基于A(yíng)I技術(shù)的IP資源可視化管理系統研發(fā)

摘要：隨著(zhù)國家IPv6戰略的推進(jìn)，IPv4與IPv6兩種資源將長(cháng)期雙棧并存。建網(wǎng)以來(lái)，河南聯(lián)通IP資源的維護管理，依靠傳統的人工手動(dòng)分配和Excel表格統計方式，還未實(shí)現系統化數字化管理?，F有的維護模式，無(wú)法滿(mǎn)足5G時(shí)代物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等廣連接業(yè)務(wù)對IPv6地址的爆發(fā)式增長(cháng)需求，對未來(lái)IP地址的統計分析、日常維護、自動(dòng)化分配、地址溯源、IP安全審計等都將帶來(lái)極大的考驗。本項目通過(guò)AI和大數據技術(shù)，對全省IPv4和IPv6地址資源進(jìn)行線(xiàn)上系統化管理，摒棄長(cháng)期以來(lái)使用傳統excel手工管理的模式，解決了河南聯(lián)通IP地址管理工作中存在人工參與度過(guò)高、手工臺賬、信息錯漏、無(wú)法自動(dòng)稽核、缺乏全流程管控等問(wèn)題，實(shí)現了IP資源維護管理工作的全面數字化轉型。

關(guān)鍵詞：IP去重；IP異常分析；IP智能畫(huà)像；IP管理；IP可視化

1 概述

長(cháng)期以來(lái)，河南聯(lián)通缺乏 IP 資源維護的數字化管理手段。IP 資源由省級分公司從集團申請后，按照大段地址分配至各市級分公司。各市分工公司再將大段地址按業(yè)務(wù)需求進(jìn)行細化，分配給客戶(hù)網(wǎng)絡(luò )側或骨干設備側，整個(gè) IP 資源的規劃、分配、管理都依靠電子表格（excel）的方式進(jìn)行手工靜態(tài)管理。未來(lái) 5G 物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等終端廣連接業(yè)務(wù)，對 IPv6 地址的爆發(fā)式增長(cháng)需求，使現網(wǎng)環(huán)境中的 IPv4 和 IPv6 兩類(lèi)資源長(cháng)期共存，與 IP 相關(guān)的業(yè)務(wù)越來(lái)越繁雜，基于 IP 資源的安全管理要求 也越來(lái)越嚴格。在此背景下，我們組建技術(shù)專(zhuān)家團隊研 究基于 AI 和大數據技術(shù)的 IP 資源管理方案，建設全省統一的 IP 資源可視化管理系統，標記已入庫 IP 地址使用狀態(tài)，實(shí)現全量 IP 地址的動(dòng)態(tài)管理。根據業(yè)務(wù)使用申請進(jìn)行自動(dòng)化分配，能夠自動(dòng)比對全網(wǎng)的活躍 IP 地址和已入庫地址，從而自動(dòng)發(fā)現未入庫的異常地址，能夠自動(dòng)審核 IP 地址管理信息，形成 IP 地址數字化閉環(huán)管理體系。

2 系統研發(fā)思路

2.1 IP資源管理現狀

當前河南聯(lián)通對 IP 地址資源的管理主要依賴(lài)通過(guò)手工錄入 excel 的方式管理。IP 地址管理員通過(guò) excel 記錄已經(jīng)分配的 IP 地址，每次下面地市管理員申請 IP 時(shí)，上級 IP 管理員需要在 excel 中篩選出尚未被占用、 可供分配的 IP，易出現重復分配的情況。個(gè)別地市有獨立的自行維護的簡(jiǎn)易 IP 管理系統，但缺乏跟其他地市的 IP 數據聯(lián)動(dòng)，在進(jìn)行系統間的信息傳輸時(shí)，會(huì )因技術(shù)不同、標準不同、協(xié)議不同等問(wèn)題形成信息孤島。分地市建立獨立的管理系統，不論從經(jīng)濟費用、人力消耗、 時(shí)間消耗、數據準確性等方面，都不是實(shí)現對全省 IP 資源精準智能管理的最優(yōu)方案。

2.2 存在問(wèn)題

IP 資源的日常維護過(guò)程中，經(jīng)常遇到以下問(wèn)題：

（1）IP 管理人員進(jìn)行 IP 規劃、IP 地址分配等工作時(shí)，因用手工方式導致效率低、易出錯；

（2）已分 IP 資源缺乏信息化手段支撐，數據無(wú)法實(shí)時(shí)更新記錄?，F網(wǎng)中已分配但是沒(méi)有被納管的 IP 地址無(wú)法做到實(shí)時(shí)預警提示，存在使用對象不明確、監管失效的問(wèn)題；

（3）業(yè)務(wù)開(kāi)通過(guò)程中，無(wú)法實(shí)現地址資源的自動(dòng)分配能力，造成交付效率低，稽核難度大；

（4）IP 數據繁雜，缺乏有效的技術(shù)手段，對 IP 資 源進(jìn)行數字化、可視化分析，無(wú)法實(shí)現全量資源的數據查詢(xún)、數據挖掘、資源畫(huà)像等能力。

2.3 系統建設目標

鑒于全省 IP 地址管理的現狀和存在的問(wèn)題，明確項目研發(fā)目標形成全省統一的 IP 地址管理體系，由河南聯(lián)通省級管理員及 18 個(gè)地市級管理員分權分域共同維護。通過(guò) AI 和大數據分析等智能化技術(shù)，對全省的 IP 地址數據進(jìn)行統一管理。本系統主要研發(fā)方向和創(chuàng )新點(diǎn)如下：

（1）IP 智能去重計算：在量級巨大的 IPV4 和 IPV6 地址池中，通過(guò)系統內置的子網(wǎng)拆分算法，在地市申請 IP 地址時(shí)，網(wǎng)絡(luò )地址管理員通過(guò)系統，可以智能去重，精準篩選出可供分配使用的 IP 地址，大大減少人力篩選的成本。

（2）異常 IP 分析：系統通過(guò)對接路由表，DNS 系統，結合大數據混合運算，將各個(gè)地市上報到系統的 IP 與路由表、DNS 系統的 IP 進(jìn)行對比分析，識別出未納入系統管理的 IP，此類(lèi) IP 就視為異常 IP，之后通過(guò)系統消息發(fā)送，推送給對應的省市管理員，方便管理員針對上報 IP 數據進(jìn)行直接管控，增強了系統 IP 數據的實(shí)時(shí)性、準確性。

（3）IP 智能畫(huà)像：應網(wǎng)安部門(mén)的要求，需要從 IP 安全角度出發(fā)，對 IP 的歷史使用軌跡進(jìn)行分析，然后形成 IP 智能畫(huà)像，顯示 IP 從申報、到使用、到回收等全生命周期的歷史痕跡。在出現 IP 安全責任事故時(shí)，方便信安、網(wǎng)安部門(mén)進(jìn)行溯源追責，滿(mǎn)足安全責任事故要求。

（4）IP 可視化展示：對手工錄入的 IP 數據、系統 自動(dòng)采集的 IP 數據、異常告警的 IP 數據等多維度數據進(jìn)行大數據處理、統計與分析，然后通過(guò)柱狀圖、餅狀圖等多種圖形化方式進(jìn)行 IP 可視化展示，展示維度包括告警數據、地市 IP 數據情況、地圖 IP 數據熱力圖等。系統使用通用 X86 服務(wù)器架構，支持物理機和虛擬機部署。IP 智能去重使用分布式計算模式，可 組建服務(wù)器群進(jìn)行并行計算，平滑提升分析能力，可靈活調度計算能力，實(shí)現不同運算速度的主機并行工作。主機故障時(shí)計算任務(wù)自動(dòng)分配到其他計算單元進(jìn)行處理。IP 異常分析使用實(shí)時(shí)監控工作模式，對實(shí)時(shí)錄入的 IP 數據進(jìn)行合規性異常校驗，及時(shí)將當前 IP 資源跟 DNS 系統、路由表中 IP 進(jìn)行對比，梳理出異常 IP 記錄，保證 IP 地址的正?？捎眯?。IP 智能畫(huà)像使用主備機工作模式，符合電信級運營(yíng)服務(wù)標準，負責 IP 地址的申報歷史、使用歷史、回收歷史等多種信息，并具有靈活的擴容架構。 IP 可視化展示使用數據實(shí)時(shí)處理工作模式，實(shí)時(shí)對 IP 數據、告警數據、使用情況等數據進(jìn)行實(shí)時(shí)處理，通過(guò)可視化的方式展示 IP 多維度數據。

3 系統設計原理

3.1 系統整體架構

系統整體軟件架構分為三層：數據管理層、數據分析處理層和結果展示層。

3.2 數據管理層

數據管理層主要針對全省錄入的 IP 地址信息形成完整的基礎資源庫，分為：待驗證庫和正式資源庫兩個(gè)。待驗證倉庫中的 IP 資源為未確認或存疑數據，正式資源庫中的 IP 資源數據為正式管理數據。

外部導入到系統的 IP 資源數據存在待驗證倉庫中需要運維人員進(jìn)行確認后導入正式資源庫。IP 資源包括網(wǎng)絡(luò )設備地址、互聯(lián)中繼地址、用戶(hù) IP 地址三類(lèi)，支持對 IP 資源進(jìn)行管理和維護操作。通過(guò)智能算法識別庫內 IP 資源沖突的情況，在新增資源時(shí)，系統使用 IP 地址去重算法，會(huì )自動(dòng)比對校驗導入數據和資源庫數據的資源。先將所有數據導入中間件 active MQ，批量處理程序將執行對比操作，將所有導入數據中不正確的數據標記出來(lái)，從而反饋到頁(yè)面提醒用戶(hù)哪些數據有錯誤，并且會(huì )提示詳細的錯誤原因引導用戶(hù)進(jìn)行排查。

同時(shí)系統針對 IP 資源進(jìn)行分權分域管理，各個(gè)地市管理員只能看到自己錄入的 IP 數據，省級管理員可維護全省的 IP 地址資源，保證 IP 地址的安全性。IP 資 源模塊會(huì )通過(guò)算法，以網(wǎng)段表、子網(wǎng)表、IP 表的結構分塊存儲在數據庫，網(wǎng)段、子網(wǎng)、IP 資源之間保留關(guān)聯(lián)關(guān)系，精確到 IP 地址的管理，最大化地利用了 IP 資源池，對于網(wǎng)絡(luò )資源的分配和后續管理都有極大的幫助。

3.3 數據分析處理層

數據分析處理層主要針對錄入到系統的 IP 地址資源，從系統層面實(shí)現 IP 地址的去重和異常 IP 的檢測分析功能。

3.3.1 IP地址去重

IP 地址去重是在 IP 自動(dòng)分配時(shí)，通過(guò)系統內置的算法實(shí)現子網(wǎng)拆分、合并、去重，進(jìn)而從資源庫中，篩選出可供分配的 IP 地址。

（1）IP 子網(wǎng)拆分：依靠 AI 算法，將一個(gè)大的網(wǎng)段根據掩碼來(lái)拆分所得多個(gè)子網(wǎng)，并且更新 IP 資源庫中每一個(gè) IP 的網(wǎng)段歸屬情況，拆分后可以預查看拆分可得到的網(wǎng)段，并且可修改拆分出來(lái)的子網(wǎng)對應的屬性，保存后，原先屬于拆分前子網(wǎng)的所有 IP 資源，都將根據填寫(xiě)的新子網(wǎng)的信息進(jìn)行更新，歸屬于新的子網(wǎng)。

（2）IP 子網(wǎng)合并：IP 子網(wǎng)合并是將兩個(gè)或 2n 個(gè)符 合 IP 合并規則的子網(wǎng)合并成一個(gè)大的子網(wǎng)，根據最終的掩碼會(huì )根據選中的子網(wǎng)大小來(lái)計算得出合并所得到的子網(wǎng)大小。并且原有子網(wǎng)下所有 IP 都將被自動(dòng)被規劃到合并后的子網(wǎng)中。

（3）IP 去重算法：在計算 IP 地址去重的時(shí)候，先將 IPV4 地址轉換為十進(jìn)制，保存在數據庫中。

IP 去重算法及自動(dòng)分配算法原理：系統針對用戶(hù)填寫(xiě)的 IP 地址掩碼，基于 AI 算法，對系統內部規劃的 IP 子網(wǎng)地址進(jìn)行智能拆分或者合并，計算出滿(mǎn)足用戶(hù)需求的子網(wǎng)地址，分配算法通過(guò)對比地市、自治域、用途、掩碼（前綴）等參數，找到可分配資源池中狀態(tài)為未占用的資源，展示出所有可以選擇的網(wǎng)段出來(lái)，用戶(hù)可以自行選擇需要的網(wǎng)段下邊的符合條件的可選 IP 資源進(jìn)行分配占用，最終實(shí)現 IP 地址的分配。

先獲取可供分配的網(wǎng)段列表，按照 30 個(gè)網(wǎng)段為一組，使用多線(xiàn)程和計數器分別去處理每一組網(wǎng)段。每一個(gè)線(xiàn)程都要檢查網(wǎng)段下是否有可供分配的子網(wǎng)，尋找到合適的網(wǎng)段，然后排除完全符合條件的子網(wǎng)，尋找可以合并或拆分的子網(wǎng)。尋找該網(wǎng)段最小子網(wǎng)，如果最小子網(wǎng)的子網(wǎng)掩碼大于輸入的掩碼，則查看是否可合并。如果最小子網(wǎng)的子網(wǎng)掩碼小于輸入的掩碼，則查看是否可合并。正序排列，取最小子網(wǎng)，掩碼數最大。計算過(guò)程中，需要判斷掩碼數是否相同，沒(méi)有被使用的子網(wǎng)個(gè)數，根據合并子網(wǎng)的需要，進(jìn)行拆分計算，同時(shí)也要計算子網(wǎng)下已經(jīng)被使用的數量，以及并子網(wǎng)需要的子網(wǎng)個(gè)數。如果某一個(gè)子網(wǎng)存在已經(jīng)分配過(guò)的 IP，需要特殊處理，判斷是否可以使用其中的一段。具體做法是獲取拆分后的子網(wǎng)中所有的 IP，查詢(xún)這些 IP 中有沒(méi)有被使用的。通過(guò)掩碼查詢(xún)到的網(wǎng)段，再通過(guò)網(wǎng)段拆分出來(lái)的子網(wǎng)去對比數據庫子網(wǎng)表數據，如果子網(wǎng)存在，則看有沒(méi)有被使用，如果被使用，則對比下一條子網(wǎng)數據。如果沒(méi)有相同掩碼的子網(wǎng)，則找有沒(méi)有掩碼位數 -1 的子網(wǎng)，并用系統工具類(lèi)拆分兩個(gè)子網(wǎng)。如果 -1 也沒(méi)有，則使用 -1-1 的方案直到找到可以拆分的子網(wǎng)為止。同理合并需要 +1 去找。最終將計算出的可供分配的網(wǎng)段數據、子網(wǎng)數據按照 IP 升序返回即可。

3.3.2 異常IP資源檢測

系統通過(guò)接口接收全網(wǎng)路由表信息和用戶(hù) DNS 域 名解析數據，結合大數據混合運算，將各個(gè)地市上報到系統的 IP 與路由表和 DNS 系統的 IP 進(jìn)行對比分析，識別出在網(wǎng)使用但未納入系統管理的 IP，并將此類(lèi) IP 標記為異常IP，通過(guò)系統消息推送給對應的省市管理員，方便管理員針對上報 IP 數據進(jìn)行直接管控，增強了系統 IP 數據的實(shí)時(shí)性、準確性。

異常 DNS 活躍 IP 檢測原理：用戶(hù)的 DNS 域名解 析數據中，記錄了 IP 的活躍程度以及所屬地市，只要存在 IP 訪(fǎng)問(wèn)過(guò) DNS 系統就證明該 IP 為在線(xiàn)使用的活躍 IP。通過(guò) sftp 的方式定期從接口獲取活躍 ip 數據，以 txt 文本方式存放 600 多萬(wàn)活躍 IP 數據。將 DNS 活 躍 IP 數據入庫。系統通過(guò)執行 python 腳本，讀取 txt 中的 IP 數據，讀取過(guò)程中過(guò)濾掉私網(wǎng) IP 地址，只保留公網(wǎng) IP，最后將過(guò)濾后的 IP 數據保存到 mysql 數據庫中。通過(guò)對比系統內已錄入的全量 IP 數據與 DNS 系統的活躍 IP 數據，當 DNS 活躍 IP 未錄入或歸屬地市信息不準確時(shí)，將該數據標記為異常 IP。針對對比出的異 常 IP 數據，系統會(huì )保存在數據庫中，這些 IP 是需要管 理員進(jìn)行補充錄入或修改 IP 資源信息的，系統會(huì )推送相關(guān) DNS 異常 IP 消息到系統站內信中，管理員可在系統內隨時(shí)查閱異常 IP 并進(jìn)行處理。

異常路由表活躍 IP 檢測原理：全網(wǎng)路由表中記錄了 IP 資源所在的路由表相關(guān)信息，只要路由表存在的 IP，就證明該 IP 為在線(xiàn)使用。由于全省每個(gè)地市采用一個(gè)獨立的 AS 自治域管理，因此系統通過(guò)接口分地市獲取各自 AS 的明細路由，注意區分華為、貝爾等廠(chǎng)家不同格式的路由信息。系統會(huì )自動(dòng)識別路由表表頭來(lái)匹配對應的解析方法，通過(guò)程序解析路由表內容，獲取路由表的 Network 字段、 NextHop 字段，同時(shí)過(guò)濾掉不需要的下一跳對應的 IP 地址，然后將過(guò)濾后的數據保存到 mysql 數據庫中。將已錄入的 IP 資 源數據逐條比對路由表數據，當匹配到用戶(hù) IP 資源與路由表中路由數據出現 IP 起始結束地址不一致或不存在的數據，該 IP 資源會(huì )被標記為異常數據。針對異常 IP 數據，系統會(huì )保存在數據庫中，這些 IP 是需要管理員進(jìn)行補充錄入或修改 IP 資源信息的，會(huì )推送相關(guān)路由表異常 IP 消息到系統站內信中，管理員可隨時(shí)查閱異常 iP 并進(jìn)行處理。

所有異常數據都會(huì )以 IP 地址、IP 用途、地市、異常類(lèi)型進(jìn)行存儲。管理人員可以通過(guò)地市來(lái)分權分域展開(kāi)一場(chǎng)排查工作，根據 IP 地址快速鎖定問(wèn)題 IP 對應的網(wǎng)絡(luò )設備和客戶(hù)。及時(shí)發(fā)現和解決全省 IP 地址的漏覆蓋情況，避免因人為因素給公司帶來(lái)的網(wǎng)絡(luò )信息安全隱患和相應的經(jīng)濟損失。異常 IP 檢測后臺部署了一套 DNS 數據對比和路由表數據對比服務(wù)，通過(guò)定時(shí)任務(wù)執行的方式開(kāi)啟對比服務(wù)來(lái)判斷系統中 IP 資源的異常狀況，并通過(guò)站內信等方式提醒用戶(hù)解決異常問(wèn)題。如下圖所示：

3.4 結果展示層

結果展示層主要是對 IP 數據分析處理后的結果進(jìn)行匯總展示，對 IP 資源系統中的多維度數據進(jìn)行統計、分析與展示，通過(guò)可視化的方式直觀(guān)了解全網(wǎng)的整理 IP 使用情況、告警情況。其中主要的創(chuàng )新點(diǎn)為 IP 智能畫(huà)像和 IP 可視化。

3.4.1 IP智能畫(huà)像

從全省網(wǎng)絡(luò )安全的角度出發(fā)，對 IP 的歷史使用軌跡進(jìn)行分析，然后形成IP智能畫(huà)像能力，顯示IP從申報、分配、使用、異常檢測、回收等全生命周期的歷史痕跡。 可以在網(wǎng)絡(luò )安全責任事故時(shí)，快速協(xié)助信安、網(wǎng)安相關(guān)部門(mén)進(jìn)行溯源追責。IP 智能畫(huà)像在構建過(guò)程中，本質(zhì)上是將 IP 數據組合成 IP 數據特征，從而形成 IP 的數據模型。IP 數據在量化之后主要是以標簽為主，標簽的定義拆分為三個(gè)步驟，分別是層級、生產(chǎn)以及權重。

（1）層級：分為原始標簽、事實(shí)標簽、模型 & 預測標簽、策略標簽。

原始標簽來(lái)源于 IP 基礎信息、IP 地理位置、IP 訪(fǎng)問(wèn)數據、IP 異常記錄。

事實(shí)標簽來(lái)源于：IP 屬性、網(wǎng)絡(luò )屬性、IP 類(lèi)型、訪(fǎng)問(wèn)頻次、平均日活、異常頻次。是對原始數據進(jìn)行統計分析后的初步提煉結果。

模型&預測標簽來(lái)源于：IP屬性、活躍度、網(wǎng)絡(luò )屬性、地理屬性、風(fēng)險度、異常頻次、訪(fǎng)問(wèn)偏好。模型標簽是由一個(gè)或多個(gè)事實(shí)標簽組合而成，是基于模型訓練的結果。以模型標簽“風(fēng)險度”為例，它是由活躍度、異常頻次、訪(fǎng)問(wèn)偏好這幾個(gè)事實(shí)標簽組合而成的。以已有的模型標簽數據作為特征，經(jīng)過(guò)機器學(xué)習生產(chǎn)的標簽，就作為預測標簽。

策略標簽來(lái)源于：IP 價(jià)值分層、IP 活躍分層、IP 異常分層。策略標簽，則是 IP 標簽構建的最終目的，根據目的提煉 IP，并對用戶(hù)進(jìn)行定向的活躍分析、異常分析等。

（2）生產(chǎn)：分為基于規則定義的標簽生產(chǎn)方式、基于主題模型的標簽生產(chǎn)方式?；谝巹t定義標簽，就是根據固定的規則，通過(guò)數據查詢(xún)的結果生產(chǎn)對應的 IP 標簽。

主題模型，目的是找到 IP 訪(fǎng)問(wèn)偏好，它將內容劃分為了 3 個(gè)層級：分類(lèi)、主題、關(guān)鍵詞。在 IP 標簽中，我們可以參照分類(lèi)算法將 IP 進(jìn)行聚類(lèi)，使用關(guān)鍵詞的算法挖掘 IP 的偏好，從而生產(chǎn)標簽。中間涉及的算法有：線(xiàn)性支持向量機、邏輯回歸、文本挖掘算法：TF-IDF。

行為類(lèi)型權重，指的是對于同一類(lèi)標簽，由于其行為的輕重不同所以權重不同。時(shí)間衰減因子，時(shí)間衰減因子體現了標簽的熱度隨著(zhù)時(shí)間逐漸冷卻的過(guò)程。

3.4.2 IP資源可視化

對手工錄入的 IP 數據、系統自動(dòng)采集的 IP 數據、異常告警的 IP 數據等多維度數據進(jìn)行大數據處理、統計與分析，然后通過(guò)柱狀圖、餅狀圖等多種圖形化方式 進(jìn)行 IP 可視化展示，展示維度包括告警數據、地市 IP 數據情況、地圖 IP 數據熱力圖等。

（1）IP 數據概覽：通過(guò)大數據統計分析能力，在 IP 可視化大屏上展示 IP 系統中總體的 IP 數量、IP 網(wǎng)段 數量、不同類(lèi)型告警的數量、已使用 IP 數、活躍 IP 數等，通過(guò)該模塊用戶(hù)可以快速了解 IP 的總體數據。

（2）IP 使用情況可視化展示：對 IP 系統內的 IP 規劃、IP 使用情況、IP 空閑等業(yè)務(wù)數據進(jìn)行統計分析，然后按照省市縣三級進(jìn)行歸類(lèi)，再通過(guò)柱狀圖的形式進(jìn)行展示，方便用戶(hù)直觀(guān)了解 IP 數據的使用情況。

（3）IP 告警數據可視化展示：對目前的告警異常數據進(jìn)行采集、分類(lèi)。然后通過(guò)折線(xiàn)圖的方式展示時(shí)不同種類(lèi)告警在不同時(shí)間段的告警數量。告警數據也支持全省、全市、區縣等下鉆展示，用戶(hù)可直觀(guān)了解 IP 數據的告警情況。

（4）IP 統計排名可視化展示：對 IP 數量、告警、使用情況等多維度數據按照地市、區縣等進(jìn)行數據統計分析，然后通過(guò)柱狀圖的形式對地市、區縣進(jìn)行數據排名，管理人員可以快速了解各個(gè)地市和區縣的 IP 相關(guān)數據排名。

（5）IP 數據地圖可視化展示：通過(guò)地圖的形式展示各個(gè)地市、區縣的數據使用情況，不同數據量通過(guò)不同的顏色進(jìn)行區分展示；地圖上可展示 IP 數據的流向；地圖支持多層鉆取。IP數據地圖可直觀(guān)查看各個(gè)地域的 IP 數據情況。

（6）IP 可視化數據分權分域查看：可對不同用戶(hù)配置不同的數據查看權限，省級管理員可查看全省數據，地市管理員可查看地市 IP 數據，區縣管理員可查看區縣數據。通過(guò)數據的權限管控，保證數據的安全性，防止數據泄露。

4 效果展示

本項目自 2020 年 5 月系統正式上線(xiàn)，目前已推廣至全省 18 個(gè)市分公司使用，成為河南聯(lián)通在網(wǎng)絡(luò )維護和 IP 地址資源管理工作中的重要支撐手段，取得了良好的效果。

4.1 IP地址總覽

目前系統已完成了河南聯(lián)通 IPv4 和 IPv6 數據的收錄，IPv4 總數 611.8 萬(wàn)個(gè)，已分配 557.2 萬(wàn)個(gè)，IP 資料入庫條目數 9.2 萬(wàn)條。

圖7 IPv4資源情況

IPv6 資源收錄情況：按 /64 前綴的地址塊個(gè)數統計，IP 總數 100.3 億個(gè)，已分配 2 億個(gè)，IP 資料入庫條目數 1519 條。

圖8 IPv6資源情況

4.2 IP自動(dòng)分配

通過(guò)系統去重算法，將導入的一個(gè)或數百上千個(gè) IP，通過(guò) IP 地址轉化成十進(jìn)制數首先進(jìn)行范圍匹配，再進(jìn)行精確的 IP 匹配，最終可以將導入的所有 IP 的關(guān)聯(lián)數據查詢(xún)出來(lái)，關(guān)聯(lián)數據包括 IP 地址、資源類(lèi)型、 IP 類(lèi)型（IPv4 或 IPv6）、錄入方式、錄入時(shí)間、以及相關(guān)責任人等信息。對系統內部規劃的 IP 子網(wǎng)地址進(jìn)行智能拆分或者合并，計算出滿(mǎn)足用戶(hù)需求的子網(wǎng)地址，分配算法通過(guò)對比地市、自治域、用途、掩碼（前綴）等參數，找到可分配資源池中狀態(tài)為未占用的資源，展示出所有可以選擇的網(wǎng)段出來(lái)，用戶(hù)可以自行選擇需要的網(wǎng)段下邊的符合條件的可選 IP 資源進(jìn)行分配占用，最終實(shí)現 IP 地址的分配。

4.3 IP異常檢測智能分析

系統使用 IP 異常智能檢測算法，結合全省入庫 IP 資源、用戶(hù)dns域名解析、全網(wǎng)路由表的大數據關(guān)聯(lián)分析，實(shí)現了對在網(wǎng)運行但未錄入 IP 資源的自動(dòng)發(fā)現與預警功能。異常 IP 記錄如下圖：

通過(guò)系統上線(xiàn)一年多的整治工作，現在系統內的異常IP數據已經(jīng)大幅下降，異常IP數從整治前的55316個(gè)，減少到 896 個(gè)降幅 98.38%。

4.4 IP智能畫(huà)像

系統基于 IP 智能畫(huà)像 AI 算法，結合域名解析系統、信安專(zhuān)線(xiàn)系統、IP/ICP 備案系統等數據，對 IP 地址庫的錄入數據進(jìn)行關(guān)聯(lián)分析，實(shí)現 IP 所有關(guān)聯(lián)信息的快速查詢(xún)展示，對 IP 資源分布、使用軌跡、歷史情況等信息的精準溯源。能夠對 IP 地址進(jìn)行深度圖譜畫(huà)像，可視化展示所有 IP 關(guān)聯(lián)數據信息。

4.5 IP資源可視化

對手工錄入的 IP 數據、系統自動(dòng)采集的 IP 數據、異常告警的 IP 數據等多維度數據進(jìn)行大數據處理、統計與分析，然后通過(guò)柱狀圖、餅狀圖等多種圖形化方式進(jìn)行 IP 可視化展示，展示維度包括告警數據、地市 IP 數據情況、地圖 IP 數據熱力圖等。

5 結語(yǔ)

本項目通過(guò) AI 和大數據技術(shù)，對全省 IPv4 和 IPv6 地址資源進(jìn)行線(xiàn)上系統化管理，摒棄長(cháng)期以來(lái)使用傳統 excel 手工管理的模式，解決了河南聯(lián)通IP 地址管理工作中存在人工參與度過(guò)高、手工臺賬、信息錯漏、無(wú)法自動(dòng)稽核、缺乏全流程管控等問(wèn)題，實(shí)現了 IP 資源維護管理工作的全面數字化轉型。項目提高了河南聯(lián)通維護人員的工作效率和企業(yè)效益，提升了對 IP 地址的安全監管能力，系統可復制性、可推廣性良好。

參考文獻：

[1] 宋建.基于網(wǎng)絡(luò )拓撲測量的IP地址定位系統的設計與實(shí)現[D].北京:北京郵電大學(xué),2015.

[2] 楊尉,冷小潔,欒衛平,等.IP地址管理模式[J].電子技術(shù)與軟件工程,2017(8):42-46.

[3] 王陽(yáng).從“精細化管理”到“精準化治理”—以上海市社會(huì )治理改革方案為例[J].新視野,2016(1):29-32.

[4] 匡珍春.Oracle數據庫優(yōu)化設計探討[J].信息安全與技術(shù),2016(02):69-71.

[5] 耿雪瑩.基于SNMP IP地址管理系統開(kāi)發(fā)與應用[J].黑龍江電力,2017,39(01):92-94.

[6] 楊尉,冷小潔,欒衛平,等.IP地址管理模式[J].電子技術(shù)與軟件工程,2017(15):30-31.

（本文轉自《電子產(chǎn)品世界》雜志2022年第6期）