CN113079068B 用于监测计算机网络连接的生命周期的方法、系统以及计算机存储设备 （微软技术许可有限责任公司）

201680046601.32016.08.04US2011185421A1,2011.07.28用于监测计算机网络连接的生命周期的方本公开涉及用于监测计算机网络连接的生了经由监测网络中一个或多个网络客户端设备与时间服务器之间流动的时间同步流量来监测监测网络客户端设备到网络的连接的生命周期确定哪些网络客户端设备已与特定的互联网协2确定由所述计算机网络的时间服务器接收的给定时间同步联网协议消息是否指示到原始时间戳，所述原始时间戳指示所述网络客户端设备处接收时间戳，所述接收时间戳指示所述给定时间同步联网协议基于所述层级、所述原始时间戳以及所述接收时间戳具有零值基于所述层级、所述原始时间戳以及所述接收时间戳中的至少一所述给定的时间同步联网协议消息不指示到所述计算机网络的所述网络客户端设备的所从给定的时间同步联网协议请求消息中提取与所述网络客户端设备将所述网络客户端设备的所述真实身份与互联网协议(IP)地基于所述时间同步联网协议消息来确定所述网络客户端何时从所述计算机网络断开基于与所述网络客户端设备相关联的连接和断开连接数据，生成标识与2.根据权利要求1所述的方法，其中确定所述网络客户端设备何时从所述计算机网络监测根据定义的轮询间隔从所述网络客户端设备被发送的后续时间同步联网协议请确定在所述定义的轮询间隔内后续时间同步联网协议请求消息是否未从所述网络客3.根据权利要求2所述的方法，还包括确定所述网络客户端设备何时重新连接到所述从所述网络客户端设备接收用于所述时间服务器的时间同步联网协确定用于所述时间服务器的所述时间同步联网协议请求消息与所述网络客户端设备对用于所述时间服务器的所述时间同步联网协议请求消息进行解析34.根据权利要求1所述的方法，还包括基于由所述网络客户端设备发送到所述时间服务器的用于所述时间服务器的最后后续时间同步联网协议请求消息的时间以及轮询间隔5.根据权利要求1所述的方法，其中确定连接到所述计算机网络的所述网络客户端设对所述时间同步联网协议请求消息进行解析并从所述时间同步联网协议请求消息中所述网络客户端设备的所述真实身份是网络客户端设备确定是否存在与所述网络客户端设备相关联8.根据权利要求7所述的方法，其中确定是否存在与所述网络客户端设备相关联的异标识第二网络客户端设备是否使用安全令牌而被连接到所述计算机网基于从所述网络客户端设备到多个地理上远离的网络中的指示两个的连接时间低于标识所述网络客户端设备与所述计算机网络的连接或断开连接的异常在生成所述报告之前，接收与所述网络客户端设备、所述IP地址或4存储器，被耦合到所述一个或多个处理器，用于存储由所述一确定由所述计算机网络的时间服务器接收的给定时间同步联网协议消息是否指示到原始时间戳，所述原始时间戳指示所述网络客户端设备处接收时间戳，所述接收时间戳指示所述给定时间同步联网协议及确定所述给定的时间同步联网协议消息不指示到所述计算机网络的所述网络客户端设备基于从所述时间同步联网协议请求消息信息提取的所述信息来确定连接到所述计算将所述网络客户端设备的所述真实身份与互联网协议(IP)地连接监测器程序，被配置为基于所述时间同步联网协议消息报告生成器程序，被配置为基于与所述网络客户端设备相关联的连接和断开连接数12.根据权利要求11所述的系统，其中在确定所述网络客户端设备何时从所述计算机监测根据定义的轮询间隔从所述网络客户端设备被发送的后续时间同步联网协议请确定在所述定义的轮询间隔内后续时间同步联网协议请求消息是否未从所述网络客513.根据权利要求11所述的系统，其中在确定连接到所述计算机网络的所述网络客户标识所述网络客户端设备的所述唯一标识符所述网络客户端设备的所述真实身份是网络客户端设备14.根据权利要求11所述的系统，还包括异常检测引擎，所述异常检测引擎还被配置确定是否存在与所述连接和断开连接数据相关联15.根据权利要求14所述的系统，其中在确定是否存在与所述连接和断开连接数据相第二网络客户端设备是否使用安全令牌而被连接到所述计算机基于从所述网络客户端设备到多个地理上远离的网络中的指示两个的连接时间低于所述网络客户端设备与所述计算机网络的连接或断开连接的异常16.根据权利要求11所述的系统，其中在生成包括与所述网络客户端设备相关联的连18.一种存储计算机可用指令的计算机可读存储设备，所述计算机可用指令当被一个或多个计算设备使用时使得所述一个或多个计算设备执行用于监测计算机网络上的网络确定由所述计算机网络的时间服务器接收的给定时间同步联网协议消息是否指示到6原始时间戳，所述原始时间戳指示所述网络客户端设备处接收时间戳，所述接收时间戳指示所述给定时间同步联网协议基于所述层级、所述原始时间戳以及所述接收时间戳具有零值基于所述层级、所述原始时间戳以及所述接收时间戳中的至少一所述给定的时间同步联网协议消息不指示到所述计算机网络的所述网络客户端设备的所从给定的时间同步联网协议请求消息中提取与所述网络客户端设备将所述网络客户端设备的所述真实身份与互联网协议(IP)地基于所述时间同步联网协议消息来确定所述网络客户端何时从所述计算机网络断开基于与所述网络客户端设备相关联的连接和断开连接数据，生成标识与20.根据权利要求18所述的计算机可读存储设备，其中确定连接到所述计算机网络的对所述时间同步联网协议请求消息进行解析并从所述时间同步联网协议请求消息中相对标识符，唯一地标识在所述网络客户端设备被分组的所述域其中所述网络客户端设备的所述真实身份是网络客7[0004]提供本发明内容是为了以简化的形式介绍将在以下详细描述部分中进一步描述[0005]各个方面涉及用于监测网络客户端设备到网络的连接的生命周期的自动化系统包括与一个或多个网络客户端设备相关联的连接和断开连接信息的输出。根据一个方面，8[0010]图2是图示用于监测到计算机网络的连接的生命周期的安全设备的组件的简化框[0012]图4是示出用于监测到计算机网络的连接的生命周期的示例方法中涉及的整体阶[0017]本公开的各方面涉及监测到计算机网络的连接的生命周期。图1是计算机网络连系统100被适配用于在联网的目录服务环境110中实现。联网的目录服务环境110的一个示例是ActiveDirectoryE(AD)域服务，其中提供针对网络104中的对象的安全的、结构化[0018]在联网的目录服务环境110内，网络104中的网络客户端设备102的时钟在给定的括在票证中，以防止重放攻击(即，用于获得未经授权的访问的先前发放的票证的欺诈表9或其他类似实现)用于在经分组交换的、可变延迟数据网络上的计算机系统之间进行时间一些示例中，作为联网的目录服务环境110域的一部分的域控制器机器被自动配置为充当备106可操作来监测在一个或多个网络客户端设备102与时间服务器108之间流动的时间同和时间服务器108之间流动的时间同步流量的系统或设备上操作的系统、设备或者组件或操作来确定哪些网络客户端设备102已与特定的互联网协议(IP)地[0021]通过监测在一个或多个网络客户端设备102和时间服务器108之间流动的时间同步流量并且通过监测网络客户端设备102到网络104的连接的生命周期，安全设备106被启[0022]一个或多个网络客户端设备102、时间服务器108以及安全设备106的组件是多个算设备，在该计算设备上是硬编码的操作指令，或者使用该计算设备来处理用于使得组件个组件可以独立地操作，但是可以与其他组件交互操作，或者每个组件可以集成为单个操报告生成器216。数据储存库214是用于存储由与安全设备106相关联的网络流量监听器[0025]网络流量监听器202是可操作来访问并监测在一个或多个网络客户端设备102和联网协议的一些实现包括：向时间服务器108发送具有其当前时间以及附加信息的请求的应的时间的时间服务器108；通过估计往返时间来计算时间服务器的时间的网络客户端设202根据需要主动请求从网络客户端设备102到时间服务器108MicrosoftEwindows@环境中，唯一标识符是相对标识(RID)值，其中RID值是在创建网络客户端设备的唯一标识符相关的共享秘密来签署响应，使得网络客户端设备102可以[0027]数据提取器204是可操作来解析时间同步联网协议消息以提取有用信息的软件模域安全标识(SID)值)；指示时间服务器层级中的时间服务器108的层级的值；原始时间戳[0028]连接类型标识符206是可操作来确定时间同步联网协议请求消息是否是初始请求[0029]网络客户端设备标识引擎208是可操作以确定网络客户端设备102的真实身份的SID302包括网络客户端设备102的域SID值304和RID值306。网络客户端设备标识引擎208行时间同步。连接监测器210是可操作来监测网络客户端设备102和时间服务器108之间流户端设备102向时间服务器108周期性地发送时间同步联网协议消息，时间服务器108然后[0031]连接监测器210进一步可操作来确定网络客户端设备102何时从网络104断开连间服务器108的时间同步联网协议消息时，连接监测器210确定网络客户端设备102从网络监测器210将断开连接的时间信息存储在数据储存库向时间服务器108发送时间同步联网协议消息，其中时间同步联网协议消息包括由时间服务器108建立的最近用于更新网络客户端设备102的时钟的时间的时间戳。在一些示例中，测器210将重新连接时间信息存储在数据储存库[0033]异常检测引擎212是可操作来检测网络流量中的异常的软件模块、系统或设备的当第二网络客户端设备使用与第一网络客户端设备102上使用的安全令牌相同的安全令牌[0034]报告生成器216是可操作来生成网络客户端设备102的输出或网络流量信息的软216可以接收关于特定网络客户端设备102的查询，并且报告生成器216生成包括与网络客接收关于特定IP地址的查询，并且报告生成器216生成包括与IP地址相关联的网络客户端并进行到操作410，其中网络流量监听器202监听联网目录服务环境110中的网络流量。例如，网络流量监听器202访问并监测一个或多个网络客户端设备102和时间服务器108之间络客户端设备102的标识符(例如，RID值)；唯一标识网络客户端设备102的域的域标识符[0038]方法400继续到操作420，其中连接类型标识符206将时间同步联网协议请求消息服务器108建立的、指定请求从网络客户端设备102到达的时间的时间戳)被设置为0(Unix户端设备102重新连接到网络104时，由时间服务器108建立的最近用于更新网络客户端设接监测器210确定网络客户端设备102连接到网络104的最近的时间，并将重新连接时间信[0039]方法400进行到操作425，其中网络客户端设备标识引擎208确定网络客户端设备份和相关联的IP地址存储在数据储存库21[0040]方法400进行到操作430，其中连接监测器210根据时间同步联网协议消息中指定隔是否已通过，以及连接监测器210是否未检测到从网络客户端设备102向时间服务器108连接监测器210根据基于网络客户端设备102发送到时间服务器108的最近的轮询请求以及[0043]方法400可选地前进到判定操作445，其中异常检测引擎212基于网络客户端设备216生成包括与IP地址相关联的网络客户端设备102的真实身份列表的报告。方法400在操[0046]尽管已在与计算机上的操作系统上运行的应用程序结合执行的程序模块的一般或经由与一个或多个计算设备相关联的远程显示单元来显示用户界面和各个类型的信息。关于图5-图7所图示和讨论的设备和系统用于示例和图示的目的，并不限制用于实践本文面，系统存储器504包括适合于运行软件应用550的操作系统505和一个或多个编程模块备509和不可移动存储设备510来图示这样的附允许与其他计算设备518通信的一个或多个通信连接516。合适的通信连接516的示例包括的计算机存储介质是计算设备500的一部分。计算机存储介质不包括载波或其他传播的数载波或其他传输机制)中的其他数据来体现通信介质，并且通信介质包括任何信息传递介携式电话系统(例如，蜂窝电话)。根据一个方面，移动计算设备600包括可选的小型键盘用程序650可以使用信息(例如，由电子邮件应用程序使用的电子邮件或其他消息等)并将[0061]根据一个方面，视觉指示器620被用于提供视觉通知和/或音频接口674被用于经660和其他组件可能关断来保存电池电力，这些设备仍然在由通知机制规定的持续时间内保持开启。LED可以被编程为无限期地保持开启，直到用户采取行动来指示设备的导通状计算网络(例如，因特网)中的服务器计算机)之间的有线连接可访问的任意数量的存储介括电子邮件和协作数据/信息共享系统)，这些数据/信息容易在计算设备之间传输以用于[0064]图7图示了如上所述的用于监测到计算机网络104的连接的生命周期的系统的架息存储728或社交网站730来存储各种文档。安全设备106可操作来使用如本文所述用于监全设备106的网络服务器。服务器715通过网络710将网络上的安全设备106提供给客户端[0065]