技術特征：

1.一種基于時間特征的分析檢測中間人攻擊的方法，包括如下步驟：

通過采集正常場景和存在中間人場景的數據包間隔信息，進行數據處理，得到正常數據和非正常數據的門限值；

獲取目標設備發(fā)送數據包的間隔信息；

對所述目標設備發(fā)送數據包的間隔信息進行統(tǒng)計分析，得到分析數據；

將所述分析數據與所述門限值進行比對，判定所述目標設備發(fā)送數據包間隔時間所存在的場景為多跳或一跳，從而進行相應的安全處理。

2.如權利要求1所述的方法，其特征在于，通過訓練階段，分別采集正常和非正常場景的數據包間隔數據，通過分析處理，得到可以對正常場景和非正常場景進行合理區(qū)分的所述門限值。

3.如權利要求2所述的方法，其特征在于，通過采集同一目標設備的數據幀時間值，獲得所述目標設備發(fā)送數據包的間隔信息的典型值。

4.如權利要求2所述的方法，其特征在于，所述獲取目標設備發(fā)送數據包的間隔信息期間，確認策略由正常的延遲確認策略變更為立即確認策略，以快速準確地得到所述數據包的間隔信息。

5.如權利要求2所述的方法，其特征在于，所述目標設備的選擇盡量靠近終端設備，以降低長鏈路帶來的環(huán)境波動影響，提高計算精度。

6.如權利要求2所述的方法，其特征在于，所述目標設備可選擇為DNS服務器。

7.如權利要求2所述的任一方法，其特征在于，通過采集多次所述目標設備的數據包，從而獲取目標設備發(fā)送數據包的間隔信息，所述分析數據包括平局值和標準值。

8.如權利要求7所述的方法，其特征在于，所述門限值除了上述的實際檢測分析得到之外，還可以通過以下方法中的一種獲得：

理論計算，加上現實中存在的實際誤差進行調整后獲得；

多次學習和訓練獲得。

9.如權利要求1-8所述的任一方法，其特征在于，如果所述場景為一跳，則不存在中間人的安全隱患，如果所述場景為多跳，則存在中間人的安全隱患。

10.一種終端設備，其特征在于，包括：

訓練模塊，用于通過采集正常場景和存在中間人場景的數據包間隔信息，進行數據處理，得到正常和非正常數據的門限值；

收集模塊，用于獲取目標設備發(fā)送數據包的間隔信息；

分析模塊，用于對所述目標設備發(fā)送數據包的間隔信息進行統(tǒng)計分析，得到分析數據；

評估模塊，用于將所述分析數據與所述門限值進行比對，判定所述目標設備發(fā)送數據包間隔時間所存在的場景為多跳或一跳，從而進行相應的安全處理。