專利名稱:一種實現(xiàn)用戶上網(wǎng)行為審計的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)的管理和安全技術(shù)領(lǐng)域����,尤其涉及用戶上網(wǎng)行為審計技術(shù)�。
背景技術(shù):
如何感知用戶的網(wǎng)絡(luò)行為,實現(xiàn)對用戶上網(wǎng)行為的審計,并根據(jù)審計結(jié)果對用戶上網(wǎng)行為進行控制�����,一直是網(wǎng)絡(luò)管理者關(guān)注的問題���。簡單地說���,用戶上網(wǎng)行為的審計技術(shù)是一種對用戶上網(wǎng)行為進行記錄和分析的方法,包括用戶上網(wǎng)數(shù)據(jù)的采集和用戶上網(wǎng)數(shù)據(jù)的分析等內(nèi)容���。在用戶行為審計技術(shù)提供的各種分析數(shù)據(jù)基礎(chǔ)上���,網(wǎng)絡(luò)管理者可以根據(jù)網(wǎng)絡(luò)使用狀況,對網(wǎng)絡(luò)安全��、用戶行為進行有效的監(jiān)控和管理�����,同時為網(wǎng)絡(luò)犯罪提供有力的證據(jù)���。
目前,在有限的技術(shù)條件和管理條件下,比如通過防火墻���、網(wǎng)關(guān)等���,并不能對網(wǎng)絡(luò)安全及用戶行為進行良好的監(jiān)控和管理,也不能完全實現(xiàn)用戶上網(wǎng)信息的可審計性和可溯源性����。
發(fā)明內(nèi)容
本發(fā)明提供一種用戶上網(wǎng)行為審計的方法及系統(tǒng),通過綜合利用NAT系統(tǒng)日志��、DHCP服務(wù)器系統(tǒng)日志和AAA系統(tǒng)日志����,從而實現(xiàn)了用戶上網(wǎng)信息的可審計性和可溯源性,從而提高了網(wǎng)絡(luò)可管理性和安全性���。
本發(fā)明提供了一種實現(xiàn)用戶上網(wǎng)行為審計的方法��,預(yù)先對動態(tài)主機配置協(xié)議DHCP日志建立時間索引�,當(dāng)查詢條件為用戶上網(wǎng)時間�����、用戶的內(nèi)網(wǎng)IP地址時,所述方法包括根據(jù)用戶上網(wǎng)時間�、用戶的內(nèi)網(wǎng)IP地址,通過所述DHCP日志的時間索引從DHCP日志中查詢包含MAC地址的相應(yīng)目錄��;根據(jù)所述MAC地址和時間從AAA日志中查詢到相應(yīng)的用戶信息�,根據(jù)所述用戶信息對用戶上網(wǎng)行為進行審計。所述用戶信息包括下述信息中的一個或多個用戶組���、姓名���、電話、電子郵件地址��、住址��。
本發(fā)明所述方法����,還可以預(yù)先對網(wǎng)絡(luò)地址轉(zhuǎn)換NAT日志建立時間索引,并根據(jù)用戶的外網(wǎng)IP地址對NAT日志建立地址索引����,當(dāng)查詢條件為用戶上網(wǎng)時間�����、用戶的外網(wǎng)IP地址和/或NAT端口時,所述方法還包括根據(jù)用戶上網(wǎng)時間����、用戶的外網(wǎng)IP地址和/或NAT端口,通過所述NAT日志的地址索引和時間索引查詢到相應(yīng)的NAT日志文件,并根據(jù)所述NAT日志文件查詢到與所述外網(wǎng)IP地址對應(yīng)的內(nèi)網(wǎng)IP地址。
本發(fā)明所述方法還包括定期對得到的NAT日志和DHCP日志進行分析處理����,過濾掉冗余和無效記錄。
本發(fā)明還提供了一種實現(xiàn)用戶上網(wǎng)行為審計的系統(tǒng)�,包括DHCP日志單元���,用于保存收集到的DHCP日志�,并對DHCP日志建立時間索引����;AAA日志單元,用于保存AAA日志��;NAT日志單元�����,用于保存收集到的NAT日志,并對網(wǎng)絡(luò)地址轉(zhuǎn)換NAT日志建立時間索引和根據(jù)用戶的外網(wǎng)IP地址對NAT日志建立地址索引�。
查詢單元,用于根據(jù)用戶上網(wǎng)時間���、用戶的內(nèi)網(wǎng)IP地址����,通過所述DHCP日志的時間索引從DHCP日志中查詢到相應(yīng)的MAC地址���;根據(jù)所述MAC地址和時間從AAA日志中查詢到的用戶信息�����,對用戶上網(wǎng)行為進行審計����;所述查詢單元還用于根據(jù)用戶上網(wǎng)時間��、用戶的外網(wǎng)IP地址和/或NAT端口��,通過所述NAT日志的地址索引和時間索引查詢到相應(yīng)的NAT日志文件��,并根據(jù)所述NAT日志文件查詢到與所述外網(wǎng)IP地址對應(yīng)的內(nèi)網(wǎng)IP地址�。
所述系統(tǒng)還可以包括
日志分析整理單元����,用于定期對得到的NAT日志和DHCP日志進行分析處理��,過濾掉冗余和無效記錄�����。
綜上所述��,本發(fā)明提供一種用戶上網(wǎng)行為審計的方法及系統(tǒng)�����,通過綜合利用NAT系統(tǒng)日志����、DHCP服務(wù)器系統(tǒng)日志和AAA系統(tǒng)日志��,從而實現(xiàn)了用戶上網(wǎng)信息的可審計性和可溯源性����,從而提高了網(wǎng)絡(luò)可管理性和安全性。
圖1為本發(fā)明實施例中進行NAT日志整理的流程示意圖��;圖2為本發(fā)明實施例中按照NAT設(shè)備名稱和時間建立索引后NAT日志的文件結(jié)構(gòu)示意圖;圖3為本發(fā)明實施例中進行DHCP日志獲取和整理的流程示意圖�����;圖4為本發(fā)明實施例所述方法的流程示意圖���;圖5為本發(fā)明實施例所述系統(tǒng)的結(jié)構(gòu)示意圖���。
具體實施例方式
下面結(jié)合附圖對本發(fā)明實施例所述的實現(xiàn)用戶上網(wǎng)行為審計的方法進行詳細說明。
在執(zhí)行本發(fā)明實施例所述方法之前��,需要對日志進行整理配置�,具體包括首先需要配置一些參數(shù),這些參數(shù)包括NAT日志的FTP目錄�、歸檔目錄、NAT日志格式描述����,NAT日志保留時間,執(zhí)行NAT日志預(yù)處理的間隔��,需要執(zhí)行的NAT統(tǒng)計���。DHCP日志目錄���,DHCP數(shù)據(jù)存放目錄��,服務(wù)輪詢間隔等��,然后進行NAT日志和DHCP日志的整理工作。
定期采集DHCP服務(wù)器系統(tǒng)日志(DHCP日志)���,在本發(fā)明實施例的具體實施過程中�,可以通過動態(tài)配置DHCP日志獲取方式����,使用FTP或者網(wǎng)絡(luò)文件共享等方式獲取DHCP日志;NAT設(shè)備日志(NAT日志)定期上傳到主機���,然后對所述DHCP日志和NAT日志進行分析處理���,將IP地址分配、IP地址更新等有效信息保留�,將其他無用冗余信息刪除。
然后分別對DHCP日志和NAT日志按照日期時間進行整理�,建立時間索引,同時根據(jù)用戶的外網(wǎng)IP地址對多個NAT設(shè)備的日志建立一個地址索引,具體建立過程�����,如圖1和圖2所示�,下面分別詳細描述。
圖1所示為NAT日志文件的整理流程示意圖����,其具體處理過程如下定期掃描源目錄中的NAT日志文件,建立日志文件索引信息(按照時間和用戶的外網(wǎng)IP地址)�,對于多個NAT設(shè)備的請況下,每個NAT對應(yīng)的外網(wǎng)IP地址由用戶來配置并生成相應(yīng)NAT日志目錄�,同時根據(jù)時間來建立各NAT目錄下日志文件的歸檔目錄,具體的說包括以下步驟步驟11��、逐個掃描FTP目錄中的NAT日志����,從NAT日志中提取NAT設(shè)備的名稱;步驟12�����、判斷所述NAT設(shè)備的名稱是否存在于NAT的二級目錄中(所述NAT設(shè)備的名稱與用戶的外網(wǎng)IP地址具有對應(yīng)的關(guān)系)����,如果是���,則從所述NAT日志中提取時間信息,執(zhí)行步驟13���,否則�,建立該NAT設(shè)備的二級目錄��,并且從所述NAT日志中提取時間信息����,建立該年月的三級目錄和該年月日的四級目錄�,然后執(zhí)行步驟15;步驟13�、當(dāng)從所述NAT日志中提取了時間信息后,判斷所述時間信息是否存在于該年月的三級目錄中��,如果是�����,則執(zhí)行步驟14����,否則���,依次建立該年月的三級目錄和四級目錄,然后執(zhí)行步驟15�;步驟14、判斷所述時間信息是否存在于該年月日的四級目錄中��,如果是��,執(zhí)行步驟15�;
步驟15、從FTP目錄剪切該文件移動于相應(yīng)目錄中�;步驟16、刪除過期的NAT日志文件和/或目錄�����。
如圖2所示��,圖2為本發(fā)明實施例中按照NAT的設(shè)備名稱和時間建立索引后NAT日志的文件結(jié)構(gòu)示意圖�,其中,一級目錄為歸檔目錄�����,二級目錄為各NAT設(shè)備的名稱目錄,三級目錄名稱使用日志的年月�����,四級目錄名稱使用日志的年月日�。
圖3所示為DHCP日志文件的整理流程示意圖,其具體處理過程如下根據(jù)用戶設(shè)置的DHCP獲取方式�,從DHCP服務(wù)器日志目錄中定期采集DHCP日志文件。將采集到的日志文件進行分析處理�����,將IP地址分配�、IP地址更新等有效信息保留,其他無用冗余信息刪除���。DHCP日志數(shù)據(jù)文件按照日期組織,文件內(nèi)數(shù)據(jù)按照時間排序�,以便定位查詢。同時刪除相應(yīng)目錄中過期的日志文件���。
本發(fā)明實施例所述實現(xiàn)用戶上網(wǎng)行為審計的方法的具體處理過程如圖4所示���,具體包括以下步驟步驟401�����、輸入查詢條件��,在本發(fā)明實施例的具體實施過程中���,所述查詢條件可以為時間、外網(wǎng)IP地址和/或NAT端口的組合�,也可以為時間、內(nèi)網(wǎng)IP地址的組合�,還可以為時間、目的IP地址和/或目的端口的組合�;步驟402、分析所述查詢條件�,如果所述查詢條件為時間、外網(wǎng)IP地址和/或NAT端口的組合����,或者,如果所述查詢條件為時間��、目的IP地址和/或目的端口的組合�����,則執(zhí)行步驟403,如果所述查詢條件為時間��、內(nèi)網(wǎng)IP地址���,則執(zhí)行步驟407�����;步驟403����、通過NAT的地址索引���,找到相應(yīng)的NAT設(shè)備日志目錄�����,即二級目錄����;步驟404�����、根據(jù)設(shè)備目錄逐層搜索NAT日志文件�;步驟405、通過時間索引精確定位到對應(yīng)的至少一個NAT日志文件�����;步驟406��、在所述NAT日志文件中搜索符合查詢條件的內(nèi)網(wǎng)IP地址���,在定位日志文件和日志記錄時��,由于考慮到NAT端口映射有一定的生存期��,查詢輸入的時間與端口映射的建立時間有一定時間差��。因此根據(jù)用戶輸入的時間范圍需要加入一定的誤差時間值�����,系統(tǒng)默認(rèn)誤差值為了30s�����,也可以在查詢時候用戶手動設(shè)置���;步驟407����、根據(jù)在所述NAT日志文件中搜索到的內(nèi)網(wǎng)IP地址和時間索引搜索到相關(guān)的DHCP日志�,在所述DHCP日志中搜索到符合條件的記錄,包括MAC地址����,機器名等信息;該記錄時間要小于對應(yīng)NAT記錄的時間或者用戶輸入的截止時間��,并且在該時間之前沒有租賃過期或者釋放租賃�;如果搜索到相應(yīng)的記錄,則執(zhí)行步驟408���,如果搜索不到相應(yīng)的記錄�,說明內(nèi)網(wǎng)IP地址是靜態(tài)配置的��,則執(zhí)行步驟409�����;步驟408�、根據(jù)從DHCP中搜索到的MAC地址和時間,查找AAA日志中的用戶上網(wǎng)記錄&用戶表�,獲取用戶信息,即�,從AAA日志中查找相應(yīng)的用戶帳號和用戶該時段的上網(wǎng)記錄等信息,根據(jù)用戶帳號�����,查找到該用戶的詳細信息���,包括用戶組�����、姓名��、電話�����、E-mail�����、住址等內(nèi)容���;步驟409�、根據(jù)內(nèi)網(wǎng)IP地址和時間���,查找AAA日志中的用上網(wǎng)記錄&用戶表���,獲取用戶信息。
在這些一系列處理后�����,精確定位用戶����,實現(xiàn)用戶上網(wǎng)信息的追蹤,從而實現(xiàn)用戶上網(wǎng)信息可審計���、可溯源性���,且無需對硬件設(shè)備的特殊要求。
下面結(jié)合附圖5對本發(fā)明實施例所述系統(tǒng)進行詳細說明�。
如圖5所示�����,本發(fā)明實施例所述系統(tǒng)具體包括DHCP日志管理單元�����,用于對動態(tài)主機配置協(xié)議DHCP日志建立時間索引,對于DHCP日志的時間索引的建立過程��,前面方法中已作詳細說明����,此處不再贅述;NAT日志管理單元����,用于對網(wǎng)絡(luò)地址轉(zhuǎn)換NAT日志建立時間索引,并根據(jù)用戶的外網(wǎng)IP地址對NAT日志建立地址索引�,對于NAT日志的時間索引和地址索引的建立過程,前面方法中已作詳細說明���,此處不再贅述���;AAA日志管理單元,用于保存AAA日志;查詢單元��,用于根據(jù)用戶上網(wǎng)時間����、用戶的內(nèi)網(wǎng)IP地址,通過所述DHCP日志的時間索引從DHCP日志中查詢到相應(yīng)的MAC地址���;根據(jù)所述MAC地址和時間從AAA日志中查詢到的用戶信息�����,對用戶上網(wǎng)行為進行審計���。
所述查詢單元還用于根據(jù)用戶上網(wǎng)時間、用戶的外網(wǎng)IP地址和/或NAT端口�����,通過所述NAT日志的地址索引和時間索引查詢到相應(yīng)的NAT日志文件�����,并根據(jù)所述NAT日志文件查詢到與所述外網(wǎng)IP地址對應(yīng)的內(nèi)網(wǎng)IP地址�����。
日志分析處理單元,用于定期對得到的NAT日志和DHCP日志進行分析處理�����,過濾掉冗余和無效記錄�。
對于系統(tǒng)的各個單元的具體實現(xiàn)過程����,由于在方法中已有詳細說明,這里就不再贅述了���。
綜上所述����,本發(fā)明實施例提供一種用戶上網(wǎng)行為審計的方法及系統(tǒng)�,通過綜合利用NAT系統(tǒng)日志、DHCP服務(wù)器系統(tǒng)日志和AAA系統(tǒng)日志��,實現(xiàn)了用戶網(wǎng)絡(luò)接入審計功能�;網(wǎng)絡(luò)管理員可以使用本發(fā)明實施例所述方法方便、快捷的查詢出用戶網(wǎng)絡(luò)接入信息�,包括用戶詳細信息����,MAC地址����,用戶的內(nèi)網(wǎng)IP地址、用戶的外網(wǎng)IP地址�����、端口�����、目的IP地址����、目的端口等信息,從而實現(xiàn)用戶上網(wǎng)信息可審計性和可溯源性�����。
顯然�,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣�����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)���。
權(quán)利要求
1.一種實現(xiàn)用戶上網(wǎng)行為審計的方法��,其特征在于�,預(yù)先對動態(tài)主機配置協(xié)議DHCP日志建立時間索引�,當(dāng)查詢條件為用戶上網(wǎng)時間、用戶的內(nèi)網(wǎng)IP地址時�����,所述方法包括根據(jù)用戶上網(wǎng)時間����、用戶的內(nèi)網(wǎng)IP地址����,通過所述DHCP日志的時間索引從DHCP日志中查詢包含MAC地址的相應(yīng)目錄;根據(jù)所述MAC地址和時間從AAA日志中查詢到相應(yīng)的用戶信息�����,根據(jù)所述用戶信息對用戶上網(wǎng)行為進行審計。
2.如權(quán)利要求1所述的方法����,其特征在于,預(yù)先對網(wǎng)絡(luò)地址轉(zhuǎn)換NAT日志建立時間索引����,并根據(jù)用戶的外網(wǎng)IP地址對NAT日志建立地址索引,當(dāng)查詢條件為用戶上網(wǎng)時間�、用戶的外網(wǎng)IP地址和/或NAT端口時,所述方法還包括根據(jù)用戶上網(wǎng)時間�����、用戶的外網(wǎng)IP地址和/或NAT端口�,通過所述NAT日志的地址索引和時間索引查詢到相應(yīng)的NAT日志文件,并根據(jù)所述NAT日志文件查詢到與所述外網(wǎng)IP地址對應(yīng)的內(nèi)網(wǎng)IP地址���。
3.如權(quán)利要求1或2所述的方法�����,其特征在于���,所述方法還包括定期對得到的NAT日志和DHCP日志進行分析處理���,過濾掉冗余和無效記錄。
4.如權(quán)利要求1或2所述的方法�����,其特征在于�����,所述用戶信息包括下述信息中的一個或多個用戶組�、姓名、電話����、電子郵件地址、住址��。
5.一種實現(xiàn)用戶上網(wǎng)行為審計的系統(tǒng)�,其特征在于�����,包括DHCP日志單元�,用于保存收集到的DHCP日志����,并對DHCP日志建立時間索引���;AAA日志單元����,用于保存AAA日志�;查詢單元,用于根據(jù)用戶上網(wǎng)時間���、用戶的內(nèi)網(wǎng)IP地址���,通過所述DHCP日志的時間索引從DHCP日志中查詢到相應(yīng)的MAC地址;根據(jù)所述MAC地址和時間從AAA日志中查詢到的用戶信息����,對用戶上網(wǎng)行為進行審計。
6.如權(quán)利要求5所述的系統(tǒng)��,其特征在于���,所述系統(tǒng)還包括NAT日志單元��,用于保存收集到的NAT日志�,并對網(wǎng)絡(luò)地址轉(zhuǎn)換NAT日志建立時間索引和根據(jù)用戶的外網(wǎng)IP地址對NAT日志建立地址索引。
7.如權(quán)利要求6所述的系統(tǒng)��,其特征在于�����,所述查詢單元還用于根據(jù)用戶上網(wǎng)時間�、用戶的外網(wǎng)IP地址和/或NAT端口,通過所述NAT日志的地址索引和時間索引查詢到相應(yīng)的NAT日志文件���,并根據(jù)所述NAT日志文件查詢到與所述外網(wǎng)IP地址對應(yīng)的內(nèi)網(wǎng)IP地址�����。
8.如權(quán)利要求5到7中任意一項所述的系統(tǒng)�����,其特征在于,系統(tǒng)還包括日志分析整理單元�����,用于定期對得到的NAT日志和DHCP日志進行分析處理,過濾掉冗余和無效記錄�����。
全文摘要
本發(fā)明公開了一種實現(xiàn)用戶上網(wǎng)行為審計的方法及系統(tǒng)�����,預(yù)先對NAT日志建立時間和地址索引�����,對動態(tài)主機配置協(xié)議DHCP日志建立時間索引���,當(dāng)查詢條件為用戶上網(wǎng)時間���、用戶的外網(wǎng)IP地址和/或NAT端口時,所述方法包括根據(jù)用戶上網(wǎng)時間����、用戶的外網(wǎng)IP地址和/或NAT端口,通過所述NAT日志的時間和地址索引從日志中查詢包含內(nèi)網(wǎng)IP地址的相應(yīng)記錄�;通過所述DHCP日志的時間索引從DHCP日志中查詢包含MAC地址的相應(yīng)目錄��;根據(jù)所述MAC地址和時間從AAA日志中查詢到相應(yīng)的用戶信息�,根據(jù)所述用戶信息對用戶上網(wǎng)行為進行審計���。本發(fā)明通過通過綜合利用NAT系統(tǒng)日志�����、DHCP服務(wù)器系統(tǒng)日志和AAA系統(tǒng)日志�����,從而實現(xiàn)了用戶上網(wǎng)信息的可審計性和可溯源性��,從而提高了網(wǎng)絡(luò)可管理性和安全性�。
文檔編號H04L29/12GK101056211SQ20071012341
公開日2007年10月17日 申請日期2007年6月22日 優(yōu)先權(quán)日2007年6月22日
發(fā)明者田靜, 盧應(yīng)華 申請人:中興通訊股份有限公司