本发明涉及网络安全技术领域,尤其涉及通过标识网络整体属性实现网络检查的方法。
背景技术:
在对现有网络进行检查、或者升级改造现有网络、或者测试新协议项目的过程中,都需要对网络的可靠性和有效性进行客观地评估,以降低网络建设的投资风险,使设计网络有很高的性能,或者使测试结果能够真实反映新协议的表现,传统网络设计和规划方法主要靠经验,对复杂的大型网络,很多地方由于无法预知而抓不住网络设计的要点,因此业界越来越需要一种新的网络检查和审计手段。在目前现有的趋势下,研究自动化的网络检查方法将解放网络安全行业对于人的依赖,让检查行为可靠,严谨,并且可量化和批量缴付。网络检查的规范化、自动化、标准化、智能化,可以更好的固化已经成型的网络检查知识,将大量可标准化的判断过程交付给网络自动完成。同时在自动化的检查过程,可以免去人工劳动,降低成本,也避免了他人接触关键数据,进而提高整体审计过程的保密性,自动化工具代替人工作业已经成为行业发展的趋势。在网络检查自动化的进程中,网络设备配置的自动检查又面临着大量的技术难题,从设备的自动识别到设备配置的自动判断、检查及后期的自动生成报告,都存在较多技术难点,尤其是在自动从海量的设备信息中判别是否安全,是否合规,是否符合技术需求方面等方面尤为困难,目前还没有能够解决这些问题的产品或者方法出现。本网络检查方法创建了一种通过分析网络设备信息对网络设备的属性进行标识,进而进行合规性检查的方法,来解决自动化检查的业界难题。
技术实现要素:
本发明的目的是提供一种网络属性归集检查法,采用全新的网络整体属性概念,通过把海量的混乱无序的网络设备的信息,被整齐、统一的标识为可计量、可比较、可判断、可识别的规格化的网络整体属性信息,适用于大中型网络的检查与排错,以克服目前现有技术存在的上述不足。本发明的目的是通过以下技术方案来实现:一种网络属性归集检查法,包括以下步骤:1)创建一个网络检查项目,并读取给予的网络设备信息,根据读取过程中过滤出来的设备名创建相对应的数据表单1,该数据表单1用于填充相对应的设备的各种属性,同时,创建一张用于标识网络整体相关属性的单独的数据表单2;2)再次扫描给予的网络设备信息,发现标识的网络整体相关属性则在对应的数据库中做出标注,同时将与网络整体相关的属性和状态填充至数据表单2中;扫描完毕则整个网络对应属性的数据表单2建立完毕,而后开始分析针对整个网络相关的信息,并将这些信息对应地转化为该网络整体的某一种或多种属性/状态;3)根据既定的检查规则,对整个网络的相关属性进行检查;每台设备的各种属性填充至数据表单1完毕后,则可以对整个网络的属性和状态进行验证,进而对整个网络的属性和状态进行逐一核实;4)生成报告:检查过程中会把不符合既定检查规则的条目逐一排列出来,并生成相关检查结果报告。本发明的有益效果为:提供一种操作性强的、能够自动化实施的网络属性归集检查法,通过分析网络设备信息建立网络整体属性数据集,并对其进行标识,进而进行合规性检查,实现了从宏观角度对网络整体的状态、属性以及匹配性进行全面的检查,解决了自动化检查的业界难题。附图说明下面根据附图对本发明作进一步详细说明。图1是本发明实施例所述网络属性归集检查法的属性归集以及检查流程示意图。具体实施方式如图1所示,本发明实施例所述的一种网络属性归集检查法,具体地包括以下步骤:1)创建一个网络检查项目,并读取给予的网络设备信息,根据读取过程中过滤出来的设备名创建相对应的数据表单1,把所有出现的设备名都认定为是一个设备,该数据表单1用于填充相对应的设备的各种属性,每个设备或者设备名对应一张数据表单1,则会有多个数据表单1,同时,创建一张用于标识网络整体相关属性的单独的数据表单2;例如:给予的网络设备信息中包含8台设备(各自有不同的设备名称),除了为此8台设备创建对应的8个数据表单1外,同时创建一个数据表单2,用于标识由这8台网络设备所组成的网络的整体的属性和状态,而这8台设备其实也是这个网络整体所具有的属性之一(此网络包含设备数量属性为:8台)。2)再次扫描给予的网络设备信息,发现标识的网络整体相关属性则在对应的数据库中做出标注,同时将与网络整体相关的属性和状态填充至数据表单2中;扫描完毕则整个网络对应属性的数据表单2建立完毕,而后开始分析针对整个网络相关的信息,并将这些信息对应地转化为该网络整体的某一种或多种属性/状态;例如:这个网络整体使用了OSPF路由协议,并包含3个OSPF区域,OSPF路由器之间没有使用MD5效验,则这些被分解出来的信息,都被算作这整个网络的某一种或多种属性/状态,并被分别标识在网络整体属性里;根据提供的网络设备信息,将该网络设备信息中包含的网络整体的各种属性和状态填入表单2。3)根据既定的检查规则,对整个网络的相关属性进行检查;每台设备的各种属性填充至数据表单1完毕后,则可以对整个网络的属性和状态进行验证,进而对整个网络的属性和状态进行逐一核实;使用规则库过对整体网络的属性和状态的检查,得出检查结果。例如:思科OSPF的区域应该连续,且所有区域都与area0相连。如出现个别区域不链接area0,则该网络的OSPF路由区域设置包含了至少一项错误。4)生成报告:检查过程中会把不符合既定检查规则的条目逐一排列出来,并生成相关检查结果报告。本专利中,网络设备特指所有构成网络主体、以及用于网络连接的硬件装置,和保障网络连通的非实物的,逻辑上存在的客体,包括如下:1、PC终端、专用服务器、打印机、移动终端等各种终端设备;2、路由器、交换机、防火墙、单独插接的物理功能模块等组网专用装置;3、联网中需要的物理线路或逻辑连接,如网络线缆、无线连接;4、逻辑上的非实体目标,如由各个网络连接装置所组成的“局域网”这个虚拟实体本身或“云”(虚拟实体“云”适于多种应用场合,如:由运营商提供的骨干网等)。本发明采用全新的网络整体属性概念,使得提取到的海量的杂乱无序的网络设备的信息,被整齐、统一地标识为可计量、可比较、可判断、可识别的规格化网络整体属性信息,超越了传统方法中只能对网络单机进行简单检查的网络检查手段,实现从宏观角度,对网络整体的状态、属性、匹配性有了全面的检验方法,同时本方法特别适用于大中型网络的检查与排错提供一种操作性强的、能够自动化实施的网络属性归集检查法,解决了自动化检查的业界难题。上述实施例仅仅是为清楚地说明本发明创造所作的举例,而并非对本发明创造具体实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所引伸出的任何显而易见的变化或变动仍处于本发明创造权利要求的保护范围之中。