堡垒机审计命令识别技术分析说明

堡垒机审计命令识别技术分析说明

 

麒麟开源堡垒机除了录相，还需要做操作辨认，首要的操作辨认功用包括：

ssh/telnet的操作指令辨认

ftp/sftp   的操作指令辨认

RDP/VNC/X11 的翻开窗口title辨认

RDP/VNC/X11 窗口中的文字辨认

RDP  剪切版内容辨认

RDP/VNC/X11  键盘记载

 

关于一个只能录相的开源堡垒机，其可用性是十分差的，由于开源堡垒机的审计功用首要用于事后，假如发生了内部运维事情，而且时刻点难以确定，审计员有必要面对海量的日志进行辨认，由专人对每个会话自始至终看全部操作录相。而操作过程往往是一瞬间的事，比方几天的操作日志也许有上千个小时，可是呈现疑问的操作也许只在几秒钟，这时的劳动强度和单调程度是相当大的，一个人要从上千小时的录相中找到几秒种的有疑问的录相，难度之大能够想像。

 

咱们也从前出过某电信后台数据库被人删除的疑问，那时咱们体系的RDP辨认功用还没有做，所以咱们派专人，接连看了七天的日志，最终才找到责任人。

因而，一个开源堡垒机的好坏，不只是操作界面是不是漂亮、日志报表是不是通用，最主要的标准是剖析功用是不是好，假如一但剖析辨认做的到位，当呈现疑问时，能够大大减小审计人员的精确程度，直接找到责任人。

 

麒麟开源堡垒机的操作辨认功用中，FTP/SFTP的指令操作开发是最简略的，由于指令本身在协议中有标，开发时只需解开FTP/SFTP的协议流，能够直接得到。

 

telnet/ssh的指令辨认是较难的功能，由于TELNET/SSH关于指令在协议中是没有标示的，和在屏上其它回显相同，都是一个一个的字符，实践开发中，很通在实践回显中找到哪个是指令，哪个是回显，而键盘记载，只能对指令辨认有协助，并不能经过键盘记载来记载到指令，由于敲击键盘的时候，用户有也许在vi等行修正器中，这时操作的并不是指令而且一些文件修正，另外现在的linux bash中有许多快捷键，比方指令能够经过上翻找到，能够用TAB补齐，此外，运维人员在输入指令的时候，用退格去修正等也会形成指令辨认无法经过键盘记载来完成，TELNET/SSH的指令辨认，只能经过将键盘与回显相关的方法辨认，程序在判别用户键盘击打次序的同时，判别回显字符，当呈现回车的时候，将前面的所有键盘记载下来，而且在回显中进行一些判别，就能够精确的记载用户操作的指令，这种形式，代理程序还有必要判别的出用户是不是在vi等修正器形式中，麒麟开源开源堡垒机体系的telnet/ssh指令辨认开发周期大约为2个月，后期做了许多的修正，现在指令辨认率达到了99.9%。

 

RDP/X11/VNC的窗口title辨认和窗口内部文字辨认，能够说是一个业界的难题，由于RDP全部显示没有字符，完全是经过GDI函数绘出，因而，即便解开了RDP的流，也无法从流中得到任何文字 ，由于全部是GDI函数绘出的图形，麒麟开源开源堡垒机的RDP/X11/VNC窗口的辨认开发周期大约为4个月，现在现已能够辨认出窗口标题和内部操作文字。

此外，RDP的键盘记载、剪切版记载也能够在协议中辨认，键盘记载对比键盘，解开RDP协议即可得到剪切版杂乱些，由于触及内部文字编码辨认。

今后会在其它文章中详细描述这些辨认技能的原理。