CN202435422U - 网络结构状态监测与边界守护系统 - Google Patents
网络结构状态监测与边界守护系统 Download PDFInfo
- Publication number
- CN202435422U CN202435422U CN2011204549842U CN201120454984U CN202435422U CN 202435422 U CN202435422 U CN 202435422U CN 2011204549842 U CN2011204549842 U CN 2011204549842U CN 201120454984 U CN201120454984 U CN 201120454984U CN 202435422 U CN202435422 U CN 202435422U
- Authority
- CN
- China
- Prior art keywords
- network
- monitoring
- server
- boundary
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本实用新型涉及一种网络结构状态监测与边界守护系统。该系统位于监控网络的中心,具包括结构监测服务器、结构存储服务器、结构视图服务器、移动监测终端和监测对象,其中的三台服务器和移动监测终端分别使用网络线缆连接在网络交换机上,采用TCP/IP协议进行相互之间的通讯,完成整个网络结构的实时动态结构扫描、存储、边界守护和视图生成功能。该系统并含有网络结构动态扫描模块、网络边界安全检验模块、网络结构更新存储模块和网络结构分层展现模块,其中,网络结构动态扫描模块和网络边界安全检验模块部署在结构监测服务器中,网络结构更新存储模块部署在结构存储服务器中,网络结构分层展现模块部署在结构视图服务器和移动监测终端中。该系统,通过对整个网络运行状态数据进行实时的采集与分析,将网络拓扑结构信息及其组成节点的工作状态信息存储在数据库中,对这些数据进行加工分析以后确定网络结构及其边界,将其通过列表、拓扑视图等方式展现在监测终端上,同时对违反边界接入规则的网络设备和终端进行报警。
Description
技术领域
本实用新型涉及网络技术,具体地说是一种网络结构状态的监测与边界守护系统。
背景技术
计算机网络的发展愈来愈呈现规模庞大、涉及范围广、设备种类多及用户数量大的趋势,因此网络的维护管理和安全防护成了网络发展的难题。由于现行计算机网络体系的扩张不具有收敛性,网络设备接入难以控制,网络边界的勘验与守护难以实现。特别是随着网络接入的信息终端出现的多样化,其接入过程十分容易,从而导致网络体系的安全受到严重威胁,尤其是对于业务内网或专网的管理,潜在威胁很大。此外,网络工程经验告诉我们,越是运行长久的信息网络,其中存有的非规范性连接可能愈多,环路拓扑与冗余路由均可能造成数据的歧义运转,直接影响网络的运转效能。
目前网络基本监测中,对于网络边界的控制几乎都集中于网络出入关口,即注重“网关”节点的边界防护。随着国家电子政务网络规模的不断扩大、业务应用的不断深化,网络中的业务数据愈来愈敏感且重要,与之同时,网络结构亦显示出愈来愈庞大且愈来愈复杂的趋势,加之接入网络设备的多样性和异构性,现有的网络基本监测手段已不能满足网络管理的需要,其存在的问题主要体现在以下几点:
1网络自身的运行状态不够详实全面
网络的运行状态信息复杂多样,包括流量吞吐、拓扑分布、设备及终端运行情况。所说的设备及终端的运行情况,又包含诸如内存占有率、CPU占有率及系统类型等较详实的信息。当前网络监测手段往往无法获取全面的网络状态信息,甚至最基本必要的网络拓扑结构信息都可能无法全面准确地获取。
2网络结构化的变化无从知哓
在比较庞大的网络规模下,如果有用户私自在网络中接入交换机或路由器等网络设备,或者用户利用安全隐患私自修改路出信息,又或者用户在网络的边界接入层设备擅自非法接入违规主机,…,诸如此类的情况都会影响到网络拓扑,引起网络的结构性变化,由此带来的巨大安全隐患,必定威胁到网络的稳定运行。而目前对这些情况的监测,几乎没有任何应对的监测手段。
3网络边界接入情况无法掌握
网络边界作为网络的接入域,其接入终端类型复杂多样,比如PC机、平板电脑、WIFI手机等;各终端都有各自不同的操作系统,比如Windows、Linux以及Mac OS等。此外,各终端的接入方式和行为也千差万别,有些终端可能会随意改变其接入接口,甚至会有用户通过自行架设的家用路由器或交换机进行多用户接入,这些情况都影响到网络的收敛性,对网络的安全稳定运行造成威胁。现阶段的网络监测管理手段,无法及时获取网络边界状态变更的信息,更无法对边界变更区域进行准确定位,这是现有网络管理体系中普遍存在的盲点和隐患。
发明内容
本实用新型的目的在于克服现有网络维护管理和安全防护体系存在的不足,提供一种安全的信息网络结构状态监测与边界守护系统,解决现有网络应用中无法全面监控网络结构的变化和无法详细了解网络边界接入状况的问题。
针对目前网络中比较常见的问题,本实用新型从下述几个方面进行实时监测:
(1)网络拓扑结构及其变化;
(2)终端设备的身份、接入情况及其运行状态;
(3)网络边界所在及其收敛情况;
(4)网络边界的异动检测;
(5)网络设备的运行状态;
(6)网络流量异动分析。
通过这些项目的监测,网络管理者能够实时掌握网络真实的运行情况,从而统筹分配网络资源,及时发现违规行为和安全隐患并予以消除。
本实用新型是这样实现的:
该系统位于监控网络的中心位置,系统设有结构监测服务器、结构存储服务器、结构视图服务器、移动监测终端和监测对象,其中的三台服务器和移动监测终端分别使用网络线缆连接于网络交换机上,采用TCP/IP协议进行相互之间的通讯,完成整个网络结构的实时动态结构扫描、存储、边界守护和视图生成功能。
所述结构监测服务器,负责网络内所有设备和终端的实时监测和边界守护,并将监测的结果传输至结构存储服务器。结构存储服务器负责所有数据信息的存储、更新,并响应结构视图服务器对数据信息的查询与修改。结构视图服务器可根据要求生成整个网络的实时结构视图,并将结果返回至移动监测终端的查询界面上。移动监测终端是管理人员与三台服务器进行信息交互的管理界面,用于网络管理人员随时查看网络结构变化和网络运行状况,该移动监测终端可固定部署于中心位置,也可移动部署于网络内部的任何位置,只需有TCP/IP协议与服务器保持畅通即可。
隶属于整个监控网络并支持TCP/IP协议的路由器、交换机、服务器、工作主机、无线接入点等所有的网络设备和终端,都属于网络结构监测的对象,需要定期接受结构监测服务器的扫描并提供自身运行的状态和数据,当有异常情况发生时,这些监测对象能够主动向上汇报,以达到实时掌握整个网络运行状态的目的。
本系统含有“网络结构动态扫描模块”、“网络边界安全检验模块”、“网络结构更新存储模块”和“网络结构分层展现模块”,其中“网络结构动态扫描模块”和“网络边界安全检验模块”部署在“结构监测服务器”中,“网络结构更新存储模块”部署在“结构存储服务器”中,“网络结构分层展现模块”部署在“结构视图服务器”和“移动监测终端”中。四个模块间的功能如下;
(1)网络结构动态扫描模块
网络结构动态扫描模块,对整个网络或某个设备的数据进行采集。系统根据给定的扫描起点,启动多个扫描线程遍历整个网络,通过SNMP协议扫描获取网络设备、网络终端及其相互之间的连接关系的基本信息(包括IP-MAC映射列表,路由列表,端口列表以及VLan信息),逐步获取实时的网络结构信息;在遍历扫描的过程中,尽可能准确地辨识目标的类型和身份,适时启动网络层扫描和链路层扫描,对设备的类型或身份进行识别以判断网络边界所在,当扫描完成后,整个网络的结构信息便被获取,实时的网络边界得以确定,网络自身的运行状态得以全面掌控。本模块中身份识别的手段包括SNMP和NetBIOS/OS指纹。
(2)网络边界安全检验模块
在“网络边界安全检验模块”中,需要管理员事先为网络设备和终端指定授权的接入控制域(接入规则),这些接入控制域可以局限于某个设备,某个VLan,或者某个端口,通过“网络结构动态扫描模块”得到确定的网络边界后,根据网络结构的安全设置,然后启动守护进程对网络边界上的接入设备进行监视,检查网络边界的安全状态,确认目标节点的地址、端口和行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况及时定位并报警通知管理员,同时记录下详细的违规信息,更新相关终端运行状态。该模块主要监视设备的MAC/IP和接入端口信息。
(3)网络结构更新存储模块
对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化则闭合旧的存储记录,当前信息作为新记录存储,以保障对网络结构变化的实时跟踪。
(4)网络结构分层展现模块
网络扫描获取的信息和数据是网络结构展现的基础。按照网络节点之间的逻辑关系,将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现。各视图展现层均支持平移和缩放,并以各种图标和颜色显示不同的网络类型和实时状态。视图上的所有设备和终端都可分页显示详细的设备信息和网络信息,对于视图中的网络设备和子网在选中后点击可进入下层视图,详细展现该设备所有连接的子节点信息。为方便网络节点的快速定位,同时以树形视图展示所有的网络节点及其关系,可在树形视图中随时选中任何节点,展现其拓扑连接视图。
本实用新型,通过对整个网络运行状态数据进行实时的采集与分析,将网络拓扑结构信息及其组成节点的工作状态信息存储在数据库中,对这些数据进行加工分析以后确定网络结构及其边界,将其通过列表、拓扑视图等方式展现在监测终端上,同时对违反边界接入规则的网络设备和终端进行报警。
附图说明
图1、本实用新型之系统的整体结构示意图
图中,1是结构监测服务器,2是结构存储服务器,3是结构视图服务器,4是移动监测终端,5是监测对象。
具体实施方式
下面结合附图叙述一个实施例,对本实用新型做进一步说明
图1显示了本实用新型实施例之整体结构示意图
该系统位于监控网络的中心位置,系统设有结构监测服务器1、结构存储服务器2和结构视图服务器3、移动监测终端4和监测对象5,其中的三个服务器用于整个网络结构的实时动态结构扫描、更新存储、边界守护和视图生成功能;系统设有固定和移动监测终端4,用于网络管理人员随时查看网络结构变化和网络运行情况。位于整个网络内部,支持TCP/IP协议的路由器、交换机、服务器、工作主机、无线接入点等所有的网络设备和终端都属于网络结构的监测对象5,需要定期接受结构监测服务器1的扫描并提供自身运行的状态和数据,当有异常情况发生时,这些监测对象5能够主动向上汇报,以达到实时掌握整个网络运行状态的目的。
本系统含有“网络结构动态扫描模块”、“网络边界安全检验模块”、“网络结构更新存储模块”和“网络结构分层展现模块”,其中“网络结构动态扫描模块”和“网络边界安全检验模块”部署在结构监测服务器1中,“网络结构更新存储模块”部署在结构存储服务器2中,“网络结构分层展现模块”部署在结构视图服务器3和移动监测终端4中。四个模块的功能如下:
A网络结构动态扫描模块,对整个网络或某个设备的数据进行采集。系统根据给定的扫描起点,启动多个扫描线程遍历整个网络,通过SNMP协议扫描获取网络设备、网络终端及其相互之间的连接关系的基本信息(包括IP-MAC映射列表,路由列表,端口列表,VLAN信息),逐步获取实时的网络结构;在遍历扫描的过程中,尽可能准确地辨识目标的类型和身份,适时启动网络层扫描和链路层扫描,对设备的类型和身份进行识别以判断网络边界所在,当扫描完成后,整个网络的结构信息便被获取,实时的网络边界得以确定,网络自身的运行状态得以全面掌控。本模块中身份识别的手段包括SNMP和NetBIOS/OS指纹,高效的扫描算法是本模块实现的关键。
B网络边界安全检验模块模块
在“网络边界安全检验模块”中,需要管理员事先为网络设备和终端指定授权的接入控制域(接入规则),这些接入控制域可以局限于某个设备,某个VLan,或者某个端口,通过“网络结构动态扫描模块”得到确定的网络边界后,根据网络结构的安全设置,然后启动守护进程对网络边界上的接入设备进行监视,检查网络边界的安全状态,确认目标节点的地址、端口和行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况及时定位并报警通知管理员,同时记录下详细的违规信息,更新相关终端运行状态。该模块主要监视设备的MAC/IP和接入端口信息。该模块主要监视设备的MAC/IP表信息,每隔5分钟轮询一次。
C网络结构更新存储
对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化则闭合旧的存储记录,当前信息作为新记录存储,以保障对网络结构变化的实时跟踪。
D网络结构分层展现
网络扫描获取的信息和数据是网络结构展现的基础。按照网络节点之间的逻辑关系,将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现。各视图展现层均支持平移和缩放,并以各种图标和颜色显示不同的网络类型和实时状态。视图上的所有设备和终端都可分页显示详细的设备信息和网络信息,对于视图中的网络设备和子网在选中后点击可进入下层视图,详细展现该设备所有连接的子节点信息。为方便网络节点的快速定位,同时以树形视图展示所有的网络节点及其关系,可在树形视图中随时选中任何节点,展现其拓扑连接视图。
Claims (2)
1.网络结构状态监测与边界守护系统,其特征在于:该系统位于监控网络的中心位置,此系统包括结构监测服务器(1)、结构存储服务器(2)、结构视图服务器(3)、移动监测终端(4)和监测对象(5),其中的三台服务器和移动监测终端(4)分别使用网络线缆连接在网络交换机上,采用TCP/IP协议进行相互之间的通讯,完成整个网络结构的实时动态结构扫描、更新存储、边界守护和视图生成功能;
所述结构监测服务器(1),负责网络内所有设备和终端的实时监测和边界守护,并将监测的结果传输至结构存储服务器(2);结构存储服务器(2)负责所有数据信息的存储、更新,并响应结构视图服务器(3)的对数据信息的查询与修改;结构视图服务器(3)可根据要求生成整个网络的实时结构视图,并将结果返回至移动监测终端(4)的查询界面上;
所述移动监测终端(4),是管理人员与三台服务器进行信息交互的管理界面,用于网络管理人员随时查看网络结构变化和网络运行状况,移动监测终端(4)可固定部署于中心位置,也可移动部署于网络内部的任何位置。
2.根据权利要求1所述网络结构状态监测与边界守护系统,其特征在于:监测对象(5)系指支持TCP/IP协议的路由器、交换机、服务器、工作主机、无线接入点网络设备和终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011204549842U CN202435422U (zh) | 2011-11-16 | 2011-11-16 | 网络结构状态监测与边界守护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011204549842U CN202435422U (zh) | 2011-11-16 | 2011-11-16 | 网络结构状态监测与边界守护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202435422U true CN202435422U (zh) | 2012-09-12 |
Family
ID=46784829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011204549842U Expired - Fee Related CN202435422U (zh) | 2011-11-16 | 2011-11-16 | 网络结构状态监测与边界守护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN202435422U (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109492747A (zh) * | 2017-09-13 | 2019-03-19 | 杭州海康威视数字技术股份有限公司 | 一种神经网络的网络结构生成方法及装置 |
| CN113242208A (zh) * | 2021-04-08 | 2021-08-10 | 电子科技大学 | 基于网络流的网络态势分析系统 |
| CN114780357A (zh) * | 2022-06-27 | 2022-07-22 | 西安羚控电子科技有限公司 | 一种基于b_s架构的仿真试验系统监测方法及监测系统 |
-
2011
- 2011-11-16 CN CN2011204549842U patent/CN202435422U/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109492747A (zh) * | 2017-09-13 | 2019-03-19 | 杭州海康威视数字技术股份有限公司 | 一种神经网络的网络结构生成方法及装置 |
| CN113242208A (zh) * | 2021-04-08 | 2021-08-10 | 电子科技大学 | 基于网络流的网络态势分析系统 |
| CN113242208B (zh) * | 2021-04-08 | 2022-07-05 | 电子科技大学 | 基于网络流的网络态势分析系统 |
| CN114780357A (zh) * | 2022-06-27 | 2022-07-22 | 西安羚控电子科技有限公司 | 一种基于b_s架构的仿真试验系统监测方法及监测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105119750B (zh) | 一种基于大数据的分布式信息安全运维管理平台系统 | |
| CN103339611B (zh) | 具有mss功能的远程访问装置 | |
| CN105282772A (zh) | 无线网数通设备监控系统及设备监控方法 | |
| US9160758B2 (en) | Method and system for protective distribution system (PDS) and infrastructure protection and management | |
| JP2002330177A (ja) | セキュリティ管理サーバおよびこれと連携して動作するホストサーバ | |
| CN111131338A (zh) | 感知态势处物联网安全检测方法、系统及存储介质 | |
| CN102413143A (zh) | 基于云计算的安全审计系统及方法 | |
| CN103593804A (zh) | 一种电力信息通信调度监控平台 | |
| CN110175102A (zh) | 一种信息管理系统 | |
| CN103001806A (zh) | 用于it系统的分布式运维监控系统 | |
| CN110413485A (zh) | 一种基于Zabbix开源平台的一站式网络监控管理系统与方法 | |
| CN104702603A (zh) | 面向移动互联网的多视角安全审计系统 | |
| JP2016511966A (ja) | フィールド地域ネットワークを視覚化し、解析するための方法及びシステム | |
| CN107579855A (zh) | 一种基于图数据库的分层多域可视安全运维方法 | |
| CN104426929A (zh) | 监控管理系统 | |
| CN104637265A (zh) | 调度自动化多级一体化智能值班报警系统 | |
| CN202435422U (zh) | 网络结构状态监测与边界守护系统 | |
| CN104811506A (zh) | 基于无线传感器网络的油脂储藏远程监管系统及方法 | |
| CN102170372B (zh) | 网络结构监测与边界勘验方法 | |
| CN111210547A (zh) | 通过nb-iot技术远程控制的光交箱智能锁系统及方法 | |
| CN206147331U (zh) | It运维管理系统 | |
| CN112688929B (zh) | 一种基于互联网威胁情报的共享系统 | |
| CN115643096A (zh) | 一种可进行态势感知安全威胁预警的联动分析系统及方法 | |
| Li et al. | The research on network security visualization key technology | |
| CN105227360B (zh) | 一种管控物理图层与管控虚拟图层的显示方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120912 Termination date: 20131116 |