[发明专利]用户与IP地址租用事件的关联

权利要求书

1.一种方法，包括：

从多个来源收集（302）描述网际协议（IP）地址租用事件和验证事件的日志数据；

将收集到的数据保存（304）在公共数据存储器中；

至少部分基于相关联的IP地址来将IP租用事件与保存在公共数据存储器中的验证事件相互关联（306）。

2.权利要求1的方法，其中所述相互关联还包括：基于搜索判据来对保存在公共数据存储器中的收集数据进行搜索，其中所述搜索判据包括选择的IP地址、MAC地址、主机名或用户名中的至少一个。

3.权利要求2的方法，其中所述相互关联还包括在公共数据存储器中找出与所选择的搜索判据相匹配的记录的直接匹配。

4.权利要求3的方法，其中所述相互关联还包括通过以下处理来从收集到的数据中找出相关的记录：

从在搜索判据规定的时段中收集的租用事件推导得到租用组块；

基于一个或多个公共元素来将租用组块映射到数据存储器中的相关的记录，所述公共元素包括IP地址、MAC地址、主机名或用户名中的一个或多个。

5.权利要求4的方法，还包括：将直接匹配与通过搜索确定的相关的记录相结合，以便产生用于输出给用户的相互关联结果。

6.权利要求2的方法，其中所述搜索包括搜索由搜索判据规定的特定IP地址，该搜索包括：

从日志数据中找出直接匹配规定IP地址的租用事件和验证事件的记录；

通过检查租用事件来推导得到为所述搜索规定的时段中的租用组块；以及

通过查询验证事件来发现用于租用组块的相关的记录，其中所述记录与包括IP地址、MAC地址、主机名或用户名的一个或多个公共元素相匹配。

7.权利要求1的方法，其中将IP租用事件与验证事件相互关联的处理为网络中的计算设备使用的每一个特定IP地址提供一个综合记录，该记录标识在网络中使用所述特定IP地址实施的活动相关联的相应用户名或帐户标识符。

8.权利要求1的方法，其中所述多个来源包括保持了租用事件的日志的动态主机配置协议（DHCP）服务器以及保持了相应的验证事件的日志的一个或多个域控制器和一个或多个RADIUS服务器。

9.一种由审计系统（202）的分析工具（208）实现的方法，包括：

访问与DHCP服务器分配给客户机设备的IP地址相联系地记录在动态主机配置协议（DHCP）服务器（104）的网际协议（IP）地址事件日志中的租用事件；

检索由一个或多个验证数据源（106）记录在验证日志中的验证事件；

接收搜索判据以便实施将租用事件与验证事件相互关联的处理；以及

基于搜索判据来将租用事件与验证事件相互关联，包括：使用搜索判据和基于租用组块发现的相关的记录来找出记录的直接匹配，其中所述租用组块是从搜索判据规定的时段内的租用事件中推导得到的。

10.如权利要求9所述的方法，其中：

所述相互关联处理还包括通过在规定时间范围内检查租用事件来推导得到租用组块，以便发现由新的租用事件与停租事件、续订租用事件与停租事件，或是新租用事件与续订租用事件定义的不同的租用组块；以及

发现相关的记录的处理还包括：基于IP地址、MAC地址、主机名或用户名中的一个或多个在租用组块内部进行搜索，以便找出匹配记录。

11.一个或多个存储指令的计算机可读存储媒体（506），在被计算系统（500）的一个或多个组件运行时，所述指令将会导致所述计算系统执行如权利要求1-10中任何一项所述的方法。