[发明专利]一种智能审计方法和装置

权利要求书

1.一种智能审计方法，其特征在于，该方法包括：

接收RDP客户端发送的I/O请求；

解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；

根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息插入至接收到的I/O请求的步骤；

将所述确定的操作动作的码流信息插入至接收到的I/O请求中，形成修改后的I/O请求；

发送修改后的I/O请求到目标机器；

接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端；

其中，所述判断用户操作是否属于危险性操作，具体包括：

通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本系统，如是，则确定用户操作属于危险性操作。

2.根据权利要求1所述的方法，其特征在于，所述确定协议数据包中操作动作的码流信息，包括：确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

3.根据权利要求2所述的方法，其特征在于，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容提取操作信息。

4.根据权利要求3所述的方法，其特征在于，当所述协议数据包为鼠标键盘的协议数据包时，所述鼠标键盘操作的数据通过第一虚拟通道进行传输。

5.根据权利要求3所述的方法，其特征在于，当所述协议数据包为剪贴板的协议数据包时，所述剪贴板操作的数据通过第二虚拟通道进行传输。

6.根据权利要求3所述的方法，其特征在于，当所述协议数据包为文件标题内容的协议数据包时，所述文件标题内容的获取，是根据用户远程桌面操作获取打开的文件名称。

7.一种智能审计装置，其特征在于，该装置包括：

接收模块，用于接收RDP客户端发送的I/O请求；

协议解析模块，用于解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；

判断模块，用于在将所述确定的操作动作的码流信息插入至接收到的I/O请求之前，根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息插入至接收到的I/O请求的步骤；

生成模块，用于将所述确定的操作动作的码流信息插入至接收到的I/O请求中，形成修改后的I/O请求；

发送模块，用于发送修改后的I/O请求到目标机器；

收发模块，用于接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端；

其中，所述判断模块，还用于通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本系统，如是，则确定用户操作属于危险性操作。

8.根据权利要求7所述的装置，其特征在于，包括：

确定模块，用于确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

9.根据权利要求8所述的装置，其特征在于，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容提取操作信息。

10.根据权利要求9所述的装置，其特征在于，还包括：

第一虚拟通道层，用于当所述协议数据包为鼠标键盘的协议数据包时，传输鼠标键盘操作的数据。