专利名称:用户与ip地址租用事件的关联的制作方法
用户与IP地址租用事件的关联
背景技术:
在某些网络取证(forensics)情景中,确定用户在特定历史时段中使用计算机/设备的痕迹(trail)可能会非常有用。在使用动态主机配置协议(DHCP)来动态分配网际协议(IP)地址的环境中,网络上设备的IP地址分配是临时的并有可能随时间改变。因此,IP地址未必唯一识别计算机或设备。此外,分配给计算机或设备的主机名也可以改变,由此不能依靠该主机名来唯一标识设备/计算机。因此,如果仅仅基于IP租用事件(lease event)的话,是很难或者不可能确定用户在特定历史时段中使用计算机或设备的综合记录或痕迹的,这其中包括计算机或设备的IP地址、主机名以及MAC (媒体访问控制)/DUID (DHCP唯一标识符)地址。
发明内容
本发明内容是为了以简化形式介绍精选概念而被提供的,并且在以下的具体实施 方式部分中将会进一步描述这些概念。本发明内容的目的既不是确定所要求保护主题的关键特征或必要特征,也不是用来帮助确定所要求保护的主题的范围。在这里描述了将用户与IP地址租用事件相互关联的技术。可以给DHCP服务器提供装备来保持或者在日志中记录包含了 IP地址、MAC地址/DnD以及主机名的历史IP地址租用事件。验证服务器或验证数据的其他来源可以在日志中记录用户验证事件,其中所述事件还识别从中接收到验证请求的IP地址。在一个或多个实施例中,审计(audit)系统被提供用来收集来自DHCP服务器的IP地址租用事件以及来自一个或多个验证服务的验证数据。该审计系统可以将收集到的数据保存在公共数据存储器中。所述公共数据存储器可被搜索,以便将IP地址租用事件与验证数据相互关联。通过这种方式,通过将来自DHCP服务器的历史IP地址租用信息与来自验证源的用户登录信息相互关联,可以确定用户在给定时段中使用的计算机或设备的综合记录。这种处理可以通过在两个事件源之间匹配使用事件时间戳以及IP地址和/或其他公共元素的事件来进行(通过使用公共的主机名/MAC地址等等)。
以下的具体实施方式
部分是参考附图来描述的。在附图中,参考数字最左侧的一个或多个数字标识的是该参考数字首次出现的图。在说明书和附图中,在不同实例中使用相同参考数字可以指示相似或相同的项目。图I是根据一个或多个实施例的例示操作环境的例图。图2是根据一个或多个实施例的用于将用户与IP地址事件相互关联的例示系统的例图。图3是根据一个或多个实施例的用于将用户与IP地址租用事件相互关联的例示过程的例图。图4是根据一个或多个实施例的用于将用户与IP地址租用事件相互关联的另一个例示过程的例图。图5是可以在一个或多个实施例中用来实现将用户与IP地址租用事件相互关联的技术的例示计算系统的例图。
具体实施例方式综沭
如果仅仅基于IP租用事件的话,是很难或者不可能确定用户在特定历史时段中使用计算机或设备的综合记录或痕迹的,这其中包括IP地址、主机名以及MAC (媒体访问控制)地址。出现这种情况的原因在于设备的IP地址和主机名可以随时间动态改变,因而不能基于租用事件日志来将其可靠地映射到特定的用户设备。在这里描述了用于将用户与IP地址租用事件相互关联的技术。可以给DHCP服 务器提供装备以便保持或者在日志中记录包含IP地址、MAC地址/OTID以及主机名的历史IP地址租用事件。验证服务器或验证数据的其他来源可以在日志中记录用户验证事件,其中所述事件还识别与接收到的验证请求相对应的IP地址和/或其他公共元素。审计系统被提供用来收集来自DHCP服务器的IP地址租用事件以及来自一个或多个验证服务的验证数据。该审计系统可以提供能够用于关联收集到的数据的分析工具。这使得网络管理员能够在给定时间范围(time frame)中搜索事件,并且获取将用户/用户帐户映射到IP地址、MAC地址和/或主机名所识别的特定设备的结果。在以下的论述中,首先描述可以使用这里描述的技术的例示操作环境。接下来将会论述一个例示系统以便举例说明用于将用户与IP地址租用事件相互关联的技术的一些方面的细节。在这之后将会论述一个可以在所述例示环境/系统以及其他环境/系统中实现的例示过程。因此,所述过程并不仅限于在例示的环境/系统中执行,并且所述例示环境/系统并不仅限于执行所述例示技术。最后描述关于可以用于实现一个或多个实施例的例示计算系统和设备的细节。操作环境
图I是可通过操作来使用这里描述的技术的例示实施方式中的环境100的例图。所示出的环境100包括客户机设备102、一个或多个动态主机配置协议(DHCP)服务器104、一个或多个验证服务106以及经由网络110可通信地耦合的服务供应商108。客户机设备102、一个或多个DHCP服务器104、一个或多个验证服务106以及服务供应商108可以由一个或多个计算设备来实现,并且也可以代表一个或多个实体。计算设备可以用多种方式配置。例如,计算设备可以被配置成能在网络110上通信的计算机,例如台式计算机、移动站、娱乐电器、可通信地耦合至显示设备的机顶盒、无线电话、游戏控制台等等。由此,计算设备的范围可以从具有大量存储器和处理器资源的全资源设备(full resource device)(例如个人计算机、游戏控制台)到存储器和/或处理资源有限的低资源设备(low resource device)(例如传统的机顶盒、手持游戏控制台)。此夕卜,虽然在一些实例中显示的是单个计算设备,但是该计算设备可以代表多个不同的设备,例如用于执行诸如服务供应商108和/或验证服务106等等执行的操作的多个服务器。虽然网络110被图示成因特网,然而该网络可以采用多种配置。例如,网络110可以包括广域网(WAN)、局域网(LAN)、无线网络、公众电话网络、内部网等等。更进一步,虽然显示的是单个网络110,但是该网络110也可以被配置成包括多个网络。客户机设备102可以被配置成具有使得能够在网络110上进行各种通信的功能。例如,客户机设备102可以包括浏览器或其他适当应用,以便经由网络110获取和输出来自服务供应商108的网页和/或其他用户界面。服务供应商108可以管理可供客户机经由网络110访问的不同资源112。通常,由服务供应商108使得可以访问的资源112可以包括通常由一个或多个供应商使得经由网络可得到的服务和/或内容的任何适当组合。服务的一些示例包括但不局限于搜索服务、电子邮件服务、即时消息传递服务、在线生产力套件以及用于控制客户机对资源112的访问的验证服务。内容可以包括下列各项的不同组合文本、多媒体流、文档、应用文件、照片、音频/视频文件动画、图像、网页、web应用、设备应用、供浏览器或其他客户机应用显示的内容等等。为了在网络110中进行交互,客户机设备102可以被配置成获取和使用可用于识 别设备以及用于定位设备和路由通信的IP地址。DHCP服务器104代表实现DHCP技术来为客户机动态分配和管理IP地址的功能。虽然客户机可以手动配置,但是所述配置会很复杂,并且有可能需要网络管理员或其他专家。动态主机配置协议(DHCP)是一个自动配置协议,该协议可被用作使用IP地址来手动配置设备的方案的替换方案。IP地址可被租用一定 时段,在此之后,除非客户机在期限届满之前续订该地址,否则所述租用将会到期。DHCP服务器104可以被配置成保持一个用于追踪不同计算机的IP地址租用的日志。例如,该日志可以将IP地址的租用事件(例如新的租用开始,租用续订,租用期限届满等等)与诸如MAC地址/DWD以及主机名之类的设备标识信息相匹配。由此,在给定时间范围中,DHCP日志可以将特定设备映射到用于该设备的相应IP地址。除了提供IP地址和日志之外,DHCP服务器104还会提供用于高级选项、网络细节、对等体信息等等的其他配置信息。客户机设备102可以通过其与服务供应商108的用户帐户来访问该供应商108提供的资源120。验证服务106代表可通过操作来对要访问特定帐户并且由此获权访问相应资源112的客户机进行验证的功能。验证服务106既可以作为服务供应商108的组件来提供,也可以如图所示作为由第三方供应商供应的独立服务来提供,还可以采用其他方式来提供。为了访问资源112,客户机设备102可以提供用户名和口令,验证服务106会对所述命令和口令进行验证。当验证成功时(例如客户机“具有它们自己所声称的身份”),那么验证服务可以传递使得能够访问相应资源的令牌。单个验证可以对应于一个或多个资源,由此,通过“单点登录(single sign-on)”实施的针对单个账户的验证既可以提供针对单个资源的访问,也可以提供针对来自多个服务供应商108的资源的访问,和/或提供针对服务供应商108提供的整套资源的访问。此外,验证服务106还可以保持验证数据/事件的记录。该验证日志可以将登录、登记离开、资源访问以及其他验证事件与帐户标识符、证书、访问许可、简档数据以及其它通常关联于用户帐户的数据相关联。验证数据/事件还可以与用于登录和/或访问资源112的设备的IP地址相关联。因此,在给定时间范围内,该验证日志可以用来将经过验证的特定用户和事件映射到IP地址。如下文中更详细描述的那样,DHCP日志和验证日志(或相当的数据)可以用于有效地将经过验证的特定用户与特定设备相互关联。该信息可以为取证分析(forensic analysis)、故障检修和/或网络管理员频繁实施的其他网络维护活动提供帮助。
图2描述了根据一个或多个实施例来将用户与IP地址事件相互关联的例示系统200。系统200包括审计系统202,作为验证数据来源的一个或多个验证服务106,以及作为IP地址租用事件数据来源的DHCP服务器104。在本示例中,验证服务106被图示成同时包含域控制器204和RADIUS服务器206。通常,验证数据和IP地址租用事件数据的任何适当来源都可以用于这里描述的相互关联技术。审计系统202代表收集和关联来自不同来源的日志数据的功能。这种处理可以采用任何适当的方式实施。在至少一些实施例中,审计系统202可以通过轮询不同来源来获取相应数据。作为补充或替换,诸如DHCP服务器104和验证服务106之类的来源可被配置成将日志数据报告给审计系统。一旦收集了数据,则审计系统202可以将收集到的数据保存在诸如审计数据库之类的公共数据存储器中。此外还可以根据请求来访问/检索用于这里描述的关联处理的数据,以便通过相应的DHCP服务器104和验证服务106来将数据保持在存储器中,以及经由网络110来访问/检索该数据。审计系统202可以采用web应用、台式机应用或其他适当界面的形式来暴露分析 工具208,其中所述其他适当界面使得能够通过访问来检查和操纵保存在数据存储器中或由不同实体单独保存的数据。举个例子,分析工具208可以使得网络管理员能够搜索特定IP地址、MAC地址、主机名、用户名等等。响应于此类搜索,分析工具208被配置成对可用数据执行查询,以便关联来自不同来源的数据。应该指出的是,审计系统202还可以执行某种数据预关联处理,以便缩短对用户在数据库上进行的搜索做出响应的计算时间。一般来说,所述相互关联提供用户在特定历史时段中使用计算机或设备的痕迹,其中包括计算机/设备的IP地址、主机名以及MAC (媒体访问控制)地址。相应地,审计系统202能够被实现为将IP地址租用事件与验证事件相互关联,以便在用户身份(用户名/帐户)与设备身份(MAC地址/OTID)之间建立关联。如图2所示,一般来说,这种处理可以涉及三个功能部分。DHCP服务器104被提供装备以便将IP地址租用事件(例如新的租用、续订租用、停租以及期限届满)记入DHCP服务器104管理的每一个IP地址的事件日志。此外,每一个事件还可以附带一个时间戳。诸如例示的域控制器204和/或RADIUS服务器206之类的一个或多个验证服务106将用户验证事件记入验证日志。与用户信息一起被验证服务106记入日志的还可以有一个或多个相关联的用户验证细节,例如IP地址、主机名和/或MAC地址。这其中的至少一些细节以及其他适当的参数可以是能够用于在DHCP日志数据与验证日志数据之间交叉引用的公共元素。集中式审计系统202收集来自DHCP服务器104以及验证服务106的事件/日志,并且将数据保存在公共数据存储器中。作为替换,这些日志可以保存在相应的来源,并且可以根据请求来访问,以便执行搜索和关联。在特定时段以内,所述数据可以通过IP地址、MAC地址、主机名或用户身份来搜索。该搜索可以采用以下处理来执行识别一个或多个公共元素,在数据存储器中查询记录,以便基于公共元素来将这些记录相互映射。在一个示例中,时间戳和IP地址可用于关联给定时间范围中的记录。使用IP地址作为搜索判据的例示搜索可以采用以下方式执行。借助分析工具202或以其他方式输入搜索,以便搜索特定时段以内给定IP地址的IP地址租用事件。如果对于规定IP地址遭遇到的第一个IP地址租用事件是事件续订/停租/期限届满,那么将会从规定时段的开始时间开始按照与时间先后顺序相反的顺序来检查IP地址事件。执行这种检查以便提供与给定IP地址相对应的IP地址的新的租用事件。如果遭遇到的第一个IP地址租用事件是一个新的租用事件,那么可以忽略所述检查。通过使用为特定IP地址确定的各种新租用事件、重新租用事件和/或租用期限届满事件,可以确定不同的独特租用时段的开始和结束值。在这里将这种不同的租用时段称为“租用组块(Chunk)”。所确定的每一个租用组块都具有从DHCP租用事件日志中拾取的与之关联的IP地址、MAC地址以及主机名。对于所确定的每一个租用组块(例如开始和结束时间),收集在数据存储器中的验证事件将被查询,以便找出可能匹配公共元素的事件,其中所述公共元素可以是规定租用组块内部的IP地址、MAC地址或主机名中的一项或多项。通过使用多个不同的公共元素来进行搜索,将会返回不能通过简单的直接搜索获取的附加的相互关联信息。例如,由于主机名在收集到的DHCP事件与验证事件之间匹配,因此,对于给定IPv4地址的搜索还可以返回可以已经通过IPv6地址进行过的验证。同样,对于给定的IPv4地址来说,即使在某些情况中像802. 11交互那样仅仅使用MAC地址细节来标弓I记录,也有可能返回已经针对RADIUS服务器发生的验证事件。这可以通过在DHCP与RAIDUS服务器之间关联MAC地址信息来完成。
从不同来源收集的信息将被组合,以便创建用于映射来自IP地址租用事件/日志的IP地址、MAC地址和主机名以及来自验证事件/日志的用户名/账户ID的记录。在一个方法中,这些记录可以采用元组(有序列表)的方式创建,例如验证事件的时间戳,IP地址,MAC地址/OTID,主机名,用户名/帐户。现在,这些记录会将特定的用户/用户帐户映射到IP地址。当然,这些记录可以采用任何适当的方式配置,所述例示的元组仅仅是所述方式的一个不例。相当的关联可以为所确定的每一个IP地址租用组块执行。每一个元组或其他适当记录都指示所识别的用户登录并且在所记录的时间戳从特定计算设备启动会话,其中该计算设备是用MAC地址、IP地址以及主机名标识的。应该指出的是,类似的处理可以用MAC地址、主机名或是用户名作为初始搜索判据来执行。通过结合以下的例示过程,可以发现关于用以将用户与IP地址事件相互关联的技术的更多细节。例示过稈
以下部分描述了根据一个或多个实施例来将用户与IP地址租用事件相互关联的例示过程。这里描述的每一个过程的各方面都可以在硬件、固件、软件或是其组合中实现。这些过程被显示成一组规定了一个或多个设备所执行的操作的方框,并且所述过程没有必要局限于所显示的相应方框执行操作的顺序。在至少一些实施例中,这些过程可以是由适当配置的计算设备执行的,例如这里描述的例示审计系统或DHCP服务器。图3描述了根据一个或多个实施例来将用户与IP地址租用事件相互关联的例示过程300。在至少一些实施例中,过程300可以是由一个或多个计算设备执行的,例如用于实现先前描述的例示审计系统202的一个或多个服务器。描述IP地址租用事件和验证事件的数据是从多个来源收集的(方框302)。举例来说,审计系统202可以被实现为从先前所述的不同来源收集日志数据。不同类型的数据可以从不同的来源收集。这其中至少包括描述IP地址租用事件的数据以及用户验证数据。收集到的数据被保存在公共数据存储器中(方框304)。例如,审计系统202可以提供和管理收集到的信息的数据库。该审计系统202可以使得所述公共数据库能在网络110上被网络管理员之类的用户访问。举例来说,如上所述的审计工具208可被暴露,以便使得能够实施用于取证分析的搜索。审计工具208可以提供不同的控件、菜单和用户界面手段,以便输入和实施针对数据库的搜索,以及将结果向回显示给用户。将IP租用事件与验证事件相互关联以便确定相关联的用户帐户(方框306)。例如,响应于搜索,审计系统202可以在选定的时间范围中查询在数据库中的记录,以便基于公共元素来相互映射这些记录。用于关联的公共元素至少可以包括IP地址、MAC地址、用户身份以及主机名。通过这种方式,从不同的来源收集的信息将被组合以便创建将来自IP地址租用事件的IP地址、MAC地址以及主机名映射到从验证事件获取的用户名/帐户的记录。该审计系统202还可以配置和输出用户界面,以便将搜索结果显示给用户。图4描述了根据一个或多个实施例来将用户与IP地址租用事件相互关联的另一个例示过程400。在至少一些实施例中,过程400可以由一个或多个计算设备执行,例如用于实现先前描述的例示审计系统202的一个或多个服务器。接收搜索判据的选择以便搜索描述IP租用事件和验证事件的数据日志(方框 402)。例如,审计系统202可通过操作来输出分析工具208,其使得能够访问和检索来自DHCP服务器104以及验证服务106的数据日志。如前所述,这些数据日志可以由审计系统202收集并保存在公共存储器中。作为替换,审计系统202可以提供针对多个实体保持的不同日志的访问,例如在网络110上通过访问来检索DHCP服务器104和/或验证服务106存储的日志数据。在该方法中,日志数据可以根据请求而在网络110上从远端服务器/存储位置访问和检索。由此,在一些实施例中,审计系统可以不必保持公共数据存储器。可供分析工具208使用的一种方式是基于经由分析工具输入的搜索判据来搜索数据日志。所选择的搜索判据可以包括但不局限于规定IP地址、MAC地址、主机名和/或用户名/帐户ID中的一项或多项。在一些情景中,用于搜索的其他过滤器也是可以选择的,例如选择特定的子集或子域和/或规定验证数据的特定来源。此外,搜索时段(例如搜索的开始时间和结束时间)同样是可以规定的。所述搜索是基于搜索判据实施的(方框404)。对于给定的搜索判据来说,分析工具208通过操作来从这里描述的例示DHCP服务器104、域控制器204以及RADIUS服务器206之类的可用来源中找出尽可能多的相关的活动。搜索进行的方式可以依照所选择的特定搜索判据而存在差异。通常,搜索结果可以是作为输入搜索判据的“直接匹配”与“相关的日志”的组合来获取的,其中所述相关的日志是通过基于DHCP租用活动来关联记录而被发现的。如图4所示,每个方框404的搜索可以涉及找出与搜索判据直接匹配的记录(方框406)。该处理可以通过检查可用日志以便用记录匹配输入判据来进行。由此,如果规定了IP地址,那么将会返回与该IP地址相匹配的记录。对于所选择的不同搜索判据来说,这种直接匹配实质上是以相同的方式进行的。此外,相关的日志可以通过推导出用于搜索判据规定的时段的租用组块(方框408)以及获取推导得到的每个租用组块的相互关联结果(方框410)来发现。如所述,租用组块对应于设备消费IP地址的特定时段。例如,租用组块可以是用新的租用事件与相应的停租/期限届满/删除租用事件之间的时段定义的。如结合用于下文提供的不同判据的例示情景更详细论述的那样,确定租用组块的方式可以依照搜索判据而存在差异。一旦推导得到租用组块,则可以通过基于一个或多个共有元素来将租用组块映射到验证记录和/或其他可用日志条目,从而获取关联结果,其中所述共有元素可以包括IP地址、MAC地址、用户名或主机名中的一项或多项。搜索结果将会被输出以便显示(方框412)。这些结果可以包括直接匹配的记录与通过刚刚描述的相互关联处理确定的记录的组合。如所述,这些结果可被格式化成将特定的用户/帐户/验证事件关联于IP地址/租用事件的元组列表。这些结果可以经由分析工具208的用户界面输出以便显示。此外,该结果还可以采用其他的形式提供,例如打印输出或是作为发送至指定接收方(例如网络管理员)的报告。在之前的示例中,相互关联处理是响应于用户的特定搜索输入进行的。在另一种方法中,审计系统202可以被配置成执行数据的某些预相关处理,以便减小响应用户的数据库搜索的计算时间。例如,网络管理员可以将审计系统202配置成自动地周期性执行规定的相互关联处理。然后,审计系统202可以准备好根据请求来快速提供结果。作为补充或替换,审计系统可以对具有可以使用电子邮件、即时消息传递和/或其他适当消息传递 技术自动传递至网络管理员和/或其他指定接收方的结果的报告进行格式化处理。为了进一步示出先前描述的相互关联技术,现在将对一些实施搜索以及基于不同的搜索判据来获取相互关联的记录的例示情景进行考虑。一般来说,相互关联处理会提供用户在特定历史时段以内使用计算机或设备的痕迹。泛泛来说,这可以包括(1)获取给定搜索判据的直接匹配,(2)推导出一组租用组块,以及(3)从该组租用组块中获取相互关联的搜索结果。以下提供了关于其中分别使用IP地址、MAC地址/主机名以及用户名作为搜索判据的不同情境的细节的论述。将IP地址当作捭索判据:
对于该情景来说,假设所选择的搜索判据是IP地址,对于这个实例是3. 3. 3. I0此外,规定了从I月I日到I月7日的时段。在这种情况下,搜索可以如下进行
从I月I日到I月7日与地址3. 3. 3. I的直接匹配可以被确定并添加至最终的搜索结果。这包括可以在来自DHCP服务器104、验证服务106和/或正被相互关联的相关数据的其他来源的可用数据日志中得到的匹配。然后,从DHCP服务器104中确定与地址3. 3. 3. I相对应的每一个租用事件,并且可以推导出租用组块。举例来说,租用组块可以是为(I)新租用事件与停租/删除租用事件,(2)新租用事件与续订租用事件,以及(3)续订租用事件与停租/删除租用事件之间的时段推导的,其中所述事件是通过参考在所述时段中为地址3. 3. 3. I记入日志的事件而被发现的。作为示例,以下内容可以表示为地址3. 3. 3. I记入日志的租用事件,其中所述元组表示(IP地址,MAC地址,主机名,用户名,日志类型,时间戳)
(1)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, New Lease, 1st January)
(2)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, Renew Lease, 2nd January)
(3)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, Release Lease, 3rd January)
(4)(3. 3. 3. I, OOccccccaaaa, HostB, null, New Lease, 4th January)
(5)(3. 3. 3. I, OOccccccaaaa, HostB, null, Renew Lease, 5th January)
(6)(3. 3. 3. I, OOccccccaaaa, HostB, null, Release Lease, 6th January)。
依据DHCP服务器记入日志的上述例示租用活动事件,分析工具202可以通过操作来推导得出作为不同租用组块的以下配对(1,2) (2,3) (4,5) (5,6)。分析工具208可以进而对租用组块进行处理,以便为每一个租用组块获取相应的相互关联结果。作为示例,设想以上根据记入日志的事件(3. 3. 3. 1,OOaaaabbbbcc, HostA,null, New Lease, 1st January)以及(3· 3· 3· 1,OOaaaabbbbcc, HostA, null, RenewLease, 2nd January)定义的租用组块(I, 2)。在这种情况下,获取相应的相互关联结果的处理涉及检查来自可用来源(例如DHCP服务器104,域控制器204,RADIUS服务器206等等)的可用日志,以便在I月I日到I月2日的时段中发现匹配下列各项中的一项或多项的记录IP 地址=3. 3. 3. I, MAC 地址=OOaaaabbbbcc,或者主机名=HostA。应该指出的是,在双堆栈环境中,对于像3ffe: : I这样的相应IP地址来说,匹配主机名=HostA的日志记录有可能具有不同的值。为了处理这种双堆栈情景,在这里将会执行处理以便在时间上回去,以便获取附加的相关记录。例如,分析工具208可以被配置成回溯从所述搜索的开始日期时起的一个可配置时段,以便找出与Host A相关联的IP地址。在 本示例中,举例来说,分析工具208可以从I月I日开始回溯14天,并且找出用于HostA的地址。在这个可配置的时段中与主机关联的IP地址被拾取,并且处于搜索时间范围(I月I日到I月2日)以内且关于这些地址的事件将被添加到结果中。现在,即使搜索判据是3. 3. 3. 1,用于双堆栈环境中的相应IP地址(例如3ffe: :1)的结果同样会被相互关联,并且可被添加给结果。可以为每一个租用组块重复执行刚才针对租用组块(1,2)描述的处理,其结果可被组合,以便输出给用户。将MAC地址/主机名当作捭索判据
用于MAC地址或主机名搜索的处理与刚才所描述的使用IP地址作为搜索判据的处理相似,只不过使用了 MAC地址或主机名来获取直接匹配以及产生租用组块。特别地,通过酌情使用MAC地址或主机名来找出可用日志中的匹配,可以确定直接匹配。这些直接匹配被添加至最终结果。租用组块同样是通过与搜索判据选集中规定的MAC地址或主机名进行匹配来从DHCP事件日志中获取的。相互关联的搜索结果实质上是以与上文中针对IP地址搜索所描述的相同方式而从租用组块中获取的,并且所述相互关联的结果将被添加至最终结果。将用户名当作搜索判据
除了以下详细描述的从规定的“用户名”判据中推导出租用组块的过程存在差异之外,在很大程度上,用于用户名的处理同样与使用IP地址作为搜索判据的处理是类似的。特别地,直接匹配同样可以是通过使用用户名找出可用日志中的匹配来确定的,并且所述直接匹配将被添加至最终结果。DHCP租用组块是使用与前述实例中不同的处理基于规定的用户名判据来推导得到的。在这里,用户名将被用于找出这样的组块,其中与该用户名相关联的IP地址在所述租用组块中具有机器验证事件,由此,所述租用组块与所述机器验证事件具有相同的主机。换句话说,将发现覆盖了具有相同主机名的用户验证以及相应的机器验证的租用组块。通过以下的示例对此进行更进一步的论述。考虑以下可以在例示情景中被记入日志的例示元组(1)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, DHCP New Lease, 1st January 3 pm)
(2)(3ffe::I, null, HostA, null, DC Machine Authentication, 1st January 5 pm)
(3)(3ffe::I, null, null, UserA, DC User Authentication, 1st January 6 pm)
(4)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, DHCP Renew Lease, 1st January 8 pm)。现在,如果搜索判据是“UserA”,那么分析工具208可以通过操作来找出一个租用组块,以使与UserA相关联的IP地址在该相同的租用组块内部具有“机器验证”事件,并且所述租用组块与机器验证事件具有“相同的主机”。通过使用以上的例示元组,可以采用以下方式来进行关联。(UserA的)用户验证事件是在下午6点使用IP地址3ffe: : I进行的。(HostA的)机器验证事件是在下午5点使用相同IP地址3fTe: : I进行的。现在存在一个包含了 HostA的租用组块,该租用组块覆盖了如上所述的这些事件的时段(下午6点和下午 5点)。由此,该租用组块将会作为用于相互关联处理的租用组块而被添加。特别地,该租用组块是由如下记入日志的事件定义的
(3. 3. 3. I, OOaaaabbbbcc, HostA, null, DHCP New Lease, 1st January 3 pm)
(3. 3. 3. I, OOaaaabbbbcc, HostA, null, DHCP Renew Lease, 1st January 8 pm)。应该注意的是,对于以上的机器验证事件(2)来说,主机名“HostA”是相同的,并且对于机器验证事件(2)来说,用户验证事件(3)的IP地址3ffe: :1是相同的。这样一来,租用组块将会满足所枚举的判据,并且由此会被作为组块推导得到。相互关联的搜索结果则是从以这种方式基于用户名推导得到的租用组块中获取的,其获取方式实质上与上文中针对IP地址搜索描述的方式是相同的,并且相互关联的结果将被添加至最终的结果。在考虑了一些例示过程之后,现在将考虑对可以用于在一个或多个实施例中实现将用户与IP地址租用事件相互关联的不同技术的例示计算系统进行论述。例示计算系统
图5图示了一个包含例示计算设备502的例示系统,通常表示为500,其中计算设备502代表可以实现以上描述的不同实施例的一个或多个这样的计算系统和/或设备。举例来说,计算设备502可以是服务供应商108的服务器、验证服务106、DHCP服务器104、客户机设备102、片上系统和/或其他任何适当的计算设备或计算系统。例示的计算设备502包括一个或多个处理器504或处理单元,可以包含一个或多个存储器和/或存储组件508的一个或多个计算机可读媒体506,用于输入/输出(1/0)设备的一个或多个输入/输出(1/0)接口 510,以及允许不同的组件和设备相互通信的总线512。计算机可读媒体506和/或一个或多个1/0设备可以作为计算设备502的一部分而被包含,或者可替换地它也可以耦合至计算设备502。总线512代表若干种总线结构中的一种或多种,包括存储器总线或存储器控制器、外围总线、图形加速端口、以及使用了多种不同总线架构中任一架构的处理器或本地总线等等。所述总线510可以包括有线和/或无线总线。一个或多个处理器504并不受形成该处理器的材料或是其内使用的处理机制的限制。例如,处理器可以包括一个或多个半导体和/或晶体管(例如电子集成电路(1C))。在这样的上下文中,处理器可执行指令可以是能够采用电子方式执行的指令。存储器/存储组件508代表与一个或多个计算机可读媒体相关联的存储器/存储容量。存储器/存储组件508可以包括易失媒体(例如随机存取存储器(RAM))和/或非易失媒体(例如只读存储器(ROM)、闪存、光盘、磁盘等等)。存储器/存储组件508可以包括固定媒体(例如RAM、ROM、固定硬盘驱动器等等)以及可移除媒体(例如闪存驱动器、可移除硬盘驱动器、光盘等等)。一个或多个输入/输出接口 510允许用户向计算设备502输入命令和信息,并且还允许使用不同的输入/输出设备来将信息呈现给用户和/或其他组件或设备。输入设备的示例包括键盘、触摸屏显示器、光标控制设备(例如鼠标)、麦克风、扫描仪等等。输出设备的示例包括显示设备(例如监视器或投影仪)、扬声器、打印机、网卡等等。在这里,不同的技术可以是在软件、硬件(固定逻辑电路)或程序模块的一般上下文中描述的。通常,此类模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、元件、组件、数据结构等等。这些模块和技术的实施方式可被保存在某种形式的计算机可读媒体或者通过此类媒体来传送。计算机可读媒体可以包括可被计算设备访问的多种可用介质或媒体。作为示例而不是限制,计算机可读媒体可以包括“计算机可读存储媒体”和“通信媒体”。
“计算机可读存储媒体”可以是指与单纯的信号传输、载波或信号本身形成对比的使得能够永久性和/或非临时性地存储信息的媒体和/或设备。由此,计算机可读存储媒体指的是非信号承载媒体。计算机可读存储媒体还包括具有以硬件形式实现的指令、模块和/或固定设备逻辑的硬件元件,并且在一些实施例中可以使用这些硬件元件来实施所描述的技术方面。“计算机可读存储媒体”包括通过适合存储信息的方法或技术实现的易失和非易失以及可移除和不可移除媒体和/或存储设备,其中所述信息例如是计算机可读指令、数据结构、程序模块、逻辑元件/电路或其他数据。计算机可读存储媒体的示例包括但不局限于RAM,ROM, EEPR0M,闪存或其他存储器技术,CD-ROM,数字多用途碟片(DVD)或其他光学存储器,硬盘,磁带盒,磁带,磁盘存储器或其他磁存储设备,集成电路或芯片的硬件元件(或固定逻辑),或是其他适合存储期望信息并且可以被计算机访问的存储设备、有形媒体或制品O“通信媒体”可以是指被配置成向计算设备的硬件传送指令的信号承载介质,其中所述传送例如经由网络进行。“通信媒体”通常包括计算机可读指令、数据结构、程序模块或是诸如载波、数据信号或其他传输机制之类的调制数据信号中的其他数据。通信媒体还包括任何信息递送媒体。术语“调制数据信号”意指这样的信号,其特性中的一个或多个被以将信息编码在该信号中的方式而被设置和改变。作为示例而不是限制,通信媒体包括有线媒体,例如有线网络或直接线路连接,以及包括无线媒体,例如声学、RF、红外及其他无线媒体。上述各项的任何组合都包含在计算机可读媒体的范围以内。相应地,包括资源112、服务、设备应用、分析工具208以及其他程序模块的软件、硬件或程序模块可以作为包含在某种形式的计算机可读媒体上的一个或多个指令和/或逻辑来实现。相应地,这里描述的特定模块、功能、组件和技术可以用软件、硬件、固件和/或其组合来实现。计算设备502可以被配置成实现与在计算机可读媒体上实现的软件和/或硬件模块相对应的特定指令和/或功能。这些指令和/或功能可以由一个或多个制品(例如一个或多个计算设备502和/或处理器504)运行/操作,以便实现与将用户与IP地址租用事件相互关联的处理相关的技术以及其他技术。此类技术包括但不局限于这里描述的例示过程。由此,计算机可读媒体可以被配置成存储或以其他方式提供指令,在被这里描述的一个或多个设备运行时,所述指令将会导致实施涉及将用户与IP地址租用事件相互关联的处理的不同技术。结论
虽然本发明已经使用特定于结构特征和/或方法操作的语言来描述,但是应该理解,所附权利要求书中限定的发明不必局限于所描述的具体特征或操作。相反,这些具体特征 和操作是作为实现要求保护的发明的示例形式公开的。
权利要求
1.一种方法,包括 从多个来源收集(302)描述网际协议(IP)地址租用事件和验证事件的日志数据; 将收集到的数据保存(304)在公共数据存储器中; 至少部分基于相关联的IP地址来将IP租用事件与保存在公共数据存储器中的验证事件相互关联(306)。
2.权利要求I的方法,其中所述相互关联还包括基于搜索判据来对保存在公共数据存储器中的收集数据进行搜索,其中所述搜索判据包括选择的IP地址、MAC地址、主机名或用户名中的至少一个。
3.权利要求2的方法,其中所述相互关联还包括在公共数据存储器中找出与所选择的搜索判据相匹配的记录的直接匹配。
4.权利要求3的方法,其中所述相互关联还包括通过以下处理来从收集到的数据中找出相关的记录 从在搜索判据规定的时段中收集的租用事件推导得到租用组块; 基于一个或多个公共元素来将租用组块映射到数据存储器中的相关的记录,所述公共元素包括IP地址、MAC地址、主机名或用户名中的一个或多个。
5.权利要求4的方法,还包括将直接匹配与通过搜索确定的相关的记录相结合,以便产生用于输出给用户的相互关联结果。
6.权利要求2的方法,其中所述搜索包括搜索由搜索判据规定的特定IP地址,该搜索包括 从日志数据中找出直接匹配规定IP地址的租用事件和验证事件的记录; 通过检查租用事件来推导得到为所述搜索规定的时段中的租用组块;以及通过查询验证事件来发现用于租用组块的相关的记录,其中所述记录与包括IP地址、MAC地址、主机名或用户名的一个或多个公共元素相匹配。
7.权利要求I的方法,其中将IP租用事件与验证事件相互关联的处理为网络中的计算设备使用的每一个特定IP地址提供一个综合记录,该记录标识在网络中使用所述特定IP地址实施的活动相关联的相应用户名或帐户标识符。
8.权利要求I的方法,其中所述多个来源包括保持了租用事件的日志的动态主机配置协议(DHCP)服务器以及保持了相应的验证事件的日志的一个或多个域控制器和一个或多个RADIUS服务器。
9.一种由审计系统(202)的分析工具(208)实现的方法,包括 访问与DHCP服务器分配给客户机设备的IP地址相联系地记录在动态主机配置协议(DHCP)服务器(104)的网际协议(IP)地址事件日志中的租用事件; 检索由一个或多个验证数据源(106)记录在验证日志中的验证事件; 接收搜索判据以便实施将租用事件与验证事件相互关联的处理;以及基于搜索判据来将租用事件与验证事件相互关联,包括使用搜索判据和基于租用组块发现的相关的记录来找出记录的直接匹配,其中所述租用组块是从搜索判据规定的时段内的租用事件中推导得到的。
10.如权利要求9所述的方法,其中 所述相互关联处理还包括通过在规定时间范围内检查租用事件来推导得到租用组块,以便发现由新的租用事件与停租事件、续订租用事件与停租事件,或是新租用事件与续订租用事件定义的不同的租用组块;以及 发现相关的记录的处理还包括基于IP地址、MAC地址、主机名或用户名中的一个或多个在租用组块内部进行搜索,以便找出匹配记录。
11.一个或多个存储指令的计算机可读存储媒体(506),在被计算系统(500)的一个或多个组件运行时,所述指令将会导致所述计算系统执行如权利要求1-10中任何一项所述的方法。
全文摘要
在这里描述了用于将用户与IP地址租用事件相互关联的技术。在一个或多个实施例中,提供了一个审计系统来从DHCP服务器收集IP地址租用事件,以及从一个或多个验证数据源收集验证数据。该审计系统可以将收集到的数据保存在公共数据存储器中。所述公共数据存储器可被搜索,以便将IP地址租用事件与验证数据相互关联。通过这种方式,通过将来自DHCP服务器的历史IP地址租用信息与来自验证源的用户登录信息相互关联,可以确定用户在给定时段中使用计算机或设备的综合记录。这种处理可以通过在两个事件源之间使用事件时间戳以及IP地址和/或其他公共元素匹配事件来完成。
文档编号H04L29/12GK102932492SQ20121033578
公开日2013年2月13日 申请日期2012年9月12日 优先权日2011年9月12日
发明者V.J.盖托德, K.萨姆班达姆, N.R.范卡亚拉 申请人:微软公司