本發明公開了一種應用于工業控制環境的ARP掃描檢測方法、系統，該方法包括：S1：抓取并解析工業控制網絡中的ARP數據包，根據標志位從ARP數據包中挑選出ARP請求包；S2：根據當前ARP請求包的發生時間是否處于學習期來判斷當前ARP請求包對應的ARP請求是否為可疑ARP請求；S3：統計工業控制網絡中當前ARP請求包所屬主機發送的可疑ARP請求的總數，在總數超過閾值時，判定當前ARP請求包所屬主機存在ARP掃描行為。本發明能夠及時、準確地檢測ARP掃描，尤其是長周期的ARP掃描。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種應用于工業控制環境的ARP掃描檢測方法、系統。

背景技術

長期以來，工業控制系統獨立封閉，存在天然的安全性問題，但人們往往忽視了它存在的安全隱患。隨著工業信息化的不斷發展，工業控制系統從單機走向互聯、從封閉走向開放、從自動化走向智能化。在生產力顯著提高的同時，工業控制系統也面臨著日益嚴峻的網絡安全威脅。工業控制系統廣泛應用于各大重要行業，重要性不言而喻，因此也成為了黑客攻擊的主要目標。

ARP(Address?Resolution?Protocol，地址解析協議)，是一種將IP地址轉換成物理地址的協議。攻擊者通過ARP掃描的方式可以獲取局域網內各個主機的IP地址和物理地址，以及主機的存活狀態，為接下來的進一步的攻擊做鋪墊，但大量的ARP掃描也會占用網絡帶寬，影響網速。因此能夠及時準確的發現網絡中的ARP掃描行為，就可以有效的阻止后續更具破壞性的攻擊行為。

目前雖然有一些ARP掃描的檢測方法，比如檢測一定時間內arp請求包是否遠遠多于arp響應包，或者一定時間內arp請求包的數量是否超過閾值。但這些檢測方法只能檢測短周期的掃描，對長周期(比如：以天為單位)的ARP掃描則無法檢測。

發明內容

本發明的目的在于提供一種應用于工業控制環境的ARP掃描檢測方法、系統，能夠及時、準確地檢測ARP掃描，尤其是長周期的ARP掃描。

為解決上述技術問題，本發明采用的一個技術方案是：提供一種應用于工業控制環境的ARP掃描檢測方法，包括以下步驟：S1：抓取并解析工業控制網絡中的ARP數據包，根據標志位從ARP數據包中挑選出ARP請求包；S2：根據當前ARP請求包的發生時間是否處于學習期來判斷當前ARP請求包對應的ARP請求是否為可疑ARP請求；S3：統計工業控制網絡中當前ARP請求包所屬主機發送的可疑ARP請求的總數，在總數超過閾值時，判定當前ARP請求包所屬主機存在ARP掃描行為。

優選的，所述步驟S2具體包括：S21：判斷當前ARP請求包的發生時間是否處于學習期內，如果處于學習期內，進行步驟S22，如果不是處于學習期內，則進行步驟S24；S22：判斷當前ARP請求包對應的ARP請求是否已經記錄于預設的知識庫中，如果判斷結果為否，則進行步驟S23；S23：將當前ARP請求包對應的ARP請求記錄到所述知識庫中，并標記為合法ARP請求；S24：判斷當前ARP請求包對應的ARP請求是否已經記錄于預設的知識庫中，如果判斷結果為否，則進行步驟S25；S25：將當前ARP請求包對應的ARP請求記錄到所述知識庫中，并標記為可疑ARP請求。

優選的，在步驟S23、S25之后以及在步驟S22、S24的判斷結果為是時，還包括步驟：S26：在所述知識庫中更新當前ARP請求包對應的ARP請求的記錄時間。

優選的，所述步驟S3具體包括：S31：統計所述知識庫中由當前ARP請求包所屬主機發送的且記錄時間在預設時效期內的可疑ARP請求的總數；S32：判斷總數是否超過閾值，如果超過閾值，則進行步驟S33，如果沒有超過閾值，則重復進行步驟S1；S33：判定當前ARP請求包所屬主機存在ARP掃描行為。