CN106888217A - 一种针对arp攻击的管控方法及系统 - Google Patents

一种针对arp攻击的管控方法及系统 Download PDF

Info

Publication number
CN106888217A
CN106888217A CN201710187840.7A CN201710187840A CN106888217A CN 106888217 A CN106888217 A CN 106888217A CN 201710187840 A CN201710187840 A CN 201710187840A CN 106888217 A CN106888217 A CN 106888217A
Authority
CN
China
Prior art keywords
arp
flow
network node
threshold value
default network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710187840.7A
Other languages
English (en)
Inventor
程如亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Feixun Data Communication Technology Co Ltd
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201710187840.7A priority Critical patent/CN106888217A/zh
Publication of CN106888217A publication Critical patent/CN106888217A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种针对ARP攻击的管控方法及系统,其中,所述方法包括:接收预设网络节点发来的ARP报文,所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系;读取本地存储的映射关系表,所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系;判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配;若不匹配,对所述预设网络节点发送的ARP报文流量进行监控,当所述ARP报文流量异常时,限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。本发明提供的针对ARP攻击的管控方法及系统,能够有效地解决ARP攻击的问题。

Description

一种针对ARP攻击的管控方法及系统
技术领域
本发明实施方式涉及网络安全技术领域,尤其涉及一种针对ARP攻击的管控方法及系统。
背景技术
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播报文到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
在实施本发明的过程中,发明人发现现有技术至少存在如下问题:
地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。因此,攻击者就可以发送大量的ARP报文在网络内广播,这些广播报文极大的消耗了网络的带宽甚至可能通过伪造的ARP报文而在网络内实施大流量攻击,即由此攻击者向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,构成了ARP欺骗,使网络带宽耗尽。
应该注意,上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
发明内容
针对上述问题,本发明实施方式的目的在于提供一种针对ARP攻击的管控方法及系统,能够有效地解决ARP攻击的问题。
为实现上述目的,本发明实施方式提供一种针对ARP攻击的管控方法,所述方法包括:接收预设网络节点发来的ARP报文,所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系;读取本地存储的映射关系表,所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系;判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配;若不匹配,对所述预设网络节点发送的ARP报文流量进行监控,当所述ARP报文流量异常时,限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。
进一步地,所述当前映射关系和所述标准映射关系均包括三对映射关系,所述三对映射关系包括:MAC地址与IP地址之间的映射关系;MAC地址与端口号之间的映射关系;以及IP地址与端口号之间的映射关系。
进一步地,所述ARP报文的当前映射关系与所述映射关系表的标准映射关系不匹配包括:所述当前映射关系与所述标准映射关系中至少有一对映射关系不同。
进一步地,对所述预设网络节点发送的ARP报文流量进行监控包括:对所述预设网络节点发送的报文进行识别,以从中获取ARP报文;在预设时长内统计获取的ARP报文的流量,并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对;其中,所述第一流量阈值小于所述第二流量阈值;根据比对结果,判断所述预设网络节点发送的ARP报文流量是否异常。
进一步地,判断所述预设网络节点发送的ARP报文流量是否异常包括:当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时,判定所述预设网络节点发送的ARP报文流量存在异常;当所述统计的流量小于或者等于所述第一流量阈值时,判定所述预设网络节点发送的ARP报文流量正常。
进一步地,所述方法还包括:当所述统计的流量大于所述第一流量阈值并且小于所述第二流量阈值时,将超出所述第一流量阈值的ARP报文丢弃。
进一步地,所述方法还包括:当所述统计的流量大于或者等于所述第二流量阈值时,将所述预设网络节点的端口隔离。
为实现上述目的,本发明还提供一种针对ARP攻击的管控系统,所述系统包括:ARP报文接收单元,用于接收预设网络节点发来的ARP报文,所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系;本地映射关系表读取单元,用于读取本地存储的映射关系表,所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系;映射关系判断单元,用于判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配;流量监控单元,用于若不匹配,对所述预设网络节点发送的ARP报文流量进行监控,当所述ARP报文流量异常时,限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。
进一步地,所述流量监控单元包括:报文识别模块,用于对所述预设网络节点发送的报文进行识别,以从中获取ARP报文;流量比对模块,用于在预设时长内统计获取的ARP报文的流量,并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对;其中,所述第一流量阈值小于所述第二流量阈值;判断模块,用于根据比对结果,判断所述预设网络节点发送的ARP报文流量是否异常。
进一步地,所述判断模块包括:第一判定模块,用于当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时,判定所述预设网络节点发送的ARP报文流量存在异常;第二判定模块,用于当所述统计的流量小于或者等于所述第一流量阈值时,判定所述预设网络节点发送的ARP报文流量正常。
本发明实施方式提供的一种针对ARP攻击的管控方法及系统,通过将ARP报文中的当前映射关系与本地存储的标准映射关系进行比对,从而可以识别出ARP报文中的当前映射关系是否正确。如果有不正确的映射关系,可以对发送该ARP报文的网络节点进行流量监控,监测其是否存在攻击行为,并可以根据监控结果进行限流或者隔离端口的处理,从而能够解决ARP攻击的问题
附图说明
为了更清楚地说明本发明实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图逐一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施方式中针对ARP攻击的管控方法流程图;
图2为本发明实施方式中针对ARP攻击的管控系统结构示意图。
具体实施方式
为使本发明实施方式的目的、技术方案和优点更加清楚,下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
ARP欺骗是一种常见的网络攻击方式。ARP欺骗主机为了探测网段内的所有活动主机,会发送大量的ARP报文在网络内广播,这些广播报文极大的消耗了网络的带宽甚至可能通过伪造的ARP报文而在网络内实施大流量攻击,使网络带宽耗尽,并且ARP欺骗通常是其他更加严重的攻击方式的前奏。由于ARP欺骗给网络的安全和稳定带来了极大的威胁,所以避免ARP欺骗有极大意义。
本发明针对ARP欺骗等攻击行为,提供解决方案。本发明针对ARP欺骗报文流量大小提供的处理方式基于限速阈值和隔离阈值。当ARP流量超过限速阀值,将对上送CPU报文进行限速丢弃操作并产生告警。当ARP流量超过隔离阀值,将对ARP欺骗主机所连的端口进行隔离操作产生告警。
具体地,请参阅图1,本发明提供一种针对ARP攻击的管控方法,所述方法包括:
S1:接收预设网络节点发来的ARP报文,所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系;
S2:读取本地存储的映射关系表,所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系;
S3:判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配;若不匹配,对所述预设网络节点发送的ARP报文流量进行监控,当所述ARP报文流量异常时,限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。
在本实施方式中,所述当前映射关系和所述标准映射关系均包括三对映射关系,所述三对映射关系包括:
MAC地址与IP地址之间的映射关系;
MAC地址与端口号之间的映射关系;以及
IP地址与端口号之间的映射关系。
在本实施方式中,所述ARP报文的当前映射关系与所述映射关系表的标准映射关系不匹配包括:
所述当前映射关系与所述标准映射关系中至少有一对映射关系不同。
在本实施方式中,对所述预设网络节点发送的ARP报文流量进行监控包括:
对所述预设网络节点发送的报文进行识别,以从中获取ARP报文;
在预设时长内统计获取的ARP报文的流量,并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对;其中,所述第一流量阈值小于所述第二流量阈值;
根据比对结果,判断所述预设网络节点发送的ARP报文流量是否异常。
在本实施方式中,判断所述预设网络节点发送的ARP报文流量是否异常包括:
当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时,判定所述预设网络节点发送的ARP报文流量存在异常;
当所述统计的流量小于或者等于所述第一流量阈值时,判定所述预设网络节点发送的ARP报文流量正常。
在本实施方式中,所述方法还包括:
当所述统计的流量大于所述第一流量阈值并且小于所述第二流量阈值时,将超出所述第一流量阈值的ARP报文丢弃。
在本实施方式中,所述方法还包括:
当所述统计的流量大于或者等于所述第二流量阈值时,将所述预设网络节点的端口隔离。
在一个实际应用场景中,在接收到网络节点发来的报文时,可以针对ARP报文的类型0x806进行识别,从中提取出ARP报文。在ARP报文中,可以具备MAC地址、IP地址以及端口号之间两两映射的关系。如果ARP报文是攻击者发出的,那么这些映射关系通常会存在部分伪造的情况,与实际的映射关系往往不符。
在本实施方式中,可以在本地预先存储网络中各个网络节点的MAC地址、IP地址以及端口号之间的标准映射关系。然后可以将接收到的ARP报文中携带的当前映射关系与所述标准映射关系进行比较。只要其中有任一一组的映射关系不同,则可以认为ARP报文中的映射关系被篡改了。这样,可以初步判定发送ARP报文的网络节点有攻击的嫌疑。
进一步地,可以对该网络节点发送ARP报文的流量进行监控,以进一步确定其是否具备攻击行为。具体地,可以采用双漏桶算法,设置两个流量阈值,并针对不同的流量阈值采取不同的措施。具体地,第一流量阈值可以是限流阈值,第二流量阈值可以是隔离阈值。那么当网络节点发送ARP报文的流量超过第一流量阈值而没有达到第二流量阈值时,可以将超出第一流量阈值之外的ARP报文丢弃,从而达到限流的作用。如果网络节点发送的ARP报文的流量过大,超过了第二流量阈值,则可以判定其存在明显的攻击行为,可以将该网络节点的端口隔离,不再接收其发来的任何报文。
请参阅图2,本发明还提供一种针对ARP攻击的管控系统,所述系统包括:
ARP报文接收单元100,用于接收预设网络节点发来的ARP报文,所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系;
本地映射关系表读取单元200,用于读取本地存储的映射关系表,所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系;
映射关系判断单元300,用于判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配;
流量监控单元400,用于若不匹配,对所述预设网络节点发送的ARP报文流量进行监控,当所述ARP报文流量异常时,限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。
在本实施方式中,所述流量监控单元包括:
报文识别模块,用于对所述预设网络节点发送的报文进行识别,以从中获取ARP报文;
流量比对模块,用于在预设时长内统计获取的ARP报文的流量,并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对;其中,所述第一流量阈值小于所述第二流量阈值;
判断模块,用于根据比对结果,判断所述预设网络节点发送的ARP报文流量是否异常。
在本实施方式中,所述判断模块包括:
第一判定模块,用于当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时,判定所述预设网络节点发送的ARP报文流量存在异常;
第二判定模块,用于当所述统计的流量小于或者等于所述第一流量阈值时,判定所述预设网络节点发送的ARP报文流量正常。
本发明实施方式提供的一种针对ARP攻击的管控方法及系统,通过将ARP报文中的当前映射关系与本地存储的标准映射关系进行比对,从而可以识别出ARP报文中的当前映射关系是否正确。如果有不正确的映射关系,可以对发送该ARP报文的网络节点进行流量监控,监测其是否存在攻击行为,并可以根据监控结果进行限流或者隔离端口的处理,从而能够解决ARP攻击的问题。
本说明书中的各个实施方式均采用递进的方式描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点说明的都是与其他实施方式的不同之处。
最后应说明的是:上面对本发明的各种实施方式的描述以描述的目的提供给本领域技术人员。其不旨在是穷举的、或者不旨在将本发明限制于单个公开的实施方式。如上所述,本发明的各种替代和变化对于上述技术所属领域技术人员而言将是显而易见的。因此,虽然已经具体讨论了一些另选的实施方式,但是其它实施方式将是显而易见的,或者本领域技术人员相对容易得出。本发明旨在包括在此已经讨论过的本发明的所有替代、修改、和变化,以及落在上述申请的精神和范围内的其它实施方式。

Claims (10)

1.一种针对ARP攻击的管控方法,其特征在于,包括:
接收预设网络节点发来的ARP报文,所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系;
读取本地存储的映射关系表,所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系;
如果所述ARP报文的当前映射关系与所述映射关系表的标准映射关系不匹配,对所述预设网络节点发送的ARP报文流量进行监控,当所述ARP报文流量异常时,限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。
2.根据权利要求1所述的针对ARP攻击的管控方法,其特征在于,所述当前映射关系和所述标准映射关系均包括:
MAC地址与IP地址之间的映射关系;
MAC地址与端口号之间的映射关系;以及
IP地址与端口号之间的映射关系。
3.根据权利要求2所述的针对ARP攻击的管控方法,其特征在于,所述ARP报文的当前映射关系与所述映射关系表的标准映射关系不匹配,包括:
所述当前映射关系与所述标准映射关系中至少有一对映射关系不同。
4.根据权利要求1所述的针对ARP攻击的管控方法,其特征在于,对所述预设网络节点发送的ARP报文流量进行监控,包括:
对所述预设网络节点发送的报文进行识别,以从中获取ARP报文;
在预设时长内统计获取的ARP报文的流量,并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对;其中,所述第一流量阈值小于所述第二流量阈值;
根据比对结果,判断所述预设网络节点发送的ARP报文流量是否异常。
5.根据权利要求4所述的针对ARP攻击的管控方法,其特征在于,判断所述预设网络节点发送的ARP报文流量是否异常,包括:
当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时,判定所述预设网络节点发送的ARP报文流量存在异常;
当所述统计的流量小于或者等于所述第一流量阈值时,判定所述预设网络节点发送的ARP报文流量正常。
6.根据权利要求5所述的针对ARP攻击的管控方法,其特征在于,所述方法还包括:
当所述统计的流量大于所述第一流量阈值并且小于所述第二流量阈值时,将超出所述第一流量阈值的ARP报文丢弃。
7.根据权利要求5所述的针对ARP攻击的管控方法,其特征在于,所述方法还包括:
当所述统计的流量大于或者等于所述第二流量阈值时,将所述预设网络节点的端口隔离。
8.一种针对ARP攻击的管控系统,其特征在于,所述系统包括:
ARP报文接收单元,用于接收预设网络节点发来的ARP报文,所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系;
本地映射关系表读取单元,用于读取本地存储的映射关系表,所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系;
映射关系判断单元,用于判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配;
流量监控单元,用于若不匹配,对所述预设网络节点发送的ARP报文流量进行监控,当所述ARP报文流量异常时,限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。
9.根据权利要求8所述的针对ARP攻击的管控系统,其特征在于,所述流量监控单元包括:
报文识别模块,用于对所述预设网络节点发送的报文进行识别,以从中获取ARP报文;
流量比对模块,用于在预设时长内统计获取的ARP报文的流量,并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对;其中,所述第一流量阈值小于所述第二流量阈值;
判断模块,用于根据比对结果,判断所述预设网络节点发送的ARP报文流量是否异常。
10.根据权利要求9所述的针对ARP攻击的管控系统,其特征在于,所述判断模块包括:
第一判定模块,用于当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时,判定所述预设网络节点发送的ARP报文流量存在异常;
第二判定模块,用于当所述统计的流量小于或者等于所述第一流量阈值时,判定所述预设网络节点发送的ARP报文流量正常。
CN201710187840.7A 2017-03-27 2017-03-27 一种针对arp攻击的管控方法及系统 Pending CN106888217A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710187840.7A CN106888217A (zh) 2017-03-27 2017-03-27 一种针对arp攻击的管控方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710187840.7A CN106888217A (zh) 2017-03-27 2017-03-27 一种针对arp攻击的管控方法及系统

Publications (1)

Publication Number Publication Date
CN106888217A true CN106888217A (zh) 2017-06-23

Family

ID=59181248

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710187840.7A Pending CN106888217A (zh) 2017-03-27 2017-03-27 一种针对arp攻击的管控方法及系统

Country Status (1)

Country Link
CN (1) CN106888217A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107295020A (zh) * 2017-08-16 2017-10-24 北京新网数码信息技术有限公司 一种地址解析协议攻击的处理方法及装置
CN108418794A (zh) * 2018-01-29 2018-08-17 全球能源互联网研究院有限公司 一种智能变电站通信网络抵御arp攻击的方法及系统
CN109040137A (zh) * 2018-10-10 2018-12-18 杭州安恒信息技术股份有限公司 用于检测中间人攻击的方法、装置以及电子设备
CN109981603A (zh) * 2019-03-07 2019-07-05 北京华安普特网络科技有限公司 Arp攻击监测系统及方法
CN110224947A (zh) * 2019-06-05 2019-09-10 东软集团股份有限公司 一种多核转发系统中的报文处理方法、装置及设备
WO2020187295A1 (zh) * 2019-03-20 2020-09-24 新华三技术有限公司 异常主机的监控

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119371A (zh) * 2007-08-28 2008-02-06 杭州华三通信技术有限公司 防范利用arp进行网络攻击的方法、客户端、服务器及系统
CN101247217A (zh) * 2008-03-17 2008-08-20 北京星网锐捷网络技术有限公司 防止地址解析协议流量攻击的方法、单元和系统
CN101345643A (zh) * 2007-07-09 2009-01-14 珠海金山软件股份有限公司 对网络设备进行预警的方法及装置
CN101494562A (zh) * 2009-03-18 2009-07-29 杭州华三通信技术有限公司 一种网络设备上终端表项的维护方法和一种网络设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345643A (zh) * 2007-07-09 2009-01-14 珠海金山软件股份有限公司 对网络设备进行预警的方法及装置
CN101119371A (zh) * 2007-08-28 2008-02-06 杭州华三通信技术有限公司 防范利用arp进行网络攻击的方法、客户端、服务器及系统
CN101247217A (zh) * 2008-03-17 2008-08-20 北京星网锐捷网络技术有限公司 防止地址解析协议流量攻击的方法、单元和系统
CN101494562A (zh) * 2009-03-18 2009-07-29 杭州华三通信技术有限公司 一种网络设备上终端表项的维护方法和一种网络设备

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107295020A (zh) * 2017-08-16 2017-10-24 北京新网数码信息技术有限公司 一种地址解析协议攻击的处理方法及装置
CN108418794A (zh) * 2018-01-29 2018-08-17 全球能源互联网研究院有限公司 一种智能变电站通信网络抵御arp攻击的方法及系统
CN109040137A (zh) * 2018-10-10 2018-12-18 杭州安恒信息技术股份有限公司 用于检测中间人攻击的方法、装置以及电子设备
CN109040137B (zh) * 2018-10-10 2021-04-09 杭州安恒信息技术股份有限公司 用于检测中间人攻击的方法、装置以及电子设备
CN109981603A (zh) * 2019-03-07 2019-07-05 北京华安普特网络科技有限公司 Arp攻击监测系统及方法
WO2020187295A1 (zh) * 2019-03-20 2020-09-24 新华三技术有限公司 异常主机的监控
JP2022525205A (ja) * 2019-03-20 2022-05-11 新華三技術有限公司 異常ホストのモニタニング
JP7228712B2 (ja) 2019-03-20 2023-02-24 新華三技術有限公司 異常ホストのモニタニング
CN110224947A (zh) * 2019-06-05 2019-09-10 东软集团股份有限公司 一种多核转发系统中的报文处理方法、装置及设备

Similar Documents

Publication Publication Date Title
CN106888217A (zh) 一种针对arp攻击的管控方法及系统
TWI528761B (zh) 網路訊務處理系統
Ramachandran et al. Detecting ARP spoofing: An active technique
CN1316369C (zh) 检测异常不成功的连接尝试次数的方法
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
CN101175078B (zh) 应用分布式阈值随机漫步的潜在网络威胁识别
Belenky et al. On deterministic packet marking
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
US20210185070A1 (en) Lightweight intrusion detection apparatus and method for vehicle network
CN101589595A (zh) 用于潜在被污染端系统的牵制机制
JP2006352669A (ja) 攻撃検知・防御システム
CN104883360B (zh) 一种arp欺骗的细粒度检测方法及系统
KR20120126674A (ko) 차단서버를 이용한 스푸핑 공격 방어방법
CN105337890B (zh) 一种控制策略生成方法以及装置
CN105812318B (zh) 用于在网络中防止攻击的方法、控制器和系统
US20220174072A1 (en) Data Processing Method and Device
CN114268429A (zh) 特定终端加密通信接入设备
KR101209214B1 (ko) 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법
CN109981603A (zh) Arp攻击监测系统及方法
US20210314366A1 (en) Network Security System Using Statistical Object Identification
CN101888296A (zh) 一种影子用户检测方法、装置、设备和系统
EP2007066A9 (en) A policy enforcement point and a linkage method and system for intrude detection system
Kim et al. A slow port scan attack detection mechanism based on fuzzy logic and a stepwise policy
Fayyaz et al. Using JPCAP to prevent man-in-the-middle attacks in a local area network environment
CN113014530B (zh) Arp欺骗攻击防范方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170623