CN102223368B - 在远程桌面传输协议监控时实现操作识别的***及方法 - Google Patents
在远程桌面传输协议监控时实现操作识别的***及方法 Download PDFInfo
- Publication number
- CN102223368B CN102223368B CN201110158731.5A CN201110158731A CN102223368B CN 102223368 B CN102223368 B CN 102223368B CN 201110158731 A CN201110158731 A CN 201110158731A CN 102223368 B CN102223368 B CN 102223368B
- Authority
- CN
- China
- Prior art keywords
- rdp
- module
- virtual
- data
- server end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明包括RDP虚拟服务器端模块和RDP虚拟客户端模块,RDP虚拟服务器端模块和RDP虚拟客户端模块之间建立协议数据分流处理模块,协议数据分流处理模块将明文数据交给RDP协议数据流格式化模块,RDP协议数据流格式化模块分别处理RDP客户端数据和RDP服务器端数据,虚拟屏幕操作识别模块分析出有效操作及其返回结果,在远程桌面传输协议监控时完成识别操作。本发明克服了现有远程桌面传输协议技术中不能实现监控和操作识别的缺陷,通过本发明的技术手段在满足了对远程桌面传输协议操作监控的前提下,还可以对操作进行识别,整个***操作简单易行。
Description
技术领域
本发明属于远程桌面传输协议技术领域,具体是涉及一种在远程桌面传输协议监控时实现操作识别的***及方法。
背景技术
远程桌面传输协议(Remote Desktop Protocol,RDP)RDP是微软公司制定的用于在网络上进行远程桌面访问的一套标准协议,它属于网络协议组的应用层。RDP的主要作用就是让用户可以通过RDP客户端连接到一个远程Windows服务器(这个服务器启动了Terminal Service的服务)。通过RDP与远程服务器建立起连接的客户端,可以获取完整的远程服务器的桌面,并在这个桌面上操作服务器,整个操作过程跟直接在远程服务器上操作的效果一样,极大地方便了服务器维护人员。
RDP是一个图形化的操作协议,并且由于RDP是一个用于维护服务器的协议,因此它是一种交互式的协议,即客户端提交信息的同时又有服务器端回复信息。为了保证在有限带宽的情况下流畅地使用,在RDP协议中使用了压缩传输的方式(压缩手段包括只传输图形变化部分和对传输数据包进行mppc压缩)来节省带宽;同时为了保障远程操作的安全性,RDP协议对传输数据进行了加密。这样在需要对基于RDP的远程访问操作进行监控时,通过常用的旁路抓取数据包的方式是无法从中获得有效数据的,就必须由监控***对RDP协议进行二次登陆或者代理,否则就无法从加密的数据中还原并记录下维护人员的操作。
所谓RDP二次登录,就是操作人员首先通过RDP登录到监控***上,监控***利用RDP传输协议的特点,使用位图的方式为已授权的操作人员提供可视化的菜单界面,操作人员可以在菜单内选择自己所需要登录的服务器直接进行登录。所谓RDP代理,就是操作人员将监控***指定为RDP的代理服务器,所有的RDP访问均以监控***作为代理来访问目标服务器。
综上所述,根据二次登陆或者代理的原理我们可以知道,操作人员发起的RDP连接在监控***上进行了终结,所有对维护的目标服务器的连接都是由监控***发起的,这样监控***对客户端而言是服务器,而对服务器端而言是客户端,通过这种方法可以完全做到将加密压缩数据流解密解压还原,进而对RDP访问过程进行监控。
发明内容
本发明主要是解决上述现有技术所存在的技术问题,提供了一种在远程桌面传输协议监控时实现操作识别的***及方法。
本发明的上述技术问题主要是通过下述技术方案得以解决的:一种在远程桌面传输协议监控时实现操作识别的***,包括RDP虚拟服务器端模块和RDP虚拟客户端模块,RDP虚拟服务器端模块与RDP客户端模块交互加密压缩数据,RDP虚拟客户端模块与RDP服务器端模块交互加密压缩数据,在RDP虚拟服务器端模块和RDP虚拟客户端模块之间建立协议数据分流处理模块,协议数据分流处理模块分别将RDP客户端模块和RDP服务器端模块的加密压缩数据处理成明文数据再转发给RDP虚拟服务器端模块和RDP虚拟客户端模块,并将明文数据复制一份交给RDP协议数据流格式化模块进行进一步处理。所述RDP协议数据流格式化模块处理RDP客户端数据时,将其中的虚拟键码信息提炼出来交由虚拟屏幕操作识别模块进行处理;所述RDP协议数据流格式化模块处理RDP服务器端数据时,将其中包含的图形信息解析出来,然后将图形信息绘制在为该远程虚拟桌面会话而开启的一个内存虚拟屏幕中,同时将其复制三份,一份交由实时监控视频流输出模块,另一份保存于追溯回放数据库,第三份提交给虚拟屏幕操作识别模块。
在远程桌面传输协议监控时实现操作识别***的实现方法为:RDP虚拟服务器端模块将来自于RDP客户端的加密压缩数据进行解密解压处理并发送给协议数据分流处理模块,RDP虚拟客户端模块将来自于RDP服务器端的加密压缩数据进行解密解压处理并发送给协议数据分流处理模块;协议数据分流处理模块作为数据桥梁,将解密解压处理的RDP客户端明文数据转发给RDP虚拟客户端,将解密解压处理的RDP服务器端明文数据转发给RDP虚拟服务器端,同时协议数据分流处理模块复制一份解密解压处理的RDP客户端明文数据和解密解压处理的RDP服务器端明文数据交给RDP协议数据流格式化模块;RDP协议数据流格式化模块处理RDP客户端数据时是将其中的虚拟键码信息提炼出来交由虚拟屏幕操作识别模块进行处理,RDP协议数据流格式化模块处理RDP服务器端数据时是将其中包含的图形信息解析出来,然后将图形信息绘制在为该远程虚拟桌面会话而开启的一个内存虚拟屏幕中,同时将其复制三份,一份交由实时监控视频流输出模块,另一份保存于追溯回放数据库,第三份提交给虚拟屏幕操作识别模块;当虚拟屏幕操作识别模块获取到RDP服务器端返回的图形信息时,与上一次获取的内存虚拟屏幕进行比较,分析出屏幕中变化的部分,进而从变化中提取出文字部分,再从前面鼠标键盘输入的队列中查找出对应该返回图形信息的输入节点,就可以分析出有效操作及其返回结果,在远程桌面传输协议监控时完成识别操作。
本发明克服了现有远程桌面传输协议技术中不能实现监控和操作识别的缺陷,通过本发明的技术手段在满足了对远程桌面传输协议操作监控的前提下,还可以对操作进行识别,整个***操作简单易行。
附图说明
图1是本发明的一种原理结构示意图。
具体实施方式
下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。
实施例:参看图1,本发明包括RDP虚拟服务器端模块和RDP虚拟客户端模块,RDP虚拟服务器端模块与RDP客户端模块交互加密压缩数据,RDP虚拟客户端模块与RDP服务器端模块交互加密压缩数据,在RDP虚拟服务器端模块和RDP虚拟客户端模块之间建立协议数据分流处理模块;协议数据分流处理模块作为数据桥梁,将解密解压处理的RDP客户端明文数据转发给RDP虚拟客户端,将解密解压处理的RDP服务器端明文数据转发给RDP虚拟服务器端,同时协议数据分流处理模块复制一份解密解压处理的RDP客户端明文数据和解密解压处理的RDP服务器端明文数据交给RDP协议数据流格式化模块;RDP协议数据流格式化模块处理RDP客户端数据时是将其中的虚拟键码信息提炼出来交由虚拟屏幕操作识别模块进行处理,RDP协议数据流格式化模块处理RDP服务器端数据时是将其中包含的图形信息解析出来,然后将图形信息绘制在为该远程虚拟桌面会话而开启的一个内存虚拟屏幕中,同时将其复制三份,一份交由实时监控视频流输出模块,另一份保存于追溯回放数据库,第三份提交给虚拟屏幕操作识别模块;当虚拟屏幕操作识别模块获取到RDP服务器端返回的图形信息时,与上一次获取的内存虚拟屏幕进行比较,分析出屏幕中变化的部分,进而从变化中提取出文字部分,再从前面鼠标键盘输入的队列中查找出对应该返回图形信息的输入节点,就可以分析出有效操作及其返回结果,在远程桌面传输协议监控时完成识别操作。
远程桌面传输协议的操作识别主要意义在于,尽管人们已经将每个会话的整个操作过程通过视频方式分会话地保存下来,但对于事后追溯工作而言,如果要从大量的视频文件中找到追溯点是一件非常困难的事。因此提供一个根据具体操作来进行检索的手段是非常必要和有效的。
记录工作主要包括两方面,首先是将远程维护人员的键盘和鼠标操作进行识别并记录,然后是在屏幕变化的过程中提取维护服务器时运行各种程序的情况,这些工作都可以在虚拟屏幕操作识别模块中完成的。一般性鼠标位置的移动和点击并不会产生某种具体的操作,并且对于客户端和服务器端之间这种交互性操作,鼠标和键盘的输入和服务器对其的响应返回在时间上呈现为线性关系。因此在对操作进行识别时需要首先将获取到的服务器用户键盘或鼠标操作记录到缓冲队列中,等待服务器端对其进行返回时再做进一步处理。当服务器端返回图形信息时,由于虚拟屏幕操作识别模块是从RDP协议数据流格式化模块中直接得到了一个内存虚拟屏幕,那么可以与上一次获取的内存虚拟屏幕进行比较,分析出屏幕中变化的部分,进而从变化中提取出文字部分,再从前面的鼠标键盘输入队列中查找出对应该返回图形信息的输入节点(查找根据时间线性分布的特点,找出时间最接近的节点即可),至此就可以很容易地分析出有效操作及其返回结果。从内存虚拟屏幕中得到文字部分的关键点为:1、内存虚拟屏幕是一个以最初访问时客户端与服务器之间协商的分辨率为基础的点阵内存片,那么寻找两个虚拟屏幕的变化部分,就是在点阵内存片中寻找变化部分的内存片;2、变化部分的内存片也是一个点阵内存片,在其中寻找文字部分就是根据RDP协议的特性查找出文字的点阵,再根据***事先就学习好的文字点阵库识别出其中的文字;3、学习点阵库的过程十分简单,就不再赘述。
最后,应当指出,以上实施例仅是本发明较有代表性的例子。显然,本发明的技术方案并不限于上述实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (2)
1.一种在远程桌面传输协议监控时实现操作识别的***,其特征在于所述***包括RDP虚拟服务器端模块和RDP虚拟客户端模块,RDP虚拟服务器端模块与RDP客户端模块交互加密压缩数据,RDP虚拟客户端模块与RDP服务器端模块交互加密压缩数据,在RDP虚拟服务器端模块和RDP虚拟客户端模块之间建立协议数据分流处理模块,协议数据分流处理模块分别将RDP客户端模块和RDP服务器端模块的加密压缩数据处理成明文数据再转发给RDP虚拟客户端模块和RDP虚拟服务器端模块,并将明文数据复制一份交给RDP协议数据流格式化模块进行进一步处理;所述RDP协议数据流格式化模块处理RDP客户端模块数据时,将其中的虚拟键码信息提炼出来交由虚拟屏幕操作识别模块进行处理;所述RDP协议数据流格式化模块处理RDP服务器端模块数据时,将其中包含的图形信息解析出来,然后将图形信息绘制在为远程虚拟桌面会话而开启的一个内存虚拟屏幕中,同时将其复制三份,一份交由实时监控视频流输出模块,另一份保存于追溯回放数据库,第三份提交给虚拟屏幕操作识别模块;当虚拟屏幕操作识别模块获取到RDP服务器端模块返回的图形信息时,与上一次获取的内存虚拟屏幕进行比较,分析出屏幕中变化的部分,进而从变化中提取出文字部分,再从鼠标键盘输入的队列中查找出对应该返回图形信息的输入节点,就可以分析出有效操作及其返回结果,在远程桌面传输协议监控时完成识别操作。
2.根据权利要求1所述在远程桌面传输协议监控时实现操作识别***的实现方法,其特征在于所述方法为:RDP虚拟服务器端模块将来自于RDP客户端模块的加密压缩数据进行解密解压处理并发送给协议数据分流处理模块,RDP虚拟客户端模块将来自于RDP服务器端模块的加密压缩数据进行解密解压处理并发送给协议数据分流处理模块;协议数据分流处理模块作为数据桥梁,将解密解压处理的RDP客户端模块明文数据转发给RDP虚拟客户端模块,将解密解压处理的RDP服务器端模块明文数据转发给RDP虚拟服务器端模块,同时协议数据分流处理模块复制一份解密解压处理的RDP客户端模块明文数据和解密解压处理的RDP服务器端模块明文数据交给RDP协议数据流格式化模块;RDP协议数据流格式化模块处理RDP客户端模块数据时是将其中的虚拟键码信息提炼出来交由虚拟屏幕操作识别模块进行处理,RDP协议数据流格式化模块处理RDP服务器端模块数据时是将其中包含的图形信息解析出来,然后将图形信息绘制在为远程虚拟桌面会话而开启的一个内存虚拟屏幕中,同时将其复制三份,一份交由实时监控视频流输出模块,另一份保存于追溯回放数据库,第三份提交给虚拟屏幕操作识别模块;当虚拟屏幕操作识别模块获取到RDP服务器端模块返回的图形信息时,与上一次获取的内存虚拟屏幕进行比较,分析出屏幕中变化的部分,进而从变化中提取出文字部分,再从鼠标键盘输入的队列中查找出对应该返回图形信息的输入节点,就可以分析出有效操作及其返回结果,在远程桌面传输协议监控时完成识别操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110158731.5A CN102223368B (zh) | 2011-06-14 | 2011-06-14 | 在远程桌面传输协议监控时实现操作识别的***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110158731.5A CN102223368B (zh) | 2011-06-14 | 2011-06-14 | 在远程桌面传输协议监控时实现操作识别的***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102223368A CN102223368A (zh) | 2011-10-19 |
| CN102223368B true CN102223368B (zh) | 2014-05-21 |
Family
ID=44779797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110158731.5A Active CN102223368B (zh) | 2011-06-14 | 2011-06-14 | 在远程桌面传输协议监控时实现操作识别的***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102223368B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592121B (zh) * | 2014-10-31 | 2018-10-02 | 中国科学院声学研究所 | 一种rdp数据采集装置及方法 |
| CN105847307B (zh) * | 2015-01-12 | 2019-03-08 | 北京神州泰岳信息安全技术有限公司 | 一体化运维方法及*** |
| CN106161496B (zh) * | 2015-03-25 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 终端的远程协助方法及装置、*** |
| CN107194394A (zh) * | 2016-09-29 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 远程访问监控方法及相关装置 |
| CN106506639B (zh) * | 2016-11-03 | 2019-05-07 | 珠海智城信息技术有限公司 | 数据逆向解析方法、装置、***及数据采集端 |
| CN106713494B (zh) * | 2017-01-23 | 2020-05-08 | 上海上讯信息技术股份有限公司 | 一种智能审计方法和装置 |
| CN108234627A (zh) * | 2017-12-29 | 2018-06-29 | 上海上讯信息技术股份有限公司 | 一种基于rdp协议的远程桌面代理视频录像的方法 |
| CN110602118B (zh) * | 2019-09-20 | 2022-04-22 | 南京信易达计算技术有限公司 | 一种虚拟化数据远程加密安全***及方法 |
| FR3133685A1 (fr) * | 2022-03-15 | 2023-09-22 | Serenicity | Systeme d’analyse automatisee des actions d’un utilisateur connecte a distance sur un serveur |
| CN114697407A (zh) * | 2022-03-28 | 2022-07-01 | 杭州安恒信息技术股份有限公司 | 基于rdp协议的数据处理方法、装置、电子装置和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426027A (zh) * | 2008-10-28 | 2009-05-06 | 北京航空航天大学 | 面向分布式虚拟机监控器的底层通信方法 |
| CN101707622A (zh) * | 2009-10-30 | 2010-05-12 | 深圳市深视音电子技术有限公司 | 实现远程数据监控的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2005266945A1 (en) * | 2004-07-23 | 2006-02-02 | Citrix Systems, Inc. | A method and systems for securing remote access to private networks |
-
2011
- 2011-06-14 CN CN201110158731.5A patent/CN102223368B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426027A (zh) * | 2008-10-28 | 2009-05-06 | 北京航空航天大学 | 面向分布式虚拟机监控器的底层通信方法 |
| CN101707622A (zh) * | 2009-10-30 | 2010-05-12 | 深圳市深视音电子技术有限公司 | 实现远程数据监控的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102223368A (zh) | 2011-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102223368B (zh) | 在远程桌面传输协议监控时实现操作识别的***及方法 | |
| US11442802B2 (en) | Linking related events for various devices and services in computer log files on a centralized server | |
| EP3104287B1 (en) | Systems and methods for indexing and aggregating data records | |
| US9628357B2 (en) | Service compliance enforcement using user activity monitoring and work request verification | |
| US7945917B2 (en) | Monitoring method, monitoring system, system program and recording medium having program recorded thereon | |
| US11258814B2 (en) | Methods and systems for using embedding from Natural Language Processing (NLP) for enhanced network analytics | |
| US7991838B2 (en) | Apparatus and method for report sharing within an instant messaging framework | |
| US10541892B2 (en) | System and method for monitoring, sensing and analytics of collaboration devices | |
| US20210385121A1 (en) | Method and system for architecture analysis of an enterprise | |
| US10347286B2 (en) | Displaying session audit logs | |
| US11032131B1 (en) | Methods and systems for communication with air gapped computer systems | |
| CN114144798A (zh) | 安全事故调查事件捕获 | |
| CN108040045B (zh) | 访问流量文件的生成方法、装置、服务器及存储介质 | |
| USRE48912E1 (en) | Systems, methods, and apparatuses for creating a shared file system between a mainframe and distributed systems | |
| CN106713494B (zh) | 一种智能审计方法和装置 | |
| CN104484695A (zh) | 二维码数据跨网传输平台 | |
| US11445010B2 (en) | Distributed historization system | |
| WO2016065787A1 (zh) | 一种rdp数据采集装置及方法 | |
| CN111756684A (zh) | 传输机密数据的***和方法 | |
| CN105320711A (zh) | 巨量数据存取方法以及使用该方法的*** | |
| US20190066012A1 (en) | Enterprise customer website | |
| US20180295145A1 (en) | Multicomputer Digital Data Processing to Provide Information Security Control | |
| CN104462220B (zh) | 网页截屏与编码传输方法及装置 | |
| TWI722001B (zh) | 壓縮、翻譯伺服器 | |
| US11128605B2 (en) | Distributed encryption of mainframe data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |