專利名稱:遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種網(wǎng)絡(luò)用戶操作過(guò)程的還原方法,特別是一種遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法��,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域����。
背景技術(shù):
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的日益發(fā)展,網(wǎng)絡(luò)應(yīng)用已經(jīng)普及到社會(huì)的各個(gè)角落��。從Internet到各個(gè)辦公室的OA系統(tǒng)�,從實(shí)時(shí)控制系統(tǒng)到電子商務(wù)應(yīng)用等,無(wú)不體現(xiàn)出網(wǎng)絡(luò)的重要性����。但是隨著網(wǎng)絡(luò)技術(shù)的大規(guī)模應(yīng)用����,使得某些問(wèn)題日益明顯地暴露出來(lái)���,其中的一個(gè)重要問(wèn)題就是網(wǎng)絡(luò)的“不可見”性�����。由于網(wǎng)絡(luò)是用于傳輸各類信息的通道���,在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是通過(guò)符合一定標(biāo)準(zhǔn)和規(guī)范的物理信號(hào),而這些物理信號(hào)對(duì)于人眼來(lái)說(shuō)是不可見的�����。也就是說(shuō)在網(wǎng)絡(luò)上傳輸了一些什么信息�,人眼是無(wú)法直接看到的��,不象在現(xiàn)實(shí)世界中的高速公路����,人們可以直接觀測(cè)發(fā)生的事故和車輛的外形��。由于網(wǎng)絡(luò)的不可見性�,引發(fā)了一系列的安全問(wèn)題經(jīng)文獻(xiàn)檢索���,發(fā)現(xiàn)國(guó)際申請(qǐng)PCT/US97/21322 1997.11.21國(guó)際公布WO 98/22875英1998.5.28����,申請(qǐng)人計(jì)算機(jī)聯(lián)合國(guó)際公司��,發(fā)明名稱自動(dòng)化網(wǎng)絡(luò)監(jiān)視和安全違規(guī)干預(yù)的方法和裝置��,發(fā)明人丹尼爾.埃斯本森��,該技術(shù)包括用于捕捉網(wǎng)絡(luò)信息包和過(guò)濾無(wú)效信息包的處理程序過(guò)程����,第一和第二連續(xù)分類的記錄文檔和用于掃描在網(wǎng)上發(fā)生的所有會(huì)話和檢查特定規(guī)則存在的掃描過(guò)程。當(dāng)符合規(guī)則而指示安全事故時(shí)�����,可以采用包括經(jīng)過(guò)電子或其他郵件通知網(wǎng)絡(luò)安全官員�,或記錄或終止網(wǎng)絡(luò)會(huì)話等各種適當(dāng)動(dòng)作。監(jiān)視系統(tǒng)完全獨(dú)立于任何其他網(wǎng)絡(luò)通信和網(wǎng)絡(luò)文檔服務(wù)器操作,因此對(duì)網(wǎng)絡(luò)性能沒有影響?,F(xiàn)有的技術(shù)的缺陷其本質(zhì)上是一種實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)功能的方法和裝置,其采用的方法概括如下采用網(wǎng)絡(luò)監(jiān)聽的方法從網(wǎng)絡(luò)上獲取原始數(shù)據(jù)包作為數(shù)據(jù)來(lái)源���;采用兩個(gè)記錄文檔的方式來(lái)掃描和捕獲信息包���;根據(jù)TCP/IP的協(xié)議規(guī)范,對(duì)數(shù)據(jù)包進(jìn)行解碼和會(huì)話重建�����;根據(jù)規(guī)則�����,通過(guò)會(huì)話掃描來(lái)判斷安全違規(guī)操作��;進(jìn)行各種方式的報(bào)警����。但是還存在以下的缺陷1、沒有實(shí)現(xiàn)對(duì)遠(yuǎn)程操作的完整還原和模擬回放����;2、缺乏多個(gè)會(huì)話之間的聯(lián)系����。其他技術(shù)手段也有一定的缺陷,如1�����、網(wǎng)絡(luò)設(shè)備中的網(wǎng)管功能主要能夠提供的是統(tǒng)計(jì)信息�����,而不是每個(gè)數(shù)據(jù)包的詳細(xì)信息��,因此只能提供宏觀上的分析和觀察功能�����,對(duì)網(wǎng)絡(luò)故障分析有一定的作用�����,但對(duì)于監(jiān)視特定的入侵行為和特定用戶的操作不能提供有效的支持�����。2、網(wǎng)絡(luò)監(jiān)視儀能夠?qū)?shù)據(jù)包的內(nèi)容進(jìn)行記錄����、解碼和分析,但是這些工具是以數(shù)據(jù)包為單位的����,而一個(gè)操作或者瀏覽的過(guò)程包括一系列的數(shù)據(jù)包,用戶直接察看每個(gè)數(shù)據(jù)包只能獲得零碎的信息����,而且對(duì)于非文本的信息(如圖像,聲音���,模擬終端中的控制信息)是無(wú)法觀察的�。3��、屏幕監(jiān)視系統(tǒng)能夠管理員直觀地看到網(wǎng)絡(luò)上的用戶的界面情況�,但是需要在所有被監(jiān)視的機(jī)器上安裝軟件,但是通常黑客或者內(nèi)部破壞人員的機(jī)器上是沒有安裝過(guò)這些軟件的�,即使安裝過(guò)這些關(guān)鍵也會(huì)被故意刪除的,因此很有可能是無(wú)法進(jìn)行強(qiáng)制監(jiān)測(cè)的�����。總之����,現(xiàn)有的技術(shù)對(duì)于實(shí)現(xiàn)有效的遠(yuǎn)程用戶操作過(guò)程的記錄和還原功能是比較缺乏的�����。
發(fā)明內(nèi)容
在目前的遠(yuǎn)程網(wǎng)絡(luò)應(yīng)用中����,電子郵件,網(wǎng)頁(yè)瀏覽�,文件傳輸,遠(yuǎn)程登錄是最為廣泛的應(yīng)用��,其中網(wǎng)頁(yè)瀏覽����,文件傳輸和遠(yuǎn)程登錄是涉及較為豐富的遠(yuǎn)程操作的信息的(電子郵件主要功能是信息發(fā)送和接收,主要是本地操作)�����。因此本發(fā)明主要針對(duì)解決網(wǎng)頁(yè)瀏覽�����,文件傳輸和遠(yuǎn)程登錄的遠(yuǎn)程操作記錄和還原問(wèn)題,主要采用的網(wǎng)絡(luò)協(xié)議是HTTP��,F(xiàn)TP�����,telnet�,因此本發(fā)明主要是對(duì)以上三個(gè)協(xié)議的記錄和還原,主要包括記錄用戶通過(guò)HTTP協(xié)議遠(yuǎn)程訪問(wèn)網(wǎng)頁(yè)過(guò)程中的所有操作���,并還原用戶所有看到和下載的網(wǎng)頁(yè)中的全部?jī)?nèi)容(包括文本���,圖片,聲音等)���,以及提交的所有信息內(nèi)容(包括上載的文件�,張貼的文章等)����;記錄用戶通過(guò)FTP協(xié)議遠(yuǎn)程傳輸文件過(guò)程中的所有操作,包括下載�,列目錄���,上載文件,刪除文件����,重命名文件等,并將與操作相關(guān)的所有文件的內(nèi)容還原出來(lái)�����,并與相關(guān)的操作建立聯(lián)系���;記錄用戶通過(guò)telnet進(jìn)行的遠(yuǎn)程登錄操作,還原用戶的模擬終端中的所有動(dòng)態(tài)界面以及輸入的指令���。
以下對(duì)telnet方式的遠(yuǎn)程登錄的操作過(guò)程進(jìn)行記錄和還原進(jìn)一步描述telnet記錄和還原模塊通過(guò)接收網(wǎng)絡(luò)上的telnet原始數(shù)據(jù)包(這些原始數(shù)據(jù)包已通過(guò)網(wǎng)絡(luò)信息截獲和過(guò)濾模塊�����,數(shù)據(jù)包分析模塊的過(guò)濾)����,根據(jù)TCP/IP協(xié)議進(jìn)行拼裝���,telnet傳輸過(guò)程文件即���。tel后綴文件�,文件通過(guò)WEB Server和瀏覽器傳輸?shù)焦芾韱T的瀏覽器中���,并根據(jù)�����。tel后綴調(diào)用telnet過(guò)程回放插件���,回放出所有的telnet操作過(guò)程
①對(duì)于獲取到得telnet網(wǎng)絡(luò)數(shù)據(jù)包,首先根據(jù)telnet協(xié)議分析這個(gè)數(shù)據(jù)包中所包含的是遠(yuǎn)程用戶輸入的數(shù)據(jù)包還是回顯的數(shù)據(jù)包�,輸入和回顯數(shù)據(jù)包在寫入telnet傳輸過(guò)程文件時(shí)將采用不同的標(biāo)記;②查找telnet連接狀態(tài)表��,根據(jù)telnet連接信息狀態(tài)表中的信息來(lái)判斷當(dāng)前的數(shù)據(jù)包是否屬于非法包或者重復(fù)包��,如果屬于重復(fù)包或者非法數(shù)據(jù)包則轉(zhuǎn)③�,如果是合法數(shù)據(jù)包則轉(zhuǎn)④;③丟棄非法數(shù)據(jù)包�,準(zhǔn)備獲取下一個(gè)數(shù)據(jù)包,轉(zhuǎn)①�;④根據(jù)telnet連接信息狀態(tài)表中的內(nèi)容��,以及TCP/IP協(xié)議規(guī)范����,將當(dāng)前數(shù)據(jù)包中的內(nèi)容和以前的內(nèi)容拼接�����,并根據(jù)telnet傳輸過(guò)程文件的格式寫入telnet傳輸過(guò)程文件�,在寫入內(nèi)容中包含時(shí)標(biāo)信息;⑤管理員通過(guò)瀏覽器和WEB Server�,查詢和獲取到相應(yīng)的telnet傳輸過(guò)程文件��,瀏覽器根據(jù)文件后綴名自動(dòng)調(diào)用telnet過(guò)程回放插件�;⑥telnet回放插件啟動(dòng)后,進(jìn)入telnet模擬回放總控程序����,該程序從telnet傳輸過(guò)程文件中提取還原后的telnet操作數(shù)據(jù),并啟動(dòng)一個(gè)telnetd模擬服務(wù)端進(jìn)程和一個(gè)telnet模擬客戶端進(jìn)程�����,并在這兩者之間建立本地連接����;⑦telnetd模擬服務(wù)端進(jìn)程啟動(dòng)后�����,在telnet模擬回放總控程序的控制下��,逐條讀取telnet信息記錄�,并根據(jù)時(shí)標(biāo)信息�����,逐條定時(shí)地將界面模擬數(shù)據(jù)發(fā)送到telnet模擬客戶進(jìn)程���;⑧telnet模擬客戶進(jìn)程根據(jù)收到的界面模擬數(shù)據(jù)�,顯示telnet操作的全過(guò)程�����。
FTP記錄和還原每一次完整的FTP操作由一條FTP操作控制連接若干個(gè)文件傳輸連接組成�����。FTP操作控制連接用于傳輸各種指令和顯示指令執(zhí)行的結(jié)果,文件傳輸連接用于真正傳輸相關(guān)的文件��。文件傳輸連接與FTP操作控制之間的對(duì)應(yīng)關(guān)系主要是通過(guò)FTP操作連接中的指令和結(jié)果來(lái)對(duì)應(yīng)起來(lái)的�。因此對(duì)FTP的記錄和還原主要需要解決不同連接之間的對(duì)應(yīng)關(guān)系;FTP記錄和還原模塊主要采用的方法是通過(guò)在分析FTP操作控制連接中的指令來(lái)確定將要建立的文件傳輸連接的標(biāo)示��,同時(shí)在不同的文件中記錄FTP操作控制連接和相關(guān)的文件傳輸連接�,并在采用HTML生成的FTP操作過(guò)程記錄文件,通過(guò)超級(jí)連接將記錄下的不同連接的內(nèi)容聯(lián)系起來(lái)�����;以下對(duì)FTP記錄和還原的處理流程進(jìn)一步描述①FTP記錄和還原模塊收到一個(gè)FTP數(shù)據(jù)包���,將首先判斷它是屬于FTP操作控制連接的還是文件傳輸連接的���,如果屬于文件傳輸連接����,則轉(zhuǎn)⑦,否則轉(zhuǎn)②����;②根據(jù)FTP操作控制連接狀態(tài)表中的信息,將這個(gè)數(shù)據(jù)包內(nèi)容拼接到FTP操作過(guò)程記錄文件中;③分析這個(gè)數(shù)據(jù)包中的FTP操作指令�,某些指令是預(yù)示著將要建立新的文件傳輸連接(如PORT指令),如果要將建立文件傳輸連接則轉(zhuǎn)⑥����,否則轉(zhuǎn)④;④判斷是否整個(gè)FTP操作過(guò)程結(jié)束�����,如果未結(jié)束則轉(zhuǎn)①���,接受下一個(gè)數(shù)據(jù)包�,否則轉(zhuǎn)⑤���;⑤關(guān)閉FTP操作過(guò)程記錄文件����,并將這個(gè)文件作適當(dāng)?shù)恼{(diào)整�,主要是增加HTML的頭部和尾部信息,使它成為一個(gè)HTML文檔�,記錄和還原過(guò)程結(jié)束;⑥在FTP文件傳輸連接信息狀態(tài)表中建立新的表項(xiàng)�,這個(gè)表項(xiàng)包含了根據(jù)FTP操作指令而確定的連接標(biāo)示即源/目的IP與端口�,此外還將建立相應(yīng)的傳輸記錄文件���,這個(gè)文件的名字也根據(jù)FTP指令中的信息來(lái)確定��,并在FTP操作過(guò)程記錄文件中以超級(jí)連接方式寫入相關(guān)傳輸記錄文件的文件名��,把這些文件通過(guò)超級(jí)連接聯(lián)系起來(lái)����;⑦根據(jù)收到的文件傳輸數(shù)據(jù)包�,查找FTP文件傳輸連接狀態(tài)表,如果此數(shù)據(jù)包匹配到相應(yīng)的表項(xiàng)����,則拼接到相應(yīng)的傳輸記錄文件中;⑧判斷這個(gè)文件傳輸連接是否結(jié)束����,如果結(jié)束則關(guān)閉相應(yīng)傳輸記錄文件,刪除FTP文件傳輸連接控制表的相應(yīng)標(biāo)項(xiàng)��,轉(zhuǎn)①����;⑨網(wǎng)絡(luò)管理員通過(guò)WEB Server和Browser瀏覽FTP操作過(guò)程記錄文件,由于它是一個(gè)html文件����,并且包含所有指向相關(guān)傳輸記錄文件的超級(jí)連接,所以通過(guò)這個(gè)文件可以瀏覽到所有相關(guān)的傳輸記錄文件�����。
HTTP記錄和還原采用HTTP瀏覽一個(gè)網(wǎng)站或者進(jìn)行某些操作�,通常由瀏覽器向WEB Server發(fā)送HTTP的指令,其中GET和POST是用得最多的指令���,發(fā)送指令之后����,WEB Server遵循HTTP協(xié)議向?yàn)g覽器發(fā)送HTML文件���,瀏覽器獲得HTML文件后����,根據(jù)此文件中的相關(guān)超級(jí)連結(jié)信息�����,對(duì)于嵌入式的圖片和多幀信息,再次發(fā)送出HTTP指令���,獲取相應(yīng)的圖片和多幀信息�����,獲取這些信息之后在頁(yè)面相應(yīng)的位置顯示出來(lái)��。在一個(gè)頁(yè)面中的多個(gè)圖片可以同時(shí)傳輸�;針對(duì)HTTP瀏覽的方式��,HTTP記錄和還原模塊主要采用的方法是先將所有的文件拼接分別拼接�,包括一個(gè)頁(yè)面中的HTML文檔和圖片文件,形成獨(dú)立的文檔���,然后將將HTML頁(yè)面中的超級(jí)連接替換���,指向本地存放的文件,在本地形成一個(gè)HTML文檔體系���。當(dāng)網(wǎng)絡(luò)管理員瀏覽第一個(gè)頁(yè)面時(shí)�����,WEB Server將這個(gè)本地HTML文檔體系傳輸?shù)綖g覽器���,網(wǎng)絡(luò)管理員看到的是完整還原后的頁(yè)面信息。
以下進(jìn)一步對(duì)HTTP記錄和還原的處理流程進(jìn)行描述①HTTP記錄和還原模塊當(dāng)獲取到一個(gè)HTTP數(shù)據(jù)包���,判斷它是否屬于HTTP協(xié)議中的GET或POST命令���,如果是,則轉(zhuǎn)②����,否則轉(zhuǎn)②;②對(duì)GET或POST命令�����,則預(yù)示著要傳輸一個(gè)新的HTML或者其他圖片/聲音文件�����,因此將根據(jù)GET/POST的命令的具體參數(shù)����,建立新的HTTP連接狀態(tài)表項(xiàng)����,轉(zhuǎn)①���;③收到的數(shù)據(jù)包是某個(gè)HTTP連接的傳輸內(nèi)容����,根據(jù)HTTP連接狀態(tài)表�����,將這個(gè)數(shù)據(jù)包拼接到相應(yīng)的HTTP記錄文件中��;④判斷當(dāng)前的HTTP連接的傳輸是否結(jié)束�,如果結(jié)束則轉(zhuǎn)⑤,否則轉(zhuǎn)①��;⑤關(guān)閉當(dāng)前連接所對(duì)應(yīng)的HTTP記錄文件���,刪除HTTP連接狀態(tài)表中的相應(yīng)表項(xiàng)����,在本地化鏈接索引文件中查找引用此文件所對(duì)應(yīng)的URL的其他HTTP記錄文件;⑥在所有引用此文件所對(duì)應(yīng)的URL所對(duì)應(yīng)的HTTP記錄文件中進(jìn)行修改��,將其中引用此文件所對(duì)應(yīng)的URL的超級(jí)鏈接改為指向此文件�;⑦修改本地化鏈接索引文件,刪除其中對(duì)本文件所對(duì)應(yīng)的URL的引用記錄�,對(duì)于某些已經(jīng)沒有需要本地化鏈接的記錄進(jìn)行刪除�;根據(jù)本文件中所引用的URL,添加一條反映本文件超級(jí)鏈接列表的新的索引記錄��;⑧管理員通過(guò)WEB Server和Browser可以瀏覽已經(jīng)還原并形成本地HTML文檔體系的頁(yè)面�����。
本發(fā)明具有實(shí)質(zhì)性特點(diǎn)和顯著進(jìn)步�,全面考慮網(wǎng)絡(luò)行為的各種因素,實(shí)現(xiàn)真正意義上的網(wǎng)絡(luò)行為的準(zhǔn)確記錄以及網(wǎng)絡(luò)行為的還原�����;能夠?qū)Ω咚倬W(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)的濾取�,保證網(wǎng)絡(luò)數(shù)據(jù)的完整性;實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)管理的透明性�����,為網(wǎng)絡(luò)行為的可視化�、可控性奠定基礎(chǔ)�。
圖1本發(fā)明總體框架示意2 telnet記錄還原處理流程示意3 FTP記錄還原處理流程示意4 HTTP記錄和還原處理流程示意圖
具體實(shí)施例方式如圖1��、圖2���、圖3��、圖4所示���,以一個(gè)局域網(wǎng)絡(luò)環(huán)境運(yùn)行為例,描述其實(shí)施方式這個(gè)局域網(wǎng)由以太網(wǎng)技術(shù)構(gòu)建�����,在這個(gè)局域網(wǎng)中有一臺(tái)內(nèi)部服務(wù)器���,開設(shè)了WEB服務(wù)�,F(xiàn)TP服務(wù)和telnet服務(wù)�。在局域網(wǎng)上有一臺(tái)工控PC機(jī),采用linux系統(tǒng)�����,上面安裝了采用本發(fā)明所述的遠(yuǎn)程用戶操作過(guò)程記錄和還原方法的網(wǎng)絡(luò)監(jiān)視軟件,并裝有WEB SERVER�����;局域網(wǎng)中的網(wǎng)絡(luò)管理員可以采用瀏覽器通過(guò)裝載在工控機(jī)上的WEB SERVER查閱還原后的數(shù)據(jù)�����。
在此環(huán)境中假定Internet上的某個(gè)黑客通過(guò)telnet登錄到局域網(wǎng)內(nèi)部服務(wù)器上����,采用vi編制了一個(gè)利用buffer overflow的程序�����,并通過(guò)運(yùn)行root權(quán)限���;用戶PC1采用FTP登錄到局域網(wǎng)內(nèi)部服務(wù)器上����,進(jìn)入pub目錄���,下載了該目錄中的名為xxx和yyy的文件����;用戶PC2采用瀏覽器,連接到Internet瀏覽與工作無(wú)關(guān)的網(wǎng)站����,假定瀏覽的url為http//www.nowork.com/index.html,此頁(yè)面中包含兩個(gè)GIF文件http//www.nowork.com/index.html/image/gif1.gif�,http//www.nowork.com/image/gif2.gif;采用本發(fā)明的方法能夠完全還原以上情況中的全部操作內(nèi)容�����,以下是具體處理流程����。
●系統(tǒng)設(shè)置和前期準(zhǔn)備;網(wǎng)絡(luò)管理員將工控機(jī)上的網(wǎng)絡(luò)監(jiān)視軟件的各項(xiàng)進(jìn)行調(diào)整��,設(shè)置網(wǎng)卡模式���,設(shè)置過(guò)濾規(guī)則����,對(duì)局域網(wǎng)內(nèi)部服務(wù)器和Internet的通信進(jìn)行記錄和還原�。
●對(duì)實(shí)例中telnet的記錄的記錄和還原
當(dāng)Internet上的黑客進(jìn)行telnet操作時(shí)����,整個(gè)操作過(guò)程被telnet軟件自動(dòng)分解成為系列的網(wǎng)絡(luò)數(shù)據(jù)包���,這些數(shù)據(jù)包為工控機(jī)的網(wǎng)卡收集到��,并傳送到采用本發(fā)明的方法的軟件中�����。
1.如圖2中的處理流程所描述的����,對(duì)于獲取到的每一個(gè)telnet網(wǎng)絡(luò)數(shù)據(jù)包��,將根據(jù)上述的方法分析這個(gè)數(shù)據(jù)包中所包含的是遠(yuǎn)程用戶輸入的數(shù)據(jù)包還是回顯的數(shù)據(jù)包���。
2.對(duì)于獲取到的每一個(gè)telnet網(wǎng)絡(luò)數(shù)據(jù)包,系統(tǒng)將查找telnet連接狀態(tài)表�����,根據(jù)telnet連接信息狀態(tài)表中的信息來(lái)判斷當(dāng)前的數(shù)據(jù)包是否屬于非法包或者重復(fù)包���。如果屬于重復(fù)包或者非法數(shù)據(jù)包則丟棄���,如果是合法包�,則根據(jù)telnet連接信息狀態(tài)表中的內(nèi)容���,以及TCP/IP協(xié)議規(guī)范��,將當(dāng)前數(shù)據(jù)包中的內(nèi)容和以前的內(nèi)容拼接��,并根據(jù)telnet傳輸過(guò)程文件的格式寫入telnet傳輸過(guò)程文件�。
3.最終生成的telnet傳輸過(guò)程文件名為telnet_202.234.32.4_1302_203.120.96.4_23.tel�,文件由一條條telnet信息記錄構(gòu)成,每一條記錄包含了時(shí)標(biāo)信息和具體的內(nèi)容���。
4.管理員通過(guò)瀏覽器看到由202.234.32.4向局域網(wǎng)服務(wù)器進(jìn)行telnet操作的報(bào)警�,點(diǎn)擊相應(yīng)的記錄��,瀏覽器將telnet_202.234.32.4_1302_203.120.96.4_23.tel獲取到PC上����,并自動(dòng)調(diào)用telnet操作過(guò)程回放插件。
5.telnet回放插件啟動(dòng)后���,進(jìn)入telnet模擬回放總控程序�,該程序從telnet_202.234.32.4_1302_203.120.96.4_23.tel文件中提取還原后的telnet操作數(shù)據(jù),并啟動(dòng)一個(gè)telnetd模擬服務(wù)端進(jìn)程和一個(gè)telnet模擬客戶端進(jìn)程���,并在這兩者之間建立本地連接��。
6.telnetd模擬服務(wù)端進(jìn)程啟動(dòng)后����,在telnet模擬回放總控程序的控制下���,逐條讀取telnet信息記錄�����,并根據(jù)時(shí)標(biāo)信息�����,逐條定時(shí)地將界面模擬數(shù)據(jù)發(fā)送到telnet模擬客戶進(jìn)程。
7.管理員通過(guò)telnet模擬客戶進(jìn)程的窗口中看到顯示黑客采用telnet操作的編輯黑客軟件��,并運(yùn)行獲得超級(jí)用戶權(quán)限的全過(guò)程�����。
●對(duì)實(shí)例中FTP的記錄的記錄和還原
1.如圖3中的處理流程所描述的,用戶PC1的采用FTP登錄內(nèi)部服務(wù)器的所有數(shù)據(jù)包將會(huì)被采用本發(fā)明的軟件獲得����,對(duì)于FTP操作控制連接中的所有數(shù)據(jù),軟件將全部記錄�,并通過(guò)分析FTP操作語(yǔ)句來(lái)判斷文件傳輸連接的標(biāo)示。
當(dāng)用戶PC1獲取xxx文件時(shí)��,將有PORT 203��,120�����,96��,123��,1253的命令RETRxxx的命令�����,當(dāng)獲取到這些命令�����,系統(tǒng)將在FTP文件傳輸連接狀態(tài)表中添加相應(yīng)表項(xiàng),描述202.120.96.420到203.120.96.1231253的連接標(biāo)示����。
2.服務(wù)器上的FTP Server軟件將建立一條202.120.96.420到203.120.96.1231253的TCP連接,通過(guò)這條連接將文件xxx發(fā)送到用戶PC1���。這些數(shù)據(jù)包為工控機(jī)所截獲�����,并在FTP文件傳輸連接狀態(tài)中匹配到�����,將會(huì)全部記錄下來(lái)�。
3.當(dāng)用戶PC1獲取yyy文件時(shí)���,也會(huì)根據(jù)2���,3的流程截獲�。
4.系統(tǒng)最終生成的記錄文件包括記錄FTP操作過(guò)程的ftp_202_120_96_123_1252_202.120.96.4_21 control.html文件����,ftp_202_120_96_123_1252_202.120.96.4_21_xxx文件和ftp_202_120_96_123_1252_202.120.96.4_21_yyy文件����,其中ftp_202_120_96_123_1252_202.120.96.4_21_control.html文件含有對(duì)ftp_202_120_96_123_1252_202.120.96.4_21_xxx和ftp_202_120_96_123_1252_202.120.96.4_21_yyy文件的超級(jí)鏈接。
5.網(wǎng)絡(luò)管理員通過(guò)瀏覽器發(fā)現(xiàn)FTP的記錄��,00點(diǎn)擊后將顯示ftp_202_120_96_123_1252_202.120.96.4_21_control.html文件���,此文件顯示FTP操作的全過(guò)程���,點(diǎn)擊此頁(yè)面中的xxx文件則將獲得xxx文件的內(nèi)容,點(diǎn)擊此頁(yè)面中的yyy文件則將獲得yyy文件的內(nèi)容�。
●對(duì)實(shí)例中HTTP的記錄的記錄和還原1.如圖4中的處理流程所描述的,當(dāng)用戶PC2訪問(wèn)Internet上與工作無(wú)關(guān)的網(wǎng)頁(yè)時(shí)�,相關(guān)的數(shù)據(jù)包將被工控機(jī)獲取,針對(duì)每個(gè)HTTP數(shù)據(jù)包��,系統(tǒng)將進(jìn)行記錄和還原�����。
2.系統(tǒng)將全面截獲3條HTTP連接,一條是下載http//www.nowork.com/index.html文件的���,一條是下載http//www.nowork.com/image/gif1.gif文件的����,還有一條是下載http//www.nowork.com/image/gif2.gif文件的����。
3.針對(duì)這三條連接,首先完成截獲的是下載http//www.nowork.com/index.html的連接����,生成響應(yīng)的本地文件http_203.120.96.124_1532_192.1.223.65_80_1_index.html,根據(jù)這個(gè)文件中引用image/gif1.gif和image/gif2.gif的超級(jí)鏈接�����,在本地化鏈接索引文件中建立含有如下內(nèi)容的表項(xiàng)filenamehttp_203.120.96.124_1532_192.1.223.65_80_1_index.htmlurlhttp//www.nowork.com/index.htmllinked_urlhttp//www.nowork.com/image/gif1.gif�����,http//www.nowork.com/image/gif2gif4.系統(tǒng)完成對(duì)傳輸http//www.nowork.com/image/gif1.gif文件的HTTP連接的數(shù)據(jù)記錄后���,生成http_203.120.96.124_1533_192.1.223.65_80_1_image_gif1.gif文件�����,并且根據(jù)傳輸此文件是GET命令中的內(nèi)容確定此文件對(duì)應(yīng)的url為http//www.nowork.com/image/gif1.gif�����;在查找本地化鏈接索引文件中的相關(guān)記錄時(shí)����,發(fā)現(xiàn)http_203.120.96.124_1532_192.1.223.65_80_1_index.html文件中含有對(duì)http//www.nowork.com/image/gif1.gif的超級(jí)鏈接�,則將這個(gè)文件中的所有該超級(jí)鏈接改為指向http_203.120.96.124_1533_192.1.223.65_80_1_image_gif1.gif的超級(jí)鏈接。并在本地化鏈接索引文件linked_url中刪除http//www.nowork.com/image/gif1.gif記錄���。
5.系統(tǒng)完成對(duì)傳輸http//www.nowork.com/image/gif2.gif文件的HTTP連接的數(shù)據(jù)記錄后�����,將采用和4類似的方法處理�����。最終將本地化鏈接索引文件中的相關(guān)表項(xiàng)刪除���。
6.系統(tǒng)在工控機(jī)上形成http_203.120.96.124_1532_192.1.223.65_80_1_index.html,http_203.120.96.124_1532_192.1.223.65_80_1_image_gif1.gif,http_203.120.96.124_1532_192.1.223.65_80_1_image_gif2.gif三個(gè)文件����,并且第一個(gè)文件超級(jí)鏈接到第二、第三個(gè)文件���。
7.管理員通過(guò)瀏覽器發(fā)現(xiàn)用戶PC2瀏覽與工作無(wú)關(guān)的網(wǎng)站的記錄�,進(jìn)入http_203.120.96.124_1532_192.1.223.65_80_1_index.html文件后可以看到用戶PC2所瀏覽的頁(yè)面的還原好的全部頁(yè)面內(nèi)容��。
權(quán)利要求
1.一種遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法��,其特征在于主要針對(duì)解決網(wǎng)頁(yè)瀏覽�����,文件傳輸和遠(yuǎn)程登錄的遠(yuǎn)程操作記錄和還原問(wèn)題�,主要采用的網(wǎng)絡(luò)協(xié)議是HTTP,F(xiàn)TP�,telnet,因此本發(fā)明主要是對(duì)以上三個(gè)協(xié)議的記錄和還原�,主要包括記錄用戶通過(guò)HTTP協(xié)議遠(yuǎn)程訪問(wèn)網(wǎng)頁(yè)過(guò)程中的所有操作,并還原用戶所有看到和下載的網(wǎng)頁(yè)中的全部?jī)?nèi)容��,以及提交的所有信息內(nèi)容�����;記錄用戶通過(guò)FTP協(xié)議遠(yuǎn)程傳輸文件過(guò)程中的所有操作,包括下載�����,列目錄�����,上載文件�����,刪除文件�����,重命名文件等��,并將與操作相關(guān)的所有文件的內(nèi)容還原出來(lái)��,并與相關(guān)的操作建立聯(lián)系�;記錄用戶通過(guò)telnet進(jìn)行的遠(yuǎn)程登錄操作�����,還原用戶的模擬終端中的所有動(dòng)態(tài)界面以及輸入的指令。
2.根據(jù)權(quán)利要求1所述的這種遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法�,其特征是以下對(duì)telnet方式的遠(yuǎn)程登錄的操作過(guò)程進(jìn)行記錄和還原作進(jìn)一步限定telnet記錄和還原模塊通過(guò)接收網(wǎng)絡(luò)上的telnet原始數(shù)據(jù)包,根據(jù)TCP/IP協(xié)議進(jìn)行拼裝�����,telnet傳輸過(guò)程文件即����。tel后綴文件,文件通過(guò)WEB Server和瀏覽器傳輸?shù)焦芾韱T的瀏覽器中����,并根據(jù).tel后綴調(diào)用telnet過(guò)程回放插件,回放出所有的telnet操作過(guò)程①對(duì)于獲取到得telnet網(wǎng)絡(luò)數(shù)據(jù)包�,首先根據(jù)telnet協(xié)議分析這個(gè)數(shù)據(jù)包中所包含的是遠(yuǎn)程用戶輸入的數(shù)據(jù)包還是回顯的數(shù)據(jù)包,輸入和回顯數(shù)據(jù)包在寫入telnet傳輸過(guò)程文件時(shí)將采用不同的標(biāo)記�;②查找telnet連接狀態(tài)表,根據(jù)telnet連接信息狀態(tài)表中的信息來(lái)判斷當(dāng)前的數(shù)據(jù)包是否屬于非法包或者重復(fù)包��,如果屬于重復(fù)包或者非法數(shù)據(jù)包則轉(zhuǎn)③����,如果是合法數(shù)據(jù)包則轉(zhuǎn)④����;③丟棄非法數(shù)據(jù)包����,準(zhǔn)備獲取下一個(gè)數(shù)據(jù)包,轉(zhuǎn)①�;④根據(jù)telnet連接信息狀態(tài)表中的內(nèi)容,以及TCP/IP協(xié)議規(guī)范��,將當(dāng)前數(shù)據(jù)包中的內(nèi)容和以前的內(nèi)容拼接�����,并根據(jù)telnet傳輸過(guò)程文件的格式寫入telnet傳輸過(guò)程文件�,在寫入內(nèi)容中包含時(shí)標(biāo)信息����;⑤管理員通過(guò)瀏覽器和WEB Server,查詢和獲取到相應(yīng)的telnet傳輸過(guò)程文件�����,瀏覽器根據(jù)文件后綴名自動(dòng)調(diào)用telnet過(guò)程回放插件��;⑥telnet回放插件啟動(dòng)后,進(jìn)入telnet模擬回放總控程序���,該程序從telnet傳輸過(guò)程文件中提取還原后的telnet操作數(shù)據(jù)����,并啟動(dòng)一個(gè)telnetd模擬服務(wù)端進(jìn)程和一個(gè)telnet模擬客戶端進(jìn)程�����,并在這兩者之間建立本地連接�;⑦telnetd模擬服務(wù)端進(jìn)程啟動(dòng)后,在telnet模擬回放總控程序的控制下��,逐條讀取telnet信息記錄�,并根據(jù)時(shí)標(biāo)信息,逐條定時(shí)地將界面模擬數(shù)據(jù)發(fā)送到telnet模擬客戶進(jìn)程��;⑧telnet模擬客戶進(jìn)程根據(jù)收到的界面模擬數(shù)據(jù)����,顯示telnet操作的全過(guò)程。
3.根據(jù)權(quán)利要求1所述的這種遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法�,其特征是每一次完整的FTP操作由一條FTP操作控制連接若干個(gè)文件傳輸連接組成,F(xiàn)TP操作控制連接用于傳輸各種指令和顯示指令執(zhí)行的結(jié)果����,文件傳輸連接用于真正傳輸相關(guān)的文件����,文件傳輸連接與FTP操作控制之間的對(duì)應(yīng)關(guān)系主要是通過(guò)FTP操作連接中的指令和結(jié)果來(lái)對(duì)應(yīng)起來(lái)的����,因此對(duì)FTP的記錄和還原主要需要解決不同連接之間的對(duì)應(yīng)關(guān)系;FTP記錄和還原模塊主要采用的方法是通過(guò)在分析FTP操作控制連接中的指令來(lái)確定將要建立的文件傳輸連接的標(biāo)示�,同時(shí)在不同的文件中記錄FTP操作控制連接和相關(guān)的文件傳輸連接,并在采用HTML生成的FTP操作過(guò)程記錄文件�,通過(guò)超級(jí)連接將記錄下的不同連接的內(nèi)容聯(lián)系起來(lái);
4.根據(jù)權(quán)利要求1或3所述的這種遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法����,其特征是以下對(duì)FTP記錄和還原的處理流程進(jìn)一步限定①FTP記錄和還原模塊收到一個(gè)FTP數(shù)據(jù)包�,將首先判斷它是屬于FTP操作控制連接的還是文件傳輸連接的,如果屬于文件傳輸連接�����,則轉(zhuǎn)⑦����,否則轉(zhuǎn)②�;②根據(jù)FTP操作控制連接狀態(tài)表中的信息��,將這個(gè)數(shù)據(jù)包內(nèi)容拼接到FTP操作過(guò)程記錄文件中���;③分析這個(gè)數(shù)據(jù)包中的FTP操作指令��,某些指令是預(yù)示著將要建立新的文件傳輸連接(如PORT指令)�,如果要將建立文件傳輸連接則轉(zhuǎn)⑥���,否則轉(zhuǎn)④��;④判斷是否整個(gè)FTP操作過(guò)程結(jié)束���,如果未結(jié)束則轉(zhuǎn)①,接受下一個(gè)數(shù)據(jù)包����,否則轉(zhuǎn)⑤;⑤關(guān)閉FTP操作過(guò)程記錄文件����,并將這個(gè)文件作適當(dāng)?shù)恼{(diào)整,主要是增加HTML的頭部和尾部信息,使它成為一個(gè)HTML文檔����,記錄和還原過(guò)程結(jié)束;⑥在FTP文件傳輸連接信息狀態(tài)表中建立新的表項(xiàng)�,這個(gè)表項(xiàng)包含了根據(jù)FTP操作指令而確定的連接標(biāo)示即源/目的IP與端口,此外還將建立相應(yīng)的傳輸記錄文件�,這個(gè)文件的名字也根據(jù)FTP指令中的信息來(lái)確定,并在FTP操作過(guò)程記錄文件中以超級(jí)連接方式寫入相關(guān)傳輸記錄文件的文件名���,把這些文件通過(guò)超級(jí)連接聯(lián)系起來(lái)����;⑦根據(jù)收到的文件傳輸數(shù)據(jù)包��,查找FTP文件傳輸連接狀態(tài)表����,如果此數(shù)據(jù)包匹配到相應(yīng)的表項(xiàng),則拼接到相應(yīng)的傳輸記錄文件中�����;⑧判斷這個(gè)文件傳輸連接是否結(jié)束�����,如果結(jié)束則關(guān)閉相應(yīng)傳輸記錄文件��,刪除FTP文件傳輸連接控制表的相應(yīng)標(biāo)項(xiàng)�����,轉(zhuǎn)①�;⑨網(wǎng)絡(luò)管理員通過(guò)WEB Server和Browser瀏覽FTP操作過(guò)程記錄文件,由于它是一個(gè)html文件��,并且包含所有指向相關(guān)傳輸記錄文件的超級(jí)連接����,所以通過(guò)這個(gè)文件可以瀏覽到所有相關(guān)的傳輸記錄文件。
5.根據(jù)權(quán)利要求1所述的這種遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法�,其特征是HTTP記錄和還原采用HTTP瀏覽一個(gè)網(wǎng)站或者進(jìn)行某些操作,通常由瀏覽器向WEB Server發(fā)送HTTP的指令����,其中GET和POST是用得最多的指令,發(fā)送指令之后����,WEB Server遵循HTTP協(xié)議向?yàn)g覽器發(fā)送HTML文件,瀏覽器獲得HTML文件后,根據(jù)此文件中的相關(guān)超級(jí)連結(jié)信息�,對(duì)于嵌入式的圖片和多幀信息,再次發(fā)送出HTTP指令�,獲取相應(yīng)的圖片和多幀信息,獲取這些信息之后在頁(yè)面相應(yīng)的位置顯示出來(lái)���,在一個(gè)頁(yè)面中的多個(gè)圖片可以同時(shí)傳輸�;針對(duì)HTTP瀏覽的方式�,HTTP記錄和還原模塊主要采用的方法是先將所有的文件拼接分別拼接,包括一個(gè)頁(yè)面中的HTML文檔和圖片文件��,形成獨(dú)立的文檔���,然后將將HTML頁(yè)面中的超級(jí)連接替換���,指向本地存放的文件,在本地形成一個(gè)HTML文檔體系�����。
6.根據(jù)權(quán)利要求1或5所述的這種遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法���,其特征是以下進(jìn)一步對(duì)HTTP記錄和還原的處理流程進(jìn)行限定①HTTP記錄和還原模塊當(dāng)獲取到一個(gè)HTTP數(shù)據(jù)包,判斷它是否屬于HTTP協(xié)議中的GET或POST命令,如果是�����,則轉(zhuǎn)②�����,否則轉(zhuǎn)②��;②對(duì)GET或POST命令��,則預(yù)示著要傳輸一個(gè)新的HTML或者其他圖片/聲音文件��,因此將根據(jù)GET/POST的命令的具體參數(shù)���,建立新的HTTP連接狀態(tài)表項(xiàng)����,轉(zhuǎn)①����;③收到的數(shù)據(jù)包是某個(gè)HTTP連接的傳輸內(nèi)容,根據(jù)HTTP連接狀態(tài)表����,將這個(gè)數(shù)據(jù)包拼接到相應(yīng)的HTTP記錄文件中�����;④判斷當(dāng)前的HTTP連接的傳輸是否結(jié)束����,如果結(jié)束則轉(zhuǎn)⑤���,否則轉(zhuǎn)①����;⑤關(guān)閉當(dāng)前連接所對(duì)應(yīng)的HTTP記錄文件�����,刪除HTTP連接狀態(tài)表中的相應(yīng)表項(xiàng)���,在本地化鏈接索引文件中查找引用此文件所對(duì)應(yīng)的URL的其他HTTP記錄文件��;⑥在所有引用此文件所對(duì)應(yīng)的URL所對(duì)應(yīng)的HTTP記錄文件中進(jìn)行修改����,將其中引用此文件所對(duì)應(yīng)的URL的超級(jí)鏈接改為指向此文件;⑦修改本地化鏈接索引文件��,刪除其中對(duì)本文件所對(duì)應(yīng)的URL的引用記錄���,對(duì)于某些已經(jīng)沒有需要本地化鏈接的記錄進(jìn)行刪除;根據(jù)本文件中所引用的URL���,添加一條反映本文件超級(jí)鏈接列表的新的索引記錄��;⑧管理員通過(guò)WEB Server和Browser可以瀏覽已經(jīng)還原并形成本地HTML文檔體系的頁(yè)面����。
全文摘要
遠(yuǎn)程用戶操作過(guò)程記錄和還原的方法主要針對(duì)解決網(wǎng)頁(yè)瀏覽,文件傳輸和遠(yuǎn)程登錄的遠(yuǎn)程操作記錄和還原問(wèn)題,主要采用的網(wǎng)絡(luò)協(xié)議是HTTP,FTP,telnet,因此本發(fā)明主要是對(duì)以上三個(gè)協(xié)議的記錄和還原,主要包括:記錄用戶通過(guò)HTTP協(xié)議遠(yuǎn)程訪問(wèn)網(wǎng)頁(yè)過(guò)程中的所有操作,并還原用戶所有看到和下載的網(wǎng)頁(yè)中的全部?jī)?nèi)容,以及提交的所有信息內(nèi)容;記錄用戶通過(guò)FTP協(xié)議遠(yuǎn)程傳輸文件過(guò)程中的所有操作,包括下載,列目錄,上載文件,刪除文件,重命名文件等,并將與操作相關(guān)的所有文件的內(nèi)容還原出來(lái),并與相關(guān)的操作建立聯(lián)系;記錄用戶通過(guò)telnet進(jìn)行的遠(yuǎn)程登錄操作,還原用戶的模擬終端中的所有動(dòng)態(tài)界面以及輸入的指令�����。
文檔編號(hào)G06F17/00GK1350249SQ0113903
公開日2002年5月22日 申請(qǐng)日期2001年12月4日 優(yōu)先權(quán)日2001年12月4日
發(fā)明者吳承榮, 張世遠(yuǎn), 黃偉, 梁瑾 申請(qǐng)人:上海復(fù)旦光華信息科技股份有限公司