基于政企网关下联终端IP和MAC自动绑定方法及系统与流程

本发明涉及网络安全，具体涉及基于政企网关下联终端ip和mac自动绑定方法及系统。

背景技术：

1、所有的小、中、大型政府和企业部门基本上都是使用光接入政企网关设备作为其宽带接入的最佳解决方案，保证接入网关的安全性、稳定性就显尤为重要。常见的安全防护就是防dos攻击。dos(denial of service，拒绝服务)攻击：也称洪水攻击，是一种网络攻击手法，其目的在于使目标设备的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。

2、arp(address resolution protocol，地址解析协议)：用来将ip地址解析为mac地址的协议。在局域网中，当主机或其它三层网络设备有数据要发送给另一台主机或三层网络设备时，需要知道对方的网络层地址(即ip地址)。但是仅有ip地址是不够的，因为ip报文必须封装成帧才能通过物理网络发送，因此发送方还需要知道接收方的物理地址(即mac地址)，这就需要一个通过ip地址获取物理地址的协议，以完成从ip地址到mac地址的映射。地址解析协议arp即可实现将ip地址解析为mac地址。

3、一种常见的dos攻击方式就是arp攻击，通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。现有的一些解决方案就是将局域网中正常的设备ip和对应的mac地址进行绑定，使其它攻击者无法通过攻击的方式来修改其arp表项。将网关接收到的所有ip和mac在网关的管理平台上列举出来，手工进行绑定，或者直接获取用户设备的ip和mac进行手动输入绑定；如果使用手工绑定的方式无疑会造成管理人员大量的重复简单内容；如果绑定的地址错误，需要排查再绑定，绑定效率低。

技术实现思路

1、本发明所要解决的技术问题是政企网关下面会接入大量的终端设备(比如pc设备、路由器等)，这些终端设备有的是通过动态主机配置协议dhcp获取地址的，而有的是通过静态配置地址。如果使用手工绑定的方式进行ip和mac绑定，无疑会造成管理人员大量的重复简单内容；如果绑定的地址错误，需要排查再绑定，绑定效率低。

2、本发明目的在于提供基于政企网关下联终端ip和mac自动绑定方法及系统，可以进行自动审查绑定政企网关下联终端设备的ip和mac，并结合自动筛查、主动探测和通过arp请求响应时间的差值来判定等方式来排除攻击设备，自动更新绑定设备，自动绑定效率高，且能够自动审查绑定关系的正确性。

3、本发明通过下述技术方案实现：

4、第一方面，本发明提供了基于政企网关下联终端ip和mac自动绑定方法，该方法包括：

5、获取终端设备上线消息，对终端设备上线消息进行解析，获得终端设备上线消息中的mac地址和ip地址；

6、根据mac地址和ip地址，在设备绑定表中检查是否已经存在解析出的mac地址；

7、若存在解析出的mac地址，且ip地址与设备绑定表中mac地址对应的ip地址不同，则将解析出的mac地址和ip地址写入设备审查表中，并进行绑定关系自动审查，判定解析出的mac地址和ip地址是否为正常绑定关系，若是则将其写入设备绑定表中；

8、若不存在解析出的mac地址，则将解析出的ip地址和mac地址的映射关系写入设备绑定表中，同时将该映射关系写入下联终端设备绑定关系表中。

9、进一步地，设备绑定表为已通过审查的终端设备的ip地址和mac地址映射关系表。

10、进一步地，设备审查表是可疑终端设备的ip地址和mac地址映射关系表。

11、进一步地，绑定关系自动审查包括：政企网关主动探测自动审查；

12、政企网关主动探测自动审查是通过在预设时长内是否对政企网关主动发送的arp探测报文是否有响应来判定审查的终端设备正常或异常。

13、进一步地，政企网关主动探测自动审查，包括：

14、获取设备绑定表和/或设备审查表中记录的终端设备的ip地址，主动发送arp探测报文，在发送后同时启动一个预设时长的定时器；

15、若超过预设时长仍未收到终端设备响应，那么再次发送，直至发送预设次数均未收到响应，则认为是异常终端设备，直接将该终端设备从设备绑定表和/或设备审查表中删除，并禁止该arp探测报文解析出的mac地址再次上线；

16、若未超过预设时长收到终端设备响应，则认为是正常终端设备。

17、进一步地，绑定关系自动审查还包括：政企网关进一步自动审查；

18、政企网关进一步自动审查是通过arp请求响应时间的差值对比来判定审查的终端设备正常或异常。

19、进一步地，政企网关进一步自动审查，包括：

20、如果政企网关有接收到持续性的终端设备响应，这种情况下政企网关主动探测自动审查会受到影响，则政企网关连续记录其发送arp探测请求的多次响应时间；每次响应时间为政企网关收到arp探测响应时间减去政企网关发送arp探测请求时间；

21、对比多次响应时间，若多次响应时间之间的差值小于第一预设值，则认为该终端设备为正常终端设备；若多次响应时间之间的差值大于第二预设值，则认为该终端设备为异常终端设备，并从所述设备绑定表和/或所述设备审查表中删除，并禁止解析出的所述mac地址再次上线。

22、第二方面，本发明又提供了基于政企网关下联终端ip和mac自动绑定系统，该系统使用上述的基于政企网关下联终端ip和mac自动绑定方法；该系统包括：

23、自动绑定模块，用于自动管理终端设备的ip和mac绑定关系；

24、绑定关系自动审查模块，用于对政企网关下联终端设备的ip和mac映射关系进行自动正确性审查管理；

25、自动绑定模块包括获取单元、解析单元、第一判断单元；

26、获取单元，用于获取终端设备上线消息；

27、解析单元，用于对终端设备上线消息进行解析，获得终端设备上线消息中的mac地址和ip地址；

28、第一判断单元，用于根据mac地址和ip地址，在设备绑定表中检查是否已经存在解析出的mac地址；若存在解析出的mac地址，且ip地址与设备绑定表中mac地址对应的ip地址不同，则将解析出的mac地址和ip地址写入设备审查表中，并进行绑定关系自动审查，判定解析出的mac地址和ip地址是否为正常绑定关系，若是则将其写入设备绑定表中；若不存在解析出的mac地址，则将解析出的ip地址和mac地址的映射关系写入设备绑定表中，同时将该映射关系写入下联终端设备绑定关系表中。

29、进一步地，设备绑定表为已通过审查的终端设备的ip地址和mac地址映射关系表；

30、设备审查表是可疑终端设备的ip地址和mac地址映射关系表。

31、第三方面，本发明又提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的基于政企网关下联终端ip和mac自动绑定方法。

32、本发明与现有技术相比，具有如下的优点和有益效果：

33、1、本发明基于政企网关下联终端ip和mac自动绑定方法及系统，可以进行自动审查绑定政企网关下联终端设备的ip和mac，并结合自动筛查、主动探测和通过arp请求响应时间的差值来判定等方式来排除攻击设备，自动更新绑定设备，自动绑定效率高，且能够自动审查绑定关系的正确性。

34、2、本发明基于政企网关下联终端ip和mac自动绑定方法及系统，实现一种通过arp请求响应时间的差值对比来判定审查的终端设备是否为正常设备的判定方法，如果该终端设备首次上线，那么在下联终端设备ip地址和mac地址的自动绑定模块中会自动调用绑定关系自动审查模块提供的判定接口；如果是已经在设备绑定表中的终端设备，则需要绑定关系自动审查模块周期性来进行是否异常的判定。