logo好方法网

应用于工业控制环境的ARP扫描检测方法、系统

发布时间:2020-09-14 发布人:admin 分类:专利技术 资料大小:1.39M 资料格式:pdf 举报 版权申诉

技术摘要:
本发明公开了一种应用于工业控制环境的ARP扫描检测方法、系统,该方法包括:S1:抓取并解析工业控制网络中的ARP数据包,根据标志位从ARP数据包中挑选出ARP请求包;S2:根据当前ARP请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求;S  全部
背景技术:
长期以来,工业控制系统独立封闭,存在天然的安全性问题,但人们往往忽视了它 存在的安全隐患。随着工业信息化的不断发展,工业控制系统从单机走向互联、从封闭走向 开放、从自动化走向智能化。在生产力显著提高的同时,工业控制系统也面临着日益严峻的 网络安全威胁。工业控制系统广泛应用于各大重要行业,重要性不言而喻,因此也成为了黑 客攻击的主要目标。 ARP(Address  Resolution  Protocol,地址解析协议),是一种将IP地址转换成物 理地址的协议。攻击者通过ARP扫描的方式可以获取局域网内各个主机的IP地址和物理地 址,以及主机的存活状态,为接下来的进一步的攻击做铺垫,但大量的ARP扫描也会占用网 络带宽,影响网速。因此能够及时准确的发现网络中的ARP扫描行为,就可以有效的阻止后 续更具破坏性的攻击行为。 目前虽然有一些ARP扫描的检测方法,比如检测一定时间内arp请求包是否远远多 于arp响应包,或者一定时间内arp请求包的数量是否超过阈值。但这些检测方法只能检测 短周期的扫描,对长周期(比如:以天为单位)的ARP扫描则无法检测。
技术实现要素:
本发明的目的在于提供一种应用于工业控制环境的ARP扫描检测方法、系统,能够 及时、准确地检测ARP扫描,尤其是长周期的ARP扫描。 为解决上述技术问题,本发明采用的一个技术方案是:提供一种应用于工业控制 环境的ARP扫描检测方法,包括以下步骤:S1:抓取并解析工业控制网络中的ARP数据包,根 据标志位从ARP数据包中挑选出ARP请求包;S2:根据当前ARP请求包的发生时间是否处于学 习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请求;S3:统计工业控制网络中当 前ARP请求包所属主机发送的可疑ARP请求的总数,在总数超过阈值时,判定当前ARP请求包 所属主机存在ARP扫描行为。 优选的,所述步骤S2具体包括:S21:判断当前ARP请求包的发生时间是否处于学习 期内,如果处于学习期内,进行步骤S22,如果不是处于学习期内,则进行步骤S24;S22:判断 当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中,如果判断结果为否,则进 行步骤S23;S23:将当前ARP请求包对应的ARP请求记录到所述知识库中,并标记为合法ARP 请求;S24:判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中,如果判断 结果为否,则进行步骤S25;S25:将当前ARP请求包对应的ARP请求记录到所述知识库中,并 标记为可疑ARP请求。 优选的,在步骤S23、S25之后以及在步骤S22、S24的判断结果为是时,还包括步骤: 4 CN 111597556 A 说 明 书 2/5 页 S26:在所述知识库中更新当前ARP请求包对应的ARP请求的记录时间。 优选的,所述步骤S3具体包括:S31:统计所述知识库中由当前ARP请求包所属主机 发送的且记录时间在预设时效期内的可疑ARP请求的总数;S32:判断总数是否超过阈值,如 果超过阈值,则进行步骤S33,如果没有超过阈值,则重复进行步骤S1;S33:判定当前ARP请 求包所属主机存在ARP扫描行为。 为解决上述技术问题,本发明采用的另一个技术方案是:提供一种应用于工业控 制环境的ARP扫描检测系统,所述ARP扫描检测系统包括ARP数据采集模块、ARP数据识别模 块和ARP扫描检测模块;所述ARP数据采集模块用于抓取并解析工业控制网络中的ARP数据 包,根据标志位从ARP数据包中挑选出ARP请求包;所述ARP数据识别模块用于根据当前ARP 请求包的发生时间是否处于学习期来判断当前ARP请求包对应的ARP请求是否为可疑ARP请 求;所述ARP扫描检测模块用于统计工业控制网络中当前ARP请求包所属主机发送的可疑 ARP请求的总数,在总数超过阈值时,判定当前ARP请求包所属主机存在ARP扫描行为。 优选的,所述ARP数据识别模块包括时效识别单元、重复识别单元和数据记录单 元;所述时效识别单元用于判断当前ARP请求包的发生时间是否处于学习期内;所述重复识 别单元用于判断当前ARP请求包对应的ARP请求是否已经记录于预设的知识库中;所述数据 记录单元用于在时效识别单元判断为处于学习期内且重复识别单元判断为否时,将当前 ARP请求包对应的ARP请求记录到所述知识库中,并标记为合法ARP请求;在时效识别单元判 断为不处于学习期内且重复识别单元判断为否时,将当前ARP请求包对应的ARP请求记录到 所述知识库中,并标记为可疑ARP请求。 优选的,所述ARP数据识别模块还包括时间记录单元,所述时间记录单元用于在数 据记录单元将当前ARP请求包对应的ARP请求记录到知识库中以及在重复识别单元判断为 是时,在所述知识库中更新当前ARP请求包对应的ARP请求的记录时间。 优选的,所述ARP扫描检测模块包括统计单元、比较单元和判定单元;所述统计单 元用于统计所述知识库中由当前ARP请求包所属主机发送的且记录时间在预设时效期内的 可疑ARP请求的总数;所述比较单元用于判断总数是否超过阈值;所述判定单元用于在比较 单元判定为是时,判定当前ARP请求包所属主机存在ARP扫描行为。 区别于现有技术的情况,本发明的有益效果是:能够及时、准确地检测ARP扫描行 为,尤其是长周期的ARP扫描行为。 附图说明 图1是本发明实施例提供的应用于工业控制环境的ARP扫描检测方法的流程示意 图; 图2是图1所示的ARP扫描检测方法的步骤S2、S3的具体流程示意图; 图3是本发明实施例提供的应用于工业控制环境的ARP扫描检测系统的原理框图; 图4是图3所示的ARP扫描检测系统的ARP数据识别模块、ARP扫描检测模块的具体 框图。
    分享到:
    收藏

    相关推荐