[发明专利]一种用于嵌入式的主动网络防御系统及其防御方法

说明书

本发明公开了一种用于嵌入式的主动网络防御系统，包括网络协议栈模块和主动式网络防御模块，主动式网络防御模块分为防火墙上层模块和防火墙底层模块，所述防火墙上层包括报文检测模块和异常处理模块；该系统防御方法包括1、安装主动网络防御系统；2、报文检测模块对接收到的网络报文进行分析判断报文是否存在问题，如果没有直接传入协议栈，如果有进入下一步；3、异常处理单元对异常报文能否确认其是攻击报文，如果确认，则进入下一步，如果不确认，则发送请求报文询问网络的真实环境，返回步骤2；4、丢弃当前报文，设置白/黑名单，打开底层过滤器。本发明具有主动式识别和防御特点，能够防御嵌入式设备遭受到的常见嵌入式网络攻击，从而起到保护嵌入式设备网络安全的作用。

技术领域

本发明属于嵌入式领域，特别涉及一种用于嵌入式的主动网络防御系统及其防御方法。

背景技术

随着嵌入式设备的迅速发展，越来越多的嵌入式设备在其应用场合正在与网络相连，如汽车电子设备、医疗设备和电力设备等。当这些设备能够接入到网络时，如果没有考虑足够的安全问题，那么这他们将很容易遭受到网络攻击。如果没有一些相应的安全措施，这些攻击可能会使设备的功能、系统以及设备内部的信息遭受破坏。

现如今，市面上网络防火墙很多，但这类防火墙大多用于服务器、企业和个人PC领域。用于嵌入式设备的网络防火墙则相对较少。

现有的嵌入式网络防火墙目前存在下述一些缺陷：

1、防火墙易用性差：在嵌入式领域，对于运行操作系统的嵌入式设备来说，防火墙的启动大多随系统一起开启，同时其内部的一些功能模块和防御参数也是需要开发人员一开始配置好。系统启动后，这类参数很难再根据实际网络情况做对应调整。

2、防火墙容错性不高：嵌入式网络中，会根据嵌入式设备应用的场景，出现一些专用的网络报文，同时，也会有嵌入式设备网络配置参数变化导致网络报文内容变化的情况。对与此类情况，现在的嵌入式网络防火墙并不能很好的判断出是正常操作还是网络异常，这就会导致防火墙会对此类的报文做出误操作的现象。

3、防火墙处理异常方式简单：现在的一些嵌入式网络防火墙对于检测到网络上出现异常情况时的处理方法过于单一，其在发现异常情况下为了保护自己设备不受网络影响，会直接关闭网络，拒收报文。这种的确可以让系统等不受攻击影响，但也会影响其自身的网络通信。

4、防火墙本身占资源过大：现在的嵌入式网络防火墙大多以单独的个体存在操作系统中，其检测与过滤均在由防火墙内部自己实现。这对于性能不是很高的嵌入式设备来说，在其遭受网络攻击时，防火墙会占用大量CPU资源，从而影响到系统其他需要CPU资源运行的任务。

发明内容

发明目的：针对现有技术中存在的问题，本发明提供一种不仅能检测嵌入式设备收到的网络报文，而且可以针对可疑报文，主动发出请求报文并判断是否为可疑操作，还可以在系统遭受到网络攻击时，占用系统较少的资源，不影响系统其他任务正常运行的用于嵌入式的主动网络防御系统及其防御方法。

技术方案：为解决上述技术问题，本发明提供一种用于嵌入式的主动网络防御系统，包括网络协议栈模块和主动式网络防御模块，主动式网络防御模块分为防火墙上层模块和防火墙底层模块，所述防火墙底层模块位于网卡驱动中，所述防火墙上层包括报文检测模块和异常处理模块；

报文检测模块，用于对接收到的网络报文进行分析处理；其中网络报文包括嵌入式设备正常通信的网络报文、防火墙主动发出的请求报文后其他设备的应答报文；

异常处理模块，用于在报文检测发现问题后进行异常处理，其中异常处理的方法分为两种：第一种针对已经可以明确判断产生问题的网络报文，如SYN泛洪、网络风暴、分布式拒绝服务攻击等，异常处理模块通知驱动层的防火墙过滤器，开始对嵌入式设备收到的网络报文进行对应的过滤操作；第二种针对不能准确判断出问题的网络报文，如ARP欺骗、重放攻击等，异常处理模块主动发出请求报文，询问与其通信的设备，确定是否发生问题。