審計日志的生成方法及裝置的制造方法

審計日志的生成方法及裝置的制造方法
【專利摘要】本申請提供一種審計日志的生成方法及裝置，所述方法應用于審計設備上，所述方法包括：接收NAT設備發送的業務報文；利用所述業務報文攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址；利用獲取到的私網地址查找用戶信息表，獲取對應的用戶信息；利用獲取到的用戶信息生成審計日志。應用本申請實施例，通過查找私網地址轉換表與用戶信息表，可以獲取到用戶信息，利用獲取到的用戶信息生成審計日志，并使用審計日志記錄用戶的網絡行為。
【專利說明】
審計日志的生成方法及裝置
技術領域
[0001] 本申請設及網絡通信技術領域，尤其設及一種審計日志的生成方法及裝置。
【背景技術】
[0002] 目前，網絡已經滲透到人們生活的方方面面。然而，由于網絡的開放性、不確定性、 虛擬性等特點，攻擊者可能會利用網絡從事違法活動，危害網絡的安全。為了保證網絡的安 全性，實名審計得到了快速發展。所述實名審計是指:針對網絡中的流量，綜合運用數據包 獲取、協議分析、信息處理等技術，實現對流量的有效監管。實名審計能夠記錄用戶的網絡 行為，W提供事后取證手段。
[0003] 為了實現實名審計過程，在網絡中部署有審計設備，審計設備利用每個終端設備 對應的IPQnternet Protocol，網際協議)地址來標識用戶信息。基于此，審計設備在接收 到業務報文時，可W從業務報文中獲取到終端設備的IP地址，通過該IP地址查詢到對應的 用戶信息，基于用戶信息生成審計日志，并使用審計日志來記錄用戶的網絡行為。
[0004] 但是為了保護終端設備的私有信息，通常會使用MT(Network Address 化anslation，網絡地址轉換)設備將終端設備對應的私網地址轉換為公網地址，而在現有 技術中，審計設備是利用每個終端設備對應的私網地址來標識用戶信息的，運樣，當審計設 備接收到MT設備發送的業務報文時，由于MT設備已經將業務報文攜帶的私網地址轉換為 公網地址，因此審計設備根據業務報文攜帶的公網地址，查找不到對應的私網地址，也就獲 取不到用戶信息，無法生成審計日志，也就無法使用審計日志來記錄用戶的網絡行為。

【發明內容】

[0005] 有鑒于此，本申請提供一種審計日志的生成方法及裝置，W解決現有技術無法生 成審計日志，無法使用審計日志來記錄用戶的網絡行為的問題。
[0006] 根據本申請實施例的第一方面，提供一種審計日志的生成方法，所述方法應用于 審計設備上，所述方法包括：
[0007] 接收網絡地址轉換MT設備發送的業務報文；
[000引利用所述業務報文攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址； 其中，所述私網地址轉換表記錄有私網地址和公網地址的對應關系；
[0009] 利用獲取到的私網地址查找用戶信息表，獲取對應的用戶信息;其中，所述用戶信 息表記錄有私網地址和用戶信息的對應關系；
[0010] 利用獲取到的用戶信息生成審計日志。
[0011] 根據本申請實施例的第二方面，提供一種審計日志的生成裝置，所述裝置應用于 審計設備上，所述裝置包括：
[0012] 接收單元，用于接收網絡地址轉換MT設備發送的業務報文；
[0013] 第一獲取單元，用于利用所述業務報文攜帶的公網地址查找私網地址轉換表，獲 取對應的私網地址;其中，所述私網地址轉換表記錄有私網地址和公網地址的對應關系；
[0014]第二獲取單元，用于利用獲取到的私網地址查找用戶信息表，獲取對應的用戶信 息;其中，所述用戶信息表記錄有私網地址和用戶信息的對應關系；
[001引審計日志生成單元，用于利用獲取到的用戶信息生成審計日志。
[0016] 應用本申請實施例，當審計設備接收到MT設備發送的業務報文時，利用業務報文 攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址，然后利用獲取到的私網地址 查找用戶信息表，獲取對應的用戶信息，最后利用獲取到的用戶信息生成審計日志。基于上 述技術方案，由于審計設備會維護私網地址和公網地址的對應關系，因此通過業務報文中 攜帶的公網地址，可W查找到對應的私網地址；由于會維護私網地址和用戶信息的對應關 系，因此通過查找到的私網地址，可W查找到對應的用戶信息，并利用查找到的用戶信息生 成審計日志，并使用生成的審計日志記錄用戶的網絡行為，運樣就可W實現實名審計。
【附圖說明】
[0017] 圖1為本申請根據一示例性實施例示出的一種審計日志的生成應用場景示意圖；
[0018] 圖2為本申請根據一示例性實施例示出的一種審計日志的生成方法實施例流程 圖；
[0019] 圖3為本申請根據一示例性實施例示出的另一種審計日志的生成方法實施例流程 圖；
[0020] 圖4為本申請根據一示例性實施例示出的一種審計設備的硬件結構圖；
[0021] 圖5為本申請根據一示例性實施例示出的一種審計日志的生成裝置的實施例結構 圖。
【具體實施方式】
[0022] 運里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述設及 附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。W下示例性實施例 中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附 權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。
[0023] 在本申請使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。 在本申請和所附權利要求書中所使用的單數形式的"一種"、"所述"和"該"也旨在包括多數 形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語"和/或"是指并包 含一個或多個相關聯的列出項目的任何或所有可能組合。
[0024] 應當理解，盡管在本申請可能采用術語第一、第二、第=等來描述各種信息，但運 些信息不應限于運些術語。運些術語僅用來將同一類型的信息彼此區分開。例如，在不脫離 本申請范圍的情況下，第一信息也可W被稱為第二信息，類似地，第二信息也可W被稱為第 一信息。取決于語境，如在此所使用的詞語"如果"可W被解釋成為"在……時"或"當…… 時"或"響應于確定"。
[0025] 參見圖1所示，為本申請根據一示例性實施例示出的一種獲得審計日志的應用場 景示意圖，包括終端設備、接入設備、認證服務器、NAT設備、審計設備W及日志服務器。其 中，終端設備可W是PC(Personal Computer,個人計算機）、手機等。在終端設備未通過認證 之前，由認證服務器完成對所述終端設備的認證。在終端設備認證成功之后，終端設備可W 向接入設備發送業務報文，接入設備將所述業務報文轉發至NAT設備，NAT設備對所述業務 報文進行MT轉換，并將轉換后的業務報文發送到審計設備，審計設備根據接收到的業務報 文生成審計日志，并將生成的審計日志發送到日志服務器。基于日志服務器上記錄的審計 日志，管理員可W詳細查看終端設備的網絡行為。
[0026] 參見圖2所示，為本申請根據一示例性實施例示出的一種審計日志的生成方法實 施例流程圖，該實施例應用于審計設備上，包括W下步驟：
[0027] 步驟201:接收MT設備發送的業務報文。
[0028] 當終端設備需要訪問網絡時，會向接入設備發送業務報文，接入設備將接收到的 業務報文轉發至MT設備。
[0029] 在一個可選的實現方式中，當NAT設備接收到業務報文時，利用所述業務報文攜帶 的所述終端設備對應的私網地址（即業務報文的源IP地址)查找NAT表項，所述NAT表項記錄 有私網地址與公網地址的對應關系，所述私網地址對應唯一一個公網地址（IPv4地址）；若 查找到對應的公網地址，則將業務報文攜帶的所述終端設備對應的私網地址轉換成查找到 公網地址，并將轉換后的業務報文發送至審計設備;若未查找到所述私網地址對應的公網 地址，則對所述業務報文攜帶的私網地址進行靜態NAT轉換，并將轉換后的公網地址與私網 地址的對應關系記錄到所述NAT表項中。如表1所述，為一種示例性的NAT表項。
[0030] L0031J 表 1
[0032] 在另一個可選的實現方式中，當NAT設備接收到業務報文時，利用所述業務報文攜 帶的所述終端設備對應的私網地址和私網端口查找NAPT表項，所述NAPT表項記錄有私網地 址、私網端口與公網地址、公網端口的對應關系；若查找到對應的公網地址與公網端口，貝U 將所述業務報文攜帶的私網地址和私網端口轉換成查找到公網地址和公網端口，若未查找 到，則對所述業務報文攜帶的私網地址和私網端口進行NAPT轉換，并將轉換后的公網地址、 公網端口與私網地址、私網端口的對應關系記錄到所述NAPT表項中。
[0033] 基于NAPT的方式，即不同的私網地址對應同一個公網地址的不同端口，多個私網 地址可W共用一個公網地址，基于此，NAPT的方式不需要一個私網地址對應唯一一個公網 地址，可W避免公網地址（IPv4地址）的浪費。
[0034] 針對私網地址轉換成公網地址的過程，NAT設備從本地的公網地址池中選擇一個 公網地址，所述公網地址池中記錄有NAT設備進行NAT轉換時可選的公網地址。
[0035] 針對私網端口轉換成公網端口的過程，當NAT設備從公網地址池中選擇一個公網 地址之后，再從本地使用的端口范圍中選擇一個所述公網地址未用的端口作為公網端口。 如表2所述，為另一種示例性的NAPT表項。 roosAi

[0037] 表 2
[0038] 進一步地，由于終端設備會發送多種業務類型的業務報文，而不同業務類型的業 務報文攜帶的私網端口可能不同，如表2所示的，業務報文攜帶的私網端口有端口3和端口 4。為了區分不同的業務類型，可W將MT設備使用的端口范圍均分為大小相同的段，每個私 網地址對應一個端口段，不同業務類型對應端口段中不同的端口。因此，當NAT設備接收到 業務報文，對所述業務報文攜帶的私網端口進行NAPT轉換時，可W從未用的端口段中選擇 一個端口段作為公網端口段，并從所述公網端口段中選擇一個未用端口作為公網端口。另 夕h可W將所述公網端口段對應私網地址、私網端口與公網地址、公網端口記錄到NAPT表項 中。如表3所示，為另一種示例性的NAPT表項。 L0040」 表3
[0041] 步驟202:利用所述業務報文攜帶的公網地址查找私網地址轉換表，獲取對應的私 網地址。
[0042] 在本步驟202之前，還包括私網地址轉換表的獲得過程，該私網地址轉換表的獲得 過程包括但不限于如下方式：
[0043] 方式一：當NAT設備利用靜態NAT的方式，將所述業務報文攜帶的私網地址轉換為 公網地址之后，可W通過Socket方式將所述私網地址與公網地址的對應關系發送到審計設 備，審計設備將接收到的私網地址與公網地址的對應關系記錄到私網地址轉換表中。
[0044] 基于私網地址轉換表中記錄的對應關系，當審計設備接收到MT設備發送的業務 報文時，獲取所述業務報文攜帶的公網地址，利用獲取到的公網地址查找私網地址轉換表， 獲取對應的私網地址。
[0045] 方式二：當NAT設備利用NAPT的方式，將所述業務報文攜帶的私網地址、私網端口 轉換為公網地址、公網端口時，所述審計設備中的私網地址轉換表記錄的所述私網地址與 公網地址的對應關系中還包括公網端口。運樣，通過公網端口來解決一個私網地址只能對 應一個公網地址的問題，避免了對公網地址的浪費。
[0046] 基于私網地址轉換表中記錄的對應關系，當審計設備接收到MT設備發送的業務 報文時，獲取所述業務報文攜帶的公網地址和公網端口，利用獲取到的公網地址和公網端 口查找所述私網地址轉換表，獲取所述公網地址和所述公網端口對應的私網地址。
[0047] 方式S:NAT設備為了區分不同的業務類型，將端口范圍均分為大小相同的段，每 個私網地址對應一個端口段，不同業務類型對應端口段中不同的端口。基于步驟201中所 述，因此所述審計設備中的私網地址轉換表記錄的所述私網地址與公網地址的對應關系中 還包括公網端口段。由于私網地址轉換表中一個私網地址只對應一個公網端口段，而不是 一個私網地址對應多個公網端口，運樣可W減少私網地址轉換表占用審計設備的內存，提 高審計設備的處理效率。
[004引基于私網地址轉換表中記錄的對應關系，當審計設備接收到MT設備發送的業務 報文時，獲取所述業務報文攜帶的公網地址和公網端口，利用獲取到的公網地址查找所述 私網地址轉換表，獲取對應的所有公網端口段;針對獲取到的每個公網端口段，判斷獲取到 的公網端口是否位于該公網端口段;若所述公網端口位于該公網端口段，則獲取所述公網 地址和該公網端口段對應的私網地址。
[0049] 其中，針對上述方式一、方式二和方式S，所述Socket方式發送是指:NAT設備與審 計設備先建立通信連接，然后將所述私網地址與公網地址發送到審計設備。
[0050] 步驟203:利用獲取到的私網地址查找用戶信息表，獲取對應的用戶信息。
[0051] 在終端設備認證通過之前，認證服務器還會執行對終端設備的認證過程，首先終 端設備通過接入設備向認證服務器發送認證請求報文，認證服務器利用認證請求報文對所 述終端設備進行認證，認證成功之后，通過所述接入設備將用于表示認證成功的認證響應 報文發送到所述終端設備。在終端設備認證通過之后，才會執行步驟201W及后續步驟。
[0052] 基于此，在認證服務器對終端設備進行認證的過程中，由于認證服務器與終端設 備之間交互的認證報文會經過接入設備，因此，接入設備可W將認證過程中的認證報文發 送給審計設備，當審計設備接收到所述認證報文時，獲取所述認證報文攜帶的所述終端設 備對應的私網地址與用戶信息，并將獲取到的私網地址與用戶信息的對應關系記錄到用戶 信息表中。
[0053] 其中，認證過程中的認證報文，可W是終端設備通過接入設備發送給認證服務器 的認證請求報文，或者認證服務器通過接入設備發送給終端設備的認證響應報文。
[0054] 其中，接入設備可W通過鏡像方式將認證過程中的認證報文發送到審計設備。通 過鏡像方式發送是指接入設備不需要對認證報文進行任何處理，直接復制一份發送到審計 設備。由于接入設備不需要對認證報文進行任何處理，因此可W提高接入設備的處理效率。
[0055] 基于用戶信息表中記錄的私網地址與用戶信息的對應關系，審計設備在獲取到對 應的私網地址之后，可W利用獲取到的私網地址，從用戶信息表中獲取所述私網地址對應 的用戶信息。
[0056] 步驟204:利用獲取到的用戶信息生成審計日志。
[0057] 當審計設備分別從私網地址轉換表和用戶信息表中獲取到私網地址和用戶信息 時，利用獲取到的用戶信息生成審計日志，并將生成的審計日志發送到日志服務器，W記錄 用戶的網絡行為。
[005引其中，所述審計日志可W包括私網地址、用戶信息W及業務報文的數據部分信息， 而業務報文的數據部分信息可W通過分析業務報文獲知。例如，當終端設備正在進行web訪 問業務時，審計設備可W通過分析業務報文，得到用戶訪問的網站抓L(化niform Resource Locator,統一資源定位器）、網頁標題、網頁內容等數據部分的信息；或終端設備正在進行 郵件業務，審計設備可W通過分析業務報文，得到郵件的發件人、收件人、郵件主題等數據 部分的信息。
[0059]進一步地，在生成審計日志之后，審計設備還可W將業務報文發送到外網。
[0060] 需要說明的是，終端設備下線時，認證服務器還會執行對終端設備的下線過程，首 先終端設備通過接入設備向認證服務器發送用戶下線請求報文，認證服務器針對接收到的 用戶下線請求報文對所述終端設備進行下線，并通過接入設備向終端設備返回表示下線成 功的用戶下線響應報文。
[0061] 基于此，在認證服務器對終端設備進行下線過程中，由于認證服務器與終端設備 之間交互的用戶下線報文會經過接入設備，因此，接入設備可W將下線過程中的用戶下線 報文發送給審計設備，當審計設備接收到所述用戶下線報文時，獲取所述用戶下線報文攜 帶的所述終端設備對應的私網地址與用戶信息，并將所述私網地址與用戶信息的對應關系 從所述用戶信息表中刪除;并向MT設備發送攜帶有所述私網地址的下線通知。
[0062] 再進一步地，當NAT設備接收到攜帶有私網地址的下線通知時，可W將NAT表項中 記錄的所述私網地址與公網地址的對應關系刪除；或者，將NAPT表項中記錄的所述私網地 址、私網端口與公網地址、公網端口的對應關系刪除；亦或者，可W將NAPT表項中記錄的所 述私網地址、私網端口與公網地址、公網端口、公網端口段的對應關系刪除，W節約端口段， 提高端口段的利用率。
[0063] 由上述實施例所述，當審計設備接收到MT設備發送的業務報文時，利用業務報文 攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址，然后利用獲取到的私網地址 查找用戶信息表，獲取對應的用戶信息，最后利用獲取到的用戶信息生成審計日志。基于上 述技術方案，由于審計設備會維護私網地址和公網地址的對應關系，因此通過業務報文中 攜帶的公網地址，可W查找到對應的私網地址；由于會維護私網地址和用戶信息的對應關 系，因此通過查找到的私網地址，可W查找到對應的用戶信息，并利用查找到的用戶信息生 成審計日志，并使用生成的審計日志記錄用戶的網絡行為，運樣就可W實現實名審計。
[0064] 參見圖3所示，為本申請根據一示例性實施例示出的另一種審計日志的生成方法 實施例流程圖，該實施例結合圖1示出的應用場景對生成審計日志的過程進行詳細描述，包 括W下步驟：
[00化]如下步驟301至步驟306為用戶認證過程：
[0066] 步驟301:終端設備向接入設備發送認證請求報文。
[0067] 終端設備在認證通過之前，需要通過認證服務器的認證。終端設備可W通過PP化E (Point-t〇-Point Protocol over Ethernet, W太網上的點對點協議）、IPoEQnternet Protocol over Ethernet, W太網上的網際協議）Jodal等認證方式進行認證，在運些認 證方式中，終端設備均首先向接入設備發送認證請求報文。
[0068] 步驟302:接入設備向認證服務器發送所述認證請求報文。
[0069] 步驟303:認證服務器對終端設備進行認證，并向接入設備發送認證響應報文。
[0070] 由于認證服務器的數據庫中記錄有允許通過認證用戶的用戶信息，當認證服務器 接收到終端設備通過接入設備發送的認證請求報文時，利用認證請求報文攜帶的所述終端 設備對應的用戶信息查找數據庫，當查找到所述用戶信息時，通過接入設備向終端設備返 回認證響應報文。
[0071 ] 步驟304:接入設備向終端設備發送認證響應報文。
[0072]當終端設備接收到接入設備發送的認證響應報文時，表明該終端設備通過認證， 可W接入網絡。
[0073] 步驟305:接入設備向審計設備發送認證報文。
[0074] 由于認證服務器與終端設備之間交互的認證報文會經過接入設備，因此，接入設 備可W將認證過程中產生的認證報文通過鏡像方式發送給審計設備。
[0075] 其中，所述認證報文可W是終端設備通過接入設備發送給認證服務器的認證請求 報文，或者認證服務器通過接入設備發送給終端設備的認證響應報文。
[0076] 步驟306:審計設備將所述認證報文攜帶的所述終端設備對應的私網地址和用戶 信息記錄到用戶信息表中。
[0077] 由于從認證報文（如認證請求報文或認證響應報文）中可W解析出終端設備對應 的私網地址和用戶信息，因此審計設備可W從認證報文中獲取所述終端設備對應的私網地 址和用戶信息，并將獲取到的私網地址和用戶信息記錄到用戶信息表中，如表4所示，為一 種示例性的用戶信息表。所述用戶信息可W是用戶名或用戶手機號等， L0079J 表 4
[0080] 如下步驟307至步驟312為業務報文傳輸過程：
[0081 ]步驟307:終端設備向接入設備發送業務報文。
[0082] 當終端設備接收到接入設備發送的認證響應報文時，向接入設備發送業務報文。
[0083] 步驟308:接入設備向MT設備發送業務報文。
[0084] 步驟309: NAT設備對業務報文攜帶的私網地址進行NAT轉換。
[0085] 在一個可選的實現方式中，NAT設備可W使用靜態NAT的方式，將所述業務報文攜 帶的所述終端設備對應的私網地址轉換為公網地址，并將所述私網地址與公網地址的對應 關系記錄到NAT表項中。
[0086] 如表4所述的用戶A對應的私網地址192.168.0.1，使用靜態NAT方式，可W將私網 地址192.168.0.1轉換為公網地址163. 100. 100. 1，相應的，用戶B對應的私網地址 192.168.0.2,可 W轉換為公網地址163.100.100.2。
[0087] 在另一個可選的實現方式中，MT設備可W使用NAPT的方式，將所述業務報文攜帶 的私網地址、私網端口轉換為公網地址、公網端口，并將所述私網地址、私網端口與公網地 址、公網端口的對應關系記錄到所述NAPT表項中。運里私網地址轉換公網地址和私網端口 轉換公網端口的詳細過程見步驟201，在此不再寶述。
[0088] 如表4所述的用戶A對應的私網地址和私網端口為192.168.0.1:1025，假設私網地 址192.168.0.1從公網地址池163.100.100.1~163.100.100.2,選擇的公網地址為 163.100.100.1，并且假設NAT設備使用的端口范圍為1~200,那么可W為私網端口 1025選 擇端口 1作為公網端口，因此192.168.0.1:1025經過NAPT轉換之后變為163.100.100.1:1。 當用戶A進行不同的業務，業務報文攜帶的私網地址和私網端口為192.168.0.1:1020時，可 W為私網端口 1020選擇端口 2作為公網端口。相應的，表4中的用戶B對應的私網地址和私網 端口 192.168.0.2:1025經過 NAPT 轉換之后可 W 變為 163.100.100.1:11。
[0089] 進一步地，針對私網端口轉換公網端口的過程，為了區分不同的業務類型，NAT設 備將使用的端口范圍均分為大小相同的段，每個私網地址對應一個端口段，不同業務類型 對應端口段中不同的端口。因此NAT設備可W從未用的端口段中選擇一個端口段作為公網 端口段，并從所述公網端口段中選擇一個未用端口作為公網端口。另外，可W將所述公網端 口段對應私網地址、私網端口與公網地址、公網端口記錄到NAPT表項中
[0090] 例如，NAT設備可W將端口范圍1~200,分為20段，每段10個端口，即1~10、11~ 20--191~200,那么可W為用戶A的私網端口 1025選擇1~10的端口段作為公網端口段，并 從所述公網端口段中選擇端口 1作為公網端口。并且當用戶A進行不同的業務，業務報文攜 帶的私網地址和私網端口為192.168.0.1:1020時，可W為私網端口 1020從1~10的公網端 口段中選擇端口 2作為公網端口。相應的，用戶B對應的私網地址和私網端口 192.168.0.2: 1025經過NAPT轉換之后可W變為163.100.100.1:11。
[0091] 步驟310:NAT設備將轉換信息發送到審計設備。
[0092] 利用NAT設備發送的轉換信息獲得私網地址轉換表，所述私網地址轉換表的獲得 過程包括但不限于如下方式：
[0093] 方式一：若NAT設備使用靜態NAT的方式，則可W通過Socket方式，將轉換信息（所 述私網地址與公網地址的對應關系）發送到審計設備，審計設備將收到的私網地址與公網 地址的對脈羊累巧異卸獻網他時掉搶親由。化表5所示，為一種示例性的私網地址轉換表。
[0094]
[0095]
[0096] 表 5
[0097] 方式二:若NAT設備使用NAPT的方式，NAT設備發送的轉換信息還包括公網端口。審 計設備將接收到的轉換信息記錄到私網地址轉換表中。如表6所示，為另一種示例性的私網 地址轉換表。
[009引 LUUWJ 巧 6
[0100]方式若NAT設備為了區分不同的業務類型，將端口范圍均分為大小相同的段， 每個私網地址對應一個端口段，不同業務類型對應端口段中不同的端口。那么MT設備發送 的轉換信息還包括公網端口段，如表7所示，為另一種示例性的私網地址轉換表。 「mm 1
[0102]表7
[0103] 步驟311:NAT設備向審計設備發送轉換后的業務報文。
[0104] MT設備將業務報文進行MT轉換之后，將轉換后的業務報文發送至審計設備。
[0105] 步驟312:審計設備利用獲取到的用戶信息生成審計日志。
[0106] 基于步驟310所述，若NAT設備使用靜態NAT方式進行的NAT轉換，則私網地址轉換 表中記錄著私網地址與公網地址的對應關系。基于此，當審計設備接收到NAT設備發送的業 務報文時，利用所述業務報文攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址。
[0107] 若NAT設備使用NAPT方式進行的NAT轉換，則私網地址轉換表中記錄著私網地址與 公網地址、公網端口的對應關系。基于此，當審計設備接收到MT設備發送的業務報文時，利 用所述業務報文攜帶的公網地址和公網端口查找私網地址轉換表，獲取對應的私網地址。
[0108] 進一步地，若MT設備為了區分不同的業務類型，將端口范圍均分為大小相同的 段，每個私網地址對應一個端口段。則私網地址轉換表中記錄著私網地址與公網地址、公網 端口段的對應關系。基于此，當審計設備接收到NAT設備發送的業務報文時，獲取所述業務 報文攜帶的公網地址和公網端口，利用獲取到的公網地址查找所述私網地址轉換表，獲取 對應的所有公網端口段;針對獲取到的每個公網端口段，判斷獲取到的公網端口是否位于 該公網端口段;若所述公網端口位于該公網端口段，則獲取所述公網地址和該公網端口段 對應的私網地址。
[0109] 接著利用獲取到的私網地址查找用戶信息表，獲取對應的用戶信息，比如用戶名。 最后審計設備利用獲取到的用戶信息生成審計日志，并將生成的審計日志發送到日志服務 器，所述審計日志可W包括用戶信息、私網地址、業務報文的數據部分攜帶的訪問地址、訪 問時間信息，W供管理員詳細查看終端設備的網絡行為。
[0110] 如表7所述，假設所述業務報文攜帶的公網地址和公網端口為163.100.100.1:11， 首先查找私網地址轉換表可W獲取到11~20的公網端口段，然后判斷獲取到的公網端口 11 是否位于11~20的公網端口段。由于公網端口 11位于11~20的公網端口段，所W可W獲取 到對應的私網地址192.168.0.2，再從表4可W獲取到所述私網地址對應的用戶B。相應的， 假設所述業務報文攜帶的公網地址和公網端口為163.100.100.1:1，可W獲取到私網地址 192.168.0.1，再從表4可W獲取到對應的用戶A。如表8所示，為一種示例性的審計日志表。 LUi IZ」 巧《
[0113] 如下步驟313至步驟319為用戶下線過程：
[0114] 步驟313至步驟317:終端設備下線處理過程與上線進行認證處理過程一致，見步 驟301至步驟305所述，在此不再一一寶述。只是認證服務器接收到終端設備通過接入設備 發送的用戶下線請求報文之后，認證服務器針對接收到的用戶下線請求報文對所述終端設 備進行下線，并通過接入設備向所述終端設備返回用戶下線響應報文。接入設備最終將認 證服務器對終端設備下線過程中的用戶下線報文通過鏡像方式發送給審計設備，所述用戶 下線報文可W是終端設備通過接入設備發送給認證服務器的用戶下線請求報文，或者認證 服務器通過接入設備發送給終端設備的用戶下線響應報文。
[0115] 步驟318:根據用戶下線報文攜帶的私網地址，從用戶信息表中刪除所述私網地址 與用戶信息的對應關系。
[0116] 步驟319:審計設備向NAT設備發送攜帶有私網地址的下線通知。
[0117] 當NAT設備接收到審計設備發送的下線通知時，可W將MT表項中記錄的所述私網 地址與公網地址的對應關系刪除；或者，將NAPT表項中記錄的所述私網地址、私網端口與公 網地址、公網端口的對應關系刪除；亦或者，可W將NAPT表項中記錄的所述私網地址、私網 端口與公網地址、公網端口、公網端口段的對應關系刪除，W節約端口段，提高端口段的利 用率。
[0118] 由上述實施例所述，當審計設備接收到MT設備發送的業務報文時，利用業務報文 攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址，然后利用獲取到的私網地址 查找用戶信息表，獲取對應的用戶信息，最后利用獲取到的用戶信息生成審計日志。基于上 述技術方案，由于審計設備會維護私網地址和公網地址的對應關系，因此通過業務報文中 攜帶的公網地址，可W查找到對應的私網地址；由于會維護私網地址和用戶信息的對應關 系，因此通過查找到的私網地址，可W查找到對應的用戶信息，并利用查找到的用戶信息生 成審計日志，并使用生成的審計日志記錄用戶的網絡行為，運樣就可W實現實名審計。
[0119] 與前述審計日志的生成方法的實施例相對應，本申請還提供了審計日志的生成裝 置的實施例。
[0120] 本申請審計日志的生成裝置的實施例可W應用在審計設備上。裝置實施例可W通 過軟件實現，也可W通過硬件或者軟硬件結合的方式實現。W軟件實現為例，作為一個邏輯 意義上的裝置，是通過其所在設備的處理器將非易失性存儲器中對應的計算機程序指令讀 取到內存中運行形成的。從硬件層面而言，如圖4所示，為本申請審計日志的生成裝置所在 設備的一種硬件結構圖，除了圖4所示的處理器、內存、網絡接口、W及非易失性存儲器之 夕h實施例中裝置所在的設備通常根據該設備的實際功能，還可W包括其他硬件，對此不再 寶述。
[0121] 參見圖5所示，本申請根據一示例性實施例示出的一種審計日志的生成裝置的實 施例結構圖，該實施例應用于審計設備上，所述裝置包括:接收單元510、第一獲取單元520、 第二獲取單元530、審計日志生成單元540。
[0122] 其中，接收單元510,用于接收網絡地址轉換MT設備發送的業務報文；
[0123] 第一獲取單元520,用于利用所述業務報文攜帶的公網地址查找私網地址轉換表， 獲取對應的私網地址;其中，所述私網地址轉換表記錄有私網地址和公網地址的對應關系；
[0124] 第二獲取單元530,用于利用獲取到的私網地址查找用戶信息表，獲取對應的用戶 信息;其中，所述用戶信息表記錄有私網地址和用戶信息的對應關系；
[0125] 審計日志生成單元540，用于利用獲取到的用戶信息生成審計日志。
[0126] 在一個可選的實現方式中，所述裝置還包括(圖5中未示出）：
[0127] 用戶信息表維護單元，用于獲得用戶信息表；
[0128] 所述用戶信息表維護單元包括(圖5中未示出）：
[0129] 第一接收子單元，用于接收接入設備通過鏡像方式發送的認證報文，所述認證報 文是終端設備通過所述接入設備發送給認證服務器的認證請求報文，或者認證服務器通過 所述接入設備發送給終端設備的認證響應報文；
[0130] 獲取子單元，用于獲取所述認證報文攜帶的所述終端設備對應的私網地址與用戶 f目息；
[0131] 記錄子單元，用于將獲取到的私網地址與用戶信息的對應關系記錄到所述用戶信 息表中。
[0132] 在另一個可選的實現方式中，所述用戶信息表維護單元，還包括(圖5中未示出）：
[0133] 第二接收子單元，用于接收所述接入設備通過鏡像方式發送的用戶下線報文，所 述用戶下線報文是終端設備通過所述接入設備發送給認證服務器的用戶下線請求報文，或 者認證服務器通過所述接入設備發送給終端設備的用戶下線響應報文；
[0134] 刪除子單元，用于獲取所述用戶下線報文攜帶的所述終端設備對應的私網地址與 用戶信息，并將所述私網地址與用戶信息的對應關系從所述用戶信息表中刪除。
[0135] 在另一個可選的實現方式中，所述裝置還包括(圖5中未示出）：
[0136] 私網地址轉換表獲得單元，用于獲得私網地址轉換表；
[0137] 所述私網地址轉換表獲得單元包括(圖5中未示出）：
[0138] 第一獲得子單元，用于接收所述NAT設備通過套接字Socket方式發送的所述私網 地址與公網地址的對應關系；其中，所述私網地址與公網地址的對應關系是當MT設備接收 到業務報文時，將所述業務報文攜帶的私網地址轉換為公網地址之后發送的；并將所述私 網地址與公網地址的對應關系記錄到所述私網地址轉換表中。
[0139] 在另一個可選的實現方式中，所述私網地址與公網地址的對應關系中還包括公網 端口，所述第一獲取單元520,具體用于從所述業務報文中獲取公網地址和公網端口；利用 獲取到的公網地址和公網端口查找所述私網地址轉換表，獲取所述公網地址和所述公網端 口對應的私網地址；
[0140] 或者，所述私網地址與公網地址的對應關系中還包括公網端口段，所述第一獲取 單元520,具體用于從所述業務報文中獲取公網地址和公網端口；利用獲取到的公網地址查 找所述私網地址轉換表，獲取對應的所有公網端口段;針對獲取到的每個公網端口段，判斷 獲取到的公網端口是否位于該公網端口段;若是，則獲取所述公網地址和該公網端口段對 應的私網地址。
[0141] 上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的 實現過程，在此不再寶述。
[0142] 對于裝置實施例而言，由于其基本對應于方法實施例，所W相關之處參見方法實 施例的部分說明即可。W上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件 說明的單元可W是或者也可W不是物理上分開的，作為單元顯示的部件可W是或者也可W 不是物理單元，即可W位于一個地方，或者也可W分布到多個網絡單元上。可W根據實際的 需要選擇其中的部分或者全部模塊來實現本申請方案的目的。本領域普通技術人員在不付 出創造性勞動的情況下，即可W理解并實施。
[0143] 由上述實施例所述，當審計設備接收到MT設備發送的業務報文時，利用業務報文 攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址，然后利用獲取到的私網地址 查找用戶信息表，獲取對應的用戶信息，最后利用獲取到的用戶信息生成審計日志。基于上 述技術方案，由于審計設備會維護私網地址和公網地址的對應關系，因此通過業務報文中 攜帶的公網地址，可W查找到對應的私網地址；由于會維護私網地址和用戶信息的對應關 系，因此通過查找到的私網地址，可W查找到對應的用戶信息，并利用查找到的用戶信息生 成審計日志，并使用生成的審計日志記錄用戶的網絡行為，運樣就可W實現實名審計。
[0144] W上所述僅為本申請的較佳實施例而已，并不用W限制本申請，凡在本申請的精 神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本申請保護的范圍之內。
【主權項】
1. 一種審計日志的生成方法，其特征在于，所述方法應用于審計設備上，所述方法包 括： 接收網絡地址轉換NAT設備發送的業務報文； 利用所述業務報文攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址;其中， 所述私網地址轉換表記錄有私網地址和公網地址的對應關系； 利用獲取到的私網地址查找用戶信息表，獲取對應的用戶信息；其中，所述用戶信息表 記錄有私網地址和用戶信息的對應關系； 利用獲取到的用戶信息生成審計日志。2. 根據權利要求1所述的方法，其特征在于，獲得用戶信息表的過程，具體包括： 接收接入設備通過鏡像方式發送的認證報文，所述認證報文是終端設備通過所述接入 設備發送給認證服務器的認證請求報文，或者認證服務器通過所述接入設備發送給終端設 備的認證響應報文； 獲取所述認證報文攜帶的所述終端設備對應的私網地址與用戶信息； 將獲取到的私網地址與用戶信息的對應關系記錄到所述用戶信息表中。3. 根據權利要求2所述的方法，其特征在于，所述方法還包括： 接收所述接入設備通過鏡像方式發送的用戶下線報文，所述用戶下線報文是終端設備 通過所述接入設備發送給認證服務器的用戶下線請求報文，或者認證服務器通過所述接入 設備發送給終端設備的用戶下線響應報文； 獲取所述用戶下線報文攜帶的所述終端設備對應的私網地址與用戶信息； 將獲取到的私網地址與用戶信息的對應關系從所述用戶信息表中刪除。4. 根據權利要求1所述的方法，其特征在于，獲得私網地址轉換表的過程，具體包括： 接收所述NAT設備通過套接字Socket方式發送的私網地址與公網地址的對應關系；其 中，所述私網地址與公網地址的對應關系是當所述NAT設備接收到業務報文時，將所述業務 報文攜帶的私網地址轉換為公網地址之后發送的； 將所述私網地址與公網地址的對應關系記錄到所述私網地址轉換表中。5. 根據權利要求1或4所述的方法，其特征在于，所述方法還包括： 所述私網地址與公網地址的對應關系中還包括公網端口，所述利用所述業務報文攜帶 的公網地址查找私網地址轉換表，獲取對應的私網地址，包括:從所述業務報文中獲取公網 地址和公網端口；利用獲取到的公網地址和公網端口查找所述私網地址轉換表，獲取所述 公網地址和所述公網端口對應的私網地址； 或者，所述私網地址與公網地址的對應關系中還包括公網端口段，所述利用所述業務 報文攜帶的公網地址查找私網地址轉換表，獲取對應的私網地址，包括:從所述業務報文中 獲取公網地址和公網端口；利用獲取到的公網地址查找所述私網地址轉換表，獲取對應的 所有公網端口段;針對獲取到的每個公網端口段，判斷獲取到的公網端口是否位于該公網 端口段;若是，則從所述私網地址轉換表中獲取所述公網地址和該公網端口段對應的私網 地址。6. -種審計日志的生成裝置，其特征在于，所述裝置應用于審計設備上，所述裝置包 括： 接收單元，用于接收網絡地址轉換NAT設備發送的業務報文； 第一獲取單元，用于利用所述業務報文攜帶的公網地址查找私網地址轉換表，獲取對 應的私網地址;其中，所述私網地址轉換表記錄有私網地址和公網地址的對應關系； 第二獲取單元，用于利用獲取到的私網地址查找用戶信息表，獲取對應的用戶信息；其 中，所述用戶信息表記錄有私網地址和用戶信息的對應關系； 審計日志生成單元，用于利用獲取到的用戶信息生成審計日志。7. 根據權利要求6所述的裝置，其特征在于，所述裝置還包括： 用戶信息表維護單元，用于獲得用戶信息表； 所述用戶信息表維護單元包括： 第一接收子單元，用于接收接入設備通過鏡像方式發送的認證報文，所述認證報文是 終端設備通過所述接入設備發送給認證服務器的認證請求報文，或者認證服務器通過所述 接入設備發送給終端設備的認證響應報文； 獲取子單元，用于獲取所述認證報文攜帶的所述終端設備對應的私網地址與用戶信 息； 第一記錄子單元，用于將獲取到的私網地址與用戶信息的對應關系記錄到所述用戶信 息表中。8. 根據權利要求7所述的裝置，其特征在于，所述用戶信息表維護單元，還包括： 第二接收子單元，用于接收所述接入設備通過鏡像方式發送的用戶下線報文，所述用 戶下線報文是終端設備通過所述接入設備發送給認證服務器的用戶下線請求報文，或者認 證服務器通過所述接入設備發送給終端設備的用戶下線響應報文； 刪除子單元，用于獲取所述用戶下線報文攜帶的所述終端設備對應的私網地址與用戶 信息，并將所述私網地址與用戶信息的對應關系從所述用戶信息表中刪除。9. 根據權利要求6所述的裝置，其特征在于，所述裝置還包括： 私網地址轉換表獲得單元，用于獲得私網地址轉換表； 所述私網地址轉換表獲得單元包括： 第一獲得子單元，用于接收所述NAT設備通過套接字Socket方式發送的所述私網地址 與公網地址的對應關系；其中，所述私網地址與公網地址的對應關系是當NAT設備接收到業 務報文時，將所述業務報文攜帶的私網地址轉換為公網地址之后發送的； 第二記錄子單元，用于將所述私網地址與公網地址的對應關系記錄到所述私網地址轉 換表中。10. 根據權利要求6或9所述的裝置，其特征在于， 所述私網地址與公網地址的對應關系中還包括公網端口，所述第一獲取單元，具體用 于從所述業務報文中獲取公網地址和公網端口；利用獲取到的公網地址和公網端口查找所 述私網地址轉換表，獲取所述公網地址和所述公網端口對應的私網地址； 或者，所述私網地址與公網地址的對應關系中還包括公網端口段，所述第一獲取單元， 具體用于從所述業務報文中獲取公網地址和公網端口；利用獲取到的公網地址查找所述私 網地址轉換表，獲取對應的所有公網端口段;針對獲取到的每個公網端口段，判斷獲取到的 公網端口是否位于該公網端口段;若是，則獲取所述公網地址和該公網端口段對應的私網 地址。
【文檔編號】H04L29/06GK105939327SQ201610035084
【公開日】2016年9月14日
【申請日】2016年1月19日
【發明人】仇俊杰
【申請人】杭州迪普科技有限公司