[发明专利]一种网络异常接入设备的定位方法

说明书

本发明实施例公开了一种网络异常接入设备的定位方法，首先获取网络中所有业务交换机的IP，SNMP服务的团体名和密码信息，然后将异常接入设备的MAC地址信息与所有交换机的MAC转发表逐次进行比对分析，直至找到包含异常接入设备MAC地址信息的MAC转发表，该MAC转发表对应的交换机及其端口信息即为异常接入设备的物理位置信息。本发明实施例提供一种络异常接入设备的定位方法，以解决现有技术中网络安全设备只能发现网络异常接入设备的IP地址和MAC地址，而无法定位到异常接入设备对应的交换机及其端口的问题。

技术领域

本发明实施例涉及网络安全的技术领域，具体涉及一种网络异常接入设备的定位方法。

背景技术

随着网络安全越来越受到重视，越来越多的工业企业开始在工业控制系统中添加网络安全设备，比如工业防火墙，工业入侵检测设备(IDS)，发现及阻断工业控制网络中的网络异常接入行为。

通过网络安全设备的安全防护功能，能发现网络异常接入设备的IP地址和 MAC地址，然后识别未知设备的IP地址和MAC地址。但网络安全设备中仅有这些信息，是无法定位到该未知设备接入的是哪一台交换机上的，也就是无法定位该未知设备所处的物理位置的，这对于网络安全的应急处置是相当不利的。

发明内容

为此，本发明实施例提供一种络异常接入设备的定位方法，以解决现有技术中网络安全设备只能发现网络异常接入设备的IP地址和MAC地址，而无法定位到异常接入设备对应的交换机及其端口的问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例公开的一种网络异常接入设备的定位方法，包括以下步骤：

S101、首先通过网络安全设备得到异常接入设备的MAC地址信息；

S102、然后通过所述网络安全设备收集网络中所有交换机的IP，以及 SNMP服务的团体名和密码信息；

S103、根据步骤S102获取的信息，所述网络安全设备通过SNMP协议连接任意一台交换机后，首先获取该交换机的MAC地址转发表，查询所述MAC 地址转发表中是否包含步骤S101中的异常接入设备的MAC地址信息；

S104、对查询结果进行比对分析，如果步骤S103中的交换机的MAC地址转发表中包含步骤S101中的异常接入设备的MAC地址信息，则得到异常接入设备的MAC地址对应的交换机及其端口信息，本次查找过程结束；反之，则继续查找下一台交换机并重复步骤S103，直至找到异常接入设备的MAC 地址对应的交换机及其端口信息；

S105、在所述网络安全设备中呈现出异常接入设备对应的交换机及其端口信息。

进一步地，所述网络安全设备包括信息采集模块、信息分析模块、信息存储模块和信息展示模块；所述信息采集模块，通过某种技术手段获取异常接入设备的MAC地址、交换机的MAC转发表、所有交换机的IP以及SNMP服务的团体名和密码信息；所述信息存储模块，对所述信息采集模块获取的数据进行储存；所述信息分析模块，对所述信息采集模块获取的数据与所述信息存储模块的数据进行分析对比，得到异常设备所连接的交换机及其端口信息；所述信息展示模块，将异常设备所连接的交换机及其端口信息进行呈现。

进一步地，所述网络安全设备采用上网行为管理审计设备。

进一步地，在步骤S102中，确保所有业务交换机开启SNMP服务。

本发明实施例具有如下优点：