专利名称:记录及回放用户的桌面操作信息的方法、系统及设备的制作方法
技术领域:
本发明涉及网络安全领域,特别是涉及记录及回放用户的桌面操作信息的方法、 系统及设备。
背景技术:
随着网络技术的发展,对网络安全的需求也在逐渐增加,为了便于审计和取证,需 要记录用户在操作系统桌面上进行操作的信息。目前提供的方案是在客户端的操作系统上 安装一个软件,这个软件以固定的时间间隔来不断的保存屏幕图像。可见,该技术需要在客户端安装软件,对客户端有影响,不方便管理。如果用户将 该软件关闭,将无法记录和回放。
发明内容
本发明提供了记录及回放用户的桌面操作信息的方法、系统及设备,用以解决现 有记录及回放用户的桌面操作信息的技术对客户端有影响,不方便管理的问题。本发明的一种记录用户的桌面操作信息的方法,包括下列步骤截获步骤审计 服务器截获终端与终端服务器之间往来的数据包;拆分步骤审计服务器对截获的数据包 进行解析拆分后保存;组合步骤审计服务器将解析拆分后的数据包重新组合后发往对 端。相应的,本发明的一种回放用户的桌面操作信息的方法,包括下列步骤读取步 骤审计服务器按保存顺序读取保存的数据包信息;分析步骤审计服务器分析数据包信 息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据 包的功能和内容;回放步骤审计服务器按照读取顺序,以所述时间间隔逐一回放各个数 据包的内容。本发明的一种审计服务器,包括截获单元,用于截获终端与终端服务器之间往来 的数据包;拆分单元,用于对截获的数据包进行解析拆分后保存;组合单元,用于将解析拆 分后的数据包重新组合后发往对端。相应的,本发明的一种审计服务器,包括读取单元,用于按保存顺序读取保存的 数据包信息;分析单元,用于分析数据包信息中的时间戳字段,获知前后数据包之间的时间 间隔;分析数据包信息中的包头,获知数据包的功能和内容;回放单元,用于按照读取单元 的读取顺序,以所述时间间隔逐一回放各个数据包的内容。本发明的一种记录及回放用户的桌面操作信息的系统,包括相互通信的终端和 终端服务器;在所述终端和终端服务器之间还包括审计服务器,在记录时,用于截获终端 与终端服务器之间往来的数据包,并对截获的数据包进行解析拆分后保存,再将解析拆分 后的数据包重新组合后发往对端;在回放时,用于按保存顺序读取保存的数据包信息,并分 析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔,分析数据包信息中的包 头,获知数据包的功能和内容;以及按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。本发明有益效果如下本发明提出了在终端和终端服务器之间增加审计服务器,并由审计服务器截获、拆分、保存被截获的数据包信息,实现了记录用户的桌面操作信息;之后通过读取、分析和 回放机制实现了回放用户的桌面操作信息。以上操作均在审计服务器中完成,不会影响客 户端,并且便于管理。
图1为本发明实施例1中的系统结构示意图;图2为本发明实施例2中的审计服务器结构示意图;图3为本发明实施例3中的审计服务器结构示意图;图4为本发明实施例4中记录用户的桌面操作信息的方法步骤流程图;图5为本发明实施例5中基于RDP协议的记录功能应用流程图;图6为本发明实施例6中基于VNC协议的记录功能应用流程图;图7为本发明实施例7中回放用户的桌面操作信息的方法步骤流程图。
具体实施例方式为了不对客户端有影响且方便管理,本发明提出了记录及回放用户的桌面操作信 息的方法、系统及设备,以下通过若干实施例具体描述。实施例1、参见图1所示,本实施例中的记录及回放用户的桌面操作信息的系统包 括相互通信的终端和终端服务器;还包括在终端和终端服务器之间的审计服务器。终端与审计服务器之间以及审计服务器与终端服务器之间采用远程桌面协议 (RDP Remote Desktop Protocol)网 各i十胃十办i义(VNC Virtual networkcomputing) 通信。基于RDP协议,允许终端连接到终端服务器获取服务器上正在运行的应用程序的信 息。终端的显示与服务器端运行界面通过RDP协议进行数据交换与传输。基于VNC协议, 允许终端连接到终端服务器获取服务器上正在运行的应用程序的信息。终端的显示与服务 器端运行界面通过VNC协议进行数据交换与传输。审计服务器锚定于终端和终端服务器之间,终端和终端服务器交互的数据包都需 流经审计服务器,并由其转发。在记录时,审计服务器用于截获终端与终端服务器之间往来 的数据包,并对截获的数据包进行解析拆分后保存,再将解析拆分后的数据包重新组合后 发往对端;在回放时,审计服务器用于按保存顺序读取保存的数据包信息,并分析数据包信 息中的时间戳字段,获知前后数据包之间的时间间隔,分析数据包信息中的包头,获知数据 包的功能和内容;以及按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。实施例2、参见图2所示,本实施例中的审计服务器,包括截获单元、拆分单元和 组合单元。其中,截获单元,用于截获终端与终端服务器之间往来的数据包。拆分单元,用于对截获的数据包进行解析拆分后保存;具体的,拆分单元将截获的 数据包解析拆分后,在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单 位,以二进制方式,按截获顺序保存。
组合单元,用于将解析拆分后的数据包重新组合后发往对端。实施例3、参见图3所示,本实施例中的审计服务器,包括读取单元、分析单元和 回放单元。其中,读取单元,用于按保存顺序读取保存的数据包信息。分析单元,用于分析数据包信息中的时间戳字段,获知前后数据包之间的时间间 隔;分析数据包信息中的包头,获知数据包的功能和内容;以RDP协议数据包为例包头含 以下功能的传输控制字符含义序始、文始、文终、送毕、询问、确认、转义、否认、同步、块终, 通过分析这些字段,可获知该RDP协议数据包所要完成的功能,同理可分析并获知RDP协议 数据包的内容。回放单元,用于按照读取单元的读取顺序,以上述时间间隔逐一回放各个数据包 的内容。实施例4、参见图4所示,本实施例中的记录用户的桌面操作信息的方法,包括下 列主要步骤S101、审计服务器截获终端与终端服务器之间往来的数据包。S102、审计服务器对截获的数据包进行解析拆分后保存。S103、审计服务器将解析拆分后的数据包重新组合后发往对端。实施例5、基于实施例4,参见图5所示,以终端与审计服务器之间以及审计服务器 与终端服务器之间采用RDP协议通信为例,进一步详述。为了截获RDP协议的信息,必须添加一个服务器来截获和保存RDP协议的内容,这 个服务器称为审计服务器。基于RDP协议的应用流程为用户在终端使用基于RDP协议的 远程桌面客户端软件连接审计服务器,审计服务器将这个连接转发到终端服务器,这样,终 端和终端服务器就通过RDP协议连接上。由于终端和终端服务器的RDP连接穿过审计服务 器,使得审计服务器锚定于终端与终端服务器之间,可以将终端与终端服务器之间往来的 RDP数据包截获。审计服务器截获数据包后解析拆分该数据包,之后在每一被拆分的数据包 包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。完成保 存操作后,审计服务器将解析拆分后的数据包重新组合(还原被截获的数据包)后发往对 端,对端收到该数据包后正常处理,不会感觉有异。实施例6、基于实施例4,参见图6所示,以终端与审计服务器之间以及审计服务器 与终端服务器之间采用VNC协议通信为例,进一步详述。为了截取VNC协议的信息,必须添加一个服务器来获取和保存VNC协议的内容,这 个服务器称为审计服务器。基于VNC协议的应用流程为用户在终端使用基于VNC协议的 远程桌面客户端软件连接审计服务器,审计服务器将这个连接转发到终端服务器,这样,终 端和终端服务器就通过VNC协议连接上。由于终端和终端服务器的VNC连接穿过审计服务 器,使得审计服务器锚定于终端与终端服务器之间,可以将终端与终端服务器之间往来的 VNC数据包截获。审计服务器截获数据包后解析拆分该数据包,之后在每一被拆分的数据包 包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。完成保 存操作后,审计服务器将解析拆分后的数据包重新组合(还原被截获的数据包)后发往对 端,对端收到该数据包后正常处理,不会感觉有异。实施例7、参见图7所示,本实施例中的回放用户的桌面操作信息的方法,包括下列主要步骤S201、审计服务器按保存顺序读取保存的数据包信息。S202、审计服务器分析数据包信息中的时间戳字段,获知前后数据包之间的时间 间隔;分析数据包信息中的包头,获知数据包的功能和内容。S203、审计服务器按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。更为具体的,在播放RDP协议的桌面操作记录时,按保存顺序读取每个RDP数据 包,首先分析其包头的字段,包头含以下功能的传输控制字符含义序始、文始、文终、送毕、 询问、确认、转义、否认、同步、块终,通过分析这些字段,可获知该RDP协议数据包所要完成 的功能,同理可分析并获知RDP协议数据包的内容,将分析结果在一个窗口上显示出来。通 过比较前后两个包的包头时间戳字段,可以得出前后两个包之间的间隔时间。按照这样的 方法去读取每一个RDP数据包,可以得出RDP协议的桌面操作记录的回放结果。同理,在播放VNC桌面操作记录时,按保存顺序读取VNC包,首先分析其包头,根据 时间戳字段,可以得知每个包之间的时间间隔。接着分析各个VNC包的功能,然后读取VNC 包的内容,将内容在一个窗口上显示出来,达到回放的效果。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种记录用户的桌面操作信息的方法,其特征在于,包括下列步骤截获步骤审计服务器截获终端与终端服务器之间往来的数据包;拆分步骤审计服务器对截获的数据包进行解析拆分后保存;组合步骤审计服务器将解析拆分后的数据包重新组合后发往对端。
2.如权利要求1所述记录用户的桌面操作信息的方法,其特征在于,在截获步骤之前 还包括在所述终端与终端服务器建立连接的过程中,审计服务器转发连接消息; 连接建立后,审计服务器锚定于终端与终端服务器之间,并转发终端与终端服务器之 间往来的数据包。
3.如权利要求1所述记录用户的桌面操作信息的方法,其特征在于,在拆分步骤中具 体包括审计服务器截获数据包后解析拆分该数据包;之后,审计服务器在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为 单位,以二进制方式,按截获顺序保存。
4.如权利要求1至3任一项所述记录用户的桌面操作信息的方法,其特征在于,所述终 端与审计服务器之间以及审计服务器与终端服务器之间采用远程桌面协议或虚拟网络计 算协议通信。
5.一种回放用户的桌面操作信息的方法,其特征在于,包括下列步骤 读取步骤审计服务器按保存顺序读取保存的数据包信息;分析步骤审计服务器分析数据包信息中的时间戳字段,获知前后数据包之间的时间 间隔;分析数据包信息中的包头,获知数据包的功能和内容;回放步骤审计服务器按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
6.一种审计服务器,其特征在于,包括截获单元,用于截获终端与终端服务器之间往来的数据包; 拆分单元,用于对截获的数据包进行解析拆分后保存; 组合单元,用于将解析拆分后的数据包重新组合后发往对端。
7.如权利要求6所述的审计服务器,其特征在于,所述拆分单元在每一被拆分的数据 包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。
8.一种审计服务器,其特征在于,包括读取单元,用于按保存顺序读取保存的数据包信息;分析单元,用于分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分 析数据包信息中的包头,获知数据包的功能和内容;回放单元,用于按照读取单元的读取顺序,以所述时间间隔逐一回放各个数据包的内容。
9.一种记录及回放用户的桌面操作信息的系统,其特征在于,包括相互通信的终端 和终端服务器;在所述终端和终端服务器之间还包括审计服务器,在记录时,用于截获终端与终端服务器之间往来的数据包,并对截获的数 据包进行解析拆分后保存,再将解析拆分后的数据包重新组合后发往对端;在回放时,用于按保存顺序读取保存的数据包信息,并分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔,分析数据包信息中的包头,获知数据包的功能和内 容;以及按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
10.如权利要求9所述记录及回放用户的桌面操作信息的系统,其特征在于,所述终端 与审计服务器之间以及审计服务器与终端服务器之间采用远程桌面协议或虚拟网络计算 协议通信。
全文摘要
本发明公开了记录及回放用户的桌面操作信息的方法、系统及设备,涉及网络安全领域,用以解决现有记录及回放用户的桌面操作信息的技术对客户端有影响,不方便管理的问题。记录方法包括审计服务器截获终端与终端服务器之间往来的数据包;对截获的数据包进行解析拆分后保存;将解析拆分后的数据包重新组合后发往对端。回放方法包括审计服务器按保存顺序读取保存的数据包信息;分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。以上操作均在审计服务器中完成,不会影响客户端,并且便于管理。
文档编号H04L29/06GK101827082SQ20101010696
公开日2010年9月8日 申请日期2010年2月9日 优先权日2010年2月9日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司