The invention provides a SFTP data acquisition and audit methods, the method includes: Step 1) acquisition of SSH protocol data packet ciphertext transmission stage, push transmission key export SSH key agreement after use; key ciphertext data packets into plaintext data; step 2) extraction of SFTP data from the SSH express in the data acquisition, and session information from SFTP data; SFTP data extraction key operation code, and file information collection and transmission; the extracted SFTP key operation code reduction is the key operation command, and the acquisition of key operation command information; step 3) of all the key operation command blacklist matching for the key operation command, the success of the SSH message structure, prohibit the key commands to the client; and encapsulate the SSH plaintext data corresponding to all the key operation command, not success. And encryption, and then transmitted to the server; step 4 generates the SFTP audit log based on all the information collected in step 2.
【技术实现步骤摘要】
一种SFTP数据采集及审计的方法及系统
本专利技术涉及SFTP数据采集审计领域,特别涉及一种SFTP数据采集及审计的方法及系统。
技术介绍
SFTP(SecureFileTransferProtocol,安全文件传送协议)可以为传输文件提供一种安全的加密方法。SFTP为SSH的一部分,是一种传输档案至Blogger伺服器的安全方式。在SSH软件包中,包含了一个SFTP的安全文件传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接操作。SFTP同样是使用加密传输认证信息和传输的数据,所以,使用SFTP是非常安全的。SFTP与FTP有着几乎一样的语法和功能,SFTP使用了加密/解密技术,传输效率比普通的FTP要低,但网络安全得到了极大的保证。审计系统可以帮助记录发生在重要信息系统中各种各样的会话和事件,包括网络中的、主机操作系统中,也包括应用系统中的。这些审计信息反映了信息系统运行的基本轨迹。一方面,它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组织的安全策略;另一方面,这些宝贵的审计信息在信息系统出现故障和安全事故时,就像航空器“黑盒子”一样,帮助调查者深入挖掘事件背后的情报,重建事件过程,直至完整的分析定位事件的本源,并部署进一步的措施来避免损失的再次发生。作为当前网络信息安全业界一个逐渐得到公认的事实:在安全事件造成的损失中,有75%以上来自内部,其中包括内部人员的越权访问、滥用、以及误操作等。分析这些内部安全威胁没有得到有效控制的根源,可以发现下列主要因素:审计体系没有有效工作或 ...
【技术保护点】
一种SFTP数据采集及审计方法,所述方法包括:步骤1)采集SSH协议密文传输阶段的数据包,针对SSH协议握手阶段的数据包,推导出SSH密钥协商后的传输密钥;利用密钥将数据包中的密文数据转换成明文数据;步骤2)从SSH明文数据中提取SFTP数据,并从SFTP数据中采集会话信息;提取SFTP数据的关键操作码,并采集传输文件信息;将提取的SFTP关键操作码还原为关键操作命令,并采集关键操作命令信息;步骤3)对所有关键操作命令进行黑名单匹配,对于匹配成功的关键操作命令,构造禁止该关键操作命令的SSH消息发送给客户端;并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密,然后传输给服务端;步骤4)根据步骤2)中采集的会话信息、关键操作命令信息和传输文件信息生成SFTP审计日志。
【技术特征摘要】
1.一种SFTP数据采集及审计方法,所述方法包括:步骤1)采集SSH协议密文传输阶段的数据包,针对SSH协议握手阶段的数据包,推导出SSH密钥协商后的传输密钥;利用密钥将数据包中的密文数据转换成明文数据;步骤2)从SSH明文数据中提取SFTP数据,并从SFTP数据中采集会话信息;提取SFTP数据的关键操作码,并采集传输文件信息;将提取的SFTP关键操作码还原为关键操作命令,并采集关键操作命令信息;步骤3)对所有关键操作命令进行黑名单匹配,对于匹配成功的关键操作命令,构造禁止该关键操作命令的SSH消息发送给客户端;并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密,然后传输给服务端;步骤4)根据步骤2)中采集的会话信息、关键操作命令信息和传输文件信息生成SFTP审计日志。2.根据权利要求1所述的SFTP数据采集及审计方法,其特征在于,所述步骤2)具体包括:步骤201)从SSH明文数据中提取SFTP数据,并从SFTP数据中采集会话信息;步骤202)提取SFTP数据的关键操作码,其中过滤掉索取文件属性的关键操作码;并采集每一个传输文件信息;步骤203)将提取的SFTP关键操作码还原为关键操作命令,提取出操作目标信息,采集关键操作命令信息。3.根据权利要求1所述的SFTP数据采集及审计方法,其特征在于,所述审计日志包括会话日志、操作日志和文件日志;所述会话日志记录一个完整的SFTP会话信息,包括...
【专利技术属性】
技术研发人员:宋磊,樊皓,闫露,吴京洪,曹作伟,
申请(专利权)人:中国科学院声学研究所,北京中科智网科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。