专利名称:一种vlan 应用服务安全监管方法
技术领域:
本发明属于网络服务安全监管领域,特别是涉及一种VLAN (Virtual LocalAreaNetwork,虚拟局域网)应用服务安全监管方法。
背景技术:
应用服务的安全监管对于企业内部资源管理,办公自动化,调度管理等有着重要意义。信息内网应用服务安全监管系统包括应用服务发现和服务安全监管审计两个部分,其中应用服务发现又涉及网络拓扑发现技术,主要分为网络层拓扑发现和链路层拓扑发现,用来反映网络中路由器,交换机和主机之间的互联关系,其为获取监控设备列表、定位异常服务、监控服务状态等提供基础支撑。服务监管作为系统的主要部分,主要是对应用层协议的识别。通过系统可以对整个网络的主机等设备进行监管,以保证网络中的授权服务能够正常运行,并及时发现可疑行为。目前能够实现网络监控的软件已经不少,但是鉴于网络和服务的复杂性,如何更快更好地发现和定位网络服务和异常是一个很值得研究的问题。现有的产品主要是在IPv4网络中发挥效用,能够对多种网络服务进行识别和监控,其缺点是对VLAN的支持不够好,网络拓扑的描绘不够精确,也就不能正确反映网络状况,定位网络服务。传统的协议识别多为采用端口进行识别,这种识别能力随着网络的发展,其缺陷也越来越明显,许多协议为了逃避监管,不使用固定的端口而采用动态端口进行通信,使用传统的识别方法效率十分低下,在服务的识别方面,算法的性能决定了服务审计效率的高低,而现有系统存在着普遍效率不高的瓶颈。
发明内容
有鉴于现有技术 的上述缺陷,本发明所要解决的技术问题是提供一种能够支持在虚拟局域网中进行监管并且更加精确的应用服务安全监管方法。为实现上述目的,本发明提供了一种VLAN应用服务安全监管方法,包括采集MIB库数据后计算VLAN网络拓扑结构的步骤;其特征在于所述计算VLAN网络拓扑结构按以下步骤进行步骤一、读取网络中交换机的端口转发表并计算该交换机的端口转发表与子网标识交换机地址集合的交集;步骤二、判断VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口是否只有一个;当VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口不只一个时,读取该交换机其他端口转发表并计算其与子网中标识交换机地址集合的交集,当有匹配端口且匹配端口数为I时可以确定这两个端口是直接相连的;步骤三、将步骤一所述交换机的待连接端口数减I,从子网交换机标识地址集合中删除该交换机的标识地址并将该交换机的标识地址加入局部拓扑标识地址集;步骤四、判断VLAN网络中所有交换机的待连接端口数是否为零^VLAN网络中所有交换机的待连接端口数均为零时,网络拓扑发现结束,根据VLAN网络中的交换机端口连接关系绘制网络拓扑图;当VLAN网络中有交换机的待连接端口数不为零时,执行步骤一,直到VLAN网络中所有交换机的待连接端口数均为零。为了对VLAN网络中的应用服务进行识别,进一步的,采集MIB库数据后还包括识别应用服务的步骤;所述识别应用服务按以下步骤进行各服务对应的协议用正则表达式来表示;通过网关获取各应用服务对应的报文,对各报文的报体进行解析;获取的报文与正则表达式进行匹配,根据匹配结果来判断数据流所对应服务;所述获取的报文与正则表达式进行匹配按以下步骤进行S1、计算各正则表达式分别转换成DFA (Deterministic Finite Automaton,确定的有穷自动机)的状态数;S2、计算各正则表达式两两之间转换成DFA的状态数;S3、将具有相性的正则表达式分为一个组; S4、当所有正则表达式均已被分组后,应用识别结束,输出所有正则表达式的分组情况。较佳的,所述采集MIB库数据的步骤为通过SNMP协议获取设备的MIB库数据。本发明的有益效果是本发明从提高网络拓扑发现的精确性和提高服务识别的高效性两个方面使对VLAN网络的监管性能得到了提升。通过创新的拓扑发现技术和服务识别算法,系统能够准确计算出所监管网络的拓扑结构信息,高效地识别VLAN网络中的应用服务。
图1是本发明的流程示意图。 图2是计算VLAN网络拓扑结构的流程示意图。
具体实施例方式下面结合附图和实施例对本发明作进一步说明如图1所示,一种VLAN应用服务安全监管方法,服务器接收到上位机的指令后,通过SNMP协议获取设备的MIB库数据并保存到数据库,然后计算VLAN网络拓扑结构并对VLAN网络中的应用服务进行识别,然后将VLAN网络的拓扑图和应用识别结果发送给上位机。本实施例中,获取的MIB库数据包括IP地址、设备类型和端口地址表等,对于不支持SNMP的非智能设备使用ping或telnet命令来发现网络层设备。如图2所示所述计算VLAN网络拓扑结构按以下步骤进行步骤一、从网络中待连接端口数为I的交换机开始,读取任一交换机的端口转发表并计算该交换机的端口转发表与子网标识交换机地址集合的交集。步骤二、判断与所述交换机的端口转发表匹配的交换机端口是否只有一个;当VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口不只一个时,读取该交换机其他端口转发表并计算其与子网中标识交换机地址集合的交集,直到该交换机所有端口在子网中标识交换机地址中均只有一个交换机端口与之匹配,当有匹配端口且匹配端口数为I时可以确定这两个端口是直接相连的。步骤三、将步骤一所述交换机的待连接端口数减I,从子网交换机标识地址集合中删除该交换机的标识地址并将该交换机的标识地址加入局部拓扑标识地址集。步骤四、判断VLAN网络中所有交换机的待连接端口数是否为零^VLAN网络中所有交换机的待连接端口数均为零时,网络拓扑发现结束,根据VLAN网络中的交换机端口连接关系绘制网络拓扑图;当VLAN网络中有交换机的待连接端口数不为零时,执行步骤一判断待连接端口数不为零的交换机,直到VLAN网络中所有交换机的待连接端口数均为零。所述识别应用服务按以下步骤进行各应用服务对应的协议用正则表达式来表示;通过网关获取各应用服务对应的报文,对各报文的报体进行解析,将各报文的报体用正则表达式来表示;获取的报文与各服务对应的协议进行匹配,根据匹配结果来判断数据流所对应服务。设定表不应用服务对应协议的正则表达式为第一正则表达式,设定表不获取报文的正则表达式为第二正则表达式,所述获取的报文与各服务对应的协议进行匹配按以下步骤进行S1、计算各第一正则表达式分别转换成DFA的状态数。S2、计算不同应用协议的两条第一正则表达式合并成一条后转换成DFA的状态数。S3、在所有未分组 的正则表达式中,选取一个与其他正则表达式具有相性的正则表达式并加入一个新组,同时将该正则表达式标记为已处理。S4、在所有未处理的正则表达式中,选取一个与该组中所有正则表达式具有相性的正则表达式加入该组,同时将该正则表达式标记为已处理。S5、判断是否还有未处理的正则表达式与已标记为已处理的正则表达式有相性;当还有未处理的正则表达式与已标记为已处理的正则表达式有相性时,执行步骤S4 ;否则执行下一个步骤。S6、判断是否还有未分组的正则表达式;当还有未分组的正则表达式时,执行步骤S3 ;当没有未分组的正则表达式时,应用识别结束,输出此时的分组情况。以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
权利要求
1.一种VLAN应用服务安全监管方法,包括采集MIB库数据后计算VLAN网络拓扑结构的步骤;其特征在于所述计算VLAN网络拓扑结构按以下步骤进行 步骤一、读取网络中交换机的端口转发表并计算该交换机的端口转发表与子网标识交换机地址集合的交集; 步骤二、判断VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口是否只有一个;当VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口不只一个时,读取该交换机其他端口转发表并计算其与子网中标识交换机地址集合的交集; 步骤三、将步骤一所述交换机的待连接端口数减1,从子网交换机标识地址集合中删除该交换机的标识地址并将该交换机的标识地址加入局部拓扑标识地址集; 步骤四、判断VLAN网络中所有交换机的待连接端口数是否为零;当VLAN网络中所有交换机的连接端口数均为零时,网络拓扑发现结束,根据VLAN网络中的交换机端口连接关系绘制网络拓扑图。
2.如权利要求1所述的一种VLAN应用服务安全监管方法,其特征在于采集MIB库数据后还包括识别应用服务的步骤;所述识别应用服务按以下步骤进行 各服务对应的协议用正则表达式来表示;通过网关获取各应用服务对应的报文,对各报文的报体进行解析;获取的报文与正则表达式进行匹配,根据匹配结果来判断数据流所对应服务; 所述获取的报文与正则表达式进行匹配按以下步骤进行 51、计算各正则表达式分别转换成DFA的状态数; 52、计算各正则表达式两两之间转换成DFA的状态数; 53、将具有相性的正则表达式分为一个组; 54、当所有正则表达式均已被分组后,应用识别结束,输出所有正则表达式的分组情况。
3.如权利要求1所述的一种VLAN应用服务安全监管方法,其特征是所述采集MIB库数据的步骤为通过SNMP协议获取设备的MIB库数据。
全文摘要
本发明公开了一种VLAN应用服务安全监管方法,属于网络服务安全监管领域,本发明从提高网络拓扑发现的精确性和提高服务识别的高效性两个方面使对VLAN网络的监管性能得到了提升。通过创新的拓扑发现技术和服务识别算法,系统能够准确计算出所监管网络的拓扑结构信息,高效地识别VLAN网络中的应用服务。
文档编号H04L12/46GK103036712SQ20121051923
公开日2013年4月10日 申请日期2012年12月6日 优先权日2012年12月6日
发明者杨云, 徐焜耀, 白云庆, 聂静, 李煜, 王希 申请人:重庆市电力公司