本發(fā)明提供了一種用于檢測中間人攻擊的方法、裝置以及電子設(shè)備，涉及網(wǎng)絡(luò)檢測技術(shù)領(lǐng)域，包括：統(tǒng)計預(yù)設(shè)時間內(nèi)網(wǎng)絡(luò)通信中的IP地址與MAC地址之間的映射關(guān)系得到第一映射關(guān)系，統(tǒng)計網(wǎng)絡(luò)通信在第一映射關(guān)系下的句柄數(shù)據(jù)得到第一句柄數(shù)據(jù)；采集當(dāng)前網(wǎng)絡(luò)通信中的IP地址與MAC地址之間的映射關(guān)系得到第二映射關(guān)系；將第一映射關(guān)系與第二映射關(guān)系進行對比，若第二映射關(guān)系與第一映射關(guān)系不相符則采集當(dāng)前網(wǎng)絡(luò)通信在第二映射關(guān)系下的句柄數(shù)據(jù)得到第二句柄數(shù)據(jù)；將第一句柄數(shù)據(jù)與第二句柄數(shù)據(jù)進行對比，若第二句柄數(shù)據(jù)與第一句柄數(shù)據(jù)不相符則確定當(dāng)前網(wǎng)絡(luò)通信中存在中間人攻擊，解決了中間人攻擊的發(fā)生難以有效的檢測出的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)檢測技術(shù)領(lǐng)域，尤其是涉及一種用于檢測中間人攻擊的方法、裝置以及電子設(shè)備。

背景技術(shù)

中間人攻擊(Man-in-the-Middle Attack，簡稱MITM)是一種由來已久的網(wǎng)絡(luò)入侵手段，并且當(dāng)今仍然有著廣泛的發(fā)展空間，如Server Message Block(簡稱SMB)會話劫持、域名系統(tǒng)(Domain Name System，簡稱DNS)欺騙等攻擊都是典型的MITM攻擊。

隨著計算機通信網(wǎng)技術(shù)的不斷發(fā)展，MITM攻擊越來越多樣化。最初，攻擊者只要將網(wǎng)卡設(shè)為混雜模式，偽裝成代理服務(wù)器監(jiān)聽特定的流量就可以實現(xiàn)攻擊，這是因為很多通信協(xié)議都是以明文來進行傳輸?shù)?，如超文本傳輸協(xié)議(Hyper Text Transfer Protocol，簡稱HTTP)、文件傳輸協(xié)議(File Transfer Protocol，簡稱FTP)、遠(yuǎn)程終端協(xié)議(Telnet)等。后來，隨著交換機代替集線器，簡單的嗅探攻擊已經(jīng)不能成功，必須進行地址解析協(xié)議(Address Resolution Protocol，簡稱ARP)欺騙才行。

簡而言之，所謂的MITM攻擊就是通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進行數(shù)據(jù)篡改和嗅探，而通信的雙方卻毫不知情。目前，在網(wǎng)絡(luò)通信過程中，中間人攻擊的發(fā)生難以有效的檢測出。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種用于檢測中間人攻擊的方法、裝置以及電子設(shè)備，以解決現(xiàn)有技術(shù)中存在的在網(wǎng)絡(luò)通信過程中，中間人攻擊的發(fā)生難以有效的檢測出的技術(shù)問題。

第一方面，本發(fā)明實施例提供了一種用于檢測中間人攻擊的方法，應(yīng)用于網(wǎng)絡(luò)監(jiān)視器，包括：

統(tǒng)計預(yù)設(shè)時間內(nèi)網(wǎng)絡(luò)通信中的IP地址與MAC地址之間的映射關(guān)系，得到第一映射關(guān)系，并統(tǒng)計網(wǎng)絡(luò)通信在所述第一映射關(guān)系下的句柄數(shù)據(jù)，得到第一句柄數(shù)據(jù)；

采集當(dāng)前網(wǎng)絡(luò)通信中的IP地址與MAC地址之間的映射關(guān)系，得到第二映射關(guān)系；

將所述第一映射關(guān)系與所述第二映射關(guān)系進行對比，若所述第二映射關(guān)系與所述第一映射關(guān)系不相符，則采集當(dāng)前網(wǎng)絡(luò)通信在所述第二映射關(guān)系下的句柄數(shù)據(jù)，得到第二句柄數(shù)據(jù)；

將所述第一句柄數(shù)據(jù)與所述第二句柄數(shù)據(jù)進行對比，若所述第二句柄數(shù)據(jù)與所述第一句柄數(shù)據(jù)不相符，則確定當(dāng)前網(wǎng)絡(luò)通信中存在中間人攻擊。

結(jié)合第一方面，本發(fā)明實施例提供了第一方面的第一種可能的實施方式，其中，采集當(dāng)前網(wǎng)絡(luò)通信中的IP地址與MAC地址之間的映射關(guān)系，得到第二映射關(guān)系，包括：

通過網(wǎng)絡(luò)探針采集當(dāng)前網(wǎng)絡(luò)通信中的IP地址與MAC地址之間的映射關(guān)系，得到第二映射關(guān)系。

結(jié)合第一方面，本發(fā)明實施例提供了第一方面的第二種可能的實施方式，其中，采集當(dāng)前網(wǎng)絡(luò)通信在所述第二映射關(guān)系下的句柄數(shù)據(jù)，得到第二句柄數(shù)據(jù)，包括：

檢測當(dāng)前網(wǎng)絡(luò)通信在所述第二映射關(guān)系下的Register Session命令，并采集所述Register Session命令所產(chǎn)生的句柄數(shù)據(jù)，得到第二句柄數(shù)據(jù)。