[发明专利]一种MAC地址欺骗检测方法及装置

说明书

技术领域

本发明涉及信息技术领域，特别涉及一种MAC地址欺骗检测方法及装置。

背景技术

虽然网络可以使经济、文化、医疗、科学、教育、交通等领域的信息更加有效和迅速地被获取、传输和应用，但如果网络系统和用户缺乏适当的安全保护措施，这些信息就很容易在传输过程中被非法获取，以及网络系统的其它资源被破坏等，从而使系统遭受重大损失。

为使网络系统资源被充分利用，要保证网络系统有很好的通信安全。要保证系统的通信安全，就要充分认识到网络系统的脆弱性，特别是网络通信系统和通信协议的不足，估计到网络可能遭受的各种威胁，并采取相应的安全策略，尽可能地减少各种风险，保证网络系统具有高度的可靠性、信息完整性和保密性。

其中，MAC地址欺骗是指非法用户伪造MAC地址或冒用合法用户的MAC地址对合法用户进行攻击的行为。

一般，每块网卡的设备生产厂商都需要向IEEE申请全球唯一的组织唯一标识符(Organizationallyuniqueidentifier,OUI)作为其网卡的唯一标识，也就是网卡的MAC地址的前三个字节，因此通过网卡的MAC地址的前三个字节就可以判断出MAC地址的合法性。当网络中出现不合法的MAC地址前缀时，即可判断由非法用户在进行MAC地址欺骗。

但对于冒用合法用户的MAC地址对合法用户进行攻击的行为，通过上述检测MAC地址合法性的方法难以判断是否存在MAC地址欺骗。具体地说，非法用户作为攻击者可以通过抓取网络数据包获取合法用户终端的MAC地址，进而伪造并成功逃避检测。

发明内容

本发明的目的在于提供一种MAC地址欺骗检测方法及装置，能更好地解决现有入侵检测技术无法检测MAC地址欺骗攻击行为的问题。

根据本发明的一个方面，提供了一种MAC地址欺骗检测方法，包括：

通过对捕获的无线数据帧进行分析，获得所捕获的无线数据帧的MAC地址和数据帧编号；

根据所获得的无线数据帧的MAC地址，查找所述MAC地址的合法用户终端的帧编号基线；

利用所述合法用户终端的帧编号基线，确定所捕获的无线数据帧的数据帧编号的预期值；

根据所捕获的无线数据帧的数据帧编号和数据帧编号的预期值，判断合法用户终端的MAC地址是否受到MAC地址欺骗攻击。

优选地，所述MAC地址的合法用户终端的帧编号基线是在前建立的，具体为：

通过对捕获的每个合法用户终端的无线数据帧进行分析，得到所述每个合法用户终端的MAC地址和无线数据帧的数据帧编号；

利用所得到的每个合法用户终端的MAC地址和无线数据帧的数据帧编号，为每个合法用户建立一条包含数据帧编号的帧编号基线。

优选地，所述根据所捕获的无线数据帧的数据帧编号和数据帧编号的预期值，判断合法用户终端的MAC地址是否受到MAC地址欺骗攻击的步骤包括：

将所捕获的无线数据帧的数据帧编号和数据帧编号的预期值进行匹配；

若所捕获的无线数据帧的数据帧编号和数据帧编号的预期值不匹配，则判断所述合法用户终端的MAC地址受到MAC地址欺骗攻击。

优选地，当所捕获的无线数据帧的数据帧编号和数据帧编号的预期值之间的绝对差值大于预设值时，确定所捕获的无线数据帧的数据帧编号和数据帧编号的预期值不匹配。

优选地，所述根据所捕获的无线数据帧的数据帧编号和数据帧编号的预期值，判断合法用户终端的MAC地址是否受到MAC地址欺骗攻击的步骤还包括：

若所捕获的无线数据帧的数据帧编号和数据帧编号的预期值匹配，则判断所述合法用户终端的MAC地址未受到MAC地址欺骗攻击，并在所述帧编号基线上标记所述数据帧编号的预期值。

优选地，在所述根据所获得的无线数据帧的MAC地址，查找所述MAC地址的合法用户终端的帧编号基线的步骤之前，还包括：

在合法MAC地址数据库中，查询所捕获的无线数据帧的MAC地址；

若未查询到所捕获的无线数据帧的MAC地址，则判断非法用户终端在进行地址MAC地址欺骗攻击。

根据本发明的另一方面，提供了一种MAC地址欺骗检测装置，包括：

分析模块，用于通过对捕获的无线数据帧进行分析，获得所捕获的无线数据帧的MAC地址和数据帧编号；

查询模块，用于根据所获得的无线数据帧的MAC地址，查找所述MAC地址的合法用户终端的帧编号基线；