[发明专利]一种文件传输行为审计方法、装置、电子设备及存储介质

说明书

本申请涉及一种文件传输行为审计方法、装置、电子设备及存储介质，属于网络安全技术领域。该文件传输行为审计方法，其特征在于，包括：获取指定的数据报文；基于所述数据报文的报文长度判断所述数据报文是否为基于预设文件传输协议的报文，得到判断结果，若所述数据报文的报文长度不小于预设长度，则得到表征所述数据报文为基于预设文件传输协议的报文的判断结果；获取所述数据报文的特征信息；根据所述特征信息和所述判断结果，生成所述数据报文的审计日志。通过获取数据报文的报文长度来判断该数据报文是否为基于预设文件传输协议的报文，使得无须协议识别以及数据解密即可高效的实现对文件传输行为的审计。

技术领域

本申请属于网络安全技术领域，具体涉及一种文件传输行为审计方法、装置、电子设备及存储介质。

背景技术

随着网络技术的迅速发展，网络安全在让数据防护得到进一步加强的同时，也迎来了新的挑战。例如，在数据加密的大趋势下，如何对加密后的网络行为进行有效的识别和审计；设备或服务云化后，公有云的流量镜像不可见，如何应对基于流量镜像的安全监测技术手段失效带来的挑战。

SFTP(Secure File Transfer Protocol，安全文件传输协议)是一种基于SSH(Secure Shell，安全外壳协议)的安全文件传输协议，文件传输全过程均加密。因此，SFTP文件传输行为的审计也面临着上述的挑战。

目前，针对SFTP文件传输行为的审计过程主要是：通过对SSH密文解密实现对SFTP文件传输的审计，例如，基于网络流量镜像获取SSH加密的数据包，通过SSH文件传输阶段推导出传输密钥，解密SSH密文，并提取SFTP明文内容然后进行审计。该方法需要对SFTP文件传输的完整过程进行分析，从而需要更长的审计时间周期，以及需要较多的存储空间来存储报文。

发明内容

鉴于此，本申请的目的在于提供一种文件传输行为审计方法、装置、电子设备及存储介质，以改善现有审计方法存在审计时间周期长以及需要较多的存储空间的问题。

本申请的实施例是这样实现的：

第一方面，本申请实施例提供了一种文件传输行为审计方法，包括：获取指定的数据报文；基于所述数据报文的报文长度判断所述数据报文是否为基于预设文件传输协议的报文，得到判断结果，若所述数据报文的报文长度不小于预设长度，则得到表征所述数据报文为基于预设文件传输协议的报文的判断结果；获取所述数据报文的特征信息；根据所述特征信息和所述判断结果，生成所述数据报文的审计日志。本申请实施例中，通过获取数据报文的报文长度来判断该数据报文是否为基于预设文件传输协议的报文，使得无须协议识别以及数据解密即可高效的实现对文件传输行为的审计，能改善现有审计方法存在审计时间周期长以及需要较多的存储空间的问题。

结合第一方面实施例的一种可能的实施方式，获取指定的数据报文，包括：确定监听的进程事件满足预设条件，对与满足所述预设条件的进程事件相关的数据报文进行抓包，得到所述指定的数据报文。本申请实施例中，通过对进程事件进行监听，当监听到满足预设条件的进程事件时，对与满足预设条件的进程事件相关的数据报文进行抓包，从而得到指定的数据报文，通过采用主动抓包来解决现有基于流量镜像获取数据报文时，无法完成对云上SDN(Software Defined Network，软件定义网络)网络架构下的文件传输行为的审计的问题(因为设备或服务云化后，公有云的流量镜像不可见)。结合第一方面实施例的一种可能的实施方式，确定监听的进程事件满足预设条件，包括：获取监听的进程事件的进程标识；基于所述进程标识判断该进程事件是否属于SFTP服务事件或SSH登录事件；若属于SFTP服务事件或SSH登录事件，则确定满足所述预设条件。本申请实施例中，通过获取监听的进程事件的进程标识，基于进程标识判断该进程事件是否满足预设条件，从而可以快速确定监听的进程事件是否满足预设条件，以实现对SSH数据报文的抓包。