【技术实现步骤摘要】
用户与IP地址租用事件的关联
技术介绍
在某些网络取证(forensics)情景中,确定用户在特定历史时段中使用计算机/设备的痕迹(trail)可能会非常有用。在使用动态主机配置协议(DHCP)来动态分配网际协议(IP)地址的环境中,网络上设备的IP地址分配是临时的并有可能随时间改变。因此,IP地址未必唯一识别计算机或设备。此外,分配给计算机或设备的主机名也可以改变,由此不能依靠该主机名来唯一标识设备/计算机。因此,如果仅仅基于IP租用事件(lease event)的话,是很难或者不可能确定用户在特定历史时段中使用计算机或设备的综合记录或痕迹的,这其中包括计算机或设备的IP地址、主机名以及MAC (媒体访问控制)/DUID (DHCP唯一标识符)地址。
技术实现思路
本
技术实现思路
是为了以简化形式介绍精选概念而被提供的,并且在以下的具体实施 方式部分中将会进一步描述这些概念。本
技术实现思路
的目的既不是确定所要求保护主题的关键特征或必要特征,也不是用来帮助确定所要求保护的主题的范围。在这里描述了将用户与IP地址租用事件相互关联的技术。可以给DHCP服务器提供装备来保持或者在日...
【技术保护点】
一种方法,包括:从多个来源收集(302)描述网际协议(IP)地址租用事件和验证事件的日志数据;将收集到的数据保存(304)在公共数据存储器中;至少部分基于相关联的IP地址来将IP租用事件与保存在公共数据存储器中的验证事件相互关联(306)。
【技术特征摘要】
2011.09.12 US 13/229,9761.一种方法,包括 从多个来源收集(302)描述网际协议(IP)地址租用事件和验证事件的日志数据; 将收集到的数据保存(304)在公共数据存储器中; 至少部分基于相关联的IP地址来将IP租用事件与保存在公共数据存储器中的验证事件相互关联(306)。2.权利要求I的方法,其中所述相互关联还包括基于搜索判据来对保存在公共数据存储器中的收集数据进行搜索,其中所述搜索判据包括选择的IP地址、MAC地址、主机名或用户名中的至少一个。3.权利要求2的方法,其中所述相互关联还包括在公共数据存储器中找出与所选择的搜索判据相匹配的记录的直接匹配。4.权利要求3的方法,其中所述相互关联还包括通过以下处理来从收集到的数据中找出相关的记录 从在搜索判据规定的时段中收集的租用事件推导得到租用组块; 基于一个或多个公共元素来将租用组块映射到数据存储器中的相关的记录,所述公共元素包括IP地址、MAC地址、主机名或用户名中的一个或多个。5.权利要求4的方法,还包括将直接匹配与通过搜索确定的相关的记录相结合,以便产生用于输出给用户的相互关联结果。6.权利要求2的方法,其中所述搜索包括搜索由搜索判据规定的特定IP地址,该搜索包括 从日志数据中找出直接匹配规定IP地址的租用事件和验证事件的记录; 通过检查租用事件来推导得到为所述搜索规定的时段中的租用组块;以及通过查询验证事件来发现用于租用组块的相关的记录,其中所述记录与包括IP地址、MAC地址、主机名或用户名的一个或多个公共元素相匹配。7.权利要求I的方法,其中...
【专利技术属性】
技术研发人员:VJ盖托德,K萨姆班达姆,NR范卡亚拉,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。