本發(fā)明提供了一種SFTP數(shù)據(jù)采集及審計方法，所述方法包括：步驟1)采集SSH協(xié)議密文傳輸階段的數(shù)據(jù)包，推導(dǎo)出SSH密鑰協(xié)商后的傳輸密鑰；利用密鑰將數(shù)據(jù)包中的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)；步驟2)從SSH明文數(shù)據(jù)中提取SFTP數(shù)據(jù)，并從SFTP數(shù)據(jù)中采集會話信息；提取SFTP數(shù)據(jù)的關(guān)鍵操作碼，并采集傳輸文件信息；將提取的SFTP關(guān)鍵操作碼還原為關(guān)鍵操作命令，并采集關(guān)鍵操作命令信息；步驟3)對所有關(guān)鍵操作命令進(jìn)行黑名單匹配，對于匹配成功的關(guān)鍵操作命令，構(gòu)造禁止該關(guān)鍵操作命令的SSH消息發(fā)送給客戶端；并將所有匹配不成功的關(guān)鍵操作命令對應(yīng)的SSH明文數(shù)據(jù)進(jìn)行封裝和加密，然后傳輸給服務(wù)端；步驟4)根據(jù)步驟2)中采集的所有信息生成SFTP審計日志。

技術(shù)領(lǐng)域

本發(fā)明涉及SFTP數(shù)據(jù)采集審計領(lǐng)域，特別涉及一種SFTP數(shù)據(jù)采集及審計的方法及系統(tǒng)。

背景技術(shù)

SFTP(Secure File Transfer Protocol，安全文件傳送協(xié)議)可以為傳輸文件提供一種安全的加密方法。SFTP為SSH的一部分，是一種傳輸檔案至Blogger伺服器的安全方式。在SSH軟件包中，包含了一個SFTP的安全文件傳輸子系統(tǒng)，SFTP本身沒有單獨的守護進(jìn)程，它必須使用sshd守護進(jìn)程(端口號默認(rèn)是22)來完成相應(yīng)的連接操作。SFTP同樣是使用加密傳輸認(rèn)證信息和傳輸?shù)臄?shù)據(jù)，所以，使用SFTP是非常安全的。SFTP與FTP有著幾乎一樣的語法和功能，SFTP使用了加密/解密技術(shù)，傳輸效率比普通的FTP要低，但網(wǎng)絡(luò)安全得到了極大的保證。

審計系統(tǒng)可以幫助記錄發(fā)生在重要信息系統(tǒng)中各種各樣的會話和事件，包括網(wǎng)絡(luò)中的、主機操作系統(tǒng)中，也包括應(yīng)用系統(tǒng)中的。這些審計信息反映了信息系統(tǒng)運行的基本軌跡。一方面，它可以幫助管理層和審計者審核信息系統(tǒng)的運行是否符合法律法規(guī)的要求和組織的安全策略；另一方面，這些寶貴的審計信息在信息系統(tǒng)出現(xiàn)故障和安全事故時，就像航空器“黑盒子”一樣，幫助調(diào)查者深入挖掘事件背后的情報，重建事件過程，直至完整的分析定位事件的本源，并部署進(jìn)一步的措施來避免損失的再次發(fā)生。

作為當(dāng)前網(wǎng)絡(luò)信息安全業(yè)界一個逐漸得到公認(rèn)的事實：在安全事件造成的損失中，有75％以上來自內(nèi)部，其中包括內(nèi)部人員的越權(quán)訪問、濫用、以及誤操作等。分析這些內(nèi)部安全威脅沒有得到有效控制的根源，可以發(fā)現(xiàn)下列主要因素：審計體系沒有有效工作或者根本沒有、不具備完整的訪問授權(quán)機制，不具備完善的職責(zé)分離機制，人員安全意識和技能方面的不足等。其中，缺少可信的、完備的審計系統(tǒng)是目前普遍存在最重要的根源因素。

目前，SFTP協(xié)議中的審計過程只提取了操作碼，沒有將操作碼還原為操作命令，這樣就不能建立操作命令黑名單，對一些操作命令以及命令的操作對象進(jìn)行禁止操作，并且所做的回放系統(tǒng)只是對操作碼進(jìn)行回放，不能啟到實時審計的作用。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服目前SFTP協(xié)議中審計方法存在的上述缺陷，提出了一種SFTP數(shù)據(jù)采集及審計的方法，該方法能夠?qū)τ脩暨M(jìn)行SFTP登陸操作的行為進(jìn)行審計，在不影響用戶操作的情況下，監(jiān)控用戶登陸操作行為；針對用戶的操作，能夠通過SFTP日志復(fù)現(xiàn)；同時，通過命令黑名單的設(shè)置，預(yù)防用戶的非法操作。

為實現(xiàn)上述目的，本發(fā)明提供了一種SFTP數(shù)據(jù)采集及審計的方法，所述方法包括：

步驟1)采集SSH協(xié)議密文傳輸階段的數(shù)據(jù)包，針對SSH協(xié)議握手階段的數(shù)據(jù)包，推導(dǎo)出SSH密鑰協(xié)商后的傳輸密鑰；利用密鑰將數(shù)據(jù)包中的密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)；

步驟2)從SSH明文數(shù)據(jù)中提取SFTP數(shù)據(jù)，并從SFTP數(shù)據(jù)中采集會話信息；提取SFTP數(shù)據(jù)的關(guān)鍵操作碼，并采集傳輸文件信息；將提取的SFTP關(guān)鍵操作碼還原為關(guān)鍵操作命令，并采集關(guān)鍵操作命令信息；

步驟3)對所有關(guān)鍵操作命令進(jìn)行黑名單匹配，對于匹配成功的關(guān)鍵操作命令，構(gòu)造禁止該關(guān)鍵操作命令的SSH消息發(fā)送給客戶端；并將所有匹配不成功的關(guān)鍵操作命令對應(yīng)的SSH明文數(shù)據(jù)進(jìn)行封裝和加密，然后傳輸給服務(wù)端；