CN101562603B - 一种通过回显解析telnet协议的方法及系统 - Google Patents
一种通过回显解析telnet协议的方法及系统 Download PDFInfo
- Publication number
- CN101562603B CN101562603B CN2008101043206A CN200810104320A CN101562603B CN 101562603 B CN101562603 B CN 101562603B CN 2008101043206 A CN2008101043206 A CN 2008101043206A CN 200810104320 A CN200810104320 A CN 200810104320A CN 101562603 B CN101562603 B CN 101562603B
- Authority
- CN
- China
- Prior art keywords
- echo
- special keyword
- telnet
- sensitive data
- keyword symbol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种通过回显解析telnet协议的方法及系统,是一种用于入侵检测和入侵防御IDS/IPS以及审计产品中重要的协议解析方法及系统。包括:特殊关键字符处理模式库、特殊字符分析器、telnet数据包过滤器、回显敏感数据解析器,其运行特征包括步骤:特殊关键字符处理模式的建立子步骤;telnet数据过滤与提取子步骤;回显敏感数据的深度解析子步骤。本发明解决了传统IDS/IPS产品中仅仅依赖对所有telnet请求数据包的载荷部分进行解析的完整性问题,提高了telnet协议解析的准确性和性能。本发明具有telnet协议解析完整性好和准确率高优点,可广泛应用于IDS/IPS、审计等网络安全产品中。
Description
技术领域
本发明涉及一种telnet协议解析方法及系统,是一种以解析服务端回显为特征的,能够处理用户输入特殊控制字符的协议解析方法和系统。是一种入侵检测/防御(Intrusion Detection/Protection System,IDS/IPS)及审计产品中的telnet协议解析方法及系统。
背景技术
目前,网络入侵检测系统和网络入侵防御系统是防护网络安全的重要方式和手段,通常部署在关键网络内部入口或者网络边界入口处,实时监控和捕获进出网络的网络数据流并进行智能综合分析,发现实时网络入侵行为并进行实时的阻断或者报警等响应措施。审计产品同样是网络安全防护中,很重要的一种方式和手段,审计产品也是部署在关键网络内部或者网络边界入口处,旁路监听网络中实时的数据流并进行智能综合分析,从而来监控网络中系统、设备等是否运行正常、保护公司的重要资产。
应用层协议深层解析技术在当前主流IDS/IPS产品和审计产品中被广泛采用,可用来实现基于协议攻击特征和协议异常的入侵检测,也可用来实现审计产品对应用层服务的审计和监视功能。目前多数IDS/IPS采用通过分析用户输入来进行对应用层协议进行解析。Telnet协议解析就很具有普遍性。很多IDS/IPS、审计产品都是通过用户输入来对telnet协议进行解析。用户在进行telnet登录、操作的过程中,并不是只是使用可打印的字符和数字,很多时候,用户会使用上、下、左、右、删除、Tab、空格等键,在进行telnet协议解析的时候按照用户输入来进行解析的,会出现解析不完整。比如:用户登录上telnet服务器进行操作,第一次输入ls,第二次用户输入向上的控制键,那么解析的时候就会出错,解析出来的是不可打印的字符,实际上正确的解析结果应该是ls。目前大多IDS/IPS、审计产品中telnet协议解析系统,都是通过采集telnet用户输入的数据直接进行分析、处理,用户输入的控制特殊字符都无法正常解析或则解析不完整。
发明内容
本发明克服了现有技术的不足,提出了一种通过回显解析telnet协议的方法及系统。所述的通过回显解析telnet协议的技术可以满足:尽可能多的准确识别telnet用户操作回显的敏感数据包并实施相应的过滤、提取以提高协议解析系统的准确性和性能;尽可能多的添加特殊字符以及对特殊字符的处理模式;具有很高的协议解析效率,算法实现尽可能简单;具有很好的扩展性,能够处理不同版本的telnet应用协议。
为了解决上述技术问题,本发明是通过以下技术方案实现的:一种通过回显解析telnet协议的方法,其关键包含以下步骤:
特殊关键字符处理模式的建立步骤:需找、生成特殊字符以及特殊字符处理;
telnet数据过滤与提取步骤:过滤telnet协议数据包,提取敏感数据;
回显敏感数据的深度解析步骤:结合特殊关键字符库以及特殊关键字符处理模式,分析、处理敏感数据得出解析结果;
一种通过回显解析telnet协议的系统,
其关键在于包含有:
对于不同telnet服务环境,分析特殊控制字符的统一模式的特殊字符分析器;
存储特殊字符特殊字符的特征字符库。
根据特殊字符分析器分析得出的特殊字符的统一模式,生成对特殊字符的统一处理模式的特殊字符生成器;
储存特殊字符对应的统一处理模式的特殊字符处理模式库;
根据关键特征字符对telnet回应数据包进行过滤操作的回显数据过滤器;
对收到的回显敏感数据进行相应处理得出结果并返回结论的回显敏感数据解析器。
所述的特殊字符分析器与特征字符库连接,特征字符库与特殊字符生成器连接,所述的特殊字符生成器与特殊字符处理模式库连接,所述的特殊字符处理模式库与回显敏感数据解析器连接,回显数据过滤器接收包含特殊字符的Telnet数据包后连接回显敏感数据解析器。
本发明产生的有益效果是:解决了传统IDS/IPS产品中仅仅依赖对所有telnet请求数据包的载荷部分进行解析的性能问题,可以直接高效的检测并过滤掉请求方向以及回应方向没有敏感数据的数据包,而无需再对非敏感数据包的数据载荷部分进行匹配检测。本发明采用了功能强大的特殊字符分析器,可以处理用户在不同telnet服务环境下输入的特殊控制字符,可以解决目前大多telnet协议解析无法完成的对特殊字符的处理功能,使telnet协议解析变得更加的完善。本发明具有telnet协议解析速度快和准确率高等优点,可广泛应用于IDS/IPS、审计等网络安全产品中。
附图说明
图1回显解析telnet协议系统示意图;
图2特殊关键字符处理模式的建立图;
图3数据过滤与提取图;
图4深度解析敏感数据图。
下面结合附图和具体实施例对本发明作进一步说明。
具体实施方式
实施例一:
本实施例为通过回显解析telnet协议方法的基本模式,使用的系统如图1所示。包括特殊字符分析器、特殊字符生成器、特殊字符处理模式库、回显数据过滤器、回显敏感数据解析器。
一种通过回显解析telnet协议的方法,包含以下步骤:
①特殊关键字符处理模式建立子步骤,以网络telnet数据包作为输入,特殊字符分析器过滤、分析特殊字符,归纳并将特殊字符入特征字符库,特殊字符生成器从特殊字符库提取特殊关键字符,分析每类特殊关键字符,得出每类特殊关键字符的处理模式。
②数据过滤与提取子步骤,分析telnet请求数据包和回应数据包,寻找、提取敏感数据的特征标识。在请求数据包中寻找特征标识来判断是否开始记录回应数据包中的敏感数据。在回应数据包方向上,寻找特征标识判断是否结束记录回应数据包中的敏感数据。
③回显敏感数据的深度解析子步骤,深度解析敏感数据。预处理敏感数据,使回显敏感数据解析器的入口输入数据符合规则。判断是否存在特殊字符模式,如果存在则查询特殊字符处理模式库,找到特殊字符模式对应的处理模式。最后,将敏感回显数据输入特殊字符处理模式对应的函数进行处理,并得到解析结果。
实施例二:
本实施例为实施例一中分析特殊字符、生成特殊字符的统一处理模式子步骤。主要包括特殊字符分析器、特殊字符生成器,运行流程如图2所示。以网络中telnet协议数据包作为输入,特殊字符分析器过滤、分析特殊关键字符,分类、归纳并将特殊字符统一入库。特殊字符生成器从特殊字符库提取特殊关键字符,分析每类特殊关键字符,得出每类特殊关键字符的处理模式,为深度处理敏感数据时做好准备。
特殊关键字符处理模式的建立步骤中的子步骤包括:
对于不同telnet服务环境,过滤并提取Telnet用户键入上、下、左、右、Backspace、Tab、Blank控制字符,过滤得到上述控制字符的回显,以此作为初始特殊字符规则的子步骤;
调用特殊字符分析器对初始特殊字符规则进行分析,寻找控制字符回显的统一模式子步骤;
特殊字符处理模式生成器以特殊字符分析器分析出的控制字符回显的统一模式作为输入,生成控制字符回显的统一处理模式子步骤。
特殊字符以及其处理模式举例:
对于不同的操作系统、不同的telnet应用服务版本,可以分析提取特殊字符,比如:
用户在登录telnet服务器后进行操作,分别输入上、下、左、右、Backspace、Tab、Blank等键,对应与不同的操作系统下的telnet服务器,会有不同的特殊字符回显。具体举例如下:
表1
特殊字符分析器过滤telnet数据包得到表1中的特殊字符,分析表中的特殊字符:
/033[A、/033[B、/033[C、/033[D、/033[K、/033[P,这些特殊字符可以归纳为一类:/033[X,其中X代表任意的字母;对于不同的X值,代表不同的含义。
/033[x;yHls/033[y+2、/033[x;yH/033[y+1、/033[x;yH,这些特殊字符串可以归纳为一类:/033[x;yHX/033[x;y+1H,其中0<=x<=23、0<=y<=80,X为任意字母,x、y分别代表的是二维平面上横轴和纵轴上的值,一对x、y值就可以确定显示屏幕上确切的一点;对于不同的X值,表示在x、y值确定的屏幕上确切的点上显示的字符。
将特殊字符分析器分析得出的每类特殊字符作为输入传递给特殊字符提取器进行处理,得到每类特殊字符的处理模式:
对于/033[X类型特殊字符的处理方式:/033字符不做任何处理;处理’[’字符,判断前一个字符是否为/033,如果是,那么将状态置为等待字符状态,如果不是,那么不做任何处理,直接跳过;处理X字符之前,判断目前状态是否处于等待字符状态,以判断是否前两个字符为/033[,如果是,那么根据具体的X值进行处理,如果不是,那么不做任何处理;对于不同的X值,处理方式各有不同,对于不同取值,处理方式如下(如表2所示):
表2
对于/033[x;yHXX/033[x;y+2类型特殊字符处理方式:先模式匹配/033[x;y,取得y值,判断后续紧接着字符是否是H,如果是,将状态跳转置等待敏感字符串状态;在H后的数据都是需要关注的敏感数据,直到出现/033[x;y+n,(n是指出现敏感字符的个数),这时,再取得y+n的值,将n个敏感字符存放至特定数组下标从y到y+n的位置。在/033[x;y中,x、y值分别代表的是横轴和纵轴上的值,可以确定一个点,这里只是关注纵轴上的值,一般用户输入不会超过一行80个字符。处理/033[x;y这种模式的特殊字符串的时候,得到的y值就是目前光标所在的位置,同时也应该把特定数组的下标设定为y值。
实施例三:
本实施例为实施例一中telnet数据过滤与提取子步骤的优先方案,运行流程如图3所示。根据Telnet网络数据包的方向进行过滤,对请求方向的数据包进行处理,寻找是否应该记录敏感数据的特征标识。对于响应方向的数据包,首先,应该查询记录敏感数据的特征标识;其次,根据特征标识,判断是否要对该响应方向的敏感数据进行记录以及处理。本过程重要的是寻找是否应该记录回应数据包的载荷部分的特征标识。寻找特征标识的数据源是请求数据包。
所述的telnet数据过滤与提取步骤中的子步骤包括:
过滤telnet网络数据包,提取telnet服务请求包,寻找是否记录回显敏感数据的特征子步骤;
读取是否记录回显敏感数据的特征,记录服务回显的敏感数据子步骤;
过滤telnet回显数据,寻找提交特征,提交记录的所有回显敏感数据作为下一步输入的子步骤。
用户在输入命令的第一个字符开始,到用户输入回车换行(\r\n),这个过程标志着用户输入完整的命令,输入动作结束。对应与从服务器回应的数据包同样也是,第一个字符的回显,到回车换行(\r\n)的回显。显然,从第一个字符的回显,到回车换行(\r\n)的回显之间的所有回显数据包都应该是本系统所关注的敏感数据,都应该存放至缓存。
举例:
用户要输入一条命令display。用户输入字符d的时候,那么应该标记找到了特征,需要开始记录以后从服务器回应的数据包的载荷部分,按序输入字符,输入y后,记录y的回显数据。此时,缓存里面记录了整个display命令的回显数据。用户输入完display命令后,输入回车换行(\r\n),服务器回应回车换行数据包。这时,标志着用户整个输入结束,修改特征标识为不记录回应数据包的敏感载荷部分。即使命令执行以后,服务器返回执行结果,也不会被记录。下次用户要输入命令的时候,比如ls。那么在输入1的时候,修改特征标识,开始记录回显数据,用户输入回车换行(\r\n),服务器回应\r\n的回显包,修改特征标识,停止记录回显数据。
实施例四:
本实施例为回显数据的深度解析子步骤的优先方案。
所述的回显敏感数据的深度解析步骤中的子步骤包括:
收到回显敏感数据后,回显敏感数据解析器查询特殊关键字符处理模式库,找到特殊关键处理模式子步骤;
根据得到的特殊关键字符处理模式,将收到的回显敏感数据输入相应函数进行处理,得到并返回解析结果子步骤。
运行流程如图4所示。
①收到敏感回显数据以后,进行预处理。
②将预处理得到的敏感回显数据作为输入,传递给特殊字符分析器进行分析,判断是否存在特殊字符模式,如果存在则查询特殊字符处理模式库,找到特殊字符模式对应的处理模式。
将敏感回显数据输入特殊字符处理模式对应的函数进行处理,并得到解析结果。
所述的特殊字符分析器与特殊字符生成器连接,所述的特殊字符生成器与特殊字符处理模式库连接,所述的特殊字符处理模式库与回显敏感数据解析器连接。
Claims (5)
1.一种通过回显解析telnet协议的方法,其特征包含以下步骤:
特殊关键字符处理模式的建立步骤;
telnet数据过滤与提取步骤;
回显敏感数据的深度解析步骤;
所述特殊关键字符处理模式的建立步骤进一步包括,以网络telnet数据包作为输入,特殊关键字符分析器过滤、分析特殊关键字符,归纳并将特殊关键字符存入特殊关键字符库,特殊关键字符提取器从特殊关键字符库提取特殊关键字符,分析每类特殊关键字符,得出每类特殊关键字符的处理模式,并将其存入特殊关键字符处理模式库;
所述telnet数据过滤与提取步骤进一步包括,分析telnet请求数据包和回应数据包,寻找、提取回显敏感数据的特征标识,在请求数据包中寻找特征标识来判断是否开始记录回应数据包中的回显敏感数据,在回应数据包方向上,寻找特征标识判断是否结束记录回应数据包中的回显敏感数据;
所述回显敏感数据的深度解析步骤进一步包括,深度解析回显敏感数据,预处理回显敏感数据,使回显敏感数据解析器的入口输入数据符合规则,判断是否存在特殊关键字符,如果存在则查询特殊关键字符处理模式库,找到特殊关键字符对应的处理模式,最后,将回显敏感数据输入特殊关键字符处理模式对应的函数进行处理,并得到解析结果。
2.根据权利要求1所述的一种通过回显解析telnet协议的方法,其特征在于所述的特殊关键字符处理模式的建立步骤中的子步骤:
对于不同telnet服务环境,过滤并提取telnet用户键入的上、下、左、右、Backspace、Tab、Blank控制字符,过滤得到上述控制字符的回显,以此作为初始特殊关键字符规则的子步骤;
调用特殊关键字符分析器对初始特殊关键字符规则进行分析,寻找控制字符回显的统一模式子步骤;
特殊关键字符提取器以特殊关键字符分析器分析出的控制字符回显的统一模式作为输入,生成控制字符回显的统一处理模式子步骤。
3.根据权利要求1所述的一种通过回显解析telnet协议的方法,其特征在于所述的telnet数据过滤与提取步骤中的子步骤:
过滤telnet网络数据包,提取telnet服务请求包,寻找是否记录回显敏感数据的特征子步骤;
读取是否记录回显敏感数据的特征,记录服务回显的敏感数据子步骤;
过滤telnet回显敏感数据,寻找记录的所有回显敏感数据,并提交该数据作为下一步输入的子步骤。
4.根据权利要求1或2所述的一种通过回显解析telnet协议的 方法,其特征在于所述的回显敏感数据的深度解析步骤中的子步骤:
收到回显敏感数据后,回显敏感数据解析器查询特殊关键字符处理模式库,找到特殊关键字符处理模式子步骤;
根据得到的特殊关键字符处理模式,将收到的回显敏感数据输入相应函数进行处理,得到并返回解析结果子步骤。
5.一种通过回显解析telnet协议的系统,该系统包含特殊关键字符分析器、特殊关键字符库、特殊关键字符提取器、特殊关键字符处理模式库、回显敏感数据解析器,其特征在于,通过以下步骤实现通过回显解析telnet协议:
特殊关键字符处理模式的建立步骤:以网络telnet数据包作为输入,特殊关键字符分析器过滤、分析特殊关键字符,归纳并将特殊关键字符存入特殊关键字符库,特殊关键字符提取器从特殊关键字符库提取特殊关键字符,分析每类特殊关键字符,得出每类特殊关键字符的处理模式,并将其存入特殊关键字符处理模式库;
telnet数据过滤和提取步骤:分析telnet请求数据包和回应数据包,寻找、提取回显敏感数据的特征标识,在请求数据包中寻找特征标识来判断是否开始记录回应数据包中的回显敏感数据,在回应数据包方向上,寻找特征标识判断是否结束记录回应数据包中的回显敏感数据;
回显敏感数据的深度解析步骤:深度解析回显敏感数据,预处理回显敏感数据,使回显敏感数据解析器的入口输入数据符合规则,判 断是否存在特殊关键字符,如果存在则查询特殊关键字符处理模式库,找到特殊关键字符对应的处理模式,最后,将回显敏感数据输入特殊关键字符处理模式对应的函数进行处理,并得到解析结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101043206A CN101562603B (zh) | 2008-04-17 | 2008-04-17 | 一种通过回显解析telnet协议的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101043206A CN101562603B (zh) | 2008-04-17 | 2008-04-17 | 一种通过回显解析telnet协议的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101562603A CN101562603A (zh) | 2009-10-21 |
| CN101562603B true CN101562603B (zh) | 2012-06-20 |
Family
ID=41221223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101043206A Expired - Fee Related CN101562603B (zh) | 2008-04-17 | 2008-04-17 | 一种通过回显解析telnet协议的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101562603B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546606B (zh) * | 2011-12-23 | 2014-12-31 | 华为数字技术(成都)有限公司 | Telnet命令过滤方法、网络安全设备和系统 |
| CN102868698B (zh) * | 2012-09-24 | 2015-03-25 | 汉柏科技有限公司 | 用于网络的防御方法及系统 |
| CN109597880A (zh) * | 2018-12-05 | 2019-04-09 | 北京天融信网络安全技术有限公司 | 一种针对敏感信息的数据处理方法及电子设备 |
| CN110572372B (zh) * | 2019-08-20 | 2021-12-10 | 武汉绿色网络信息服务有限责任公司 | 一种检测物联网设备遭受入侵的方法及检测装置 |
| CN113434564A (zh) * | 2020-03-23 | 2021-09-24 | 北京国双科技有限公司 | Mysql元数据访问方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1422039A (zh) * | 2001-11-29 | 2003-06-04 | 上海交通大学 | 可控计算机网络的分布式黑客追踪系统 |
| CN1450757A (zh) * | 2002-10-11 | 2003-10-22 | 北京启明星辰信息技术有限公司 | 网络入侵监测的方法和系统 |
| CN1842081A (zh) * | 2005-03-30 | 2006-10-04 | 华为技术有限公司 | 扩展巴克斯范式字符串模式匹配和解析的方法及装置 |
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
-
2008
- 2008-04-17 CN CN2008101043206A patent/CN101562603B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1422039A (zh) * | 2001-11-29 | 2003-06-04 | 上海交通大学 | 可控计算机网络的分布式黑客追踪系统 |
| CN1450757A (zh) * | 2002-10-11 | 2003-10-22 | 北京启明星辰信息技术有限公司 | 网络入侵监测的方法和系统 |
| CN1842081A (zh) * | 2005-03-30 | 2006-10-04 | 华为技术有限公司 | 扩展巴克斯范式字符串模式匹配和解析的方法及装置 |
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101562603A (zh) | 2009-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Khare et al. | Big data in IoT | |
| CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
| CN103023712B (zh) | 网页恶意属性监测方法和系统 | |
| US10216848B2 (en) | Method and system for recommending cloud websites based on terminal access statistics | |
| US8572016B2 (en) | Match engine for detection of multi-pattern rules | |
| CN101686239B (zh) | 一种木马发现系统 | |
| CN107368856B (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
| JP7120350B2 (ja) | セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム | |
| CN101562603B (zh) | 一种通过回显解析telnet协议的方法及系统 | |
| CN101639879A (zh) | 数据库安全监控方法、装置及其系统 | |
| CN102594825A (zh) | 一种内网木马的检测方法和装置 | |
| CN105159475B (zh) | 一种字符输入方法及装置 | |
| CN109190368B (zh) | 一种sql注入检测装置及sql注入检测方法 | |
| CN104618132A (zh) | 一种应用程序识别规则生成方法和装置 | |
| CN107958154A (zh) | 一种恶意软件检测装置及方法 | |
| WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
| CN103118035A (zh) | 分析网站访问请求参数合法范围的方法及装置 | |
| CN107733902A (zh) | 一种目标数据扩散过程的监控方法及装置 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN107070897A (zh) | 入侵检测系统中基于多属性哈希去重的网络日志存储方法 | |
| CN114598499B (zh) | 结合业务应用的网络风险行为分析方法 | |
| CN109753819B (zh) | 一种访问控制策略的处理方法和装置 | |
| CN106528805A (zh) | 基于用户的移动互联网恶意程序url智能分析挖掘方法 | |
| CN110837646A (zh) | 一种非结构化数据库的风险排查装置 | |
| CN109885708A (zh) | 证件图片的搜索方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120620 Termination date: 20190417 |