[发明专利]一种运维审计系统混合协议代理系统及方法

说明书

本发明一种运维审计系统混合协议代理系统及方法，涉及协议端口领域，对于运维审计系统的客户端发送过来未知协议的数据包，直接匹配解码后的协议字段对比各个字符协议或图形协议或明文协议，对于匹配对应协议的数据包，直接判定为该协议加密的数据包；而对于无法完美匹配对应协议的数据包采用规则检测方法，依赖于规则库中预设的字符串或者二进制序列，相似性高于预设的阈值时，判定该数据包属于该协议，转发到代理引擎由代理引擎进行标记后发送到不同的协议的专属代理引擎，由专属代理引擎发送到目标服务器；对不兼容协议的数据包，分析数据包中的信息结构，分属性解析并存储，并将处理完毕的数据包发往兼容性结果展示模块进行展示。

技术领域

本发明涉及协议端口领域，特别涉及一种运维审计系统混合协议代理系统及方法。

背景技术

目前现有的运维审计系统支持多种协议的运维审计，方便用户针对不同的应用进行运维权限管控及事后审计回溯，但是当前的运维审计系统仅仅是将各种协议的监听端口离散的处理，对于日益加强的安全管理，在防火墙不开放更多端口的情况下，产生了部分协议无法纳入运维审计系统的监控管理之下，由此产生了运维审计系统部分协议无法代理的情况。

当前市面上运维审计系统的应用场景中，由于安全管控，防火墙通常会阻止大多数端口，但是通常不会阻止 443 端口，但是由于不同应用协议的默认端口通常是不同的，导致了在此限制条件下，运维审计系统无法直接进行运维与审计的工作。所以需要一种技术手段解决各种不同协议在同一个端口进行识别的问题，并根据识别后的结果将数据包转发到代理引擎进行处理。

发明内容

本发明的目的在于：提供了一种运维审计系统混合协议代理系统及方法，引入多路复用的技术运用到运维审计系统，对于客户端发送过来的不同数据包，根据检测出的结果对比阈值确定协议类型，对不兼容的协议进行记录和展示，可以很好地对从前端客户端传到托管在单个端口放开的运维审计系统后面的虚拟主机的不同数据包进行识别检测，并根据识别后的结果将数据包转发到代理引擎进行处理。

本发明采用的技术方案如下：

一种运维审计系统混合协议代理方法，主要包括依次进行的以下步骤：

步骤S1：监听程序检测到有客户端发起请求；

步骤S2：将检测到的数据转发到应用协议多路复用器模块用于检测协议类型；

步骤S3：代理引擎接收上一步检测中匹配到的兼容的结果，并发起往目标服务器的连接。

为了更好地实现本方案，进一步地，所述协议多路复用器检测协议类型的方法为：提取三次握手后的第一个数据包，在协议数量较少时，直接匹配解码后的协议字段，根据协议字段确认协议类型并发往代理引擎。

为了更好地实现本方案，进一步地，所述应用协议多路复用器判断数据包的协议类型的方法为：使用规则检测方法：依赖于规则库中预设的字符串或者二进制序列进行比对选择，对相似性进行记录，在数据包和预先输入的协议的相似度满足阈值要求时，判定该数据包属于该协议。

为了更好地实现本方案，进一步地，当应用协议多路复用器将数据包正则匹配到不兼容的协议时，将属于不兼容的协议的数据包发送到兼容性结果处理模块，兼容性结果处理模块分析数据包中的信息结构，分属性解析并存储，并将处理完毕的数据包发往兼容性结果展示模块进行展示。

为了更好地实现本方案，进一步地，所述分属性解析后存储时，记录数据包的来源、大小、流向和相似度。

为了更好地实现本方案，进一步地，所述应用协议多路复用器对SSH字符协议、RDP图形协议和文件传输协议FTP的检测方法为：

SSH字符协议：对数据包解码后，数据包 Protocal 字段值为 SSH_2.0-OpenSSH_7.4，则再正则表达式匹配到 SSH 字段后，将后续数据转发往代理引擎并标记为 SSH；