在这里描述了用于将用户与IP地址租用事件相互关联的技术。在一个或多个实施例中,提供了一个审计系统来从DHCP服务器收集IP地址租用事件,以及从一个或多个验证数据源收集验证数据。该审计系统可以将收集到的数据保存在公共数据存储器中。所述公共数据存储器可被搜索,以便将IP地址租用事件与验证数据相互关联。通过这种方式,通过将来自DHCP服务器的历史IP地址租用信息与来自验证源的用户登录信息相互关联,可以确定用户在给定时段中使用计算机或设备的综合记录。这种处理可以通过在两个事件源之间使用事件时间戳以及IP地址和/或其他公共元素匹配事件来完成。
【技术实现步骤摘要】
用户与IP地址租用事件的关联
技术介绍
在某些网络取证(forensics)情景中,确定用户在特定历史时段中使用计算机/设备的痕迹(trail)可能会非常有用。在使用动态主机配置协议(DHCP)来动态分配网际协议(IP)地址的环境中,网络上设备的IP地址分配是临时的并有可能随时间改变。因此,IP地址未必唯一识别计算机或设备。此外,分配给计算机或设备的主机名也可以改变,由此不能依靠该主机名来唯一标识设备/计算机。因此,如果仅仅基于IP租用事件(lease event)的话,是很难或者不可能确定用户在特定历史时段中使用计算机或设备的综合记录或痕迹的,这其中包括计算机或设备的IP地址、主机名以及MAC (媒体访问控制)/DUID (DHCP唯一标识符)地址。
技术实现思路
本
技术实现思路
是为了以简化形式介绍精选概念而被提供的,并且在以下的具体实施 方式部分中将会进一步描述这些概念。本
技术实现思路
的目的既不是确定所要求保护主题的关键特征或必要特征,也不是用来帮助确定所要求保护的主题的范围。在这里描述了将用户与IP地址租用事件相互关联的技术。可以给DHCP服务器提供装备来保持或者在日志中记录包含了 IP地址、MAC地址/DnD以及主机名的历史IP地址租用事件。验证服务器或验证数据的其他来源可以在日志中记录用户验证事件,其中所述事件还识别从中接收到验证请求的IP地址。在一个或多个实施例中,审计(audit)系统被提供用来收集来自DHCP服务器的IP地址租用事件以及来自一个或多个验证服务的验证数据。该审计系统可以将收集到的数据保存在公共数据存储器中。所述公共数据存储器可被搜索,以便将IP地址租用事件与验证数据相互关联。通过这种方式,通过将来自DHCP服务器的历史IP地址租用信息与来自验证源的用户登录信息相互关联,可以确定用户在给定时段中使用的计算机或设备的综合记录。这种处理可以通过在两个事件源之间匹配使用事件时间戳以及IP地址和/或其他公共元素的事件来进行(通过使用公共的主机名/MAC地址等等)。附图说明以下的具体实施方式部分是参考附图来描述的。在附图中,参考数字最左侧的一个或多个数字标识的是该参考数字首次出现的图。在说明书和附图中,在不同实例中使用相同参考数字可以指示相似或相同的项目。图I是根据一个或多个实施例的例示操作环境的例图。图2是根据一个或多个实施例的用于将用户与IP地址事件相互关联的例示系统的例图。图3是根据一个或多个实施例的用于将用户与IP地址租用事件相互关联的例示过程的例图。图4是根据一个或多个实施例的用于将用户与IP地址租用事件相互关联的另一个例示过程的例图。图5是可以在一个或多个实施例中用来实现将用户与IP地址租用事件相互关联的技术的例示计算系统的例图。具体实施例方式综沭 如果仅仅基于IP租用事件的话,是很难或者不可能确定用户在特定历史时段中使用计算机或设备的综合记录或痕迹的,这其中包括IP地址、主机名以及MAC (媒体访问控制)地址。出现这种情况的原因在于设备的IP地址和主机名可以随时间动态改变,因而不能基于租用事件日志来将其可靠地映射到特定的用户设备。在这里描述了用于将用户与IP地址租用事件相互关联的技术。可以给DHCP服 务器提供装备以便保持或者在日志中记录包含IP地址、MAC地址/OTID以及主机名的历史IP地址租用事件。验证服务器或验证数据的其他来源可以在日志中记录用户验证事件,其中所述事件还识别与接收到的验证请求相对应的IP地址和/或其他公共元素。审计系统被提供用来收集来自DHCP服务器的IP地址租用事件以及来自一个或多个验证服务的验证数据。该审计系统可以提供能够用于关联收集到的数据的分析工具。这使得网络管理员能够在给定时间范围(time frame)中搜索事件,并且获取将用户/用户帐户映射到IP地址、MAC地址和/或主机名所识别的特定设备的结果。在以下的论述中,首先描述可以使用这里描述的技术的例示操作环境。接下来将会论述一个例示系统以便举例说明用于将用户与IP地址租用事件相互关联的技术的一些方面的细节。在这之后将会论述一个可以在所述例示环境/系统以及其他环境/系统中实现的例示过程。因此,所述过程并不仅限于在例示的环境/系统中执行,并且所述例示环境/系统并不仅限于执行所述例示技术。最后描述关于可以用于实现一个或多个实施例的例示计算系统和设备的细节。操作环境 图I是可通过操作来使用这里描述的技术的例示实施方式中的环境100的例图。所示出的环境100包括客户机设备102、一个或多个动态主机配置协议(DHCP)服务器104、一个或多个验证服务106以及经由网络110可通信地耦合的服务供应商108。客户机设备102、一个或多个DHCP服务器104、一个或多个验证服务106以及服务供应商108可以由一个或多个计算设备来实现,并且也可以代表一个或多个实体。计算设备可以用多种方式配置。例如,计算设备可以被配置成能在网络110上通信的计算机,例如台式计算机、移动站、娱乐电器、可通信地耦合至显示设备的机顶盒、无线电话、游戏控制台等等。由此,计算设备的范围可以从具有大量存储器和处理器资源的全资源设备(full resource device)(例如个人计算机、游戏控制台)到存储器和/或处理资源有限的低资源设备(low resource device)(例如传统的机顶盒、手持游戏控制台)。此夕卜,虽然在一些实例中显示的是单个计算设备,但是该计算设备可以代表多个不同的设备,例如用于执行诸如服务供应商108和/或验证服务106等等执行的操作的多个服务器。虽然网络110被图示成因特网,然而该网络可以采用多种配置。例如,网络110可以包括广域网(WAN)、局域网(LAN)、无线网络、公众电话网络、内部网等等。更进一步,虽然显示的是单个网络110,但是该网络110也可以被配置成包括多个网络。客户机设备102可以被配置成具有使得能够在网络110上进行各种通信的功能。例如,客户机设备102可以包括浏览器或其他适当应用,以便经由网络110获取和输出来自服务供应商108的网页和/或其他用户界面。服务供应商108可以管理可供客户机经由网络110访问的不同资源112。通常,由服务供应商108使得可以访问的资源112可以包括通常由一个或多个供应商使得经由网络可得到的服务和/或内容的任何适当组合。服务的一些示例包括但不局限于搜索服务、电子邮件服务、即时消息传递服务、在线生产力套件以及用于控制客户机对资源112的访问的验证服务。内容可以包括下列各项的不同组合文本、多媒体流、文档、应用文件、照片、音频/视频文件动画、图像、网页、web应用、设备应用、供浏览器或其他客户机应用显示的内容等等。为了在网络110中进行交互,客户机设备102可以被配置成获取和使用可用于识 别设备以及用于定位设备和路由通信的IP地址。DHCP服务器104代表实现DHCP技术来为客户机动态分配和管理IP地址的功能。虽然客户机可以手动配置,但是所述配置会很复杂,并且有可能需要网络管理员或其他专家。动态主机配置协议(DHCP)是一个自动配置协议,该协议可被用作使用IP地址来手动配置设备的方案的替换方案。IP地址可被租用一定 时段,在此之后,除非客户机在期限届满之前续订本文档来自技高网...
【技术保护点】
一种方法,包括:从多个来源收集(302)描述网际协议(IP)地址租用事件和验证事件的日志数据;将收集到的数据保存(304)在公共数据存储器中;至少部分基于相关联的IP地址来将IP租用事件与保存在公共数据存储器中的验证事件相互关联(306)。
【技术特征摘要】
2011.09.12 US 13/229,9761.一种方法,包括 从多个来源收集(302)描述网际协议(IP)地址租用事件和验证事件的日志数据; 将收集到的数据保存(304)在公共数据存储器中; 至少部分基于相关联的IP地址来将IP租用事件与保存在公共数据存储器中的验证事件相互关联(306)。2.权利要求I的方法,其中所述相互关联还包括基于搜索判据来对保存在公共数据存储器中的收集数据进行搜索,其中所述搜索判据包括选择的IP地址、MAC地址、主机名或用户名中的至少一个。3.权利要求2的方法,其中所述相互关联还包括在公共数据存储器中找出与所选择的搜索判据相匹配的记录的直接匹配。4.权利要求3的方法,其中所述相互关联还包括通过以下处理来从收集到的数据中找出相关的记录 从在搜索判据规定的时段中收集的租用事件推导得到租用组块; 基于一个或多个公共元素来将租用组块映射到数据存储器中的相关的记录,所述公共元素包括IP地址、MAC地址、主机名或用户名中的一个或多个。5.权利要求4的方法,还包括将直接匹配与通过搜索确定的相关的记录相结合,以便产生用于输出给用户的相互关联结果。6.权利要求2的方法,其中所述搜索包括搜索由搜索判据规定的特定IP地址,该搜索包括 从日志数据中找出直接匹配规定IP地址的租用事件和验证事件的记录; 通过检查租用事件来推导得到为所述搜索规定的时段中的租用组块;以及通过查询验证事件来发现用于租用组块的相关的记录,其中所述记录与包括IP地址、MAC地址、主机名或用户名的一个或多个公共元素相匹配。7.权利要求I的方法,其中...
【专利技术属性】
技术研发人员:VJ盖托德,K萨姆班达姆,NR范卡亚拉,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。