[发明专利]一种网络拓扑图生成方法、系统、电子设备和存储介质

说明书

本申请提出一种网络拓扑图生成方法和系统，方法包括：扫描探测网络中的IP地址，获取网络中的资产设备的信息；部署零信任网关，获取资产设备的零信任网络交互数据，其中零信任网关部署于资产设备的数据访问前端；根据资产设备的信息和零信任网络交互数据生成网络拓扑图。本方案提出基于零信任架构自动生成网络拓扑图，有效减少人工绘制拓扑图工作量，同时基于零信任网关获取的网络交互数据，可以对人工调整的网络拓扑图结构进行自动校验纠错。进一步地，扫描探测网络中的IP地址的方式包括主动扫描探测和被动扫描探测相结合。结合并合并主动扫描探测和被动扫描探测所获得的数据有助于网络中的资产设备的完全探测和及时更新。

技术领域

本申请属于信息安全技术领域，具体的涉及一种网络拓扑图生成方法、系统、电子设备和存储介质。

背景技术

网络拓扑是指网络上各个链接和节点的排列和关系，其是帮助网络管理者对网络设备进行配置、性能监测、故障诊断等管理的重要手段。由于网络规模的增长，网络结构愈加复杂、设备类型更加多变，网络拓扑的发现和维护难度也相应地增大。然而，现有技术中的网络拓扑的发现手段还存在通用性查、设备探测效率低、更新不及时、维护不便等问题。

发明内容

针对上述问题，第一方面，本申请提出一种网络拓扑图生成方法，包括：扫描探测网络中的IP地址，获取网络中的资产设备的信息；部署零信任网关，获取资产设备的零信任网络交互数据，其中零信任网关部署于资产设备的数据访问前端；根据资产设备的信息和零信任网络交互数据生成网络拓扑图。由于零信任网络对允许扫描的范围进行了限制，通过零信任网络获取的拓扑图是在网络扫描可控范围内进行的安全扫描从而发现的资产设备，可以避免其他获取资产设备的方式中可能同时获取到其他敏感的用户数据的问题；同时，零信任架构作为管控企业内资产的体系架构，其中的资产设备所在位置带有区域属性，据此可以在网络拓扑图生成过程中可对识别到的资产设备信息进行动态区域划分。

进一步地，当资产设备的网络交互数据更新时，根据更新的资产设备的信息和网络交互数据生成网络拓扑图。

进一步地，扫描探测网络中的IP地址的方式包括主动扫描探测和被动扫描探测相结合。结合并合并主动扫描探测和被动扫描探测所获得的数据有助于网络中的资产设备的完全探测和及时更新，避免单一扫描方式可能带来的数据不准确的问题。

进一步地，主动扫描探测具体包括对固定的网段或手动配置的IP地址库进行主动扫描探测获取存活的IP地址。

进一步地，被动扫描探测具体包括分析网络中源到端的流量，获得网络中的IP地址和资产设备的被动探测网络交互数据用于生成网络拓扑图。

进一步地，资产设备的信息包括IP地址、端口、资产类型、所在区域和操作系统中的至少一类。

第二方面，本申请提出一种网络拓扑图生成系统，包括：扫描探测模块，配置用于扫描探测网络中的IP地址，获取网络中的资产设备的信息；零信任网关模块，配置用于获取资产设备的零信任网络交互数据，零信任网关部署于资产设备的数据访问前端；网络拓扑图生成模块，根据资产设备的信息和零信任网络交互数据生成网络拓扑图。

进一步地，扫描探测网络中的IP地址的方式包括主动扫描探测和被动扫描探测相结合。

第三方面，本申请提出一种用于网络拓扑图生成的电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，处理器通过运行可执行指令以实现如第一方面中描述的任一方法。

第四方面，本申请提出一种用于网络拓扑图生成的计算机可读存储介质，其上存储有一或多个计算机程序，其特征在于，该一或多个计算机程序被计算机处理器执行时实施如第一方面中描述的任一方法。

本申请提出的基于零信任架构自动生成网络拓扑图的方法和系统，可以实现有效减少人工绘制拓扑图工作量、自动纠错的效果，同时，采用主被动结合的探测扫描方法，能够抓取到完整的网络中资产设备信息，并及时动态更新，探测效率高。