记录及回放用户的桌面操作信息的方法及设备 【技术领域】
本发明涉及网络安全领域,特别是涉及记录及回放用户的桌面操作信息的方法、系统及设备。
背景技术
随着网络技术的发展,对网络安全的需求也在逐渐增加,为了便于审计和取证,需要记录用户在操作系统桌面上进行操作的信息。目前提供的方案是在客户端的操作系统上安装一个软件,这个软件以固定的时间间隔来不断的保存屏幕图像。
可见,该技术需要在客户端安装软件,对客户端有影响,不方便管理。如果用户将该软件关闭,将无法记录和回放。
【发明内容】
本发明提供了记录及回放用户的桌面操作信息的方法、系统及设备,用以解决现有记录及回放用户的桌面操作信息的技术对客户端有影响,不方便管理的问题。
本发明的一种记录用户的桌面操作信息的方法,包括下列步骤:截获步骤:审计服务器截获终端与终端服务器之间往来的数据包;拆分步骤:审计服务器对截获的数据包进行解析拆分后保存;具体包括:审计服务器截获数据包后解析拆分该数据包;之后,审计服务器在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存;组合步骤:审计服务器将解析拆分后的数据包重新组合后发往对端。
相应的,本发明的一种回放用户的桌面操作信息的方法,包括下列步骤: 读取步骤:审计服务器按保存顺序读取保存的数据包信息;分析步骤:审计服务器分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;回放步骤:审计服务器按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
本发明的一种审计服务器,包括:截获单元,用于截获终端与终端服务器之间往来的数据包;拆分单元,用于对截获的数据包进行解析拆分后保存;具体的,所述拆分单元在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存;组合单元,用于将解析拆分后的数据包重新组合后发往对端。
相应的,本发明的一种审计服务器,包括:读取单元,用于按保存顺序读取保存的数据包信息;分析单元,用于分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;回放单元,用于按照读取单元的读取顺序,以所述时间间隔逐一回放各个数据包的内容。
本发明的一种记录及回放用户的桌面操作信息的系统,包括:相互通信的终端和终端服务器;在所述终端和终端服务器之间还包括:审计服务器,在记录时,用于截获终端与终端服务器之间往来的数据包,并对截获的数据包进行解析拆分后保存,具体的,审计服务器截获数据包后解析拆分该数据包,之后审计服务器在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存;再将解析拆分后的数据包重新组合后发往对端;在回放时,用于按保存顺序读取保存的数据包信息,并分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔,分析数据包信息中的包头,获知数据包的功能和内容;以及按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
本发明有益效果如下:
本发明提出了在终端和终端服务器之间增加审计服务器,并由审计服务器 截获、拆分、保存被截获的数据包信息,实现了记录用户的桌面操作信息;之后通过读取、分析和回放机制实现了回放用户的桌面操作信息。以上操作均在审计服务器中完成,不会影响客户端,并且便于管理。
【附图说明】
图1为本发明实施例1中的系统结构示意图;
图2为本发明实施例2中的审计服务器结构示意图;
图3为本发明实施例3中的审计服务器结构示意图;
图4为本发明实施例4中记录用户的桌面操作信息的方法步骤流程图;
图5为本发明实施例5中基于RDP协议的记录功能应用流程图;
图6为本发明实施例6中基于VNC协议的记录功能应用流程图;
图7为本发明实施例7中回放用户的桌面操作信息的方法步骤流程图。
【具体实施方式】
为了不对客户端有影响且方便管理,本发明提出了记录及回放用户的桌面操作信息的方法、系统及设备,以下通过若干实施例具体描述。
实施例1、参见图1所示,本实施例中的记录及回放用户的桌面操作信息的系统包括:相互通信的终端和终端服务器;还包括:在终端和终端服务器之间的审计服务器。
终端与审计服务器之间以及审计服务器与终端服务器之间采用远程桌面协议(RDP Remote Desktop Protocol)或虚拟网络计算协议(VNC Virtual network computing)通信。基于RDP协议,允许终端连接到终端服务器获取服务器上正在运行的应用程序的信息。终端的显示与服务器端运行界面通过RDP协议进行数据交换与传输。基于VNC协议,允许终端连接到终端服务器获取服务器上正在运行的应用程序的信息。终端的显示与服务器端运行界面通过VNC协议进行数据交换与传输。
审计服务器锚定于终端和终端服务器之间,终端和终端服务器交互的数据包都需流经审计服务器,并由其转发。在记录时,审计服务器用于截获终端与终端服务器之间往来的数据包,并对截获的数据包进行解析拆分后保存,再将解析拆分后的数据包重新组合后发往对端;在回放时,审计服务器用于按保存顺序读取保存的数据包信息,并分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔,分析数据包信息中的包头,获知数据包的功能和内容;以及按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
实施例2、参见图2所示,本实施例中的审计服务器,包括:截获单元、拆分单元和组合单元。
其中,截获单元,用于截获终端与终端服务器之间往来的数据包。
拆分单元,用于对截获的数据包进行解析拆分后保存;具体的,拆分单元将截获的数据包解析拆分后,在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。
组合单元,用于将解析拆分后的数据包重新组合后发往对端。
实施例3、参见图3所示,本实施例中的审计服务器,包括:读取单元、分析单元和回放单元。
其中,读取单元,用于按保存顺序读取保存的数据包信息。
分析单元,用于分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;以RDP协议数据包为例:包头含以下功能的传输控制字符含义:序始、文始、文终、送毕、询问、确认、转义、否认、同步、块终,通过分析这些字段,可获知该RDP协议数据包所要完成的功能,同理可分析并获知RDP协议数据包的内容。
回放单元,用于按照读取单元的读取顺序,以上述时间间隔逐一回放各个数据包的内容。
实施例4、参见图4所示,本实施例中的记录用户的桌面操作信息的方法,包括下列主要步骤:
S101、审计服务器截获终端与终端服务器之间往来的数据包。
S102、审计服务器对截获的数据包进行解析拆分后保存。
S103、审计服务器将解析拆分后的数据包重新组合后发往对端。
实施例5、基于实施例4,参见图5所示,以终端与审计服务器之间以及审计服务器与终端服务器之间采用RDP协议通信为例,进一步详述。
为了截获RDP协议的信息,必须添加一个服务器来截获和保存RDP协议的内容,这个服务器称为审计服务器。基于RDP协议的应用流程为:用户在终端使用基于RDP协议的远程桌面客户端软件连接审计服务器,审计服务器将这个连接转发到终端服务器,这样,终端和终端服务器就通过RDP协议连接上。由于终端和终端服务器的RDP连接穿过审计服务器,使得审计服务器锚定于终端与终端服务器之间,可以将终端与终端服务器之间往来的RDP数据包截获。审计服务器截获数据包后解析拆分该数据包,之后在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。完成保存操作后,审计服务器将解析拆分后的数据包重新组合(还原被截获的数据包)后发往对端,对端收到该数据包后正常处理,不会感觉有异。
实施例6、基于实施例4,参见图6所示,以终端与审计服务器之间以及审计服务器与终端服务器之间采用VNC协议通信为例,进一步详述。
为了截取VNC协议的信息,必须添加一个服务器来获取和保存VNC协议的内容,这个服务器称为审计服务器。基于VNC协议的应用流程为:用户在终端使用基于VNC协议的远程桌面客户端软件连接审计服务器,审计服务器将这个连接转发到终端服务器,这样,终端和终端服务器就通过VNC协议连接上。由于终端和终端服务器的VNC连接穿过审计服务器,使得审计服务器锚定于终端与终端服务器之间,可以将终端与终端服务器之间往来的VNC数据包截获。审计服务器截获数据包后解析拆分该数据包,之后在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截 获顺序保存。完成保存操作后,审计服务器将解析拆分后的数据包重新组合(还原被截获的数据包)后发往对端,对端收到该数据包后正常处理,不会感觉有异。
实施例7、参见图7所示,本实施例中的回放用户的桌面操作信息的方法,包括下列主要步骤:
S201、审计服务器按保存顺序读取保存的数据包信息。
S202、审计服务器分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容。
S203、审计服务器按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
更为具体的,在播放RDP协议的桌面操作记录时,按保存顺序读取每个RDP数据包,首先分析其包头的字段,包头含以下功能的传输控制字符含义:序始、文始、文终、送毕、询问、确认、转义、否认、同步、块终,通过分析这些字段,可获知该RDP协议数据包所要完成的功能,同理可分析并获知RDP协议数据包的内容,将分析结果在一个窗口上显示出来。通过比较前后两个包的包头时间戳字段,可以得出前后两个包之间的间隔时间。按照这样的方法去读取每一个RDP数据包,可以得出RDP协议的桌面操作记录的回放结果。
同理,在播放VNC桌面操作记录时,按保存顺序读取VNC包,首先分析其包头,根据时间戳字段,可以得知每个包之间的时间间隔。接着分析各个VNC包的功能,然后读取VNC包的内容,将内容在一个窗口上显示出来,达到回放的效果。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。