[发明专利]计算机网络连通性自动分析系统

说明书

技术领域

本发明属于计算机网络安全技术领域，更具体的说，涉及一种计算机网络连通性自动分析系统，可通过分析网络系统中的防火墙配置文件，获取整个网络系统中各主机之间的连通性。

背景技术

网络中主机之间的连通情况是对整个网络进行脆弱性及渗透分析的基础，比如从一台主机利用目标主机的漏洞，成功入侵该主机的前提是这两台主机存在连通性，即成功利用该漏洞所需的两主机特定端口间可正常通讯。所以，获取整个网络中任意两主机的连通性对于网络安全管理及渗透测试等具有十分重要的意义。

从国内外数据库检索和文献分析看，对网络连通性的获取主要是通过测试的方法，具体来说可分为Ping测试和扫描两种方法。Ping测试是指从一台主机向目标主机发送ICMP回送请求报文(Echo Request)，然后根据能否收到目标主机返回的回送应答(Echo Reply)来判断两台主机是否连通。这种测试方法只能判断出两台主机可通过网络层的ICMP协议通信，而高层协议诸如TCP协议通信情况及具体可通信的端口号等信息都无法获取，这对于漏洞分析等显然是不够的，而且这种方法的测试次数会随着网络中主机数N的增加呈N²级别的增加，无法应用于大型网络；扫描法是指利用Nessus等工具对每台主机进行端口扫描，找到其开放运行的端口。这种方法需要对网络中所有主机的所有端口进行扫描，时间消耗比较大，难以应用于大型网络。而且由于防火墙等安全设备的存在，这种方法的准确性不高。

发明内容

本发明针对上述现有技术存在的不足，提供一种计算机网络连通性自动分析系统，通过分析网络中影响连通性的设备——防火墙的配置文件，获取有访问控制作用的规则；然后结合网络拓扑信息，将这些规则翻译为主机的连通性信息；最后将这些信息整合起来，从而得到整个网络的连通性。采用该系统消耗的时间大大低于上述两种现有技术的方法，网络中主机数目的增加对其性能的影响很小，适用于大型网络。而且本发明通过直接分析防火墙配置文件的方法判断连通性，结果的准确性得以显著提高。

为达到上述目的，本发明所采用的技术方案如下：

一种计算机网络连通性自动分析系统，包括以下部分：人机交互部分，由交互模块组成，负责用户和系统信息的交互；信息收集部分，由配置文件自动获取模块和存活主机探测模块组成，实现防火墙配置文件的获取和网络中存活主机的探测；信息预处理部分，由配置文件归一化模块和存活IP信息整合模块组成，对信息收集部分收集到的信息进行预处理，以方便核心分析部分进行分析；核心分析部分，由连通性分析模块组成，依据信息预处理部分产生的结果，分析网络中任意两台存活主机的连通性，并将连通性信息存储到数据库中；连通图绘制部分，由连通图绘制模块组成，按照数据库中的连通性信息绘制网络连通图。

所述的人机交互部分的交互界面分为以下三步：第一步，点击界面的防火墙层次结构，再输入相应防火墙的信息以获取其配置文件；第二步，将存活主机探测得到的存活主机显示给用户，用户可对此结果进行校准；第三步，向用户呈现最终生成的网络连通图。

所述的防火墙层次结构是指从最外层防火墙，到该主机直接相连的所有防火墙列举出来，将它们的外网IP分割开来组成该防火墙的配置文件名，形成唯一性的层次结构标识。

所述信息收集部分中的配置文件自动获取模块是由针对不同品牌防火墙的子模块组成。

所述信息收集部分中的存活主机探测模块的服务器端安装在被防火墙分隔开的各网段内任选一台主机上，该服务器端负责接收控制台的探测指令，对该网段内的主机进行存活性探测，然后将结果发送至控制台。

所述信息预处理部分中的配置文件归一化模块针对不同品牌防火墙的配置文件选择不同的功能子模块，并将格式各异的配置文件转换为自定义格式的XML文件。

所述信息预处理部分中的存活IP信息整合模块接收存活主机探测模块获取的结果，从中提取出存活的主机IP列表，通过人机交互模块显示给用户，用户进行校准后，将最终的IP列表保存到文件中，以供核心分析部分读取。

所述存储到数据库中的连通性信息包括源IP、源IP标识、目的IP、目的IP标识、连通端口号、协议类型。

所述核心分析部分中的连通性分析模块在分析过程中，根据防火墙主要影响与其直接相连的网段连通性的原则，从最外层防火墙开始，对转换后的配置文件按照网络拓扑进行前序深度优先遍历分析，并将连通性信息写入数据库。