基于SNMP的拓扑增强识别算法_曾戈.pdf

基于 SNMP 的拓扑增强识别算法曾戈,李银,李睿(东莞理工学院网络空间安全学院,东莞523808)通信作者:李睿,E-mail:摘要:网络拓扑发现对于许多关键网络管理任务来说至关重要.然而,随着网络规模的不断增大,网络结构的愈发复杂,之前的基于 SNMP 的网络拓扑发现算法存在难以有效识别子网类型和多 IP 设备,拓扑效率、准确率低等问题.针对上述问题,本文提出了基于 SNMP 的拓扑增强识别(SNMP-basedtopologyenhancedidentification,SNMP-TEI)算法.首先,启发式地确定子网 IP 地址并对其发送探针,根据探测结果来判断子网类型,在确定子网类型后及时终止探针注入防止网络负载过大;其次通过 MIB-II 记录的系统信息设置设备指纹,结合设备类型识别算法对终端主机 IP 进行设备指纹鉴定,以达到识别多 IP 设备的目的.实验结果表明,此方法在仿真网络中可有效识别子网和多 IP 设备,同时降低了网络负载,探测准确率达到了 96.43%.关键词:网络管理;SNMP;网络拓扑发现;子网识别;多 IP 设备识别引用格式:曾戈,李银,李睿.基于 SNMP 的拓扑增强识别算法.计算机系统应用,2023,32(2):226233.http:/www.c-s- Topology Enhanced Identification AlgorithmZENGGe,LIYin,LIRui(SchoolofCyberspaceSecurity,DongguanUniversityofTechnology,Dongguan523808,China)Abstract:Networktopologydiscoveryisimportantformanykeynetworkmanagementtasks.However,asthenetworkscaleexpands,thenetworkstructuregetscomplex.ThepreviousSNMP-basednetworktopologydiscoveryalgorithmscannoteffectivelyidentifysubnettypesandmulti-IPdevices,andtheyhavelowtopologyefficiencyandaccuracy.Inviewoftheaboveproblems,thisstudyproposesanSNMP-basedtopologyenhancementidentification(SNMP-TEI)algorithm.Firstly,thesubnetIPaddressisheuristicallydetermined,andprobesaresenttoit,soastojudgethesubnettypeaccordingtothedetectionresults.Inaddition,probeinjectionisstoppedinatimelymannerafterthesubnettypeisdetermined,soastopreventthenetworkloadfrombeingtoolarge.Secondly,thedevicefingerprintissetthroughsysteminformationrecordedbyMIB-II,andadevicetypeidentificationalgorithmisusedtoidentifythedevicefingerprintoftheterminalhostIP,soastoidentifymulti-IPdevices.Theexperimentalresultsshowthatthismethodcaneffectivelyidentifysubnetsandmulti-IPdevicesinsimulatednetworksandreducethenetworkload,withadetectionaccuracyof96.43%.Key words:networkmanagement;simplenetworkmanagementprotocol(SNMP);networktopologydiscovery;subnetidentification;multi-IPdeviceidentification网络拓扑是用来表示网络逻辑连接关系和物理连接关系的一种方法1,2.通过网络拓扑结构,网络管理员可以清晰地管理网络中的资产,了解资产分布;直观地了解当前网络的运行情况,及时发现网络故障,进行根源分析3.此外,网络管理员可以基于网络拓扑评估网络的性能,评估保护网络免受恶意入侵和攻击技术的计算机系统应用ISSN1003-3254,CODENCSAOBNE-mail:ComputerSystems&Applications,2023,32(2):226233doi:10.15888/ki.csa.008993http:/www.c-s-中国科学院软件研究所版权所有.Tel:+86-10-62661041基金项目:国家重点研发计划(2021YFB3101300);国家自然科学基金面上项目(61972089)收稿时间:2022-06-13;修改时间:2022-09-07;采用时间:2022-09-27;csa 在线出版时间:2022-11-18CNKI 网络首发时间:2022-11-21226软件技术算法SoftwareTechniqueAlgorithm有效性,为资源配置开发改进设计4.显然,网络拓扑对于网络管理具有重要意义,而网络拓扑发现技术成为构建网络拓扑的关键.当前,随着计算机技术和网络技术的飞速发展,下游应用生态将得到快速拓展,进一步促进了网络规模的扩大5.复杂网络带来的动态性、多样性、异构性和庞大性成为网络拓扑发现技术的重点和难点,传统的单机网络管理和维护模式已不再适用6.SNMP(simplenetworkmanagementprotocol)协议目前广泛应用于网络中,其 MIB(managerinformationbase)记录了丰富的拓扑信息,基于 SNMP 的网络拓扑发现方法7具有算法设计易、网络负载低、发现效率高的优点,因此,该算法已成为研究者常于使用的拓扑发现手段之一.此前基于 SNMP 的网络拓扑发现算法存在两个问题:(1)该算法都是通过获取路由设备的路由表,根据表中的路由条目进行广度优先或深度优先遍历骨干网络.直连路由表条目会被认定为连接一个子网.然而,网络中两个路由设备之间的子网存在两种情况:一种是只有一条链路连接两个路由设备,本文称为链路子网,如图 1(a)所示;另一种是两个路由设备之间存在提供网络服务的网络设备,本文称为多网口子网,如图 1(b)所示.之前的基于 SNMP 的网络拓扑发现算法为对这两种子网均直接探测,会因未考虑存在链路子网的情况而生成错误的网络拓扑结构且注入大量的探针.(2)由于特定的网络需求,网络中的某些主机通常与多个子网相连,其 IP 地址与 MAC 地址不再是唯一的.当拥有多 IP 的设备出现在待测网络中,此前的基于 SNMP 的网络拓扑发现算法可能会将它识别成多个不同的设备.10.1.1.0/24R1R210.1.1.0/24R2R1H1H2SW(a)链路子网(b)多网口子网 图 1子网类型针对问题 1,本文提出基于 ICMP(Internetcontrolmessageprotocol)的子网类型识别方法,对子网内人们惯于使用的 IP 地址发送 ICMP 探针,根据探测出的活跃设备来判断子网类型.在识别链路子网提高拓扑准确率的同时,也减少了链路子网的冗余探测,大大减少了探针数量和节省了拓扑时间.针对问题 2,本文提出基于 SNMP 的多 IP 设备判别方法,采用 MIB-II 中保存的系统信息作为设备指纹,并建立设备指纹与设备ID 的映射关系.在探测主机时,依据系统信息来匹配IP 所属的主机.在识别链路子网提高了拓扑准确率的同时,利用哈希映射的快速查找原理保证了识别效率.相比其他拓扑发现算法,依赖的网络协议仅有 SNMP,使得可拓展性更强、适用面更广.实验结果表明,本文方法在仿真网络中不仅有效识别了链路子网和多 IP设备,而且减少了探针数量、节省了拓扑发现时间,探测准确率达到了 96.43%.本文第 1 节介绍相关工作;第 2 节介绍本文提出的基于 SNMP 的拓扑增强识别算法;第 3 节对本文提出的基于 SNMP 的拓扑增强识别算法进行仿真实验,并与相关算法的实验结果进行对比分析;第 4 节总结全文并展望下一步工作.1相关工作基于 SNMP 的网络拓扑发现算法主要步骤为:将探测源模拟成一个网管站,收集各待测 SNMP 代理服务器的 MIB 对象,并从 MIB 对象中提取拓扑信息.利用这些信息,先找到一个路由器,然后获得与该路由器相连的所有子网地址、子网内的活跃设备,以及直接相邻的其他路由器.再以这些新发现的路由器为索引,重复上述步骤,直到获取待测网络的整个拓扑信息8.对于网络拓扑发现算法,研究者通常注重于如何提高网络设备及其连接关系的拓扑完整性.贝尔实验室的 Breibart 等9提出了基于 MAC 地址转发表的数据链路层拓扑发现算法.他们根据转发原理总结了网络节点之间的连接关系判别引理,并证明了引理的正确性.Jiang 等10提出的基于 MAC 地址转发表的拓扑发现算法,对交换机和主机之间的 3 种不同连接关系的拓扑发现进行了论述.基于地址转发表的网络拓扑发现算法对于地址转发表的完整性具有很高要求,因此会注入大量探针维护其完整性,从而增加网络的负载.虽然基于 SNMP 的算法适用于骨干网络的拓扑发现,但是对于子网中的网络设备发现效率不高.因此研究者开始采用以 SNMP 为主,其他协议为辅的多协议协作的网络拓扑发现算法.Yin 等11提出的基于 SNMP、ARP(addressresolutionprotocol)、ICMP 的拓扑发现算法,根据 Bridge-MIB 找出 ARP 表中的交换机 IP 和2023年第32卷第2期http:/www.c-s-计 算 机 系 统 应 用SoftwareTechniqueAlgorithm软件技术算法227主机 IP,再根据交换机中 MAC 地址转发表获得与主机的连接关系.该方法能更为精准地发现网络拓扑,但是具有复杂连接关系的子网拓扑发现效果并不理想.Zhou 等12提出了基于 SNMP、LLDP(linklayerdiscoveryprotocol)的多协议网络拓扑发现算法.具体做法是当探测到无 SNMP 服务的设备,则通过 LLDPMIB 获取各个端口连接的 IP 地址以及网络设备的连接关系.该方法能提高拓扑发现准确度,但对于协议的依赖更为严重.潘爽等13提出的多协议融合的网络拓扑发现技术结合基于 CDP(ciscodiscoveryprotocol)、SNMP 的设备发现方法对逻辑拓扑发现和物理拓扑发现算法进行优化,增加了应用层拓扑,缺点是较为依赖设备指纹库.Nakamura 等14提出的拓扑发现算法使用 SNMP获取流量信息并分析拓扑结构,其缺点是未考虑到多设备之间流量相似的场景.钟成龙15利用 LLDP 获取网络邻居节点、SNMP 获取拓扑信息的网络拓扑发现算法拥有较高的准确率和较低的时间复杂度,但是其缺点是两种协议缺一不可,可拓展性较差.研究者近年来同样致力于如何提高拓扑发现的时间效率以及如何更具体地识别网络设备类型.Li 等16提出的算法解决了路由表冗余、路由表错误的问题,并设计了一个基于异步多线程算法的 SNMP 软件开发工具包(包括编码、解码、网络操作等).Wang 等17提出基于 SNMP 的子网信息去冗算法.通过子网列表和下一跳路由表的交集来获得更为精确的子网信息,提高拓扑发现的效率.Wang 等18提出的网络拓扑发现算法改良了 SNMP 的数据采集方式.通过替换 SNMP