[发明专利]一种ARP欺骗行为的检测方法及系统

说明书

本发明公开一种ARP欺骗行为的检测方法及系统。本发明提供的ARP欺骗行为的检测方法及系统，通过解析待测ARP数据包，获得发送方的IP地址和MAC地址；然后将发送方的IP地址和MAC地址进行字段合并，获得待测字符串。在此基础上，进一步判断白名单数据库中是否存在与待测字符串匹配的标准字符串，若是，则确定待测ARP数据包对应的主机不存在ARP欺骗行为；否则，确定待测ARP数据包对应的主机存在ARP欺骗行为。可见，本发明提供的检测方法及系统，不需要人工干预，能够快速高效地检测出ARP欺骗行为。而且，本发明提供的检测方式属于实时检测，因此能及时有效地识别ARP欺骗行为。

技术领域

本发明涉及以太网安全技术领域，特别是涉及一种ARP欺骗行为的检测方法及系统。

背景技术

在企业的以太网环境中，也就是平时经常谈及的局域网中，经常有ARP(AddressResolution Protocol，地址解析协议)攻击、DHCP攻击、DDOS攻击、渗透等众多威胁网络安全的行为存在。而在众多的安全威胁中，ARP欺骗的识别是最为基础，也是最为重要的，因为所有通讯行为的开始都是从ARP开始的。现有技术中，大多是通过人工方式来收集、对比、识别ARP欺骗行为。现在的企业以太网规划一般较大，终端数量特别多，再加上无线802.11的普及，范围又在传统网络上又壮大了很多，因此，通过人工识别ARP欺骗行为的方式工作量大，效率低。

目前，也有一些通过单网络管理协议(SNMP)自动检测ARP欺骗行为的方法。但是，由于SNMP是以轮询方式进行设备ARP表项读取，此表项只能保存最后一次的更新结果，而且轮询是有时间间隔的，当在两次轮询时间内发生攻击时，此方法根本无法发现和识别，因此，不能全范围及时有效地发现ARP欺骗行为。

发明内容

本发明的目的是提供一种ARP欺骗行为的检测方法及系统，能够及时、快速、高效地检测出ARP欺骗行为。

为实现上述目的，本发明提供了如下方案：

一种ARP欺骗行为的检测方法，所述检测方法包括：

获取白名单数据库和待测ARP数据包，所述白名单数据库包括多个标准字符串，每一所述标准字符串表征一组标准IP地址与对应的标准MAC地址的映射关系；

解析所述待测ARP数据包，获得发送方的IP地址和MAC地址；

将所述发送方的IP地址和MAC地址进行字段合并，获得待测字符串；

判断所述白名单数据库中是否存在与所述待测字符串匹配的标准字符串；

若是，则确定所述待测ARP数据包对应的主机不存在ARP欺骗行为；

若否，则确定所述待测ARP数据包对应的主机存在ARP欺骗行为。

可选的，所述白名单数据库中的各标准字符串是对所述标准IP地址与对应的所述标准MAC地址进行哈希加密处理得到的。

可选的，所述判断所述白名单数据库中是否存在与所述待测字符串匹配的标准字符串之前，还包括：

对所述待测字符串进行所述哈希加密处理，获得加密后的待测字符串。

可选的，所述标准字符串包含更新时间戳字段，所述更新时间戳字段表征所述标准IP地址和所述标准MAC地址的映射关系的更新时间。

可选的，所述确定所述待测ARP数据包对应的主机存在ARP欺骗行为之后，还包括：

将所述待测字符串存入预警数据库。

一种ARP欺骗行为的检测系统，所述检测系统包括：