[发明专利]一种远程桌面协议的采集回放系统及方法

说明书

技术领域

本发明涉及数据审计领域，特别涉及一种远程桌面协议的采集回放系统及方法。

背景技术

RDP(Remote Desktop Protocol，远程桌面协议)是由微软公司提出的一种通讯协议，主要用于实现Windows操作系统下的多用户模式，用于远程访问运行在Windows终端服务器上的应用程序，将应用的逻辑执行和用户界面分离开来。

服务器端通过使用视频驱动程序描述显示输出，构造描述信息到使用RDP协议的网络数据包，通过网络发送到客户端；在客户端，视频驱动程序接收到描述信息，经过处理并显示出来。

作为当前网络信息安全业界一个逐渐得到公认的事实：在安全事件造成的损失中，有75％以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作等。分析这些内部安全威胁没有得到有效控制的根源，可以发现下列主要因素：审计体系没有有效工作或者根本没有、不具备完整的访问授权机制，不具备完善的职责分离机制，人员安全意识和技能方面的不足等。其中，缺少可信的、完备的审计系统是目前普遍存在、首当其冲的最重要的根源因素，必须严肃对待。同时，审计系统仅仅分析审计数据是远远不够的，很多时候很难从一堆数据中分析出运维的具体操作和行为。为了方便更直观的获取运维操作行为和显示结果，就需要对RDP会话数据进行回放，回放可以重现客户端呈现的界面。可视化的回放可以帮助审计人员直观的审计在运维操作过程中是否存在越权访问等违规操作，能够非常方便的帮助审计人员分析定位事故或故障的原因。

目前市场上关于RDP协议的审计产品在采集时是基于代理服务器的方式，审计时是为审计人员装上特定的软件进行审计。这些审计产品安装较为繁琐，且使用不便。

发明内容

本发明的目的在于通过将RDP中间人串接在RDP客户端与RDP服务端之间，在不影响客户端与服务端正常通信的前提下，采集RDP数据并将其中的图像和声音数据解析出来，实现对RDP协议的可视化回放以供审计人员直观审计。

为了实现上述目的，本发明提供了一种远程桌面协议的采集回放系统，包括：IP数据转发模块，RDP数据加解密模块，RDP数据解析模块、RDP回放数据生成模块和RDP播放模块；其中，

所述IP数据转发模块用于对网络上的RDP数据进行采集；

所述RDP数据加解密模块将密文数据解密后提交给RDP数据解析模块，然后再将数据加密后提交给IP数据转发模块转发；

所述RDP数据解析模块对RDP明文数据进行解析，去掉RDP协议栈中各层头部信息后提交给RDP回放数据生成模块；

所述RDP回放数据生成模块将RDP数据区中的关于图形图像的数据提取出来，根据时间顺序存储为特定的RDP回放文件，并为回放文件建立索引；

所述RDP播放模块读取RDP回放文件，进行可视化RDP回放。

上述技术方案中，所述IP数据转发模块的功能具体包括：收取网络上的数据报文，对IP包进行重组，对TCP包进行重组，对重传包进行重传处理；对重组的数据包判断报文的类别，若为RDP数据包，将RDP数据包提交给RDP数据加解密模块，等待RDP数据加解密模块处理完成后，接收RDP数据加解密模块提交过来的RDP数据包，转发到网络上；若为非RDP数据包，则直接转发到网络上。

上述技术方案中，所述RDP数据加解密模块的功能具体包括：根据IP数据转发模块提交的数据加密类型对RDP数据包进行处理，如果是连接认证阶段的明文数据包，则将数据包直接提交给RDP数据解析模块；如果是经过加密的数据包，则根据在连接认证阶段替换的密钥对经过加密的数据包进行解密处理后再提交给RDP数据解析模块。

上述技术方案中，所述RDP数据解析模块的具体功能包括：模拟RDP协议栈，在RDP连接认证阶段替换客户端与服务端协商的密钥，将替换后的密钥转发给RDP数据加解密模块使其获得加解密能力；在数据传输阶段，将RDP协议栈各层的头部信息去掉，将RDP层的数据提交给RDP回放数据生成模块。