CN100555954C - 一种实现用户上网行为审计的方法及系统 - Google Patents
一种实现用户上网行为审计的方法及系统 Download PDFInfo
- Publication number
- CN100555954C CN100555954C CNB2007101234162A CN200710123416A CN100555954C CN 100555954 C CN100555954 C CN 100555954C CN B2007101234162 A CNB2007101234162 A CN B2007101234162A CN 200710123416 A CN200710123416 A CN 200710123416A CN 100555954 C CN100555954 C CN 100555954C
- Authority
- CN
- China
- Prior art keywords
- user
- daily record
- address
- nat
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现用户上网行为审计的方法及系统,预先对NAT日志建立时间和地址索引,对动态主机配置协议DHCP日志建立时间索引,当查询条件为用户上网时间、用户的外网IP地址和NAT端口时,所述方法包括:根据用户上网时间、用户的外网IP地址和NAT端口,通过所述NAT日志的时间和地址索引从日志中查询包含内网IP地址的相应记录;通过所述DHCP日志的时间索引从DHCP日志中查询包含MAC地址的相应目录;根据所述MAC地址和时间从AAA日志中查询到相应的用户信息,根据所述用户信息对用户上网行为进行审计。本发明通过通过综合利用NAT系统日志、DHCP服务器系统日志和AAA系统日志,从而实现了用户上网信息的可审计性和可溯源性,从而提高了网络可管理性和安全性。
Description
技术领域
本发明涉及网络的管理和安全技术领域,尤其涉及用户上网行为审计技术。
背景技术
如何感知用户的网络行为,实现对用户上网行为的审计,并根据审计结果对用户上网行为进行控制,一直是网络管理者关注的问题。简单地说,用户上网行为的审计技术是一种对用户上网行为进行记录和分析的方法,包括用户上网数据的采集和用户上网数据的分析等内容。在用户行为审计技术提供的各种分析数据基础上,网络管理者可以根据网络使用状况,对网络安全、用户行为进行有效的监控和管理,同时为网络犯罪提供有力的证据。
目前,在有限的技术条件和管理条件下,比如通过防火墙、网关等,并不能对网络安全及用户行为进行良好的监控和管理,也不能完全实现用户上网信息的可审计性和可溯源性。
发明内容
本发明提供一种用户上网行为审计的方法及系统,通过综合利用NAT系统日志、DHCP服务器系统日志和认证授权和计费系统日志,从而实现了用户上网信息的可审计性和可溯源性,从而提高了网络可管理性和安全性。
本发明提供了一种实现用户上网行为审计的方法,预先对动态主机配置协议DHCP日志建立时间索引,当查询条件为用户上网时间、用户的内网IP地址时,所述方法包括:
根据用户上网时间、用户的内网IP地址,通过所述DHCP日志的时间索引从DHCP日志中查询包含MAC地址的相应目录;
根据所述MAC地址和时间从认证授权和计费日志中查询到相应的用户信息,根据所述用户信息对用户上网行为进行审计。所述用户信息包括下述信息中的一个或多个:用户组、姓名、电话、电子邮件地址、住址。
本发明所述方法,还可以预先对网络地址转换NAT日志建立时间索引,并根据用户的外网IP地址对NAT日志建立地址索引,当查询条件为用户上网时间、用户的外网IP地址和NAT端口时,所述方法还包括:
根据用户上网时间、用户的外网IP地址和NAT端口,通过所述NAT日志的地址索引和时间索引查询到相应的NAT日志文件,并根据所述NAT日志文件查询到与所述外网IP地址对应的内网IP地址。
本发明所述方法还包括:
定期对得到的NAT日志和DHCP日志进行分析处理,过滤掉冗余和无效记录。
本发明还提供了一种实现用户上网行为审计的系统,包括:
DHCP日志单元,用于保存收集到的DHCP日志,并对DHCP日志建立时间索引;
认证授权和计费日志单元,用于保存认证授权和计费日志;
NAT日志单元,用于保存收集到的NAT日志,并对网络地址转换NAT日志建立时间索引和根据用户的外网IP地址对NAT日志建立地址索引。
查询单元,用于根据用户上网时间、用户的内网IP地址,通过所述DHCP日志的时间索引从DHCP日志中查询到相应的MAC地址;根据所述MAC地址和时间从认证授权和计费日志中查询到的用户信息,对用户上网行为进行审计;所述查询单元还用于根据用户上网时间、用户的外网IP地址和NAT端口,通过所述NAT日志的地址索引和时间索引查询到相应的NAT日志文件,并根据所述NAT日志文件查询到与所述外网IP地址对应的内网IP地址。
所述系统还可以包括:
日志分析整理单元,用于定期对得到的NAT日志和DHCP日志进行分析处理,过滤掉冗余和无效记录。
综上所述,本发明提供一种用户上网行为审计的方法及系统,通过综合利用NAT系统日志、DHCP服务器系统日志和认证授权和计费系统日志,从而实现了用户上网信息的可审计性和可溯源性,从而提高了网络可管理性和安全性。
附图说明
图1为本发明实施例中进行NAT日志整理的流程示意图;
图2为本发明实施例中按照NAT设备名称和时间建立索引后NAT日志的文件结构示意图;
图3为本发明实施例中进行DHCP日志获取和整理的流程示意图;
图4为本发明实施例所述方法的流程示意图;
图5为本发明实施例所述系统的结构示意图。
具体实施方式
下面结合附图对本发明实施例所述的实现用户上网行为审计的方法进行详细说明。
在执行本发明实施例所述方法之前,需要对日志进行整理配置,具体包括:
首先需要配置一些参数,这些参数包括:NAT日志的FTP目录、归档目录、NAT日志格式描述,NAT日志保留时间,执行NAT日志预处理的间隔,需要执行的NAT统计。DHCP日志目录,DHCP数据存放目录,服务轮询间隔等,然后进行NAT日志和DHCP日志的整理工作。
定期采集DHCP服务器系统日志(DHCP日志),在本发明实施例的具体实施过程中,可以通过动态配置DHCP日志获取方式,使用FTP或者网络文件共享等方式获取DHCP日志;NAT设备日志(NAT日志)定期上传到主机,然后对所述DHCP日志和NAT日志进行分析处理,将IP地址分配、IP地址更新等有效信息保留,将其他无用冗余信息删除。
然后分别对DHCP日志和NAT日志按照日期时间进行整理,建立时间索引,同时根据用户的外网IP地址对多个NAT设备的日志建立一个地址索引,具体建立过程,如图1和图2所示,下面分别详细描述。
图1所示为NAT日志文件的整理流程示意图,其具体处理过程如下:
定期扫描源目录中的NAT日志文件,建立日志文件索引信息(按照时间和用户的外网IP地址),对于多个NAT设备的请况下,每个NAT对应的外网IP地址由用户来配置并生成相应NAT日志目录,同时根据时间来建立各NAT目录下日志文件的归档目录,具体的说包括以下步骤:
步骤11、逐个扫描FTP目录中的NAT日志,从NAT日志中提取NAT设备的名称;
步骤12、判断所述NAT设备的名称是否存在于NAT的二级目录中(所述NAT设备的名称与用户的外网IP地址具有对应的关系),如果是,则从所述NAT日志中提取时间信息,执行步骤13,否则,建立该NAT设备的二级目录,并且从所述NAT日志中提取时间信息,建立该年月的三级目录和该年月日的四级目录,然后执行步骤15;
步骤13、当从所述NAT日志中提取了时间信息后,判断所述时间信息是否存在于该年月的三级目录中,如果是,则执行步骤14,否则,依次建立该年月的三级目录和四级目录,然后执行步骤15;
步骤14、判断所述时间信息是否存在于该年月日的四级目录中,如果是,执行步骤15;
步骤15、从FTP目录剪切该文件移动于相应目录中;
步骤16、删除过期的NAT日志文件和/或目录。
如图2所示,图2为本发明实施例中按照NAT的设备名称和时间建立索引后NAT日志的文件结构示意图,其中,一级目录为归档目录,二级目录为各NAT设备的名称目录,三级目录名称使用日志的年月,四级目录名称使用日志的年月日。
图3所示为DHCP日志文件的整理流程示意图,其具体处理过程如下:
根据用户设置的DHCP获取方式,从DHCP服务器日志目录中定期采集DHCP日志文件。将采集到的日志文件进行分析处理,将IP地址分配、IP地址更新等有效信息保留,其他无用冗余信息删除。DHCP日志数据文件按照日期组织,文件内数据按照时间排序,以便定位查询。同时删除相应目录中过期的日志文件。
本发明实施例所述实现用户上网行为审计的方法的具体处理过程如图4所示,具体包括以下步骤:
步骤401、输入查询条件,在本发明实施例的具体实施过程中,所述查询条件可以为时间、外网IP地址和NAT端口的组合,也可以为时间、内网IP地址的组合,还可以为时间、目的IP地址和/或目的端口的组合;
步骤402、分析所述查询条件,如果所述查询条件为时间、外网IP地址和NAT端口的组合,或者,如果所述查询条件为时间、目的IP地址和/或目的端口的组合,则执行步骤403,如果所述查询条件为时间、内网IP地址,则执行步骤407;
步骤403、通过NAT的地址索引,找到相应的NAT设备日志目录,即二级目录;
步骤404、根据设备目录逐层搜索NAT日志文件;
步骤405、通过时间索引精确定位到对应的至少一个NAT日志文件;
步骤406、在所述NAT日志文件中搜索符合查询条件的内网IP地址,在定位日志文件和日志记录时,由于考虑到NAT端口映射有一定的生存期,查询输入的时间与端口映射的建立时间有一定时间差。因此根据用户输入的时间范围需要加入一定的误差时间值,系统默认误差值为了30s,也可以在查询时候用户手动设置;
步骤407、根据在所述NAT日志文件中搜索到的内网IP地址和时间索引搜索到相关的DHCP日志,在所述DHCP日志中搜索到符合条件的记录,包括MAC地址,机器名等信息;该记录时间要小于对应NAT记录的时间或者用户输入的截止时间,并且在该时间之前没有租赁过期或者释放租赁;如果搜索到相应的记录,则执行步骤408,如果搜索不到相应的记录,说明内网IP地址是静态配置的,则执行步骤409;
步骤408、根据从DHCP中搜索到的MAC地址和时间,查找AAA(认证授权和计费)日志中的用户上网记录&用户表,获取用户信息,即,从AAA日志中查找相应的用户帐号和用户该时段的上网记录等信息,根据用户帐号,查找到该用户的详细信息,包括用户组、姓名、电话、E-mail、住址等内容;
步骤409、根据内网IP地址和时间,查找AAA日志中的用上网记录&用户表,获取用户信息。
在这些一系列处理后,精确定位用户,实现用户上网信息的追踪,从而实现用户上网信息可审计、可溯源性,且无需对硬件设备的特殊要求。
下面结合附图5对本发明实施例所述系统进行详细说明。
如图5所示,本发明实施例所述系统具体包括:
DHCP日志管理单元,用于对动态主机配置协议DHCP日志建立时间索引,对于DHCP日志的时间索引的建立过程,前面方法中已作详细说明,此处不再赘述;
NAT日志管理单元,用于对网络地址转换NAT日志建立时间索引,并根据用户的外网IP地址对NAT日志建立地址索引,对于NAT日志的时间索引和地址索引的建立过程,前面方法中已作详细说明,此处不再赘述;
AAA日志管理单元,用于保存AAA日志;
查询单元,用于根据用户上网时间、用户的内网IP地址,通过所述DHCP日志的时间索引从DHCP日志中查询到相应的MAC地址;
根据所述MAC地址和时间从AAA日志中查询到的用户信息,对用户上网行为进行审计。
所述查询单元还用于根据用户上网时间、用户的外网IP地址和NAT端口,通过所述NAT日志的地址索引和时间索引查询到相应的NAT日志文件,并根据所述NAT日志文件查询到与所述外网IP地址对应的内网IP地址。
日志分析处理单元,用于定期对得到的NAT日志和DHCP日志进行分析处理,过滤掉冗余和无效记录。
对于系统的各个单元的具体实现过程,由于在方法中已有详细说明,这里就不再赘述了。
综上所述,本发明实施例提供一种用户上网行为审计的方法及系统,通过综合利用NAT系统日志、DHCP服务器系统日志和AAA系统日志,实现了用户网络接入审计功能;网络管理员可以使用本发明实施例所述方法方便、快捷的查询出用户网络接入信息,包括用户详细信息,MAC地址,用户的内网IP地址、用户的外网IP地址、端口、目的IP地址、目的端口等信息,从而实现用户上网信息可审计性和可溯源性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1、一种实现用户上网行为审计的方法,其特征在于,预先对动态主机配置协议DHCP日志建立时间索引,当查询条件为用户上网时间、用户的内网IP地址时,所述方法包括:
根据用户上网时间、用户的内网IP地址,通过所述DHCP日志的时间索引从DHCP日志中查询包含MAC地址的相应目录;
根据所述MAC地址和时间从认证授权和计费日志中查询到相应的用户信息,根据所述用户信息对用户上网行为进行审计。
2、如权利要求1所述的方法,其特征在于,预先对网络地址转换NAT日志建立时间索引,并根据用户的外网IP地址对NAT日志建立地址索引,当查询条件为用户上网时间、用户的外网IP地址和NAT端口时,所述方法还包括:
根据用户上网时间、用户的外网IP地址和NAT端口,通过所述NAT日志的地址索引和时间索引查询到相应的NAT日志文件,并根据所述NAT日志文件查询到与所述外网IP地址对应的内网IP地址。
3、如权利要求1或2所述的方法,其特征在于,所述方法还包括:
定期对得到的NAT日志和DHCP日志进行分析处理,过滤掉冗余和无效记录。
4、如权利要求1或2所述的方法,其特征在于,所述用户信息包括下述信息中的一个或多个:
用户组、姓名、电话、电子邮件地址、住址。
5、一种实现用户上网行为审计的系统,其特征在于,包括:
DHCP日志单元,用于保存收集到的DHCP日志,并对DHCP日志建立时间索引;
认证授权和计费日志单元,用于保存认证授权和计费日志;
查询单元,用于根据用户上网时间、用户的内网IP地址,通过所述DHCP日志的时间索引从DHCP日志中查询到相应的MAC地址;根据所述MAC地址和时间从认证授权和计费日志中查询到的用户信息,对用户上网行为进行审计。
6、如权利要求5所述的系统,其特征在于,所述系统还包括:
NAT日志单元,用于保存收集到的NAT日志,并对网络地址转换NAT日志建立时间索引和根据用户的外网IP地址对NAT日志建立地址索引。
7、如权利要求6所述的系统,其特征在于,所述查询单元还用于根据用户上网时间、用户的外网IP地址和NAT端口,通过所述NAT日志的地址索引和时间索引查询到相应的NAT日志文件,并根据所述NAT日志文件查询到与所述外网IP地址对应的内网IP地址。
8、如权利要求5到7中任意一项所述的系统,其特征在于,系统还包括:
日志分析整理单元,用于定期对得到的NAT日志和DHCP日志进行分析处理,过滤掉冗余和无效记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101234162A CN100555954C (zh) | 2007-06-22 | 2007-06-22 | 一种实现用户上网行为审计的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101234162A CN100555954C (zh) | 2007-06-22 | 2007-06-22 | 一种实现用户上网行为审计的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101056211A CN101056211A (zh) | 2007-10-17 |
| CN100555954C true CN100555954C (zh) | 2009-10-28 |
Family
ID=38795836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007101234162A Active CN100555954C (zh) | 2007-06-22 | 2007-06-22 | 一种实现用户上网行为审计的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100555954C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10397060B2 (en) | 2017-03-02 | 2019-08-27 | Cisco Technology, Inc. | Identity-based policy implementation in network address translation (NAT) environments |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150519B (zh) * | 2007-10-30 | 2010-06-23 | 杭州华三通信技术有限公司 | 网络地址转换业务控制方法及装置 |
| CN101616004B (zh) * | 2009-08-03 | 2011-04-20 | 河北全通通信有限公司 | 4a管理平台的一种应急响应处理方法 |
| CN102082681B (zh) * | 2009-11-26 | 2012-09-26 | 中国移动通信集团天津有限公司 | 确定用户上网行为记录的方法及装置 |
| CN102316176B (zh) * | 2011-07-27 | 2015-03-25 | 中国科学院计算机网络信息中心 | 数据包处理和溯源方法、装置及系统 |
| US20130067062A1 (en) * | 2011-09-12 | 2013-03-14 | Microsoft Corporation | Correlation of Users to IP Address Lease Events |
| WO2013107055A1 (zh) * | 2012-01-21 | 2013-07-25 | 华为技术有限公司 | 获取用户信息的方法及装置 |
| CN102857388A (zh) * | 2012-07-12 | 2013-01-02 | 上海云辰信息科技有限公司 | 云探安全管理审计系统 |
| CN103856469A (zh) * | 2012-12-06 | 2014-06-11 | 中国电信股份有限公司 | 支持dhcp认证溯源的方法、系统与dhcp服务器 |
| CN104219334B (zh) * | 2013-05-30 | 2017-09-29 | 中国联合网络通信集团有限公司 | 用户溯源方法、装置及宽带接入服务器 |
| CN103338260B (zh) * | 2013-07-04 | 2016-05-25 | 武汉世纪金桥安全技术有限公司 | 网络审计中url日志的分布式分析系统及分析方法 |
| CN104376254B (zh) * | 2013-08-16 | 2017-08-04 | 北京神州泰岳软件股份有限公司 | 一种日志审计方法及系统 |
| CN103840969A (zh) * | 2014-01-20 | 2014-06-04 | 浪潮(北京)电子信息产业有限公司 | 云计算系统中告警日志的管理方法和系统 |
| CN104102711B (zh) * | 2014-07-15 | 2017-12-01 | 中国联合网络通信集团有限公司 | 一种HBase数据库存储上网记录的方法和系统 |
| CN105812442B (zh) * | 2014-12-31 | 2019-02-12 | 华为技术有限公司 | 一种合并数据文件的方法和ftp转发器 |
| CN105488189B (zh) * | 2015-12-02 | 2019-02-12 | 成都科来软件有限公司 | 一种基于大数据量的五元组查询方法及装置 |
| CN105939327A (zh) * | 2016-01-19 | 2016-09-14 | 杭州迪普科技有限公司 | 审计日志的生成方法及装置 |
| CN106131243A (zh) * | 2016-08-23 | 2016-11-16 | 北京网康科技有限公司 | 一种用户上网行为审计方法及审计设备 |
| CN109729050B (zh) * | 2017-10-31 | 2022-02-08 | 北京国双科技有限公司 | 一种网络访问监控方法及装置 |
| CN110278213B (zh) * | 2019-06-28 | 2021-08-06 | 公安部第三研究所 | 一种网络安全日志关键信息提取方法及系统 |
| CN110519257B (zh) * | 2019-08-22 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种网络信息的处理方法及装置 |
| CN111866102A (zh) * | 2020-07-08 | 2020-10-30 | 张肇宁 | 一种网络ip地址溯源系统 |
| CN113938919B (zh) * | 2021-09-03 | 2023-07-07 | 中国联合网络通信集团有限公司 | 数据分析方法和装置 |
| CN114338139B (zh) * | 2021-12-27 | 2023-03-24 | 北京安博通科技股份有限公司 | 一种上网行为管理支持终端类型控制的方法 |
-
2007
- 2007-06-22 CN CNB2007101234162A patent/CN100555954C/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| 基于SNMP协议的校园网用户监视系统模型. 林宏伟.贵州师范大学学报(自然科学版),第24卷第2期. 2006 |
| 基于SNMP协议的校园网用户监视系统模型. 林宏伟.贵州师范大学学报(自然科学版),第24卷第2期. 2006 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10397060B2 (en) | 2017-03-02 | 2019-08-27 | Cisco Technology, Inc. | Identity-based policy implementation in network address translation (NAT) environments |
| US10887175B2 (en) | 2017-03-02 | 2021-01-05 | Cisco Technology, Inc. | Identity-based policy implementation in network address translation (NAT) environments |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101056211A (zh) | 2007-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100555954C (zh) | 一种实现用户上网行为审计的方法及系统 | |
| CN103064933B (zh) | 数据查询方法及系统 | |
| CN101853287B (zh) | 数据压缩快速检索文件系统及其方法 | |
| US8732215B2 (en) | Environment classification and service analysis | |
| CN102918534B (zh) | 查询管道 | |
| CN101854360B (zh) | 根据ip地址溯源移动用户手机号的装置及方法 | |
| US8086694B2 (en) | Network storage device collector | |
| CN103152352A (zh) | 一种基于云计算环境的全信息安全取证监听方法和系统 | |
| US8612570B1 (en) | Data classification and management using tap network architecture | |
| CN101594252A (zh) | 一种海量日志存储管理系统和方法 | |
| US9461890B1 (en) | Delegation of data management policy in an information management system | |
| CN104065521A (zh) | 一种电力网络设备日志和配置文件的采集、分析和发布系统及其方法 | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| CN101237326A (zh) | 设备日志实时解析的方法、装置和系统 | |
| CN109274679B (zh) | 一种访问请求记录方法、装置、设备及可读存储介质 | |
| CN101079683A (zh) | 数据一致性处理方法 | |
| CN103763117A (zh) | 服务和运营管理系统 | |
| CN105824837B (zh) | 一种日志处理方法及装置 | |
| CN105045905B (zh) | 一种基于全文检索的日志维护方法及系统 | |
| CN102025536A (zh) | 一种Unix/Linux系统运维数据收集方法和装置 | |
| EP3179672B1 (en) | Method and apparatus for reducing power consumption of network access device | |
| CN109257457B (zh) | 一种基于数据分析进行idc信安系统状态监测的方法 | |
| US8719263B1 (en) | Selective persistence of metadata in information management | |
| CN105530299A (zh) | 目录服务日志的实现方法 | |
| CN112929237B (zh) | 网站细分流量的分析方法、系统、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |