技術領域

本發明屬于網絡服務安全監管領域，特別是涉及一種VLAN（Virtual?LocalArea?Network，虛擬局域網）應用服務安全監管方法。?

背景技術

應用服務的安全監管對于企業內部資源管理，辦公自動化，調度管理等有著重要意義。信息內網應用服務安全監管系統包括應用服務發現和服務安全監管審計兩個部分，其中應用服務發現又涉及網絡拓撲發現技術，主要分為網絡層拓撲發現和鏈路層拓撲發現，用來反映網絡中路由器，交換機和主機之間的互聯關系，其為獲取監控設備列表、定位異常服務、監控服務狀態等提供基礎支撐。服務監管作為系統的主要部分，主要是對應用層協議的識別。通過系統可以對整個網絡的主機等設備進行監管，以保證網絡中的授權服務能夠正常運行，并及時發現可疑行為。?

目前能夠實現網絡監控的軟件已經不少，但是鑒于網絡和服務的復雜性，如何更快更好地發現和定位網絡服務和異常是一個很值得研究的問題。?

現有的產品主要是在IPv4網絡中發揮效用，能夠對多種網絡服務進行識別和監控，其缺點是對VLAN的支持不夠好，網絡拓撲的描繪不夠精確，也就不能正確反映網絡狀況，定位網絡服務。傳統的協議識別多為采用端口進行識別，這種識別能力隨著網絡的發展，其缺陷也越來越明顯，許多協議為了逃避監管，不使用固定的端口而采用動態端口進行通信，使用傳統的識別方法效率十分低?下，在服務的識別方面，算法的性能決定了服務審計效率的高低，而現有系統存在著普遍效率不高的瓶頸。?

發明內容

有鑒于現有技術的上述缺陷，本發明所要解決的技術問題是提供一種能夠支持在虛擬局域網中進行監管并且更加精確的應用服務安全監管方法。?

為實現上述目的，本發明提供了一種VLAN應用服務安全監管方法，包括采集MIB庫數據后計算VLAN網絡拓撲結構的步驟；其特征在于所述計算VLAN網絡拓撲結構按以下步驟進行：?

步驟一、讀取網絡中交換機的端口轉發表并計算該交換機的端口轉發表與子網標識交換機地址集合的交集；?

步驟二、判斷VLAN網絡中與步驟一所述交換機的端口轉發表匹配的交換機端口是否只有一個；當VLAN網絡中與步驟一所述交換機的端口轉發表匹配的交換機端口不只一個時，讀取該交換機其他端口轉發表并計算其與子網中標識交換機地址集合的交集，當有匹配端口且匹配端口數為1時可以確定這兩個端口是直接相連的；?

步驟三、將步驟一所述交換機的待連接端口數減1，從子網交換機標識地址集合中刪除該交換機的標識地址并將該交換機的標識地址加入局部拓撲標識地址集；?

步驟四、判斷VLAN網絡中所有交換機的待連接端口數是否為零；當VLAN網絡中所有交換機的待連接端口數均為零時，網絡拓撲發現結束，根據VLAN網絡中的交換機端口連接關系繪制網絡拓撲圖；當VLAN網絡中有交換機的待連接端口數不為零時，執行步驟一，直到VLAN網絡中所有交換機的待連接端口數均?為零。?

為了對VLAN網絡中的應用服務進行識別，進一步的，采集MIB庫數據后還包括識別應用服務的步驟；所述識別應用服務按以下步驟進行：?

各服務對應的協議用正則表達式來表示；通過網關獲取各應用服務對應的報文，對各報文的報體進行解析；獲取的報文與正則表達式進行匹配，根據匹配結果來判斷數據流所對應服務；?

所述獲取的報文與正則表達式進行匹配按以下步驟進行：?

S1、計算各正則表達式分別轉換成DFA（Deterministic?Finite?Automaton，確定的有窮自動機）的狀態數；?

S2、計算各正則表達式兩兩之間轉換成DFA的狀態數；?

S3、將具有相性的正則表達式分為一個組；?

S4、當所有正則表達式均已被分組后，應用識別結束，輸出所有正則表達式的分組情況。?

較佳的，所述采集MIB庫數據的步驟為通過SNMP協議獲取設備的MIB庫數據。?

本發明的有益效果是：本發明從提高網絡拓撲發現的精確性和提高服務識別的高效性兩個方面使對VLAN網絡的監管性能得到了提升。通過創新的拓撲發現技術和服務識別算法，系統能夠準確計算出所監管網絡的拓撲結構信息，高效地識別VLAN網絡中的應用服務。?

附圖說明

圖1是本發明的流程示意圖。?

圖2是計算VLAN網絡拓撲結構的流程示意圖。?

具體實施方式

下面結合附圖和實施例對本發明作進一步說明：?