内网环境中基于IP地址自动定位攻击源物理位置的方法技术

本发明专利技术涉及攻击源定位，具体涉及内网环境中基于IP地址自动定位攻击源物理位置的方法，ARP表项定时获取组件生成ARP信息表，并发送至IP物理位置信息处理组件；IP物理位置信息处理组件根据ARP信息表、交换机位置登记表生成IP物理位置信息表；攻击源物理位置关联组件基于攻击时间和攻击源IP，并关联IP物理位置信息表、攻击事件记录表生成攻击源物理定位表；本发明专利技术提供的技术方案能够有效克服现有技术所存在的在无法识别真实MAC以及MAC记录缺失/不全/混乱的情况下无法有效确定攻击源物理位置、需要耗费大量人力和时间的缺陷。需要耗费大量人力和时间的缺陷。需要耗费大量人力和时间的缺陷。

【技术实现步骤摘要】
内网环境中基于IP地址自动定位攻击源物理位置的方法


[0001]本专利技术涉及攻击源定位，具体涉及内网环境中基于IP地址自动定位攻击源物理位置的方法。

技术介绍

[0002]信息技术日新月异，信息化浪潮蓬勃兴起，大部分工作都需要通过网络进行。为了减轻网络管理员的工作量，弥补IP地址资源不足，满足内部移动性办公需求和上网便利性需求，当前很多网络中采用 DHCP技术进行上网地址动态分配或自由配置网段IP地址即可连接网络。
[0003]然而，联网IP地址动态变化，如何通过攻击源IP定位发生攻击时攻击源(这里的“攻击源”不仅仅指办公电脑，而是基于使用以太网技术具备联网能力的各种设备，如PC机、服务器、打印机、交换机、路由器、网络安全设备、物联网设备等)所在物理位置，从而快速前往事发地找到对应网络设备进行解决，成为了新的挑战和考验。
[0004]当前，只能依靠安全管理员对IP地址段所在的大致区域进行地毯式检查，并结合攻击事件记录的MAC地址才能确定攻击源的物理位置，这种方法存在以下缺陷：
[0005]1)当联网设备分布的物理区域跨度大、数量多时，追踪攻击源和进行物理位置定位需要耗费大量人力和时间；
[0006]2)通过MAC记录追踪攻击源技术，存在攻击事件跨路由无法记录MAC或伪造MAC方式进行攻击等无法识别真实MAC的情况，这些情况下难以有效追踪攻击源；
[0007]3)通过MAC记录追踪攻击源技术，存在联网设备MAC记录缺失/不全/混乱的情况，这些情况下难以有效追踪攻击源。

技术实现思路

[0008](一)解决的技术问题
[0009]针对现有技术所存在的上述缺点，本专利技术提供了内网环境中基于 IP地址自动定位攻击源物理位置的方法，能够有效克服现有技术所存在的在无法识别真实MAC以及MAC记录缺失/不全/混乱的情况下无法有效确定攻击源物理位置、需要耗费大量人力和时间的缺陷。
[0010](二)技术方案
[0011]为实现以上目的，本专利技术通过以下技术方案予以实现：
[0012]内网环境中基于IP地址自动定位攻击源物理位置的方法，包括以下步骤：
[0013]S1、ARP表项定时获取组件生成ARP信息表，并发送至IP物理位置信息处理组件；
[0014]S2、IP物理位置信息处理组件根据ARP信息表、交换机位置登记表生成IP物理位置信息表；
[0015]S3、攻击源物理位置关联组件基于攻击时间和攻击源IP，并关联 IP物理位置信息表、攻击事件记录表生成攻击源物理定位表。
[0016]优选地，S1中ARP表项定时获取组件生成ARP信息表，包括：
[0017]ARP表项定时获取组件间隔向所有接入交换机发送ARP表项获取请求；
[0018]接入交换机响应ARP表项获取请求，并返回响应数据至ARP表项定时获取组件；
[0019]ARP表项定时获取组件将对应获取时间和交换机标识插入响应数据，并汇总本次请求的响应数据形成ARP信息表。
[0020]优选地，S2中IP物理位置信息处理组件根据ARP信息表、交换机位置登记表生成IP物理位置信息表，包括：
[0021]S2.1、IP物理位置信息处理组件接收到ARP信息表后，对缓存ARP 信息表进行判断；
[0022]S2.2、若缓存ARP信息表存在，则对比两次ARP信息表条目；
[0023]S2.3、若缓存ARP信息表不存在，则在交换机位置登记表中查询，并基于查询结果生成IP物理位置信息表；
[0024]S2.4、将本次ARP信息表替换缓存ARP信息表，完成缓存更新。
[0025]优选地，S2.2中若缓存ARP信息表存在，则对比两次ARP信息表条目，包括：
[0026]S2.2.1、使用缓存ARP信息表中的条目与本次ARP信息表进行匹配，匹配上则提取相同条目的获取时间；
[0027]S2.2.2、将提取的获取时间作为参数，封装进更新结束时间指令；
[0028]S2.2.3、IP物理位置信息表中查询和匹配条件完全相同且状态为持续中的条目，通过更新结束时间指令，将条目中的结束时间更新为本次ARP信息表条目中的获取时间。
[0029]优选地，S2.2中若缓存ARP信息表存在，则对比两次ARP信息表条目，包括：
[0030]S2.2.4、使用缓存ARP信息表中的条目与本次ARP信息表进行匹配，未匹配时封装更新状态指令；
[0031]S2.2.5、IP物理位置信息表中查询和匹配条件完全相同且状态为持续中的条目，通过更新状态指令，将条目中的状态从持续中更新为已结束。
[0032]优选地，S2.2中若缓存ARP信息表存在，则对比两次ARP信息表条目，包括：
[0033]S2.2.6、使用本次ARP信息表中的条目与缓存ARP信息表进行匹配，未匹配时则提取交换机标识和交换机接口标识；
[0034]S2.2.7、将交换机标识和交换机接口标识作为查询条件，在交换机位置登记表中查询，提取查询结果；
[0035]S2.2.8、关联ARP信息表中对应条目和查询结果，以获取时间作为开始时间和结束时间，状态默认持续中，生成新的IP物理位置信息表条目；
[0036]S2.2.9、将新的IP物理位置信息表条目封装进插入新条目指令，并在IP物理位置信息表末端插入。
[0037]优选地，S2.3中若缓存ARP信息表不存在，则在交换机位置登记表中查询，并基于查询结果生成IP物理位置信息表，包括：
[0038]S2.3.1、若缓存ARP信息表不存在，则将本次ARP信息表中的交换机标识和交换机接口标识作为查询条件，在交换机位置登记表中查询，提取查询结果；
[0039]S2.3.2、关联ARP信息表中对应条目和查询结果，以获取时间作为开始时间和结束时间，状态默认持续中，生成新的IP物理位置信息表条目；
[0040]S2.3.3、将新的IP物理位置信息表条目封装进插入新条目指令，并在IP物理位置信息表末端插入。
[0041]优选地，S3中攻击源物理位置关联组件基于攻击时间和攻击源IP，并关联IP物理位置信息表、攻击事件记录表生成攻击源物理定位表，包括：
[0042]发生攻击事件时，攻击源物理位置关联组件提取攻击事件记录表中的攻击时间和攻击源IP，并作为查询条件在IP物理位置信息表中查询，提取查询结果；
[0043]关联攻击事件记录表中对应条目和查询结果，生成新的攻击源物理定位表条目；
[0044]将新的攻击源物理定位表条目封装进插入新条目指令，并在攻击源物理定位表末端插入。
[0045]优选地，还包括以下步骤：
[0046]S4、通过编写的CGI程序将攻击源物理定位表中所有数据导出，再对相应格式进行视觉处理，生成对应HTML页面，在浏览器中展示。
[0047](三)有益效果
[0048]与现有技术相比，本专利技术所提供的内本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.内网环境中基于IP地址自动定位攻击源物理位置的方法，其特征在于：包括以下步骤：S1、ARP表项定时获取组件生成ARP信息表，并发送至IP物理位置信息处理组件；S2、IP物理位置信息处理组件根据ARP信息表、交换机位置登记表生成IP物理位置信息表；S3、攻击源物理位置关联组件基于攻击时间和攻击源IP，并关联IP物理位置信息表、攻击事件记录表生成攻击源物理定位表。2.根据权利要求1所述的内网环境中基于IP地址自动定位攻击源物理位置的方法，其特征在于：S1中ARP表项定时获取组件生成ARP信息表，包括：ARP表项定时获取组件间隔向所有接入交换机发送ARP表项获取请求；接入交换机响应ARP表项获取请求，并返回响应数据至ARP表项定时获取组件；ARP表项定时获取组件将对应获取时间和交换机标识插入响应数据，并汇总本次请求的响应数据形成ARP信息表。3.根据权利要求1所述的内网环境中基于IP地址自动定位攻击源物理位置的方法，其特征在于：S2中IP物理位置信息处理组件根据ARP信息表、交换机位置登记表生成IP物理位置信息表，包括：S2.1、IP物理位置信息处理组件接收到ARP信息表后，对缓存ARP信息表进行判断；S2.2、若缓存ARP信息表存在，则对比两次ARP信息表条目；S2.3、若缓存ARP信息表不存在，则在交换机位置登记表中查询，并基于查询结果生成IP物理位置信息表；S2.4、将本次ARP信息表替换缓存ARP信息表，完成缓存更新。4.根据权利要求3所述的内网环境中基于IP地址自动定位攻击源物理位置的方法，其特征在于：S2.2中若缓存ARP信息表存在，则对比两次ARP信息表条目，包括：S2.2.1、使用缓存ARP信息表中的条目与本次ARP信息表进行匹配，匹配上则提取相同条目的获取时间；S2.2.2、将提取的获取时间作为参数，封装进更新结束时间指令；S2.2.3、IP物理位置信息表中查询和匹配条件完全相同且状态为持续中的条目，通过更新结束时间指令，将条目中的结束时间更新为本次ARP信息表条目中的获取时间。5.根据权利要求4所述的内网环境中基于IP地址自动定位攻击源物理位置的方法，其特征在于：S2.2中若缓存ARP信息表存在，则对比两次ARP信息表条目，包括：S2.2.4、使用缓存ARP信息表中的条目与本次ARP信息表进行匹配，未匹配时封装更新状态指令；S2.2.5、IP物理位置信息表中查...

【专利技术属性】
技术研发人员：刘东，周鲁，张剑，汤忠泽，朱泽文，张彦路，
申请(专利权)人：克拉玛依油城数据有限公司，
类型：发明
国别省市：