CN116846687B - 一种网络安全监测方法、系统、装置及存储介质 - Google Patents
一种网络安全监测方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN116846687B CN116846687B CN202311103119.7A CN202311103119A CN116846687B CN 116846687 B CN116846687 B CN 116846687B CN 202311103119 A CN202311103119 A CN 202311103119A CN 116846687 B CN116846687 B CN 116846687B
- Authority
- CN
- China
- Prior art keywords
- address
- mac address
- host
- source host
- data table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000012544 monitoring process Methods 0.000 title claims abstract description 30
- 238000001514 detection method Methods 0.000 claims abstract description 81
- 230000004044 response Effects 0.000 claims abstract description 33
- 238000012937 correction Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012806 monitoring device Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 10
- 238000007689 inspection Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5046—Resolving address allocation conflicts; Testing of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请涉及一种网络安全监测方法、系统、装置及存储介质,其属于网络安全技术领域,该方法包括:检测主机根据免费ARP请求和数据表确定目标地址,并根据所述目标地址生成检测报文并广播所述检测报文,所述目标地址是待确认身份的源主机的IP地址;检测主机接收源主机在接收到检测报文后返回的响应报文,所述检测主机和源主机位于同一个局域网络中,所述待确认身份的源主机是多台源主机中的其中一台源主机;所述检测主机判断响应报文中是否存在数据表中包含的MAC地址,所述MAC地址与检测报文中所需的MAC地址相同;若是,则生成修正报文并广播所述修正报文;若否,则生成结果信息。本申请具有提升局域网络安全性的效果。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种网络安全监测方法、系统、装置及存储介质。
背景技术
免费ARP请求又称为无故ARP请求,是指在一个局域网络中,源主机会使用自己的IP地址作为目标地址发送ARP请求至与该源主机同处于一个局域网络中的所有主机上。这种ARP请求主要有两个用途:
第一种是宣告广播作用,即告诉该局域网络内的所有主机:目标地址所对应的MAC地址。
第二种是检查重复作用。广播免费ARP请求后,局域网络内所有主机都会接收到。接收到免费ARP请求的主机会判断免费ARP请求中的IP地址是否与其本身的IP地址相同,若相同,则将自身的MAC地址填写到免费ARP请求的报文中,并返回给源主机。
因此,源主机发送的免费ARP请求是不希望收到回应的,只希望是起宣告作用。如果收到回应,则证明对方也使用相同的IP地址。则在该局域网络内进行数据传输时,由于存在两条相同的通信链路,则发送数据的主机将无法确认数据具体的传输路径,进而导致数据发生混乱。
由于当前的局域网络中,缺少用于认证ARP请求的安全认证系统,所以任何主机都可以发送免费ARP请求。当局域网络中的主机被攻击时,被攻击的主机就可能被黑客操纵发送免费ARP请求,以达到欺骗其他主机的目的。例如,局域网络内有主机A、B 、C,若主机C被攻击,并向局域网络发送了免费ARP请求,该免费ARP请求中:主机C的IP地址与主机A的IP地址相同,主机C的MAC地址是自身的MAC地址。当主机B收到该免费ARP请求时,会更新内部存储的主机A的MAC地址为主机C的MAC地址,使得主机B后续会直接将数据发送给主机C,而主机A将被屏蔽,从而使得主机C盗取主机B发送的数据。
为此,建立用于认证局域网络中免费ARP请求的真实性、提升局域网络中主机的安全性是当前亟需解决的问题。
发明内容
本申请提供一种网络安全监测方法、系统、装置及存储介质,具有提升局域网络的安全性的特点。
本申请目的一是提供一种网络安全监测方法。
本申请的上述申请目的一是通过以下技术方案得以实现的:
一种网络安全监测方法,包括:
检测主机根据免费ARP请求和数据表确定目标地址,并根据所述目标地址生成检测报文并广播所述检测报文,所述目标地址是待确认身份的源主机的IP地址;
检测主机接收源主机在接收到检测报文后返回的响应报文,所述检测主机和源主机位于同一个局域网络中,所述待确认身份的源主机是多台源主机中的其中一台源主机;
所述检测主机判断响应报文中是否存在数据表中包含的MAC地址,所述MAC地址与检测报文中所需的MAC地址相同;
若是,则生成修正报文并广播所述修正报文;
若否,则生成结果信息。
通过采用上述技术方案,检测主机作为免费ARP请求的监控中心,能够在接收到免费ARP请求后,依据免费ARP请求和数据表确定目标地址,再根据所确定的目标地址生成检测报文广播于局域网络中。然后,再接收源主机在接收到检测报文后返回的响应报文,并判断响应报文中是否存在与数据表中包含的MAC地址相同的MAC地址,若是,则说明待确认身份的源主机为欺骗性的源主机,此时生成修正报文以提示其他源主机;若否,则生成结果信息。由此可知,本申请的检测主机能够监控到具有欺骗性的源主机,并在监控到具有欺骗性的源主机后提醒其他源主机,以此能够降低其他源主机误将信息发送至具有欺骗性的源主机上的事件发生的概率,从而起到提升局域网络的安全性的作用。
本申请在一较佳示例中可以进一步配置为:所述根据免费ARP请求和数据表确定目标地址包括:
所述免费ARP请求包括IP地址和MAC地址;
所述数据表中存储有每一台源主机的IP地址、MAC地址以及IP地址与MAC地址的绑定关系;
判断数据表中是否存在与免费ARP请求中所包含的IP地址相同的IP地址,将相同的IP地址标记为待确定地址;
若是,则在数据表中与待确定地址具有绑定关系的MAC地址与免费ARP请求中包含的MAC地址相同时,确定待确定地址为目标地址;
若否,则在数据表中添加免费ARP请求中包含的IP地址和MAC地址,并建立免费ARP请求中包含的IP地址和MAC地址的绑定关系。
通过采用上述技术方案,本申请的检测主机不仅具有验证广播于局域网络中的免费ARP请求的真实性的功能,还具有不断迭代和完善源主机的IP地址和MAC地址的功能。
本申请在一较佳示例中可以进一步配置为:所述根据所述目标地址生成检测报文包括:
提取数据表中与目标地址具有绑定关系的MAC地址作为所需的MAC地址;
根据所述所需的MAC地址生成指定格式的检测报文。
本申请在一较佳示例中可以进一步配置为:所述根据所述目标地址生成检测报文包括:
从数据表中获取与目标地址具有绑定关系的MAC地址,将所述MAC地址标记为目的MAC地址;
将具有目的MAC地址的源主机作为目的主机;
查找与目的主机对应的标识;
依据所述标识生成检测报文。
通过采用上述技术方案,本申请提供两种生成检测报文的方式,在实际使用中,可以根据需要选择一种合适的方式,从而提高本申请的系统的实用性。
本申请在一较佳示例中可以进一步配置为:当检测主机判断响应报文中存在数据表中包含的MAC地址时,所述方法还包括:
所述数据表中存储有每一台源主机的IP地址和MAC地址的绑定关系,并针对每一组IP地址和MAC地址的绑定关系对应设置有初始信任分值;
将发送所述免费ARP请求的源主机标记为具有欺骗性的源主机;
提取所述具有欺骗性的源主机对应的IP地址和MAC地址的绑定关系;
将所述绑定关系对应的初始信任分值减去第一预设分值,所述第一预设分值<所述初始信任分值。
通过采用上述技术方案,本申请针对每一组IP地址和MAC地址的绑定关系设置有初始信任分值,并在监控到源主机是具有欺骗性的源主机时,在源主机对应的初始信任分值的基础上减去第一预设分值,从而便于针对信任分值较低的源主机实行管控制度。
本申请在一较佳示例中可以进一步配置为:所述方法还包括:
当监控到源主机在非工作时间段发送免费ARP请求或者发送免费ARP请求的频次高于预设频次时,提取所述源主机对应的IP地址和MAC地址的绑定关系;
将所述绑定关系对应的初始信任分值减去第二预设分值,所述第二预设分值<所述第一预设分值。
通过采用上述技术方案,本申请还采用源主机在非工作时间段发送免费ARP请求或者发送免费ARP请求的频次高于预设频次作为减去源主机的信任分值的依据,从而增强检测设备对源主机的监控力度,进一步提升局域网络的安全性。
本申请在一较佳示例中可以进一步配置为:所述生成结果信息包括:
调取数据表中与目标地址具有绑定关系的MAC地址;
将待确认身份的源主机的MAC地址替换数据表中与目标地址具有绑定关系的MAC地址,以得到结果信息。
通过采用上述技术方案,本申请具有不断迭代源主机的IP地址和MAC地址的功能,从而提高本申请的系统的实用性。
本申请目的二是提供一种网络安全监测系统。
本申请的上述申请目的二是通过以下技术方案得以实现的:
一种网络安全监测系统,包括:
数据处理模块,用于根据免费ARP请求和数据表确定目标地址,并根据所述目标地址生成检测报文并广播所述检测报文,所述目标地址是待确认身份的源主机的IP地址;
数据接收模块,用于接收源主机在接收到检测报文后返回的响应报文,检测主机和源主机位于同一个局域网络中,所述待确认身份的源主机是多台源主机中的其中一台源主机;
数据判断模块,用于判断响应报文中是否存在数据表中包含的MAC地址,所述MAC地址与检测报文中所需的MAC地址相同;
第一确定模块,用于在判断结果为响应报文中存在数据表中包含的MAC地址时,生成修正报文并广播所述修正报文;
第二确定模块,用于在判断结果为响应报文中不存在数据表中包含的MAC地址时,生成结果信息。
本申请目的三是提供一种网络安全监测装置。
本申请的上述申请目的三是通过以下技术方案得以实现的:
一种网络安全监测装置,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现上述任一种网络安全监测方法。
本申请目的四是提供一种计算机可读存储介质,能够存储相应的程序。
本申请的上述申请目的四是通过以下技术方案得以实现的:
一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一种网络安全监测方法。
综上所述,本申请包括以下至少一种有益技术效果:
本申请的检测主机能够监控到具有欺骗性的源主机,并在监控到具有欺骗性的源主机后提醒其他源主机,以此能够降低其他源主机误将信息发送至具有欺骗性的源主机上的事件发生的概率,从而起到提升局域网络的安全性的作用;
本申请还采用源主机在非工作时间段发送免费ARP请求或者发送免费ARP请求的频次高于预设频次作为减去源主机的信任分值的依据,从而增强检测设备对源主机的监控力度,进一步提升局域网络的安全性。
附图说明
图1为本申请的实施例的示例性运行环境的示意图。
图2为本申请的实施例的一种网络安全监测方法流程图。
图3为本申请的方法实施例中确定目标地址的方法流程图。
图4为本申请的实施例的一种网络安全监测方法系统框图。
附图标记说明:10、检测主机;11、数据处理模块;12、数据接收模块;13、数据判断模块;14、第一确定模块;15、第二确定模块;20、交换机;30、源主机。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例,都属于本申请保护的范围。
图1示出了能够在其中实现本申请的实施例的示例性运行环境的示意图。该运行环境包括位于同一个局域网络中的多台主机以及用于交换任意两台主机之间的信息的交换机20,多台主机由于角色的不同,又分为检测主机10和源主机30。
其中,检测主机10是指在其内部配置有修复谎言(Fix Lies,FL)系统的主机,FL系统是一种应用程序,管理人员可以根据需要设置该应用程序中的修复策略,以修复局域网络中的具有欺骗性的源主机30。在实际应用中,可以在局域网络中的任意一台主机上装入FL系统,则该台主机将作为检测主机10,然后由FL系统管理检测主机10的IP地址和MAC地址,还管理与检测主机10位于同一个局域网络中的源主机30的IP地址和MAC地址。
另外,在交换机20上设置有镜像接口,交换机20通过镜像接口与检测主机10通信连接,例如在镜像接口上插入电缆线,电缆线的另一端接入检测主机10。因此,在交换机20交换任意两台源主机30之间的信息时,都能够将所交换的信息通过镜像技术复制到检测主机10上,以便于检测主机10中的FL系统实现被动的采集局域网络中的免费ARP请求的目的。
本申请的FL系统主要用于实现主动的采集局域网络中的源主机30的IP地址和MAC地址、以及被动的采集源主机30的IP地址和MAC地址,并根据所采集到的源主机30的IP地址和MAC地址评估源主机30的身份是否安全,以能够实现及时干预身份不安全的源主机30,从而起到提升局域网络安全的目的。
需要说明的是,源主机30是指在同一个局域网络中,除了检测主机10外的所有主机。
还需要说明的是,图1所示的运行环境仅是解释性的,绝不是为了限制本发明实施例的应用或用途。例如,该运行环境中可以包括多个局域网络,每一个局域网络中还可以包括多台检测主机10和多台源主机30。
图2示出了根据本申请实施例的一种网络安全监测方法的流程图,该方法可以由图1中的FL系统执行,方法的主要流程描述如下。
步骤S100:检测主机10根据免费ARP请求和数据表确定目标地址,并根据目标地址生成检测报文并广播检测报文,目标地址是待确认身份的源主机30的IP地址。
在检测主机10进行被动采集源主机30的IP地址和MAC地址之前,检测主机10还需要进行主动采集源主机30的IP地址和MAC地址的工作,并将主动采集所获得的源主机30的IP地址的MAC地址建立数据表。
建立数据表的过程为:首先,检测主机10先主动广播请求身份报文,每一台源主机30在接收到请求身份报文后,将其自身的IP地址和MAC地址插入请求身份报文中生成身份确认报文,并将身份确认报文返回给检测主机10。然后由检测主机10解析身份确认报文,并存储每一台源主机30的IP地址、MAC地址以及IP地址和MAC地址的绑定关系,从而得到数据表。另外,在生成的数据表中,本申请还针对每一组具有绑定关系的IP地址和MAC地址赋予初始的信任分值,在一个具体的示例中,本申请的初始信任分值为10分,在其他示例中,初始的信任分值还可以为其他数值,本申请不作限制。
当然,也可以由人工提前收集每一台源主机30的IP地址和MAC地址,再将所收集到的IP地址和MAC地址导入检测主机10中,检测主机10再根据接收到的源主机30的IP地址和MAC地址建立数据表。此处建立的数据表和上述建立的数据表相同,即数据表中均包含有每一台源主机30的IP地址、MAC地址以及IP地址和MAC地址的绑定关系。
基于提前建立的数据表,再导通交换机20与检测主机10的通信链路,由交换机20采用镜像技术复制其所接收到的免费ARP请求至检测主机10中,即FL系统被动接收到局域网络中的免费ARP请求。
FL系统接收到免费ARP请求时,依据数据表判断免费ARP请求中:同一个IP地址所对应的MAC地址是否相同。具体的判断过程如图3所示的流程:
步骤S110:判断数据表中是否存在与免费ARP请求中所包含的IP地址相同的IP地址;
步骤S120:若是,则判断数据表中与该相同的IP地址具有绑定关系的MAC地址是否与免费ARP请求中包含的MAC地址相同;
步骤S121:若是,则检测主机10更新数据表中的原MAC地址为新的MAC地址;
步骤S122:若否,则检测主机10将免费ARP请求中包含的IP地址作为目标地址,并生成检测报文和广播检测报文,再进入步骤S200中;
步骤S130:若否,则检测主机10在数据表中添加新的IP地址、新的MAC地址以及新的IP地址和新的MAC地址的绑定关系。
由此可知,本申请的FL系统具有不断迭代源主机30的IP地址、MAC地址以及IP地址和MAC地址的绑定关系的功能,还具有不断完善数据表中的源主机30的IP地址、MAC地址以及IP地址和MAC地址绑定关系的功能。
在一个具体的示例中,检测主机10生成的检测报文的格式如下所示:
0000 ff ff ff ff ff ff 00 00 5e 00 01 ea 08 06 00 01
0010 08 00 06 04 00 01 00 00 5e 00 01 ea 86 4a ea 01
0020 00 00 5e 00 01 ea 86 4a ea 01 00 00 00 00 00 00
0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0040 00 00 00 00
其中,“0000、0010、0020、0030、0040”为不同的行号,是为了便于源主机30快速捕捉到有效信息而设置的。除去行号外,检测报文中的前48位报文是目的MAC地址,即接收该检测报文的源主机30的MAC地址,而本示例中的检测报文的前48位是“ff ff ff ff ffff”,则说明前48位都是1,也表示这是一个局域网广播地址,所以该检测报文将被所有的源主机30接收到。也就是说,与检测主机10位于同一个局域网络中的源主机30的MAC地址都是目的MAC地址,所以,当仅需要验证任意一台源主机30的身份是否安全时,则在此处填入待验证身份的源主机30的MAC地址,则仅有待验证身份的源主机30接收到该检测报文。
“00 00 5e 00 01 ea”是发送该检测报文的主机的MAC地址,由于该检测报文是由检测主机10发送的,所以该MAC地址也是检测主机的MAC地址。“08 06”表示该检测报文属于免费ARP类型的数据包。“00 01”表示该检测报文还属于是采用以太网进行传输的数据包。“08 00”表示IP协议。“06”是指检测主机10的硬件地址长度。“04”是指检测主机10的IP协议地址长度。“00 01”表示该检测报文是免费ARP请求报文。“00 00 5e 00 01 ea”表示检测主机10的MAC地址,由于本申请的检测主机10也是发送检测报文的主机,所以此处的检测主机的MAC地址与上述的发送检测报文的主机的MAC地址相同。“86 4a ea 01”转换为十进制是134.74.234.1,表示的是发送该检测报文的主机的IP地址,由于该检测报文是由检测主机10发送的,所以该IP地址也是检测主机的IP地址。“00 00 5e 00 01 ea”是待验证身份的源主机30的MAC地址,也称为检测报文中所需的MAC地址,当该检测报文不属于免费ARP请求时,00 00 5e 00 01 ea应该全部替换为0,且在待验证身份的源主机30返回响应报文时,将在此处添加其自身的MAC地址。
除上述已经解释的数值外,剩余的所有数值表示的是检测主机10的IP地址。
另外,除了采用上述指定格式的检测报文外,检测主机10还可以提前与多台源主机30约定一种用于获取每一台源主机30的MAC地址的方式。例如,检测主机10赋予每一台源主机30一个唯一的标识。当检测主机10需要获取其中一台源主机30的MAC地址时,检测主机10将与该台源主机30对应的标识放入检测报文中,源主机30接收到检测主机10发送的检测报文中包含有与其自身对应的标识时,则主动把自身的MAC地址返回给检测主机10。
需要说明的是,无论采用上述哪一种方式获取源主机30的MAC地址,检测主机10均会在确定目标地址后,广播该检测报文。
还需要说明的是,由于检测主机10具有验证广播于局域网络中的免费ARP请求的真实性的功能,能够及时发现具有欺骗性的源主机30,所以当检测主机10被攻击时,可能导致整个局域网络中的源主机30的安全性都失去了保障,为此,数据表中也建立了检测主机10的IP地址、MAC地址以及IP地址和MAC地址的绑定关系。而且当检测主机10接收到免费ARP请求中存在与其所使用的IP地址相同的源主机30时,在数据表中将该源主机30对应的IP地址和MAC地址的绑定关系的初始的信任分值降为0分。同时,检测主机10将信任分值为0分的IP地址和MAC地址返回给交换机20,交换机20将停止转发信任分值为0分的源主机30发送的信息或者停止转发发送给该源主机30的信息,以实现孤立该源主机30的目的,进而降低发生整个局域网络瘫痪的事件的概率。
步骤S200:检测主机10接收源主机30在接收到检测报文后返回的响应报文。
检测报文通过广播的形式传输到每一台源主机30上,源主机30接收到检测报文后,根据检测报文中所需求的MAC地址,具有该MAC地址的源主机30会把MAC地址插入检测报文中,以生成响应报文,再将响应报文返回给检测主机10。针对于不具有检测报文中所需的MAC地址的源主机30,则在接收到检测报文后,不作任何响应,以此减少局域网络中产生的数据的冗余量。
上述的检测报文中所需求的MAC地址是指数据表中、已经存在的源主机30的MAC地址,而不是免费ARP请求中包含的MAC地址,以此能够实现判断数据表中的源主机30的MAC地址是否还存活于局域网络中的目的。
步骤S300:检测主机10判断响应报文中是否存在数据表中包含的MAC地址。
步骤S310:若是,则生成修正报文并广播修正报文;
步骤S320:若否,则生成结果信息。
检测主机10接收到响应报文后,可以采用XML解析器、或JSON解析器或者协议分析器对响应报文进行解析,再判断响应报文中是否存在数据表中源主机30的MAC地址。若是,则说明数据表中包含的源主机30的MAC地址还存活于局域网络中,则也证明了待验证身份的源主机30是具有欺骗性的源主机30。
针对于局域网络中存在具有欺骗性的源主机30的情况,检测主机10首先生成一个修正报文,即代替源主机30广播源主机30的免费ARP请求,以便于局域网络中的其他源主机30都保存的是真实源主机30的IP地址和MAC地址,也使得其他源主机30不会误将数据发送给具有欺骗性的源主机30上。需要说明的是,本申请设置为由检测主机10代替源主机30发送修正报文的目的是:降低具有欺骗性的源主机30进一步欺骗其他源主机30的事件发生的概率。也就是说,当检测主机10发送信息给真实的源主机30,提醒该源主机30再广播免费ARP请求时,可能会被具有欺骗性的源主机30获取到该提醒信息,进而再由具有欺骗性的源主机30再次发送免费ARP请求来混淆视听。
另外,针对于局域网络中存在具有欺骗性的源主机30的情况,检测主机10还会在数据表中查找具有欺骗性的源主机30的MAC地址,并依据该MAC地址查找数据表中与其具有绑定关系的IP地址,再在该组IP地址和MAC地址的初始信任分值的基础上减去第一预设分值,第一预设分值<初始信任分值。
为了进一步提高局域网络的安全性,检测主机10还会实时监控源主机30发送免费ARP请求的时间段和发送的频次,若监控到源主机30在非工作时间段发送免费ARP请求或者发送频次高于预设频次,则FL系统将会在初始的信任分值基础上减去第二预设分值,第二预设分值<第一预设分值。如果源主机30的信任分值不是初始的信任分值,则在当前的信任分值的基础上减去第二预设分值。
在长时间的监控过程中以及根据监控结果更新每一台源主机30的信任分值的期间,若源主机30的信任分值低于预设分值阈值,检测主机10将把信任分值低于预设分值阈值的源主机30的IP地址和MAC地址发送给交换机20,交换机20将不再转发该源主机30发送的任何信息以及将任何信息转发至源主机30中,从而降低具有欺骗性的源主机30欺骗局域网络中的其他源主机30的事件发生的概率。
当检测主机10的判断结果为:响应报文中存在数据表中源主机30的MAC地址时,说明局域网络中使用目标地址的源主机30更换了新的MAC地址。此时,检测主机10调取数据表中具有绑定关系的IP地址和MAC地址,并更换原MAC地址为新的MAC地址,从而得到结果信息。
图4示出了根据本申请的实施例的一种网络安全监测系统的方框图,该系统也称为FL系统。具体地,网络安全监测系统包括数据处理模块11、数据接收模块12、数据判断模块13、第一确定模块14以及第二确定模块15。
数据处理模块11用于根据免费ARP请求和数据表确定目标地址,并根据目标地址生成检测报文并广播检测报文,目标地址是待确认身份的源主机30的IP地址。
数据接收模块12用于接收源主机30在接收到检测报文后返回的响应报文,检测主机10和源主机30位于同一个局域网络中,待确认身份的源主机30是多台源主机30中的其中一台源主机30。
数据判断模块13用于判断响应报文中是否存在数据表中包含的MAC地址,MAC地址与检测报文中所需的MAC地址相同;
第一确定模块14用于在判断结果为响应报文中存在数据表中包含的MAC地址时,生成修正报文并广播修正报文;
第二确定模块15用于在判断结果为响应报文中不存在数据表中包含的MAC地址时,生成结果信息。
为了更好地执行上述方法的程序,本申请还提供一种网络安全监测装置,该装置包括存储器和处理器。
其中,存储器可用于存储指令、程序、代码、代码集或指令集。存储器可以包括存储程序区和存储数据区,其中存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令以及用于实现上述网络安全监测方法的指令等;存储数据区可存储上述网络安全监测方法中涉及到的数据等。
处理器可以包括一个或者多个处理核心。处理器通过运行或执行存储在存储器内的指令、程序、代码集或指令集,调用存储在存储器内的数据,执行本申请的各种功能和处理数据。处理器可以为特定用途集成电路、数字信号处理器、数字信号处理装置、可编程逻辑装置、现场可编程门阵列、中央处理器、控制器、微控制器和微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
本申请还提供一种计算机可读存储介质,例如包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。该计算机可读存储介质存储有能够被处理器加载并执行上述网络安全监测方法的计算机程序。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其他技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (9)
1.一种网络安全监测方法,其特征在于,包括:
检测主机(10)根据免费ARP请求和数据表确定目标地址,并根据所述目标地址生成检测报文并广播所述检测报文,所述目标地址是待确认身份的源主机(30)的IP地址;若所述目标地址与所述检测主机(10)的所使用的IP地址相同时,则在所述数据表中将所述待确认身份的源主机(30)对应的IP地址和MAC地址的绑定关系的初始的信任分值降为0分,并将信任分值为0分的IP地址和MAC地址返回给交换机(20);
检测主机(10)接收源主机(30)在接收到检测报文后返回的响应报文,所述检测主机(10)和源主机(30)位于同一个局域网络中,所述待确认身份的源主机(30)是多台源主机(30)中的其中一台源主机(30);
所述检测主机(10)判断响应报文中是否存在数据表中包含的MAC地址,所述MAC地址与检测报文中所需的MAC地址相同;
若是,则生成修正报文并广播所述修正报文,同时,所述数据表中存储有每一台源主机(30)的IP地址和MAC地址的绑定关系,并针对每一组IP地址和MAC地址的绑定关系对应设置有初始信任分值;将发送所述免费ARP请求的源主机(30)标记为具有欺骗性的源主机(30);提取所述具有欺骗性的源主机(30)对应的IP地址和MAC地址的绑定关系;将所述绑定关系对应的初始信任分值减去第一预设分值,所述第一预设分值<所述初始信任分值;
若否,则生成结果信息。
2.根据权利要求1所述的网络安全监测方法,其特征在于,所述根据免费ARP请求和数据表确定目标地址包括:
所述免费ARP请求包括IP地址和MAC地址;
所述数据表中存储有每一台源主机(30)的IP地址、MAC地址以及IP地址与MAC地址的绑定关系;
判断数据表中是否存在与免费ARP请求中所包含的IP地址相同的IP地址,将相同的IP地址标记为待确定地址;
若是,则在数据表中与待确定地址具有绑定关系的MAC地址与免费ARP请求中包含的MAC地址相同时,确定待确定地址为目标地址;
若否,则在数据表中添加免费ARP请求中包含的IP地址和MAC地址,并建立免费ARP请求中包含的IP地址和MAC地址的绑定关系。
3.根据权利要求1所述的网络安全监测方法,其特征在于,所述根据所述目标地址生成检测报文包括:
提取数据表中与目标地址具有绑定关系的MAC地址作为所需的MAC地址;
根据所述所需的MAC地址生成指定格式的检测报文。
4.根据权利要求1所述的网络安全监测方法,其特征在于,所述根据所述目标地址生成检测报文包括:
从数据表中获取与目标地址具有绑定关系的MAC地址,将所述MAC地址标记为目的MAC地址;
将具有目的MAC地址的源主机(30)作为目的主机;
查找与目的主机对应的标识;
依据所述标识生成检测报文。
5.根据权利要求1所述的网络安全监测方法,其特征在于,所述方法还包括:
当监控到源主机(30)在非工作时间段发送免费ARP请求或者发送免费ARP请求的频次高于预设频次时,提取所述源主机(30)对应的IP地址和MAC地址的绑定关系;
将所述绑定关系对应的初始信任分值减去第二预设分值,所述第二预设分值<所述第一预设分值。
6.根据权利要求1所述的网络安全监测方法,其特征在于,所述生成结果信息包括:
调取数据表中与目标地址具有绑定关系的MAC地址;
将待确认身份的源主机(30)的MAC地址替换数据表中与目标地址具有绑定关系的MAC地址,以得到结果信息。
7.一种网络安全监测系统,其特征在于,包括:
数据处理模块(11),用于根据免费ARP请求和数据表确定目标地址,并根据所述目标地址生成检测报文并广播所述检测报文,所述目标地址是待确认身份的源主机(30)的IP地址;若所述目标地址与检测主机(10)的所使用的IP地址相同时,则在所述数据表中将所述待确认身份的源主机(30)对应的IP地址和MAC地址的绑定关系的初始的信任分值降为0分,并将信任分值为0分的IP地址和MAC地址返回给交换机(20);
数据接收模块(12),用于接收源主机(30)在接收到检测报文后返回的响应报文,所述检测主机(10)和源主机(30)位于同一个局域网络中,所述待确认身份的源主机(30)是多台源主机(30)中的其中一台源主机(30);
数据判断模块(13),用于判断所述检测主机(10)判断响应报文中是否存在数据表中包含的MAC地址,所述MAC地址与检测报文中所需的MAC地址相同;
第一确定模块(14),用于在判断结果为响应报文中存在数据表中包含的MAC地址时,生成修正报文并广播所述修正报文,同时,所述数据表中存储有每一台源主机(30)的IP地址和MAC地址的绑定关系,并针对每一组IP地址和MAC地址的绑定关系对应设置有初始信任分值;将发送所述免费ARP请求的源主机(30)标记为具有欺骗性的源主机(30);提取所述具有欺骗性的源主机(30)对应的IP地址和MAC地址的绑定关系;将所述绑定关系对应的初始信任分值减去第一预设分值,所述第一预设分值<所述初始信任分值;
第二确定模块(15),用于在判断结果为响应报文中不存在数据表中包含的MAC地址时,生成结果信息。
8.一种网络安全监测装置,其特征在于,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311103119.7A CN116846687B (zh) | 2023-08-30 | 2023-08-30 | 一种网络安全监测方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311103119.7A CN116846687B (zh) | 2023-08-30 | 2023-08-30 | 一种网络安全监测方法、系统、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116846687A CN116846687A (zh) | 2023-10-03 |
| CN116846687B true CN116846687B (zh) | 2023-11-21 |
Family
ID=88163795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311103119.7A Active CN116846687B (zh) | 2023-08-30 | 2023-08-30 | 一种网络安全监测方法、系统、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116846687B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562542A (zh) * | 2009-05-21 | 2009-10-21 | 杭州华三通信技术有限公司 | 免费arp请求的响应方法和网关设备 |
| CN102143248A (zh) * | 2011-02-28 | 2011-08-03 | 华为数字技术有限公司 | 一种ip地址冲突检测方法和设备 |
| WO2012003742A1 (zh) * | 2010-07-06 | 2012-01-12 | 中兴通讯股份有限公司 | 防止用户私自修改ip地址的方法、装置及系统 |
| CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
| CN112738018A (zh) * | 2020-11-30 | 2021-04-30 | 南方电网数字电网研究院有限公司 | Arp欺骗攻击检测方法、装置、计算机设备和存储介质 |
-
2023
- 2023-08-30 CN CN202311103119.7A patent/CN116846687B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562542A (zh) * | 2009-05-21 | 2009-10-21 | 杭州华三通信技术有限公司 | 免费arp请求的响应方法和网关设备 |
| WO2012003742A1 (zh) * | 2010-07-06 | 2012-01-12 | 中兴通讯股份有限公司 | 防止用户私自修改ip地址的方法、装置及系统 |
| CN102143248A (zh) * | 2011-02-28 | 2011-08-03 | 华为数字技术有限公司 | 一种ip地址冲突检测方法和设备 |
| CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
| CN112738018A (zh) * | 2020-11-30 | 2021-04-30 | 南方电网数字电网研究院有限公司 | Arp欺骗攻击检测方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116846687A (zh) | 2023-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9294270B2 (en) | Detection of stale encryption policy by group members | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| US7234163B1 (en) | Method and apparatus for preventing spoofing of network addresses | |
| US20050182968A1 (en) | Intelligent firewall | |
| WO2019178966A1 (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| CN102098305A (zh) | 较高级协议认证 | |
| CA2424067A1 (en) | Peer-to-peer name resolution protocol (pnrp) security infrastructure and method | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| CN102655509B (zh) | 一种网络攻击识别方法及装置 | |
| US20170041297A1 (en) | Unified source user checking of tcp data packets for network data leakage prevention | |
| CN111327592B (zh) | 网络监测方法及相关装置 | |
| US20060168028A1 (en) | System and method for confirming that the origin of an electronic mail message is valid | |
| CN111131143A (zh) | 一种网络访问控制方法及装置、系统 | |
| CN116846687B (zh) | 一种网络安全监测方法、系统、装置及存储介质 | |
| CN112968910A (zh) | 一种防重放攻击方法和装置 | |
| CN113872949B (zh) | 一种地址解析协议的应答方法及相关装置 | |
| EP3017578B1 (en) | Methods, nodes and computer programs for reduction of undesired energy consumption of a server node | |
| CN113596147B (zh) | 消息推送方法、装置、设备与存储介质 | |
| CN115811428A (zh) | 一种抵御DDoS攻击的防御方法、系统、设备及存储介质 | |
| CN112491911B (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 | |
| CN113507476A (zh) | 针对arp欺骗攻击的防御方法、系统、设备及存储介质 | |
| CN112202776A (zh) | 源站防护方法和网络设备 | |
| CN112543177A (zh) | 一种网络攻击检测方法及装置 | |
| CN111526126B (zh) | 数据安全传输方法,数据安全设备及系统 | |
| CN114024781B (zh) | 基于边缘计算的电力物联网低速稳定设备准入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |