IP地址审计在事件追溯中的应用

 

        如果网络内部的入侵检测系统（ NIDS）、SOC或上网行为审计系统报告在过去的某段时间，有主机感染蠕虫病毒、或在网上发表违法言论、或有重大泄密嫌疑，是否能够根据报警信息中所关联的IP地址或（IP+MAC）地址及时追踪及定位到涉案主机？如果报警信息中关联的IP地址是临时修改，是否能够还原事发时段该IP地址所对应真实的MAC地址？如果有人“克隆”（即同时冒用IP和MAC地址）别人进行蓄意“栽赃”，是否能够区分及最终定位到背后的“克隆”者？

        事件追溯的一个主要特点就是时间性，过去某时间点的某 IP地址的使用者跟现在的IP地址的使用者，可能是同一终端也可能不是，即使是同一台终端由于缺乏相应的审计依据也难进行确认，再加上IP地址和MAC地址的易修改性，因此没有其他辅助手段如认证手段，是很难进行准确有效定位的，这里所说的准确和有效主要是指在抗抵赖方面。

        事实上，除采用认证手段外，还有一种简单有效的方法，可让事件关联的 IP和MAC能够发挥追踪定位作用，那就是对IP进行全程的跟踪审计，审计的内容包括：

        IP地址的使用审计和 MAC地址的网络接入审计。

        IP地址使用审计的主要目的是能够详细记录每一个 MAC地址使用不同IP地址的时间段，即能够根据事件关联的IP地址及其发生的时段，反推出该IP地址在那个相应时段所对应的MAC地址，这是IP地址审计的第一步。

         MAC地址的网络接入审计的主要目的是详细记录每一 MAC地址在不同时间段的网络接入点，即每一MAC地址在不同时段接入的交换设备端口。这样就可以根据第一步的关联的MAC地址结合时间段，反推出该MAC地址的接入交换机端口，即定位到事件关联IP的物理终端上。

         因此,即使发生 IP冒用，MAC地址的篡改，甚至有人“克隆”， IP地址审计仍可进行追踪定位。