入侵事件封裝成信息集傳送給入侵事件處理模塊。3.如權利要求2所述的移動終端檢測、回避網絡攻擊的方法，其特征在于，所述信息集格式為{攻擊類型，攻擊者ip地址，時間戳}。4.如權利要求3所述的移動終端檢測、回避網絡攻擊的方法，其特征在于，所述步驟c中若啟動智能斷網處理，具體包括首先斷開數據業務，假設當前時間點為t，則在t+h時間點進行一次攻擊事件判斷，如果此時仍然沒有攻擊，直接打開數據業務，否則接著斷開t2時間，在t+t2時間點進行判斷；按照如下集合Itptytyt4……tj(、是自然數，單位為毫秒，η為整數)中的時間開始回避直到策略集執行完畢，如果執行完畢仍然攻擊事件還在持續，則取tn間隔反復嘗試直至攻擊事件消失。5.如權利要求3所述的移動終端檢測、回避網絡攻擊的方法，其特征在于，所述步驟c中若啟動自動斷網處理，具體包括直接斷開數據連接T時刻(T是自然數，單位為毫秒)，假設當前時間點為t，然后t+T時刻打開數據業務。6.如權利要求4或5所述的移動終端檢測、回避網絡攻擊的方法，其特征在于，所述步驟c還包括當入侵處理模塊收到入侵信息集A時，以對話框或者狀態欄信息提示的方式給用戶提示信息。7.如權利要求6所述的移動終端檢測、回避網絡攻擊的方法，其特征在于，所述提示信息為入侵事件信息集所含內容。8.如權利要求2所述的移動終端檢測、回避網絡攻擊的方法，其特征在于，步驟bl中，采用iptables來作為觸發netfilter內核擴展模塊的前臺，在擴展模塊中通過netlink來與步驟b2中所述進程通信。全文摘要本發明提供了一種移動終端檢測、回避網絡攻擊的方法，包括a在系統底層建立一個入侵事件檢測模塊并在上層與之對應建立一個入侵事件處理模塊；b過濾接收的數據包，檢測入侵事件并將入侵信息集傳遞給入侵事件處理模塊；c入侵事件處理模塊對接收到的入侵信息集進行判斷，作智能斷網或自動斷網處理。本發明通過在底層建立一個輕量級的入侵事件檢測模塊，并在上層與之對應建立入侵事件處理模塊，對移動終端網絡傳輸的數據包進行過濾，并對遭受的網絡攻擊進行實時檢測分類并依此進行智能斷網或者自動斷網等操作，用以回避惡意攻擊，以達到實時提醒用戶并解決移動終端收到惡意數據包頻繁喚醒問題，還可提高用戶滿意度及網絡防火墻產品競爭力。文檔編號H04W12/00GK102780691SQ20121016291公開日2012年11月14日申請日期2012年5月24日優先權日2012年5月24日發明者姜順豹,申世安申請人:深圳市中興移動通信有限公司