[发明专利]一种动态IP到主机映射的高效方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种动态IP到主机映射的高效方法。

背景技术

在企业SIEM(安全信息和事件管理)或网络监控系统中，随时将网络活动和事件与内部主机相关联是非常重要的。例如，一台特定的主机被警告恶意软件感染，安全分析师会希望在该主机上建立过去一定时间段的整体视图，包括其HTTP浏览历史，FTP文件传输活动和DNS查询记录。在许多情况下，网络日志记录设备(例如防火墙和入侵检测系统)仅记录网络设备的IP地址。很多时候单独的IP地址无法唯一标识主机，因为在大型企业中，许多内部IP地址会动态分配给主机，这导致一台主机的IP地址会随时间变化而变化。没有准确的动态IP地址到主机的映射，将不同网络日志上的活动相互关联将是具有挑战性的。目标是开发一致的IP到主机映射，如下所示：

描述IP Address/IP地址IP地址Host/主机主机名Start_time/起始时间将IP地址分配给主机的起始时间戳End_time/结束时间从主机释放IP地址的结束时间戳

这里面临的一个主要技术挑战是不完全和/或不准确的数据。通常，动态IP被分配给某个主机(“起始时间”)的时间很容易获得，但是该IP被释放的时间(“结束时间”)可能无法获得或不准确。例如，在Windows域控制器日志中，主机的“注销”事件通常不完整或延迟，因此不能用作IP到主机映射的结束时间。另外有时DHCP日志可能不包括所有“释放”，“删除”或“到期”事件，那么结束时间就很难确定。

现有的方法主要使用涉及到将IP地址分配给特定主机的某些事件来确定结束时间，例如：

·DHCP IP“释放”事件

·DHCP IP“删除”事件

·DHCP IP“到期”时间

·Windows域控制器“注销”事件

·VPN“注销”事件

在无法获取日志消息与IP分配终止的对应时间或获取时间不准确的情况下，现有方法不能很好地工作，IP分配结束时间可能丢失或与下一个起始时间重叠。

发明内容

为解决上述问题，本发明提出出一种动态IP到主机映射的高效方法，可智能的来动态和自动地推断主机上IP分配的结束时间，本发明的方法只需要三个最小数据元素(IP，主机和起始时间)，这些数据元素可以从不同的网络日志中轻松获得；更简单和更灵活，因为不需要区分多个事件类型，并且它可以容易地应用于不同的网络日志；动态主机分组算法，可以用最少量的结果映射表获得精确的IP到主机的映射。

为了达到上述目的，本发明提出如下技术方案：

一种动态IP到主机映射的高效方法，包括如下步骤：

1)收集IP，主机和相应的IP分配时间(“起始时间”)；

2)按IP和起始时间对数据排序(从最早到最后)；

3)对于每台主机，在特定IP下，结束时间是下一个立即分配的时间戳，如果没有下一个立即分配的时间戳，则使用最新的日志时间或当前时间作为结束时间；

4)在特定IP下，使用邻近变化点检测算法创建动态主机分组；

5)通过IP，主机和主机组来合并起始时间和结束时间，即起始时间＝min(起始时间)和结束时间＝max(结束时间)；

6)输出最终映射表。