专利名称:网络结构状态监测与边界守护系统的制作方法
技术领域:
本实用新型涉及网络技术,具体地说是ー种网络结构状态的监测与边界守护系 统。
背景技术:
计算机网络的发展愈来愈呈现规模庞大、涉及范围广、设备种类多及用户数量大 的趋势,因此网络的维护管理和安全防护成了网络发展的难题。由于现行计算机网络体系 的扩张不具有收敛性,网络设备接入难以控制,网络边界的勘验与守护难以实现。特别是随 着网络接入的信息終端出现的多祥化,其接入过程十分容易,从而导致网络体系的安全受 到严重威胁,尤其是对于业务内网或专网的管理,潜在威胁很大。此外,网络工程经验告诉 我们,越是运行长久的信息网络,其中存有的非规范性连接可能愈多,环路拓扑与冗余路由 均可能造成数据的歧义运转,直接影响网络的运转效能。目前网络基本监测中,对于网络边界的控制几乎都集中于网络出入关ロ,即注重 “网关”节点的边界防护。随着国家电子政务网络规模的不断扩大、业务应用的不断深化,网 络中的业务数据愈来愈敏感且重要,与之同时,网络结构亦显示出愈来愈庞大且愈来愈复 杂的趋势,加之接入网络设备的多祥性和异构性,现有的网络基本监测手段已不能满足网 络管理的需要,其存在的问题主要体现在以下几点I网络自身的运行状态不够详实全面网络的运行状态信息复杂多祥,包括流量呑吐、拓扑分布、设备及终端运行情況。 所说的设备及终端的运行情况,又包含诸如内存占有率、CPU占有率及系统类型等较详实的 信息。当前网络监测手段往往无法获取全面的网络状态信息,甚至最基本必要的网络拓扑 结构信息都可能无法全面准确地获取。2网络结构化的变化无从知哓在比较庞大的网络规模下,如果有用户私自在网络中接入交換机或路由器等网络 设备,或者用户利用安全隐患私自修改路出信息,又或者用户在网络的边界接入层设备擅 自非法接入违规主机,…,诸如此类的情况都会影响到网络拓扑,引起网络的结构性变化, 由此带来的巨大安全隐患,必定威胁到网络的稳定运行。而目前对这些情况的监测,几乎没 有任何应对的监测手段。3网络边界接入情况无法掌握网络边界作为网络的接入域,其接入终端类型复杂多祥,比如PC机、平板电脑、 WIFI手机等;各终端都有各自不同的操作系统,比如Windows、Linux以及Mac OS等。此 外,各終端的接入方式和行为也千差万別,有些终端可能会随意改变其接入接ロ,甚至会有 用户通过自行架设的家用路由器或交换机进行多用户接入,这些情况都影响到网络的收敛 性,对网络的安全稳定运行造成威胁。现阶段的网络监测管理手段,无法及时获取网络边界 状态变更的信息,更无法对边界变更区域进行准确定位,这是现有网络管理体系中普遍存 在的盲点和隐患。发明内容本实用新型的目的在于克服现有网络维护管理和安全防护体系存在的不足,提供ー种安全的信息网络结构状态监测与边界守护系统,解决现有网络应用中无法全面监控网络结构的变化和无法详细了解网络边界接入状况的问题。针对目前网络中比较常见的问题,本实用新型从下述几个方面进行实时监测(I)网络拓扑结构及其变化;(2)終端设备的身份、接入情况及其运行状态;(3)网络边界所在及其收敛情况;(4)网络边界的异动检测;(5)网络设备的运行状态;(6)网络流量异动分析。通过这些项目的监测,网络管理者能够实时掌握网络真实的运行情況,从而统筹分配网络资源,及时发现违规行为和安全隐患并予以消除。本实用新型是这样实现的该系统位于监控网络的中心位置,系统设有结构监测服务器、结构存储服务器、结构视图服务器、移动监测終端和监测对象,其中的三台服务器和移动监测終端分别使用网络线缆连接于网络交換机上,采用TCP/IP协议进行相互之间的通讯,完成整个网络结构的实时动态结构扫描、存储、边界守护和视图生成功能。所述结构监测服务器,负责网络内所有设备和终端的实时监测和边界守护,并将监测的结果传输至结构存储服务器。结构存储服务器负责所有数据信息的存储、更新,并响应结构视图服务器对数据信息的查询与修改。结构视图服务器可根据要求生成整个网络的实时结构视图,并将结果返回至移动监测终端的查询界面上。移动监测终端是管理人员与三台服务器进行信息交互的管理界面,用于网络管理人员随时查看网络结构变化和网络运行状况,该移动监测終端可固定部署于中心位置,也可移动部署于网络内部的任何位置,只需有TCP/IP协议与服务器保持畅通即可。隶属于整个监控网络并支持TCP/IP协议的路由器、交換机、服务器、工作主机、无线接入点等所有的网络设备和终端,都属于网络结构监测的对象,需要定期接受结构监测服务器的扫描并提供自身运行的状态和数据,当有异常情况发生时,这些监测对象能够主动向上汇报,以达到实时掌握整个网络运行状态的目的。本系统含有“网络结构动态扫描模块”、“网络边界安全检验模块”、“网络结构更新存储模块”和“网络结构分层展现模块”,其中“网络结构动态扫描模块”和“网络边界安全检验模块”部署在“结构监测服务器”中,“网络结构更新存储模块”部署在“结构存储服务器”中,“网络结构分层展现模块”部署在“结构视图服务器”和“移动监测終端”中。四个模块间的功能如下;(I)网络结构动态扫描模块网络结构动态扫描模块,对整个网络或某个设备的数据进行采集。系统根据给定的扫描起点,启动多个扫描线程遍历整个网络,通过SNMP协议扫描获取网络设备、网络终端及其相互之间的连接关系的基本信息(包括IP-MAC映射列表,路由列表,端ロ列表以及VLan信息),逐步获取实时的网络结构信息;在遍历扫描的过程中,尽可能准确地辨识目标 的类型和身份,适时启动网络层扫描和链路层扫描,对设备的类型或身份进行识别以判断 网络边界所在,当扫描完成后,整个网络的结构信息便被获取,实时的网络边界得以确定, 网络自身的运行状态得以全面掌控。本模块中身份识别的手段包括SNMP和NetBIOS/OS指 纹。(2)网络边界安全检验模块在“网络边界安全检验模块”中,需要管理员事先为网络设备和终端指定授权的接 入控制域(接入规则),这些接入控制域可以局限于某个设备,某个VLan,或者某个端口,通 过“网络结构动态扫描模块”得到确定的网络边界后,根据网络结构的安全设置,然后启动 守护进程对网络边界上的接入设备进行监视,检查网络边界的安全状态,确认目标节点的 地址、端口和行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况 及时定位并报警通知管理员,同时记录下详细的违规信息,更新相关终端运行状态。该模块 主要监视设备的MAC/IP和接入端口信息。(3)网络结构更新存储模块对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关 系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化 则闭合旧的存储记录,当前信息作为新记录存储,以保障对网络结构变化的实时跟踪。(4)网络结构分层展现模块网络扫描获取的信息和数据是网络结构展现的基础。按照网络节点之间的逻辑关 系,将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为 第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现。各视图展现层均支 持平移和缩放,并以各种图标和颜色显示不同的网络类型和实时状态。视图上的所有设备 和终端都可分页显示详细的设备信息和网络信息,对于视图中的网络设备和子网在选中后 点击可进入下层视图,详细展现该设备所有连接的子节点信息。为方便网络节点的快速定 位,同时以树形视图展示所有的网络节点及其关系,可在树形视图中随时选中任何节点,展 现其拓扑连接视图。本实用新型,通过对整个网络运行状态数据进行实时的采集与分析,将网络拓扑 结构信息及其组成节点的工作状态信息存储在数据库中,对这些数据进行加工分析以后确 定网络结构及其边界,将其通过列表、拓扑视图等方式展现在监测终端上,同时对违反边界 接入规则的网络设备和终端进行报警。
图1、本实用新型之系统的整体结构示意图图中,1是结构监测服务器,2是结构存储服务器,3是结构视图服务器,4是移动监 测终端,5是监测对象。
具体实施方式
以下结合附图叙述一个实施例,对本实用新型做进一步说明图1显示了本实用新型实施例之整体结构示意图[0037]该系统位于监控网络的中心位置,系统设有结构监测服务器1、结构存储服务器 2和结构视图服务器3、移动监测终端4和监测对象5,其中的三个服务器用于整个网络结 构的实时动态结构扫描、更新存储、边界守护和视图生成功能;系统设有固定和移动监测终 端4,用于网络管理人员随时查看网络结构变化和网络运行情况。位于整个网络内部,支持 TCP/IP协议的路由器、交换机、服务器、工作主机、无线接入点等所有的网络设备和终端都 属于网络结构的监测对象5,需要定期接受结构监测服务器1的扫描并提供自身运行的状 态和数据,当有异常情况发生时,这些监测对象5能够主动向上汇报,以达到实时掌握整个 网络运行状态的目的。本系统含有“网络结构动态扫描模块”、“网络边界安全检验模块”、“网络结构更新 存储模块”和“网络结构分层展现模块”,其中“网络结构动态扫描模块”和“网络边界安全 检验模块”部署在结构监测服务器1中,“网络结构更新存储模块”部署在结构存储服务器 2中,“网络结构分层展现模块”部署在结构视图服务器3和移动监测终端4中。四个模块 的功能如下A网络结构动态扫描模块,对整个网络或某个设备的数据进行采集。系统根据给定 的扫描起点,启动多个扫描线程遍历整个网络,通过SNMP协议扫描获取网络设备、网络终 端及其相互之间的连接关系的基本信息(包括IP-MAC映射列表,路由列表,端口列表,VLAN 信息),逐步获取实时的网络结构;在遍历扫描的过程中,尽可能准确地辨识目标的类型和 身份,适时启动网络层扫描和链路层扫描,对设备的类型和身份进行识别以判断网络边界 所在,当扫描完成后,整个网络的结构信息便被获取,实时的网络边界得以确定,网络自身 的运行状态得以全面掌控。本模块中身份识别的手段包括SNMP和NetBIOS/OS指纹,高效 的扫描算法是本模块实现的关键。B网络边界安全检验模块模块在“网络边界安全检验模块”中,需要管理员事先为网络设备和终端指定授权的接 入控制域(接入规则),这些接入控制域可以局限于某个设备,某个VLan,或者某个端口,通 过“网络结构动态扫描模块”得到确定的网络边界后,根据网络结构的安全设置,然后启动 守护进程对网络边界上的接入设备进行监视,检查网络边界的安全状态,确认目标节点的 地址、端口和行为是否合法,对于私接网络设备、非法扩展边界和违规接入终端等异常情况 及时定位并报警通知管理员,同时记录下详细的违规信息,更新相关终端运行状态。该模块 主要监视设备的MAC/IP和接入端口信息。该模块主要监视设备的MAC/IP表信息,每隔5 分钟轮询一次。C网络结构更新存储对于扫描获得的网络结构信息,区分目标节点的网络类型,梳理节点间的父子关 系,更新存入后台支持数据库;对于数据库中已经存在的节点,若其主要识别特征发生变化 则闭合旧的存储记录,当前信息作为新记录存储,以保障对网络结构变化的实时跟踪。D网络结构分层展现网络扫描获取的信息和数据是网络结构展现的基础。按照网络节点之间的逻辑关 系,将核心网络设备与子网的关系作为第一层次的视图展现,将子网内部的连接关系作为 第二层次的视图展现,将设备的链路层连接作为第三层次的视图展现。各视图展现层均支 持平移和缩放,并以各种图标和颜色显示不同的网络类型和实时状态。视图上的所有设备和终端都可分页显示详细的设备信息和网络信息,对于视图中的网络设备和子网在选中后 点击可进入下层视图,详细展现该设备所有连接的子节点信息。为方便网络节点的快速定 位,同时以树形视图展示所有的网络节点及其关系,可在树形视图中随时选中任何节点,展 现其拓扑连接视图。
权利要求1.网络结构状态监测与边界守护系统,其特征在于该系统位于监控网络的中心位置,此系统包括结构监测服务器(I)、结构存储服务器(2)、结构视图服务器(3)、移动监测終端⑷和监测对象(5),其中的三台服务器和移动监测終端⑷分别使用网络线缆连接在网络交換机上,采用TCP/IP协议进行相互之间的通讯,完成整个网络结构的实时动态结构扫描、更新存储、边界守护和视图生成功能; 所述结构监测服务器(I),负责网络内所有设备和终端的实时监测和边界守护,并将监测的结果传输至结构存储服务器(2);结构存储服务器(2)负责所有数据信息的存储、更新,并响应结构视图服务器(3)的对数据信息的查询与修改;结构视图服务器(3)可根据要求生成整个网络的实时结构视图,并将结果返回至移动监测終端(4)的查询界面上; 所述移动监测终端(4),是管理人员与三台服务器进行信息交互的管理界面,用于网络管理人员随时查看网络结构变化和网络运行状况,移动监测終端(4)可固定部署于中心位置,也可移动部署于网络内部的任何位置。
2.根据权利要求I所述网络结构状态监测与边界守护系统,其特征在于监测对象(5)系指支持TCP/IP协议的路由器、交換机、服务器、工作主机、无线接入点网络设备和终端。·
专利摘要本实用新型涉及一种网络结构状态监测与边界守护系统。该系统位于监控网络的中心,具包括结构监测服务器、结构存储服务器、结构视图服务器、移动监测终端和监测对象,其中的三台服务器和移动监测终端分别使用网络线缆连接在网络交换机上,采用TCP/IP协议进行相互之间的通讯,完成整个网络结构的实时动态结构扫描、存储、边界守护和视图生成功能。该系统并含有网络结构动态扫描模块、网络边界安全检验模块、网络结构更新存储模块和网络结构分层展现模块,其中,网络结构动态扫描模块和网络边界安全检验模块部署在结构监测服务器中,网络结构更新存储模块部署在结构存储服务器中,网络结构分层展现模块部署在结构视图服务器和移动监测终端中。该系统,通过对整个网络运行状态数据进行实时的采集与分析,将网络拓扑结构信息及其组成节点的工作状态信息存储在数据库中,对这些数据进行加工分析以后确定网络结构及其边界,将其通过列表、拓扑视图等方式展现在监测终端上,同时对违反边界接入规则的网络设备和终端进行报警。
文档编号H04L12/26GK202435422SQ20112045498
公开日2012年9月12日 申请日期2011年11月16日 优先权日2011年11月16日
发明者孙大跃, 屈立成, 曹伟, 李鹏, 段玲, 王俊, 王永玲 申请人:西安天键信息技术工程有限公司, 长安大学