[发明专利]一种VLAN 应用服务安全监管方法

说明书

技术领域

本发明属于网络服务安全监管领域，特别是涉及一种VLAN（Virtual LocalArea Network，虚拟局域网）应用服务安全监管方法。 

背景技术

应用服务的安全监管对于企业内部资源管理，办公自动化，调度管理等有着重要意义。信息内网应用服务安全监管系统包括应用服务发现和服务安全监管审计两个部分，其中应用服务发现又涉及网络拓扑发现技术，主要分为网络层拓扑发现和链路层拓扑发现，用来反映网络中路由器，交换机和主机之间的互联关系，其为获取监控设备列表、定位异常服务、监控服务状态等提供基础支撑。服务监管作为系统的主要部分，主要是对应用层协议的识别。通过系统可以对整个网络的主机等设备进行监管，以保证网络中的授权服务能够正常运行，并及时发现可疑行为。 

目前能够实现网络监控的软件已经不少，但是鉴于网络和服务的复杂性，如何更快更好地发现和定位网络服务和异常是一个很值得研究的问题。 

现有的产品主要是在IPv4网络中发挥效用，能够对多种网络服务进行识别和监控，其缺点是对VLAN的支持不够好，网络拓扑的描绘不够精确，也就不能正确反映网络状况，定位网络服务。传统的协议识别多为采用端口进行识别，这种识别能力随着网络的发展，其缺陷也越来越明显，许多协议为了逃避监管，不使用固定的端口而采用动态端口进行通信，使用传统的识别方法效率十分低 下，在服务的识别方面，算法的性能决定了服务审计效率的高低，而现有系统存在着普遍效率不高的瓶颈。 

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提供一种能够支持在虚拟局域网中进行监管并且更加精确的应用服务安全监管方法。 

为实现上述目的，本发明提供了一种VLAN应用服务安全监管方法，包括采集MIB库数据后计算VLAN网络拓扑结构的步骤；其特征在于所述计算VLAN网络拓扑结构按以下步骤进行： 

步骤一、读取网络中交换机的端口转发表并计算该交换机的端口转发表与子网标识交换机地址集合的交集； 

步骤二、判断VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口是否只有一个；当VLAN网络中与步骤一所述交换机的端口转发表匹配的交换机端口不只一个时，读取该交换机其他端口转发表并计算其与子网中标识交换机地址集合的交集，当有匹配端口且匹配端口数为1时可以确定这两个端口是直接相连的； 

步骤三、将步骤一所述交换机的待连接端口数减1，从子网交换机标识地址集合中删除该交换机的标识地址并将该交换机的标识地址加入局部拓扑标识地址集； 

步骤四、判断VLAN网络中所有交换机的待连接端口数是否为零；当VLAN网络中所有交换机的待连接端口数均为零时，网络拓扑发现结束，根据VLAN网络中的交换机端口连接关系绘制网络拓扑图；当VLAN网络中有交换机的待连接端口数不为零时，执行步骤一，直到VLAN网络中所有交换机的待连接端口数均 为零。 

为了对VLAN网络中的应用服务进行识别，进一步的，采集MIB库数据后还包括识别应用服务的步骤；所述识别应用服务按以下步骤进行： 

各服务对应的协议用正则表达式来表示；通过网关获取各应用服务对应的报文，对各报文的报体进行解析；获取的报文与正则表达式进行匹配，根据匹配结果来判断数据流所对应服务； 

所述获取的报文与正则表达式进行匹配按以下步骤进行： 

S1、计算各正则表达式分别转换成DFA（Deterministic Finite Automaton，确定的有穷自动机）的状态数； 

S2、计算各正则表达式两两之间转换成DFA的状态数； 

S3、将具有相性的正则表达式分为一个组； 

S4、当所有正则表达式均已被分组后，应用识别结束，输出所有正则表达式的分组情况。 

较佳的，所述采集MIB库数据的步骤为通过SNMP协议获取设备的MIB库数据。 

本发明的有益效果是：本发明从提高网络拓扑发现的精确性和提高服务识别的高效性两个方面使对VLAN网络的监管性能得到了提升。通过创新的拓扑发现技术和服务识别算法，系统能够准确计算出所监管网络的拓扑结构信息，高效地识别VLAN网络中的应用服务。 

附图说明

图1是本发明的流程示意图。 

图2是计算VLAN网络拓扑结构的流程示意图。 

具体实施方式

下面结合附图和实施例对本发明作进一步说明：