專(zhuān)利名稱(chēng):一種在IPv6混合網(wǎng)絡(luò)中進(jìn)行審計(jì)日志資產(chǎn)識(shí)別的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)應(yīng)用安全管理技術(shù)領(lǐng)域��,特別涉及一種在IPv6混合網(wǎng)絡(luò)中進(jìn)行審計(jì)日志資產(chǎn)識(shí)別的方法�。
背景技術(shù):
日志審計(jì)系統(tǒng)通過(guò)收集組織內(nèi)網(wǎng)絡(luò)環(huán)境中各種設(shè)備的日志�,達(dá)到對(duì)組織內(nèi)全部IT資產(chǎn)的審計(jì),以便發(fā)現(xiàn)各種安全威脅���,進(jìn)行內(nèi)部控制��,以及合規(guī)分析���。隨著IPv4網(wǎng)絡(luò)地址的不斷分配�,全球的IPv4地址空間已經(jīng)幾乎耗盡���,整個(gè)互聯(lián)網(wǎng)開(kāi)始了漫長(zhǎng)的從IPv4向IPv6的緩慢遷移過(guò)程��。根據(jù)有關(guān)研究�,為了保護(hù)已有的IT投資�����,遷移過(guò)程可能會(huì)持續(xù)很多年�。 這也就意味著在各種企業(yè)網(wǎng)絡(luò)、運(yùn)營(yíng)網(wǎng)絡(luò)中���,會(huì)長(zhǎng)期存在IPv6�、IPv4混合部署的狀況���。IPv6、IPv4混合部署的狀況包括但不限于以下形式IPv6孤島隧道化接入IPv4網(wǎng)絡(luò)中��、IPv6孤島經(jīng)過(guò)IPv4網(wǎng)絡(luò)隧道進(jìn)行互連�����、IPv4主機(jī)通過(guò)隧道接入IPv6網(wǎng)絡(luò)、各種6to4網(wǎng)關(guān)部署方案等����。但是現(xiàn)有的日志審計(jì)系統(tǒng)沒(méi)有針對(duì)這種IPv6、IPv4混合網(wǎng)絡(luò)環(huán)境進(jìn)行設(shè)計(jì)��,尤其是在這種混合網(wǎng)絡(luò)環(huán)境中�����,如何對(duì)審計(jì)日志進(jìn)行資產(chǎn)識(shí)別�����。在這種IPv6混合網(wǎng)絡(luò)環(huán)境中�,對(duì)于審計(jì)系統(tǒng)來(lái)說(shuō),需要接收各種IPv4設(shè)備�、IPv6設(shè)備或雙棧設(shè)備的審計(jì)日志。一方面�����,這些審計(jì)日志本身可能是以IPv6方式發(fā)送的�,也可能是以IPv4方式發(fā)送的。另一方面����,審計(jì)日志內(nèi)容中可能存在的地址信息����,也決定于通信的協(xié)議版本���、拓?fù)渎窂?�,而且存在不同的表述格式�����。所以?duì)于審計(jì)系統(tǒng)來(lái)說(shuō)�����,地址信息是非常多樣化的���。在非混合網(wǎng)絡(luò)環(huán)境中����,審計(jì)日志資產(chǎn)識(shí)別一般都是直接通過(guò)地址信息匹配進(jìn)行的。這種方法在混合網(wǎng)絡(luò)環(huán)境中����,會(huì)有很多問(wèn)題��,如一個(gè)雙棧主機(jī)可能會(huì)被識(shí)別成兩個(gè)不同的資產(chǎn)���、一個(gè)設(shè)備在跨越雙棧邊界后無(wú)法進(jìn)行資產(chǎn)識(shí)別等。這些資產(chǎn)識(shí)別的問(wèn)題��,會(huì)嚴(yán)重影響到審計(jì)系統(tǒng)后續(xù)對(duì)審計(jì)日志的各種分析��、統(tǒng)計(jì)�����、關(guān)聯(lián)等進(jìn)一步處理��,嚴(yán)重降低審計(jì)的效果�,甚至影響到對(duì)各種攻擊、惡意行為的追溯��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是����,克服現(xiàn)有技術(shù)中的不足,提供一種在IPv6混合網(wǎng)絡(luò)中進(jìn)行審計(jì)日志資產(chǎn)識(shí)別的方法��。為解決該技術(shù)問(wèn)題,本發(fā)明的解決方案是提供一種在IPv6混合網(wǎng)絡(luò)中進(jìn)行審計(jì)日志資產(chǎn)識(shí)別的方法�,包括如下步驟A、接收到所有日志源設(shè)備的各種格式的日志報(bào)文���,該接收動(dòng)作基于一個(gè)外部的IPv6-IPv4雙棧協(xié)議棧����;B����、從接收到的日志報(bào)文中獲取日志源地址,并從日志內(nèi)容中解析出來(lái)源地址和目標(biāo)地址�����;所述來(lái)源地址或目標(biāo)地址是IPv4地址或IPv6地址����;
C、對(duì)日志源地址����、來(lái)源地址、目標(biāo)地址進(jìn)行歸一化處理�,還原日志源地址、來(lái)源地址和目標(biāo)地址在各種隧道傳輸過(guò)程中發(fā)生的變化���;D�����、進(jìn)行日志識(shí)別處理�,從歸一化后的日志源地址�、來(lái)源地址和目標(biāo)地址識(shí)別出相應(yīng)日志的日志源資產(chǎn)、來(lái)源資產(chǎn)和目標(biāo)資產(chǎn)����。本發(fā)明中,所述日志報(bào)文使用的協(xié)議是Syslog����、SNMP、OPSEC或NetFlow任意一種協(xié)議����。 本發(fā)明中步驟B中,基于所述IPv6_IPv4雙棧協(xié)議棧�,當(dāng)收到IPv4日志報(bào)文時(shí)其來(lái)源地址為IPv4地址,當(dāng)收到IPv6日志報(bào)文時(shí)其來(lái)源地址為IPv6地址。本發(fā)明中�����,所述日志報(bào)文的格式是文本格式�、16進(jìn)制格式、2進(jìn)制格式或縮寫(xiě)格式中的任意一種����。本發(fā)明中步驟D中,所述的識(shí)別基于一個(gè)外部的資產(chǎn)地址庫(kù)�����;資產(chǎn)地址庫(kù)中包含資產(chǎn)的地址信息���,該地址信息包括資產(chǎn)的IPv4地址����、IPv6地址或其他與資產(chǎn)識(shí)別相關(guān)的任何信息�����。相對(duì)于現(xiàn)有技術(shù)���,本發(fā)明的有益效果在于I���、可以支持在IPv6���、IPv4混合網(wǎng)絡(luò)環(huán)境中進(jìn)行日志審計(jì)����,同時(shí)支持IPv6地址、IPv4地址的資產(chǎn)識(shí)別����。2�、可以支持精確的地址識(shí)別�����?����?梢栽诟鞣N雙棧隧道方案中�,支持地址歸一化處理,從而確保資產(chǎn)的各種地址格式信息��,都能關(guān)聯(lián)到同一個(gè)資產(chǎn)。
圖I為在IPv6����、IPv4混合網(wǎng)絡(luò)環(huán)境中對(duì)審計(jì)日志進(jìn)行資產(chǎn)識(shí)別的總體流程框圖;圖2為在IPv6���、IPv4混合網(wǎng)絡(luò)環(huán)境中對(duì)審計(jì)日志進(jìn)行資產(chǎn)識(shí)別的運(yùn)行框圖��。
具體實(shí)施例方式首先需要說(shuō)明的是��,本發(fā)明涉及計(jì)算機(jī)技術(shù)�,是計(jì)算機(jī)技術(shù)在信息安全技術(shù)領(lǐng)域的一種應(yīng)用����。在本發(fā)明的實(shí)現(xiàn)過(guò)程中,會(huì)涉及到多個(gè)軟件功能模塊的應(yīng)用���。申請(qǐng)人認(rèn)為���,如在仔細(xì)閱讀申請(qǐng)文件、準(zhǔn)確理解本發(fā)明的實(shí)現(xiàn)原理和發(fā)明目的以后�,在結(jié)合現(xiàn)有公知技術(shù)的情況下,本領(lǐng)域技術(shù)人員完全可以運(yùn)用其掌握的軟件編程技能實(shí)現(xiàn)本發(fā)明����。前述軟件功能模塊包括但不限于IPv6-IPv4雙棧協(xié)議棧��、日志報(bào)文源地址獲取模塊����、地址解析模塊����、地址歸一化模塊�����、資產(chǎn)識(shí)別模塊���、資產(chǎn)地址庫(kù)模塊����、資產(chǎn)自動(dòng)發(fā)現(xiàn)模塊等�����,凡本發(fā)明申請(qǐng)文件提及的均屬此范疇����,申請(qǐng)人不再一一列舉����。關(guān)于IPv6_IPv4雙棧協(xié)議棧為了同時(shí)支持IPv6��、IPv4兩種協(xié)議�����,節(jié)點(diǎn)同時(shí)運(yùn)行IPv6協(xié)議棧���、IPv4協(xié)議棧兩套協(xié)議棧����,系統(tǒng)會(huì)根據(jù)收到的數(shù)據(jù)報(bào)文IP頭部版本信息����,判定使用哪個(gè)協(xié)議棧進(jìn)行處理,最終把報(bào)文送到上層應(yīng)用程序處理�����,并且提供相應(yīng)的報(bào)文地址信息(IPv6地址或IPv4地址)�����。對(duì)于審計(jì)系統(tǒng)來(lái)說(shuō),必須采用雙棧協(xié)議棧才能既支持接收IPv6設(shè)備發(fā)送的審計(jì)日志��,也支持接收IPv4設(shè)備發(fā)送的審計(jì)日志��。應(yīng)用層面的地址信息多樣性問(wèn)題的處理�����,和雙棧協(xié)議棧沒(méi)有直接關(guān)系����,但是與各種跨雙棧隧道技術(shù)有緊密的關(guān)系����。
引用RFC 3513: Internet Protocol Version 6 (IPv6) Addressing ArchitectureRFC 4291: IP Version 6 Addressing ArchitectureRFC 3542: Advanced Sockets Application Program Interface (API) for IPv6本發(fā)明中的基本原理是,接收到IPv4和IPv6混合網(wǎng)絡(luò)環(huán)境中的日志報(bào)文后���,通過(guò)日志報(bào)文源地址獲取模塊���,獲取到日志源地址;從日志報(bào)文的負(fù)載中獲取到日志�,對(duì)日志內(nèi)容進(jìn)行地址解析��,獲取到來(lái)源地址��、目標(biāo)地址���;對(duì)日志源地址、來(lái)源地址��、目標(biāo)地址進(jìn)行地址歸一化處理�,然后進(jìn)行資產(chǎn)識(shí)別處理,從而識(shí)別出日志的日志源資產(chǎn)���、來(lái)源資產(chǎn)�����、目標(biāo)資產(chǎn)信息���。下面結(jié)合具體實(shí)例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。 圖I中描述了在IPv6��、IPv4混合網(wǎng)絡(luò)環(huán)境中對(duì)審計(jì)日志進(jìn)行資產(chǎn)識(shí)別的過(guò)程�,具體的過(guò)程如下201接收日志接收到日志報(bào)文102。202獲取日志源地址根據(jù)日志報(bào)文102中的報(bào)文IPv4或IPv6頭部信息,通過(guò)日志報(bào)文源地址獲取模塊103獲取到日志源地址104���。203解析來(lái)源地址����、目標(biāo)地址根據(jù)日志105的內(nèi)容����,通過(guò)地址解析模塊106,解析出來(lái)源地址107�����、目標(biāo)地址108�。204地址歸一化處理對(duì)日志源地址104、來(lái)源地址107�、目標(biāo)地址108進(jìn)行地址歸
一化處理。205資產(chǎn)識(shí)別根據(jù)歸一化后的地址信息去檢索資產(chǎn)地址庫(kù)111�,識(shí)別到日志的日志源資產(chǎn)114�、來(lái)源資產(chǎn)112、目標(biāo)資產(chǎn)113�。206資產(chǎn)相關(guān)后續(xù)處理讀資產(chǎn)識(shí)別后的日志進(jìn)行后續(xù)的相關(guān)處理,如資產(chǎn)脆弱性關(guān)聯(lián)分析���、資產(chǎn)重要程度分析�、資產(chǎn)威脅影響分析等。圖2描述了本發(fā)明中的地址處理���、資產(chǎn)識(shí)別的一個(gè)具體例子��,以及相關(guān)的其他實(shí)體部分���、交互的信息。首先從各種應(yīng)用安全設(shè)備101����,如應(yīng)用安全掃描器、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)�����、入侵檢測(cè)系統(tǒng)(IDS)等�����,接收到日志報(bào)文102�。這些日志報(bào)文協(xié)議可能是Syslog、SNMP��、0PSEC、NetFlow等�����,也可能是其他日志協(xié)議����。這些日志報(bào)文102經(jīng)過(guò)日志報(bào)文源地址獲取模塊103的處理,從報(bào)文頭部信息獲取到日志源地址104���。日志源地址104可能是IPv4地址���,也可能是IPv6地址。通過(guò)提取日志報(bào)文102的負(fù)載信息���,得到日志105�,經(jīng)過(guò)地址解析模塊106的解析處理�����,解析出來(lái)源地址107��、目標(biāo)地址108�����。地址解析主要是根據(jù)IPv4����、IPv6相關(guān)的RFC標(biāo)準(zhǔn)中IP地址格式的定義,通過(guò)支持所有的地址格式���,能夠獲取到報(bào)文中存在的地址信息���。以上得到的日志源地址104、來(lái)源地址107���、目標(biāo)地址108�,由地址歸一化模塊109進(jìn)行歸一化處理��。歸一化處理過(guò)程中主要是根據(jù)IPv4�����、IPv6相關(guān)的RFC標(biāo)準(zhǔn)中各種隧道技術(shù)�,對(duì)解析到的地址進(jìn)行歸一化處理。這里需要處理的各種隧道包括但不限于IPv4兼容地址自動(dòng)隧道�、6to4自動(dòng)隧道��、ISATAP自動(dòng)隧道���、IPv6 over IPv4 GRE隧道、隧道代理技術(shù)��、6over4隧道�����、BGP隧道等��。歸一化后的地址�����,通過(guò)資產(chǎn)識(shí)別模塊110分別識(shí)別到來(lái)源資產(chǎn)112��、目標(biāo)資產(chǎn)113�����、日志源資產(chǎn)114�����。資產(chǎn)識(shí)別模塊通過(guò)檢索一個(gè)外部的資產(chǎn)地址庫(kù)111來(lái)完成資產(chǎn)識(shí)別。資產(chǎn)地址庫(kù)111中��,每個(gè)資產(chǎn)可以包括多個(gè)地址信息����,可以是IPv4格式的�,也可以是IPv6格式的,或其他與資產(chǎn)識(shí)別相關(guān)的任何信息��。資產(chǎn)地址庫(kù)111可以通過(guò)人工錄入的方式來(lái)維護(hù) �,也可以通過(guò)資產(chǎn)自動(dòng)發(fā)現(xiàn)模塊115得到。資產(chǎn)自動(dòng)發(fā)現(xiàn)可以采用網(wǎng)絡(luò)端口掃描�、網(wǎng)絡(luò)流量拓?fù)浞治龅雀鞣N方式進(jìn)行。
權(quán)利要求
1.一種在IPv6混合網(wǎng)絡(luò)中進(jìn)行審計(jì)日志資產(chǎn)識(shí)別的方法����,其特征在于,包括如下步驟 A���、接收到所有日志源設(shè)備的各種格式的日志報(bào)文�,該接收動(dòng)作基于一個(gè)外部的IPv6-IPv4雙棧協(xié)議棧��; B�����、從接收到的日志報(bào)文中獲取日志源地址,并從日志內(nèi)容中解析出來(lái)源地址和目標(biāo)地址��;所述來(lái)源地址或目標(biāo)地址是IPv4地址或IPv6地址��; C����、對(duì)日志源地址、來(lái)源地址�、目標(biāo)地址進(jìn)行歸一化處理,還原日志源地址�、來(lái)源地址和目標(biāo)地址在各種隧道傳輸過(guò)程中發(fā)生的變化; D��、進(jìn)行日志識(shí)別處理����,從歸一化后的日志源地址、來(lái)源地址和目標(biāo)地址識(shí)別出相應(yīng)日志的日志源資產(chǎn)���、來(lái)源資產(chǎn)和目標(biāo)資產(chǎn)���。
2.根據(jù)權(quán)利要求I所述的方法��,其特征在于�,所述日志報(bào)文使用的協(xié)議是Syslog�、SNMP、OPSEC 或 NetFlow 任意一種協(xié)議�����。
3.根據(jù)權(quán)利要求I所述的方法�,其特征在于�����,在步驟B中����,基于所述IPv6-IPv4雙棧協(xié)議棧,當(dāng)收到IPv4日志報(bào)文時(shí)其來(lái)源地址為IPv4地址��,當(dāng)收到IPv6日志報(bào)文時(shí)其來(lái)源地址為IPv6地址�。
4.根據(jù)權(quán)利要求I所述的方法,其特征在于���,所述日志報(bào)文的格式是文本格式�����、16進(jìn)制格式��、2進(jìn)制格式或縮寫(xiě)格式中的任意一種��。
5.根據(jù)權(quán)利要求I所述的方法���,其特征在于����,在步驟D中���,所述的識(shí)別基于一個(gè)外部的資產(chǎn)地址庫(kù)�����;資產(chǎn)地址庫(kù)中包含資產(chǎn)的地址信息�����,該地址信息包括資產(chǎn)的IPv4地址�、IPv6地址或其他與資產(chǎn)識(shí)別相關(guān)的任何信息。
全文摘要
本發(fā)明涉及計(jì)算機(jī)應(yīng)用安全管理技術(shù)領(lǐng)域��,旨在提供一種在IPv6混合網(wǎng)絡(luò)中進(jìn)行審計(jì)日志資產(chǎn)識(shí)別的方法����。該方法包括基于外部的IPv6-IPv4雙棧協(xié)議棧接收日志報(bào)文;從��;日志報(bào)文中獲取日志源地址��,并解析出來(lái)源地址和目標(biāo)地址�����;對(duì)日志源地址����、來(lái)源地址�、目標(biāo)地址進(jìn)行歸一化處理,還原在各種隧道傳輸過(guò)程中發(fā)生的變化�����;從歸一化后的日志源地址��、來(lái)源地址和目標(biāo)地址識(shí)別出相應(yīng)日志的日志源資產(chǎn)、來(lái)源資產(chǎn)和目標(biāo)資產(chǎn)�。本發(fā)明可以支持在IPv6、IPv4混合網(wǎng)絡(luò)環(huán)境中進(jìn)行日志審計(jì)����,同時(shí)支持IPv6地址、IPv4地址的資產(chǎn)識(shí)別�。支持精確的地址識(shí)別?���?梢栽诟鞣N雙棧隧道方案中,支持地址歸一化處理�����,從而確保資產(chǎn)的各種地址格式信息�,都能關(guān)聯(lián)到同一個(gè)資產(chǎn)。
文檔編號(hào)H04L12/24GK102724068SQ20121019316
公開(kāi)日2012年10月10日 申請(qǐng)日期2012年6月8日 優(yōu)先權(quán)日2012年4月5日
發(fā)明者楊永清, 范淵, 談修竹 申請(qǐng)人:杭州安恒信息技術(shù)有限公司