一种网络拓扑管理方法、系统、终端及存储介质与流程

1.本技术涉及网络安全的领域，尤其是涉及一种网络拓扑管理方法、系统、终端及存储介质。


背景技术：

2.计算机与网络设备要实现互联，就必须使用一定的组织结构进行连接，这种组织结构就叫做“拓扑结构”。网络拓扑结构形象地描述了网络的安排和配置方式，以及各节点之间的相互关系。
3.在网络拓扑结构中，每一个网络节点设备均作为一个参与者，每一个参与者加入网络拓扑的动作或者加入网络拓扑后的一些行为对网络拓扑会存在一定威胁，网络拓扑的结构复杂多变，参与者量级较大且存在较大流动性，故复杂网络拓扑的管理较为困难。
4.针对上述中的相关技术，发明人认为存在有在网络拓扑用户行为造成威胁的缺陷。


技术实现要素：

5.为了提高对网络用户行为的管理，本技术提供了一种网络拓扑管理方法、系统、终端及存储介质。
6.第一方面，本技术提供一种网络拓扑管理方法，采用如下的技术方案：获取网络行为的属性信息和网络拓扑结构信息；所述网络拓扑结构信息包括所有节点的属性信息；基于预设的评判规则，根据所述网络行为的属性信息和网络拓扑结构信息，判断网络行为是否被允许执行，以及网络行为在各个节点是否有权执行，得到有权执行的节点信息；基于所述有权执行的节点信息，得到有权执行的网络路径；基于所述网络行为的属性信息，根据预设的风险评估规则对有权执行的网络路径进行风险值评定，得到风险值最低的网络路径和最低风险值；若所述最低风险值大于预设阈值，则拒绝提供网络服务。
7.通过采用上述技术方案，通过分析网络行为的属性信息，得到网络行为的危害性，拒绝具有明显危害的行为；根据网络行为的属性信息，确定所有允许执行且有权执行的网络路径；并选取风险值最低的网络路径作为执行网络行为的网络路径，且当最低风险值仍大于风险值阈值时，拒绝提供网络服务，有助于降低网络拓扑被攻击的风险。
8.优选的，所述获取网络行为的属性信息和网络拓扑结构信息包括：建立预存数据库，所述预存数据库存储有网络拓扑结构信息和服务行为信息，所述网络拓扑结构信息包括所有节点的属性信息，所述节点的属性信息包括连接信息、身份认证信息、参与网络拓扑的时间信息和活动记录信息；基于网络拓扑结构获取所有节点的动态，得到发起者的名称、目标节点名称和服
务行为信息；根据所述发起者的名称、目标节点名称，在所述预存数据库中得到发起者的属性信息和目标节点的属性信息。
9.通过采用上述技术方案，通过建立预存数据库，将所有网络节点的属性信息存储至预存数据库中，有助于网络拓扑的管理。
10.优选的，所述基于预设的评判规则，根据所述网络行为的属性信息和网络拓扑结构信息，判断网络行为是否被允许执行，以及网络行为在各个节点是否有权执行，得到有权执行的节点信息包括：基于网络行为的属性信息，判断网络行为是否被允许执行；若网络行为被允许执行，根据所述发起者的身份认证信息判断发起者是否有权执行，得到有权执行的节点。
11.通过采用上述技术方案，在发起者发起一个网络行为时，对网络行为进行评定，当网络行为异常时，则禁止网络行为执行；当网络行为合规时，再判断发起者发起的网络行为在每个节点是否有权执行，有助于提高网络拓扑的安全性。
12.优选的，所述根据预设的风险评估规则对有权执行的路径进行风险值评定包括：根据所述发起者的属性信息，得到网络行为经过每一节点存在的风险值；基于所述经过每一节点的风险值，计算整条路径的风险值。
13.通过采用上述技术方案，通过对网络行为经过每一节点的风险值进行评定，计算整条路径的风险值，有助于对每条路径进行风险值对比，便于选取风险值最低的路径。
14.优选的，还包括基于成本信息和风险值评估网络路径，得到损失期望最低的网络路径：获取每一节点的成本信息；基于所述每一节点的风险值和成本信息，得到每一节点的成本的损失期望；根据所述每一节点的损失期望计算所有网络路径的损失期望，得到损失期望最低的网络路径。
15.通过采用上述技术方案，根据每一节点成本和风险值进行计算，得到每一节点被攻击后的损失期望，从而得到网络路径整体的损失期望，有助于在网络路径受到攻击时，降低损失，从而提高网络拓扑的安全性优选的，还包括根据风险值与损失期望得到最佳网络路径：根据所有路径的风险值与损失期望，按照预设打分规则，对每一节点进行打分，选取分值最高的路径为最佳网络路径。
16.通过采用上述技术方案，通过对路径风险值和损失期望的综合评估，能够得到风险值低且被攻击后损失较小的路径，从而提高网络拓扑管理的可靠性。
17.优选的，所述根据发起者的属性信息，得到网络行为经过每一节点存在的风险值包括：根据所述发起者的活动记录，得到发起者的异常行为记录；根据所述异常行为记录的次数和异常行为的频率，得到网络行为在经过每一节点时的风险值。
18.通过采用上述技术方案，通过对发起者的活动记录进行分析，得到发起者进行网
络行动时的风险值，异常活动记录越多且频次越高的发起者的风险值越高，有助于对威胁网络拓扑安全的网络行为进行防范，提高网络拓扑的安全性。
19.第二方面，本技术提供一种网络拓扑管理系统，采用如下技术方案：存储模块，用于存储网络拓扑结构的属性信息；获取模块，用于获取网络行为的属性信息和网络拓扑结构的属性信息；数据处理模块，用于根据网络行为的属性信息得到风险值最低的网络路径、损失期望最低的网络路径和最佳网络路径。
20.第三方面，本技术提供一种电子设备，具有稳定传输加密数据的特点。
21.本技术的上述申请目的三是通过以下技术方案得以实现的：一种电子设备，包括存储器和处理器，所述存储器上存储有能够被处理器加载并执行上述数据加密传输方法的计算机程序。
22.第四方面，本技术提供一种计算机存储介质，能够存储相应的程序，具有便于实现稳定传输加密数据的特点。
23.本技术的上述申请目的四是通过以下技术方案得以实现的：一种计算机可读存储介质，存储有能够被处理器加载并执行上述任一种数据加密传输方法的计算机程序。
附图说明
24.图1是本技术实施例一种网络拓扑管理系统的系统图。
25.图2是本技术实施例一种网络拓扑管理方法的流程图。
26.图3是本技术实施例一种电子设备的结构示意图。
27.附图标记说明：201、存储模块；202、获取模块；203、数据处理模块；301、cpu；302、rom；303、ram；304、总线；305、i/o接口；306、输入部分；307、输出部分；308、存储部分；309、通信部分；310、驱动器；311、可拆卸介质。
具体实施方式
28.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图1-3及实施例，对本技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本技术，并不用于限定本技术。
29.本技术公开一种网络拓扑管理系统。
30.参照图1，一种网络拓扑管理系统包括：存储模块201、获取模块202和数据处理模块203。
31.其中，存储模块201用于存储网络拓扑结构的属性信息；获取模块202用于获取网络行为的属性信息和网络拓扑结构的属性信息；数据处理模块203用于根据网络行为的属性信息得到风险值最低的网络路径、损失期望最低的网络路径和最佳网络路径。
32.参照图2，本技术提供的方法的主要流程描述如下。
33.s101：获取网络行为的属性信息和网络拓扑结构信息。
34.具体的，在一个网络行为中，至少包括一个发起者和一个目标服务。发起者为接入网络拓扑结构的一个用户节点，目标服务的属性信息包括目标节点的属性信息和服务的行
为信息。
35.具体的，需要先建立预存数据库，预存的数据库中存储网络拓扑结构信息，网络拓扑结构信息包括每一个用户节点和服务节点的连接信息、身份认证信息、参与网络拓扑的时间信息和活动记录信息。
36.基于网络拓扑结构获取所有节点的动态，得到发起者的名称、目标节点名称和服务行为信息；再根据发起者的名称、目标节点名称，在预存数据库中进行匹配，得到发起者的属性信息和目标节点的属性信息。
37.其中，每当网络拓扑结构中新增一个用户时，新增用户的身份认证信息和参与网络拓扑的时间信息都会存储至预存数据库，且每当该新用户发起网络行为时，网络行为会与新增用户的信息关联并存储至预存数据库中。
38.s102：基于预设的评判规则，根据网络行为的属性信息和网络拓扑结构信息，判断网络行为是否被允许执行，以及网络行为在各个节点是否有权执行，得到有权执行的节点信息。
39.具体的，得到网络行为的属性信息后，基于预设的评判规则并根据服务的行为信息判断该服务是否合规，当服务行为不合规时拒绝提供网络服务；当服务行为合规时，再判断该服务行为是否有权执行。
40.其中，预设评判规则中不合规的行为包括非法的网络行为，例如网络诈骗、宣传非法思想等；对网络拓扑结构产生危害的行为，例如木马病毒、攻击其他节点、占用数据通道等；侵害他人权益，例如盗取其他节点的数据信息等。
41.具体的，当服务行为合规时，根据发起者的身份认证信息，判断该服务行为是否有权执行，并找出有权执行该服务行为的节点。
42.在一个实施例中，发起者发起一个网络行为，请求使用目标节点对其他节点进行攻击，则该行为被认定为对网络拓扑结构产生危害，目标节点拒绝提供服务。
43.s103：基于有权执行的节点信息，得到有权执行的网络路径。
44.具体的，获取有权执行网络行为的节点后，根据网络拓扑结构，找出所有连接发起者和目标节点的网络路径。
45.其中，根据网络拓扑结构，找出有权执行网络行为的节点和与该节点相连的有权节点，依次从发起者寻找直至目标节点，这些节点构成为一条连接发起者和目标节点的网络路径。
46.在一个实施例中，发起者发起一个网络行为，请求在目标节点写入数据，发起者权限仅为读取数据，则该行为没有足够的权限执行；反之，若发起者请求在目标节点读取数据，且发起者权限为有权写入数据，则该行为拥有足够的权限执行。
47.s104：基于网络行为的属性信息，根据预设的风险评估规则对有权执行的网络路径进行风险值评定，得到风险值最低的网络路径和最低风险值。
48.其中，同一网络行为在不同的节点的危险值也不相同。在一个实施例中，发起者请求向目标节点发送一个数据包，该数据包中包含木马病毒，在允许写入的节点，木马病毒更容易该节点，因此危险程度较大；在只允许读取的节点，由于该节点不允许写入，因此危险程度较小。
49.具体的，根据发起者的属性信息，得到网络行为经过每一节点存在的风险值。
50.其中，根据发起者受的属性信息中的发起者的活动记录，得到发起者的异常行为记录，再根据异常行为记录的次数和异常行为的危害程度，得到网络行为在经过每一节点时的风险值。
51.基于经过每一节点的风险值，计算整条网络路径的风险值。将所有网络路径的风险值进行对比，找出风险值最低的网络路径，并与预设阈值进行比较，当最低风险值仍大于预设阈值时，则拒绝提供网络服务。
52.在一个实施例中，一条网络路径上包括a、b、c三个中间节点，d为目标节点，发起者发起一个网络行为，a、b、c、d的风险值ra、rb、rc、rd依次为12%、15%、30%、10%，计算方式为rs=1-（1-ra）*（1-rb）*（1-rc）*（1-rd）则该路径的风险值rs为58.42%。
53.s105：基于成本信息和风险值评估网络路径，得到损失期望最低的网络路径。
54.其中，不同网络节点的成本也各不相同，因此每个网络节点受到攻击的损失也各不相同。
55.具体的，获取每一节点的成本信息；基于每一节点的风险值和成本信息，得到每一节点的成本的损失期望；根据每一节点的损失期望计算所有网络路径的损失期望，得到损失期望最低的网络路径。
56.在一个实施例中，一条网络路径上包括a、b、c三个中间节点，d为目标节点，发起者发起一个网络行为，a、b、c、d的成本为10万、20万、30万、40万，则a、b、c、d的损失期望la、lb、lc、ld分别为10*ra、20*rb、30*rc、40*rd，路径的总风险期望为ls=la lb lc ld=17.2万。
57.s106：根据风险值与损失期望得到最佳网络路径。
58.具体的，根据所有路径的风险值与损失期望，按照预设打分规则，对每一节点进行打分，选取分值最高的路径为最佳网络路径。
59.在一个实施例中，路径风险值的评分规则为，（1-rs）*100；损失期望的评分规则先计算总成本与期望损失的差值，在计算差值占总成本的百分比y，最后根据（1-y）*100；网络路径的最终得分为（2-rs-y）*100。
60.图3示出了适于用来实现本技术实施例的电子设备的结构示意图。
61.如图3所示，电子设备包括中央处理单元(cpu)301，其可以根据存储在只读存储器(rom)302中的程序或者从存储部分加载到随机访问存储器(ram)303中的程序而执行各种适当的动作和处理。在ram 303中，还存储有系统操作所需的各种程序和数据。cpu 301、rom 302以及ram 303通过总线304彼此相连。输入/输出i/o接口305也连接至总线304。
62.以下部件连接至i/o接口305：包括键盘、鼠标等的输入部分306；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分307；包括硬盘等的存储部分308；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分309。通信部分309经由诸如因特网的网络执行通信处理。驱动器310也根据需要连接至i/o接口305。可拆卸介质311，诸如磁盘、光盘、磁光盘、半导体存储器等，根据需要安装在驱动器310上，以便于从其上读出的计算机程序根据需要被安装入存储部分308。
63.特别地，根据本技术的实施例，上文参考流程图图2描述的过程可以被实现为计算机软件程序。例如，本技术的实施例包括一种计算机程序产品，其包括承载在机器可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分309从网络上被下载和安装，和/或从可拆卸介质
311被安装。在该计算机程序被中央处理单元(cpu)301执行时，执行本技术的系统中限定的上述功能。
64.需要说明的是，本技术所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一种或多种导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件，或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等，或者上述的任意合适的组合。
65.附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，前述模块、程序段或代码的一部分包含一种或多种用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行的执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
66.描述于本技术实施例中所涉及的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，例如，可以描述为：一种处理器包括存储模块201、获取模块202和数据处理模块203。其中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
67.作为另一方面，本技术还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中的。上述计算机可读存储介质存储有一个或者多个程序，当上述前述程序被一个或者一个以上的处理器用来执行描述于本技术的数据加密传输方法。
68.以上描述仅为本技术的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本技术中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离前述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其他技术方案。例如上述特征与本技术中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。