远程用户操作过程记录和还原的方法.pdf

远程用户操作过程记录和还原的方法
    技术领域：本发明涉及的是一种网络用户操作过程的还原方法，特别是一种远程用户操作过程记录和还原的方法，属于网络技术领域。

    背景技术：随着计算机网络技术的日益发展，网络应用已经普及到社会的各个角落。从Internet到各个办公室的OA系统，从实时控制系统到电子商务应用等，无不体现出网络的重要性。但是随着网络技术的大规模应用，使得某些问题日益明显地暴露出来，其中的一个重要问题就是网络的“不可见”性。由于网络是用于传输各类信息的通道，在网络上传输的数据是通过符合一定标准和规范的物理信号，而这些物理信号对于人眼来说是不可见地。也就是说在网络上传输了一些什么信息，人眼是无法直接看到的，不象在现实世界中的高速公路，人们可以直接观测发生的事故和车辆的外形。由于网络的不可见性，引发了一系列的安全问题：经文献检索，发现国际申请：PCT/US97/21322 1997.11.21国际公布：WO 98/22875英1998.5.28，申请人：计算机联合国际公司，发明名称：自动化网络监视和安全违规干预的方法和装置，发明人：丹尼尔.埃斯本森，该技术包括用于捕捉网络信息包和过滤无效信息包的处理程序过程，第一和第二连续分类的记录文档和用于扫描在网上发生的所有会话和检查特定规则存在的扫描过程。当符合规则而指示安全事故时，可以采用包括经过电子或其他邮件通知网络安全官员，或记录或终止网络会话等各种适当动作。监视系统完全独立于任何其他网络通信和网络文档服务器操作，因此对网络性能没有影响。现有的技术的缺陷：其本质上是一种实现网络入侵检测功能的方法和装置，其采用的方法概括如下：采用网络监听的方法从网络上获取原始数据包作为数据来源；采用两个记录文档的方式来扫描和捕获信息包；根据TCP/IP的协议规范，对数据包进行解码和会话重建；根据规则，通过会话扫描来判断安全违规操作；进行各种方式的报警。但是还存在以下的缺陷：1、没有实现对远程操作的完整还原和模拟回放；2、缺乏多个会话之间的联系。其他技术手段也有一定的缺陷，如：1、网络设备中的网管功能主要能够提供的是统计信息，而不是每个数据包的详细信息，因此只能提供宏观上的分析和观察功能，对网络故障分析有一定的作用，但对于监视特定的入侵行为和特定用户的操作不能提供有效的支持。2、网络监视仪能够对数据包的内容进行记录、解码和分析，但是这些工具是以数据包为单位的，而一个操作或者浏览的过程包括一系列的数据包，用户直接察看每个数据包只能获得零碎的信息，而且对于非文本的信息(如图像，声音，模拟终端中的控制信息)是无法观察的。3、屏幕监视系统能够管理员直观地看到网络上的用户的界面情况，但是需要在所有被监视的机器上安装软件，但是通常黑客或者内部破坏人员的机器上是没有安装过这些软件的，即使安装过这些关键也会被故意删除的，因此很有可能是无法进行强制监测的。总之，现有的技术对于实现有效的远程用户操作过程的记录和还原功能是比较缺乏的。

    发明内容：在目前的远程网络应用中，电子邮件，网页浏览，文件传输，远程登录是最为广泛的应用，其中网页浏览，文件传输和远程登录是涉及较为丰富的远程操作的信息的(电子邮件主要功能是信息发送和接收，主要是本地操作)。因此本发明主要针对解决网页浏览，文件传输和远程登录的远程操作记录和还原问题，主要采用的网络协议是HTTP，FTP，telnet，因此本发明主要是对以上三个协议的记录和还原，主要包括：记录用户通过HTTP协议远程访问网页过程中的所有操作，并还原用户所有看到和下载的网页中的全部内容(包括文本，图片，声音等)，以及提交的所有信息内容(包括上载的文件，张贴的文章等)；记录用户通过FTP协议远程传输文件过程中的所有操作，包括下载，列目录，上载文件，删除文件，重命名文件等，并将与操作相关的所有文件的内容还原出来，并与相关的操作建立联系；记录用户通过telnet进行的远程登录操作，还原用户的模拟终端中的所有动态界面以及输入的指令。

    以下对telnet方式的远程登录的操作过程进行记录和还原进一步描述：telnet记录和还原模块通过接收网络上的telnet原始数据包(这些原始数据包已通过网络信息截获和过滤模块，数据包分析模块的过滤)，根据TCP/IP协议进行拼装，telnet传输过程文件即。tel后缀文件，文件通过WEB Server和浏览器传输到管理员的浏览器中，并根据。tel后缀调用telnet过程回放插件，回放出所有的telnet操作过程：

    ①对于获取到得telnet网络数据包，首先根据telnet协议分析这个数据包中所包含的是远程用户输入的数据包还是回显的数据包，输入和回显数据包在写入telnet传输过程文件时将采用不同的标记；

    ②查找telnet连接状态表，根据telnet连接信息状态表中的信息来判断当前的数据包是否属于非法包或者重复包，如果属于重复包或者非法数据包则转③，如果是合法数据包则转④；

    ③丢弃非法数据包，准备获取下一个数据包，转①；

    ④根据telnet连接信息状态表中的内容，以及TCP/IP协议规范，将当前数据包中的内容和以前的内容拼接，并根据telnet传输过程文件的格式写入telnet传输过程文件，在写入内容中包含时标信息；

    ⑤管理员通过浏览器和WEB Server，查询和获取到相应的telnet传输过程文件，浏览器根据文件后缀名自动调用telnet过程回放插件；

    ⑥telnet回放插件启动后，进入telnet模拟回放总控程序，该程序从telnet传输过程文件中提取还原后的telnet操作数据，并启动一个telnetd模拟服务端进程和一个telnet模拟客户端进程，并在这两者之间建立本地连接；

    ⑦telnetd模拟服务端进程启动后，在telnet模拟回放总控程序的控制下，逐条读取telnet信息记录，并根据时标信息，逐条定时地将界面模拟数据发送到telnet模拟客户进程；

    ⑧telnet模拟客户进程根据收到的界面模拟数据，显示telnet操作的全过程。

    FTP记录和还原

    每一次完整的FTP操作由一条FTP操作控制连接若干个文件传输连接组成。FTP操作控制连接用于传输各种指令和显示指令执行的结果，文件传输连接用于真正传输相关的文件。文件传输连接与FTP操作控制之间的对应关系主要是通过FTP操作连接中的指令和结果来对应起来的。因此对FTP的记录和还原主要需要解决不同连接之间的对应关系；FTP记录和还原模块主要采用的方法是通过在分析FTP操作控制连接中的指令来确定将要建立的文件传输连接的标示，同时在不同的文件中记录FTP操作控制连接和相关的文件传输连接，并在采用HTML生成的FTP操作过程记录文件，通过超级连接将记录下的不同连接的内容联系起来；

    以下对FTP记录和还原的处理流程进一步描述：

    ①FTP记录和还原模块收到一个FTP数据包，将首先判断它是属于FTP操作控制连接的还是文件传输连接的，如果属于文件传输连接，则转⑦，否则转②；

    ②根据FTP操作控制连接状态表中的信息，将这个数据包内容拼接到FTP操作过程记录文件中；

    ③分析这个数据包中的FTP操作指令，某些指令是预示着将要建立新的文件传输连接(如PORT指令)，如果要将建立文件传输连接则转⑥，否则转④；

    ④判断是否整个FTP操作过程结束，如果未结束则转①，接受下一个数据包，否则转⑤；

    ⑤关闭FTP操作过程记录文件，并将这个文件作适当的调整，主要是增加HTML的头部和尾部信息，使它成为一个HTML文档，记录和还原过程结束；

    ⑥在FTP文件传输连接信息状态表中建立新的表项，这个表项包含了根据FTP操作指令而确定的连接标示即源/目的IP与端口，此外还将建立相应的传输记录文件，这个文件的名字也根据FTP指令中的信息来确定，并在FTP操作过程记录文件中以超级连接方式写入相关传输记录文件的文件名，把这些文件通过超级连接联系起来；

    ⑦根据收到的文件传输数据包，查找FTP文件传输连接状态表，如果此数据包匹配到相应的表项，则拼接到相应的传输记录文件中；

    ⑧判断这个文件传输连接是否结束，如果结束则关闭相应传输记录文件，删除FTP文件传输连接控制表的相应标项，转①；

    ⑨网络管理员通过WEB Server和Browser浏览FTP操作过程记录文件，由于它是一个html文件，并且包含所有指向相关传输记录文件的超级连接，所以通过这个文件可以浏览到所有相关的传输记录文件。

    HTTP记录和还原

    采用HTTP浏览一个网站或者进行某些操作，通常由浏览器向WEB Server发送HTTP的指令，其中GET和POST是用得最多的指令，发送指令之后，WEB Server遵循HTTP协议向浏览器发送HTML文件，浏览器获得HTML文件后，根据此文件中的相关超级连结信息，对于嵌入式的图片和多帧信息，再次发送出HTTP指令，获取相应的图片和多帧信息，获取这些信息之后在页面相应的位置显示出来。在一个页面中的多个图片可以同时传输；

    针对HTTP浏览的方式，HTTP记录和还原模块主要采用的方法是先将所有的文件拼接分别拼接，包括一个页面中的HTML文档和图片文件，形成独立的文档，然后将将HTML页面中的超级连接替换，指向本地存放的文件，在本地形成一个HTML文档体系。当网络管理员浏览第一个页面时，WEB Server将这个本地HTML文档体系传输到浏览器，网络管理员看到的是完整还原后的页面信息。

    以下进一步对HTTP记录和还原的处理流程进行描述：

    ①HTTP记录和还原模块当获取到一个HTTP数据包，判断它是否属于HTTP协议中的GET或POST命令，如果是，则转②，否则转②；

    ②对GET或POST命令，则预示着要传输一个新的HTML或者其他图片/声音文件，因此将根据GET/POST的命令的具体参数，建立新的HTTP连接状态表项，转①；

    ③收到的数据包是某个HTTP连接的传输内容，根据HTTP连接状态表，将这个数据包拼接到相应的HTTP记录文件中；

    ④判断当前的HTTP连接的传输是否结束，如果结束则转⑤，否则转①；

    ⑤关闭当前连接所对应的HTTP记录文件，删除HTTP连接状态表中的相应表项，在本地化链接索引文件中查找引用此文件所对应的URL的其他HTTP记录文件；

    ⑥在所有引用此文件所对应的URL所对应的HTTP记录文件中进行修改，将其中引用此文件所对应的URL的超级链接改为指向此文件；

    ⑦修改本地化链接索引文件，删除其中对本文件所对应的URL的引用记录，对于某些已经没有需要本地化链接的记录进行删除；根据本文件中所引用的URL，添加一条反映本文件超级链接列表的新的索引记录；

    ⑧管理员通过WEB Server和Browser可以浏览已经还原并形成本地HTML文档体系的页面。

    本发明具有实质性特点和显著进步，全面考虑网络行为的各种因素，实现真正意义上的网络行为的准确记录以及网络行为的还原；能够对高速网络实现数据的滤取，保证网络数据的完整性；实现对网络管理的透明性，为网络行为的可视化、可控性奠定基础。

    附图说明：图1本发明总体框架示意图

    图2 telnet记录还原处理流程示意图

    图3 FTP记录还原处理流程示意图

    图4 HTTP记录和还原处理流程示意图

    具体实施方式：如图1、图2、图3、图4所示，以一个局域网络环境运行为例，描述其实施方式：这个局域网由以太网技术构建，在这个局域网中有一台内部服务器，开设了WEB服务，FTP服务和telnet服务。在局域网上有一台工控PC机，采用linux系统，上面安装了采用本发明所述的远程用户操作过程记录和还原方法的网络监视软件，并装有WEB SERVER；局域网中的网络管理员可以采用浏览器通过装载在工控机上的WEB SERVER查阅还原后的数据。

    在此环境中假定Internet上的某个黑客通过telnet登录到局域网内部服务器上，采用vi编制了一个利用buffer overflow的程序，并通过运行root权限；用户PC1采用FTP登录到局域网内部服务器上，进入pub目录，下载了该目录中的名为xxx和yyy的文件；用户PC2采用浏览器，连接到Internet浏览与工作无关的网站，假定浏览的url为http：//www.nowork.com/index.html，此页面中包含两个GIF文件：http：//www.nowork.com/index.html/image/gif1.gif，http：//www.nowork.com/image/gif2.gif；

    采用本发明的方法能够完全还原以上情况中的全部操作内容，以下是具体处理流程。

    ●系统设置和前期准备；网络管理员将工控机上的网络监视软件的各项进行调整，设置网卡模式，设置过滤规则，对局域网内部服务器和Internet的通信进行记录和还原。

    ●对实例中telnet的记录的记录和还原：

    当Internet上的黑客进行telnet操作时，整个操作过程被telnet软件自动分解成为系列的网络数据包，这些数据包为工控机的网卡收集到，并传送到采用本发明的方法的软件中。

    1.如图2中的处理流程所描述的，对于获取到的每一个telnet网络数据包，将根据上述的方法分析这个数据包中所包含的是远程用户输入的数据包还是回显的数据包。

    2.对于获取到的每一个telnet网络数据包，系统将查找telnet连接状态表，根据telnet连接信息状态表中的信息来判断当前的数据包是否属于非法包或者重复包。如果属于重复包或者非法数据包则丢弃，如果是合法包，则根据telnet连接信息状态表中的内容，以及TCP/IP协议规范，将当前数据包中的内容和以前的内容拼接，并根据telnet传输过程文件的格式写入telnet传输过程文件。

    3.最终生成的telnet传输过程文件名为telnet_202.234.32.4_1302_203.120.96.4_23.tel，文件由一条条telnet信息记录构成，每一条记录包含了时标信息和具体的内容。

    4.管理员通过浏览器看到由202.234.32.4向局域网服务器进行telnet操作的报警，点击相应的记录，浏览器将telnet_202.234.32.4_1302_203.120.96.4_23.tel获取到PC上，并自动调用telnet操作过程回放插件。

    5.telnet回放插件启动后，进入telnet模拟回放总控程序，该程序从telnet_202.234.32.4_1302_203.120.96.4_23.tel文件中提取还原后的telnet操作数据，并启动一个telnetd模拟服务端进程和一个telnet模拟客户端进程，并在这两者之间建立本地连接。

    6.telnetd模拟服务端进程启动后，在telnet模拟回放总控程序的控制下，逐条读取telnet信息记录，并根据时标信息，逐条定时地将界面模拟数据发送到telnet模拟客户进程。

    7.管理员通过telnet模拟客户进程的窗口中看到显示黑客采用telnet操作的编辑黑客软件，并运行获得超级用户权限的全过程。

    ●对实例中FTP的记录的记录和还原：

    1.如图3中的处理流程所描述的，用户PC1的采用FTP登录内部服务器的所有数据包将会被采用本发明的软件获得，对于FTP操作控制连接中的所有数据，软件将全部记录，并通过分析FTP操作语句来判断文件传输连接的标示。

    当用户PC1获取xxx文件时，将有PORT 203，120，96，123，1253的命令RETRxxx的命令，当获取到这些命令，系统将在FTP文件传输连接状态表中添加相应表项，描述202.120.96.4：20到203.120.96.123：1253的连接标示。

    2.服务器上的FTP Server软件将建立一条202.120.96.4：20到203.120.96.123：1253的TCP连接，通过这条连接将文件xxx发送到用户PC1。这些数据包为工控机所截获，并在FTP文件传输连接状态中匹配到，将会全部记录下来。

    3.当用户PC1获取yyy文件时，也会根据2，3的流程截获。

    4.系统最终生成的记录文件包括记录FTP操作过程的ftp_202_120_96_123_1252_202.120.96.4_21 control.html文件，ftp_202_120_96_123_1252_202.120.96.4_21_xxx文件和ftp_202_120_96_123_1252_202.120.96.4_21_yyy文件，其中ftp_202_120_96_123_1252_202.120.96.4_21_control.html文件含有对ftp_202_120_96_123_1252_202.120.96.4_21_xxx和ftp_202_120_96_123_1252_202.120.96.4_21_yyy文件的超级链接。

    5.网络管理员通过浏览器发现FTP的记录，00点击后将显示ftp_202_120_96_123_1252_202.120.96.4_21_control.html文件，此文件显示FTP操作的全过程，点击此页面中的xxx文件则将获得xxx文件的内容，点击此页面中的yyy文件则将获得yyy文件的内容。

    ●对实例中HTTP的记录的记录和还原：

    1.如图4中的处理流程所描述的，当用户PC2访问Internet上与工作无关的网页时，相关的数据包将被工控机获取，针对每个HTTP数据包，系统将进行记录和还原。

    2.系统将全面截获3条HTTP连接，一条是下载http：//www.nowork.com/index.html文件的，一条是下载http：//www.nowork.com/image/gif1.gif文件的，还有一条是下载http：//www.nowork.com/image/gif2.gif文件的。

    3.针对这三条连接，首先完成截获的是下载http：//www.nowork.com/index.html的连接，生成响应的本地文件：http_203.120.96.124_1532_192.1.223.65_80_1_index.html，根据这个文件中引用image/gif1.gif和image/gif2.gif的超级链接，在本地化链接索引文件中建立含有如下内容的表项：

    filename：http_203.120.96.124_1532_192.1.223.65_80_1_index.html

    url：http：//www.nowork.com/index.html

    linked_url：http：//www.nowork.com/image/gif1.gif，

    http：//www.nowork.com/image/gif2gif

    4.系统完成对传输http：//www.nowork.com/image/gif1.gif文件的HTTP连接的数据记录后，生成http_203.120.96.124_1533_192.1.223.65_80_1_image_gif1.gif文件，并且根据传输此文件是GET命令中的内容确定此文件对应的url为http：//www.nowork.com/image/gif1.gif；在查找本地化链接索引文件中的相关记录时，发现http_203.120.96.124_1532_192.1.223.65_80_1_index.html文件中含有对http：//www.nowork.com/image/gif1.gif的超级链接，则将这个文件中的所有该超级链接改为指向http_203.120.96.124_1533_192.1.223.65_80_1_image_gif1.gif的超级链接。并在本地化链接索引文件linked_url中删除http：//www.nowork.com/image/gif1.gif记录。

    5.系统完成对传输http：//www.nowork.com/image/gif2.gif文件的HTTP连接的数据记录后，将采用和4类似的方法处理。最终将本地化链接索引文件中的相关表项删除。

    6.系统在工控机上形成http_203.120.96.124_1532_192.1.223.65_80_1_index.html，http_203.120.96.124_1532_192.1.223.65_80_1_image_gif1.gif，http_203.120.96.124_1532_192.1.223.65_80_1_image_gif2.gif三个文件，并且第一个文件超级链接到第二、第三个文件。

    7.管理员通过浏览器发现用户PC2浏览与工作无关的网站的记录，进入http_203.120.96.124_1532_192.1.223.65_80_1_index.html文件后可以看到用户PC2所浏览的页面的还原好的全部页面内容。