获取全路径网络访问关系的方法及装置与流程

1.本技术涉及网络通信技术领域，具体而言，涉及一种获取全路径网络访问关系的方法及装置。


背景技术：

2.随着线上业务的发展，企业内网同互联网、外联网之间的通讯日益频繁，同时网络安全边界暴露面的安全风险也日益增加；快速获取安全边界网络访问关系对定位边界攻击事件十分关键。由于网络访问通讯会话经过安全边界后，访问关系中的源网络地址(internet protocol，ip)、目标ip和目标端口等信息均有可能发生一次或多次转换，相关技术无法在类似上述存在复杂网络地址转换(network address translation，nat)的环境中高效且准确的获取到穿越安全边界的全路径网络访问关系。
3.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

4.本技术实施例提供了一种获取全路径网络访问关系的方法及装置，以至少解决由于nat环境复杂造成的相关技术无法高效且准确的获取到穿越nat设备的全路径网络访问关系的技术问题。
5.根据本技术实施例的一个方面，提供了一种获取全路径网络访问关系的方法，包括：获取与多个nat设备中每个nat设备对应的结构化会话日志；根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，其中，网络会话为在每个nat设备所属的网络边界内的设备和在每个nat设备所属的网络边界外的设备之间进行的会话；将网络会话在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系。
6.可选地，根据每个nat设备对应的结构会话化日志，提取网络会话在每个nat设备处的局部网络访问关系，包括：获取nat设备的网络边界拓扑关系，根据网络边界拓扑关系生成nat设备的出入路径表，其中，nat设备的出入路径表包括：nat设备的标识信息、nat设备所在的网络边界的名称、nat设备的级联层级，经过nat设备的网络会话的访问方向、入接口的名称和出接口的名称，入接口为网络会话进入nat设备的接口，出接口为网络会话从nat设备出来的接口；根据结构化会话日志生成日志汇聚表，并依据nat设备的出入路径表和日志汇聚表确定经过nat设备的网络会话的访问方向；根据访问方向提取网络会话在nat设备处的局部网络访问关系。
7.可选地，获取与多个nat设备中每个nat设备对应的结构化会话日志，包括：获取多个nat设备的多个日志，从多个日志中获取关键要素信息，其中，关键要素信息包括：时间戳、源网络地址、目的网络地址、目的端口、源映射网络地址、目的映射网络地址、目的映射端口、协议类型、源接口和目的接口；获取每个nat设备的标识信息，其中，标识信息包括以下至少之一：nat设备的名称和nat设备的网络地址；将每个nat设备的关键要素信息和每个
nat设备的标识信息进行组合，得到每个nat设备对应的结构化会话日志。
8.可选地，根据结构化会话日志生成日志汇聚表，包括：确定预设周期，并采集在预设周期内的多个结构化会话日志；将多个结构化会话日志中除时间戳以外的其它关键要素信息完全相同的数据归类为一组数据，得到多组数据；根据多组数据生成日志汇聚表，其中，日志汇聚表包括：nat设备的标识信息、关键要素信息和每组数据出现的次数。
9.可选地，根据结构化会话日志生成日志汇聚表，并依据nat设备的出入路径表和日志汇聚表确定经过nat设备的网络会话的访问方向，包括：获取日志汇聚表中的nat设备的标识信息、与nat设备的标识信息对应的源接口的名称以及与nat设备的标识信息对应的目的接口的名称；利用nat设备的标识信息、与nat设备的标识信息对应的源接口的名称和与nat设备的标识信息对应的目的接口的名称通过nat设备的出入路径表确定经过nat设备的标识信息指示的nat设备的网络会话的访问方向。
10.可选地，根据访问方向提取网络会话在nat设备处的局部网络访问关系，包括：如果访问方向为入界，将与nat设备的标识信息对应的源映射网络地址确定为内接口源网络地址，将与nat设备的标识信息对应的目的网络地址确定为内接口目的网络地址，将与nat设备的标识信息对应的目的端口确定为内接口目的端口，将与nat设备的标识信息对应的源网络地址确定为外接口源网络地址，将与nat设备的标识信息对应的目的映射网络地址确定为外接口目的网络地址，并将与nat设备的标识信息对应的目的映射端口确定为外接口目的端口，其中，入界指示从网络边界外的设备访问网络边界内的设备；根据内接口源网络地址、内接口目的网络地址、内接口目的端口、外接口源网络地址、外接口目的网络地址和外接口目的端口确定访问方向为入界时网络会话在nat设备处的多个局部网络访问关系；如果访问方向为出界，将与nat设备的标识信息对应的源网络地址确定为内接口源网络地址、将与nat设备的标识信息对应的目的映射网络地址确定为内接口目的网络地址、将与nat设备的标识信息对应的目的映射端口确定为内接口目的端口、将与nat设备的标识信息对应的源映射网络地址确定为外接口源网络地址、将与nat设备的标识信息对应的目的网络地址确定为外接口目的网络地址，并将与nat设备的标识信息对应的目的端口确定为外接口目的端口，其中，出界指示从网络边界内的设备访问网络边界外的设备；根据内接口源网络地址、内接口目的网络地址、内接口目的端口、外接口源网络地址、外接口目的网络地址和外接口目的端口确定访问方向为出界时网络会话在nat设备处的多个局部网络访问关系。
11.可选地，将每个nat设备的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系，包括：从nat设备的出入路径表中确定nat设备所属的网络边界中nat设备的数量；如果数量大于一个，依据串联规则将同一个网络边界内的多个nat设备的多个局部网络访问关系进行串联，得到全路径网络访问关系；如果数量等于一个，将nat设备的局部网络访问关系确定为全路径网络访问关系。
12.可选地，依据串联规则将同一个网络边界内的多个nat设备的多个局部网络访问关系进行串联，包括：如果多个nat设备中的第一nat设备的内接口源网络地址等于多个nat设备中的第二nat设备的外接口源网络地址，第一nat设备的内接口目的网络地址等于第二nat设备的外接口目的网络地址，且第一nat设备的内接口目的端口等于第二nat设备的外接口目的端口，将第一nat设备的局部网络访问关系和第二nat设备的局部网络访问关系串
联为网络边界的全路径访问关系，其中，第一nat设备与第二nat设备为属于同一个网络边界，第一nat设备与第二nat设备存在相邻的关系，且第一nat设备的级联层级小于第二nat设备的级联层级。
13.可选地，获取全路径网络访问关系的方法还包括：将全路径网络访问关系中发起访问请求的设备对应的节点确定为开始节点，将全路径网络访问关系中接收访问请求的设备对应的节点确定为结束节点，并将全路径网络访问关系中的nat设备确定为中间节点；将连接开始节点，中间节点和结束节点的线段确定为边，其中，边的方向根据网络会话穿过网络边界的访问方向确定，边的方向用箭头指示；根据开始节点、中间节点、结束节点和边生成全路径网络访问关系的可视图；展示全路径网络访问关系的可视图。
14.根据本技术实施例的另一方面，还提供了一种全路径网络访问关系的展示系统，包括：终端设备、数据可视化服务器和数据处理服务器，其中，终端设备，与数据可视化服务器连接，用于向数据可视化服务器发送用于请求访问网络边界的全路径网络访问关系的查询请求，并展示全路径网络访问关系；数据可视化服务器，与数据处理服务器连接，用于响应查询请求并获取与全路径网络访问关系对应的数据；数据处理服务器，用于获取多个nat设备的多个日志，将多个日志转换为与多个nat设备中每个nat设备对应的结构化会话日志，根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，将在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系，存储与全路径网络访问关系对应的数据，并向数据可视化服务器下发与全路径网络访问关系对应的数据，其中，网络会话为在网络边界内的设备和在网络边界外的设备之间进行的会话。
15.根据本技术实施例的另一方面，还提供了一种获取全路径网络访问关系的装置，包括：获取模块，用于获取与多个nat设备中每个nat设备对应的结构化会话日志；提取模块，用于根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，其中，网络会话为在每个nat设备所属的网络边界内的设备和在每个nat设备所属的网络边界外的设备之间进行的会话；处理模块，用于将网络会话在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系。
16.根据本技术实施例的另一方面，还提供了一种非易失性存储介质，该非易失性存储介质中存储有计算机程序，其中，非易失性存储介质所在设备通过运行计算机程序执行上述的全路径网络访问关系的方法。
17.根据本技术实施例的另一方面，还提供了一种电子装置，包括存储器和处理器，存储器中存储有计算机程序，处理器被设置为通过计算机程序执行上述的全路径网络访问关系的方法。
18.在本技术实施例中，采用获取与多个nat设备中每个nat设备对应的结构化会话日志；根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，其中，网络会话为在每个nat设备所属的网络边界内的设备和在每个nat设备所属的网络边界外的设备之间进行的会话；将网络会话在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系的方式，通过采集边界网络路径中多个nat设备节点前后的局部网络访问关系，对边界路径中多个节点采集的局部网络访问关系进行串联匹配，达到了获取并展示穿越nat设备所在的网络边界的全路
径网络访问关系的目的，从而实现了在nat设备中存在一对多映射、多对一映射、关联了策略路由(policy based routing，pbr)的地址映射、端口映射等复杂的nat配置的应用场景下，以及存在多台nat设备级联的复杂应用场景下仍能够准确且高效的获取穿越nat设备的全路径网络访问关系的技术效果，进而解决了由于nat环境复杂造成的相关技术无法高效且准确的获取到穿越nat设备的全路径网络访问关系技术问题。
附图说明
19.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
20.图1是根据本技术实施例的一种获取全路径网络访问关系的方法的流程图；
21.图2是根据本技术实施例的一种日志汇聚表的示意图；
22.图3是根据本技术实施例的一种网络边界拓扑图的示意图；
23.图4是根据本技术实施例的一种nat设备的出入路径表的示意图；
24.图5是根据本技术实施例的一种全路径网络访问关系表的示意图；
25.图6是根据本技术实施例的一种全路径网络访问关系可视图的示意图；
26.图7是根据本技术实施例的一种全路径网络访问关系的展示系统的结构图；
27.图8是根据本技术实施例的一种全路径网络访问关系的展示系统的工作流程图；
28.图9是根据本技术实施例的一种全路径网络访问关系的装置的结构图。
具体实施方式
29.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
30.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
31.为了更好地理解本技术实施例，以下将本技术实施例中涉及的技术术语解释如下：
32.nat设备：具备对网络通讯中的ip数据包中的源ip、目的ip和目的端口等进行转换功能的设备；本技术实施例中的nat设备可以是防火墙、负载均衡器、交换机、路由器、nat网关等具备nat功能的设备，设备形态上，可以是物理设备，也可以是虚拟服务器和云服务器。
33.时间戳：通过数字签名技术产生的数据，用于认证签名对象的产生时间，在本技术实施例中，每条日志的时间戳用于指示每条日志的产生时间。
34.源网络地址(源ip)：表示真实源ip，即客户端侧发起的数据包进入nat设备之前的ip包报文中源地址字段的ip值。
35.源映射网络地址(源映射ip)：表示客户端侧发起的数据包穿越nat设备出来后的ip包报文中源地址字段的ip值。
36.目的网络地址(目的ip)：表示真实目的ip，即客户端侧发起的数据包穿越nat设备之后的ip包报文中目的地址字段的ip值。
37.目的映射网络地址(目的映射ip)：表示客户端侧发起的数据包进入nat设备之前的ip包报文中的目的地址字段的ip值。
38.目的端口：表示真实目的端口，即客户端侧发起的数据包穿越nat设备之后的ip包报文中目的端口字段的端口值。
39.目的映射端口：表示客户端侧发起的数据包进入nat设备之前的ip包报文中的目的端口字段的端口值。
40.内接口：表示nat设备靠近内部网络的一侧的接口；当外部网络客户端主动访问内部网络时，是数据包的出接口；当内部网络客户端主动访问外部网络时，是数据包的入接口。
41.外接口：表示nat设备靠近外部网络一侧的接口；当外部网络客户端主动访问内部网络时，是数据包的入接口；当内部网络客户端主动访问外部网络时，是数据包的出接口。
42.内接口源网络地址(内接口源ip)：表示客户端侧发起的数据包在nat设备内接口侧ip包报文中源ip字段的ip值。
43.内接口目的网络地址(内接口目的ip)：表示客户端侧发起的数据包在nat设备内接口侧ip包报文中目的ip字段的ip值。
44.内接口目的端口：表示客户端侧发起的数据包在nat设备内接口侧ip包报文中目的端口字段的端口值。
45.外接口源网络地址(外接口源ip)：表示客户端侧发起的数据包在nat设备外接口侧ip包报文中源ip字段的ip值。
46.外接口目的网络地址(外接口目的ip)：表示客户端侧发起的数据包在nat设备外接口侧ip包报文中目的ip字段的ip值。
47.外接口目的端口：表示客户端侧发起的数据包在nat设备外接口侧ip包报文中目的端口字段的端口值。
48.局部网络访问关系：网络安全边界拓扑路径中某个具体位置观测到的网络流量中的访问关系，在本技术实施例中用客户端发起的数据包中的“源ip、目的ip、目的端口和协议”共同表示一个网络访问关系。
49.全路径网络访问关系：经过nat设备后，局部网络访问关系将发生转换。将网络安全边界路径中每个nat设备前后的局部网络访问关系按顺序进行串联匹配后，得到的穿越整个网络安全边界的全路径网络访问关系。
50.在相关技术中，通过在服务器上设置代理程序，通过代理程序向中央监控服务器上报服务器的网络访问信息，以获取服务器的局部网络访问关系；或者，部署网络流量探针，通过网络流量探针捕获流量数据包，通过网络流量分析设备对数据包进行解析得到网络会话数据后再进行聚合处理后得到穿越网络边界的网络访问关系。然而，通过代理程序
采集的网络访问关系中混合了内网内部互访的访问关系，需要结合另外的数据库，如配置管理数据(configuration management database，cmdb)进行筛选才能够识别出穿越网络边界的网络访问关系；而由于数据中心每天会产生大量跨边界业务流量，解析网络流量探针捕获的流量数据包以获得穿越网络边界的网络访问关系的方法对cpu的存储和配置具有较高的要求，因此，存在只能获取到穿越网络边界的局部网络访问关系和方法繁琐，以及成本高昂等问题。为了解决该问题，本技术实施例中提供了相关的解决方案，以下详细说明。
51.根据本技术实施例，提供了一种获取全路径网络访问关系的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
52.图1是根据本技术实施例提供的一种获取全路径网络访问关系的方法的流程图，如图1所示，该方法包括如下步骤：
53.步骤s102，获取与多个nat设备中每个nat设备对应的结构化会话日志。
54.本技术提供的方法是在获取nat设备的会话日志的基础上实现的，因此，在步骤s102中首先获取网络边界中每个nat设备的结构化会话日志，而由于网络边界中通常存在不同类型的多个nat设备，设备类型不同，采集到的日志的格式也不同，并且最初采集到的日志通常是一大串无规则的字符；因此，在获取每个nat设备的结构化会话日志时，首先需要识别每个nat设备提供的日志接口的接口协议，具体的，接口协议可以是系统日志协议(syslog)、文件传输协议(file transfer protocol，ftp)、安全文件传输协议(secret file transfer protocol，sftp)、超文本传输协议(hypertext transfer protocol，http)等多种类型的协议，依据接口协议采集每个nat设备的会话日志，例如，如果nat设备提供的日志接口使用的是系统日志协议(syslog)，则通过syslog获取nat设备的会话日志；然后将其转换为标准形式的结构化会话日志。
55.根据本技术一个可选的实施例，获取与多个nat设备中每个nat设备对应的结构化会话日志，包括以下步骤：获取多个nat设备的多个日志，从多个日志中获取关键要素信息，其中，关键要素信息包括以下至少之一：时间戳、源网络地址、目的网络地址、目的端口、源映射网络地址、目的映射网络地址、目的映射端口、协议类型、源接口和目的接口；获取每个nat设备的标识信息，其中，标识信息包括以下至少之一：nat设备的名称和nat设备的网络地址；将每个nat设备的关键要素信息和每个nat设备的标识信息进行组合，得到每个nat设备对应的结构化会话日志。
56.在本实施例中，将采集到的日志转换为标准形式的结构化会话日志的方法如下：对采集到的日志进行解析，从每条日志中提取由时间戳、来自客户端侧的数据包进入nat设备之前的ip包报文中源地址字段的ip值(即源网络地址，源ip)、来自客户端侧的数据包穿越nat设备之后ip包报文中的目的地址字段的ip值(即目的网络地址，目的ip)、来自客户端侧的数据包穿越nat设备之后ip包报文中的目的端口字段的端口值(即目的端口)、来自客户端侧的数据包穿越nat设备出来后的ip包报文中源地址字段的ip值(即源映射网络地址，源映射ip)、来自客户端侧的数据包进入nat设备之前ip包报文中目的地址字段的ip值(即目的映射网络地址，目的ip)、来自客户端侧的数据包进入nat设备之前的ip包报文中目的端口字段的端口值(即目的映射端口)，获取日志对应的网络会话采用的协议、数据包进入
nat设备通过的接口(即源接口)，以及数据包从nat设备出来通过的接口(即目的接口)等组成的关键要素信息；同时，在采集的日志中提取nat设备的名称或者nat设备的ip地址等能够标识nat设备身份的标识信息；将nat设备的名称或nat设备的ip地址标识与nat设备的名称/ip地址指示的nat设备的源ip、目的ip、目的端口、源映射ip、目的ip、目的映射端口、源接口和目的接口等关键要素信息进行组合，生成每个nat设备的结构化会话日志。例如，按照第一字段为nat设备名称、第二字段为源ip、第三字段为目的ip、第四字段为目的端口、第五字段为协议类型、第六字段为源映射ip、第七字段为目的映射ip、第八字段为目的映射端口、第九字段为源接口、第十字段为目的接口的顺序进行组合，得到每个nat设备的结构化会话日志。
57.步骤s104，根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，其中，网络会话为在每个nat设备所属的网络边界内的设备和在每个nat设备所属的网络边界外的设备之间进行的会话。
58.在通过步骤s102提供的方法获得每个nat设备的结构化会话日志之后，在步骤s104中，依据每个nat设备的结构化会话日志中记载的信息提取得到在每个nat设备处观测到的网络会话之间的访问关系(即局部网络访问关系)，其中，网络会话是发生在nat设备所属的网络边界内的设备和nat设备所属的网络边界外的设备之间会话。
59.根据本技术另一个可选的实施例，根据每个nat设备对应的结构会话化日志，提取网络会话在每个nat设备处的局部网络访问关系，包括以下步骤：获取nat设备的网络边界拓扑关系，根据网络边界拓扑关系生成nat设备的出入路径表，其中，nat设备的出入路径表包括：nat设备的标识信息、nat设备所在的网络边界的名称、nat设备的级联层级，经过nat设备的网络会话的访问方向、入接口的名称和出接口的名称，入接口为网络会话进入nat设备的接口，出接口为网络会话从nat设备出来的接口；根据结构化会话日志生成日志汇聚表，并依据nat设备的出入路径表和日志汇聚表确定经过nat设备的网络会话的访问方向；根据访问方向提取网络会话在nat设备处的局部网络访问关系。
60.在本实施例中，通过以下步骤从每个nat设备的结构化会话日志中记载的信息提取得到在每个nat设备处的局部网络访问关系：首先，以在步骤s102中获取的每个nat设备的结构化会话日志为基础生成日志汇聚表；然后获取记载了nat设备的名称/ip地址(即nat设备的标识信息)、nat设备所在的网络边界的名称、nat设备的级联层级、网络会话经过nat设备的访问方向、网络会话进入nat设备的接口(即入接口)的名称和网络会话从nat设备中出来的接口(即出接口)的名称等信息的nat设备所属网络边界的网络边界拓扑图，根据网络边界拓扑图和日志汇聚表确定网络访问nat设备的方向，即确定是从外部网络
→
nat设备
→
内部网络的访问方向，还是从内部网络
→
nat设备
→
外部网络的访问方向；最后，依据确定好的访问方向提取网络会话在每个nat设备处的局部网络访问关系。
61.根据本技术一些优选的实施例，根据结构化会话日志生成日志汇聚表，包括：确定预设周期，并采集在预设周期内的多个结构化会话日志；将多个结构化会话日志中除时间戳以外的其它关键要素信息完全相同的数据归类为一组数据，得到多组数据；根据多组数据生成日志汇聚表，其中，日志汇聚表包括：nat设备的标识信息、关键要素信息和每组数据出现的次数。
62.在一些优选的实施例中，根据结构化会话日志生成日志汇聚表的方法如下：由于
nat设备每次建立会话都会产生一条日志，因此，在本技术实施例中在实时采集nat设备的日志时会得到大量的数据，而这大量的数据中又包括多条除时间戳以外完全相同的数据，因此，在一些优选的实施例中，预先设置处理周期(即预设周期)，如一小时、一天或者一个月，在处理周期内采集结构化会话日志，对处理周期内的日志进行聚合，具体的，将nat设备的名称/ip地址、源ip、目的ip、目的端口、和协议类型等关键要素信息完全相同的结构化会话日志聚合为一组数据，将通过以上方法聚合得到的多组数据保存生成日志汇聚表。图2是日志汇聚表的示意图，如图2所示，日志汇聚表的行标识依次为日期、nat设备、源ip、目的ip、目的端口、协议、源映射ip、目的映射ip、目的映射端口、源接口、目的接口和连接次数(即每组数据出现的次数)，其中，日期用于指示日志产生的日期、nat设备用于指示nat设备的名称/ip地址，连接次数用于指示在一个处理周期内这组数据出现的次数，如图2所示，在2022年01月01日的某一个处理周期内采集到的数据中，对于设备2-1存在100条源ip为211.0.0.2，目的ip为172.16.0.2，目的端口为8080，协议类型为传输控制协议(transmission control protocol，tcp)，源映射ip为211.0.0.2，目的映射ip为112.0.0.2，目的映射端口为80，源接口为extranet，目的接口为inside的日志，则将上述形式的日志在日志表中具体记录一次，然后在该条日志后边标注出其出现的次数；另外，在一个处理周期中出现了多少种不同的日志，在日志汇聚表中就记录几组数据，也就是说分组的数量与日志的种类相同，其中，nat设备的名称/ip地址、源ip、目的ip、目的端口和协议类型中任意一种数据不同，即为日志种类不同。
63.需要说明的是，如果源ip和源映射ip相同，表示nat设备未对源ip字段进行转换；如果目的ip和目的映射ip相同，表示nat设备未对目的ip字段进行转换；如果目的端口和目的映射端口相同，表示nat设备未对目的的端口字段进行转换。
64.根据本技术一个可选的实施例，根据结构化会话日志生成日志汇聚表，并依据nat设备的出入路径表和日志汇聚表确定经过nat设备的网络会话的访问方向，包括：获取日志汇聚表中的nat设备的标识信息、与nat设备的标识信息对应的源接口的名称以及与nat设备的标识信息对应的目的接口的名称；利用nat设备的标识信息、与nat设备的标识信息对应的源接口的名称和与nat设备的标识信息对应的目的接口的名称通过nat设备的出入路径表确定经过nat设备的标识信息指示的nat设备的网络会话的访问方向。
65.图3是网络边界拓扑图的示意图，如图3所示，以拓扑图的形式记载了网络会话经过nat设备的路径，网络边界拓扑图中包括：nat设备所在的网络边界的名称，nat设备所在的网络边界中每个nat设备的名称，每个nat设备的级联层级，每个nat设备的入接口的名称和出接口的名称，访问nat设备所在的网络边界的网络的名称，以及穿过nat设备所在的网络边界后到达的网络的名称，如图3，网络边界的名称为网络边界1，网络边界1中包括设备2-1和设备2-2，其中，设备2-1中的
“‑
1”表示该nat设备的级联层级为1，同理，设备2-2中的
“‑
2”表示该nat设备的级联层级为2；当从外部网络1访问内部网络2和/或内部网络3时，设备2-1的入接口为extranet、出接口为inside，设备2-2的入接口为outside、出接口为dmz和intranet，在确定访问方向时，根据日志汇聚表中记录的每组日志的nat设备、源接口和目的接口这三个字段的值综合查询该组日志对应的网络会话的访问方向。例如，日志汇聚表中记录的一组日志中nat设备字段的值为设备2-1，源接口字段的值为extranet，目的接口字段的值为inside，则如果在图3所示的网络边界拓扑图中可以查询到网络边界1中存在名
称为设备2-1且入口字段的值为extranet，且出接口字段的值为inside的nat设备，那么可以确定这组日志中记录的nat设备与网络拓扑图中的nat设备为同一个nat设备，并且从网络边界拓扑图中可以确定从接口extranet到接口inside为从外部网络向内部网络访问，即可以确定网络会话在nat设备2-1的访问方向为入界。相反的，如果日志汇聚表中记录的另一组日志中nat设备字段的值为设备2-2，源接口字段的值为intranet，目的接口字段的值为outside，则如果在图3所示的网络边界拓扑图中可以查询到网络边界1中存在名称为设备2-2，且入接口字段的值为intranet，且出接口字段的值为outside的nat设备，那么可以确定这组日志中记录的nat设备与网络拓扑图中的设备为同一个nat设备，并且从网络边界拓扑图中可以确定从接口intranet到接口outside为从内部网络访问外部网络，即可以确定网络会话在nat设备2-2的访问方向为出界。
66.需要说明的是进行数据处理的服务器在获取到网络边界拓扑关系后以图4所示的表格的形式进行存储，图4是nat设备的出入路径表，该表格中记载的内容与图3中记载的信息完全相同，例如记载了nat设备所在的网络边界的名称，该网络边界的级联层级，nat设备所在的网络边界中每个nat设备的名称，每个nat设备的级联层级，网络会话穿过nat设备的访问方向，网络会话进入nat设备的接口(即入接口)以及网络会话从nat设备中出来的接口(即出接口)。如图4所示，当图3中记载的是上述信息时，图4中也对应记载了包含2个nat设备的网络边界1中，从外部网络1通过网络边界1访问内部网络2时访问方向为入界，级联层级为1的设备2-1的入接口为extranet，出接口为inside，级联层级为2的设备2-2的入接口为outside，出接口为dmz；从内部网络2通过网络边界1访问外部网络1时访问方向为出界，级联层级为1的设备2-1的入接口为inside，出接口为extranet，级联层级为2的设备2-2的入接口为dmz，出接口为outside；从内部网络3通过网络边界1访问外部网络1时访问方向为出界，级联层级为1的设备2-1的入接口为inside，出接口为extranet，级联层级为2的设备2-2的入接口为intranet，出接口为outside。网络边界拓扑关系只需初始化一次便可保存重复使用，只有当检测到网络边界中的nat设备拓扑发生变化时才进行更新。
67.根据本技术另一个可选的实施例，根据访问方向提取网络会话在nat设备处的局部网络访问关系，包括：如果访问方向为入界，将与nat设备的标识信息对应的源映射网络地址确定为内接口源网络地址，将与nat设备的标识信息对应的目的网络地址确定为内接口目的网络地址，将与nat设备的标识信息对应的目的端口确定为内接口目的端口，将与nat设备的标识信息对应的源网络地址确定为外接口源网络地址，将与nat设备的标识信息对应的目的映射网络地址确定为外接口目的网络地址，并将与nat设备的标识信息对应的目的映射端口确定为外接口目的端口，其中，入界指示从网络边界外的设备访问网络边界内的设备；根据内接口源网络地址、内接口目的网络地址、内接口端口、外接口源网络地址、外接口目的网络地址和外接口目的端口确定nat设备访问方向为入界时网络会话在nat设备处的多个局部网络访问关系；如果访问方向为出界，将与nat设备的标识信息对应的源网络地址确定为内接口源网络地址、将与nat设备的标识信息对应的目的映射网络地址确定为内接口目的网络地址、将与nat设备的标识信息对应的目的映射端口确定为内接口目的端口、将与nat设备的标识信息对应的源映射网络地址确定为外接口源网络地址、将与nat设备的标识信息对应的目的网络地址确定为外接口目的网络地址，并将与nat设备的标识信息对应的目的端口确定为外接口目的端口，其中，出界指示从网络边界内的设备访问网
络边界外的设备；根据内接口源网络地址、内接口目的网络地址、内接口目的端口、外接口源网络地址、外接口目的网络地址和外接口目的端口确定访问方向为出界时网络会话在nat设备处的多个局部网络访问关系。
68.在本实施例中，在通过上述实施例确定了nat设备的访问方向之后，根据访问方向提取nat设备的局部网络访问关系的方法如下：当访问方向为入界时，将nat设备的日志中记录的源映射ip字段的值确定为nat设备靠近内部网络侧的接口(即内接口)的网络地址(即内接口源网络地址)，将nat设备的日志中记录的目的ip字段的值确定为nat设备的内接口目的网络地址，将nat设备的日志中记录的目的端口字段的值确定为nat设备的内接口目的端口，将nat设备的日志中记录的源ip字段的值确定为nat设备靠近外部网络侧的接口(即外接口)的网络地址(即外接口源网络地址)，将nat设备的日志中记录的目的映射ip字段的值确定为nat设备的外接口目的网络地址，并将nat设备的日志中记录的目的映射端口确定为nat设备的外接口目的端口。当访问方向为出界时，将nat设备的日志中记录的源ip字段的值确定为nat设备靠近内部网络侧的接口(即内接口)的网络地址(即内接口源网络地址)，将nat设备的日志中记录的目的映射ip字段的值确定为nat设备的内接口目的网络地址，将nat设备的日志中记录的目的映射端口字段的值确定为nat设备的内接口目的端口，将nat设备的日志中记录的源映射ip字段的值确定为nat设备靠近外部网络侧的接口(即外接口)的网络地址(即外接口源网络地址)，将nat设备的日志中记录的目的ip字段的值确定为nat设备的外接口目的网络地址，并将nat设备的日志中记录的目的端口确定为nat设备的外接口目的端口。因此，可以根据访问方向为入界还是出界确定nat设备的内接口源网络地址、内接口目的网络地址、内接口目的端口、外接口源网络地址、外接口目的网络地址和外接口目的端口，并进一步确定由内接口源网络地址、内接口目的网络地址、内接口目的端口、外接口源网络地址、外接口目的网络地址、和外接口目的端口组成的网络会话在nat设备处的局部网络访问关系，其中，如果网络边界中仅存在一个nat设备，则通过该方法应得到一个nat设备的两个局部网络访问关系，一个是从外部网络到nat设备的外接口的局部网络访问关系，另一个是从nat设备的内接口到内部网络的局部网络访问关系；如果网络边界中存在多个nat设备，则对于每一个nat设备都应得到两个局部网络访问关系。例如，图2中设备2-1的源ip为211.0.0.2，目的ip为172.16.0.2，目的端口为8080，源映射ip为211.0.0.2，目的映射ip为112.0.0.2，目的映射端口为80，结合图3可以确定从外部网络1访问内部网络2时访问方向为入界，则访问方向为入界时，网络会话在设备2-1处存在以下两段局部网络访问关系，其中，一段是由外接口源网络地址为211.0.0.2，外接口目的网络地址为112.0.0.2，外接口目的端口为80组成的从外部网络1到nat设备2-1的外接口的局部网络访问关系；另一段是由内接口源网络地址为211.0.0.2，内接口目的网络地址为172.16.0.2，内接口目的端口为8080组成的从nat设备2-1的内接口到nat设备2-2的内接口的局部网络访问关系。
69.步骤s106，将网络会话在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系。
70.在步骤s106中，在通过上述方法确定了nat设备局部网络访问关系之后，将网络会话在每个nat设备处的多个局部网络访问关系串联，即可得到该nat设备所属的网络边界的全路径网络访问关系。
71.根据本技术一个可选的实施例，将每个nat设备的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系，包括：从nat设备的出入路径表中确定nat设备所属的网络边界中nat设备的数量；如果数量大于一个，依据串联规则将同一个网络边界内的多个nat设备的多个局部网络访问关系进行串联，得到全路径网络访问关系；如果数量等于一个，将nat设备的局部网络访问关系确定为全路径网络访问关系。
72.在本实施例中，在串联每个nat设备的局部网络访问关系时，首先从图4所示的nat设备的出入路径表中确定nat设备所属的网络边界以及nat设备在该网络边界中的nat设备的数量，如果网络边界中只存在一个nat设备，那么这个nat设备的局部网络访问关系就是该网络边界的全路径网络访问关系；如果网络边界中包括2个及2个以上nat设备，此时，将网络边界中的多个nat设备的多个局部网络访问关系进行串联后得到该网络边界的全路径网络访问关系。
73.根据本技术另一些优选的实施例，依据串联规则将同一个网络边界内的多个nat设备的多个局部网络访问关系进行串联，包括：如果多个nat设备中的第一nat设备的内接口源网络地址等于多个nat设备中的第二nat设备的外接口源网络地址，第一nat设备的内接口目的网络地址等于第二nat设备的外接口目的网络地址，且第一nat设备的内接口目的端口等于第二nat设备的外接口目的端口，将第一nat设备的局部网络访问关系和第二nat设备的局部网络访问关系串联为网络边界的全路径访问关系，其中，第一nat设备与第二nat设备为属于同一个网络边界，第一nat设备与第二nat设备存在相邻的关系，且第一nat设备的级联层级小于第二nat设备的级联层级。
74.在另一些优选的实施例中，通过以下方法将同一网络边界中的多个nat设备的多个局部网络访问关系进行串联，确定同一网络边界内的多个nat设备的级联层级，如果低级联层级的nat设备的局部网络访问关系中记载的内接口源网络地址和与其相邻的高级联层级的nat设备的局部网络访问关系中记载外接口源网络地址相同，并且该低级联层级nat设备的局部网络访问关系中记载的内接口目的网络地址和与其相邻的高级联层级的nat设备的局部网络访问关系中记载的外接口目的网络地址相同，并且该低级联层级nat设备的局部网络访问关系中记载的内接口目的端口和与其相邻的高级联层级的nat设备的局部网络访问关系中记载的外接口目的端口相同，则从最低级开始，按照级联层级依次将低级联层级的nat设备的局部网络访问关系和较高级联层级的nat设备的局部网络访问关系串联，直至串联到网络边界中级联层级最高的nat设备，将串联的结果作为该网络边界的全路径网络访问关系。举例来说，网络边界1中包含1级nat设备2-1和2级nat设备2-2，nat设备2-1的内接口源网络地址为211.0.0.2，内接口目的网络地址为172.16.0.2，内接口目的端口为8080，nat设备2-2的外接口源网络地址为211.0.0.2，外接口目的网络地址为172.16.0.2，外接口目的端口为8080，则将nat设备2-1的局部网络访问关系和nat设备2-2的局部网络访问关系串联为网络边界1的全路径网络访问关系。
75.图5是全路径网络访问关系表的示意图，需要说明的是，在得到网络边界的全路径网络访问关系后还可以将其以图5所示的表格的形式记录保存，全路径网络访问关系表记录了网络边界的名称，网络会话访问网络边界的访问方向，最低级联层级的外接口的局部网络访问关系，最高级联层级的内接口的局部网络访问关系，以及相邻nat设备之间的局部网络访问关系、网络会话采用的协议，和同一全路径网络访问关系出现的次数(即连接次
数)其中，最低级联层级的外接口的局部网络访问关系，最高级联层级的内接口的局部网络访问关系，以及相邻nat设备之间的局部网络访问关系这三种局部网络访问关系均由源ip字段、目的ip字段和目的端口字段组成。如图3所示的网络边界1中包括最低级联层级的nat设备2-1和最高级联层级的nat设备2-2，则通过外部网络1访问内部网络2或内部网络3时，在网络边界1的全路径网络访问关系表中，访问方向记录为入界，设备2-1的外接口的局部网络访问关系由源ip211.0.0.2，目的ip112.0.0.2，目的端口80组成，设备2-2的内接口的局部网络访问关系由源ip211.0.0.2，目的ip172.16.0.2，目的端口8080组成，设备2-1和设备2-2之间的局部网络访问关系由源ip211.0.0.2，目的ip172.16.0.2，目的端口8080组成，同时在网络边界1的全路径网络访问关系表中记录该条全路径访问关系出现的次数(例如100次)。当通过内部网络2或内部网络3访问外部网络1时，在网络边界1的全路径网络访问关系表中，访问方向记录为出界，设备2-1的外接口的局部网络访问关系由源ip112.0.10.3，目的ip211.0.0.3，目的端口443组成，设备2-2的内接口的局部网络访问关系由源ip172.16.0.3，目的ip192.168.0.3，目的端口443组成，设备2-1和设备2-2之间的局部网络访问关系由源ip172.16.0.3，目的ip211.0.0.3，目的端口443组成，同时在网络边界1的全路径网络访问关系表中记录该条全路径访问关系出现的次数(例如200次)。
76.通过上述步骤，可以实现通过nat会话日志提取出经过nat设备前后的局部网络访问关系，结合网络边界的nat设备拓扑图将多个局部网络访问关系串联为nat设备所在的网络边界的全路径网络访问关系；由于是从会话日志中提取网络会话经过网络边界的全路径网络访问关系，而无需以nat设备的映射配置数据为基础来获取网络会话经过网络边界的全路径网络访问关系，因此，适用于nat设备中存在一对多映射、多对一映射、关联了策略路由的映射等复杂的nat配置的应用场景，并适用于存在多台nat设备级联的应用场景，在无需部署代理程序、无需捕获和解析海量的业务流量数据包的基础上，在降低运维成本的同时准确且高效的获取网络边界的全路径网络访问关系。
77.根据本技术一个可选的实施例，获取全路径网络访问关系的方法还包括：将全路径网络访问关系中发起访问请求的设备对应的节点确定为开始节点，将全路径网络访问关系中接收访问请求的设备对应的节点确定为结束节点，并将全路径网络访问关系中的nat设备确定为中间节点；将连接开始节点，中间节点和结束节点的线段确定为边，其中，边的方向根据网络会话穿过网络边界的访问方向确定，边的方向用箭头指示；根据开始节点、中间节点、结束节点和边生成全路径网络访问关系的可视图；展示全路径网络访问关系的可视图。
78.根据本技术实施例提供的方法还可以显示全路径网络访问关系，图6是全路径网络访问关系可视图的示意图，如图6所示，全路径网络访问关系可视图包括外部网络区域，网络边界区域和内部网络区域，其中，由内部网络发起网络会话，内部网络区域显示了内部网络中的设备的名称(即客户端)和设备的网络地址(如172.16.0.3)和网络会话从内部网络进入网络边界的局部网络访问关系；网络边界区域中显示了网络边界中每个nat设备的名称(如nat设备1、nat设备2)、源接口(如inside、intranet)和目的接口(如extranet、outside)，以及网络会话在网络边界中的nat设备之间的局部网络访问关系；外部网络区域中显示了外部网络中设备的名称(如服务器)和设备的网络地址(如112.0.10.3:443)和网络会话通过网络边界访问外部网络的局部网络访问关系；其中，外部网络访问网络边界的
局部网络访问关系以标签的形式显示，包括源网络地址(如112.00.10.3)，目的网络地址(如211.0.10.3)和目的端口(如443)；内部网络访问网络边界的局部网络访问关系以标签的形式显示，包括源网络地址(如172.16.0.3)，目的网络地址(如192.168.0.3)和目的端口(如443)；网络会话在nat设备之间的局部网络访问关系以标签的形式显示，包括源网络地址(如172.16.0.3)，目的网络地址(如211.0.0.3)和目的端口(如443)。在显示访问路径时，以被访问的设备对应的节点作为结束节点，以多个nat设备对应的多个节点作为多个中间节点，以整个路径中发起访问请求的设备对应的节点作为开始节点，通过线段将访问路径中的设备对应的节点连接起来作为边，通过箭头指示访问方向。
79.图7是根据本技术实施例提供的一种全路径网络访问关系的展示系统的结构图，包括：终端设备70、数据可视化服务器72和数据处理服务器74，其中，终端设备70，与数据可视化服务器72连接，用于向数据可视化服务器72发送用于请求访问网络边界的全路径网络访问关系的查询请求，并展示全路径网络访问关系；数据可视化服务器72，与数据处理服务器74连接，用于响应查询请求并获取与全路径网络访问关系对应的数据；数据处理服务器74，用于获取多个nat设备的多个日志，将多个日志转换为与多个nat设备中每个nat设备对应的结构化会话日志，根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，将在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系，存储与全路径网络访问关系对应的数据，并向数据可视化服务器72下发与全路径网络访问关系对应的数据，其中，网络会话为在网络边界内的设备和在网络边界外的设备之间进行的会话。
80.图8是展示nat设备所在网络边界的全路径网络访问关系的展示系统的工作流程图，如图8所示终端设备70首先向数据可视化服务器72发起查询请求以查询nat所在网络边界的全路径网络访问关系，数据可视化服务器72接收到查询请求后，从数据处理服务器74中获取全路径网络访问关系；数据处理服务器74将存储的用于标识全路径网络访问关系的数据下发至数据可视化服务器72，其中，数据处理服务器74在预定的周期中采集的网络边界中每个nat设备的会话日志并将每条会话日志转换为标准的结构化会话日志，进而通过每个nat设备的结构化会话日志提取每个nat设备的局部网络访问关系，将每个nat设备的局部网络访问关系按照上述的方法串联为这多个nat设备所在网络边界的全路径网络访问关系并存储；数据可视化服务器72将处理后可以可视化的全路径网络访问关系发送到终端设备70，终端设备70生成表示全路径网络访问关系的可视图，并显示该可视图。
81.图9是根据本技术实施例提供的一种获取全路径网络访问关系的装置的结构图，包括：获取模块90，用于获取与多个nat设备中每个nat设备对应的结构化会话日志；提取模块92，用于根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，其中，网络会话为在每个nat设备所属的网络边界内的设备和在每个nat设备所属的网络边界外的设备之间进行的会话；处理模块94，用于将网络会话在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系。
82.在获取全路径网络访问关系的装置工作时，通过获取模块90实时采集和解析网络边界中每个nat设备的会话日志，将采集到的原始会话日志转化为标准的结构化会话日志；提取模块92获取并存储通过获取模块90得到的结构化会话日志，按照如一小时、一天、一个
月的预设周期，将一小时内的数据或者一天内的数据或者一个月内的数据进行汇聚分类并从中提取经过nat设备前后的局部网络访问关系；通过处理模块94，将通过提取模块92得到的经过nat设备前后的局部网络访问关系串联为nat设备所在的网络设备的全路径网络访问关系。
83.需要说明的是，图9所示实施例的优选实施方式可以参见图1所示实施例的相关描述，此处不再赘述。
84.本实施例提供的方法可以应用在任何部署了nat设备的网络边界，例如可以应用在数据中心内网与互联网边界，数据中心内部不同业务隔离区边界，公有云与互联网的边界等。通过本技术实施例提供的方法采集网络安全边界nat设备的nat会话日志，提取出经过nat设备前后的局部网络访问关系，对边界网络路径上多个nat设备节点前后的局部网络访问关系进行串联匹配，从而精准获取安全边界全路径访问关系。在复杂的多nat设备级联环境中，以及复杂的nat设备配置环境中，如在nat设备中存在一对多映射、多对一映射、关联了策略路由(policy based routing，pbr)的地址映射、端口映射等复杂的nat配置的应用环境中，准确高效的获取网络边界的全路径网络访问关系的同时，无需在大量的业务服务器上部署代理程序，也无需捕获和解析海量的业务流量数据包，降低了运维成本。
85.本技术实施例还提供了一种非易失性存储介质，该非易失性存储介质中存储有计算机程序，其中，非易失性存储介质所在设备通过运行计算机程序执行以上的全路径网络访问关系的方法。
86.上述非易失性存储介质用于存储执行以下功能的程序：获取与多个nat设备中每个nat设备对应的结构化会话日志；根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，其中，网络会话为在每个nat设备所属的网络边界内的设备和在每个nat设备所属的网络边界外的设备之间进行的会话；将网络会话在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系。
87.本技术实施例还提供了一种电子装置，包括存储器和处理器，存储器中存储有计算机程序，处理器被设置为通过计算机程序执行以上的全路径网络访问关系的方法。
88.上述电子设备中的处理器用于运行执行以下功能的程序：获取与多个nat设备中每个nat设备对应的结构化会话日志；根据每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，其中，网络会话为在每个nat设备所属的网络边界内的设备和在每个nat设备所属的网络边界外的设备之间进行的会话；将网络会话在每个nat设备处的局部网络访问关系进行串联，得到每个nat设备所属的网络边界的全路径网络访问关系。
89.需要说明的是，上述获取全路径网络访问关系的装置中的各个模块可以是程序模块(例如是实现某种特定功能的程序指令集合)，也可以是硬件模块，对于后者，其可以表现为以下形式，但不限于此：上述各个模块的表现形式均为一个处理器，或者，上述各个模块的功能通过一个处理器实现。
90.上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
91.在本技术的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
92.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
93.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
94.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
95.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
96.以上所述仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。

技术特征：
1.一种获取全路径网络访问关系的方法，其特征在于，包括：获取与多个nat设备中每个nat设备对应的结构化会话日志；根据所述每个nat设备对应的结构化会话日志，提取网络会话在所述每个nat设备处的局部网络访问关系，其中，所述网络会话为在每个nat设备所属的网络边界内的设备和在所述每个nat设备所属的网络边界外的设备之间进行的会话；将所述网络会话在所述每个nat设备处的局部网络访问关系进行串联，得到所述每个nat设备所属的网络边界的全路径网络访问关系。2.根据权利要求1所述的方法，其特征在于，根据所述每个nat设备对应的结构会话化日志，提取网络会话在所述每个nat设备处的局部网络访问关系，包括：获取所述nat设备的网络边界拓扑关系，根据所述网络边界拓扑关系生成所述nat设备的出入路径表，其中，所述nat设备的出入路径表包括：所述nat设备的标识信息、所述nat设备所在的网络边界的名称、所述nat设备的级联层级，经过所述nat设备的网络会话的访问方向、入接口的名称和出接口的名称，所述入接口为所述网络会话进入所述nat设备的接口，所述出接口为所述网络会话从所述nat设备出来的接口；根据所述结构化会话日志生成日志汇聚表，并依据所述nat设备的出入路径表和所述日志汇聚表确定经过所述nat设备的网络会话的访问方向；根据所述访问方向提取所述网络会话在所述nat设备处的局部网络访问关系。3.根据权利要求1所述的方法，其特征在于，获取与多个nat设备中每个nat设备对应的结构化会话日志，包括：获取多个nat设备的多个日志，从所述多个日志中获取关键要素信息，其中，所述关键要素信息包括：时间戳、源网络地址、目的网络地址、目的端口、源映射网络地址、目的映射网络地址、目的映射端口、协议类型、源接口和目的接口；获取所述每个nat设备的标识信息，其中，所述标识信息包括以下至少之一：nat设备的名称和所述nat设备的网络地址；将所述每个nat设备的关键要素信息和所述每个nat设备的标识信息进行组合，得到所述每个nat设备对应的结构化会话日志。4.根据权利要求3所述的方法，其特征在于，根据所述结构化会话日志生成日志汇聚表，包括：确定预设周期，并采集在所述预设周期内的多个所述结构化会话日志；将多个所述结构化会话日志中除所述时间戳以外的其它关键要素信息完全相同的数据归类为一组数据，得到多组数据；根据所述多组数据生成日志汇聚表，其中，所述日志汇聚表包括：所述nat设备的标识信息、所述关键要素信息和每组数据出现的次数。5.根据权利要求2所述的方法，其特征在于，根据所述结构化会话日志生成日志汇聚表，并依据所述nat设备的出入路径表和所述日志汇聚表确定经过所述nat设备的网络会话的访问方向，包括：获取所述日志汇聚表中的nat设备的标识信息、与所述nat设备的标识信息对应的源接口的名称以及与所述nat设备的标识信息对应的目的接口的名称；利用所述nat设备的标识信息、与所述nat设备的标识信息对应的源接口的名称和与所
述nat设备的标识信息对应的目的接口的名称通过所述nat设备的出入路径表确定经过所述nat设备的标识信息指示的nat设备的网络会话的访问方向。6.根据权利要求2所述的方法，其特征在于，根据所述访问方向提取所述网络会话在所述nat设备处的局部网络访问关系，包括：如果所述访问方向为入界，将与所述nat设备的标识信息对应的源映射网络地址确定为内接口源网络地址，将与所述nat设备的标识信息对应的目的网络地址确定为内接口目的网络地址，将与所述nat设备的标识信息对应的目的端口确定为内接口目的端口，将与所述nat设备的标识信息对应的源网络地址确定为外接口源网络地址，将与所述nat设备的标识信息对应的目的映射网络地址确定为外接口目的网络地址，并将与所述nat设备的标识信息对应的目的映射端口确定为外接口目的端口，其中，所述入界指示从所述网络边界外的设备访问所述网络边界内的设备；根据所述内接口源网络地址、所述内接口目的网络地址、所述内接口目的端口、所述外接口源网络地址、所述外接口目的网络地址和所述外接口目的端口确定所述访问方向为入界时所述网络会话在所述nat设备处的多个局部网络访问关系；如果所述访问方向为出界，将与所述nat设备的标识信息对应的源网络地址确定为所述内接口源网络地址、将与所述nat设备的标识信息对应的目的映射网络地址确定为所述内接口目的网络地址、将与所述nat设备的标识信息对应的目的映射端口确定为所述内接口目的端口、将与所述nat设备的标识信息对应的源映射网络地址确定为所述外接口源网络地址、将与所述nat设备的标识信息对应的目的网络地址确定为所述外接口目的网络地址，并将与所述nat设备的标识信息对应的目的端口确定为所述外接口目的端口，其中，所述出界指示从所述网络边界内的设备访问所述网络边界外的设备；根据所述内接口源网络地址、所述内接口目的网络地址、所述内接口目的端口、所述外接口源网络地址、所述外接口目的网络地址和所述外接口目的端口确定所述访问方向为出界时所述网络会话在所述nat设备处的多个局部网络访问关系。7.根据权利要求2所述的方法，其特征在于，将所述每个nat设备的局部网络访问关系进行串联，得到所述每个nat设备所属的网络边界的全路径网络访问关系，包括：从所述nat设备的出入路径表中确定所述nat设备所属的网络边界中nat设备的数量；如果所述数量大于一个，依据串联规则将同一个所述网络边界内的多个所述nat设备的多个局部网络访问关系进行串联，得到所述全路径网络访问关系；如果所述数量等于一个，将所述nat设备的局部网络访问关系确定为所述全路径网络访问关系。8.根据权利要求7所述的方法，其特征在于，依据串联规则将同一个所述网络边界内的多个所述nat设备的多个局部网络访问关系进行串联，包括：如果多个所述nat设备中的第一nat设备的内接口源网络地址等于多个所述nat设备中的第二nat设备的外接口源网络地址，所述第一nat设备的内接口目的网络地址等于所述第二nat设备的外接口目的网络地址，且所述第一nat设备的内接口目的端口等于所述第二nat设备的外接口目的端口，将所述第一nat设备的局部网络访问关系和所述第二nat设备的局部网络访问关系串联为网络边界的全路径访问关系，其中，所述第一nat设备与所述第二nat设备为属于同一个所述网络边界，所述第一nat设备与所述第二nat设备存在相邻的
关系，且所述第一nat设备的级联层级小于所述第二nat设备的级联层级。9.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述全路径网络访问关系中发起访问请求的设备对应的节点确定为开始节点，将所述全路径网络访问关系中接收所述访问请求的设备对应的节点确定为结束节点，并将所述全路径网络访问关系中的nat设备确定为中间节点；将连接所述开始节点，所述中间节点和所述结束节点的线段确定为边，其中，所述边的方向根据所述网络会话穿过所述网络边界的访问方向确定，所述边的方向用箭头指示；根据所述开始节点、所述中间节点、所述结束节点和所述边生成所述全路径网络访问关系的可视图；展示所述全路径网络访问关系的可视图。10.一种全路径网络访问关系的展示系统，其特征在于，包括：终端设备、数据可视化服务器和数据处理服务器，其中，所述终端设备，与所述数据可视化服务器连接，用于向所述数据可视化服务器发送用于请求访问网络边界的全路径网络访问关系的查询请求，并展示所述全路径网络访问关系；所述数据可视化服务器，与所述数据处理服务器连接，用于响应所述查询请求并获取与所述全路径网络访问关系对应的数据；所述数据处理服务器，用于获取多个nat设备的多个日志，将所述多个日志转换为与所述多个nat设备中每个nat设备对应的结构化会话日志，根据所述每个nat设备对应的结构化会话日志，提取网络会话在每个nat设备处的局部网络访问关系，将在所述每个nat设备处的局部网络访问关系进行串联，得到所述每个nat设备所属的网络边界的全路径网络访问关系，存储与所述全路径网络访问关系对应的数据，并向所述数据可视化服务器下发与所述全路径网络访问关系对应的数据，其中，所述网络会话为在所述网络边界内的设备和在所述网络边界外的设备之间进行的会话。11.一种获取全路径网络访问关系的装置，其特征在于，包括：获取模块，用于获取与多个nat设备中每个nat设备对应的结构化会话日志；提取模块，用于根据所述每个nat设备对应的结构化会话日志，提取网络会话在所述每个nat设备处的局部网络访问关系，其中，所述网络会话为在每个nat设备所属的网络边界内的设备和在所述每个nat设备所属的网络边界外的设备之间进行的会话；处理模块，用于将所述网络会话在所述每个nat设备处的局部网络访问关系进行串联，得到所述每个nat设备所属的网络边界的全路径网络访问关系。12.一种非易失性存储介质，其特征在于，所述非易失性存储介质中存储有计算机程序，其中，所述非易失性存储介质所在设备通过运行所述计算机程序执行权利要求1至9中任意一项所述的全路径网络访问关系的方法。13.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为通过所述计算机程序执行权利要求1至9中任意一项所述的全路径网络访问关系的方法。

技术总结
本申请公开了一种获取全路径网络访问关系的方法及装置。其中，该方法包括：获取与多个NAT设备中每个NAT设备对应的结构化会话日志；根据每个NAT设备对应的结构化会话日志，提取网络会话在每个NAT设备处的局部网络访问关系，其中，网络会话为在每个NAT设备所属的网络边界内的设备和在每个NAT设备所属的网络边界外的设备之间进行的会话；将网络会话在每个NAT设备处的局部网络访问关系进行串联，得到每个NAT设备所属的网络边界的全路径网络访问关系。本申请解决了由于NAT环境复杂造成的相关技术无法高效且准确的获取到穿越NAT设备的全路径网络访问关系的技术问题。全路径网络访问关系的技术问题。全路径网络访问关系的技术问题。


技术研发人员：郭曦拓 徐徽 周明嘉 张佳温 张祥 颜回中 陈梓忠
受保护的技术使用者：广发银行股份有限公司
技术研发日：2023.04.24
技术公布日：2023/7/20