CN103036712A - 一种vlan 应用服务安全监管方法 - Google Patents
一种vlan 应用服务安全监管方法 Download PDFInfo
- Publication number
- CN103036712A CN103036712A CN2012105192348A CN201210519234A CN103036712A CN 103036712 A CN103036712 A CN 103036712A CN 2012105192348 A CN2012105192348 A CN 2012105192348A CN 201210519234 A CN201210519234 A CN 201210519234A CN 103036712 A CN103036712 A CN 103036712A
- Authority
- CN
- China
- Prior art keywords
- switch
- vlan
- network
- application service
- regular expression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种VLAN应用服务安全监管方法,属于网络服务安全监管领域,本发明从提高网络拓扑发现的精确性和提高服务识别的高效性两个方面使对VLAN网络的监管性能得到了提升。通过创新的拓扑发现技术和服务识别算法,系统能够准确计算出所监管网络的拓扑结构信息,高效地识别VLAN网络中的应用服务。
Description
技术领域
本发明属于网络服务安全监管领域,特别是涉及一种VLAN(Virtual LocalArea Network,虚拟局域网)应用服务安全监管方法。
背景技术
应用服务的安全监管对于企业内部资源管理,办公自动化,调度管理等有着重要意义。信息内网应用服务安全监管系统包括应用服务发现和服务安全监管审计两个部分,其中应用服务发现又涉及网络拓扑发现技术,主要分为网络层拓扑发现和链路层拓扑发现,用来反映网络中路由器,交换机和主机之间的互联关系,其为获取监控设备列表、定位异常服务、监控服务状态等提供基础支撑。服务监管作为系统的主要部分,主要是对应用层协议的识别。通过系统可以对整个网络的主机等设备进行监管,以保证网络中的授权服务能够正常运行,并及时发现可疑行为。
目前能够实现网络监控的软件已经不少,但是鉴于网络和服务的复杂性,如何更快更好地发现和定位网络服务和异常是一个很值得研究的问题。
现有的产品主要是在IPv4网络中发挥效用,能够对多种网络服务进行识别和监控,其缺点是对VLAN的支持不够好,网络拓扑的描绘不够精确,也就不能正确反映网络状况,定位网络服务。传统的协议识别多为采用端口进行识别,这种识别能力随着网络的发展,其缺陷也越来越明显,许多协议为了逃避监管,不使用固定的端口而采用动态端口进行通信,使用传统的识别方法效率十分低 下,在服务的识别方面,算法的性能决定了服务审计效率的高低,而现有系统存在着普遍效率不高的瓶颈。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种能够支持在虚拟局域网中进行监管并且更加精确的应用服务安全监管方法。
为实现上述目的,本发明提供了一种VLAN应用服务安全监管方法,包括采集MIB库数据后计算VLAN网络拓扑结构的步骤;其特征在于所述计算VLAN网络拓扑结构按以下步骤进行:
步骤一、读取网络中交换机的端口转发表并计算该交换机的端口转发表与子网标识交换机地址集合的交集;
步骤二、判断VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口是否只有一个;当VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口不只一个时,读取该交换机其他端口转发表并计算其与子网中标识交换机地址集合的交集,当有匹配端口且匹配端口数为1时可以确定这两个端口是直接相连的;
步骤三、将步骤一所述交换机的待连接端口数减1,从子网交换机标识地址集合中删除该交换机的标识地址并将该交换机的标识地址加入局部拓扑标识地址集;
步骤四、判断VLAN网络中所有交换机的待连接端口数是否为零;当VLAN网络中所有交换机的待连接端口数均为零时,网络拓扑发现结束,根据VLAN网络中的交换机端口连接关系绘制网络拓扑图;当VLAN网络中有交换机的待连接端口数不为零时,执行步骤一,直到VLAN网络中所有交换机的待连接端口数均 为零。
为了对VLAN网络中的应用服务进行识别,进一步的,采集MIB库数据后还包括识别应用服务的步骤;所述识别应用服务按以下步骤进行:
各服务对应的协议用正则表达式来表示;通过网关获取各应用服务对应的报文,对各报文的报体进行解析;获取的报文与正则表达式进行匹配,根据匹配结果来判断数据流所对应服务;
所述获取的报文与正则表达式进行匹配按以下步骤进行:
S1、计算各正则表达式分别转换成DFA(Deterministic Finite Automaton,确定的有穷自动机)的状态数;
S2、计算各正则表达式两两之间转换成DFA的状态数;
S3、将具有相性的正则表达式分为一个组;
S4、当所有正则表达式均已被分组后,应用识别结束,输出所有正则表达式的分组情况。
较佳的,所述采集MIB库数据的步骤为通过SNMP协议获取设备的MIB库数据。
本发明的有益效果是:本发明从提高网络拓扑发现的精确性和提高服务识别的高效性两个方面使对VLAN网络的监管性能得到了提升。通过创新的拓扑发现技术和服务识别算法,系统能够准确计算出所监管网络的拓扑结构信息,高效地识别VLAN网络中的应用服务。
附图说明
图1是本发明的流程示意图。
图2是计算VLAN网络拓扑结构的流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明:
如图1所示,一种VLAN应用服务安全监管方法,服务器接收到上位机的指令后,通过SNMP协议获取设备的MIB库数据并保存到数据库,然后计算VLAN网络拓扑结构并对VLAN网络中的应用服务进行识别,然后将VLAN网络的拓扑图和应用识别结果发送给上位机。
本实施例中,获取的MIB库数据包括IP地址、设备类型和端口地址表等,对于不支持SNMP的非智能设备使用ping或telnet命令来发现网络层设备。
如图2所示所述计算VLAN网络拓扑结构按以下步骤进行:
步骤一、从网络中待连接端口数为1的交换机开始,读取任一交换机的端口转发表并计算该交换机的端口转发表与子网标识交换机地址集合的交集。
步骤二、判断与所述交换机的端口转发表匹配的交换机端口是否只有一个;当VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口不只一个时,读取该交换机其他端口转发表并计算其与子网中标识交换机地址集合的交集,直到该交换机所有端口在子网中标识交换机地址中均只有一个交换机端口与之匹配,当有匹配端口且匹配端口数为1时可以确定这两个端口是直接相连的。
步骤三、将步骤一所述交换机的待连接端口数减1,从子网交换机标识地址集合中删除该交换机的标识地址并将该交换机的标识地址加入局部拓扑标识地址集。
步骤四、判断VLAN网络中所有交换机的待连接端口数是否为零;当VLAN网络中所有交换机的待连接端口数均为零时,网络拓扑发现结束,根据VLAN网 络中的交换机端口连接关系绘制网络拓扑图;当VLAN网络中有交换机的待连接端口数不为零时,执行步骤一判断待连接端口数不为零的交换机,直到VLAN网络中所有交换机的待连接端口数均为零。
所述识别应用服务按以下步骤进行:各应用服务对应的协议用正则表达式来表示;通过网关获取各应用服务对应的报文,对各报文的报体进行解析,将各报文的报体用正则表达式来表示;获取的报文与各服务对应的协议进行匹配,根据匹配结果来判断数据流所对应服务。
设定表示应用服务对应协议的正则表达式为第一正则表达式,设定表示获取报文的正则表达式为第二正则表达式,所述获取的报文与各服务对应的协议进行匹配按以下步骤进行:
S1、计算各第一正则表达式分别转换成DFA的状态数。
S2、计算不同应用协议的两条第一正则表达式合并成一条后转换成DFA的状态数。
S3、在所有未分组的正则表达式中,选取一个与其他正则表达式具有相性的正则表达式并加入一个新组,同时将该正则表达式标记为已处理。
S4、在所有未处理的正则表达式中,选取一个与该组中所有正则表达式具有相性的正则表达式加入该组,同时将该正则表达式标记为已处理。
S5、判断是否还有未处理的正则表达式与已标记为已处理的正则表达式有相性;当还有未处理的正则表达式与已标记为已处理的正则表达式有相性时,执行步骤S4;否则执行下一个步骤。
S6、判断是否还有未分组的正则表达式;当还有未分组的正则表达式时,执行步骤S3;当没有未分组的正则表达式时,应用识别结束,输出此时的分组 情况。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (3)
1.一种VLAN应用服务安全监管方法,包括采集MIB库数据后计算VLAN网络拓扑结构的步骤;其特征在于所述计算VLAN网络拓扑结构按以下步骤进行:
步骤一、读取网络中交换机的端口转发表并计算该交换机的端口转发表与子网标识交换机地址集合的交集;
步骤二、判断VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口是否只有一个;当VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口不只一个时,读取该交换机其他端口转发表并计算其与子网中标识交换机地址集合的交集;
步骤三、将步骤一所述交换机的待连接端口数减1,从子网交换机标识地址集合中删除该交换机的标识地址并将该交换机的标识地址加入局部拓扑标识地址集;
步骤四、判断VLAN网络中所有交换机的待连接端口数是否为零;当VLAN网络中所有交换机的连接端口数均为零时,网络拓扑发现结束,根据VLAN网络中的交换机端口连接关系绘制网络拓扑图。
2.如权利要求1所述的一种VLAN应用服务安全监管方法,其特征在于:采集MIB库数据后还包括识别应用服务的步骤;所述识别应用服务按以下步骤进行:
各服务对应的协议用正则表达式来表示;通过网关获取各应用服务对应的报文,对各报文的报体进行解析;获取的报文与正则表达式进行匹配,根据匹配结果来判断数据流所对应服务;
所述获取的报文与正则表达式进行匹配按以下步骤进行:
S1、计算各正则表达式分别转换成DFA的状态数;
S2、计算各正则表达式两两之间转换成DFA的状态数;
S3、将具有相性的正则表达式分为一个组;
S4、当所有正则表达式均已被分组后,应用识别结束,输出所有正则表达式的分组情况。
3.如权利要求1所述的一种VLAN应用服务安全监管方法,其特征是:所述采集MIB库数据的步骤为通过SNMP协议获取设备的MIB库数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210519234.8A CN103036712B (zh) | 2012-12-06 | 2012-12-06 | 一种基于网络拓扑结构的vlan 应用服务安全监管方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210519234.8A CN103036712B (zh) | 2012-12-06 | 2012-12-06 | 一种基于网络拓扑结构的vlan 应用服务安全监管方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103036712A true CN103036712A (zh) | 2013-04-10 |
CN103036712B CN103036712B (zh) | 2016-12-28 |
Family
ID=48023225
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210519234.8A Expired - Fee Related CN103036712B (zh) | 2012-12-06 | 2012-12-06 | 一种基于网络拓扑结构的vlan 应用服务安全监管方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103036712B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1756189A (zh) * | 2004-09-30 | 2006-04-05 | 北京航空航天大学 | 基于snmp的ip网络拓扑发现方法 |
CN102307129A (zh) * | 2011-09-09 | 2012-01-04 | 南京邮电大学 | 一种ip城域网网元拓扑实时发现方法 |
-
2012
- 2012-12-06 CN CN201210519234.8A patent/CN103036712B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1756189A (zh) * | 2004-09-30 | 2006-04-05 | 北京航空航天大学 | 基于snmp的ip网络拓扑发现方法 |
CN102307129A (zh) * | 2011-09-09 | 2012-01-04 | 南京邮电大学 | 一种ip城域网网元拓扑实时发现方法 |
Non-Patent Citations (2)
Title |
---|
晏弼成: "异构IP网络物理拓扑发现算法研究", <中国优秀硕士学位论文全文数据库(电子期刊) 信息科技辑> * |
杜江等: "一种用于深度包检测的正则表达式分组算法", 《现代计算机》 * |
Also Published As
Publication number | Publication date |
---|---|
CN103036712B (zh) | 2016-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6742327B2 (ja) | アラーム情報を処理する方法、関連デバイス、およびシステム | |
CN105847023B (zh) | 业务系统网络拓扑关系获取方法及装置 | |
US9742639B1 (en) | Intelligent network resource discovery and monitoring | |
TW201904234A (zh) | 用於虛擬網路鏈路檢測的方法及裝置 | |
CN106375384A (zh) | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 | |
CN102420765B (zh) | 一种确定交换机与终端之间的物理链路的方法以及装置 | |
CN110098948A (zh) | 使用设备配置文件的终端设备的自动登入 | |
CN112291075B (zh) | 网络故障定位方法、装置、计算机设备及存储介质 | |
CN110855493B (zh) | 用于混合环境的应用拓扑图绘制装置 | |
CN105207853A (zh) | 一种局域网监控管理方法 | |
CN109714206A (zh) | 电力监控系统网络拓扑图生成方法、总线式网络拓扑图 | |
CN104113448A (zh) | 一种局域网内设备自动发现及监控的方法 | |
CN103532795A (zh) | 一种检测web业务系统可用性的监控系统及方法 | |
CN105516292A (zh) | 一种智能变电站云平台的热备方法 | |
CN113364624B (zh) | 基于边缘计算的混合云流量采集方法和系统 | |
CN105790990A (zh) | 一种监管配用电通信业务的方法及其系统 | |
CN105119911A (zh) | 一种基于sdn流的安全认证方法及系统 | |
CN107094091A (zh) | 一种智能变电站站控层网络配置校验方法和系统 | |
CN109639488A (zh) | 一种多外网分流加速方法及系统 | |
CN113037542B (zh) | 一种基于软件定义网络的云网络拓扑构建方法 | |
CN104506339A (zh) | 基于profinet的工业以太网网络拓扑管理实现方法 | |
CN113542092A (zh) | 一种基于openstack的自动化引流方法 | |
CN104539463A (zh) | 一种网络设备配置文件联机属性交叉检查方法及系统 | |
JP7056207B2 (ja) | トポロジ決定装置、トポロジ決定方法、トポロジ決定プログラムおよび通信システム | |
CN103117880A (zh) | 一种基于Web技术的网络拓扑图生成方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161228 Termination date: 20171206 |