本发明专利技术涉及计算机应用安全管理技术领域,旨在提供一种在IPv6混合网络中进行审计日志资产识别的方法。该方法包括:基于外部的IPv6-IPv4双栈协议栈接收日志报文;从;日志报文中获取日志源地址,并解析出来源地址和目标地址;对日志源地址、来源地址、目标地址进行归一化处理,还原在各种隧道传输过程中发生的变化;从归一化后的日志源地址、来源地址和目标地址识别出相应日志的日志源资产、来源资产和目标资产。本发明专利技术可以支持在IPv6、IPv4混合网络环境中进行日志审计,同时支持IPv6地址、IPv4地址的资产识别。支持精确的地址识别。可以在各种双栈隧道方案中,支持地址归一化处理,从而确保资产的各种地址格式信息,都能关联到同一个资产。
【技术实现步骤摘要】
本专利技术涉及计算机应用安全管理
,特别涉及。
技术介绍
日志审计系统通过收集组织内网络环境中各种设备的日志,达到对组织内全部IT资产的审计,以便发现各种安全威胁,进行内部控制,以及合规分析。随着IPv4网络地址的不断分配,全球的IPv4地址空间已经几乎耗尽,整个互联网开始了漫长的从IPv4向IPv6的缓慢迁移过程。根据有关研究,为了保护已有的IT投资,迁移过程可能会持续很多年。 这也就意味着在各种企业网络、运营网络中,会长期存在IPv6、IPv4混合部署的状况。IPv6、IPv4混合部署的状况包括但不限于以下形式IPv6孤岛隧道化接入IPv4网络中、IPv6孤岛经过IPv4网络隧道进行互连、IPv4主机通过隧道接入IPv6网络、各种6to4网关部署方案等。但是现有的日志审计系统没有针对这种IPv6、IPv4混合网络环境进行设计,尤其是在这种混合网络环境中,如何对审计日志进行资产识别。在这种IPv6混合网络环境中,对于审计系统来说,需要接收各种IPv4设备、IPv6设备或双栈设备的审计日志。一方面,这些审计日志本身可能是以IPv6方式发送的,也可能是以IPv4方式发送的。另一方面,审计日志内容中可能存在的地址信息,也决定于通信的协议版本、拓扑路径,而且存在不同的表述格式。所以对于审计系统来说,地址信息是非常多样化的。在非混合网络环境中,审计日志资产识别一般都是直接通过地址信息匹配进行的。这种方法在混合网络环境中,会有很多问题,如一个双栈主机可能会被识别成两个不同的资产、一个设备在跨越双栈边界后无法进行资产识别等。这些资产识别的问题,会严重影响到审计系统后续对审计日志的各种分析、统计、关联等进一步处理,严重降低审计的效果,甚至影响到对各种攻击、恶意行为的追溯。
技术实现思路
本专利技术要解决的技术问题是,克服现有技术中的不足,提供。为解决该技术问题,本专利技术的解决方案是提供,包括如下步骤A、接收到所有日志源设备的各种格式的日志报文,该接收动作基于一个外部的IPv6-IPv4双栈协议栈;B、从接收到的日志报文中获取日志源地址,并从日志内容中解析出来源地址和目标地址;所述来源地址或目标地址是IPv4地址或IPv6地址;C、对日志源地址、来源地址、目标地址进行归一化处理,还原日志源地址、来源地址和目标地址在各种隧道传输过程中发生的变化;D、进行日志识别处理,从归一化后的日志源地址、来源地址和目标地址识别出相应日志的日志源资产、来源资产和目标资产。本专利技术中,所述日志报文使用的协议是Syslog、SNMP、OPSEC或NetFlow任意一种协议。 本专利技术中步骤B中,基于所述IPv6_IPv4双栈协议栈,当收到IPv4日志报文时其来源地址为IPv4地址,当收到IPv6日志报文时其来源地址为IPv6地址。本专利技术中,所述日志报文的格式是文本格式、16进制格式、2进制格式或缩写格式中的任意一种。本专利技术中步骤D中,所述的识别基于一个外部的资产地址库;资产地址库中包含资产的地址信息,该地址信息包括资产的IPv4地址、IPv6地址或其他与资产识别相关的任何信息。相对于现有技术,本专利技术的有益效果在于I、可以支持在IPv6、IPv4混合网络环境中进行日志审计,同时支持IPv6地址、IPv4地址的资产识别。2、可以支持精确的地址识别。可以在各种双栈隧道方案中,支持地址归一化处理,从而确保资产的各种地址格式信息,都能关联到同一个资产。附图说明图I为在IPv6、IPv4混合网络环境中对审计日志进行资产识别的总体流程框图;图2为在IPv6、IPv4混合网络环境中对审计日志进行资产识别的运行框图。具体实施例方式首先需要说明的是,本专利技术涉及计算机技术,是计算机技术在信息安全
的一种应用。在本专利技术的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本专利技术的实现原理和专利技术目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本专利技术。前述软件功能模块包括但不限于IPv6-IPv4双栈协议栈、日志报文源地址获取模块、地址解析模块、地址归一化模块、资产识别模块、资产地址库模块、资产自动发现模块等,凡本专利技术申请文件提及的均属此范畴,申请人不再一一列举。关于IPv6_IPv4双栈协议栈为了同时支持IPv6、IPv4两种协议,节点同时运行IPv6协议栈、IPv4协议栈两套协议栈,系统会根据收到的数据报文IP头部版本信息,判定使用哪个协议栈进行处理,最终把报文送到上层应用程序处理,并且提供相应的报文地址信息(IPv6地址或IPv4地址)。对于审计系统来说,必须采用双栈协议栈才能既支持接收IPv6设备发送的审计日志,也支持接收IPv4设备发送的审计日志。应用层面的地址信息多样性问题的处理,和双栈协议栈没有直接关系,但是与各种跨双栈隧道技术有紧密的关系。引用RFC 3513: Internet Protocol Version 6 (IPv6) Addressing ArchitectureRFC 4291: IP Version 6 Addressing ArchitectureRFC 3542: Advanced Sockets Application Program Interface (API) for IPv6本专利技术中的基本原理是,接收到IPv4和IPv6混合网络环境中的日志报文后,通过日志报文源地址获取模块,获取到日志源地址;从日志报文的负载中获取到日志,对日志内容进行地址解析,获取到来源地址、目标地址;对日志源地址、来源地址、目标地址进行地址归一化处理,然后进行资产识别处理,从而识别出日志的日志源资产、来源资产、目标资产信息。下面结合具体实例对本专利技术进行详细描述。 图I中描述了在IPv6、IPv4混合网络环境中对审计日志进行资产识别的过程,具体的过程如下201接收日志接收到日志报文102。202获取日志源地址根据日志报文102中的报文IPv4或IPv6头部信息,通过日志报文源地址获取模块103获取到日志源地址104。203解析来源地址、目标地址根据日志105的内容,通过地址解析模块106,解析出来源地址107、目标地址108。204地址归一化处理对日志源地址104、来源地址107、目标地址108进行地址归一化处理。205资产识别根据归一化后的地址信息去检索资产地址库111,识别到日志的日志源资产114、来源资产112、目标资产113。206资产相关后续处理读资产识别后的日志进行后续的相关处理,如资产脆弱性关联分析、资产重要程度分析、资产威胁影响分析等。图2描述了本专利技术中的地址处理、资产识别的一个具体例子,以及相关的其他实体部分、交互的信息。首先从各种应用安全设备101,如应用安全扫描器、数据库审计系统、入侵检测系统(IDS)等,接收到日志报文102。这些日志报文协议可能是Syslog、SNMP、0PSEC、NetFlow等,也可能是其他日志协议。这些日志报文102经过日志报文源地址获取模块103的处理,从报文头部信息获取到日志源地址104。日志源地址104可能是IPv4地址,也可能是IPv6地址。通过提取日志报文102的负载信息,得到日志105,经过地址解析模块106本文档来自技高网...
【技术保护点】
【技术特征摘要】
2012.04.05 CN 201210098303.21.一种在IPv6混合网络中进行审计日志资产识别的方法,其特征在于,包括如下步骤 A、接收到所有日志源设备的各种格式的日志报文,该接收动作基于一个外部的IPv6-IPv4双栈协议栈; B、从接收到的日志报文中获取日志源地址,并从日志内容中解析出来源地址和目标地址;所述来源地址或目标地址是IPv4地址或IPv6地址; C、对日志源地址、来源地址、目标地址进行归一化处理,还原日志源地址、来源地址和目标地址在各种隧道传输过程中发生的变化; D、进行日志识别处理,从归一化后的日志源地址、来源地址和目标地址识别出相应日志的日志源资产、来源资产和...
【专利技术属性】
技术研发人员:范渊,杨永清,谈修竹,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。