基于地址解析协议的电力系统的网络拓扑获取方法和系统与流程

本发明涉及电力工业信息安全技术领域，特别是涉及一种基于地址解析协议的电力系统的网络拓扑获取方法和系统。

背景技术：

目前，电力系统网络安全形势比较严峻，各种新型攻击类型的出现使得电力网络安全存在许多不确定性，进而要求在网络架构方面做更多全面细致的工作。在电力工业信息安全等级保护方面来看，各电力单位还存在许多跨区互联、不明资产和网络拓扑信息不完整的问题，使得各单位对自身真实网络情况不明确，对许多类似问题无法及时排查并达到符合监管要求。

传统使用的网络拓扑呈现技术需要使用snmp协议(simplenetworkmanagementprotocol，简单网络管理协议)，由于snmp协议的安全性问题，电力行业网络安全标准不建议打开此协议，在不打开snmp协议的条件下无法对电力系统进行完整的网络拓扑结构呈现与监控。

技术实现要素：

基于此，有必要针对在不打开snmp协议的条件下无法对电力系统进行完整的网络拓扑结构呈现与监控的问题，提供一种基于地址解析协议的电力系统的网络拓扑获取方法和系统。

一种基于地址解析协议的电力系统的网络拓扑获取方法，包括以下步骤：

获取电力系统中的所有交换节点的地址解析协议，根据地址解析协议获取交换节点的地址映射表；

根据地址映射表对电力系统中的所有节点进行深度搜索扫描，获取到达所有节点的第一路由；

对到达所有节点的第一路由进行拓扑拼接，获得电力系统的网络拓扑信息。

一种基于地址解析协议的电力系统的网络拓扑获取系统，包括：

映射获取单元，用于获取电力系统中的所有交换节点的地址解析协议，根据地址解析协议获取交换节点的地址映射表；

搜索扫描单元，用于根据地址映射表对电力系统中的所有节点进行深度搜索扫描，获取到达所有节点的第一路由；

拓扑拼接单元，用于对到达所有节点的第一路由进行拓扑拼接，获得电力系统的网络拓扑信息。

根据上述本发明的基于地址解析协议的电力系统的网络拓扑获取方法和系统，获取电力系统中的所有交换节点的地址解析协议，进而获取交换节点的地址映射表，根据地址映射表对电力系统中的所有节点进行深度搜索扫描，获取到达所有节点的第一路由，并对第一路由进行拓扑拼接，获得电力系统的网络拓扑信息。在此方案中，主要利用地址解析协议进行深度搜索扫描并生成节点路由，由于电力系统中的各网络节点都会运行地址解析协议，因此，可以通过地址解析协议来确定节点之间的关系，进而得到电力系统完整的网络拓扑信息，整个过程简单可靠，避免使用snmp协议的安全性问题。

一种可读存储介质，其上存储有可执行程序，该程序被处理器执行时实现上述的基于地址解析协议的电力系统的网络拓扑获取方法的步骤。

一种检测设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的可执行程序，处理器执行程序时实现上述的基于地址解析协议的电力系统的网络拓扑获取方法的步骤。

根据上述本发明的基于地址解析协议的电力系统的网络拓扑获取方法，本发明还提供一种可读存储介质和检测设备，用于通过程序实现上述基于地址解析协议的电力系统的网络拓扑获取方法。

附图说明

图1为其中一个实施例的基于地址解析协议的电力系统的网络拓扑获取方法的流程示意图；

图2为其中一个实施例的基于地址解析协议的电力系统的网络拓扑获取系统的结构示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

参见图1所示，为本发明一个实施例的基于地址解析协议的电力系统的网络拓扑获取方法的流程示意图。该实施例中的基于地址解析协议的电力系统的网络拓扑获取方法，包括以下步骤：

步骤s101：获取电力系统中的所有交换节点的地址解析协议，根据地址解析协议获取交换节点的地址映射表；

在本步骤中，地址解析协议是一种电力系统中各个节点都可以运行的用于解析ip地址和mac地址的协议；

步骤s102：根据地址映射表对电力系统中的所有节点进行深度搜索扫描，获取到达所有节点的第一路由；

步骤s103：对到达所有节点的第一路由进行拓扑拼接，获得电力系统的网络拓扑信息。

在本步骤中，到达节点的第一路由是电力系统的网络拓扑的一部分，进行拓扑拼接后才能得到完整的网络拓扑信息。

在本实施例中，获取电力系统中的所有交换节点的地址解析协议，进而获取交换节点的地址映射表，根据地址映射表对电力系统中的所有节点进行深度搜索扫描，获取到达所有节点的第一路由，并对第一路由进行拓扑拼接，获得电力系统的网络拓扑信息。在此方案中，主要利用地址解析协议进行深度搜索扫描并生成节点路由，由于电力系统中的各网络节点都会运行地址解析协议，因此，可以通过地址解析协议来确定节点之间的关系，进而得到电力系统完整的网络拓扑信息，整个过程简单可靠，避免使用snmp协议的安全性问题。

可选的，电力系统中的交换节点对应的网络设备可以是路由器或交换机。

可选的，地址映射表中具备映射关系的对象包括交换节点的mac地址以及与交换节点连接的其他节点的ip地址。

在其中一个实施例中，基于地址解析协议的电力系统的网络拓扑获取方法还包括以下步骤：

根据地址映射表查找与交换节点相连的其他节点，确定所有交换节点以及与交换节点相连的其他节点为电力系统中处于活动状态的各个节点；

根据地址映射表对电力系统中的所有节点进行深度搜索扫描，获取到达所有节点的第一路由的步骤包括以下步骤：

根据地址映射表对电力系统中处于活动状态的各个节点进行深度搜索扫描，获取到达处于活动状态的各个节点的第一路由；

对到达所有节点的第一路由进行拓扑拼接的步骤包括以下步骤：

对到达处于活动状态的各个节点的第一路由进行拓扑拼接。

在本实施例中，交换节点的地址映射表中的节点对应网络设备都是近期活动过的有效设备，而且没有冗余信息，通过交换节点的地址映射表可以快速确定处于活动状态的节点，进而获取准确的网络拓扑信息。

在其中一个实施例中，根据地址映射表对电力系统中处于活动状态的各个节点进行深度搜索扫描的步骤包括以下步骤：

选择一个未扫描的节点作为起始节点，从起始节点开始扫描，在扫描完当前节点后，扫描与当前节点连接的下一节点，直至扫描完末端节点；

回溯到上一节点，扫描与上一节点递进连接的未扫描的节点，直至扫描完所有的节点。

在本实施例中，深度搜索扫描是选择一个未扫描的节点作为起始节点，按照节点的连接顺序依次扫描至末端节点，至此就完成一条深度扫描链路通道，然后回溯到上一节点，扫描与上一节点递进连接的未扫描的节点，也就是扫描得到其他链路通道，直至扫描完所有的节点。深度搜索扫描可以得到多条扫描链路通道用于拓扑拼接，而且无需保留所有节点，占用数据空间小。

在其中一个实施例中，基于地址解析协议的电力系统的网络拓扑获取方法还包括以下步骤：

根据地址映射表对电力系统中处于活动状态的各个节点进行广度搜索扫描，获取到达处于活动状态的各个节点的第二路由；

对到达处于活动状态的各个节点的第一路由进行拓扑拼接的步骤包括以下步骤：

对比到达处于活动状态的各个节点的第一路由和到达处于活动状态的各个节点的第二路由，排除重复的路由，将各第一路由和各第二路由进行拓扑拼接。

在本实施例中，通过广度搜索扫描，可以获取到达各个节点的第二路由，对比到达各个节点的第一路由和到达各个节点的第二路由，可以排查只有一种路由时可能产生的路由错误，进一步提高电力系统的网络拓扑信息的准确性。

在其中一个实施例中，根据地址映射表对电力系统中处于活动状态的各个节点进行广度搜索扫描的步骤包括以下步骤：

选择一个未扫描的节点作为起始节点，从起始节点开始扫描，在扫描完当前节点后，同时扫描与当前节点连接的所有下一节点，直至扫描完末端节点。

在本实施例中，广度搜索扫描是选择一个未扫描的节点作为起始节点，扫描完当前节点后，同时扫描与当前节点连接的所有下一节点，也就是说一层一层地向下扫描，直至扫描至末端节点。广度搜索扫描无需进行回溯操作，扫描速度较快。

可选的，深度搜索扫描和广度搜索扫描中的起始节点可以是同一节点。

在其中一个实施例中，直至扫描完末端节点的步骤之后还包括以下步骤：

在存在未扫描的节点时，从未扫描的节点中选择一个节点重新作为起始节点，执行从起始节点开始扫描的步骤，直至扫描完所有节点。

在本实施例中，电力系统中的节点可能存在不同的区域，在不同的区域中，可以重新选择一个节点重新作为起始节点，再进行广度搜索扫描，如此可以确保扫描所有的节点。

在其中一个实施例中，对到达处于活动状态的各个节点的第一路由进行拓扑拼接，获得电力系统的网络拓扑信息的步骤包括以下步骤：

利用制图软件开发工具对到达处于活动状态的各个节点的第一路由进行拓扑拼接，获得电力系统的网络拓扑图。

在本实施例中，利用制图软件开发工具进行拓扑拼接，可以得到电力系统的网络拓扑图，而且该网络拓扑图是可编辑的，即使在扫描时出现差错，也可以通过制图软件手动编辑的方式进行纠正，从而得到最精准的网络拓扑图。

可选的，根据地址映射表对电力系统中处于活动状态的各个节点进行广度搜索扫描，获取到达处于活动状态的各个节点的第二路由，对比到达处于活动状态的各个节点的第一路由和第二路由，排除重复的路由，利用制图软件开发工具对第一路由和第二路由进行拓扑拼接，获得电力系统的网络拓扑图。

可选的，制图软件可以是visio软件。

在一个具体的实施例中，电力系统中的节点可以基于arp协议(地址解析协议)进行扫描；

任何运行在电力系统局域网中的ip网络设备都运行地址解析协议arp，实现ip地址与mac地址间的地址解析，该协议会自动建立和维护一个mac地址与ip地址映射表。因此，可以根据任何一台路由器或交换机的arp映射表，发现与其相连的局域网中的所有设备。可以查找网络中的路由器和交换机，并根据其arp映射表进行发现，最终得到完整的拓扑结构。

由于arp映射表中的网络设备地址都是最近活动过的有效设备的ip地址，几乎没有冗余信息，因此搜索扫描的效率很高，可以通过登录到交换节点上的网络设备来获取arp信息来实现，避免使用snmp协议的安全性问题。

在具体实现过程中，根据地址映射表查找与交换节点相连的其他节点，确定所有交换节点以及与交换节点相连的其他节点为电力系统中处于活动状态的各个节点，根据地址映射表对电力系统中处于活动状态的各个节点进行深度搜索扫描，获取到达处于活动状态的各个节点的第一路由；

对各个节点的第一路由进行拓扑拼接后，得到电力系统的网络拓扑信息。拓扑拼接的方法是使用visio和相应的sdk开发任务的可重用函数、类和过程，达到制图效果与控件编程所不能达到的效果，拼接获得的拓扑图可导出至visio打开进行编辑。

另外，还可以根据地址映射表对电力系统中处于活动状态的各个节点进行广度搜索扫描，获取到达处于活动状态的各个节点的第二路由；通过对比排除各个节点的第一路由和第二路由中重复的路由，再对第一路由和第二路由进行拓扑拼接，得到完整的拓扑信息。

还有，第二路由可以基于控制报文协议(如icmp，internetcontrolmessageprotocol，因特网控制消息协议)进行获取。通过ping操作依次检测属于电力系统的ip地址区间里的每一个ip地址，以发现所有活动ip对应的可管理的活动节点；对ping操作后得到的活动节点进行深度搜索扫描，同时对扫描的活动节点进行traceroute(路由跟踪)操作，记录traceroute操作的结果，获取到达各活动节点的路由；

ping操作执行时，使用icmp协议向ip地址所对应的节点的网络设备发送接收请求数据包，并接收反馈数据包。以反馈数据包中的响应时间数据来判断节点是否处于活动状态，并且在此基础上使用icmp协议对处于活动状态的各个节点进行广度搜索扫描，在广度搜索扫描的同时对处于活动状态的各个节点进行路由跟踪操作，即沿扫描链路通道向处于活动状态的各个节点发送掩码请求报文，接收处于活动状态的各个节点返回的子网掩码，根据子网掩码将处于活动状态的各个节点加入到不同的子网，分别获取到达处于活动状态的各个节点的第二路由。基于icmp协议的扫描方式简单、可靠，避免使用snmp协议的安全性问题，而且由于几乎所有基于tcp/ip协议体系结构的网络设备都支持icmp协议，因此可以发现网络中活动的所有网络设备。

通过网络扫描，发现存活设备的类型，通过登录到设备上查看地址映射表，分析设备间互联的关系，定位问题设备到具体的交换机，通过自动化扫描存活设备并识别设备类型，解决了之前通过人手排查idc机房内过期，闲置，测试设备所浪费的人力和时间，提高了工作的效率。

通过网络拓扑拼接与呈现，自动识别和定位网络区域之间跨区互联的问题，以图样的形式直观的展现风险，定位可疑设备。传统每年的信息安全等级保护测评——边界完整性检查测评项，都需要投入大量人力与时间去人工排查跨区互连问题，而且容易误报出错，使用本发明的方案，可节省人力和时间成本，准确率高。而且可以导出生成的网络拓扑图，便于用户进行编辑与工作汇报。传统大多类似技术的产品所呈现的都只是纯粹图片格式的网络拓扑图，不能进行编辑，如果拓扑生成过程发生误判，所生成的拓扑图即无法更改，从而降低之前的扫描、排查工作的成果价值，带来工作上的不便。通过本发明的方案，即便之前扫描，排查工作由于客观因素而产生的误判，在生成拓扑图以后还可以通过visio手动编辑的方式去纠正，通过人工与机器只能相结合得出最精准的网络拓扑图。

根据上述基于地址解析协议的电力系统的网络拓扑获取方法，本发明还提供一种基于地址解析协议的电力系统的网络拓扑获取系统，以下就本发明的基于地址解析协议的电力系统的网络拓扑获取系统的实施例进行详细说明。

参见图2所示，为本发明一个实施例的基于地址解析协议的电力系统的网络拓扑获取系统的结构示意图。该实施例中的基于地址解析协议的电力系统的网络拓扑获取系统包括：

映射获取单元210，用于获取电力系统中的所有交换节点的地址解析协议，根据地址解析协议获取交换节点的地址映射表；

搜索扫描单元220，用于根据地址映射表对电力系统中的所有节点进行深度搜索扫描，获取到达所有节点的第一路由；

拓扑拼接单元230，用于对到达所有节点的第一路由进行拓扑拼接，获得电力系统的网络拓扑信息。

在其中一个实施例中，地址映射表中具备映射关系的对象包括交换节点的mac地址以及与交换节点连接的其他节点的ip地址。

在其中一个实施例中，搜索扫描单元220根据地址映射表查找与交换节点相连的其他节点，确定所有交换节点以及与交换节点相连的其他节点为电力系统中处于活动状态的各个节点；根据地址映射表对电力系统中处于活动状态的各个节点进行深度搜索扫描，获取到达处于活动状态的各个节点的第一路由；

拓扑拼接单元230对到达处于活动状态的各个节点的第一路由进行拓扑拼接。

在其中一个实施例中，搜索扫描单元220选择一个未扫描的节点作为起始节点，从起始节点开始扫描，在扫描完当前节点后，扫描与当前节点连接的下一节点，直至扫描完末端节点；回溯到上一节点，扫描与上一节点递进连接的未扫描的节点，直至扫描完所有的节点。

在其中一个实施例中，搜索扫描单元220根据地址映射表对电力系统中处于活动状态的各个节点进行广度搜索扫描，获取到达处于活动状态的各个节点的第二路由；

拓扑拼接单元230对比到达处于活动状态的各个节点的第一路由和到达处于活动状态的各个节点的第二路由，排除重复的路由，将各第一路由和各第二路由进行拓扑拼接。

在其中一个实施例中，搜索扫描单元220选择一个未扫描的节点作为起始节点，从起始节点开始扫描，在扫描完当前节点后，同时扫描与当前节点连接的所有下一节点，直至扫描完末端节点。

在其中一个实施例中，搜索扫描单元220在存在未扫描的节点时，从未扫描的节点中选择一个节点重新作为起始节点，执行从起始节点开始扫描的步骤，直至扫描完所有节点。

在其中一个实施例中，拓扑拼接单元230利用制图软件开发工具对到达处于活动状态的各个节点的第一路由进行拓扑拼接，获得电力系统的网络拓扑图。

本发明的基于地址解析协议的电力系统的网络拓扑获取系统与本发明的基于地址解析协议的电力系统的网络拓扑获取方法一一对应，在上述基于地址解析协议的电力系统的网络拓扑获取方法的实施例阐述的技术特征及其有益效果均适用于基于地址解析协议的电力系统的网络拓扑获取系统的实施例中。

根据上述基于地址解析协议的电力系统的网络拓扑获取方法，本发明实施例还提供一种可读存储介质和一种检测设备。可读存储介质上存储有可执行程序，该程序被处理器执行时实现上述基于地址解析协议的电力系统的网络拓扑获取方法的步骤；检测设备包括存储器、处理器及存储在存储器上并可在处理器上运行的可执行程序，处理器执行程序时实现上述基于地址解析协议的电力系统的网络拓扑获取方法的步骤。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成。所述的程序可以存储于可读取存储介质中。该程序在执行时，包括上述方法所述的步骤。所述的存储介质，包括：rom/ram、磁碟、光盘等。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。