CN112333146B - 变电智能网关arp安全防御方法及变电智能网关 - Google Patents
变电智能网关arp安全防御方法及变电智能网关 Download PDFInfo
- Publication number
- CN112333146B CN112333146B CN202010997151.4A CN202010997151A CN112333146B CN 112333146 B CN112333146 B CN 112333146B CN 202010997151 A CN202010997151 A CN 202010997151A CN 112333146 B CN112333146 B CN 112333146B
- Authority
- CN
- China
- Prior art keywords
- gateway
- terminal
- arp
- mac
- power transformation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000007123 defense Effects 0.000 title claims abstract description 30
- 230000009466 transformation Effects 0.000 title claims abstract description 25
- 238000012795 verification Methods 0.000 claims abstract description 31
- 238000010276 construction Methods 0.000 abstract description 3
- 206010063385 Intellectualisation Diseases 0.000 abstract description 2
- 230000000694 effects Effects 0.000 abstract description 2
- 230000001788 irregular Effects 0.000 abstract description 2
- 238000012544 monitoring process Methods 0.000 description 6
- 238000013507 mapping Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种变电智能网关ARP安全防御方法及变电智能网关,包括以下步骤:S1.定时或不定时向局域网中的多个终端获取ARP缓存表;S2.查找是否存在对应于两个或两个以上MAC的IP,若是,则执行步骤S3;S3.提取具有相同IP的MAC地址,并分别向提取的各AMC地址发送验证密码请求;S4.剔除未发送正确验证密码的终端。本发明具有更好的ARP安全防御效果,为电网信息化和智能化建设保驾护航。
Description
技术领域
本发明属于网络安全技术领域,尤其是涉及一种变电智能网关ARP安全防御方法及变电智能网关。
背景技术
随着无线、网络技术的发展,电网大力推进产域信息化和智能化建设,信息化与智能化电网离不开网络,但是网络最大的弊端就是存在被攻击风险,而在电网中,信息化和智能化建设虽然能够全面提高生产工作效率和效益,但若遭到木马病毒攻击其造成的损失却是重大的。如目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等后果。
现有技术中,针对ARP攻击通常采用两种方式,一种是人工手动监测,网络管理员可以通过命令查看终端的ARP缓存表,或路由器的ARP缓存表;还有一种是主动监测,主动监测能够动态的监测局域网内针对本终端和针对网关的ARP欺骗;人工监测的方式存在监测不及时,人力投入大等缺点;主动监测如果配置错误,ARP防火墙会向局域网内发送大量的ARP报文,造成ARP报文的广播风暴,影响网络通信。
发明内容
本发明的目的是针对上述问题,提供一种变电智能网关ARP安全防御方法;
本发明的另一目的是针对上述问题,提供一种基于变电智能网关ARP安全防御方法的变电智能网关。
为达到上述目的,本发明采用了下列技术方案:
一种变电智能网关ARP安全防御方法,包括以下步骤:
S1.定时或不定时向局域网中的多个终端获取ARP缓存表;
S2.查找是否存在对应于两个或两个以上MAC的IP,若是,则执行步骤S3;
S3.提取具有相同IP的MAC地址,并分别向提取的各AMC地址发送验证密码请求;
S4.剔除未发送正确验证密码的终端。
在上述的变电智能网关ARP安全防御方法中,在步骤S1之前还包括:
S01.接收请求连接的终端的连接请求;
S02.判断所述终端的合法性;
S03.接受合法终端的连接请求并授予合法终端验证密码。
在上述的变电智能网关ARP安全防御方法中,步骤S01~S03针对于首次请求连接的终端。
在上述的变电智能网关ARP安全防御方法中,在步骤S02中,通过以下方式判断终端的合法性:
S021.向终端请求入网许可码;
S022.接收终端的入网许可码并判断所述终端的合法性。
在上述的变电智能网关ARP安全防御方法中,在步骤S03中,所述的验证密码为随机密码,且网关授予合法终端验证密码后记录所述合法终端的MAC地址与所述验证密码的对应关系;
在步骤S022中,终端将所述入网许可码进行加密后发送给所述的网关;
在步骤S4中,终端将所述验证密码进行加密后发送给所述的网关;
且所述的网关包括有用于解密所述入网许可码和验证密码的解密模块。
在上述的变电智能网关ARP安全防御方法中,所述的网关记录有自己的网关IP和网关MAC,且在步骤S2中还包括:
查找所有ARP缓存表中的网关IP所对应的MAC,若存在任意网关IP所对应的MAC不是网关MAC,则提取该网关IP所对应的MAC,将该MAC对应的设备剔除和/或上报给管理后台。
在上述的变电智能网关ARP安全防御方法中,步骤S4之后还包括,将剔除终端的MAC地址加入黑名单。
在上述的变电智能网关ARP安全防御方法中,步骤S4之后还包括,将剔除终端的MAC地址发送给管理后台。
在上述的变电智能网关ARP安全防御方法中,步骤S4之后还包括,通知所有终端非法终端的MAC地址,并使终端更新ARP缓存表。
一种基于权利要求1-9任意一项所述的变电智能网关ARP安全防御方法的变电智能网关。
本发明的优点在于:具有更好的ARP安全防御效果,为电网信息化和智能化建设保驾护航;无需人为监测,保证监测的及时性,也不会出现因为配置错误等原因造成ARP报文的广播风暴问题;能够很好地解决域网内因为非法收设备冒充合法终端或网关导致的终端之间的交互数据包被劫持或整个局域网发送给互联网的数据包被监听等问题。
附图说明
图1是本发明安全防御方法中对非法终端的识别方法流程图;
图2是本发明安全防御方法中判断终端合法性的方法流程图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步详细的说明。
局域网中为了保证信息传输效率,通常默认局域网内的设备是可信的,这也使非法设备有机可乘,使非法设备能够通过假冒局域网中的任意终端获取局域网内终端之间的交互数据包,甚至通过假冒网关监听到整个局域网发送给互联网的数据包。本方案利用局域网内的任意一个终端都有一个ARP缓存表,各终端的ARP缓存表保存着本机已知的局域网内各终端和路由器的IP地址和MAC地址的映射关系,提出一种变电智能网关ARP安全防御方法及使用该方法进行ARP安全防御的变电智能网关,如图1和图2所示,方法包括以下步骤:
S1.定时或不定时向局域网中的多个终端获取ARP缓存表;这里优选定时,如每隔1分钟、2分钟、3分钟、5分钟、30秒等时间间隔;
S2.查找是否存在对应于两个或两个以上MAC的IP,若是,则执行步骤S3;
S3.提取具有相同IP的MAC地址,并分别向提取的各AMC地址发送验证密码请求;
S4.剔除未发送正确验证密码的终端。
由于每个终端的ARP缓存表不是固定的,且存在缓存周期,所以当冒充网内任一非法终端混入网时,与该非法终端通信的终端中的ARP缓存表会更新相应的映射关系,如终端A的缓存表里终端B的IP-MAC映射关系为MAC-B—IP-B,当非法终端C冒充终端B时,基于信任,A终端会更改ARP缓存表中终端B的IP-MAC映射关系为MAC-C—IP-B,即将非法终端C误认为终端B。但是网内还有其他终端具有终端B的IP-MAC映射关系,网关查询所有ARP缓存表,当同一个IP地址对应有两个MAC地址时,其中一个MAC地址的终端很可能是非法终端,所以网关同时向所有可疑终端要求发送验证密码,只有当终端发送了正确的验证密码才确认他的合法性,否则将其剔除,同时将剔除终端的MAC地址加入黑名单,并将剔除终端的MAC地址发送给管理后台,以及通知所有终端非法终端的MAC地址,并使终端更新ARP缓存表。
对于首次请求连接的终端,网关先对其进行入网验证:
S01.网关接收请求连接的终端的连接请求;
S021.网关向终端请求入网许可码;
S022.用户在终端中输入正确的入网许可码,网关接收终端的入网许可码并判断是否正确,若是则判断终端合法;
S03.接受合法终端的连接请求并授予合法终端验证密码。
优选地,在步骤S03中,验证密码为随机密码,且网关授予合法终端验证密码后记录合法终端的MAC地址与所述验证密码的对应关系以便步骤S4判断可疑终端是否为非法终端。
优选地,在步骤S022中,终端将入网许可码进行加密后发送给网关;
在步骤S4中,终端将验证密码进行加密后发送给网关;
且网关包括有用于解密入网许可码和验证密码的解密模块。
入网许可码和验证密码可以通过同一种加密技术加密,也可以通过不同加密技术加密,具体采用的加密技术这里不进行限制,可以为单向加密,也可以为对称加密等。这里采用加密的方式进行验证密码和入网许可码的加密传输,进一步提高ARP防御能力,保证网络安全性。
优选地,网关在很多时候也不可避免地会被冒充,本方法通过以下方式防御网关被冒充的情况:
网关记录有自己的网关IP和网关MAC,且在步骤S2中还包括:
查找所有获取到的ARP缓存表中的网关IP所对应的MAC,若存在任意网关IP所对应的MAC不是网关MAC,则提取该网关IP所对应的MAC,将该MAC对应的设备剔除,并上报给管理后台,同时通知所有终端更新ARP缓存表。
如网关C记录自己的网关IP为IP-C,自己的网关MAC为MAC-C,某个ARP缓存表中的IP-C所对应的MAC地址为MAC-D,则提取MAC-D,将MAC-D对应的设备剔除,并上报给管理后台,同时通知所有终端更新ARP缓存表,此MAC-D便被整个局域网认为为非法设备,它冒充任意终端或网关都不会再成功。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了终端、ARP缓存表、IP地址、MAC地址、验证密码、入网许可码等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。
Claims (7)
1.一种变电智能网关ARP安全防御方法,其特征在于,包括以下步骤:
S1.定时或不定时向局域网中的多个终端获取ARP缓存表;
S2.查找是否存在对应于两个或两个以上MAC的IP,若是,则执行步骤S3;
S3.提取具有相同IP的MAC地址,并分别向提取的各MAC地址发送验证密码请求;
S4.剔除未发送正确验证密码的终端;
针对首次请求连接的终端,执行以下步骤:
S01.接收请求连接的终端的连接请求;
S02.向终端请求入网许可码,接收终端的入网许可码并判断所述终端的合法性;
S03.接受合法终端的连接请求并授予合法终端验证密码。
2.根据权利要求1所述的变电智能网关ARP安全防御方法,其特征在于,在步骤S03中,所述的验证密码为随机密码,且网关授予合法终端验证密码后记录所述合法终端的MAC地址与所述验证密码的对应关系;
在步骤S022中,终端将所述入网许可码进行加密后发送给所述的网关;
在步骤S4中,终端将所述验证密码进行加密后发送给所述的网关;
且所述的网关包括有用于解密所述入网许可码和验证密码的解密模块。
3.根据权利要求2所述的变电智能网关ARP安全防御方法,其特征在于,所述的网关记录有自己的网关IP和网关MAC,且在步骤S2中还包括:
查找所有ARP缓存表中的网关IP所对应的MAC,若存在任意网关IP所对应的MAC不是网关MAC,则提取该网关IP所对应的MAC,将该MAC对应的设备剔除和/或上报给管理后台。
4.根据权利要求3所述的变电智能网关ARP安全防御方法,其特征在于,步骤S4之后还包括,将剔除终端的MAC地址加入黑名单。
5.根据权利要求4所述的变电智能网关ARP安全防御方法,其特征在于,步骤S4之后还包括,将剔除终端的MAC地址发送给管理后台。
6.根据权利要求5所述的变电智能网关ARP安全防御方法,其特征在于,步骤S4之后还包括,通知所有终端非法终端的MAC地址,并使终端更新ARP缓存表。
7.一种基于权利要求1-6任意一项所述的变电智能网关ARP安全防御方法的变电智能网关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010997151.4A CN112333146B (zh) | 2020-09-21 | 2020-09-21 | 变电智能网关arp安全防御方法及变电智能网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010997151.4A CN112333146B (zh) | 2020-09-21 | 2020-09-21 | 变电智能网关arp安全防御方法及变电智能网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112333146A CN112333146A (zh) | 2021-02-05 |
| CN112333146B true CN112333146B (zh) | 2023-04-18 |
Family
ID=74303214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010997151.4A Active CN112333146B (zh) | 2020-09-21 | 2020-09-21 | 变电智能网关arp安全防御方法及变电智能网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112333146B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577723A (zh) * | 2009-06-03 | 2009-11-11 | 杭州华三通信技术有限公司 | 一种防止邻居发现协议报文攻击的方法及装置 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| CN107483478A (zh) * | 2017-09-08 | 2017-12-15 | 绵阳西真科技有限公司 | 一种arp攻击主动防御方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101001900B1 (ko) * | 2008-09-25 | 2010-12-17 | 주식회사 안철수연구소 | Arp 공격 감지 방법 및 이를 이용한 시스템 |
| CN101951367A (zh) * | 2010-09-09 | 2011-01-19 | 健雄职业技术学院 | 一种校园网防范arp病毒入侵的方法 |
| CN104796409A (zh) * | 2015-03-29 | 2015-07-22 | 胡清桂 | 一种局域网远程连接查找arp病毒源主机的方法 |
| CN105282141A (zh) * | 2015-09-08 | 2016-01-27 | 北京元心科技有限公司 | 检测智能终端接入的无线网络的安全性的方法及智能终端 |
| CN106506534B (zh) * | 2016-12-09 | 2019-09-27 | 河南工业大学 | 一种sdn网络的arp攻击检测方法 |
| CN108574672A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于移动终端的arp攻击感知的方法及装置 |
| CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN107222462A (zh) * | 2017-05-08 | 2017-09-29 | 汕头大学 | 一种局域网内部攻击源的自动定位、隔离方法 |
| CN108768937B (zh) * | 2018-04-13 | 2021-06-25 | 上海尚往网络科技有限公司 | 一种用于检测无线局域网中arp欺骗的方法与设备 |
-
2020
- 2020-09-21 CN CN202010997151.4A patent/CN112333146B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577723A (zh) * | 2009-06-03 | 2009-11-11 | 杭州华三通信技术有限公司 | 一种防止邻居发现协议报文攻击的方法及装置 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| CN107483478A (zh) * | 2017-09-08 | 2017-12-15 | 绵阳西真科技有限公司 | 一种arp攻击主动防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112333146A (zh) | 2021-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9723019B1 (en) | Infected endpoint containment using aggregated security status information | |
| US20180013786A1 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks | |
| US7472414B2 (en) | Method of processing data traffic at a firewall | |
| AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
| US20070294759A1 (en) | Wireless network control and protection system | |
| Hongsong et al. | Security and trust research in M2M system | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| US11197160B2 (en) | System and method for rogue access point detection | |
| CN107438074A (zh) | 一种DDoS攻击的防护方法及装置 | |
| Srinath et al. | Detection and Prevention of ARP spoofing using Centralized Server | |
| US20230239693A1 (en) | Association control method and related apparatus | |
| Oh et al. | ASA: agent-based secure ARP cache management | |
| Wong et al. | Network infrastructure security | |
| Bonaventura et al. | Smart Bulbs can be Hacked to Hack into your Household | |
| Wanying et al. | The study of security issues for the industrial control systems communication protocols | |
| Singh et al. | A detailed survey of ARP poisoning detection and mitigation techniques | |
| CN112333146B (zh) | 变电智能网关arp安全防御方法及变电智能网关 | |
| CN103916359A (zh) | 防止网络中arp中间人攻击的方法和装置 | |
| Nenovski et al. | Real-world ARP attacks and packet sniffing, detection and prevention on windows and android devices | |
| Kleberger et al. | Securing vehicle diagnostics in repair shops | |
| US11539741B2 (en) | Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices | |
| CN114598724A (zh) | 电力物联网的安全防护方法、装置、设备及存储介质 | |
| CN107395764B (zh) | 在不同数据域内的设备间进行数据交换的方法及系统 | |
| CN117641355B (zh) | 一种网络接入方法、系统、设备、可存储介质及通信方法 | |
| Holik | Protecting IoT Devices with Software-Defined Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No.32, Haifu Road, Meilan District, Haikou City, Hainan Province, 570203 Patentee after: Southern Power Grid Digital Grid Group (Hainan) Co.,Ltd. Country or region after: China Address before: No. 32 Haifu Road, Meilan District, Haikou City, Hainan Province Patentee before: China Southern Power Grid Hainan Digital Power Grid Research Institute Co.,Ltd. Country or region before: China |