CN106713494A - 一种智能审计方法和装置 - Google Patents

Abstract

本申请公开了一种智能审计方法和装置，该方法包括：接收RDP客户端发送的I/O请求；解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；将确定的操作动作的码流信息***至接收到的I/O请求中，形成修改后的I/O请求；发送修改后的I/O请求到目标机器；接收目标机器对修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。本申请通过在RDP协议合适位置查找相应的数据包，并整合协议数据包，以达到记录用户鼠标键盘、粘贴复制、打开文件等操作的效果。本申请通过RDP运维实现了图形协议内容的提取，既解决了数据传输的安全性控制，又可以方便用户进行IT设备运维管理。

Description

一种智能审计方法和装置

技术领域

本申请涉及计算机领域，尤其涉及一种智能审计方法和装置。

背景技术

随着计算机及网络技术的发展，对IT设备的运行维护越来越受到政府和企业的重视，同时对运维的审计需求，也日益增长。运维管理***作为用户和目标设备的中间层，它需要完成各种协议的代理运维过程，同时实现相关控制功能。

远程桌面协议(RDP，Remote Desktop Protocol)是一个多通道的协议，让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。通过RDP协议进行代理运维时，本地桌面和远程桌面之间的数据交换可以被RDP代理记录并进行录像播放。

然而，现有的RDP协议代理，主要是记录桌面I/O操作，虽然能实现本地和远程的数据传输，但不能有效的分析出用户在桌面进行的测试，存在了很大的不足。例如，审计人员在审计时，无法查看到操作人员在操作远程设备时，都进行了哪些具体危险性的操作。比如剪切\复制了什么文件及其内容，鼠标\键盘点击或者输入了什么内容，打开过什么危险性文件。

发明内容

本申请实施例提供一种智能审计方法和装置，用以解决现有技术中RDP协议代理，只是记录桌面I/O操作，不能有效的分析出用户在桌面进行的测试的问题。

本申请的一个方面提供了一种智能审计方法，包括：

接收RDP客户端发送的I/O请求；

解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；

将所述确定的操作动作的码流信息***至接收到的I/O请求中，形成修改后的I/O请求；

发送修改后的I/O请求到目标机器；

接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。

进一步的，在将所述确定的操作动作的码流信息***至接收到的I/O请求之前，还包括监控步骤，具体为：

根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息***至接收到的I/O请求的步骤。

进一步的，所述判断用户操作是否属于危险性操作，具体包括：

通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本***，如是，则确定用户操作属于危险性操作。

进一步的，所述确定协议数据包中操作动作的码流信息，包括：确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

进一步的，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容获取操作信息。

进一步的，当所述协议数据包为鼠标键盘的协议数据包时，所述鼠标键盘操作的数据通过第一虚拟通道进行传输。

进一步的，当所述协议数据包为剪贴板的协议数据包时，所述剪贴板操作的数据通过第二虚拟通道进行传输。

进一步的，当所述协议数据包为文件标题内容的协议数据包时，所述文件标题内容的获取，是根据用户远程桌面操作获取打开的文件名称。

本申请的另一个方面提供了一种智能审计装置，包括：

接收模块，用于接收RDP客户端发送的I/O请求；

协议解析模块，用于解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的的码流信息；

生成模块，用于将所述确定的操作动作的码流信息***至接收到的I/O请求中，形成修改后的I/O请求；

发送模块，用于发送修改后的I/O请求到目标机器；

收发模块，用于接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。

进一步的，还包括：

判断模块，用于在将所述确定的操作动作的码流信息***至接收到的I/O请求之前，根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息***至接收到的I/O请求的步骤。

进一步的，所述判断模块，还用于通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本***，如是，则确定用户操作属于危险性操作。

进一步的，还包括：

确定模块，用于确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

进一步的，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容提取操作信息。

进一步的，还包括：

第一虚拟通道层，用于当所述协议数据包为鼠标键盘的协议数据包时，传输鼠标键盘操作的数据。

进一步的，还包括：

第二虚拟通道层，用于当所述协议数据包为剪贴板的协议数据包时，传输剪贴板操作的数据。

进一步的，还包括：

获取模块，用于当所述协议数据包为文件标题内容的协议数据包时，根据用户远程桌面操作获取打开的文件名称。

与现有技术相比，本申请实施例通过RDP代理服务，接收RDP客户端发送的I/O请求，解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中实现图形协议内容提取的操作动作码流信息，并将该操作动作码流信息***至接收到的I/O请求中，形成修改后的I/O请求，发送修改后的I/O请求到目标机器，接收目标机器对修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。本申请通过在RDP协议合适位置查找相应的数据包，并整合协议数据包，以达到记录用户鼠标键盘、粘贴复制、打开文件等操作的效果。本申请通过RDP运维实现了图形协议内容(文件标题内容、鼠标键盘操作、剪贴复制操作)的提取，既解决了数据传输的安全性控制，又可以方便用户进行IT设备运维管理。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出本申请的一个方面的一种智能审计方法流程示意图；

图2示出根据本申请一个方面的一种智能审计RDP代理服务模型的时序图；

图3示出根据本申请一个方面的一种智能审计剪贴板操作时序图；

图4示出本申请的另一个方面的一种智能审计装置的结构示意图。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

下面结合说明书附图对本申请实施例作进一步详细描述。

本申请实施例应用在IT基本设施运维管理***中，用来对RDP类的访问、操作进行审计。

本申请的一个方面提供了一种智能审计方法，涉及RDP运维管理***的核心流程，如图1所示，该方法具体包括以下步骤：

步骤S101，接收RDP客户端发送的I/O请求；

步骤S102，解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包操作动作的码流信息；

步骤S103，将所述确定的操作动作的码流信息***至接收到的I/O请求中，形成修改后的I/O请求；

步骤S104，发送修改后的I/O请求到目标机器；

步骤S105，接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。

具体的，协议数据包分为流媒体，图像，文件三类。流媒体包分为流类型：文本类型(每个单位为一个设备像素)、毫米类型(每个逻辑单位为一毫米)等等，X轴坐标，Y轴坐标，流内容。图像类型包括：像素值(红，绿，蓝，扩展值)。文件类型包括：文件描述(属性，大小，写时间、复制进度)，文件ID，文件列表，操作类型等等。

本申请实施例，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容获取操作信息。

进一步的，所述确定协议数据包中操作动作的码流信息，包括：确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

本申请实施例通过对本地操作动作和远程桌面操作动作的记录，不仅解决了数据传输的安全性控制，又可以对本地操作和远程桌面操作进行监控，以查看操作人员具体进行了那些危险性的操作。

下面结合图2举一具体实施例，介绍本申请的技术方案如何通过RDP运维实现图形协议内容的提取。

如图2所示，本申请实施例RDP代理服务相当于***的中间层，由它负责接收RDP客户端(mstsc，rdesktop等)发送过来的I/O请求，该代理服务内置协议解析模块，该模块主要负责解析运维过程中与鼠标、键盘、粘贴、复制、打开文件等操作相关的协议数据包，完成后根据用户需要解析出特定码流信息，即如鼠标、键盘与剪贴板的粘贴、复制信息等等。并将该码流信息***至接收到的I/O请求中，形成修改后的I/O请求，再转发到远程目标机器。

实施中，目标机器接受到修改后的I/O请求后，RDP代理程序接收目标机器对所述修改后的I/O请求做出的I/O响应，再转发到RDP客户端。具体的，目标机器对所述修改后的I/O请求做出的I/O响应，如，客户端进行了一个鼠标点击操作，那么目标机器会返回数据信息给客户端。鼠标点击事件，通过RDP自身包流程后解析出数据包，数据包中又包含公共控制数据头部、安全控制数据头部等信息，按照代码中相应的方式解析出鼠标操作数据包含操作的类型，X方向坐标，Y方向坐标等。

进一步的，在将所述确定的操作动作的码流信息***至接收到的I/O请求之前，还包括监控步骤，具体为：

根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息***至接收到的I/O请求的步骤。

本申请实施例，在RDP代理服务过程中，根据解析出的如鼠标、键盘与剪贴板的粘贴、复制信息等等，判断是否需要阻断用户操作，如果不阻断则转发确定的操作动作码流信息给目标机器。

进一步的，所述判断用户操作是否属于危险性操作，具体包括：

通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本***，如是，则确定用户操作属于危险性操作。

进一步的，当所述协议数据包为鼠标键盘的协议数据包时，所述鼠标键盘操作的数据通过第一虚拟通道进行传输。

本申请实施例，在RDP协议中，鼠标、键盘操作是与用户远程桌面操作融合在一个虚拟通道进行传输的。鼠标操作需要在特定的RDP码流中获取，鼠标的操作包括有：鼠标按键属性(左键、右键、中键)，鼠标点击操作(单击、双击)。

键盘操作也需要在特定的RDP码流中获取。如键盘的操作码流包含标志(击键消息包含一个扩展扫描码，指明该键是否是扩展键，如增强的101或102键盘。对于增强型101和102键键盘，键盘的主体部分的增强键是右边的ALT和CTRL键，还有数字键盘左侧的INS，DEL，HOME，END，PAGE UP，PAGEDOWN以及箭头键等，以及数字键盘上的斜杠(“/”)和ENTER键。)，按键点击相应标志(表示这是一个点击事件)，按键相应码(表示这是哪个按键字符)等等。

进一步的，当所述协议数据包为剪贴板的协议数据包时，所述剪贴板操作的数据通过第二虚拟通道进行传输。

本申请实施例，如图3所示，在RDP协议中，剪贴板的数据是通过剪贴板的专有虚拟通道进行传输的。本地和远端的复制和粘贴操作，会使用到两端的***剪贴板。主机A在进行复制操作的时候，首先触发剪贴板更新通知。剪贴板虚拟通道端，接收到该通知，发送剪贴板更新请求给主机B，B接收到该请求后，会根据请求的格式，修改本地剪贴板信息，注意此时并未传输实际的数据，B剪贴板信息更新成功后会发送响应消息给A主机。在B主机上进行粘贴操作，则会触发剪贴板数据请求，该请求经过RDP代理服务，转发到A主机，这时候A主机需要将实际存储的剪贴板数据以协议约定的格式发送到B主机，B主机接收到数据更新本地剪贴板，此时应用程序就可以通过使用本地剪贴板完成数据的粘贴操作。

具体的，分析复制和粘贴操作，首先要从码流中分析出文件内容或者文件名所在的位置并提取出来，再根据远程桌面操作***的语言(中文(UTF16、GBK、GB2312等等)、英文、日文、俄文等等)转换成中文UTF8格式，并展示到回放页面中。

本申请实施例，鼠标键盘与剪贴板的粘贴复制操作分别在RDP协议的虚拟通道区域1003和1005进行传输，以拆分标示不同虚拟通道的数据，加快客户端处理速度，节省占用网络接口的时间。不同的虚拟通道都有各自的组合与加密规则，用于对功能数据进行加密和解密处理。

进一步的，当所述协议数据包为文件标题内容的协议数据包时，所述文件标题内容的获取，是根据用户远程桌面操作获取打开的文件名称。

本申请实施例，文件标题内容获取，是根据用户远程桌面操作获取打开的文件名称。远程桌面操作文字是存储在256*256大小的缓存中。根据ID不同，操作***会在远程桌面中存取。当缓存不足时，原有内容会被覆盖，这就要根据实际情况去及时取得文件标题内容。

本申请实施例通过RDP代理服务，接收RDP客户端发送的I/O请求，解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中实现图形协议内容提取的操作动作码流信息，并将该操作动作码流信息***至接收到的I/O请求中，形成修改后的I/O请求，发送修改后的I/O请求到目标机器，接收目标机器对修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。本申请通过在RDP协议合适位置查找相应的数据包，并整合协议数据包，以达到记录用户鼠标键盘、粘贴复制、打开文件等操作的效果。本申请通过RDP运维实现了图形协议内容的提取，既解决了数据传输的安全性控制，又可以对本地操作和远程桌面操作进行监控，以查看操作人员具体进行了那些危险性的操作。

基于相同的技术构思，本申请实施例还提供一种智能审计装置，该装置可执行上述方法实施例，由于该装置解决问题的原理与前述一种智能审计方法相似，因此该装置的实施可以参见方法的实施。

本申请的另一方面提供的一种智能审计装置，如图4所示，包括：

接收模块401，用于接收RDP客户端发送的I/O请求；

协议解析模402，用于解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；

生成模块403，用于将所述确定的操作动作的码流信息***至接收到的I/O请求中，形成修改后的I/O请求；

发送模块404，用于发送修改后的I/O请求到目标机器；

收发模块405，用于接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。

本申请实施例，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容获取操作信息。

进一步的，还包括：

确定模块，用于确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

本申请实施例通过对本地操作动作和远程桌面操作动作的记录，不仅解决了数据传输的安全性控制，又可以对本地操作和远程桌面操作进行监控，以查看操作人员具体进行了那些危险性的操作。

本申请实施例RDP代理服务相当于***的中间层，由它负责接收RDP客户端(mstsc，rdesktop等)发送过来的I/O请求，该代理服务内置协议解析模块，该模块主要负责解析运维过程中与鼠标、键盘、粘贴、复制、打开文件等操作相关的协议数据包，完成后根据用户需要解析出特定码流信息，即如鼠标、键盘与剪贴板的粘贴、复制信息等等。并将该码流信息***至接收到的I/O请求中，形成修改后的I/O请求，再转发到远程目标机器。

实施中，目标机器接受到修改后的I/O请求后，RDP代理程序接收目标机器对所述修改后的I/O请求做出的I/O响应，再转发到RDP客户端。具体的，目标机器对所述修改后的I/O请求做出的I/O响应，如，客户端进行了一个鼠标点击操作，那么目标机器会返回数据信息给客户端。鼠标点击事件，通过RDP自身包流程后解析出数据包，数据包中又包含公共控制数据头部、安全控制数据头部等信息，按照代码中相应的方式解析出鼠标操作数据包含操作的类型，X方向坐标，Y方向坐标等。

进一步的，还包括：

判断模块406，用于在将所述确定的操作动作的码流信息***至接收到的I/O请求之前，根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息***至接收到的I/O请求的步骤。

本申请实施例，在RDP代理服务过程中，根据解析出的如鼠标、键盘与剪贴板的粘贴、复制信息等等，判断是否需要阻断用户操作，如果不阻断则转发确定的操作动作码流信息给目标机器。

进一步的，所述判断模块406，还用于通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本***，如是，则确定用户操作属于危险性操作。

进一步的，还包括：

第一虚拟通道层408，用于当所述协议数据包为鼠标键盘的协议数据包时，传输鼠标键盘操作的数据。

本申请实施例，在RDP协议中，鼠标、键盘操作是与用户远程桌面操作融合在一个虚拟通道进行传输的。鼠标操作需要在特定的RDP码流中获取，鼠标的操作包括有：鼠标按键属性(左键、右键、中键)，鼠标点击操作(单击、双击)。

键盘操作也需要在特定的RDP码流中获取。如键盘的操作码流包含标志(击键消息包含一个扩展扫描码，指明该键是否是扩展键，如增强的101或102键盘。对于增强型101和102键键盘，键盘的主体部分的增强键是右边的ALT和CTRL键，还有数字键盘左侧的INS，DEL，HOME，END，PAGE UP，PAGEDOWN以及箭头键等，以及数字键盘上的斜杠(“/”)和ENTER键。)，按键点击相应标志(表示这是一个点击事件)，按键相应码(表示这是哪个按键字符)等等。

进一步的，还包括：

第二虚拟通道层409，用于当所述协议数据包为剪贴板的协议数据包时，传输剪贴板操作的数据。

在RDP协议中，剪贴板的数据是通过剪贴板的专有虚拟通道进行传输的。本地和远端的复制和粘贴操作，会使用到两端的***剪贴板。主机A在进行复制操作的时候，首先触发剪贴板更新通知。剪贴板虚拟通道端，接收到该通知，发送剪贴板更新请求给主机B，B接收到该请求后，会根据请求的格式，修改本地剪贴板信息，注意此时并未传输实际的数据，B剪贴板信息更新成功后会发送响应消息给A主机。在B主机上进行粘贴操作，则会触发剪贴板数据请求，该请求经过RDP代理服务，转发到A主机，这时候A主机需要将实际存储的剪贴板数据以协议约定的格式发送到B主机，B主机接收到数据更新本地剪贴板，此时应用程序就可以通过使用本地剪贴板完成数据的粘贴操作。

具体的，分析复制和粘贴操作，首先要从码流中分析出文件内容或者文件名所在的位置并提取出来，再根据远程桌面操作***的语言(中文(UTF16、GBK、GB2312等等)、英文、日文、俄文等等)转换成中文UTF8格式，并展示到回放页面中。

本申请实施例，鼠标键盘与剪贴板的粘贴复制操作分别在RDP协议的虚拟通道区域1003和1005进行传输，以拆分标示不同虚拟通道的数据，加快客户端处理速度，节省占用网络接口的时间。不同的虚拟通道都有各自的组合与加密规则，用于对功能数据进行加密和解密处理。

进一步的，还包括：

获取模块410，用于当所述协议数据包为文件标题内容的协议数据包时，根据用户远程桌面操作获取打开的文件名称。

本申请实施例，文件标题内容获取，是根据用户远程桌面操作获取打开的文件名称。远程桌面操作文字是存储在256*256大小的缓存中。根据ID不同，操作***会在远程桌面中存取。当缓存不足时，原有内容会被覆盖，这就要根据实际情况去及时取得文件标题内容。

本申请实施例通过RDP代理服务，接收RDP客户端发送的I/O请求，解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中实现图形协议内容提取的操作动作码流信息，并将该操作动作码流信息***至接收到的I/O请求中，形成修改后的I/O请求，发送修改后的I/O请求到目标机器，接收目标机器对修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。本申请通过在RDP协议合适位置查找相应的数据包，并整合协议数据包，以达到记录用户鼠标键盘、粘贴复制、打开文件等操作的效果。本申请通过RDP运维实现了图形协议内容的提取，既解决了数据传输的安全性控制，又可以对本地操作和远程桌面操作进行监控，以查看操作人员具体进行了那些危险性的操作。

本领域内的技术人员应明白，本申请的实施例可提供为方法、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (16)

1.一种智能审计方法，其特征在于，该方法包括：

接收RDP客户端发送的I/O请求；

解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；

将所述确定的操作动作的码流信息***至接收到的I/O请求中，形成修改后的I/O请求；

发送修改后的I/O请求到目标机器；

接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。

2.根据权利要求1所述的方法，其特征在于，在将所述确定的操作动作的码流信息***至接收到的I/O请求之前，还包括监控步骤，具体为：

根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息***至接收到的I/O请求的步骤。

3.根据权利要求2所述的方法，其特征在于，所述判断用户操作是否属于危险性操作，具体包括：

通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本***，如是，则确定用户操作属于危险性操作。

4.根据权利要求1或3所述的方法，其特征在于，所述确定协议数据包中操作动作的码流信息，包括：确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

5.根据权利要求4所述的方法，其特征在于，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容提取操作信息。

6.根据权利要求5所述的方法，其特征在于，当所述协议数据包为鼠标键盘的协议数据包时，所述鼠标键盘操作的数据通过第一虚拟通道进行传输。

7.根据权利要求5所述的方法，其特征在于，当所述协议数据包为剪贴板的协议数据包时，所述剪贴板操作的数据通过第二虚拟通道进行传输。

8.根据权利要求5所述的方法，其特征在于，当所述协议数据包为文件标题内容的协议数据包时，所述文件标题内容的获取，是根据用户远程桌面操作获取打开的文件名称。

9.一种智能审计装置，其特征在于，该装置包括：

接收模块，用于接收RDP客户端发送的I/O请求；

协议解析模块，用于解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；

生成模块，用于将所述确定的操作动作的码流信息***至接收到的I/O请求中，形成修改后的I/O请求；

发送模块，用于发送修改后的I/O请求到目标机器；

收发模块，用于接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。

10.根据权利要求9所述的装置，其特征在于，还包括：

判断模块，用于在将所述确定的操作动作的码流信息***至接收到的I/O请求之前，根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息***至接收到的I/O请求的步骤。

11.根据权利要求10所述的装置，其特征在于，所述判断模块，还用于通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本***，如是，则确定用户操作属于危险性操作。

12.根据权利要求9或11所述的装置，其特征在于，包括：

确定模块，用于确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

13.根据权利要求12所述的装置，其特征在于，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容提取操作信息。

14.根据权利要求13所述的装置，其特征在于，还包括：

第一虚拟通道层，用于当所述协议数据包为鼠标键盘的协议数据包时，传输鼠标键盘操作的数据。

15.根据权利要求14所述的装置，其特征在于，还包括：

第二虚拟通道层，用于当所述协议数据包为剪贴板的协议数据包时，传输剪贴板操作的数据。

16.根据权利要求15所述的装置，其特征在于，还包括：

获取模块，用于当所述协议数据包为文件标题内容的协议数据包时，根据用户远程桌面操作获取打开的文件名称。