本發明公開一種堡壘機的文件傳輸解析方法與裝置，經過網絡通道層、ISO數據層、虛擬通道層及解密層處理后，可以得到報文中具體的功能數據，再根據不同的系統版本，對XPsp3系統報文內容進行識別，區分文件名或文件路徑，分別解析出具體內容進行存儲；對Win7以上系統報文內容進行識別，確定傳輸的數量，確定文件類型，分別解析出具體路徑進行存儲。從而實現對復制粘貼文件內容進行安全審計。該技術方案提高解析速度與準確性，進而有利于提高審計效率。

技術領域

本發明屬于運維審計技術領域，尤其是涉及一種堡壘機的文件傳輸解析方法與裝置。

背景技術

遠程桌面傳輸協議（Remote Desktop Protocol，RDP）是微軟公司制定的用于在網絡上進行遠程桌面訪問的一套標準協議，作為網絡協議組的應用層?；赗DP的堡壘機（又稱跳板機）的主要用途在于讓用戶可以通過基于RDP 的客戶端（例如mstsc客戶端工具）連接到一個遠程的已啟動Terminal Service服務的Windows 服務器，客戶端能獲取到完整的遠程服務器桌面，并在該桌面上實現對服務器的運維操作，整個過程與直接在遠程服務器上進行操作一致，提高服務器維護的效率。RDP實質上是一個圖形化的操作協議，并且由于RDP是一個用于維護服務器的協議，因此它是一種交互式的協議，即客戶端提交信息的同時又有服務器端返回信息。

遠程運維過程中，在運維端與目標設備端之間進行文件復制粘貼是一種常見操作，把一端的文件或文件夾復制粘貼到另一端上，可以提高文件訪問與切換效率，提高操作的便利性。為了實現對文件復制粘貼的內容進行審計，就需要解析報文數據中的功能參數，最終獲取到具體的文件路徑與文件名等信息，以執行安全審計策略。

發明內容

基于上述背景，提出一種堡壘機的文件傳輸解析方法與裝置，經過網絡通道層、ISO數據層、虛擬通道層及解密層處理后，可以得到報文中具體的功能數據，再對這些功能數據進行分析，可以得到復制粘貼的文件名及其路徑，從而進一步進行內容審計。具體的技術方案如下所述。

文件傳輸解析方法，功能數據的解析過程包括:

若系統版本為XPsp3，根據第一個報文的內容標志，篩選出文件傳輸報文；提取文件傳輸報文的特征位，識別報文內容為文件路徑或文件名，分別解析文件路徑或文件名的具體內容并存儲為解析結果；

若系統為Win7以上的版本，根據第一個報文的內容標志，篩選出文件傳輸報文；提取文件傳輸報文的文件數量標志字節，確定本次傳輸的文件數量；依次提取報文的文件類型標志字節，識別報文內容為文件或文件夾，分別解析得到文件或文件夾的具體路徑，并存儲為解析結果。

作為優選的，對于XPsp3系統的上行報文：

若根據第一個報文的內容標志，識別報文內容為文件路徑，則偏移第一規定字節數，截取內容存儲為文件路徑；

若一次傳輸至少2個文件或文件夾，提取同一傳輸數據段的每個報文的位置標志字節，根據該字節值，確定當前報文在本次傳輸數據段中的位置；當本次傳輸數據段被連續的重復傳輸特定次數，則判斷包含文件路徑的報文已經傳輸完畢。

作為優選的，對于XPsp3系統的下行報文，根據報文的傳輸方向特征位：

若識別為對上行報文的回應報文，根據上行解析得到的傳輸的文件數量，對每個回應報文分別偏移第三規定字節數，截取路徑與文件名內容進行存儲；

若識別為下行報文，對每個回應報文分別偏移第四規定字節數，截取路徑與文件名內容進行存儲。

作為優選的，對于Win7以上的系統，功能數據的解析過程包括:

根據第一個報文的內容標志，篩選出文件傳輸報文，提取文件傳輸報文的文件數量標志字節，確定本次傳輸的文件數量；提取每個報文的文件類型標志，確定傳輸的文件類型為文件或文件夾，偏移第五規定字節數，截取報文內容得到文件路徑后進行存儲；