一种终端网络行为嗅探监控方法与流程

1.本发明涉及网络安全技术领域，具体涉及一种终端网络行为嗅探监控方法。


背景技术：

2.随着网络中攻击越来越复杂，其在军事、商业方面的影响也越来越广，而攻击的复杂性导致高级持续性检测愈发的困难，该攻击的发展具体体现在攻击者不断使用各种攻击手段，变换已有的攻击方式，在缓慢顺利得渗透到内部网络后长期蛰伏，不断在网络中获取相关敏感信息并想方设法继续提升权限，直到获得重要敏感信息为止。对于隐蔽性极高的攻击，需要及时地对其进行发现和处理，保护运行系统的主体安全。
3.在申请号为：cn201610307127.7的专利文件中公开了一种基于攻击行为分析的高级持续性威胁检测方法，包括步骤1：接管系统内核所有程序执行管道；步骤2：将网卡设置为混淆模式，获取网络数据包，结合本地端口分析行为特征，若包含网络攻击行为的恶意操作指令，则系统告警；步骤3：枚举所有网络通道，若包含网络攻击行为的恶意操作指令，则系统告警；步骤4：监控文件操作，对关键信息进行判断，若不符合要求，则系统告警；步骤5：从内核层跨界提交捕获的软件执行api信息到应用层交给行为分析引擎，判断是否为攻击行为，若是则发出告警，若否，则继续返回执行步骤2。本发明能够检测高级持续性威胁，检测效率高，且较全面地分析攻击在系统层面的行为情况。
4.但是，其在实际应用过程中仍存在以下不足：第一，安全性仍有提升空间，因为其不能对有效地防护来自局域网中arp劫持攻击，即不能有效地保护联网设备之间通讯的隐私性。
5.第二，检测效率仍有提升空间，因为需要对所有通道都进行的一一枚举，并检测其是否包含网络攻击等恶意操作指令。


技术实现要素：

6.解决的技术问题针对现有技术所存在的上述缺点，本发明提供了一种终端网络行为嗅探监控方法，能够有效地解决现有技术存在安全性不佳和检测效率较低等问题。
7.技术方案为实现以上目的，本发明通过以下技术方案予以实现：一种终端网络行为嗅探监控方法，包括以下步骤：step1，在同一局域网中添加一组的监控设备和一组的蜜罐设备，所述监控设备和蜜罐设备中均安装有监防软件；step2，所述监防软件指令监控设备的网关均设置为混杂模式，所述监防软件指令蜜罐设备的网关均设置为非混杂模式，这样可以让监控设备实时监听局域网中的arp请求包数据；step3，所述监防软件中存储有记录着所有监控设备和蜜罐设备的ip地址和mac地
址的备忘记录表；step4，所述监防软件指令监控设备和蜜罐设备之间模拟正常的联机交流活动，同时监防软件还会指令监控设备与同一局域网中其它用户联网设备之间进行正常的联机交流活动，这样可以让攻击者很难分辨出各个设备的类型，从而提升系统整体上的安全性；step5，所述监防软件指令监控设备实时扫描其所处局域网中的联网设备，并且监防软件指令监控设备对同一局域网中所有联网设备发送arp请求包，并将接收到的arp返回包中的ip地址和mac地址记录在第一缓存表中；step6，紧接上述step5，若监防软件检测到局域网中有设备退出联网时，则监防软件将删除第一缓存表中对应该设备的ip地址和mac地址，若监防软件检测到局域网中有新的设备联网时，则监防软件指令监控软件向新联网的设备发送arp请求包，并将该设备的arp返回包中的ip地址和mac地址记录在第一缓存表中；step7，监防软件指令监控设备对同一局域网中任意一台用户联网设备进行一段时间的arp劫持，并且该监控设备会将劫持到的信息重新转发给对应的用户联网设备，从而实现监控设备对用户联网设备的联网行为进行监控；step8，紧接上述step7，监防软件对劫持到的信息进行解密破解，从而检测该信息中是否包含非法内容，其中监防软件检测信息是否非法采用关键词比对的方式的机检；step9，紧接上述step7，当监控设备完成对用户联网设备的抽查后，监防软件解除对该用户联网设备的arp劫持，并且将用户联网设备的ip地址和mac地址记录在第二缓存表中；step10，紧接上述step9，监防软件指令监控设备对另一用户联网设备进行一段时间的arp劫持，并且该监控设备会将劫持到的信息重新转发给对应的用户联网设备，从而实现监控设备对用户联网设备的联网行为进行监控。
8.更进一步地，所述监防软件随着终端设备的启动而在后台自动启动，并且所述监防软件的关闭需要管理员权限，并且所述客监防软件的卸载同样需要管理员权限。
9.更进一步地，所述管理员权限是指管理秘钥，并且所述管理秘钥是动态的，即监防软件会在前端随机给出的参数和相应编号的加密算法，管理员需要向另一台计算机（该计算机中安装有相应的破译软件）中输入相应的参数和对应编号，然后该计算机调出相应的加密算法并输入对应的参数，然后将计算结果（即管理秘钥）输出至前端，这样可以有效地避免攻击者将监防软件远程关闭，从而提升监控设备和蜜罐设备的可靠性更进一步地，所述监控设备和蜜罐设备为计算机或智能手机；并且同一所述局域网下至少有一台监控设备和一台蜜罐设备。
10.更进一步地，所述step4中正常的联机交流活动是指两台设备的通信遵守arp协议。
11.更进一步地，所述step3中备忘记录表中存储的监控设备和蜜罐设备的ip地址和mac地址均采用手工静态绑定，这样可以有效地保证的监控设备和蜜罐设备之间的通信不会受到arp劫持攻击。
12.更进一步地，所述备忘记录表中的ip地址和mac地址需要管理员定期手动更改，这样可以提升监控设备和蜜罐设备的可靠性。
13.更进一步地，所述step7中，同一用户联网设备在同一时间段内只能被一台监控设
备进行arp劫持，并且所述监防软件指令监控设备对下一台用户联网设备进行arp劫持之前，监防软件会在该监控设备中的第二缓存表中进行检索比对，从而防止连续对同一台用户联网设备进行arp劫持。
14.更进一步地，所述监控设备和蜜罐设备实时共享第一缓存表，所述第一缓存表采用dhcp侦听的方式制得，并且所述监控设备之间实时共享第二缓存表。
15.更进一步地，当有所述用户联网设备向蜜罐设备发送arp请求包实时，所述蜜罐设备向该用户联网设备发送arp返回包，并且该所述蜜罐设备上的监防软件实时监控该所述用户联网设备与该蜜罐设备之间的信息交流活动是否合法。
16.有益效果采用本发明提供的技术方案，与已知的公有技术相比，具有如下有益效果：本发明通过在局域网中添加一组监控设备和一组蜜罐设备，通过监控设备对同一局域网中的用户联网设备的通信内容进行嗅探，从而监测用户联网设备是否有非法行为，同时监控设备和蜜罐设备共同配合快速且准确地检测处局域网中是否有设备存在arp劫持攻击行为的设计。达到有效地令本发明具有更好安全性和效率的效果。
附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1为本发明中局域网中各个设备的连接关系图。
具体实施方式
19.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.下面结合实施例对本发明作进一步的描述。
实施例
21.本实施例的一种终端网络行为嗅探监控方法，参照图1：包括以下步骤：step1，在同一局域网中添加一组的监控设备和一组的蜜罐设备，监控设备和蜜罐设备中均安装有监防软件；其中监控设备和蜜罐设备为计算机或智能手机；并且在本实施例中同一局域网下有两台监控设备和两台蜜罐设备。
22.值得注意的是监防软件随着终端设备的启动而在后台自动启动，这样可以让局域始终处于被监防软件监控的状态下，并且监防软件的关闭需要管理员权限；并且监防软件的卸载同样需要管理员权限，这样可以有效地避免攻击者远程将监控设备和蜜罐设备的监防软件关闭，从而有效地保证监控设备和蜜罐设备的正常工作，从而提升终端网络的安全运行。
23.管理员权限是指管理秘钥，并且管理秘钥是动态的，即监防软件会在前端随机给出的参数和相应编号的加密算法，管理员需要向另一台计算机（该计算机中安装有相应的破译软件）中输入相应的参数和对应编号，然后该计算机调出相应的加密算法并输入对应的参数，然后将计算结果（即管理秘钥）输出至前端，这样可以有效地增加攻击者破解管理秘钥的难度。
24.值得注意的是，监防软件在前端给出的参数和相应编号的加密算法均经过加密处理，即后台的参数和相应编号与前端的参数和相应编号不一样，而是需要经过加密换算。
25.step2，监防软件指令监控设备的网关均设置为混杂模式，监防软件指令蜜罐设备的网关均设置为非混杂模式，这样监防软件便可以指令监控设备一直监听该局域网中交换机的广播信息，从而记录各个用户联网设备的ip地址和mac地址。
26.step3，监防软件中存储有记录着所有监控设备和蜜罐设备的ip地址和mac地址的备忘记录表。
27.其中，备忘记录表中存储的监控设备和蜜罐设备的ip地址和mac地址均采用手工静态绑定，这样可以让监控设备和蜜罐设备之间的通信不受arp劫持攻击。
28.值得注意的是，备忘记录表经过加密处理，从而有效地防止攻击者获得备忘记录表中的内容。
29.备忘记录表中的ip地址和mac地址需要管理员定期手动更改，这样可以有效地避免因攻击者记录下监控设备和蜜罐设备的身份信息，而在下次攻击中绕过监控设备和蜜罐设备的情形发生；其中监控设备和蜜罐设备的mac地址的修改方式有硬件修改和软件修改两种方式，在本市实施例中为了降低成本采用软件修改的方式。
30.step4，监防软件指令监控设备和蜜罐设备之间模拟正常的联机交流活动，同时监防软件还会指令监控设备与同一局域网中其它用户联网设备之间进行正常的联机交流活动；其中，正常的联机交流活动是指两台设备的通信遵守arp协议。这样可以有效地迷惑攻击者，让攻击者无法准确判断出联网设备的类型，从而有效地避免出现攻击者绕过监控设备和蜜罐设备的情形。
31.step5，监防软件指令监控设备实时扫描其所处局域网中的联网设备，并且监防软件指令监控设备对同一局域网中所有联网设备发送arp请求包，并将接收到的arp返回包中的ip地址和mac地址记录在第一缓存表中。
32.step6，紧接上述step5，若监防软件检测到局域网中有设备退出联网时，则监防软件将删除第一缓存表中对应该设备的ip地址和mac地址，若监防软件检测到局域网中有新的设备联网时，则监防软件指令监控软件向新联网的设备发送arp请求包，并将该设备的arp返回包中的ip地址和mac地址记录在第一缓存表中。
33.结合step5和step6，这样可以让监防软件实时了解到局域网中有多少台联网的设备，并且知晓各个联网设备的ip地址和mac地址。
34.step7，监防软件指令监控设备对同一局域网中任意一台用户联网设备进行一段时间的arp劫持，并且该监控设备会将劫持到的信息重新转发给对应的用户联网设备，从而实现监控设备对用户联网设备的联网行为进行监控，这样可以使得监防软件在不影响用户联网设备的正常使用前提下，对用户联网设备的网络行为进行监测。
35.值得注意的是，同一用户联网设备在同一时间段内只能被一台监控设备进行arp
劫持，并且监防软件指令监控设备对下一台用户联网设备进行arp劫持之前，监防软件会在该监控设备中的第二缓存表中进行检索比对，从而防止连续对同一台用户联网设备进行arp劫持。因此监控设备和蜜罐设备必须要实时共享第一缓存表，第一缓存表采用dhcp侦听的方式制得，此外监控设备之间还必须要实时共享第二缓存表；只有这样，不同的监控设备才不会在同一时间段内对同一用户联网设备进行监测。
36.step8，紧接上述step7，监防软件对劫持到的信息进行解密破解，从而检测该信息中是否包含非法内容，为了保护用户的合法的隐私，监防软件对信息内容的检测是基于关键字、关键词或关键句的比对。
37.step9，紧接上述step7，当监控设备完成对用户联网设备的抽查后，监防软件解除对该用户联网设备的arp劫持，并且将用户联网设备的ip地址和mac地址记录在第二缓存表中。
38.step10，紧接上述step9，监防软件指令监控设备对另一用户联网设备进行一段时间的arp劫持，并且该监控设备会将劫持到的信息重新转发给对应的用户联网设备，从而实现监控设备对用户联网设备的联网行为进行监控。
39.当有用户联网设备向蜜罐设备发送arp请求包实时，蜜罐设备向该用户联网设备发送arp返回包，并且该蜜罐设备上的监防软件实时监控该用户联网设备与该蜜罐设备之间的信息交流活动是否合法。首先，蜜罐设备作为陷进承担的是被动防御措施，如果有非监控设备想要与蜜罐设备进行通信，则可以初步判定该设备为非法设备，如果该设备在与蜜罐设备进行通信时有非法行为，则蜜罐设备上的监防软件可以确定该设备为非法设备。
40.其中，监控设备和蜜罐设备模拟正常的联网通信交流活动中，如果监防软件检测到目标设备发送的arp请求包中的ip地址与mac地址数据与第一缓存表中记录的数据不相符时，则判定该目标设备为非法设备。
41.此外，当局域网中有非法设备向其他所有设备发起arp劫持攻击时，即该非法设备将自己伪装成所有人，那么监控设备和蜜罐设备上监防软件会立即检测到局域网中出现ip地址不同但mac地址相同的设备，那么监防软件立即判定该设备为非法设备。
42.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。