CN111106896B - 责任人定位方法、装置、设备及存储介质 - Google Patents
责任人定位方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111106896B CN111106896B CN201811258425.7A CN201811258425A CN111106896B CN 111106896 B CN111106896 B CN 111106896B CN 201811258425 A CN201811258425 A CN 201811258425A CN 111106896 B CN111106896 B CN 111106896B
- Authority
- CN
- China
- Prior art keywords
- host
- responsible person
- information
- address
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种责任人定位方法、数据发送方法、装置、设备及存储介质,通过接收在主机使用过程中的网络流量,进而根据该网络流量确定主机的主机类型,根据不同主机类型解析网络流量获取对应类型主机使用的IP地址、使用时间、责任人信息,建立并保存责任人关联关系;最后,即可在接收到查询指令时,根据查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈查询结果。这样,在溯源到问题IP地址时,即可通过之前使用时保存下来的责任人关联关系迅速确定出责任人,极大地降低了部署成本。此外,本方案在使用过程中即可进行责任人关联关系建立与保存,具有很高的普适性。
Description
技术领域
本公开涉及但不限于网络安全技术领域,具体而言,涉及但不限于一种责任人定位方法、装置、设备及存储介质。
背景技术
极光攻击、夜龙攻击等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中,国际上称之为APT(AdvancedPersistent Threat,高级持续性威胁)攻击。这类攻击使用病毒、木马作为攻击手段进行“先导攻击”,在内网中进行潜伏作业,在攻击潜伏阶段,传统网络安全设备,如部署在企业服务器区的IDS(Intrusion Detection Systems,入侵检测设备)等能很好的发现对数据中心的入侵行为,但这个行为只能溯源到IP地址。一般IP地址是动态分配的,不容易找到这个IP地址对应的具体责任人,一般需要根据时间和IP地址查询多方动态信息才有可能解决。这种做法不仅耗时费力,特别是应用于不同的企业网环境时,查询的设备和方法各有不同,造成溯源方法不能重用,增加了部署成本。因此,如何准确地定位问题主机的责任人,是本领域技术人员亟待解决的技术问题。
发明内容
本公开实施例提供一种责任人定位方法、装置、设备及存储介质,主要解决的技术问题是:如何准确地定位问题主机的责任人。
为解决上述技术问题,本公开实施例提供了一种责任人定位方法,包括:
接收在主机使用过程中的网络流量;
根据所述网络流量确定所述主机的主机类型;
在所述主机类型为办公时,解析所述网络流量获取所述主机使用的IP地址、使用时间、责任人信息;在所述主机类型为公用时,解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间和IP地址,以及所述主机的对端主机的责任人信息;
建立并保存责任人关联关系;所述责任人关联关系至少包括所述IP地址、使用时间和责任人信息这三种元素;
在接收到查询指令时,根据所述查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果;所述索引信息包括所述责任人关联关系中的至少一种元素。
本公开实施例还提供了责任人定位装置,包括:第一接收模块、处理模块和查询模块;
所述第一接收模块用于接收在主机使用过程中的网络流量;以及用于接收查询指令;
所述处理模块用于根据所述网络流量确定所述主机的主机类型;并用于在所述主机类型为办公时,解析所述网络流量中的认证信息获取所述主机使用的IP地址、使用时间、责任人信息;在所述主机类型为公用时,解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间和IP地址,以及所述主机的对端主机的责任人信息;以及用于建立并保存责任人关联关系,所述责任人关联关系至少包括所述IP地址、使用时间和责任人信息这三种元素;
所述查询模块用于在所述第一接收模块接收到查询指令时,根据所述查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果;所述索引信息包括所述责任人关联关系中的至少一种元素。
本公开实施例还提供了一种责任人定位装置,包括:接收单元、类型确定单元、解析单元、关系建立单元和查询单元;
所述接收单元用于接收在主机使用过程中的网络流量;
所述类型确定单元用于根据所述网络流量确定所述主机的主机类型;
所述解析单元用于在所述主机类型为办公时,解析所述网络流量获取所述主机使用的IP地址、使用时间、责任人信息;在所述主机类型为公用时,解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间和IP地址,以及所述主机的对端主机的责任人信息;
所述关系建立单元用于建立并保存责任人关联关系;所述责任人关联关系至少包括所述IP地址、使用时间和责任人信息这三种元素;
所述查询单元用于在接收到查询指令时,根据所述查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果;所述索引信息包括所述责任人关联关系中的至少一种元素。
本公开实施例还提供了一种责任人定位设备,包括:第一处理器、第一存储器以及第一通信总线;
所述第一通信总线用于实现所述第一处理器和第一存储器之间的连接通信;
所述第一处理器用于执行所述第一存储器中存储的一个或者多个第一程序,以实现上述责任人定位方法的步骤。
本公开实施例还提供了一种数据发送设备,包括:第二处理器、第二存储器以及第二通信总线;
所述第二通信总线用于实现所述第二处理器和第二存储器之间的连接通信;
所述第二处理器用于执行所述第二存储器中存储的一个或者多个第二程序,以实现上述数据发送方法的步骤。
本公开实施例还提供一种存储介质,所述存储介质存储有一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现责任人定位方法的步骤,或实现上述数据发送方法的步骤。
本公开的有益效果是:
本公开实施例提供的责任人定位方法、装置、设备及存储介质,通过接收在主机使用过程中的网络流量,进而根据该网络流量确定主机的主机类型,然后在主机类型为办公时,解析网络流量获取主机使用的IP地址、使用时间、责任人信息;在主机类型为公用时,解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机的责任人信息;进而建立并保存责任人关联关系(责任人关联关系至少包括IP地址、使用时间和责任人信息这三种元素);最后,即可在接收到查询指令时,根据查询指令中的索引信息(索引信息包括责任人关联关系中的至少一种元素)在保存的责任人关联关系中查找出查询结果并反馈查询结果。这样,在溯源到问题IP地址时,即可通过之前使用时保存下来的责任人关联关系迅速确定出责任人,极大地降低了部署成本。此外,本方案在使用过程中即可进行责任人关联关系建立与保存,具有很高的普适性。
本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本发明说明书中的记载变的显而易见。
附图说明
图1为本公开实施例一提供的一种责任人定位方法的流程示意图;
图2为本公开实施例一提供的一种主机类型的区别流程示意图;
图3为本公开实施例一提供的一种主机为办公主机时的信息获取示意图;
图4为本公开实施例一提供的一种主机为公用主机时的信息获取示意图;
图5为本公开实施例一提供的一种通过注销过程获取结束时间的流程示意图;
图6为本公开实施例一提供的一种新认证时确定是否新建责任人关联关系的示意图;
图7为本公开实施例一提供的一种数据发送方法的流程示意图;
图8为本公开实施例三提供的一种责任人定位设备部署图;
图9为本公开实施例三提供的一种主机类型的区分方法示意图;
图10为本公开实施例三提供的一种责任人定位的主体流程示意图;
图11为本公开实施例三提供的一种认证成功的流程图;
图12为本公开实施例三提供的一种正常注销的流程图;
图13为本公开实施例三提供的一种多次认证的流程图;
图14为本公开实施例三提供的一种借助于主机的保活信令维护四元关联关系中IP有效时间段的流程图;
图15为本公开实施例三提供的一种公用主机的使用人信息定位的流程图;
图16为本公开实施例三提供的一种信息查询的流程图;
图17为本公开实施例四提供的一种责任人定位装置的结构示意图;
图18为本公开实施例四提供的一种数据发送装置的结构示意图;
图19为本公开实施例五提供的一种责任人定位装置的结构示意图;
图20为本公开实施例五提供的一种类型确定单元的结构示意图;
图21为本公开实施例五提供的一种解析单元的结构示意图;
图22为本公开实施例五提供的又一种解析单元的结构示意图;
图23为本公开实施例五提供的一种较具体的责任人定位装置结构示意图;
图24为本公开实施例五提供的又一种较具体的责任人定位装置结构示意图;
图25为本公开实施例六提供的一种责任人定位设备的结构示意图;
图26为本公开实施例六提供的一种数据发送设备的结构示意图。
具体实施方式
现在将参考附图更详细地描述本公开构思的各个实施例。但是,本公开构思可被以很多不同的形式具体实施,并且不应被理解为仅限于所示出的实施例。相反,提供这些实施例以使本公开将会透彻和完整,并且将向本领域技术人员全面地传达本公开构思的范围。贯穿上面描述和附图,相同的参考数字和标记代表相同或者类似的元素。
应当理解的是,尽管这里可能使用术语第一、第二等来描述各种元件或操作,但是这些元件或操作不应被这些术语限制。这些术语只被用来将一个元件或操作与另一个加以区分。例如,第一单元可以被称为第二单元,并且类似地,第二单元可以被称为第一单元而不偏离本公开的教导。
这里使用的术语仅仅是为了描述特定实施例,并非旨在限制本公开构思。如这里所使用的,单数形式“一”、“一个”和“该”预期也包括复数形式,除非上下文清楚地另有指示。还应当理解的是,术语“包含”或“包括”在本说明书中被使用时,规定了存在所陈述的特征、区域、部分、步骤、操作、元件,和/或部件,但是不排除存在或者添加一个或更多个其他的特征、区域、部分、步骤、操作、元件、部件,和/或其组。
除非另外定义,否则这里使用的所有术语(包括技术和科学术语)具有和本公开所属技术领域的技术人员通常理解的相同的含义。还应当理解的是,例如在常用词典中定义的那些的术语应该被解释为具有与其在相关技术和/或本公开的上下文中的含义相符的含义,并且将不会以理想化或者过于形式化的意义解释,除非这里明确地如此定义。
下面通过具体实施方式结合附图对本公开实施例作进一步详细说明。
实施例一:
参见图1所示,图1为本公开实施例一提供的责任人定位方法,包括:
S101:接收在主机使用过程中的网络流量;
这里需要说明的是,本实施例中所述的主机使用过程中的网络流量是指:主机在与服务器、对端主机等设备进行数据交互时所产生的数据信息,其包括主机发送给服务器、对端主机等设备的数据,也包括服务器、对端主机等设备发送给主机的数据。事实上,由于主机在与服务器、对端主机等设备进行数据交互时通常都需要通过交换设备(例如交换机等)来实现数据的中转传输。那么在本实施例中,可以由交换设备在进行数据的中转传输时,将数据同时也发送给用于实现本公开实施例所提供的责任人定位方法的设备中。
S102:根据接收到的网络流量确定主机的主机类型;
在本实施例中,主机类型有两类,分别为办公主机和公用主机。对于办公主机而言,该主机通常为专用的,使用人员通常是固定不变的。而对于公用主机而言,该主机是公用的(例如测试机等),使用人员往往是不断变动的。
为自动区别出两种主机类型,参见图2所示,本实施例中可以通过以下流程区别出主机具体为办公主机还是为公用主机:
S201:根据网络流量统计使用中的网段;
在本实施例中,可以统计企业内部所有使用中的网段,此外还可以统计网段内所有活跃IP,IP访问对端,访问时间等。
S202:计算网段内主机的特征;
在本实施例中,主机的特征包括以下特征中的至少一种:主动建立连接的次数,被动建立连接的次数,主动建立连接的主机个数(即该主机主动与多少主机建立连接),被动建立连接的主机个数(即多少主机主动与该主机建立连接),输入、输出流量,服务类型,端口号。在本实施例的一种具体实施方式中,特征可以包括:主动建立连接的次数,被动建立连接的次数,主动建立连接的主机个数输入、输出流量,服务类型和端口号。此外,需要理解的是,本实施例中所述的计算特征是指的计算某一特征的特征值。
S203:在特征满足预设公用主机条件时,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。
在本实施例中,可以为各个特征预先设定对应的阈值。需要理解的是,阈值的设置可以是根据企业内部网络的实际情况设置,例如根据企业内网中主机数量等进行设置。例如对于主动建立连接的主机个数这一特征,设企业内网中主机数量为1000,则可以设置主动建立连接的主机个数的阈值为500。
在本实施例的一种具体实施方式中,可以设定:在所有特征的特征值均达到各特征对应的预设阈值时,特征满足预设公用主机条件,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。在本实施例的另一种具体实施方式中,可以设定:在存在至少一种特征的特征值均达到各特征对应的预设阈值时,特征满足预设公用主机条件,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。
S103:在主机类型为办公时,解析网络流量获取主机使用的IP地址、使用时间、责任人信息;在主机类型为公用时,解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机的责任人信息;
在本实施例中,用户通过办公主机上网需要通过认证过程,因此可以通过查询认证用户名的方式定位使用人。
在本实施例中,在主机为办公主机时,网络流量中会包括认证请求和认证结果消息(如认证成功消息和认证失败消息)。参见图3所示,在本实施例中,解析网络流量获取主机使用的IP地址、使用时间、责任人信息可以通过以下步骤实现:
S301:在接收到主机的认证请求时,缓存主机的认证信息;
在本实施例中,认证信息至少包括认证标识信息与时间戳信息;其中所述认证标识信息为主机的责任人信息,时间戳信息对应主机的使用时间。需要说明的是,在本实施例中,使用时间可以包括起始时间和结束时间,认证信息中的时间戳信息实质为起始时间。但应当理解的是,对于使用时间而言也可以仅包含起始时间,此时可以设定默认该办公主机的下一次认证信息中的起始时间即为本次的结束时间。
S302:在接收到认证成功消息时,获取主机的IP地址。
在本实施例中,在返回认证成功消息时,认证成功消息中可以携带主机的IP地址。此外,认证成功消息中也可以携带主机的IP地址,事实上在认证成功后,主机即可接入服务器分配的IP地址,在此过程中也可获取到主机的IP地址。
还需要说明的是,若没有接收到认证成功消息,而是接收到认证失败消息时,此时即表明该主机不能被当前人员使用,因此此时获取责任人的无用,因此可以清除缓存的认证信息。
应当理解的是,对于公用主机而言,其可以是用作服务器或者共享机的设备,例如测试用机等,用户是通过远程访问方式使用,因此这类主机不会向认证服务器发送认证消息。此时,参见图4所示,在本实施例中,对于公用主机,解析网络流量进行远程连接协议还原,获取主机的使用时间以及主机的对端主机使用的IP地址和责任人信息可以通过以下步骤实现:
S401:解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机使用的IP地址;
这里需要说明的是,定位设备可以接收到网络流量的时间作为主机的使用时间。此外,可以通过主机IP接入过程中的相关数据获取到主机的IP地址。这里需要说明的是,对于公用主机而言,其IP地址往往是固定的。
S402:根据对端主机使用的IP地址以及已存储有的责任人关联关系,获取到IP地址对应的责任人信息。
在本实施例中,由于用户是通过远程访问方式使用的公用主机,因此公用主机的实际使用人实质是该公用主机的对端主机的使用人。因此本实施例中,在获取到对端主机使用的IP地址后,可以根据已存储有的责任人关联关系确定出对端主机的责任人信息,进而将其确定为公用主机在当前使用时段的责任人信息。
这里需要说明的是,对于对端主机而言,由于其实用户直接使用的,因此必然是办公主机,因此用户在通过远程访问方式使用的公用主机时,必然需要同步使用一个办公主机,而基于图3中的步骤即下文S104的步骤,必然会生成有对端主机的责任人关联关系,基于此,通过对端主机使用的IP地址在该责任人关联关系中即可找到对应的责任人信息。
S104:建立并保存责任人关联关系;
在本实施例中,责任人关联关系至少包括IP地址、使用时间和责任人信息这三种元素。
在本实施例中的一种具体实施方式中,责任人关联关系可以为:“主机类型-IP地址-时间段-责任人”四元关联关系。
S105:在接收到查询指令时,根据查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈该查询结果。
在本实施例中,索引信息应当包括责任人关联关系中的至少一种元素,以保证可以在责任人关联关系中查找出所需结果。例如,索引信息中可以包含IP地址和使用时间,基于此即可确定出该IP地址在该使用时间上对应的责任人是谁。
在本实施例中,在办公主机的一次使用过程中,只要认证成功即会建立并保存责任人关联关系。而在本实施例中,认证信息中的时间戳信息实质是使用开始时间,那么为保证可以准确定位到责任人的实际使用时间段,因此本实施例中可以设定注销机制,即责任人在使用完毕主机后,可以通过注销来确定使用完毕,此时注销时间即为使用结束时间。具体的,可以参见图5所示,包括:
S501:在接收到主机的注销请求时,缓存主机的注销信息;
在本实施例中,注销信息至少包括认证标识信息与时间戳信息。
S502:在接收到注销成功消息时,依据认证标识信息找出与认证标识信息对应的责任人关联关系,将注销信息中的时间戳信息加入到责任人关联关系中作为使用结束时间。
这里应当理解的是,找出的与认证标识信息对应的责任人关联关系应当是最新保存的那一条责任人关联关系。也即找出的与认证标识信息对应的责任人关联关系应当是责任人本次使用主机时保存下来的那一条责任人关联关系。
需要理解的是,在实际使用过程中,大部分的人往往不会触发注销流程,更多的是直接关机等。这种情况下,即始终无法获取到主机的注销请求和服务器的响应消息。为此,参见图6所示,本实施例中可以通过以下步骤进行处理:
S601:在接收到主机的新的认证请求时,缓存主机的认证信息;
在本实施例中,认证信息至少包括认证标识信息与时间戳信息;其中所述认证标识信息为主机的责任人信息,时间戳信息对应主机的使用时间。
S602:在接收到针对新的认证请求的认证成功消息时,获取主机的当前IP地址;
S603:若当前IP地址以及认证信息中的认证标识信息与前一次保存的责任人关联关系中的IP地址以及责任人信息一致,且该责任人关联关系中不存在使用结束时间,则不进行更新操作;否则,依据认证信息以及当前IP地址新建责任人关联关系并保存。
在新建责任人关联关系并保存后,即认为上一条责任人关联关系中的使用结束时间为本条责任人关联关系的开始时间。
在本实施例中,为了得到结束时间,还可以在认证成功,建立并保存了责任人关联关系之后,通过接收保活消息的方式来确定结束时间,具体的:可以设置主机每隔一定时间即发送一个保活消息,责任人定位设备可以接收主机的保活消息,并在超过预设时长阈值未接收到主机的保活消息时,记录当前时间TS。
在本实施例中,可以直接将当前时间TS作为使用结束时间插入到责任人关联关系中,实现对责任人关联关系中结束时间的添加。此外,也可以,依据主机的认证信息、IP地址以及当前时间TS新建使用时间关系,并保存使用时间关系。例如生成并保存一个{host_type,IP1,ts1,ts2}数据(host_type标识主机类型、IP1标识主机IP地址、ts1标识开始时间、ts2标识结束时间)。应当理解的是,上述两种设置结束时间的方式可以同时采用。
应当理解的是,为了保证责任人定位设备可以接收到主机使用过程中的网络流量,本实施例中还提供了一种数据发送方法,参见图7所示,包括:
S701:接收主机和/或服务器发送的数据;
应当理解的是,本实施例中的数据发送方法可以应用于数据转发设备(如交换机、路由器)中。
S702:将数据复制并发送给责任人定位设备,以供责任人定位设备建立并保存责任人关联关系。
在本实施例中,数据转发设备在接收到主机和/或服务器发送的数据时,会将其正常转发至目标设备,例如服务器针对主机的认证请求返回了认知成功消息时,数据转发设备会将该认知成功消息转发给主机,但也会复制一份认知成功消息转发给责任人定位设备。
事实上,在主机与其他设备(如服务器)交互过程中所产生的所有数据均可以复制并发送给责任人定位设备。以认证过程为例,主机生成并发送包含认证信息的认证请求给数据转发设备,数据转发设备将该认证请求转发给认证服务器,同时复制该认证请求发送给责任人定位设备。认证服务器针对该认证请求生成了响应消息并发给数据转发设备,数据转发设备将该响应消息转发给主机,同时复制该响应消息发送给责任人定位设备。
此外,在本实施例中,若主机发送保活消息,在本实施例中主机可以是将保活消息发送给数据转发设备,由数据转发设备将保护消息转发给责任人定位设备。但是本实施例中也可以是主机直接将保活消息发送给责任人定位设备(此时需要构建主机和责任人定位设备之间的直接通信通道)。
根据本公开实施例提供的责任人定位方法及数据发送方法,通过接收在主机使用过程中的网络流量,进而根据该网络流量确定主机的主机类型,然后在主机类型为办公时,解析网络流量获取主机使用的IP地址、使用时间、责任人信息;在主机类型为公用时,解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机的责任人信息;进而建立并保存责任人关联关系(责任人关联关系至少包括IP地址、使用时间和责任人信息这三种元素);最后,即可在接收到查询指令时,根据查询指令中的索引信息(索引信息包括责任人关联关系中的至少一种元素)在保存的责任人关联关系中查找出查询结果并反馈查询结果。这样,在溯源到问题IP地址时,即可通过之前使用时保存下来的责任人关联关系迅速确定出责任人,极大地降低了部署成本。此外,本方案在使用过程中即可进行责任人关联关系建立与保存,具有很高的普适性。
实施例二:
本实施例在上述实施例一的基础上,提供了一种主机的责任人定位方法和设备。具体的:
主机责任人定位设备接收镜像的网络流量,以统计方式计算网段内主机特征判定主机类型(办公主机和公用主机)。对于办公主机,解析认证消息获取“主机类型-IP地址-时间段-责任人”四元关联关系;对于公用主机,解析远程连接协议,用对端主机IP地址查询责任人信息,获取“主机类型-IP地址-时间段-责任人”四元关联关系。
主机责任人定位设备维护“主机类型-IP地址-时间段-责任人”四元关联关系。具体的:定位设备在收到认证服务器的注销响应时,更新四元管理关系的结束时间。定位设备在未收到注销消息时又收到认证消息,如果主机IP地址不存在就新增一条记录;如果主机IP地址存在且存在结束消息就新增一条记录;如果主机IP地址存在,且存在记录身份消息与新身份消息一致,且没有结束消息,则不用更新记录;如果主机IP地址存在,且已存在的记录和新身份不一致,且不存在结束时间,则将新记录的时间信息记为存在记录的结束时间,然后新增一条记录。
主机责任定位设备依据IP地址或者人员信息为索引查询信息,反馈对应的IP地址或人员信息的结果,用以确认问题设备对应的人员信息。从而能够确定在每个给定的时间点或时间段上,IP地址所对应的一个或者多个责任人。
在本实施例中,主机的责任人是指:主机所归属的人员或者公用主机的常用人员。
实施例三:
本实施例在上述实施例二的基础上,提供了一种主机的责任人定位方法和设备。具体的:
参见图8所示,图8为本发明主机责任人定位设备部署示意图,部署方式如下:
主机责任人定位设备以旁路方式部署在路由转发设备(如交换机、路由器)附近,接收路由转发设备镜像的网络流量。同时路由转发设备支持查询接口,接收IDS等查询单元的信息查询消息,并返回查询结果。
本实施例中,用户通过办公主机上网需要通过认证过程,因此可以通过查询认证用户名的方式定位使用人。但是,主机中还包括一类用作服务器或者共享机的设备,例如测试用机等,用户是通过远程访问方式使用,因此这类主机不会向认证服务器发送认证消息。
图9为本发明办公主机和公用主机区分过程,具体步骤如下:
步骤901:根据镜像到的企业内部流量,统计企业内部所有使用中的网段,并统计网段内所有活跃IP,IP访问对端,访问时间。
步骤902:计算网段内主机的相关特征,包括主动、被动建立连接的次数,主动与多少主机建立连接,有多少主机主动与其建立连接,输入、输出流量,服务类型和端口号等。
步骤903:通过步骤902中计算得出的特征值,对于不同特征值设置不同阈值(阈值的设置是根据企业内部网络的实际情况设置,比如说企业内网中主机数量等),一旦所有特征值对应相应阈值关系成立,即认为该主机为公用主机(公用主机的IP地址通常是不变的),否则为办公主机。
通过上述过程,即可以区分办公主机和公用主机。
图10为本发明原理流程图,具体包括如下步骤:
步骤1001,交换设备(图10中的路由器)一方面根据交换路由协议将消息转发到相应服务器或主机,一方面将消息复制(例如,镜像或分光)并传递到定位设备(图10中的主机责任人定位设备)。
步骤1002,主机责任人定位设备利用镜像到的流量进行协议还原,截取用户名以及关键的认证信息。主机责任人定位设备主要解析两种消息,一种是用来定位普通主机的使用人员(普通主机指的是该主机通常为专用的,使用人员通常是固定不变的),这种情况下我们解析主机到认证服务器之间的交互报文,提取了报文中身份对应信息和时间戳信息;另一种用来定位公用主机的常用人员,这种情况下我们首先识别主机的类型(识别当前主机是否为公用主机),确认是公用主机后,分析公用主机的访连接消息,包括访问人身份和访问时间,并对信息进行实时存储。在需要定位时,便可以获取任意时间点或时间段内问题主机使用人。
步骤1003,通过步骤1002可以获取“主机类型-IP地址-时间段-责任人”四元关联关系,并更新关联关系数据表。
步骤1004,通过查询单元查询获取某个主机在某个时间段使用人信息,可以输入该主机的IP地址查询到该IP的所有使用人情况;或者可以输入员工信息查询到该员工所使用的相关主机信息。查询单元可以是IDS、防火墙、管理设备等需要获得问题设备所属人员信息的功能单元。
步骤1005,根据步骤1004输入的信息查询到该主机不同时间段对应责任人情况。
图11~图14描述的是企业内办公主机的用户信息识别过程。
图11为实施例的认证成功流程图,具体步骤如下:
步骤1101,主机向认证服务器发送认证请求,其中携带有身份信息,例如员工的工号。交换设备根据交换路由协议一方面将消息转发到认证服务器,一方面将消息复制(例如,镜像或分光)并转发到定位设备,定位设备在本地缓存该主机的认证信息标识、时间戳信息。
步骤1102,认证服务器向主机返回认证结果,交换设备根据交换路由协议一方面将消息转发给主机,一方面将消息复制到定位设备。
在本实施例中,假定返回成功认证的消息,此时,定位设备找到步骤1101中的缓存的信息(缓存的信息包括:主机类型,主机的认证信息标识和时间戳信息),并直接或者依据认证成功消息来确定主机IP地址,确认“主机类型-主机IP-身份信息”对应关系成立,且成立的时间点为记录的时间戳。
在步骤1102中,定位设备根据认证信息标识来找到所述缓存的信息。认证信息标识可以是主机的IP地址(例如,从请求消息中源IP地址或应答消息中的目的IP地址来获得);也可以是主机和服务器之间交互的用于认证的消息的标识(例如:序列号)来找到所述的缓存。
在确定主机类型-IP地址-身份信息对应关系成立以后,将主机类型-IP地址-身份信息对应关系,以及时间点更新到数据库。在更新的过程中,分以下几种情况考虑:
情况1.如果主机的IP地址在数据库中不存在,则新增一条记录,其中包括主机的IP地址、身份信息、起始时间点、结束时间。以IP=192.168.1.2,身份信息=zhangsan,起始时间=2017-05-01 12:30:05为例(此时不需要结束时间,表示到目前为止对应关系一直有效),表示从2017-05-01 12:30:05开始,IP地址为192.168.1.2的主机的身份信息为zhangsan。根据具体的使用环境,可以表示从这个时间点开始,zhangsan开始使用IP地址为192.168.1.2的主机。
情况2.如果主机的IP地址存在,且存在开始时间和结束时间信息,则表示在前一个时间段里,该IP地址在这一时间段内有对应的身份信息,例如从2017-04-30 08:30:00到2017-05-01 12:30:00这一时间段内IP=192.168.1.2对应身份信息=李四。此时,也新增一条记录。
情况3.如果主机的IP地址存在,已存在的记录中的身份信息和在步骤402中确定的身份信息一致,且没有结束时间信息,则不用更新记录,仍然表示IP和身份信息到目前为止一致有效。
值得说明的是,上述情况1-情况3是基于IP地址存在或不存在进行的处理,同样也可以基于身份信息的存在或不存在来进行处理,将情况1-情况3中的主机IP地址和身份信息对调即可,不再赘述。下表1及反应了上述情况1至3的条件及对应操作。
表1
情况 | IP地址是否存在 | 是否存在结束时间信息 | 存在的身份信息是否与上一条记录中的身份信息一致 | 是否需要更新数据库 |
1 | 不存在 | 不存在 | 一致 | 新增一条记录 |
2 | 存在 | 存在 | 不限 | 新增一条记录 |
3 | 存在 | 不存在 | 一致 | 不更新 |
以上示意图仅是示意了认证成功,在实际场景中,认证过程可以任意复杂,但定位设备只关注几个关键信息。
以下是主机基于不同协议的两种认证方式,方式一为基于802.1x协议,方式二为基于http digest。
方式一:当主机基于802.1x协议进行认证时,
步骤1:主机向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入,
步骤2:接入设备向主机发送EAP-Request/Identity报文,要求主机将用户名送上来,
步骤3:主机回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名,
步骤4:接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器。此时,该消息为步骤1101所述的“认证消息”。
步骤5:定位设备通过解析该消息的RADIUS Access-Request报文可以得到身份信息,同时以该消息的源MAC地址作为步骤1101中所述的认证信息标识,可以得到“认证信息标识-身份信息-时间戳”信息;
步骤6:认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给主机,其中包含有EAP-Request/MD5-Challenge,
步骤7:接入设备通过EAP-Request/MD5-Challenge发送给主机,要求主机进行认证;
步骤8:主机收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备,
步骤9:接入设备将Challenge,Challenged Password和用户名一起送到RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统)服务器,由RADIUS服务器进行认证,
步骤10:RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权,
步骤11:定位设备将发送给主机的消息的目的mac地址作为所述认证信息标识,可以找到缓存的“主机类型-认证信息标识-身份信息-时间戳”,并明确对应关系成立。
步骤12:认证通过后,用户通过标准的DHCP(Dynamic HostConfigurationProtocol,动态主机配置协议)协议(也可以是DHCP Relay),通过接入设备获取规划的IP地址,此时消息中也会携带主机的mac地址。
步骤13:定位设备在后续的DHCP ACK报文中,可以获得主机的mac地址和分配的IP地址。这样,定位设备将mac地址作为所述的认证信息标识找到缓存的“主机类型-认证信息标识-身份信息”,能得到主机类型-主机IP地址-身份信息-时间戳。
在上述过程中,在认证成功时,认证服务器也可以直接在返回的应答消息中返回分配给主机的IP地址,此时,定位设备可以在该消息中同时获得主机的IP地址。这样,如步骤402所述,定位设备通过主机的mac地址找到所述的缓存的信息,并通过认证服务器返回的应答消息直接获取到主机IP地址。
方式二:当主机基于http digest进行认证时,
步骤1:主机希望取到服务器上的某个资源,则向服务器发送Get请求;
步骤2:服务器收到主机的请求后,发现这个资源需要认证信息,判断请求报文中是否带有Authorization头,如果没有,返回一个401(Unauthorized)给主机。在这个401的回复中,同时服务器会加入一个WWW-Authenticate的头;
步骤3:主机收到服务器的401(Unauthorized)回复后,使用服务器回复报文中的nonce值,加上username,password,http method,http uri利用MD5(或者服务器指定的其他算法)计算出request-digest,作为repsonse头域的值,发送给服务器,这条消息就是步骤1101中的认证消息;
步骤4:服务器收到该消息后,根据消息中的username,查找出用户的password,用和主机同样的方法计算出request-digest(response)。然后和收到的request-digest进行对比,如果一致,则验证成功,接受主机的请求,成功返回结果,此时我们获得步骤1102中的四元关系。
此外,步骤1101和步骤1102不限于初始认证过程,也可以是主机在初始接入认证后,与认证服务器之间的重认证过程或者保活过程,例如在保活过程中,主机定时向服务器发送包含用户名信息的keep-alive报文,从该报文中可以获取到四元对应关系。
图12为本实施例中正常注销流程图,即“主机类型-IP地址-时间段-责任人”四元关联关系结束时间,具体步骤如下:
步骤1201,主机基于802.1x进行认证时,注销时主机发送EAP-Logoff注销请求报文,同时交换设备消息复制(例如,镜像或分光)并传递到定位设备。定位设备在本地缓存该主机的认证信息标识、时间戳信息。
步骤1202,获得服务器确认注销成功之后,获取该主机类型-IP地址-身份信息对应关系有效以后,将该信息以及时间点更新到数据库。查找到与该IP地址相关的记录,判断身份信息是否相同,相同则将此次获得的时间作为该条记录的结束时间。
图13为本实施例在无法获取到主机的注销请求和认证服务器的响应消息情况下四元关联关系处理流程,具体步骤如下:
实际情况下,大部分的人不会触发注销流程,更多的是直接关机等,这种情况下,我们始终无法获取到主机的注销请求和认证服务器的响应消息,此时如果收到新的认证消息,我们需要采取另一种处理方法对四元关系进行更新。
步骤1301和步骤1302采用如图11所示实施方式在确定主机类型-IP-身份信息-时间戳对应关系后,将信息保存到数据库。
步骤1303、1304为新发起的认证消息,在这之前定位设备未收到注销请求消息,四元关系更新分以下几种处理情况考虑:
情况1.如果主机的IP地址不存在,则新增一条记录,其中包括主机类型、IP、身份信息、起始时间点、结束时间。以IP=192.168.1.2,身份信息=zhangsan,起始时间=2017-05-01 12:30:05为例(此时不需要结束时间,表示到目前为止对应关系一直有效),表示从2017-05-01 12:30:05开始,IP地址为192.168.1.2的主机的身份信息为zhangsan。根据具体的使用环境,可以表示从这个时间点开始,zhangsan开始使用IP地址为192.168.1.2的主机。
情况2.如果主机的IP地址存在,且存在结束时间信息,则表示在前一个时间段里,该IP地址有对应的身份信息,例如从2017-04-30 08:30:00到2017-05-0112:30:00这段时间IP=192.168.1.2对应身份信息=李四。此时,与上述情况1处理一致,也新增一条记录。
情况3.如果主机的IP地址存在,已存在的记录中的身份信息和在步骤602中确定的身份信息一致,且没有结束时间信息,则不用更新记录,仍然表示IP和身份信息到目前为止一致有效。
情况4.如果主机的IP地址存在,已存在的记录中的身份信息和在步骤602中确定的身份信息不一致,不存在结束时间,则将新记录的时间信息作为该条记录的结束时间,然后新增一条记录,例如数据库中已存在从2017-04-3008:30:00开始IP=192.168.1.2对应身份信息=李四,新记录为2017-05-01 12:30:00开始IP=192.168.1.2对应身份信息=张三,则将原纪录修改为2017-04-30 08:30:00到2017-05-01 12:30:00这段时间IP=192.168.1.2对应身份信息=李四,并新增记录。下表2及反应了上述情况1至4的条件及对应操作。
表2
情况 | IP地址是否存在 | 是否存在结束时间信息 | 存在的身份信息是否与步骤502中的身份信息一致 | 是否需要更新数据库 |
601 | 不存在 | 不存在 | 一致 | 新增一条记录 |
602 | 存在 | 存在 | 不限 | 新增一条记录 |
603 | 存在 | 不存在 | 一致 | 不更新 |
604 | 存在 | 不存在 | 不一致 | 新增一条记录,并更新上一条记录的结束时间 |
具体操作时,可以定义两张数据表,一张表为当前IP-user关系表,表示当前IP和用户的对应关系,包含四个字段:{HOST_TYPE,IP,START_TIME,USER_ID};一张历史IP-user关系表,表示IP和用户的历史对应关系,包含五个字段:{HOST_TYPE,IP,START_TIME,END_TIME,USER_ID}。
当我们从步骤1302中获得的四元对应关系{host_type,IP,ts1,user1}之后,我们查询当前IP-user关系表中,若表中不存在该IP,对应上述情况1,直接添加新条目{host_type,IP,ts1,user1},若已存在该IP,开始时间为ts_old,USER_ID字段内容user_old和当前user1不同,则将{host_type,IP,ts_old,ts1,user_old}存入历史IP-user关系表,此时对应情况2,直接在IP-user关系表中的添加{host_type,IP,ts1,user1}记录;若当前表中存在该IP记录,且USER_ID字段内容user_old和当前user1相同,则不更新表内容,此时对应情况3。
值得说明的是,上述表结构只是一种实现方式,等同的类似实现方式很多,不一一穷举。
图14为本实施例考虑网络本身的不稳定等原因,借助于主机的保活信令,维护四元关联关系中IP有效时间段的处理实施方式,具体步骤如下:
实际情况下,因为网络本身的不稳定等原因,丢包的情况时常发生,若如图14所示,步骤1401和1402即是与图11相同的认证过程。在步骤1402获取对应关系后,若迟迟未收到该对应关系中IP的注销消息或者被其他用户占用的消息,这种情况下,若我们查询该IP对应用户标识,实际上可能此时该IP已经被释放,然而数据库中并没有更新,从而出现关联不准确的情况。
图14所示处理流程,在步骤1401和1402之后,步骤1403、步骤1404…即会接收主机发送来的保活消息。借助步骤1403、1404主机的周期保活信令,维护IP有效时间段,比如IP1在ts1开始被user1占用,之后,主机每隔一段很小的时间就会向服务器发送保活消息,我们统计该保活消息,当一段时间后的ts2没有收到主机的保活信令之后,我们认为该IP1已经被释放,即占用IP1的用户user1已下线,那么我们在数据库中维护IP1的相关信息,插入数据{host_type,IP1,ts1,ts2}。
上述过程中,步骤1402之后在确定主机类型-IP地址-身份信息对应关系有效以后,将该信息,以及时间点不断更新到数据库。在更新的过程中,分以下几种情况考虑:
情况1.如果主机的IP地址不存在,则新增一条记录,其中包括IP、身份信息、起始时间点、结束时间。以IP=192.168.1.2,身份信息=zhangsan,起始时间=2017-05-01 12:30:05为例(此时不需要结束时间,表示到目前为止对应关系一直有效),在图11所述实施例中我们提过,四元对应关系的获取不限于初始认证过程,也可是主机在初始接入认证后,与认证服务器之间的重认证过程,即可能在2017-05-01 12:30:05之前的某一时刻,IP地址为192.168.1.2的主机的身份信息已经为zhangsan,此时查询维护的IP有效时间段表,若发现IP=192.168.1.2的开始活跃时间早于2017-05-01 12:30:05,那么,我们把起始时间改为该IP开始活跃的时间点,比如2017-05-01 12:30:05,根据具体的使用环境,可以表示从这个时间点开始,zhangsan开始使用IP地址为192.168.1.2的主机,否则,直接新增记录。
情况2.如果主机的IP地址存在,且存在结束时间信息,则表示在前一个时间段里,该IP地址有对应的身份信息,例如从2017-04-30 08:30:00到2017-05-0112:30:00这段时间IP=192.168.1.2对应身份信息=李四。此时,与上述情况1处理一致,也新增一条记录,新增过程依旧需要查询IP活跃时间段。
情况3.如果主机的IP地址存在,已存在的记录中的身份信息和在步骤702中确定的身份信息一致,且没有结束时间信息,则不用更新记录,仍然表示IP和身份信息到目前为止一致有效。
情况4.如果主机的IP地址存在,已存在的记录中的身份信息和在步骤702中确定的身份信息不一致,不存在结束时间,此时我们查询IP活跃时间段,寻找当前活跃时间段的上一时间端的结束时间作为数据库中原有记录的结束时间,当前活跃时间段的开始时间作为新纪录开始时间,然后新增一条记录。例如数据库中已存在从2017-04-30 08:30:00开始IP=192.168.1.2对应身份信息=李四,新记录为2017-05-01 12:30:00开始IP=192.168.1.2对应身份信息=张三,查询IP活跃时间段,得到{192.168.1.2,2017-04-3008:30:00,2017-05-01 12:00:00}则将原纪录修改为2017-04-30 08:30:00到2017-05-0112:00:00这段时间IP=192.168.1.2对应身份信息=李四,并新增记录,新增记录时依旧需要查询IP活跃时间段。下表3及反应了上述情况1至4的条件及对应操作。
表3
情况 | IP地址是否存在 | 是否存在结束时间信息 | 存在的身份信息是否与步骤602中的身份信息一致 | 是否需要更新数据库 |
701 | 不存在 | 不存在 | 一致 | 新增一条记录 |
702 | 存在 | 存在 | 不限 | 新增一条记录 |
703 | 存在 | 不存在 | 一致 | 不更新 |
704 | 存在 | 不存在 | 不一致 | 新增一条记录,并更新上一条记录的结束时间 |
以上图11~图14是办公主机用户身份识别过程,图15为公用主机的常用用户的识别过程:
步骤1501:利用镜像到的流量进行协议还原,获取当前公用主机的对端IP地址。
步骤1502:根据主机类型-IP地址-身份信息-时间戳四元关系表,从中找到对应IP地址在相应时间范围内相关用户信息。
步骤1503:将获取到主机类型(公用主机),IP地址(公用主机IP地址,通常不变),身份信息(对端主机使用人)和时间戳更新到四元关系表。
图16为本实施例中四元关联关系信息的查询实施方式,具体包括如下步骤:
步骤1601:查询设备发送查询请求到责任人定位设备,查询请求包括所查询主机类型,用户标识,以及起始时间和结束时间。例如,JSON封装用户标识,起始时间和结束时间,并通过HTTP(HyperText Transfer Protocol,超文本传送协议)协议POST方法提交到服务器。同样,也可以查询一个IP地址在一个时间段内的用户信息。
步骤1602:责任人定位设备响应请求,返回查询信息。责任人定位设备收到并解析查询请求,根据参数从数据库中查询相关信息,并封装成JSON格式上传到查询设备。这样就可以知道该用户在不同时间段对应的IP地址。
实施例四:
本实施例提供了一种责任人定位装置。参见图17,图17为本实施例提供的一种责任人定位装置17,包括:第一接收模块171、处理模块172和查询模块173。其中:
第一接收模块171用于接收在主机使用过程中的网络流量;以及用于接收查询指令;
处理模块172用于根据所述网络流量确定主机的主机类型;并用于在主机类型为办公时,解析网络流量中的认证信息获取所述主机使用的IP地址、使用时间、责任人信息;在主机类型为公用时,解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机的责任人信息;以及用于建立并保存责任人关联关系。其中,责任人关联关系至少包括IP地址、使用时间和责任人信息这三种元素;
查询模块173用于在第一接收模块171接收到查询指令时,根据查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果;索引信息包括责任人关联关系中的至少一种元素。
这里需要说明的是,本实施例中所述的主机使用过程中的网络流量是指:主机在与服务器、对端主机等设备进行数据交互时所产生的数据信息,其包括主机发送给服务器、对端主机等设备的数据,也包括服务器、对端主机等设备发送给主机的数据。事实上,由于主机在与服务器、对端主机等设备进行数据交互时通常都需要通过交换设备(例如交换机等)来实现数据的中转传输。那么在本实施例中,可以由交换设备在进行数据的中转传输时,将数据同时也发送给第一接收模块171。
在本实施例中,主机类型有两类,分别为办公主机和公用主机。对于办公主机而言,该主机通常为专用的,使用人员通常是固定不变的。而对于公用主机而言,该主机是公用的(例如测试机等),使用人员往往是不断变动的。
为自动区别出两种主机类型,本实施例中处理模块172根据网络流量确定主机的主机类型可以包括:根据网络流量统计使用中的网段;计算网段内主机的特征;特征包括以下特征中的至少一种:主动建立连接的次数,被动建立连接的次数,主动建立连接的主机个数,被动建立连接的主机个数,输入、输出流量,服务类型,端口号;在特征满足预设公用主机条件时,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。
在本实施例中,可以统计企业内部所有使用中的网段,此外还可以统计网段内所有活跃IP,IP访问对端,访问时间等。
在本实施例的一种具体实施方式中,特征可以包括:主动建立连接的次数,被动建立连接的次数,主动建立连接的主机个数输入、输出流量,服务类型和端口号。此外,需要理解的是,本实施例中所述的计算特征是指的计算某一特征的特征值。
在本实施例中,可以为各个特征预先设定对应的阈值。需要理解的是,阈值的设置可以是根据企业内部网络的实际情况设置,例如根据企业内网中主机数量等进行设置。
在本实施例的一种具体实施方式中,可以设定:在所有特征的特征值均达到各特征对应的预设阈值时,特征满足预设公用主机条件,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。在本实施例的另一种具体实施方式中,可以设定:在存在至少一种特征的特征值均达到各特征对应的预设阈值时,特征满足预设公用主机条件,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。
在本实施例中,用户通过办公主机上网需要通过认证过程,因此可以通过查询认证用户名的方式定位使用人。
在本实施例中,在主机为办公主机时,网络流量中会包括认证请求和认证结果消息(如认证成功消息和认证失败消息)。在本实施例中,处理模块172解析网络流量获取主机使用的IP地址、使用时间、责任人信息可以通过以下步骤实现:
在接收到主机的认证请求时,缓存主机的认证信息;进而在接收到认证成功消息时,获取主机的IP地址。
在本实施例中,认证信息至少包括认证标识信息与时间戳信息;其中所述认证标识信息为主机的责任人信息,时间戳信息对应主机的使用时间。需要说明的是,在本实施例中,使用时间可以包括起始时间和结束时间,认证信息中的时间戳信息实质为起始时间。但应当理解的是,对于使用时间而言也可以仅包含起始时间,此时可以设定默认该办公主机的下一次认证信息中的起始时间即为本次的结束时间。
在本实施例中,在返回认证成功消息时,认证成功消息中可以携带主机的IP地址。此外,认证成功消息中也可以携带主机的IP地址,事实上在认证成功后,主机即可接入服务器分配的IP地址,在此过程中也可获取到主机的IP地址。
还需要说明的是,若没有接收到认证成功消息,而是接收到认证失败消息时,此时即表明该主机不能被当前人员使用,因此此时获取责任人的无用,因此可以清除缓存的认证信息。
应当理解的是,对于公用主机而言,其可以是用作服务器或者共享机的设备,例如测试用机等,用户是通过远程访问方式使用,因此这类主机不会向认证服务器发送认证消息。此时,对于公用主机,处理模块172解析网络流量进行远程连接协议还原,获取主机的使用时间以及主机的对端主机使用的IP地址和责任人信息可以通过以下步骤实现:
解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机使用的IP地址;根据对端主机使用的IP地址以及已存储有的责任人关联关系,获取到IP地址对应的责任人信息。
这里需要说明的是,定位装置可以接收到网络流量的时间作为主机的使用时间。此外,可以通过主机IP接入过程中的相关数据获取到主机的IP地址。这里需要说明的是,对于公用主机而言,其IP地址往往是固定的。
在本实施例中,由于用户是通过远程访问方式使用的公用主机,因此公用主机的实际使用人实质是该公用主机的对端主机的使用人。因此本实施例中,在获取到对端主机使用的IP地址后,可以根据已存储有的责任人关联关系确定出对端主机的责任人信息,进而将其确定为公用主机在当前使用时段的责任人信息。
这里需要说明的是,对于对端主机而言,由于其实用户直接使用的,因此必然是办公主机,因此用户在通过远程访问方式使用的公用主机时,必然需要同步使用一个办公主机,而基于上述生成责任人关联关系的说明,定位装置必然会生成有对端主机的责任人关联关系,基于此,通过对端主机使用的IP地址在该责任人关联关系中即可找到对应的责任人信息。
在本实施例中的一种具体实施方式中,责任人关联关系可以为:“主机类型-IP地址-时间段-责任人”四元关联关系。
在本实施例中,在办公主机的一次使用过程中,只要认证成功处理模块172即会建立并保存责任人关联关系。而在本实施例中,认证信息中的时间戳信息实质是使用开始时间,那么为保证可以准确定位到责任人的实际使用时间段,因此本实施例中可以设定注销机制,即责任人在使用完毕主机后,可以通过注销来确定使用完毕,此时注销时间即为使用结束时间。具体的,
在第一接收模块171接收到主机的注销请求时,处理模块172缓存主机的注销信息;在第一接收模块171接收到注销成功消息时,处理模块172依据认证标识信息找出与认证标识信息对应的责任人关联关系,将注销信息中的时间戳信息加入到责任人关联关系中作为使用结束时间。
在本实施例中,注销信息至少包括认证标识信息与时间戳信息。此外,处理模块172找出的与认证标识信息对应的责任人关联关系应当是最新保存的那一条责任人关联关系。也即找出的与认证标识信息对应的责任人关联关系应当是责任人本次使用主机时保存下来的那一条责任人关联关系。
需要理解的是,在实际使用过程中,大部分的人往往不会触发注销流程,更多的是直接关机等。这种情况下,即始终无法获取到主机的注销请求和服务器的响应消息。为此,处理模块172可以在第一接收模块171接收到主机的新的认证请求时,缓存主机的认证信息;并在第一接收模块171接收到针对新的认证请求的认证成功消息时,获取主机的当前IP地址;进而若当前IP地址以及认证信息中的认证标识信息与前一次保存的责任人关联关系中的IP地址以及责任人信息一致,且该责任人关联关系中不存在使用结束时间,则不进行更新操作;否则,依据认证信息以及当前IP地址新建责任人关联关系并保存。
在本实施例中,认证信息至少包括认证标识信息与时间戳信息;其中所述认证标识信息为主机的责任人信息,时间戳信息对应主机的使用时间。
在新建责任人关联关系并保存后,即认为上一条责任人关联关系中的使用结束时间为本条责任人关联关系的开始时间。
在本实施例中,为了得到结束时间,还可以在认证成功,建立并保存了责任人关联关系之后,通过接收保活消息的方式来确定结束时间,具体的:可以设置主机每隔一定时间即发送一个保活消息,第一接收模块171可以接收主机的保活消息,处理模块172在第一接收模块171超过预设时长阈值未接收到主机的保活消息时,记录当前时间TS。
在本实施例中,处理模块172可以直接将当前时间TS作为使用结束时间插入到责任人关联关系中,实现对责任人关联关系中结束时间的添加。此外,也可以,依据主机的认证信息、IP地址以及当前时间TS新建使用时间关系,并保存使用时间关系。例如生成并保存一个{host_type,IP1,ts1,ts2}数据(host_type标识主机类型、IP1标识主机IP地址、ts1标识开始时间、ts2标识结束时间)。应当理解的是,上述两种设置结束时间的方式可以同时采用。
应当理解的是,为了保证责任人定位装置可以接收到主机使用过程中的网络流量,本实施例中还提供了一种数据发送装置18,参见图18所示,包括:第二接收模块181和复制发送模块182。其中:
第二接收模块181用于接收主机和/或服务器发送的数据;
复制发送模块182用于将数据复制并发送给责任人定位装置,以供责任人定位装置建立并保存责任人关联关系。
应当理解的是,本实施例中的数据发送装置可以应用于数据转发设备(如交换机、路由器)中。
在本实施例中,数据发送装置18在接收到主机和/或服务器发送的数据时,会将其正常转发至目标设备,例如服务器针对主机的认证请求返回了认知成功消息时,数据发送装置18会将该认知成功消息转发给主机,但也会复制一份认知成功消息转发给责任人定位装置。
事实上,在主机与其他设备(如服务器)交互过程中所产生的所有数据数据发送装置18均可以复制并发送给责任人定位装置。以认证过程为例,主机生成并发送包含认证信息的认证请求给数据发送装置18,数据发送装置18将该认证请求转发给认证服务器,同时复制该认证请求发送给责任人定位装置。认证服务器针对该认证请求生成了响应消息并发给数据发送装置18,数据发送装置18将该响应消息转发给主机,同时复制该响应消息发送给责任人定位装置。
此外,在本实施例中,若主机发送保活消息,在本实施例中主机可以是将保活消息发送给数据发送装置18,由数据发送装置18将保护消息转发给责任人定位装置。但是本实施例中也可以是主机直接将保活消息发送给责任人定位装置(此时需要构建主机和责任人定位装置之间的直接通信通道)。
根据本公开实施例提供的责任人定位装置及数据发送装置,通过接收在主机使用过程中的网络流量,进而根据该网络流量确定主机的主机类型,然后在主机类型为办公时,解析网络流量获取主机使用的IP地址、使用时间、责任人信息;在主机类型为公用时,解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机的责任人信息;进而建立并保存责任人关联关系(责任人关联关系至少包括IP地址、使用时间和责任人信息这三种元素);最后,即可在接收到查询指令时,根据查询指令中的索引信息(索引信息包括责任人关联关系中的至少一种元素)在保存的责任人关联关系中查找出查询结果并反馈查询结果。这样,在溯源到问题IP地址时,即可通过之前使用时保存下来的责任人关联关系迅速确定出责任人,极大地降低了部署成本。此外,本方案在使用过程中即可进行责任人关联关系建立与保存,具有很高的普适性。
实施例五:
本实施例提供了一种责任人定位装置。参见图19,图19为本实施例提供的一种责任人定位装置19,包括:接收单元191、类型确定单元192、解析单元193、关系建立单元194和查询单元195。其中:
接收单元191用于接收在主机使用过程中的网络流量;
类型确定单元192用于根据网络流量确定所述主机的主机类型;
解析单元193用于在主机类型为办公时,解析网络流量获取主机使用的IP地址、使用时间、责任人信息;在主机类型为公用时,解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机的责任人信息;
关系建立单元194用于建立并保存责任人关联关系;责任人关联关系至少包括IP地址、使用时间和责任人信息这三种元素;
查询单元195用于在接收到查询指令时,根据查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈查询结果;索引信息包括责任人关联关系中的至少一种元素。
这里需要说明的是,本实施例中所述的主机使用过程中的网络流量是指:主机在与服务器、对端主机等设备进行数据交互时所产生的数据信息,其包括主机发送给服务器、对端主机等设备的数据,也包括服务器、对端主机等设备发送给主机的数据。事实上,由于主机在与服务器、对端主机等设备进行数据交互时通常都需要通过交换设备(例如交换机等)来实现数据的中转传输。那么在本实施例中,可以由交换设备在进行数据的中转传输时,将数据同时也发送给接收单元191。
在本实施例中,主机类型有两类,分别为办公主机和公用主机。对于办公主机而言,该主机通常为专用的,使用人员通常是固定不变的。而对于公用主机而言,该主机是公用的(例如测试机等),使用人员往往是不断变动的。
为自动区别出两种主机类型,参见图20所示,本实施例中类型确定单元192可以包括网段确定单元1921、特征计算单元1922和确定单元1923。其中:网段确定单元1921用于根据网络流量统计使用中的网段;特征计算单元1922用于计算网段内主机的特征;特征包括以下特征中的至少一种:主动建立连接的次数,被动建立连接的次数,主动建立连接的主机个数,被动建立连接的主机个数,输入、输出流量,服务类型,端口号;确定单元1923用于在特征满足预设公用主机条件时,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。
在本实施例中,可以统计企业内部所有使用中的网段,此外还可以统计网段内所有活跃IP,IP访问对端,访问时间等。
在本实施例的一种具体实施方式中,特征可以包括:主动建立连接的次数,被动建立连接的次数,主动建立连接的主机个数输入、输出流量,服务类型和端口号。此外,需要理解的是,本实施例中所述的计算特征是指的计算某一特征的特征值。
在本实施例中,可以为各个特征预先设定对应的阈值。需要理解的是,阈值的设置可以是根据企业内部网络的实际情况设置,例如根据企业内网中主机数量等进行设置。
在本实施例的一种具体实施方式中,可以设定:在所有特征的特征值均达到各特征对应的预设阈值时,特征满足预设公用主机条件,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。在本实施例的另一种具体实施方式中,可以设定:在存在至少一种特征的特征值均达到各特征对应的预设阈值时,特征满足预设公用主机条件,确定主机的主机类型为公用;否则,确定主机的主机类型为办公。
在本实施例中,用户通过办公主机上网需要通过认证过程,因此可以通过查询认证用户名的方式定位使用人。
在本实施例中,在主机为办公主机时,网络流量中会包括认证请求和认证结果消息(如认证成功消息和认证失败消息)。在本实施例中,参见图21所示,解析单元193可以包括认证信息缓存单元1931和第一IP地址获取单元1932。此时解析单元193解析网络流量获取主机使用的IP地址、使用时间、责任人信息可以通过以下步骤实现:
在接收单元191接收到主机的认证请求时,认证信息缓存单元1931缓存主机的认证信息;进而在接收单元191接收到认证成功消息时,第一IP地址获取单元1932获取主机的IP地址。
在本实施例中,认证信息至少包括认证标识信息与时间戳信息;其中所述认证标识信息为主机的责任人信息,时间戳信息对应主机的使用时间。需要说明的是,在本实施例中,使用时间可以包括起始时间和结束时间,认证信息中的时间戳信息实质为起始时间。但应当理解的是,对于使用时间而言也可以仅包含起始时间,此时可以设定默认该办公主机的下一次认证信息中的起始时间即为本次的结束时间。
在本实施例中,在返回认证成功消息时,认证成功消息中可以携带主机的IP地址。此外,认证成功消息中也可以携带主机的IP地址,事实上在认证成功后,主机即可接入服务器分配的IP地址,在此过程中也可获取到主机的IP地址。
还需要说明的是,若没有接收到认证成功消息,而是接收到认证失败消息时,此时即表明该主机不能被当前人员使用,因此此时获取责任人的无用,因此可以清除缓存的认证信息。
应当理解的是,对于公用主机而言,其可以是用作服务器或者共享机的设备,例如测试用机等,用户是通过远程访问方式使用,因此这类主机不会向认证服务器发送认证消息。此时,对于公用主机,参见图22所示,解析单元193可以包括协议还原单元1933、第二IP地址获取单元1934和责任人信息获取单元1935。此时解析单元193解析网络流量进行远程连接协议还原,获取主机的使用时间以及主机的对端主机使用的IP地址和责任人信息可以通过以下步骤实现:
协议还原单元1933解析网络流量进行远程连接协议还原,第二IP地址获取单元1934获取主机的使用时间和IP地址以及主机的对端主机使用的IP地址;责任人信息获取单元1935根据对端主机使用的IP地址以及已存储有的责任人关联关系,获取到IP地址对应的责任人信息。
这里需要说明的是,定位装置可以接收到网络流量的时间作为主机的使用时间。此外,可以通过主机IP接入过程中的相关数据获取到主机的IP地址。这里需要说明的是,对于公用主机而言,其IP地址往往是固定的。
在本实施例中,由于用户是通过远程访问方式使用的公用主机,因此公用主机的实际使用人实质是该公用主机的对端主机的使用人。因此本实施例中,在获取到对端主机使用的IP地址后,可以根据已存储有的责任人关联关系确定出对端主机的责任人信息,进而将其确定为公用主机在当前使用时段的责任人信息。
这里需要说明的是,对于对端主机而言,由于其实用户直接使用的,因此必然是办公主机,因此用户在通过远程访问方式使用的公用主机时,必然需要同步使用一个办公主机,而基于上述生成责任人关联关系的说明,定位装置必然会生成有对端主机的责任人关联关系,基于此,通过对端主机使用的IP地址在该责任人关联关系中即可找到对应的责任人信息。
在本实施例中的一种具体实施方式中,责任人关联关系可以为:“主机类型-IP地址-时间段-责任人”四元关联关系。
在本实施例中,在办公主机的一次使用过程中,只要认证成功关系建立单元194即会建立并保存责任人关联关系。而在本实施例中,认证信息中的时间戳信息实质是使用开始时间,那么为保证可以准确定位到责任人的实际使用时间段,因此本实施例中可以设定注销机制,即责任人在使用完毕主机后,可以通过注销来确定使用完毕,此时注销时间即为使用结束时间。具体的,参见图23所示,责任人定位装置19还包括注销信息缓存单元196和第一结束时间添加单元197。
在接收单元191接收到主机的注销请求时,注销信息缓存单元196缓存主机的注销信息;在接收单元191接收到注销成功消息时,第一结束时间添加单元197依据认证标识信息找出与认证标识信息对应的责任人关联关系,将注销信息中的时间戳信息加入到责任人关联关系中作为使用结束时间。
在本实施例中,注销信息至少包括认证标识信息与时间戳信息。此外,第一结束时间添加单元197找出的与认证标识信息对应的责任人关联关系应当是最新保存的那一条责任人关联关系。也即找出的与认证标识信息对应的责任人关联关系应当是责任人本次使用主机时保存下来的那一条责任人关联关系。
需要理解的是,在实际使用过程中,大部分的人往往不会触发注销流程,更多的是直接关机等。这种情况下,即始终无法获取到主机的注销请求和服务器的响应消息。为此,可以在接收到主机的新的认证请求时,缓存主机的认证信息;并在接收到针对新的认证请求的认证成功消息时,获取主机的当前IP地址;进而若当前IP地址以及认证信息中的认证标识信息与前一次保存的责任人关联关系中的IP地址以及责任人信息一致,且该责任人关联关系中不存在使用结束时间,则不进行更新操作;否则,依据认证信息以及当前IP地址新建责任人关联关系并保存。
在本实施例中,认证信息至少包括认证标识信息与时间戳信息;其中所述认证标识信息为主机的责任人信息,时间戳信息对应主机的使用时间。
在新建责任人关联关系并保存后,即认为上一条责任人关联关系中的使用结束时间为本条责任人关联关系的开始时间。
在本实施例中,为了得到结束时间,还可以在认证成功,建立并保存了责任人关联关系之后,通过接收保活消息的方式来确定结束时间,具体的:参见图24所示,责任人定位装置19还包括第二结束时间添加单元198。
可以设置主机每隔一定时间即发送一个保活消息,接收单元191可以接收主机的保活消息,第二结束时间添加单元198在接收单元191超过预设时长阈值未接收到主机的保活消息时,记录当前时间TS。
在本实施例中,第二结束时间添加单元198可以直接将当前时间TS作为使用结束时间插入到责任人关联关系中,实现对责任人关联关系中结束时间的添加。此外,也可以,依据主机的认证信息、IP地址以及当前时间TS新建使用时间关系,并保存使用时间关系。例如生成并保存一个{host_type,IP1,ts1,ts2}数据(host_type标识主机类型、IP1标识主机IP地址、ts1标识开始时间、ts2标识结束时间)。应当理解的是,上述两种设置结束时间的方式可以同时采用。
根据本公开实施例提供的责任人定位装置,通过接收在主机使用过程中的网络流量,进而根据该网络流量确定主机的主机类型,然后在主机类型为办公时,解析网络流量获取主机使用的IP地址、使用时间、责任人信息;在主机类型为公用时,解析网络流量进行远程连接协议还原,获取主机的使用时间和IP地址,以及主机的对端主机的责任人信息;进而建立并保存责任人关联关系(责任人关联关系至少包括IP地址、使用时间和责任人信息这三种元素);最后,即可在接收到查询指令时,根据查询指令中的索引信息(索引信息包括责任人关联关系中的至少一种元素)在保存的责任人关联关系中查找出查询结果并反馈查询结果。这样,在溯源到问题IP地址时,即可通过之前使用时保存下来的责任人关联关系迅速确定出责任人,极大地降低了部署成本。此外,本方案在使用过程中即可进行责任人关联关系建立与保存,具有很高的普适性。
实施例六:
本实施例提供了一种责任人定位设备,参见图25所示,其包括第一处理器251、第一存储器252以及第一通信总线253。其中:
第一通信总线253用于实现第一处理器251和第一存储器252之间的连接通信;
第一处理器251用于执行第一存储器252中存储的一个或者多个第一程序,以实现如实施例一至实施例三任一项所述的责任人定位方法的步骤。
本实施例提供了一种数据发送设备,参见图26所示,其包括第二处理器261、第二存储器262以及第二通信总线263。其中:
第二通信总线263用于实现第二处理器261和第二存储器262之间的连接通信;
第二处理器261用于执行第二存储器262中存储的一个或者多个第二程序,以实现如实施例一所述的数据发送方法的步骤。
本实施例还提供了一种存储介质,该存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。存储介质包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read-Only Memory,只读存储器),EEPROM(ElectricallyErasableProgrammable read only memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
本实施例提供的存储介质中存储有计算机可执行指令,该计算机可执行指令可被一个或者多个处理器执行,以实现实施例一至实施例三任一项所述的责任人定位方法的步骤,和/或实现如实施例一所述的数据发送方法的步骤。在此不再赘述。
可见,本领域的技术人员应该明白,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。
此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (21)
1.一种责任人定位方法,包括:
接收在主机使用过程中的网络流量;
根据所述网络流量确定所述主机的主机类型;
在所述主机类型为办公时,解析所述网络流量获取所述主机使用的IP地址、使用时间、责任人信息;在所述主机类型为公用时,解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间和IP地址,以及所述主机的对端主机的责任人信息;
建立并保存责任人关联关系;所述责任人关联关系至少包括所述IP地址、使用时间和责任人信息这三种元素;
在接收到查询指令时,根据所述查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果;所述索引信息包括所述责任人关联关系中的至少一种元素。
2.如权利要求1所述的责任人定位方法,其特征在于,所述根据所述网络流量确定所述主机的主机类型包括:
根据所述网络流量统计使用中的网段;
计算网段内所述主机的特征;所述特征包括以下特征中的至少一种:主动建立连接的次数,被动建立连接的次数,主动建立连接的主机个数,被动建立连接的主机个数,输入、输出流量,服务类型,端口号;
在所述特征满足预设公用主机条件时,确定所述主机的主机类型为公用;否则,确定所述主机的主机类型为办公。
3.如权利要求2所述的责任人定位方法,其特征在于,所述特征满足预设公用主机条件包括:
所有特征的特征值均达到各特征对应的预设阈值。
4.如权利要求1所述的责任人定位方法,其特征在于,所述责任人关联关系为:“主机类型-IP地址-时间段-责任人”四元关联关系。
5.如权利要求1-4任一项所述的责任人定位方法,其特征在于,所述网络流量包括认证请求和认证成功消息;所述解析所述网络流量获取所述主机使用的IP地址、使用时间、责任人信息包括:
在接收到主机的认证请求时,缓存所述主机的认证信息;所述认证信息至少包括认证标识信息与时间戳信息;其中所述认证标识信息为所述主机的责任人信息,所述时间戳信息对应所述主机的使用时间;
在接收到认证成功消息时,获取所述主机的IP地址。
6.如权利要求5所述的责任人定位方法,其特征在于,在建立并保存责任人关联关系之后,还包括:
在接收到主机的注销请求时,缓存所述主机的注销信息;所述注销信息至少包括认证标识信息与时间戳信息;
在接收到注销成功消息时,依据所述认证标识信息找出与所述认证标识信息对应的责任人关联关系,将所述注销信息中的时间戳信息加入到所述责任人关联关系中作为使用结束时间。
7.如权利要求6所述的责任人定位方法,其特征在于,在建立并保存责任人关联关系之后,还包括:
在接收到所述主机的新的认证请求时,缓存所述主机的认证信息;并在接收到针对所述新的认证请求的认证成功消息时,获取所述主机的当前IP地址;
若所述当前IP地址以及所述认证信息中的认证标识信息与前一次保存的责任人关联关系中的IP地址以及责任人信息一致,且该责任人关联关系中不存在使用结束时间,则不进行更新操作;否则,依据所述认证信息以及所述当前IP地址新建责任人关联关系并保存。
8.如权利要求5所述的责任人定位方法,其特征在于,在建立并保存责任人关联关系之后,还包括:
接收所述主机的保活消息;
在超过预设时长阈值未接收到所述主机的保活消息时,记录当前时间TS。
9.如权利要求8所述的责任人定位方法,其特征在于,所述记录当前时间TS包括:
将所述当前时间TS作为使用结束时间添加到所述责任人关联关系中;
和/或,依据所述主机的认证信息、IP地址以及所述当前时间TS新建使用时间关系,并保存所述使用时间关系。
10.如权利要求1-4任一项所述的责任人定位方法,其特征在于,在所述主机类型为公用时,所述解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间以及所述主机的对端主机使用的IP地址和责任人信息包括:
解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间和IP地址,以及所述主机的对端主机使用的IP地址;
根据所述对端主机使用的IP地址以及已存储有的责任人关联关系,获取到所述IP地址对应的责任人信息。
11.一种责任人定位装置,包括:第一接收模块、处理模块和查询模块;
所述第一接收模块用于接收在主机使用过程中的网络流量;以及用于接收查询指令;
所述处理模块用于根据所述网络流量确定所述主机的主机类型;并用于在所述主机类型为办公时,解析所述网络流量中的认证信息获取所述主机使用的IP地址、使用时间、责任人信息;在所述主机类型为公用时,解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间和IP地址,以及所述主机的对端主机的责任人信息;以及用于建立并保存责任人关联关系,所述责任人关联关系至少包括所述IP地址、使用时间和责任人信息这三种元素;
所述查询模块用于在所述第一接收模块接收到查询指令时,根据所述查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果;所述索引信息包括所述责任人关联关系中的至少一种元素。
12.如权利要求11所述的责任人定位装置,其特征在于,所述处理模块根据所述网络流量确定所述主机的主机类型包括:
根据所述网络流量统计使用中的网段;
计算网段内所述主机的特征;所述特征包括以下特征中的至少一种:主动建立连接的次数,被动建立连接的次数,主动建立连接的主机个数,被动建立连接的主机个数,输入、输出流量,服务类型,端口号;
在所述特征满足预设公用主机条件时,确定所述主机的主机类型为公用;否则,确定所述主机的主机类型为办公。
13.如权利要求11所述的责任人定位装置,其特征在于,所述责任人关联关系为:“主机类型-IP地址-时间段-责任人”四元关联关系。
14.如权利要求11-13任一项所述的责任人定位装置,其特征在于,所述网络流量包括认证请求和认证成功消息;所述处理模块解析所述网络流量中的认证消息获取所述主机使用的IP地址、使用时间、责任人信息包括:
在接收到主机的认证请求时,缓存所述主机的认证信息;所述认证信息至少包括认证标识信息与时间戳信息;其中所述认证标识信息为所述主机的责任人信息,所述时间戳信息对应所述主机的使用时间;
在接收到认证成功消息时,获取所述主机的IP地址。
15.如权利要求14所述的责任人定位装置,其特征在于,所述处理模块在建立并保存责任人关联关系之后,还用于:
在所述第一接收模块接收到主机的注销请求时,缓存所述主机的注销信息;所述注销信息至少包括认证标识信息与时间戳信息;
在所述第一接收模块接收到注销成功消息时,依据所述认证标识信息找出与所述认证标识信息对应的责任人关联关系,将所述注销信息中的时间戳信息加入到所述责任人关联关系中作为使用结束时间。
16.如权利要求15所述的责任人定位装置,其特征在于,所述处理模块在建立并保存责任人关联关系之后,还用于:
在所述第一接收模块接收到所述主机的新的认证请求时,缓存所述主机的认证信息;并在接收到针对所述新的认证请求的认证成功消息时,获取所述主机的当前IP地址;
若所述当前IP地址以及所述认证信息中的认证标识信息与前一次保存的责任人关联关系中的IP地址以及责任人信息一致,且该责任人关联关系中不存在使用结束时间,则不进行更新操作;否则,依据所述认证信息以及所述当前IP地址新建责任人关联关系并保存。
17.如权利要求14所述的责任人定位装置,其特征在于,所述处理模块在建立并保存责任人关联关系之后,还用于:
接收所述主机的保活消息;
在超过预设时长阈值未接受到所述主机的保活消息时,记录当前时间TS。
18.如权利要求11-13任一项所述的责任人定位装置,其特征在于,在所述主机类型为公用时,所述处理模块解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间以及所述主机的对端主机使用的IP地址和责任人信息包括:
解析所述网络流量尽心远程连接协议还原,获取所述主机的使用时间和IP地址,以及所述主机的对端主机使用的IP地址;
根据所述对端主机使用的IP地址以及已存储有的责任人关联关系,获取到所述IP地址对应的责任人信息。
19.一种责任人定位装置,包括:接收单元、类型确定单元、解析单元、关系建立单元和查询单元;
所述接收单元用于接收在主机使用过程中的网络流量;
所述类型确定单元用于根据所述网络流量确定所述主机的主机类型;
所述解析单元用于在所述主机类型为办公时,解析所述网络流量获取所述主机使用的IP地址、使用时间、责任人信息;在所述主机类型为公用时,解析所述网络流量进行远程连接协议还原,获取所述主机的使用时间和IP地址,以及所述主机的对端主机的责任人信息;
所述关系建立单元用于建立并保存责任人关联关系;所述责任人关联关系至少包括所述IP地址、使用时间和责任人信息这三种元素;
所述查询单元用于在接收到查询指令时,根据所述查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果;所述索引信息包括所述责任人关联关系中的至少一种元素。
20.一种责任人定位设备,包括:第一处理器、第一存储器以及第一通信总线;
所述第一通信总线用于实现所述第一处理器和第一存储器之间的连接通信;
所述第一处理器用于执行所述第一存储器中存储的一个或者多个第一程序,以实现如权利要求1-10任一项所述的责任人定位方法的步骤。
21.一种存储介质,其特征在于,所述存储介质存储有一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现如权利要求1-10任一项所述的责任人定位方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811258425.7A CN111106896B (zh) | 2018-10-26 | 2018-10-26 | 责任人定位方法、装置、设备及存储介质 |
PCT/CN2019/113342 WO2020083384A1 (zh) | 2018-10-26 | 2019-10-25 | 责任人定位方法、数据发送方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811258425.7A CN111106896B (zh) | 2018-10-26 | 2018-10-26 | 责任人定位方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111106896A CN111106896A (zh) | 2020-05-05 |
CN111106896B true CN111106896B (zh) | 2023-05-26 |
Family
ID=70330915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811258425.7A Active CN111106896B (zh) | 2018-10-26 | 2018-10-26 | 责任人定位方法、装置、设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN111106896B (zh) |
WO (1) | WO2020083384A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111683068A (zh) * | 2020-05-27 | 2020-09-18 | 深信服科技股份有限公司 | 失陷主机的定位方法、防护装置、网络安全设备及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103874055A (zh) * | 2012-12-12 | 2014-06-18 | 中国电信股份有限公司 | 向wap网关传送用户标识的方法、系统与pdsn |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7356689B2 (en) * | 2001-07-09 | 2008-04-08 | Lucent Technologies Inc. | Method and apparatus for tracing packets in a communications network |
CN106572072A (zh) * | 2015-12-30 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 一种对攻击者进行追踪定位的方法及系统 |
CN108512805B (zh) * | 2017-02-24 | 2021-08-27 | 腾讯科技(深圳)有限公司 | 一种网络安全防御方法及网络安全防御装置 |
CN108683682B (zh) * | 2018-06-04 | 2021-01-01 | 上海交通大学 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
-
2018
- 2018-10-26 CN CN201811258425.7A patent/CN111106896B/zh active Active
-
2019
- 2019-10-25 WO PCT/CN2019/113342 patent/WO2020083384A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103874055A (zh) * | 2012-12-12 | 2014-06-18 | 中国电信股份有限公司 | 向wap网关传送用户标识的方法、系统与pdsn |
Also Published As
Publication number | Publication date |
---|---|
WO2020083384A1 (zh) | 2020-04-30 |
CN111106896A (zh) | 2020-05-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11546175B2 (en) | Detecting and isolating an attack directed at an IP address associated with a digital certificate bound with multiple domains | |
US8583792B2 (en) | Probe election in failover configuration | |
US7930734B2 (en) | Method and system for creating and tracking network sessions | |
US8627417B2 (en) | Login administration method and server | |
US11122411B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using block chain | |
US9578005B2 (en) | Authentication server enhancements | |
Jones et al. | Detecting DNS root manipulation | |
CN108632221B (zh) | 定位内网中的受控主机的方法、设备及系统 | |
JP2018519569A (ja) | 信頼できるログイン方法及び装置 | |
US10749851B2 (en) | Network monitoring method and device | |
WO2014124593A1 (en) | Network session control | |
KR20210154189A (ko) | 분산 원장과 연관된 목적지 주소 지정 | |
CN111106896B (zh) | 责任人定位方法、装置、设备及存储介质 | |
Iuchi et al. | Detection and blocking of DGA-based bot infected computers by monitoring NXDOMAIN responses | |
CN111245791B (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
CN111600969B (zh) | 域名寻址方法、系统、域名服务器、电子设备及存储介质 | |
CN103491073A (zh) | 在c/s网络架构下基于tlsa协议的安全通信方法 | |
Ohmori et al. | Axarpsc: Scalable arp snooping using policy-based mirroring of core switches with arp log contraction | |
US20050165962A1 (en) | Replication server selection method | |
CN114710335A (zh) | 一种用户认证的方法、防火墙和ad域控服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |