[发明专利]一种SSH登录成功行为判断方法、装置及存储介质

说明书

本发明提供一种SSH登录成功行为判断方法、装置及存储介质，所述方法为：通过对SSH登录时的网络流量进行分析，判断SSH登录行为是否成功。本发明通过对SSH登录时的网络流量进行分析来判断SSH登录行为是否成功，能够有效避免系统日志丢失的情况下，实现对SSH登录情况的审计。

技术领域

本发明涉及信息安全技术领域，具体而言，涉及一种SSH登录成功行为判断方法、装置及存储介质。

背景技术

SSH为Secure Shell的缩写，SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议，利用SSH协议可以有效防止远程管理过程中的信息泄露问题。目前SSH的使用已经成为类UNIX平台后台管理的必备，几乎所有类UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix等，都可运行SSH。目前常用的SSH连接工具主要有XShell、SecureCRT、Putty等，其中XShell以其方便实用且有免费版本，成为多数IT从业人员的必备工具，但是在2017年8月，XShell被爆出某些版本存在后门，存在SSH的用户名和密码泄露的问题。一旦SSH的管理用户与密码丢失或者被破解，不法分子就可以利用SSH连接上服务器做一系列的非法操作。如何判断是否存在非法SSH登录行为，首要条件是需要判断是否存在登录成功的SSH链接。而判断SSH是否登录成功，往往是通过系统日志来进行判断，但是如果系统日志一旦被删除掉，则无法判断出是否存在SSH登录成功的行为。

发明内容

本发明旨在提供一种SSH登录成功行为判断方法、装置及存储介质，以解决因系统日志被删除掉而无法判断出是否存在SSH登录成功行为的问题。

本发明提供的一种SSH登录成功行为判断方法为：通过对SSH登录时的网络流量进行分析，判断SSH登录行为是否成功。

进一步的，所述方法包括如下步骤：

S1，通过镜像端口获取SSH登录时的网络流量，并从网络流量中识别SSH会话数据；

S2，从SSH会话数据中判断是否有SSH认证过程，若有SSH认证过程，则统计SSH认证结束后的交互次数和服务器回复最大数据包大小；

S3，判断交互次数和服务器回复最大数据包大小是否大于相应的阈值，若是则标记SSH登录成功。

进一步的，步骤S2包括如下子步骤：

S21，从SSH会话数据中获取密钥协商数据，若获取到密钥协商数据则表示有SSH认证过程，否则没有SSH认证过程；

S22，解析获取的密钥协商数据，通过数据标识判断密钥协商是否成功；

S23，统计密钥协商成功后的交互次数和服务器回复最大数据包大小。

作为优选，所述交互次数的阈值为4次。

作为优选，所述服务器回复最大数据包大小的阈值为400个字节。

进一步的，若步骤S2中判断没有SSH认证过程，则从SSH会话数据中统计SSH会话通讯时长，如果统计的SSH会话通讯时长大于设定的SSH会话通讯时长阈值，则标记SSH登录成功。

作为优选，所述SSH会话通讯时长阈值为3分钟。

进一步的，若步骤S2中判断没有SSH认证过程，则判断SSH会话数据中是否存在定时的心跳数据包，若存在则标记SSH登录成功。

本发明还提供一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序运行时执行如上述的SSH登录成功行为判断方法。

本发明还提供一种SSH登录成功行为判断装置，包括：

存储介质，用于存储计算机程序；