本發(fā)明涉及一種基于網(wǎng)絡(luò)行為模型的網(wǎng)絡(luò)拓?fù)錁?gòu)建方法與系統(tǒng)，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。

背景技術(shù)：

網(wǎng)絡(luò)模擬技術(shù)自20世紀(jì)70年代就被提出并且作為研究熱點(diǎn)研究至今。隨著現(xiàn)今大規(guī)模網(wǎng)絡(luò)事件以及網(wǎng)絡(luò)攻擊協(xié)議的不斷增加，對(duì)于網(wǎng)絡(luò)事件以及網(wǎng)絡(luò)攻擊協(xié)議的破壞性以及破壞范圍的評(píng)估顯得尤為重要?，F(xiàn)今的網(wǎng)絡(luò)模擬技術(shù)主要有并行網(wǎng)絡(luò)模擬技術(shù)以及分布式網(wǎng)絡(luò)模擬技術(shù)，主要的代表系統(tǒng)為NS3網(wǎng)絡(luò)模擬工具。

對(duì)于并行網(wǎng)絡(luò)模擬技術(shù)而言單進(jìn)程中的網(wǎng)絡(luò)規(guī)模是一個(gè)非常重要的衡量標(biāo)準(zhǔn)，已有的網(wǎng)絡(luò)模擬技術(shù)由于網(wǎng)絡(luò)節(jié)點(diǎn)與網(wǎng)絡(luò)鏈路的建模的局限性導(dǎo)致了在單點(diǎn)單進(jìn)程中的網(wǎng)絡(luò)規(guī)模無(wú)法滿(mǎn)足現(xiàn)今的大規(guī)模網(wǎng)絡(luò)模擬要求。對(duì)于分布式網(wǎng)絡(luò)模擬而言，單位時(shí)間內(nèi)的處理事件的數(shù)量也是一個(gè)提供參考的依據(jù)。由于事件所占的空間較大，并且在大規(guī)模網(wǎng)絡(luò)中單位時(shí)間生成事件較多，從而使處理時(shí)間的能力大大降低。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)現(xiàn)有技術(shù)中存在的技術(shù)問(wèn)題，本發(fā)明的目的在于提供一種基于網(wǎng)絡(luò)行為模型的網(wǎng)絡(luò)拓?fù)錁?gòu)建方法與系統(tǒng)。

本方法利用網(wǎng)絡(luò)行為模型，即以網(wǎng)絡(luò)行為中所依賴(lài)的信息為模型基礎(chǔ)，減少網(wǎng)絡(luò)節(jié)點(diǎn)在模擬中所占用的空間，縮小網(wǎng)絡(luò)模擬事件中數(shù)據(jù)包的容量，提高網(wǎng)絡(luò)模擬過(guò)程中處理事件的效率，擴(kuò)大單進(jìn)程下網(wǎng)絡(luò)模擬規(guī)模，為大規(guī)模網(wǎng)絡(luò)模擬事件以及網(wǎng)絡(luò)攻擊事件的復(fù)現(xiàn)分析提供基礎(chǔ)。

本發(fā)明的技術(shù)方案為：

一種網(wǎng)絡(luò)拓?fù)錁?gòu)建方法，其步驟為：

1)從用戶(hù)配置的網(wǎng)絡(luò)拓?fù)湫畔⒅薪馕龀鲫P(guān)于網(wǎng)絡(luò)行為的必要信息，包括抽象路由表、抽象協(xié)議棧以及設(shè)定的數(shù)據(jù)統(tǒng)計(jì)項(xiàng)，生成中間配置信息；

2)根據(jù)該中間配置信息中的抽象路由表、抽象協(xié)議棧以及數(shù)據(jù)統(tǒng)計(jì)項(xiàng)按照節(jié)點(diǎn)信息、鏈路信息、路由信息進(jìn)行分類(lèi)；

3)將步驟2)分類(lèi)后的信息作為基礎(chǔ)信息建立事件處理模型；

4)該事件處理模型將事先預(yù)計(jì)發(fā)生的網(wǎng)絡(luò)行為動(dòng)作抽象成網(wǎng)絡(luò)事件存入事件隊(duì)列中；

5)對(duì)于事件隊(duì)列中的每一事件，通過(guò)查詢(xún)?cè)撌录墓?jié)點(diǎn)信息、鏈路信息以及路由信息確定該事件的下一步網(wǎng)絡(luò)行為動(dòng)作的鏈路信息、節(jié)點(diǎn)信息、以及事件動(dòng)作并生成新的網(wǎng)絡(luò)事件插入到事件隊(duì)列中，完成網(wǎng)絡(luò)拓?fù)涞臉?gòu)建。

進(jìn)一步的，設(shè)定的所述數(shù)據(jù)統(tǒng)計(jì)項(xiàng)包括節(jié)點(diǎn)最大處理數(shù)據(jù)包數(shù)、節(jié)點(diǎn)時(shí)延以及鏈路時(shí)延。

進(jìn)一步的，該事件處理模型將網(wǎng)絡(luò)中數(shù)據(jù)包的變化以及傳遞均抽象為網(wǎng)絡(luò)事件。

進(jìn)一步的，該事件處理模型包括網(wǎng)絡(luò)事件隊(duì)列以及網(wǎng)絡(luò)事件調(diào)度器；其中，網(wǎng)絡(luò)事件調(diào)度器包含事件提取器、事件處理器以及事件分發(fā)器；事件提取器將網(wǎng)絡(luò)事件隊(duì)列中的網(wǎng)絡(luò)事件提取出來(lái)并交給事件處理器，事件處理器將網(wǎng)絡(luò)事件所涉及到的數(shù)據(jù)包以及協(xié)議安排給網(wǎng)絡(luò)事件發(fā)生的節(jié)點(diǎn)進(jìn)行處理并等待返回結(jié)果，并將結(jié)果組合成新的網(wǎng)絡(luò)事件，通過(guò)事件分發(fā)器插入網(wǎng)絡(luò)事件隊(duì)列中。

進(jìn)一步的，所述網(wǎng)絡(luò)事件包括基礎(chǔ)信息中的節(jié)點(diǎn)IP、事件發(fā)生的鏈路信息、數(shù)據(jù)包類(lèi)型與內(nèi)容、發(fā)送或接受動(dòng)作的標(biāo)志位。

一種網(wǎng)絡(luò)拓?fù)錁?gòu)建系統(tǒng)，其特征在于，包括，網(wǎng)絡(luò)行為模型抽象模塊，網(wǎng)絡(luò)配置解析模塊，事件處理模型；其中，

網(wǎng)絡(luò)行為模型抽象模塊，用于從用戶(hù)配置的網(wǎng)絡(luò)拓?fù)湫畔⒅薪馕龀鲫P(guān)于網(wǎng)絡(luò)行為的必要信息，包括抽象路由表、抽象協(xié)議棧以及設(shè)定的數(shù)據(jù)統(tǒng)計(jì)項(xiàng)，生成中間配置信息；

網(wǎng)絡(luò)配置解析模塊，用于根據(jù)該中間配置信息中的抽象路由表、抽象協(xié)議棧以及數(shù)據(jù)統(tǒng)計(jì)項(xiàng)按照節(jié)點(diǎn)信息、鏈路信息、路由信息進(jìn)行分類(lèi)，將分類(lèi)后的信息作為基礎(chǔ)信息建立事件處理模型；

事件處理模型，用于將該事件處理模型將事先預(yù)計(jì)發(fā)生的網(wǎng)絡(luò)行為動(dòng)作抽象成網(wǎng)絡(luò)事件存入事件隊(duì)列中；然后對(duì)于事件隊(duì)列中的每一事件，通過(guò)查詢(xún)?cè)撌录墓?jié)點(diǎn)信息、鏈路信息以及路由信息確定該事件的下一步網(wǎng)絡(luò)行為動(dòng)作的鏈路信息、節(jié)點(diǎn)信息、以及事件動(dòng)作并生成新的網(wǎng)絡(luò)事件插入到事件隊(duì)列中，完成網(wǎng)絡(luò)拓?fù)涞臉?gòu)建。

本方法針對(duì)具體網(wǎng)絡(luò)行為需求，以實(shí)現(xiàn)網(wǎng)絡(luò)行為為根本目的，忽略在網(wǎng)絡(luò)行為中沒(méi)有作用或在抽象中可以進(jìn)行弱化的網(wǎng)絡(luò)設(shè)備及屬性。本方案能夠處理大規(guī)模的網(wǎng)絡(luò)拓?fù)湫枨螅F(xiàn)處理能力為單進(jìn)程10萬(wàn)節(jié)點(diǎn)分鐘級(jí)部署。系統(tǒng)通過(guò)用戶(hù)配置的信息對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)以及網(wǎng)絡(luò)鏈路進(jìn)行網(wǎng)絡(luò)行為模型抽象，并進(jìn)行具體配置。配置完畢后將網(wǎng)絡(luò)節(jié)點(diǎn)以及網(wǎng)絡(luò)鏈路進(jìn)行部署，搭建出一個(gè)高抽象粒度的網(wǎng)絡(luò)拓?fù)洵h(huán)境。關(guān)鍵技術(shù)主要有：網(wǎng)絡(luò)行為模型抽象技術(shù)，網(wǎng)絡(luò)配置解析技術(shù)以及網(wǎng)絡(luò)行為模型事件處理技術(shù)。

基于網(wǎng)絡(luò)行為模型抽象技術(shù)：對(duì)于網(wǎng)絡(luò)行為模型，實(shí)現(xiàn)分鐘級(jí)大規(guī)模部署必須對(duì)網(wǎng)絡(luò)中各個(gè)部分進(jìn)行抽象。對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)來(lái)說(shuō)，網(wǎng)卡、Mac表、路由表以及協(xié)議棧均為必要的信息，但是對(duì)于一個(gè)大型的網(wǎng)絡(luò)行為模型網(wǎng)絡(luò)來(lái)說(shuō)，系統(tǒng)并不關(guān)注網(wǎng)卡與Mac表，原因在于網(wǎng)絡(luò)的鏈路以及網(wǎng)絡(luò)的整體部署均可在單機(jī)單進(jìn)程下完成，網(wǎng)絡(luò)內(nèi)部的節(jié)點(diǎn)(除關(guān)鍵節(jié)點(diǎn))并不需要網(wǎng)卡與Mac表，節(jié)點(diǎn)的IP地址可以通過(guò)節(jié)點(diǎn)屬性進(jìn)行定義，同理，路由表與協(xié)議棧也進(jìn)行了抽象模擬，是得抽象后的網(wǎng)絡(luò)行為模型節(jié)點(diǎn)更適合快速部署，網(wǎng)絡(luò)節(jié)點(diǎn)抽象架構(gòu)圖如圖1所示。

網(wǎng)絡(luò)配置解析技術(shù)：對(duì)于大規(guī)模網(wǎng)絡(luò)來(lái)說(shuō)，網(wǎng)絡(luò)配置信息是非常龐大的，僅僅對(duì)配置進(jìn)行遍歷并進(jìn)行分類(lèi)處理已經(jīng)不能夠滿(mǎn)足需求。網(wǎng)絡(luò)行為模型將配置文件分為三個(gè)部分：路由器節(jié)點(diǎn)、交換機(jī)節(jié)點(diǎn)以及終端節(jié)點(diǎn)。通過(guò)這三個(gè)部分的信息進(jìn)行快速的單次遍歷，將信息提取出來(lái)并生成預(yù)處理信息，通過(guò)簡(jiǎn)化后的預(yù)處理信息即可將完整的大規(guī)模網(wǎng)絡(luò)信息總結(jié)出來(lái)，網(wǎng)絡(luò)配置處理流程圖如圖2所示。

網(wǎng)絡(luò)行為模型事件處理技術(shù)：網(wǎng)絡(luò)行為模型的核心技術(shù)為事件處理技術(shù)，網(wǎng)絡(luò)行為模型中將數(shù)據(jù)包的變化以及傳遞均抽象為事件。網(wǎng)絡(luò)行為模型事件處理技術(shù)架構(gòu)分為網(wǎng)絡(luò)事件隊(duì)列以及網(wǎng)絡(luò)事件調(diào)度器，網(wǎng)絡(luò)事件隊(duì)列存儲(chǔ)著網(wǎng)絡(luò)行為模型模塊中的所有發(fā)生的網(wǎng)絡(luò)事件，網(wǎng)絡(luò)事件調(diào)度器包含事件提取器、事件處理器以及事件分發(fā)器。事件提取器將網(wǎng)絡(luò)事件隊(duì)列中的事件提取出來(lái)并交給事件處理器，事件處理器通過(guò)分析事件將事件所涉及到的數(shù)據(jù)包以及協(xié)議安排給事件發(fā)生的節(jié)點(diǎn)進(jìn)行處理等待返回結(jié)果，并將得到的新的鏈路信息、節(jié)點(diǎn)信息、以及事件動(dòng)作等結(jié)果組合成新的事件，通過(guò)事件分發(fā)器插入網(wǎng)絡(luò)事件隊(duì)列中，事件處理技術(shù)架構(gòu)圖如圖3所示。此技術(shù)可以實(shí)現(xiàn)每分鐘處理60萬(wàn)個(gè)網(wǎng)絡(luò)事件的速度。

本方法的實(shí)現(xiàn)流程為：

首先利用基于網(wǎng)絡(luò)行為模型抽象技術(shù)將用戶(hù)配置的網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行解析，過(guò)濾掉MAC信息、端口信息等信息，分析出關(guān)于網(wǎng)絡(luò)行為的必要信息，生成中間配置信息，即抽象路由表，抽象協(xié)議棧以及必要的數(shù)據(jù)統(tǒng)計(jì)項(xiàng)如節(jié)點(diǎn)最大處理數(shù)據(jù)包數(shù)，節(jié)點(diǎn)時(shí)延，以及鏈路時(shí)延等。

然后利用網(wǎng)絡(luò)配置解析技術(shù)將生成的中間配置信息進(jìn)行進(jìn)一步的部署，將抽象路由表、抽象協(xié)議棧以及數(shù)據(jù)統(tǒng)計(jì)項(xiàng)統(tǒng)一劃分為節(jié)點(diǎn)信息，鏈路信息以及路由信息并集中管理完成了網(wǎng)絡(luò)拓?fù)涞拇鎯?chǔ)。將劃分好的信息分別開(kāi)辟空間存儲(chǔ)，部署后的信息將作為基礎(chǔ)信息提供給網(wǎng)絡(luò)行為模型事件處理技術(shù)，網(wǎng)絡(luò)行為模型事件處理技術(shù)中的事件信息由基礎(chǔ)信息中的節(jié)點(diǎn)IP、事件發(fā)生的鏈路信息，以及數(shù)據(jù)包類(lèi)型與內(nèi)容和體現(xiàn)發(fā)送或接受動(dòng)作的標(biāo)志位組成。

然后利用網(wǎng)絡(luò)行為模型事件處理技術(shù)將事先設(shè)定好的預(yù)計(jì)發(fā)生的網(wǎng)絡(luò)行為動(dòng)作抽象成網(wǎng)絡(luò)事件存入事件隊(duì)列中，網(wǎng)絡(luò)拓?fù)涑橄笙到y(tǒng)接收事件并解析，通過(guò)查詢(xún)節(jié)點(diǎn)信息，鏈路信息以及路由信息確定當(dāng)前事件的下一步的網(wǎng)絡(luò)行為動(dòng)作的鏈路信息、節(jié)點(diǎn)信息、以及事件動(dòng)作并生成新的事件插入事件隊(duì)列中，進(jìn)而完成網(wǎng)絡(luò)拓?fù)涞恼＿\(yùn)行工作。

與現(xiàn)有技術(shù)相比，本發(fā)明的積極效果為：

1、本發(fā)明網(wǎng)絡(luò)中的各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)均按照網(wǎng)絡(luò)行為模型進(jìn)行抽象，降低存儲(chǔ)空間；

2、網(wǎng)絡(luò)中每個(gè)鏈路均進(jìn)行基于網(wǎng)絡(luò)行為模型的抽象，在不影響網(wǎng)絡(luò)正常行為的基礎(chǔ)上降低存儲(chǔ)空間并提高傳輸效率；

3、網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)以及鏈路均可以相應(yīng)任何的網(wǎng)絡(luò)行為動(dòng)作，并且規(guī)模實(shí)現(xiàn)單機(jī)單進(jìn)程10萬(wàn)節(jié)點(diǎn)，每秒處理網(wǎng)絡(luò)事件1萬(wàn)件。

本發(fā)明可以突破大估摸網(wǎng)絡(luò)模擬的搭建瓶頸，保留必要的網(wǎng)絡(luò)資源，降低網(wǎng)絡(luò)搭建成本與搭建時(shí)間，提高了網(wǎng)絡(luò)中信息的傳遞時(shí)間。使用范圍為企事業(yè)單位以及各研究所的大規(guī)模網(wǎng)絡(luò)模擬，如今隨著大規(guī)模安全事件以及網(wǎng)絡(luò)攻擊協(xié)議的不斷出現(xiàn)，使得網(wǎng)絡(luò)模擬方面對(duì)規(guī)模，性能，能耗均有更高的要求。本發(fā)明可以結(jié)合并行網(wǎng)絡(luò)模擬技術(shù)，構(gòu)建出新型的大規(guī)模網(wǎng)絡(luò)。

附圖說(shuō)明

圖1為基于網(wǎng)絡(luò)行為模型的網(wǎng)絡(luò)拓?fù)錁?gòu)建方法的網(wǎng)絡(luò)節(jié)點(diǎn)抽象架構(gòu)圖；

圖2是基于網(wǎng)絡(luò)行為模型的網(wǎng)絡(luò)拓?fù)錁?gòu)建方法的網(wǎng)絡(luò)配置處理流程圖；

圖3是基于網(wǎng)絡(luò)行為模型的網(wǎng)絡(luò)拓?fù)錁?gòu)建方法的事件處理技術(shù)架構(gòu)圖。

具體實(shí)施方式

以下結(jié)合實(shí)施例和附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明，但不構(gòu)成對(duì)本發(fā)明的限制。

實(shí)例1基于網(wǎng)絡(luò)行為模型的網(wǎng)絡(luò)模擬化引擎

本發(fā)明在此系統(tǒng)中的作用是為大規(guī)模的網(wǎng)絡(luò)模擬提出解決方案。本發(fā)明不僅能夠解決大規(guī)模網(wǎng)絡(luò)快速部署的難點(diǎn)，還為大規(guī)模網(wǎng)絡(luò)的運(yùn)行提供了快速的事件處理。

示例：構(gòu)建大規(guī)模虛擬網(wǎng)絡(luò)。

解決方案：將用戶(hù)輸入的配置進(jìn)行解析，具體配置如下所示：

其中mms_router表示網(wǎng)絡(luò)中的路由器節(jié)點(diǎn)，mms_host代表主機(jī)節(jié)點(diǎn)，以這兩類(lèi)節(jié)點(diǎn)為例，在節(jié)點(diǎn)標(biāo)簽內(nèi)部對(duì)ip地址、連接關(guān)系、子網(wǎng)掩碼、網(wǎng)絡(luò)時(shí)延均作出了設(shè)置。

并通過(guò)網(wǎng)絡(luò)模型構(gòu)建技術(shù)、網(wǎng)絡(luò)配置解析技術(shù)根據(jù)配置文件部署出大規(guī)模網(wǎng)絡(luò)。在大規(guī)模網(wǎng)絡(luò)基礎(chǔ)上利用網(wǎng)絡(luò)行為模型事件處理技術(shù)使網(wǎng)絡(luò)拓?fù)淠軌蛘＿\(yùn)轉(zhuǎn)，實(shí)現(xiàn)實(shí)時(shí)處理網(wǎng)絡(luò)行為事件能力，具體過(guò)程如下：

系統(tǒng)解析配置文件，得到含有抽象路由表，抽象協(xié)議棧以及必要的數(shù)據(jù)統(tǒng)計(jì)項(xiàng)等信息，再將這些抽象出來(lái)的信息按照節(jié)點(diǎn)信息、鏈路信息、路由信息進(jìn)行分類(lèi)。系統(tǒng)以分類(lèi)后的信息作為基礎(chǔ)信息搭建拓?fù)洌⑶医⑹录幚砟Ｐ?。將事先設(shè)定好的網(wǎng)絡(luò)事件添加到事件隊(duì)列中，模型處理當(dāng)前的網(wǎng)絡(luò)行為事件并通過(guò)解析該事件得到新的鏈路信息、節(jié)點(diǎn)信息、以及事件動(dòng)作等結(jié)果，進(jìn)而生成新的網(wǎng)絡(luò)行為事件添加在事件隊(duì)列中，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)拓?fù)渲谐霈F(xiàn)的網(wǎng)絡(luò)事件進(jìn)行實(shí)時(shí)響應(yīng)與模擬。