專利名稱::計算機網(wǎng)絡連通性自動分析系統(tǒng)的制作方法
技術領域:
:本發(fā)明屬于計算機網(wǎng)絡安全
技術領域:
��,更具體的說��,涉及一種計算機網(wǎng)絡連通性自動分析系統(tǒng)��,可通過分析網(wǎng)絡系統(tǒng)中的防火墻配置文件��,獲取整個網(wǎng)絡系統(tǒng)中各主機之間的連通性����。
背景技術:
:網(wǎng)絡中主機之間的連通情況是對整個網(wǎng)絡進行脆弱性及滲透分析的基礎,比如從一臺主機利用目標主機的漏洞����,成功入侵該主機的前提是這兩臺主機存在連通性,即成功利用該漏洞所需的兩主機特定端口間可正常通訊���。所以�,獲取整個網(wǎng)絡中任意兩主機的連通性對于網(wǎng)絡安全管理及滲透測試等具有十分重要的意義�����。從國內(nèi)外數(shù)據(jù)庫檢索和文獻分析看�,對網(wǎng)絡連通性的獲取主要是通過測試的方法,具體來說可分為Ping測試和掃描兩種方法�。Ping測試是指從一臺主機向目標主機發(fā)送ICMP回送請求報文(EchoRequest),然后根據(jù)能否收到目標主機返回的回送應答(EchoReply)來判斷兩臺主機是否連通��。這種測試方法只能判斷出兩臺主機可通過網(wǎng)絡層的ICMP協(xié)議通信�,而高層協(xié)議諸如TCP協(xié)議通信情況及具體可通信的端口號等信息都無法獲取,這對于漏洞分析等顯然是不夠的���,而且這種方法的測試次數(shù)會隨著網(wǎng)絡中主機數(shù)N的增加呈N2級別的增加�,無法應用于大型網(wǎng)絡�����;掃描法是指利用Nessus等工具對每臺主機進行端口掃描�����,找到其開放運行的端口。這種方法需要對網(wǎng)絡中所有主機的所有端口進行掃描�����,時間消耗比較大�,難以應用于大型網(wǎng)絡。而且由于防火墻等安全設備的存在�,這種方法的準確性不高。
發(fā)明內(nèi)容本發(fā)明針對上述現(xiàn)有技術存在的不足�����,提供一種計算機網(wǎng)絡連通性自動分析系統(tǒng)����,通過分析網(wǎng)絡中影響連通性的設備——防火墻的配置文件,獲取有訪問控制作用的規(guī)則��;然后結(jié)合網(wǎng)絡拓撲信息�����,將這些規(guī)則翻譯為主機的連通性信息���;最后將這些信息整合起來���,從而得到整個網(wǎng)絡的連通性。采用該系統(tǒng)消耗的時間大大低于上述兩種現(xiàn)有技術的方法�����,網(wǎng)絡中主機數(shù)目的增加對其性能的影響很小����,適用于大型網(wǎng)絡。而且本發(fā)明通過直接分析防火墻配置文件的方法判斷連通性�����,結(jié)果的準確性得以顯著提高���。為達到上述目的���,本發(fā)明所采用的技術方案如下一種計算機網(wǎng)絡連通性自動分析系統(tǒng),包括以下部分人機交互部分�,由交互模塊組成,負責用戶和系統(tǒng)信息的交互���;信息收集部分����,由配置文件自動獲取模塊和存活主機探測模塊組成,實現(xiàn)防火墻配置文件的獲取和網(wǎng)絡中存活主機的探測����;信息預處理部分,由配置文件歸一化模塊和存活IP信息整合模塊組成����,對信息收集部分收集到的信息進行預處理,以方便核心分析部分進行分析���;核心分析部分��,由連通性分析模塊組成�����,依據(jù)信息預處理部分產(chǎn)生的結(jié)果��,分析網(wǎng)絡中任意兩臺存活主機的連通性�,并將連通性信息存儲到數(shù)據(jù)庫中�����;連通圖繪制部分,由連通圖繪制模塊組成����,按照數(shù)據(jù)庫中的連通性信息繪制網(wǎng)絡連通圖。所述的人機交互部分的交互界面分為以下三步第一步���,點擊界面的防火墻層次結(jié)構(gòu),再輸入相應防火墻的信息以獲取其配置文件��;第二步�����,將存活主機探測得到的存活主機顯示給用戶���,用戶可對此結(jié)果進行校準���;第三步,向用戶呈現(xiàn)最終生成的網(wǎng)絡連通圖��。所述的防火墻層次結(jié)構(gòu)是指從最外層防火墻����,到該主機直接相連的所有防火墻列舉出來��,將它們的外網(wǎng)IP分割開來組成該防火墻的配置文件名�,形成唯一性的層次結(jié)構(gòu)標識�����。所述信息收集部分中的配置文件自動獲取模塊是由針對不同品牌防火墻的子模塊組成���。所述信息收集部分中的存活主機探測模塊的服務器端安裝在被防火墻分隔開的各網(wǎng)段內(nèi)任選一臺主機上�,該服務器端負責接收控制臺的探測指令�,對該網(wǎng)段內(nèi)的主機進行存活性探測,然后將結(jié)果發(fā)送至控制臺�。所述信息預處理部分中的配置文件歸一化模塊針對不同品牌防火墻的配置文件選擇不同的功能子模塊,并將格式各異的配置文件轉(zhuǎn)換為自定義格式的XML文件����。所述信息預處理部分中的存活IP信息整合模塊接收存活主機探測模塊獲取的結(jié)果,從中提取出存活的主機IP列表��,通過人機交互模塊顯示給用戶��,用戶進行校準后�����,將最終的IP列表保存到文件中,以供核心分析部分讀取����。所述存儲到數(shù)據(jù)庫中的連通性信息包括源IP、源IP標識����、目的IP、目的IP標識�����、連通端口號�、協(xié)議類型�。所述核心分析部分中的連通性分析模塊在分析過程中,根據(jù)防火墻主要影響與其直接相連的網(wǎng)段連通性的原則��,從最外層防火墻開始�����,對轉(zhuǎn)換后的配置文件按照網(wǎng)絡拓撲進行前序深度優(yōu)先遍歷分析�,并將連通性信息寫入數(shù)據(jù)庫�����。所述連通圖繪制部分中的連通圖繪制模塊從數(shù)據(jù)庫中讀取連通性信息����,并使用Graphviz的Windows接口-WinGraphviz繪制出整個網(wǎng)絡的連通圖�����;其中�,Graphviz是貝爾實驗室設計的一個開源的圖表可視化項目,主要用C語言實現(xiàn)����,實現(xiàn)一些圖布局算法。本發(fā)明技術方案�,通過獲取網(wǎng)絡中所有防火墻的配置文件,并將它們轉(zhuǎn)換為統(tǒng)一的XML格式文件���,然后根據(jù)防火墻主要影響與其直接相連的網(wǎng)段連通性的原則�,從最外層防火墻開始�,對轉(zhuǎn)換后的配置文件按照網(wǎng)絡拓撲進行前序深度優(yōu)先遍歷分析,并將連通性信息,包括源IP�、目的IP、連通端口號�、協(xié)議類型等信息寫入數(shù)據(jù)庫。最后依據(jù)數(shù)據(jù)庫中的連通性信息���,使用Graphviz的windows接口——WinGraphviz繪制出整個網(wǎng)絡的連通圖�。本發(fā)明技術方案的有益效果如下1)運行速度快��,并且基本不受網(wǎng)絡規(guī)模的影響�,可應用于大型網(wǎng)絡。采用多線程并行處理���,運行速度得到了大幅提高�;只分析網(wǎng)絡中的防火墻配置文件����,無需對每臺主機進行掃描或連通性測試��,其運行速度主要受網(wǎng)絡中防火墻數(shù)量的影響����。而即使是在大型網(wǎng)絡中,防火墻數(shù)量也是遠少于主機數(shù)量,所以可應用于大型網(wǎng)絡中����。2)自動化程度高。配置文件獲取�����、配置文件歸一化存儲�、存活主機探測和配置文件分析都可自動完成,整個過程無需人工參與���。3)應用范圍廣�。本發(fā)明可用于分析包含Windows���、Unix���、Linux、MacOS等平臺主機的網(wǎng)絡的連通性���。本發(fā)明還可對網(wǎng)絡中的主機進行標記���,以識別不同網(wǎng)段中具有相同IP的主機�,從而可應用于網(wǎng)絡中有重復網(wǎng)段的情況����。4)可擴展性強。本發(fā)明采用模塊化編程�,可方便的添加對其他品牌防火墻的支持(目前本發(fā)明支持Cisco、Watchguard和Iptables防火墻)�。圖1是本發(fā)明系統(tǒng)的結(jié)構(gòu)框圖;圖2是本發(fā)明系統(tǒng)的工作流程圖��;圖3是本發(fā)明控制臺程序初始界面截圖���;圖4是轉(zhuǎn)換后的XML防火墻配置文件的部分截圖����;圖5是網(wǎng)絡連通圖實例�;圖6是本發(fā)明系統(tǒng)構(gòu)架圖;圖7是本發(fā)明抽象出的網(wǎng)絡中防火墻的樹狀結(jié)構(gòu)圖��。具體實施例方式以下結(jié)合附圖對本發(fā)明作進一步的詳細描述��。1��、網(wǎng)絡連通性自動分析系統(tǒng)的組成如圖1所示���,給出網(wǎng)絡連通性自動分析系統(tǒng)的組成����,從結(jié)構(gòu)上可分為5部分人機交互部分�、信息收集部分、信息預處理部分��、核心分析部分和連通圖繪制部分����。人機交互部分人機交互部分負責與用戶的信息交互,由交互模塊實現(xiàn)�,其交互界面共分為三步。第一步界面截圖如圖3��,用戶可點擊界面左側(cè)的防火墻層次結(jié)構(gòu)(根節(jié)點表示最外層防火墻�����,其子節(jié)點表示與該防火墻直接相連的防火墻)��,然后在右側(cè)輸入相應防火墻的生產(chǎn)廠商����、外網(wǎng)IP�����、用戶名��、密碼等信息�����,以便于獲取其配置文件���。第二步可將存活主機探測得到的存活主機IP顯示給用戶,用戶可對此結(jié)果進行校準��。第三步向用戶呈現(xiàn)最終生成的網(wǎng)絡連通圖����。信息收集部分該部分主要實現(xiàn)防火墻配置文件的獲取和網(wǎng)絡存活主機的探測,分別由配置文件自動獲取模塊和存活主機探測模塊實現(xiàn)��。配置文件自動獲取模塊由針對不同品牌防火墻的子模塊組成�����。由于防火墻品牌的差異�,其配置文件的獲取方法也有所不同。在本系統(tǒng)中�����,思科PIX防火墻配置文件的獲取采用SSH結(jié)合TFTP的方法�,Iptables配置文件的獲取只利用SSH就可實現(xiàn)。存活主機探測模塊只需要獲取哪些主機存活這一信息���,所以使用批量Ping工具即可��。由于防火墻可能會對ICMP協(xié)議進行限制�����,為了得到準確的結(jié)果��,需要在被防火墻分隔開的各網(wǎng)段內(nèi)任選一臺主機��,安裝存活主機探測模塊的服務器端�����。該服務器端負責接收控制臺的探測指令��,對該網(wǎng)段內(nèi)的主機進行存活性探測����,然后將結(jié)果發(fā)送至控制臺。信息預處理部分該部分完成信息收集部分所提供信息的預處理工作����,以方便核心分析部分進行分析。對應于信息收集部分的兩個模塊��,該部分由配置文件歸一化模塊和存活IP信息整合模塊組成�����。配置文件歸一化模塊對配置文件自動獲取模塊收集到的配置文件進行歸一化處理�����。具體來說��,該模塊會針對不同品牌防火墻的配置文件選擇不同的功能子模塊����,將格式各異的配置文件轉(zhuǎn)換為自定義格式的XML文件。該XML文件格式定義如下根元素為“Config”�����,表示配置文件。它擁有兩類子元素�����,分別為“NIC”和“Rule”�?�!癗IC”表示網(wǎng)卡配置����,每個網(wǎng)卡對應一個“NIC”元素?�!皀ame”��、“IP”和“Net”為它的三個子元素���,分別表示網(wǎng)卡名稱��、網(wǎng)卡IP和網(wǎng)卡所在子網(wǎng)��?��!癛ule”表示一條防火墻規(guī)則�����,它擁有如下子元素“id”——規(guī)則的標識碼��,由自增的整數(shù)表示�����;“type”——規(guī)則的類型��,有“default”和“normal”兩種�,前者表示防火墻默認策略�����,后者表示普通規(guī)則�����;“action”——規(guī)則動作��,有“allow”和“deny”兩種���,分別表示允許和拒絕�����;“from”——源地址���,可以是單個IP���,也可以是一個網(wǎng)段�;“to”——目的地址,可支持的類型同“from”;“nat”——地址轉(zhuǎn)換�,主要指目的地址轉(zhuǎn)換,由“待轉(zhuǎn)換IP-轉(zhuǎn)換后IP轉(zhuǎn)換后端口號”結(jié)構(gòu)表示�����;“port”——規(guī)則涉及的端口號��;“protocol”規(guī)則涉及的協(xié)議類型��;“timeMart”——規(guī)則開始作用時間(僅支持Iptables防火墻)���;“timeMop”——規(guī)則結(jié)束作用時間(僅支持Iptables防火墻)���。圖4為轉(zhuǎn)換后的Iptables防火墻配置文件的部分截圖���,由圖中可以看出該防火墻連接了三個網(wǎng)段,其中的ι號規(guī)則表示允許任何一臺主機訪問IP地址為“192.168.0.2”的主機(也就是防火墻本身)�����,并將它們對該主機80端口的訪問導向到“192.168.1.2”主機的80端口�����。目前該模塊可支持思科PIX����、Iptables和Watchguard防火墻的配置文件歸一化處理。如需支持其他品牌的防火墻�,可在該模塊添加相應的功能子模塊。存活IP信息整合模塊接收存活主機探測模塊獲取的結(jié)果����,從中提取出存活的主機IP列表,通過人機交互模塊顯示給用戶���。用戶進行校準后�����,將最終的IP列表保存到文件中��,以供核心分析部分讀取���。核心分析部分該部分是整個系統(tǒng)的核心���,主要功能是分析信息預處理部分產(chǎn)生的結(jié)果,獲取網(wǎng)絡中任意兩臺存活主機的連通性�����,然后將這些信息存儲到數(shù)據(jù)庫中���。該部分由連通性分析模塊實現(xiàn)。在分析過程中���,根據(jù)防火墻主要影響與其直接相連的網(wǎng)段連通性的原則�,該模塊從最外層防火墻開始���,對轉(zhuǎn)換后的配置文件按照網(wǎng)絡拓撲進行前序深度優(yōu)先遍歷分析�,并將得到的連通性信息寫入數(shù)據(jù)庫。具體分析一臺防火墻的配置文件時�,該模塊首先將其默認策略所代表的連通主機信息寫入數(shù)據(jù)庫,然后依據(jù)其它普通規(guī)則�����,對數(shù)據(jù)庫中的信息進行修改���,最終得到該防火墻所連網(wǎng)段間的連通性信息�����。該模塊寫入數(shù)據(jù)庫的連通性信息包括源IP�、源IP標識�����、目的IP��、目的IP標識�����、連通端口號����、協(xié)議類型��,分別對應數(shù)據(jù)庫中“NetConnectivity����,����,表的“SourceIP”、"SourceIPLocation'\"DestinationIP'\"DestinationIPLocation"Port"Protocol"列����。其中的IP標識是為了識別網(wǎng)絡中不同網(wǎng)段內(nèi)可能存在的具有相同IP的主機而設置的。針對這種情況����,可用與該主機直接相連的防火墻外網(wǎng)IP作為標識�,但由于防火墻的外網(wǎng)IP可能也是不唯一的,比如在不同網(wǎng)段內(nèi)可能存在IP相同的防火墻��,所以在該模塊中選擇使用與該主機相連的防火墻外網(wǎng)IP的層次結(jié)構(gòu)作為標識��,具體來說��,就是將從最外層防火墻,到該主機直接相連的所有防火墻列舉出來�����,將它們的外網(wǎng)IP用“/”分割���,組成了層次結(jié)構(gòu)標識�����,這樣就確保了標識的唯一性����。6數(shù)據(jù)庫中存放網(wǎng)絡中所有連通的主機IP及具體可通信的端口號和協(xié)議類型����。數(shù)據(jù)庫只含有“NetConnectivity”這一張表。該表中的“SourceIP”��、“SourceIPLocation����,,�、“DestinationIP”�����、“DestinationIPLocation”都是唯一的�����,以確保兩臺主機間最多有一條連通性記錄�����。當源主機和目標主機間可通訊的端口號多于一個時���,“Port”列的值可使用集合的形式表示。該模塊與數(shù)據(jù)庫間的連接采用了ADO(ActiveXDataObjects)方式�����,以簡化系統(tǒng)部署過程��,增加系統(tǒng)的可移植性����。連通性繪制部分該部分負責向用戶提供最終的網(wǎng)絡連通性結(jié)果——網(wǎng)絡連通圖�,由連通圖繪制模塊組成���。該模塊從數(shù)據(jù)庫中讀取連通性信息,并使用Graphviz的Windows接口——WinGraphviz繪制出整個網(wǎng)絡的連通圖�����。Graphviz是貝爾實驗室設計的一個開源的圖表可視化項目�,主要用C語言實現(xiàn),實現(xiàn)了一些圖布局算法�。通過這些算法,可以將圖中的節(jié)點在畫布上比較均勻的分布�����,縮短節(jié)點之間的邊長��,并且盡量的減少邊的交叉����。最終生成的網(wǎng)絡連通圖如圖5。圖中橢圓形的節(jié)點表示一臺主機�,由其IP地址和圓括號中的標識表示。兩臺主機的連通性用有向箭頭表示��,箭頭由源主機指向目標主機。箭頭旁邊的標簽表示可通訊的端口號和協(xié)議���,由“Port”和“ftOtocol”關鍵詞區(qū)分��。圖中的OutNet節(jié)點表示外網(wǎng)���。網(wǎng)段192.168.1.0/為內(nèi)網(wǎng)網(wǎng)段,包括三臺主機�����。192.168.0.3為DMZ(非軍事區(qū))中的一臺Web服務器����,其80端口對外網(wǎng)和內(nèi)網(wǎng)主機開放。192.168.2.2為一臺數(shù)據(jù)庫服務器��,它與Web服務器之間使用防火墻相隔�。該防火墻僅允許Web服務器訪問數(shù)據(jù)庫服務器的1433端口。網(wǎng)絡連通性自動分析系統(tǒng)工作流程圖2給出了網(wǎng)絡連通性自動分析系統(tǒng)的工作流程圖����,現(xiàn)結(jié)合該圖進行說明。系統(tǒng)運行前首先需搭建運行環(huán)境�����,需要根據(jù)網(wǎng)段信息將存活主機探測模塊的服務器端安裝到各網(wǎng)段中的任意一臺主機上�����,并將其開啟����,以等待控制臺發(fā)送指令。對于各防火墻需根據(jù)其類型開啟特定的端口及服務���,如開啟思科防火墻的SSH服務等��,并設置賦予控制臺必要的權(quán)限���,以便于控制臺獲取其配置文件。具體部署可參考圖6����。圖中防火墻0為最外層防火墻,連接了外網(wǎng)���,內(nèi)網(wǎng)和非軍事區(qū)(DMZ)���。在非軍事區(qū)中存在一臺Web服務器和一臺FTP服務器���,防火墻0-1將它們和數(shù)據(jù)庫隔離。內(nèi)網(wǎng)中存在四臺主機�����。網(wǎng)絡連通性控制臺部署在主機1上����,因為它可以訪問網(wǎng)絡中的任何一臺主機。存活主機探測服務器分別部署在主機3�����、FTP服務器和數(shù)據(jù)庫上�,以確保每個網(wǎng)段中均含有一個存活主機探測服務器。搭建好網(wǎng)絡環(huán)境后�,控制臺系統(tǒng)開始工作。首先是信息收集和預處理過程���。用戶在交互模塊中輸入各防火墻的品牌��、IP地址及用戶名密碼等相關信息���,這些信息將被配置文件自動獲取模塊獲得�����,它將依據(jù)這些信息選擇適當?shù)姆椒ǐ@取指定IP的防火墻的配置文件����,然后將這些文件交給配置文件歸一化模塊����,后者根據(jù)設備類型選擇合適的子模塊將配置文件轉(zhuǎn)換為統(tǒng)一的XML格式�,并存儲在系統(tǒng)的指定位置。然后存活主機探測模塊遍歷這些轉(zhuǎn)換后的配置文件���,從中獲取網(wǎng)絡中的網(wǎng)段信息��,如網(wǎng)段IP范圍等�����,并根據(jù)用戶輸入的存活主機探測服務器IP��,將網(wǎng)段IP范圍等信息發(fā)送給該網(wǎng)段內(nèi)的探測服務器�。這些探測服務器將以此為參數(shù)探測該網(wǎng)段內(nèi)的存活主機����,并將結(jié)果發(fā)送給控制臺的存活IP信息整合模塊�����。存活IP信息整合模塊首先將收到的結(jié)果發(fā)送到交互模塊�����,呈現(xiàn)給用戶�。用戶對這些信息進行校準后���,交互模塊再將其發(fā)回到存活IP信息整合模塊��。后者將用戶校準后的存活主機IP列表保存為文件���,以供分析模塊讀取。在信息收集和預處理完成后�����,連通性分析模塊開始工作��。該模塊分析收到的信息,得到網(wǎng)絡中任意兩臺存活主機的連通性信息�����,并將結(jié)果保存到數(shù)據(jù)庫中��。然后連通圖繪制模塊從數(shù)據(jù)庫讀取連通性信息���,并調(diào)用繪圖接口��,繪制出指定格式的連通圖,最終通過交互模塊呈現(xiàn)給用戶���。2�����、主要關鍵技術前序深度優(yōu)先遍歷分析配置文件根據(jù)防火墻主要影響與其直接相連的網(wǎng)段連通性的原則��,核心分析模塊從最外層防火墻開始�,對轉(zhuǎn)換后的配置文件按照網(wǎng)絡拓撲進行前序深度優(yōu)先遍歷分析��。在分析過程中�����,可以將網(wǎng)絡中的所有防火墻抽象為一個樹狀結(jié)構(gòu),如圖7所示�。根節(jié)點FirewallO為最外層防火墻,其子節(jié)點表示與它直接相連的防火墻���,再下層以此類推�。為了實現(xiàn)深度優(yōu)先遍歷���,轉(zhuǎn)換后的配置文件名以此規(guī)則命名列舉出從最外層防火墻到該防火墻之間的所有防火墻�����,將它們的外網(wǎng)IP用“/”分割����,組成該防火墻的配置文件名��。如圖7中FirewallO-1-2轉(zhuǎn)換后的配置文件名應該為“IPofFirewallO/IPofFirewallO-l/IPofFirewallO-1-2.xml”�����。核心分析模塊會調(diào)用一個遞歸函數(shù)�,該函數(shù)會分析當前防火墻配置文件并按照文件名查找下層防火墻配置文件��,然后以此文件名為參數(shù)進行遞歸���。IP地址標識IP地址標識是為了識別網(wǎng)絡中不同網(wǎng)段內(nèi)可能存在的具有相同IP的主機而設置的。針對這種情況�,可用與該主機直接相連的防火墻外網(wǎng)IP作為標識,但由于防火墻的外網(wǎng)IP可能也是不唯一的���,比如在不同網(wǎng)段內(nèi)可能存在IP相同的防火墻�,所以該系統(tǒng)按照圖7所示將網(wǎng)絡中的防火墻抽象為一個樹狀結(jié)構(gòu)�����,使用與該主機相連的防火墻外網(wǎng)IP的樹狀結(jié)構(gòu)作為標識����,具體來說����,就是將從最外層防火墻,到該主機直接相連的所有防火墻列舉出來���,將它們的外網(wǎng)IP用“/”分割�,組成了層次結(jié)構(gòu)標識,這樣就確保了標識的唯一性�����。權(quán)利要求1.一種計算機網(wǎng)絡連通性自動分析系統(tǒng)����,其特征在于,包括以下部分人機交互部分���,由交互模塊組成�,負責用戶和系統(tǒng)信息的交互�����;信息收集部分�����,由配置文件自動獲取模塊和存活主機探測模塊組成���,實現(xiàn)防火墻配置文件的獲取和網(wǎng)絡中存活主機的探測�;信息預處理部分,由配置文件歸一化模塊和存活IP信息整合模塊組成��,對信息收集部分收集到的信息進行預處理�,以方便核心分析部分進行分析;核心分析部分��,由連通性分析模塊組成���,依據(jù)信息預處理部分產(chǎn)生的結(jié)果�����,分析網(wǎng)絡中任意兩臺存活主機的連通性�����,并將連通性信息存儲到數(shù)據(jù)庫中�;連通圖繪制部分�,由連通圖繪制模塊組成,按照數(shù)據(jù)庫中的連通性信息繪制網(wǎng)絡連通圖�。2.根據(jù)權(quán)利要求1所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)�����,其特征在于,所述的人機交互部分的交互界面分為以下三步第一步���,點擊界面的防火墻層次結(jié)構(gòu)�����,再輸入相應防火墻的信息以獲取其配置文件�����;第二步���,將存活主機探測得到的存活主機顯示給用戶,用戶可對此結(jié)果進行校準���;第三步���,向用戶呈現(xiàn)最終生成的網(wǎng)絡連通圖。3.根據(jù)權(quán)利要求2所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)���,其特征在于�,所述的防火墻層次結(jié)構(gòu)是指從最外層防火墻��,到該主機直接相連的所有防火墻列舉出來,將它們的外網(wǎng)IP分割開來組成該防火墻的配置文件名�����,形成唯一性的層次結(jié)構(gòu)標識���。4.根據(jù)權(quán)利要求1所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)����,其特征在于����,所述信息收集部分中的配置文件自動獲取模塊是由針對不同品牌防火墻的子模塊組成。5.根據(jù)權(quán)利要求1所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)����,其特征在于,所述信息收集部分中的存活主機探測模塊的服務器端安裝在被防火墻分隔開的各網(wǎng)段內(nèi)任選一臺主機上�����,該服務器端負責接收控制臺的探測指令�,對該網(wǎng)段內(nèi)的主機進行存活性探測,然后將結(jié)果發(fā)送至控制臺��。6.根據(jù)權(quán)利要求1所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)�,其特征在于,所述信息預處理部分中的配置文件歸一化模塊針對不同品牌防火墻的配置文件選擇不同的功能子模塊����,并將格式各異的配置文件轉(zhuǎn)換為自定義格式的XML文件。7.根據(jù)權(quán)利要求6所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)��,其特征在于����,所述信息預處理部分中的存活IP信息整合模塊接收存活主機探測模塊獲取的結(jié)果,從中提取出存活的主機IP列表��,通過人機交互模塊顯示給用戶�,用戶進行校準后,將最終的IP列表保存到文件中���,以供核心分析部分讀取�。8.根據(jù)權(quán)利要求7所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)�,其特征在于,所述存儲到數(shù)據(jù)庫中的連通性信息包括源IP�����、源IP標識、目的IP�、目的IP標識、連通端口號��、協(xié)議類型�����。9.根據(jù)權(quán)利要求8所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)�����,其特征在于����,所述核心分析部分中的連通性分析模塊在分析過程中,根據(jù)防火墻主要影響與其直接相連的網(wǎng)段連通性的原則�,從最外層防火墻開始,對轉(zhuǎn)換后的配置文件按照網(wǎng)絡拓撲進行前序深度優(yōu)先遍歷分析�����,并將連通性信息寫入數(shù)據(jù)庫��。10.根據(jù)權(quán)利要求9所述的計算機網(wǎng)絡連通性自動分析系統(tǒng)���,其特征在于���,所述連通圖繪制部分中的連通圖繪制模塊從數(shù)據(jù)庫中讀取連通性信息,并使用Graphviz的Windows接口——WinGraphviz繪制出整個網(wǎng)絡的連通圖���;其中����,Graphviz是貝爾實驗室設計的一個開源的圖表可視化項目�,主要用C語言實現(xiàn),實現(xiàn)一些圖布局算法���。全文摘要本發(fā)明公開了一種計算機網(wǎng)絡連通性自動分析系統(tǒng)���,該系統(tǒng)通過分析網(wǎng)絡中影響連通性的設備(主要是防火墻)配置文件,獲取網(wǎng)絡中任意兩臺存活主機的連通性���,由人機交互部分�、信息收集部分����、信息預處理部分�、核心分析部分和連通圖繪制部分組成����。人機交互部分實現(xiàn)用戶和系統(tǒng)信息的交互;信息收集部分完成防火墻配置文件的獲取和網(wǎng)絡中存活主機的探測����;信息預處理部分對信息收集部分收集到的信息進行預處理;核心分析部分分析信息預處理部分產(chǎn)生的結(jié)果��,獲取任意兩存活主機的連通性信息���;連通圖繪制部分繪制網(wǎng)絡連通圖���。本發(fā)明運行速度快,并且基本不受網(wǎng)絡規(guī)模的影響���,可應用于大型網(wǎng)絡��,還具有自動化程度高���、應用范圍廣、可擴展性強的優(yōu)點。文檔編號H04L12/26GK102413012SQ20111037052公開日2012年4月11日申請日期2011年11月21日優(yōu)先權(quán)日2011年11月21日發(fā)明者劉龍,李建華,陳秀真申請人:上海交通大學