1.一种基于Telnet协议的会话解析方法,所述方法包括:
步骤101)接收基于Telnet协议会话的数据包,并根据数据包特征与会话解析状态转移图判定当前会话所处阶段;
步骤102)根据会话所处的阶段对数据包进行解析,获取日志信息数据;
步骤103)将日志信息数据封装到固定格式的日志中,生成解析日志。
2.根据权利要求1所述的基于Telnet协议的会话解析方法,其特征在于,所述步骤103)之后还包括:
步骤104)将生成的解析日志采用流式发送模式发送至存储服务器;
步骤105)所述存储服务器收到日志信息数据后,根据日志类型和结束段信息拼凑出完整的日志并存储在服务器中。
3.根据权利要求1或2之一所述的基于Telnet协议的会话解析方法,其特征在于,所述步骤101)中的会话解析状态转移图包括:协商阶段,用户名处理阶段,密码处理阶段,请求输入阶段和请求完成阶段;
若会话解析状态为初始状态,连接建立收到Telnet会话数据包后,置会话解析状态为协商阶段;
若会话解析状态为协商阶段,收到数据包后,若数据包为服务端发向客户端且含有登陆标识,则完成相应解析后将会话解析状态置为用户名处理阶段;
若会话解析状态为用户名处理阶段,收到数据包后,若数据包为服务端发向客户端且含有密码输入标识,则完成相应解析后将会话解析状态置为密码处理阶段;
若会话解析状态为密码处理阶段,收到数据包后,若数据包为服务端发向客户端且含有登陆标识,则上次登陆失败,重新进入用户名处理阶段,否则登陆成功,完成相应解析后将会话解析状态置为请求输入阶段;
若会话解析状态为请求输入阶段,收到数据包后,若数据包为客户端发向服务端且含有请求输入完成标识,则完成相应解析后将会话解析状态置为请求完成阶段,
若会话解析状态为请求完成阶段,收到数据包后,若数据包为客户端发向服务端,则完成相应解析后将会话解析状态置为请求输入阶段。
4.根据权利要求3所述的基于Telnet协议的会话解析方法,其特征在于,所述步骤102)具体包括:
步骤102-1)若会话解析状态为用户名处理阶段,将客户端发向服务端的数据或服务端发向客户端的回显数据进行缓存,用户名处理完成后,利用缓存的数据还原用户名;
步骤102-2)若会话解析状态为请求输入阶段,利用客户端发向服务端的数据或者服务端向客户端的回显数据还原用户命令。
5.根据权利要求4所述的基于Telnet协议的会话解析方法,其特征在于,所述步骤102-1)之后还包含:
步骤102-1-1)若会话解析状态为密码处理阶段,而且系统功能要求密码代填,则将TCP/IP四元组、会话ID、登陆主账号和登陆用户名信息进行处理,获取处理后的返回值;若返回值表示仍需用户自行输入密码,则由用户自行输入密码;若返回值表示可以进行密码代填,则返回密码并将返回的密码替换用户输入的密码,发送至服务器;若返回值表示必须终止会话,则返回错误终止会话信息。
6.根据权利要求4所述的基于Telnet协议的会话解析方法,其特征在于,所述步骤102-2)之后还包含:
步骤102-2-1)若会话解析状态为请求完成阶段,而且系统功能要求命令黑名单,则将还原的用户命令信息与系统设定的黑名单进行匹配;获取返回值;若返回值表示命令符合要求,则该命令通过;若返回值表示该命令可以通过,但需要生成告警日志,则生成告警日志;若返回值表示阻断命令,则将命令输入完成标识“\r\n”替换为“Ctrl+c”发送至服务端,不执行该命令;若返回值,表示阻断会话,则返回错误终止会话。
7.根据权利要求4所述的基于Telnet协议的会话解析方法,其特征在于,所述步骤103)中的日志信息数据包括:TCP/IP四元组、流标识、登陆会话的用户名、登陆时间、登出时间、流标识、操作标识、客户端请求的命令、命令开始时间、服务端返回客户端的响应数据和响应结束时间,并将日志字段信息封装成固定格式的日志;
日志字段采用AVP编码,AVP编码由AttributeType值、AttributeLength值、Value值构成,日志每一字段的AttributeType值固定,AttributeLength值为Value域的长度,Value为日志数据;特别地,对于无法一次获取的日志字段信息,采取AVP嵌套模式,即第一层Value类型仍为AVP封装,第一层Value值为封装的第二层AVP数据,封装的第二层AVP数据为日志字段数据,但由于日志字段数据不完整,需加入分段 号标识当前数据,存储服务器收到多条日志后,根据分段号进行排序拼接获取完整日志字段。
8.根据权利要求2所述的基于Telnet协议的会话解析方法,其特征在于,所述步骤104)中的流式发送模式为:当解析到一条完整日志中的部分字段或一个完整日志字段的部分数据时,向日志服务器发送解析日志信息,而无需缓存生成一条完整日志或完整字段再发送。
9.一种基于Telnet协议的会话解析系统,所述系统包括:
数据包接收模块:用于接收基于Telnet协议会话的数据包,并根据数据包特征与会话解析状态转移图判定当前会话所处阶段;
数据包解析模块:用于根据会话所处的阶段对数据包进行解析,获取日志信息数据;将日志信息数据发送到日志封装模块;
所述日志封装模块,用于将日志信息数据封装到固定格式的日志中,生成解析日志;
日志发送模块,用于将生成的解析日志采用流式发送模式发送至存储服务器。