一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法���,包括以下驟:在檢測(cè)設(shè)備上開(kāi)啟軟無(wú)線接入點(diǎn),將移動(dòng)智能終端連接至檢測(cè)設(shè)備����,檢測(cè)設(shè)備連接互聯(lián)網(wǎng);檢測(cè)設(shè)備從移動(dòng)智能終端上獲取敏感數(shù)據(jù)并建立敏感數(shù)據(jù)庫(kù)����;在移動(dòng)智能終端上激活基于IP的業(yè)務(wù)層協(xié)議的應(yīng)用以及可觸發(fā)通信數(shù)據(jù)的應(yīng)用�;在檢測(cè)設(shè)備上開(kāi)啟抓包程序����,實(shí)時(shí)捕獲網(wǎng)絡(luò)通信數(shù)據(jù)包;在檢測(cè)設(shè)備上開(kāi)啟檢測(cè)程序�����,根據(jù)協(xié)議包檢測(cè)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議是否與標(biāo)準(zhǔn)協(xié)議相符����,并檢測(cè)數(shù)據(jù)包是否泄露敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù);將檢測(cè)結(jié)果生成檢測(cè)報(bào)告���。本發(fā)明實(shí)現(xiàn)了針對(duì)移動(dòng)智能終端的敏感數(shù)據(jù)泄露和基于IP業(yè)務(wù)層協(xié)議的協(xié)議符合性的安全檢測(cè)方法����。
【專(zhuān)利說(shuō)明】一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種移動(dòng)智能終端安全檢測(cè)方法���,具體涉及一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法����。
【背景技術(shù)】
[0002]隨著移動(dòng)通信技術(shù)的發(fā)展,移動(dòng)通信網(wǎng)絡(luò)在不斷演進(jìn)���,從1G�、2G�、3G到LTE,以及現(xiàn)今大量WiFi熱點(diǎn)的部署�;移動(dòng)終端也發(fā)生了巨大的變化,朝著智能化的方向不斷邁進(jìn)����。伴隨著終端智能化及網(wǎng)絡(luò)寬帶化的趨勢(shì),移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)層出不窮�����,日益繁榮�����。但于此同時(shí)���,移動(dòng)終端越來(lái)越多的涉及商業(yè)秘密和個(gè)人隱私等敏感信息。移動(dòng)終端作為移動(dòng)互聯(lián)網(wǎng)時(shí)代最主要的載體���,面臨著嚴(yán)峻的安全挑戰(zhàn)���。
[0003]移動(dòng)智能終端的用戶(hù)日益增加��,應(yīng)用市場(chǎng)也涌現(xiàn)出了成千上萬(wàn)的應(yīng)用程序��,隨著移動(dòng)辦公��、移動(dòng)支付等的普及�,智能移動(dòng)終端中也存儲(chǔ)了用戶(hù)的辦公文件�����、賬號(hào)���、密碼等用戶(hù)隱私信息�����。然而竊取隱私的惡意軟件層出不窮���,同時(shí)為了商業(yè)利益,越來(lái)越多的軟件開(kāi)發(fā)商與廣告商等合作�,在用戶(hù)未授權(quán)的情況下將用戶(hù)隱私信息提供給第三方���。
[0004]目前移動(dòng)智能終端主要的操作系統(tǒng)平臺(tái)有Android、iOS���、WindowsPhone> Symbian等����,但各個(gè)平臺(tái)的安全機(jī)制差異較大����。例如,從API開(kāi)發(fā)層面來(lái)說(shuō)��,iOS和Windows Phone平臺(tái)是封閉的��,缺省沒(méi)有讀取通話記錄����、短信等的API,這保護(hù)了用戶(hù)的隱私�����;而Android平臺(tái)是開(kāi)放的���,開(kāi)發(fā)者在使用API時(shí)只需進(jìn)行申明�����,就可以對(duì)一些敏感API進(jìn)行調(diào)用��;Symbian接口比較開(kāi)放�����,只要申請(qǐng)到對(duì)應(yīng)的能力����,就可以做對(duì)應(yīng)的事情�����。目前應(yīng)用程序大多通過(guò)移動(dòng)數(shù)據(jù)��、wifi等網(wǎng)絡(luò)業(yè)務(wù)將獲得的終端用戶(hù)信息發(fā)送到開(kāi)發(fā)商或其他第三方服務(wù)器����,移動(dòng)智能終端安全公司的產(chǎn)品主要圍繞著隱私保護(hù)、殺毒����、反騷擾����、防扣費(fèi)等功能展開(kāi)����,現(xiàn)有的隱私泄漏檢測(cè)方案主要有開(kāi)發(fā)客戶(hù)端軟件,檢測(cè)已安裝應(yīng)用對(duì)終端數(shù)據(jù)訪問(wèn)情況����,或是在虛擬環(huán)境下模擬各應(yīng)用程序操作,監(jiān)控已標(biāo)記的隱私數(shù)據(jù)流向���。但上述移動(dòng)智能終端安全公司的產(chǎn)品的安全檢測(cè)方法存在以下缺點(diǎn):
[0005]I)�、平臺(tái)兼容性差�����,即沒(méi)有一種很好的安全檢測(cè)方法適用于上述幾種主流操作系統(tǒng)平臺(tái)���;
[0006]2)��、在移動(dòng)智能終端實(shí)施時(shí)增加系統(tǒng)資源和時(shí)間的消耗���,效率低��,資源消耗大;
[0007]3)����、不能向用戶(hù)直觀呈現(xiàn)使用過(guò)程中敏感數(shù)據(jù)泄漏情況。
[0008]進(jìn)一步的檢索中�,尚未發(fā)現(xiàn)針對(duì)移動(dòng)智能終端的敏感數(shù)據(jù)泄露和基于IP的業(yè)務(wù)層協(xié)議的協(xié)議符合性的安全檢測(cè)方法的文獻(xiàn)報(bào)道。
【發(fā)明內(nèi)容】
[0009]發(fā)明目的:為了克服現(xiàn)有技術(shù)中存在的不足�,本發(fā)明提供一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法,實(shí)現(xiàn)了針對(duì)移動(dòng)智能終端的敏感數(shù)據(jù)泄露和基于IP的業(yè)務(wù)層協(xié)議的協(xié)議符合性的安全檢測(cè)方法���,解決了現(xiàn)有安全檢測(cè)方法平臺(tái)兼容性差��、效率低�、資源消耗大以及使用過(guò)程中敏感數(shù)據(jù)泄漏情況不直觀的問(wèn)題����。[0010]為解決上述技術(shù)問(wèn)題,本發(fā)明采用的技術(shù)方案是:
[0011]一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法�,包括以下步驟:
[0012](I)在檢測(cè)設(shè)備上開(kāi)啟軟無(wú)線接入點(diǎn),將移動(dòng)智能終端連接至檢測(cè)設(shè)備�,檢測(cè)設(shè)備連接互聯(lián)網(wǎng)�;
[0013](2)檢測(cè)設(shè)備從移動(dòng)智能終端上獲取敏感數(shù)據(jù)并建立敏感數(shù)據(jù)庫(kù)��;
[0014](3)在移動(dòng)智能終端上激活基于IP的業(yè)務(wù)層協(xié)議的應(yīng)用以及可觸發(fā)通信數(shù)據(jù)的應(yīng)用�����;
[0015](4)在檢測(cè)設(shè)備上開(kāi)啟抓包程序�,實(shí)時(shí)捕獲網(wǎng)絡(luò)通信數(shù)據(jù)包;所述網(wǎng)絡(luò)通信數(shù)據(jù)包包括協(xié)議包和數(shù)據(jù)包�,所述協(xié)議包主要由基于IP的業(yè)務(wù)層協(xié)議報(bào)文構(gòu)成;所述數(shù)據(jù)包主要由移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成��,或者經(jīng)過(guò)編碼/壓縮后的移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成����,或者經(jīng)過(guò)編碼壓縮后的移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成;
[0016](5)在檢測(cè)設(shè)備上開(kāi)啟檢測(cè)程序����,根據(jù)協(xié)議包檢測(cè)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議是否與標(biāo)準(zhǔn)協(xié)議相符,并檢測(cè)數(shù)據(jù)包是否泄露敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)�����;
[0017](6)將檢測(cè)結(jié)果生成檢測(cè)報(bào)告。
[0018]步驟(4)中����,捕獲網(wǎng)絡(luò)通信數(shù)據(jù)包的過(guò)程為,先在檢測(cè)設(shè)備上把網(wǎng)卡設(shè)置為混雜模式��,通過(guò)調(diào)用Iibpcap網(wǎng)絡(luò)抓包庫(kù)函數(shù)進(jìn)行循環(huán)監(jiān)聽(tīng)���,然后根據(jù)設(shè)置的監(jiān)聽(tīng)規(guī)則抓取特定報(bào)文。
[0019]所述基于IP的業(yè)務(wù)層協(xié)議包括HTTP協(xié)議�����、SMTP協(xié)議���、POP3協(xié)議�����、FTP協(xié)議����、BT協(xié)議和IPSec協(xié)議����。
[0020]步驟(5)中����,根據(jù)協(xié)議包檢測(cè)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議是否與標(biāo)準(zhǔn)協(xié)議相符的過(guò)程包括HTTP協(xié)議一致性檢測(cè)���、SMTP協(xié)議一致性檢測(cè)�、POP3協(xié)議一致性檢測(cè)��、FTP協(xié)議一致性檢測(cè)��、BT協(xié)議一致性檢測(cè)和IPSec協(xié)議一致性檢測(cè)�;所述HTTP協(xié)議一致性檢測(cè)過(guò)程包括請(qǐng)求行一致性檢測(cè)、請(qǐng)求頭域一致性檢測(cè)���、通用頭域一致性檢測(cè)和實(shí)體頭域一致性檢測(cè)��,全部通過(guò)則認(rèn)為HTTP協(xié)議與標(biāo)準(zhǔn)HTTP協(xié)議相符��;所述請(qǐng)求行一致性檢測(cè)過(guò)程為���,先按照標(biāo)準(zhǔn)格式將HTTP協(xié)議請(qǐng)求行分為方法、請(qǐng)求URL和版本信息���;然后匹配方法是否在標(biāo)準(zhǔn)規(guī)定的方法范圍內(nèi)�,匹配請(qǐng)求URL和版本信息是否與標(biāo)準(zhǔn)規(guī)范相符,如果方法��、請(qǐng)求URL和版本信息全部與標(biāo)準(zhǔn)匹配則檢測(cè)通過(guò)��;所述請(qǐng)求頭域一致性檢測(cè)�、通用頭域一致性檢測(cè)和實(shí)體頭域一致性檢測(cè)過(guò)程為,先確定頭域類(lèi)型����,根據(jù)頭域類(lèi)型獲取標(biāo)準(zhǔn)規(guī)范,然后標(biāo)準(zhǔn)規(guī)范分別與請(qǐng)求頭域���、通用頭域和實(shí)體頭域進(jìn)行匹配,如果匹配相符則通過(guò)一致性檢測(cè)��;所述SMTP協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè)�,全部通過(guò)則認(rèn)為SMTP協(xié)議與標(biāo)準(zhǔn)SMTP協(xié)議相符;所述狀態(tài)機(jī)檢測(cè)過(guò)程為��,根據(jù)SMTP協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則����,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi),如果在范圍內(nèi)則檢測(cè)通過(guò);所述命令格式檢測(cè)過(guò)程為�����,判斷命令是否在SMTP服務(wù)器所允許的命令范圍內(nèi)��,如果在范圍內(nèi)則檢測(cè)通過(guò)����;所述POP3協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè),全部通過(guò)則認(rèn)為POP3協(xié)議與標(biāo)準(zhǔn)POP3協(xié)議相符��;所述狀態(tài)機(jī)檢測(cè)過(guò)程為�����,根據(jù)POP3協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則����,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi),如果在范圍內(nèi)則檢測(cè)通過(guò)����;所述命令格式檢測(cè)過(guò)程為,判斷命令是否在POP3服務(wù)器所允許的命令范圍內(nèi)��,如果在范圍內(nèi)則檢測(cè)通過(guò);所述FTP協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè)��,全部通過(guò)則認(rèn)為FTP協(xié)議與標(biāo)準(zhǔn)FTP協(xié)議相符�����;所述狀態(tài)機(jī)檢測(cè)過(guò)程為�����,根據(jù)FTP協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則�,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi),如果在范圍內(nèi)則檢測(cè)通過(guò)�;所述命令格式檢測(cè)過(guò)程為,判斷命令是否在FTP服務(wù)器所允許的命令范圍內(nèi)��,如果在范圍內(nèi)則檢測(cè)通過(guò)�;所述BT協(xié)議一致性檢測(cè)過(guò)程為��,根據(jù)BT協(xié)議獲取消息類(lèi)型和消息長(zhǎng)度��,根據(jù)消息類(lèi)型和消息長(zhǎng)度確定內(nèi)容是否與標(biāo)準(zhǔn)BT協(xié)議相符���,如果相符則檢測(cè)通過(guò)�;所述IPSec協(xié)議一致性檢測(cè)過(guò)程包括IKE密鑰交換協(xié)議的第一階段的一致性檢測(cè)和IKE密鑰交換協(xié)議的第二階段的一致性檢測(cè),全部通過(guò)則認(rèn)為IPSec協(xié)議與標(biāo)準(zhǔn)IPSec協(xié)議相符����;IKE密鑰交換協(xié)議規(guī)范的主模式交換用于第一階段,所述主模式交換過(guò)程包括6個(gè)消息���;所述IKE密鑰交換協(xié)議的第一階段的一致性檢測(cè)過(guò)程為��,檢查6個(gè)消息報(bào)文格式是否符合標(biāo)準(zhǔn)格式��,并同時(shí)檢查第一階段交換過(guò)程中是否出現(xiàn)通知交換報(bào)文�,若有則判斷通知交換的通知消息的狀態(tài)類(lèi)型�。若6個(gè)消息報(bào)文格式與標(biāo)準(zhǔn)格式一致,且第一階段交換過(guò)程中不出現(xiàn)通知交換報(bào)文�����,則第一階段一致性檢測(cè)通過(guò)�;IKE密鑰交換協(xié)議規(guī)范的快速模式交換用于第二階段,所述快速模式交換過(guò)程包括3個(gè)消息�;所述IKE密鑰交換協(xié)議的第二階段的一致性檢測(cè)過(guò)程為,檢查3個(gè)消息報(bào)文格式是否符合標(biāo)準(zhǔn)格式��,并同時(shí)檢查第二階段交換過(guò)程中是否出現(xiàn)通知交換報(bào)文����,若有則判斷通知交換的通知消息的狀態(tài)類(lèi)型�。若3個(gè)消息報(bào)文格式與標(biāo)準(zhǔn)格式一致��,且第二階段交換過(guò)程中不出現(xiàn)通知交換報(bào)文�����,則第二階段一致性檢測(cè)通過(guò)��。
[0021]步驟(5)中���,檢測(cè)數(shù)據(jù)包是否泄露敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的過(guò)程為:
[0022]I)提取數(shù)據(jù)包的發(fā)送時(shí)間�����、源IP地址��、源端口����、目的IP地址和目的端口 ��;
[0023]2)通過(guò)源IP地址判斷數(shù)據(jù)包是否是移動(dòng)智能終端向外發(fā)出�����,判斷數(shù)據(jù)包中是否承載有效信息��,如果都不是則進(jìn)行下一個(gè)數(shù)據(jù)包的檢測(cè)�����,如果都是則轉(zhuǎn)至下一步�;
[0024]3)解析數(shù)據(jù)包,獲取傳輸數(shù)據(jù)報(bào)文中的傳輸數(shù)據(jù)����;
[0025]4)采用字符串匹配的方法,將敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)與傳輸數(shù)據(jù)進(jìn)行匹配�,如果傳輸數(shù)據(jù)中包含若干個(gè)敏感數(shù)據(jù)或者敏感數(shù)據(jù)的變換,則敏感數(shù)據(jù)泄露����;
[0026]5)記錄數(shù)據(jù)包的信息和匹配到的敏感數(shù)據(jù)。
[0027]所述軟無(wú)線接入點(diǎn)為通過(guò)Hostapd將無(wú)線網(wǎng)卡切換為AP/Master模式,通過(guò)修改配置文件�,建立的一個(gè)開(kāi)放式的無(wú)線接入點(diǎn)。
[0028]檢測(cè)設(shè)備為一臺(tái)運(yùn)行Linux平臺(tái)并已安裝檢測(cè)工具的PC����。
[0029]本發(fā)明的有益效果:1��、本發(fā)明在檢測(cè)設(shè)備上開(kāi)啟檢測(cè)程序��,根據(jù)網(wǎng)絡(luò)通信數(shù)據(jù)包檢測(cè)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議是否與標(biāo)準(zhǔn)協(xié)議相符����,并檢測(cè)網(wǎng)絡(luò)通信數(shù)據(jù)包是否泄露敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)�����,實(shí)現(xiàn)了針對(duì)移動(dòng)智能終端的敏感數(shù)據(jù)泄露和基于IP的業(yè)務(wù)層協(xié)議的協(xié)議符合性的安全檢測(cè)方法�����;2�、本發(fā)明的安全檢測(cè)方法在檢測(cè)設(shè)備上實(shí)施,不受移動(dòng)智能終端操作系統(tǒng)的影響����,具有很好的兼容性,同時(shí)也不會(huì)消耗移動(dòng)智能終端的資源���,效率高�����;3�、本發(fā)明生成的檢測(cè)報(bào)告直觀的反映了敏感數(shù)據(jù)泄露情況���。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0030]圖1為本發(fā)明的流程圖�����。
[0031]圖2為本發(fā)明的實(shí)物連接圖�。
[0032]圖3為SMTP的狀態(tài)機(jī)�。
[0033]圖4為POP3的狀態(tài)機(jī)。[0034]圖5為FTP的狀態(tài)機(jī)����。
【具體實(shí)施方式】
[0035]下面結(jié)合附圖對(duì)本發(fā)明作更進(jìn)一步的說(shuō)明。
[0036]如圖1所示��,一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法���,包括以下步驟:
[0037](I)在檢測(cè)設(shè)備上開(kāi)啟軟無(wú)線接入點(diǎn)��,將移動(dòng)智能終端連接至檢測(cè)設(shè)備�,檢測(cè)設(shè)備連接互聯(lián)網(wǎng)如圖2所示,其中檢測(cè)設(shè)備為一臺(tái)運(yùn)行Linux平臺(tái)并已安裝檢測(cè)工具的PC����。
[0038]軟無(wú)線接入點(diǎn)為通過(guò)Hostapd將無(wú)線網(wǎng)卡切換為AP/Master模式,通過(guò)修改配置文件,建立的一個(gè)開(kāi)放式的無(wú)線接入點(diǎn)�。
[0039](2)檢測(cè)設(shè)備從移動(dòng)智能終端上獲取敏感數(shù)據(jù)并建立敏感數(shù)據(jù)庫(kù)。
[0040](3)在移動(dòng)智能終端上激活基于IP的業(yè)務(wù)層協(xié)議的應(yīng)用以及可觸發(fā)通信數(shù)據(jù)的應(yīng)用���;基于IP的業(yè)務(wù)層協(xié)議包括HTTP協(xié)議����、SMTP協(xié)議�、POP3協(xié)議、FTP協(xié)議���、BT協(xié)議和IPSec協(xié)議����。
[0041](4)在檢測(cè)設(shè)備上開(kāi)啟抓包程序�����,實(shí)時(shí)捕獲網(wǎng)絡(luò)通信數(shù)據(jù)包��;所述網(wǎng)絡(luò)通信數(shù)據(jù)包包括協(xié)議包和數(shù)據(jù)包,所述協(xié)議包主要由基于IP的業(yè)務(wù)層協(xié)議報(bào)文構(gòu)成����;所述數(shù)據(jù)包主要由移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成,或者經(jīng)過(guò)編碼/壓縮后的移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成�����,或者經(jīng)過(guò)編碼壓縮后的移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成��。
[0042]捕獲網(wǎng)絡(luò)通信數(shù)據(jù)包的過(guò)程為�,先在檢測(cè)設(shè)備上把網(wǎng)卡設(shè)置為混雜模式��,通過(guò)調(diào)用Iibpcap網(wǎng)絡(luò)抓包庫(kù)函數(shù)進(jìn)行循環(huán)監(jiān)聽(tīng)�,然后根據(jù)設(shè)置的監(jiān)聽(tīng)規(guī)則抓取特定報(bào)文。
[0043]Libpcap是一個(gè)C語(yǔ)言庫(kù)�����,其功能是通過(guò)網(wǎng)卡抓取以太網(wǎng)中的網(wǎng)絡(luò)通信數(shù)據(jù)包���,為不同平臺(tái)提供了統(tǒng)一的編程接口�。
[0044]進(jìn)行循環(huán)監(jiān)聽(tīng)�����,根據(jù)設(shè)置的監(jiān)聽(tīng)規(guī)則抓取特定報(bào)文,具體步驟如下:
[0045]4.1)查找網(wǎng)卡或指定網(wǎng)卡����;通過(guò)調(diào)用Iibpcap網(wǎng)絡(luò)抓包庫(kù)函數(shù)pcap_lookupdev選擇監(jiān)聽(tīng)的網(wǎng)卡設(shè)備。
[0046]4.2)打開(kāi)監(jiān)聽(tīng)設(shè)備��;調(diào)用Iibpcap庫(kù)函數(shù)pcap_open_live,把網(wǎng)卡設(shè)置為混雜模式����。
[0047]4.3)設(shè)置監(jiān)聽(tīng)規(guī)則;通過(guò)設(shè)置Iibpcap網(wǎng)絡(luò)抓包庫(kù)提供的抓包過(guò)濾器BPF(Barkley Packet Filter)來(lái)設(shè)置抓包條件�����;調(diào)用pcap_compile對(duì)抓包過(guò)濾器BPF進(jìn)行編譯�,變成匯編代碼,然后調(diào)用pcap_setfilter實(shí)施該規(guī)則����。
[0048]設(shè)置抓包條件的情況如下:
[0049]4.3.1)針對(duì)基于IP的業(yè)務(wù)層協(xié)議HTTP、SMTP����、POP3��、FTP和BT����,設(shè)置抓包條件具體為T(mén)CP報(bào)文�����;
[0050]4.3.2)針對(duì)基于IP的業(yè)務(wù)層協(xié)議IPSec�����,設(shè)置抓包條件具體為UDP報(bào)文����,端口為500 和 4500 �;
[0051]4.3.3)針對(duì)敏感數(shù)據(jù)泄露檢測(cè),設(shè)置抓包條件具體為T(mén)CP報(bào)文���。
[0052]4.4)處理特定分組���;調(diào)用Iibpcap庫(kù)函數(shù)pcap_loop,將接收分組數(shù)設(shè)為-1,表示無(wú)限循環(huán)。
[0053]4.5)設(shè)置回調(diào)函數(shù)(callback);針對(duì)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議進(jìn)行檢測(cè)����,在步驟(5)中設(shè)置檢測(cè)程序的回調(diào)函數(shù)callback為相應(yīng)的協(xié)議一致性檢測(cè)函數(shù)���;針對(duì)敏感數(shù)據(jù)泄露進(jìn)行檢測(cè),在步驟(5)中設(shè)置檢測(cè)程序的回調(diào)函數(shù)callback為相應(yīng)的敏感數(shù)據(jù)泄露檢測(cè)函數(shù)���,每次抓到一個(gè)符合過(guò)濾條件的網(wǎng)絡(luò)通信數(shù)據(jù)包就循環(huán)調(diào)用回調(diào)函數(shù)進(jìn)行分析和處理���。
[0054]4.6)關(guān)閉監(jiān)聽(tīng);調(diào)用Iibpcap庫(kù)函數(shù)pcap_close,結(jié)束監(jiān)聽(tīng)��。
[0055](5)在檢測(cè)設(shè)備上開(kāi)啟檢測(cè)程序����,根據(jù)協(xié)議包檢測(cè)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議是否與標(biāo)準(zhǔn)協(xié)議相符,并檢測(cè)數(shù)據(jù)包是否泄露敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)��。
[0056]根據(jù)協(xié)議包檢測(cè)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議是否與標(biāo)準(zhǔn)協(xié)議相符的過(guò)程包括HTTP協(xié)議一致性檢測(cè)�、SMTP協(xié)議一致性檢測(cè)、POP3協(xié)議一致性檢測(cè)���、FTP協(xié)議一致性檢測(cè)�����、BT協(xié)議一致性檢測(cè)和IPSec協(xié)議一致性檢測(cè)�。
[0057]所述HTTP協(xié)議一致性檢測(cè)過(guò)程包括請(qǐng)求行一致性檢測(cè)、請(qǐng)求頭域一致性檢測(cè)�、通用頭域一致性檢測(cè)和實(shí)體頭域一致性檢測(cè),全部通過(guò)則認(rèn)為HTTP協(xié)議與標(biāo)準(zhǔn)HTTP協(xié)議相符�。
[0058]所述請(qǐng)求行一致性檢測(cè)過(guò)程為,先按照標(biāo)準(zhǔn)格式將HTTP協(xié)議請(qǐng)求行分為方法���、請(qǐng)求URL和版本信息���;然后匹配方法是否在標(biāo)準(zhǔn)規(guī)定的方法范圍內(nèi),方法范圍為“OPTIONS”���、“GET ”、“HEAD ”��、“POST ”�����、“PUT ”��、“DELETE ”���、“ TRACE ”���、“ CONNECT ”��、extension-method ����;匹配請(qǐng)求URL和版本信息是否與標(biāo)準(zhǔn)規(guī)范相符�,如果方法、請(qǐng)求URL和版本信息全部與標(biāo)準(zhǔn)匹配則檢測(cè)通過(guò)��。
[0059]所述請(qǐng)求頭域一致性檢測(cè)�����、通用頭域一致性檢測(cè)和實(shí)體頭域一致性檢測(cè)過(guò)程為��,先確定頭域類(lèi)型����,根據(jù)頭域類(lèi)型獲取標(biāo)準(zhǔn)規(guī)范,然后標(biāo)準(zhǔn)規(guī)范分別與請(qǐng)求頭域��、通用頭域和實(shí)體頭域進(jìn)行匹配�����,如果匹配相符則通過(guò)一致性檢測(cè)。其中頭域類(lèi)型包括“ACCEPT”�、“ ACCEPT-CHARST”、“ ACCEPT-ENC0DING ”��、“ ACCEPT-LANGIAGE ”��、“ AUTH0RIZATION ”��、“ EXPECT”�、“FROM”、“HOST”�、“IF-MATCH”、“IF-M0DIFIED-SINCE”��、“IF-NONE-MAT“IF-RANGE”��、“IF-UNM0DIFIED_SINCE”��、“MAX-F0RWARDS”��、“PR0XY-AUTH0RIZAT10N”��、“RANGE”��、“REFERER”�����、“ TE ”�����、iiUSERAGENT ”����、“ CACHE-C0NTR0L ”、“ ⑶ NNECT10N”���、“ DATE ”����、“ PRAGMA ”���、“ UPGRADE ”�、“VIA”���、“WARNING”����。
[0060]所述SMTP協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè),全部通過(guò)則認(rèn)為SMTP協(xié)議與標(biāo)準(zhǔn)SMTP協(xié)議相符��。
[0061]所述狀態(tài)機(jī)檢測(cè)過(guò)程為�����,根據(jù)SMTP協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則���,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi)����,如果在范圍內(nèi)則檢測(cè)通過(guò)���。SMTP的狀態(tài)機(jī)如圖3所示���,在建立連接后,首先�����,客戶(hù)端需要發(fā)送HEL0/EHL0來(lái)向服務(wù)器表示已準(zhǔn)備就緒��,之后發(fā)送AUTH LOGIN,然后依次輸入賬號(hào)密碼完成登錄���,之后發(fā)送MAIL FROM來(lái)確定發(fā)件人����,RCPT TO確定收件人��,DATA為郵件內(nèi)容���,并最終以作為結(jié)束符完成發(fā)送��。
[0062]所述命令格式檢測(cè)過(guò)程為����,判斷命令是否在SMTP服務(wù)器所允許的命令范圍內(nèi)�,如果在范圍內(nèi)則檢測(cè)通過(guò)。命令范圍包括:“EHLO”�、“HELO”、“Ν00Ρ ”���、“ RSET ”��、“ QUIT ”�����、“AUTHLOGIN”���、“MAIL FR0M”�����、“RCPT TO”����、“DATA”��。
[0063]所述POP3協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè)�����,全部通過(guò)則認(rèn)為POP3協(xié)議與標(biāo)準(zhǔn)POP3協(xié)議相符��。
[0064]所述狀態(tài)機(jī)檢測(cè)過(guò)程為�,根據(jù)POP3協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi)����,如果在范圍內(nèi)則檢測(cè)通過(guò)��。POP3的狀態(tài)機(jī)如圖4所示,在建立連接后�,首先,需要發(fā)送USER命令來(lái)輸入用戶(hù)名���,PASS命令來(lái)輸入密碼��,登錄成功后���,可以執(zhí)行一系列其他命令以完成對(duì)郵件的訪問(wèn)管理等。
[0065]所述命令格式檢測(cè)過(guò)程為�,判斷命令是否在POP3服務(wù)器所允許的命令范圍內(nèi),如果在范圍內(nèi)則檢測(cè)通過(guò)�����。命令范圍包括“USER”�、“PASS”、“APOP”����、“STAT”��、“UIDL”�、“LIST”���、“ RETR ”�、“DELE ”���、“ RSET ”�����、“ TOP ”���、“Ν00Ρ ”、“ QUIT ”���。
[0066]所述FTP協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè)��,全部通過(guò)則認(rèn)為FTP協(xié)議與標(biāo)準(zhǔn)FTP協(xié)議相符���。
[0067]所述狀態(tài)機(jī)檢測(cè)過(guò)程為,根據(jù)FTP協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則����,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi)����,如果在范圍內(nèi)則檢測(cè)通過(guò)��。FTP的狀態(tài)機(jī)如圖5所示�����,在建立連接后����,首先����,需要發(fā)送USER命令來(lái)輸入用戶(hù)名,PASS命令來(lái)輸入密碼�,登錄成功后,可以執(zhí)行一系列其他命令以完成對(duì)文件的訪問(wèn)管理等����。
[0068]所述命令格式檢測(cè)過(guò)程為,判斷命令是否在FTP服務(wù)器所允許的命令范圍內(nèi)�����,如果在范圍內(nèi)則檢測(cè)通過(guò)。命令范圍包括“HELP”�、“N00P”、“QUIT”��、“USER”�、“ACCT”、“CWD”���、“CDUP”�、“SMNT”�、“REIN”、“PORT”�����、“PASV”����、“TYPE”、“STRU”�、“MODE”、“RETR”����、“STOR”��、“STOU”���、“APPE”、“ALLO”����、“REST”、“ RNFR ”���、“ RNTO ”、“ABOR”����、“DELE”、“RMD”����、“MKD”、“PWD”��、“LIST”����、“ NLST”�����、“SITE ”���、“ SYST”、“ STAT”���。
[0069]所述BT協(xié)議一致性檢測(cè)過(guò)程由命令格式檢測(cè)構(gòu)成,在收到BitTorrent protocol消息后��,確定源端口和目標(biāo)端口���,進(jìn)行檢測(cè)。根據(jù)BT協(xié)議獲取消息類(lèi)型和消息長(zhǎng)度�,根據(jù)消息類(lèi)型和消息長(zhǎng)度確定內(nèi)容是否與標(biāo)準(zhǔn)BT協(xié)議相符,如果相符則檢測(cè)通過(guò)���。消息類(lèi)型包括0—choke���、l-unchoke、2-1nterested、3_not interested�����、4-have����、5_bitfieId、6—request��、7-piece�、8_chancelo
[0070]所述IPSec協(xié)議一致性檢測(cè)過(guò)程包括IKE密鑰交換協(xié)議的第一階段的一致性檢測(cè)和IKE密鑰交換協(xié)議的第二階段的一致性檢測(cè),全部通過(guò)則認(rèn)為IPSec協(xié)議與標(biāo)準(zhǔn)IPSec協(xié)議相符��;
[0071]IKE密鑰交換協(xié)議規(guī)范的主模式交換用于第一階段����,所述主模式交換過(guò)程包括6個(gè)消息�,交換過(guò)程如下:
[0072]消息1:發(fā)起方向響應(yīng)方發(fā)送一個(gè)封裝有建議載荷的安全聯(lián)盟載荷,而建議載荷中又封裝有變換載荷���。
[0073]消息2:響應(yīng)方發(fā)送一個(gè)安全聯(lián)盟載荷,該載荷表明它所接受的發(fā)起方發(fā)送的安全聯(lián)盟提議�。
[0074]消息3和4:發(fā)起方和響應(yīng)方交換數(shù)據(jù)��,交換的數(shù)據(jù)內(nèi)容包括Nonce、身份表示(ID)����、可選的證書(shū)等載荷;Nonce是生成加密密鑰和認(rèn)證密鑰所必需的參數(shù)����,ID是發(fā)起方或響應(yīng)方的標(biāo)識(shí)。
[0075]消息5和6:發(fā)起方和響應(yīng)方認(rèn)證前面的交換過(guò)程���。
[0076]所述IKE密鑰交換協(xié)議的第一階段的一致性檢測(cè)過(guò)程為�,檢查6個(gè)消息報(bào)文格式是否符合標(biāo)準(zhǔn)格式�����,并同時(shí)檢查第一階段交換過(guò)程中是否出現(xiàn)通知交換報(bào)文���,若有則判斷通知交換的通知消息的狀態(tài)類(lèi)型�。若6個(gè)消息報(bào)文格式與標(biāo)準(zhǔn)格式一致�����,且第一階段交換過(guò)程中不出現(xiàn)通知交換報(bào)文�����,則第一階段一致性檢測(cè)通過(guò);具體過(guò)程如下:[0077]I)檢查消息版本號(hào)是否符合標(biāo)準(zhǔn)消息中的規(guī)定�����;
[0078]2)檢查消息1-6交換類(lèi)型是否為身份保護(hù)交換(主模式)����;
[0079]3)檢查標(biāo)志Flag字段是否符合標(biāo)準(zhǔn)中的規(guī)定,即消息1-4中值為0�����,消息5-6中值為I ;
[0080]4)檢查消息ID字段是否符合標(biāo)準(zhǔn)中的規(guī)定��,即第一階段該字段值為O ;
[0081]5)檢查消息I內(nèi)的安全聯(lián)盟載荷數(shù)和建議載荷數(shù)是否符合標(biāo)準(zhǔn)中的規(guī)定����,即只能包含一個(gè)安全聯(lián)盟載荷和一個(gè)建議載荷;
[0082]6)檢查消息1����、2內(nèi)安全聯(lián)盟載荷內(nèi)的解釋域DOI字段是否符合標(biāo)準(zhǔn)中的規(guī)定�,即指定協(xié)商所基于的DOI為IPSec (值為I)��;
[0083]7)檢查消息1��、2內(nèi)安全聯(lián)盟載荷內(nèi)的情形Situation字段是否符合標(biāo)準(zhǔn)中的規(guī)定�����,即表明協(xié)商發(fā)生時(shí)的情形為SIT_IDENTITY_ONLY (值為I)��;
[0084]8)檢查消息1���、2內(nèi)建議載荷內(nèi)的協(xié)議ID字段是否符合標(biāo)準(zhǔn)中的規(guī)定,即標(biāo)明協(xié)議標(biāo)識(shí)符為ISAKMP的協(xié)議標(biāo)識(shí)符(值為I)����;
[0085]9)檢查消息1、2內(nèi)建議載荷內(nèi)的SPI長(zhǎng)度字段是否符合標(biāo)準(zhǔn)中的規(guī)定����,即第一階段該長(zhǎng)度為O ;
[0086]10)檢查消息1、2內(nèi)安全聯(lián)盟屬性載荷內(nèi)是否包含未識(shí)別的屬性類(lèi)型�����;
[0087]11)檢查消息3��、4是否包含對(duì)稱(chēng)密鑰載荷和Nonce載荷;
[0088]12)檢查消息5�����、6是否包含的標(biāo)識(shí)載荷����;
[0089]13)檢查第一階段交換過(guò)程中是否出現(xiàn)通知交換報(bào)文,若有則判斷通知交換的通知消息的狀態(tài)類(lèi)型����。
[0090]IKE密鑰交換協(xié)議規(guī)范的快速模式交換用于第二階段,所述快速模式交換過(guò)程包括3個(gè)消息��,交換過(guò)程如下:
[0091]消息1:發(fā)起方向響應(yīng)方發(fā)送一個(gè)雜湊載荷�、一個(gè)安全聯(lián)盟載荷、一個(gè)Nonce載荷和標(biāo)識(shí)載荷���。
[0092]消息2:響應(yīng)方向發(fā)起方發(fā)送一個(gè)雜湊載荷�、一個(gè)安全聯(lián)盟載荷����、一個(gè)Nonce載荷和標(biāo)識(shí)載荷。
[0093]消息3:發(fā)起方向響應(yīng)方發(fā)送一個(gè)雜湊載荷,用于對(duì)前面的交換進(jìn)行認(rèn)證���。
[0094]所述IKE密鑰交換協(xié)議的第二階段的一致性檢測(cè)過(guò)程為����,檢查3個(gè)消息報(bào)文格式是否符合標(biāo)準(zhǔn)格式�,并同時(shí)檢查第二階段交換過(guò)程中是否出現(xiàn)通知交換報(bào)文,若有則判斷通知交換的通知消息的狀態(tài)類(lèi)型���。若3個(gè)消息報(bào)文格式與標(biāo)準(zhǔn)格式一致�,且第二階段交換過(guò)程中不出現(xiàn)通知交換報(bào)文�����,則第二階段一致性檢測(cè)通過(guò)���;具體過(guò)程如下:
[0095]I)檢查消息版本號(hào)是否符合標(biāo)準(zhǔn)消息中的規(guī)定1.0 ��;
[0096]2)檢查消息1-3交換類(lèi)型是否為快速模式�����;
[0097]3)檢查標(biāo)志Flag字段是否符合標(biāo)準(zhǔn)中的規(guī)定�,即消息1_3中值為I ;
[0098]4)檢查消息ID字段是否符合標(biāo)準(zhǔn)中的規(guī)定����,即第二階段該字段值為發(fā)起方生成的隨機(jī)數(shù)��,且消息1-3中該ID字段值相同����;
[0099]5)檢查消息1-3是否包含的雜湊載荷�����;
[0100]6)檢查第二階段交換過(guò)程中是否出現(xiàn)通知交換報(bào)文�����,若有則判斷通知交換的通知消息的狀態(tài)類(lèi)型�����。[0101]檢測(cè)數(shù)據(jù)包是否泄露敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的過(guò)程為:
[0102]I)提取數(shù)據(jù)包的發(fā)送時(shí)間�����、源IP地址����、源端口�、目的IP地址和目的端口 ����;
[0103]2)通過(guò)源IP地址判斷數(shù)據(jù)包是否是移動(dòng)智能終端向外發(fā)出�����,判斷數(shù)據(jù)包中是否承載有效信息�����,如果都不是則進(jìn)行下一個(gè)數(shù)據(jù)包的檢測(cè)�,如果都是則轉(zhuǎn)至下一步;
[0104]3)解析數(shù)據(jù)包�,獲取傳輸數(shù)據(jù)報(bào)文中的傳輸數(shù)據(jù);
[0105]解析數(shù)據(jù)包�����,獲取傳輸數(shù)據(jù)的具體過(guò)程為:
[0106]先判斷數(shù)據(jù)包是否經(jīng)過(guò)編碼和壓縮�;
[0107]如果經(jīng)過(guò)編碼,則先解碼�����,一般采用的是chunk編碼,根據(jù)chunk編碼格式進(jìn)行chunk解碼����,將chunk串zhong實(shí)際內(nèi)容提取并串接成傳輸數(shù)據(jù);
[0108]如果經(jīng)過(guò)壓縮����,則先解壓縮,一般采用的是gzip壓縮方法����,進(jìn)行g(shù)zip解壓縮,恢復(fù)傳數(shù)據(jù)��;
[0109]如果移動(dòng)智能終端發(fā)出的是HTTP請(qǐng)求報(bào)文����,則進(jìn)一步解析HTTP請(qǐng)求報(bào)文的構(gòu)成;HTTP請(qǐng)求報(bào)文由請(qǐng)求行�、請(qǐng)求頭部、空行和請(qǐng)求數(shù)據(jù)四個(gè)部分組成,其中請(qǐng)求頭中包含請(qǐng)求方法���、URL和HTTP協(xié)議版本字段���;請(qǐng)求頭部由多對(duì)關(guān)鍵字/值對(duì)組成����,典型的有產(chǎn)生請(qǐng)求的瀏覽器類(lèi)型���,客戶(hù)端可識(shí)別的內(nèi)容類(lèi)型和請(qǐng)求的主機(jī)名等�;請(qǐng)求數(shù)據(jù)在POST請(qǐng)求方法中使用�,包含了客戶(hù)端上傳的數(shù)據(jù)內(nèi)容��。
[0110]4)采用字符串匹配的方法��,將敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)與傳輸數(shù)據(jù)進(jìn)行匹配��,如果傳輸數(shù)據(jù)中包含若干個(gè)敏感數(shù)據(jù)或者敏感數(shù)據(jù)的變換�,則敏感數(shù)據(jù)泄露。
[0111]在匹配過(guò)程中無(wú)論是否已經(jīng)匹配到某敏感數(shù)據(jù)�,都需要將敏感數(shù)據(jù)庫(kù)中的每一條數(shù)據(jù)與傳輸數(shù)據(jù)匹配一次,以找出該數(shù)據(jù)包中泄漏的所有隱私信息���。其中對(duì)每一條從敏感數(shù)據(jù)庫(kù)中讀出的敏感數(shù)據(jù)�,除了要對(duì)其本身做匹配外����,還要對(duì)其做字母大小寫(xiě)變換�����、內(nèi)容倒序����、MD5加密�、SHAl加密、base64等變換進(jìn)行匹配��,防止應(yīng)用程序以這些常見(jiàn)的變換方式處理數(shù)據(jù)后發(fā)送出去導(dǎo)致的漏檢情況��。在匹配過(guò)程中�,一旦匹配到某條敏感數(shù)據(jù)或其變換,則將匹配標(biāo)志量置I���,表示有匹配到敏感數(shù)據(jù)��。
[0112]5)記錄數(shù)據(jù)包的信息(發(fā)送時(shí)間����、源IP地址�����、源端口、目的IP地址和目的端口等)和匹配到的敏感數(shù)據(jù)����。
[0113](6)將檢測(cè)結(jié)果生成檢測(cè)報(bào)告。
[0114]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出:對(duì)于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下�,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍�。
【權(quán)利要求】
1.一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法,其特征在于:包括以下步驟: (1)在檢測(cè)設(shè)備上開(kāi)啟軟無(wú)線接入點(diǎn)����,將移動(dòng)智能終端連接至檢測(cè)設(shè)備�,檢測(cè)設(shè)備連接互聯(lián)網(wǎng); (2)檢測(cè)設(shè)備從移動(dòng)智能終端上獲取敏感數(shù)據(jù)并建立敏感數(shù)據(jù)庫(kù)����; (3)在移動(dòng)智能終端上激活基于IP的業(yè)務(wù)層協(xié)議的應(yīng)用以及可觸發(fā)通信數(shù)據(jù)的應(yīng)用; (4)在檢測(cè)設(shè)備上開(kāi)啟抓包程序����,實(shí)時(shí)捕獲網(wǎng)絡(luò)通信數(shù)據(jù)包�����;所述網(wǎng)絡(luò)通信數(shù)據(jù)包包括協(xié)議包和數(shù)據(jù)包,所述協(xié)議包主要由基于IP的業(yè)務(wù)層協(xié)議報(bào)文構(gòu)成�����;所述數(shù)據(jù)包主要由移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成�����,或者經(jīng)過(guò)編碼/壓縮后的移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成�,或者經(jīng)過(guò)編碼壓縮后的移動(dòng)智能終端向外發(fā)出的傳輸數(shù)據(jù)報(bào)文構(gòu)成��; (5)在檢測(cè)設(shè)備上開(kāi)啟檢測(cè)程序�����,根據(jù)協(xié)議包檢測(cè)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議是否與標(biāo)準(zhǔn)協(xié)議相符 ��,并檢測(cè)數(shù)據(jù)包是否泄露敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)��; (6)將檢測(cè)結(jié)果生成檢測(cè)報(bào)告�。
2.根據(jù)權(quán)利要求1所述的一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法,其特征在于:步驟(4)中�����,捕獲網(wǎng)絡(luò)通信數(shù)據(jù)包的過(guò)程為,先在檢測(cè)設(shè)備上把網(wǎng)卡設(shè)置為混雜模式��,通過(guò)調(diào)用Iibpcap網(wǎng)絡(luò)抓包庫(kù)函數(shù)進(jìn)行循環(huán)監(jiān)聽(tīng)����,然后根據(jù)設(shè)置的監(jiān)聽(tīng)規(guī)則抓取特定報(bào)文。
3.根據(jù)權(quán)利要求1所述的一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法�,其特征在于:所述基于IP的業(yè)務(wù)層協(xié)議包括HTTP協(xié)議、SMTP協(xié)議�����、POP3協(xié)議�、FTP協(xié)議、BT協(xié)議和IPSec協(xié)議�����。
4.根據(jù)權(quán)利要求3所述的一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法��,其特征在于:步驟(5)中���,根據(jù)協(xié)議包檢測(cè)移動(dòng)智能終端在基于IP的業(yè)務(wù)層的通信協(xié)議是否與標(biāo)準(zhǔn)協(xié)議相符的過(guò)程包括HTTP協(xié)議一致性檢測(cè)�、SMTP協(xié)議一致性檢測(cè)����、POP3協(xié)議一致性檢測(cè)、FTP協(xié)議一致性檢測(cè)�����、BT協(xié)議一致性檢測(cè)和IPSec協(xié)議一致性檢測(cè)���; 所述HTTP協(xié)議一致性檢測(cè)過(guò)程包括請(qǐng)求行一致性檢測(cè)��、請(qǐng)求頭域一致性檢測(cè)�����、通用頭域一致性檢測(cè)和實(shí)體頭域一致性檢測(cè)����,全部通過(guò)則認(rèn)為HTTP協(xié)議與標(biāo)準(zhǔn)HTTP協(xié)議相符����; 所述請(qǐng)求行一致性檢測(cè)過(guò)程為,先按照標(biāo)準(zhǔn)格式將HTTP協(xié)議請(qǐng)求行分為方法�����、請(qǐng)求URL和版本信息;然后匹配方法是否在標(biāo)準(zhǔn)規(guī)定的方法范圍內(nèi)���,匹配請(qǐng)求URL和版本信息是否與標(biāo)準(zhǔn)規(guī)范相符�,如果方法�����、請(qǐng)求URL和版本信息全部與標(biāo)準(zhǔn)匹配則檢測(cè)通過(guò)�����; 所述請(qǐng)求頭域一致性檢測(cè)����、通用頭域一致性檢測(cè)和實(shí)體頭域一致性檢測(cè)過(guò)程為,先確定頭域類(lèi)型����,根據(jù)頭域類(lèi)型獲取標(biāo)準(zhǔn)規(guī)范�,然后標(biāo)準(zhǔn)規(guī)范分別與請(qǐng)求頭域、通用頭域和實(shí)體頭域進(jìn)行匹配���,如果匹配相符則通過(guò)一致性檢測(cè)��; 所述SMTP協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè)�����,全部通過(guò)則認(rèn)為SMTP協(xié)議與標(biāo)準(zhǔn)SMTP協(xié)議相符��; 所述狀態(tài)機(jī)檢測(cè)過(guò)程為�����,根據(jù)SMTP協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則�,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi),如果在范圍內(nèi)則檢測(cè)通過(guò)����;所述命令格式檢測(cè)過(guò)程為,判斷命令是否在SMTP服務(wù)器所允許的命令范圍內(nèi)��,如果在范圍內(nèi)則檢測(cè)通過(guò)�; 所述POP3協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè),全部通過(guò)則認(rèn)為POP3協(xié)議與標(biāo)準(zhǔn)POP3協(xié)議相符��;所述狀態(tài)機(jī)檢測(cè)過(guò)程為,根據(jù)POP3協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則���,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi)�����,如果在范圍內(nèi)則檢測(cè)通過(guò)�����;所述命令格式檢測(cè)過(guò)程為����,判斷命令是否在POP3服務(wù)器所允許的命令范圍內(nèi)�����,如果在范圍內(nèi)則檢測(cè)通過(guò)�����; 所述FTP協(xié)議一致性檢測(cè)包括狀態(tài)機(jī)檢測(cè)和命令格式檢測(cè)�����,全部通過(guò)則認(rèn)為FTP協(xié)議與標(biāo)準(zhǔn)FTP協(xié)議相符; 所述狀態(tài)機(jī)檢測(cè)過(guò)程為�,根據(jù)FTP協(xié)議的狀態(tài)機(jī)跳轉(zhuǎn)規(guī)則���,判斷接受到的命令是否在跳轉(zhuǎn)規(guī)則范圍內(nèi)�����,如果在范圍內(nèi)則檢測(cè)通過(guò)�;所述命令格式檢測(cè)過(guò)程為�,判斷命令是否在FTP服務(wù)器所允許的命令范圍內(nèi),如果在范圍內(nèi)則檢測(cè)通過(guò)����; 所述BT協(xié)議一致性檢測(cè)過(guò)程為,根據(jù)BT協(xié)議獲取消息類(lèi)型和消息長(zhǎng)度���,根據(jù)消息類(lèi)型和消息長(zhǎng)度確定內(nèi)容是否與標(biāo)準(zhǔn)BT協(xié)議相符�,如果相符則檢測(cè)通過(guò)�����; 所述IPSec協(xié)議一致性檢測(cè)過(guò)程包括IKE密鑰交換協(xié)議的第一階段的一致性檢測(cè)和IKE密鑰交換協(xié)議的第二階段的一致性檢測(cè)�����,全部通過(guò)則認(rèn)為IPSec協(xié)議與標(biāo)準(zhǔn)IPSec協(xié)議相符; IKE密鑰交換協(xié)議規(guī)范的主模式交換用于第一階段��,所述主模式交換過(guò)程包括6個(gè)消息�;所述IKE密鑰交換協(xié)議的第一階段的一致性檢測(cè)過(guò)程為,檢查6個(gè)消息報(bào)文格式是否符合標(biāo)準(zhǔn)格式�����,并同時(shí)檢查第一階段交換過(guò)程中是否出現(xiàn)通知交換報(bào)文����,若有則判斷通知交換的通知消息的狀態(tài)類(lèi)型。若6個(gè)消息報(bào)文格式與標(biāo)準(zhǔn)格式一致����,且第一階段交換過(guò)程中不出現(xiàn)通知交換報(bào)文,則第一階段一致性檢測(cè)通過(guò)���; IKE密鑰交換協(xié)議規(guī)范的快速模式交換用于第二階段���,所述快速模式交換過(guò)程包括3個(gè)消息;所述IKE密鑰交換協(xié)議的第二階段的一致性檢測(cè)過(guò)程為��,檢查3個(gè)消息報(bào)文格式是否符合標(biāo)準(zhǔn)格式,并同時(shí)檢查第二階段交換過(guò)程中是否出現(xiàn)通知交換報(bào)文�����,若有則判斷通知交換的通知消息的狀態(tài)`類(lèi)型��。若3個(gè)消息報(bào)文格式與標(biāo)準(zhǔn)格式一致��,且第二階段交換過(guò)程中不出現(xiàn)通知交換報(bào)文��,則第二階段一致性檢測(cè)通過(guò)��。
5.根據(jù)權(quán)利要求1所述的一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法���,其特征在于:步驟(5)中,檢測(cè)數(shù)據(jù)包是否泄露敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的過(guò)程為: 1)提取數(shù)據(jù)包的發(fā)送時(shí)間��、源IP地址��、源端口�、目的IP地址和目的端口; 2)通過(guò)源IP地址判斷數(shù)據(jù)包是否是移動(dòng)智能終端向外發(fā)出�,判斷數(shù)據(jù)包中是否承載有效信息,如果都不是則進(jìn)行下一個(gè)數(shù)據(jù)包的檢測(cè)���,如果都是則轉(zhuǎn)至下一步�����; 3)解析數(shù)據(jù)包�,獲取傳輸數(shù)據(jù)報(bào)文中的傳輸數(shù)據(jù); 4)采用字符串匹配的方法��,將敏感數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)與傳輸數(shù)據(jù)進(jìn)行匹配�����,如果傳輸數(shù)據(jù)中包含若干個(gè)敏感數(shù)據(jù)或者敏感數(shù)據(jù)的變換�,則敏感數(shù)據(jù)泄露; 5)記錄數(shù)據(jù)包的信息和匹配到的敏感數(shù)據(jù)����。
6.根據(jù)權(quán)利要求1所述的一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法,其特征在于:所述軟無(wú)線接入點(diǎn)為通過(guò)Hostapd將無(wú)線網(wǎng)卡切換為AP/Master模式,通過(guò)修改配置文件����,建立的一個(gè)開(kāi)放式的無(wú)線接入點(diǎn)。
7.根據(jù)權(quán)利要求1所述的一種基于邊界檢測(cè)的移動(dòng)智能終端安全檢測(cè)方法���,其特征在于:檢測(cè)設(shè)備為一臺(tái)運(yùn)行Linux平臺(tái)并已安裝檢測(cè)工具的PC�����。
【文檔編號(hào)】H04L29/08GK103780457SQ201410001872
【公開(kāi)日】2014年5月7日 申請(qǐng)日期:2014年1月2日 優(yōu)先權(quán)日:2014年1月2日
【發(fā)明者】李濤, 胡愛(ài)群, 王濤, 黃夷芯, 高尚, 姜麗麗, 邵辰 申請(qǐng)人:東南大學(xué)