-
公开(公告)号:CN106656919A
公开(公告)日:2017-05-10
申请号:CN201510727612.5
申请日:2015-10-30
申请人: 中国科学院声学研究所 , 北京中科智网科技有限公司
IPC分类号: H04L29/06
CPC分类号: H04L69/22
摘要: 本发明提供了一种基于Telnet协议的会话解析方法,所述方法包括:步骤101)接收基于Telnet协议会话的数据包,并根据数据包特征与会话解析状态转移图判定当前会话所处阶段;步骤102)根据会话所处的阶段对数据包进行解析,获取日志信息数据;步骤103)将日志信息数据封装到固定格式的日志中,生成解析日志。本发明将Telnet会话通信过程分为不同阶段,构造会话解析状态转移图,对不同阶段的数据包作差异化处理;提高了数据处理的速度和效率;而且本发明的命令黑名单功能使得系统可以实时阻断命令或阻断会话,实现实时审计;日志传输采用流式发送的方式,无需缓存大量数据,节约了内存空间,提高了日志发送的效率。
-
公开(公告)号:CN107124385B
公开(公告)日:2020-02-04
申请号:CN201610101613.3
申请日:2016-02-24
申请人: 中国科学院声学研究所 , 北京中科智网科技有限公司
IPC分类号: H04L29/06
摘要: 本发明提供了一种基于镜像流的SSL/TLS协议明文数据采集方法,所述方法包括:步骤1)接收镜像的SSL/TLS数据包,对数据包中的记录进行提取,生成若干个完整记录,放入记录队列;步骤2)从记录队列里的记录中提取若干个完整消息,放入消息队列;步骤3)对消息队列中的消息进行解析,获取明文数据。本发明的方法根据SSL/TLS协议的封装格式,将数据包拼接成完成记录、进一步提取完整的单个消息之后再处理,对服务器是否将多个消息合成一个记录或者将单个消息封装到多个记录之中没有要求,且可以灵活选择加入需要解析的新消息,可扩展性好;本发明的方法对交换机镜像数据进行处理获取明文数据,不干涉系统原有业务,不影响系统性能。
-
公开(公告)号:CN106941476B
公开(公告)日:2019-10-22
申请号:CN201610005129.0
申请日:2016-01-05
申请人: 中国科学院声学研究所 , 北京中科智网科技有限公司
摘要: 本发明提供了一种SFTP数据采集及审计方法,所述方法包括:步骤1)采集SSH协议密文传输阶段的数据包,推导出SSH密钥协商后的传输密钥;利用密钥将数据包中的密文数据转换成明文数据;步骤2)从SSH明文数据中提取SFTP数据,并从SFTP数据中采集会话信息;提取SFTP数据的关键操作码,并采集传输文件信息;将提取的SFTP关键操作码还原为关键操作命令,并采集关键操作命令信息;步骤3)对所有关键操作命令进行黑名单匹配,对于匹配成功的关键操作命令,构造禁止该关键操作命令的SSH消息发送给客户端;并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密,然后传输给服务端;步骤4)根据步骤2)中采集的所有信息生成SFTP审计日志。
-
公开(公告)号:CN106941476A
公开(公告)日:2017-07-11
申请号:CN201610005129.0
申请日:2016-01-05
申请人: 中国科学院声学研究所 , 北京中科智网科技有限公司
摘要: 本发明提供了一种SFTP数据采集及审计方法,所述方法包括:步骤1)采集SSH协议密文传输阶段的数据包,推导出SSH密钥协商后的传输密钥;利用密钥将数据包中的密文数据转换成明文数据;步骤2)从SSH明文数据中提取SFTP数据,并从SFTP数据中采集会话信息;提取SFTP数据的关键操作码,并采集传输文件信息;将提取的SFTP关键操作码还原为关键操作命令,并采集关键操作命令信息;步骤3)对所有关键操作命令进行黑名单匹配,对于匹配成功的关键操作命令,构造禁止该关键操作命令的SSH消息发送给客户端;并将所有匹配不成功的关键操作命令对应的SSH明文数据进行封装和加密,然后传输给服务端;步骤4)根据步骤2)中采集的所有信息生成SFTP审计日志。
-
公开(公告)号:CN106656919B
公开(公告)日:2019-08-06
申请号:CN201510727612.5
申请日:2015-10-30
申请人: 中国科学院声学研究所 , 北京中科智网科技有限公司
IPC分类号: H04L29/06
摘要: 本发明提供了一种基于Telnet协议的会话解析方法,所述方法包括:步骤101)接收基于Telnet协议会话的数据包,并根据数据包特征与会话解析状态转移图判定当前会话所处阶段;步骤102)根据会话所处的阶段对数据包进行解析,获取日志信息数据;步骤103)将日志信息数据封装到固定格式的日志中,生成解析日志。本发明将Telnet会话通信过程分为不同阶段,构造会话解析状态转移图,对不同阶段的数据包作差异化处理;提高了数据处理的速度和效率;而且本发明的命令黑名单功能使得系统可以实时阻断命令或阻断会话,实现实时审计;日志传输采用流式发送的方式,无需缓存大量数据,节约了内存空间,提高了日志发送的效率。
-
公开(公告)号:CN107124385A
公开(公告)日:2017-09-01
申请号:CN201610101613.3
申请日:2016-02-24
申请人: 中国科学院声学研究所 , 北京中科智网科技有限公司
IPC分类号: H04L29/06
摘要: 本发明提供了一种基于镜像流的SSL/TLS协议明文数据采集方法,所述方法包括:步骤1)接收镜像的SSL/TLS数据包,对数据包中的记录进行提取,生成若干个完整记录,放入记录队列;步骤2)从记录队列里的记录中提取若干个完整消息,放入消息队列;步骤3)对消息队列中的消息进行解析,获取明文数据。本发明的方法根据SSL/TLS协议的封装格式,将数据包拼接成完成记录、进一步提取完整的单个消息之后再处理,对服务器是否将多个消息合成一个记录或者将单个消息封装到多个记录之中没有要求,且可以灵活选择加入需要解析的新消息,可扩展性好;本发明的方法对交换机镜像数据进行处理获取明文数据,不干涉系统原有业务,不影响系统性能。
-
公开(公告)号:CN111835688A
公开(公告)日:2020-10-27
申请号:CN201910324087.0
申请日:2019-04-22
申请人: 中国科学院声学研究所 , 北京中科视云科技有限公司
IPC分类号: H04L29/06 , H04L12/727 , H04L12/729 , H04L9/08
摘要: 本发明属于网络信息安全技术领域,具体涉及一种基于SSL/TLS协议的流量快速转发方法,该方法包括:接收由客户端发送的客户端问候消息,并对其进行修改,同时记录客户端随机数;转发修改后的客户端问候消息至服务端;根据修改后的客户端问候消息,获得服务端问候消息;发送服务端问候消息至数据采集器,记录服务端问候消息中的协议版本信息和加密套件信息,以及服务端随机数;客户端、数据采集器、服务端经过相互认证,三者相互之间建立SSL/TLS协议连接;根据支持SSL/TLS流量快速转发的判断准则,判断当前连接是否支持快速转发;该方法大大提升采集系统的性能,降低采集系统的传输时延。
-
公开(公告)号:CN111835688B
公开(公告)日:2021-07-30
申请号:CN201910324087.0
申请日:2019-04-22
申请人: 中国科学院声学研究所 , 北京中科视云科技有限公司
IPC分类号: H04L29/06 , H04L12/727 , H04L12/729 , H04L9/08
摘要: 本发明属于网络信息安全技术领域,具体涉及一种基于SSL/TLS协议的流量快速转发方法,该方法包括:接收由客户端发送的客户端问候消息,并对其进行修改,同时记录客户端随机数;转发修改后的客户端问候消息至服务端;根据修改后的客户端问候消息,获得服务端问候消息;发送服务端问候消息至数据采集器,记录服务端问候消息中的协议版本信息和加密套件信息,以及服务端随机数;客户端、数据采集器、服务端经过相互认证,三者相互之间建立SSL/TLS协议连接;根据支持SSL/TLS流量快速转发的判断准则,判断当前连接是否支持快速转发;该方法大大提升采集系统的性能,降低采集系统的传输时延。
-
-
-
-
-
-
-
搜索结果
8 条记录 (耗时 0.059 秒)
