[发明专利]一种局域网高危终端定位方法、系统、设备及介质

权利要求书

1.一种局域网高危终端定位方法，其特征在于：包括如下步骤：

步骤S10、获取各路由器的ARP表以及高危终端IP地址；

步骤S20、基于所述高危终端IP地址查询ARP表，获取高危终端的IP-MAC信息；

步骤S30、利用所述IP-MAC信息逐台查询级联的交换机，直至定位到高危终端所在的端口。

2.如权利要求1所述的一种局域网高危终端定位方法，其特征在于：所述步骤S10具体为：

维护一包括所有路由器端口以及各路由器下联交换机的IP地址段的网络设备管理信息库；

周期性的基于所述网络设备管理信息库获取各网络终端的ARP表，并对所述ARP表进行备份，用于通过最新的所述ARP表查询不到高危终端IP地址时或者告警一定时长时的排查；所述ARP表存储有IP地址与MAC地址的一一对应关系以及IP地址的活动时间；

通过局域网攻击检测工具获取高危终端IP地址。

3.如权利要求1所述的一种局域网高危终端定位方法，其特征在于：所述步骤S20具体为：

基于管理信息库查询高危终端IP地址所在VLAN相关路由器的ARP表，获取高危终端的MAC地址以及活动时间，进而得到高危终端的IP-MAC信息以及异常行为时间。

4.如权利要求1所述的一种局域网高危终端定位方法，其特征在于：所述步骤S30具体为：

利用所述IP-MAC信息查询下联交换机的MAC地址，判断下联交换机的MAC地址是否为交换机级联口，若是，则从路由器下联交换机开始逐台查询级联交换机，直至定位到高危终端所在的端口；若否，则完成高危终端所在的端口的定位。

5.一种局域网高危终端定位系统，其特征在于：包括如下模块：

ARP表及高危终端IP地址获取模块，用于获取各路由器的ARP表以及高危终端IP地址；

IP-MAC信息获取模块，用于基于所述高危终端IP地址查询ARP表，获取高危终端的IP-MAC信息；

高危终端定位模块，用于利用所述IP-MAC信息逐台查询级联的交换机，直至定位到高危终端所在的端口。

6.如权利要求5所述的一种局域网高危终端定位系统，其特征在于：所述ARP表及高危终端IP地址获取模块具体为：

维护一包括所有路由器端口以及各路由器下联交换机的IP地址段的网络设备管理信息库；

周期性的基于所述网络设备管理信息库获取各网络终端的ARP表，并对所述ARP表进行备份，用于通过最新的所述ARP表查询不到高危终端IP地址时或者告警一定时长时的排查；所述ARP表存储有IP地址与MAC地址的一一对应关系以及IP地址的活动时间；

通过局域网攻击检测工具获取高危终端IP地址。

7.如权利要求5所述的一种局域网高危终端定位系统，其特征在于：所述IP-MAC信息获取模块具体为：

基于管理信息库查询高危终端IP地址所在VLAN相关路由器的ARP表，获取高危终端的MAC地址以及活动时间，进而得到高危终端的IP-MAC信息以及异常行为时间。

8.如权利要求5所述的一种局域网高危终端定位系统，其特征在于：所述高危终端定位模块具体为：

利用所述IP-MAC信息查询下联交换机的MAC地址，判断下联交换机的MAC地址是否为交换机级联口，若是，则从路由器下联交换机开始逐台查询级联交换机，直至定位到高危终端所在的端口；若否，则完成高危终端所在的端口的定位。

9.一种局域网高危终端定位设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至4任一项所述的方法。

10.一种局域网高危终端定位介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至4任一项所述的方法。