本發明涉及網絡安全技術領域，具體涉及一種終端網絡行為嗅探監控方法；本發明包括以下步驟：Step1，在同一局域網中添加一組的監控設備和一組的蜜罐設備，監控設備和蜜罐設備中均安裝有監防軟件，Step2，監防軟件指令監控設備的網關均設置為混雜模式，監防軟件指令蜜罐設備的網關均設置為非混雜模式，Step3，監防軟件中存儲有記錄著所有監控設備和蜜罐設備的IP地址和MAC地址的備忘記錄表，Step4，監防軟件指令監控設備和蜜罐設備之間模擬正常的聯機交流活動，同時監防軟件還會指令監控設備與同一局域網中其它用戶聯網設備之間進行正常的聯機交流活動等等；本發明能夠有效地解決現有技術存在安全性不佳和檢測效率較低等問題。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種終端網絡行為嗅探監控方法。

背景技術

隨著網絡中攻擊越來越復雜，其在軍事、商業方面的影響也越來越廣，而攻擊的復雜性導致高級持續性檢測愈發的困難，該攻擊的發展具體體現在攻擊者不斷使用各種攻擊手段，變換已有的攻擊方式，在緩慢順利得滲透到內部網絡后長期蟄伏，不斷在網絡中獲取相關敏感信息并想方設法繼續提升權限，直到獲得重要敏感信息為止。對于隱蔽性極高的攻擊，需要及時地對其進行發現和處理，保護運行系統的主體安全。

在申請號為：CN201610307127.7的專利文件中公開了一種基于攻擊行為分析的高級持續性威脅檢測方法，包括步驟1：接管系統內核所有程序執行管道；步驟2：將網卡設置為混淆模式，獲取網絡數據包，結合本地端口分析行為特征，若包含網絡攻擊行為的惡意操作指令，則系統告警；步驟3：枚舉所有網絡通道，若包含網絡攻擊行為的惡意操作指令，則系統告警；步驟4：監控文件操作，對關鍵信息進行判斷，若不符合要求，則系統告警；步驟5：從內核層跨界提交捕獲的軟件執行API信息到應用層交給行為分析引擎，判斷是否為攻擊行為，若是則發出告警，若否，則繼續返回執行步驟2。本發明能夠檢測高級持續性威脅，檢測效率高，且較全面地分析攻擊在系統層面的行為情況。

但是，其在實際應用過程中仍存在以下不足：

第一，安全性仍有提升空間，因為其不能對有效地防護來自局域網中ARP劫持攻擊，即不能有效地保護聯網設備之間通訊的隱私性。

第二，檢測效率仍有提升空間，因為需要對所有通道都進行的一一枚舉，并檢測其是否包含網絡攻擊等惡意操作指令。

發明內容

解決的技術問題

針對現有技術所存在的上述缺點，本發明提供了一種終端網絡行為嗅探監控方法，能夠有效地解決現有技術存在安全性不佳和檢測效率較低等問題。

技術方案

為實現以上目的，本發明通過以下技術方案予以實現：

一種終端網絡行為嗅探監控方法，包括以下步驟：

Step1，在同一局域網中添加一組的監控設備和一組的蜜罐設備，所述監控設備和蜜罐設備中均安裝有監防軟件；

Step2，所述監防軟件指令監控設備的網關均設置為混雜模式，所述監防軟件指令蜜罐設備的網關均設置為非混雜模式，這樣可以讓監控設備實時監聽局域網中的ARP請求包數據；

Step3，所述監防軟件中存儲有記錄著所有監控設備和蜜罐設備的IP地址和MAC地址的備忘記錄表；

Step4，所述監防軟件指令監控設備和蜜罐設備之間模擬正常的聯機交流活動，同時監防軟件還會指令監控設備與同一局域網中其它用戶聯網設備之間進行正常的聯機交流活動，這樣可以讓攻擊者很難分辨出各個設備的類型，從而提升系統整體上的安全性；

Step5，所述監防軟件指令監控設備實時掃描其所處局域網中的聯網設備，并且監防軟件指令監控設備對同一局域網中所有聯網設備發送ARP請求包，并將接收到的ARP返回包中的IP地址和MAC地址記錄在第一緩存表中；