[发明专利]一种终端网络行为嗅探监控方法

权利要求书

1.一种终端网络行为嗅探监控方法，其特征在于：包括以下步骤：

Step1，在同一局域网中添加一组的监控设备和一组的蜜罐设备，所述监控设备和蜜罐设备中均安装有监防软件；

Step2，所述监防软件指令监控设备的网关均设置为混杂模式，所述监防软件指令蜜罐设备的网关均设置为非混杂模式；

Step3，所述监防软件中存储有记录着所有监控设备和蜜罐设备的IP地址和MAC地址的备忘记录表；

Step4，所述监防软件指令监控设备和蜜罐设备之间模拟正常的联机交流活动，同时监防软件还会指令监控设备与同一局域网中其它用户联网设备之间进行正常的联机交流活动；

Step5，所述监防软件指令监控设备实时扫描其所处局域网中的联网设备，并且监防软件指令监控设备对同一局域网中所有联网设备发送ARP请求包，并将接收到的ARP返回包中的IP地址和MAC地址记录在第一缓存表中；

Step6，紧接上述Step5，若监防软件检测到局域网中有设备退出联网时，则监防软件将删除第一缓存表中对应该设备的IP地址和MAC地址，若监防软件检测到局域网中有新的设备联网时，则监防软件指令监控软件向新联网的设备发送ARP请求包，并将该设备的ARP返回包中的IP地址和MAC地址记录在第一缓存表中；

Step7，监防软件指令监控设备对同一局域网中任意一台用户联网设备进行一段时间的ARP劫持，并且该监控设备会将劫持到的信息重新转发给对应的用户联网设备，从而实现监控设备对用户联网设备的联网行为进行监控；

Step8，紧接上述Step7，监防软件对劫持到的信息进行解密破解，从而检测该信息中是否包含非法内容；

Step9，紧接上述Step7，当监控设备完成对用户联网设备的抽查后，监防软件解除对该用户联网设备的ARP劫持，并且将用户联网设备的IP地址和MAC地址记录在第二缓存表中；

Step10，紧接上述Step9，监防软件指令监控设备对另一用户联网设备进行一段时间的ARP劫持，并且该监控设备会将劫持到的信息重新转发给对应的用户联网设备，从而实现监控设备对用户联网设备的联网行为进行监控。

2.根据权利要求1所述的一种终端网络行为嗅探监控方法，其特征在于，所述监防软件随着终端设备的启动而在后台自动启动，并且所述监防软件的关闭需要管理员权限，并且所述监防软件的卸载同样需要管理员权限。

3.根据权利要求1所述的一种终端网络行为嗅探监控方法，其特征在于，所述管理员权限是指管理秘钥，并且所述管理秘钥是动态的，即监防软件会在前端随机给出的参数和相应编号的加密算法，管理员需要向另一台计算机（该计算机中安装有相应的破译软件）中输入相应的参数和对应编号，然后该计算机调出相应的加密算法并输入对应的参数，然后将计算结果（即管理秘钥）输出至前端。

4.根据权利要求1所述的一种终端网络行为嗅探监控方法，其特征在于，所述监控设备和蜜罐设备为计算机或智能手机；并且同一所述局域网下至少有一台监控设备和一台蜜罐设备。

5.根据权利要求1所述的一种终端网络行为嗅探监控方法，其特征在于，所述Step4中正常的联机交流活动是指两台设备的通信遵守ARP协议。

6.根据权利要求1所述的一种终端网络行为嗅探监控方法，其特征在于，所述Step3中备忘记录表中存储的监控设备和蜜罐设备的IP地址和MAC地址均采用手工静态绑定。

7.根据权利要求6所述的一种终端网络行为嗅探监控方法，其特征在于，所述备忘记录表中的IP地址和MAC地址需要管理员定期手动更改。

8.根据权利要求1所述的一种终端网络行为嗅探监控方法，其特征在于，所述Step7中，同一用户联网设备在同一时间段内只能被一台监控设备进行ARP劫持，并且所述监防软件指令监控设备对下一台用户联网设备进行ARP劫持之前，监防软件会在该监控设备中的第二缓存表中进行检索比对，从而防止连续对同一台用户联网设备进行ARP劫持。