專利名稱:一種在IPv6混合網絡中進行審計日志資產識別的方法
技術領域:
本發(fā)明涉及計算機應用安全管理技術領域��,特別涉及一種在IPv6混合網絡中進行審計日志資產識別的方法����。
背景技術:
日志審計系統(tǒng)通過收集組織內網絡環(huán)境中各種設備的日志,達到對組織內全部IT資產的審計��,以便發(fā)現各種安全威脅���,進行內部控制�����,以及合規(guī)分析����。隨著IPv4網絡地址的不斷分配�,全球的IPv4地址空間已經幾乎耗盡���,整個互聯(lián)網開始了漫長的從IPv4向IPv6的緩慢遷移過程�����。根據有關研究��,為了保護已有的IT投資�,遷移過程可能會持續(xù)很多年。 這也就意味著在各種企業(yè)網絡��、運營網絡中���,會長期存在IPv6���、IPv4混合部署的狀況。IPv6����、IPv4混合部署的狀況包括但不限于以下形式IPv6孤島隧道化接入IPv4網絡中、IPv6孤島經過IPv4網絡隧道進行互連�、IPv4主機通過隧道接入IPv6網絡、各種6to4網關部署方案等��。但是現有的日志審計系統(tǒng)沒有針對這種IPv6����、IPv4混合網絡環(huán)境進行設計,尤其是在這種混合網絡環(huán)境中�����,如何對審計日志進行資產識別。在這種IPv6混合網絡環(huán)境中����,對于審計系統(tǒng)來說,需要接收各種IPv4設備�、IPv6設備或雙棧設備的審計日志。一方面�,這些審計日志本身可能是以IPv6方式發(fā)送的,也可能是以IPv4方式發(fā)送的���。另一方面�,審計日志內容中可能存在的地址信息����,也決定于通信的協(xié)議版本、拓撲路徑���,而且存在不同的表述格式�����。所以對于審計系統(tǒng)來說,地址信息是非常多樣化的�。在非混合網絡環(huán)境中��,審計日志資產識別一般都是直接通過地址信息匹配進行的�����。這種方法在混合網絡環(huán)境中���,會有很多問題,如一個雙棧主機可能會被識別成兩個不同的資產�、一個設備在跨越雙棧邊界后無法進行資產識別等。這些資產識別的問題���,會嚴重影響到審計系統(tǒng)后續(xù)對審計日志的各種分析��、統(tǒng)計��、關聯(lián)等進一步處理����,嚴重降低審計的效果����,甚至影響到對各種攻擊、惡意行為的追溯。
發(fā)明內容
本發(fā)明要解決的技術問題是���,克服現有技術中的不足����,提供一種在IPv6混合網絡中進行審計日志資產識別的方法��。為解決該技術問題����,本發(fā)明的解決方案是提供一種在IPv6混合網絡中進行審計日志資產識別的方法,包括如下步驟A��、接收到所有日志源設備的各種格式的日志報文��,該接收動作基于一個外部的IPv6-IPv4雙棧協(xié)議棧�;B、從接收到的日志報文中獲取日志源地址���,并從日志內容中解析出來源地址和目標地址��;所述來源地址或目標地址是IPv4地址或IPv6地址�;
C��、對日志源地址、來源地址����、目標地址進行歸一化處理���,還原日志源地址����、來源地址和目標地址在各種隧道傳輸過程中發(fā)生的變化�;D、進行日志識別處理����,從歸一化后的日志源地址、來源地址和目標地址識別出相應日志的日志源資產��、來源資產和目標資產�。本發(fā)明中,所述日志報文使用的協(xié)議是Syslog����、SNMP、OPSEC或NetFlow任意一種協(xié)議�����。 本發(fā)明中步驟B中,基于所述IPv6_IPv4雙棧協(xié)議棧�����,當收到IPv4日志報文時其來源地址為IPv4地址�,當收到IPv6日志報文時其來源地址為IPv6地址。本發(fā)明中�,所述日志報文的格式是文本格式、16進制格式����、2進制格式或縮寫格式中的任意一種。本發(fā)明中步驟D中�,所述的識別基于一個外部的資產地址庫;資產地址庫中包含資產的地址信息����,該地址信息包括資產的IPv4地址、IPv6地址或其他與資產識別相關的任何信息���。相對于現有技術�,本發(fā)明的有益效果在于I�、可以支持在IPv6����、IPv4混合網絡環(huán)境中進行日志審計��,同時支持IPv6地址���、IPv4地址的資產識別。2�����、可以支持精確的地址識別�����?����?梢栽诟鞣N雙棧隧道方案中����,支持地址歸一化處理,從而確保資產的各種地址格式信息��,都能關聯(lián)到同一個資產。
圖I為在IPv6����、IPv4混合網絡環(huán)境中對審計日志進行資產識別的總體流程框圖;圖2為在IPv6����、IPv4混合網絡環(huán)境中對審計日志進行資產識別的運行框圖。
具體實施例方式首先需要說明的是�����,本發(fā)明涉及計算機技術��,是計算機技術在信息安全技術領域的一種應用����。在本發(fā)明的實現過程中,會涉及到多個軟件功能模塊的應用�。申請人認為,如在仔細閱讀申請文件�、準確理解本發(fā)明的實現原理和發(fā)明目的以后,在結合現有公知技術的情況下�,本領域技術人員完全可以運用其掌握的軟件編程技能實現本發(fā)明。前述軟件功能模塊包括但不限于IPv6-IPv4雙棧協(xié)議棧��、日志報文源地址獲取模塊、地址解析模塊����、地址歸一化模塊、資產識別模塊����、資產地址庫模塊、資產自動發(fā)現模塊等�����,凡本發(fā)明申請文件提及的均屬此范疇�,申請人不再一一列舉�����。關于IPv6_IPv4雙棧協(xié)議棧為了同時支持IPv6���、IPv4兩種協(xié)議��,節(jié)點同時運行IPv6協(xié)議棧��、IPv4協(xié)議棧兩套協(xié)議棧����,系統(tǒng)會根據收到的數據報文IP頭部版本信息,判定使用哪個協(xié)議棧進行處理����,最終把報文送到上層應用程序處理,并且提供相應的報文地址信息(IPv6地址或IPv4地址)����。對于審計系統(tǒng)來說,必須采用雙棧協(xié)議棧才能既支持接收IPv6設備發(fā)送的審計日志���,也支持接收IPv4設備發(fā)送的審計日志���。應用層面的地址信息多樣性問題的處理,和雙棧協(xié)議棧沒有直接關系�����,但是與各種跨雙棧隧道技術有緊密的關系�����。
引用RFC 3513: Internet Protocol Version 6 (IPv6) Addressing ArchitectureRFC 4291: IP Version 6 Addressing ArchitectureRFC 3542: Advanced Sockets Application Program Interface (API) for IPv6本發(fā)明中的基本原理是,接收到IPv4和IPv6混合網絡環(huán)境中的日志報文后�����,通過日志報文源地址獲取模塊�����,獲取到日志源地址���;從日志報文的負載中獲取到日志�����,對日志內容進行地址解析����,獲取到來源地址��、目標地址�����;對日志源地址��、來源地址���、目標地址進行地址歸一化處理��,然后進行資產識別處理����,從而識別出日志的日志源資產�、來源資產、目標資產信息���。下面結合具體實例對本發(fā)明進行詳細描述�。 圖I中描述了在IPv6�����、IPv4混合網絡環(huán)境中對審計日志進行資產識別的過程�,具體的過程如下201接收日志接收到日志報文102。202獲取日志源地址根據日志報文102中的報文IPv4或IPv6頭部信息�����,通過日志報文源地址獲取模塊103獲取到日志源地址104��。203解析來源地址、目標地址根據日志105的內容��,通過地址解析模塊106�����,解析出來源地址107��、目標地址108�����。204地址歸一化處理對日志源地址104��、來源地址107��、目標地址108進行地址歸
一化處理��。205資產識別根據歸一化后的地址信息去檢索資產地址庫111���,識別到日志的日志源資產114、來源資產112���、目標資產113�。206資產相關后續(xù)處理讀資產識別后的日志進行后續(xù)的相關處理,如資產脆弱性關聯(lián)分析���、資產重要程度分析�、資產威脅影響分析等��。圖2描述了本發(fā)明中的地址處理�����、資產識別的一個具體例子���,以及相關的其他實體部分�����、交互的信息�����。首先從各種應用安全設備101��,如應用安全掃描器�、數據庫審計系統(tǒng)�����、入侵檢測系統(tǒng)(IDS)等,接收到日志報文102���。這些日志報文協(xié)議可能是Syslog�、SNMP����、0PSEC、NetFlow等��,也可能是其他日志協(xié)議���。這些日志報文102經過日志報文源地址獲取模塊103的處理����,從報文頭部信息獲取到日志源地址104��。日志源地址104可能是IPv4地址��,也可能是IPv6地址��。通過提取日志報文102的負載信息�����,得到日志105�,經過地址解析模塊106的解析處理,解析出來源地址107���、目標地址108�����。地址解析主要是根據IPv4��、IPv6相關的RFC標準中IP地址格式的定義��,通過支持所有的地址格式��,能夠獲取到報文中存在的地址信息���。以上得到的日志源地址104、來源地址107���、目標地址108����,由地址歸一化模塊109進行歸一化處理。歸一化處理過程中主要是根據IPv4�、IPv6相關的RFC標準中各種隧道技術,對解析到的地址進行歸一化處理���。這里需要處理的各種隧道包括但不限于IPv4兼容地址自動隧道�����、6to4自動隧道���、ISATAP自動隧道、IPv6 over IPv4 GRE隧道��、隧道代理技術�����、6over4隧道����、BGP隧道等。歸一化后的地址����,通過資產識別模塊110分別識別到來源資產112�����、目標資產113、日志源資產114���。資產識別模塊通過檢索一個外部的資產地址庫111來完成資產識別���。資產地址庫111中,每個資產可以包括多個地址信息���,可以是IPv4格式的�����,也可以是IPv6格式的�,或其他與資產識別相關的任何信息�����。資產地址庫111可以通過人工錄入的方式來維護 ����,也可以通過資產自動發(fā)現模塊115得到����。資產自動發(fā)現可以采用網絡端口掃描���、網絡流量拓撲分析等各種方式進行�����。
權利要求
1.一種在IPv6混合網絡中進行審計日志資產識別的方法�,其特征在于���,包括如下步驟 A�、接收到所有日志源設備的各種格式的日志報文����,該接收動作基于一個外部的IPv6-IPv4雙棧協(xié)議棧; B��、從接收到的日志報文中獲取日志源地址�����,并從日志內容中解析出來源地址和目標地址;所述來源地址或目標地址是IPv4地址或IPv6地址�����; C�、對日志源地址、來源地址��、目標地址進行歸一化處理�,還原日志源地址�、來源地址和目標地址在各種隧道傳輸過程中發(fā)生的變化; D����、進行日志識別處理,從歸一化后的日志源地址����、來源地址和目標地址識別出相應日志的日志源資產、來源資產和目標資產��。
2.根據權利要求I所述的方法����,其特征在于,所述日志報文使用的協(xié)議是Syslog、SNMP����、OPSEC 或 NetFlow 任意一種協(xié)議。
3.根據權利要求I所述的方法����,其特征在于,在步驟B中���,基于所述IPv6-IPv4雙棧協(xié)議棧�����,當收到IPv4日志報文時其來源地址為IPv4地址���,當收到IPv6日志報文時其來源地址為IPv6地址。
4.根據權利要求I所述的方法�,其特征在于,所述日志報文的格式是文本格式�����、16進制格式�����、2進制格式或縮寫格式中的任意一種。
5.根據權利要求I所述的方法���,其特征在于�,在步驟D中�����,所述的識別基于一個外部的資產地址庫�;資產地址庫中包含資產的地址信息,該地址信息包括資產的IPv4地址�����、IPv6地址或其他與資產識別相關的任何信息�����。
全文摘要
本發(fā)明涉及計算機應用安全管理技術領域�����,旨在提供一種在IPv6混合網絡中進行審計日志資產識別的方法�。該方法包括基于外部的IPv6-IPv4雙棧協(xié)議棧接收日志報文;從����;日志報文中獲取日志源地址,并解析出來源地址和目標地址�����;對日志源地址�、來源地址、目標地址進行歸一化處理�����,還原在各種隧道傳輸過程中發(fā)生的變化�����;從歸一化后的日志源地址�����、來源地址和目標地址識別出相應日志的日志源資產���、來源資產和目標資產�。本發(fā)明可以支持在IPv6、IPv4混合網絡環(huán)境中進行日志審計��,同時支持IPv6地址�����、IPv4地址的資產識別���。支持精確的地址識別�?����?梢栽诟鞣N雙棧隧道方案中�����,支持地址歸一化處理�����,從而確保資產的各種地址格式信息��,都能關聯(lián)到同一個資產��。
文檔編號H04L12/24GK102724068SQ20121019316
公開日2012年10月10日 申請日期2012年6月8日 優(yōu)先權日2012年4月5日
發(fā)明者楊永清, 范淵, 談修竹 申請人:杭州安恒信息技術有限公司