CN102170372B - 网络结构监测与边界勘验方法 - Google Patents
网络结构监测与边界勘验方法 Download PDFInfo
- Publication number
- CN102170372B CN102170372B CN201110152014.1A CN201110152014A CN102170372B CN 102170372 B CN102170372 B CN 102170372B CN 201110152014 A CN201110152014 A CN 201110152014A CN 102170372 B CN102170372 B CN 102170372B
- Authority
- CN
- China
- Prior art keywords
- network
- boundary
- network configuration
- target
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的网络结构监测与边界勘验方法,主要解决了现有技术无法详实全面监控网络的运行状态、了解网络结构化的变化和无法掌握网络边界接入情况的问题。其具体是依据以下步骤进行:1]网络结构动态扫描,2]网络边界安全检验;3]网络结构更新存储;4]网络结构分层展现。其汇总展现网络设备的各项基本信息,可实时进行扫描网络,采集状态数据,并在网络结构视图上分层次展现;完成对网络设备和接入终端的身份类型识别,确认网络边界所在;重点监测边界设备,能够及时发现网络边界上的违规私接双网络行为,同时在静态规则下监测终端接入状态。
Description
技术领域
本发明涉及一种网络结构监测与边界勘验方法。
背景技术
面对当前网络规模的不断增长,网络结构的日趋复杂,加之接入网络设备的多样性和异构性,目前的网络基本监测手段已不能满足当前网络管理的需要,主要不足体现在以下几点:
(1)网络自身的运行状态不够详实全面
网络的运行状态信息复杂多样,包括流量吞吐、组成结构、设备运行情况及终端运行情况。设备及终端的运行情况又包含诸如内存占有率、CPU占有率及系统类型等较详实的信息。当前网络监测手段往往无法获取全面的网络状态信息,甚至最基本必要的网络结构信息,都可能无法全面准确地获取。
(2)网络结构化的变化无从知晓
在比较庞大的网络规模下,如果有用户私自在网络中接入交换机或路由器等网络设备,或者用户利用安全隐患私自修改路由信息,又或者用户在网络的边界接入层设备擅自非法接入违规主机,诸如此类的情况都会影响到网络的组成,引起网络的结构性变化,由此带来的巨大安全隐患,必定威胁到网络的稳定运行。但是,目前的监测手段对这些情况的监测,几乎没有应对方案。
(3)网络边界接入情况无法掌握
网络边界作为网络的接入域,其接入终端类型复杂多样,比如PC机及WIFI手机等;各终端都有各自不同的操作系统,比如Windows、Linux以及Mac OS等。此外,各终端的接入方式和行为也千差万别,有些终端可能会随意改变其接入接口,甚至会有用户通过自行架设的家用路由器或交换机进行多用户接入,这些情况都影响到网络的收敛性,对网络的安全稳定运行造成威胁。现阶段的网络监测管理手段无法及时获取网络边界状态变更的信息,更无法对边界变更区域进行准确定位,这是现有网络管理体系中普遍存在的盲点和隐患。
发明内容
本发明提供的网络结构监测与边界勘验方法,主要解决了现有技术中,无法详实全面监控网络的运行状态、了解网络结构化的变化和无法掌握网络边界接入情况的问题。
本发明的具体技术解决方案如下:
该网络结构监测与边界勘验方法,包括以下步骤:
1]网络结构动态扫描
启动扫描线程对整个网络进行扫描,获取实时网络结构信息,通过获取的网络结构信息来确定网络边界,同时建立网络结构安全规则;扫描线程一般为至少两个,以三至五个为佳,该设置可以提高系统的扫描速率;网络结构信息包括网络设备、网络终端及其之间的连接信息,连接信息包括网络设备和网络终端的物理地址、交换端口、路由表和网络流量;
其具体过程一般采用以下方式进行:
1.1]根据给定的扫描起点,读取扫描起始地址,启动扫描线程遍历整个网络;
1.2]获取网络中的一个目标地址,开始执行扫描;
1.3]目标是否支持简单网络管理协议,如果不支持则转至第1.4步,否则转至步骤1.5;
1.4]启用操作系统指纹识别模块,辨识目标的系统类型,并转至步骤1.8;
1.5]启用简单网络管理协议扫描模块,对目标进行全面的扫描;
1.6]识别目标类型,若目标为网络设备则进行步骤1.7;若目标为网络终端则进行步骤1.8;
1.7]通过简单网络管理协议协议获取目标的地址、端口、路由和网络流量等信息;
1.8]读取目标的安全规则;
2]网络边界安全检验
得到确定的网络边界后,依据步骤1中所述的安全规则,检查网络边界的安全状态,确认目标节点的地址、端口和行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况及时定位并报警,同时记录下详细的违规信息;
3]网络结构更新存储
对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化则闭合旧的存储记录,当前信息作为新记录存储;
4]网络结构分层展现
根据网络节点之间的逻辑关系,将各设备的节点信息进行视图展现;展现的方式具体是将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现,视图展现的具体方式一般是以树形视图展示所有的网络节点及其关系,树形视图中选中任何节点,展现其网络结构连接视图。
在步骤4结束后还可进行步骤5的处理:
5]查看网络中是否存在未遍历到的目标,如果存在则跳转至步骤1.3进行处理,如果不存在则扫描结束,等待下一个周期重新进行扫描。
本发明的优点在于:
本发明提供的网络结构监测与边界勘验方法,汇总展现网络设备的各项基本信息,比如接口信息及路由信息等;可实时进行网络扫描,采集状态数据,并在网络结构视图上分层次展现;完成对网络设备和接入终端的身份类型识别,确认网络边界所在;重点监测边界设备,能够及时发现网络边界上的违规私接双网络行为,同时在安全规则下监测终端接入状态。
同时,网络管理者能够实时掌握网络的运行情况,从而统筹分配网络资源,及时发现违规行为和安全隐患并予以消除;使用多线程技术将一棵扫描树分割为几棵较小的扫描树来分别进行扫描,可有效节省网络协议的响应等待时间,合理利用网络和主机资源,快速完成整个网络的实时扫描。
附图说明
图1为本发明具体流程示意图。
具体实施方式
以下结合附图对本发明进行详述:
该网络结构监测与边界勘验方法,包括以下步骤:
1]网络结构动态扫描
启动扫描线程对整个网络进行扫描,获取实时网络结构信息,通过获取的网络结构信息来确定网络边界,同时建立网络结构安全规则;网络结构信息包括网络设备、网络终端及其之间的连接信息,连接信息包括网络设备和网络终端的物理地址、交换端口、路由表和网络流量;扫描线程一般至少两个,以3~5个为佳,扫描线程的设置主要根据网络核心设备的数量来决定,一般情况下,一台核心设备对应一个扫描线程,对于只有一个核心设备的网络,可选择一台二级会聚设备对应一个扫描线程,扫描线程的选择也可由管理员手工指定,将一颗大的扫描树分割为几颗较小的扫描树来分段进行扫描;
根据网络结构信息设定网络边界,实时网络结构的最外层边缘即是网络边界;
该步骤具体的流程为:
1.1]根据给定的扫描起点,读取扫描起始地址,启动扫描线程遍历整个网络;
1.2]获取网络中的一个目标地址,开始执行扫描;
1.3]目标是否支持简单网络管理协议,如果不支持则转至第1.4步,否则转至步骤1.5;
1.4]启用操作系统指纹识别模块,辨识目标的系统类型,并转至步骤1.8;
1.5]启用简单网络管理协议扫描模块,对目标进行全面的扫描;
1.6]识别目标类型,若目标为网络设备则进行步骤1.7;若目标为网络终端则进行步骤1.8;
1.7]通过简单网络管理协议协议获取目标的地址、端口、路由和网络流量等信息;
1.8]读取目标的安全设置;该安全设置具体是前述网络结构的安全设置中针对本扫描目标的具体的安全规则,是提前在系统中设定的安全规则,由目标的连接信息确定,连接信息包括物理地址、交换端口和路由表;
2]网络边界安全检验
得到确定的网络边界后,根据网络结构的安全设置,检查网络边界的安全状态,确认目标节点的地址、端口和行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况及时定位并报警,同时记录下详细的违规信息;
网络结构的安全设置是之前设定好的安全规则,是在初次扫描过程中生成的由管理员确认的安全的网络结构信息,在后续的扫描过程中可以由管理员手工修改或更新。
扫描目标时,将扫描所得的实时网络结构信息与该目标的安全规则相比较,若其连接信息未发生变化则边界安全;若扫描到新接入的未知设备或原接入设备连接信息发生变化,则依据安全规则对该目标的网络结构信息进行检验并进行报警并记录;
3]网络结构更新存储
对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化则闭合旧的存储记录,当前信息作为新记录存储;
在线程扫描结束后需要对步骤1中所得的全部网络结构信息进行统一的梳理与更新,对于步骤2中非法的信息,因其仍是实时的网络结构信息,故在报警后仍然需要进入该步骤进行更新,以保证网络结构的客观正确性。
4]网络结构分层展现
根据网络节点之间的逻辑关系,将各设备的节点信息进行视图展现。展现的方式具体是将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现,视图展现的具体方式一般是以树形视图展示所有的网络节点及其关系,树形视图中选中任何节点,展现其网络结构连接视图。
5]查看网络中是否存在未遍历到的目标,如果存在则跳转至步骤1.3进行处理,如果不存在则扫描结束,等待下一个周期重新进行扫描。
Claims (7)
1.一种网络结构监测与边界勘验方法,其特征在于,包括以下步骤:
1]网络结构动态扫描
启动扫描线程对整个网络进行扫描,获取实时网络结构信息,通过获取的网络结构信息来确定网络边界,同时建立网络结构安全规则;网络结构信息包括网络设备及网络设备之间的连接信息,连接信息包括网络设备的物理地址、交换端口、路由表和网络流量;
2]网络边界安全检验
得到确定的网络边界后,依据步骤1]中所述的安全规则,检查网络边界的安全状态,确认目标节点的物理地址、交换端口和网络行为是否合法,对于私接或违规接入的网络设备、非法扩展边界的异常情况及时定位并报警,同时记录下详细的违规信息;
3]网络结构更新存储
对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化则闭合旧的存储记录,当前信息作为新记录存储;
4]网络结构分层展现
根据网络节点之间的逻辑关系,将各设备的节点信息进行视图展现。
2.根据权利要求1所述的网络结构监测与边界勘验方法,其特征在于:所述步骤1中网络结构动态扫描具体是:
1.1]根据给定的扫描起点,读取扫描起始地址,启动扫描线程遍历整个网络;
1.2]获取网络中的一个目标地址,开始执行扫描;
1.3]目标是否支持简单网络管理协议,如果不支持则转至第1.4]步,否则转至步骤1.5];
1.4]启用操作系统指纹识别模块,辨识目标的系统类型,并转至步骤1.8];
1.5]用简单网络管理协议扫描模块,对目标进行全面的扫描;
1.6]识别目标类型,若目标为除网络终端外的网络设备则进行步骤1.7];若目标为网络终端则进行步骤1.8];
1.7]通过简单网络管理协议获取目标的地址、端口、路由和网络流量;
1.8]读取目标的安全规则。
3.根据权利要求2所述的网络结构监测与边界勘验方法,其特征在于:所述的步骤4]完成后,进行步骤5]的处理:5]查看网络中是否存在未遍历到的目标,如果存在则跳转至步骤1.3]进行处理,如果不存在则扫描结束,等待下一个周期重新进行扫描。
4.根据权利要求1至3任一所述的网络结构监测与边界勘验方法,其特征在于:所述步骤1]中的扫描线程为至少两个。
5.根据权利要求4所述的网络结构监测与边界勘验方法,其特征在于:所述步骤4]中,将各网络设备的信息进行视图展现具体是将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为第二层次的视图展现,将网络设备的链路层连接作为第三层次的视图展现。
6.根据权利要求5所述的网络结构监测与边界勘验方法,其特征在于:所述步骤4]中视图展现是以树形视图展示所有的网络节点及其关系,树形视图中选中任何节点,展现其网络结构连接视图。
7.根据权利要求6所述的网络结构监测与边界勘验方法,其特征在于:所述步骤1]中的扫描线程为三至五个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110152014.1A CN102170372B (zh) | 2011-06-09 | 2011-06-09 | 网络结构监测与边界勘验方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110152014.1A CN102170372B (zh) | 2011-06-09 | 2011-06-09 | 网络结构监测与边界勘验方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102170372A CN102170372A (zh) | 2011-08-31 |
| CN102170372B true CN102170372B (zh) | 2014-08-06 |
Family
ID=44491356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110152014.1A Expired - Fee Related CN102170372B (zh) | 2011-06-09 | 2011-06-09 | 网络结构监测与边界勘验方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102170372B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377620B (zh) * | 2011-12-09 | 2013-11-06 | 浙江大学 | 基于osi传输层时间戳的宽带私接检测方法 |
| CN103297278B (zh) * | 2013-06-19 | 2016-07-06 | 深圳市国电科技通信有限公司 | 电力线宽带通信网络广度并行拓扑扫描方法 |
| CN106411818B (zh) * | 2015-07-30 | 2020-07-17 | 中国移动通信集团河北有限公司 | 安全域结构检查方法及装置 |
| CN105791014A (zh) * | 2016-03-09 | 2016-07-20 | 浪潮通信信息系统有限公司 | 一种利用lldp进行网络关系发现并自动实现分层topo展示的方法 |
| CN106789873B (zh) * | 2016-11-11 | 2020-09-01 | 国家电网公司 | 一种等级保护安全边界的检查方法 |
| CN114448689B (zh) * | 2022-01-19 | 2023-07-25 | 烽台科技(北京)有限公司 | 工控网络的边界设备确定方法、装置、设备及存储介质 |
| CN116302851B (zh) * | 2023-05-24 | 2023-08-22 | 北京中科网威信息技术有限公司 | Fpga逻辑异常监测与恢复方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6643496B1 (en) * | 1998-03-31 | 2003-11-04 | Canon Kabushiki Kaisha | System, method, and apparatus for adjusting packet transmission rates based on dynamic evaluation of network characteristics |
| CN101582812A (zh) * | 2008-05-13 | 2009-11-18 | 新奥特(北京)视频技术有限公司 | 一种监控运维管理系统 |
| CN101867489A (zh) * | 2010-06-11 | 2010-10-20 | 北京邮电大学 | 实现实时显示的社会网络可视化方法及系统 |
-
2011
- 2011-06-09 CN CN201110152014.1A patent/CN102170372B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6643496B1 (en) * | 1998-03-31 | 2003-11-04 | Canon Kabushiki Kaisha | System, method, and apparatus for adjusting packet transmission rates based on dynamic evaluation of network characteristics |
| CN101582812A (zh) * | 2008-05-13 | 2009-11-18 | 新奥特(北京)视频技术有限公司 | 一种监控运维管理系统 |
| CN101867489A (zh) * | 2010-06-11 | 2010-10-20 | 北京邮电大学 | 实现实时显示的社会网络可视化方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102170372A (zh) | 2011-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102170372B (zh) | 网络结构监测与边界勘验方法 | |
| USRE48073E1 (en) | Methods of deploying a server | |
| CN104463492B (zh) | 一种电力系统云仿真平台的运营管理方法 | |
| CN106534362B (zh) | 一种基于云平台的软件资源共享的方法以及装置 | |
| CN105868914A (zh) | 一种汽车电子健康档案的云管理系统及其管理方法 | |
| CN103593804A (zh) | 一种电力信息通信调度监控平台 | |
| CN103514397A (zh) | 一种服务器、终端及权限管理、许可方法 | |
| CN107426152B (zh) | 云平台虚实互联环境下多任务安全隔离系统及方法 | |
| CN107330580A (zh) | 电力营销基础数据平台组建方法 | |
| CN101512510A (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
| CN104462937B (zh) | 一种基于用户的操作系统外设接入权限控制方法 | |
| Speicher et al. | Towards automated network mitigation analysis | |
| US20130254524A1 (en) | Automated configuration change authorization | |
| CN110661811A (zh) | 一种防火墙策略管理方法及装置 | |
| CN109951337A (zh) | 一种虚拟化运维堡垒系统 | |
| CN110175437A (zh) | 一种用于访问终端权限控制的方法、装置及主机终端 | |
| CN112688929B (zh) | 一种基于互联网威胁情报的共享系统 | |
| CN117744129B (zh) | 一种基于cim的智慧运维方法及系统 | |
| CN112068953B (zh) | 一种云资源精细化管理溯源系统及方法 | |
| CN108306780A (zh) | 一种基于云环境的虚拟机通信质量自优化的系统和方法 | |
| Farahmandian et al. | SDS 2: A novel software-defined security service for protecting cloud computing infrastructure | |
| CN112000659A (zh) | 一种适用于配电台区智能终端设备的基础应用系统 | |
| CN202435422U (zh) | 网络结构状态监测与边界守护系统 | |
| CN113612771B (zh) | 一种基于物联认证的保护方法和装置 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140806 Termination date: 20160609 |