[发明专利]用户与IP地址租用事件的关联

说明书

背景技术

在某些网络取证（forensics）情景中，确定用户在特定历史时段中使用计算机/设备的痕迹（trail）可能会非常有用。在使用动态主机配置协议（DHCP）来动态分配网际协议（IP）地址的环境中，网络上设备的IP地址分配是临时的并有可能随时间改变。因此，IP地址未必唯一识别计算机或设备。此外，分配给计算机或设备的主机名也可以改变，由此不能依靠该主机名来唯一标识设备/计算机。因此，如果仅仅基于IP租用事件（lease event）的话，是很难或者不可能确定用户在特定历史时段中使用计算机或设备的综合记录或痕迹的，这其中包括计算机或设备的IP地址、主机名以及MAC（媒体访问控制）/DUID（DHCP唯一标识符）地址。

发明内容

本发明内容是为了以简化形式介绍精选概念而被提供的，并且在以下的具体实施方式部分中将会进一步描述这些概念。本发明内容的目的既不是确定所要求保护主题的关键特征或必要特征，也不是用来帮助确定所要求保护的主题的范围。

在这里描述了将用户与IP地址租用事件相互关联的技术。可以给DHCP服务器提供装备来保持或者在日志中记录包含了IP地址、MAC地址/DUID以及主机名的历史IP地址租用事件。验证服务器或验证数据的其他来源可以在日志中记录用户验证事件，其中所述事件还识别从中接收到验证请求的IP地址。在一个或多个实施例中，审计（audit）系统被提供用来收集来自DHCP服务器的IP地址租用事件以及来自一个或多个验证服务的验证数据。该审计系统可以将收集到的数据保存在公共数据存储器中。所述公共数据存储器可被搜索，以便将IP地址租用事件与验证数据相互关联。通过这种方式，通过将来自DHCP服务器的历史IP地址租用信息与来自验证源的用户登录信息相互关联，可以确定用户在给定时段中使用的计算机或设备的综合记录。这种处理可以通过在两个事件源之间匹配使用事件时间戳以及IP地址和/或其他公共元素的事件来进行（通过使用公共的主机名/MAC地址等等）。

附图说明

以下的具体实施方式部分是参考附图来描述的。在附图中，参考数字最左侧的一个或多个数字标识的是该参考数字首次出现的图。在说明书和附图中，在不同实例中使用相同参考数字可以指示相似或相同的项目。

图1是根据一个或多个实施例的例示操作环境的例图。

图2是根据一个或多个实施例的用于将用户与IP地址事件相互关联的例示系统的例图。

图3是根据一个或多个实施例的用于将用户与IP地址租用事件相互关联的例示过程的例图。

图4是根据一个或多个实施例的用于将用户与IP地址租用事件相互关联的另一个例示过程的例图。

图5是可以在一个或多个实施例中用来实现将用户与IP地址租用事件相互关联的技术的例示计算系统的例图。

具体实施方式

综述

如果仅仅基于IP租用事件的话，是很难或者不可能确定用户在特定历史时段中使用计算机或设备的综合记录或痕迹的，这其中包括IP地址、主机名以及MAC（媒体访问控制）地址。出现这种情况的原因在于：设备的IP地址和主机名可以随时间动态改变，因而不能基于租用事件日志来将其可靠地映射到特定的用户设备。

在这里描述了用于将用户与IP地址租用事件相互关联的技术。可以给DHCP服务器提供装备以便保持或者在日志中记录包含IP地址、MAC地址/DUID以及主机名的历史IP地址租用事件。验证服务器或验证数据的其他来源可以在日志中记录用户验证事件，其中所述事件还识别与接收到的验证请求相对应的IP地址和/或其他公共元素。审计系统被提供用来收集来自DHCP服务器的IP地址租用事件以及来自一个或多个验证服务的验证数据。该审计系统可以提供能够用于关联收集到的数据的分析工具。这使得网络管理员能够在给定时间范围（time frame）中搜索事件，并且获取将用户/用户帐户映射到IP地址、MAC地址和/或主机名所识别的特定设备的结果。

在以下的论述中，首先描述可以使用这里描述的技术的例示操作环境。接下来将会论述一个例示系统以便举例说明用于将用户与IP地址租用事件相互关联的技术的一些方面的细节。在这之后将会论述一个可以在所述例示环境/系统以及其他环境/系统中实现的例示过程。因此，所述过程并不仅限于在例示的环境/系统中执行，并且所述例示环境/系统并不仅限于执行所述例示技术。最后描述关于可以用于实现一个或多个实施例的例示计算系统和设备的细节。

操作环境