专利名称:网络结构监测与边界勘验方法
技术领域:
本发明涉及一种网络结构监测与边界勘验方法。
背景技术:
面对当前网络规模的不断增长,网络结构的日趋复杂,加之接入网络设备的多样性和异构性,目前的网络基本监测手段已不能满足当前网络管理的需要,主要不足体现在以下几点(1)网络自身的运行状态不够详实全面网络的运行状态信息复杂多样,包括流量吞吐、组成结构、设备运行情况及终端运行情况。设备及终端的运行情况又包含诸如内存占有率、CPU占有率及系统类型等较详实的信息。当前网络监测手段往往无法获取全面的网络状态信息,甚至最基本必要的网络结构信息,都可能无法全面准确地获取。(2)网络结构化的变化无从知晓在比较庞大的网络规模下,如果有用户私自在网络中接入交换机或路由器等网络设备,或者用户利用安全隐患私自修改路由信息,又或者用户在网络的边界接入层设备擅自非法违规主机,诸如此类的情况都会影响到网络的组成,引起网络的结构性变化,由此带来的巨大安全隐患,必定威胁到网络的稳定运行。但是,目前的监测手段对这些情况的监测,几乎没有应对方案。(3)网络边界接入情况无法掌握网络边界作为网络的接入域,其接入终端类型复杂多样,比如PC机及WIFI手机等;各终端都有各自不同的操作系统,比如Wind0WS、LinUX以及Mac OS等。此外,各终端的接入方式和行为也千差万别,有些终端可能会随意改变其接入接口,甚至会有用户通过自行架设的家用路由器或交换机进行多用户接入,这些情况都影响到网络的收敛性,对网络的安全稳定运行造成威胁。现阶段的网络监测管理手段无法及时获取网络边界状态变更的信息,更无法对边界变更区域进行准确定位,这是现有网络管理体系中普遍存在的盲点和隐患。
发明内容
本发明提供的网络结构监测与边界勘验方法,主要解决了现有技术中,无法详实全面监控网络的运行状态、了解网络结构化的变化和无法掌握网络边界接入情况的问题。本发明的具体技术解决方案如下该网络结构监测与边界勘验方法,包括以下步骤1]网络结构动态扫描启动扫描线程对整个网络进行扫描,获取实时网络结构信息,通过获取的网络结构信息来确定网络边界,同时建立网络结构安全规则;扫描线程一般为至少两个,以三至五个为佳,该设置可以提高系统的扫描速率;网络结构信息包括网络设备、网络终端及其之间的连接信息,连接信息包括网络设备和网络终端的物理地址、交换端口、路由表和网络流量;其具体过程一般采用以下方式进行1. 1]根据给定的扫描起点,读取扫描起始地址,启动扫描线程遍历整个网络;1. 2]获取网络中的一个目标地址,开始执行扫描;1.3]目标是否支持简单网络管理协议,如果不支持则转至第1.4步,否则转至步骤 1. 5 ;1. 4]启用操作系统指纹识别模块,辨识目标的系统类型,并转至步骤1. 8 ;1. 5]启用简单网络管理协议扫描模块,对目标进行全面的扫描;1.6]识别目标类型,若目标为网络设备则进行步骤1.7 ;若目标为网络终端则进行步骤1. 8 ;1.7]通过简单网络管理协议协议获取目标的地址、端口、路由和网络流量等信息;1. 8]读取目标的安全规则;2]网络边界安全检验得到确定的网络边界后,依据步骤1中所述的安全规则,检查网络边界的安全状态,确认目标节点的地址、端口和行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况及时定位并报警,同时记录下详细的违规信息;3]网络结构更新存储对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化则闭合旧的存储记录,当前信息作为新记录存储;4]网络结构分层展现根据网络节点之间的逻辑关系,将各设备的节点信息进行视图展现;展现的方式具体是将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现,视图展现的具体方式一般是以树形视图展示所有的网络节点及其关系,树形视图中选中任何节点,展现其网络结构连接视图。在步骤4结束后还可进行步骤5的处理5]查看网络中是否存在未遍历到的目标,如果存在则跳转至步骤1.3进行处理, 如果不存在则扫描结束,等待下一个周期重新进行扫描。本发明的优点在于本发明提供的网络结构监测与边界勘验方法,汇总展现网络设备的各项基本信息,比如接口信息及路由信息等;可实时进行网络扫描,采集状态数据,并在网络结构视图上分层次展现;完成对网络设备和接入终端的身份类型识别,确认网络边界所在;重点监测边界设备,能够及时发现网络边界上的违规私接双网络行为,同时在安全规则下监测终端接入状态。同时,网络管理者能够实时掌握网络的运行情况,从而统筹分配网络资源,及时发现违规行为和安全隐患并予以消除;使用多线程技术将一棵扫描树分割为几棵较小的扫描树来分别进行扫描,可有效节省网络协议的响应等待时间,合理利用网络和主机资源,快速完成整个网络的实时扫描。
图1为本发明具体流程示意图。
具体实施例方式以下结合附图对本发明进行详述该网络结构监测与边界勘验方法,包括以下步骤1]网络结构动态扫描启动扫描线程对整个网络进行扫描,获取实时网络结构信息,通过获取的网络结构信息来确定网络边界,同时建立网络结构安全规则;网络结构信息包括网络设备、网络终端及其之间的连接信息,连接信息包括网络设备和网络终端的物理地址、交换端口、路由表和网络流量;扫描线程一般至少两个,以3 5个为佳,扫描线程的设置主要根据网络核心设备的数量来决定,一般情况下,一台核心设备对应一个扫描线程,对于只有一个核心设备的网络,可选择一台二级会聚设备对应一个扫描线程,扫描线程的选择也可由管理员手工指定,将一颗大的扫描树分割为几颗较小的扫描树来分段进行扫描;根据网络结构信息设定网络边界,实时网络结构的最外层边缘即是网络边界;该步骤具体的流程为1. 1]根据给定的扫描起点,读取扫描起始地址,启动扫描线程遍历整个网络;1. 2]获取网络中的一个目标地址,开始执行扫描;1. 3]目标是否支持简单网络管理协议,如果不支持则转至第1. 4步,否则转至步骤 1. 5 ;1. 4]启用操作系统指纹识别模块,辨识目标的系统类型,并转至步骤1. 8 ;1. 5]启用简单网络管理协议扫描模块,对目标进行全面的扫描;1.6]识别目标类型,若目标为网络设备则进行步骤1.7 ;若目标为网络终端则进行步骤1. 8 ;1.7]通过简单网络管理协议协议获取目标的地址、端口、路由和网络流量等信息;1.8]读取目标的安全设置;该安全设置具体是前述网络结构的安全设置中针对本扫描目标的具体的安全规则,是提前在系统中设定的安全规则,由目标的连接信息确定, 连接信息包括物理地址、交换端口和路由表;2]网络边界安全检验得到确定的网络边界后,根据网络结构的安全设置,检查网络边界的安全状态,确认目标节点的地址、端口和行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况及时定位并报警,同时记录下详细的违规信息;网络结构的安全设置是之前设定好的安全规则,是在初次扫描过程中生成的由管理员确认的安全的网络结构信息,在后续的扫描过程中可以由管理员手工修改或更新。扫描目标时,将扫描所得的实时网络结构信息与该目标的安全规则相比较,若其连接信息未发生变化则边界安全;若扫描到新接入的未知设备或原接入设备连接信息发生变化,则依据安全规则对该目标的网络结构信息进行检验并进行报警并记录;3]网络结构更新存储对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化则闭合旧的存储记录,当前信息作为新记录存储;在线程扫描结束后需要对步骤1中所得的全部网络结构信息进行统一的梳理与更新,对于步骤2中非法的信息,因其仍是实时的网络结构信息,故在报警后仍然需要进入该步骤进行更新,以保证网络结构的客观正确性。4]网络结构分层展现根据网络节点之间的逻辑关系,将各设备的节点信息进行视图展现。展现的方式具体是将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现,视图展现的具体方式一般是以树形视图展示所有的网络节点及其关系,树形视图中选中任何节点,展现其网络结构连接视图。5]查看网络中是否存在未遍历到的目标,如果存在则跳转至步骤1.3进行处理, 如果不存在则扫描结束,等待下一个周期重新进行扫描。
权利要求
1.一种网络结构监测与边界勘验方法,其特殊之处在于,包括以下步骤1]网络结构动态扫描启动扫描线程对整个网络进行扫描,获取实时网络结构信息,通过获取的网络结构信息来确定网络边界,同时建立网络结构安全规则;网络结构信息包括网络设备、网络终端及其之间的连接信息,连接信息包括网络设备和网络终端的物理地址、交换端口、路由表和网络流量;2]网络边界安全检验得到确定的网络边界后,依据步骤1中所述的安全规则,检查网络边界的安全状态,确认目标节点的物理地址、交换端口和网络行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况及时定位并报警,同时记录下详细的违规信息;3]网络结构更新存储对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化则闭合旧的存储记录,当前信息作为新记录存储;4]网络结构分层展现根据网络节点之间的逻辑关系,将各设备的节点信息进行视图展现。
2.根据权利要求1所述的网络结构监测与边界勘验方法,其特征在于所述步骤1中网络结构动态扫描具体是1.1]根据给定的扫描起点,读取扫描起始地址,启动扫描线程遍历整个网络;1. 2]获取网络中的一个目标地址,开始执行扫描;1.3]目标是否支持简单网络管理协议,如果不支持则转至第1.4步,否则转至步骤1. 5 ;1. 4]启用操作系统指纹识别模块,辨识目标的系统类型,并转至步骤1. 8 ;1. 5]启用简单网络管理协议扫描模块,对目标进行全面的扫描;1.6]识别目标类型,若目标为网络设备则进行步骤1.7;若目标为网络终端则进行步骤 1. 8 ;1.7]通过简单网络管理协议协议获取目标的地址、端口、路由和网络流量等信息;1.8]读取目标的安全规则。
3.根据权利要求2所述的网络结构监测与边界勘验方法,其特征在于所述的步骤4 完成后,进行步骤5的处理5]查看网络中是否存在未遍历到的目标,如果存在则跳转至步骤1.3进行处理,如果不存在则扫描结束,等待下一个周期重新进行扫描。
4.根据权利要求1至3任一所述的网络结构监测与边界勘验方法,其特征在于所述步骤1中的扫描线程为至少两个。
5.根据权利要求4所述的网络结构监测与边界勘验方法,其特征在于所述步骤4中, 将各设备的信息进行视图展现具体是将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现。
6.根据权利要求5所述的网络结构监测与边界勘验方法,其特征在于所述步骤4中视图展现是以树形视图展示所有的网络节点及其关系,树形视图中选中任何节点,展现其网络结构连接视图。
7.根据权利要求6所述的网络结构监测与边界勘验方法,其特征在于所述步骤1中的扫描线程为三至五个。
全文摘要
本发明提供的网络结构监测与边界勘验方法,主要解决了现有技术无法详实全面监控网络的运行状态、了解网络结构化的变化和无法掌握网络边界接入情况的问题。其具体是依据以下步骤进行1)网络结构动态扫描,2)网络边界安全检验;3)网络结构更新存储;4)网络结构分层展现。其汇总展现网络设备的各项基本信息,可实时进行扫描网络,采集状态数据,并在网络结构视图上分层次展现;完成对网络设备和接入终端的身份类型识别,确认网络边界所在;重点监测边界设备,能够及时发现网络边界上的违规私接双网络行为,同时在静态规则下监测终端接入状态。
文档编号H04L12/24GK102170372SQ20111015201
公开日2011年8月31日 申请日期2011年6月9日 优先权日2011年6月9日
发明者孙大跃, 屈立成, 曹伟, 李鹏, 洪正君 申请人:长安大学