审计日志的生成方法及装置制造方法及图纸

本申请提供一种审计日志的生成方法及装置，所述方法应用于审计设备上，所述方法包括：接收NAT设备发送的业务报文；利用所述业务报文携带的公网地址查找私网地址转换表，获取对应的私网地址；利用获取到的私网地址查找用户信息表，获取对应的用户信息；利用获取到的用户信息生成审计日志。应用本申请实施例，通过查找私网地址转换表与用户信息表，可以获取到用户信息，利用获取到的用户信息生成审计日志，并使用审计日志记录用户的网络行为。

【技术实现步骤摘要】

本申请涉及网络通信
，尤其涉及一种审计日志的生成方法及装置。
技术介绍
目前，网络已经渗透到人们生活的方方面面。然而，由于网络的开放性、不确定性、虚拟性等特点，攻击者可能会利用网络从事违法活动，危害网络的安全。为了保证网络的安全性，实名审计得到了快速发展。所述实名审计是指：针对网络中的流量，综合运用数据包获取、协议分析、信息处理等技术，实现对流量的有效监管。实名审计能够记录用户的网络行为，以提供事后取证手段。为了实现实名审计过程，在网络中部署有审计设备，审计设备利用每个终端设备对应的IP(Internet Protocol，网际协议)地址来标识用户信息。基于此，审计设备在接收到业务报文时，可以从业务报文中获取到终端设备的IP地址，通过该IP地址查询到对应的用户信息，基于用户信息生成审计日志，并使用审计日志来记录用户的网络行为。但是为了保护终端设备的私有信息，通常会使用NAT(Network Address Translation，网络地址转换)设备将终端设备对应的私网地址转换为公网地址，而在现有技术中，审计设备是利用每个终端设备对应的私网地址来标识用户信息的，这样，当审计设备接收到NAT设备发送的业务报文时，由于NAT设备已经将业务报文携带的私网地址转换为公网地址，因此审计设备根据业务报文携带的公网地址，查找不到对应的私网地址，也就获取不到用户信息，无法生成审计日志，也就无法使用审计日志来记录用户的网络行为。
技术实现思路
有鉴于此，本申请提供一种审计日志的生成方法及装置，以解决现有技术无法生成审计日志，无法使用审计日志来记录用户的网络行为的问题。根据本申请实施例的第一方面，提供一种审计日志的生成方法，所述方法应用于审计设备上，所述方法包括：接收网络地址转换NAT设备发送的业务报文；利用所述业务报文携带的公网地址查找私网地址转换表，获取对应的私网地址；其中，所述私网地址转换表记录有私网地址和公网地址的对应关系；利用获取到的私网地址查找用户信息表，获取对应的用户信息；其中，所述用户信息表记录有私网地址和用户信息的对应关系；利用获取到的用户信息生成审计日志。根据本申请实施例的第二方面，提供一种审计日志的生成装置，所述装置应用于审计设备上，所述装置包括：接收单元，用于接收网络地址转换NAT设备发送的业务报文；第一获取单元，用于利用所述业务报文携带的公网地址查找私网地址转换表，获取对应的私网地址；其中，所述私网地址转换表记录有私网地址和公网地址的对应关系；第二获取单元，用于利用获取到的私网地址查找用户信息表，获取对应的用户信息；其中，所述用户信息表记录有私网地址和用户信息的对应关系；审计日志生成单元，用于利用获取到的用户信息生成审计日志。应用本申请实施例，当审计设备接收到NAT设备发送的业务报文时，利用业务报文携带的公网地址查找私网地址转换表，获取对应的私网地址，然后利用获取到的私网地址查找用户信息表，获取对应的用户信息，最后利用获取到的用户信息生成审计日志。基于上述技术方案，由于审计设备会维护私网地址和公网地址的对应关系，因此通过业务报文中携带的公网地址，可以查找到对应的私网地址；由于会维护私网地址和用户信息的对应关系，因此通过查找到
的私网地址，可以查找到对应的用户信息，并利用查找到的用户信息生成审计日志，并使用生成的审计日志记录用户的网络行为，这样就可以实现实名审计。附图说明图1为本申请根据一示例性实施例示出的一种审计日志的生成应用场景示意图；图2为本申请根据一示例性实施例示出的一种审计日志的生成方法实施例流程图；图3为本申请根据一示例性实施例示出的另一种审计日志的生成方法实施例流程图；图4为本申请根据一示例性实施例示出的一种审计设备的硬件结构图；图5为本申请根据一示例性实施例示出的一种审计日志的生成装置的实施例结构图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区
分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。参见图1所示，为本申请根据一示例性实施例示出的一种获得审计日志的应用场景示意图，包括终端设备、接入设备、认证服务器、NAT设备、审计设备以及日志服务器。其中，终端设备可以是PC(Personal Computer，个人计算机)、手机等。在终端设备未通过认证之前，由认证服务器完成对所述终端设备的认证。在终端设备认证成功之后，终端设备可以向接入设备发送业务报文，接入设备将所述业务报文转发至NAT设备，NAT设备对所述业务报文进行NAT转换，并将转换后的业务报文发送到审计设备，审计设备根据接收到的业务报文生成审计日志，并将生成的审计日志发送到日志服务器。基于日志服务器上记录的审计日志，管理员可以详细查看终端设备的网络行为。参见图2所示，为本申请根据一示例性实施例示出的一种审计日志的生成方法实施例流程图，该实施例应用于审计设备上，包括以下步骤：步骤201：接收NAT设备发送的业务报文。当终端设备需要访问网络时，会向接入设备发送业务报文，接入设备将接收到的业务报文转发至NAT设备。在一个可选的实现方式中，当NAT设备接收到业务报文时，利用所述业务报文携带的所述终端设备对应的私网地址(即业务报文的源IP地址)查找NAT表项，所述NAT表项记录有私网地址与公网地址的对应关系，所述私网地址对应唯一一个公网地址(IPv4地址)；若查找到对应的公网地址，则将业务报文携带的所述终端设备对应的私网地址转换成查找到公网地址，并将转换后的业务报文发送至审计设备；若未查找到所述私网地址对应的公网地址，则对所述业务报文携带的私网地址进行静态NAT转换，并将转换后的公网地址与私网地址的对应关系记录到所述NAT表项中。如表1所述，为一种示例性的NAT表项。私网地址公网地址IP1IP11IP2IP12IP3IP13表1在另一个可选的实现方式中，当NAT设备接收到业务报文时，利用所述业务报文携带的所述终端设备对应的私网地址和私网端口查找NAPT表项，所述NAPT表项记录有私网地址、私网端口与公网地址、公网端口的对应关系；若查找到对应的公网地址与公网端口，则将所述业务报文携带的私网地址和私网端口转换成查找到公网地址和公网端口，若未查找到，则对所述业务报文携带的私网地址和私网端口进本文档来自技高网...

【技术保护点】
一种审计日志的生成方法，其特征在于，所述方法应用于审计设备上，所述方法包括：接收网络地址转换NAT设备发送的业务报文；利用所述业务报文携带的公网地址查找私网地址转换表，获取对应的私网地址；其中，所述私网地址转换表记录有私网地址和公网地址的对应关系；利用获取到的私网地址查找用户信息表，获取对应的用户信息；其中，所述用户信息表记录有私网地址和用户信息的对应关系；利用获取到的用户信息生成审计日志。

【技术特征摘要】
1.一种审计日志的生成方法，其特征在于，所述方法应用于审计设备上，所述方法包括：接收网络地址转换NAT设备发送的业务报文；利用所述业务报文携带的公网地址查找私网地址转换表，获取对应的私网地址；其中，所述私网地址转换表记录有私网地址和公网地址的对应关系；利用获取到的私网地址查找用户信息表，获取对应的用户信息；其中，所述用户信息表记录有私网地址和用户信息的对应关系；利用获取到的用户信息生成审计日志。2.根据权利要求1所述的方法，其特征在于，获得用户信息表的过程，具体包括：接收接入设备通过镜像方式发送的认证报文，所述认证报文是终端设备通过所述接入设备发送给认证服务器的认证请求报文，或者认证服务器通过所述接入设备发送给终端设备的认证响应报文；获取所述认证报文携带的所述终端设备对应的私网地址与用户信息；将获取到的私网地址与用户信息的对应关系记录到所述用户信息表中。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：接收所述接入设备通过镜像方式发送的用户下线报文，所述用户下线报文是终端设备通过所述接入设备发送给认证服务器的用户下线请求报文，或者认证服务器通过所述接入设备发送给终端设备的用户下线响应报文；获取所述用户下线报文携带的所述终端设备对应的私网地址与用户信息；将获取到的私网地址与用户信息的对应关系从所述用户信息表中删除。4.根据权利要求1所述的方法，其特征在于，获得私网地址转换表的过程，具体包括：接收所述NAT设备通过套接字Socket方式发送的私网地址与公网地址的对应关系；其中，所述私网地址与公网地址的对应关系是当所述NAT设备接收到
\t业务报文时，将所述业务报文携带的私网地址转换为公网地址之后发送的；将所述私网地址与公网地址的对应关系记录到所述私网地址转换表中。5.根据权利要求1或4所述的方法，其特征在于，所述方法还包括：所述私网地址与公网地址的对应关系中还包括公网端口，所述利用所述业务报文携带的公网地址查找私网地址转换表，获取对应的私网地址，包括：从所述业务报文中获取公网地址和公网端口；利用获取到的公网地址和公网端口查找所述私网地址转换表，获取所述公网地址和所述公网端口对应的私网地址；或者，所述私网地址与公网地址的对应关系中还包括公网端口段，所述利用所述业务报文携带的公网地址查找私网地址转换表，获取对应的私网地址，包括：从所述业务报文中获取公网地址和公网端口；利用获取到的公网地址查找所述私网地址转换表，获取对应的所有公网端口段；针对获取到的每个公网端口段，判断获取到的公网端口是否位于该公网端口段；若是，则从所述私网地址转换表中获取所述公网地址和该公网端口段对应的私网地址。6.一种审计日志的生成装置，其特征在于，所述装置应用于审计设备上，所述装置包括：接收单元，用于接收...

【专利技术属性】
技术研发人员：仇俊杰，
申请(专利权)人：杭州迪普科技有限公司，
类型：发明
国别省市：浙江;33