CN109040137B - 用于检测中间人攻击的方法、装置以及电子设备 - Google Patents
用于检测中间人攻击的方法、装置以及电子设备 Download PDFInfo
- Publication number
- CN109040137B CN109040137B CN201811180865.5A CN201811180865A CN109040137B CN 109040137 B CN109040137 B CN 109040137B CN 201811180865 A CN201811180865 A CN 201811180865A CN 109040137 B CN109040137 B CN 109040137B
- Authority
- CN
- China
- Prior art keywords
- mapping relation
- handle data
- network communication
- address
- man
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用于检测中间人攻击的方法、装置以及电子设备,涉及网络检测技术领域,包括:统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系得到第一映射关系,统计网络通信在第一映射关系下的句柄数据得到第一句柄数据;采集当前网络通信中的IP地址与MAC地址之间的映射关系得到第二映射关系;将第一映射关系与第二映射关系进行对比,若第二映射关系与第一映射关系不相符则采集当前网络通信在第二映射关系下的句柄数据得到第二句柄数据;将第一句柄数据与第二句柄数据进行对比,若第二句柄数据与第一句柄数据不相符则确定当前网络通信中存在中间人攻击,解决了中间人攻击的发生难以有效的检测出的技术问题。
Description
技术领域
本发明涉及网络检测技术领域,尤其是涉及一种用于检测中间人攻击的方法、装置以及电子设备。
背景技术
中间人攻击(Man-in-the-Middle Attack,简称MITM)是一种由来已久的网络入侵手段,并且当今仍然有着广泛的发展空间,如Server Message Block(简称SMB)会话劫持、域名系统(Domain Name System,简称DNS)欺骗等攻击都是典型的MITM攻击。
随着计算机通信网技术的不断发展,MITM攻击越来越多样化。最初,攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定的流量就可以实现攻击,这是因为很多通信协议都是以明文来进行传输的,如超文本传输协议(Hyper Text Transfer Protocol,简称HTTP)、文件传输协议(File Transfer Protocol,简称FTP)、远程终端协议(Telnet)等。后来,随着交换机代替集线器,简单的嗅探攻击已经不能成功,必须进行地址解析协议(Address Resolution Protocol,简称ARP)欺骗才行。
简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。目前,在网络通信过程中,中间人攻击的发生难以有效的检测出。
发明内容
有鉴于此,本发明的目的在于提供一种用于检测中间人攻击的方法、装置以及电子设备,以解决现有技术中存在的在网络通信过程中,中间人攻击的发生难以有效的检测出的技术问题。
第一方面,本发明实施例提供了一种用于检测中间人攻击的方法,应用于网络监视器,包括:
统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据,得到第一句柄数据;
采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系;
将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据;
将所述第一句柄数据与所述第二句柄数据进行对比,若所述第二句柄数据与所述第一句柄数据不相符,则确定当前网络通信中存在中间人攻击。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系,包括:
通过网络探针采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据,包括:
检测当前网络通信在所述第二映射关系下的Register Session命令,并采集所述Register Session命令所产生的句柄数据,得到第二句柄数据。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,确定当前网络通信中存在中间人攻击之后,还包括:发出一级警报。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,确定当前网络通信中存在中间人攻击之后,还包括:
检测所述Register Session命令的执行内容;
若所述执行内容包括预设操作内容,则发出二级警报。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述预设操作内容包括以下至少之一:
启动控制器、停止控制器、关闭警报器、寄存器读写操作。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述第一映射关系为每个独立的IP地址分别与一个MAC地址之间的一一对应关系;
所述第二映射关系与所述第一映射关系不相符的情况包括:在所述第二映射关系中,一个独立的IP地址对应多个MAC地址。
第二方面,本发明实施例还提供一种用于检测中间人攻击的装置,应用于网络监视器,包括:
统计模块,用于统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据,得到第一句柄数据;
采集模块,用于采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系;
对比模块,用于将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集模块还用于采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据;
对比模块还用于将所述第一句柄数据与所述第二句柄数据进行对比;
确定模块,用于在所述第二句柄数据与所述第一句柄数据不相符的情况下,确定当前网络通信中存在中间人攻击。
第三方面,本发明实施例还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述如第一方面所述的方法的步骤。
第四方面,本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行如第一方面所述的方法。
本发明实施例提供的技术方案带来了以下有益效果:本发明实施例提供的用于检测中间人攻击的方法、装置以及电子设备。首先,统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系从而得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据从而得到第一句柄数据;然后,采集当前网络通信中的IP地址与MAC地址之间的映射关系从而得到第二映射关系;之后,将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集当前网络通信在所述第二映射关系下的句柄数据从而得到第二句柄数据;将所述第一句柄数据与所述第二句柄数据进行对比,若所述第二句柄数据与所述第一句柄数据不相符,则确定当前网络通信中存在中间人攻击,因此,通过将当前进行的IP地址与MAC地址之间的映射关系与正常情况的映射关系进行对比,在检测出IP地址与MAC地址之间映射关系有所不相符之时,再将当前映射关系下的句柄数据与正常情况的句柄数据进行对比,从而判断出句柄数据是否也与正常情况的不相符,若句柄数据也不同,则检测出了出存在中间人攻击的情况,通过IP地址与MAC地址之间映射关系以及句柄数据等多个方面,能够更加有效的检测是否发生了中间人攻击,从而实现了当网络通信过程中发生了中间人攻击时,能够及时、有效的检测出间人攻击,从而解决了现有技术中存在的在网络通信过程中,中间人攻击的发生难以有效的检测出的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例一所提供的用于检测中间人攻击的方法的流程图;
图2示出了本发明实施例二所提供的用于检测中间人攻击的方法的流程图;
图3示出了本发明实施例二所提供的CIP协议数据包结构示意图;
图4示出了本发明实施例三所提供的一种用于检测中间人攻击的装置的结构示意图;
图5示出了本发明实施例四所提供的一种电子设备的结构示意图。
图标:3-用于检测中间人攻击的装置;31-统计模块;32-采集模块;33-对比模块;34-确定模块;4-电子设备;41-存储器;42-处理器;43-总线;44-通信接口。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,ARP协议是一个高效的数据链路层协议,但同时也是一个“无状态”协议,存在着以下一些缺陷:ARP协议没有连接的概念,任意主机即使在没有ARP请求的时候也可以做出应答,这就导致了任何主机都可以向被攻击者发送假冒的ARP应答包;ARP协议没有认证机制,对数据的发送及接收方都不做任何认证,只要接收到的协议包是有效的,主机就无条件地根据协议包的内容刷新本机ARP缓存。因此攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存,进行地址欺骗或拒绝服务攻击。
例如,网络节点A和网络节点C进行通信。此时,如果有黑客(节点B)想探听节点A和节点C之间的通信,节点B可以分别给这两台主机发送伪造的ARP应答报文,使节点A和节点C用B的媒体接入控制(Medium Access Control,简称MAC)地址更新自身ARP映射表中与对方IP地址相应的表项,于是,节A和节点C之间的通信,都是通过黑客所在的主机间接进行的,即节点B担当了“中间人”的角色,可以对信息进行了窃取和篡改,这种攻击方式就称作“ARP中间人攻击”。但是,目前在网络通信过程中,中间人攻击的发生难以有效的检测出。
基于此,本发明实施例提供的一种用于检测中间人攻击的方法、装置以及电子设备,可以解决现有技术中存在的在网络通信过程中,中间人攻击的发生难以有效的检测出的技术问题。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种用于检测中间人攻击的方法、装置以及电子设备进行详细介绍。
实施例一:
本发明实施例提供的一种用于检测中间人攻击的方法,应用于网络监视器,如图1所示,包括:
S11:统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在第一映射关系下的句柄数据,得到第一句柄数据。
在正常情况下,通过网络探针采集并统计一段时期内的独立IP地址与独立MAC地址的映射关系数据,并采集、记录在IP地址和MAC地址相匹配情况下生成的会话句柄标识符数据,得到一系列IP地址和MAC相匹配情况下的基线,及IP地址与MAC地址匹配下生成的会话句柄标识符的数据基线,统计的数据及基线用于为之后的步骤中进行异常比较。
S12:采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系。
S13:将第一映射关系与第二映射关系进行对比,判断第二映射关系与第一映射关系是否相符。若否,则进行步骤S14。
优选的,通过网络探针采集实际情况中每个独立的IP地址与MAC地址映射关系数据,并将其与正常情况下IP地址和MAC相匹配的基线进行比较,检测比较结果中二者是否相符。
S14:采集当前网络通信在第二映射关系下的句柄数据,得到第二句柄数据。
当出现一个IP地址起源于两个或多个不同的MAC地址时,即实际情况的地址映射关系与正常情况的地址映射关系不相符,便再检测Register Session命令(一种以太网通信指令),并跟踪、记录该命令生成的会话句柄标识符。
S15:将第一句柄数据与第二句柄数据进行对比,判断第二句柄数据与第一句柄数据是否相符。若否,则进行步骤S16。
本步骤中,将当前记录下的会话句柄标识符与之前步骤S11中统计的、相对应的会话句柄标识符的数据相比较,判断在实际情况中是否产生了新的会话句柄标识符。
S16:确定当前网络通信中存在中间人攻击。
如果会话句柄标识符发生了变化,即实际情况的会话句柄标识符与步骤S11中统计的会话句柄标识符不相符,则确定当前网络通信中存在中间人攻击并发出警告,还可以生成日志并通知管理员网络可能存在中间人入侵。
本实施例中,采用相关数据基线,根据每个独立的IP地址和相对应的MAC地址的匹配情况,以及产生的会话句柄标识符的匹配情况,来检测中间人攻击的发生,因此,当发生了中间人攻击时,便能够及时、有效的检测出间人攻击。
实施例二:
本发明实施例提供的一种用于检测中间人攻击的方法,应用于网络监视器,如图2所示,包括:
S21:统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在第一映射关系下的句柄数据,得到第一句柄数据。
作为本实施例的优选实施方式,第一映射关系为每个独立的IP地址分别与一个MAC地址之间的一一对应关系。
进一步的是,数据收集模块可以通过网络探针收集、统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,此预设时间的时间段可以是一周,也可以是一个月,只要确保这段时间是网络通信处于正常状态的时期即可。
S22:通过网络探针采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系。
S23:将第一映射关系与第二映射关系进行对比,判断第二映射关系与第一映射关系是否相符。若否,则进行步骤S24。
其中,第二映射关系与第一映射关系不相符的情况包括:在第二映射关系中,一个独立的IP地址对应多个MAC地址。因此,当出现一个IP地址起源于两个或多个不同的MAC地址时,则实际情况的地址映射关系与正常情况的地址映射关系不相符。
S24:检测当前网络通信在第二映射关系下的Register Session命令,并采集Register Session命令所产生的句柄数据,得到第二句柄数据。
在实际应用中,通过网络监视器,检测Register Session命令所产生的会话句柄标识符,由于攻击者并不知道正常情况下默认的会话句柄标识符,无法建立通信,所以攻击者会向目标主机发出Register Session命令,产生一个新的会话句柄,本实施例中,便跟踪并记录新产生的会话句柄。
S25:将第一句柄数据与第二句柄数据进行对比,判断第二句柄数据与第一句柄数据是否相符。若否,则进行步骤S26。
具体的,将当前产生的会话句柄与之前步骤S21中记录的会话句柄基线相比较,判断是否产生了新的会话句柄标识符,即当前产生的会话句柄数据与步骤S21中记录的会话句柄数据是否相符,不相符则说明产生了新的之前在正常情况下未曾出现过的会话句柄标识符。
若是,则返回步骤S22,即如果当前产生的会话句柄数据(即第二句柄数据)与步骤S21中记录的会话句柄数据(即第一句柄数据)相符,则重新进行步骤S22至步骤S25。
S26:确定当前网络通信中存在中间人攻击。
如果发现当前产生的会话句柄数据与步骤S21中记录的会话句柄数据不相同,即产生了新的之前在正常情况下未曾出现过的会话句柄标识符,则确定当前网络通信中存在中间人攻击的概率较高。
S27:发出一级警报。
作为本实施例的优选实施方式,预警单元可以发出警告,同时生成日志并通知管理员极有可能存在中间人入侵,提示工作人员及时做出预防处理。
S28:检测Register Session命令的执行内容,判断执行内容是否包括预设操作内容;若是,则执行步骤S29。
在实际应用中,预设操作内容包括以下至少之一:启动控制器、停止控制器、关闭警报器、寄存器读写操作。本步骤中,继续监听检测这组会话句柄后续的执行操作,如发生系统操作,例如启动、停止控制器,读、写保留寄存器,关闭控制器异常报警等,则进行步骤S29。
若否,则返回步骤S22,即如果之后执行的操作没有发生启动、停止控制器,读、写保留寄存器,关闭控制器异常报警等系统操作,则重新进行步骤S22至步骤S28。
S29:发出二级警报。
如有步骤S28中的这些操作,则发出警告,生产日志并通知管理人员网络中存在中间人攻击。
作为一个优选方案,本实施例提供的用于检测中间人攻击的方法,可以作为检测利用以太网工业协议(简称Ethernet/IP协议)实施中间人攻击的方法。其中,Ethernet/IP协议与Modbus通讯协议(简称Modbus协议)不同,简单的中间人攻击对于Ether Net/IP协议并没有用。Ether Net/IP是为了在以太网中使用CIP协议而进行的封装。Ether Net/IP的通用工业协议(简称CIP)帧封装了命令、数据点和消息等信息。CIP帧包括CIP设备配置文件层、应用层、表示层和会话层四层。数据包的其余部分是Ether Net/IP帧,CIP帧通过它们在以太网上传输。
需要说明的是,CIP规范对数据包结构有很多的规定,每个使用Ether Net/IP的设备必须实现符合规范的命令。Ether Net/IP首部中封装的CIP帧字段,如图3所示,CIP协议数据包结构中:命令为两字节整数,对应一个CIP命令,CPI标准要求设备必须能接收无法识别的命令字段,并处理这种异常;长度为两字节整数,代表数据包中数据部分的长度,对于没有数据部分的请求报文,该字段为0;会话句柄(session handle)由目标设备生成,并返回给会话的发起者,该句柄将用于后续与目标设备的通信;状态码反映了数据包接收方执行发送的特定命令的能力,状态码为0表示命令成功执行;发送方上下文,命令发送方将生成六个字节的值,接收方不对该数值进行改动并将其返回;选项的该字段值应始终为0,如果该字段值不为0,数据包将被丢弃;命令相关数据的该字段内容根据接受和发送的命令自身情况而改变。
如果发送方是工程师站,那么发送方和接收方之间的大多数通信会话开始时都会使用List Identity命令。但是使用此命令时,只需要对其稍加改动就可以实现数据包的重放,或者根本不需要对数据包进行修改。会话句柄将被设置为0,并且由于该命令只是简单的发送命令和接收系统响应命令,因此无需建立会话。如果想与设备进一步通信,则需要执行Register Session命令。此命令用于申请会话句柄标识符(Session Handle ID)。
通过统计、计算得到每个独立的IP地址与其相对应的MAC地址的匹配情况、以及对应会话句柄数据的基线。然后,进入正式监测过程,即将实际数据与之相对比,在检测出一个IP地址起源于两个或多个不同的MAC地址时,检测Register Session命令,并跟踪、记录Register Session命令新产生的会话句柄,如果发现该会话句柄与之前统计的话句柄数据基线不符合,则发出警告、生成日志并提醒管理员检测到中间人攻击等执行一级报警。之后继续监听这组会话句柄,如果发现有异常操作,例如:启动、停止控制器等,则通知管理人员网络存在中间人攻击等二级报警,从而能够准确、高效的检测出中间人攻击的发生。
实施例三:
本发明实施例提供的一种用于检测中间人攻击的装置,应用于网络监视器,如图4所示,用于检测中间人攻击的装置3包括:统计模块31、采集模块32、对比模块33以及确定模块34。
其中,统计模块用于统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在第一映射关系下的句柄数据,得到第一句柄数据。
作为本实施例的优选实施方式,采集模块用于采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系。
具体的,对比模块用于将第一映射关系与第二映射关系进行对比,若第二映射关系与第一映射关系不相符,则采集模块还用于采集当前网络通信在第二映射关系下的句柄数据,得到第二句柄数据。
优选的,对比模块还用于将第一句柄数据与第二句柄数据进行对比。确定模块用于在第二句柄数据与第一句柄数据不相符的情况下,确定当前网络通信中存在中间人攻击。
实施例四:
本发明实施例提供的一种电子设备,如图5所示,电子设备4包括存储器41、处理器42,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例一或实施例二提供的方法的步骤。
参见图5,电子设备还包括:总线43和通信接口44,处理器42、通信接口44和存储器41通过总线43连接;处理器42用于执行存储器41中存储的可执行模块,例如计算机程序。
其中,存储器41可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口44(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线43可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器41用于存储程序,所述处理器42在接收到执行指令后,执行所述程序,前述本发明任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器42中,或者由处理器42实现。
处理器42可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器42中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器42可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41,处理器42读取存储器41中的信息,结合其硬件完成上述方法的步骤。
实施例五:
本发明实施例提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述实施例一或实施例二提供的方法。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例提供的具有处理器可执行的非易失的程序代码的计算机可读介质,与上述实施例提供的用于检测中间人攻击的方法、装置以及电子设备具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明实施例所提供的进行用于检测中间人攻击的方法的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (7)
1.一种用于检测中间人攻击的方法,应用于网络监视器,其特征在于,包括:
统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据,得到第一句柄数据;
采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系;
将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据;
将所述第一句柄数据与所述第二句柄数据进行对比,若所述第二句柄数据与所述第一句柄数据不相符,则确定当前网络通信中存在中间人攻击;
采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据,包括:
检测当前网络通信在所述第二映射关系下的Register Session命令,并采集所述Register Session命令所产生的句柄数据,得到第二句柄数据;
确定当前网络通信中存在中间人攻击之后,还包括:
检测所述Register Session命令的执行内容;
若所述执行内容包括预设操作内容,则发出二级警报。
2.根据权利要求1所述的用于检测中间人攻击的方法,其特征在于,采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系,包括:
通过网络探针采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系。
3.根据权利要求1所述的用于检测中间人攻击的方法,其特征在于,确定当前网络通信中存在中间人攻击之后,还包括:发出一级警报。
4.根据权利要求1所述的用于检测中间人攻击的方法,其特征在于,所述预设操作内容包括以下至少之一:
启动控制器、停止控制器、关闭警报器、寄存器读写操作。
5.根据权利要求1所述的用于检测中间人攻击的方法,其特征在于,所述第一映射关系为每个独立的IP地址分别与一个MAC地址之间的一一对应关系;
所述第二映射关系与所述第一映射关系不相符的情况包括:在所述第二映射关系中,一个独立的IP地址对应多个MAC地址。
6.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至5任一项所述的方法的步骤。
7.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至5任一所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811180865.5A CN109040137B (zh) | 2018-10-10 | 2018-10-10 | 用于检测中间人攻击的方法、装置以及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811180865.5A CN109040137B (zh) | 2018-10-10 | 2018-10-10 | 用于检测中间人攻击的方法、装置以及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109040137A CN109040137A (zh) | 2018-12-18 |
CN109040137B true CN109040137B (zh) | 2021-04-09 |
Family
ID=64616068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811180865.5A Active CN109040137B (zh) | 2018-10-10 | 2018-10-10 | 用于检测中间人攻击的方法、装置以及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109040137B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110233819B (zh) * | 2019-01-31 | 2022-06-24 | 四川大学 | 一种基于流量监测的智能家居威胁感知与管控系统 |
WO2022116147A1 (zh) * | 2020-12-04 | 2022-06-09 | 华为技术有限公司 | 一种检测蓝牙漏洞攻击的方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102902925A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 一种染毒文件的处理方法和系统 |
CN103136468A (zh) * | 2011-12-12 | 2013-06-05 | 微软公司 | 协助用于硬件保护的应用程序的系统服务请求交互 |
CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及系统 |
CN107302527A (zh) * | 2017-06-09 | 2017-10-27 | 北京奇安信科技有限公司 | 一种设备异常检测方法及装置 |
-
2018
- 2018-10-10 CN CN201811180865.5A patent/CN109040137B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103136468A (zh) * | 2011-12-12 | 2013-06-05 | 微软公司 | 协助用于硬件保护的应用程序的系统服务请求交互 |
CN102902925A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 一种染毒文件的处理方法和系统 |
CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及系统 |
CN107302527A (zh) * | 2017-06-09 | 2017-10-27 | 北京奇安信科技有限公司 | 一种设备异常检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109040137A (zh) | 2018-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
US7562390B1 (en) | System and method for ARP anti-spoofing security | |
CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
EP3437290B1 (en) | Detecting computer security threats | |
EP3437291B1 (en) | Network traffic threat identification | |
US8321943B1 (en) | Programmatic communication in the event of host malware infection | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
CN111800412B (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
TW201703465A (zh) | 網路異常偵測技術 | |
CN104811449A (zh) | 检测撞库攻击方法及系统 | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
CN109451091B (zh) | 防护方法及代理设备 | |
CN109040137B (zh) | 用于检测中间人攻击的方法、装置以及电子设备 | |
US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
CN110061998B (zh) | 一种攻击防御方法及装置 | |
CN110830487A (zh) | 物联网终端的异常状态识别方法、装置及电子设备 | |
US10547638B1 (en) | Detecting name resolution spoofing | |
US11689928B2 (en) | Detecting unauthorized access to a wireless network | |
CN115412265A (zh) | 域名劫持的监测方法、装置、设备及计算机可读存储介质 | |
CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
CN106603335B (zh) | 私有软件流量监控方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang Province, 310000 Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: 310000 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou Anheng Information Technology Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |