[发明专利]一种用于嵌入式的主动网络防御系统及其防御方法

权利要求书

1.一种用于嵌入式的主动网络防御系统的防御方法，其特征在于，包括如下步骤：

1)在嵌入式设备系统中安装主动网络防御系统；

2)报文检测模块对接收到的网络报文进行分析，并判断报文是否存在问题，如果没有问题则判断报文通过直接传入到协议栈，如果有问题则判断报文不能通过则进入下一步；

3)异常处理单元对异常报文能否确认其是攻击报文，如果确认，则进入下一步，如果不确认，则发送请求报文询问网络的真实环境，返回步骤2；

4)丢弃当前报文并设置白/黑名单打开底层过滤器；

所述步骤3中异常处理单元对接收到的问题报文进行分析时分为两种情况：

3.1)第一种情况：能够根据网络报文确定真实网络情况；

3.2)第二种情况：无法根据网络报文确定真实网络情况，当前设备可能受到攻击也可能是网络环境变化；

所述步骤3中第一种情况，能够根据网络报文确定真实网络情况时，异常处理模块设置白/黑名单，同时主动打开防火墙底层过滤器对接下来的报文进行过滤操作，丢弃当前处理的报文；

所述步骤3中第二种情况，异常处理模块通过发送请求报文的形式，确认网络真实状况，首先处理的报文也会被系统保存，不会传到协议栈，然后请求报文发送后，报文检测模块收到对应的应答，如果正确则之前的报文传到协议栈，否则丢弃之前的报文。

2.根据权利要求1所述的用于嵌入式的主动网络防御系统的防御方法其特征在于：所述步骤2中的网络报文包括嵌入式设备正常通信的网络报文、防火墙主动发出的请求报文后其他设备的应答报文。

3.根据权利要求2所述的用于嵌入式的主动网络防御系统的防御方法其特征在于：所述步骤4中防火墙底层过滤器打开后，在参考白/黑名单对报文过滤时，同时分析网络流量，如果网络流量低于用户设置的值，系统主动关闭过滤器，如果关闭后，报文检测模块检测出问题则过滤器再次打开。

4.一种如权利要求1所述的使用防御方法的嵌入式主动网络防御系统，其特征在于：包括网络协议栈模块和主动式网络防御模块，主动式网络防御模块分为防火墙上层模块和防火墙底层模块，所述防火墙底层模块位于网卡驱动内，所述防火墙上层包括报文检测模块和异常处理模块；

报文检测模块，用于对接收到的网络报文进行分析处理；其中网络报文包括嵌入式设备正常通信的网络报文、防火墙主动发出的请求报文后其他设备的应答报文；

异常处理模块，用于在报文检测发现问题后进行异常处理，其中异常处理的方法分为两种：第一种针对已经可以明确判断产生问题的网络报文，异常处理模块通知驱动层的防火墙过滤器，开始对嵌入式设备收到的网络报文进行对应的过滤操作；第二种针对不能准确判断出问题的网络报文，异常处理模块主动发出请求报文，询问与其通信的设备，确定是否发生问题。