CN107346380A - 一种基于rdp的数据防泄漏***和方法 - Google Patents
一种基于rdp的数据防泄漏***和方法 Download PDFInfo
- Publication number
- CN107346380A CN107346380A CN201610294344.7A CN201610294344A CN107346380A CN 107346380 A CN107346380 A CN 107346380A CN 201610294344 A CN201610294344 A CN 201610294344A CN 107346380 A CN107346380 A CN 107346380A
- Authority
- CN
- China
- Prior art keywords
- rdp
- data
- protocol
- pipeline
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于RDP的数据防泄漏***和方法,所述***包括:安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块。本发明能够对远程访问数据中心的RDP终端进行身份认证,确保合法使用;对原有RDP终端和数据中心改动小,不受RDP远程虚拟化技术实现方式和架构影响;能杜绝数据中心到RDP终端的非授权数据流动;所述数据防泄漏***对每次RDP终端的认证请求进行记录,即使发生恶意访问的情况,通过查询所述数据防泄漏***的认证请求记录可以快速定位到进行恶意访问的RDP终端。
Description
技术领域
本发明涉及远程虚拟化安全技术领域,具体涉及一种基于
RDP
的数据防泄漏***和方法。
背景技术
现有的远程数据中心通常使用
PC
终端,并采用
RDP
协议进行数据交互,而
RDP
远程协议可以通过共享本地磁盘,外设等进行本地与数据中心的文件拷贝。这种协议交换安全性较弱,易将数据中心的受保护文件或数据在未经授权情况下就被拷贝外泄。同时,由于
RDP
远程连接配置通常是可以直接由用户选择的,存在恶意用户通过共享本地磁盘而获取到数据中心受保护数据的风险。
发明内容
本发明的目的在于,为解决上述技术问题,提供一种能有效防止受保护文件或数据未经授权情况下就被拷贝外泄的基于
RDP
的数据防泄漏***和方法。
为解决上述技术问题,本发明采用如下的技术方案:一种基于
RDP
的数据防泄漏***,包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,其中:
安全管理模块,用于对所述数据防泄漏***进行安全管理,录入合法的
RDP
终端用户并为其配置访问数据中心的授权信息;
身份认证模块,用于对所述
RDP
终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的
RDP
终端用户;
数据采集模块,用于实时采集流经所述数据防泄漏***的网络数据,获取
RDP
终端至数据防泄漏***、
RDP
终端至数据中心之间的数据;
协议分析模块,用于对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,得到所述网络数据中的
RDP
登录、剪贴板和数据拷贝行为;
访问控制模块,用于对
RDP
终端与数据中心之间的数据流进行访问控制,根据所述授权信息,判断所述
RDP
终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于
RDP
的数据防泄漏***,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。
本发明还提供一种基于
RDP
的数据防泄漏方法,包括:
S1
、
RDP
终端访问数据防泄漏***,数据防泄漏***通过用户输入的认证信息,判断用户是否为合法的用户;
S2
、
RDP
终端通过数据防泄漏***与数据中心进行远程连接;
S3
、在网桥网口上采集
RDP
终端与数据中心远程连接中的网络数据;
S4
、根据采集到的网络数据分析确认所述远程连接是否为
RDP
远程连接,并对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,确认所述远程连接中管道信息对应的操作行为;
S5
、通过对操作行为进行分析,确认
RDP
终端是否存在数据传输拷贝行为;
S6
、对
RDP
终端与数据中心之间的数据流进行访问控制,根据认证信息与数据防泄漏***中预先配置的授权信息进行匹配,判断所述
RDP
终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于
RDP
的数据防泄漏方法,所述分析确认所述远程连接是否为
RDP
远程连接的具体方法为:首先确认所述远程连接的目的端口是
3389
,并确认三次握手后的首个数据包中前四个字节是
RDP
协议特征。
如前述的基于
RDP
的数据防泄漏方法,在所述分析确认所述远程连接为
RDP
远程连接之前还包括:终端向数据中心发起
RDP
远程连接请求后,数据采集模块通过采集入网口数据包,通过入网口数据包中的五元组建立基于当前
RDP
远程连接的流表信息;所述五元组包括:源
IP
、源端口、目的
IP
、目的端口和协议类型。
如前述的基于
RDP
的数据防泄漏方法,所述操作行为包括:磁盘共享、文件拷贝和打印共享。
如前述的基于
RDP
的数据防泄漏方法,所述管道信息包括:管道
A
协议包、管道
B
协议包和管道
C
协议包。
如前述的基于
RDP
的数据防泄漏方法,步骤
S4
中确认所述远程连接中管道信息对应的操作行为的方法具体为:
管道
A
协议包出现时,管道
C
协议包也出现过,则
RDP
远程连接已到用户登录界面,同时时初始化管道
C
的统计信息;
出现由
RDP
终端发起的管道
B
协议包时,则当前
RDP
终端正在进行剪贴板操作行为;
管道
C
协议包出现操作特征后,则当前
RDP
终端正在进行交互行为。
如前述的基于
RDP
的数据防泄漏方法,所述步骤
S5
具体包括以下步骤:
S5a
、根据管道
A
协议包累计信息统计得出
RDP
远程登录行为;
S5b
、当登录后根据终端发起的管道
B
协议包累计信息统计得出剪贴板行为;
S5c
、当登录后根据管道
C
协议包累计信息统计得出磁盘共享或打印共享行为;
S5d
、当满足磁盘共享或打印共享行为后,根据管道
C
协议包中特征分析得出数据拷贝行为。
与现有技术相比,本发明通过设置安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,从而能够对远程访问数据中心的
RDP
终端进行身份认证,确保合法使用;对原有
RDP
终端和数据中心改动小,不受
RDP
远程虚拟化技术实现方式和架构影响;能杜绝数据中心到
RDP
终端的非授权数据流动;所述数据防泄漏***对每次
RDP
终端的认证请求进行记录,即使发生恶意访问的情况,通过查询所述数据防泄漏***的认证请求记录可以快速定位到进行恶意访问的
RDP
终端。
附图说明
图
1
为本发明***结构示意图;
图
2
为本发明方法流程示意图;
图
3
为本发明中
RDP
终端通过数据防泄漏***与数据中心进行远程连接的流程图;
图
4
为本发明中数据防泄漏***在网桥网口上采集终端与数据中心远程连接中的数据包流程图;
图
5
为本发明中数据防泄漏***根据采集到的数据包分析确认远程连接是否为
RDP
远程连接流程图。
下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
本发明实施例
1
,如图
1
所示,本实施例公开了一种基于
RDP
的数据防泄漏***
120
,包括:
包括安全管理模块
121
、身份认证模块
122
、数据采集模块
123
、协议分析模块
124
和访问控制模块
125
,其中:
安全管理模块
121
,用于对所述数据防泄漏***
120
进行安全管理,录入合法的
RDP
终端用户并为其配置访问数据中心
130
的授权信息;
身份认证模块
122
,用于对所述
RDP
终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的
RDP
终端用户;
数据采集模块
123
,用于实时采集流经所述数据防泄漏***
120
的网络数据,获取
RDP
终端
110
至数据防泄漏***
120
、
RDP
终端
110
至数据中心
130
之间的数据;
协议分析模块
124
,用于对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,得到所述网络数据中的
RDP
登录、剪贴板和数据拷贝行为;
访问控制模块
125
,用于对
RDP
终端
110
与数据中心
130
之间的数据流进行访问控制,根据所述授权信息,判断所述
RDP
终端
110
的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于
RDP
的数据防泄漏***
120
,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。
本发明实施例
2
,本实施例公开了本发明还提供一种基于
RDP
的数据防泄漏方法,包括:
S1
、终端访问数据防泄漏***
120
,数据防泄漏***
120
通过用户输入的认证信息,判断用户是否为合法的用户;
S2
、终端通过数据防泄漏***
120
与数据中心
130
进行远程连接;如图
3
所示,为本步骤
S2
的一个优选实施方式
:
步骤
201
,管理员
140
通过浏览器登录所述数据防泄漏***的
WEB
管理页面。
步骤
202
,管理员
140
在步骤
201
中管理***中添加
RDP
终端
110
的认证账号,包括用户名和密码。
步骤
203
,管理员
140
根据
RDP
终端
110
访问数据中心
130
的权限,配置上述步骤
202
中添加的账号的操作权限。
、在网桥网口上采集
RDP
终端
110
与数据中心
130
远程连接中的网络数据;如图
4
所示,为本步骤
S3
的一个优选实施方式
:
步骤
301
,
RDP
终端
110
通过浏览器访问所述数据防泄漏***的认证页面,在认证页面中输入用户名和密码并点击登录,此时浏览器会将用户数据的用户名和密码通过
HTTPS
协议发送给所述数据防泄漏***中的身份认证模块
122
;
步骤
302
,身份认证模块
122
接收到
RDP
终端
11
发送来的认证请求后,将请求中的用户名和密码信息提取出来,然后与存储的账号信息进行匹配,得到认证结果;
步骤
303
,身份认证模块
122
将认证结果通过
HTTPS
协议返回给
RDP
终端
110
;
S4
、根据采集到的网络数据分析确认所述远程连接是否为
RDP
远程连接,并对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,确认所述远程连接中的管道信息对应的操作行为;
如图
5
所示,为本步骤
S4
的一种优选实施方式:
步骤
401
,
RDP
终端
110
认证成功后,会向数据中心
130
发起
RDP
远程连接请求,所述数据防泄漏***通过采集入网口数据包,通过数据包中的五元组(源
IP
、源端口、目的
IP
、目的端口、协议类型)建立基于当前
RDP
远程连接的流表信息;并分析数据包中的目的端口是否为
3389
,以及第一数据包中的前四个字节数据是否是
RDP
协议标准特征。
步骤
402
,
RDP
终端
110
与数据中心
130
建立
RDP
远程连接后,所述数据防泄漏***基于上述步骤
401
中的流表信息,分析记录
RDP
远程连接上的管道信息,当管道
A
协议包出现时,管道
C
协议包也出现过,则说明
RDP
远程连接已到用户登录界面,此时初始化管道
C
统计信息;
步骤
403
,
RDP
终端
110
登录数据中心
130
后,所述数据防泄漏***
120
将统计分析所有通过
RDP
远程连接的数据包。当出现由
RDP
终端
110
发起的管道
B
协议包时,则表明当前
RDP
终端
110
正在进行剪贴板操作行为;通过对管道
C
协议包进行统计,当管道
C
协议包出现操作特征后,可以确认当前
RDP
终端
110
正在进行磁盘共享、文件拷贝或打印共享等操作行为;所述数据防泄漏***
120
依据步骤
401
中所述流表信息记录当前连接的操作行为;
步骤
404
,所述数据防泄漏***
120
依据
RDP
终端
110
在上述图
4
中进行的身份认证的权限信息,确认当前
RDP
终端
110
的
RDP
远程连接是否有上述步骤
403
中的操作行为,若无相应操作权限则丢弃相关协议包,确保数据中心
130
数据泄露;若有其对应操作权限则正常转发协议包。
、通过对操作行为进行分析,确认
RDP
终端
110
是否存在数据传输拷贝行为;具体包括以下步骤:
S5a
、根据管道
A
协议包累计信息统计得出
RDP
远程登录行为;
S5b
、当登录后根据
RDP
终端
110
发起的管道
B
协议包累计信息统计得出剪贴板行为;
S5c
、当登录后根据管道
C
协议包累计信息统计得出磁盘共享或打印共享行为;
S5d
、当满足磁盘共享或打印共享行为后,根据管道
C
协议包中特征分析得出数据拷贝行为。
、对
RDP
终端
110
与数据中心
130
之间的数据流进行访问控制,根据认证信息与数据防泄漏***
120
中预先配置的授权信息进行匹配,判断所述
RDP
终端
110
的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例
3
,如图
2
所示,本实施例公开了本发明还提供一种基于
RDP
的数据防泄漏方法,包括:
S1
、
RDP
终端
110
访问数据防泄漏***
120
,数据防泄漏***
120
通过用户输入的认证信息,判断用户是否为合法的用户;
S2
、
RDP
终端
110
通过数据防泄漏***
120
与数据中心
130
进行远程连接;
S3
、在网桥网口上采集
RDP
终端
110
与数据中心
130
远程连接中的网络数据;
S4
、根据采集到的网络数据分析确认所述远程连接是否为
RDP
远程连接,所述分析确认所述远程连接是否为
RDP
远程连接具体方法为:首先确认所述远程连接的目的端口是
3389
,并确认三次握手后的首个数据包中前四个字节是
RDP
协议特征;并对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,确认所述远程连接中的管道信息对应的操作行为;
S5
、通过对操作行为进行分析,确认
RDP
终端
110
是否存在数据传输拷贝行为;
S6
、对
RDP
终端
110
与数据中心
130
之间的数据流进行访问控制,根据认证信息与数据防泄漏***
120
中预先配置的授权信息进行匹配,判断所述
RDP
终端
110
的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例
4
,如图
2
所示,本实施例公开了本发明还提供一种基于
RDP
的数据防泄漏方法,包括:
S1
、
RDP
终端
110
访问数据防泄漏***
120
,数据防泄漏***
120
通过用户输入的认证信息,判断用户是否为合法的用户;
S2
、
RDP
终端
110
通过数据防泄漏***
120
与数据中心
130
进行远程连接;
S3
、在网桥网口上采集
RDP
终端
110
与数据中心
130
远程连接中的网络数据;
S4
、根据采集到的网络数据分析确认所述远程连接是否为
RDP
远程连接,并对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道
A
协议包、管道
B
协议包和管道
C
协议包;否则进行步骤
S4c;
所述
RDP
协议的解析方法为:
S4a
、若确认所述远程连接是
RDP
连接则通过协议解析得到
RDP
协议中管道信息,
S4b
、记录各管道的数据包累计信息,并统计出交互行为;所述交互行为包括:磁盘共享、文件拷贝和打印共享。
、丢弃数据包,阻断
RDP
终端
110
访问数据中心
130
;
S5
、通过对操作行为进行分析,确认
RDP
终端
110
是否存在数据传输拷贝行为;
S6
、对
RDP
终端
110
与数据中心
130
之间的数据流进行访问控制,根据认证信息与数据防泄漏***
120
中预先配置的授权信息进行匹配,判断所述
RDP
终端
110
的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例
6
,如图
2
所示,本实施例公开了本发明还提供一种基于
RDP
的数据防泄漏方法,包括:
S1
、
RDP
终端
110
访问数据防泄漏***
120
,数据防泄漏***
120
通过用户输入的认证信息,判断用户是否为合法的用户;
S2
、
RDP
终端
110
通过数据防泄漏***
120
与数据中心
130
进行远程连接;
S3
、在网桥网口上采集
RDP
终端
110
与数据中心
130
远程连接中的网络数据;
S4
、
RDP
终端
110
向数据中心
130
发起
RDP
远程连接请求后,所述数据防泄漏***
120
通过采集入网口数据包,通过入网口数据包中的五元组建立基于当前
RDP
远程连接的流表信息;所述五元组包括:源
IP
、源端口、目的
IP
、目的端口和协议类型;
根据采集到的网络数据分析确认所述远程连接是否为
RDP
远程连接,并对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,确认所述远程连接中的管道信息对应的操作行为;
S5
、通过对操作行为进行分析,确认
RDP
终端
110
是否存在数据传输拷贝行为;
S6
、对
RDP
终端
110
与数据中心
130
之间的数据流进行访问控制,根据认证信息与数据防泄漏***
120
中预先配置的授权信息进行匹配,判断所述
RDP
终端
110
的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例
7
,如图
2
所示,本实施例公开了本发明还提供一种基于
RDP
的数据防泄漏方法,包括:
S1
、
RDP
终端
110
访问数据防泄漏***
120
,数据防泄漏***
120
通过用户输入的认证信息,判断用户是否为合法的用户;
S2
、
RDP
终端
110
通过数据防泄漏***
120
与数据中心
130
进行远程连接;
S3
、在网桥网口上采集
RDP
终端
110
与数据中心
130
远程连接中的网络数据;
S4
、根据采集到的网络数据分析确认所述远程连接是否为
RDP
远程连接,并对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道
A
协议包、管道
B
协议包和管道
C
协议包;
所述确认远程连接中的管道信息对应的操作行为的方法具体为:
管道
A
协议包出现时,管道
C
协议包也出现过,则
RDP
远程连接已到用户登录界面,同时时初始化管道
C
的统计信息;
出现由
RDP
终端
110
发起的管道
B
协议包时,则当前
RDP
终端
110
正在进行剪贴板操作行为;
管道
C
协议包出现操作特征后,则当前
RDP
终端
110
正在进行交互行为。
、通过对操作行为进行分析,确认
RDP
终端
110
是否存在数据传输拷贝行为;
S6
、对
RDP
终端
110
与数据中心
130
之间的数据流进行访问控制,根据认证信息与数据防泄漏***
120
中预先配置的授权信息进行匹配,判断所述
RDP
终端
110
的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例
8
,如图
2
所示,本实施例公开了本发明还提供一种基于
RDP
的数据防泄漏方法,包括:
S1
、
RDP
终端
110
访问数据防泄漏***
120
,数据防泄漏***
120
通过用户输入的认证信息,判断用户是否为合法的用户;
S2
、
RDP
终端
110
通过数据防泄漏***
120
与数据中心
130
进行远程连接;
S3
、在网桥网口上采集
RDP
终端
110
与数据中心
130
远程连接中的网络数据;
S4
、根据采集到的网络数据分析确认所述远程连接是否为
RDP
远程连接,并对采集的所述网络数据进行
RDP
协议解析,丢弃所述网络数据非
RDP
协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道
A
协议包、管道
B
协议包和管道
C
协议包;所述交互协议的确认方法为:
S5
、通过对操作行为进行分析,确认
RDP
终端
110
是否存在数据传输拷贝行为;具体包括以下步骤:
S5a
、根据管道
A
协议包累计信息统计得出
RDP
终端
110
远程登录行为;
S5b
、当登录后根据终端发起的管道
B
协议包累计信息统计得出剪贴板行为;
S5c
、当登录后根据管道
C
协议包累计信息统计得出磁盘共享或打印共享行为;
S5d
、当满足磁盘共享或打印共享行为后,根据管道
C
协议包中特征分析得出数据拷贝行为。
、对
RDP
终端
110
与数据中心
130
之间的数据流进行访问控制,根据认证信息与数据防泄漏***
120
中预先配置的授权信息进行匹配,判断所述
RDP
终端
110
的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种基于RDP的数据防泄漏***,包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,其特征在于:
安全管理模块,用于对所述数据防泄漏***进行安全管理,录入合法的RDP终端用户并为其配置访问数据中心的授权信息;
身份认证模块,用于对所述RDP终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的RDP终端用户;
数据采集模块,用于实时采集流经所述数据防泄漏***的网络数据,获取RDP终端至数据防泄漏***、RDP终端至数据中心之间的数据;
协议分析模块,用于对采集的所述网络数据进行RDP协议解析,丢弃所述网络数据非RDP协议数据包,得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为;
访问控制模块,用于对RDP终端与数据中心之间的数据流进行访问控制,根据所述授权信息,判断所述RDP终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
2.如权利要求1所述的基于RDP的数据防泄漏***,其特征在于,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。
3.一种基于RDP的数据防泄漏方法,其特征在于,包括:
S1、RDP终端访问数据防泄漏***,数据防泄漏***通过用户输入的认证信息,判断用户是否为合法的用户;
S2、RDP终端通过数据防泄漏***与数据中心进行远程连接;
S3、在网桥网口上采集RDP终端与数据中心远程连接中的网络数据;
S4、根据采集到的网络数据分析确认所述远程连接是否为RDP远程连接,并对采集的所述网络数据进行RDP协议解析,丢弃所述网络数据非RDP协议数据包,确认所述远程连接中管道信息对应的操作行为;
S5、通过对操作行为进行分析,确认RDP终端是否存在数据传输拷贝行为;
S6、对RDP终端与数据中心之间的数据流进行访问控制,根据认证信息与数据防泄漏***中预先配置的授权信息进行匹配,判断所述RDP终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
4.如权利要求3所述的基于RDP的数据防泄漏方法,其特征在于,所述分析确认所述远程连接是否为RDP远程连接的具体方法为:首先确认所述远程连接的目的端口是3389,并确认三次握手后的首个数据包中前四个字节是RDP协议特征。
5.如权利要求3所述的基于RDP的数据防泄漏方法,其特征在于,在所述分析确认所述远程连接为RDP远程连接之前还包括:终端向虚拟化数据中心发起RDP远程连接请求后,数据采集模块通过采集入网口数据包,通过入网口数据包中的五元组建立基于当前RDP远程连接的流表信息;所述五元组包括:源IP、源端口、目的IP、目的端口和协议类型。
6.如权利要求3所述的基于RDP的数据防泄漏方法,其特征在于,所述操作行为包括:磁盘共享、文件拷贝和打印共享。
7.如权利要求3所述的基于RDP的数据防泄漏方法,其特征在于,所述管道信息包括:管道A协议包、管道B协议包和管道C协议包。
8.如权利要求7所述的基于RDP的数据防泄漏方法,其特征在于,步骤S4中确认所述远程连接中管道信息对应的操作行为的方法具体为:
管道A协议包出现时,管道C协议包也出现过,则RDP远程连接已到用户登录界面,同时时初始化管道C的统计信息;
出现由RDP终端发起的管道B协议包时,则当前RDP终端正在进行剪贴板操作行为;
管道C协议包出现操作特征后,则当前RDP终端正在进行交互行为。
9.如权利要求7所述的基于RDP的数据防泄漏方法,其特征在于,所述步骤S5具体包括以下步骤:
S5a、根据管道A协议包累计信息统计得出RDP远程登录行为;
S5b、当登录后根据终端发起的管道B协议包累计信息统计得出剪贴板行为;
S5c、当登录后根据管道C协议包累计信息统计得出磁盘共享或打印共享行为;
S5d、当满足磁盘共享或打印共享行为后,根据管道C协议包中特征分析得出数据拷贝行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610294344.7A CN107346380A (zh) | 2016-05-05 | 2016-05-05 | 一种基于rdp的数据防泄漏***和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610294344.7A CN107346380A (zh) | 2016-05-05 | 2016-05-05 | 一种基于rdp的数据防泄漏***和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107346380A true CN107346380A (zh) | 2017-11-14 |
Family
ID=60253876
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610294344.7A Pending CN107346380A (zh) | 2016-05-05 | 2016-05-05 | 一种基于rdp的数据防泄漏***和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107346380A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984159A (zh) * | 2012-12-05 | 2013-03-20 | 浙江省电力公司 | 基于终端访问行为的安全接入逻辑控制方法及平台服务器 |
CN104468491A (zh) * | 2013-09-25 | 2015-03-25 | 无锡华御信息技术有限公司 | 一种基于安全信道的虚拟桌面***及方法 |
CN104753887A (zh) * | 2013-12-31 | 2015-07-01 | ***通信集团黑龙江有限公司 | 安全管控实现方法、***及云桌面*** |
CN105025000A (zh) * | 2015-06-03 | 2015-11-04 | 北京朋创天地科技有限公司 | 一种面向虚拟桌面的数据访问内审方法及信息安全装置 |
-
2016
- 2016-05-05 CN CN201610294344.7A patent/CN107346380A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984159A (zh) * | 2012-12-05 | 2013-03-20 | 浙江省电力公司 | 基于终端访问行为的安全接入逻辑控制方法及平台服务器 |
CN104468491A (zh) * | 2013-09-25 | 2015-03-25 | 无锡华御信息技术有限公司 | 一种基于安全信道的虚拟桌面***及方法 |
CN104753887A (zh) * | 2013-12-31 | 2015-07-01 | ***通信集团黑龙江有限公司 | 安全管控实现方法、***及云桌面*** |
CN105025000A (zh) * | 2015-06-03 | 2015-11-04 | 北京朋创天地科技有限公司 | 一种面向虚拟桌面的数据访问内审方法及信息安全装置 |
Non-Patent Citations (1)
Title |
---|
郑兴艳: ""安全虚拟桌面***的设计与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7188365B2 (en) | Method and system for securely scanning network traffic | |
US7769994B2 (en) | Content inspection in secure networks | |
US8443190B2 (en) | Method for securing a two-way communications channel and device for implementing said method | |
CN104767748B (zh) | Opc服务器安全防护*** | |
CN109660546B (zh) | 基于NetflixZuul的API网关实现鉴权的方法 | |
CN105007272A (zh) | 一种具有安全隔离的信息交换*** | |
CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
US20070011448A1 (en) | Using non 5-tuple information with IPSec | |
CN104009972B (zh) | 网络安全接入的认证***及其认证方法 | |
CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
CN106941491A (zh) | 用电信息采集***的安全应用数据链路层设备及通信方法 | |
US20150341317A1 (en) | Unidirectional Deep Packet Inspection | |
Bibhu et al. | A review of security of the cloud computing over business with implementation | |
CN114598540A (zh) | 访问控制***、方法、装置及存储介质 | |
CN104869111B (zh) | 一种终端可信接入认证***及方法 | |
CN111314381A (zh) | 安全隔离网关 | |
CN110266725A (zh) | 密码安全隔离模块及移动办公安全*** | |
CN114365129A (zh) | 在存储端口处的操作路径上同时启用加密 | |
CN109729099A (zh) | 一种基于Android VPNService的物联网通信流量分析方法 | |
Ranjan et al. | Security analysis of TLS authentication | |
Xu et al. | Research on network security of VPN technology | |
US20090271852A1 (en) | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment | |
US20220337591A1 (en) | Controlling command execution in a computer network | |
CN107346380A (zh) | 一种基于rdp的数据防泄漏***和方法 | |
Ahmad et al. | Analysis of network security threats and vulnerabilities by development & implementation of a security network monitoring solution |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171114 |
|
WD01 | Invention patent application deemed withdrawn after publication |