本发明专利技术提供了一种用于检测中间人攻击的方法、装置以及电子设备,涉及网络检测技术领域,包括:统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系得到第一映射关系,统计网络通信在第一映射关系下的句柄数据得到第一句柄数据;采集当前网络通信中的IP地址与MAC地址之间的映射关系得到第二映射关系;将第一映射关系与第二映射关系进行对比,若第二映射关系与第一映射关系不相符则采集当前网络通信在第二映射关系下的句柄数据得到第二句柄数据;将第一句柄数据与第二句柄数据进行对比,若第二句柄数据与第一句柄数据不相符则确定当前网络通信中存在中间人攻击,解决了中间人攻击的发生难以有效的检测出的技术问题。
【技术实现步骤摘要】
用于检测中间人攻击的方法、装置以及电子设备
本专利技术涉及网络检测
,尤其是涉及一种用于检测中间人攻击的方法、装置以及电子设备。
技术介绍
中间人攻击(Man-in-the-MiddleAttack,简称MITM)是一种由来已久的网络入侵手段,并且当今仍然有着广泛的发展空间,如ServerMessageBlock(简称SMB)会话劫持、域名系统(DomainNameSystem,简称DNS)欺骗等攻击都是典型的MITM攻击。随着计算机通信网技术的不断发展,MITM攻击越来越多样化。最初,攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定的流量就可以实现攻击,这是因为很多通信协议都是以明文来进行传输的,如超文本传输协议(HyperTextTransferProtocol,简称HTTP)、文件传输协议(FileTransferProtocol,简称FTP)、远程终端协议(Telnet)等。后来,随着交换机代替集线器,简单的嗅探攻击已经不能成功,必须进行地址解析协议(AddressResolutionProtocol,简称ARP)欺骗才行。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。目前,在网络通信过程中,中间人攻击的发生难以有效的检测出。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种用于检测中间人攻击的方法、装置以及电子设备,以解决现有技术中存在的在网络通信过程中,中间人攻击的发生难以有效的检测出的技术问题。第一方面,本专利技术实施例提供了一种用于检测中间人攻击的方法,应用于网络监视器,包括:统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据,得到第一句柄数据;采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系;将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据;将所述第一句柄数据与所述第二句柄数据进行对比,若所述第二句柄数据与所述第一句柄数据不相符,则确定当前网络通信中存在中间人攻击。结合第一方面,本专利技术实施例提供了第一方面的第一种可能的实施方式,其中,采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系,包括:通过网络探针采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系。结合第一方面,本专利技术实施例提供了第一方面的第二种可能的实施方式,其中,采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据,包括:检测当前网络通信在所述第二映射关系下的RegisterSession命令,并采集所述RegisterSession命令所产生的句柄数据,得到第二句柄数据。结合第一方面,本专利技术实施例提供了第一方面的第三种可能的实施方式,其中,确定当前网络通信中存在中间人攻击之后,还包括:发出一级警报。结合第一方面,本专利技术实施例提供了第一方面的第四种可能的实施方式,其中,确定当前网络通信中存在中间人攻击之后,还包括:检测所述RegisterSession命令的执行内容;若所述执行内容包括预设操作内容,则发出二级警报。结合第一方面,本专利技术实施例提供了第一方面的第五种可能的实施方式,其中,所述预设操作内容包括以下至少之一:启动控制器、停止控制器、关闭警报器、寄存器读写操作。结合第一方面,本专利技术实施例提供了第一方面的第六种可能的实施方式,其中,所述第一映射关系为每个独立的IP地址分别与一个MAC地址之间的一一对应关系;所述第二映射关系与所述第一映射关系不相符的情况包括:在所述第二映射关系中,一个独立的IP地址对应多个MAC地址。第二方面,本专利技术实施例还提供一种用于检测中间人攻击的装置,应用于网络监视器,包括:统计模块,用于统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据,得到第一句柄数据;采集模块,用于采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系;对比模块,用于将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集模块还用于采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据;对比模块还用于将所述第一句柄数据与所述第二句柄数据进行对比;确定模块,用于在所述第二句柄数据与所述第一句柄数据不相符的情况下,确定当前网络通信中存在中间人攻击。第三方面,本专利技术实施例还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述如第一方面所述的方法的步骤。第四方面,本专利技术实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行如第一方面所述的方法。本专利技术实施例提供的技术方案带来了以下有益效果:本专利技术实施例提供的用于检测中间人攻击的方法、装置以及电子设备。首先,统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系从而得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据从而得到第一句柄数据;然后,采集当前网络通信中的IP地址与MAC地址之间的映射关系从而得到第二映射关系;之后,将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集当前网络通信在所述第二映射关系下的句柄数据从而得到第二句柄数据;将所述第一句柄数据与所述第二句柄数据进行对比,若所述第二句柄数据与所述第一句柄数据不相符,则确定当前网络通信中存在中间人攻击,因此,通过将当前进行的IP地址与MAC地址之间的映射关系与正常情况的映射关系进行对比,在检测出IP地址与MAC地址之间映射关系有所不相符之时,再将当前映射关系下的句柄数据与正常情况的句柄数据进行对比,从而判断出句柄数据是否也与正常情况的不相符,若句柄数据也不同,则检测出了出存在中间人攻击的情况,通过IP地址与MAC地址之间映射关系以及句柄数据等多个方面,能够更加有效的检测是否发生了中间人攻击,从而实现了当网络通信过程中发生了中间人攻击时,能够及时、有效的检测出间人攻击,从而解决了现有技术中存在的在网络通信过程中,中间人攻击的发生难以有效的检测出的技术问题。本专利技术的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了本专利技术实施例一所提供的用于检测中间人攻击的方法的流程图;图2示出了本专利技术实施例二所提本文档来自技高网...
【技术保护点】
1.一种用于检测中间人攻击的方法,应用于网络监视器,其特征在于,包括:统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据,得到第一句柄数据;采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系;将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据;将所述第一句柄数据与所述第二句柄数据进行对比,若所述第二句柄数据与所述第一句柄数据不相符,则确定当前网络通信中存在中间人攻击。
【技术特征摘要】
1.一种用于检测中间人攻击的方法,应用于网络监视器,其特征在于,包括:统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系,得到第一映射关系,并统计网络通信在所述第一映射关系下的句柄数据,得到第一句柄数据;采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系;将所述第一映射关系与所述第二映射关系进行对比,若所述第二映射关系与所述第一映射关系不相符,则采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据;将所述第一句柄数据与所述第二句柄数据进行对比,若所述第二句柄数据与所述第一句柄数据不相符,则确定当前网络通信中存在中间人攻击。2.根据权利要求1所述的用于检测中间人攻击的方法,其特征在于,采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系,包括:通过网络探针采集当前网络通信中的IP地址与MAC地址之间的映射关系,得到第二映射关系。3.根据权利要求1所述的用于检测中间人攻击的方法,其特征在于,采集当前网络通信在所述第二映射关系下的句柄数据,得到第二句柄数据,包括:检测当前网络通信在所述第二映射关系下的RegisterSession命令,并采集所述RegisterSession命令所产生的句柄数据,得到第二句柄数据。4.根据权利要求1所述的用于检测中间人攻击的方法,其特征在于,确定当前网络通信中存在中间人攻击之后,还包括:发出一级警报。5.根据权利要求3所述的用于检测中间人攻击的方法,其特征在于,确定当前网络通信中存在中间人攻击之后,还包括:检测所述RegisterSession命令的执行内容;若所述执行内容包括预设操...
【专利技术属性】
技术研发人员:叶鹏,范渊,张振雄,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。