專利名稱:一種基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明數(shù)字家庭技術(shù)領(lǐng)域���,具體涉及一種基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法��。
背景技術(shù):
近年來(lái)���,隨著科學(xué)技術(shù)的發(fā)展,因特網(wǎng)已經(jīng)得到了飛快的發(fā)展��。關(guān)于因特網(wǎng)的安全 性也提出了更高的要求�。隨著我國(guó)三網(wǎng)融合的啟動(dòng)�����,數(shù)字機(jī)頂盒的系統(tǒng)安全和用戶的個(gè)人信息安全也引起 了廣泛的關(guān)注�。信息安全是指信息網(wǎng)絡(luò)的硬件�、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然 的或者惡意的原因而遭到破壞����、更改、泄露�,系統(tǒng)連續(xù)可靠正常地運(yùn)行����,信息服務(wù)不中斷。目 前����,在數(shù)字機(jī)頂盒中的系統(tǒng)安全領(lǐng)域,還很缺乏系統(tǒng)防御的軟件或者平臺(tái)���,缺乏安全防御和 入侵檢測(cè)��。因此���,希望提供一種自動(dòng)檢測(cè)方法�,能夠保護(hù)數(shù)字機(jī)頂盒應(yīng)對(duì)攻擊���。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法��,能夠保護(hù) 機(jī)頂盒��,為數(shù)字機(jī)頂盒的操作系統(tǒng)提供安全的環(huán)境��。本發(fā)明提供的技術(shù)方案如下本發(fā)明提供一種基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法�����,包括入侵保護(hù)平臺(tái)在初始化完成后�����,進(jìn)入等待觸發(fā)狀態(tài)�;如果獲取用戶的指令后���,進(jìn)入防御狀態(tài)�����,如果未收到用戶的指令�����,自動(dòng)開(kāi)啟主動(dòng)防 御���;入侵保護(hù)平臺(tái)對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析���;入侵保護(hù)平臺(tái)進(jìn)行入侵規(guī)則解析;根據(jù)解析結(jié)果��,確定是否為入侵行為���;根據(jù)所述確定結(jié)果進(jìn)行相應(yīng)處理。其中�����,所述對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析是從獲取的網(wǎng)絡(luò)數(shù)據(jù)包中解析出網(wǎng)絡(luò)的各種協(xié) 議�;進(jìn)行網(wǎng)絡(luò)協(xié)議解析是按順序?qū)訉觿冸x協(xié)議頭,按照網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)打包的逆序��, 進(jìn)行解析。其中����,所述進(jìn)行入侵規(guī)則解析具體為預(yù)先把新的入侵加入到規(guī)則庫(kù),然后不斷的更新規(guī)則庫(kù)�;檢測(cè)的時(shí)候,自動(dòng)地進(jìn)行規(guī)則入侵方式的匹配�����,如果匹配一致���,則說(shuō)明是入侵���。其中,所述處理包括通知系統(tǒng)的各個(gè)在內(nèi)存中運(yùn)行的進(jìn)程暫時(shí)性的停止該入侵進(jìn)程的訪問(wèn)�;各進(jìn)程停止與該入侵進(jìn)程的任何的數(shù)據(jù)交換和信息共享,保護(hù)好所有在運(yùn)行進(jìn)程�。
其中,所述處理還包括 對(duì)于內(nèi)存中的靜態(tài)數(shù)據(jù)和硬盤中的任何數(shù)據(jù)�,防止入侵進(jìn)程的任何訪問(wèn),禁止其 對(duì)硬盤的掃描和訪問(wèn)�����,讀寫。上述技術(shù)方案可以看出本發(fā)明提出的自動(dòng)檢測(cè)方法�,通過(guò)為數(shù)字機(jī)頂盒設(shè)置入侵保護(hù)平臺(tái),通過(guò)入侵保 護(hù)平臺(tái)對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析和進(jìn)行入侵規(guī)則解析�����,可以有效的對(duì)入侵行為進(jìn)行檢測(cè)�����,更好 對(duì)機(jī)頂盒進(jìn)行保護(hù)�,使得數(shù)字機(jī)頂盒整體性能更加穩(wěn)定,為數(shù)字機(jī)頂盒的操作系統(tǒng)提供安 全的環(huán)境�����。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地�,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以 根據(jù)這些附圖獲得其它的附圖�����。圖1是本發(fā)明方法的流程示意圖��;圖2是本發(fā)明的平臺(tái)系統(tǒng)結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整地描述�����,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例���?�;?本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。本發(fā)明提供一種基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法,能夠檢測(cè)入侵����,保護(hù)機(jī)頂盒,為 數(shù)字機(jī)頂盒的操作系統(tǒng)提供安全的環(huán)境�。同時(shí),由于入侵?jǐn)?shù)據(jù)檢測(cè)和文件管理檢索的相似性��,本發(fā)明還同時(shí)還提供了用戶 文件管理檢索方法��,使得入侵檢測(cè)的方法同樣也可以用于文件檢索管理�,充分地利用了數(shù) 字機(jī)頂盒的優(yōu)先資源,大大地提高了系統(tǒng)的運(yùn)行效率�。本發(fā)明為機(jī)頂盒設(shè)置一個(gè)入侵保護(hù)平臺(tái),如圖2所示��,該平臺(tái)包括事件產(chǎn)生器�、 事件分析器、事件響應(yīng)器和事件數(shù)據(jù)庫(kù)���。本發(fā)明方法是數(shù)字機(jī)頂盒在開(kāi)機(jī)啟動(dòng)后便開(kāi)始初始化��,然后數(shù)字機(jī)頂盒入侵保護(hù) 平臺(tái)開(kāi)始工作��,監(jiān)聽(tīng)外部事件�,看是否有非法代碼��、數(shù)據(jù)的入侵�����,是否有非法的黑客代碼檢 索用戶的文件或日志等�,同時(shí)默認(rèn)開(kāi)啟系統(tǒng)的主動(dòng)防御功能,實(shí)時(shí)的檢測(cè)�����、跟蹤非法入侵?jǐn)?shù) 據(jù)����,并提出解決方法,從而保障用戶的系統(tǒng)安全和個(gè)人信息安全���。概括而言��,本發(fā)明方法包括以下步驟1)入侵保護(hù)平臺(tái)在初始化完成后�����,進(jìn)入等待觸發(fā)狀態(tài)����;2)如果獲取用戶的指令后,進(jìn)入防御狀態(tài)��,如果未收到用戶的指令�����,自動(dòng)開(kāi)啟主動(dòng) 防御�����;3)入侵保護(hù)平臺(tái)對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析��;4)入侵保護(hù)平臺(tái)進(jìn)行入侵規(guī)則解析����;
5)根據(jù)解析結(jié)果���,確定是否為入侵行為;6)根據(jù)所述確定結(jié)果進(jìn)行相應(yīng)處理����。以下結(jié)合附圖對(duì)本發(fā)明方法進(jìn)行詳細(xì)介紹��。實(shí)施例一�����、入侵檢測(cè)的監(jiān)控?cái)?shù)字機(jī)頂盒開(kāi)機(jī)啟動(dòng)后����,首先是系統(tǒng)初始化,然后隨機(jī)啟動(dòng)入侵保護(hù)平臺(tái)�。保護(hù)平 臺(tái)在隨機(jī)啟動(dòng)后,同時(shí)讓系統(tǒng)對(duì)于用戶的需求做好準(zhǔn)備�����。在保護(hù)平臺(tái)初始化后�,平臺(tái)開(kāi)始保護(hù)數(shù)字機(jī)頂盒,在默認(rèn)情況下選對(duì)數(shù)字機(jī)頂盒 進(jìn)行入侵防御��,此時(shí)保護(hù)平臺(tái)會(huì)監(jiān)控系統(tǒng)日志和審計(jì)記錄,平臺(tái)通過(guò)對(duì)系統(tǒng)日志和審計(jì)記 錄的不斷監(jiān)控和分析來(lái)發(fā)現(xiàn)攻擊�����,這樣平臺(tái)就可以針對(duì)不同的操作��,捕獲應(yīng)用層入侵��,達(dá)到 高準(zhǔn)確率��,同時(shí)具有實(shí)時(shí)性�����,快速性����。同時(shí)在另一方面,平臺(tái)檢測(cè)和監(jiān)控來(lái)源于網(wǎng)絡(luò)上的數(shù) 據(jù)流��。它利用一個(gè)混合模式下的網(wǎng)卡來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流�,提取其特征并 與特征庫(kù)中已知的模式串相比較,從而達(dá)到檢測(cè)的目的�����,這樣就不用去分析,尋找�,判斷該 數(shù)據(jù)流是否為非法入侵,所以大大減少了系統(tǒng)的資源開(kāi)銷���。圖1是本發(fā)明方法的流程示意圖��。本發(fā)明方法的工作流程如下平臺(tái)在初始化完成后,進(jìn)入等待觸發(fā)狀態(tài)�。此時(shí)平臺(tái)創(chuàng)建等待觸發(fā)進(jìn)程,該進(jìn)程負(fù) 責(zé)等待用戶發(fā)出的觸發(fā)指令�,即文件搜索或者入侵檢查、病毒防御等����。如果此時(shí)用戶并沒(méi)有 發(fā)出任何觸發(fā)指令,則平臺(tái)智能地進(jìn)入到系統(tǒng)的默認(rèn)狀態(tài)�,即開(kāi)啟主動(dòng)防御觸發(fā)。在主動(dòng)防御觸發(fā)中���,平臺(tái)檢測(cè)數(shù)據(jù)的來(lái)源是網(wǎng)絡(luò)數(shù)據(jù)包和系統(tǒng)日志��,還有其他異 常捕捉的情況���,以防止非法的數(shù)據(jù)入侵?jǐn)?shù)字機(jī)頂盒操作系統(tǒng)�����。主動(dòng)防御的詳細(xì)過(guò)程如下平臺(tái)首先對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析�����,從獲取的網(wǎng)絡(luò)數(shù)據(jù)包中解析出網(wǎng)絡(luò)的各種協(xié)議�, 由于網(wǎng)絡(luò)協(xié)議是分層協(xié)議�,因此,需要層層剝離協(xié)議頭來(lái)取得最后的效果����。本系統(tǒng)采用了網(wǎng) 絡(luò)協(xié)議分析算法,加快了協(xié)議解析的速度�。網(wǎng)絡(luò)協(xié)議解析順序如下以太網(wǎng)協(xié)議解析,ARp 協(xié)議解析�,IP協(xié)議解析,RARP協(xié)議解析�,ICMP協(xié)議解析,TCP協(xié)議解析��,UDP協(xié)議解析�����,HTTP 協(xié)議解析,通過(guò)這樣分層地����,按照網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)打包的逆序,即自下而上的順序來(lái)解析網(wǎng) 絡(luò)協(xié)議�����,大大地提高了解析的速度���。接著是入侵規(guī)則解析,規(guī)則解析也就是把入侵的方式從文件中解析出來(lái)�����,這個(gè)過(guò) 程就是規(guī)則解析���,因?yàn)槿肭值姆绞蕉喾N多樣����,并且還在不斷變換之中���,所以不可能把所有的 入侵規(guī)則都固化在程序里���,因此采用了入侵規(guī)則解析����。本發(fā)明方法的規(guī)則解析就是把新的入侵加入到規(guī)則庫(kù)��,然后不斷的更新和豐富在 規(guī)則庫(kù)�����,而在入侵檢測(cè)的時(shí)候�,則可以讀取文件,自動(dòng)將規(guī)則添加到內(nèi)存之中���,在檢測(cè)的時(shí) 候�,就可以自動(dòng)地實(shí)現(xiàn)了規(guī)則入侵方式的匹配���,如果匹配一致���,則說(shuō)明是入侵?jǐn)?shù)據(jù),且其入 侵手法都已經(jīng)明確�����,所以根據(jù)這個(gè)特點(diǎn)就可以到數(shù)據(jù)庫(kù)備份里面尋找相應(yīng)的入侵解決方 法,而不需要進(jìn)行全盤的掃描����,進(jìn)行病毒的清除,從而大大的減少了系統(tǒng)的開(kāi)銷����。然后是入侵檢測(cè)的處理過(guò)程,其詳細(xì)過(guò)程如下當(dāng)平臺(tái)在進(jìn)行網(wǎng)絡(luò)協(xié)議解析之后�,如果發(fā)現(xiàn)新的可疑數(shù)據(jù),則在內(nèi)存中將它進(jìn)行 暫時(shí)性的隔離�����,然后將其動(dòng)作行為與數(shù)據(jù)庫(kù)中的既定義的入侵行為相比較����,進(jìn)行動(dòng)態(tài)的匹 配����,最終判斷該操作是否為非法的入侵行為,根據(jù)判斷結(jié)果����,發(fā)出下一步的指令�。 如果是入侵判斷結(jié)果是入侵行為��,則發(fā)出相應(yīng)的響應(yīng)�,進(jìn)行相應(yīng)處理。
平臺(tái)通知系統(tǒng)的各個(gè)在內(nèi)存中運(yùn)行的進(jìn)程暫時(shí)性的停止該入侵進(jìn)程的訪問(wèn)��,各進(jìn) 程停止與該入侵進(jìn)程的任何的數(shù)據(jù)交換和信息共享����,保護(hù)好所有在運(yùn)行進(jìn)程。同時(shí)�����,對(duì)于內(nèi) 存中的靜態(tài)數(shù)據(jù)和硬盤中的任何數(shù)據(jù)�,堅(jiān)決防止該入侵進(jìn)程的任何訪問(wèn),禁止其對(duì)硬盤的 掃描和訪問(wèn)����,讀寫。然后�����,進(jìn)行處理工作。進(jìn)行處理工作時(shí)����,發(fā)出全局警告,配合入侵檢測(cè)系統(tǒng)一起工作�,關(guān)閉端口,關(guān)閉應(yīng) 用程序���,將該入侵?jǐn)?shù)據(jù)進(jìn)行封殺�,即把它進(jìn)行規(guī)則處理��,按照數(shù)據(jù)庫(kù)的原有原則對(duì)它進(jìn)行數(shù) 據(jù)包頭的處理�����,把他加入到數(shù)據(jù)庫(kù)中�,同時(shí)數(shù)據(jù)庫(kù)的預(yù)處理智能部分進(jìn)行自適應(yīng)的學(xué)習(xí),豐 富規(guī)則數(shù)據(jù)庫(kù)��。
另外一方面���,平臺(tái)通過(guò)判斷,解析����,自適應(yīng)學(xué)習(xí)����,定義該入侵?jǐn)?shù)據(jù)的處理方式�,然后 加載到數(shù)據(jù)庫(kù)備份中,同時(shí)在數(shù)據(jù)庫(kù)中對(duì)該入侵檢測(cè)的判斷方法��,處理流程��,處理動(dòng)作�,處 理結(jié)果進(jìn)行語(yǔ)義相關(guān)處理,使得它們都連接起來(lái)�����,方便及時(shí)索弓I��,提高入侵檢測(cè)方案系統(tǒng)的 實(shí)時(shí)性和高可靠的響應(yīng)性�。綜上所述,隨著技術(shù)和用戶需求的發(fā)展��,數(shù)字機(jī)頂盒需要和可用的數(shù)字業(yè)務(wù)越來(lái) 越大�����,這間接地需要加強(qiáng)數(shù)字機(jī)頂盒系統(tǒng)安全和用戶的個(gè)人信息安全。數(shù)字機(jī)頂盒有了數(shù) 據(jù)入侵檢測(cè)方法就可以安全地防御數(shù)字機(jī)頂盒系統(tǒng)和用戶的個(gè)人信息安全����,從而開(kāi)業(yè)間接 促進(jìn)數(shù)字機(jī)頂盒各種業(yè)務(wù)的發(fā)展,這有助于數(shù)字電視的發(fā)展��,有助于三網(wǎng)融合的進(jìn)程的推 進(jìn)�����。上述技術(shù)方案可以看出����,本發(fā)明提出的自動(dòng)檢測(cè)方法,通過(guò)為數(shù)字機(jī)頂盒設(shè)置入 侵保護(hù)平臺(tái)�����,通過(guò)入侵保護(hù)平臺(tái)對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析和進(jìn)行入侵規(guī)則解析�,可以有效的對(duì) 入侵行為進(jìn)行檢測(cè),更好對(duì)機(jī)頂盒進(jìn)行保護(hù)�����,使得數(shù)字機(jī)頂盒整體性能更加穩(wěn)定,為數(shù)字機(jī) 頂盒的操作系統(tǒng)提供安全的環(huán)境��。以上對(duì)本發(fā)明實(shí)施例所提供的一種基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法�,進(jìn)行了詳細(xì) 介紹���,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述�,以上實(shí)施例的說(shuō)明 只是用于幫助理解本發(fā)明的方法及其核心思想��;同時(shí)����,對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本 發(fā)明的思想�����,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處����,綜上所述,本說(shuō)明書內(nèi)容不應(yīng) 理解為對(duì)本發(fā)明的限制�����。
權(quán)利要求
1.一種基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法,其特征在于��,包括 入侵保護(hù)平臺(tái)在初始化完成后���,進(jìn)入等待觸發(fā)狀態(tài)�����;如果獲取用戶的指令后�,進(jìn)入防御狀態(tài)����,如果未收到用戶的指令,自動(dòng)開(kāi)啟主動(dòng)防御�����; 入侵保護(hù)平臺(tái)對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析�����; 入侵保護(hù)平臺(tái)進(jìn)行入侵規(guī)則解析����; 根據(jù)解析結(jié)果����,確定是否為入侵行為�����; 根據(jù)所述確定結(jié)果進(jìn)行相應(yīng)處理�。
2.根據(jù)權(quán)利要求1所述的基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法��,其特征在于 所述對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析是從獲取的網(wǎng)絡(luò)數(shù)據(jù)包中解析出網(wǎng)絡(luò)的各種協(xié)議��;進(jìn)行網(wǎng)絡(luò)協(xié)議解析是按順序?qū)訉觿冸x協(xié)議頭���,按照網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)打包的逆序��,進(jìn)行 解析�����。
3.根據(jù)權(quán)利要求1所述的基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法�����,其特征在于 所述進(jìn)行入侵規(guī)則解析具體為預(yù)先把新的入侵加入到規(guī)則庫(kù)�,然后不斷的更新規(guī)則庫(kù);檢測(cè)的時(shí)候��,自動(dòng)地進(jìn)行規(guī)則入侵方式的匹配�,如果匹配一致,則說(shuō)明是入侵�。
4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法,其特征在于 所述處理包括通知系統(tǒng)的各個(gè)在內(nèi)存中運(yùn)行的進(jìn)程暫時(shí)性的停止該入侵進(jìn)程的訪問(wèn)���; 各進(jìn)程停止與該入侵進(jìn)程的任何的數(shù)據(jù)交換和信息共享���,保護(hù)好所有在運(yùn)行進(jìn)程。
5.根據(jù)權(quán)利要求4所述的基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法�,其特征在于 所述處理還包括對(duì)于內(nèi)存中的靜態(tài)數(shù)據(jù)和硬盤中的任何數(shù)據(jù),防止入侵進(jìn)程的任何訪問(wèn)�,禁止其對(duì)硬 盤的掃描和訪問(wèn),讀寫�����。
全文摘要
本發(fā)明公開(kāi)一種基于數(shù)字機(jī)頂盒的自動(dòng)檢測(cè)方法����。該方法包括入侵保護(hù)平臺(tái)在初始化完成后,進(jìn)入等待觸發(fā)狀態(tài)�����;如果獲取用戶的指令后,進(jìn)入防御狀態(tài)�,如果未收到用戶的指令,自動(dòng)開(kāi)啟主動(dòng)防御�;入侵保護(hù)平臺(tái)對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行解析;入侵保護(hù)平臺(tái)進(jìn)行入侵規(guī)則解析��;根據(jù)解析結(jié)果��,確定是否為入侵行為�;根據(jù)所述確定結(jié)果進(jìn)行相應(yīng)處理���。本發(fā)明技術(shù)方案可以有效的對(duì)入侵行為進(jìn)行檢測(cè)���,更好對(duì)機(jī)頂盒進(jìn)行保護(hù),使得數(shù)字機(jī)頂盒整體性能更加穩(wěn)定����,為數(shù)字機(jī)頂盒的操作系統(tǒng)提供安全的環(huán)境。
文檔編號(hào)H04L12/24GK102111399SQ20101056979
公開(kāi)日2011年6月29日 申請(qǐng)日期2010年11月30日 優(yōu)先權(quán)日2010年11月30日
發(fā)明者李俊, 李波, 羅笑南, 莫肇鑾, 韓冠亞 申請(qǐng)人:中山大學(xué), 廣東星海數(shù)字家庭產(chǎn)業(yè)技術(shù)研究院有限公司