[发明专利]一种基于Telnet协议的会话解析方法及系统

说明书

本发明提供了一种基于Telnet协议的会话解析方法，所述方法包括：步骤101)接收基于Telnet协议会话的数据包，并根据数据包特征与会话解析状态转移图判定当前会话所处阶段；步骤102)根据会话所处的阶段对数据包进行解析，获取日志信息数据；步骤103)将日志信息数据封装到固定格式的日志中，生成解析日志。本发明将Telnet会话通信过程分为不同阶段，构造会话解析状态转移图，对不同阶段的数据包作差异化处理；提高了数据处理的速度和效率；而且本发明的命令黑名单功能使得系统可以实时阻断命令或阻断会话，实现实时审计；日志传输采用流式发送的方式，无需缓存大量数据，节约了内存空间，提高了日志发送的效率。

技术领域

本发明属于计算机网络技术领域，具体涉及到一种基于Telnet协议的会话解析方法及系统。

背景技术

Telnet协议是TCP/IP族中的成员之一，是Internet远程登陆服务的标准协议和主要方式。Telnet协议能够为用户提供在本地计算机上完成远程工作的能力。在终端使用者的电脑上使用Telnet客户端来连接到服务器。终端使用者可以在Telnet客户端输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。为了适应异构环境，Telnet协议定义了数据和命令在Internet上的传输方式，此定义为网络虚拟端NVT。Telnet是常用的远程控制网页服务器的方法。

随着互联网的发展，网络安全问题也更加突出，在某些企业或者机构的业务系统中，需要对用户端的登陆和操作行为进行监控和记录，用于业务审计。对用于行为的监控一般采用在服务端和客户端之间加入中间人来实现。对Telnet协议而言，中间人截获的均为明文数据，对明文数据解析，并根据系统功能要求，完成密码代填与命令黑名单功能，并生成解析日志。密码代填可以根据主账号等信息，实现代填密码的功能，命令黑名单功能则可以实时阻断一些预设的命令。明文解析后会生成解析日志，审计人员可以通过日志重现客户端的所有操作行为。协议解析的效率是中间人处理非常重要的一步，而中间人的处理效率直接影响到客户端和服务端的通信质量，因此高效的协议解析是非常必须的。Telnet协议解析的关键在于还原用户命令，目前，基于Telnet协议的解析较少，对于Telnet命令的还原，一般采用分析客户端数据的方法，这种方法对用户输入为可打印字符时效果较好，但当Telnet登录和操作过程中出现控制键或快捷键时，如上翻、下翻、删除时，较难还原正确的命令，另外一种方法则过滤服务端回显数据，利用回显数据还原用户命令，这种方法能够以较高的准确率还原用户命令，但在没有回显数据的Telnet通信中则无能为力。

发明内容

本发明的目的在于克服目前Telnet协议解析方法中存在的上述缺陷，提出了一种基于Telnet协议的会话解析方法，该方法将Telnet会话通信过程分为不同阶段，构造会话解析状态转移图，对不同阶段的数据包作差异化处理；提高了数据处理的速度和效率。

为了实现上述目的，本发明提供一种基于Telnet协议的会话解析方法，所述方法包括：

步骤101)接收基于Telnet协议会话的数据包，并根据数据包特征与会话解析状态转移图判定当前会话所处阶段；

步骤102)根据会话所处的阶段对数据包进行解析，获取日志信息数据；

步骤103)将日志信息数据封装到固定格式的日志中，生成解析日志。

上述技术方案中，所述步骤103)之后还包括：

步骤104)将生成的解析日志采用流式发送模式发送至存储服务器；

步骤105)所述存储服务器收到日志信息数据后，根据日志类型和结束段信息拼凑出完整的日志并存储在服务器中。

上述技术方案中，所述步骤101)中的会话解析状态转移图包括：协商阶段，用户名处理阶段，密码处理阶段，请求输入阶段和请求完成阶段；