技术摘要：
本发明一种运维审计系统混合协议代理系统及方法，涉及协议端口领域，对于运维审计系统的客户端发送过来未知协议的数据包，直接匹配解码后的协议字段对比各个字符协议或图形协议或明文协议，对于匹配对应协议的数据包，直接判定为该协议加密的数据包；而对于无法完美匹  全部
背景技术：
目前现有的运维审计系统支持多种协议的运维审计，方便用户针对不同的应用进 行运维权限管控及事后审计回溯，但是当前的运维审计系统仅仅是将各种协议的监听端口 离散的处理，对于日益加强的安全管理，在防火墙不开放更多端口的情况下，产生了部分协 议无法纳入运维审计系统的监控管理之下，由此产生了运维审计系统部分协议无法代理的 情况。 当前市面上运维审计系统的应用场景中，由于安全管控，防火墙通常会阻止大多 数端口，但是通常不会阻止  443  端口，但是由于不同应用协议的默认端口通常是不同的， 导致了在此限制条件下，运维审计系统无法直接进行运维与审计的工作。所以需要一种技 术手段解决各种不同协议在同一个端口进行识别的问题，并根据识别后的结果将数据包转 发到代理引擎进行处理。
技术实现要素：
本发明的目的在于：提供了一种运维审计系统混合协议代理系统及方法，引入多 路复用的技术运用到运维审计系统，对于客户端发送过来的不同数据包，根据检测出的结 果对比阈值确定协议类型，对不兼容的协议进行记录和展示，可以很好地对从前端客户端 传到托管在单个端口放开的运维审计系统后面的虚拟主机的不同数据包进行识别检测，并 根据识别后的结果将数据包转发到代理引擎进行处理。 本发明采用的技术方案如下： 一种运维审计系统混合协议代理方法，主要包括依次进行的以下步骤： 步骤S1：监听程序检测到有客户端发起请求； 步骤S2：将检测到的数据转发到应用协议多路复用器模块用于检测协议类型； 步骤S3：代理引擎接收上一步检测中匹配到的兼容的结果，并发起往目标服务器的连 接。 为了更好地实现本方案，进一步地，所述协议多路复用器检测协议类型的方法为： 提取三次握手后的第一个数据包，在协议数量较少时，直接匹配解码后的协议字段，根据协 议字段确认协议类型并发往代理引擎。 为了更好地实现本方案，进一步地，所述应用协议多路复用器判断数据包的协议 类型的方法为：使用规则检测方法：依赖于规则库中预设的字符串或者二进制序列进行比 对选择，对相似性进行记录，在数据包和预先输入的协议的相似度满足阈值要求时，判定该 数据包属于该协议。 为了更好地实现本方案，进一步地，当应用协议多路复用器将数据包正则匹配到 4 CN 111586058 A 说　明　书 2/6 页 不兼容的协议时，将属于不兼容的协议的数据包发送到兼容性结果处理模块，兼容性结果 处理模块分析数据包中的信息结构，分属性解析并存储，并将处理完毕的数据包发往兼容 性结果展示模块进行展示。 为了更好地实现本方案，进一步地，所述分属性解析后存储时，记录数据包的来 源、大小、流向和相似度。 为了更好地实现本方案，进一步地，所述应用协议多路复用器对SSH字符协议、RDP 图形协议和文件传输协议FTP的检测方法为： SSH字符协议：对数据包解码后，数据包  Protocal  字段值为  SSH_2.0-OpenSSH_7.4， 则再正则表达式匹配到  SSH  字段后，将后续数据转发往代理引擎并标记为  SSH； RDP图形协议：在数据包未加密的情况下，通过tpkt方式解码，解码之后协议字段值为  RDP，匹配后将数据包转发往代理引擎并标记为RDP；对于加密的RDP协议数据包，则通过规 则检测方式检测； 文件传输协议FTP：文件传输协议FTP是明文协议，直接可以解析到File  Transfer  Protocol  字段。 本方案所述的一种运维审计系统混合协议代理方法，对于运维审计系统的客户端 发送到运维审计系统后端虚拟主机的未知协议的数据包，直接匹配解码后的协议字段对比 各个字符协议或图形协议或明文协议，对于匹配对应协议的数据包，直接判定为该协议加 密的数据包；而对于无法完美匹配对应协议的数据包采用规则检测方法，不同于防火墙需 要处理被复杂加密、混淆的数据，在运维审计系统中并不需要记录特别庞大的特征库，即我 们只需要依赖于规则库中预设的字符串或者二进制序列进行对比选择，对于相似性高于预 设的阈值要求时，就可以判定该数据包属于该协议，并且在对数据包的数据流信息进行比 对时，遍历数据库中的数据时，可以选用正则或比特流两种模式对数据流进行对比，对于这 两种方法判定出的属于某协议的数据包，转发到代理引擎由代理引擎对数据包进行标记后 发送到不同的协议的专属代理引擎，由专属的代理引擎发送到目标服务器。 一种运维审计系统混合协议代理系统，包括客户端、代理引擎、应用协议多路复用 器， 客户端：向代理引擎发起连接请求； 代理引擎：将客户端发来的数据包转发到应用协议多路复用器，并根据应用协议多路 复用器检测出的数据包所属的协议类型，对数据包进行标记后发送到不同的协议的专属代 理引擎； 应用协议多路复用器：接收代理引擎转发来的数据包，并根据预先输入的协议字段判 断数据包的协议类型，并根据检测出的协议类型发往代理引擎。 为了更好地实现本方案，进一步地，所述应用协议多路复用器判断数据包的协议 类型的方法为：提取三次握手后的第一个数据包，在协议数量较少时，直接匹配解码后的协 议字段，根据协议字段确认协议类型并发往代理引擎。 当解码后的协议字段无法满足协议类型时，使用规则检测方法：依赖于规则库中 预设的字符串或者二进制序列进行比对选择，对相似性进行记录，在数据包和预先输入的 协议的相似度满足阈值要求时，判定该数据包属于该协议； 为了更好地实现本方案，进一步地，当应用协议多路复用器将数据包正则匹配到不兼 5 CN 111586058 A 说　明　书 3/6 页 容的协议时，将属于不兼容的协议的数据包发送到兼容性结果处理模块，兼容性结果处理 模块分析数据包中的信息结构，分属性解析并存储，并将处理完毕的数据包发往兼容性结 果展示模块进行展示。 本发明所述的一种运维审计系统混合协议代理系统，基于前述的一种运维审计系 统混合协议代理方法，当代理引擎的监听程序检测到客户端发起数据包传输请求时，代理 引擎接收客户端发来的数据，并转发到应用协议多路复用器，然后在应用协议多路复用器 中，遍历运维审计系统支持的协议，用解码出来的数据去匹配预期字段，若预期字段完全满 足，则判断为该协议的数据包，若不完全满足，则使用规则检测方法，依赖于规则库中预设 的字符串或者二进制序列进行比对选择，在数据包和预先输入的协议的相似度达到阈值要 求时，判定该数据包属于该协议，若对比所有的字符串或二进制序列都无法满足阈值要求， 则判定该数据包属于不兼容的协议，然后对应地，将检测出的协议类型的数据包发往代理 引擎，由代理引擎按所属协议标记后发送到对应协议的专属代理引擎，由专属代理引擎发 送到目标服务器，对不兼容协议的数据包，则分析数据包中的信息结构，分属性解析并存 储，并将处理完毕的数据包发往兼容性结果展示模块进行展示。 综上所述，由于采用了上述技术方案，本发明的有益效果是： 1.本发明所述的一种运维审计系统混合协议代理系统及方法，引入多路复用的技术运 用到运维审计系统，对于客户端发送过来的不同数据包，根据检测出的结果对比阈值确定 协议类型，对不兼容的协议进行记录和展示，可以很好地对从前端客户端传到托管在单个 端口放开的运维审计系统后面的虚拟主机的未知数据包进行识别检测，并根据识别后的所 属协议将数据包转发到代理引擎进行处理； 2.本发明所述的一种运维审计系统混合协议代理系统及方法，引入多路复用的技术运 用到运维审计系统，对于客户端发送过来的不同数据包，根据检测出的结果对比阈值确定 协议类型，对不兼容的协议的数据包，会自动进行编号并记录相关数据。 附图说明 为了更清楚地说明本技术方案，下面将对实施例中所需要使用的附图作简单地介 绍，应当理解，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据 这些附图获得其他相关的附图，其中： 图1是本发明的结构框图； 图2是本发明的一个实施例的协议字段值； 图3是本发明的图2部分放大示意图。