在這里描述了用于將用戶與IP地址租用事件相互關聯的技術。在一個或多個實施例中,提供了一個審計系統來從DHCP服務器收集IP地址租用事件,以及從一個或多個驗證數據源收集驗證數據。該審計系統可以將收集到的數據保存在公共數據存儲器中。所述公共數據存儲器可被搜索,以便將IP地址租用事件與驗證數據相互關聯。通過這種方式,通過將來自DHCP服務器的歷史IP地址租用信息與來自驗證源的用戶登錄信息相互關聯,可以確定用戶在給定時段中使用計算機或設備的綜合記錄。這種處理可以通過在兩個事件源之間使用事件時間戳以及IP地址和/或其他公共元素匹配事件來完成。
【技術實現步驟摘要】
用戶與IP地址租用事件的關聯
技術介紹
在某些網絡取證(forensics)情景中,確定用戶在特定歷史時段中使用計算機/設備的痕跡(trail)可能會非常有用。在使用動態主機配置協議(DHCP)來動態分配網際協議(IP)地址的環境中,網絡上設備的IP地址分配是臨時的并有可能隨時間改變。因此,IP地址未必唯一識別計算機或設備。此外,分配給計算機或設備的主機名也可以改變,由此不能依靠該主機名來唯一標識設備/計算機。因此,如果僅僅基于IP租用事件(lease event)的話,是很難或者不可能確定用戶在特定歷史時段中使用計算機或設備的綜合記錄或痕跡的,這其中包括計算機或設備的IP地址、主機名以及MAC (媒體訪問控制)/DUID (DHCP唯一標識符)地址。
技術實現思路
本
技術實現思路
是為了以簡化形式介紹精選概念而被提供的,并且在以下的具體實施 方式部分中將會進一步描述這些概念。本
技術實現思路
的目的既不是確定所要求保護主題的關鍵特征或必要特征,也不是用來幫助確定所要求保護的主題的范圍。在這里描述了將用戶與IP地址租用事件相互關聯的技術。可以給DHCP服務器提供裝備來保持或者在日志中記錄包含了 IP地址、MAC地址/DnD以及主機名的歷史IP地址租用事件。驗證服務器或驗證數據的其他來源可以在日志中記錄用戶驗證事件,其中所述事件還識別從中接收到驗證請求的IP地址。在一個或多個實施例中,審計(audit)系統被提供用來收集來自DHCP服務器的IP地址租用事件以及來自一個或多個驗證服務的驗證數據。該審計系統可以將收集到的數據保存在公共數據存儲器中。所述公共數據存儲器可被搜索,以便將IP地址租用事件與驗證數據相互關聯。通過這種方式,通過將來自DHCP服務器的歷史IP地址租用信息與來自驗證源的用戶登錄信息相互關聯,可以確定用戶在給定時段中使用的計算機或設備的綜合記錄。這種處理可以通過在兩個事件源之間匹配使用事件時間戳以及IP地址和/或其他公共元素的事件來進行(通過使用公共的主機名/MAC地址等等)。附圖說明以下的具體實施方式部分是參考附圖來描述的。在附圖中,參考數字最左側的一個或多個數字標識的是該參考數字首次出現的圖。在說明書和附圖中,在不同實例中使用相同參考數字可以指示相似或相同的項目。圖I是根據一個或多個實施例的例示操作環境的例圖。圖2是根據一個或多個實施例的用于將用戶與IP地址事件相互關聯的例示系統的例圖。圖3是根據一個或多個實施例的用于將用戶與IP地址租用事件相互關聯的例示過程的例圖。圖4是根據一個或多個實施例的用于將用戶與IP地址租用事件相互關聯的另一個例示過程的例圖。圖5是可以在一個或多個實施例中用來實現將用戶與IP地址租用事件相互關聯的技術的例示計算系統的例圖。具體實施例方式綜沭 如果僅僅基于IP租用事件的話,是很難或者不可能確定用戶在特定歷史時段中使用計算機或設備的綜合記錄或痕跡的,這其中包括IP地址、主機名以及MAC (媒體訪問控制)地址。出現這種情況的原因在于設備的IP地址和主機名可以隨時間動態改變,因而不能基于租用事件日志來將其可靠地映射到特定的用戶設備。在這里描述了用于將用戶與IP地址租用事件相互關聯的技術。可以給DHCP服 務器提供裝備以便保持或者在日志中記錄包含IP地址、MAC地址/OTID以及主機名的歷史IP地址租用事件。驗證服務器或驗證數據的其他來源可以在日志中記錄用戶驗證事件,其中所述事件還識別與接收到的驗證請求相對應的IP地址和/或其他公共元素。審計系統被提供用來收集來自DHCP服務器的IP地址租用事件以及來自一個或多個驗證服務的驗證數據。該審計系統可以提供能夠用于關聯收集到的數據的分析工具。這使得網絡管理員能夠在給定時間范圍(time frame)中搜索事件,并且獲取將用戶/用戶帳戶映射到IP地址、MAC地址和/或主機名所識別的特定設備的結果。在以下的論述中,首先描述可以使用這里描述的技術的例示操作環境。接下來將會論述一個例示系統以便舉例說明用于將用戶與IP地址租用事件相互關聯的技術的一些方面的細節。在這之后將會論述一個可以在所述例示環境/系統以及其他環境/系統中實現的例示過程。因此,所述過程并不僅限于在例示的環境/系統中執行,并且所述例示環境/系統并不僅限于執行所述例示技術。最后描述關于可以用于實現一個或多個實施例的例示計算系統和設備的細節。操作環境 圖I是可通過操作來使用這里描述的技術的例示實施方式中的環境100的例圖。所示出的環境100包括客戶機設備102、一個或多個動態主機配置協議(DHCP)服務器104、一個或多個驗證服務106以及經由網絡110可通信地耦合的服務供應商108。客戶機設備102、一個或多個DHCP服務器104、一個或多個驗證服務106以及服務供應商108可以由一個或多個計算設備來實現,并且也可以代表一個或多個實體。計算設備可以用多種方式配置。例如,計算設備可以被配置成能在網絡110上通信的計算機,例如臺式計算機、移動站、娛樂電器、可通信地耦合至顯示設備的機頂盒、無線電話、游戲控制臺等等。由此,計算設備的范圍可以從具有大量存儲器和處理器資源的全資源設備(full resource device)(例如個人計算機、游戲控制臺)到存儲器和/或處理資源有限的低資源設備(low resource device)(例如傳統的機頂盒、手持游戲控制臺)。此夕卜,雖然在一些實例中顯示的是單個計算設備,但是該計算設備可以代表多個不同的設備,例如用于執行諸如服務供應商108和/或驗證服務106等等執行的操作的多個服務器。雖然網絡110被圖示成因特網,然而該網絡可以采用多種配置。例如,網絡110可以包括廣域網(WAN)、局域網(LAN)、無線網絡、公眾電話網絡、內部網等等。更進一步,雖然顯示的是單個網絡110,但是該網絡110也可以被配置成包括多個網絡。客戶機設備102可以被配置成具有使得能夠在網絡110上進行各種通信的功能。例如,客戶機設備102可以包括瀏覽器或其他適當應用,以便經由網絡110獲取和輸出來自服務供應商108的網頁和/或其他用戶界面。服務供應商108可以管理可供客戶機經由網絡110訪問的不同資源112。通常,由服務供應商108使得可以訪問的資源112可以包括通常由一個或多個供應商使得經由網絡可得到的服務和/或內容的任何適當組合。服務的一些示例包括但不局限于搜索服務、電子郵件服務、即時消息傳遞服務、在線生產力套件以及用于控制客戶機對資源112的訪問的驗證服務。內容可以包括下列各項的不同組合文本、多媒體流、文檔、應用文件、照片、音頻/視頻文件動畫、圖像、網頁、web應用、設備應用、供瀏覽器或其他客戶機應用顯示的內容等等。為了在網絡110中進行交互,客戶機設備102可以被配置成獲取和使用可用于識 別設備以及用于定位設備和路由通信的IP地址。DHCP服務器104代表實現DHCP技術來為客戶機動態分配和管理IP地址的功能。雖然客戶機可以手動配置,但是所述配置會很復雜,并且有可能需要網絡管理員或其他專家。動態主機配置協議(DHCP)是一個自動配置協議,該協議可被用作使用IP地址來手動配置設備的方案的替換方案。IP地址可被租用一定 時段,在此之后,除非客戶機在期限屆滿之前續訂本文檔來自技高網...
【技術保護點】
一種方法,包括:從多個來源收集(302)描述網際協議(IP)地址租用事件和驗證事件的日志數據;將收集到的數據保存(304)在公共數據存儲器中;至少部分基于相關聯的IP地址來將IP租用事件與保存在公共數據存儲器中的驗證事件相互關聯(306)。
【技術特征摘要】
2011.09.12 US 13/229,9761.一種方法,包括 從多個來源收集(302)描述網際協議(IP)地址租用事件和驗證事件的日志數據; 將收集到的數據保存(304)在公共數據存儲器中; 至少部分基于相關聯的IP地址來將IP租用事件與保存在公共數據存儲器中的驗證事件相互關聯(306)。2.權利要求I的方法,其中所述相互關聯還包括基于搜索判據來對保存在公共數據存儲器中的收集數據進行搜索,其中所述搜索判據包括選擇的IP地址、MAC地址、主機名或用戶名中的至少一個。3.權利要求2的方法,其中所述相互關聯還包括在公共數據存儲器中找出與所選擇的搜索判據相匹配的記錄的直接匹配。4.權利要求3的方法,其中所述相互關聯還包括通過以下處理來從收集到的數據中找出相關的記錄 從在搜索判據規定的時段中收集的租用事件推導得到租用組塊; 基于一個或多個公共元素來將租用組塊映射到數據存儲器中的相關的記錄,所述公共元素包括IP地址、MAC地址、主機名或用戶名中的一個或多個。5.權利要求4的方法,還包括將直接匹配與通過搜索確定的相關的記錄相結合,以便產生用于輸出給用戶的相互關聯結果。6.權利要求2的方法,其中所述搜索包括搜索由搜索判據規定的特定IP地址,該搜索包括 從日志數據中找出直接匹配規定IP地址的租用事件和驗證事件的記錄; 通過檢查租用事件來推導得到為所述搜索規定的時段中的租用組塊;以及通過查詢驗證事件來發現用于租用組塊的相關的記錄,其中所述記錄與包括IP地址、MAC地址、主機名或用戶名的一個或多個公共元素相匹配。7.權利要求I的方法,其中...
【專利技術屬性】
技術研發人員:VJ蓋托德,K薩姆班達姆,NR范卡亞拉,
申請(專利權)人:微軟公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。