[发明专利]用于检测中间人攻击的方法、装置以及电子设备

说明书

本发明提供了一种用于检测中间人攻击的方法、装置以及电子设备，涉及网络检测技术领域，包括：统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系得到第一映射关系，统计网络通信在第一映射关系下的句柄数据得到第一句柄数据；采集当前网络通信中的IP地址与MAC地址之间的映射关系得到第二映射关系；将第一映射关系与第二映射关系进行对比，若第二映射关系与第一映射关系不相符则采集当前网络通信在第二映射关系下的句柄数据得到第二句柄数据；将第一句柄数据与第二句柄数据进行对比，若第二句柄数据与第一句柄数据不相符则确定当前网络通信中存在中间人攻击，解决了中间人攻击的发生难以有效的检测出的技术问题。

技术领域

本发明涉及网络检测技术领域，尤其是涉及一种用于检测中间人攻击的方法、装置以及电子设备。

背景技术

中间人攻击(Man-in-the-Middle Attack，简称MITM)是一种由来已久的网络入侵手段，并且当今仍然有着广泛的发展空间，如Server Message Block(简称SMB)会话劫持、域名系统(Domain Name System，简称DNS)欺骗等攻击都是典型的MITM攻击。

随着计算机通信网技术的不断发展，MITM攻击越来越多样化。最初，攻击者只要将网卡设为混杂模式，伪装成代理服务器监听特定的流量就可以实现攻击，这是因为很多通信协议都是以明文来进行传输的，如超文本传输协议(Hyper Text Transfer Protocol，简称HTTP)、文件传输协议(File Transfer Protocol，简称FTP)、远程终端协议(Telnet)等。后来，随着交换机代替集线器，简单的嗅探攻击已经不能成功，必须进行地址解析协议(Address Resolution Protocol，简称ARP)欺骗才行。

简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方却毫不知情。目前，在网络通信过程中，中间人攻击的发生难以有效的检测出。

发明内容

有鉴于此，本发明的目的在于提供一种用于检测中间人攻击的方法、装置以及电子设备，以解决现有技术中存在的在网络通信过程中，中间人攻击的发生难以有效的检测出的技术问题。

第一方面，本发明实施例提供了一种用于检测中间人攻击的方法，应用于网络监视器，包括：

统计预设时间内网络通信中的IP地址与MAC地址之间的映射关系，得到第一映射关系，并统计网络通信在所述第一映射关系下的句柄数据，得到第一句柄数据；

采集当前网络通信中的IP地址与MAC地址之间的映射关系，得到第二映射关系；

将所述第一映射关系与所述第二映射关系进行对比，若所述第二映射关系与所述第一映射关系不相符，则采集当前网络通信在所述第二映射关系下的句柄数据，得到第二句柄数据；

将所述第一句柄数据与所述第二句柄数据进行对比，若所述第二句柄数据与所述第一句柄数据不相符，则确定当前网络通信中存在中间人攻击。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，采集当前网络通信中的IP地址与MAC地址之间的映射关系，得到第二映射关系，包括：

通过网络探针采集当前网络通信中的IP地址与MAC地址之间的映射关系，得到第二映射关系。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，采集当前网络通信在所述第二映射关系下的句柄数据，得到第二句柄数据，包括：

检测当前网络通信在所述第二映射关系下的Register Session命令，并采集所述Register Session命令所产生的句柄数据，得到第二句柄数据。