麒麟开源堡垒机操做命令及窗口识别技术简述

1.综述

麒麟开源堡垒机除了录相，还须要作操做辨认，首要的操做辨认功用包括：

ssh/telnet的操做指令辨认
ftp/sftp   的操做指令辨认
RDP/VNC/X11 的翻开窗口title辨认
RDP/VNC/X11 窗口中的文字辨认
RDP  剪切版内容辨认
RDP/VNC/X11  键盘记载

关于一个只能录相的开源堡垒机，其可用性是十分差的，因为开源堡垒机的审计功用首要用于过后，假如发生了内部运维事情，并且时刻点难以肯定，审计员有必要面对海量的日志进行辨认，由专人对每一个会话自始至终看所有操做录相。而操做过程每每是一瞬间的事，比方几天的操做日志也许有上千个小时，但是呈现疑问的操做也许只在几秒钟，这时的劳动强度和单调程度是至关大的，一我的要从上千小时的录相中找到几秒种的有疑问的录相，难度之大可以想像。

也从前出过某电信后台数据库被人删除的疑问，那时系统的RDP辨认功用尚未作，因此派专人，接连看了七天的日志，最终才找到责任人。

于是，一个开源堡垒机的好坏，不仅是操做界面是否是漂亮、日志报表是否是通用，最主要的标准是解析用是否是好，假如一但解析辨认作的到位，当出现问题时，可以大大减少审计人员的精确程度，直接找到责任人。

2.字符命令分析

开源堡垒机的操做辨认功用中，FTP/SFTP的指令操做开发是最简略的，因为指令自己在协议中有标，开发时只需解开FTP/SFTP的协议流，可以直接获得。

telnet/ssh的指令辨认是较难的功能，因为TELNET/SSH关于指令在协议中是没有标示的，和在屏上其它回显相同，都是一个一个的字符，实践开发中，很通在实践回显中找到哪一个是指令，哪一个是回显，而键盘记载，只能对指令辨认有协助，并不能通过键盘记载来记载到指令，因为敲击键盘的时候，用户有也许在vi等行修正器中，这时操做的并非指令并且一些文件修正，另外如今的linux bash中有许多快捷键，比方指令可以通过上翻找到，可以用TAB补齐，此外，运维人员在输入指令的时候，用退格去修正等也会造成指令辨认没法通过键盘记载来完成，TELNET/SSH的指令辨认，只能通过将键盘与回显相关的方法辨认，程序在判别用户键盘击打次序的同时，判别回显字符，当呈现回车的时候，将前面的全部键盘记载下来，并且在回显中进行一些判别，就可以精确的记载用户操做的指令，这种形式，代理程序还有必要判别的出用户是否是在vi等修正器形式中，麒麟开源开源堡垒机体系的telnet/ssh指令辨认开发周期大约为2个月，后期作了许多的修正，如今指令辨认率达到了99.9%。

3.图形协议分析

RDP/X11/VNC的窗口title辨认和窗口内部文字辨认，可以说是一个业界的难题，因为RDP所有显示没有字符，彻底是通过GDI函数绘出，于是，即使解开了RDP的流，也没法从流中获得任何文字 ，因为所有是GDI函数绘出的图形，麒麟开源开源堡垒机的RDP/X11/VNC窗口的辨认开发周期大约为4个月，如今现已可以辨认出窗口标题和内部操做文字。

此外，RDP的键盘记载、剪切版记载也可以在协议中辨认，键盘记载对比键盘，解开RDP协议便可获得剪切版杂乱些，因为触及内部文字编码辨认。

从此会在其它文章中详细描述这些辨认技能的原理。