CN111698110B - 一种网络设备性能分析方法、***、设备及计算机介质 - Google Patents
一种网络设备性能分析方法、***、设备及计算机介质 Download PDFInfo
- Publication number
- CN111698110B CN111698110B CN201910193980.4A CN201910193980A CN111698110B CN 111698110 B CN111698110 B CN 111698110B CN 201910193980 A CN201910193980 A CN 201910193980A CN 111698110 B CN111698110 B CN 111698110B
- Authority
- CN
- China
- Prior art keywords
- network
- target
- policy information
- performance analysis
- rule policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络设备性能分析方法、***、设备及计算机介质,该方法包括:获取目标网络设备的网络规则策略信息;将网络规则策略信息保存至Trie树中;根据获取的目标性能分析请求中的五元组,逐位匹配Trie树中的Trie节点,得到相应的匹配结果;按照网络规则策略相同的划分规则,将匹配结果划分为相应的行为相同集;将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图;基于转发图对目标网络设备进行性能分析。本申请提供的一种网络设备性能分析方法,可以提高对目标网络设备的性能分析效率。本申请提供的网络设备性能分析***、设备及计算机可读存储介质也解决了相应技术问题。
Description
技术领域
本申请涉及计算机技术领域,更具体地说,涉及一种网络设备性能分析方法、***、设备及计算机介质。
背景技术
随着计算机的发展,客户的网络环境越来越复杂,比如中大型客户的网络中使用了大量的防火墙等网络设备,并随着业务发展,在防火墙上配置了众多复杂的网络规则策略。网络设备本身的复杂性和网络规则策略的复杂性,使得对网络设备进行性能分析时的效率较低。
综上所述,如何提高对网络设备进行性能分析的效率是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种网络设备性能分析方法,其能在一定程度上解决如何提高对网络设备进行性能分析的效率的技术问题。本申请还提供了一种网络设备性能分析***、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种网络设备性能分析方法,包括:
获取目标网络设备的网络规则策略信息;
将所述网络规则策略信息保存至Trie树中;
根据获取的目标性能分析请求中的五元组,逐位匹配所述Trie树中的Trie节点,得到相应的匹配结果;
按照网络规则策略相同的划分规则,将所述匹配结果划分为相应的行为相同集;
将所述行为相同集和对应的网络规则策略信息结合,生成所述行为相同集在网络中的转发图;
基于所述转发图对所述目标网络设备进行性能分析。
优选的,所述目标性能分析请求包括策略安全分析请求;
所述基于所述转发图对所述目标网络设备进行性能分析,包括:
判断所述转发图中的源节点能否到达目标节点,若是,则判定所述网络规则策略信息配置正确;
和/或确定所述转发图中,被ACL拒绝的节点对应的网络设备的网络规则策略信息配置错误;
和/或确定所述转发图中,不存在下一跳的非目标节点对应的网络设备的网络规则策略信息配置错误;
和/或确定所述转发图中,环路上的节点对应的网络设备的网络规则策略信息配置错误。
优选的,所述目标性能分析请求包括访问关系审计请求;
所述基于所述转发图对所述目标网络设备进行性能分析,包括:
基于所述转发图确定所述目标网络设备的实时访问关系;
判断所述实时访问关系是否与预设访问关系一致,若是,则判定所述目标网络设备的访问关系合规,若否,则判定所述目标网络设备的访问关系不合规。
优选的,所述目标性能分析请求包括软件传播路径预测请求;
所述基于所述转发图对所述目标网络设备进行性能分析,包括:
遍历所述转发图,得到软件传播路径预测结果。
优选的,所述将所述网络规则策略信息保存至Trie树中,包括:
将所述网络规则策略信息归一化为目标格式的网络规则策略信息;
将所述目标格式的网络规则策略信息的相应匹配项转换为二进制格式;
将所述二进制格式的匹配项保存至所述Trie树中,并将所述目标格式的网络规则策略信息保存至所述Trie树中相应的最下层节点中。
优选的,所述获取目标网络设备的网络规则策略信息,包括:
远程链接所述目标网络设备;
通过文件传输方式,导出所述目标网络设备的配置文件;
解析所述配置文件,得到所述网络规则策略信息。
优选的,所述获取目标网络设备的网络规则策略信息,包括:
发送Syslog协议至所述目标网络设备;
接收所述目标网络设备响应所述Syslog协议后发送的所述网络规则策略信息。
优选的,所述获取目标网络设备的网络规则策略信息,包括:
通过Snmp协议链接所述目标网络设备;
读取所述目标网络设备的所述网络规则策略信息。
优选的,所述获取目标网络设备的网络规则策略信息,包括:
通过所述目标网络设备的API接口,读取所述网络规则策略信息。
优选的,所述网络规则策略信息包括路由策略、ACL策略、NAT策略。
一种网络设备性能分析***,包括:
第一获取模块,用于获取目标网络设备的网络规则策略信息;
第一保存模块,用于将所述网络规则策略信息保存至Trie树中;
第一匹配模块,用于根据获取的目标性能分析请求中的五元组,逐位匹配所述Trie树中的Trie节点,得到相应的匹配结果;
第一划分模块,用于按照网络规则策略相同的划分规则,将所述匹配结果划分为相应的行为相同集;
第一生成模块,用于将所述行为相同集和对应的网络规则策略信息结合,生成所述行为相同集在网络中的转发图;
第一分析模块,用于基于所述转发图对所述目标网络设备进行性能分析。
一种网络设备性能分析设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述网络设备性能分析方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述网络设备性能分析方法的步骤。
本申请提供的一种网络设备性能分析方法,获取目标网络设备的网络规则策略信息;将网络规则策略信息保存至Trie树中;根据获取的目标性能分析请求中的五元组,逐位匹配Trie树中的Trie节点,得到相应的匹配结果;按照网络规则策略相同的划分规则,将匹配结果划分为相应的行为相同集;将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图;基于转发图对目标网络设备进行性能分析。本申请提供的一种网络设备性能分析方法,将获取的网络规则策略信息保存至Trie树,根据目标性能分析请求中的五元组逐位匹配Trie节点,得到匹配结果,从而可以借助Trie树快速确定出与五元组对应的匹配结果,之后将行匹配结果划分为相应的网络规则策略相同的行为相同集,将行为相同集和网络规则策略信息结合成转发图,从而可以快速确定出与五元组对应的网络设备在网络中的传输关系图,最后基于转发图对目标网络设备进行性能分析,从而可以提高分析效率。本申请提供的网络设备性能分析***、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种网络设备性能分析方法的第一流程图;
图2为实际应用中本申请实施例中行为相同集生成转发图的示意图;
图3为本申请实施例提供的一种网络设备性能分析***的第一结构示意图;
图4为本申请实施例提供的一种网络设备性能分析设备的结构示意图;
图5为本申请实施例提供的一种网络设备性能分析设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种网络设备性能分析方法的第一流程图。
本申请实施例提供的一种网络设备性能分析方法,可以包括以下步骤:
步骤S101:获取目标网络设备的网络规则策略信息。
实际应用中,可以先获取目标网络设备的网络规则策略信息。本申请所涉及的目标网络设备指的是被进行性能分析的网络设备,其类型可以根据实际需要确定。目标网络设备的网络规则策略信息的具体类型也可以根据实际需要确定,包括但不局限于路由策略、NAT(Network Address Translation,网络地址转换)策略、ACL(Access Control List,访问控制列表)策略等。
具体应用场景中,对于远程目标网络设备而言,为了方便的获取网络规则策略信息,获取目标网络设备的网络规则策略信息的过程可以具体为:远程链接目标网络设备;通过文件传输方式,导出目标网络设备的配置文件;解析配置文件,得到网络规则策略信息。具体的,可以通过Telnet或SSH协议来链接网络设备。本申请所涉及的Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式,其为用户提供了在本地计算机上完成远程主机工作的能力;在终端使用者的电脑上使用telnet程序,用它连接到服务器,终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样,可以在本地就能控制服务器,Telnet是常用的远程控制Web服务器的方法。SSH(Secure Shell,安全外壳协议)协议由IETF的网络小组(NetworkWorking Group)所制定;SSH为建立在应用层基础上的安全协议,可靠性较高,专为远程登录会话和其他网络服务提供安全性,利用SSH协议可以有效防止远程管理过程中的信息泄露问题。
具体应用场景中,为了降低获取网络规则策略信息所消耗的资源,可以由目标网络设备主动发送网络规则策略信息,则获取目标网络设备的网络规则策略信息的过程可以为:发送Syslog协议至目标网络设备;接收目标网络设备响应Syslog协议后发送的网络规则策略信息。Syslog协议常被称为***日志或***记录,是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准。
具体应用场景中,为了提高获取网络规则策略信息的效率,获取目标网络设备的网络规则策略信息的过程可以具体为:通过Snmp(Simple Network Management Protocol,简单网络管理协议)协议链接目标网络设备;读取目标网络设备的网络规则策略信息。简单网络管理协议由一组网络管理的标准组成,包含一个应用层协议(application layerprotocol)、数据库模型(database schema)和一组资源对象,该协议能够支持网络管理***,用以监测连接到网络上的设备是否有任何引起管理上关注的情况,该协议是互联网工程工作小组(IETF,Internet Engineering Task Force)定义的internet协议簇的一部分。
具体应用场景中,在目标网络设备现场时,为了简单、快速的获取网络规则策略信息,获取目标网络设备的网络规则策略信息的过程可以具体为:通过目标网络设备的API接口,读取网络规则策略信息。
具体应用场景中,网络规则策略信息可以包括路由策略、ACL(Access ControlList,访问控制列表)策略、NAT(Network Address Translation,网络地址转换)策略。NAT实现内网IP地址和外网IP地址间的映射及逆映射。ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
步骤S102:将网络规则策略信息保存至Trie树中。
实际应用中,在获取网络规则策略信息后,便可以将网络规则策略信息保存至Trie树中,借助Trie树可以灵活、快速的保存网络规则策略信息。在计算机科学中,Trie树又称前缀树或字典树,是一种有序树,用于保存关联数组,其中的键通常是字符串;而树(英语:tree)是一种抽象数据类型(ADT)或是实现这种抽象数据类型的数据结构,用来模拟具有树状结构性质的数据集合,它是由n(n>0)个有限节点组成一个具有层次关系的集合。
具体应用场景中,目标网络设备的网络规则策略信息的格式可能多样,且可能包含对进行性能分析无关的信息,这些因素均可能使得Trie树的结构复杂或不清楚,为了解决这种情况,将网络规则策略信息保存至Trie树中的过程可以具体为:将网络规则策略信息归一化为目标格式的网络规则策略信息;将目标格式的网络规则策略信息的相应匹配项转换为二进制格式;将二进制格式的匹配项保存至Trie树中,并将目标格式的网络规则策略信息保存至Trie树中相应的最下层节点中。归一化的过程可以为:将各个网络规则策略信息的格式均转换为预设格式;相应匹配项的定义可以根据实际需要来确定,以IP地址而言,其相应匹配项便可以为掩码,而对于端口而言,其相应匹配项便可以为端口号等;将相应匹配项转换为二进制格式是为了便于相应匹配项的保存。具体的,Trie树的结构可以为三叉树,Trie树中的每一节点,都存在指向0,1,*的子节点。
步骤S103:根据获取的目标性能分析请求中的五元组,逐位匹配Trie树中的Trie节点,得到相应的匹配结果。
实际应用中,在将网络规则策略信息保存至Trie树中后,便可以获取目标性能分析请求,且目标性能分析请求中携带有五元组,之后便可以根据五元组,按照从根节点到叶节点的顺序逐位匹配Trie树中的Trie节点,得到相应的匹配结果;以Trie树中的根节点为源IP地址,叶节点为源端口为例,假设一个根节点有三个叶节点,根节点为源IP地址103.120.124.142,三个叶节点从左到右分别为源端口A、源端口B和源端口C;获取的五元组中的源IP地址为103.120.124.142,源端口为B,则根据该五元组逐位匹配Trie节点的过程为:先将五元组中的源IP地址与根节点匹配,结果相同,再将五元组中的源端口与最左边的叶节点匹配,结果不相同;之后将五元组中的源端口与中间的叶节点匹配,结果相同,则获取的五元组的匹配结果为Trie树中由根节点和中间叶节点组成的分支。其中,每一节中的数据,以二进制的方式储存,并以二进制的方式逐位匹配。如源IP地址103.120.124.142,二进制模式0110 0111,0111 1000,0111 1100,1000 1110,匹配时,从高位到低位,遍历该Trie树,若能走到最终子节点,则匹配成功;反之,匹配失败。源端口数据同理,假设三个叶节点从左到右分别为源端口A、源端口B和源端口C,其端口id分别为端口1,端口2,端口3,转换为二进制后,为0000 0001,0000 0010,0000 0011。我们假设五元组中的源端口为端口3,则将匹配到0000001时排除端口1,后0000 0011排除端口2确认端口3。若五元组中源端口为端口4,其二进制为0000 0 100,则其在匹配至0000 01时,不存在后续路径,则可确定无法匹配。该方法可以节省存储空间,并保证匹配效率。
由于网络规则策略信息中包含网络设备的信息,所以匹配结果中也包含相应的网络设备的信息及网络规则策略信息。本申请所涉及的五元组是通用术语,通常指源IP地址,源端口,目的IP地址,目的端口和传输层协议。
步骤S104:按照网络规则策略相同的划分规则,将匹配结果划分为相应的行为相同集。
实际应用中,在得到与五元组对应的匹配结果后,便可以将匹配结果分为相应数量的行为相同集,每个行为相同集中所包含的匹配结果的网络规则策略相同。
步骤S105:将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图。
实际应用中,在得到行为相同集后,便可以将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图,也即生成网络规则策略信息相同的网络设备在网络中的数据传输关系图,借助转发图可以清楚、准确、快速的确定各个网络设备间的数据传输关系图。请参阅图2,图2为实际应用中本申请实施例中行为相同集生成转发图的示意图,在图2中,行为相同集1包含三个网络规则策略相同的网络节点,分别为节点1、节点2和节点3,且节点1下一跳节点2,节点2进行NAT后下一跳节点3,节点3执行ACL拒绝;不难理解,不同的网络规则策略所对应的转发图框架不同,所以可以根据行为相同集自身的网络规则策略信息获取对应的转发图框架。
步骤S106:基于转发图对目标网络设备进行性能分析。
实际应用中,在生成转发图后,便可以基于转发图对目标网络设备进行性能分析。
本申请提供的一种网络设备性能分析方法,获取目标网络设备的网络规则策略信息;将网络规则策略信息保存至Trie树中;根据获取的目标性能分析请求中的五元组,逐位匹配Trie树中的Trie节点,得到相应的匹配结果;按照网络规则策略相同的划分规则,将匹配结果划分为相应的行为相同集;将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图;基于转发图对目标网络设备进行性能分析。本申请提供的一种网络设备性能分析方法,将获取的网络规则策略信息保存至Trie树,根据目标性能分析请求中的五元组逐位匹配Trie节点,得到匹配结果,从而可以借助Trie树快速确定出与五元组对应的匹配结果,之后将行匹配结果划分为相应的网络规则策略相同的行为相同集,将行为相同集和网络规则策略信息结合成转发图,从而可以快速确定出与五元组对应的网络设备在网络中的传输关系图,最后基于转发图对目标网络设备进行性能分析,从而可以提高分析效率。
实际应用中,为了保证目标网络设备的安全,需要对网络规则策略信息进行安全性分析,现有的方法有人工分析法和基于设备模拟的安全分析方法;在人工分析方法中,对于网络故障情况,借助ping工具,通过二分法人工排查,以确定配置错误的防火墙,在对该防火墙的策略进行人工检查,效率低下,难度巨大;而基于设备模拟的安全分析方法中,通过对当前网络设备建模,通过提取网络设备配置,记录网络设备中的路由信息,ACL信息等,排障时模拟数据包输入,通过在模拟设备中,依据信息对数据包进行匹配,得出设备对数据包的行为,以此判断数据包是否可达,该方法由于依照设备分开存储规则策略信息,且在每次动作前都需进行规则匹配工作,时间开销与内存占用都会非常大,开销很大,效率也较低。而应用本申请提供的网络规则策略分析方法可以快速进行安全策略分析。
本申请实施例提供的一种网络设备性能分析方法可以包括以下步骤:
获取目标网络设备的网络规则策略信息;
将网络规则策略信息保存至Trie树中;
根据获取的策略安全分析请求中的五元组,逐位匹配Trie树中的Trie节点,得到相应的匹配结果;
按照网络规则策略相同的划分规则,将匹配结果划分为相应的行为相同集;
将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图;
判断转发图中的源节点能否到达目标节点,若是,则判定网络规则策略信息配置正确;和/或确定转发图中,被ACL拒绝的节点对应的网络设备的网络规则策略信息配置错误;和/或确定转发图中,不存在下一跳的非目标节点对应的网络设备的网络规则策略信息配置错误;和/或确定转发图中,环路上的节点对应的网络设备的网络规则策略信息配置错误。
具体应用场景中,判定网络规则策略信息配置正确或错误的判定过程可以根据实际需要灵活确定或执行。
实际应用中,随着《中华人民共和国网络安全法》的正式施行,企业对网络合规性的要求进一步增强。按照不同的审计角度和实现技术进行划分,信息安全审计分为合规性审计、日志审计、网络行为审计、主机审计、应用***审计、集中操作运维审计六大类。而随着网络设备数量的逐渐增加,网络中的配置信息,随着业务应用的不断变化肆意增加,导致访问关系难以理清。企业自身的网络运维工程师,无法深入了解大型网络,无法理清当前网络当中各设备的访问关系,不利于企业进行自身网络的安全合规。而本申请提供的一种网络设备性能分析方法可以解决这一问题。
本申请实施例提供的一种网络设备性能分析方法可以包括以下步骤:
获取目标网络设备的网络规则策略信息;
将网络规则策略信息保存至Trie树中;
根据获取的访问关系审计请求中的五元组,逐位匹配Trie树中的Trie节点,得到相应的匹配结果;
按照网络规则策略相同的划分规则,将匹配结果划分为相应的行为相同集;
将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图;
基于转发图确定目标网络设备的实时访问关系;
判断实时访问关系是否与预设访问关系一致,若是,则判定目标网络设备的访问关系合规,若否,则判定目标网络设备的访问关系不合规。
实际应用中,由于网络威胁的层出不穷,网络安全人员在考虑如何在边界防范网络攻击的同时,也要考虑在网络边界被突破后,如何及时封堵,减小损失。为了达到这一目标,网络安全人员希望知道恶意软件在突破了当前网络边界后,在当前网络中是如何扩散的,它感染了那些设备,而这些设备又会去感染哪一些设备。即网络安全人员,希望知道恶意软件的传播路径,甚至,他们希望在设备被感染之前,就能知道那些设备可能会被感染,提前阻断其感染路径。针对此需求,现有解决方法有基于流量的路径分析方法和基于危险流量路径分析方法。在基于流量的路径分析方法中,通过记录流量的方式来进行路径分析,通过记录下当前网络中的全部流量,或抽样记录当前网络中的流量,根据记录的流量,判断当前网络设备之间互相访问关系;然而此方法中,流量不存在,不代表不可访问,其无法预测出当前网络中可能存在的、没有被使用的一些路径。在基于危险流量路径分析方法中,通过识别当前网络中的危险流量,即恶意软件感染使用的流量,记录这些危险流量,依据所记录到的这些危险流量,既可以找出当前网络中所有被感染的设备,以及其被感染的路径;该方法只能在网络被感染之后,才能得到感染路径,只能在当前网络被感染后,进行一定程度的止损,无法***到当前网络中的被感染路径,及时加固,防患于未然。而本申请提供的网络设备性能分析方法既可以预测出当前网络中可能存在的、没有被使用的路径,还可以***当前网络中可能被感染的路径。
本申请实施例提供的一种网络设备性能分析方法可以包括以下步骤:
获取目标网络设备的网络规则策略信息;
将网络规则策略信息保存至Trie树中;
根据获取的软件传播路径预测请求中的五元组,逐位匹配Trie树中的Trie节点,得到相应的匹配结果;
按照网络规则策略相同的划分规则,将匹配结果划分为相应的行为相同集;
将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图;
遍历转发图,得到软件传播路径预测结果。
具体的,为了提高预测效果,在基于五元组匹配Trie树节点时,还可以根据实际需要添加其他匹配信息,比如根据五元组和传播端口匹配Trie树节点等。
本申请还提供了一种网络设备性能分析***,其具有本申请实施例提供的一种网络设备性能分析方法具有的对应效果。请参阅图3,图3为本申请实施例提供的一种网络设备性能分析***的第一结构示意图。
本申请实施例提供的一种网络设备性能分析***,可以包括:
第一获取模块101,用于获取目标网络设备的网络规则策略信息;
第一保存模块102,用于将网络规则策略信息保存至Trie树中;
第一匹配模块103,用于根据获取的目标性能分析请求中的五元组,逐位匹配Trie树中的Trie节点,得到相应的匹配结果;
第一划分模块104,用于按照网络规则策略相同的划分规则,将匹配结果划分为相应的行为相同集;
第一生成模块105,用于将行为相同集和对应的网络规则策略信息结合,生成行为相同集在网络中的转发图;
第一分析模块106,用于基于转发图对目标网络设备进行性能分析。
本申请实施例提供的一种网络设备性能分析***,目标性能分析请求可以包括策略安全分析请求;
相应的,第一分析模块可以包括:
第一分析单元,用于判断转发图中的源节点能否到达目标节点,若是,则判定网络规则策略信息配置正确;和/或确定转发图中,被ACL拒绝的节点对应的网络设备的网络规则策略信息配置错误;和/或确定转发图中,不存在下一跳的非目标节点对应的网络设备的网络规则策略信息配置错误;和/或确定转发图中,环路上的节点对应的网络设备的网络规则策略信息配置错误。
本申请实施例提供的一种网络设备性能分析***,目标性能分析请求可以包括访问关系审计请求;
相应的,第一分析模块可以包括:
第一确定单元,用于基于转发图确定目标网络设备的实时访问关系;
第一判断单元,用于判断实时访问关系是否与预设访问关系一致,若是,则判定目标网络设备的访问关系合规,若否,则判定目标网络设备的访问关系不合规。
本申请实施例提供的一种网络设备性能分析***,目标性能分析请求可以包括软件传播路径预测请求;
相应的,第一分析模块可以包括:
第一遍历单元,用于遍历转发图,得到软件传播路径预测结果。
本申请实施例提供的一种网络设备性能分析***,第一保存模块可以包括:
第一转换单元,用于将网络规则策略信息归一化为目标格式的网络规则策略信息;
第二转换单元,用于将目标格式的网络规则策略信息的相应匹配项转换为二进制格式;
第一保存单元,用于将二进制格式的匹配项保存至Trie树中,并将目标格式的网络规则策略信息保存至Trie树中相应的最下层节点中。
本申请实施例提供的一种网络设备性能分析***,第一获取模块可以包括:
第一链接单元,用于远程链接目标网络设备;
第一导出单元,用于通过文件传输方式,导出目标网络设备的配置文件;
第一解析单元,用于解析配置文件,得到网络规则策略信息。
本申请实施例提供的一种网络设备性能分析***,第一获取模块可以包括:
第一发送单元,用于发送Syslog协议至目标网络设备;
第一接收单元,用于接收目标网络设备响应Syslog协议后发送的网络规则策略信息。
本申请实施例提供的一种网络设备性能分析***,第一获取模块可以包括:
第二链接单元,用于通过Snmp协议链接目标网络设备;
第一读取单元,用于读取目标网络设备的网络规则策略信息。
本申请实施例提供的一种网络设备性能分析***,第一获取模块可以包括:
第二读取单元,用于通过目标网络设备的API接口,读取网络规则策略信息。
本申请实施例提供的一种网络设备性能分析***,网络规则策略信息包括路由策略、ACL策略、NAT策略。
本申请还提供了一种网络设备性能分析设备及计算机可读存储介质,其均具有本申请实施例提供的一种网络设备性能分析方法具有的对应效果。请参阅图4,图4为本申请实施例提供的一种网络设备性能分析设备的结构示意图。
本申请实施例提供的一种网络设备性能分析设备,可以包括:
存储器201,用于存储计算机程序;
处理器202,用于执行存储器201中存储的计算机程序时实现如上任一实施例所描述的网络设备性能分析方法的步骤。
请参阅图5,本申请实施例提供的另一种网络设备性能分析设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现网络设备性能分析设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。此外,本申请实施例提供的另一种网络设备性能分析设备中还可以包括适配层、接入层和算法层,适配层用于获取目标网络设备的网络规则策略信息,接入层用于将网络策略规则信息导入至算法层,算法层用于将网络规则策略信息保存至Trie树中,并且对网络规则策略信息进行处理等;当然还可以有防火墙、路由器、二/三层交换机等。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如上任一实施例所描述的网络设备性能分析方法的步骤。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的一种网络设备性能分析***、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的一种网络设备性能分析方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (13)
1.一种网络设备性能分析方法,其特征在于,包括:
获取目标网络设备的网络规则策略信息;
将所述网络规则策略信息保存至Trie树中;
根据获取的目标性能分析请求中的五元组,逐位匹配所述Trie树中的Trie节点,得到相应的匹配结果;
按照网络规则策略相同的划分规则,将所述匹配结果划分为相应的行为相同集;
将所述行为相同集和对应的网络规则策略信息结合,生成所述行为相同集在网络中的转发图;
基于所述转发图对所述目标网络设备进行性能分析。
2.根据权利要求1所述的方法,其特征在于,所述目标性能分析请求包括策略安全分析请求;
所述基于所述转发图对所述目标网络设备进行性能分析,包括:
判断所述转发图中的源节点能否到达目标节点,若是,则判定所述网络规则策略信息配置正确;
和/或确定所述转发图中,被ACL拒绝的节点对应的网络设备的网络规则策略信息配置错误;
和/或确定所述转发图中,不存在下一跳的非目标节点对应的网络设备的网络规则策略信息配置错误;
和/或确定所述转发图中,环路上的节点对应的网络设备的网络规则策略信息配置错误。
3.根据权利要求1所述的方法,其特征在于,所述目标性能分析请求包括访问关系审计请求;
所述基于所述转发图对所述目标网络设备进行性能分析,包括:
基于所述转发图确定所述目标网络设备的实时访问关系;
判断所述实时访问关系是否与预设访问关系一致,若是,则判定所述目标网络设备的访问关系合规,若否,则判定所述目标网络设备的访问关系不合规。
4.根据权利要求1所述的方法,其特征在于,所述目标性能分析请求包括软件传播路径预测请求;
所述基于所述转发图对所述目标网络设备进行性能分析,包括:
遍历所述转发图,得到软件传播路径预测结果。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述将所述网络规则策略信息保存至Trie树中,包括:
将所述网络规则策略信息归一化为目标格式的网络规则策略信息;
将所述目标格式的网络规则策略信息的相应匹配项转换为二进制格式;
将所述二进制格式的匹配项保存至所述Trie树中,并将所述目标格式的网络规则策略信息保存至所述Trie树中相应的最下层节点中。
6.根据权利要求5所述的方法,其特征在于,所述获取目标网络设备的网络规则策略信息,包括:
远程链接所述目标网络设备;
通过文件传输方式,导出所述目标网络设备的配置文件;
解析所述配置文件,得到所述网络规则策略信息。
7.根据权利要求5所述的方法,其特征在于,所述获取目标网络设备的网络规则策略信息,包括:
发送Syslog协议至所述目标网络设备;
接收所述目标网络设备响应所述Syslog协议后发送的所述网络规则策略信息。
8.根据权利要求5所述的方法,其特征在于,所述获取目标网络设备的网络规则策略信息,包括:
通过Snmp协议链接所述目标网络设备;
读取所述目标网络设备的所述网络规则策略信息。
9.根据权利要求5所述的方法,其特征在于,所述获取目标网络设备的网络规则策略信息,包括:
通过所述目标网络设备的API接口,读取所述网络规则策略信息。
10.根据权利要求5所述的方法,其特征在于,所述网络规则策略信息包括路由策略、ACL策略、NAT策略。
11.一种网络设备性能分析***,其特征在于,包括:
第一获取模块,用于获取目标网络设备的网络规则策略信息;
第一保存模块,用于将所述网络规则策略信息保存至Trie树中;
第一匹配模块,用于根据获取的目标性能分析请求中的五元组,逐位匹配所述Trie树中的Trie节点,得到相应的匹配结果;
第一划分模块,用于按照网络规则策略相同的划分规则,将所述匹配结果划分为相应的行为相同集;
第一生成模块,用于将所述行为相同集和对应的网络规则策略信息结合,生成所述行为相同集在网络中的转发图;
第一分析模块,用于基于所述转发图对所述目标网络设备进行性能分析。
12.一种网络设备性能分析设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至10任一项所述网络设备性能分析方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至10任一项所述网络设备性能分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910193980.4A CN111698110B (zh) | 2019-03-14 | 2019-03-14 | 一种网络设备性能分析方法、***、设备及计算机介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910193980.4A CN111698110B (zh) | 2019-03-14 | 2019-03-14 | 一种网络设备性能分析方法、***、设备及计算机介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111698110A CN111698110A (zh) | 2020-09-22 |
| CN111698110B true CN111698110B (zh) | 2023-07-18 |
Family
ID=72474482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910193980.4A Active CN111698110B (zh) | 2019-03-14 | 2019-03-14 | 一种网络设备性能分析方法、***、设备及计算机介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111698110B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115514501A (zh) * | 2021-06-03 | 2022-12-23 | ***通信集团四川有限公司 | 一种封堵网络攻击的方法和装置 |
| CN114650187B (zh) * | 2022-04-29 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN114822077A (zh) * | 2022-06-27 | 2022-07-29 | 深圳市奇见科技有限公司 | 一种智能立体车库的调度管理*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1439985A (zh) * | 2002-02-20 | 2003-09-03 | 华北计算机***工程研究所 | 一种改进防火墙性能的方法 |
| CN102437950A (zh) * | 2011-11-08 | 2012-05-02 | 西安电子科技大学 | 一种高效且可扩展的ip数据包分类方法 |
| KR20140098671A (ko) * | 2012-12-03 | 2014-08-08 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 폴리시 처리 방법 및 네트워크 장치 |
| CN105721297A (zh) * | 2016-01-28 | 2016-06-29 | 北京国电通网络技术有限公司 | 基于sdn网络中路由环路的检测方法及*** |
| CN107005555A (zh) * | 2014-12-02 | 2017-08-01 | Nicira股份有限公司 | 上下文感知的分布式防火墙 |
| CN108399152A (zh) * | 2018-02-06 | 2018-08-14 | 中国科学院信息工程研究所 | 数字查找树的压缩表示方法、***、存储介质及规则匹配装置 |
-
2019
- 2019-03-14 CN CN201910193980.4A patent/CN111698110B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1439985A (zh) * | 2002-02-20 | 2003-09-03 | 华北计算机***工程研究所 | 一种改进防火墙性能的方法 |
| CN102437950A (zh) * | 2011-11-08 | 2012-05-02 | 西安电子科技大学 | 一种高效且可扩展的ip数据包分类方法 |
| KR20140098671A (ko) * | 2012-12-03 | 2014-08-08 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 폴리시 처리 방법 및 네트워크 장치 |
| CN107005555A (zh) * | 2014-12-02 | 2017-08-01 | Nicira股份有限公司 | 上下文感知的分布式防火墙 |
| CN105721297A (zh) * | 2016-01-28 | 2016-06-29 | 北京国电通网络技术有限公司 | 基于sdn网络中路由环路的检测方法及*** |
| CN108399152A (zh) * | 2018-02-06 | 2018-08-14 | 中国科学院信息工程研究所 | 数字查找树的压缩表示方法、***、存储介质及规则匹配装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111698110A (zh) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hamza et al. | Verifying and monitoring iots network behavior using mud profiles | |
| US8844041B1 (en) | Detecting network devices and mapping topology using network introspection by collaborating endpoints | |
| JP6419967B2 (ja) | ネットワーク管理のためのシステムおよび方法 | |
| US9100363B2 (en) | Automatically recommending firewall rules during enterprise information technology transformation | |
| US11743153B2 (en) | Apparatus and process for monitoring network behaviour of Internet-of-things (IoT) devices | |
| Tschaen et al. | Sfc-checker: Checking the correct forwarding behavior of service function chaining | |
| AU2019216687A1 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
| US10567384B2 (en) | Verifying whether connectivity in a composed policy graph reflects a corresponding policy in input policy graphs | |
| JP2019536331A (ja) | 対話型ネットワーク分析プラットフォームのためのシステムおよび方法 | |
| CN111698110B (zh) | 一种网络设备性能分析方法、***、设备及计算机介质 | |
| Khakpour et al. | Quantifying and querying network reachability | |
| Bringhenti et al. | Improving the formal verification of reachability policies in virtualized networks | |
| Qiu et al. | Global Flow Table: A convincing mechanism for security operations in SDN | |
| Liu et al. | Quantifying and verifying reachability for access controlled networks | |
| Trost | Practical intrusion analysis: prevention and detection for the twenty-first century | |
| Basile et al. | Inter‐function anomaly analysis for correct SDN/NFV deployment | |
| Zhang et al. | Towards verifiable performance measurement over in-the-cloud middleboxes | |
| Mavrakis | Passive asset discovery and operating system fingerprinting in industrial control system networks | |
| US20110131628A1 (en) | System and method for automatically discovering security classification of hosts | |
| Johnson et al. | Soar4der: Security orchestration, automation, and response for distributed energy resources | |
| Gamer et al. | Simulative evaluation of distributed attack detection in large-scale realistic environments | |
| Lyu et al. | A survey on enterprise network security: Asset behavioral monitoring and distributed attack detection | |
| Din et al. | Anomaly free on demand stateful software defined firewalling | |
| CN115396347B (zh) | 一种基于中间人的路由协议模糊测试方法及*** | |
| Khakpour et al. | Quarnet: A tool for quantifying static network reachability |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |