(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211073999.3 (22)申请日 2022.09.02 (71)申请人 中国人民解 放军国防科技大 学 地址 410073 湖南省长 沙市开福区德雅路 109号 (72)发明人 陆余良　杨国正　张永恒　刘京菊　 卢灿举　钟晓峰　罗智昊　 (74)专利代理 机构 北京丰浩知识产权代理事务 所(普通合伙) 11781 专利代理师 李学康 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/12(2022.01) H04L 43/04(2022.01) (54)发明名称 一种面向局域网的多层网络拓扑关系构建 方法和系统 (57)摘要 本发明公开了一种面向局域网的多层网络 拓扑关系构建方法和系统， 方法包括： 获取局域 网数据； 聚合局域网数据， 生 成局域网拓扑关系； 所述局域网拓扑关系包括第一网络和第二网络； 组合第一网络和第二网络， 生 成三层网络态势的 拓扑结构图。 本发明提出从三个层面综合表征局 域网络运行状态的方法； 物理设备层拓扑用于分 析互联互通情况， 业务应用层拓扑用于监测业务 系统运行状态； 用户角色层拓扑用于构造用户账 号之间关系， 为网络安全态势分析和辅助决策提 供重要支撑作用。 权利要求书3页 说明书17页 附图2页 CN 115442139 A 2022.12.06 CN 115442139 A 1.一种面向局域网的多层网络 拓扑关系构建方法， 其特 征在于， 所述方法包括： 获取局域网数据； 聚合局域网数据， 生成局域网拓扑关系； 所述局域网拓扑关系包括第一网络和第二网络； 组合第一网络和第二网络， 生成三层网络态 势的拓扑 结构图。 2.根据权利要求1所述的面向局域网的多层网络 拓扑关系构建方法， 其特 征在于， 所述局域网数据， 包括： 局域网物理设备数据、 局域网业务系统数据和局域网用户数 据； 所述聚合局域网数据， 生成局域网拓扑关系， 包括： 利用局域网物理设备 数据绘制物理设备层网络 拓扑； 利用局域网业 务系统数据绘制业 务应用层网络 拓扑； 利用局域网用户数据绘制用户角色层网络 拓扑； 对物理设备层网络 拓扑与业 务应用层网络 拓扑进行聚合， 生成第一网络； 对业务应用层网络 拓扑与用户角色层网络 拓扑聚合， 生成第二网络 。 3.根据权利要求2所述的面向局域网的多层网络 拓扑关系构建方法， 其特 征在于， 所述局域网内设置有 若干业务系统； 所述业务应用层网络 拓扑包括若干系统与系统关系和若干系统与结点关系集 合； 所述局域网业 务系统数据包括 业务系统基本信息和系统访问日志； 所述利用局域网业 务系统数据绘制业 务应用层网络 拓扑， 包括： 根据业务系统基本信息， 得到业 务系统节点； 根据系统访问日志， 得到访问接入节点； 对任意两个业 务系统， 判断之间的访问关系， 得到系统访问判断结果； 当系统访 问判断结果为存在访 问关系时， 连接两个业务系统对应的业务系统节点， 得 到系统与系统关系； 确定任意一个业务系统和对应的访问接入节点， 连接对应的业务系统节点和访问接入 节点， 得到系统与结点关系。 4.根据权利要求3所述的面向局域网的多层网络 拓扑关系构建方法， 其特 征在于， 对任意两个业 务系统， 判断之间的访问关系， 得到系统访问判断结果， 包括： 判断两个业 务系统之间存在 访问接口， 如存在， 则两个业 务系统存在 访问关系； 如不存在， 则判断两个业务系统之间存在功能调用， 如存在， 则 两个业务系统存在访问 关系； 如不存在， 则判断两个业务系统界面存在 “访问链接 ”， 如存在， 则两个业务系统存在访 问关系。 5.根据权利要求 4所述的面向局域网的多层网络 拓扑关系构建方法， 其特 征在于， 业务系统内设置有 若干业务账号； 所述用户角色层网络 拓扑包括若干第一帐号关系和若干第二账号关系； 所述利用局域网用户数据绘制用户角色层网络 拓扑， 包括： 判断同一 业务系统内任意多个业 务账号相关性， 得到同系统相关性判断结果； 当同系统相关性判断结果 为相关时， 连接这些业 务帐号， 得到第一帐号关系；权　利　要　求　书 1/3 页 2 CN 115442139 A 2判断不同业 务系统内任意两个业 务账号相关性， 得到异系统相关性判断结果； 当异系统相关性判断结果 为相关时， 连接 两个业务帐号， 得到第二帐号关系。 6.根据权利要求5所述的面向局域网的多层网络 拓扑关系构建方法， 其特 征在于， 业务系统包括多 项业务系统属性， 若干业 务系统属性组合形成业 务属性信息； 所述判断同一业务系统内任意多个业务账号相关性， 得到同系统相关性判断结果， 包 括： 选择若干业 务系统属性分别组合， 形成该业 务属性信息组合； 判断业务属性信息组合是否为 正确组合； 当判断结果 为正确组合时； 预设内关联阈值 L， 获取所有业务属性信息对应业 务账号数量； 当业务属性信息组合内某业务属性信息对应的业务账号数量与总业务账号数量比值 小于等于L时， 则这些业 务账号相关， 同系统相关性判断结果 为相关； 所述判断业 务属性信息组合 为正确组合， 包括： 判断组合内所有业 务属性信息内均是否含有互斥属性； 当结果为不含有时， 判断存在某个业 务属性信息对应的业 务账户数量大于1； 当结果为存在时， 判断所有业务属性信 息对应的业务账户数量总数与业务系统内业务 账户数量是否相同； 当结果为相同时， 则判断结果 为正确组合； 所述判断不同业务系统内任意两个业务账号相关性， 得到异系统相关性判断结果， 包 括： 判断两个业 务系统存在部分相同的业 务系统属性； 当结果为存在时， 则预设关联属性， 关联属性为两个业务系统相同的业务系统属性部 分或全部属性； 在两个业 务系统内分别找到与关联属性相关的两个业 务账号； 预设关联属性阈值M， 预设业 务系统属性权 重， 预先对业务系统属性赋值； 当关联属性内各属性值与该属性权重乘积和大于等于M时， 则这两个业务账号相关， 异 系统相关性判断结果 为相关。 7.根据权利要求6所述的一种面向局域网的多层网络 拓扑关系构建方法， 其特 征在于， 对物理设备层网络 拓扑与业 务应用层网络 拓扑进行聚合， 生成第一网络， 包括： 获得业务应用层每一个业 务系统节点和访问接入节点的IP地址； 当业务系统节点或访问接入节点与物理设备层中某 物理设备IP地址相同时； 将业务系统节点或访问接入节点与此物理设备 连接； 完成所有业 务系统节点或访问接入节点与物理设备 连接， 生成第一网络 。 8.根据权利要求7 所述的面向局域网的多层网络 拓扑关系构建方法， 其特 征在于， 对业务应用层网络 拓扑与绘制用户角色层网络 拓扑聚合， 生成第二网络， 包括： 获得某一业务系统内业务账号对应的IP地址， 获得业务系统内访问接入节点的对应的 IP地址， 将用户角色层中业 务账号与相同IP地址的业 务应用层中访问接入节点连接， 完成所有业 务系统内业 务账号与访问接入节点连接， 生成第二网络 。权　利　要　求　书 2/3 页 3 CN 115442139 A 3