專利名稱:用戶與ip地址租用事件的關(guān)聯(lián)的制作方法
用戶與IP地址租用事件的關(guān)聯(lián)
背景技術(shù):
在某些網(wǎng)絡(luò)取證(forensics)情景中����,確定用戶在特定歷史時(shí)段中使用計(jì)算機(jī)/設(shè)備的痕跡(trail)可能會(huì)非常有用。在使用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)來動(dòng)態(tài)分配網(wǎng)際協(xié)議(IP)地址的環(huán)境中�,網(wǎng)絡(luò)上設(shè)備的IP地址分配是臨時(shí)的并有可能隨時(shí)間改變。因此��,IP地址未必唯一識(shí)別計(jì)算機(jī)或設(shè)備��。此外���,分配給計(jì)算機(jī)或設(shè)備的主機(jī)名也可以改變�����,由此不能依靠該主機(jī)名來唯一標(biāo)識(shí)設(shè)備/計(jì)算機(jī)��。因此�����,如果僅僅基于IP租用事件(lease event)的話�,是很難或者不可能確定用戶在特定歷史時(shí)段中使用計(jì)算機(jī)或設(shè)備的綜合記錄或痕跡的,這其中包括計(jì)算機(jī)或設(shè)備的IP地址��、主機(jī)名以及MAC (媒體訪問控制)/DUID (DHCP唯一標(biāo)識(shí)符)地址�����。
發(fā)明內(nèi)容
本發(fā)明內(nèi)容是為了以簡(jiǎn)化形式介紹精選概念而被提供的���,并且在以下的具體實(shí)施 方式部分中將會(huì)進(jìn)一步描述這些概念���。本發(fā)明內(nèi)容的目的既不是確定所要求保護(hù)主題的關(guān)鍵特征或必要特征,也不是用來幫助確定所要求保護(hù)的主題的范圍�����。在這里描述了將用戶與IP地址租用事件相互關(guān)聯(lián)的技術(shù)�����?�?梢越oDHCP服務(wù)器提供裝備來保持或者在日志中記錄包含了 IP地址�����、MAC地址/DnD以及主機(jī)名的歷史IP地址租用事件�。驗(yàn)證服務(wù)器或驗(yàn)證數(shù)據(jù)的其他來源可以在日志中記錄用戶驗(yàn)證事件,其中所述事件還識(shí)別從中接收到驗(yàn)證請(qǐng)求的IP地址��。在一個(gè)或多個(gè)實(shí)施例中���,審計(jì)(audit)系統(tǒng)被提供用來收集來自DHCP服務(wù)器的IP地址租用事件以及來自一個(gè)或多個(gè)驗(yàn)證服務(wù)的驗(yàn)證數(shù)據(jù)���。該審計(jì)系統(tǒng)可以將收集到的數(shù)據(jù)保存在公共數(shù)據(jù)存儲(chǔ)器中。所述公共數(shù)據(jù)存儲(chǔ)器可被搜索���,以便將IP地址租用事件與驗(yàn)證數(shù)據(jù)相互關(guān)聯(lián)����。通過這種方式����,通過將來自DHCP服務(wù)器的歷史IP地址租用信息與來自驗(yàn)證源的用戶登錄信息相互關(guān)聯(lián),可以確定用戶在給定時(shí)段中使用的計(jì)算機(jī)或設(shè)備的綜合記錄����。這種處理可以通過在兩個(gè)事件源之間匹配使用事件時(shí)間戳以及IP地址和/或其他公共元素的事件來進(jìn)行(通過使用公共的主機(jī)名/MAC地址等等)。
以下的具體實(shí)施方式
部分是參考附圖來描述的��。在附圖中,參考數(shù)字最左側(cè)的一個(gè)或多個(gè)數(shù)字標(biāo)識(shí)的是該參考數(shù)字首次出現(xiàn)的圖�。在說明書和附圖中,在不同實(shí)例中使用相同參考數(shù)字可以指示相似或相同的項(xiàng)目�����。圖I是根據(jù)一個(gè)或多個(gè)實(shí)施例的例示操作環(huán)境的例圖�。圖2是根據(jù)一個(gè)或多個(gè)實(shí)施例的用于將用戶與IP地址事件相互關(guān)聯(lián)的例示系統(tǒng)的例圖。圖3是根據(jù)一個(gè)或多個(gè)實(shí)施例的用于將用戶與IP地址租用事件相互關(guān)聯(lián)的例示過程的例圖��。圖4是根據(jù)一個(gè)或多個(gè)實(shí)施例的用于將用戶與IP地址租用事件相互關(guān)聯(lián)的另一個(gè)例示過程的例圖��。圖5是可以在一個(gè)或多個(gè)實(shí)施例中用來實(shí)現(xiàn)將用戶與IP地址租用事件相互關(guān)聯(lián)的技術(shù)的例示計(jì)算系統(tǒng)的例圖��。
具體實(shí)施例方式綜沭
如果僅僅基于IP租用事件的話���,是很難或者不可能確定用戶在特定歷史時(shí)段中使用計(jì)算機(jī)或設(shè)備的綜合記錄或痕跡的��,這其中包括IP地址���、主機(jī)名以及MAC (媒體訪問控制)地址。出現(xiàn)這種情況的原因在于設(shè)備的IP地址和主機(jī)名可以隨時(shí)間動(dòng)態(tài)改變�����,因而不能基于租用事件日志來將其可靠地映射到特定的用戶設(shè)備��。在這里描述了用于將用戶與IP地址租用事件相互關(guān)聯(lián)的技術(shù)��?��?梢越oDHCP服 務(wù)器提供裝備以便保持或者在日志中記錄包含IP地址�、MAC地址/OTID以及主機(jī)名的歷史IP地址租用事件�����。驗(yàn)證服務(wù)器或驗(yàn)證數(shù)據(jù)的其他來源可以在日志中記錄用戶驗(yàn)證事件����,其中所述事件還識(shí)別與接收到的驗(yàn)證請(qǐng)求相對(duì)應(yīng)的IP地址和/或其他公共元素。審計(jì)系統(tǒng)被提供用來收集來自DHCP服務(wù)器的IP地址租用事件以及來自一個(gè)或多個(gè)驗(yàn)證服務(wù)的驗(yàn)證數(shù)據(jù)���。該審計(jì)系統(tǒng)可以提供能夠用于關(guān)聯(lián)收集到的數(shù)據(jù)的分析工具�����。這使得網(wǎng)絡(luò)管理員能夠在給定時(shí)間范圍(time frame)中搜索事件����,并且獲取將用戶/用戶帳戶映射到IP地址、MAC地址和/或主機(jī)名所識(shí)別的特定設(shè)備的結(jié)果�。在以下的論述中,首先描述可以使用這里描述的技術(shù)的例示操作環(huán)境����。接下來將會(huì)論述一個(gè)例示系統(tǒng)以便舉例說明用于將用戶與IP地址租用事件相互關(guān)聯(lián)的技術(shù)的一些方面的細(xì)節(jié)。在這之后將會(huì)論述一個(gè)可以在所述例示環(huán)境/系統(tǒng)以及其他環(huán)境/系統(tǒng)中實(shí)現(xiàn)的例示過程��。因此���,所述過程并不僅限于在例示的環(huán)境/系統(tǒng)中執(zhí)行����,并且所述例示環(huán)境/系統(tǒng)并不僅限于執(zhí)行所述例示技術(shù)���。最后描述關(guān)于可以用于實(shí)現(xiàn)一個(gè)或多個(gè)實(shí)施例的例示計(jì)算系統(tǒng)和設(shè)備的細(xì)節(jié)�。操作環(huán)境
圖I是可通過操作來使用這里描述的技術(shù)的例示實(shí)施方式中的環(huán)境100的例圖��。所示出的環(huán)境100包括客戶機(jī)設(shè)備102�����、一個(gè)或多個(gè)動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器104、一個(gè)或多個(gè)驗(yàn)證服務(wù)106以及經(jīng)由網(wǎng)絡(luò)110可通信地耦合的服務(wù)供應(yīng)商108�。客戶機(jī)設(shè)備102��、一個(gè)或多個(gè)DHCP服務(wù)器104�、一個(gè)或多個(gè)驗(yàn)證服務(wù)106以及服務(wù)供應(yīng)商108可以由一個(gè)或多個(gè)計(jì)算設(shè)備來實(shí)現(xiàn)�,并且也可以代表一個(gè)或多個(gè)實(shí)體。計(jì)算設(shè)備可以用多種方式配置��。例如�����,計(jì)算設(shè)備可以被配置成能在網(wǎng)絡(luò)110上通信的計(jì)算機(jī)��,例如臺(tái)式計(jì)算機(jī)�����、移動(dòng)站��、娛樂電器���、可通信地耦合至顯示設(shè)備的機(jī)頂盒��、無線電話�����、游戲控制臺(tái)等等�。由此,計(jì)算設(shè)備的范圍可以從具有大量存儲(chǔ)器和處理器資源的全資源設(shè)備(full resource device)(例如個(gè)人計(jì)算機(jī)�����、游戲控制臺(tái))到存儲(chǔ)器和/或處理資源有限的低資源設(shè)備(low resource device)(例如傳統(tǒng)的機(jī)頂盒�����、手持游戲控制臺(tái))����。此夕卜,雖然在一些實(shí)例中顯示的是單個(gè)計(jì)算設(shè)備�����,但是該計(jì)算設(shè)備可以代表多個(gè)不同的設(shè)備���,例如用于執(zhí)行諸如服務(wù)供應(yīng)商108和/或驗(yàn)證服務(wù)106等等執(zhí)行的操作的多個(gè)服務(wù)器����。雖然網(wǎng)絡(luò)110被圖示成因特網(wǎng),然而該網(wǎng)絡(luò)可以采用多種配置����。例如,網(wǎng)絡(luò)110可以包括廣域網(wǎng)(WAN)��、局域網(wǎng)(LAN)��、無線網(wǎng)絡(luò)����、公眾電話網(wǎng)絡(luò)�����、內(nèi)部網(wǎng)等等���。更進(jìn)一步���,雖然顯示的是單個(gè)網(wǎng)絡(luò)110,但是該網(wǎng)絡(luò)110也可以被配置成包括多個(gè)網(wǎng)絡(luò)���?�?蛻魴C(jī)設(shè)備102可以被配置成具有使得能夠在網(wǎng)絡(luò)110上進(jìn)行各種通信的功能�。例如,客戶機(jī)設(shè)備102可以包括瀏覽器或其他適當(dāng)應(yīng)用��,以便經(jīng)由網(wǎng)絡(luò)110獲取和輸出來自服務(wù)供應(yīng)商108的網(wǎng)頁和/或其他用戶界面��。服務(wù)供應(yīng)商108可以管理可供客戶機(jī)經(jīng)由網(wǎng)絡(luò)110訪問的不同資源112�����。通常��,由服務(wù)供應(yīng)商108使得可以訪問的資源112可以包括通常由一個(gè)或多個(gè)供應(yīng)商使得經(jīng)由網(wǎng)絡(luò)可得到的服務(wù)和/或內(nèi)容的任何適當(dāng)組合����。服務(wù)的一些示例包括但不局限于搜索服務(wù)、電子郵件服務(wù)��、即時(shí)消息傳遞服務(wù)�����、在線生產(chǎn)力套件以及用于控制客戶機(jī)對(duì)資源112的訪問的驗(yàn)證服務(wù)��。內(nèi)容可以包括下列各項(xiàng)的不同組合文本、多媒體流���、文檔����、應(yīng)用文件�����、照片����、音頻/視頻文件動(dòng)畫��、圖像���、網(wǎng)頁��、web應(yīng)用��、設(shè)備應(yīng)用���、供瀏覽器或其他客戶機(jī)應(yīng)用顯示的內(nèi)容等等���。為了在網(wǎng)絡(luò)110中進(jìn)行交互,客戶機(jī)設(shè)備102可以被配置成獲取和使用可用于識(shí) 別設(shè)備以及用于定位設(shè)備和路由通信的IP地址���。DHCP服務(wù)器104代表實(shí)現(xiàn)DHCP技術(shù)來為客戶機(jī)動(dòng)態(tài)分配和管理IP地址的功能���。雖然客戶機(jī)可以手動(dòng)配置,但是所述配置會(huì)很復(fù)雜��,并且有可能需要網(wǎng)絡(luò)管理員或其他專家�����。動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)是一個(gè)自動(dòng)配置協(xié)議�����,該協(xié)議可被用作使用IP地址來手動(dòng)配置設(shè)備的方案的替換方案����。IP地址可被租用一定 時(shí)段,在此之后���,除非客戶機(jī)在期限屆滿之前續(xù)訂該地址��,否則所述租用將會(huì)到期��。DHCP服務(wù)器104可以被配置成保持一個(gè)用于追蹤不同計(jì)算機(jī)的IP地址租用的日志�����。例如����,該日志可以將IP地址的租用事件(例如新的租用開始,租用續(xù)訂�,租用期限屆滿等等)與諸如MAC地址/DWD以及主機(jī)名之類的設(shè)備標(biāo)識(shí)信息相匹配�。由此����,在給定時(shí)間范圍中�����,DHCP日志可以將特定設(shè)備映射到用于該設(shè)備的相應(yīng)IP地址�����。除了提供IP地址和日志之外��,DHCP服務(wù)器104還會(huì)提供用于高級(jí)選項(xiàng)�����、網(wǎng)絡(luò)細(xì)節(jié)�、對(duì)等體信息等等的其他配置信息?��?蛻魴C(jī)設(shè)備102可以通過其與服務(wù)供應(yīng)商108的用戶帳戶來訪問該供應(yīng)商108提供的資源120����。驗(yàn)證服務(wù)106代表可通過操作來對(duì)要訪問特定帳戶并且由此獲權(quán)訪問相應(yīng)資源112的客戶機(jī)進(jìn)行驗(yàn)證的功能���。驗(yàn)證服務(wù)106既可以作為服務(wù)供應(yīng)商108的組件來提供���,也可以如圖所示作為由第三方供應(yīng)商供應(yīng)的獨(dú)立服務(wù)來提供,還可以采用其他方式來提供��。為了訪問資源112��,客戶機(jī)設(shè)備102可以提供用戶名和口令����,驗(yàn)證服務(wù)106會(huì)對(duì)所述命令和口令進(jìn)行驗(yàn)證。當(dāng)驗(yàn)證成功時(shí)(例如客戶機(jī)“具有它們自己所聲稱的身份”)�����,那么驗(yàn)證服務(wù)可以傳遞使得能夠訪問相應(yīng)資源的令牌�����。單個(gè)驗(yàn)證可以對(duì)應(yīng)于一個(gè)或多個(gè)資源�,由此,通過“單點(diǎn)登錄(single sign-on)”實(shí)施的針對(duì)單個(gè)賬戶的驗(yàn)證既可以提供針對(duì)單個(gè)資源的訪問�����,也可以提供針對(duì)來自多個(gè)服務(wù)供應(yīng)商108的資源的訪問���,和/或提供針對(duì)服務(wù)供應(yīng)商108提供的整套資源的訪問�。此外���,驗(yàn)證服務(wù)106還可以保持驗(yàn)證數(shù)據(jù)/事件的記錄��。該驗(yàn)證日志可以將登錄�、登記離開、資源訪問以及其他驗(yàn)證事件與帳戶標(biāo)識(shí)符���、證書���、訪問許可、簡(jiǎn)檔數(shù)據(jù)以及其它通常關(guān)聯(lián)于用戶帳戶的數(shù)據(jù)相關(guān)聯(lián)���。驗(yàn)證數(shù)據(jù)/事件還可以與用于登錄和/或訪問資源112的設(shè)備的IP地址相關(guān)聯(lián)��。因此�,在給定時(shí)間范圍內(nèi)�����,該驗(yàn)證日志可以用來將經(jīng)過驗(yàn)證的特定用戶和事件映射到IP地址�。如下文中更詳細(xì)描述的那樣,DHCP日志和驗(yàn)證日志(或相當(dāng)?shù)臄?shù)據(jù))可以用于有效地將經(jīng)過驗(yàn)證的特定用戶與特定設(shè)備相互關(guān)聯(lián)����。該信息可以為取證分析(forensic analysis)、故障檢修和/或網(wǎng)絡(luò)管理員頻繁實(shí)施的其他網(wǎng)絡(luò)維護(hù)活動(dòng)提供幫助����。
圖2描述了根據(jù)一個(gè)或多個(gè)實(shí)施例來將用戶與IP地址事件相互關(guān)聯(lián)的例示系統(tǒng)200�����。系統(tǒng)200包括審計(jì)系統(tǒng)202,作為驗(yàn)證數(shù)據(jù)來源的一個(gè)或多個(gè)驗(yàn)證服務(wù)106�,以及作為IP地址租用事件數(shù)據(jù)來源的DHCP服務(wù)器104。在本示例中����,驗(yàn)證服務(wù)106被圖示成同時(shí)包含域控制器204和RADIUS服務(wù)器206。通常��,驗(yàn)證數(shù)據(jù)和IP地址租用事件數(shù)據(jù)的任何適當(dāng)來源都可以用于這里描述的相互關(guān)聯(lián)技術(shù)���。審計(jì)系統(tǒng)202代表收集和關(guān)聯(lián)來自不同來源的日志數(shù)據(jù)的功能��。這種處理可以采用任何適當(dāng)?shù)姆绞綄?shí)施����。在至少一些實(shí)施例中��,審計(jì)系統(tǒng)202可以通過輪詢不同來源來獲取相應(yīng)數(shù)據(jù)��。作為補(bǔ)充或替換�����,諸如DHCP服務(wù)器104和驗(yàn)證服務(wù)106之類的來源可被配置成將日志數(shù)據(jù)報(bào)告給審計(jì)系統(tǒng)。一旦收集了數(shù)據(jù)�����,則審計(jì)系統(tǒng)202可以將收集到的數(shù)據(jù)保存在諸如審計(jì)數(shù)據(jù)庫之類的公共數(shù)據(jù)存儲(chǔ)器中�����。此外還可以根據(jù)請(qǐng)求來訪問/檢索用于這里描述的關(guān)聯(lián)處理的數(shù)據(jù)����,以便通過相應(yīng)的DHCP服務(wù)器104和驗(yàn)證服務(wù)106來將數(shù)據(jù)保持在存儲(chǔ)器中,以及經(jīng)由網(wǎng)絡(luò)110來訪問/檢索該數(shù)據(jù)�����。審計(jì)系統(tǒng)202可以采用web應(yīng)用���、臺(tái)式機(jī)應(yīng)用或其他適當(dāng)界面的形式來暴露分析 工具208�,其中所述其他適當(dāng)界面使得能夠通過訪問來檢查和操縱保存在數(shù)據(jù)存儲(chǔ)器中或由不同實(shí)體單獨(dú)保存的數(shù)據(jù)�����。舉個(gè)例子,分析工具208可以使得網(wǎng)絡(luò)管理員能夠搜索特定IP地址����、MAC地址、主機(jī)名�、用戶名等等���。響應(yīng)于此類搜索����,分析工具208被配置成對(duì)可用數(shù)據(jù)執(zhí)行查詢�����,以便關(guān)聯(lián)來自不同來源的數(shù)據(jù)����。應(yīng)該指出的是,審計(jì)系統(tǒng)202還可以執(zhí)行某種數(shù)據(jù)預(yù)關(guān)聯(lián)處理�����,以便縮短對(duì)用戶在數(shù)據(jù)庫上進(jìn)行的搜索做出響應(yīng)的計(jì)算時(shí)間���。一般來說����,所述相互關(guān)聯(lián)提供用戶在特定歷史時(shí)段中使用計(jì)算機(jī)或設(shè)備的痕跡,其中包括計(jì)算機(jī)/設(shè)備的IP地址��、主機(jī)名以及MAC (媒體訪問控制)地址��。相應(yīng)地�����,審計(jì)系統(tǒng)202能夠被實(shí)現(xiàn)為將IP地址租用事件與驗(yàn)證事件相互關(guān)聯(lián)����,以便在用戶身份(用戶名/帳戶)與設(shè)備身份(MAC地址/OTID)之間建立關(guān)聯(lián)。如圖2所示��,一般來說���,這種處理可以涉及三個(gè)功能部分����。DHCP服務(wù)器104被提供裝備以便將IP地址租用事件(例如新的租用�����、續(xù)訂租用、停租以及期限屆滿)記入DHCP服務(wù)器104管理的每一個(gè)IP地址的事件日志��。此外��,每一個(gè)事件還可以附帶一個(gè)時(shí)間戳���。諸如例示的域控制器204和/或RADIUS服務(wù)器206之類的一個(gè)或多個(gè)驗(yàn)證服務(wù)106將用戶驗(yàn)證事件記入驗(yàn)證日志。與用戶信息一起被驗(yàn)證服務(wù)106記入日志的還可以有一個(gè)或多個(gè)相關(guān)聯(lián)的用戶驗(yàn)證細(xì)節(jié)�,例如IP地址、主機(jī)名和/或MAC地址���。這其中的至少一些細(xì)節(jié)以及其他適當(dāng)?shù)膮?shù)可以是能夠用于在DHCP日志數(shù)據(jù)與驗(yàn)證日志數(shù)據(jù)之間交叉引用的公共元素���。集中式審計(jì)系統(tǒng)202收集來自DHCP服務(wù)器104以及驗(yàn)證服務(wù)106的事件/日志,并且將數(shù)據(jù)保存在公共數(shù)據(jù)存儲(chǔ)器中����。作為替換,這些日志可以保存在相應(yīng)的來源�,并且可以根據(jù)請(qǐng)求來訪問,以便執(zhí)行搜索和關(guān)聯(lián)����。在特定時(shí)段以內(nèi)����,所述數(shù)據(jù)可以通過IP地址����、MAC地址、主機(jī)名或用戶身份來搜索�����。該搜索可以采用以下處理來執(zhí)行識(shí)別一個(gè)或多個(gè)公共元素���,在數(shù)據(jù)存儲(chǔ)器中查詢記錄���,以便基于公共元素來將這些記錄相互映射。在一個(gè)示例中�����,時(shí)間戳和IP地址可用于關(guān)聯(lián)給定時(shí)間范圍中的記錄����。使用IP地址作為搜索判據(jù)的例示搜索可以采用以下方式執(zhí)行���。借助分析工具202或以其他方式輸入搜索,以便搜索特定時(shí)段以內(nèi)給定IP地址的IP地址租用事件�。如果對(duì)于規(guī)定IP地址遭遇到的第一個(gè)IP地址租用事件是事件續(xù)訂/停租/期限屆滿,那么將會(huì)從規(guī)定時(shí)段的開始時(shí)間開始按照與時(shí)間先后順序相反的順序來檢查IP地址事件�����。執(zhí)行這種檢查以便提供與給定IP地址相對(duì)應(yīng)的IP地址的新的租用事件�。如果遭遇到的第一個(gè)IP地址租用事件是一個(gè)新的租用事件,那么可以忽略所述檢查��。通過使用為特定IP地址確定的各種新租用事件�、重新租用事件和/或租用期限屆滿事件����,可以確定不同的獨(dú)特租用時(shí)段的開始和結(jié)束值。在這里將這種不同的租用時(shí)段稱為“租用組塊(Chunk)”���。所確定的每一個(gè)租用組塊都具有從DHCP租用事件日志中拾取的與之關(guān)聯(lián)的IP地址����、MAC地址以及主機(jī)名。對(duì)于所確定的每一個(gè)租用組塊(例如開始和結(jié)束時(shí)間)����,收集在數(shù)據(jù)存儲(chǔ)器中的驗(yàn)證事件將被查詢,以便找出可能匹配公共元素的事件���,其中所述公共元素可以是規(guī)定租用組塊內(nèi)部的IP地址���、MAC地址或主機(jī)名中的一項(xiàng)或多項(xiàng)。通過使用多個(gè)不同的公共元素來進(jìn)行搜索����,將會(huì)返回不能通過簡(jiǎn)單的直接搜索獲取的附加的相互關(guān)聯(lián)信息。例如����,由于主機(jī)名在收集到的DHCP事件與驗(yàn)證事件之間匹配,因此���,對(duì)于給定IPv4地址的搜索還可以返回可以已經(jīng)通過IPv6地址進(jìn)行過的驗(yàn)證�����。同樣���,對(duì)于給定的IPv4地址來說��,即使在某些情況中像802. 11交互那樣僅僅使用MAC地址細(xì)節(jié)來標(biāo)弓I記錄���,也有可能返回已經(jīng)針對(duì)RADIUS服務(wù)器發(fā)生的驗(yàn)證事件。這可以通過在DHCP與RAIDUS服務(wù)器之間關(guān)聯(lián)MAC地址信息來完成����。
從不同來源收集的信息將被組合,以便創(chuàng)建用于映射來自IP地址租用事件/日志的IP地址���、MAC地址和主機(jī)名以及來自驗(yàn)證事件/日志的用戶名/賬戶ID的記錄���。在一個(gè)方法中,這些記錄可以采用元組(有序列表)的方式創(chuàng)建,例如驗(yàn)證事件的時(shí)間戳�����,IP地址�,MAC地址/OTID��,主機(jī)名�����,用戶名/帳戶。現(xiàn)在�,這些記錄會(huì)將特定的用戶/用戶帳戶映射到IP地址。當(dāng)然�����,這些記錄可以采用任何適當(dāng)?shù)姆绞脚渲?���,所述例示的元組僅僅是所述方式的一個(gè)不例。相當(dāng)?shù)年P(guān)聯(lián)可以為所確定的每一個(gè)IP地址租用組塊執(zhí)行��。每一個(gè)元組或其他適當(dāng)記錄都指示所識(shí)別的用戶登錄并且在所記錄的時(shí)間戳從特定計(jì)算設(shè)備啟動(dòng)會(huì)話�����,其中該計(jì)算設(shè)備是用MAC地址�����、IP地址以及主機(jī)名標(biāo)識(shí)的��。應(yīng)該指出的是����,類似的處理可以用MAC地址���、主機(jī)名或是用戶名作為初始搜索判據(jù)來執(zhí)行。通過結(jié)合以下的例示過程�����,可以發(fā)現(xiàn)關(guān)于用以將用戶與IP地址事件相互關(guān)聯(lián)的技術(shù)的更多細(xì)節(jié)�。例示過稈
以下部分描述了根據(jù)一個(gè)或多個(gè)實(shí)施例來將用戶與IP地址租用事件相互關(guān)聯(lián)的例示過程。這里描述的每一個(gè)過程的各方面都可以在硬件�����、固件�、軟件或是其組合中實(shí)現(xiàn)。這些過程被顯示成一組規(guī)定了一個(gè)或多個(gè)設(shè)備所執(zhí)行的操作的方框���,并且所述過程沒有必要局限于所顯示的相應(yīng)方框執(zhí)行操作的順序��。在至少一些實(shí)施例中�����,這些過程可以是由適當(dāng)配置的計(jì)算設(shè)備執(zhí)行的�����,例如這里描述的例示審計(jì)系統(tǒng)或DHCP服務(wù)器����。圖3描述了根據(jù)一個(gè)或多個(gè)實(shí)施例來將用戶與IP地址租用事件相互關(guān)聯(lián)的例示過程300��。在至少一些實(shí)施例中�,過程300可以是由一個(gè)或多個(gè)計(jì)算設(shè)備執(zhí)行的,例如用于實(shí)現(xiàn)先前描述的例示審計(jì)系統(tǒng)202的一個(gè)或多個(gè)服務(wù)器����。描述IP地址租用事件和驗(yàn)證事件的數(shù)據(jù)是從多個(gè)來源收集的(方框302)。舉例來說���,審計(jì)系統(tǒng)202可以被實(shí)現(xiàn)為從先前所述的不同來源收集日志數(shù)據(jù)���。不同類型的數(shù)據(jù)可以從不同的來源收集。這其中至少包括描述IP地址租用事件的數(shù)據(jù)以及用戶驗(yàn)證數(shù)據(jù)��。收集到的數(shù)據(jù)被保存在公共數(shù)據(jù)存儲(chǔ)器中(方框304)���。例如�,審計(jì)系統(tǒng)202可以提供和管理收集到的信息的數(shù)據(jù)庫。該審計(jì)系統(tǒng)202可以使得所述公共數(shù)據(jù)庫能在網(wǎng)絡(luò)110上被網(wǎng)絡(luò)管理員之類的用戶訪問���。舉例來說�,如上所述的審計(jì)工具208可被暴露�,以便使得能夠?qū)嵤┯糜谌∽C分析的搜索。審計(jì)工具208可以提供不同的控件���、菜單和用戶界面手段��,以便輸入和實(shí)施針對(duì)數(shù)據(jù)庫的搜索�,以及將結(jié)果向回顯示給用戶�。將IP租用事件與驗(yàn)證事件相互關(guān)聯(lián)以便確定相關(guān)聯(lián)的用戶帳戶(方框306)。例如���,響應(yīng)于搜索����,審計(jì)系統(tǒng)202可以在選定的時(shí)間范圍中查詢?cè)跀?shù)據(jù)庫中的記錄����,以便基于公共元素來相互映射這些記錄。用于關(guān)聯(lián)的公共元素至少可以包括IP地址、MAC地址����、用戶身份以及主機(jī)名��。通過這種方式�����,從不同的來源收集的信息將被組合以便創(chuàng)建將來自IP地址租用事件的IP地址�����、MAC地址以及主機(jī)名映射到從驗(yàn)證事件獲取的用戶名/帳戶的記錄�。該審計(jì)系統(tǒng)202還可以配置和輸出用戶界面,以便將搜索結(jié)果顯示給用戶���。圖4描述了根據(jù)一個(gè)或多個(gè)實(shí)施例來將用戶與IP地址租用事件相互關(guān)聯(lián)的另一個(gè)例示過程400����。在至少一些實(shí)施例中�,過程400可以由一個(gè)或多個(gè)計(jì)算設(shè)備執(zhí)行,例如用于實(shí)現(xiàn)先前描述的例示審計(jì)系統(tǒng)202的一個(gè)或多個(gè)服務(wù)器���。接收搜索判據(jù)的選擇以便搜索描述IP租用事件和驗(yàn)證事件的數(shù)據(jù)日志(方框 402)�。例如,審計(jì)系統(tǒng)202可通過操作來輸出分析工具208��,其使得能夠訪問和檢索來自DHCP服務(wù)器104以及驗(yàn)證服務(wù)106的數(shù)據(jù)日志����。如前所述,這些數(shù)據(jù)日志可以由審計(jì)系統(tǒng)202收集并保存在公共存儲(chǔ)器中�����。作為替換����,審計(jì)系統(tǒng)202可以提供針對(duì)多個(gè)實(shí)體保持的不同日志的訪問,例如在網(wǎng)絡(luò)110上通過訪問來檢索DHCP服務(wù)器104和/或驗(yàn)證服務(wù)106存儲(chǔ)的日志數(shù)據(jù)��。在該方法中��,日志數(shù)據(jù)可以根據(jù)請(qǐng)求而在網(wǎng)絡(luò)110上從遠(yuǎn)端服務(wù)器/存儲(chǔ)位置訪問和檢索�����。由此����,在一些實(shí)施例中����,審計(jì)系統(tǒng)可以不必保持公共數(shù)據(jù)存儲(chǔ)器�。可供分析工具208使用的一種方式是基于經(jīng)由分析工具輸入的搜索判據(jù)來搜索數(shù)據(jù)日志�����。所選擇的搜索判據(jù)可以包括但不局限于規(guī)定IP地址��、MAC地址����、主機(jī)名和/或用戶名/帳戶ID中的一項(xiàng)或多項(xiàng)��。在一些情景中�����,用于搜索的其他過濾器也是可以選擇的�����,例如選擇特定的子集或子域和/或規(guī)定驗(yàn)證數(shù)據(jù)的特定來源。此外��,搜索時(shí)段(例如搜索的開始時(shí)間和結(jié)束時(shí)間)同樣是可以規(guī)定的���。所述搜索是基于搜索判據(jù)實(shí)施的(方框404)����。對(duì)于給定的搜索判據(jù)來說����,分析工具208通過操作來從這里描述的例示DHCP服務(wù)器104、域控制器204以及RADIUS服務(wù)器206之類的可用來源中找出盡可能多的相關(guān)的活動(dòng)����。搜索進(jìn)行的方式可以依照所選擇的特定搜索判據(jù)而存在差異。通常�����,搜索結(jié)果可以是作為輸入搜索判據(jù)的“直接匹配”與“相關(guān)的日志”的組合來獲取的����,其中所述相關(guān)的日志是通過基于DHCP租用活動(dòng)來關(guān)聯(lián)記錄而被發(fā)現(xiàn)的。如圖4所示�,每個(gè)方框404的搜索可以涉及找出與搜索判據(jù)直接匹配的記錄(方框406)��。該處理可以通過檢查可用日志以便用記錄匹配輸入判據(jù)來進(jìn)行���。由此,如果規(guī)定了IP地址�,那么將會(huì)返回與該IP地址相匹配的記錄。對(duì)于所選擇的不同搜索判據(jù)來說���,這種直接匹配實(shí)質(zhì)上是以相同的方式進(jìn)行的��。此外,相關(guān)的日志可以通過推導(dǎo)出用于搜索判據(jù)規(guī)定的時(shí)段的租用組塊(方框408)以及獲取推導(dǎo)得到的每個(gè)租用組塊的相互關(guān)聯(lián)結(jié)果(方框410)來發(fā)現(xiàn)���。如所述��,租用組塊對(duì)應(yīng)于設(shè)備消費(fèi)IP地址的特定時(shí)段�。例如���,租用組塊可以是用新的租用事件與相應(yīng)的停租/期限屆滿/刪除租用事件之間的時(shí)段定義的���。如結(jié)合用于下文提供的不同判據(jù)的例示情景更詳細(xì)論述的那樣,確定租用組塊的方式可以依照搜索判據(jù)而存在差異��。一旦推導(dǎo)得到租用組塊,則可以通過基于一個(gè)或多個(gè)共有元素來將租用組塊映射到驗(yàn)證記錄和/或其他可用日志條目���,從而獲取關(guān)聯(lián)結(jié)果�,其中所述共有元素可以包括IP地址����、MAC地址、用戶名或主機(jī)名中的一項(xiàng)或多項(xiàng)��。搜索結(jié)果將會(huì)被輸出以便顯示(方框412)�����。這些結(jié)果可以包括直接匹配的記錄與通過剛剛描述的相互關(guān)聯(lián)處理確定的記錄的組合���。如所述����,這些結(jié)果可被格式化成將特定的用戶/帳戶/驗(yàn)證事件關(guān)聯(lián)于IP地址/租用事件的元組列表����。這些結(jié)果可以經(jīng)由分析工具208的用戶界面輸出以便顯示。此外��,該結(jié)果還可以采用其他的形式提供,例如打印輸出或是作為發(fā)送至指定接收方(例如網(wǎng)絡(luò)管理員)的報(bào)告��。在之前的示例中�����,相互關(guān)聯(lián)處理是響應(yīng)于用戶的特定搜索輸入進(jìn)行的���。在另一種方法中�,審計(jì)系統(tǒng)202可以被配置成執(zhí)行數(shù)據(jù)的某些預(yù)相關(guān)處理�,以便減小響應(yīng)用戶的數(shù)據(jù)庫搜索的計(jì)算時(shí)間。例如���,網(wǎng)絡(luò)管理員可以將審計(jì)系統(tǒng)202配置成自動(dòng)地周期性執(zhí)行規(guī)定的相互關(guān)聯(lián)處理���。然后�,審計(jì)系統(tǒng)202可以準(zhǔn)備好根據(jù)請(qǐng)求來快速提供結(jié)果。作為補(bǔ)充或替換��,審計(jì)系統(tǒng)可以對(duì)具有可以使用電子郵件�����、即時(shí)消息傳遞和/或其他適當(dāng)消息傳遞 技術(shù)自動(dòng)傳遞至網(wǎng)絡(luò)管理員和/或其他指定接收方的結(jié)果的報(bào)告進(jìn)行格式化處理。為了進(jìn)一步示出先前描述的相互關(guān)聯(lián)技術(shù)�����,現(xiàn)在將對(duì)一些實(shí)施搜索以及基于不同的搜索判據(jù)來獲取相互關(guān)聯(lián)的記錄的例示情景進(jìn)行考慮�����。一般來說�����,相互關(guān)聯(lián)處理會(huì)提供用戶在特定歷史時(shí)段以內(nèi)使用計(jì)算機(jī)或設(shè)備的痕跡��。泛泛來說���,這可以包括(1)獲取給定搜索判據(jù)的直接匹配�,(2)推導(dǎo)出一組租用組塊����,以及(3)從該組租用組塊中獲取相互關(guān)聯(lián)的搜索結(jié)果。以下提供了關(guān)于其中分別使用IP地址�����、MAC地址/主機(jī)名以及用戶名作為搜索判據(jù)的不同情境的細(xì)節(jié)的論述。將IP地址當(dāng)作捭索判據(jù):
對(duì)于該情景來說�,假設(shè)所選擇的搜索判據(jù)是IP地址,對(duì)于這個(gè)實(shí)例是3. 3. 3. I0此外��,規(guī)定了從I月I日到I月7日的時(shí)段��。在這種情況下��,搜索可以如下進(jìn)行
從I月I日到I月7日與地址3. 3. 3. I的直接匹配可以被確定并添加至最終的搜索結(jié)果�。這包括可以在來自DHCP服務(wù)器104、驗(yàn)證服務(wù)106和/或正被相互關(guān)聯(lián)的相關(guān)數(shù)據(jù)的其他來源的可用數(shù)據(jù)日志中得到的匹配�����。然后�����,從DHCP服務(wù)器104中確定與地址3. 3. 3. I相對(duì)應(yīng)的每一個(gè)租用事件�����,并且可以推導(dǎo)出租用組塊����。舉例來說,租用組塊可以是為(I)新租用事件與停租/刪除租用事件�����,(2)新租用事件與續(xù)訂租用事件����,以及(3)續(xù)訂租用事件與停租/刪除租用事件之間的時(shí)段推導(dǎo)的,其中所述事件是通過參考在所述時(shí)段中為地址3. 3. 3. I記入日志的事件而被發(fā)現(xiàn)的�。作為示例,以下內(nèi)容可以表示為地址3. 3. 3. I記入日志的租用事件,其中所述元組表示(IP地址����,MAC地址�,主機(jī)名,用戶名���,日志類型���,時(shí)間戳)
(1)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, New Lease, 1st January)
(2)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, Renew Lease, 2nd January)
(3)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, Release Lease, 3rd January)
(4)(3. 3. 3. I, OOccccccaaaa, HostB, null, New Lease, 4th January)
(5)(3. 3. 3. I, OOccccccaaaa, HostB, null, Renew Lease, 5th January)
(6)(3. 3. 3. I, OOccccccaaaa, HostB, null, Release Lease, 6th January)。
依據(jù)DHCP服務(wù)器記入日志的上述例示租用活動(dòng)事件����,分析工具202可以通過操作來推導(dǎo)得出作為不同租用組塊的以下配對(duì)(1����,2) (2,3) (4,5) (5�,6)。分析工具208可以進(jìn)而對(duì)租用組塊進(jìn)行處理��,以便為每一個(gè)租用組塊獲取相應(yīng)的相互關(guān)聯(lián)結(jié)果�。作為示例,設(shè)想以上根據(jù)記入日志的事件(3. 3. 3. 1��,OOaaaabbbbcc, HostA,null, New Lease, 1st January)以及(3· 3· 3· 1����,OOaaaabbbbcc, HostA, null, RenewLease, 2nd January)定義的租用組塊(I, 2)。在這種情況下,獲取相應(yīng)的相互關(guān)聯(lián)結(jié)果的處理涉及檢查來自可用來源(例如DHCP服務(wù)器104�,域控制器204,RADIUS服務(wù)器206等等)的可用日志���,以便在I月I日到I月2日的時(shí)段中發(fā)現(xiàn)匹配下列各項(xiàng)中的一項(xiàng)或多項(xiàng)的記錄IP 地址=3. 3. 3. I, MAC 地址=OOaaaabbbbcc,或者主機(jī)名=HostA�。應(yīng)該指出的是�����,在雙堆棧環(huán)境中���,對(duì)于像3ffe: : I這樣的相應(yīng)IP地址來說��,匹配主機(jī)名=HostA的日志記錄有可能具有不同的值��。為了處理這種雙堆棧情景�����,在這里將會(huì)執(zhí)行處理以便在時(shí)間上回去��,以便獲取附加的相關(guān)記錄����。例如���,分析工具208可以被配置成回溯從所述搜索的開始日期時(shí)起的一個(gè)可配置時(shí)段�����,以便找出與Host A相關(guān)聯(lián)的IP地址���。在 本示例中,舉例來說,分析工具208可以從I月I日開始回溯14天�����,并且找出用于HostA的地址����。在這個(gè)可配置的時(shí)段中與主機(jī)關(guān)聯(lián)的IP地址被拾取,并且處于搜索時(shí)間范圍(I月I日到I月2日)以內(nèi)且關(guān)于這些地址的事件將被添加到結(jié)果中?���,F(xiàn)在,即使搜索判據(jù)是3. 3. 3. 1����,用于雙堆棧環(huán)境中的相應(yīng)IP地址(例如3ffe: :1)的結(jié)果同樣會(huì)被相互關(guān)聯(lián),并且可被添加給結(jié)果��?���?梢詾槊恳粋€(gè)租用組塊重復(fù)執(zhí)行剛才針對(duì)租用組塊(1,2)描述的處理�����,其結(jié)果可被組合,以便輸出給用戶����。將MAC地址/主機(jī)名當(dāng)作捭索判據(jù)
用于MAC地址或主機(jī)名搜索的處理與剛才所描述的使用IP地址作為搜索判據(jù)的處理相似����,只不過使用了 MAC地址或主機(jī)名來獲取直接匹配以及產(chǎn)生租用組塊。特別地���,通過酌情使用MAC地址或主機(jī)名來找出可用日志中的匹配���,可以確定直接匹配。這些直接匹配被添加至最終結(jié)果�����。租用組塊同樣是通過與搜索判據(jù)選集中規(guī)定的MAC地址或主機(jī)名進(jìn)行匹配來從DHCP事件日志中獲取的���。相互關(guān)聯(lián)的搜索結(jié)果實(shí)質(zhì)上是以與上文中針對(duì)IP地址搜索所描述的相同方式而從租用組塊中獲取的�,并且所述相互關(guān)聯(lián)的結(jié)果將被添加至最終結(jié)果��。將用戶名當(dāng)作搜索判據(jù)
除了以下詳細(xì)描述的從規(guī)定的“用戶名”判據(jù)中推導(dǎo)出租用組塊的過程存在差異之外�����,在很大程度上,用于用戶名的處理同樣與使用IP地址作為搜索判據(jù)的處理是類似的����。特別地,直接匹配同樣可以是通過使用用戶名找出可用日志中的匹配來確定的���,并且所述直接匹配將被添加至最終結(jié)果���。DHCP租用組塊是使用與前述實(shí)例中不同的處理基于規(guī)定的用戶名判據(jù)來推導(dǎo)得到的。在這里��,用戶名將被用于找出這樣的組塊��,其中與該用戶名相關(guān)聯(lián)的IP地址在所述租用組塊中具有機(jī)器驗(yàn)證事件���,由此��,所述租用組塊與所述機(jī)器驗(yàn)證事件具有相同的主機(jī)��。換句話說�����,將發(fā)現(xiàn)覆蓋了具有相同主機(jī)名的用戶驗(yàn)證以及相應(yīng)的機(jī)器驗(yàn)證的租用組塊��。通過以下的示例對(duì)此進(jìn)行更進(jìn)一步的論述����。考慮以下可以在例示情景中被記入日志的例示元組(1)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, DHCP New Lease, 1st January 3 pm)
(2)(3ffe::I, null, HostA, null, DC Machine Authentication, 1st January 5 pm)
(3)(3ffe::I, null, null, UserA, DC User Authentication, 1st January 6 pm)
(4)(3. 3. 3. I, OOaaaabbbbcc, HostA, null, DHCP Renew Lease, 1st January 8 pm)?����,F(xiàn)在���,如果搜索判據(jù)是“UserA”,那么分析工具208可以通過操作來找出一個(gè)租用組塊�,以使與UserA相關(guān)聯(lián)的IP地址在該相同的租用組塊內(nèi)部具有“機(jī)器驗(yàn)證”事件,并且所述租用組塊與機(jī)器驗(yàn)證事件具有“相同的主機(jī)”����。通過使用以上的例示元組,可以采用以下方式來進(jìn)行關(guān)聯(lián)���。(UserA的)用戶驗(yàn)證事件是在下午6點(diǎn)使用IP地址3ffe: : I進(jìn)行的�。(HostA的)機(jī)器驗(yàn)證事件是在下午5點(diǎn)使用相同IP地址3fTe: : I進(jìn)行的?����,F(xiàn)在存在一個(gè)包含了 HostA的租用組塊,該租用組塊覆蓋了如上所述的這些事件的時(shí)段(下午6點(diǎn)和下午 5點(diǎn))��。由此�����,該租用組塊將會(huì)作為用于相互關(guān)聯(lián)處理的租用組塊而被添加���。特別地��,該租用組塊是由如下記入日志的事件定義的
(3. 3. 3. I, OOaaaabbbbcc, HostA, null, DHCP New Lease, 1st January 3 pm)
(3. 3. 3. I, OOaaaabbbbcc, HostA, null, DHCP Renew Lease, 1st January 8 pm)���。應(yīng)該注意的是,對(duì)于以上的機(jī)器驗(yàn)證事件(2)來說���,主機(jī)名“HostA”是相同的�����,并且對(duì)于機(jī)器驗(yàn)證事件(2)來說�����,用戶驗(yàn)證事件(3)的IP地址3ffe: :1是相同的�����。這樣一來�����,租用組塊將會(huì)滿足所枚舉的判據(jù)����,并且由此會(huì)被作為組塊推導(dǎo)得到���。相互關(guān)聯(lián)的搜索結(jié)果則是從以這種方式基于用戶名推導(dǎo)得到的租用組塊中獲取的����,其獲取方式實(shí)質(zhì)上與上文中針對(duì)IP地址搜索描述的方式是相同的����,并且相互關(guān)聯(lián)的結(jié)果將被添加至最終的結(jié)果。在考慮了一些例示過程之后��,現(xiàn)在將考慮對(duì)可以用于在一個(gè)或多個(gè)實(shí)施例中實(shí)現(xiàn)將用戶與IP地址租用事件相互關(guān)聯(lián)的不同技術(shù)的例示計(jì)算系統(tǒng)進(jìn)行論述�����。例示計(jì)算系統(tǒng)
圖5圖示了一個(gè)包含例示計(jì)算設(shè)備502的例示系統(tǒng),通常表示為500����,其中計(jì)算設(shè)備502代表可以實(shí)現(xiàn)以上描述的不同實(shí)施例的一個(gè)或多個(gè)這樣的計(jì)算系統(tǒng)和/或設(shè)備。舉例來說�����,計(jì)算設(shè)備502可以是服務(wù)供應(yīng)商108的服務(wù)器�����、驗(yàn)證服務(wù)106��、DHCP服務(wù)器104��、客戶機(jī)設(shè)備102��、片上系統(tǒng)和/或其他任何適當(dāng)?shù)挠?jì)算設(shè)備或計(jì)算系統(tǒng)����。例示的計(jì)算設(shè)備502包括一個(gè)或多個(gè)處理器504或處理單元,可以包含一個(gè)或多個(gè)存儲(chǔ)器和/或存儲(chǔ)組件508的一個(gè)或多個(gè)計(jì)算機(jī)可讀媒體506,用于輸入/輸出(1/0)設(shè)備的一個(gè)或多個(gè)輸入/輸出(1/0)接口 510���,以及允許不同的組件和設(shè)備相互通信的總線512���。計(jì)算機(jī)可讀媒體506和/或一個(gè)或多個(gè)1/0設(shè)備可以作為計(jì)算設(shè)備502的一部分而被包含,或者可替換地它也可以耦合至計(jì)算設(shè)備502�����??偩€512代表若干種總線結(jié)構(gòu)中的一種或多種,包括存儲(chǔ)器總線或存儲(chǔ)器控制器����、外圍總線、圖形加速端口���、以及使用了多種不同總線架構(gòu)中任一架構(gòu)的處理器或本地總線等等。所述總線510可以包括有線和/或無線總線�。一個(gè)或多個(gè)處理器504并不受形成該處理器的材料或是其內(nèi)使用的處理機(jī)制的限制。例如��,處理器可以包括一個(gè)或多個(gè)半導(dǎo)體和/或晶體管(例如電子集成電路(1C))��。在這樣的上下文中,處理器可執(zhí)行指令可以是能夠采用電子方式執(zhí)行的指令����。存儲(chǔ)器/存儲(chǔ)組件508代表與一個(gè)或多個(gè)計(jì)算機(jī)可讀媒體相關(guān)聯(lián)的存儲(chǔ)器/存儲(chǔ)容量。存儲(chǔ)器/存儲(chǔ)組件508可以包括易失媒體(例如隨機(jī)存取存儲(chǔ)器(RAM))和/或非易失媒體(例如只讀存儲(chǔ)器(ROM)���、閃存��、光盤�、磁盤等等)��。存儲(chǔ)器/存儲(chǔ)組件508可以包括固定媒體(例如RAM���、ROM��、固定硬盤驅(qū)動(dòng)器等等)以及可移除媒體(例如閃存驅(qū)動(dòng)器�����、可移除硬盤驅(qū)動(dòng)器���、光盤等等)。一個(gè)或多個(gè)輸入/輸出接口 510允許用戶向計(jì)算設(shè)備502輸入命令和信息�����,并且還允許使用不同的輸入/輸出設(shè)備來將信息呈現(xiàn)給用戶和/或其他組件或設(shè)備。輸入設(shè)備的示例包括鍵盤����、觸摸屏顯示器、光標(biāo)控制設(shè)備(例如鼠標(biāo))���、麥克風(fēng)��、掃描儀等等�����。輸出設(shè)備的示例包括顯示設(shè)備(例如監(jiān)視器或投影儀)�、揚(yáng)聲器�����、打印機(jī)�、網(wǎng)卡等等。在這里����,不同的技術(shù)可以是在軟件、硬件(固定邏輯電路)或程序模塊的一般上下文中描述的����。通常,此類模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程�����、程序�、對(duì)象、元件��、組件�����、數(shù)據(jù)結(jié)構(gòu)等等����。這些模塊和技術(shù)的實(shí)施方式可被保存在某種形式的計(jì)算機(jī)可讀媒體或者通過此類媒體來傳送。計(jì)算機(jī)可讀媒體可以包括可被計(jì)算設(shè)備訪問的多種可用介質(zhì)或媒體�����。作為示例而不是限制�����,計(jì)算機(jī)可讀媒體可以包括“計(jì)算機(jī)可讀存儲(chǔ)媒體”和“通信媒體”。
“計(jì)算機(jī)可讀存儲(chǔ)媒體”可以是指與單純的信號(hào)傳輸����、載波或信號(hào)本身形成對(duì)比的使得能夠永久性和/或非臨時(shí)性地存儲(chǔ)信息的媒體和/或設(shè)備。由此�����,計(jì)算機(jī)可讀存儲(chǔ)媒體指的是非信號(hào)承載媒體�。計(jì)算機(jī)可讀存儲(chǔ)媒體還包括具有以硬件形式實(shí)現(xiàn)的指令、模塊和/或固定設(shè)備邏輯的硬件元件�,并且在一些實(shí)施例中可以使用這些硬件元件來實(shí)施所描述的技術(shù)方面?����!坝?jì)算機(jī)可讀存儲(chǔ)媒體”包括通過適合存儲(chǔ)信息的方法或技術(shù)實(shí)現(xiàn)的易失和非易失以及可移除和不可移除媒體和/或存儲(chǔ)設(shè)備��,其中所述信息例如是計(jì)算機(jī)可讀指令�����、數(shù)據(jù)結(jié)構(gòu)��、程序模塊���、邏輯元件/電路或其他數(shù)據(jù)�。計(jì)算機(jī)可讀存儲(chǔ)媒體的示例包括但不局限于RAM�����,ROM, EEPR0M,閃存或其他存儲(chǔ)器技術(shù)�����,CD-ROM,數(shù)字多用途碟片(DVD)或其他光學(xué)存儲(chǔ)器�,硬盤,磁帶盒�,磁帶,磁盤存儲(chǔ)器或其他磁存儲(chǔ)設(shè)備����,集成電路或芯片的硬件元件(或固定邏輯),或是其他適合存儲(chǔ)期望信息并且可以被計(jì)算機(jī)訪問的存儲(chǔ)設(shè)備���、有形媒體或制品O“通信媒體”可以是指被配置成向計(jì)算設(shè)備的硬件傳送指令的信號(hào)承載介質(zhì)�����,其中所述傳送例如經(jīng)由網(wǎng)絡(luò)進(jìn)行�����?���!巴ㄐ琶襟w”通常包括計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)�、程序模塊或是諸如載波、數(shù)據(jù)信號(hào)或其他傳輸機(jī)制之類的調(diào)制數(shù)據(jù)信號(hào)中的其他數(shù)據(jù)��。通信媒體還包括任何信息遞送媒體�����。術(shù)語“調(diào)制數(shù)據(jù)信號(hào)”意指這樣的信號(hào)�����,其特性中的一個(gè)或多個(gè)被以將信息編碼在該信號(hào)中的方式而被設(shè)置和改變��。作為示例而不是限制�,通信媒體包括有線媒體,例如有線網(wǎng)絡(luò)或直接線路連接���,以及包括無線媒體��,例如聲學(xué)���、RF、紅外及其他無線媒體���。上述各項(xiàng)的任何組合都包含在計(jì)算機(jī)可讀媒體的范圍以內(nèi)��。相應(yīng)地�����,包括資源112��、服務(wù)�、設(shè)備應(yīng)用�、分析工具208以及其他程序模塊的軟件、硬件或程序模塊可以作為包含在某種形式的計(jì)算機(jī)可讀媒體上的一個(gè)或多個(gè)指令和/或邏輯來實(shí)現(xiàn)�����。相應(yīng)地��,這里描述的特定模塊、功能����、組件和技術(shù)可以用軟件、硬件�、固件和/或其組合來實(shí)現(xiàn)。計(jì)算設(shè)備502可以被配置成實(shí)現(xiàn)與在計(jì)算機(jī)可讀媒體上實(shí)現(xiàn)的軟件和/或硬件模塊相對(duì)應(yīng)的特定指令和/或功能��。這些指令和/或功能可以由一個(gè)或多個(gè)制品(例如一個(gè)或多個(gè)計(jì)算設(shè)備502和/或處理器504)運(yùn)行/操作��,以便實(shí)現(xiàn)與將用戶與IP地址租用事件相互關(guān)聯(lián)的處理相關(guān)的技術(shù)以及其他技術(shù)����。此類技術(shù)包括但不局限于這里描述的例示過程。由此��,計(jì)算機(jī)可讀媒體可以被配置成存儲(chǔ)或以其他方式提供指令����,在被這里描述的一個(gè)或多個(gè)設(shè)備運(yùn)行時(shí),所述指令將會(huì)導(dǎo)致實(shí)施涉及將用戶與IP地址租用事件相互關(guān)聯(lián)的處理的不同技術(shù)����。結(jié)論
雖然本發(fā)明已經(jīng)使用特定于結(jié)構(gòu)特征和/或方法操作的語言來描述,但是應(yīng)該理解,所附權(quán)利要求書中限定的發(fā)明不必局限于所描述的具體特征或操作����。相反,這些具體特征 和操作是作為實(shí)現(xiàn)要求保護(hù)的發(fā)明的示例形式公開的�。
權(quán)利要求
1.一種方法,包括 從多個(gè)來源收集(302)描述網(wǎng)際協(xié)議(IP)地址租用事件和驗(yàn)證事件的日志數(shù)據(jù)����; 將收集到的數(shù)據(jù)保存(304)在公共數(shù)據(jù)存儲(chǔ)器中; 至少部分基于相關(guān)聯(lián)的IP地址來將IP租用事件與保存在公共數(shù)據(jù)存儲(chǔ)器中的驗(yàn)證事件相互關(guān)聯(lián)(306)��。
2.權(quán)利要求I的方法�����,其中所述相互關(guān)聯(lián)還包括基于搜索判據(jù)來對(duì)保存在公共數(shù)據(jù)存儲(chǔ)器中的收集數(shù)據(jù)進(jìn)行搜索�����,其中所述搜索判據(jù)包括選擇的IP地址�����、MAC地址�、主機(jī)名或用戶名中的至少一個(gè)。
3.權(quán)利要求2的方法�����,其中所述相互關(guān)聯(lián)還包括在公共數(shù)據(jù)存儲(chǔ)器中找出與所選擇的搜索判據(jù)相匹配的記錄的直接匹配�。
4.權(quán)利要求3的方法,其中所述相互關(guān)聯(lián)還包括通過以下處理來從收集到的數(shù)據(jù)中找出相關(guān)的記錄 從在搜索判據(jù)規(guī)定的時(shí)段中收集的租用事件推導(dǎo)得到租用組塊�; 基于一個(gè)或多個(gè)公共元素來將租用組塊映射到數(shù)據(jù)存儲(chǔ)器中的相關(guān)的記錄,所述公共元素包括IP地址���、MAC地址��、主機(jī)名或用戶名中的一個(gè)或多個(gè)�����。
5.權(quán)利要求4的方法�,還包括將直接匹配與通過搜索確定的相關(guān)的記錄相結(jié)合���,以便產(chǎn)生用于輸出給用戶的相互關(guān)聯(lián)結(jié)果�。
6.權(quán)利要求2的方法����,其中所述搜索包括搜索由搜索判據(jù)規(guī)定的特定IP地址����,該搜索包括 從日志數(shù)據(jù)中找出直接匹配規(guī)定IP地址的租用事件和驗(yàn)證事件的記錄���; 通過檢查租用事件來推導(dǎo)得到為所述搜索規(guī)定的時(shí)段中的租用組塊����;以及通過查詢驗(yàn)證事件來發(fā)現(xiàn)用于租用組塊的相關(guān)的記錄�,其中所述記錄與包括IP地址、MAC地址����、主機(jī)名或用戶名的一個(gè)或多個(gè)公共元素相匹配。
7.權(quán)利要求I的方法����,其中將IP租用事件與驗(yàn)證事件相互關(guān)聯(lián)的處理為網(wǎng)絡(luò)中的計(jì)算設(shè)備使用的每一個(gè)特定IP地址提供一個(gè)綜合記錄���,該記錄標(biāo)識(shí)在網(wǎng)絡(luò)中使用所述特定IP地址實(shí)施的活動(dòng)相關(guān)聯(lián)的相應(yīng)用戶名或帳戶標(biāo)識(shí)符��。
8.權(quán)利要求I的方法�,其中所述多個(gè)來源包括保持了租用事件的日志的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器以及保持了相應(yīng)的驗(yàn)證事件的日志的一個(gè)或多個(gè)域控制器和一個(gè)或多個(gè)RADIUS服務(wù)器��。
9.一種由審計(jì)系統(tǒng)(202)的分析工具(208)實(shí)現(xiàn)的方法,包括 訪問與DHCP服務(wù)器分配給客戶機(jī)設(shè)備的IP地址相聯(lián)系地記錄在動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器(104)的網(wǎng)際協(xié)議(IP)地址事件日志中的租用事件����; 檢索由一個(gè)或多個(gè)驗(yàn)證數(shù)據(jù)源(106)記錄在驗(yàn)證日志中的驗(yàn)證事件; 接收搜索判據(jù)以便實(shí)施將租用事件與驗(yàn)證事件相互關(guān)聯(lián)的處理��;以及基于搜索判據(jù)來將租用事件與驗(yàn)證事件相互關(guān)聯(lián)����,包括使用搜索判據(jù)和基于租用組塊發(fā)現(xiàn)的相關(guān)的記錄來找出記錄的直接匹配,其中所述租用組塊是從搜索判據(jù)規(guī)定的時(shí)段內(nèi)的租用事件中推導(dǎo)得到的���。
10.如權(quán)利要求9所述的方法�,其中 所述相互關(guān)聯(lián)處理還包括通過在規(guī)定時(shí)間范圍內(nèi)檢查租用事件來推導(dǎo)得到租用組塊�����,以便發(fā)現(xiàn)由新的租用事件與停租事件�����、續(xù)訂租用事件與停租事件����,或是新租用事件與續(xù)訂租用事件定義的不同的租用組塊�����;以及 發(fā)現(xiàn)相關(guān)的記錄的處理還包括基于IP地址�、MAC地址�����、主機(jī)名或用戶名中的一個(gè)或多個(gè)在租用組塊內(nèi)部進(jìn)行搜索�,以便找出匹配記錄。
11.一個(gè)或多個(gè)存儲(chǔ)指令的計(jì)算機(jī)可讀存儲(chǔ)媒體(506)���,在被計(jì)算系統(tǒng)(500)的一個(gè)或多個(gè)組件運(yùn)行時(shí)����,所述指令將會(huì)導(dǎo)致所述計(jì)算系統(tǒng)執(zhí)行如權(quán)利要求1-10中任何一項(xiàng)所述的方法�。
全文摘要
在這里描述了用于將用戶與IP地址租用事件相互關(guān)聯(lián)的技術(shù)。在一個(gè)或多個(gè)實(shí)施例中����,提供了一個(gè)審計(jì)系統(tǒng)來從DHCP服務(wù)器收集IP地址租用事件���,以及從一個(gè)或多個(gè)驗(yàn)證數(shù)據(jù)源收集驗(yàn)證數(shù)據(jù)����。該審計(jì)系統(tǒng)可以將收集到的數(shù)據(jù)保存在公共數(shù)據(jù)存儲(chǔ)器中。所述公共數(shù)據(jù)存儲(chǔ)器可被搜索��,以便將IP地址租用事件與驗(yàn)證數(shù)據(jù)相互關(guān)聯(lián)��。通過這種方式����,通過將來自DHCP服務(wù)器的歷史IP地址租用信息與來自驗(yàn)證源的用戶登錄信息相互關(guān)聯(lián),可以確定用戶在給定時(shí)段中使用計(jì)算機(jī)或設(shè)備的綜合記錄��。這種處理可以通過在兩個(gè)事件源之間使用事件時(shí)間戳以及IP地址和/或其他公共元素匹配事件來完成�。
文檔編號(hào)H04L29/12GK102932492SQ20121033578
公開日2013年2月13日 申請(qǐng)日期2012年9月12日 優(yōu)先權(quán)日2011年9月12日
發(fā)明者V.J.蓋托德, K.薩姆班達(dá)姆, N.R.范卡亞拉 申請(qǐng)人:微軟公司