CN113746925B - 一种文件传输行为审计方法、装置、电子设备及存储介质 - Google Patents
一种文件传输行为审计方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113746925B CN113746925B CN202111040098.XA CN202111040098A CN113746925B CN 113746925 B CN113746925 B CN 113746925B CN 202111040098 A CN202111040098 A CN 202111040098A CN 113746925 B CN113746925 B CN 113746925B
- Authority
- CN
- China
- Prior art keywords
- data message
- ftp
- ssh
- message
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种文件传输行为审计方法、装置、电子设备及存储介质,属于网络安全技术领域。该文件传输行为审计方法,其特征在于,包括:获取指定的数据报文;基于所述数据报文的报文长度判断所述数据报文是否为基于预设文件传输协议的报文,得到判断结果,若所述数据报文的报文长度不小于预设长度,则得到表征所述数据报文为基于预设文件传输协议的报文的判断结果;获取所述数据报文的特征信息;根据所述特征信息和所述判断结果,生成所述数据报文的审计日志。通过获取数据报文的报文长度来判断该数据报文是否为基于预设文件传输协议的报文,使得无须协议识别以及数据解密即可高效的实现对文件传输行为的审计。
Description
技术领域
本申请属于网络安全技术领域,具体涉及一种文件传输行为审计方法、装置、电子设备及存储介质。
背景技术
随着网络技术的迅速发展,网络安全在让数据防护得到进一步加强的同时,也迎来了新的挑战。例如,在数据加密的大趋势下,如何对加密后的网络行为进行有效的识别和审计;设备或服务云化后,公有云的流量镜像不可见,如何应对基于流量镜像的安全监测技术手段失效带来的挑战。
SFTP(Secure File Transfer Protocol,安全文件传输协议)是一种基于SSH(Secure Shell,安全外壳协议)的安全文件传输协议,文件传输全过程均加密。因此,SFTP文件传输行为的审计也面临着上述的挑战。
目前,针对SFTP文件传输行为的审计过程主要是:通过对SSH密文解密实现对SFTP文件传输的审计,例如,基于网络流量镜像获取SSH加密的数据包,通过SSH文件传输阶段推导出传输密钥,解密SSH密文,并提取SFTP明文内容然后进行审计。该方法需要对SFTP文件传输的完整过程进行分析,从而需要更长的审计时间周期,以及需要较多的存储空间来存储报文。
发明内容
鉴于此,本申请的目的在于提供一种文件传输行为审计方法、装置、电子设备及存储介质,以改善现有审计方法存在审计时间周期长以及需要较多的存储空间的问题。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供了一种文件传输行为审计方法,包括:获取指定的数据报文;基于所述数据报文的报文长度判断所述数据报文是否为基于预设文件传输协议的报文,得到判断结果,若所述数据报文的报文长度不小于预设长度,则得到表征所述数据报文为基于预设文件传输协议的报文的判断结果;获取所述数据报文的特征信息;根据所述特征信息和所述判断结果,生成所述数据报文的审计日志。本申请实施例中,通过获取数据报文的报文长度来判断该数据报文是否为基于预设文件传输协议的报文,使得无须协议识别以及数据解密即可高效的实现对文件传输行为的审计,能改善现有审计方法存在审计时间周期长以及需要较多的存储空间的问题。
结合第一方面实施例的一种可能的实施方式,获取指定的数据报文,包括:确定监听的进程事件满足预设条件,对与满足所述预设条件的进程事件相关的数据报文进行抓包,得到所述指定的数据报文。本申请实施例中,通过对进程事件进行监听,当监听到满足预设条件的进程事件时,对与满足预设条件的进程事件相关的数据报文进行抓包,从而得到指定的数据报文,通过采用主动抓包来解决现有基于流量镜像获取数据报文时,无法完成对云上SDN(Software Defined Network,软件定义网络)网络架构下的文件传输行为的审计的问题(因为设备或服务云化后,公有云的流量镜像不可见)。结合第一方面实施例的一种可能的实施方式,确定监听的进程事件满足预设条件,包括:获取监听的进程事件的进程标识;基于所述进程标识判断该进程事件是否属于SFTP服务事件或SSH登录事件;若属于SFTP服务事件或SSH登录事件,则确定满足所述预设条件。本申请实施例中,通过获取监听的进程事件的进程标识,基于进程标识判断该进程事件是否满足预设条件,从而可以快速确定监听的进程事件是否满足预设条件,以实现对SSH数据报文的抓包。
结合第一方面实施例的一种可能的实施方式,对与满足所述预设条件的进程事件相关的数据报文进行抓包,包括:获取SSH服务端口的协议和端口号,并生成基于该协议和端口号的报文抓包过滤器;基于所述报文抓包过滤器对SSH数据报文进行抓包。本申请实施例中,通过获取服务端口的协议和端口号,以此来生成只抓取SSH数据报文的报文抓包过滤器,通过该方式可以在无协议识别情况下,实现对指定的SSH数据报文的抓取。
结合第一方面实施例的一种可能的实施方式,所述数据报文为SSH数据报文,所述预设文件传输协议为SFTP文件传输协议,或者,所述数据报文为FTP数据报文,所述预设文件传输协议为FTP文件传输协议。
结合第一方面实施例的一种可能的实施方式,所述数据报文的特征信息包括所述数据报文的源IP;根据所述特征信息和所述判断结果,生成所述数据报文的审计日志,包括:根据所述特征信息、登录用户标识和所述判断结果,生成所述数据报文的审计日志,其中,所述登录用户标识为根据所述源IP从登录事件中获取。本申请实施例中,在生成审计日志时,还包括登录用户的登录用户标识,以进一步完善审计证据,进一步提高数据的传入、传出安全防护。
结合第一方面实施例的一种可能的实施方式,所述方法还包括:对所述基于预设文件传输协议的报文的数量进行统计;当统计的数据报文数量不小于第一预设阈值,则结束本次抓包,再次进入监听状态;或者若连续没有抓取到所述指定的数据报文的持续时间不小于第二预设阈值,则结束本次抓包,再次进入监听状态。本申请实施例中,在抓包时,通过设置主动退出机制,来对主机资源的性能消耗以及存储消耗进行有效的自我限制。
第二方面,本申请实施例还提供了一种文件传输行为审计装置,包括:获取模块、处理模块;获取模块,用于获取指定的数据报文;处理模块,用于基于所述数据报文的报文长度判断所述数据报文是否为基于预设文件传输协议的报文,得到判断结果,若所述数据报文的报文长度不小于预设长度,则得到表征所述数据报文为基于预设文件传输协议的报文的判断结果;以及获取所述数据报文的特征信息,并根据所述特征信息和所述判断结果,生成所述数据报文的审计日志。
第三方面,本申请实施例还提供了一种电子设备,包括:存储器和处理器,所述处理器与所述存储器连接;所述存储器,用于存储程序;所述处理器,用于调用存储于所述存储器中的程序,以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器运行时,执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了本申请实施例提供的一种文件传输行为审计方法的流程示意图。
图2示出了本申请实施例提供的又一种文件传输行为审计方法的流程示意图。
图3示出了本申请实施例提供的一种文件传输行为审计装置的模块示意图。
图4示出了本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
鉴于现有的文件传输行为审计方法存在的缺陷,本申请实施例提供了一种文件传输行为审计方法,以此来解决现有审计方法存在审计时间周期长以及需要较多的存储空间的问题。
下面将结合图1,对本申请实施例提供的文件传输行为审计方法进行说明。
S1:获取指定的数据报文。
获取指定的数据报文,例如,获取SSH(Secure Shell,安全外壳协议)数据报文或FTP(File Transfer Protocol文件传输协议)数据报文。
一种实施方式下,可以采用现有的方式获取指定的数据报文,例如基于流量镜像的方式获取指定的数据报文。
考虑到设备或服务云化后,公有云的流量镜像不可见,无法获取云上SDN(Software Defined Network,软件定义网络)网络架构下的流量镜像。为了解决该问题,一种实施方式下,可以是采用主动抓包的方式来获取指定的数据报文。通过在SDN网络架构下的云主机上安装代理软件(Agent,又称为探针),该Agent可以通过消息机制(如Netlink)实时从内核态获取进程事件消息以及基于网络数据包捕获函数(如libpcap)对本机的网络通讯进行抓包。在该种实施方式下,获取指定的数据报文的过程可以是:确定监听的进程事件满足预设条件,对与满足预设条件的进程事件相关的数据报文进行抓包,从而得到指定的数据报文。
Agent会对本机中的进程事件进行监听,当监听到满足预设条件的进程事件时,便可以抓取指定的数据报文。
一种实施方式下,确定监听的进程事件满足预设条件可以是:获取监听的进程事件的进程标识,例如获取监听的进程事件的进程pid(process id),通过进程pid可以获取进程的详细信息(包括进程名等),基于进程标识判断该进程事件是否属于SFTP服务事件或SSH登录事件,若属于SFTP服务事件或SSH登录事件,例如,若进程名为sftp-server则表示该进程事件属于SFTP服务事件,若进程标识表示SSH登入,则表示该进程事件属于SSH登录事件,则确定满足预设条件。说明此时,SFTP服务开启或SSH服务开启,便可以对指定的SSH数据报文进行抓包。
一种实施方式下,确定监听的进程事件满足预设条件可以是:获取监听的进程事件的进程标识,例如进程pid,基于进程标识判断该进程事件是否属于FTP服务事件或FTP登录事件,若属于FTP服务事件或FTP登录事件,则确定满足预设条件,说明此时FTP服务开启,便可以对指定的FTP数据报文进行抓包。
一种实施方式下,对指定的SSH数据报文进行抓包的过程可以是:获取SSH服务端口的协议和端口号,并生成基于该协议和端口号的报文抓包过滤器,然后基于该报文抓包过滤器对SSH数据报文进行抓包,该报文抓包过滤器可以在网络报文抓包过程中只对指定的SSH数据报文进行抓包。
通过该方式可以在无协议识别情况下,实现对指定的SSH数据报文的抓取。
一种实施方式下,对指定的FTP数据报文进行抓包的过程可以是:获取FTP服务端口的协议和端口号,并生成基于该协议和端口号的报文抓包过滤器,然后基于该报文抓包过滤器对FTP数据报文进行抓包,该报文抓包过滤器可以在网络报文抓包过程中只对指定的FTP数据报文进行抓包。
通过该方式可以在无协议识别情况下,实现对指定的FTP数据报文的抓取。
S2:基于所述数据报文的报文长度判断所述数据报文是否为基于预设文件传输协议的报文,得到判断结果。
在获取到指定的数据报文后,基于深度包流检测技术对获取的数据包进行分析,从数据包的元数据获取数据报文的报文长度,然后基于数据报文的报文长度判断数据报文是否为基于预设文件传输协议的报文,得到判断结果,其中,若数据报文的报文长度不小于预设长度,例如,预设长度可以根据需求设定,例如可以大于等于1000字节,则得到表征数据报文为基于预设文件传输协议的报文的判断结果,若数据报文的报文长度小于预设长度,则得到表征数据报文不为基于预设文件传输协议的报文的判断结果。当数据报文的长度不小于预设长度时,则可判断有预设文件传输行为发生。
其中,数据报文为SSH数据报文,预设文件传输协议为SFTP文件传输协议,或者,数据报文为FTP数据报文,预设文件传输协议为FTP文件传输协议。
其中,由于本申请是基于数据报文的报文长度来判断数据报文是否为基于预设文件传输协议的报文,使得不需要进行SSH、SFTP或FTP协议识别,也不需要对数据报文进行解密,可以直接从数据包的元数据获取数据报文的报文长度,从而极大的缩短了审计时间周期,进而也就不会造成需要审计的报文堆积,使得需要较多的存储空间来存储报文。
S3:获取所述数据报文的特征信息。
在获取到指定的数据报文后,基于深度包流检测技术对获取的数据报文数据包进行分析,获取数据报文的特征信息,其中,数据报文的特征信息可以包括:数据报文的时间戳、源IP,此外还可以包括目的IP等。例如,从数据包的元数据获取数据报文的时间戳,从数据报文数据包的网络层报文获取源IP、目的IP。使得不需要对数据报文进行解密,就可以获取到上述的数据报文的特征信息,从而极大的缩短了审计时间周期,进而也就不会造成需要审计的报文堆积,使得需要较多的存储空间来存储报文。
S4:根据所述特征信息和所述判断结果,生成所述数据报文的审计日志。
在获取到数据报文的特征信息以及表征数据报文是否为基于预设文件传输协议的报文的判断结果后,便可以根据特征信息和判断结果,生成数据报文的审计日志,完成对预设文件传输行为的审计。例如,将获取到的时间戳、源IP、目的IP以及是否为基于预设文件传输协议的报文的判断结果通过指定的格式(如json格式)进行组合,生成包含时间戳、源IP、目的IP以及是否为基于预设文件传输协议的报文的判断结果的数据报文的审计日志。
其中,若判断结果表征数据报文为基于预设文件传输协议的报文,则可判断有预设文件传输行为发生,此时生成的数据报文的审计日志,相当于为预设文件传输行为的审计日志;若判断结果表征数据报文不为基于预设文件传输协议的报文,则可判断没有预设文件传输行为发生,此时生成的数据报文的审计日志,相当于为其他行为的审计日志。
一种实施方式下,根据特征信息和判断结果,生成数据报文的审计日志,可以是:根据特征信息、登录用户标识和判断结果,生成数据报文的审计日志。其中,登录用户标识为根据源IP从登录事件中获取。此时,生成包含时间戳、源IP、目的IP、登录用户标识以及是否为基于预设文件传输协议的报文的判断结果的数据报文的审计日志。
此外,在抓包时,为了优化对设备资源的性能以及存储消耗,本申请实施例还使用了主动退出机制,例如,对基于预设文件传输协议的报文的数量进行统计,当统计的数据报文数量不小于第一预设阈值,例如,第一预设阈值可以为20,则结束本次抓包,再次进入监听状态;或者,若连续没有抓取到指定的数据报文的持续时间不小于第二预设阈值,例如,第二预设阈值可以为30秒,则结束本次抓包,再次进入监听状态。
一种实施方式下,当抓取到指定的数据报文后,若该数据报文为基于预设文件传输协议的报文,则对抓取到的基于预设文件传输协议的报文的数量进行统计,当统计的数据报文数量不小于20,则结束本次抓包,再次进入监听状态。又一种实施方式下,在抓取指定的数据报文时,若连续30秒都没有抓取到指定的数据报文,则结束本次抓包,再次进入监听状态。这种主动退出机制使得Agent在抓取指定的数据报文时对主机资源的性能消耗以及存储消耗进行了有效的自我限制。
需要说明的是,上述的第一预设阈值并不限于示例的20,同理,第二预设阈值也不限于示例的30,因此不能将上述示例的阈值理解成是对本申请的限制。
一种可选实施方式,本申请实施例所示的文件传输行为审计方法的流程图可以如图2所示。在该种实施方式下,通过对进程事件进行监听,若监听到满足预设条件的进程事件,则生成报文抓包过滤器,对指定的数据报文进行抓取,然后基于数据报文的报文长度判断数据报文是否为基于预设文件传输协议的报文,并获取数据报文的特征信息,以及从登录事件中获取登录用户的登录用户标识,之后,根据特征信息、登录用户标识和判断结果,生成数据报文的审计日志。
基于同样的发明构思,本申请实施例还提供了一种文件传输行为审计装置100,如图3所示,该文件传输行为审计装置100包括:获取模块110、处理模块120。
获取模块110,用于获取指定的数据报文。
处理模块120,用于基于所述数据报文的报文长度判断所述数据报文是否为基于预设文件传输协议的报文,得到判断结果,若所述数据报文的报文长度不小于预设长度,则得到表征所述数据报文为基于预设文件传输协议的报文的判断结果;以及获取所述数据报文的特征信息,并根据所述特征信息和所述判断结果,生成所述数据报文的审计日志。
可选地,获取模块110,具体用于确定监听的进程事件满足预设条件,对与满足所述预设条件的进程事件相关的数据报文进行抓包,得到所述指定的数据报文。
获取模块110,具体用于获取监听的进程事件的进程标识;基于所述进程标识判断该进程事件是否属于SFTP服务事件或SSH登录事件;若属于SFTP服务事件或SSH登录事件,则确定满足所述预设条件。
获取模块110,具体用于获取SSH服务端口的协议和端口号,并生成基于该协议和端口号的报文抓包过滤器;基于所述报文抓包过滤器对SSH数据报文进行抓包。
所述数据报文的特征信息包括所述数据报文的源IP;处理模块120,具体用于根据所述特征信息、登录用户标识和所述判断结果,生成所述数据报文的审计日志,其中,所述登录用户标识为根据所述源IP从登录事件中获取。
一种可选实施方式下,所述处理模块120,还用于对所述基于预设文件传输协议的报文的数量进行统计;当统计的数据报文数量不小于第一预设阈值,则结束本次抓包,再次进入监听状态;或者若连续没有抓取到所述指定的数据报文的持续时间不小于第二预设阈值,则结束本次抓包,再次进入监听状态。
本申请实施例所提供的文件传输行为审计装置100,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
如图4所示,图4示出了本申请实施例提供的一种电子设备200的结构框图。所述电子设备200包括:收发器210、存储器220、通讯总线230以及处理器240。
所述收发器210、所述存储器220、处理器240各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线230或信号线实现电性连接。其中,收发器210用于收发数据。存储器220用于存储计算机程序,如存储有图3中所示的软件功能模块,即文件传输行为审计装置100。其中,文件传输行为审计装置100包括至少一个可以软件或固件(Firmware)的形式存储于所述存储器220中或固化在所述电子设备200的操作***(Operating System,OS)中的软件功能模块。所述处理器240,用于执行存储器220中存储的可执行模块,例如文件传输行为审计装置100包括的软件功能模块或计算机程序。例如,处理器240,用于获取指定的数据报文;基于所述数据报文的报文长度判断所述数据报文是否为基于预设文件传输协议的报文,得到判断结果,若所述数据报文的报文长度不小于预设长度,则得到表征所述数据报文为基于预设文件传输协议的报文的判断结果;获取所述数据报文的特征信息;根据所述特征信息和所述判断结果,生成所述数据报文的审计日志。
其中,存储器220可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器240可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。
其中,上述的电子设备200,包括但不限于计算机,例如可以是SDN网络架构下的云主机。
本申请实施例还提供了一种非易失性的计算机可读取存储介质(以下简称存储介质),该存储介质上存储有计算机程序,该计算机程序被计算机如上述的电子设备200运行时,执行上述所示的文件传输行为审计方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个计算机可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者电子设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的计算机可读存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (6)
1.一种文件传输行为审计方法,其特征在于,包括:
获取SSH数据报文或FTP数据报文;
基于所述SSH数据报文的报文长度判断所述SSH数据报文是否为基于SFTP文件传输协议的报文,或者,基于所述FTP数据报文的报文长度判断所述FTP数据报文是否为基于FTP文件传输协议的报文,得到判断结果,若所述SSH数据报文的报文长度不小于预设长度,则得到表征所述SSH数据报文为基于SFTP文件传输协议的报文的判断结果,若所述FTP数据报文的报文长度不小于预设长度,则得到表征所述FTP数据报文为基于FTP文件传输协议的报文的判断结果;
获取所述SSH数据报文或FTP数据报文的特征信息;
根据所述特征信息和所述判断结果,生成所述SSH数据报文或FTP数据报文的审计日志;
其中,获取SSH数据报文,包括:
获取监听的进程事件的进程标识,并基于所述进程标识判断该进程事件是否属于SFTP服务事件或SSH登录事件;若属于SFTP服务事件或SSH登录事件,获取SSH服务端口的协议和端口号,并生成基于该协议和端口号的报文抓包过滤器;基于所述报文抓包过滤器对SSH数据报文进行抓包;
获取FTP数据报文,包括:
获取监听的进程事件的进程标识,并基于所述进程标识判断该进程事件是否属于FTP服务事件或FTP登录事件;若属于FTP服务事件或FTP登录事件,则获取FTP服务端口的协议和端口号,并生成基于该协议和端口号的报文抓包过滤器,然后基于该报文抓包过滤器对FTP数据报文进行抓包。
2.根据权利要求1所述的方法,其特征在于,所述特征信息包括数据报文的源IP;根据所述特征信息和所述判断结果,生成所述SSH数据报文或FTP数据报文的审计日志,包括:
根据所述特征信息、登录用户标识和所述判断结果,生成所述SSH数据报文或FTP数据报文的审计日志,其中,所述登录用户标识为根据所述源IP从登录事件中获取。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对基于预设文件传输协议的报文的数量进行统计;
当统计的数据报文数量不小于第一预设阈值,则结束本次抓包,再次进入监听状态;或者
若连续没有抓取到所述SSH数据报文或FTP数据报文的持续时间不小于第二预设阈值,则结束本次抓包,再次进入监听状态。
4.一种文件传输行为审计装置,其特征在于,包括:
获取模块,用于获取SSH数据报文或FTP数据报文;
处理模块,用于基于所述SSH数据报文的报文长度判断所述SSH数据报文是否为基于SFTP文件传输协议的报文,或者,基于所述FTP数据报文的报文长度判断所述FTP数据报文是否为基于FTP文件传输协议的报文,得到判断结果,若所述SSH数据报文的报文长度不小于预设长度,则得到表征所述SSH数据报文为基于SFTP文件传输协议的报文的判断结果;若所述FTP数据报文的报文长度不小于预设长度,则得到表征所述FTP数据报文为基于FTP文件传输协议的报文的判断结果;以及获取所述SSH数据报文或FTP数据报文的特征信息,并根据所述特征信息和所述判断结果,生成所述SSH数据报文或FTP数据报文的审计日志;
其中,获取SSH数据报文,包括:
获取监听的进程事件的进程标识,并基于所述进程标识判断该进程事件是否属于SFTP服务事件或SSH登录事件;若属于SFTP服务事件或SSH登录事件,获取SSH服务端口的协议和端口号,并生成基于该协议和端口号的报文抓包过滤器;基于所述报文抓包过滤器对SSH数据报文进行抓包;
获取FTP数据报文,包括:
获取监听的进程事件的进程标识,并基于所述进程标识判断该进程事件是否属于FTP服务事件或FTP登录事件;若属于FTP服务事件或FTP登录事件,则获取FTP服务端口的协议和端口号,并生成基于该协议和端口号的报文抓包过滤器,然后基于该报文抓包过滤器对FTP数据报文进行抓包。
5.一种电子设备,其特征在于,包括:
存储器和处理器,所述处理器与所述存储器连接;
所述存储器,用于存储程序;
所述处理器,用于调用存储于所述存储器中的程序,以执行如权利要求1-3中任一项所述的方法。
6.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器运行时,执行如权利要求1-3中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111040098.XA CN113746925B (zh) | 2021-09-06 | 2021-09-06 | 一种文件传输行为审计方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111040098.XA CN113746925B (zh) | 2021-09-06 | 2021-09-06 | 一种文件传输行为审计方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113746925A CN113746925A (zh) | 2021-12-03 |
CN113746925B true CN113746925B (zh) | 2023-06-09 |
Family
ID=78736171
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111040098.XA Active CN113746925B (zh) | 2021-09-06 | 2021-09-06 | 一种文件传输行为审计方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113746925B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099058A (zh) * | 2019-05-06 | 2019-08-06 | 江苏亨通工控安全研究院有限公司 | Modbus报文检测方法、装置、电子设备及存储介质 |
CN111786953A (zh) * | 2020-06-01 | 2020-10-16 | 杭州迪普科技股份有限公司 | 一种安全防护方法、装置和安全管理设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106941476B (zh) * | 2016-01-05 | 2019-10-22 | 中国科学院声学研究所 | 一种sftp数据采集及审计的方法及*** |
CN111371774A (zh) * | 2020-02-28 | 2020-07-03 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
CN112751833B (zh) * | 2020-12-23 | 2023-01-10 | 北京天融信网络安全技术有限公司 | Rtp报文识别方法、装置、电子设备及可读存储介质 |
CN113067810B (zh) * | 2021-03-16 | 2023-05-26 | 广州虎牙科技有限公司 | 网络抓包方法、装置、设备和介质 |
-
2021
- 2021-09-06 CN CN202111040098.XA patent/CN113746925B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099058A (zh) * | 2019-05-06 | 2019-08-06 | 江苏亨通工控安全研究院有限公司 | Modbus报文检测方法、装置、电子设备及存储介质 |
CN111786953A (zh) * | 2020-06-01 | 2020-10-16 | 杭州迪普科技股份有限公司 | 一种安全防护方法、装置和安全管理设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113746925A (zh) | 2021-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8819807B2 (en) | Apparatus and method for analyzing and monitoring sap application traffic, and information protection system using the same | |
US8516586B1 (en) | Classification of unknown computer network traffic | |
US7551073B2 (en) | Method, system and program product for alerting an information technology support organization of a security event | |
US10073980B1 (en) | System for assuring security of sensitive data on a host | |
US11856426B2 (en) | Network analytics | |
US10805320B1 (en) | Methods and systems for inspecting encrypted network traffic | |
CN111371774A (zh) | 一种信息处理方法及装置、设备、存储介质 | |
CN110855699A (zh) | 一种流量审计方法、装置、服务器及审计设备 | |
KR20180086919A (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
EP3414683B1 (en) | Comparison of behavioral populations for security and compliance monitoring | |
CN113746925B (zh) | 一种文件传输行为审计方法、装置、电子设备及存储介质 | |
CN112035839B (zh) | 一种竞态条件漏洞利用的检测方法及装置 | |
CN114979109B (zh) | 行为轨迹检测方法、装置、计算机设备和存储介质 | |
Du et al. | On verifying stateful dataflow processing services in large-scale cloud systems | |
Faria et al. | An advertising overflow attack against android exposure notification system impacting covid-19 contact tracing applications | |
US11223578B2 (en) | System and control method to direct transmission of event data to one of a plurality of reception queues | |
CN112929357A (zh) | 一种虚拟机数据的分析方法、装置、设备及存储介质 | |
Gao et al. | SIEM: policy-based monitoring of SCADA systems | |
Raju et al. | Closer: applying aggregation for effective event reconstruction of cloud service logs | |
KR100961438B1 (ko) | 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체 | |
Rak et al. | Developing secure cloud applications | |
Benzidane et al. | Toward a cloud-based security intelligence with big data processing | |
CN113868643B (zh) | 运行资源的安全检测方法、装置、电子设备及存储介质 | |
CN110569646B (zh) | 文件识别方法及介质 | |
CN117395082B (zh) | 业务处理方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |