一种基于边界检测的移动智能终端安全检测方法

文档序号:7794383阅读:392来源:国知局
一种基于边界检测的移动智能终端安全检测方法
【专利摘要】本发明公开了一种基于边界检测的移动智能终端安全检测方法,包括以下骤:在检测设备上开启软无线接入点,将移动智能终端连接至检测设备,检测设备连接互联网;检测设备从移动智能终端上获取敏感数据并建立敏感数据库;在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用;在检测设备上开启抓包程序,实时捕获网络通信数据包;在检测设备上开启检测程序,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测数据包是否泄露敏感数据库中的敏感数据;将检测结果生成检测报告。本发明实现了针对移动智能终端的敏感数据泄露和基于IP业务层协议的协议符合性的安全检测方法。
【专利说明】一种基于边界检测的移动智能终端安全检测方法
【技术领域】
[0001]本发明涉及一种移动智能终端安全检测方法,具体涉及一种基于边界检测的移动智能终端安全检测方法。
【背景技术】
[0002]随着移动通信技术的发展,移动通信网络在不断演进,从1G、2G、3G到LTE,以及现今大量WiFi热点的部署;移动终端也发生了巨大的变化,朝着智能化的方向不断迈进。伴随着终端智能化及网络宽带化的趋势,移动互联网业务层出不穷,日益繁荣。但于此同时,移动终端越来越多的涉及商业秘密和个人隐私等敏感信息。移动终端作为移动互联网时代最主要的载体,面临着严峻的安全挑战。
[0003]移动智能终端的用户日益增加,应用市场也涌现出了成千上万的应用程序,随着移动办公、移动支付等的普及,智能移动终端中也存储了用户的办公文件、账号、密码等用户隐私信息。然而窃取隐私的恶意软件层出不穷,同时为了商业利益,越来越多的软件开发商与广告商等合作,在用户未授权的情况下将用户隐私信息提供给第三方。
[0004]目前移动智能终端主要的操作系统平台有Android、iOS、WindowsPhone> Symbian等,但各个平台的安全机制差异较大。例如,从API开发层面来说,iOS和Windows Phone平台是封闭的,缺省没有读取通话记录、短信等的API,这保护了用户的隐私;而Android平台是开放的,开发者在使用API时只需进行申明,就可以对一些敏感API进行调用;Symbian接口比较开放,只要申请到对应的能力,就可以做对应的事情。目前应用程序大多通过移动数据、wifi等网络业务将获得的终端用户信息发送到开发商或其他第三方服务器,移动智能终端安全公司的产品主要围绕着隐私保护、杀毒、反骚扰、防扣费等功能展开,现有的隐私泄漏检测方案主要有开发客户端软件,检测已安装应用对终端数据访问情况,或是在虚拟环境下模拟各应用程序操作,监控已标记的隐私数据流向。但上述移动智能终端安全公司的产品的安全检测方法存在以下缺点:
[0005]I)、平台兼容性差,即没有一种很好的安全检测方法适用于上述几种主流操作系统平台;
[0006]2)、在移动智能终端实施时增加系统资源和时间的消耗,效率低,资源消耗大;
[0007]3)、不能向用户直观呈现使用过程中敏感数据泄漏情况。
[0008]进一步的检索中,尚未发现针对移动智能终端的敏感数据泄露和基于IP的业务层协议的协议符合性的安全检测方法的文献报道。

【发明内容】

[0009]发明目的:为了克服现有技术中存在的不足,本发明提供一种基于边界检测的移动智能终端安全检测方法,实现了针对移动智能终端的敏感数据泄露和基于IP的业务层协议的协议符合性的安全检测方法,解决了现有安全检测方法平台兼容性差、效率低、资源消耗大以及使用过程中敏感数据泄漏情况不直观的问题。[0010]为解决上述技术问题,本发明采用的技术方案是:
[0011]一种基于边界检测的移动智能终端安全检测方法,包括以下步骤:
[0012](I)在检测设备上开启软无线接入点,将移动智能终端连接至检测设备,检测设备连接互联网;
[0013](2)检测设备从移动智能终端上获取敏感数据并建立敏感数据库;
[0014](3)在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用;
[0015](4)在检测设备上开启抓包程序,实时捕获网络通信数据包;所述网络通信数据包包括协议包和数据包,所述协议包主要由基于IP的业务层协议报文构成;所述数据包主要由移动智能终端向外发出的传输数据报文构成,或者经过编码/压缩后的移动智能终端向外发出的传输数据报文构成,或者经过编码压缩后的移动智能终端向外发出的传输数据报文构成;
[0016](5)在检测设备上开启检测程序,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测数据包是否泄露敏感数据库中的敏感数据;
[0017](6)将检测结果生成检测报告。
[0018]步骤(4)中,捕获网络通信数据包的过程为,先在检测设备上把网卡设置为混杂模式,通过调用Iibpcap网络抓包库函数进行循环监听,然后根据设置的监听规则抓取特定报文。
[0019]所述基于IP的业务层协议包括HTTP协议、SMTP协议、POP3协议、FTP协议、BT协议和IPSec协议。
[0020]步骤(5)中,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符的过程包括HTTP协议一致性检测、SMTP协议一致性检测、POP3协议一致性检测、FTP协议一致性检测、BT协议一致性检测和IPSec协议一致性检测;所述HTTP协议一致性检测过程包括请求行一致性检测、请求头域一致性检测、通用头域一致性检测和实体头域一致性检测,全部通过则认为HTTP协议与标准HTTP协议相符;所述请求行一致性检测过程为,先按照标准格式将HTTP协议请求行分为方法、请求URL和版本信息;然后匹配方法是否在标准规定的方法范围内,匹配请求URL和版本信息是否与标准规范相符,如果方法、请求URL和版本信息全部与标准匹配则检测通过;所述请求头域一致性检测、通用头域一致性检测和实体头域一致性检测过程为,先确定头域类型,根据头域类型获取标准规范,然后标准规范分别与请求头域、通用头域和实体头域进行匹配,如果匹配相符则通过一致性检测;所述SMTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为SMTP协议与标准SMTP协议相符;所述状态机检测过程为,根据SMTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在SMTP服务器所允许的命令范围内,如果在范围内则检测通过;所述POP3协议一致性检测包括状态机检测和命令格式检测,全部通过则认为POP3协议与标准POP3协议相符;所述状态机检测过程为,根据POP3协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在POP3服务器所允许的命令范围内,如果在范围内则检测通过;所述FTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为FTP协议与标准FTP协议相符;所述状态机检测过程为,根据FTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在FTP服务器所允许的命令范围内,如果在范围内则检测通过;所述BT协议一致性检测过程为,根据BT协议获取消息类型和消息长度,根据消息类型和消息长度确定内容是否与标准BT协议相符,如果相符则检测通过;所述IPSec协议一致性检测过程包括IKE密钥交换协议的第一阶段的一致性检测和IKE密钥交换协议的第二阶段的一致性检测,全部通过则认为IPSec协议与标准IPSec协议相符;IKE密钥交换协议规范的主模式交换用于第一阶段,所述主模式交换过程包括6个消息;所述IKE密钥交换协议的第一阶段的一致性检测过程为,检查6个消息报文格式是否符合标准格式,并同时检查第一阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若6个消息报文格式与标准格式一致,且第一阶段交换过程中不出现通知交换报文,则第一阶段一致性检测通过;IKE密钥交换协议规范的快速模式交换用于第二阶段,所述快速模式交换过程包括3个消息;所述IKE密钥交换协议的第二阶段的一致性检测过程为,检查3个消息报文格式是否符合标准格式,并同时检查第二阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若3个消息报文格式与标准格式一致,且第二阶段交换过程中不出现通知交换报文,则第二阶段一致性检测通过。
[0021]步骤(5)中,检测数据包是否泄露敏感数据库中的敏感数据的过程为:
[0022]I)提取数据包的发送时间、源IP地址、源端口、目的IP地址和目的端口 ;
[0023]2)通过源IP地址判断数据包是否是移动智能终端向外发出,判断数据包中是否承载有效信息,如果都不是则进行下一个数据包的检测,如果都是则转至下一步;
[0024]3)解析数据包,获取传输数据报文中的传输数据;
[0025]4)采用字符串匹配的方法,将敏感数据库中的敏感数据与传输数据进行匹配,如果传输数据中包含若干个敏感数据或者敏感数据的变换,则敏感数据泄露;
[0026]5)记录数据包的信息和匹配到的敏感数据。
[0027]所述软无线接入点为通过Hostapd将无线网卡切换为AP/Master模式,通过修改配置文件,建立的一个开放式的无线接入点。
[0028]检测设备为一台运行Linux平台并已安装检测工具的PC。
[0029]本发明的有益效果:1、本发明在检测设备上开启检测程序,根据网络通信数据包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测网络通信数据包是否泄露敏感数据库中的敏感数据,实现了针对移动智能终端的敏感数据泄露和基于IP的业务层协议的协议符合性的安全检测方法;2、本发明的安全检测方法在检测设备上实施,不受移动智能终端操作系统的影响,具有很好的兼容性,同时也不会消耗移动智能终端的资源,效率高;3、本发明生成的检测报告直观的反映了敏感数据泄露情况。
【专利附图】

【附图说明】
[0030]图1为本发明的流程图。
[0031]图2为本发明的实物连接图。
[0032]图3为SMTP的状态机。
[0033]图4为POP3的状态机。[0034]图5为FTP的状态机。
【具体实施方式】
[0035]下面结合附图对本发明作更进一步的说明。
[0036]如图1所示,一种基于边界检测的移动智能终端安全检测方法,包括以下步骤:
[0037](I)在检测设备上开启软无线接入点,将移动智能终端连接至检测设备,检测设备连接互联网如图2所示,其中检测设备为一台运行Linux平台并已安装检测工具的PC。
[0038]软无线接入点为通过Hostapd将无线网卡切换为AP/Master模式,通过修改配置文件,建立的一个开放式的无线接入点。
[0039](2)检测设备从移动智能终端上获取敏感数据并建立敏感数据库。
[0040](3)在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用;基于IP的业务层协议包括HTTP协议、SMTP协议、POP3协议、FTP协议、BT协议和IPSec协议。
[0041](4)在检测设备上开启抓包程序,实时捕获网络通信数据包;所述网络通信数据包包括协议包和数据包,所述协议包主要由基于IP的业务层协议报文构成;所述数据包主要由移动智能终端向外发出的传输数据报文构成,或者经过编码/压缩后的移动智能终端向外发出的传输数据报文构成,或者经过编码压缩后的移动智能终端向外发出的传输数据报文构成。
[0042]捕获网络通信数据包的过程为,先在检测设备上把网卡设置为混杂模式,通过调用Iibpcap网络抓包库函数进行循环监听,然后根据设置的监听规则抓取特定报文。
[0043]Libpcap是一个C语言库,其功能是通过网卡抓取以太网中的网络通信数据包,为不同平台提供了统一的编程接口。
[0044]进行循环监听,根据设置的监听规则抓取特定报文,具体步骤如下:
[0045]4.1)查找网卡或指定网卡;通过调用Iibpcap网络抓包库函数pcap_lookupdev选择监听的网卡设备。
[0046]4.2)打开监听设备;调用Iibpcap库函数pcap_open_live,把网卡设置为混杂模式。
[0047]4.3)设置监听规则;通过设置Iibpcap网络抓包库提供的抓包过滤器BPF(Barkley Packet Filter)来设置抓包条件;调用pcap_compile对抓包过滤器BPF进行编译,变成汇编代码,然后调用pcap_setfilter实施该规则。
[0048]设置抓包条件的情况如下:
[0049]4.3.1)针对基于IP的业务层协议HTTP、SMTP、POP3、FTP和BT,设置抓包条件具体为TCP报文;
[0050]4.3.2)针对基于IP的业务层协议IPSec,设置抓包条件具体为UDP报文,端口为500 和 4500 ;
[0051]4.3.3)针对敏感数据泄露检测,设置抓包条件具体为TCP报文。
[0052]4.4)处理特定分组;调用Iibpcap库函数pcap_loop,将接收分组数设为-1,表示无限循环。
[0053]4.5)设置回调函数(callback);针对移动智能终端在基于IP的业务层的通信协议进行检测,在步骤(5)中设置检测程序的回调函数callback为相应的协议一致性检测函数;针对敏感数据泄露进行检测,在步骤(5)中设置检测程序的回调函数callback为相应的敏感数据泄露检测函数,每次抓到一个符合过滤条件的网络通信数据包就循环调用回调函数进行分析和处理。
[0054]4.6)关闭监听;调用Iibpcap库函数pcap_close,结束监听。
[0055](5)在检测设备上开启检测程序,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符,并检测数据包是否泄露敏感数据库中的敏感数据。
[0056]根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符的过程包括HTTP协议一致性检测、SMTP协议一致性检测、POP3协议一致性检测、FTP协议一致性检测、BT协议一致性检测和IPSec协议一致性检测。
[0057]所述HTTP协议一致性检测过程包括请求行一致性检测、请求头域一致性检测、通用头域一致性检测和实体头域一致性检测,全部通过则认为HTTP协议与标准HTTP协议相符。
[0058]所述请求行一致性检测过程为,先按照标准格式将HTTP协议请求行分为方法、请求URL和版本信息;然后匹配方法是否在标准规定的方法范围内,方法范围为“OPTIONS”、“GET ”、“HEAD ”、“POST ”、“PUT ”、“DELETE ”、“ TRACE ”、“ CONNECT ”、extension-method ;匹配请求URL和版本信息是否与标准规范相符,如果方法、请求URL和版本信息全部与标准匹配则检测通过。
[0059]所述请求头域一致性检测、通用头域一致性检测和实体头域一致性检测过程为,先确定头域类型,根据头域类型获取标准规范,然后标准规范分别与请求头域、通用头域和实体头域进行匹配,如果匹配相符则通过一致性检测。其中头域类型包括“ACCEPT”、“ ACCEPT-CHARST”、“ ACCEPT-ENC0DING ”、“ ACCEPT-LANGIAGE ”、“ AUTH0RIZATION ”、“ EXPECT”、“FROM”、“HOST”、“IF-MATCH”、“IF-M0DIFIED-SINCE”、“IF-NONE-MAT“IF-RANGE”、“IF-UNM0DIFIED_SINCE”、“MAX-F0RWARDS”、“PR0XY-AUTH0RIZAT10N”、“RANGE”、“REFERER”、“ TE ”、iiUSERAGENT ”、“ CACHE-C0NTR0L ”、“ ⑶ NNECT10N”、“ DATE ”、“ PRAGMA ”、“ UPGRADE ”、“VIA”、“WARNING”。
[0060]所述SMTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为SMTP协议与标准SMTP协议相符。
[0061]所述状态机检测过程为,根据SMTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过。SMTP的状态机如图3所示,在建立连接后,首先,客户端需要发送HEL0/EHL0来向服务器表示已准备就绪,之后发送AUTH LOGIN,然后依次输入账号密码完成登录,之后发送MAIL FROM来确定发件人,RCPT TO确定收件人,DATA为邮件内容,并最终以作为结束符完成发送。
[0062]所述命令格式检测过程为,判断命令是否在SMTP服务器所允许的命令范围内,如果在范围内则检测通过。命令范围包括:“EHLO”、“HELO”、“Ν00Ρ ”、“ RSET ”、“ QUIT ”、“AUTHLOGIN”、“MAIL FR0M”、“RCPT TO”、“DATA”。
[0063]所述POP3协议一致性检测包括状态机检测和命令格式检测,全部通过则认为POP3协议与标准POP3协议相符。
[0064]所述状态机检测过程为,根据POP3协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过。POP3的状态机如图4所示,在建立连接后,首先,需要发送USER命令来输入用户名,PASS命令来输入密码,登录成功后,可以执行一系列其他命令以完成对邮件的访问管理等。
[0065]所述命令格式检测过程为,判断命令是否在POP3服务器所允许的命令范围内,如果在范围内则检测通过。命令范围包括“USER”、“PASS”、“APOP”、“STAT”、“UIDL”、“LIST”、“ RETR ”、“DELE ”、“ RSET ”、“ TOP ”、“Ν00Ρ ”、“ QUIT ”。
[0066]所述FTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为FTP协议与标准FTP协议相符。
[0067]所述状态机检测过程为,根据FTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过。FTP的状态机如图5所示,在建立连接后,首先,需要发送USER命令来输入用户名,PASS命令来输入密码,登录成功后,可以执行一系列其他命令以完成对文件的访问管理等。
[0068]所述命令格式检测过程为,判断命令是否在FTP服务器所允许的命令范围内,如果在范围内则检测通过。命令范围包括“HELP”、“N00P”、“QUIT”、“USER”、“ACCT”、“CWD”、“CDUP”、“SMNT”、“REIN”、“PORT”、“PASV”、“TYPE”、“STRU”、“MODE”、“RETR”、“STOR”、“STOU”、“APPE”、“ALLO”、“REST”、“ RNFR ”、“ RNTO ”、“ABOR”、“DELE”、“RMD”、“MKD”、“PWD”、“LIST”、“ NLST”、“SITE ”、“ SYST”、“ STAT”。
[0069]所述BT协议一致性检测过程由命令格式检测构成,在收到BitTorrent protocol消息后,确定源端口和目标端口,进行检测。根据BT协议获取消息类型和消息长度,根据消息类型和消息长度确定内容是否与标准BT协议相符,如果相符则检测通过。消息类型包括0—choke、l-unchoke、2-1nterested、3_not interested、4-have、5_bitfieId、6—request、7-piece、8_chancelo
[0070]所述IPSec协议一致性检测过程包括IKE密钥交换协议的第一阶段的一致性检测和IKE密钥交换协议的第二阶段的一致性检测,全部通过则认为IPSec协议与标准IPSec协议相符;
[0071]IKE密钥交换协议规范的主模式交换用于第一阶段,所述主模式交换过程包括6个消息,交换过程如下:
[0072]消息1:发起方向响应方发送一个封装有建议载荷的安全联盟载荷,而建议载荷中又封装有变换载荷。
[0073]消息2:响应方发送一个安全联盟载荷,该载荷表明它所接受的发起方发送的安全联盟提议。
[0074]消息3和4:发起方和响应方交换数据,交换的数据内容包括Nonce、身份表示(ID)、可选的证书等载荷;Nonce是生成加密密钥和认证密钥所必需的参数,ID是发起方或响应方的标识。
[0075]消息5和6:发起方和响应方认证前面的交换过程。
[0076]所述IKE密钥交换协议的第一阶段的一致性检测过程为,检查6个消息报文格式是否符合标准格式,并同时检查第一阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若6个消息报文格式与标准格式一致,且第一阶段交换过程中不出现通知交换报文,则第一阶段一致性检测通过;具体过程如下:[0077]I)检查消息版本号是否符合标准消息中的规定;
[0078]2)检查消息1-6交换类型是否为身份保护交换(主模式);
[0079]3)检查标志Flag字段是否符合标准中的规定,即消息1-4中值为0,消息5-6中值为I ;
[0080]4)检查消息ID字段是否符合标准中的规定,即第一阶段该字段值为O ;
[0081]5)检查消息I内的安全联盟载荷数和建议载荷数是否符合标准中的规定,即只能包含一个安全联盟载荷和一个建议载荷;
[0082]6)检查消息1、2内安全联盟载荷内的解释域DOI字段是否符合标准中的规定,即指定协商所基于的DOI为IPSec (值为I);
[0083]7)检查消息1、2内安全联盟载荷内的情形Situation字段是否符合标准中的规定,即表明协商发生时的情形为SIT_IDENTITY_ONLY (值为I);
[0084]8)检查消息1、2内建议载荷内的协议ID字段是否符合标准中的规定,即标明协议标识符为ISAKMP的协议标识符(值为I);
[0085]9)检查消息1、2内建议载荷内的SPI长度字段是否符合标准中的规定,即第一阶段该长度为O ;
[0086]10)检查消息1、2内安全联盟属性载荷内是否包含未识别的属性类型;
[0087]11)检查消息3、4是否包含对称密钥载荷和Nonce载荷;
[0088]12)检查消息5、6是否包含的标识载荷;
[0089]13)检查第一阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。
[0090]IKE密钥交换协议规范的快速模式交换用于第二阶段,所述快速模式交换过程包括3个消息,交换过程如下:
[0091]消息1:发起方向响应方发送一个杂凑载荷、一个安全联盟载荷、一个Nonce载荷和标识载荷。
[0092]消息2:响应方向发起方发送一个杂凑载荷、一个安全联盟载荷、一个Nonce载荷和标识载荷。
[0093]消息3:发起方向响应方发送一个杂凑载荷,用于对前面的交换进行认证。
[0094]所述IKE密钥交换协议的第二阶段的一致性检测过程为,检查3个消息报文格式是否符合标准格式,并同时检查第二阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若3个消息报文格式与标准格式一致,且第二阶段交换过程中不出现通知交换报文,则第二阶段一致性检测通过;具体过程如下:
[0095]I)检查消息版本号是否符合标准消息中的规定1.0 ;
[0096]2)检查消息1-3交换类型是否为快速模式;
[0097]3)检查标志Flag字段是否符合标准中的规定,即消息1_3中值为I ;
[0098]4)检查消息ID字段是否符合标准中的规定,即第二阶段该字段值为发起方生成的随机数,且消息1-3中该ID字段值相同;
[0099]5)检查消息1-3是否包含的杂凑载荷;
[0100]6)检查第二阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。[0101]检测数据包是否泄露敏感数据库中的敏感数据的过程为:
[0102]I)提取数据包的发送时间、源IP地址、源端口、目的IP地址和目的端口 ;
[0103]2)通过源IP地址判断数据包是否是移动智能终端向外发出,判断数据包中是否承载有效信息,如果都不是则进行下一个数据包的检测,如果都是则转至下一步;
[0104]3)解析数据包,获取传输数据报文中的传输数据;
[0105]解析数据包,获取传输数据的具体过程为:
[0106]先判断数据包是否经过编码和压缩;
[0107]如果经过编码,则先解码,一般采用的是chunk编码,根据chunk编码格式进行chunk解码,将chunk串zhong实际内容提取并串接成传输数据;
[0108]如果经过压缩,则先解压缩,一般采用的是gzip压缩方法,进行gzip解压缩,恢复传数据;
[0109]如果移动智能终端发出的是HTTP请求报文,则进一步解析HTTP请求报文的构成;HTTP请求报文由请求行、请求头部、空行和请求数据四个部分组成,其中请求头中包含请求方法、URL和HTTP协议版本字段;请求头部由多对关键字/值对组成,典型的有产生请求的浏览器类型,客户端可识别的内容类型和请求的主机名等;请求数据在POST请求方法中使用,包含了客户端上传的数据内容。
[0110]4)采用字符串匹配的方法,将敏感数据库中的敏感数据与传输数据进行匹配,如果传输数据中包含若干个敏感数据或者敏感数据的变换,则敏感数据泄露。
[0111]在匹配过程中无论是否已经匹配到某敏感数据,都需要将敏感数据库中的每一条数据与传输数据匹配一次,以找出该数据包中泄漏的所有隐私信息。其中对每一条从敏感数据库中读出的敏感数据,除了要对其本身做匹配外,还要对其做字母大小写变换、内容倒序、MD5加密、SHAl加密、base64等变换进行匹配,防止应用程序以这些常见的变换方式处理数据后发送出去导致的漏检情况。在匹配过程中,一旦匹配到某条敏感数据或其变换,则将匹配标志量置I,表示有匹配到敏感数据。
[0112]5)记录数据包的信息(发送时间、源IP地址、源端口、目的IP地址和目的端口等)和匹配到的敏感数据。
[0113](6)将检测结果生成检测报告。
[0114]以上所述仅是本发明的优选实施方式,应当指出:对于本【技术领域】的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【权利要求】
1.一种基于边界检测的移动智能终端安全检测方法,其特征在于:包括以下步骤: (1)在检测设备上开启软无线接入点,将移动智能终端连接至检测设备,检测设备连接互联网; (2)检测设备从移动智能终端上获取敏感数据并建立敏感数据库; (3)在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用; (4)在检测设备上开启抓包程序,实时捕获网络通信数据包;所述网络通信数据包包括协议包和数据包,所述协议包主要由基于IP的业务层协议报文构成;所述数据包主要由移动智能终端向外发出的传输数据报文构成,或者经过编码/压缩后的移动智能终端向外发出的传输数据报文构成,或者经过编码压缩后的移动智能终端向外发出的传输数据报文构成; (5)在检测设备上开启检测程序,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符 ,并检测数据包是否泄露敏感数据库中的敏感数据; (6)将检测结果生成检测报告。
2.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:步骤(4)中,捕获网络通信数据包的过程为,先在检测设备上把网卡设置为混杂模式,通过调用Iibpcap网络抓包库函数进行循环监听,然后根据设置的监听规则抓取特定报文。
3.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:所述基于IP的业务层协议包括HTTP协议、SMTP协议、POP3协议、FTP协议、BT协议和IPSec协议。
4.根据权利要求3所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:步骤(5)中,根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符的过程包括HTTP协议一致性检测、SMTP协议一致性检测、POP3协议一致性检测、FTP协议一致性检测、BT协议一致性检测和IPSec协议一致性检测; 所述HTTP协议一致性检测过程包括请求行一致性检测、请求头域一致性检测、通用头域一致性检测和实体头域一致性检测,全部通过则认为HTTP协议与标准HTTP协议相符; 所述请求行一致性检测过程为,先按照标准格式将HTTP协议请求行分为方法、请求URL和版本信息;然后匹配方法是否在标准规定的方法范围内,匹配请求URL和版本信息是否与标准规范相符,如果方法、请求URL和版本信息全部与标准匹配则检测通过; 所述请求头域一致性检测、通用头域一致性检测和实体头域一致性检测过程为,先确定头域类型,根据头域类型获取标准规范,然后标准规范分别与请求头域、通用头域和实体头域进行匹配,如果匹配相符则通过一致性检测; 所述SMTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为SMTP协议与标准SMTP协议相符; 所述状态机检测过程为,根据SMTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在SMTP服务器所允许的命令范围内,如果在范围内则检测通过; 所述POP3协议一致性检测包括状态机检测和命令格式检测,全部通过则认为POP3协议与标准POP3协议相符;所述状态机检测过程为,根据POP3协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在POP3服务器所允许的命令范围内,如果在范围内则检测通过; 所述FTP协议一致性检测包括状态机检测和命令格式检测,全部通过则认为FTP协议与标准FTP协议相符; 所述状态机检测过程为,根据FTP协议的状态机跳转规则,判断接受到的命令是否在跳转规则范围内,如果在范围内则检测通过;所述命令格式检测过程为,判断命令是否在FTP服务器所允许的命令范围内,如果在范围内则检测通过; 所述BT协议一致性检测过程为,根据BT协议获取消息类型和消息长度,根据消息类型和消息长度确定内容是否与标准BT协议相符,如果相符则检测通过; 所述IPSec协议一致性检测过程包括IKE密钥交换协议的第一阶段的一致性检测和IKE密钥交换协议的第二阶段的一致性检测,全部通过则认为IPSec协议与标准IPSec协议相符; IKE密钥交换协议规范的主模式交换用于第一阶段,所述主模式交换过程包括6个消息;所述IKE密钥交换协议的第一阶段的一致性检测过程为,检查6个消息报文格式是否符合标准格式,并同时检查第一阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态类型。若6个消息报文格式与标准格式一致,且第一阶段交换过程中不出现通知交换报文,则第一阶段一致性检测通过; IKE密钥交换协议规范的快速模式交换用于第二阶段,所述快速模式交换过程包括3个消息;所述IKE密钥交换协议的第二阶段的一致性检测过程为,检查3个消息报文格式是否符合标准格式,并同时检查第二阶段交换过程中是否出现通知交换报文,若有则判断通知交换的通知消息的状态`类型。若3个消息报文格式与标准格式一致,且第二阶段交换过程中不出现通知交换报文,则第二阶段一致性检测通过。
5.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:步骤(5)中,检测数据包是否泄露敏感数据库中的敏感数据的过程为: 1)提取数据包的发送时间、源IP地址、源端口、目的IP地址和目的端口; 2)通过源IP地址判断数据包是否是移动智能终端向外发出,判断数据包中是否承载有效信息,如果都不是则进行下一个数据包的检测,如果都是则转至下一步; 3)解析数据包,获取传输数据报文中的传输数据; 4)采用字符串匹配的方法,将敏感数据库中的敏感数据与传输数据进行匹配,如果传输数据中包含若干个敏感数据或者敏感数据的变换,则敏感数据泄露; 5)记录数据包的信息和匹配到的敏感数据。
6.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:所述软无线接入点为通过Hostapd将无线网卡切换为AP/Master模式,通过修改配置文件,建立的一个开放式的无线接入点。
7.根据权利要求1所述的一种基于边界检测的移动智能终端安全检测方法,其特征在于:检测设备为一台运行Linux平台并已安装检测工具的PC。
【文档编号】H04L29/08GK103780457SQ201410001872
【公开日】2014年5月7日 申请日期:2014年1月2日 优先权日:2014年1月2日
【发明者】李涛, 胡爱群, 王涛, 黄夷芯, 高尚, 姜丽丽, 邵辰 申请人:东南大学
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1