[发明专利]一种智能审计方法和装置

说明书

本申请公开了一种智能审计方法和装置，该方法包括：接收RDP客户端发送的I/O请求；解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；将确定的操作动作的码流信息插入至接收到的I/O请求中，形成修改后的I/O请求；发送修改后的I/O请求到目标机器；接收目标机器对修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。本申请通过在RDP协议合适位置查找相应的数据包，并整合协议数据包，以达到记录用户鼠标键盘、粘贴复制、打开文件等操作的效果。本申请通过RDP运维实现了图形协议内容的提取，既解决了数据传输的安全性控制，又可以方便用户进行IT设备运维管理。

技术领域

本申请涉及计算机领域，尤其涉及一种智能审计方法和装置。

背景技术

随着计算机及网络技术的发展，对IT设备的运行维护越来越受到政府和企业的重视，同时对运维的审计需求，也日益增长。运维管理系统作为用户和目标设备的中间层，它需要完成各种协议的代理运维过程，同时实现相关控制功能。

远程桌面协议(RDP，Remote Desktop Protocol)是一个多通道的协议，让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。通过RDP协议进行代理运维时，本地桌面和远程桌面之间的数据交换可以被RDP代理记录并进行录像播放。

然而，现有的RDP协议代理，主要是记录桌面I/O操作，虽然能实现本地和远程的数据传输，但不能有效的分析出用户在桌面进行的测试，存在了很大的不足。例如，审计人员在审计时，无法查看到操作人员在操作远程设备时，都进行了哪些具体危险性的操作。比如剪切\复制了什么文件及其内容，鼠标\键盘点击或者输入了什么内容，打开过什么危险性文件。

发明内容

本申请实施例提供一种智能审计方法和装置，用以解决现有技术中RDP协议代理，只是记录桌面I/O操作，不能有效的分析出用户在桌面进行的测试的问题。

本申请的一个方面提供了一种智能审计方法，包括：

接收RDP客户端发送的I/O请求；

解析运维过程中从RDP客户端接收的协议数据包，确定协议数据包中操作动作的码流信息；

将所述确定的操作动作的码流信息插入至接收到的I/O请求中，形成修改后的I/O请求；

发送修改后的I/O请求到目标机器；

接收目标机器对所述修改后的I/O请求做出的I/O响应，再将该I/O响应发送到RDP客户端。

进一步的，在将所述确定的操作动作的码流信息插入至接收到的I/O请求之前，还包括监控步骤，具体为：

根据确定的操作动作的码流信息，判断用户操作是否属于危险性操作；

如是，则将该危险性操作信息和I/O请求发送到目标机器，接收目标机器阻断用户操作的响应；

如否，则执行将确定的操作动作的码流信息插入至接收到的I/O请求的步骤。

进一步的，所述判断用户操作是否属于危险性操作，具体包括：

通过用户键盘或者鼠标点击到的用户画面数据，判断其是否在修改用户环境信息，修改用户密码，删除用户重要信息，发送用户重要信息至非本系统，如是，则确定用户操作属于危险性操作。

进一步的，所述确定协议数据包中操作动作的码流信息，包括：确定协议数据包中本地操作动作的码流信息和远程桌面操作动作的码流信息。

进一步的，所述操作动作的码流信息，具体包括：鼠标键盘操作信息、剪贴板操作信息、文件标题内容获取操作信息。