[发明专利]一种运维审计系统混合协议代理系统及方法

权利要求书

1.一种运维审计系统混合协议代理方法，其特征在于：主要包括依次进行的以下步骤：

步骤S1：监听程序检测到有客户端发起请求；

步骤S2：将检测到的数据转发到应用协议多路复用器模块用于检测协议类型；

步骤S3：代理引擎接收上一步检测中匹配到的兼容的结果，并发起往目标服务器的连接。

2.根据权利要求1所述的一种运维审计系统混合协议代理方法，其特征在于：所述协议多路复用器检测协议类型的方法为：提取三次握手后的第一个数据包，在协议数量较少时，直接匹配解码后的协议字段，根据协议字段确认协议类型并发往代理引擎。

3.根据权利要求1或2所述的一种运维审计系统混合协议代理方法，其特征在于：所述应用协议多路复用器判断数据包的协议类型的方法为：使用规则检测方法：依赖于规则库中预设的字符串或者二进制序列进行比对选择，对相似性进行记录，在数据包和预先输入的协议的相似度满足阈值要求时，判定该数据包属于该协议。

4.根据权利要求3所述的一种运维审计系统混合协议代理方法，其特征在于：当应用协议多路复用器将数据包正则匹配到不兼容的协议时，将属于不兼容的协议的数据包发送到兼容性结果处理模块，兼容性结果处理模块分析数据包中的信息结构，分属性解析并存储，并将处理完毕的数据包发往兼容性结果展示模块进行展示。

5.根据权利要求4所述的一种运维审计系统混合协议代理方法，其特征在于：所述分属性解析后存储时，记录数据包的来源、大小、流向和相似度。

6.根据权利要求5所述的一种运维审计系统混合协议代理方法，其特征在于：所述应用协议多路复用器对SSH字符协议、RDP图形协议和文件传输协议FTP的检测方法为：

SSH字符协议：对数据包解码后，数据包 Protocal 字段值为 SSH_2.0-OpenSSH_7.4，则再正则表达式匹配到 SSH 字段后，将后续数据转发往代理引擎并标记为 SSH；

RDP图形协议：在数据包未加密的情况下，通过tpkt方式解码，解码之后协议字段值为RDP，匹配后将数据包转发往代理引擎并标记为RDP；对于加密的RDP协议数据包，则通过规则检测方式检测；

文件传输协议FTP：文件传输协议FTP是明文协议，直接可以解析到File TransferProtocol 字段。

7.一种运维审计系统混合协议代理系统，包括客户端、代理引擎、应用协议多路复用器，其特征在于：

客户端：向代理引擎发起连接请求；

代理引擎：将客户端发来的数据包转发到应用协议多路复用器，并根据应用协议多路复用器检测出的数据包所属的协议类型，对数据包进行标记后发送到不同的协议的专属代理引擎；

应用协议多路复用器：接收代理引擎转发来的数据包，并根据预先输入的协议字段判断数据包的协议类型，并根据检测出的协议类型发往代理引擎。

8.根据权利要求7所述的一种运维审计系统混合协议代理系统，其特征在于：所述应用协议多路复用器判断数据包的协议类型的方法为：提取三次握手后的第一个数据包，在协议数量较少时，直接匹配解码后的协议字段，根据协议字段确认协议类型并发往代理引擎；

当解码后的协议字段无法满足协议类型时，使用规则检测方法：依赖于规则库中预设的字符串或者二进制序列进行比对选择，对相似性进行记录，在数据包和预先输入的协议的相似度满足阈值要求时，判定该数据包属于该协议。

9.根据权利要求7所述的一种运维审计系统混合协议代理系统，其特征在于：当应用协议多路复用器将数据包正则匹配到不兼容的协议时，将属于不兼容的协议的数据包发送到兼容性结果处理模块，兼容性结果处理模块分析数据包中的信息结构，分属性解析并存储，并将处理完毕的数据包发往兼容性结果展示模块进行展示。