一種實現用戶上網行為審計的方法及系統的製作方法
2023-06-23 13:03:11
專利名稱:一種實現用戶上網行為審計的方法及系統的製作方法
技術領域:
本發明涉及網絡的管理和安全技術領域,尤其涉及用戶上網行為審計技術。
背景技術:
如何感知用戶的網絡行為,實現對用戶上網行為的審計,並根據審計結果對用戶上網行為進行控制,一直是網絡管理者關注的問題。簡單地說,用戶上網行為的審計技術是一種對用戶上網行為進行記錄和分析的方法,包括用戶上網數據的採集和用戶上網數據的分析等內容。在用戶行為審計技術提供的各種分析數據基礎上,網絡管理者可以根據網絡使用狀況,對網絡安全、用戶行為進行有效的監控和管理,同時為網絡犯罪提供有力的證據。
目前,在有限的技術條件和管理條件下,比如通過防火牆、網關等,並不能對網絡安全及用戶行為進行良好的監控和管理,也不能完全實現用戶上網信息的可審計性和可溯源性。
發明內容
本發明提供一種用戶上網行為審計的方法及系統,通過綜合利用NAT系統日誌、DHCP伺服器系統日誌和AAA系統日誌,從而實現了用戶上網信息的可審計性和可溯源性,從而提高了網絡可管理性和安全性。
本發明提供了一種實現用戶上網行為審計的方法,預先對動態主機配置協議DHCP日誌建立時間索引,當查詢條件為用戶上網時間、用戶的內網IP位址時,所述方法包括根據用戶上網時間、用戶的內網IP位址,通過所述DHCP日誌的時間索引從DHCP日誌中查詢包含MAC地址的相應目錄;根據所述MAC地址和時間從AAA日誌中查詢到相應的用戶信息,根據所述用戶信息對用戶上網行為進行審計。所述用戶信息包括下述信息中的一個或多個用戶組、姓名、電話、電子郵件地址、住址。
本發明所述方法,還可以預先對網絡地址轉換NAT日誌建立時間索引,並根據用戶的外網IP位址對NAT日誌建立地址索引,當查詢條件為用戶上網時間、用戶的外網IP位址和/或NAT埠時,所述方法還包括根據用戶上網時間、用戶的外網IP位址和/或NAT埠,通過所述NAT日誌的地址索引和時間索引查詢到相應的NAT日誌文件,並根據所述NAT日誌文件查詢到與所述外網IP位址對應的內網IP位址。
本發明所述方法還包括定期對得到的NAT日誌和DHCP日誌進行分析處理,過濾掉冗餘和無效記錄。
本發明還提供了一種實現用戶上網行為審計的系統,包括DHCP日誌單元,用於保存收集到的DHCP日誌,並對DHCP日誌建立時間索引;AAA日誌單元,用於保存AAA日誌;NAT日誌單元,用於保存收集到的NAT日誌,並對網絡地址轉換NAT日誌建立時間索引和根據用戶的外網IP位址對NAT日誌建立地址索引。
查詢單元,用於根據用戶上網時間、用戶的內網IP位址,通過所述DHCP日誌的時間索引從DHCP日誌中查詢到相應的MAC地址;根據所述MAC地址和時間從AAA日誌中查詢到的用戶信息,對用戶上網行為進行審計;所述查詢單元還用於根據用戶上網時間、用戶的外網IP位址和/或NAT埠,通過所述NAT日誌的地址索引和時間索引查詢到相應的NAT日誌文件,並根據所述NAT日誌文件查詢到與所述外網IP位址對應的內網IP位址。
所述系統還可以包括
日誌分析整理單元,用於定期對得到的NAT日誌和DHCP日誌進行分析處理,過濾掉冗餘和無效記錄。
綜上所述,本發明提供一種用戶上網行為審計的方法及系統,通過綜合利用NAT系統日誌、DHCP伺服器系統日誌和AAA系統日誌,從而實現了用戶上網信息的可審計性和可溯源性,從而提高了網絡可管理性和安全性。
圖1為本發明實施例中進行NAT日誌整理的流程示意圖;圖2為本發明實施例中按照NAT設備名稱和時間建立索引後NAT日誌的文件結構示意圖;圖3為本發明實施例中進行DHCP日誌獲取和整理的流程示意圖;圖4為本發明實施例所述方法的流程示意圖;圖5為本發明實施例所述系統的結構示意圖。
具體實施例方式
下面結合附圖對本發明實施例所述的實現用戶上網行為審計的方法進行詳細說明。
在執行本發明實施例所述方法之前,需要對日誌進行整理配置,具體包括首先需要配置一些參數,這些參數包括NAT日誌的FTP目錄、歸檔目錄、NAT日誌格式描述,NAT日誌保留時間,執行NAT日誌預處理的間隔,需要執行的NAT統計。DHCP日誌目錄,DHCP數據存放目錄,服務輪詢間隔等,然後進行NAT日誌和DHCP日誌的整理工作。
定期採集DHCP伺服器系統日誌(DHCP日誌),在本發明實施例的具體實施過程中,可以通過動態配置DHCP日誌獲取方式,使用FTP或者網絡文件共享等方式獲取DHCP日誌;NAT設備日誌(NAT日誌)定期上傳到主機,然後對所述DHCP日誌和NAT日誌進行分析處理,將IP位址分配、IP位址更新等有效信息保留,將其他無用冗餘信息刪除。
然後分別對DHCP日誌和NAT日誌按照日期時間進行整理,建立時間索引,同時根據用戶的外網IP位址對多個NAT設備的日誌建立一個地址索引,具體建立過程,如圖1和圖2所示,下面分別詳細描述。
圖1所示為NAT日誌文件的整理流程示意圖,其具體處理過程如下定期掃描源目錄中的NAT日誌文件,建立日誌文件索引信息(按照時間和用戶的外網IP位址),對於多個NAT設備的請況下,每個NAT對應的外網IP位址由用戶來配置並生成相應NAT日誌目錄,同時根據時間來建立各NAT目錄下日誌文件的歸檔目錄,具體的說包括以下步驟步驟11、逐個掃描FTP目錄中的NAT日誌,從NAT日誌中提取NAT設備的名稱;步驟12、判斷所述NAT設備的名稱是否存在於NAT的二級目錄中(所述NAT設備的名稱與用戶的外網IP位址具有對應的關係),如果是,則從所述NAT日誌中提取時間信息,執行步驟13,否則,建立該NAT設備的二級目錄,並且從所述NAT日誌中提取時間信息,建立該年月的三級目錄和該年月日的四級目錄,然後執行步驟15;步驟13、當從所述NAT日誌中提取了時間信息後,判斷所述時間信息是否存在於該年月的三級目錄中,如果是,則執行步驟14,否則,依次建立該年月的三級目錄和四級目錄,然後執行步驟15;步驟14、判斷所述時間信息是否存在於該年月日的四級目錄中,如果是,執行步驟15;
步驟15、從FTP目錄剪切該文件移動於相應目錄中;步驟16、刪除過期的NAT日誌文件和/或目錄。
如圖2所示,圖2為本發明實施例中按照NAT的設備名稱和時間建立索引後NAT日誌的文件結構示意圖,其中,一級目錄為歸檔目錄,二級目錄為各NAT設備的名稱目錄,三級目錄名稱使用日誌的年月,四級目錄名稱使用日誌的年月日。
圖3所示為DHCP日誌文件的整理流程示意圖,其具體處理過程如下根據用戶設置的DHCP獲取方式,從DHCP伺服器日誌目錄中定期採集DHCP日誌文件。將採集到的日誌文件進行分析處理,將IP位址分配、IP位址更新等有效信息保留,其他無用冗餘信息刪除。DHCP日誌數據文件按照日期組織,文件內數據按照時間排序,以便定位查詢。同時刪除相應目錄中過期的日誌文件。
本發明實施例所述實現用戶上網行為審計的方法的具體處理過程如圖4所示,具體包括以下步驟步驟401、輸入查詢條件,在本發明實施例的具體實施過程中,所述查詢條件可以為時間、外網IP位址和/或NAT埠的組合,也可以為時間、內網IP位址的組合,還可以為時間、目的IP位址和/或目的埠的組合;步驟402、分析所述查詢條件,如果所述查詢條件為時間、外網IP位址和/或NAT埠的組合,或者,如果所述查詢條件為時間、目的IP位址和/或目的埠的組合,則執行步驟403,如果所述查詢條件為時間、內網IP位址,則執行步驟407;步驟403、通過NAT的地址索引,找到相應的NAT設備日誌目錄,即二級目錄;步驟404、根據設備目錄逐層搜索NAT日誌文件;步驟405、通過時間索引精確定位到對應的至少一個NAT日誌文件;步驟406、在所述NAT日誌文件中搜索符合查詢條件的內網IP位址,在定位日誌文件和日誌記錄時,由於考慮到NAT埠映射有一定的生存期,查詢輸入的時間與埠映射的建立時間有一定時間差。因此根據用戶輸入的時間範圍需要加入一定的誤差時間值,系統默認誤差值為了30s,也可以在查詢時候用戶手動設置;步驟407、根據在所述NAT日誌文件中搜索到的內網IP位址和時間索引搜索到相關的DHCP日誌,在所述DHCP日誌中搜索到符合條件的記錄,包括MAC地址,機器名等信息;該記錄時間要小於對應NAT記錄的時間或者用戶輸入的截止時間,並且在該時間之前沒有租賃過期或者釋放租賃;如果搜索到相應的記錄,則執行步驟408,如果搜索不到相應的記錄,說明內網IP位址是靜態配置的,則執行步驟409;步驟408、根據從DHCP中搜索到的MAC地址和時間,查找AAA日誌中的用戶上網記錄用戶表,獲取用戶信息,即,從AAA日誌中查找相應的用戶帳號和用戶該時段的上網記錄等信息,根據用戶帳號,查找到該用戶的詳細信息,包括用戶組、姓名、電話、E-mail、住址等內容;步驟409、根據內網IP位址和時間,查找AAA日誌中的用上網記錄用戶表,獲取用戶信息。
在這些一系列處理後,精確定位用戶,實現用戶上網信息的追蹤,從而實現用戶上網信息可審計、可溯源性,且無需對硬體設備的特殊要求。
下面結合附圖5對本發明實施例所述系統進行詳細說明。
如圖5所示,本發明實施例所述系統具體包括DHCP日誌管理單元,用於對動態主機配置協議DHCP日誌建立時間索引,對於DHCP日誌的時間索引的建立過程,前面方法中已作詳細說明,此處不再贅述;NAT日誌管理單元,用於對網絡地址轉換NAT日誌建立時間索引,並根據用戶的外網IP位址對NAT日誌建立地址索引,對於NAT日誌的時間索引和地址索引的建立過程,前面方法中已作詳細說明,此處不再贅述;AAA日誌管理單元,用於保存AAA日誌;查詢單元,用於根據用戶上網時間、用戶的內網IP位址,通過所述DHCP日誌的時間索引從DHCP日誌中查詢到相應的MAC地址;根據所述MAC地址和時間從AAA日誌中查詢到的用戶信息,對用戶上網行為進行審計。
所述查詢單元還用於根據用戶上網時間、用戶的外網IP位址和/或NAT埠,通過所述NAT日誌的地址索引和時間索引查詢到相應的NAT日誌文件,並根據所述NAT日誌文件查詢到與所述外網IP位址對應的內網IP位址。
日誌分析處理單元,用於定期對得到的NAT日誌和DHCP日誌進行分析處理,過濾掉冗餘和無效記錄。
對於系統的各個單元的具體實現過程,由於在方法中已有詳細說明,這裡就不再贅述了。
綜上所述,本發明實施例提供一種用戶上網行為審計的方法及系統,通過綜合利用NAT系統日誌、DHCP伺服器系統日誌和AAA系統日誌,實現了用戶網絡接入審計功能;網絡管理員可以使用本發明實施例所述方法方便、快捷的查詢出用戶網絡接入信息,包括用戶詳細信息,MAC地址,用戶的內網IP位址、用戶的外網IP位址、埠、目的IP位址、目的埠等信息,從而實現用戶上網信息可審計性和可溯源性。
顯然,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣,倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內,則本發明也意圖包含這些改動和變型在內。
權利要求
1.一種實現用戶上網行為審計的方法,其特徵在於,預先對動態主機配置協議DHCP日誌建立時間索引,當查詢條件為用戶上網時間、用戶的內網IP位址時,所述方法包括根據用戶上網時間、用戶的內網IP位址,通過所述DHCP日誌的時間索引從DHCP日誌中查詢包含MAC地址的相應目錄;根據所述MAC地址和時間從AAA日誌中查詢到相應的用戶信息,根據所述用戶信息對用戶上網行為進行審計。
2.如權利要求1所述的方法,其特徵在於,預先對網絡地址轉換NAT日誌建立時間索引,並根據用戶的外網IP位址對NAT日誌建立地址索引,當查詢條件為用戶上網時間、用戶的外網IP位址和/或NAT埠時,所述方法還包括根據用戶上網時間、用戶的外網IP位址和/或NAT埠,通過所述NAT日誌的地址索引和時間索引查詢到相應的NAT日誌文件,並根據所述NAT日誌文件查詢到與所述外網IP位址對應的內網IP位址。
3.如權利要求1或2所述的方法,其特徵在於,所述方法還包括定期對得到的NAT日誌和DHCP日誌進行分析處理,過濾掉冗餘和無效記錄。
4.如權利要求1或2所述的方法,其特徵在於,所述用戶信息包括下述信息中的一個或多個用戶組、姓名、電話、電子郵件地址、住址。
5.一種實現用戶上網行為審計的系統,其特徵在於,包括DHCP日誌單元,用於保存收集到的DHCP日誌,並對DHCP日誌建立時間索引;AAA日誌單元,用於保存AAA日誌;查詢單元,用於根據用戶上網時間、用戶的內網IP位址,通過所述DHCP日誌的時間索引從DHCP日誌中查詢到相應的MAC地址;根據所述MAC地址和時間從AAA日誌中查詢到的用戶信息,對用戶上網行為進行審計。
6.如權利要求5所述的系統,其特徵在於,所述系統還包括NAT日誌單元,用於保存收集到的NAT日誌,並對網絡地址轉換NAT日誌建立時間索引和根據用戶的外網IP位址對NAT日誌建立地址索引。
7.如權利要求6所述的系統,其特徵在於,所述查詢單元還用於根據用戶上網時間、用戶的外網IP位址和/或NAT埠,通過所述NAT日誌的地址索引和時間索引查詢到相應的NAT日誌文件,並根據所述NAT日誌文件查詢到與所述外網IP位址對應的內網IP位址。
8.如權利要求5到7中任意一項所述的系統,其特徵在於,系統還包括日誌分析整理單元,用於定期對得到的NAT日誌和DHCP日誌進行分析處理,過濾掉冗餘和無效記錄。
全文摘要
本發明公開了一種實現用戶上網行為審計的方法及系統,預先對NAT日誌建立時間和地址索引,對動態主機配置協議DHCP日誌建立時間索引,當查詢條件為用戶上網時間、用戶的外網IP位址和/或NAT埠時,所述方法包括根據用戶上網時間、用戶的外網IP位址和/或NAT埠,通過所述NAT日誌的時間和地址索引從日誌中查詢包含內網IP位址的相應記錄;通過所述DHCP日誌的時間索引從DHCP日誌中查詢包含MAC地址的相應目錄;根據所述MAC地址和時間從AAA日誌中查詢到相應的用戶信息,根據所述用戶信息對用戶上網行為進行審計。本發明通過通過綜合利用NAT系統日誌、DHCP伺服器系統日誌和AAA系統日誌,從而實現了用戶上網信息的可審計性和可溯源性,從而提高了網絡可管理性和安全性。
文檔編號H04L29/12GK101056211SQ20071012341
公開日2007年10月17日 申請日期2007年6月22日 優先權日2007年6月22日
發明者田靜, 盧應華 申請人:中興通訊股份有限公司