CN105939327A - 审计日志的生成方法及装置 - Google Patents
审计日志的生成方法及装置 Download PDFInfo
- Publication number
- CN105939327A CN105939327A CN201610035084.1A CN201610035084A CN105939327A CN 105939327 A CN105939327 A CN 105939327A CN 201610035084 A CN201610035084 A CN 201610035084A CN 105939327 A CN105939327 A CN 105939327A
- Authority
- CN
- China
- Prior art keywords
- public network
- private net
- address
- net address
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2567—NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种审计日志的生成方法及装置,所述方法应用于审计设备上,所述方法包括:接收NAT设备发送的业务报文;利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址;利用获取到的私网地址查找用户信息表,获取对应的用户信息;利用获取到的用户信息生成审计日志。应用本申请实施例,通过查找私网地址转换表与用户信息表,可以获取到用户信息,利用获取到的用户信息生成审计日志,并使用审计日志记录用户的网络行为。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种审计日志的生成方法及装置。
背景技术
目前,网络已经渗透到人们生活的方方面面。然而,由于网络的开放性、不确定性、虚拟性等特点,攻击者可能会利用网络从事违法活动,危害网络的安全。为了保证网络的安全性,实名审计得到了快速发展。所述实名审计是指:针对网络中的流量,综合运用数据包获取、协议分析、信息处理等技术,实现对流量的有效监管。实名审计能够记录用户的网络行为,以提供事后取证手段。
为了实现实名审计过程,在网络中部署有审计设备,审计设备利用每个终端设备对应的IP(Internet Protocol,网际协议)地址来标识用户信息。基于此,审计设备在接收到业务报文时,可以从业务报文中获取到终端设备的IP地址,通过该IP地址查询到对应的用户信息,基于用户信息生成审计日志,并使用审计日志来记录用户的网络行为。
但是为了保护终端设备的私有信息,通常会使用NAT(Network AddressTranslation,网络地址转换)设备将终端设备对应的私网地址转换为公网地址,而在现有技术中,审计设备是利用每个终端设备对应的私网地址来标识用户信息的,这样,当审计设备接收到NAT设备发送的业务报文时,由于NAT设备已经将业务报文携带的私网地址转换为公网地址,因此审计设备根据业务报文携带的公网地址,查找不到对应的私网地址,也就获取不到用户信息,无法生成审计日志,也就无法使用审计日志来记录用户的网络行为。
发明内容
有鉴于此,本申请提供一种审计日志的生成方法及装置,以解决现有技术无法生成审计日志,无法使用审计日志来记录用户的网络行为的问题。
根据本申请实施例的第一方面,提供一种审计日志的生成方法,所述方法应用于审计设备上,所述方法包括:
接收网络地址转换NAT设备发送的业务报文;
利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址;其中,所述私网地址转换表记录有私网地址和公网地址的对应关系;
利用获取到的私网地址查找用户信息表,获取对应的用户信息;其中,所述用户信息表记录有私网地址和用户信息的对应关系;
利用获取到的用户信息生成审计日志。
根据本申请实施例的第二方面,提供一种审计日志的生成装置,所述装置应用于审计设备上,所述装置包括:
接收单元,用于接收网络地址转换NAT设备发送的业务报文;
第一获取单元,用于利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址;其中,所述私网地址转换表记录有私网地址和公网地址的对应关系;
第二获取单元,用于利用获取到的私网地址查找用户信息表,获取对应的用户信息;其中,所述用户信息表记录有私网地址和用户信息的对应关系;
审计日志生成单元,用于利用获取到的用户信息生成审计日志。
应用本申请实施例,当审计设备接收到NAT设备发送的业务报文时,利用业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址,然后利用获取到的私网地址查找用户信息表,获取对应的用户信息,最后利用获取到的用户信息生成审计日志。基于上述技术方案,由于审计设备会维护私网地址和公网地址的对应关系,因此通过业务报文中携带的公网地址,可以查找到对应的私网地址;由于会维护私网地址和用户信息的对应关系,因此通过查找到的私网地址,可以查找到对应的用户信息,并利用查找到的用户信息生成审计日志,并使用生成的审计日志记录用户的网络行为,这样就可以实现实名审计。
附图说明
图1为本申请根据一示例性实施例示出的一种审计日志的生成应用场景示意图;
图2为本申请根据一示例性实施例示出的一种审计日志的生成方法实施例流程图;
图3为本申请根据一示例性实施例示出的另一种审计日志的生成方法实施例流程图;
图4为本申请根据一示例性实施例示出的一种审计设备的硬件结构图;
图5为本申请根据一示例性实施例示出的一种审计日志的生成装置的实施例结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1所示,为本申请根据一示例性实施例示出的一种获得审计日志的应用场景示意图,包括终端设备、接入设备、认证服务器、NAT设备、审计设备以及日志服务器。其中,终端设备可以是PC(Personal Computer,个人计算机)、手机等。在终端设备未通过认证之前,由认证服务器完成对所述终端设备的认证。在终端设备认证成功之后,终端设备可以向接入设备发送业务报文,接入设备将所述业务报文转发至NAT设备,NAT设备对所述业务报文进行NAT转换,并将转换后的业务报文发送到审计设备,审计设备根据接收到的业务报文生成审计日志,并将生成的审计日志发送到日志服务器。基于日志服务器上记录的审计日志,管理员可以详细查看终端设备的网络行为。
参见图2所示,为本申请根据一示例性实施例示出的一种审计日志的生成方法实施例流程图,该实施例应用于审计设备上,包括以下步骤:
步骤201:接收NAT设备发送的业务报文。
当终端设备需要访问网络时,会向接入设备发送业务报文,接入设备将接收到的业务报文转发至NAT设备。
在一个可选的实现方式中,当NAT设备接收到业务报文时,利用所述业务报文携带的所述终端设备对应的私网地址(即业务报文的源IP地址)查找NAT表项,所述NAT表项记录有私网地址与公网地址的对应关系,所述私网地址对应唯一一个公网地址(IPv4地址);若查找到对应的公网地址,则将业务报文携带的所述终端设备对应的私网地址转换成查找到公网地址,并将转换后的业务报文发送至审计设备;若未查找到所述私网地址对应的公网地址,则对所述业务报文携带的私网地址进行静态NAT转换,并将转换后的公网地址与私网地址的对应关系记录到所述NAT表项中。如表1所述,为一种示例性的NAT表项。
私网地址 | 公网地址 |
IP1 | IP11 |
IP2 | IP12 |
IP3 | IP13 |
表1
在另一个可选的实现方式中,当NAT设备接收到业务报文时,利用所述业务报文携带的所述终端设备对应的私网地址和私网端口查找NAPT表项,所述NAPT表项记录有私网地址、私网端口与公网地址、公网端口的对应关系;若查找到对应的公网地址与公网端口,则将所述业务报文携带的私网地址和私网端口转换成查找到公网地址和公网端口,若未查找到,则对所述业务报文携带的私网地址和私网端口进行NAPT转换,并将转换后的公网地址、公网端口与私网地址、私网端口的对应关系记录到所述NAPT表项中。
基于NAPT的方式,即不同的私网地址对应同一个公网地址的不同端口,多个私网地址可以共用一个公网地址,基于此,NAPT的方式不需要一个私网地址对应唯一一个公网地址,可以避免公网地址(IPv4地址)的浪费。
针对私网地址转换成公网地址的过程,NAT设备从本地的公网地址池中选择一个公网地址,所述公网地址池中记录有NAT设备进行NAT转换时可选的公网地址。
针对私网端口转换成公网端口的过程,当NAT设备从公网地址池中选择一个公网地址之后,再从本地使用的端口范围中选择一个所述公网地址未用的端口作为公网端口。如表2所述,为另一种示例性的NAPT表项。
私网地址 | 私网端口 | 公网地址 | 公网端口 |
IP1 | 端口1 | IP11 | 端口11 |
IP2 | 端口2 | IP12 | 端口11 |
IP3 | 端口3 | IP11 | 端口12 |
IP3 | 端口4 | IP11 | 端口13 |
表2
进一步地,由于终端设备会发送多种业务类型的业务报文,而不同业务类型的业务报文携带的私网端口可能不同,如表2所示的,业务报文携带的私网端口有端口3和端口4。为了区分不同的业务类型,可以将NAT设备使用的端口范围均分为大小相同的段,每个私网地址对应一个端口段,不同业务类型对应端口段中不同的端口。因此,当NAT设备接收到业务报文,对所述业务报文携带的私网端口进行NAPT转换时,可以从未用的端口段中选择一个端口段作为公网端口段,并从所述公网端口段中选择一个未用端口作为公网端口。另外,可以将所述公网端口段对应私网地址、私网端口与公网地址、公网端口记录到NAPT表项中。如表3所示,为另一种示例性的NAPT表项。
私网地址 | 私网端口 | 公网地址 | 公网端口 | 公网端口段 |
IP1 | 端口1 | IP11 | 端口10 | 1~10 |
IP2 | 端口2 | IP12 | 端口11 | 11~20 |
IP3 | 端口3 | IP11 | 端口21 | 21~30 |
IP3 | 端口4 | IP11 | 端口22 | 21~30 |
表3
步骤202:利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址。
在本步骤202之前,还包括私网地址转换表的获得过程,该私网地址转换表的获得过程包括但不限于如下方式:
方式一:当NAT设备利用静态NAT的方式,将所述业务报文携带的私网地址转换为公网地址之后,可以通过Socket方式将所述私网地址与公网地址的对应关系发送到审计设备,审计设备将接收到的私网地址与公网地址的对应关系记录到私网地址转换表中。
基于私网地址转换表中记录的对应关系,当审计设备接收到NAT设备发送的业务报文时,获取所述业务报文携带的公网地址,利用获取到的公网地址查找私网地址转换表,获取对应的私网地址。
方式二:当NAT设备利用NAPT的方式,将所述业务报文携带的私网地址、私网端口转换为公网地址、公网端口时,所述审计设备中的私网地址转换表记录的所述私网地址与公网地址的对应关系中还包括公网端口。这样,通过公网端口来解决一个私网地址只能对应一个公网地址的问题,避免了对公网地址的浪费。
基于私网地址转换表中记录的对应关系,当审计设备接收到NAT设备发送的业务报文时,获取所述业务报文携带的公网地址和公网端口,利用获取到的公网地址和公网端口查找所述私网地址转换表,获取所述公网地址和所述公网端口对应的私网地址。
方式三:NAT设备为了区分不同的业务类型,将端口范围均分为大小相同的段,每个私网地址对应一个端口段,不同业务类型对应端口段中不同的端口。基于步骤201中所述,因此所述审计设备中的私网地址转换表记录的所述私网地址与公网地址的对应关系中还包括公网端口段。由于私网地址转换表中一个私网地址只对应一个公网端口段,而不是一个私网地址对应多个公网端口,这样可以减少私网地址转换表占用审计设备的内存,提高审计设备的处理效率。
基于私网地址转换表中记录的对应关系,当审计设备接收到NAT设备发送的业务报文时,获取所述业务报文携带的公网地址和公网端口,利用获取到的公网地址查找所述私网地址转换表,获取对应的所有公网端口段;针对获取到的每个公网端口段,判断获取到的公网端口是否位于该公网端口段;若所述公网端口位于该公网端口段,则获取所述公网地址和该公网端口段对应的私网地址。
其中,针对上述方式一、方式二和方式三,所述Socket方式发送是指:NAT设备与审计设备先建立通信连接,然后将所述私网地址与公网地址发送到审计设备。
步骤203:利用获取到的私网地址查找用户信息表,获取对应的用户信息。
在终端设备认证通过之前,认证服务器还会执行对终端设备的认证过程,首先终端设备通过接入设备向认证服务器发送认证请求报文,认证服务器利用认证请求报文对所述终端设备进行认证,认证成功之后,通过所述接入设备将用于表示认证成功的认证响应报文发送到所述终端设备。在终端设备认证通过之后,才会执行步骤201以及后续步骤。
基于此,在认证服务器对终端设备进行认证的过程中,由于认证服务器与终端设备之间交互的认证报文会经过接入设备,因此,接入设备可以将认证过程中的认证报文发送给审计设备,当审计设备接收到所述认证报文时,获取所述认证报文携带的所述终端设备对应的私网地址与用户信息,并将获取到的私网地址与用户信息的对应关系记录到用户信息表中。
其中,认证过程中的认证报文,可以是终端设备通过接入设备发送给认证服务器的认证请求报文,或者认证服务器通过接入设备发送给终端设备的认证响应报文。
其中,接入设备可以通过镜像方式将认证过程中的认证报文发送到审计设备。通过镜像方式发送是指接入设备不需要对认证报文进行任何处理,直接复制一份发送到审计设备。由于接入设备不需要对认证报文进行任何处理,因此可以提高接入设备的处理效率。
基于用户信息表中记录的私网地址与用户信息的对应关系,审计设备在获取到对应的私网地址之后,可以利用获取到的私网地址,从用户信息表中获取所述私网地址对应的用户信息。
步骤204:利用获取到的用户信息生成审计日志。
当审计设备分别从私网地址转换表和用户信息表中获取到私网地址和用户信息时,利用获取到的用户信息生成审计日志,并将生成的审计日志发送到日志服务器,以记录用户的网络行为。
其中,所述审计日志可以包括私网地址、用户信息以及业务报文的数据部分信息,而业务报文的数据部分信息可以通过分析业务报文获知。例如,当终端设备正在进行web访问业务时,审计设备可以通过分析业务报文,得到用户访问的网站URL((Uniform Resource Locator,统一资源定位器)、网页标题、网页内容等数据部分的信息;或终端设备正在进行邮件业务,审计设备可以通过分析业务报文,得到邮件的发件人、收件人、邮件主题等数据部分的信息。
进一步地,在生成审计日志之后,审计设备还可以将业务报文发送到外网。
需要说明的是,终端设备下线时,认证服务器还会执行对终端设备的下线过程,首先终端设备通过接入设备向认证服务器发送用户下线请求报文,认证服务器针对接收到的用户下线请求报文对所述终端设备进行下线,并通过接入设备向终端设备返回表示下线成功的用户下线响应报文。
基于此,在认证服务器对终端设备进行下线过程中,由于认证服务器与终端设备之间交互的用户下线报文会经过接入设备,因此,接入设备可以将下线过程中的用户下线报文发送给审计设备,当审计设备接收到所述用户下线报文时,获取所述用户下线报文携带的所述终端设备对应的私网地址与用户信息,并将所述私网地址与用户信息的对应关系从所述用户信息表中删除;并向NAT设备发送携带有所述私网地址的下线通知。
再进一步地,当NAT设备接收到携带有私网地址的下线通知时,可以将NAT表项中记录的所述私网地址与公网地址的对应关系删除;或者,将NAPT表项中记录的所述私网地址、私网端口与公网地址、公网端口的对应关系删除;亦或者,可以将NAPT表项中记录的所述私网地址、私网端口与公网地址、公网端口、公网端口段的对应关系删除,以节约端口段,提高端口段的利用率。
由上述实施例所述,当审计设备接收到NAT设备发送的业务报文时,利用业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址,然后利用获取到的私网地址查找用户信息表,获取对应的用户信息,最后利用获取到的用户信息生成审计日志。基于上述技术方案,由于审计设备会维护私网地址和公网地址的对应关系,因此通过业务报文中携带的公网地址,可以查找到对应的私网地址;由于会维护私网地址和用户信息的对应关系,因此通过查找到的私网地址,可以查找到对应的用户信息,并利用查找到的用户信息生成审计日志,并使用生成的审计日志记录用户的网络行为,这样就可以实现实名审计。
参见图3所示,为本申请根据一示例性实施例示出的另一种审计日志的生成方法实施例流程图,该实施例结合图1示出的应用场景对生成审计日志的过程进行详细描述,包括以下步骤:
如下步骤301至步骤306为用户认证过程:
步骤301:终端设备向接入设备发送认证请求报文。
终端设备在认证通过之前,需要通过认证服务器的认证。终端设备可以通过PPPoE(Point-to-Point Protocol over Ethernet,以太网上的点对点协议)、IPoE(Internet Protocol over Ethernet,以太网上的网际协议)、Portal等认证方式进行认证,在这些认证方式中,终端设备均首先向接入设备发送认证请求报文。
步骤302:接入设备向认证服务器发送所述认证请求报文。
步骤303:认证服务器对终端设备进行认证,并向接入设备发送认证响应报文。
由于认证服务器的数据库中记录有允许通过认证用户的用户信息,当认证服务器接收到终端设备通过接入设备发送的认证请求报文时,利用认证请求报文携带的所述终端设备对应的用户信息查找数据库,当查找到所述用户信息时,通过接入设备向终端设备返回认证响应报文。
步骤304:接入设备向终端设备发送认证响应报文。
当终端设备接收到接入设备发送的认证响应报文时,表明该终端设备通过认证,可以接入网络。
步骤305:接入设备向审计设备发送认证报文。
由于认证服务器与终端设备之间交互的认证报文会经过接入设备,因此,接入设备可以将认证过程中产生的认证报文通过镜像方式发送给审计设备。
其中,所述认证报文可以是终端设备通过接入设备发送给认证服务器的认证请求报文,或者认证服务器通过接入设备发送给终端设备的认证响应报文。
步骤306:审计设备将所述认证报文携带的所述终端设备对应的私网地址和用户信息记录到用户信息表中。
由于从认证报文(如认证请求报文或认证响应报文)中可以解析出终端设备对应的私网地址和用户信息,因此审计设备可以从认证报文中获取所述终端设备对应的私网地址和用户信息,并将获取到的私网地址和用户信息记录到用户信息表中,如表4所示,为一种示例性的用户信息表。所述用户信息可以是用户名或用户手机号等,
私网地址 | 用户名 |
192.168.0.1 | A |
192.168.0.2 | B |
表4
如下步骤307至步骤312为业务报文传输过程:
步骤307:终端设备向接入设备发送业务报文。
当终端设备接收到接入设备发送的认证响应报文时,向接入设备发送业务报文。
步骤308:接入设备向NAT设备发送业务报文。
步骤309:NAT设备对业务报文携带的私网地址进行NAT转换。
在一个可选的实现方式中,NAT设备可以使用静态NAT的方式,将所述业务报文携带的所述终端设备对应的私网地址转换为公网地址,并将所述私网地址与公网地址的对应关系记录到NAT表项中。
如表4所述的用户A对应的私网地址192.168.0.1,使用静态NAT方式,可以将私网地址192.168.0.1转换为公网地址163.100.100.1,相应的,用户B对应的私网地址192.168.0.2,可以转换为公网地址163.100.100.2。
在另一个可选的实现方式中,NAT设备可以使用NAPT的方式,将所述业务报文携带的私网地址、私网端口转换为公网地址、公网端口,并将所述私网地址、私网端口与公网地址、公网端口的对应关系记录到所述NAPT表项中。这里私网地址转换公网地址和私网端口转换公网端口的详细过程见步骤201,在此不再赘述。
如表4所述的用户A对应的私网地址和私网端口为192.168.0.1:1025,假设私网地址192.168.0.1从公网地址池163.100.100.1~163.100.100.2,选择的公网地址为163.100.100.1,并且假设NAT设备使用的端口范围为1~200,那么可以为私网端口1025选择端口1作为公网端口,因此192.168.0.1:1025经过NAPT转换之后变为163.100.100.1:1。当用户A进行不同的业务,业务报文携带的私网地址和私网端口为192.168.0.1:1020时,可以为私网端口1020选择端口2作为公网端口。相应的,表4中的用户B对应的私网地址和私网端口192.168.0.2:1025经过NAPT转换之后可以变为163.100.100.1:11。
进一步地,针对私网端口转换公网端口的过程,为了区分不同的业务类型,NAT设备将使用的端口范围均分为大小相同的段,每个私网地址对应一个端口段,不同业务类型对应端口段中不同的端口。因此NAT设备可以从未用的端口段中选择一个端口段作为公网端口段,并从所述公网端口段中选择一个未用端口作为公网端口。另外,可以将所述公网端口段对应私网地址、私网端口与公网地址、公网端口记录到NAPT表项中
例如,NAT设备可以将端口范围1~200,分为20段,每段10个端口,即1~10、11~20…191~200,那么可以为用户A的私网端口1025选择1~10的端口段作为公网端口段,并从所述公网端口段中选择端口1作为公网端口。并且当用户A进行不同的业务,业务报文携带的私网地址和私网端口为192.168.0.1:1020时,可以为私网端口1020从1~10的公网端口段中选择端口2作为公网端口。相应的,用户B对应的私网地址和私网端口192.168.0.2:1025经过NAPT转换之后可以变为163.100.100.1:11。
步骤310:NAT设备将转换信息发送到审计设备。
利用NAT设备发送的转换信息获得私网地址转换表,所述私网地址转换表的获得过程包括但不限于如下方式:
方式一:若NAT设备使用静态NAT的方式,则可以通过Socket方式,将转换信息(所述私网地址与公网地址的对应关系)发送到审计设备,审计设备将收到的私网地址与公网地址的对应关系记录到私网地址转换表中。如表5所示,为一种示例性的私网地址转换表。
表5
方式二:若NAT设备使用NAPT的方式,NAT设备发送的转换信息还包括公网端口。审计设备将接收到的转换信息记录到私网地址转换表中。如表6所示,为另一种示例性的私网地址转换表。
私网地址 | 公网地址 | 公网端口 |
192.168.0.1 | 163.100.100.1 | 端口1 |
192.168.0.1 | 163.100.100.1 | 端口2 |
192.168.0.2 | 163.100.100.1 | 端口11 |
表6
方式三:若NAT设备为了区分不同的业务类型,将端口范围均分为大小相同的段,每个私网地址对应一个端口段,不同业务类型对应端口段中不同的端口。那么NAT设备发送的转换信息还包括公网端口段,如表7所示,为另一种示例性的私网地址转换表。
私网地址 | 公网地址 | 公网端口段 |
192.168.0.1 | 163.100.100.1 | 1~10 |
192.168.0.2 | 163.100.100.1 | 11~20 |
表7
步骤311:NAT设备向审计设备发送转换后的业务报文。
NAT设备将业务报文进行NAT转换之后,将转换后的业务报文发送至审计设备。
步骤312:审计设备利用获取到的用户信息生成审计日志。
基于步骤310所述,若NAT设备使用静态NAT方式进行的NAT转换,则私网地址转换表中记录着私网地址与公网地址的对应关系。基于此,当审计设备接收到NAT设备发送的业务报文时,利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址。
若NAT设备使用NAPT方式进行的NAT转换,则私网地址转换表中记录着私网地址与公网地址、公网端口的对应关系。基于此,当审计设备接收到NAT设备发送的业务报文时,利用所述业务报文携带的公网地址和公网端口查找私网地址转换表,获取对应的私网地址。
进一步地,若NAT设备为了区分不同的业务类型,将端口范围均分为大小相同的段,每个私网地址对应一个端口段。则私网地址转换表中记录着私网地址与公网地址、公网端口段的对应关系。基于此,当审计设备接收到NAT设备发送的业务报文时,获取所述业务报文携带的公网地址和公网端口,利用获取到的公网地址查找所述私网地址转换表,获取对应的所有公网端口段;针对获取到的每个公网端口段,判断获取到的公网端口是否位于该公网端口段;若所述公网端口位于该公网端口段,则获取所述公网地址和该公网端口段对应的私网地址。
接着利用获取到的私网地址查找用户信息表,获取对应的用户信息,比如用户名。最后审计设备利用获取到的用户信息生成审计日志,并将生成的审计日志发送到日志服务器,所述审计日志可以包括用户信息、私网地址、业务报文的数据部分携带的访问地址、访问时间信息,以供管理员详细查看终端设备的网络行为。
如表7所述,假设所述业务报文携带的公网地址和公网端口为163.100.100.1:11,首先查找私网地址转换表可以获取到11~20的公网端口段,然后判断获取到的公网端口11是否位于11~20的公网端口段。由于公网端口11位于11~20的公网端口段,所以可以获取到对应的私网地址192.168.0.2,再从表4可以获取到所述私网地址对应的用户B。相应的,假设所述业务报文携带的公网地址和公网端口为163.100.100.1:1,可以获取到私网地址192.168.0.1,再从表4可以获取到对应的用户A。如表8所示,为一种示例性的审计日志表。
用户名 | 私网地址 | 访问地址 | 访问时间 |
A | 192.168.0.1 | 61.136.169.121 | 2015/4/119:07:05 |
B | 192.168.0.2 | 61.136.169.121 | 2015/4/118:12:31 |
表8
如下步骤313至步骤319为用户下线过程:
步骤313至步骤317:终端设备下线处理过程与上线进行认证处理过程一致,见步骤301至步骤305所述,在此不再一一赘述。只是认证服务器接收到终端设备通过接入设备发送的用户下线请求报文之后,认证服务器针对接收到的用户下线请求报文对所述终端设备进行下线,并通过接入设备向所述终端设备返回用户下线响应报文。接入设备最终将认证服务器对终端设备下线过程中的用户下线报文通过镜像方式发送给审计设备,所述用户下线报文可以是终端设备通过接入设备发送给认证服务器的用户下线请求报文,或者认证服务器通过接入设备发送给终端设备的用户下线响应报文。
步骤318:根据用户下线报文携带的私网地址,从用户信息表中删除所述私网地址与用户信息的对应关系。
步骤319:审计设备向NAT设备发送携带有私网地址的下线通知。
当NAT设备接收到审计设备发送的下线通知时,可以将NAT表项中记录的所述私网地址与公网地址的对应关系删除;或者,将NAPT表项中记录的所述私网地址、私网端口与公网地址、公网端口的对应关系删除;亦或者,可以将NAPT表项中记录的所述私网地址、私网端口与公网地址、公网端口、公网端口段的对应关系删除,以节约端口段,提高端口段的利用率。
由上述实施例所述,当审计设备接收到NAT设备发送的业务报文时,利用业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址,然后利用获取到的私网地址查找用户信息表,获取对应的用户信息,最后利用获取到的用户信息生成审计日志。基于上述技术方案,由于审计设备会维护私网地址和公网地址的对应关系,因此通过业务报文中携带的公网地址,可以查找到对应的私网地址;由于会维护私网地址和用户信息的对应关系,因此通过查找到的私网地址,可以查找到对应的用户信息,并利用查找到的用户信息生成审计日志,并使用生成的审计日志记录用户的网络行为,这样就可以实现实名审计。
与前述审计日志的生成方法的实施例相对应,本申请还提供了审计日志的生成装置的实施例。
本申请审计日志的生成装置的实施例可以应用在审计设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请审计日志的生成装置所在设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
参见图5所示,本申请根据一示例性实施例示出的一种审计日志的生成装置的实施例结构图,该实施例应用于审计设备上,所述装置包括:接收单元510、第一获取单元520、第二获取单元530、审计日志生成单元540。
其中,接收单元510,用于接收网络地址转换NAT设备发送的业务报文;
第一获取单元520,用于利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址;其中,所述私网地址转换表记录有私网地址和公网地址的对应关系;
第二获取单元530,用于利用获取到的私网地址查找用户信息表,获取对应的用户信息;其中,所述用户信息表记录有私网地址和用户信息的对应关系;
审计日志生成单元540,用于利用获取到的用户信息生成审计日志。
在一个可选的实现方式中,所述装置还包括(图5中未示出):
用户信息表维护单元,用于获得用户信息表;
所述用户信息表维护单元包括(图5中未示出):
第一接收子单元,用于接收接入设备通过镜像方式发送的认证报文,所述认证报文是终端设备通过所述接入设备发送给认证服务器的认证请求报文,或者认证服务器通过所述接入设备发送给终端设备的认证响应报文;
获取子单元,用于获取所述认证报文携带的所述终端设备对应的私网地址与用户信息;
记录子单元,用于将获取到的私网地址与用户信息的对应关系记录到所述用户信息表中。
在另一个可选的实现方式中,所述用户信息表维护单元,还包括(图5中未示出):
第二接收子单元,用于接收所述接入设备通过镜像方式发送的用户下线报文,所述用户下线报文是终端设备通过所述接入设备发送给认证服务器的用户下线请求报文,或者认证服务器通过所述接入设备发送给终端设备的用户下线响应报文;
删除子单元,用于获取所述用户下线报文携带的所述终端设备对应的私网地址与用户信息,并将所述私网地址与用户信息的对应关系从所述用户信息表中删除。
在另一个可选的实现方式中,所述装置还包括(图5中未示出):
私网地址转换表获得单元,用于获得私网地址转换表;
所述私网地址转换表获得单元包括(图5中未示出):
第一获得子单元,用于接收所述NAT设备通过套接字Socket方式发送的所述私网地址与公网地址的对应关系;其中,所述私网地址与公网地址的对应关系是当NAT设备接收到业务报文时,将所述业务报文携带的私网地址转换为公网地址之后发送的;并将所述私网地址与公网地址的对应关系记录到所述私网地址转换表中。
在另一个可选的实现方式中,所述私网地址与公网地址的对应关系中还包括公网端口,所述第一获取单元520,具体用于从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址和公网端口查找所述私网地址转换表,获取所述公网地址和所述公网端口对应的私网地址;
或者,所述私网地址与公网地址的对应关系中还包括公网端口段,所述第一获取单元520,具体用于从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址查找所述私网地址转换表,获取对应的所有公网端口段;针对获取到的每个公网端口段,判断获取到的公网端口是否位于该公网端口段;若是,则获取所述公网地址和该公网端口段对应的私网地址。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例所述,当审计设备接收到NAT设备发送的业务报文时,利用业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址,然后利用获取到的私网地址查找用户信息表,获取对应的用户信息,最后利用获取到的用户信息生成审计日志。基于上述技术方案,由于审计设备会维护私网地址和公网地址的对应关系,因此通过业务报文中携带的公网地址,可以查找到对应的私网地址;由于会维护私网地址和用户信息的对应关系,因此通过查找到的私网地址,可以查找到对应的用户信息,并利用查找到的用户信息生成审计日志,并使用生成的审计日志记录用户的网络行为,这样就可以实现实名审计。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种审计日志的生成方法,其特征在于,所述方法应用于审计设备上,所述方法包括:
接收网络地址转换NAT设备发送的业务报文;
利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址;其中,所述私网地址转换表记录有私网地址和公网地址的对应关系;
利用获取到的私网地址查找用户信息表,获取对应的用户信息;其中,所述用户信息表记录有私网地址和用户信息的对应关系;
利用获取到的用户信息生成审计日志。
2.根据权利要求1所述的方法,其特征在于,获得用户信息表的过程,具体包括:
接收接入设备通过镜像方式发送的认证报文,所述认证报文是终端设备通过所述接入设备发送给认证服务器的认证请求报文,或者认证服务器通过所述接入设备发送给终端设备的认证响应报文;
获取所述认证报文携带的所述终端设备对应的私网地址与用户信息;
将获取到的私网地址与用户信息的对应关系记录到所述用户信息表中。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收所述接入设备通过镜像方式发送的用户下线报文,所述用户下线报文是终端设备通过所述接入设备发送给认证服务器的用户下线请求报文,或者认证服务器通过所述接入设备发送给终端设备的用户下线响应报文;
获取所述用户下线报文携带的所述终端设备对应的私网地址与用户信息;
将获取到的私网地址与用户信息的对应关系从所述用户信息表中删除。
4.根据权利要求1所述的方法,其特征在于,获得私网地址转换表的过程,具体包括:
接收所述NAT设备通过套接字Socket方式发送的私网地址与公网地址的对应关系;其中,所述私网地址与公网地址的对应关系是当所述NAT设备接收到业务报文时,将所述业务报文携带的私网地址转换为公网地址之后发送的;
将所述私网地址与公网地址的对应关系记录到所述私网地址转换表中。
5.根据权利要求1或4所述的方法,其特征在于,所述方法还包括:
所述私网地址与公网地址的对应关系中还包括公网端口,所述利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址,包括:从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址和公网端口查找所述私网地址转换表,获取所述公网地址和所述公网端口对应的私网地址;
或者,所述私网地址与公网地址的对应关系中还包括公网端口段,所述利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址,包括:从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址查找所述私网地址转换表,获取对应的所有公网端口段;针对获取到的每个公网端口段,判断获取到的公网端口是否位于该公网端口段;若是,则从所述私网地址转换表中获取所述公网地址和该公网端口段对应的私网地址。
6.一种审计日志的生成装置,其特征在于,所述装置应用于审计设备上,所述装置包括:
接收单元,用于接收网络地址转换NAT设备发送的业务报文;
第一获取单元,用于利用所述业务报文携带的公网地址查找私网地址转换表,获取对应的私网地址;其中,所述私网地址转换表记录有私网地址和公网地址的对应关系;
第二获取单元,用于利用获取到的私网地址查找用户信息表,获取对应的用户信息;其中,所述用户信息表记录有私网地址和用户信息的对应关系;
审计日志生成单元,用于利用获取到的用户信息生成审计日志。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
用户信息表维护单元,用于获得用户信息表;
所述用户信息表维护单元包括:
第一接收子单元,用于接收接入设备通过镜像方式发送的认证报文,所述认证报文是终端设备通过所述接入设备发送给认证服务器的认证请求报文,或者认证服务器通过所述接入设备发送给终端设备的认证响应报文;
获取子单元,用于获取所述认证报文携带的所述终端设备对应的私网地址与用户信息;
第一记录子单元,用于将获取到的私网地址与用户信息的对应关系记录到所述用户信息表中。
8.根据权利要求7所述的装置,其特征在于,所述用户信息表维护单元,还包括:
第二接收子单元,用于接收所述接入设备通过镜像方式发送的用户下线报文,所述用户下线报文是终端设备通过所述接入设备发送给认证服务器的用户下线请求报文,或者认证服务器通过所述接入设备发送给终端设备的用户下线响应报文;
删除子单元,用于获取所述用户下线报文携带的所述终端设备对应的私网地址与用户信息,并将所述私网地址与用户信息的对应关系从所述用户信息表中删除。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
私网地址转换表获得单元,用于获得私网地址转换表;
所述私网地址转换表获得单元包括:
第一获得子单元,用于接收所述NAT设备通过套接字Socket方式发送的所述私网地址与公网地址的对应关系;其中,所述私网地址与公网地址的对应关系是当NAT设备接收到业务报文时,将所述业务报文携带的私网地址转换为公网地址之后发送的;
第二记录子单元,用于将所述私网地址与公网地址的对应关系记录到所述私网地址转换表中。
10.根据权利要求6或9所述的装置,其特征在于,
所述私网地址与公网地址的对应关系中还包括公网端口,所述第一获取单元,具体用于从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址和公网端口查找所述私网地址转换表,获取所述公网地址和所述公网端口对应的私网地址;
或者,所述私网地址与公网地址的对应关系中还包括公网端口段,所述第一获取单元,具体用于从所述业务报文中获取公网地址和公网端口;利用获取到的公网地址查找所述私网地址转换表,获取对应的所有公网端口段;针对获取到的每个公网端口段,判断获取到的公网端口是否位于该公网端口段;若是,则获取所述公网地址和该公网端口段对应的私网地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610035084.1A CN105939327A (zh) | 2016-01-19 | 2016-01-19 | 审计日志的生成方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610035084.1A CN105939327A (zh) | 2016-01-19 | 2016-01-19 | 审计日志的生成方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105939327A true CN105939327A (zh) | 2016-09-14 |
Family
ID=57152849
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610035084.1A Pending CN105939327A (zh) | 2016-01-19 | 2016-01-19 | 审计日志的生成方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105939327A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616415A (zh) * | 2018-03-16 | 2018-10-02 | 新华三大数据技术有限公司 | 数据关联方法及装置 |
CN109831339A (zh) * | 2019-03-15 | 2019-05-31 | 北京星网锐捷网络技术有限公司 | 一种系统日志管理方法和日志服务器 |
CN110061993A (zh) * | 2019-04-23 | 2019-07-26 | 新华三技术有限公司 | 一种包含公网出口地址的日志生成方法、装置及接入设备 |
CN110505620A (zh) * | 2018-05-17 | 2019-11-26 | 大唐移动通信设备有限公司 | 一种通信方法、管理站及热点设备 |
CN111245666A (zh) * | 2018-11-29 | 2020-06-05 | 华为技术有限公司 | 数据传输方法、装置及系统 |
CN113326120A (zh) * | 2020-02-29 | 2021-08-31 | 杭州迪普科技股份有限公司 | 管理内存的装置和方法 |
CN113377732A (zh) * | 2020-03-10 | 2021-09-10 | 中国移动通信集团湖南有限公司 | 收集日志的方法、装置及设备 |
WO2022063249A1 (zh) * | 2020-09-28 | 2022-03-31 | 华为技术有限公司 | 地址管理的方法、装置及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056211A (zh) * | 2007-06-22 | 2007-10-17 | 中兴通讯股份有限公司 | 一种实现用户上网行为审计的方法及系统 |
CN104219334A (zh) * | 2013-05-30 | 2014-12-17 | 中国联合网络通信集团有限公司 | 用户溯源方法、装置及宽带接入服务器 |
-
2016
- 2016-01-19 CN CN201610035084.1A patent/CN105939327A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056211A (zh) * | 2007-06-22 | 2007-10-17 | 中兴通讯股份有限公司 | 一种实现用户上网行为审计的方法及系统 |
CN104219334A (zh) * | 2013-05-30 | 2014-12-17 | 中国联合网络通信集团有限公司 | 用户溯源方法、装置及宽带接入服务器 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616415A (zh) * | 2018-03-16 | 2018-10-02 | 新华三大数据技术有限公司 | 数据关联方法及装置 |
CN108616415B (zh) * | 2018-03-16 | 2020-11-27 | 新华三大数据技术有限公司 | 数据关联方法及装置 |
CN110505620A (zh) * | 2018-05-17 | 2019-11-26 | 大唐移动通信设备有限公司 | 一种通信方法、管理站及热点设备 |
US11444913B2 (en) | 2018-11-29 | 2022-09-13 | Huawei Technologies Co., Ltd. | Data transmission method, apparatus, and system |
CN111245666A (zh) * | 2018-11-29 | 2020-06-05 | 华为技术有限公司 | 数据传输方法、装置及系统 |
CN109831339A (zh) * | 2019-03-15 | 2019-05-31 | 北京星网锐捷网络技术有限公司 | 一种系统日志管理方法和日志服务器 |
CN109831339B (zh) * | 2019-03-15 | 2022-07-19 | 北京星网锐捷网络技术有限公司 | 一种系统日志管理方法和日志服务器 |
CN110061993B (zh) * | 2019-04-23 | 2022-06-24 | 新华三技术有限公司 | 一种包含公网出口地址的日志生成方法、装置及接入设备 |
CN110061993A (zh) * | 2019-04-23 | 2019-07-26 | 新华三技术有限公司 | 一种包含公网出口地址的日志生成方法、装置及接入设备 |
CN113326120A (zh) * | 2020-02-29 | 2021-08-31 | 杭州迪普科技股份有限公司 | 管理内存的装置和方法 |
CN113326120B (zh) * | 2020-02-29 | 2023-12-26 | 杭州迪普科技股份有限公司 | 管理内存的装置和方法 |
CN113377732A (zh) * | 2020-03-10 | 2021-09-10 | 中国移动通信集团湖南有限公司 | 收集日志的方法、装置及设备 |
WO2022063249A1 (zh) * | 2020-09-28 | 2022-03-31 | 华为技术有限公司 | 地址管理的方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105939327A (zh) | 审计日志的生成方法及装置 | |
CN106068639B (zh) | 通过dns处理的透明代理认证 | |
US7272853B2 (en) | Origination/destination features and lists for spam prevention | |
CN106131016A (zh) | 恶意url检测干预方法、系统及装置 | |
CN101005503A (zh) | 用于侦听客户端和服务之间的通信的方法和数据处理系统 | |
WO2009093226A2 (en) | A method and apparatus for fingerprinting systems and operating systems in a network | |
CN102394885A (zh) | 基于数据流的信息分类防护自动化核查方法 | |
US20090290492A1 (en) | Method and apparatus to index network traffic meta-data | |
CN108632221B (zh) | 定位内网中的受控主机的方法、设备及系统 | |
US8793802B2 (en) | System, method, and computer program product for preventing data leakage utilizing a map of data | |
CN108809895A (zh) | 弱口令的检测方法和装置 | |
CN103475746A (zh) | 一种终端服务方法及装置 | |
US20030225897A1 (en) | System and method for managing information requests | |
Sammour et al. | DNS tunneling: A review on features | |
US20100290353A1 (en) | Apparatus and method for classifying network packet data | |
CN101626375A (zh) | 域名防护系统及方法 | |
CN106161406A (zh) | 获取用户账号的方法和装置 | |
Rossy et al. | Internet traces and the analysis of online illicit markets | |
CN107733926A (zh) | 一种基于NAT的portal认证的方法及装置 | |
CN106603556A (zh) | 单点登录方法、装置及系统 | |
JP5544016B2 (ja) | Id/ロケータ分離ネットワークにおけるユーザーのicpウェブサイトログイン方法、システム及びログイン装置 | |
CN115913597A (zh) | 确定失陷主机的方法及装置 | |
JPH11252158A (ja) | 電子メール情報管理方法及び装置並びに電子メール情報管理処理プログラムを記録した記録媒体 | |
Palfrey | The public and the private at the United States border with cyberspace | |
US20090300206A1 (en) | Methods and systems for protecting e-mail addresses in publicly available network content |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160914 |