[发明专利]一种检测和修复多级安全设备企业网应用故障的方法

权利要求书

1.一种获取MLSE企业网的基准信息的方法，其特征在于，包括：

A.定义端系统信息表HostList＝(h₁，h₂，...，h_n)是包括所有执行应用程序的端系统信息的列表，路由器节点信息表RouterList＝(r₁，r₂，...，r_m)是包括所有路由器信息的列表，安全设备节点列表SecEquList＝(SE₁，SE₂，...，SE_n)是包括所有安全设备信息的列表，网络邻接表AdiacencyList以矩阵形式表示网络中各个节点之间的邻接关系的列表；采用一个路由树数据结构来存储网络中任意一个端系统到其他端系统之间的路径，从该树的根节点到每个叶子节点的路径代表了应用流从该端系统到达其他目的端系统所经过的路由器序列，为各个端系统构建各自的基准路由树，读取每个路由表信息并存储在路由表数据结构中；

B.控制器读取各个路由表信息，并采用算法1计算出所有端系统到其他端系统的基础路由，其结果放在数组BenchmarkRoutingArray中；

C.算法1是获取当前MLSE企业网路由的伪代码：

D.用一个7维数组SecurityPolicy0来存储网络安全策略，7维是指安全设备编号加上定义安全规则的六元组(即安全规则的序号，协议，源IP地址，源端口号，目的IP地址，目的端口号)，通过逐个从安全设备中读取安全设备规则列表里的安全规则并存储到SecurityPolicy0中，由此获得安全设备基准信息。

2.如权利要求1，一种对应用故障进行检测定位的方法，其特征在于，包括：

A.控制器受触发(如告警或定时)重新运行算法1，将检测到的路由信息形成路由树结果输出到RoutingArray数组中，并将获取获取安全设备安全策略信息结果输出到SecurityPolicy数组中。

B.对比分析RoutingArray与BenchmarkRoutingArray数组，如果所有网络应用流的路由都没有发生变化或者网络应用流的路由发生了变化，但路径中的安全设备序列较之原先没有变化，则MLSE企业网无应用故障；如果网络应用流的路由发生了变化且路径中的安全设备序列较原先有变化，此时若安全设备新成员的安全策略与路由不一致，则该安全设备新成员则是引起应用故障的原因。

3.如权利要求2，一种恢复故障方法，其特征在于，包括：

A.控制器根据安全设备定位信息，调整该安全设备的安全策略，使应用流能够随路由通过该安全设备传输，这也是算法2的基本过程；

B.算法2给出了检测并恢复故障的伪代码，其中函数GetRoutingPath可以从路由树中计算出任意两个端节点之间的通信路径；函数match可以检测基准路径与当前路径是否符合所有网络应用流的路由都没有发生变化或者网络应用流的路由发生了变化，但路径中的安全设备序列较之原先没有变化；函数GetSecEquList可以从路径中找出所有的安全设备；函数GetSecEquFaultList通过比较SecurityPolicy与SecurityPolicy0数组，找出与安全策略与路由不一致的所有安全设备；函数MergeSP将新增SE序列和安全规则组合成需要调整的七元组安全策略，其中参数false表示需要在安全设备中去除这条安全策略，参数true表示需要在安全设备中添加这条安全策略。

。