[发明专利]ARP攻击监测系统及方法在审
| 申请号: | 201910171966.4 | 申请日: | 2019-03-07 |
| 公开(公告)号: | CN109981603A | 公开(公告)日: | 2019-07-05 |
| 发明(设计)人: | 杜小芳 | 申请(专利权)人: | 北京华安普特网络科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 上海精晟知识产权代理有限公司 31253 | 代理人: | 冯子玲 |
| 地址: | 100000 北京市丰台*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 主机 攻击监测 过滤模块 网关服务器 恶意攻击 监测系统 主机发送 阈值过滤 回传 预设 监测 辨别 通信过程 网段 转发 传递 | ||
1.ARP攻击监测系统,其特征在于,包括:同网段的若干网内主机以及为若干所述网内主机转发ARP报文的网关服务器;
所述网关服务器设置攻击监测模块以及异常过滤模块;所述攻击监测模块从ARP报文中获取源主机IP地址以及MAC地址;所述攻击监测模块通过检索攻击欺骗表过滤攻击性主机;所述攻击监测模块传递经过滤后的ARP报文传递至异常过滤模块;
所述异常过滤模块通过检索ARP缓存表统计ARP报文中源主机的恶意攻击度;所述恶意攻击度为ARP报文中源主机在阈值时间内重复发送ARP报文的次数;所述异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机;
所述异常过滤模块传递异常主机的IP地址以及MAC地址至攻击监测模块;所述攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机。
2.根据权利要求1所述的ARP攻击监测系统,其特征在于,所述攻击欺骗表内存储攻击性主机的IP地址以及MAC地址;所述攻击监测模块检索攻击欺骗表中是否存在ARP报文中源主机IP地址以及MAC地址;若存在,则所述网关服务器不转发ARP报文并且将ARP报文中源主机IP地址以及MAC地址存储到攻击欺骗表中;若存在,则所述网关服务器转发ARP报文。
3.根据权利要求1所述的ARP攻击监测系统,其特征在于,所述ARP缓存表中的主机的IP->MAC记录超过所述阈值时间时,删除对应的IP->MAC记录;所述ARP缓存表中还存储与主机的IP->MAC记录标记对应的恶意攻击度。
4.根据权利要求1所述的ARP攻击监测系统,其特征在于,所述监测ARP报文为ARP请求包;所述ARP请求包内的源主机IP地址以及MAC地址为异常主机ARP报文内的目的主机IP地址以及MAC地址;所述ARP请求包的内的目的主机IP地址以及MAC地址为异常主机ARP报文内的源主机IP地址以及MAC地址;
若异常主机回传与所述ARP请求包对应的ARP应答包,则所述网关服务器转发异常主机的ARP请求报文;
若异常主机没有回传所述ARP请求包对应的ARP应答包,则攻击监测模块将异常主机的IP地址以及MAC地址存储到攻击欺骗表内。
5.如权利要求1-4任意一所述的ARP攻击监测方法,其特征在于,包括如下过程:
步骤一:所述攻击监测模块检索攻击欺骗表判断是否为攻击性主机;若是,则执行步骤六;若否,则执行步骤二;
步骤二:所述异常过滤模块通过检索ARP缓存表中ARP报文的恶意攻击度;
步骤三:所述异常过滤模块对比恶意攻击度对比次数阈值并判断是否为异常主机;若是,则执行步骤四;若否,则执行步骤七;
步骤四:所述攻击监测模块向异常主机发送监测ARP报文并执行步骤五;
步骤五:所述攻击监测模块根据异常主机是否回传ARP应答包辨别攻击性主机判断是否为攻击性主机;若是,则执行步骤六;若否,则执行七;
步骤六:所述攻击监测模块将ARP报文内源主机IP地址以及MAC地址存储到攻击欺骗表内;
步骤七:网关服务器转发ARP报文。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京华安普特网络科技有限公司,未经北京华安普特网络科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910171966.4/1.html,转载请声明来源钻瓜专利网。
