审计日志的生成方法及装置的制造方法

文档序号:10578129阅读:251来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
审计日志的生成方法及装置的制造方法
【专利摘要】本申请提供一种审计日志的生成方法及装置,所述方法应用于审计设备上,所述方法包括:接收NAT设备发送的业务报文;利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址;利用获取到的私网地址查找用户信息表,获取对应的用户信息;利用获取到的用户信息生成审计日志。应用本申请实施例,通过查找私网地址转换表与用户信息表,可以获取到用户信息,利用获取到的用户信息生成审计日志,并使用审计日志记录用户的网络行为。
【专利说明】
审计日志的生成方法及装置
技术领域
[0001] 本申请设及网络通信技术领域,尤其设及一种审计日志的生成方法及装置。
【背景技术】
[0002] 目前,网络已经渗透到人们生活的方方面面。然而,由于网络的开放性、不确定性、 虚拟性等特点,攻击者可能会利用网络从事违法活动,危害网络的安全。为了保证网络的安 全性,实名审计得到了快速发展。所述实名审计是指:针对网络中的流量,综合运用数据包 获取、协议分析、信息处理等技术,实现对流量的有效监管。实名审计能够记录用户的网络 行为,W提供事后取证手段。
[0003] 为了实现实名审计过程,在网络中部署有审计设备,审计设备利用每个终端设备 对应的IPQnternet Protocol,网际协议)地址来标识用户信息。基于此,审计设备在接收 到业务报文时,可W从业务报文中获取到终端设备的IP地址,通过该IP地址查询到对应的 用户信息,基于用户信息生成审计日志,并使用审计日志来记录用户的网络行为。
[0004] 但是为了保护终端设备的私有信息,通常会使用MT(Network Address 化anslation,网络地址转换)设备将终端设备对应的私网地址转换为公网地址,而在现有 技术中,审计设备是利用每个终端设备对应的私网地址来标识用户信息的,运样,当审计设 备接收到MT设备发送的业务报文时,由于MT设备已经将业务报文携带的私网地址转换为 公网地址,因此审计设备根据业务报文携带的公网地址,查找不到对应的私网地址,也就获 取不到用户信息,无法生成审计日志,也就无法使用审计日志来记录用户的网络行为。

【发明内容】

[0005] 有鉴于此,本申请提供一种审计日志的生成方法及装置,W解决现有技术无法生 成审计日志,无法使用审计日志来记录用户的网络行为的问题。
[0006] 根据本申请实施例的第一方面,提供一种审计日志的生成方法,所述方法应用于 审计设备上,所述方法包括:
[0007] 接收网络地址转换MT设备发送的业务报文;
[000引利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址; 其中,所述私网地址转换表记录有私网地址和公网地址的对应关系;
[0009] 利用获取到的私网地址查找用户信息表,获取对应的用户信息;其中,所述用户信 息表记录有私网地址和用户信息的对应关系;
[0010] 利用获取到的用户信息生成审计日志。
[0011] 根据本申请实施例的第二方面,提供一种审计日志的生成装置,所述装置应用于 审计设备上,所述装置包括:
[0012] 接收单元,用于接收网络地址转换MT设备发送的业务报文;
[0013] 第一获取单元,用于利用所述业务报文携带的公网地址查找私网地址转换表,获 取对应的私网地址;其中,所述私网地址转换表记录有私网地址和公网地址的对应关系;
[0014]第二获取单元,用于利用获取到的私网地址查找用户信息表,获取对应的用户信 息;其中,所述用户信息表记录有私网地址和用户信息的对应关系;
[001引审计日志生成单元,用于利用获取到的用户信息生成审计日志。
[0016] 应用本申请实施例,当审计设备接收到MT设备发送的业务报文时,利用业务报文 携带的公网地址查找私网地址转换表,获取对应的私网地址,然后利用获取到的私网地址 查找用户信息表,获取对应的用户信息,最后利用获取到的用户信息生成审计日志。基于上 述技术方案,由于审计设备会维护私网地址和公网地址的对应关系,因此通过业务报文中 携带的公网地址,可W查找到对应的私网地址;由于会维护私网地址和用户信息的对应关 系,因此通过查找到的私网地址,可W查找到对应的用户信息,并利用查找到的用户信息生 成审计日志,并使用生成的审计日志记录用户的网络行为,运样就可W实现实名审计。
【附图说明】
[0017] 图1为本申请根据一示例性实施例示出的一种审计日志的生成应用场景示意图;
[0018] 图2为本申请根据一示例性实施例示出的一种审计日志的生成方法实施例流程 图;
[0019] 图3为本申请根据一示例性实施例示出的另一种审计日志的生成方法实施例流程 图;
[0020] 图4为本申请根据一示例性实施例示出的一种审计设备的硬件结构图;
[0021] 图5为本申请根据一示例性实施例示出的一种审计日志的生成装置的实施例结构 图。
【具体实施方式】
[0022] 运里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述设及 附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0023] 在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0024] 应当理解,尽管在本申请可能采用术语第一、第二、第=等来描述各种信息,但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离 本申请范围的情况下,第一信息也可W被称为第二信息,类似地,第二信息也可W被称为第 一信息。取决于语境,如在此所使用的词语"如果"可W被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0025] 参见图1所示,为本申请根据一示例性实施例示出的一种获得审计日志的应用场 景示意图,包括终端设备、接入设备、认证服务器、NAT设备、审计设备W及日志服务器。其 中,终端设备可W是PC(Personal Computer,个人计算机)、手机等。在终端设备未通过认证 之前,由认证服务器完成对所述终端设备的认证。在终端设备认证成功之后,终端设备可W 向接入设备发送业务报文,接入设备将所述业务报文转发至NAT设备,NAT设备对所述业务 报文进行MT转换,并将转换后的业务报文发送到审计设备,审计设备根据接收到的业务报 文生成审计日志,并将生成的审计日志发送到日志服务器。基于日志服务器上记录的审计 日志,管理员可W详细查看终端设备的网络行为。
[0026] 参见图2所示,为本申请根据一示例性实施例示出的一种审计日志的生成方法实 施例流程图,该实施例应用于审计设备上,包括W下步骤:
[0027] 步骤201:接收MT设备发送的业务报文。
[0028] 当终端设备需要访问网络时,会向接入设备发送业务报文,接入设备将接收到的 业务报文转发至MT设备。
[0029] 在一个可选的实现方式中,当NAT设备接收到业务报文时,利用所述业务报文携带 的所述终端设备对应的私网地址(即业务报文的源IP地址)查找NAT表项,所述NAT表项记录 有私网地址与公网地址的对应关系,所述私网地址对应唯一一个公网地址(IPv4地址);若 查找到对应的公网地址,则将业务报文携带的所述终端设备对应的私网地址转换成查找到 公网地址,并将转换后的业务报文发送至审计设备;若未查找到所述私网地址对应的公网 地址,则对所述业务报文携带的私网地址进行静态NAT转换,并将转换后的公网地址与私网 地址的对应关系记录到所述NAT表项中。如表1所述,为一种示例性的NAT表项。
[0030] L0031J 表 1
[0032] 在另一个可选的实现方式中,当NAT设备接收到业务报文时,利用所述业务报文携 带的所述终端设备对应的私网地址和私网端口查找NAPT表项,所述NAPT表项记录有私网地 址、私网端口与公网地址、公网端口的对应关系;若查找到对应的公网地址与公网端口,贝U 将所述业务报文携带的私网地址和私网端口转换成查找到公网地址和公网端口,若未查找 到,则对所述业务报文携带的私网地址和私网端口进行NAPT转换,并将转换后的公网地址、 公网端口与私网地址、私网端口的对应关系记录到所述NAPT表项中。
[0033] 基于NAPT的方式,即不同的私网地址对应同一个公网地址的不同端口,多个私网 地址可W共用一个公网地址,基于此,NAPT的方式不需要一个私网地址对应唯一一个公网 地址,可W避免公网地址(IPv4地址)的浪费。
[0034] 针对私网地址转换成公网地址的过程,NAT设备从本地的公网地址池中选择一个 公网地址,所述公网地址池中记录有NAT设备进行NAT转换时可选的公网地址。
[0035] 针对私网端口转换成公网端口的过程,当NAT设备从公网地址池中选择一个公网 地址之后,再从本地使用的端口范围中选择一个所述公网地址未用的端口作为公网端口。 如表2所述,为另一种示例性的NAPT表项。 roosAi

[0037] 表 2
[0038] 进一步地,由于终端设备会发送多种业务类型的业务报文,而不同业务类型的业 务报文携带的私网端口可能不同,如表2所示的,业务报文携带的私网端口有端口3和端口 4。为了区分不同的业务类型,可W将MT设备使用的端口范围均分为大小相同的段,每个私 网地址对应一个端口段,不同业务类型对应端口段中不同的端口。因此,当NAT设备接收到 业务报文,对所述业务报文携带的私网端口进行NAPT转换时,可W从未用的端口段中选择 一个端口段作为公网端口段,并从所述公网端口段中选择一个未用端口作为公网端口。另 夕h可W将所述公网端口段对应私网地址、私网端口与公网地址、公网端口记录到NAPT表项 中。如表3所示,为另一种示例性的NAPT表项。 L0040」 表3
[0041] 步骤202:利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私 网地址。
[0042] 在本步骤202之前,还包括私网地址转换表的获得过程,该私网地址转换表的获得 过程包括但不限于如下方式:
[0043] 方式一:当NAT设备利用静态NAT的方式,将所述业务报文携带的私网地址转换为 公网地址之后,可W通过Socket方式将所述私网地址与公网地址的对应关系发送到审计设 备,审计设备将接收到的私网地址与公网地址的对应关系记录到私网地址转换表中。
[0044] 基于私网地址转换表中记录的对应关系,当审计设备接收到MT设备发送的业务 报文时,获取所述业务报文携带的公网地址,利用获取到的公网地址查找私网地址转换表, 获取对应的私网地址。
[0045] 方式二:当NAT设备利用NAPT的方式,将所述业务报文携带的私网地址、私网端口 转换为公网地址、公网端口时,所述审计设备中的私网地址转换表记录的所述私网地址与 公网地址的对应关系中还包括公网端口。运样,通过公网端口来解决一个私网地址只能对 应一个公网地址的问题,避免了对公网地址的浪费。
[0046] 基于私网地址转换表中记录的对应关系,当审计设备接收到MT设备发送的业务 报文时,获取所述业务报文携带的公网地址和公网端口,利用获取到的公网地址和公网端 口查找所述私网地址转换表,获取所述公网地址和所述公网端口对应的私网地址。
[0047] 方式S:NAT设备为了区分不同的业务类型,将端口范围均分为大小相同的段,每 个私网地址对应一个端口段,不同业务类型对应端口段中不同的端口。基于步骤201中所 述,因此所述审计设备中的私网地址转换表记录的所述私网地址与公网地址的对应关系中 还包括公网端口段。由于私网地址转换表中一个私网地址只对应一个公网端口段,而不是 一个私网地址对应多个公网端口,运样可W减少私网地址转换表占用审计设备的内存,提 高审计设备的处理效率。
[004引基于私网地址转换表中记录的对应关系,当审计设备接收到MT设备发送的业务 报文时,获取所述业务报文携带的公网地址和公网端口,利用获取到的公网地址查找所述 私网地址转换表,获取对应的所有公网端口段;针对获取到的每个公网端口段,判断获取到 的公网端口是否位于该公网端口段;若所述公网端口位于该公网端口段,则获取所述公网 地址和该公网端口段对应的私网地址。
[0049] 其中,针对上述方式一、方式二和方式S,所述Socket方式发送是指:NAT设备与审 计设备先建立通信连接,然后将所述私网地址与公网地址发送到审计设备。
[0050] 步骤203:利用获取到的私网地址查找用户信息表,获取对应的用户信息。
[0051] 在终端设备认证通过之前,认证服务器还会执行对终端设备的认证过程,首先终 端设备通过接入设备向认证服务器发送认证请求报文,认证服务器利用认证请求报文对所 述终端设备进行认证,认证成功之后,通过所述接入设备将用于表示认证成功的认证响应 报文发送到所述终端设备。在终端设备认证通过之后,才会执行步骤201W及后续步骤。
[0052] 基于此,在认证服务器对终端设备进行认证的过程中,由于认证服务器与终端设 备之间交互的认证报文会经过接入设备,因此,接入设备可W将认证过程中的认证报文发 送给审计设备,当审计设备接收到所述认证报文时,获取所述认证报文携带的所述终端设 备对应的私网地址与用户信息,并将获取到的私网地址与用户信息的对应关系记录到用户 信息表中。
[0053] 其中,认证过程中的认证报文,可W是终端设备通过接入设备发送给认证服务器 的认证请求报文,或者认证服务器通过接入设备发送给终端设备的认证响应报文。
[0054] 其中,接入设备可W通过镜像方式将认证过程中的认证报文发送到审计设备。通 过镜像方式发送是指接入设备不需要对认证报文进行任何处理,直接复制一份发送到审计 设备。由于接入设备不需要对认证报文进行任何处理,因此可W提高接入设备的处理效率。
[0055] 基于用户信息表中记录的私网地址与用户信息的对应关系,审计设备在获取到对 应的私网地址之后,可W利用获取到的私网地址,从用户信息表中获取所述私网地址对应 的用户信息。
[0056] 步骤204:利用获取到的用户信息生成审计日志。
[0057] 当审计设备分别从私网地址转换表和用户信息表中获取到私网地址和用户信息 时,利用获取到的用户信息生成审计日志,并将生成的审计日志发送到日志服务器,W记录 用户的网络行为。
[005引其中,所述审计日志可W包括私网地址、用户信息W及业务报文的数据部分信息, 而业务报文的数据部分信息可W通过分析业务报文获知。例如,当终端设备正在进行web访 问业务时,审计设备可W通过分析业务报文,得到用户访问的网站抓L(化niform Resource Locator,统一资源定位器)、网页标题、网页内容等数据部分的信息;或终端设备正在进行 邮件业务,审计设备可W通过分析业务报文,得到邮件的发件人、收件人、邮件主题等数据 部分的信息。
[0059]进一步地,在生成审计日志之后,审计设备还可W将业务报文发送到外网。
[0060] 需要说明的是,终端设备下线时,认证服务器还会执行对终端设备的下线过程,首 先终端设备通过接入设备向认证服务器发送用户下线请求报文,认证服务器针对接收到的 用户下线请求报文对所述终端设备进行下线,并通过接入设备向终端设备返回表示下线成 功的用户下线响应报文。
[0061] 基于此,在认证服务器对终端设备进行下线过程中,由于认证服务器与终端设备 之间交互的用户下线报文会经过接入设备,因此,接入设备可W将下线过程中的用户下线 报文发送给审计设备,当审计设备接收到所述用户下线报文时,获取所述用户下线报文携 带的所述终端设备对应的私网地址与用户信息,并将所述私网地址与用户信息的对应关系 从所述用户信息表中删除;并向MT设备发送携带有所述私网地址的下线通知。
[0062] 再进一步地,当NAT设备接收到携带有私网地址的下线通知时,可W将NAT表项中 记录的所述私网地址与公网地址的对应关系删除;或者,将NAPT表项中记录的所述私网地 址、私网端口与公网地址、公网端口的对应关系删除;亦或者,可W将NAPT表项中记录的所 述私网地址、私网端口与公网地址、公网端口、公网端口段的对应关系删除,W节约端口段, 提高端口段的利用率。
[0063] 由上述实施例所述,当审计设备接收到MT设备发送的业务报文时,利用业务报文 携带的公网地址查找私网地址转换表,获取对应的私网地址,然后利用获取到的私网地址 查找用户信息表,获取对应的用户信息,最后利用获取到的用户信息生成审计日志。基于上 述技术方案,由于审计设备会维护私网地址和公网地址的对应关系,因此通过业务报文中 携带的公网地址,可W查找到对应的私网地址;由于会维护私网地址和用户信息的对应关 系,因此通过查找到的私网地址,可W查找到对应的用户信息,并利用查找到的用户信息生 成审计日志,并使用生成的审计日志记录用户的网络行为,运样就可W实现实名审计。
[0064] 参见图3所示,为本申请根据一示例性实施例示出的另一种审计日志的生成方法 实施例流程图,该实施例结合图1示出的应用场景对生成审计日志的过程进行详细描述,包 括W下步骤:
[00化]如下步骤301至步骤306为用户认证过程:
[0066] 步骤301:终端设备向接入设备发送认证请求报文。
[0067] 终端设备在认证通过之前,需要通过认证服务器的认证。终端设备可W通过PP化E (Point-t〇-Point Protocol over Ethernet, W太网上的点对点协议)、IPoEQnternet Protocol over Ethernet, W太网上的网际协议)Jodal等认证方式进行认证,在运些认 证方式中,终端设备均首先向接入设备发送认证请求报文。
[0068] 步骤302:接入设备向认证服务器发送所述认证请求报文。
[0069] 步骤303:认证服务器对终端设备进行认证,并向接入设备发送认证响应报文。
[0070] 由于认证服务器的数据库中记录有允许通过认证用户的用户信息,当认证服务器 接收到终端设备通过接入设备发送的认证请求报文时,利用认证请求报文携带的所述终端 设备对应的用户信息查找数据库,当查找到所述用户信息时,通过接入设备向终端设备返 回认证响应报文。
[0071 ] 步骤304:接入设备向终端设备发送认证响应报文。
[0072]当终端设备接收到接入设备发送的认证响应报文时,表明该终端设备通过认证, 可W接入网络。
[0073] 步骤305:接入设备向审计设备发送认证报文。
[0074] 由于认证服务器与终端设备之间交互的认证报文会经过接入设备,因此,接入设 备可W将认证过程中产生的认证报文通过镜像方式发送给审计设备。
[0075] 其中,所述认证报文可W是终端设备通过接入设备发送给认证服务器的认证请求 报文,或者认证服务器通过接入设备发送给终端设备的认证响应报文。
[0076] 步骤306:审计设备将所述认证报文携带的所述终端设备对应的私网地址和用户 信息记录到用户信息表中。
[0077] 由于从认证报文(如认证请求报文或认证响应报文)中可W解析出终端设备对应 的私网地址和用户信息,因此审计设备可W从认证报文中获取所述终端设备对应的私网地 址和用户信息,并将获取到的私网地址和用户信息记录到用户信息表中,如表4所示,为一 种示例性的用户信息表。所述用户信息可W是用户名或用户手机号等, L0079J 表 4
[0080] 如下步骤307至步骤312为业务报文传输过程:
[0081 ]步骤307:终端设备向接入设备发送业务报文。
[0082] 当终端设备接收到接入设备发送的认证响应报文时,向接入设备发送业务报文。
[0083] 步骤308:接入设备向MT设备发送业务报文。
[0084] 步骤309: NAT设备对业务报文携带的私网地址进行NAT转换。
[0085] 在一个可选的实现方式中,NAT设备可W使用静态NAT的方式,将所述业务报文携 带的所述终端设备对应的私网地址转换为公网地址,并将所述私网地址与公网地址的对应 关系记录到NAT表项中。
[0086] 如表4所述的用户A对应的私网地址192.168.0.1,使用静态NAT方式,可W将私网 地址192.168.0.1转换为公网地址163. 100. 100. 1,相应的,用户B对应的私网地址 192.168.0.2,可 W转换为公网地址163.100.100.2。
[0087] 在另一个可选的实现方式中,MT设备可W使用NAPT的方式,将所述业务报文携带 的私网地址、私网端口转换为公网地址、公网端口,并将所述私网地址、私网端口与公网地 址、公网端口的对应关系记录到所述NAPT表项中。运里私网地址转换公网地址和私网端口 转换公网端口的详细过程见步骤201,在此不再寶述。
[0088] 如表4所述的用户A对应的私网地址和私网端口为192.168.0.1:1025,假设私网地 址192.168.0.1从公网地址池163.100.100.1~163.100.100.2,选择的公网地址为 163.100.100.1,并且假设NAT设备使用的端口范围为1~200,那么可W为私网端口 1025选 择端口 1作为公网端口,因此192.168.0.1:1025经过NAPT转换之后变为163.100.100.1:1。 当用户A进行不同的业务,业务报文携带的私网地址和私网端口为192.168.0.1:1020时,可 W为私网端口 1020选择端口 2作为公网端口。相应的,表4中的用户B对应的私网地址和私网 端口 192.168.0.2:1025经过 NAPT 转换之后可 W 变为 163.100.100.1:11。
[0089] 进一步地,针对私网端口转换公网端口的过程,为了区分不同的业务类型,NAT设 备将使用的端口范围均分为大小相同的段,每个私网地址对应一个端口段,不同业务类型 对应端口段中不同的端口。因此NAT设备可W从未用的端口段中选择一个端口段作为公网 端口段,并从所述公网端口段中选择一个未用端口作为公网端口。另外,可W将所述公网端 口段对应私网地址、私网端口与公网地址、公网端口记录到NAPT表项中
[0090] 例如,NAT设备可W将端口范围1~200,分为20段,每段10个端口,即1~10、11~ 20--191~200,那么可W为用户A的私网端口 1025选择1~10的端口段作为公网端口段,并 从所述公网端口段中选择端口 1作为公网端口。并且当用户A进行不同的业务,业务报文携 带的私网地址和私网端口为192.168.0.1:1020时,可W为私网端口 1020从1~10的公网端 口段中选择端口 2作为公网端口。相应的,用户B对应的私网地址和私网端口 192.168.0.2: 1025经过NAPT转换之后可W变为163.100.100.1:11。
[0091] 步骤310:NAT设备将转换信息发送到审计设备。
[0092] 利用NAT设备发送的转换信息获得私网地址转换表,所述私网地址转换表的获得 过程包括但不限于如下方式:
[0093] 方式一:若NAT设备使用静态NAT的方式,则可W通过Socket方式,将转换信息(所 述私网地址与公网地址的对应关系)发送到审计设备,审计设备将收到的私网地址与公网 地址的对脉羊累巧异卸獻网他时掉抢亲由。化表5所示,为一种示例性的私网地址转换表。
[0094]
[0095]
[0096] 表 5
[0097] 方式二:若NAT设备使用NAPT的方式,NAT设备发送的转换信息还包括公网端口。审 计设备将接收到的转换信息记录到私网地址转换表中。如表6所示,为另一种示例性的私网 地址转换表。
[009引 LUUWJ 巧 6
[0100]方式若NAT设备为了区分不同的业务类型,将端口范围均分为大小相同的段, 每个私网地址对应一个端口段,不同业务类型对应端口段中不同的端口。那么MT设备发送 的转换信息还包括公网端口段,如表7所示,为另一种示例性的私网地址转换表。 「mm 1
[0102]表7
[0103] 步骤311:NAT设备向审计设备发送转换后的业务报文。
[0104] MT设备将业务报文进行MT转换之后,将转换后的业务报文发送至审计设备。
[0105] 步骤312:审计设备利用获取到的用户信息生成审计日志。
[0106] 基于步骤310所述,若NAT设备使用静态NAT方式进行的NAT转换,则私网地址转换 表中记录着私网地址与公网地址的对应关系。基于此,当审计设备接收到NAT设备发送的业 务报文时,利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址。
[0107] 若NAT设备使用NAPT方式进行的NAT转换,则私网地址转换表中记录着私网地址与 公网地址、公网端口的对应关系。基于此,当审计设备接收到MT设备发送的业务报文时,利 用所述业务报文携带的公网地址和公网端口查找私网地址转换表,获取对应的私网地址。
[0108] 进一步地,若MT设备为了区分不同的业务类型,将端口范围均分为大小相同的 段,每个私网地址对应一个端口段。则私网地址转换表中记录着私网地址与公网地址、公网 端口段的对应关系。基于此,当审计设备接收到NAT设备发送的业务报文时,获取所述业务 报文携带的公网地址和公网端口,利用获取到的公网地址查找所述私网地址转换表,获取 对应的所有公网端口段;针对获取到的每个公网端口段,判断获取到的公网端口是否位于 该公网端口段;若所述公网端口位于该公网端口段,则获取所述公网地址和该公网端口段 对应的私网地址。
[0109] 接着利用获取到的私网地址查找用户信息表,获取对应的用户信息,比如用户名。 最后审计设备利用获取到的用户信息生成审计日志,并将生成的审计日志发送到日志服务 器,所述审计日志可W包括用户信息、私网地址、业务报文的数据部分携带的访问地址、访 问时间信息,W供管理员详细查看终端设备的网络行为。
[0110] 如表7所述,假设所述业务报文携带的公网地址和公网端口为163.100.100.1:11, 首先查找私网地址转换表可W获取到11~20的公网端口段,然后判断获取到的公网端口 11 是否位于11~20的公网端口段。由于公网端口 11位于11~20的公网端口段,所W可W获取 到对应的私网地址192.168.0.2,再从表4可W获取到所述私网地址对应的用户B。相应的, 假设所述业务报文携带的公网地址和公网端口为163.100.100.1:1,可W获取到私网地址 192.168.0.1,再从表4可W获取到对应的用户A。如表8所示,为一种示例性的审计日志表。 LUi IZ」 巧《
[0113] 如下步骤313至步骤319为用户下线过程:
[0114] 步骤313至步骤317:终端设备下线处理过程与上线进行认证处理过程一致,见步 骤301至步骤305所述,在此不再一一寶述。只是认证服务器接收到终端设备通过接入设备 发送的用户下线请求报文之后,认证服务器针对接收到的用户下线请求报文对所述终端设 备进行下线,并通过接入设备向所述终端设备返回用户下线响应报文。接入设备最终将认 证服务器对终端设备下线过程中的用户下线报文通过镜像方式发送给审计设备,所述用户 下线报文可W是终端设备通过接入设备发送给认证服务器的用户下线请求报文,或者认证 服务器通过接入设备发送给终端设备的用户下线响应报文。
[0115] 步骤318:根据用户下线报文携带的私网地址,从用户信息表中删除所述私网地址 与用户信息的对应关系。
[0116] 步骤319:审计设备向NAT设备发送携带有私网地址的下线通知。
[0117] 当NAT设备接收到审计设备发送的下线通知时,可W将MT表项中记录的所述私网 地址与公网地址的对应关系删除;或者,将NAPT表项中记录的所述私网地址、私网端口与公 网地址、公网端口的对应关系删除;亦或者,可W将NAPT表项中记录的所述私网地址、私网 端口与公网地址、公网端口、公网端口段的对应关系删除,W节约端口段,提高端口段的利 用率。
[0118] 由上述实施例所述,当审计设备接收到MT设备发送的业务报文时,利用业务报文 携带的公网地址查找私网地址转换表,获取对应的私网地址,然后利用获取到的私网地址 查找用户信息表,获取对应的用户信息,最后利用获取到的用户信息生成审计日志。基于上 述技术方案,由于审计设备会维护私网地址和公网地址的对应关系,因此通过业务报文中 携带的公网地址,可W查找到对应的私网地址;由于会维护私网地址和用户信息的对应关 系,因此通过查找到的私网地址,可W查找到对应的用户信息,并利用查找到的用户信息生 成审计日志,并使用生成的审计日志记录用户的网络行为,运样就可W实现实名审计。
[0119] 与前述审计日志的生成方法的实施例相对应,本申请还提供了审计日志的生成装 置的实施例。
[0120] 本申请审计日志的生成装置的实施例可W应用在审计设备上。装置实施例可W通 过软件实现,也可W通过硬件或者软硬件结合的方式实现。W软件实现为例,作为一个逻辑 意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读 取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请审计日志的生成装置所在 设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、W及非易失性存储器之 夕h实施例中装置所在的设备通常根据该设备的实际功能,还可W包括其他硬件,对此不再 寶述。
[0121] 参见图5所示,本申请根据一示例性实施例示出的一种审计日志的生成装置的实 施例结构图,该实施例应用于审计设备上,所述装置包括:接收单元510、第一获取单元520、 第二获取单元530、审计日志生成单元540。
[0122] 其中,接收单元510,用于接收网络地址转换MT设备发送的业务报文;
[0123] 第一获取单元520,用于利用所述业务报文携带的公网地址查找私网地址转换表, 获取对应的私网地址;其中,所述私网地址转换表记录有私网地址和公网地址的对应关系;
[0124] 第二获取单元530,用于利用获取到的私网地址查找用户信息表,获取对应的用户 信息;其中,所述用户信息表记录有私网地址和用户信息的对应关系;
[0125] 审计日志生成单元540,用于利用获取到的用户信息生成审计日志。
[0126] 在一个可选的实现方式中,所述装置还包括(图5中未示出):
[0127] 用户信息表维护单元,用于获得用户信息表;
[0128] 所述用户信息表维护单元包括(图5中未示出):
[0129] 第一接收子单元,用于接收接入设备通过镜像方式发送的认证报文,所述认证报 文是终端设备通过所述接入设备发送给认证服务器的认证请求报文,或者认证服务器通过 所述接入设备发送给终端设备的认证响应报文;
[0130] 获取子单元,用于获取所述认证报文携带的所述终端设备对应的私网地址与用户 f目息;
[0131] 记录子单元,用于将获取到的私网地址与用户信息的对应关系记录到所述用户信 息表中。
[0132] 在另一个可选的实现方式中,所述用户信息表维护单元,还包括(图5中未示出):
[0133] 第二接收子单元,用于接收所述接入设备通过镜像方式发送的用户下线报文,所 述用户下线报文是终端设备通过所述接入设备发送给认证服务器的用户下线请求报文,或 者认证服务器通过所述接入设备发送给终端设备的用户下线响应报文;
[0134] 删除子单元,用于获取所述用户下线报文携带的所述终端设备对应的私网地址与 用户信息,并将所述私网地址与用户信息的对应关系从所述用户信息表中删除。
[0135] 在另一个可选的实现方式中,所述装置还包括(图5中未示出):
[0136] 私网地址转换表获得单元,用于获得私网地址转换表;
[0137] 所述私网地址转换表获得单元包括(图5中未示出):
[0138] 第一获得子单元,用于接收所述NAT设备通过套接字Socket方式发送的所述私网 地址与公网地址的对应关系;其中,所述私网地址与公网地址的对应关系是当MT设备接收 到业务报文时,将所述业务报文携带的私网地址转换为公网地址之后发送的;并将所述私 网地址与公网地址的对应关系记录到所述私网地址转换表中。
[0139] 在另一个可选的实现方式中,所述私网地址与公网地址的对应关系中还包括公网 端口,所述第一获取单元520,具体用于从所述业务报文中获取公网地址和公网端口;利用 获取到的公网地址和公网端口查找所述私网地址转换表,获取所述公网地址和所述公网端 口对应的私网地址;
[0140] 或者,所述私网地址与公网地址的对应关系中还包括公网端口段,所述第一获取 单元520,具体用于从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址查 找所述私网地址转换表,获取对应的所有公网端口段;针对获取到的每个公网端口段,判断 获取到的公网端口是否位于该公网端口段;若是,则获取所述公网地址和该公网端口段对 应的私网地址。
[0141] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程,在此不再寶述。
[0142] 对于装置实施例而言,由于其基本对应于方法实施例,所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的,作为单元显示的部件可W是或者也可W 不是物理单元,即可W位于一个地方,或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下,即可W理解并实施。
[0143] 由上述实施例所述,当审计设备接收到MT设备发送的业务报文时,利用业务报文 携带的公网地址查找私网地址转换表,获取对应的私网地址,然后利用获取到的私网地址 查找用户信息表,获取对应的用户信息,最后利用获取到的用户信息生成审计日志。基于上 述技术方案,由于审计设备会维护私网地址和公网地址的对应关系,因此通过业务报文中 携带的公网地址,可W查找到对应的私网地址;由于会维护私网地址和用户信息的对应关 系,因此通过查找到的私网地址,可W查找到对应的用户信息,并利用查找到的用户信息生 成审计日志,并使用生成的审计日志记录用户的网络行为,运样就可W实现实名审计。
[0144] W上所述仅为本申请的较佳实施例而已,并不用W限制本申请,凡在本申请的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
【主权项】
1. 一种审计日志的生成方法,其特征在于,所述方法应用于审计设备上,所述方法包 括: 接收网络地址转换NAT设备发送的业务报文; 利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址;其中, 所述私网地址转换表记录有私网地址和公网地址的对应关系; 利用获取到的私网地址查找用户信息表,获取对应的用户信息;其中,所述用户信息表 记录有私网地址和用户信息的对应关系; 利用获取到的用户信息生成审计日志。2. 根据权利要求1所述的方法,其特征在于,获得用户信息表的过程,具体包括: 接收接入设备通过镜像方式发送的认证报文,所述认证报文是终端设备通过所述接入 设备发送给认证服务器的认证请求报文,或者认证服务器通过所述接入设备发送给终端设 备的认证响应报文; 获取所述认证报文携带的所述终端设备对应的私网地址与用户信息; 将获取到的私网地址与用户信息的对应关系记录到所述用户信息表中。3. 根据权利要求2所述的方法,其特征在于,所述方法还包括: 接收所述接入设备通过镜像方式发送的用户下线报文,所述用户下线报文是终端设备 通过所述接入设备发送给认证服务器的用户下线请求报文,或者认证服务器通过所述接入 设备发送给终端设备的用户下线响应报文; 获取所述用户下线报文携带的所述终端设备对应的私网地址与用户信息; 将获取到的私网地址与用户信息的对应关系从所述用户信息表中删除。4. 根据权利要求1所述的方法,其特征在于,获得私网地址转换表的过程,具体包括: 接收所述NAT设备通过套接字Socket方式发送的私网地址与公网地址的对应关系;其 中,所述私网地址与公网地址的对应关系是当所述NAT设备接收到业务报文时,将所述业务 报文携带的私网地址转换为公网地址之后发送的; 将所述私网地址与公网地址的对应关系记录到所述私网地址转换表中。5. 根据权利要求1或4所述的方法,其特征在于,所述方法还包括: 所述私网地址与公网地址的对应关系中还包括公网端口,所述利用所述业务报文携带 的公网地址查找私网地址转换表,获取对应的私网地址,包括:从所述业务报文中获取公网 地址和公网端口;利用获取到的公网地址和公网端口查找所述私网地址转换表,获取所述 公网地址和所述公网端口对应的私网地址; 或者,所述私网地址与公网地址的对应关系中还包括公网端口段,所述利用所述业务 报文携带的公网地址查找私网地址转换表,获取对应的私网地址,包括:从所述业务报文中 获取公网地址和公网端口;利用获取到的公网地址查找所述私网地址转换表,获取对应的 所有公网端口段;针对获取到的每个公网端口段,判断获取到的公网端口是否位于该公网 端口段;若是,则从所述私网地址转换表中获取所述公网地址和该公网端口段对应的私网 地址。6. -种审计日志的生成装置,其特征在于,所述装置应用于审计设备上,所述装置包 括: 接收单元,用于接收网络地址转换NAT设备发送的业务报文; 第一获取单元,用于利用所述业务报文携带的公网地址查找私网地址转换表,获取对 应的私网地址;其中,所述私网地址转换表记录有私网地址和公网地址的对应关系; 第二获取单元,用于利用获取到的私网地址查找用户信息表,获取对应的用户信息;其 中,所述用户信息表记录有私网地址和用户信息的对应关系; 审计日志生成单元,用于利用获取到的用户信息生成审计日志。7. 根据权利要求6所述的装置,其特征在于,所述装置还包括: 用户信息表维护单元,用于获得用户信息表; 所述用户信息表维护单元包括: 第一接收子单元,用于接收接入设备通过镜像方式发送的认证报文,所述认证报文是 终端设备通过所述接入设备发送给认证服务器的认证请求报文,或者认证服务器通过所述 接入设备发送给终端设备的认证响应报文; 获取子单元,用于获取所述认证报文携带的所述终端设备对应的私网地址与用户信 息; 第一记录子单元,用于将获取到的私网地址与用户信息的对应关系记录到所述用户信 息表中。8. 根据权利要求7所述的装置,其特征在于,所述用户信息表维护单元,还包括: 第二接收子单元,用于接收所述接入设备通过镜像方式发送的用户下线报文,所述用 户下线报文是终端设备通过所述接入设备发送给认证服务器的用户下线请求报文,或者认 证服务器通过所述接入设备发送给终端设备的用户下线响应报文; 删除子单元,用于获取所述用户下线报文携带的所述终端设备对应的私网地址与用户 信息,并将所述私网地址与用户信息的对应关系从所述用户信息表中删除。9. 根据权利要求6所述的装置,其特征在于,所述装置还包括: 私网地址转换表获得单元,用于获得私网地址转换表; 所述私网地址转换表获得单元包括: 第一获得子单元,用于接收所述NAT设备通过套接字Socket方式发送的所述私网地址 与公网地址的对应关系;其中,所述私网地址与公网地址的对应关系是当NAT设备接收到业 务报文时,将所述业务报文携带的私网地址转换为公网地址之后发送的; 第二记录子单元,用于将所述私网地址与公网地址的对应关系记录到所述私网地址转 换表中。10. 根据权利要求6或9所述的装置,其特征在于, 所述私网地址与公网地址的对应关系中还包括公网端口,所述第一获取单元,具体用 于从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址和公网端口查找所 述私网地址转换表,获取所述公网地址和所述公网端口对应的私网地址; 或者,所述私网地址与公网地址的对应关系中还包括公网端口段,所述第一获取单元, 具体用于从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址查找所述私 网地址转换表,获取对应的所有公网端口段;针对获取到的每个公网端口段,判断获取到的 公网端口是否位于该公网端口段;若是,则获取所述公网地址和该公网端口段对应的私网 地址。
【文档编号】H04L29/06GK105939327SQ201610035084
【公开日】2016年9月14日
【申请日】2016年1月19日
【发明人】仇俊杰
【申请人】杭州迪普科技有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:仇俊杰;
  • 技术所有人:杭州迪普科技有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
日志审计相关技术
日志审计系统相关技术
开源日志审计系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2