[发明专利]一种终端网络行为嗅探监控方法

说明书

本发明涉及网络安全技术领域，具体涉及一种终端网络行为嗅探监控方法；本发明包括以下步骤：Step1，在同一局域网中添加一组的监控设备和一组的蜜罐设备，监控设备和蜜罐设备中均安装有监防软件，Step2，监防软件指令监控设备的网关均设置为混杂模式，监防软件指令蜜罐设备的网关均设置为非混杂模式，Step3，监防软件中存储有记录着所有监控设备和蜜罐设备的IP地址和MAC地址的备忘记录表，Step4，监防软件指令监控设备和蜜罐设备之间模拟正常的联机交流活动，同时监防软件还会指令监控设备与同一局域网中其它用户联网设备之间进行正常的联机交流活动等等；本发明能够有效地解决现有技术存在安全性不佳和检测效率较低等问题。

技术领域

本发明涉及网络安全技术领域，具体涉及一种终端网络行为嗅探监控方法。

背景技术

随着网络中攻击越来越复杂，其在军事、商业方面的影响也越来越广，而攻击的复杂性导致高级持续性检测愈发的困难，该攻击的发展具体体现在攻击者不断使用各种攻击手段，变换已有的攻击方式，在缓慢顺利得渗透到内部网络后长期蛰伏，不断在网络中获取相关敏感信息并想方设法继续提升权限，直到获得重要敏感信息为止。对于隐蔽性极高的攻击，需要及时地对其进行发现和处理，保护运行系统的主体安全。

在申请号为：CN201610307127.7的专利文件中公开了一种基于攻击行为分析的高级持续性威胁检测方法，包括步骤1：接管系统内核所有程序执行管道；步骤2：将网卡设置为混淆模式，获取网络数据包，结合本地端口分析行为特征，若包含网络攻击行为的恶意操作指令，则系统告警；步骤3：枚举所有网络通道，若包含网络攻击行为的恶意操作指令，则系统告警；步骤4：监控文件操作，对关键信息进行判断，若不符合要求，则系统告警；步骤5：从内核层跨界提交捕获的软件执行API信息到应用层交给行为分析引擎，判断是否为攻击行为，若是则发出告警，若否，则继续返回执行步骤2。本发明能够检测高级持续性威胁，检测效率高，且较全面地分析攻击在系统层面的行为情况。

但是，其在实际应用过程中仍存在以下不足：

第一，安全性仍有提升空间，因为其不能对有效地防护来自局域网中ARP劫持攻击，即不能有效地保护联网设备之间通讯的隐私性。

第二，检测效率仍有提升空间，因为需要对所有通道都进行的一一枚举，并检测其是否包含网络攻击等恶意操作指令。

发明内容

解决的技术问题

针对现有技术所存在的上述缺点，本发明提供了一种终端网络行为嗅探监控方法，能够有效地解决现有技术存在安全性不佳和检测效率较低等问题。

技术方案

为实现以上目的，本发明通过以下技术方案予以实现：

一种终端网络行为嗅探监控方法，包括以下步骤：

Step1，在同一局域网中添加一组的监控设备和一组的蜜罐设备，所述监控设备和蜜罐设备中均安装有监防软件；

Step2，所述监防软件指令监控设备的网关均设置为混杂模式，所述监防软件指令蜜罐设备的网关均设置为非混杂模式，这样可以让监控设备实时监听局域网中的ARP请求包数据；

Step3，所述监防软件中存储有记录着所有监控设备和蜜罐设备的IP地址和MAC地址的备忘记录表；

Step4，所述监防软件指令监控设备和蜜罐设备之间模拟正常的联机交流活动，同时监防软件还会指令监控设备与同一局域网中其它用户联网设备之间进行正常的联机交流活动，这样可以让攻击者很难分辨出各个设备的类型，从而提升系统整体上的安全性；

Step5，所述监防软件指令监控设备实时扫描其所处局域网中的联网设备，并且监防软件指令监控设备对同一局域网中所有联网设备发送ARP请求包，并将接收到的ARP返回包中的IP地址和MAC地址记录在第一缓存表中；