CN112637378A - 基于用户的网络地址关联方法、系统、设备及存储介质 - Google Patents
基于用户的网络地址关联方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN112637378A CN112637378A CN202011538192.3A CN202011538192A CN112637378A CN 112637378 A CN112637378 A CN 112637378A CN 202011538192 A CN202011538192 A CN 202011538192A CN 112637378 A CN112637378 A CN 112637378A
- Authority
- CN
- China
- Prior art keywords
- address
- account information
- user
- user account
- mapping relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了基于用户的网络地址关联方法、系统、设备及存储介质,该方法包括:在服务器中建立一映射关系表,映射关系表包含每个IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系;收到来自IP地址的鉴权操作,当不匹配预设的第一用户帐号信息,则在映射关系表中IP地址的第二用户帐号信息更新为鉴权操作中的用户帐号信息,记录第二用户帐号信息使用IP地址的时段;当第二用户帐号信息使用IP地址的使用时长和/或使用频率满足预设阈值,则在映射关系表中IP地址的第一用户帐号信息更新当前的第二用户帐号信息。本发明能够保证IP地址与用户对应关系的自动更新,大幅减少保障排查工作,明显降低了运营成本。
Description
技术领域
本发明涉及设备关联领域,具体地说,涉及基于用户的网络地址关联方法、系统、设备及存储介质。
背景技术
大规模集中办公企业中IT系统一般是通过部署一个专门收集PC基础数据的LogAgent,将员工PC中的可利用的数据采集出来,用于分析或者监控处理,但是该方式存在较多明显的缺陷问题:
(1)大规模集中办公企业人多,设备多,如果使用人工一台台安装部署,工作量巨大,投入成本太高。
(2)如果依靠工具推送LogAgent需要一份全量的PC池,首先得获取到公司所有在线设备的清单,这份清单获取完全比较困难,因为在线设备是一个变化的数据,部署之后新上线的机器还是需要持续推送支持,肯定有所遗漏,无法保证100%部署。
(3)需要根据用户设备操作系统区分,比如常用的Windows和Linux,MacOs等,然后每种操作系统还细分很多版本,如果都需要全部兼容部署,则需要开发多种LogAgent,开发成本太高,维护工作也很复杂。
(4)LogAgent会因为用户PC的环境问题存在很多异常,无法正常进行收集上传工作,此时如果需要修复,IT桌面人员需要现场问题排查,投入成本高,也很难排查其原因并解决。
因此,本发明提供了一种基于用户的网络地址关联方法、系统、设备及存储介质。
发明内容
针对现有技术中的问题,本发明的目的在于提供基于用户的网络地址关联方法、系统、设备及存储介质,克服了现有技术的困难,能够保证IP地址与用户对应关系的自动更新,大幅减少桌面工程师的部署工作和保障排查工作,明显降低了运营成本。
本发明的实施例提供一种基于用户的网络地址关联方法,包括以下步骤:
S110、在服务器中建立一映射关系表,所述映射关系表包含每个所述IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系;
S120、收到来自所述IP地址的鉴权操作;
S130、判断所述鉴权操作中包含的用户帐号信息是否匹配预设的所述第一用户帐号信息,若是,则结束,若否,则执行步骤S140;
S140、在所述映射关系表中所述IP地址的第二用户帐号信息更新为所述鉴权操作中的用户帐号信息,并记录所述第二用户帐号信息使用所述IP地址的时段;
S150、判断所述第二用户帐号信息使用所述IP地址的使用时长和/或使用频率是否满足预设阈值,若是,执行步骤S160,若否,则结束;
S160、在所述映射关系表中所述IP地址的第一用户帐号信息更新当前的所述第二用户帐号信息。
优选地,所述映射关系表包含每个所述IP地址与一个网络设备绑定。
优选地,所述服务器包括一预设的认证用户池,所述步骤S120中,判断来自所述IP地址的鉴权操作中包含的用户帐号信息是否命中所述预设的认证用户池中的用户帐号信息,若是,则执行步骤S130,若否,则结束。
优选地,所述服务器是一局域网服务器,所述认证用户池中的每个用户帐号信息中包含一移动终端识别编号;
所述步骤S130之后,步骤S140之前还包括判断所述鉴权操作中包含的用户帐号信息所对应的移动终端识别编号是否命中已经连接到所述局域网服务器的移动终端识别编号中的一个,若是,则执行步骤S140,若否,则结束。
优选地,所述步骤S110之后步骤S150之前,还包括统计每个所述IP地址的第一用户帐号信息使用所述IP地址的时长或在预设时段内的使用所述IP地址的频率。
优选地,所述步骤S150中,判断所述第二用户帐号信息使用所述IP地址的使用时长是否大于等于所述IP地址的第一用户帐号信息使用所述IP地址的历史总时长,若是,执行步骤S160,若否,则结束。
优选地,所述步骤S150中,判断所述第二用户帐号信息在预设时段内使用所述IP地址的频率是否大于等于预设阈值或所述IP地址的第一用户帐号信息使用所述IP地址的频率的预设倍数,若是,执行步骤S160,若否,则结束。
优选地,所述步骤S110中,所述映射关系表包含至少部分所述IP地址分别与另一个IP地址组成一IP地址群,所述IP地址群中的所有IP地址的所述第一用户帐号信息保持相同;
优选地,所述步骤S160中,当所述IP地址群中的任意一个所述IP地址根据所述第二用户帐号信息更新所述第一用户帐号信息,则所述IP地址群中的其他所有IP地址的第一用户帐号信息同步统一更新。
优选地,所述步骤S160之后还包括:记录每个所述IP地址被各个用户帐号信息使用的历史轨迹;
或者,记录每个所述用户帐号信息使用各个所述IP地址的历史轨迹。
优选地,所述鉴权操作的触发事件为需要验证用户账户和密码的设备登陆操作、设备解锁操作、文件访问解锁操作中的至少一种。
优选地,所述鉴权操作的鉴权方式为用户生物信息验证,包括用户面部识别验证、用户指纹验证、用户声纹验证、用户虹膜验证中的至少一种。
本发明的实施例还提供一种基于用户的网络地址关联系统,用于实现上述的基于用户的网络地址关联方法,所述基于用户的网络地址关联系统包括:
映射关系模块,在服务器中建立一映射关系表,所述映射关系表包含每个所述IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系;
鉴权操作模块,收到来自所述IP地址的鉴权操作;
第一判断模块,判断所述鉴权操作中包含的用户帐号信息是否匹配预设的所述第一用户帐号信息,若是,则结束,若否,则执行第一更新模块;
第一更新模块,在所述映射关系表中所述IP地址的第二用户帐号信息更新为所述鉴权操作中的用户帐号信息,并记录所述第二用户帐号信息使用所述IP地址的时段;
第二判断模块,判断所述第二用户帐号信息使用所述IP地址的使用时长和/或使用频率是否满足预设阈值,若是,执行第二更新模块,若否,则结束;
第二更新模块,在所述映射关系表中所述IP地址的第一用户帐号信息更新当前的所述第二用户帐号信息。
本发明的实施例还提供一种基于用户的网络地址关联设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述基于用户的网络地址关联方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述基于用户的网络地址关联方法的步骤。
本发明的目的在于提供基于用户的网络地址关联方法、系统、设备及存储介质,能够保证IP地址与用户对应关系的自动更新,大幅减少桌面工程师的部署工作和保障排查工作,明显降低了运营成本。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明的基于用户的网络地址关联方法的流程图;
图2和3是本发明的基于用户的网络地址关联方法的第一种实施过程示意图;
图4和5是本发明的基于用户的网络地址关联方法的第二种实施过程示意图;
图6是本发明的基于用户的网络地址关联系统的模块示意图;
图7是本发明的基于用户的网络地址关联设备的结构示意图;以及
图8是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
图1是本发明的基于用户的网络地址关联方法的流程图。如图1所示,本发明的实施例提供一种基于用户的网络地址关联方法,包括以下步骤:
S110、在服务器中建立一映射关系表,映射关系表包含每个IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系。
S120、收到来自IP地址的鉴权操作。
S130、判断鉴权操作中包含的用户帐号信息是否匹配预设的第一用户帐号信息,若是,则执行步骤S170,若否,则执行步骤S140。
S140、在映射关系表中IP地址的第二用户帐号信息更新为鉴权操作中的用户帐号信息,并记录第二用户帐号信息使用IP地址的时段。
S150、判断第二用户帐号信息使用IP地址的使用时长和/或使用频率是否满足预设阈值,若是,执行步骤S160,若否,则执行步骤S170。
S160、在映射关系表中IP地址的第一用户帐号信息更新当前的第二用户帐号信息。
S170、结束。
在一个优选实施例中,映射关系表包含多个分别与一个网络设备绑定的IP地址,但不以此为限。
在一个优选实施例中,服务器包括一预设的认证用户池,步骤S120中,判断来自IP地址的鉴权操作中包含的用户帐号信息是否命中预设的认证用户池中的用户帐号信息,若是,则执行步骤S130,若否,则结束,但不以此为限。
在一个优选实施例中,服务器是一局域网服务器,认证用户池中的每个用户帐号信息中包含一移动终端识别编号。
步骤S130之后,步骤S140之前还包括判断鉴权操作中包含的用户帐号信息所对应的移动终端识别编号是否命中已经连接到局域网服务器的移动终端识别编号中的一个,若是,则执行步骤S140,若否,则结束,但不以此为限。由于用户都是随身携带手机,则该用户对应的用户账户在局域网服务器中进行登录是,用户对应的移动终端必然连接到局域网服务器的wifi,通过这种绑定检测的方式确保是用户账户的所有人再进行登陆操作,从而防止用户冒名操作他人用户账户的情况。
在一个优选实施例中,步骤S110之后步骤S150之前,还包括统计每个IP地址的第一用户帐号信息使用IP地址的时长或在预设时段内的使用IP地址的频率,但不以此为限。
在一个优选实施例中,步骤S150中,判断第二用户帐号信息使用IP地址的使用时长是否大于等于IP地址的第一用户帐号信息使用IP地址的历史总时长,若是,执行步骤S160,若否,则结束,但不以此为限。
在一个优选实施例中,步骤S150中,判断第二用户帐号信息在预设时段内使用IP地址的频率是否大于等于预设阈值或IP地址的第一用户帐号信息使用IP地址的频率的预设倍数,若是,执行步骤S160,若否,则结束,但不以此为限。
在一个优选实施例中,步骤S110中,映射关系表包含至少部分IP地址分别与另一个IP地址组成一IP地址群,IP地址群中的所有IP地址的第一用户帐号信息保持相同。
步骤S160中,当IP地址群中的任意一个IP地址根据第二用户帐号信息更新第一用户帐号信息,则IP地址群中的其他所有IP地址的第一用户帐号信息同步统一更新。例如:统一个座席上会有电脑和网络电话,通过本发明当使用电脑(IP地址)的用户发生了改变,就会同时自动地将电脑相关联的电话的用户统一变更,但不以此为限。
在一个优选实施例中,步骤S160之后还包括:记录每个IP地址被各个用户帐号信息使用的历史轨迹。
在一个优选实施例中,步骤S160之后还包括:记录每个用户帐号信息使用各个IP地址的历史轨迹。
在一个优选实施例中,鉴权操作的触发事件为需要验证用户账户和密码的设备登陆操作、设备解锁操作、文件访问解锁操作中的至少一种,但不以此为限。
在一个优选实施例中,鉴权操作的鉴权方式为用户生物信息验证,包括用户面部识别验证、用户指纹验证、用户声纹验证、用户虹膜验证中的至少一种,但不以此为限。
本发明可以采用域内PC日常工作中必然存在的开机,解锁,访问共享文件夹等操作,域控服务必然会产生的鉴权认证日志,其中4624日志包含了域账号和IP地址,可以用于以上目的分析。技术方案方面选用了Kafka和Redis两个高效可靠的中间件,可以保证低延时处理大批量的日志数据。
图2和3是本发明的基于用户的网络地址关联方法的第一种实施过程示意图。如图2和3所示,多人共享IP地址的自助式办公场景中,在服务器1中建立一映射关系表,映射关系表包含每个IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系。IP地址11的第一用户帐号信息为用户31,IP地址12的第一用户帐号信息为用户32,IP地址13的第一用户帐号信息为用户33。映射关系表还包含每个IP地址与一个网络设备绑定:IP地址11与电脑21绑定,IP地址12与电脑22绑定,IP地址13与电脑23绑定。当用户34使用电脑21登录自己的账户时,服务器1收到来自IP地址11的登录鉴权操作。由于登录鉴权操作中包含的用户帐号信息(用户34的用户帐号信息)不匹配预设的第一用户帐号信息(用户31的用户帐号信息),则在映射关系表中IP地址的第二用户帐号信息更新为鉴权操作中的用户帐号信息,并记录第二用户帐号信息使用IP地址的时段。当第二用户帐号信息(用户34的用户帐号信息)使用IP地址的使用时长在三天内的总时长超过12小时,则认为第二用户帐号信息已经占用了对应IP地址11的电脑21,则在映射关系表中IP地址的第一用户帐号(用户31的用户帐号信息)信息更新当前的第二用户帐号信息(用户34的用户帐号信息)。
图4和5是本发明的基于用户的网络地址关联方法的第二种实施过程示意图。如图4和5所示,本发明可以适用于共享办公场所,多个用户使用多个电脑的情况,每个人并不被绑定具体的设备。在服务器1中建立一映射关系表,映射关系表包含每个IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系。IP地址11的第一用户帐号信息为用户31,IP地址12的第一用户帐号信息为用户32,IP地址13的第一用户帐号信息为用户33,IP地址14的第一用户帐号信息为用户31。映射关系表还包含每个IP地址与一个网络设备绑定:IP地址11与电脑21绑定,IP地址12与电脑22绑定,IP地址13与电脑23绑定,IP地址14于网络电话24绑定。IP地址11与IP地址14组成一IP地址群,IP地址群中的所有IP地址的第一用户帐号信息保持相同,电脑21与网络电话24处于同一个工位上。
当用户34使用电脑21登录自己的账户时,服务器1收到来自IP地址11的登录鉴权操作。由于登录鉴权操作中包含的用户帐号信息(用户34的用户帐号信息)不匹配预设的第一用户帐号信息(用户31的用户帐号信息),则在映射关系表中IP地址的第二用户帐号信息更新为鉴权操作中的用户帐号信息,并记录第二用户帐号信息使用IP地址的时段。当第二用户帐号信息(用户34的用户帐号信息)使用IP地址的使用时长在三天内的总时长超过12小时,则认为第二用户帐号信息已经占用了对应IP地址11的电脑21,则在映射关系表中IP地址的第一用户帐号(用户31的用户帐号信息)信息更新当前的第二用户帐号信息(用户34的用户帐号信息)。并且IP地址群中IP地址14(对应网络电话24)的第一用户帐号信息同步统一更新为用户34的用户帐号信息,就会同时自动地将同一个工位上的电脑和相关联的电话的用户统一变更。此时,IP地址11对应的电脑21与IP地址14对应的网络电话24都属于用户34来进行使用,产生的所有信息也都与用户34进行关联。
本发明的目的包括:
(1)及时获取员工PC最新的IP地址,并可以反向获取IP地址当前的使用人,以便追述一些需要根据IP溯源的行为。
(2)记录员工PC的IP地址信息轨迹,用于信息安全部门分析是否常用IP地址,以及是否最后使用人,区分认证级别,提高用户体验。
(3)根据IP地址与交换机arp,cam关联,获取设备mac地址和交换机端口,以进行更广范围的匹配查询。
(4)减少因为需要采集用户IP地址而进行的全量设备部署LogAgent的工作,降低IT运营成本。
(5)减少因为部署失败或各种原因导致LogAgent不工作,日志采集异常的问题。
(6)高效低延时处理域控服务器大批量日志的中转及消费。
(7)根据日志数据生成用户使用最多的IP地址,用户最后一次使用的IP地址,两个模型数据,供下游系统消费使用。
为了避免以上因为给用户PC安装部署LogAgent收集用户IP地址导致的诸多缺点,采用大规模集中办公企业内基本都会用到的域控服务器来采集用户加域PC的IP地址数据的优势就体现出来了,因为每天工作必然存在开机或者解锁的操作,以及访问共享文件夹等需要域控鉴权认证的行为,域控服务器都会生成类型编号为4624的用户日志,本发明将服务器上部署相应的LogAgent,即使大规模集中办公企业,域控服务器数量还是不会很多的,将服务器日志输出到Kafka数据中间件中,开发一套消费处理的程序即可集中获取到用户PC的IP地址信息。
本发明的具体实现如下:
将域控服务器中的日志通过Agent输出到数据中间件Kafka中指定的topic下,等待下游消费。
开发Kafka消费者,通过订阅指定的topic,获取到从域控服务器输出的日志,域控服务器中的日志可以区分不同类型推送到不同的topic中,也可以统一推送,下游按需消费,从中筛选出需要的4624日志,定时从Kafka中poll到最新的日志数据。
由于4624日志是一个字符串形式的描述性语句,需要利用正则表达式将日志字符串中关键信息分解出来,得到日志ID,域账号,IP地址,日志时间等属性信息,并生成UserIpLog对象,具体如下:
4624日志字符串原型如下:
Dec 5 09:32:47CN4DC3 Security-Auditing:4624:AUDIT_SUCCESS已成功登录帐户。主题:安全ID:S-1-0-0帐户名:-帐户域:-登录ID:0x0登录类型:3新登录:安全ID:S-1-5-21-3921055674-81672782-3985740813-190983帐户名:zhangsan帐户域:CN1登录ID:0x29c81 bd7登录GUID:{A3950D65-DE44-1 BB7-0B29-700E58DD8F6C}进程信息:进程ID:0x0进程名:-网络信息:工作站名:源网络地址:10.33.1.155源端口:53117详细身份验证信息:登录进程:Kerberos身份验证数据包:Kerberos传递服务:-数据包名(仅限NTLM):-密钥长度:0在创建登录会话后在被访问的计算机上生成此事件。“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如Server服务)或本地进程(例如Winlogon.exe或Services.exe)。“登录类型”字段指明发生的登录种类。最常见的类型是2(交互式)和3(网络)。“新登录”字段会指明新登录是为哪个帐户创建的,即登录的帐户。“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。“身份验证信息”字段提供关于此特定登录请求的详细信息。-“登录GUID”是可以用于将此事件与一个KDC事件关联起来的唯一标识符。-“传递服务”指明哪些直接服务参与了此登录请求。-“数据包名”指明在NTLM协议之间使用了哪些子协议。-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为0。
匹配域账号正则:帐户名:(.*?)(\\$?)帐户域,取出结果为zhangsan。
匹配IP地址正则:源网络地址:(.*?)源端口,取出结果为10.33.1.155。
匹配GUID正则:登录GUID:\\{(.*?)\\}进程信息:,取出结果为A3950D65-DE44-1BB7-0B29-700E58DD8F6C。
匹配日志时间比较特殊,直接通过正则\s+进行字符串split分割,取出前三个元素,分别为月份,日期,时间点,但是少一个年份,需要特殊处理,默认以当前时间所属年份进行拼接,生成完整日期时间对象,有一个场景就是跨年时间点左右,会出现生成次年年底的时间,所以需要判断,以生成的时间减当前时间,如果超出1天,则年份减去1年,再重新生成时间对象。
以上四个关键属性分解出来,即可构造出UserIpLog对象,进行下一步处理。
由于4624日志中不仅包含了用户的认证日志,还会包含通过机器名认证的日志,通过判断账号是否为当前企业内的在职员工的域账号来再次筛选有效日志。
然后将本轮拉取的所有有效日志数据定义一个待处理任务名如:“ad_log_4624_1606428318000”。
将结构化日志数据列表利用JSON处理包序列化成字符,具体如下:
[
{
"guid":"guid1",
"loginDate":"2020-11-12 12:00:01",
"empAccount":"empAccount1",
"domain":"CN1",
"ip":"192.168.1.2"
},{
"guid":"guid2",
"loginDate":"2020-11-12 12:00:01",
"empAccount":"empAccount2",
"domain":"CN1",
"ip":"192.168.1.3"
},{
"guid":"guid3",
"loginDate":"2020-11-12 12:00:01",
"empAccount":"empAccount3",
"domain":"CN1",
"ip":"192.168.1.4"
}
…
…
…
]。
将任务名作为key,序列化后的日志JSON字符串作为value,set进Redis中暂存,待消费,将key也rpush到Redis待处理任务名列表中:“ad_log_4624_keys”。
定时从Redis中获取到未消费的任务名列表“ad_log_4624_keys”的数量,然后逐个lpop出来,得到未消费任务名列表数据,即需要消费的日志数据集的keyList。
遍历KeyList中的key,根据key从Redis中get到未消费日志数据,同时删除该Key以及对应的日志数据。利用JSON反序列化成UserIpLog的日志列表。
遍历每条日志,拿到域账号,IP地址,日志时间,以域账号+IP地址作为key到Redis中或查询其是否已有处理记录,如果没有,则进行下一步处理,否则取出其上次日志时间,判断是否在8小时内,如果小于8小时,则丢弃忽略,否则也进行下一步处理。
以域账号+IP地址作为key,日志时间作为value,放入Redis缓存,以遍下一次相同key判断是否忽略。
将日志落库,同时记录域账号+IP地址对应次数和最后日志时间,用于后续分析使用。
日志数据格式:
EmpAccount | Ip | logTime | createTime |
日志次数统计格式:
EmpAccount | Ip | logCount | createTime | updateTime |
根据域账号+IP地址,以及使用次数和日志时间,可以定时生产全员工的最近使用IP和使用最多的IP模型数据。
通过本方法收集员工PC的IP地址信息,不再依赖于强制部署LogAgent,大幅减少桌面工程师的部署工作和保障排查工作,而且不用关注部署量是否达到全覆盖,不用关注是否有遗漏,但凡通过域账号登录认证的设备,即可收集到相关日志,系统应用部门只需要在相关的域控服务器上安装部署LogAgent,以及日常维护即可满足收集需求。
此外,根据域账号,IP地址,认证次数,最后更新时间四个字段信息,可以按照认证次数清洗出员工使用最多IP地址,还可以根据最后更新时间清洗出员工最后使用的IP地址,这两个模型数据,可以供信安,桌面,以及其他下游系统消费使用,作为安全或者排障的辅助数据。
图6是本发明的基于用户的网络地址关联系统的模块示意图。如图6所示,本发明的实施例还提供一种基于用户的网络地址关联系统,用于实现上述的基于用户的网络地址关联方法,基于用户的网络地址关联系统5包括:
映射关系模块51,在服务器中建立一映射关系表,映射关系表包含每个IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系。
鉴权操作模块52,收到来自IP地址的鉴权操作。
第一判断模块53,判断鉴权操作中包含的用户帐号信息是否匹配预设的第一用户帐号信息,若是,则结束,若否,则执行第一更新模块54。
第一更新模块54,在映射关系表中IP地址的第二用户帐号信息更新为鉴权操作中的用户帐号信息,并记录第二用户帐号信息使用IP地址的时段。
第二判断模块55,判断第二用户帐号信息使用IP地址的使用时长和/或使用频率是否满足预设阈值,若是,执行第二更新模块56,若否,则结束。
第二更新模块56,在映射关系表中IP地址的第一用户帐号信息更新当前的第二用户帐号信息。
本发明能够保证IP地址与用户对应关系的自动更新,大幅减少桌面工程师的部署工作和保障排查工作,明显降低了运营成本。
本发明实施例还提供一种基于用户的网络地址关联设备,包括处理器。存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的基于用户的网络地址关联方法的步骤。
如上,该实施例能够保证IP地址与用户对应关系的自动更新,大幅减少桌面工程师的部署工作和保障排查工作,明显降低了运营成本。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
图7是本发明的基于用户的网络地址关联设备的结构示意图。下面参照图7来描述根据本发明的这种实施方式的电子设备600。图7显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现的基于用户的网络地址关联方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例的计算机可读存储介质的程序在执行时,通过能够保证IP地址与用户对应关系的自动更新,大幅减少桌面工程师的部署工作和保障排查工作,明显降低了运营成本。
图8是本发明的计算机可读存储介质的结构示意图。参考图8所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上,本发明的目的在于提供基于用户的网络地址关联方法、系统、设备及存储介质,能够保证IP地址与用户对应关系的自动更新,大幅减少桌面工程师的部署工作和保障排查工作,明显降低了运营成本。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (12)
1.一种基于用户的网络地址关联方法,其特征在于,包括以下步骤:
S110、在服务器中建立一映射关系表,所述映射关系表包含每个IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系;
S120、收到来自所述IP地址的鉴权操作;
S130、判断所述鉴权操作中包含的用户帐号信息是否匹配预设的所述第一用户帐号信息,若是,则结束,若否,则执行步骤S140;
S140、在所述映射关系表中所述IP地址的第二用户帐号信息更新为所述鉴权操作中的用户帐号信息,并记录所述第二用户帐号信息使用所述IP地址的时段;
S150、判断所述第二用户帐号信息使用所述IP地址的使用时长和/或使用频率是否满足预设阈值,若是,执行步骤S160,若否,则结束;
S160、在所述映射关系表中所述IP地址的第一用户帐号信息更新当前的所述第二用户帐号信息。
2.根据权利要求1所述的基于用户的网络地址关联方法,其特征在于:所述映射关系表包含每个所述IP地址与一个网络设备绑定。
3.根据权利要求1所述的基于用户的网络地址关联方法,其特征在于:所述服务器包括一预设的认证用户池,所述步骤S120中,判断来自所述IP地址的鉴权操作中包含的用户帐号信息是否命中所述预设的认证用户池中的用户帐号信息,若是,则执行步骤S130,若否,则结束。
4.根据权利要求3所述的基于用户的网络地址关联方法,其特征在于:所述服务器是一局域网服务器,所述认证用户池中的每个用户帐号信息中包含一移动终端识别编号;
所述步骤S130之后,步骤S140之前还包括判断所述鉴权操作中包含的用户帐号信息所对应的移动终端识别编号是否命中已经连接到所述局域网服务器的移动终端识别编号中的一个,若是,则执行步骤S140,若否,则结束。
5.根据权利要求1所述的基于用户的网络地址关联方法,其特征在于:所述步骤S110之后步骤S150之前,还包括统计每个所述IP地址的第一用户帐号信息使用所述IP地址的时长或在预设时段内的使用所述IP地址的频率。
6.根据权利要求5所述的基于用户的网络地址关联方法,其特征在于:所述步骤S150中,判断所述第二用户帐号信息使用所述IP地址的使用时长是否大于等于所述IP地址的第一用户帐号信息使用所述IP地址的历史总时长,若是,执行步骤S160,若否,则结束。
7.根据权利要求1所述的基于用户的网络地址关联方法,其特征在于:所述步骤S150中,判断所述第二用户帐号信息在预设时段内使用所述IP地址的频率是否大于等于预设阈值或所述IP地址的第一用户帐号信息使用所述IP地址的频率的预设倍数,若是,执行步骤S160,若否,则结束。
8.根据权利要求1所述的基于用户的网络地址关联方法,其特征在于:所述鉴权操作的触发事件为需要验证用户账户和密码的设备登陆操作、设备解锁操作、文件访问解锁操作中的至少一种;
所述鉴权操作的鉴权方式为用户生物信息验证,包括用户面部识别验证、用户指纹验证、用户声纹验证、用户虹膜验证中的至少一种。
9.根据权利要求1所述的基于用户的网络地址关联方法,其特征在于:所述步骤S160之后还包括:记录每个所述IP地址被各个用户帐号信息使用的历史轨迹;
或者,记录每个所述用户帐号信息使用各个所述IP地址的历史轨迹。
10.一种基于用户的网络地址关联系统,用于实现权利要求1所述的基于用户的网络地址关联方法,其特征在于,包括:
映射关系模块,在服务器中建立一映射关系表,所述映射关系表包含每个所述IP地址与一预设的第一用户帐号信息以及一临时使用的第二用户帐号信息的映射关系;
鉴权操作模块,收到来自所述IP地址的鉴权操作;
第一判断模块,判断所述鉴权操作中包含的用户帐号信息是否匹配预设的所述第一用户帐号信息,若是,则结束,若否,则执行第一更新模块;
第一更新模块,在所述映射关系表中所述IP地址的第二用户帐号信息更新为所述鉴权操作中的用户帐号信息,并记录所述第二用户帐号信息使用所述IP地址的时段;
第二判断模块,判断所述第二用户帐号信息使用所述IP地址的使用时长和/或使用频率是否满足预设阈值,若是,执行第二更新模块,若否,则结束;
第二更新模块,在所述映射关系表中所述IP地址的第一用户帐号信息更新当前的所述第二用户帐号信息。
11.一种基于用户的网络地址关联设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至9中任意一项所述基于用户的网络地址关联方法的步骤。
12.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被执行时实现权利要求1至9中任意一项所述基于用户的网络地址关联方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011538192.3A CN112637378B (zh) | 2020-12-23 | 2020-12-23 | 基于用户的网络地址关联方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011538192.3A CN112637378B (zh) | 2020-12-23 | 2020-12-23 | 基于用户的网络地址关联方法、系统、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112637378A true CN112637378A (zh) | 2021-04-09 |
CN112637378B CN112637378B (zh) | 2023-02-03 |
Family
ID=75321608
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011538192.3A Active CN112637378B (zh) | 2020-12-23 | 2020-12-23 | 基于用户的网络地址关联方法、系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112637378B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1777322A (zh) * | 2004-11-15 | 2006-05-24 | 华为技术有限公司 | 一种网络侧对更新ip地址的用户的处理方法 |
CN1808975A (zh) * | 2006-01-26 | 2006-07-26 | 黄涛 | 一种网络帐号防盗系统及其方法 |
CN101064711A (zh) * | 2006-04-28 | 2007-10-31 | 广东省电信有限公司研究院 | 使用初始会话协议完成第三方注销业务的方法 |
CN103795687A (zh) * | 2012-10-30 | 2014-05-14 | 中国电信股份有限公司 | 一种实现多用户账号登录的方法、系统及家庭网关 |
US8904506B1 (en) * | 2011-11-23 | 2014-12-02 | Amazon Technologies, Inc. | Dynamic account throttling |
CN108337677A (zh) * | 2017-01-19 | 2018-07-27 | 阿里巴巴集团控股有限公司 | 网络鉴权方法及装置 |
CN109120596A (zh) * | 2018-07-18 | 2019-01-01 | 河北中科恒运软件科技股份有限公司 | 一种多单点登陆集成方案 |
US20190095954A1 (en) * | 2017-09-26 | 2019-03-28 | Verizon Patent And Licensing Inc. | Content sponsorship based on internet protocol (ip) addresses |
-
2020
- 2020-12-23 CN CN202011538192.3A patent/CN112637378B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1777322A (zh) * | 2004-11-15 | 2006-05-24 | 华为技术有限公司 | 一种网络侧对更新ip地址的用户的处理方法 |
CN1808975A (zh) * | 2006-01-26 | 2006-07-26 | 黄涛 | 一种网络帐号防盗系统及其方法 |
CN101064711A (zh) * | 2006-04-28 | 2007-10-31 | 广东省电信有限公司研究院 | 使用初始会话协议完成第三方注销业务的方法 |
US8904506B1 (en) * | 2011-11-23 | 2014-12-02 | Amazon Technologies, Inc. | Dynamic account throttling |
CN103795687A (zh) * | 2012-10-30 | 2014-05-14 | 中国电信股份有限公司 | 一种实现多用户账号登录的方法、系统及家庭网关 |
CN108337677A (zh) * | 2017-01-19 | 2018-07-27 | 阿里巴巴集团控股有限公司 | 网络鉴权方法及装置 |
US20190095954A1 (en) * | 2017-09-26 | 2019-03-28 | Verizon Patent And Licensing Inc. | Content sponsorship based on internet protocol (ip) addresses |
CN109120596A (zh) * | 2018-07-18 | 2019-01-01 | 河北中科恒运软件科技股份有限公司 | 一种多单点登陆集成方案 |
Non-Patent Citations (1)
Title |
---|
孙焕东等: "用ISAPI过滤器监控用户的网络访问", 《计算机应用》 * |
Also Published As
Publication number | Publication date |
---|---|
CN112637378B (zh) | 2023-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112737825B (zh) | 基于日志的网络设备关联方法、系统、设备及存储介质 | |
CN111786949A (zh) | 防火墙安全策略自动适配系统及方法 | |
CN108874638B (zh) | 基于画像信息的智能云管理 | |
CN112183782B (zh) | 故障工单处理方法及设备 | |
CN104952117B (zh) | 一种考勤管理方法 | |
CN109660533B (zh) | 实时识别异常流量的方法、装置、计算机设备和存储介质 | |
CN105516275A (zh) | 虚拟化桌面云考勤方法 | |
CN111628896A (zh) | It运维管理方法、装置、设备及计算机存储介质 | |
CN106506471A (zh) | 应用控制方法及装置 | |
CN104135483A (zh) | 一种网络安全自动配置管理系统 | |
CN114003600A (zh) | 数据处理方法、系统、电子设备和存储介质 | |
CN112751976B (zh) | 基于认证日志的坐席关联方法、系统、设备及存储介质 | |
CN113836237A (zh) | 对数据库的数据操作进行审计的方法及装置 | |
CN112637378B (zh) | 基于用户的网络地址关联方法、系统、设备及存储介质 | |
CN111311186A (zh) | 工单创建方法、介质、装置和计算设备 | |
CN112867148B (zh) | 员工坐席的定位方法及系统、电子设备及存储介质 | |
CN111786991B (zh) | 基于区块链的平台认证登录方法及相关装置 | |
CN113836522A (zh) | 监控设备的密码管理方法及装置 | |
CN108933678A (zh) | 运维审计系统 | |
CN109412861B (zh) | 一种终端网络建立安全关联展示方法 | |
US20150156197A1 (en) | System and method for transferring electronic information | |
CN113094676A (zh) | 一种基于saas智能安全运维系统 | |
CN110764931A (zh) | Ota网站上传凭证的处理方法、系统、设备和存储介质 | |
CN114281849B (zh) | 数据查询方法和装置 | |
CN111478848A (zh) | 回传邮件的处理方法、系统、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |