CN102413012B - 计算机网络连通性自动分析系统 - Google Patents
计算机网络连通性自动分析系统 Download PDFInfo
- Publication number
- CN102413012B CN102413012B CN201110370523.1A CN201110370523A CN102413012B CN 102413012 B CN102413012 B CN 102413012B CN 201110370523 A CN201110370523 A CN 201110370523A CN 102413012 B CN102413012 B CN 102413012B
- Authority
- CN
- China
- Prior art keywords
- network
- fire compartment
- compartment wall
- information
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种计算机网络连通性自动分析系统,该系统通过分析网络中影响连通性的设备(主要是防火墙)配置文件,获取网络中任意两台存活主机的连通性,由人机交互部分、信息收集部分、信息预处理部分、核心分析部分和连通图绘制部分组成。人机交互部分实现用户和系统信息的交互;信息收集部分完成防火墙配置文件的获取和网络中存活主机的探测;信息预处理部分对信息收集部分收集到的信息进行预处理;核心分析部分分析信息预处理部分产生的结果,获取任意两存活主机的连通性信息;连通图绘制部分绘制网络连通图。本发明运行速度快,并且基本不受网络规模的影响,可应用于大型网络,还具有自动化程度高、应用范围广、可扩展性强的优点。
Description
技术领域
本发明属于计算机网络安全技术领域,更具体的说,涉及一种计算机网络连通性自动分析系统,可通过分析网络系统中的防火墙配置文件,获取整个网络系统中各主机之间的连通性。
背景技术
网络中主机之间的连通情况是对整个网络进行脆弱性及渗透分析的基础,比如从一台主机利用目标主机的漏洞,成功入侵该主机的前提是这两台主机存在连通性,即成功利用该漏洞所需的两主机特定端口间可正常通讯。所以,获取整个网络中任意两主机的连通性对于网络安全管理及渗透测试等具有十分重要的意义。
从国内外数据库检索和文献分析看,对网络连通性的获取主要是通过测试的方法,具体来说可分为Ping测试和扫描两种方法。Ping测试是指从一台主机向目标主机发送ICMP回送请求报文(Echo Request),然后根据能否收到目标主机返回的回送应答(Echo Reply)来判断两台主机是否连通。这种测试方法只能判断出两台主机可通过网络层的ICMP协议通信,而高层协议诸如TCP协议通信情况及具体可通信的端口号等信息都无法获取,这对于漏洞分析等显然是不够的,而且这种方法的测试次数会随着网络中主机数N的增加呈N2级别的增加,无法应用于大型网络;扫描法是指利用Nessus等工具对每台主机进行端口扫描,找到其开放运行的端口。这种方法需要对网络中所有主机的所有端口进行扫描,时间消耗比较大,难以应用于大型网络。而且由于防火墙等安全设备的存在,这种方法的准确性不高。
发明内容
本发明针对上述现有技术存在的不足,提供一种计算机网络连通性自动分析系统,通过分析网络中影响连通性的设备——防火墙的配置文件,获取有访问控制作用的规则;然后结合网络拓扑信息,将这些规则翻译为主机的连通性信息;最后将这些信息整合起来,从而得到整个网络的连通性。采用该系统消耗的时间大大低于上述两种现有技术的方法,网络中主机数目的增加对其性能的影响很小,适用于大型网络。而且本发明通过直接分析防火墙配置文件的方法判断连通性,结果的准确性得以显著提高。
为达到上述目的,本发明所采用的技术方案如下:
一种计算机网络连通性自动分析系统,包括以下部分:人机交互部分,由交互模块组成,负责用户和系统信息的交互;信息收集部分,由配置文件自动获取模块和存活主机探测模块组成,实现防火墙配置文件的获取和网络中存活主机的探测;信息预处理部分,由配置文件归一化模块和存活IP信息整合模块组成,对信息收集部分收集到的信息进行预处理,以方便核心分析部分进行分析;核心分析部分,由连通性分析模块组成,依据信息预处理部分产生的结果,分析网络中任意两台存活主机的连通性,并将连通性信息存储到数据库中;连通图绘制部分,由连通图绘制模块组成,按照数据库中的连通性信息绘制网络连通图。
所述的人机交互部分的交互界面分为以下三步:第一步,点击界面的防火墙层次结构,再输入相应防火墙的信息以获取其配置文件;第二步,将存活主机探测得到的存活主机显示给用户,用户可对此结果进行校准;第三步,向用户呈现最终生成的网络连通图。
所述的防火墙层次结构是指从最外层防火墙,到该主机直接相连的所有防火墙列举出来,将它们的外网IP分割开来组成该防火墙的配置文件名,形成唯一性的层次结构标识。
所述信息收集部分中的配置文件自动获取模块是由针对不同品牌防火墙的子模块组成。
所述信息收集部分中的存活主机探测模块的服务器端安装在被防火墙分隔开的各网段内任选一台主机上,该服务器端负责接收控制台的探测指令,对该网段内的主机进行存活性探测,然后将结果发送至控制台。
所述信息预处理部分中的配置文件归一化模块针对不同品牌防火墙的配置文件选择不同的功能子模块,并将格式各异的配置文件转换为自定义格式的XML文件。
所述信息预处理部分中的存活IP信息整合模块接收存活主机探测模块获取的结果,从中提取出存活的主机IP列表,通过人机交互模块显示给用户,用户进行校准后,将最终的IP列表保存到文件中,以供核心分析部分读取。
所述存储到数据库中的连通性信息包括源IP、源IP标识、目的IP、目的IP标识、连通端口号、协议类型。
所述核心分析部分中的连通性分析模块在分析过程中,根据防火墙主要影响与其直接相连的网段连通性的原则,从最外层防火墙开始,对转换后的配置文件按照网络拓扑进行前序深度优先遍历分析,并将连通性信息写入数据库。
所述连通图绘制部分中的连通图绘制模块从数据库中读取连通性信息,并使用Graphviz的Windows接口——WinGraphviz绘制出整个网络的连通图;其中,Graphviz是贝尔实验室设计的一个开源的图表可视化项目,主要用C语言实现,实现一些图布局算法。
本发明技术方案,通过获取网络中所有防火墙的配置文件,并将它们转换为统一的XML格式文件,然后根据防火墙主要影响与其直接相连的网段连通性的原则,从最外层防火墙开始,对转换后的配置文件按照网络拓扑进行前序深度优先遍历分析,并将连通性信息,包括源IP、目的IP、连通端口号、协议类型等信息写入数据库。最后依据数据库中的连通性信息,使用Graphviz的windows接口——WinGraphviz绘制出整个网络的连通图。
本发明技术方案的有益效果如下:
1)运行速度快,并且基本不受网络规模的影响,可应用于大型网络。采用多线程并行处理,运行速度得到了大幅提高;只分析网络中的防火墙配置文件,无需对每台主机进行扫描或连通性测试,其运行速度主要受网络中防火墙数量的影响。而即使是在大型网络中,防火墙数量也是远少于主机数量,所以可应用于大型网络中。
2)自动化程度高。配置文件获取、配置文件归一化存储、存活主机探测和配置文件分析都可自动完成,整个过程无需人工参与。
3)应用范围广。本发明可用于分析包含Windows、Unix、Linux、MacOS等平台主机的网络的连通性。本发明还可对网络中的主机进行标记,以识别不同网段中具有相同IP的主机,从而可应用于网络中有重复网段的情况。
4)可扩展性强。本发明采用模块化编程,可方便的添加对其他品牌防火墙的支持(目前本发明支持Cisco、Watchguard和Iptables防火墙)。
附图说明
图1是本发明系统的结构框图;
图2是本发明系统的工作流程图;
图3是本发明控制台程序初始界面截图;
图4是转换后的XML防火墙配置文件的部分截图;
图5是网络连通图实例;
图6是本发明系统构架图;
图7是本发明抽象出的网络中防火墙的树状结构图。
具体实施方式
以下结合附图对本发明作进一步的详细描述。
1、网络连通性自动分析系统的组成
如图1所示,给出网络连通性自动分析系统的组成,从结构上可分为5部分:人机交互部分、信息收集部分、信息预处理部分、核心分析部分和连通图绘制部分。
人机交互部分
人机交互部分负责与用户的信息交互,由交互模块实现,其交互界面共分为三步。第一步界面截图如图3,用户可点击界面左侧的防火墙层次结构(根节点表示最外层防火墙,其子节点表示与该防火墙直接相连的防火墙),然后在右侧输入相应防火墙的生产厂商、外网IP、用户名、密码等信息,以便于获取其配置文件。第二步可将存活主机探测得到的存活主机IP显示给用户,用户可对此结果进行校准。第三步向用户呈现最终生成的网络连通图。
信息收集部分
该部分主要实现防火墙配置文件的获取和网络存活主机的探测,分别由配置文件自动获取模块和存活主机探测模块实现。
配置文件自动获取模块由针对不同品牌防火墙的子模块组成。由于防火墙品牌的差异,其配置文件的获取方法也有所不同。在本系统中,思科PIX防火墙配置文件的获取采用SSH结合TFTP的方法,Iptables配置文件的获取只利用SSH就可实现。
存活主机探测模块只需要获取哪些主机存活这一信息,所以使用批量Ping工具即可。由于防火墙可能会对ICMP协议进行限制,为了得到准确的结果,需要在被防火墙分隔开的各网段内任选一台主机,安装存活主机探测模块的服务器端。该服务器端负责接收控制台的探测指令,对该网段内的主机进行存活性探测,然后将结果发送至控制台。
信息预处理部分
该部分完成信息收集部分所提供信息的预处理工作,以方便核心分析部分进行分析。对应于信息收集部分的两个模块,该部分由配置文件归一化模块和存活IP信息整合模块组成。
配置文件归一化模块对配置文件自动获取模块收集到的配置文件进行归一化处理。具体来说,该模块会针对不同品牌防火墙的配置文件选择不同的功能子模块,将格式各异的配置文件转换为自定义格式的XML文件。该XML文件格式定义如下:
根元素为“Config”,表示配置文件。它拥有两类子元素,分别为“NIC”和“Rule”。“NIC”表示网卡配置,每个网卡对应一个“NIC”元素。“name”、“IP”和“Net”为它的三个子元素,分别表示网卡名称、网卡IP和网卡所在子网。“Rule”表示一条防火墙规则,它拥有如下子元素:“id”——规则的标识码,由自增的整数表示;“type”——规则的类型,有“default”和“normal”两种,前者表示防火墙默认策略,后者表示普通规则;“action”——规则动作,有“allow”和“deny”两种,分别表示允许和拒绝;“from”——源地址,可以是单个IP,也可以是一个网段;“to”——目的地址,可支持的类型同“from”;“nat”——地址转换,主要指目的地址转换,由“待转换IP-转换后IP:转换后端口号”结构表示;“port”——规则涉及的端口号;“protocol”规则涉及的协议类型;“timeStart”——规则开始作用时间(仅支持Iptables防火墙);“timeStop”——规则结束作用时间(仅支持Iptables防火墙)。
图4为转换后的Iptables防火墙配置文件的部分截图,由图中可以看出该防火墙连接了三个网段,其中的1号规则表示允许任何一台主机访问IP地址为“192.168.0.2”的主机(也就是防火墙本身),并将它们对该主机80端口的访问导向到“192.168.1.2”主机的80端口。目前该模块可支持思科PIX、Iptables和Watchguard防火墙的配置文件归一化处理。如需支持其他品牌的防火墙,可在该模块添加相应的功能子模块。
存活IP信息整合模块接收存活主机探测模块获取的结果,从中提取出存活的主机IP列表,通过人机交互模块显示给用户。用户进行校准后,将最终的IP列表保存到文件中,以供核心分析部分读取。
核心分析部分
该部分是整个系统的核心,主要功能是分析信息预处理部分产生的结果,获取网络中任意两台存活主机的连通性,然后将这些信息存储到数据库中。该部分由连通性分析模块实现。在分析过程中,根据防火墙主要影响与其直接相连的网段连通性的原则,该模块从最外层防火墙开始,对转换后的配置文件按照网络拓扑进行前序深度优先遍历分析,并将得到的连通性信息写入数据库。具体分析一台防火墙的配置文件时,该模块首先将其默认策略所代表的连通主机信息写入数据库,然后依据其它普通规则,对数据库中的信息进行修改,最终得到该防火墙所连网段间的连通性信息。
该模块写入数据库的连通性信息包括源IP、源IP标识、目的IP、目的IP标识、连通端口号、协议类型,分别对应数据库中“NetConnectivity”表的“SourceIP”、“SourceIPLocation”、“DestinationIP”、“DestinationIPLocation”、“Port”、“Protocol”列。其中的IP标识是为了识别网络中不同网段内可能存在的具有相同IP的主机而设置的。针对这种情况,可用与该主机直接相连的防火墙外网IP作为标识,但由于防火墙的外网IP可能也是不唯一的,比如在不同网段内可能存在IP相同的防火墙,所以在该模块中选择使用与该主机相连的防火墙外网IP的层次结构作为标识,具体来说,就是将从最外层防火墙,到该主机直接相连的所有防火墙列举出来,将它们的外网IP用“/”分割,组成了层次结构标识,这样就确保了标识的唯一性。
数据库中存放网络中所有连通的主机IP及具体可通信的端口号和协议类型。数据库只含有“NetConnectivity”这一张表。该表中的“SourceIP”、“SourceIPLocation”、“DestinationIP”、“DestinationIPLocation”都是唯一的,以确保两台主机间最多有一条连通性记录。当源主机和目标主机间可通讯的端口号多于一个时,“Port”列的值可使用集合的形式表示。
该模块与数据库间的连接采用了ADO(ActiveX Data Objects)方式,以简化系统部署过程,增加系统的可移植性。
连通性绘制部分
该部分负责向用户提供最终的网络连通性结果——网络连通图,由连通图绘制模块组成。该模块从数据库中读取连通性信息,并使用Graphviz的Windows接口——WinGraphviz绘制出整个网络的连通图。Graphviz是贝尔实验室设计的一个开源的图表可视化项目,主要用C语言实现,实现了一些图布局算法。通过这些算法,可以将图中的节点在画布上比较均匀的分布,缩短节点之间的边长,并且尽量的减少边的交叉。
最终生成的网络连通图如图5。图中椭圆形的节点表示一台主机,由其IP地址和圆括号中的标识表示。两台主机的连通性用有向箭头表示,箭头由源主机指向目标主机。箭头旁边的标签表示可通讯的端口号和协议,由“Port”和“Protocol”关键词区分。图中的OutNet节点表示外网。网段192.168.1.0/24为内网网段,包括三台主机。192.168.0.3为DMZ(非军事区)中的一台Web服务器,其80端口对外网和内网主机开放。192.168.2.2为一台数据库服务器,它与Web服务器之间使用防火墙相隔。该防火墙仅允许Web服务器访问数据库服务器的1433端口。
网络连通性自动分析系统工作流程
图2给出了网络连通性自动分析系统的工作流程图,现结合该图进行说明。系统运行前首先需搭建运行环境,需要根据网段信息将存活主机探测模块的服务器端安装到各网段中的任意一台主机上,并将其开启,以等待控制台发送指令。对于各防火墙需根据其类型开启特定的端口及服务,如开启思科防火墙的SSH服务等,并设置赋予控制台必要的权限,以便于控制台获取其配置文件。具体部署可参考图6。图中防火墙0为最外层防火墙,连接了外网,内网和非军事区(DMZ)。在非军事区中存在一台Web服务器和一台FTP服务器,防火墙0-1将它们和数据库隔离。内网中存在四台主机。网络连通性控制台部署在主机1上,因为它可以访问网络中的任何一台主机。存活主机探测服务器分别部署在主机3、FTP服务器和数据库上,以确保每个网段中均含有一个存活主机探测服务器。
搭建好网络环境后,控制台系统开始工作。首先是信息收集和预处理过程。用户在交互模块中输入各防火墙的品牌、IP地址及用户名密码等相关信息,这些信息将被配置文件自动获取模块获得,它将依据这些信息选择适当的方法获取指定IP的防火墙的配置文件,然后将这些文件交给配置文件归一化模块,后者根据设备类型选择合适的子模块将配置文件转换为统一的XML格式,并存储在系统的指定位置。然后存活主机探测模块遍历这些转换后的配置文件,从中获取网络中的网段信息,如网段IP范围等,并根据用户输入的存活主机探测服务器IP,将网段IP范围等信息发送给该网段内的探测服务器。这些探测服务器将以此为参数探测该网段内的存活主机,并将结果发送给控制台的存活IP信息整合模块。存活IP信息整合模块首先将收到的结果发送到交互模块,呈现给用户。用户对这些信息进行校准后,交互模块再将其发回到存活IP信息整合模块。后者将用户校准后的存活主机IP列表保存为文件,以供分析模块读取。
在信息收集和预处理完成后,连通性分析模块开始工作。该模块分析收到的信息,得到网络中任意两台存活主机的连通性信息,并将结果保存到数据库中。然后连通图绘制模块从数据库读取连通性信息,并调用绘图接口,绘制出指定格式的连通图,最终通过交互模块呈现给用户。
2、主要关键技术
前序深度优先遍历分析配置文件
根据防火墙主要影响与其直接相连的网段连通性的原则,核心分析模块从最外层防火墙开始,对转换后的配置文件按照网络拓扑进行前序深度优先遍历分析。在分析过程中,可以将网络中的所有防火墙抽象为一个树状结构,如图7所示。根节点Firewall0为最外层防火墙,其子节点表示与它直接相连的防火墙,再下层以此类推。为了实现深度优先遍历,转换后的配置文件名以此规则命名:列举出从最外层防火墙到该防火墙之间的所有防火墙,将它们的外网IP用“/”分割,组成该防火墙的配置文件名。如图7中Firewall0-1-2转换后的配置文件名应该为“IP of Firewall0/IP of Firewall0-1/IP of Firewall0-1-2.xml”。核心分析模块会调用一个递归函数,该函数会分析当前防火墙配置文件并按照文件名查找下层防火墙配置文件,然后以此文件名为参数进行递归。
IP地址标识
IP地址标识是为了识别网络中不同网段内可能存在的具有相同IP的主机而设置的。针对这种情况,可用与该主机直接相连的防火墙外网IP作为标识,但由于防火墙的外网IP可能也是不唯一的,比如在不同网段内可能存在IP相同的防火墙,所以该系统按照图7所示将网络中的防火墙抽象为一个树状结构,使用与该主机相连的防火墙外网IP的树状结构作为标识,具体来说,就是将从最外层防火墙,到该主机直接相连的所有防火墙列举出来,将它们的外网IP用“/”分割,组成了层次结构标识,这样就确保了标识的唯一性。
Claims (4)
1.一种计算机网络连通性自动分析系统,其特征在于,包括以下部分:
人机交互部分,由交互模块组成,负责用户和系统信息的交互;
信息收集部分,由配置文件自动获取模块和存活主机探测模块组成,实现防火墙配置文件的获取和网络中存活主机的探测;
信息预处理部分,由配置文件归一化模块和存活IP信息整合模块组成,对信息收集部分收集到的信息进行预处理,以方便核心分析部分进行分析;
核心分析部分,由连通性分析模块组成,依据信息预处理部分产生的结果,分析网络中任意两台存活主机的连通性,并将连通性信息存储到数据库中;
连通图绘制部分,由连通图绘制模块组成,按照数据库中的连通性信息绘制网络连通图;
所述的人机交互部分的交互界面分为以下三步:第一步,点击界面的防火墙层次结构,再输入相应防火墙的信息以获取其配置文件;第二步,将存活主机探测得到的存活主机显示给用户,用户可对此结果进行校准;第三步,向用户呈现最终生成的网络连通图;
所述的防火墙层次结构是指从最外层防火墙,到该主机直接相连的所有防火墙列举出来,将它们的外网IP分割开来组成该防火墙的配置文件名,形成唯一性的层次结构标识;
所述信息预处理部分中的配置文件归一化模块针对不同品牌防火墙的配置文件选择不同的功能子模块,并将格式各异的配置文件转换为自定义格式的XML文件;
所述XML文件,其格式为:根元素为“Config”,表示配置文件,它拥有两类子元素,分别为“NIC”和“Rule”,“NIC”表示网卡配置,每个网卡对应一个“NIC”元素,“name”、“IP”和“Net”为它的三个子元素,分别表示网卡名称、网卡IP和网卡所在子网,“Rule”表示一条防火墙规则,它拥有如下子元素:“id”——规则的标识码,由自增的整数表示;“type”——规则的类型,有“default”和“normal”两种,前者表示防火墙默认策略,后者表示普通规则;“action”——规则动作,有“allow”和“deny”两种,分别表示允许和拒绝;“from”——源地址,是单个IP,或是一个网段;“to”——目的地址,可支持的类型同“from”;“nat”——地址转换,主要指目的地址转换,由“待转换IP-转换后IP:转换后端口号”结构表示;“port”——规则涉及的端口号;“protocol”规则涉及的协议类型;“timeStart”——规则开始作用时间,其仅支持Iptables防火墙;“timeStop”——规则结束作用时间,其仅支持Iptables防火墙;
所述信息预处理部分中的存活IP信息整合模块接收存活主机探测模块获取的结果,从中提取出存活的主机IP列表,通过人机交互模块显示给用户,用户进行校准后,将最终的IP列表保存到文件中,以供核心分析部分读取;
所述存储到数据库中的连通性信息包括源IP、源IP标识、目的IP、目的IP标识、连通端口号、协议类型;
所述核心分析部分,其主要功能是分析信息预处理部分产生的结果,获取网络中任意两台存活主机的连通性,然后将这些信息存储到数据库中,该部分由连通性分析模块实现,在分析过程中,根据防火墙主要影响与其直接相连的网段连通性的原则,从最外层防火墙开始,对转换后的配置文件按照网络拓扑进行前序深度优先遍历分析,并将得到的连通性信息写入数据库,具体分析一台防火墙的配置文件时,首先将其默认策略所代表的连通主机信息写入数据库,然后依据其它普通规则,对数据库中的信息进行修改,最终得到该防火墙所连网段间的连通性信息;
所述连通性信息包括源IP、源IP标识、目的IP、目的IP标识、连通端口号、协议类型,分别对应数据库中“NetConnectivity”表的“SourceIP”、“SourceIPLocation”、“DestinationIP”、“DestinationIPLocation”、“Port”、“Protocol”列,其中的IP标识是为了识别网络中不同网段内可能存在的具有相同IP的主机而设置的,针对这种情况,可用与该主机直接相连的防火墙外网IP作为标识,但由于防火墙的外网IP可能也是不唯一的,在不同网段内可能存在IP相同的防火墙,所以在该模块中选择使用与该主机相连的防火墙外网IP的层次结构作为标识,具体来说,就是将从最外层防火墙,到该主机直接相连的所有防火墙列举出来,将它们的外网IP用“/”分割,组成了层次结构标识,这样就确保了标识的唯一性。
2.根据权利要求1所述的计算机网络连通性自动分析系统,其特征在于,所述信息收集部分中的配置文件自动获取模块是由针对不同品牌防火墙的子模块组成。
3.根据权利要求1所述的计算机网络连通性自动分析系统,其特征在于,所述信息收集部分中的存活主机探测模块的服务器端安装在被防火墙分隔开的各网段内任选一台主机上,该服务器端负责接收控制台的探测指令,对该网段内的主机进行存活性探测,然后将结果发送至控制台。
4.根据权利要求1所述的计算机网络连通性自动分析系统,其特征在于,所述连通图绘制部分中的连通图绘制模块从数据库中读取连通性信息,并使用Graphviz的Windows接口——WinGraphviz绘制出整个网络的连通图;其中,Graphviz是贝尔实验室设计的一个开源的图表可视化项目,主要用C语言实现,实现一些图布局算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110370523.1A CN102413012B (zh) | 2011-11-21 | 2011-11-21 | 计算机网络连通性自动分析系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110370523.1A CN102413012B (zh) | 2011-11-21 | 2011-11-21 | 计算机网络连通性自动分析系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102413012A CN102413012A (zh) | 2012-04-11 |
| CN102413012B true CN102413012B (zh) | 2014-06-18 |
Family
ID=45914874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110370523.1A Active CN102413012B (zh) | 2011-11-21 | 2011-11-21 | 计算机网络连通性自动分析系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102413012B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368965B (zh) * | 2013-07-18 | 2018-04-17 | 北京随方信息技术有限公司 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| CN105071991B (zh) * | 2015-08-11 | 2018-11-02 | 上海携程商务有限公司 | 多个防火墙的ip连通性的测试方法 |
| CN108632100B (zh) * | 2015-08-24 | 2020-11-17 | 上海天旦网络科技发展有限公司 | 发现与呈现网络应用访问信息的方法和系统 |
| CN105978881B (zh) * | 2016-05-13 | 2019-05-31 | 上海携程商务有限公司 | ip地址所经过的防火墙的查询方法及系统 |
| CN108462597B (zh) * | 2017-02-21 | 2022-05-06 | 腾讯科技(深圳)有限公司 | 信息上报方法、装置和系统 |
| CN107426062A (zh) * | 2017-09-05 | 2017-12-01 | 合肥丹朋科技有限公司 | 计算机网络连通性自动分析系统 |
| CN109413017B (zh) * | 2018-04-28 | 2020-07-31 | 武汉思普崚技术有限公司 | 一种管理异构防火墙的方法及系统 |
| US11108805B2 (en) * | 2018-06-27 | 2021-08-31 | Amazon Technologies, Inc. | Automated packetless network reachability analysis |
| CN109446817A (zh) * | 2018-10-29 | 2019-03-08 | 成都思维世纪科技有限责任公司 | 一种大数据检测与审计系统 |
| CN110795290A (zh) * | 2019-10-30 | 2020-02-14 | 杭州迪普科技股份有限公司 | 一种双机配置策略一致性检测方法及装置 |
| CN111355740A (zh) * | 2020-03-09 | 2020-06-30 | 云南电网有限责任公司昆明供电局 | 一种快速便捷检测防火墙配置的方法 |
| CN111835586B (zh) * | 2020-06-21 | 2021-11-09 | 山东云海国创云计算装备产业创新中心有限公司 | 一种服务器与交换机网络连通性测试方法与系统 |
| CN111865701B (zh) * | 2020-08-03 | 2023-08-11 | 北京知道创宇信息技术股份有限公司 | 资产确定方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
| CN101442533A (zh) * | 2008-12-25 | 2009-05-27 | 上海交通大学 | 基于数据挖掘技术的网络权限提升路径的生成方法 |
-
2011
- 2011-11-21 CN CN201110370523.1A patent/CN102413012B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
| CN101442533A (zh) * | 2008-12-25 | 2009-05-27 | 上海交通大学 | 基于数据挖掘技术的网络权限提升路径的生成方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张永铮 等.网络风险评估中网络节点关联性的研究.《计算机学报》.2007,第30卷(第2期),说明书第2,4节及图3. |
| 网络风险评估中网络节点关联性的研究;张永铮 等;《计算机学报》;20070228;第30卷(第2期);说明书第2,4节及图3 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102413012A (zh) | 2012-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102413012B (zh) | 计算机网络连通性自动分析系统 | |
| Holm et al. | Automatic data collection for enterprise architecture models | |
| CN111949803B (zh) | 一种基于知识图谱的网络异常用户检测方法、装置和设备 | |
| EP2976865B1 (en) | Firewall testing | |
| CN112367307B (zh) | 一种基于容器级蜜罐群的入侵检测方法及系统 | |
| US20110016528A1 (en) | Method and Device for Intrusion Detection | |
| CN112104677A (zh) | 一种基于知识图谱的受控主机检测方法和装置 | |
| CN109800258A (zh) | 数据文件部署方法、装置、计算机设备及存储介质 | |
| CN107145784A (zh) | 一种漏洞扫描的方法、装置及计算机可读介质 | |
| CN109117368A (zh) | 一种接口测试方法、电子设备及存储介质 | |
| CN111143852A (zh) | 一种基于协同控制的多模块渗透测试系统 | |
| US20210344703A1 (en) | Visualized Penetration Testing (VPEN) | |
| CN113079198A (zh) | 一种云平台接口协议转换的方法及装置 | |
| CN115277129A (zh) | 一种域名资产漏洞扫描方法、装置、设备、存储介质 | |
| CN104050003A (zh) | 一种采用shell脚本启动Nutch采集系统的方法 | |
| CN107113199A (zh) | 用于分析和处理通信序列的分析装置 | |
| CN112527689B (zh) | 应用测试方法、装置及存储介质 | |
| CN114124837A (zh) | 一种基于被动流量的资产信息发现系统及方法 | |
| US9087299B2 (en) | Inferring connectivity in the presence of conflicting network data | |
| CN112468439A (zh) | 基于深度学习方法的物联网DDoS攻击流量检测系统 | |
| CN110798545A (zh) | 一种基于Web的域名数据获取方法 | |
| CN103457957B (zh) | 一种具有自适应功能的网络渗透测试系统及方法 | |
| Cisco | DFM Inventory Collection | |
| CN108008941B (zh) | 一种安卓应用的深链接口自动生成方法及深链执行方法 | |
| CN113746950A (zh) | Ip地址冲突预检测方法、系统、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |