CN107346380A - 一种基于rdp的数据防泄漏***和方法 - Google Patents

一种基于rdp的数据防泄漏***和方法 Download PDF

Info

Publication number
CN107346380A
CN107346380A CN201610294344.7A CN201610294344A CN107346380A CN 107346380 A CN107346380 A CN 107346380A CN 201610294344 A CN201610294344 A CN 201610294344A CN 107346380 A CN107346380 A CN 107346380A
Authority
CN
China
Prior art keywords
rdp
data
protocol
pipeline
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610294344.7A
Other languages
English (en)
Inventor
高曦
牟永鹏
王斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing VRV Software Corp Ltd
Original Assignee
Beijing VRV Software Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing VRV Software Corp Ltd filed Critical Beijing VRV Software Corp Ltd
Priority to CN201610294344.7A priority Critical patent/CN107346380A/zh
Publication of CN107346380A publication Critical patent/CN107346380A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于RDP的数据防泄漏***和方法,所述***包括:安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块。本发明能够对远程访问数据中心的RDP终端进行身份认证,确保合法使用;对原有RDP终端和数据中心改动小,不受RDP远程虚拟化技术实现方式和架构影响;能杜绝数据中心到RDP终端的非授权数据流动;所述数据防泄漏***对每次RDP终端的认证请求进行记录,即使发生恶意访问的情况,通过查询所述数据防泄漏***的认证请求记录可以快速定位到进行恶意访问的RDP终端。

Description

一种基于 RDP 的数据防泄漏***和方法
技术领域
本发明涉及远程虚拟化安全技术领域,具体涉及一种基于 RDP 的数据防泄漏***和方法。
背景技术
现有的远程数据中心通常使用 PC 终端,并采用 RDP 协议进行数据交互,而 RDP 远程协议可以通过共享本地磁盘,外设等进行本地与数据中心的文件拷贝。这种协议交换安全性较弱,易将数据中心的受保护文件或数据在未经授权情况下就被拷贝外泄。同时,由于 RDP 远程连接配置通常是可以直接由用户选择的,存在恶意用户通过共享本地磁盘而获取到数据中心受保护数据的风险。
发明内容
本发明的目的在于,为解决上述技术问题,提供一种能有效防止受保护文件或数据未经授权情况下就被拷贝外泄的基于 RDP 的数据防泄漏***和方法。
为解决上述技术问题,本发明采用如下的技术方案:一种基于 RDP 的数据防泄漏***,包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,其中:
安全管理模块,用于对所述数据防泄漏***进行安全管理,录入合法的 RDP 终端用户并为其配置访问数据中心的授权信息;
身份认证模块,用于对所述 RDP 终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的 RDP 终端用户;
数据采集模块,用于实时采集流经所述数据防泄漏***的网络数据,获取 RDP 终端至数据防泄漏***、 RDP 终端至数据中心之间的数据;
协议分析模块,用于对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,得到所述网络数据中的 RDP 登录、剪贴板和数据拷贝行为;
访问控制模块,用于对 RDP 终端与数据中心之间的数据流进行访问控制,根据所述授权信息,判断所述 RDP 终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于 RDP 的数据防泄漏***,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。
本发明还提供一种基于 RDP 的数据防泄漏方法,包括:
S1 RDP 终端访问数据防泄漏***,数据防泄漏***通过用户输入的认证信息,判断用户是否为合法的用户;
S2 RDP 终端通过数据防泄漏***与数据中心进行远程连接;
S3 、在网桥网口上采集 RDP 终端与数据中心远程连接中的网络数据;
S4 、根据采集到的网络数据分析确认所述远程连接是否为 RDP 远程连接,并对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,确认所述远程连接中管道信息对应的操作行为;
S5 、通过对操作行为进行分析,确认 RDP 终端是否存在数据传输拷贝行为;
S6 、对 RDP 终端与数据中心之间的数据流进行访问控制,根据认证信息与数据防泄漏***中预先配置的授权信息进行匹配,判断所述 RDP 终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于 RDP 的数据防泄漏方法,所述分析确认所述远程连接是否为 RDP 远程连接的具体方法为:首先确认所述远程连接的目的端口是 3389 ,并确认三次握手后的首个数据包中前四个字节是 RDP 协议特征。
如前述的基于 RDP 的数据防泄漏方法,在所述分析确认所述远程连接为 RDP 远程连接之前还包括:终端向数据中心发起 RDP 远程连接请求后,数据采集模块通过采集入网口数据包,通过入网口数据包中的五元组建立基于当前 RDP 远程连接的流表信息;所述五元组包括:源 IP 、源端口、目的 IP 、目的端口和协议类型。
如前述的基于 RDP 的数据防泄漏方法,所述操作行为包括:磁盘共享、文件拷贝和打印共享。
如前述的基于 RDP 的数据防泄漏方法,所述管道信息包括:管道 A 协议包、管道 B 协议包和管道 C 协议包。
如前述的基于 RDP 的数据防泄漏方法,步骤 S4 中确认所述远程连接中管道信息对应的操作行为的方法具体为:
管道 A 协议包出现时,管道 C 协议包也出现过,则 RDP 远程连接已到用户登录界面,同时时初始化管道 C 的统计信息;
出现由 RDP 终端发起的管道 B 协议包时,则当前 RDP 终端正在进行剪贴板操作行为;
管道 C 协议包出现操作特征后,则当前 RDP 终端正在进行交互行为。
如前述的基于 RDP 的数据防泄漏方法,所述步骤 S5 具体包括以下步骤:
S5a 、根据管道 A 协议包累计信息统计得出 RDP 远程登录行为;
S5b 、当登录后根据终端发起的管道 B 协议包累计信息统计得出剪贴板行为;
S5c 、当登录后根据管道 C 协议包累计信息统计得出磁盘共享或打印共享行为;
S5d 、当满足磁盘共享或打印共享行为后,根据管道 C 协议包中特征分析得出数据拷贝行为。
与现有技术相比,本发明通过设置安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,从而能够对远程访问数据中心的 RDP 终端进行身份认证,确保合法使用;对原有 RDP 终端和数据中心改动小,不受 RDP 远程虚拟化技术实现方式和架构影响;能杜绝数据中心到 RDP 终端的非授权数据流动;所述数据防泄漏***对每次 RDP 终端的认证请求进行记录,即使发生恶意访问的情况,通过查询所述数据防泄漏***的认证请求记录可以快速定位到进行恶意访问的 RDP 终端。
附图说明
1 为本发明***结构示意图;
2 为本发明方法流程示意图;
3 为本发明中 RDP 终端通过数据防泄漏***与数据中心进行远程连接的流程图;
4 为本发明中数据防泄漏***在网桥网口上采集终端与数据中心远程连接中的数据包流程图;
5 为本发明中数据防泄漏***根据采集到的数据包分析确认远程连接是否为 RDP 远程连接流程图。
下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
本发明实施例 1 ,如图 1 所示,本实施例公开了一种基于 RDP 的数据防泄漏*** 120 ,包括:
包括安全管理模块 121 、身份认证模块 122 、数据采集模块 123 、协议分析模块 124 和访问控制模块 125 ,其中:
安全管理模块 121 ,用于对所述数据防泄漏*** 120 进行安全管理,录入合法的 RDP 终端用户并为其配置访问数据中心 130 的授权信息;
身份认证模块 122 ,用于对所述 RDP 终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的 RDP 终端用户;
数据采集模块 123 ,用于实时采集流经所述数据防泄漏*** 120 的网络数据,获取 RDP 终端 110 至数据防泄漏*** 120 RDP 终端 110 至数据中心 130 之间的数据;
协议分析模块 124 ,用于对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,得到所述网络数据中的 RDP 登录、剪贴板和数据拷贝行为;
访问控制模块 125 ,用于对 RDP 终端 110 与数据中心 130 之间的数据流进行访问控制,根据所述授权信息,判断所述 RDP 终端 110 的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于 RDP 的数据防泄漏*** 120 ,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。
本发明实施例 2 ,本实施例公开了本发明还提供一种基于 RDP 的数据防泄漏方法,包括:
S1 、终端访问数据防泄漏*** 120 ,数据防泄漏*** 120 通过用户输入的认证信息,判断用户是否为合法的用户;
S2 、终端通过数据防泄漏*** 120 与数据中心 130 进行远程连接;如图 3 所示,为本步骤 S2 的一个优选实施方式 :
步骤 201 ,管理员 140 通过浏览器登录所述数据防泄漏***的 WEB 管理页面。
步骤 202 ,管理员 140 在步骤 201 中管理***中添加 RDP 终端 110 的认证账号,包括用户名和密码。
步骤 203 ,管理员 140 根据 RDP 终端 110 访问数据中心 130 的权限,配置上述步骤 202 中添加的账号的操作权限。
、在网桥网口上采集 RDP 终端 110 与数据中心 130 远程连接中的网络数据;如图 4 所示,为本步骤 S3 的一个优选实施方式 :
步骤 301 RDP 终端 110 通过浏览器访问所述数据防泄漏***的认证页面,在认证页面中输入用户名和密码并点击登录,此时浏览器会将用户数据的用户名和密码通过 HTTPS 协议发送给所述数据防泄漏***中的身份认证模块 122
步骤 302 ,身份认证模块 122 接收到 RDP 终端 11 发送来的认证请求后,将请求中的用户名和密码信息提取出来,然后与存储的账号信息进行匹配,得到认证结果;
步骤 303 ,身份认证模块 122 将认证结果通过 HTTPS 协议返回给 RDP 终端 110
S4 、根据采集到的网络数据分析确认所述远程连接是否为 RDP 远程连接,并对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,确认所述远程连接中的管道信息对应的操作行为;
如图 5 所示,为本步骤 S4 的一种优选实施方式:
步骤 401 RDP 终端 110 认证成功后,会向数据中心 130 发起 RDP 远程连接请求,所述数据防泄漏***通过采集入网口数据包,通过数据包中的五元组(源 IP 、源端口、目的 IP 、目的端口、协议类型)建立基于当前 RDP 远程连接的流表信息;并分析数据包中的目的端口是否为 3389 ,以及第一数据包中的前四个字节数据是否是 RDP 协议标准特征。
步骤 402 RDP 终端 110 与数据中心 130 建立 RDP 远程连接后,所述数据防泄漏***基于上述步骤 401 中的流表信息,分析记录 RDP 远程连接上的管道信息,当管道 A 协议包出现时,管道 C 协议包也出现过,则说明 RDP 远程连接已到用户登录界面,此时初始化管道 C 统计信息;
步骤 403 RDP 终端 110 登录数据中心 130 后,所述数据防泄漏*** 120 将统计分析所有通过 RDP 远程连接的数据包。当出现由 RDP 终端 110 发起的管道 B 协议包时,则表明当前 RDP 终端 110 正在进行剪贴板操作行为;通过对管道 C 协议包进行统计,当管道 C 协议包出现操作特征后,可以确认当前 RDP 终端 110 正在进行磁盘共享、文件拷贝或打印共享等操作行为;所述数据防泄漏*** 120 依据步骤 401 中所述流表信息记录当前连接的操作行为;
步骤 404 ,所述数据防泄漏*** 120 依据 RDP 终端 110 在上述图 4 中进行的身份认证的权限信息,确认当前 RDP 终端 110 RDP 远程连接是否有上述步骤 403 中的操作行为,若无相应操作权限则丢弃相关协议包,确保数据中心 130 数据泄露;若有其对应操作权限则正常转发协议包。
、通过对操作行为进行分析,确认 RDP 终端 110 是否存在数据传输拷贝行为;具体包括以下步骤:
S5a 、根据管道 A 协议包累计信息统计得出 RDP 远程登录行为;
S5b 、当登录后根据 RDP 终端 110 发起的管道 B 协议包累计信息统计得出剪贴板行为;
S5c 、当登录后根据管道 C 协议包累计信息统计得出磁盘共享或打印共享行为;
S5d 、当满足磁盘共享或打印共享行为后,根据管道 C 协议包中特征分析得出数据拷贝行为。
、对 RDP 终端 110 与数据中心 130 之间的数据流进行访问控制,根据认证信息与数据防泄漏*** 120 中预先配置的授权信息进行匹配,判断所述 RDP 终端 110 的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例 3 ,如图 2 所示,本实施例公开了本发明还提供一种基于 RDP 的数据防泄漏方法,包括:
S1 RDP 终端 110 访问数据防泄漏*** 120 ,数据防泄漏*** 120 通过用户输入的认证信息,判断用户是否为合法的用户;
S2 RDP 终端 110 通过数据防泄漏*** 120 与数据中心 130 进行远程连接;
S3 、在网桥网口上采集 RDP 终端 110 与数据中心 130 远程连接中的网络数据;
S4 、根据采集到的网络数据分析确认所述远程连接是否为 RDP 远程连接,所述分析确认所述远程连接是否为 RDP 远程连接具体方法为:首先确认所述远程连接的目的端口是 3389 ,并确认三次握手后的首个数据包中前四个字节是 RDP 协议特征;并对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,确认所述远程连接中的管道信息对应的操作行为;
S5 、通过对操作行为进行分析,确认 RDP 终端 110 是否存在数据传输拷贝行为;
S6 、对 RDP 终端 110 与数据中心 130 之间的数据流进行访问控制,根据认证信息与数据防泄漏*** 120 中预先配置的授权信息进行匹配,判断所述 RDP 终端 110 的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例 4 ,如图 2 所示,本实施例公开了本发明还提供一种基于 RDP 的数据防泄漏方法,包括:
S1 RDP 终端 110 访问数据防泄漏*** 120 ,数据防泄漏*** 120 通过用户输入的认证信息,判断用户是否为合法的用户;
S2 RDP 终端 110 通过数据防泄漏*** 120 与数据中心 130 进行远程连接;
S3 、在网桥网口上采集 RDP 终端 110 与数据中心 130 远程连接中的网络数据;
S4 、根据采集到的网络数据分析确认所述远程连接是否为 RDP 远程连接,并对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道 A 协议包、管道 B 协议包和管道 C 协议包;否则进行步骤 S4c; 所述 RDP 协议的解析方法为:
S4a 、若确认所述远程连接是 RDP 连接则通过协议解析得到 RDP 协议中管道信息,
S4b 、记录各管道的数据包累计信息,并统计出交互行为;所述交互行为包括:磁盘共享、文件拷贝和打印共享。
、丢弃数据包,阻断 RDP 终端 110 访问数据中心 130
S5 、通过对操作行为进行分析,确认 RDP 终端 110 是否存在数据传输拷贝行为;
S6 、对 RDP 终端 110 与数据中心 130 之间的数据流进行访问控制,根据认证信息与数据防泄漏*** 120 中预先配置的授权信息进行匹配,判断所述 RDP 终端 110 的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例 6 ,如图 2 所示,本实施例公开了本发明还提供一种基于 RDP 的数据防泄漏方法,包括:
S1 RDP 终端 110 访问数据防泄漏*** 120 ,数据防泄漏*** 120 通过用户输入的认证信息,判断用户是否为合法的用户;
S2 RDP 终端 110 通过数据防泄漏*** 120 与数据中心 130 进行远程连接;
S3 、在网桥网口上采集 RDP 终端 110 与数据中心 130 远程连接中的网络数据; S4 RDP 终端 110 向数据中心 130 发起 RDP 远程连接请求后,所述数据防泄漏*** 120 通过采集入网口数据包,通过入网口数据包中的五元组建立基于当前 RDP 远程连接的流表信息;所述五元组包括:源 IP 、源端口、目的 IP 、目的端口和协议类型;
根据采集到的网络数据分析确认所述远程连接是否为 RDP 远程连接,并对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,确认所述远程连接中的管道信息对应的操作行为;
S5 、通过对操作行为进行分析,确认 RDP 终端 110 是否存在数据传输拷贝行为;
S6 、对 RDP 终端 110 与数据中心 130 之间的数据流进行访问控制,根据认证信息与数据防泄漏*** 120 中预先配置的授权信息进行匹配,判断所述 RDP 终端 110 的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例 7 ,如图 2 所示,本实施例公开了本发明还提供一种基于 RDP 的数据防泄漏方法,包括:
S1 RDP 终端 110 访问数据防泄漏*** 120 ,数据防泄漏*** 120 通过用户输入的认证信息,判断用户是否为合法的用户;
S2 RDP 终端 110 通过数据防泄漏*** 120 与数据中心 130 进行远程连接;
S3 、在网桥网口上采集 RDP 终端 110 与数据中心 130 远程连接中的网络数据; S4 、根据采集到的网络数据分析确认所述远程连接是否为 RDP 远程连接,并对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道 A 协议包、管道 B 协议包和管道 C 协议包;
所述确认远程连接中的管道信息对应的操作行为的方法具体为:
管道 A 协议包出现时,管道 C 协议包也出现过,则 RDP 远程连接已到用户登录界面,同时时初始化管道 C 的统计信息;
出现由 RDP 终端 110 发起的管道 B 协议包时,则当前 RDP 终端 110 正在进行剪贴板操作行为;
管道 C 协议包出现操作特征后,则当前 RDP 终端 110 正在进行交互行为。
、通过对操作行为进行分析,确认 RDP 终端 110 是否存在数据传输拷贝行为;
S6 、对 RDP 终端 110 与数据中心 130 之间的数据流进行访问控制,根据认证信息与数据防泄漏*** 120 中预先配置的授权信息进行匹配,判断所述 RDP 终端 110 的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例 8 ,如图 2 所示,本实施例公开了本发明还提供一种基于 RDP 的数据防泄漏方法,包括:
S1 RDP 终端 110 访问数据防泄漏*** 120 ,数据防泄漏*** 120 通过用户输入的认证信息,判断用户是否为合法的用户;
S2 RDP 终端 110 通过数据防泄漏*** 120 与数据中心 130 进行远程连接;
S3 、在网桥网口上采集 RDP 终端 110 与数据中心 130 远程连接中的网络数据;
S4 、根据采集到的网络数据分析确认所述远程连接是否为 RDP 远程连接,并对采集的所述网络数据进行 RDP 协议解析,丢弃所述网络数据非 RDP 协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道 A 协议包、管道 B 协议包和管道 C 协议包;所述交互协议的确认方法为:
S5 、通过对操作行为进行分析,确认 RDP 终端 110 是否存在数据传输拷贝行为;具体包括以下步骤:
S5a 、根据管道 A 协议包累计信息统计得出 RDP 终端 110 远程登录行为;
S5b 、当登录后根据终端发起的管道 B 协议包累计信息统计得出剪贴板行为;
S5c 、当登录后根据管道 C 协议包累计信息统计得出磁盘共享或打印共享行为;
S5d 、当满足磁盘共享或打印共享行为后,根据管道 C 协议包中特征分析得出数据拷贝行为。
、对 RDP 终端 110 与数据中心 130 之间的数据流进行访问控制,根据认证信息与数据防泄漏*** 120 中预先配置的授权信息进行匹配,判断所述 RDP 终端 110 的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (9)

1.一种基于RDP的数据防泄漏***,包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,其特征在于:
安全管理模块,用于对所述数据防泄漏***进行安全管理,录入合法的RDP终端用户并为其配置访问数据中心的授权信息;
身份认证模块,用于对所述RDP终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的RDP终端用户;
数据采集模块,用于实时采集流经所述数据防泄漏***的网络数据,获取RDP终端至数据防泄漏***、RDP终端至数据中心之间的数据;
协议分析模块,用于对采集的所述网络数据进行RDP协议解析,丢弃所述网络数据非RDP协议数据包,得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为;
访问控制模块,用于对RDP终端与数据中心之间的数据流进行访问控制,根据所述授权信息,判断所述RDP终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
2.如权利要求1所述的基于RDP的数据防泄漏***,其特征在于,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。
3.一种基于RDP的数据防泄漏方法,其特征在于,包括:
S1、RDP终端访问数据防泄漏***,数据防泄漏***通过用户输入的认证信息,判断用户是否为合法的用户;
S2、RDP终端通过数据防泄漏***与数据中心进行远程连接;
S3、在网桥网口上采集RDP终端与数据中心远程连接中的网络数据;
S4、根据采集到的网络数据分析确认所述远程连接是否为RDP远程连接,并对采集的所述网络数据进行RDP协议解析,丢弃所述网络数据非RDP协议数据包,确认所述远程连接中管道信息对应的操作行为;
S5、通过对操作行为进行分析,确认RDP终端是否存在数据传输拷贝行为;
S6、对RDP终端与数据中心之间的数据流进行访问控制,根据认证信息与数据防泄漏***中预先配置的授权信息进行匹配,判断所述RDP终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
4.如权利要求3所述的基于RDP的数据防泄漏方法,其特征在于,所述分析确认所述远程连接是否为RDP远程连接的具体方法为:首先确认所述远程连接的目的端口是3389,并确认三次握手后的首个数据包中前四个字节是RDP协议特征。
5.如权利要求3所述的基于RDP的数据防泄漏方法,其特征在于,在所述分析确认所述远程连接为RDP远程连接之前还包括:终端向虚拟化数据中心发起RDP远程连接请求后,数据采集模块通过采集入网口数据包,通过入网口数据包中的五元组建立基于当前RDP远程连接的流表信息;所述五元组包括:源IP、源端口、目的IP、目的端口和协议类型。
6.如权利要求3所述的基于RDP的数据防泄漏方法,其特征在于,所述操作行为包括:磁盘共享、文件拷贝和打印共享。
7.如权利要求3所述的基于RDP的数据防泄漏方法,其特征在于,所述管道信息包括:管道A协议包、管道B协议包和管道C协议包。
8.如权利要求7所述的基于RDP的数据防泄漏方法,其特征在于,步骤S4中确认所述远程连接中管道信息对应的操作行为的方法具体为:
管道A协议包出现时,管道C协议包也出现过,则RDP远程连接已到用户登录界面,同时时初始化管道C的统计信息;
出现由RDP终端发起的管道B协议包时,则当前RDP终端正在进行剪贴板操作行为;
管道C协议包出现操作特征后,则当前RDP终端正在进行交互行为。
9.如权利要求7所述的基于RDP的数据防泄漏方法,其特征在于,所述步骤S5具体包括以下步骤:
S5a、根据管道A协议包累计信息统计得出RDP远程登录行为;
S5b、当登录后根据终端发起的管道B协议包累计信息统计得出剪贴板行为;
S5c、当登录后根据管道C协议包累计信息统计得出磁盘共享或打印共享行为;
S5d、当满足磁盘共享或打印共享行为后,根据管道C协议包中特征分析得出数据拷贝行为。
CN201610294344.7A 2016-05-05 2016-05-05 一种基于rdp的数据防泄漏***和方法 Pending CN107346380A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610294344.7A CN107346380A (zh) 2016-05-05 2016-05-05 一种基于rdp的数据防泄漏***和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610294344.7A CN107346380A (zh) 2016-05-05 2016-05-05 一种基于rdp的数据防泄漏***和方法

Publications (1)

Publication Number Publication Date
CN107346380A true CN107346380A (zh) 2017-11-14

Family

ID=60253876

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610294344.7A Pending CN107346380A (zh) 2016-05-05 2016-05-05 一种基于rdp的数据防泄漏***和方法

Country Status (1)

Country Link
CN (1) CN107346380A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102984159A (zh) * 2012-12-05 2013-03-20 浙江省电力公司 基于终端访问行为的安全接入逻辑控制方法及平台服务器
CN104468491A (zh) * 2013-09-25 2015-03-25 无锡华御信息技术有限公司 一种基于安全信道的虚拟桌面***及方法
CN104753887A (zh) * 2013-12-31 2015-07-01 ***通信集团黑龙江有限公司 安全管控实现方法、***及云桌面***
CN105025000A (zh) * 2015-06-03 2015-11-04 北京朋创天地科技有限公司 一种面向虚拟桌面的数据访问内审方法及信息安全装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102984159A (zh) * 2012-12-05 2013-03-20 浙江省电力公司 基于终端访问行为的安全接入逻辑控制方法及平台服务器
CN104468491A (zh) * 2013-09-25 2015-03-25 无锡华御信息技术有限公司 一种基于安全信道的虚拟桌面***及方法
CN104753887A (zh) * 2013-12-31 2015-07-01 ***通信集团黑龙江有限公司 安全管控实现方法、***及云桌面***
CN105025000A (zh) * 2015-06-03 2015-11-04 北京朋创天地科技有限公司 一种面向虚拟桌面的数据访问内审方法及信息安全装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
郑兴艳: ""安全虚拟桌面***的设计与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Similar Documents

Publication Publication Date Title
US7188365B2 (en) Method and system for securely scanning network traffic
US7769994B2 (en) Content inspection in secure networks
US8443190B2 (en) Method for securing a two-way communications channel and device for implementing said method
CN104767748B (zh) Opc服务器安全防护***
CN109660546B (zh) 基于NetflixZuul的API网关实现鉴权的方法
CN105007272A (zh) 一种具有安全隔离的信息交换***
CN104426837B (zh) Ftp的应用层报文过滤方法及装置
US20070011448A1 (en) Using non 5-tuple information with IPSec
CN104009972B (zh) 网络安全接入的认证***及其认证方法
CN108810023A (zh) 安全加密方法、密钥共享方法以及安全加密隔离网关
CN106941491A (zh) 用电信息采集***的安全应用数据链路层设备及通信方法
US20150341317A1 (en) Unidirectional Deep Packet Inspection
Bibhu et al. A review of security of the cloud computing over business with implementation
CN114598540A (zh) 访问控制***、方法、装置及存储介质
CN104869111B (zh) 一种终端可信接入认证***及方法
CN111314381A (zh) 安全隔离网关
CN110266725A (zh) 密码安全隔离模块及移动办公安全***
CN114365129A (zh) 在存储端口处的操作路径上同时启用加密
CN109729099A (zh) 一种基于Android VPNService的物联网通信流量分析方法
Ranjan et al. Security analysis of TLS authentication
Xu et al. Research on network security of VPN technology
US20090271852A1 (en) System and Method for Distributing Enduring Credentials in an Untrusted Network Environment
US20220337591A1 (en) Controlling command execution in a computer network
CN107346380A (zh) 一种基于rdp的数据防泄漏***和方法
Ahmad et al. Analysis of network security threats and vulnerabilities by development & implementation of a security network monitoring solution

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20171114

WD01 Invention patent application deemed withdrawn after publication