[发明专利]一种SFTP数据采集及审计的方法及系统

说明书

本发明提供了一种SFTP数据采集及审计方法，所述方法包括：步骤1)采集SSH协议密文传输阶段的数据包，推导出SSH密钥协商后的传输密钥；利用密钥将数据包中的密文数据转换成明文数据；步骤2)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；提取SFTP数据的关键操作码，并采集传输文件信息；将提取的SFTP关键操作码还原为关键操作命令，并采集关键操作命令信息；步骤3)对所有关键操作命令进行黑名单匹配，对于匹配成功的关键操作命令，构造禁止该关键操作命令的SSH消息发送给客户端；并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密，然后传输给服务端；步骤4)根据步骤2)中采集的所有信息生成SFTP审计日志。

技术领域

本发明涉及SFTP数据采集审计领域，特别涉及一种SFTP数据采集及审计的方法及系统。

背景技术

SFTP(Secure File Transfer Protocol，安全文件传送协议)可以为传输文件提供一种安全的加密方法。SFTP为SSH的一部分，是一种传输档案至Blogger伺服器的安全方式。在SSH软件包中，包含了一个SFTP的安全文件传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程(端口号默认是22)来完成相应的连接操作。SFTP同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。SFTP与FTP有着几乎一样的语法和功能，SFTP使用了加密/解密技术，传输效率比普通的FTP要低，但网络安全得到了极大的保证。

审计系统可以帮助记录发生在重要信息系统中各种各样的会话和事件，包括网络中的、主机操作系统中，也包括应用系统中的。这些审计信息反映了信息系统运行的基本轨迹。一方面，它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组织的安全策略；另一方面，这些宝贵的审计信息在信息系统出现故障和安全事故时，就像航空器“黑盒子”一样，帮助调查者深入挖掘事件背后的情报，重建事件过程，直至完整的分析定位事件的本源，并部署进一步的措施来避免损失的再次发生。

作为当前网络信息安全业界一个逐渐得到公认的事实：在安全事件造成的损失中，有75％以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作等。分析这些内部安全威胁没有得到有效控制的根源，可以发现下列主要因素：审计体系没有有效工作或者根本没有、不具备完整的访问授权机制，不具备完善的职责分离机制，人员安全意识和技能方面的不足等。其中，缺少可信的、完备的审计系统是目前普遍存在最重要的根源因素。

目前，SFTP协议中的审计过程只提取了操作码，没有将操作码还原为操作命令，这样就不能建立操作命令黑名单，对一些操作命令以及命令的操作对象进行禁止操作，并且所做的回放系统只是对操作码进行回放，不能启到实时审计的作用。

发明内容

本发明的目的在于克服目前SFTP协议中审计方法存在的上述缺陷，提出了一种SFTP数据采集及审计的方法，该方法能够对用户进行SFTP登陆操作的行为进行审计，在不影响用户操作的情况下，监控用户登陆操作行为；针对用户的操作，能够通过SFTP日志复现；同时，通过命令黑名单的设置，预防用户的非法操作。

为实现上述目的，本发明提供了一种SFTP数据采集及审计的方法，所述方法包括：

步骤1)采集SSH协议密文传输阶段的数据包，针对SSH协议握手阶段的数据包，推导出SSH密钥协商后的传输密钥；利用密钥将数据包中的密文数据转换成明文数据；

步骤2)从SSH明文数据中提取SFTP数据，并从SFTP数据中采集会话信息；提取SFTP数据的关键操作码，并采集传输文件信息；将提取的SFTP关键操作码还原为关键操作命令，并采集关键操作命令信息；

步骤3)对所有关键操作命令进行黑名单匹配，对于匹配成功的关键操作命令，构造禁止该关键操作命令的SSH消息发送给客户端；并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密，然后传输给服务端；