一种基于RDP的数据防泄漏系统和方法与流程
本发明涉及远程虚拟化安全技术领域,具体涉及一种基于rdp的数据防泄漏系统和方法。
背景技术:
现有的远程数据中心通常使用pc终端,并采用rdp协议进行数据交互,而rdp远程协议可以通过共享本地磁盘,外设等进行本地与数据中心的文件拷贝。这种协议交换安全性较弱,易将数据中心的受保护文件或数据在未经授权情况下就被拷贝外泄。同时,由于rdp远程连接配置通常是可以直接由用户选择的,存在恶意用户通过共享本地磁盘而获取到数据中心受保护数据的风险。
技术实现要素:
本发明的目的在于,为解决上述技术问题,提供一种能有效防止受保护文件或数据未经授权情况下就被拷贝外泄的基于rdp的数据防泄漏系统和方法。
为解决上述技术问题,本发明采用如下的技术方案:一种基于rdp的数据防泄漏系统,包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,其中:
安全管理模块,用于对所述数据防泄漏系统进行安全管理,录入合法的rdp终端用户并为其配置访问数据中心的授权信息;
身份认证模块,用于对所述rdp终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的rdp终端用户;
数据采集模块,用于实时采集流经所述数据防泄漏系统的网络数据,获取rdp终端至数据防泄漏系统、rdp终端至数据中心之间的数据;
协议分析模块,用于对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,得到所述网络数据中的rdp登录、剪贴板和数据拷贝行为;
访问控制模块,用于对rdp终端与数据中心之间的数据流进行访问控制,根据所述授权信息,判断所述rdp终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于rdp的数据防泄漏系统,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。
本发明还提供一种基于rdp的数据防泄漏方法,包括:
s1、rdp终端访问数据防泄漏系统,数据防泄漏系统通过用户输入的认证信息,判断用户是否为合法的用户;
s2、rdp终端通过数据防泄漏系统与数据中心进行远程连接;
s3、在网桥网口上采集rdp终端与数据中心远程连接中的网络数据;
s4、根据采集到的网络数据分析确认所述远程连接是否为rdp远程连接,并对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,确认所述远程连接中管道信息对应的操作行为;
s5、通过对操作行为进行分析,确认rdp终端是否存在数据传输拷贝行为;
s6、对rdp终端与数据中心之间的数据流进行访问控制,根据认证信息与数据防泄漏系统中预先配置的授权信息进行匹配,判断所述rdp终端的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于rdp的数据防泄漏方法,所述分析确认所述远程连接是否为rdp远程连接的具体方法为:首先确认所述远程连接的目的端口是3389,并确认三次握手后的首个数据包中前四个字节是rdp协议特征。
如前述的基于rdp的数据防泄漏方法,在所述分析确认所述远程连接为rdp远程连接之前还包括:终端向数据中心发起rdp远程连接请求后,数据采集模块通过采集入网口数据包,通过入网口数据包中的五元组建立基于当前rdp远程连接的流表信息;所述五元组包括:源ip、源端口、目的ip、目的端口和协议类型。
如前述的基于rdp的数据防泄漏方法,所述操作行为包括:磁盘共享、文件拷贝和打印共享。
如前述的基于rdp的数据防泄漏方法,所述管道信息包括:管道a协议包、管道b协议包和管道c协议包。
如前述的基于rdp的数据防泄漏方法,步骤s4中确认所述远程连接中管道信息对应的操作行为的方法具体为:
管道a协议包出现时,管道c协议包也出现过,则rdp远程连接已到用户登录界面,同时时初始化管道c的统计信息;
出现由rdp终端发起的管道b协议包时,则当前rdp终端正在进行剪贴板操作行为;
管道c协议包出现操作特征后,则当前rdp终端正在进行交互行为。
如前述的基于rdp的数据防泄漏方法,所述步骤s5具体包括以下步骤:
s5a、根据管道a协议包累计信息统计得出rdp远程登录行为;
s5b、当登录后根据终端发起的管道b协议包累计信息统计得出剪贴板行为;
s5c、当登录后根据管道c协议包累计信息统计得出磁盘共享或打印共享行为;
s5d、当满足磁盘共享或打印共享行为后,根据管道c协议包中特征分析得出数据拷贝行为。
与现有技术相比,本发明通过设置安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块,从而能够对远程访问数据中心的rdp终端进行身份认证,确保合法使用;对原有rdp终端和数据中心改动小,不受rdp远程虚拟化技术实现方式和架构影响;能杜绝数据中心到rdp终端的非授权数据流动;所述数据防泄漏系统对每次rdp终端的认证请求进行记录,即使发生恶意访问的情况,通过查询所述数据防泄漏系统的认证请求记录可以快速定位到进行恶意访问的rdp终端。
附图说明
图1为本发明系统结构示意图;
图2为本发明方法流程示意图;
图3为本发明中rdp终端通过数据防泄漏系统与数据中心进行远程连接的流程图;
图4为本发明中数据防泄漏系统在网桥网口上采集终端与数据中心远程连接中的数据包流程图;
图5为本发明中数据防泄漏系统根据采集到的数据包分析确认远程连接是否为rdp远程连接流程图。
下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
本发明实施例1,如图1所示,本实施例公开了一种基于rdp的数据防泄漏系统120,包括:
包括安全管理模块121、身份认证模块122、数据采集模块123、协议分析模块124和访问控制模块125,其中:
安全管理模块121,用于对所述数据防泄漏系统120进行安全管理,录入合法的rdp终端用户并为其配置访问数据中心130的授权信息;
身份认证模块122,用于对所述rdp终端用户的身份进行鉴别,根据用户输入的认证信息,判断用户是否为合法的rdp终端用户;
数据采集模块123,用于实时采集流经所述数据防泄漏系统120的网络数据,获取rdp终端110至数据防泄漏系统120、rdp终端110至数据中心130之间的数据;
协议分析模块124,用于对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,得到所述网络数据中的rdp登录、剪贴板和数据拷贝行为;
访问控制模块125,用于对rdp终端110与数据中心130之间的数据流进行访问控制,根据所述授权信息,判断所述rdp终端110的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
如前述的基于rdp的数据防泄漏系统120,所述认证信息包括用户名、口令密码和数字证书,所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。
本发明实施例2,本实施例公开了本发明还提供一种基于rdp的数据防泄漏方法,包括:
s1、终端访问数据防泄漏系统120,数据防泄漏系统120通过用户输入的认证信息,判断用户是否为合法的用户;
s2、终端通过数据防泄漏系统120与数据中心130进行远程连接;如图3所示,为本步骤s2的一个优选实施方式:
步骤201,管理员140通过浏览器登录所述数据防泄漏系统的web管理页面。
步骤202,管理员140在步骤201中管理系统中添加rdp终端110的认证账号,包括用户名和密码。
步骤203,管理员140根据rdp终端110访问数据中心130的权限,配置上述步骤202中添加的账号的操作权限。
、在网桥网口上采集rdp终端110与数据中心130远程连接中的网络数据;如图4所示,为本步骤s3的一个优选实施方式:
步骤301,rdp终端110通过浏览器访问所述数据防泄漏系统的认证页面,在认证页面中输入用户名和密码并点击登录,此时浏览器会将用户数据的用户名和密码通过https协议发送给所述数据防泄漏系统中的身份认证模块122;
步骤302,身份认证模块122接收到rdp终端11发送来的认证请求后,将请求中的用户名和密码信息提取出来,然后与存储的账号信息进行匹配,得到认证结果;
步骤303,身份认证模块122将认证结果通过https协议返回给rdp终端110;
s4、根据采集到的网络数据分析确认所述远程连接是否为rdp远程连接,并对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,确认所述远程连接中的管道信息对应的操作行为;
如图5所示,为本步骤s4的一种优选实施方式:
步骤401,rdp终端110认证成功后,会向数据中心130发起rdp远程连接请求,所述数据防泄漏系统通过采集入网口数据包,通过数据包中的五元组(源ip、源端口、目的ip、目的端口、协议类型)建立基于当前rdp远程连接的流表信息;并分析数据包中的目的端口是否为3389,以及第一数据包中的前四个字节数据是否是rdp协议标准特征。
步骤402,rdp终端110与数据中心130建立rdp远程连接后,所述数据防泄漏系统基于上述步骤401中的流表信息,分析记录rdp远程连接上的管道信息,当管道a协议包出现时,管道c协议包也出现过,则说明rdp远程连接已到用户登录界面,此时初始化管道c统计信息;
步骤403,rdp终端110登录数据中心130后,所述数据防泄漏系统120将统计分析所有通过rdp远程连接的数据包。当出现由rdp终端110发起的管道b协议包时,则表明当前rdp终端110正在进行剪贴板操作行为;通过对管道c协议包进行统计,当管道c协议包出现操作特征后,可以确认当前rdp终端110正在进行磁盘共享、文件拷贝或打印共享等操作行为;所述数据防泄漏系统120依据步骤401中所述流表信息记录当前连接的操作行为;
步骤404,所述数据防泄漏系统120依据rdp终端110在上述图4中进行的身份认证的权限信息,确认当前rdp终端110的rdp远程连接是否有上述步骤403中的操作行为,若无相应操作权限则丢弃相关协议包,确保数据中心130数据泄露;若有其对应操作权限则正常转发协议包。
、通过对操作行为进行分析,确认rdp终端110是否存在数据传输拷贝行为;具体包括以下步骤:
s5a、根据管道a协议包累计信息统计得出rdp远程登录行为;
s5b、当登录后根据rdp终端110发起的管道b协议包累计信息统计得出剪贴板行为;
s5c、当登录后根据管道c协议包累计信息统计得出磁盘共享或打印共享行为;
s5d、当满足磁盘共享或打印共享行为后,根据管道c协议包中特征分析得出数据拷贝行为。
、对rdp终端110与数据中心130之间的数据流进行访问控制,根据认证信息与数据防泄漏系统120中预先配置的授权信息进行匹配,判断所述rdp终端110的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例3,如图2所示,本实施例公开了本发明还提供一种基于rdp的数据防泄漏方法,包括:
s1、rdp终端110访问数据防泄漏系统120,数据防泄漏系统120通过用户输入的认证信息,判断用户是否为合法的用户;
s2、rdp终端110通过数据防泄漏系统120与数据中心130进行远程连接;
s3、在网桥网口上采集rdp终端110与数据中心130远程连接中的网络数据;
s4、根据采集到的网络数据分析确认所述远程连接是否为rdp远程连接,所述分析确认所述远程连接是否为rdp远程连接具体方法为:首先确认所述远程连接的目的端口是3389,并确认三次握手后的首个数据包中前四个字节是rdp协议特征;并对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,确认所述远程连接中的管道信息对应的操作行为;
s5、通过对操作行为进行分析,确认rdp终端110是否存在数据传输拷贝行为;
s6、对rdp终端110与数据中心130之间的数据流进行访问控制,根据认证信息与数据防泄漏系统120中预先配置的授权信息进行匹配,判断所述rdp终端110的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例4,如图2所示,本实施例公开了本发明还提供一种基于rdp的数据防泄漏方法,包括:
s1、rdp终端110访问数据防泄漏系统120,数据防泄漏系统120通过用户输入的认证信息,判断用户是否为合法的用户;
s2、rdp终端110通过数据防泄漏系统120与数据中心130进行远程连接;
s3、在网桥网口上采集rdp终端110与数据中心130远程连接中的网络数据;
s4、根据采集到的网络数据分析确认所述远程连接是否为rdp远程连接,并对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道a协议包、管道b协议包和管道c协议包;否则进行步骤s4c;所述rdp协议的解析方法为:
s4a、若确认所述远程连接是rdp连接则通过协议解析得到rdp协议中管道信息,
s4b、记录各管道的数据包累计信息,并统计出交互行为;所述交互行为包括:磁盘共享、文件拷贝和打印共享。
、丢弃数据包,阻断rdp终端110访问数据中心130;
s5、通过对操作行为进行分析,确认rdp终端110是否存在数据传输拷贝行为;
s6、对rdp终端110与数据中心130之间的数据流进行访问控制,根据认证信息与数据防泄漏系统120中预先配置的授权信息进行匹配,判断所述rdp终端110的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例6,如图2所示,本实施例公开了本发明还提供一种基于rdp的数据防泄漏方法,包括:
s1、rdp终端110访问数据防泄漏系统120,数据防泄漏系统120通过用户输入的认证信息,判断用户是否为合法的用户;
s2、rdp终端110通过数据防泄漏系统120与数据中心130进行远程连接;
s3、在网桥网口上采集rdp终端110与数据中心130远程连接中的网络数据;s4、rdp终端110向数据中心130发起rdp远程连接请求后,所述数据防泄漏系统120通过采集入网口数据包,通过入网口数据包中的五元组建立基于当前rdp远程连接的流表信息;所述五元组包括:源ip、源端口、目的ip、目的端口和协议类型;
根据采集到的网络数据分析确认所述远程连接是否为rdp远程连接,并对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,确认所述远程连接中的管道信息对应的操作行为;
s5、通过对操作行为进行分析,确认rdp终端110是否存在数据传输拷贝行为;
s6、对rdp终端110与数据中心130之间的数据流进行访问控制,根据认证信息与数据防泄漏系统120中预先配置的授权信息进行匹配,判断所述rdp终端110的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例7,如图2所示,本实施例公开了本发明还提供一种基于rdp的数据防泄漏方法,包括:
s1、rdp终端110访问数据防泄漏系统120,数据防泄漏系统120通过用户输入的认证信息,判断用户是否为合法的用户;
s2、rdp终端110通过数据防泄漏系统120与数据中心130进行远程连接;
s3、在网桥网口上采集rdp终端110与数据中心130远程连接中的网络数据;s4、根据采集到的网络数据分析确认所述远程连接是否为rdp远程连接,并对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道a协议包、管道b协议包和管道c协议包;
所述确认远程连接中的管道信息对应的操作行为的方法具体为:
管道a协议包出现时,管道c协议包也出现过,则rdp远程连接已到用户登录界面,同时时初始化管道c的统计信息;
出现由rdp终端110发起的管道b协议包时,则当前rdp终端110正在进行剪贴板操作行为;
管道c协议包出现操作特征后,则当前rdp终端110正在进行交互行为。
、通过对操作行为进行分析,确认rdp终端110是否存在数据传输拷贝行为;
s6、对rdp终端110与数据中心130之间的数据流进行访问控制,根据认证信息与数据防泄漏系统120中预先配置的授权信息进行匹配,判断所述rdp终端110的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
本发明实施例8,如图2所示,本实施例公开了本发明还提供一种基于rdp的数据防泄漏方法,包括:
s1、rdp终端110访问数据防泄漏系统120,数据防泄漏系统120通过用户输入的认证信息,判断用户是否为合法的用户;
s2、rdp终端110通过数据防泄漏系统120与数据中心130进行远程连接;
s3、在网桥网口上采集rdp终端110与数据中心130远程连接中的网络数据;
s4、根据采集到的网络数据分析确认所述远程连接是否为rdp远程连接,并对采集的所述网络数据进行rdp协议解析,丢弃所述网络数据非rdp协议数据包,确认所述远程连接中的管道信息对应的操作行为;所述管道信息包括:管道a协议包、管道b协议包和管道c协议包;所述交互协议的确认方法为:
s5、通过对操作行为进行分析,确认rdp终端110是否存在数据传输拷贝行为;具体包括以下步骤:
s5a、根据管道a协议包累计信息统计得出rdp终端110远程登录行为;
s5b、当登录后根据终端发起的管道b协议包累计信息统计得出剪贴板行为;
s5c、当登录后根据管道c协议包累计信息统计得出磁盘共享或打印共享行为;
s5d、当满足磁盘共享或打印共享行为后,根据管道c协议包中特征分析得出数据拷贝行为。
、对rdp终端110与数据中心130之间的数据流进行访问控制,根据认证信息与数据防泄漏系统120中预先配置的授权信息进行匹配,判断所述rdp终端110的操作行为是否合法,若操作行为合法则放行所述数据流,否则阻断所述数据流。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!