一种SFTP数据采集及审计的方法及系统技术方案

本发明专利技术提供了一种SFTP数据采集及审计方法，所述方法包括：步骤1)采集SSH协议密文传输阶段的数据包，推导出SSH密钥协商后的传输密钥；利用密钥将数据包中的密文数据转换成明文数据；步骤2)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；提取SFTP数据的关键操作码，并采集传输文件信息；将提取的SFTP关键操作码还原为关键操作命令，并采集关键操作命令信息；步骤3)对所有关键操作命令进行黑名单匹配，对于匹配成功的关键操作命令，构造禁止该关键操作命令的SSH消息发送给客户端；并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密，然后传输给服务端；步骤4)根据步骤2)中采集的所有信息生成SFTP审计日志。

Method and system for SFTP data acquisition and auditing

The invention provides a SFTP data acquisition and audit methods, the method includes: Step 1) acquisition of SSH protocol data packet ciphertext transmission stage, push transmission key export SSH key agreement after use; key ciphertext data packets into plaintext data; step 2) extraction of SFTP data from the SSH express in the data acquisition, and session information from SFTP data; SFTP data extraction key operation code, and file information collection and transmission; the extracted SFTP key operation code reduction is the key operation command, and the acquisition of key operation command information; step 3) of all the key operation command blacklist matching for the key operation command, the success of the SSH message structure, prohibit the key commands to the client; and encapsulate the SSH plaintext data corresponding to all the key operation command, not success. And encryption, and then transmitted to the server; step 4 generates the SFTP audit log based on all the information collected in step 2.

【技术实现步骤摘要】
一种SFTP数据采集及审计的方法及系统
本专利技术涉及SFTP数据采集审计领域，特别涉及一种SFTP数据采集及审计的方法及系统。
技术介绍
SFTP(SecureFileTransferProtocol，安全文件传送协议)可以为传输文件提供一种安全的加密方法。SFTP为SSH的一部分，是一种传输档案至Blogger伺服器的安全方式。在SSH软件包中，包含了一个SFTP的安全文件传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程(端口号默认是22)来完成相应的连接操作。SFTP同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。SFTP与FTP有着几乎一样的语法和功能，SFTP使用了加密/解密技术，传输效率比普通的FTP要低，但网络安全得到了极大的保证。审计系统可以帮助记录发生在重要信息系统中各种各样的会话和事件，包括网络中的、主机操作系统中，也包括应用系统中的。这些审计信息反映了信息系统运行的基本轨迹。一方面，它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组织的安全策略；另一方面，这些宝贵的审计信息在信息系统出现故障和安全事故时，就像航空器“黑盒子”一样，帮助调查者深入挖掘事件背后的情报，重建事件过程，直至完整的分析定位事件的本源，并部署进一步的措施来避免损失的再次发生。作为当前网络信息安全业界一个逐渐得到公认的事实：在安全事件造成的损失中，有75％以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作等。分析这些内部安全威胁没有得到有效控制的根源，可以发现下列主要因素：审计体系没有有效工作或者根本没有、不具备完整的访问授权机制，不具备完善的职责分离机制，人员安全意识和技能方面的不足等。其中，缺少可信的、完备的审计系统是目前普遍存在最重要的根源因素。目前，SFTP协议中的审计过程只提取了操作码，没有将操作码还原为操作命令，这样就不能建立操作命令黑名单，对一些操作命令以及命令的操作对象进行禁止操作，并且所做的回放系统只是对操作码进行回放，不能启到实时审计的作用。
技术实现思路
本专利技术的目的在于克服目前SFTP协议中审计方法存在的上述缺陷，提出了一种SFTP数据采集及审计的方法，该方法能够对用户进行SFTP登陆操作的行为进行审计，在不影响用户操作的情况下，监控用户登陆操作行为；针对用户的操作，能够通过SFTP日志复现；同时，通过命令黑名单的设置，预防用户的非法操作。为实现上述目的，本专利技术提供了一种SFTP数据采集及审计的方法，所述方法包括：步骤1)采集SSH协议密文传输阶段的数据包，针对SSH协议握手阶段的数据包，推导出SSH密钥协商后的传输密钥；利用密钥将数据包中的密文数据转换成明文数据；步骤2)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；提取SFTP数据的关键操作码，并采集传输文件信息；将提取的SFTP关键操作码还原为关键操作命令，并采集关键操作命令信息；步骤3)对所有关键操作命令进行黑名单匹配，对于匹配成功的关键操作命令，构造禁止该关键操作命令的SSH消息发送给客户端；并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密，然后传输给服务端；步骤4)根据步骤2)中采集的会话信息、关键操作命令信息和传输文件信息生成SFTP审计日志。上述技术方案中，所述步骤2)具体包括：步骤201)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；步骤202)提取SFTP数据的关键操作码，其中过滤掉索取文件属性的关键操作码；并采集每一个传输文件信息；步骤203)将提取的SFTP关键操作码还原为关键操作命令，提取出操作目标信息，采集关键操作命令信息。上述技术方案中，所述审计日志包括会话日志、操作日志和文件日志；所述会话日志记录一个完整的SFTP会话信息，包括源MAC、目的地MAC、IP、IP端口、用户名、用户登录时间和用户退出时间；所述操作日志记录每一条关键操作命令信息，包括操作命令、操作返回数据、操作起始时间和操作结束时间；所述文件日志记录每一个完整的传输文件信息，包括文件路径、文件名称、文件内容和文件传输方向。一种SFTP数据采集及审计系统，所述系统包括：SSH数据采集及解密模块、SFTP解析模块、关键操作命令处理模块和生成SETP审计日志模块；其特征在于；所述SSH数据采集及解密模块，用于采集SSH协议密文传输阶段的数据包，针对SSH协议握手阶段的数据包，推导出SSH密钥协商后的传输密钥；利用密钥将数据包中的密文数据转换成SSH明文数据；将SSH明文数据传输给SFTP解析模块；所述SFTP解析模块，用于从SSH明文数据中提取SFTP数据，提取SFTP数据的关键操作码，将提取的SFTP关键操作码还原为关键操作命令；将所有关键操作命令发送到所述关键操作命令处理模块，将从SFTP提取的所有信息发送到所述生成SFTP审计日志模块，所述关键操作命令处理模块，用于对所有关键操作命令进行黑名单匹配，对于匹配成功的关键操作命令，构造禁止该关键操作命令的SSH消息发送给客户端；并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密，然后传输给服务端；所述生成SFTP审计日志模块，用于根据所述SFTP解析模块发送的所有信息，生成SFTP审计日志。本专利技术的优点在于：1、本专利技术的方法能将用户的SFTP操作准确地还原出来，并通过生成的SFTP日志帮助管理层和审计者审核用户进行的SFTP登录和操作是否符合法律法规的要求和组织的安全策略；在出现故障和安全事故时，通过生成的SFTP日志能够帮助调查者深入挖掘，重建事件过程，直至完整的分析和定位事件，并部署进一步的防范措施；2、本专利技术的方法能设置SFTP的命令黑名单，当用户进行操作时，会对操作命令进行黑名单匹配，出现黑名单命令时，能及时禁止用户的该操作命令。附图说明图1为本专利技术的SFTP数据采集及审计的方法的流程图。具体实施方式下面结合附图对本专利技术进行详细的说明。如图1所示，一种SFTP数据采集及审计方法，所述方法包括：步骤1)采集SSH协议密文传输阶段的数据包，针对SSH协议握手阶段的数据包，推导出SSH密钥协商后的传输密钥；利用密钥将数据包中的密文数据转换成明文数据；步骤2)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；提取SFTP数据的关键操作码，并采集传输文件信息；将提取的SFTP关键操作码还原为关键操作命令，并采集关键操作命令信息；具体包括：步骤201)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；SSH明文数据包括：SSH1数据和SSH2数据；从SSH明文数据中提取SFTP数据包括从SSH2数据中提取通道数据和从SSH1数据中提取标准输入输出数据；提取出来的SFTP数据不包含SSH的头部信息、SSH2的通道头部信息、HMAC的校验信息和SSH的填充位。步骤202)提取SFTP数据的关键操作码，其中过滤掉索取文件属性的关键操作码；并采集每一个传输文件信息；步骤203)将提取的SFTP关键操作码还原为关键操作命令，提取出操作目标信息，采集关键操作命令信息；需要还原的关键操作命令包括：ls、cd、mkdir、本文档来自技高网...

【技术保护点】
一种SFTP数据采集及审计方法，所述方法包括：步骤1)采集SSH协议密文传输阶段的数据包，针对SSH协议握手阶段的数据包，推导出SSH密钥协商后的传输密钥；利用密钥将数据包中的密文数据转换成明文数据；步骤2)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；提取SFTP数据的关键操作码，并采集传输文件信息；将提取的SFTP关键操作码还原为关键操作命令，并采集关键操作命令信息；步骤3)对所有关键操作命令进行黑名单匹配，对于匹配成功的关键操作命令，构造禁止该关键操作命令的SSH消息发送给客户端；并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密，然后传输给服务端；步骤4)根据步骤2)中采集的会话信息、关键操作命令信息和传输文件信息生成SFTP审计日志。

【技术特征摘要】
1.一种SFTP数据采集及审计方法，所述方法包括：步骤1)采集SSH协议密文传输阶段的数据包，针对SSH协议握手阶段的数据包，推导出SSH密钥协商后的传输密钥；利用密钥将数据包中的密文数据转换成明文数据；步骤2)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；提取SFTP数据的关键操作码，并采集传输文件信息；将提取的SFTP关键操作码还原为关键操作命令，并采集关键操作命令信息；步骤3)对所有关键操作命令进行黑名单匹配，对于匹配成功的关键操作命令，构造禁止该关键操作命令的SSH消息发送给客户端；并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密，然后传输给服务端；步骤4)根据步骤2)中采集的会话信息、关键操作命令信息和传输文件信息生成SFTP审计日志。2.根据权利要求1所述的SFTP数据采集及审计方法，其特征在于，所述步骤2)具体包括：步骤201)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；步骤202)提取SFTP数据的关键操作码，其中过滤掉索取文件属性的关键操作码；并采集每一个传输文件信息；步骤203)将提取的SFTP关键操作码还原为关键操作命令，提取出操作目标信息，采集关键操作命令信息。3.根据权利要求1所述的SFTP数据采集及审计方法，其特征在于，所述审计日志包括会话日志、操作日志和文件日志；所述会话日志记录一个完整的SFTP会话信息，包括...

【专利技术属性】
技术研发人员：宋磊，樊皓，闫露，吴京洪，曹作伟，
申请(专利权)人：中国科学院声学研究所，北京中科智网科技有限公司，
类型：发明
国别省市：北京,11