CN111654388A - 一种网络异常接入设备的定位方法 - Google Patents
一种网络异常接入设备的定位方法 Download PDFInfo
- Publication number
- CN111654388A CN111654388A CN202010257362.4A CN202010257362A CN111654388A CN 111654388 A CN111654388 A CN 111654388A CN 202010257362 A CN202010257362 A CN 202010257362A CN 111654388 A CN111654388 A CN 111654388A
- Authority
- CN
- China
- Prior art keywords
- information
- switch
- equipment
- abnormal access
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种网络异常接入设备的定位方法,首先获取网络中所有业务交换机的IP,SNMP服务的团体名和密码信息,然后将异常接入设备的MAC地址信息与所有交换机的MAC转发表逐次进行比对分析,直至找到包含异常接入设备MAC地址信息的MAC转发表,该MAC转发表对应的交换机及其端口信息即为异常接入设备的物理位置信息。本发明实施例提供一种络异常接入设备的定位方法,以解决现有技术中网络安全设备只能发现网络异常接入设备的IP地址和MAC地址,而无法定位到异常接入设备对应的交换机及其端口的问题。
Description
技术领域
本发明实施例涉及网络安全的技术领域,具体涉及一种网络异常接入设备的定位方法。
背景技术
随着网络安全越来越受到重视,越来越多的工业企业开始在工业控制系统中添加网络安全设备,比如工业防火墙,工业入侵检测设备(IDS),发现及阻断工业控制网络中的网络异常接入行为。
通过网络安全设备的安全防护功能,能发现网络异常接入设备的IP地址和 MAC地址,然后识别未知设备的IP地址和MAC地址。但网络安全设备中仅有这些信息,是无法定位到该未知设备接入的是哪一台交换机上的,也就是无法定位该未知设备所处的物理位置的,这对于网络安全的应急处置是相当不利的。
发明内容
为此,本发明实施例提供一种络异常接入设备的定位方法,以解决现有技术中网络安全设备只能发现网络异常接入设备的IP地址和MAC地址,而无法定位到异常接入设备对应的交换机及其端口的问题。
为了实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例公开的一种网络异常接入设备的定位方法,包括以下步骤:
S101、首先通过网络安全设备得到异常接入设备的MAC地址信息;
S102、然后通过所述网络安全设备收集网络中所有交换机的IP,以及 SNMP服务的团体名和密码信息;
S103、根据步骤S102获取的信息,所述网络安全设备通过SNMP协议连接任意一台交换机后,首先获取该交换机的MAC地址转发表,查询所述MAC 地址转发表中是否包含步骤S101中的异常接入设备的MAC地址信息;
S104、对查询结果进行比对分析,如果步骤S103中的交换机的MAC地址转发表中包含步骤S101中的异常接入设备的MAC地址信息,则得到异常接入设备的MAC地址对应的交换机及其端口信息,本次查找过程结束;反之,则继续查找下一台交换机并重复步骤S103,直至找到异常接入设备的MAC 地址对应的交换机及其端口信息;
S105、在所述网络安全设备中呈现出异常接入设备对应的交换机及其端口信息。
进一步地,所述网络安全设备包括信息采集模块、信息分析模块、信息存储模块和信息展示模块;所述信息采集模块,通过某种技术手段获取异常接入设备的MAC地址、交换机的MAC转发表、所有交换机的IP以及SNMP服务的团体名和密码信息;所述信息存储模块,对所述信息采集模块获取的数据进行储存;所述信息分析模块,对所述信息采集模块获取的数据与所述信息存储模块的数据进行分析对比,得到异常设备所连接的交换机及其端口信息;所述信息展示模块,将异常设备所连接的交换机及其端口信息进行呈现。
进一步地,所述网络安全设备采用上网行为管理审计设备。
进一步地,在步骤S102中,确保所有业务交换机开启SNMP服务。
本发明实施例具有如下优点:
本发明具体实施例公开了一种网络异常接入设备的定位方法,首先获取网络中所有业务交换机的IP,SNMP服务的团体名和密码信息,然后将异常接入设备的MAC地址信息与所有交换机的MAC转发表逐次进行比对分析,直至找到包含异常接入设备MAC地址信息的MAC转发表,该MAC转发表对应的交换机及其端口信息即为异常接入设备的物理位置信息。通过该方法可以快速定位其发现的安全事件中设备的具体物理位置,即异常接入设备连接到哪一台交换机以及该交换机的哪一个端口,便于网络安全的应急处理。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例1公开的的异常接入设备的场景示意图。
图2为本发明实施例2公开的的异常接入设备的步骤示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
IDS:(intrusion detection system)入侵检测系统。
SNMP:(Simple Network Management Protocol)简单网络管理协议。
MIB:(Management Information Base)管理信息库。
MAC(Media Access Control)物理地址。
SSH(Secure Shell)建立在应用层和传输层基础上的安全协议。
由图1所示,本发明实施例1公开了一种网络异常接入设备的定位方法,包括以下步骤:S101、首先通过网络安全设备得到异常接入设备的MAC地址信息。S102、然后通过所述网络安全设备自动收集网络中所有交换机的IP,以及SNMP服务的团体名和密码信息。S103、根据步骤S102获取的信息,所述网络安全设备通过SNMP协议连接任意一台交换机后,首先获取该交换机的MAC地址转发表,查询所述MAC地址转发表中是否包含步骤S101中的异常接入设备的MAC地址信息。S104、对查询结果进行比对分析,如果步骤 S103中的交换机的MAC地址转发表中包含步骤S101中的异常接入设备的 MAC地址信息,则得到异常接入设备的MAC地址对应的交换机及其端口信息,本次查找过程结束;反之,则继续查找下一台交换机并重复步骤S103,直至找到异常接入设备的MAC地址对应的交换机及其端口信息。S105、在所述网络安全设备中呈现出异常接入设备对应的交换机及其端口信息。本发明实施例通过一种网络异常接入设备的定位方法,首先获取网络中所有业务交换机的IP,SNMP服务的团体名和密码信息,然后将异常接入设备的MAC地址信息与所有交换机的MAC转发表逐次进行比对分析,直至找到包含异常接入设备MAC地址信息的MAC转发表,该MAC转发表对应的交换机及其端口信息即为异常接入设备的物理位置信息,通过该方法可以快速定位到异常设备的物理位置信息,便于网络安全的应急处理。
网络安全设备包括信息采集模块、信息分析模块、信息存储模块和信息展示模块;所述信息采集模块,通过某种技术手段获取异常接入设备的MAC地址、交换机的MAC转发表、所有交换机的IP以及SNMP服务的团体名和密码信息;所述信息存储模块,对所述信息采集模块获取的数据进行储存;所述信息分析模块,对所述信息采集模块获取的数据与所述信息存储模块的数据进行分析对比,得到异常设备所连接的交换机及其端口信息;所述信息展示模块,将异常设备所连接的交换机及其端口信息进行呈现。
所述网络安全设备采用上网行为管理审计设备。
在步骤S102中,需要确保所有业务交换机开启SNMP服务。
实施例2:
如图2所示,一种网络异常接入设备的定位方法,包括以下步骤:
S201、首先通过网络安全设备得到异常接入设备的IP地址为 192.168.0.100,MAC地址为AA:BB:CC:DD:EE:FF,网络安全设备选用审计设备;
S202、在审计设备中依次输入所有业务交换机的IP和MAC信息;
S203、将异常接入设备的IP和MAC信息同审计设备录入的所有业务交换机的IP和MAC信息进行比对,得到与异常接入设备的IP和MAC信息匹配的物理地址。
具体设备信息表如下:
IP | MAC | 接入交换机 |
192.168.0.1 | 11:22:33:44:55:66 | 交换机1,端口1 |
192.168.0.2 | 11:22:33:44:55:67 | 交换机2,端口3 |
192.168.0.3 | 11:22:33:44:55:68 | 交换机3,端口5 |
192.168.0.100 | AA:BB:CC:DD:EE:FF | 交换机2,端口1 |
本实施例与实施例1相比,本实施例需要人工输入设备的设备的IP和 MAC信息,且异常接入设备如果非用户设备,属于随意接入的设备,在本实施例的审计设备中没有录入,审计设备是无法定位到该设备是接入到哪个交换机,哪个端口的。
实施例3:
一种网络异常接入设备的定位方法,包括以下步骤:
S301、首先通过网络安全设备得到异常接入设备的MAC地址信息;
S302、然后通过所述网络安全设备收集网络中所有交换机的IP,以及SSH 服务的团体名和密码信息;
S303、根据步骤S302获取的信息,所述网络安全设备通过SSH协议连接任意一台交换机后,首先获取该交换机的MAC地址转发表,查询所述MAC 地址转发表中是否包含步骤S301中的异常接入设备的MAC地址信息;
S304、对查询结果进行比对分析,如果步骤S303中的交换机的MAC地址转发表中包含步骤S301中的异常接入设备的MAC地址信息,则得到异常接入设备的MAC地址对应的交换机及其端口信息,本次查找过程结束;反之,则继续查找下一台交换机并重复步骤S303,直至找到异常接入设备的MAC 地址对应的交换机及其端口信息;
S105、在所述网络安全设备中呈现出异常接入设备对应的交换机及其端口信息。
本实施例与实施例1相比,因为不是每种型号的交换机均具包含SNMP 协议的支持,因此可以将通过SSH协议连接交换机的方式作为实施例1的补充。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (4)
1.一种网络异常接入设备的定位方法,其特征在于,包括以下步骤:
S101、首先通过网络安全设备得到异常接入设备的MAC地址信息;
S102、然后通过所述网络安全设备自动收集网络中所有交换机的IP,以及SNMP服务的团体名和密码信息;
S103、根据步骤S102获取的信息,所述网络安全设备通过SNMP协议连接任意一台交换机后,首先获取该交换机的MAC地址转发表,查询所述MAC地址转发表中是否包含步骤S101中的异常接入设备的MAC地址信息;
S104、对查询结果进行比对分析,如果步骤S103中的交换机的MAC地址转发表中包含步骤S101中的异常接入设备的MAC地址信息,则得到异常接入设备的MAC地址对应的交换机及其端口信息,本次查找过程结束;反之,则继续查找下一台交换机并重复步骤S103,直至找到异常接入设备的MAC地址对应的交换机及其端口信息;
S105、在所述网络安全设备中呈现出异常接入设备对应的交换机及其端口信息。
2.根据权利要求1所述的一种基于网络异常接入设备的定位方法,其特征在于:所述网络安全设备包括信息采集模块、信息分析模块、信息存储模块和信息展示模块;所述信息采集模块,通过某种技术手段获取异常接入设备的MAC地址、交换机的MAC转发表、所有交换机的IP以及SNMP服务的团体名和密码信息;所述信息存储模块,对所述信息采集模块获取的数据进行储存;所述信息分析模块,对所述信息采集模块获取的数据与所述信息存储模块的数据进行分析对比,得到异常设备所连接的交换机及其端口信息;所述信息展示模块,将异常设备所连接的交换机及其端口信息进行呈现。
3.根据权利要求1所述的一种基于网络异常接入设备的定位方法,其特征在于:所述网络安全设备采用上网行为管理审计设备。
4.根据权利要求1所述的一种基于网络异常接入设备的定位方法,其特征在于:在步骤S102中,需要确保所有业务交换机开启SNMP服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010257362.4A CN111654388A (zh) | 2020-04-03 | 2020-04-03 | 一种网络异常接入设备的定位方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010257362.4A CN111654388A (zh) | 2020-04-03 | 2020-04-03 | 一种网络异常接入设备的定位方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111654388A true CN111654388A (zh) | 2020-09-11 |
Family
ID=72352381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010257362.4A Pending CN111654388A (zh) | 2020-04-03 | 2020-04-03 | 一种网络异常接入设备的定位方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111654388A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114465963A (zh) * | 2021-12-24 | 2022-05-10 | 北京环宇博亚科技有限公司 | 交换机异常检测方法、装置、电子设备和计算机可读介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1592216A (zh) * | 2003-09-04 | 2005-03-09 | 华为技术有限公司 | 在网络中高效查找网络设备地址的方法 |
CN101631053A (zh) * | 2009-08-28 | 2010-01-20 | 迈普通信技术股份有限公司 | Eaps环网拓扑监控方法及系统 |
CN101873230A (zh) * | 2010-07-05 | 2010-10-27 | 北京星网锐捷网络技术有限公司 | 物理网络拓扑的发现方法及装置 |
CN107094187A (zh) * | 2017-04-01 | 2017-08-25 | 汕头大学 | 一种自动查找mac地址的接入交换机端口的方法 |
-
2020
- 2020-04-03 CN CN202010257362.4A patent/CN111654388A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1592216A (zh) * | 2003-09-04 | 2005-03-09 | 华为技术有限公司 | 在网络中高效查找网络设备地址的方法 |
CN101631053A (zh) * | 2009-08-28 | 2010-01-20 | 迈普通信技术股份有限公司 | Eaps环网拓扑监控方法及系统 |
CN101873230A (zh) * | 2010-07-05 | 2010-10-27 | 北京星网锐捷网络技术有限公司 | 物理网络拓扑的发现方法及装置 |
CN107094187A (zh) * | 2017-04-01 | 2017-08-25 | 汕头大学 | 一种自动查找mac地址的接入交换机端口的方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114465963A (zh) * | 2021-12-24 | 2022-05-10 | 北京环宇博亚科技有限公司 | 交换机异常检测方法、装置、电子设备和计算机可读介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110855473B (zh) | 一种监控方法、装置、服务器及存储介质 | |
US10110671B2 (en) | Method, system, and device for managing server hardware resources in a cloud scheduling environment | |
EP3595297B1 (en) | Abnormality detection method and network video recorder (nvr) | |
CN110809010B (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
US7647635B2 (en) | System and method to resolve an identity interactively | |
CN1685663A (zh) | 动态网络配置 | |
US20140379911A1 (en) | Network Activity Association System and Method | |
CN105245386B (zh) | 服务器连接关系的自动定位方法和系统 | |
US11863439B2 (en) | Method, apparatus and storage medium for application identification | |
CN107743154B (zh) | 一种基于Wi-Fi智能终端的追踪及考勤系统及其方法 | |
CN113055252B (zh) | 新增业务主机检测方法、装置、设备及存储介质 | |
CN104811482A (zh) | 终端数据分类存储方法及系统 | |
CN113242331B (zh) | 不同类型的地址转换方法、装置、计算机设备及存储介质 | |
US20050190752A1 (en) | Method and system for locating the incoming port of a MAC address in an Ethernet switch network | |
CN111654388A (zh) | 一种网络异常接入设备的定位方法 | |
CN106549801B (zh) | 一种告警类型识别方法及设备 | |
CN110391932B (zh) | 多设备媒体数据管理系统、方法及机器人设备 | |
US9942766B1 (en) | Caller validation for end service providers | |
CN113507461B (zh) | 基于大数据的网络监控系统及网络监控方法 | |
US9992664B2 (en) | Determining network connection structure of target area | |
CN110661893A (zh) | 数据中心管理方法及数据中心管理系统 | |
CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
CN106899429B (zh) | 一种基于snmp的设备管理方法及装置 | |
CN114401251A (zh) | 一种基于互联网的ip地址数据库处理系统及其方法 | |
CN103986600A (zh) | 一种基于多协议企业级网络自动发现和过滤方法、系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200911 |
|
RJ01 | Rejection of invention patent application after publication |