基于AI技術的IP資源可視化管理系統(tǒng)研發(fā)

摘要：隨著國家IPv6戰(zhàn)略的推進，IPv4與IPv6兩種資源將長期雙棧并存。建網(wǎng)以來，河南聯(lián)通IP資源的維護管理，依靠傳統(tǒng)的人工手動分配和Excel表格統(tǒng)計方式，還未實現(xiàn)系統(tǒng)化數(shù)字化管理。現(xiàn)有的維護模式，無法滿足5G時代物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等廣連接業(yè)務對IPv6地址的爆發(fā)式增長需求，對未來IP地址的統(tǒng)計分析、日常維護、自動化分配、地址溯源、IP安全審計等都將帶來極大的考驗。本項目通過AI和大數(shù)據(jù)技術，對全省IPv4和IPv6地址資源進行線上系統(tǒng)化管理，摒棄長期以來使用傳統(tǒng)excel手工管理的模式，解決了河南聯(lián)通IP地址管理工作中存在人工參與度過高、手工臺賬、信息錯漏、無法自動稽核、缺乏全流程管控等問題，實現(xiàn)了IP資源維護管理工作的全面數(shù)字化轉型。

關鍵詞：IP去重；IP異常分析；IP智能畫像；IP管理；IP可視化

1 概述

長期以來，河南聯(lián)通缺乏 IP 資源維護的數(shù)字化管理手段。IP 資源由省級分公司從集團申請后，按照大段地址分配至各市級分公司。各市分工公司再將大段地址按業(yè)務需求進行細化，分配給客戶網(wǎng)絡側或骨干設備側，整個 IP 資源的規(guī)劃、分配、管理都依靠電子表格（excel）的方式進行手工靜態(tài)管理。未來 5G 物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等終端廣連接業(yè)務，對 IPv6 地址的爆發(fā)式增長需求，使現(xiàn)網(wǎng)環(huán)境中的 IPv4 和 IPv6 兩類資源長期共存，與 IP 相關的業(yè)務越來越繁雜，基于 IP 資源的安全管理要求 也越來越嚴格。在此背景下，我們組建技術專家團隊研 究基于 AI 和大數(shù)據(jù)技術的 IP 資源管理方案，建設全省統(tǒng)一的 IP 資源可視化管理系統(tǒng)，標記已入庫 IP 地址使用狀態(tài)，實現(xiàn)全量 IP 地址的動態(tài)管理。根據(jù)業(yè)務使用申請進行自動化分配，能夠自動比對全網(wǎng)的活躍 IP 地址和已入庫地址，從而自動發(fā)現(xiàn)未入庫的異常地址，能夠自動審核 IP 地址管理信息，形成 IP 地址數(shù)字化閉環(huán)管理體系。

2 系統(tǒng)研發(fā)思路

2.1 IP資源管理現(xiàn)狀

當前河南聯(lián)通對 IP 地址資源的管理主要依賴通過手工錄入 excel 的方式管理。IP 地址管理員通過 excel 記錄已經(jīng)分配的 IP 地址，每次下面地市管理員申請 IP 時，上級 IP 管理員需要在 excel 中篩選出尚未被占用、 可供分配的 IP，易出現(xiàn)重復分配的情況。個別地市有獨立的自行維護的簡易 IP 管理系統(tǒng)，但缺乏跟其他地市的 IP 數(shù)據(jù)聯(lián)動，在進行系統(tǒng)間的信息傳輸時，會因技術不同、標準不同、協(xié)議不同等問題形成信息孤島。分地市建立獨立的管理系統(tǒng)，不論從經(jīng)濟費用、人力消耗、 時間消耗、數(shù)據(jù)準確性等方面，都不是實現(xiàn)對全省 IP 資源精準智能管理的最優(yōu)方案。

2.2 存在問題

IP 資源的日常維護過程中，經(jīng)常遇到以下問題：

（1）IP 管理人員進行 IP 規(guī)劃、IP 地址分配等工作時，因用手工方式導致效率低、易出錯；

（2）已分 IP 資源缺乏信息化手段支撐，數(shù)據(jù)無法實時更新記錄?，F(xiàn)網(wǎng)中已分配但是沒有被納管的 IP 地址無法做到實時預警提示，存在使用對象不明確、監(jiān)管失效的問題；

（3）業(yè)務開通過程中，無法實現(xiàn)地址資源的自動分配能力，造成交付效率低，稽核難度大；

（4）IP 數(shù)據(jù)繁雜，缺乏有效的技術手段，對 IP 資 源進行數(shù)字化、可視化分析，無法實現(xiàn)全量資源的數(shù)據(jù)查詢、數(shù)據(jù)挖掘、資源畫像等能力。

2.3 系統(tǒng)建設目標

鑒于全省 IP 地址管理的現(xiàn)狀和存在的問題，明確項目研發(fā)目標形成全省統(tǒng)一的 IP 地址管理體系，由河南聯(lián)通省級管理員及 18 個地市級管理員分權分域共同維護。通過 AI 和大數(shù)據(jù)分析等智能化技術，對全省的 IP 地址數(shù)據(jù)進行統(tǒng)一管理。本系統(tǒng)主要研發(fā)方向和創(chuàng)新點如下：

（1）IP 智能去重計算：在量級巨大的 IPV4 和 IPV6 地址池中，通過系統(tǒng)內置的子網(wǎng)拆分算法，在地市申請 IP 地址時，網(wǎng)絡地址管理員通過系統(tǒng)，可以智能去重，精準篩選出可供分配使用的 IP 地址，大大減少人力篩選的成本。

（2）異常 IP 分析：系統(tǒng)通過對接路由表，DNS 系統(tǒng)，結合大數(shù)據(jù)混合運算，將各個地市上報到系統(tǒng)的 IP 與路由表、DNS 系統(tǒng)的 IP 進行對比分析，識別出未納入系統(tǒng)管理的 IP，此類 IP 就視為異常 IP，之后通過系統(tǒng)消息發(fā)送，推送給對應的省市管理員，方便管理員針對上報 IP 數(shù)據(jù)進行直接管控，增強了系統(tǒng) IP 數(shù)據(jù)的實時性、準確性。

（3）IP 智能畫像：應網(wǎng)安部門的要求，需要從 IP 安全角度出發(fā)，對 IP 的歷史使用軌跡進行分析，然后形成 IP 智能畫像，顯示 IP 從申報、到使用、到回收等全生命周期的歷史痕跡。在出現(xiàn) IP 安全責任事故時，方便信安、網(wǎng)安部門進行溯源追責，滿足安全責任事故要求。

（4）IP 可視化展示：對手工錄入的 IP 數(shù)據(jù)、系統(tǒng) 自動采集的 IP 數(shù)據(jù)、異常告警的 IP 數(shù)據(jù)等多維度數(shù)據(jù)進行大數(shù)據(jù)處理、統(tǒng)計與分析，然后通過柱狀圖、餅狀圖等多種圖形化方式進行 IP 可視化展示，展示維度包括告警數(shù)據(jù)、地市 IP 數(shù)據(jù)情況、地圖 IP 數(shù)據(jù)熱力圖等。系統(tǒng)使用通用 X86 服務器架構，支持物理機和虛擬機部署。IP 智能去重使用分布式計算模式，可 組建服務器群進行并行計算，平滑提升分析能力，可靈活調度計算能力，實現(xiàn)不同運算速度的主機并行工作。主機故障時計算任務自動分配到其他計算單元進行處理。IP 異常分析使用實時監(jiān)控工作模式，對實時錄入的 IP 數(shù)據(jù)進行合規(guī)性異常校驗，及時將當前 IP 資源跟 DNS 系統(tǒng)、路由表中 IP 進行對比，梳理出異常 IP 記錄，保證 IP 地址的正常可用性。IP 智能畫像使用主備機工作模式，符合電信級運營服務標準，負責 IP 地址的申報歷史、使用歷史、回收歷史等多種信息，并具有靈活的擴容架構。 IP 可視化展示使用數(shù)據(jù)實時處理工作模式，實時對 IP 數(shù)據(jù)、告警數(shù)據(jù)、使用情況等數(shù)據(jù)進行實時處理，通過可視化的方式展示 IP 多維度數(shù)據(jù)。

3 系統(tǒng)設計原理

3.1 系統(tǒng)整體架構

系統(tǒng)整體軟件架構分為三層：數(shù)據(jù)管理層、數(shù)據(jù)分析處理層和結果展示層。

3.2 數(shù)據(jù)管理層

數(shù)據(jù)管理層主要針對全省錄入的 IP 地址信息形成完整的基礎資源庫，分為：待驗證庫和正式資源庫兩個。待驗證倉庫中的 IP 資源為未確認或存疑數(shù)據(jù)，正式資源庫中的 IP 資源數(shù)據(jù)為正式管理數(shù)據(jù)。

外部導入到系統(tǒng)的 IP 資源數(shù)據(jù)存在待驗證倉庫中需要運維人員進行確認后導入正式資源庫。IP 資源包括網(wǎng)絡設備地址、互聯(lián)中繼地址、用戶 IP 地址三類，支持對 IP 資源進行管理和維護操作。通過智能算法識別庫內 IP 資源沖突的情況，在新增資源時，系統(tǒng)使用 IP 地址去重算法，會自動比對校驗導入數(shù)據(jù)和資源庫數(shù)據(jù)的資源。先將所有數(shù)據(jù)導入中間件 active MQ，批量處理程序將執(zhí)行對比操作，將所有導入數(shù)據(jù)中不正確的數(shù)據(jù)標記出來，從而反饋到頁面提醒用戶哪些數(shù)據(jù)有錯誤，并且會提示詳細的錯誤原因引導用戶進行排查。

同時系統(tǒng)針對 IP 資源進行分權分域管理，各個地市管理員只能看到自己錄入的 IP 數(shù)據(jù)，省級管理員可維護全省的 IP 地址資源，保證 IP 地址的安全性。IP 資 源模塊會通過算法，以網(wǎng)段表、子網(wǎng)表、IP 表的結構分塊存儲在數(shù)據(jù)庫，網(wǎng)段、子網(wǎng)、IP 資源之間保留關聯(lián)關系，精確到 IP 地址的管理，最大化地利用了 IP 資源池，對于網(wǎng)絡資源的分配和后續(xù)管理都有極大的幫助。

3.3 數(shù)據(jù)分析處理層

數(shù)據(jù)分析處理層主要針對錄入到系統(tǒng)的 IP 地址資源，從系統(tǒng)層面實現(xiàn) IP 地址的去重和異常 IP 的檢測分析功能。

3.3.1 IP地址去重

IP 地址去重是在 IP 自動分配時，通過系統(tǒng)內置的算法實現(xiàn)子網(wǎng)拆分、合并、去重，進而從資源庫中，篩選出可供分配的 IP 地址。

（1）IP 子網(wǎng)拆分：依靠 AI 算法，將一個大的網(wǎng)段根據(jù)掩碼來拆分所得多個子網(wǎng)，并且更新 IP 資源庫中每一個 IP 的網(wǎng)段歸屬情況，拆分后可以預查看拆分可得到的網(wǎng)段，并且可修改拆分出來的子網(wǎng)對應的屬性，保存后，原先屬于拆分前子網(wǎng)的所有 IP 資源，都將根據(jù)填寫的新子網(wǎng)的信息進行更新，歸屬于新的子網(wǎng)。

（2）IP 子網(wǎng)合并：IP 子網(wǎng)合并是將兩個或 2n 個符 合 IP 合并規(guī)則的子網(wǎng)合并成一個大的子網(wǎng)，根據(jù)最終的掩碼會根據(jù)選中的子網(wǎng)大小來計算得出合并所得到的子網(wǎng)大小。并且原有子網(wǎng)下所有 IP 都將被自動被規(guī)劃到合并后的子網(wǎng)中。

（3）IP 去重算法：在計算 IP 地址去重的時候，先將 IPV4 地址轉換為十進制，保存在數(shù)據(jù)庫中。

IP 去重算法及自動分配算法原理：系統(tǒng)針對用戶填寫的 IP 地址掩碼，基于 AI 算法，對系統(tǒng)內部規(guī)劃的 IP 子網(wǎng)地址進行智能拆分或者合并，計算出滿足用戶需求的子網(wǎng)地址，分配算法通過對比地市、自治域、用途、掩碼（前綴）等參數(shù)，找到可分配資源池中狀態(tài)為未占用的資源，展示出所有可以選擇的網(wǎng)段出來，用戶可以自行選擇需要的網(wǎng)段下邊的符合條件的可選 IP 資源進行分配占用，最終實現(xiàn) IP 地址的分配。

先獲取可供分配的網(wǎng)段列表，按照 30 個網(wǎng)段為一組，使用多線程和計數(shù)器分別去處理每一組網(wǎng)段。每一個線程都要檢查網(wǎng)段下是否有可供分配的子網(wǎng)，尋找到合適的網(wǎng)段，然后排除完全符合條件的子網(wǎng)，尋找可以合并或拆分的子網(wǎng)。尋找該網(wǎng)段最小子網(wǎng)，如果最小子網(wǎng)的子網(wǎng)掩碼大于輸入的掩碼，則查看是否可合并。如果最小子網(wǎng)的子網(wǎng)掩碼小于輸入的掩碼，則查看是否可合并。正序排列，取最小子網(wǎng)，掩碼數(shù)最大。計算過程中，需要判斷掩碼數(shù)是否相同，沒有被使用的子網(wǎng)個數(shù)，根據(jù)合并子網(wǎng)的需要，進行拆分計算，同時也要計算子網(wǎng)下已經(jīng)被使用的數(shù)量，以及并子網(wǎng)需要的子網(wǎng)個數(shù)。如果某一個子網(wǎng)存在已經(jīng)分配過的 IP，需要特殊處理，判斷是否可以使用其中的一段。具體做法是獲取拆分后的子網(wǎng)中所有的 IP，查詢這些 IP 中有沒有被使用的。通過掩碼查詢到的網(wǎng)段，再通過網(wǎng)段拆分出來的子網(wǎng)去對比數(shù)據(jù)庫子網(wǎng)表數(shù)據(jù)，如果子網(wǎng)存在，則看有沒有被使用，如果被使用，則對比下一條子網(wǎng)數(shù)據(jù)。如果沒有相同掩碼的子網(wǎng)，則找有沒有掩碼位數(shù) -1 的子網(wǎng)，并用系統(tǒng)工具類拆分兩個子網(wǎng)。如果 -1 也沒有，則使用 -1-1 的方案直到找到可以拆分的子網(wǎng)為止。同理合并需要 +1 去找。最終將計算出的可供分配的網(wǎng)段數(shù)據(jù)、子網(wǎng)數(shù)據(jù)按照 IP 升序返回即可。

3.3.2 異常IP資源檢測

系統(tǒng)通過接口接收全網(wǎng)路由表信息和用戶 DNS 域 名解析數(shù)據(jù)，結合大數(shù)據(jù)混合運算，將各個地市上報到系統(tǒng)的 IP 與路由表和 DNS 系統(tǒng)的 IP 進行對比分析，識別出在網(wǎng)使用但未納入系統(tǒng)管理的 IP，并將此類 IP 標記為異常IP，通過系統(tǒng)消息推送給對應的省市管理員，方便管理員針對上報 IP 數(shù)據(jù)進行直接管控，增強了系統(tǒng) IP 數(shù)據(jù)的實時性、準確性。

異常 DNS 活躍 IP 檢測原理：用戶的 DNS 域名解 析數(shù)據(jù)中，記錄了 IP 的活躍程度以及所屬地市，只要存在 IP 訪問過 DNS 系統(tǒng)就證明該 IP 為在線使用的活躍 IP。通過 sftp 的方式定期從接口獲取活躍 ip 數(shù)據(jù)，以 txt 文本方式存放 600 多萬活躍 IP 數(shù)據(jù)。將 DNS 活 躍 IP 數(shù)據(jù)入庫。系統(tǒng)通過執(zhí)行 python 腳本，讀取 txt 中的 IP 數(shù)據(jù)，讀取過程中過濾掉私網(wǎng) IP 地址，只保留公網(wǎng) IP，最后將過濾后的 IP 數(shù)據(jù)保存到 mysql 數(shù)據(jù)庫中。通過對比系統(tǒng)內已錄入的全量 IP 數(shù)據(jù)與 DNS 系統(tǒng)的活躍 IP 數(shù)據(jù)，當 DNS 活躍 IP 未錄入或歸屬地市信息不準確時，將該數(shù)據(jù)標記為異常 IP。針對對比出的異 常 IP 數(shù)據(jù)，系統(tǒng)會保存在數(shù)據(jù)庫中，這些 IP 是需要管 理員進行補充錄入或修改 IP 資源信息的，系統(tǒng)會推送相關 DNS 異常 IP 消息到系統(tǒng)站內信中，管理員可在系統(tǒng)內隨時查閱異常 IP 并進行處理。

異常路由表活躍 IP 檢測原理：全網(wǎng)路由表中記錄了 IP 資源所在的路由表相關信息，只要路由表存在的 IP，就證明該 IP 為在線使用。由于全省每個地市采用一個獨立的 AS 自治域管理，因此系統(tǒng)通過接口分地市獲取各自 AS 的明細路由，注意區(qū)分華為、貝爾等廠家不同格式的路由信息。系統(tǒng)會自動識別路由表表頭來匹配對應的解析方法，通過程序解析路由表內容，獲取路由表的 Network 字段、 NextHop 字段，同時過濾掉不需要的下一跳對應的 IP 地址，然后將過濾后的數(shù)據(jù)保存到 mysql 數(shù)據(jù)庫中。將已錄入的 IP 資 源數(shù)據(jù)逐條比對路由表數(shù)據(jù)，當匹配到用戶 IP 資源與路由表中路由數(shù)據(jù)出現(xiàn) IP 起始結束地址不一致或不存在的數(shù)據(jù)，該 IP 資源會被標記為異常數(shù)據(jù)。針對異常 IP 數(shù)據(jù)，系統(tǒng)會保存在數(shù)據(jù)庫中，這些 IP 是需要管理員進行補充錄入或修改 IP 資源信息的，會推送相關路由表異常 IP 消息到系統(tǒng)站內信中，管理員可隨時查閱異常 iP 并進行處理。

所有異常數(shù)據(jù)都會以 IP 地址、IP 用途、地市、異常類型進行存儲。管理人員可以通過地市來分權分域展開一場排查工作，根據(jù) IP 地址快速鎖定問題 IP 對應的網(wǎng)絡設備和客戶。及時發(fā)現(xiàn)和解決全省 IP 地址的漏覆蓋情況，避免因人為因素給公司帶來的網(wǎng)絡信息安全隱患和相應的經(jīng)濟損失。異常 IP 檢測后臺部署了一套 DNS 數(shù)據(jù)對比和路由表數(shù)據(jù)對比服務，通過定時任務執(zhí)行的方式開啟對比服務來判斷系統(tǒng)中 IP 資源的異常狀況，并通過站內信等方式提醒用戶解決異常問題。如下圖所示：

3.4 結果展示層

結果展示層主要是對 IP 數(shù)據(jù)分析處理后的結果進行匯總展示，對 IP 資源系統(tǒng)中的多維度數(shù)據(jù)進行統(tǒng)計、分析與展示，通過可視化的方式直觀了解全網(wǎng)的整理 IP 使用情況、告警情況。其中主要的創(chuàng)新點為 IP 智能畫像和 IP 可視化。

3.4.1 IP智能畫像

從全省網(wǎng)絡安全的角度出發(fā)，對 IP 的歷史使用軌跡進行分析，然后形成IP智能畫像能力，顯示IP從申報、分配、使用、異常檢測、回收等全生命周期的歷史痕跡。 可以在網(wǎng)絡安全責任事故時，快速協(xié)助信安、網(wǎng)安相關部門進行溯源追責。IP 智能畫像在構建過程中，本質上是將 IP 數(shù)據(jù)組合成 IP 數(shù)據(jù)特征，從而形成 IP 的數(shù)據(jù)模型。IP 數(shù)據(jù)在量化之后主要是以標簽為主，標簽的定義拆分為三個步驟，分別是層級、生產(chǎn)以及權重。

（1）層級：分為原始標簽、事實標簽、模型 & 預測標簽、策略標簽。

原始標簽來源于 IP 基礎信息、IP 地理位置、IP 訪問數(shù)據(jù)、IP 異常記錄。

事實標簽來源于：IP 屬性、網(wǎng)絡屬性、IP 類型、訪問頻次、平均日活、異常頻次。是對原始數(shù)據(jù)進行統(tǒng)計分析后的初步提煉結果。

模型&預測標簽來源于：IP屬性、活躍度、網(wǎng)絡屬性、地理屬性、風險度、異常頻次、訪問偏好。模型標簽是由一個或多個事實標簽組合而成，是基于模型訓練的結果。以模型標簽“風險度”為例，它是由活躍度、異常頻次、訪問偏好這幾個事實標簽組合而成的。以已有的模型標簽數(shù)據(jù)作為特征，經(jīng)過機器學習生產(chǎn)的標簽，就作為預測標簽。

策略標簽來源于：IP 價值分層、IP 活躍分層、IP 異常分層。策略標簽，則是 IP 標簽構建的最終目的，根據(jù)目的提煉 IP，并對用戶進行定向的活躍分析、異常分析等。

（2）生產(chǎn)：分為基于規(guī)則定義的標簽生產(chǎn)方式、基于主題模型的標簽生產(chǎn)方式?；谝?guī)則定義標簽，就是根據(jù)固定的規(guī)則，通過數(shù)據(jù)查詢的結果生產(chǎn)對應的 IP 標簽。

主題模型，目的是找到 IP 訪問偏好，它將內容劃分為了 3 個層級：分類、主題、關鍵詞。在 IP 標簽中，我們可以參照分類算法將 IP 進行聚類，使用關鍵詞的算法挖掘 IP 的偏好，從而生產(chǎn)標簽。中間涉及的算法有：線性支持向量機、邏輯回歸、文本挖掘算法：TF-IDF。

行為類型權重，指的是對于同一類標簽，由于其行為的輕重不同所以權重不同。時間衰減因子，時間衰減因子體現(xiàn)了標簽的熱度隨著時間逐漸冷卻的過程。

3.4.2 IP資源可視化

對手工錄入的 IP 數(shù)據(jù)、系統(tǒng)自動采集的 IP 數(shù)據(jù)、異常告警的 IP 數(shù)據(jù)等多維度數(shù)據(jù)進行大數(shù)據(jù)處理、統(tǒng)計與分析，然后通過柱狀圖、餅狀圖等多種圖形化方式 進行 IP 可視化展示，展示維度包括告警數(shù)據(jù)、地市 IP 數(shù)據(jù)情況、地圖 IP 數(shù)據(jù)熱力圖等。

（1）IP 數(shù)據(jù)概覽：通過大數(shù)據(jù)統(tǒng)計分析能力，在 IP 可視化大屏上展示 IP 系統(tǒng)中總體的 IP 數(shù)量、IP 網(wǎng)段 數(shù)量、不同類型告警的數(shù)量、已使用 IP 數(shù)、活躍 IP 數(shù)等，通過該模塊用戶可以快速了解 IP 的總體數(shù)據(jù)。

（2）IP 使用情況可視化展示：對 IP 系統(tǒng)內的 IP 規(guī)劃、IP 使用情況、IP 空閑等業(yè)務數(shù)據(jù)進行統(tǒng)計分析，然后按照省市縣三級進行歸類，再通過柱狀圖的形式進行展示，方便用戶直觀了解 IP 數(shù)據(jù)的使用情況。

（3）IP 告警數(shù)據(jù)可視化展示：對目前的告警異常數(shù)據(jù)進行采集、分類。然后通過折線圖的方式展示時不同種類告警在不同時間段的告警數(shù)量。告警數(shù)據(jù)也支持全省、全市、區(qū)縣等下鉆展示，用戶可直觀了解 IP 數(shù)據(jù)的告警情況。

（4）IP 統(tǒng)計排名可視化展示：對 IP 數(shù)量、告警、使用情況等多維度數(shù)據(jù)按照地市、區(qū)縣等進行數(shù)據(jù)統(tǒng)計分析，然后通過柱狀圖的形式對地市、區(qū)縣進行數(shù)據(jù)排名，管理人員可以快速了解各個地市和區(qū)縣的 IP 相關數(shù)據(jù)排名。

（5）IP 數(shù)據(jù)地圖可視化展示：通過地圖的形式展示各個地市、區(qū)縣的數(shù)據(jù)使用情況，不同數(shù)據(jù)量通過不同的顏色進行區(qū)分展示；地圖上可展示 IP 數(shù)據(jù)的流向；地圖支持多層鉆取。IP數(shù)據(jù)地圖可直觀查看各個地域的 IP 數(shù)據(jù)情況。

（6）IP 可視化數(shù)據(jù)分權分域查看：可對不同用戶配置不同的數(shù)據(jù)查看權限，省級管理員可查看全省數(shù)據(jù)，地市管理員可查看地市 IP 數(shù)據(jù)，區(qū)縣管理員可查看區(qū)縣數(shù)據(jù)。通過數(shù)據(jù)的權限管控，保證數(shù)據(jù)的安全性，防止數(shù)據(jù)泄露。

4 效果展示

本項目自 2020 年 5 月系統(tǒng)正式上線，目前已推廣至全省 18 個市分公司使用，成為河南聯(lián)通在網(wǎng)絡維護和 IP 地址資源管理工作中的重要支撐手段，取得了良好的效果。

4.1 IP地址總覽

目前系統(tǒng)已完成了河南聯(lián)通 IPv4 和 IPv6 數(shù)據(jù)的收錄，IPv4 總數(shù) 611.8 萬個，已分配 557.2 萬個，IP 資料入庫條目數(shù) 9.2 萬條。

圖7 IPv4資源情況

IPv6 資源收錄情況：按 /64 前綴的地址塊個數(shù)統(tǒng)計，IP 總數(shù) 100.3 億個，已分配 2 億個，IP 資料入庫條目數(shù) 1519 條。

圖8 IPv6資源情況

4.2 IP自動分配

通過系統(tǒng)去重算法，將導入的一個或數(shù)百上千個 IP，通過 IP 地址轉化成十進制數(shù)首先進行范圍匹配，再進行精確的 IP 匹配，最終可以將導入的所有 IP 的關聯(lián)數(shù)據(jù)查詢出來，關聯(lián)數(shù)據(jù)包括 IP 地址、資源類型、 IP 類型（IPv4 或 IPv6）、錄入方式、錄入時間、以及相關責任人等信息。對系統(tǒng)內部規(guī)劃的 IP 子網(wǎng)地址進行智能拆分或者合并，計算出滿足用戶需求的子網(wǎng)地址，分配算法通過對比地市、自治域、用途、掩碼（前綴）等參數(shù)，找到可分配資源池中狀態(tài)為未占用的資源，展示出所有可以選擇的網(wǎng)段出來，用戶可以自行選擇需要的網(wǎng)段下邊的符合條件的可選 IP 資源進行分配占用，最終實現(xiàn) IP 地址的分配。

4.3 IP異常檢測智能分析

系統(tǒng)使用 IP 異常智能檢測算法，結合全省入庫 IP 資源、用戶dns域名解析、全網(wǎng)路由表的大數(shù)據(jù)關聯(lián)分析，實現(xiàn)了對在網(wǎng)運行但未錄入 IP 資源的自動發(fā)現(xiàn)與預警功能。異常 IP 記錄如下圖：

通過系統(tǒng)上線一年多的整治工作，現(xiàn)在系統(tǒng)內的異常IP數(shù)據(jù)已經(jīng)大幅下降，異常IP數(shù)從整治前的55316個，減少到 896 個降幅 98.38%。

4.4 IP智能畫像

系統(tǒng)基于 IP 智能畫像 AI 算法，結合域名解析系統(tǒng)、信安專線系統(tǒng)、IP/ICP 備案系統(tǒng)等數(shù)據(jù)，對 IP 地址庫的錄入數(shù)據(jù)進行關聯(lián)分析，實現(xiàn) IP 所有關聯(lián)信息的快速查詢展示，對 IP 資源分布、使用軌跡、歷史情況等信息的精準溯源。能夠對 IP 地址進行深度圖譜畫像，可視化展示所有 IP 關聯(lián)數(shù)據(jù)信息。

4.5 IP資源可視化

對手工錄入的 IP 數(shù)據(jù)、系統(tǒng)自動采集的 IP 數(shù)據(jù)、異常告警的 IP 數(shù)據(jù)等多維度數(shù)據(jù)進行大數(shù)據(jù)處理、統(tǒng)計與分析，然后通過柱狀圖、餅狀圖等多種圖形化方式進行 IP 可視化展示，展示維度包括告警數(shù)據(jù)、地市 IP 數(shù)據(jù)情況、地圖 IP 數(shù)據(jù)熱力圖等。

5 結語

本項目通過 AI 和大數(shù)據(jù)技術，對全省 IPv4 和 IPv6 地址資源進行線上系統(tǒng)化管理，摒棄長期以來使用傳統(tǒng) excel 手工管理的模式，解決了河南聯(lián)通IP 地址管理工作中存在人工參與度過高、手工臺賬、信息錯漏、無法自動稽核、缺乏全流程管控等問題，實現(xiàn)了 IP 資源維護管理工作的全面數(shù)字化轉型。項目提高了河南聯(lián)通維護人員的工作效率和企業(yè)效益，提升了對 IP 地址的安全監(jiān)管能力，系統(tǒng)可復制性、可推廣性良好。

參考文獻：

[1] 宋建.基于網(wǎng)絡拓撲測量的IP地址定位系統(tǒng)的設計與實現(xiàn)[D].北京:北京郵電大學,2015.

[2] 楊尉,冷小潔,欒衛(wèi)平,等.IP地址管理模式[J].電子技術與軟件工程,2017(8):42-46.

[3] 王陽.從“精細化管理”到“精準化治理”—以上海市社會治理改革方案為例[J].新視野,2016(1):29-32.

[4] 匡珍春.Oracle數(shù)據(jù)庫優(yōu)化設計探討[J].信息安全與技術,2016(02):69-71.

[5] 耿雪瑩.基于SNMP IP地址管理系統(tǒng)開發(fā)與應用[J].黑龍江電力,2017,39(01):92-94.

[6] 楊尉,冷小潔,欒衛(wèi)平,等.IP地址管理模式[J].電子技術與軟件工程,2017(15):30-31.

（本文轉自《電子產(chǎn)品世界》雜志2022年第6期）