一种基于web代理进行录屏审计的方法及系统的制作方法

一种基于web代理进行录屏审计的方法及系统的制作方法
【专利摘要】本发明提供一种基于WEB代理进行录屏审计的方法及系统，该方法中客户端通过浏览器获取RDP连接信息，并与RDP代理模块建立连接；RDP代理模块通过转发和保存前置机和客户端之间的图形界面数据，实现将浏览器的运行端部署到前置机上，显示及操作端部署在客户端；前置机浏览器在访问目标WEB服务器过程中，通过WEB代理服务器与目标Wffi服务器通信，由TOB代理服务器转发和保存前置机与目标WEB服务器之间的http数据；审计模块将RDP代理模块保存的图形界面数据，与WEB代理服务器模块保存的http数据关联起来进行录屏审计。本发明方便实现录屏审计且在录屏审计可以结合URL日志，实现更精确的安全审计。
【专利说明】一种基于WEB代理进行录屏审计的方法及系统

【技术领域】
[0001] 本发明涉及网络安全【技术领域】，尤其涉及一种基于WEB代理进行录屏审计的方法 及系统。

【背景技术】
[0002] WEB代理是指在用户浏览器（客户端）和目标网站（目标WEB服务器）之间部署 一种WEB代理服务器，用于转发客户端浏览器到目标WEB服务器及目标WEB服务器到客户 端浏览器之间的请求和响应。WEB代理服务器中，可以实现多种功能，比如权限控制、访问的 目标WEB服务器文件审计等。
[0003] 传统的WEB审计方式中，在客户端浏览器设置WEB代理服务器地址，当客户端浏览 器访问目标WEB服务器时，发送的请求会首先到达WEB代理服务器，WEB代理服务器再转发 客户端的请求。在WEB代理服务器中，则可以记录该请求的URL信息，这样用户所有访问的 URL都会被记录，形成WEBURL审计日志文件。
[0004] 在传统方案中，根据WEB URL审计日志文件，WEB代理的安全审计只能审计到用户 访问目标WEB服务器的文件，该日志文件很难追踪用户操作WEB服务器的具体过程，也不能 发现一些高危操作具体是谁操作的，比如：删除用户，设置错误的权限等。
[0005] 有可能目标WEB服务器本身的系统日志会包含一些高危操作的日志，但很难面面 俱到，并且很多目标WEB服务器还没有一些高危操作的日志。所以一种能跟踪用户操作，记 录高危操作的审计方法是非常迫切需要的。
[0006] 堡垒机是一种运维安全审计系统，主要的功能是单点登录、帐号管理、资源授权和 操作审计。堡鱼机通过对常用的运维协议（RDP(Remote DisplayProtocol，远程显示协议）、 VNC、HTTP等）采用协议代理的方式，切断了运维人员对服务器的直接访问，所有运维操作 都需要经过堡垒机进行。堡垒机将运维人员的操作记录至日志文件中，供审计人员进行安 全审计和追责。
[0007] 堡垒机的功能通常在一个服务器上实现，包括RDP代理模块、前置机、WEB服务器 等。
[0008] 现有技术中堡鱼机通过录屏审计可以实现操作审计功能，具体方式如下：
[0009] 堡垒机的前置机作为浏览器的运行端，用户PC作为浏览器的显示端，RDP代理模 块复制和转发用户PC和堡垒机的前置机之间交互的图形数据，将复制的图形数据发送到 RDP日志记录模块作为审计日志，然后就可以使用专用的日志播放工具，播放堡垒机的前置 机浏览器的所有操作，从而以轻松实现审计日志的录屏功能。录屏日志能够追踪用户的所 有操作过程，出现问题时能准确的定位责任人，达到高精确度审计的目的。
[0010] 但是现有的录屏审计方法具有以下缺点：
[0011] 1)堡垒机的前置机作为浏览器的运行端，用户PC作为浏览器的显示端，而目前用 户使用PC时，浏览器的运行端和显示端均在用户PC上，用户要想实现录屏审计功能，需要 手动配置堡垒机的IP和RDP代理模块监听的端口与RDP代理建立连接，而许多用户是不知 道这些信息的，因此普通用户一般无法通过PC实现录屏审计功能；
[0012] 2)堡垒机中的前置机与目标WEB服务器之间采用直接通信方式进行通信，不经过 web代理服务器，因此在得到录屏审计日志的同时不能得到URL日志，在查看录屏审计日志 时，由于没有URL日志，审计非常耗费时间，需要从头开始看录屏日志，若有多个人同时操 作了目标WEB服务器，则每个目标WEB服务器对应的录屏日志都需要看，无法实现将两个日 志结合实现更精确的安全审计和追责。


【发明内容】

[0013] 本发明提供一种基于WEB代理进行录屏审计的方法及系统，通过登录客户端的浏 览器即可实现将浏览器的运行端部署在堡垒机的前置机上，将浏览器的显示及操作端部署 在所述客户端，方便实现录屏审计且在录屏审计可以结合URL日志，从而实现更精确的安 全审计。
[0014] 一种基于WEB代理进行录屏审计的方法，包括：
[0015] WEB服务器与客户端的浏览器建立连接后，将RDP连接信息发送给客户端的浏览 器，由所述客户端根据通过浏览器获取的所述RDP连接信息与RDP代理模块建立连接；
[0016] RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览 器，通过转发和保存前置机和客户端之间的图形界面数据，实现将浏览器的运行端部署到 前置机上，将浏览器的显示及操作端部署在所述客户端；
[0017] 前置机在运行浏览器的过程中，通过WEB代理服务器与目标WEB服务器通信，由所 述WEB代理服务器转发和保存前置机与目标WEB服务器之间的http数据；
[0018] 审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块 保存的http数据关联起来进行录屏审计。
[0019] 优选地，WEB服务器将RDP连接信息发送给客户端的浏览器之前，还包括：
[0020] WEB服务器将包括多个目标WEB服务器的http数据发送给客户端的浏览器进行显 示，接收客户端通过浏览器发送的用户选择的目标WEB服务器；
[0021] WEB服务器将RDP连接信息发送给客户端的浏览器时，还包括：
[0022] WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，该前置机IE启动指 示信息包括前置机地址、浏览器的路径、目标服务地址的指示信息；
[0023] RDP代理模块在与客户端建立连接后，还包括：
[0024] RDP代理模块接收客户端发送的前置机IE启动指示信息；
[0025] RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览 器，具体包括：
[0026] RDP代理模块根据前置机IE启动指示信息确定前置机地址、浏览器的路径、目标 服务地址，根据前置机地址连接前置机，根据浏览器的路径启动前置机中浏览器，根据目标 服务地址连接目标WEB服务器。
[0027] 优选地，WEB服务器接收客户端通过浏览器发送的用户选择的目标WEB服务器之 后，还包括：
[0028] WEB服务器生成包括前置机地址信息、浏览器的路径信息、目标服务地址信息的表 项并存入数据库；
[0029] WEB服务器接收所述数据库返回的表项ID ;
[0030] WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，包括：WEB服务器将 所述表项ID发送给客户端的浏览器；
[0031] RDP代理模块接收客户端发送的前置机IE启动指示信息，具体包括：
[0032] RDP代理模块接收客户端发送的表项ID ;
[0033] RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览 器，具体包括：
[0034] RDP代理模块与客户端建立连接后，根据所述表项ID在数据库中查询对应的表 项，根据表项中前置机地址信息连接前置机，根据表项中浏览器的路径信息启动前置机中 浏览器，根据表项中目标服务地址的信息连接目标WEB服务器。
[0035] 优选地，WEB服务器将RDP连接信息发送给客户端的浏览器，具体包括：
[0036] WEB服务器将RDP连接信息，以java插件参数的形式发送到客户端的浏览器，由客 户端的浏览器启动的java插件将所述RDP连接信息写入应用程序mstsc的配置文件，通过 java插件启动应用程序mstsc,由mstsc根据所述配置文件中的RDP连接信息与RDP代理 模块建立连接；
[0037] WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，具体包括：
[0038] WEB服务器将前置机IE启动指示信息，以java插件参数的形式发送到客户端的浏 览器，由客户端的浏览器启动的java插件将所述IE启动指示信息写入mstsc的配置文件， 由mstsc与RDP代理模块建立连接后，将所述配置文件中的前置机IE启动指示信息发送给 RDP代理模块。
[0039] 优选地，RDP代理模块保存图形界面数据时，记录保存该图像界面数据的时间戳； WEB代理服务器模块保存的http数据时，记录保存该http数据的时间戳；
[0040] 审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块 保存的http数据关联起来进行录屏审计，具体包括：
[0041] 审计模块根据其中一个http数据的时间戳，定位该时间戳之后的图像界面数据 进行录屏审计。
[0042] 本发明还提供一种基于WEB代理进行录屏审计的系统，包括：
[0043] WEB服务器，与客户端的浏览器建立连接后，将RDP连接信息发送给客户端的浏览 器，由所述客户端根据通过浏览器获取的所述RDP连接信息与RDP代理模块建立连接；
[0044] RDP代理模块，在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览 器，通过转发和保存前置机和客户端之间的图形界面数据，实现将浏览器的运行端部署到 前置机上，将浏览器的显示及操作端部署在所述客户端；
[0045] 前置机，在运行浏览器的过程中，通过WEB代理服务器与目标WEB服务器通信；
[0046] WEB代理服务器，用于转发和保存前置机与目标WEB服务器之间的http数据；
[0047] 审计模块，将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块 保存的http数据关联起来进行录屏审计。
[0048] 优选地，WEB服务器将RDP连接信息发送给客户端的浏览器之前，还用于：将包括 多个目标WEB服务器的http数据发送给客户端的浏览器进行显示，接收客户端通过浏览器 发送的用户选择的目标WEB服务器；
[0049] WEB服务器将RDP连接信息发送给客户端的浏览器时，还用于：将前置机IE启动 指示信息发送给客户端的浏览器，所述前置机IE启动指示信息包括堡垒机的前置机地址、 浏览器的路径、目标服务地址的指示信息；
[0050] RDP代理模块在与客户端建立连接后，还用于：接收客户端发送的前置机IE启动 指示信息；
[0051] RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览 器，具体包括：根据前置机IE启动指示信息确定前置机地址、浏览器的路径、目标服务地 址，根据前置机地址连接前置机，根据浏览器的路径启动前置机中浏览器，根据目标服务地 址连接目标WEB服务器。
[0052] 优选地，WEB服务器接收客户端通过浏览器发送的用户选择的目标WEB服务器之 后，还用于：
[0053] 生成包括堡垒机的前置机地址信息、浏览器的路径信息、目标服务地址信息的表 项并存入数据库，接收所述数据库返回的表项ID ;
[0054] WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，包括：WEB服务器将 所述表项ID发送给客户端的浏览器；
[0055] RDP代理模块接收客户端发送的前置机IE启动指示信息，具体包括：接收客户端 发送的表项ID ;
[0056] RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览 器，具体包括：
[0057] 根据所述表项ID在数据库中查询对应的表项，根据表项中前置机地址信息连接 前置机，根据表项中浏览器的路径信息启动前置机中浏览器，根据表项中目标服务地址的 信息连接目标WEB服务器。
[0058] 优选地，WEB服务器将RDP连接信息发送给客户端的浏览器，具体包括：
[0059] WEB服务器将RDP连接信息，以java插件参数的形式发送到客户端的浏览器，由客 户端的浏览器启动的java插件将所述RDP连接信息写入应用程序mstsc的配置文件，通过 java插件启动应用程序mstsc,由mstsc根据所述配置文件中的RDP连接信息与RDP代理 模块建立连接；
[0060] WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，具体包括：
[0061] WEB服务器将前置机IE启动指示信息，以java插件参数的形式发送到客户端的浏 览器，由客户端的浏览器启动的java插件将所述IE启动指示信息写入mstsc的配置文件， 由mstsc与RDP代理模块建立连接后，将所述配置文件前置机IE启动指示信息发送给RDP 代理模块。
[0062] 优选地，RDP代理模块保存图形界面数据时，还用于记录保存该图像界面数据的时 间戳；WEB代理服务器模块保存的http数据时，还用于记录保存该http数据的时间戳；
[0063] 审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块 保存的http数据关联起来进行录屏审计，具体包括：
[0064] 审计模块在进行录屏审计时，根据其中一个http数据的时间戳，定位该时间戳之 后的图像界面数据进行录屏审计。
[0065] 利用本发明提供的基于WEB代理进行录屏审计的方法及系统，具有以下有益效 果：
[0066] 通过登录客户端的浏览器即可实现将浏览器的运行端部署在堡垒机的前置机上， 将浏览器的显示及操作端部署在客户端上，方便实现录屏审计且在录屏审计可以结合URL 日志，实现了 WEB审计的录屏功能，极大地提高了 WEB安全审计的力度和审计的效率，可以 先看URL日志，可能在哪里出问题，然后再通过URL定位到RDP图形日志；多个人都访问了 目标WEB服务器时的审计方法也可以采用先看URL日志，再通过URL定位到图形日志，从安 全审计方面来说是一次极大地提高。

【专利附图】

【附图说明】
[0067] 图1为本发明实施例基于WEB代理进行录屏审计的方法流程图；
[0068] 图2为发明实施例基于WEB代理进行录屏审计的部署图；
[0069] 图3为本发明实施例WEB代理服务器转发数据流程图；
[0070] 图4为本发明实施例RDP图形界面数据转发流程图；
[0071] 图5为本发明实施例实现基于WEB代理进行录屏审计的方法详细过程示意图；
[0072] 图6为本发明实施例URL日志同RDP图形日志的对应关系图；
[0073] 图7为本发明实施例通过URL审计日志定位RDP图形日志的流程图；
[0074] 图8为本发明实施例基于WEB代理进行录屏审计的系统示意图。

【具体实施方式】
[0075] 下面结合附图和实施例对本发明提供的基于WEB代理进行录屏审计的方法及系 统进行更详细地说明。
[0076] 本发明提供一种基于WEB代理进行录屏审计的方法，如图1所示，包括：
[0077] 步骤101，WEB服务器与客户端的浏览器建立连接后，将RDP连接信息发送给客户 端的浏览器，由所述客户端根据通过浏览器获取的所述RDP连接信息与RDP代理模块建立 连接；
[0078] 本发明实施例中WEB服务器中事先配置有RDP连接信息，在用户通过客户端登录 到WEB服务器后，WEB服务器会返回RDP连接信息。
[0079] 具体地，用户可以在客户端启动浏览器，通过URL地址登录WEB服务器。
[0080] 客户端通过启动浏览器可以获取RDP连接信息，从而客户端可以根据通过浏览器 获取的RDP连接信息与RDP代理模块建立连接，不需要手动配置RDP连接信息。
[0081] 步骤102, RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机 上的浏览器，通过转发和保存前置机和客户端之间的图形界面数据，实现将浏览器的运行 端部署到前置机上，将浏览器的显示及操作端部署在所述客户端；
[0082] 本发明实施例由RDP代理模块启动前置机上的浏览器，不需要操作人员手动启动 前置机上的浏览器。
[0083] RDP代理模块通过转发和保存前置机和客户端之间的图形界面数据，实现将浏览 器的运行端部署到堡垒机的前置机上，将浏览器的显示及操作端部署在客户端，该过程为 现有技术，即浏览器的启动及与目标WEB服务器之间的交互都是由前置机执行的，浏览器 启动图形界面及启动后根据用户操作响应的各图形界面都是在客户端上显示的。
[0084] 浏览器启动对应的图形界面及启动后根据用户操作响应的各图形界面，具体是采 用RDP协议通过RDP代理模块转发给客户端进行显示；用户根据显示的图形界面选择执行 相应的操作，选择执行操作的相应界面以图形界面数据的形式，由RDP代理模块转发给前 置机，从而使前置机浏览器根据用户选择的操作，向目标WEB服务器发送http请求并接收 相应的响应，根据接收的响应生成该操作对应的图形界面数据，并采用RDP协议通过RDP代 理模块转发给客户端进行显示。
[0085] 步骤103,前置机在运行浏览器的过程中，通过WEB代理服务器与目标WEB服务器 通信，由WEB代理服务器转发和保存前置机与目标WEB服务器之间的http数据；
[0086] 步骤104,审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服 务器模块保存的http数据关联起来进行录屏审计。
[0087] 本发明实施例通过登录客户端的浏览器即可实现将浏览器的运行端部署在堡垒 机的前置机上，将浏览器的显示及操作端部署在客户端上，方便实现录屏审计，前置机浏览 器访问目标WEB服务器的所有操作，都会用RDP协议以图像的形式发送给审计模块，审计模 块会保存图像数据，结合WEB代理服务器保存的http数据进行审计，实现了 WEB审计的录 屏功能，极大地提高了 WEB安全审计的力度，可以清楚地了解用户的所有操作，从安全审计 方面来说是一次极大地提高。
[0088] 优选地，本发明实施例中的WEB服务器、RDP代理模块、前置机、WEB代理服务器和 审计模块均部署在堡垒机中，该堡垒机可以部署在一个服务器上。
[0089] 当启动前置机上的浏览器之后，录屏审计部署场景如图2所示：
[0090] 对于客户端，通过堡垒机的RDP代理模块-堡垒机的前置机-堡垒机的WEB代理 服务器去访问真实的目标WEB服务器；此时，客户端访问目标WEB服务器的过程中，同堡垒 机交互的数据有两种，一种是HTTP的请求和回复数据，一种是RDP的图形界面数据；HTTP 的请求和回复数据通过WEB代理服务器进行转发，记录到WEB URL审计日志；RDP的图形界 面数据通过RDP代理模块进行转发，记录到RDP图形日志。
[0091] WEB代理服务器转发数据流程如图3所示。
[0092] 堡垒机的前置机浏览器发送HTTP的请求到堡垒机的WEB代理服务器，WEB代理服 务器转发来自前置机浏览器的HTTP的请求到目标WEB服务器；目标WEB服务器根据请求内 容，回复请求数据到WEB代理服务器中，WEB代理服务器再次转发回复的数据到前置机浏览 器，这样就完成了一个完整的HTTP请求。
[0093] RDP图形界面数据转发流程如图4所示。
[0094] 在图4中，堡垒机的前置机相当于服务器；客户端与堡垒机的前置机通过RDP代理 模块进行数据通信，RDP代理模块在这里的主要功能是复制和转发客户端和堡垒机的前置 机之间交互的图形界面数据；将复制的RDP图形界面数据发送到审计模块构成RDP图形日 志，可以使用RDP的专用播放器进行回放，这样便能通过回访操作清楚的了解用户对目标 WEB服务器的操作，从而完成录屏审计的功能。
[0095] 优选地，本发明实施例WEB服务器将RDP连接信息发送给客户端的浏览器之前， 还包括：WEB服务器将包括多个目标WEB服务器的http数据发送给客户端的浏览器进行显 示，接收客户端通过浏览器发送的用户选择的目标WEB服务器。即用户通过客户端登录到 WEB服务器，可以通过WEB服务器返回的包括多个目标WEB服务器的界面，选择想要登录的 目标WEB服务器。
[0096] WEB服务器将RDP连接信息发送给客户端的浏览器时，还包括：WEB服务器将前置 机IE启动指示信息发送给客户端的浏览器，该前置机IE启动指示信息包括前置机地址、浏 览器的路径、目标服务地址的指示信息。对于客户端来说，在与RDP代理模块建立连接后， 将接收的前置机IE启动指示信息发送给RDP代理模块。
[0097] RDP代理模块在与客户端建立连接后，接收客户端发送的前置机IE启动指示信 息；根据前置机IE启动指示信息确定前置机地址、浏览器的路径、目标服务地址，根据前置 机地址连接前置机，根据浏览器的路径启动前置机中浏览器，根据目标服务地址连接目标 WEB服务器。
[0098] 由于前置机是堡垒机里面的一个虚拟设备，所以RDP代理模块启动前置机的浏览 器时，是通过向前置机传递给浏览器的参数来连接到目标WEB服务器。比如要连接到百度， 则启动浏览器的参数如：C:\Program Files\Internet Explorer/iexploer.exe http:// www. baidu. com，这样前置机浏览器可以根据上述浏览器参数直接连接到目标WEB服务器， 实现目标WEB服务器的自动配置。并且前置机的浏览器里面代理服务器在启动的时候就配 置好了，前置机上的浏览器的WEB代理服务器是堡垒机上的WEB代理服务器。
[0099] 下面给出本发明实施例基于WEB代理进行录屏审计的详细过程，如图5所示，包 括：
[0100] 首先通过客户端浏览器启动堡垒机的前置机中的浏览器，具体过程如 ①②③④⑤⑥所示。
[0101] ①在客户端上，使用浏览器登录堡垒机的WEB服务器，WEB服务器会返回包括多个 目标WEB服务器的界面，用户选择需要访问目标WEB服务器，客户端向堡垒机的WEB服务器 返回选择的目标WEB服务器；
[0102] ②堡垒机的WEB服务器生成包括堡垒机的前置机地址信息、浏览器的路径信息、 目标服务地址信息的表项并存入数据库的session表中；
[0103] 优选地，堡垒机的前置机地址信息具体为前置机的IP和前置机监听的端口，目标 服务地址信息具体为目标WEB服务器的域名。
[0104] ③堡垒机的数据库返回上述表项的ID(SESSI0N_ID);
[0105] ④堡垒机的WEB服务器将RDP连接信息及SESSI0N_ID发送给客户端的浏览器；
[0106] 优选地，RDP连接信息包括堡垒机的IP和RDP监听的端口。
[0107] 堡垒机的WEB服务器将RDP连接信息和SESSI0N_ID，以java插件参数的形式发送 到客户端的浏览器。传递给java插件参数如下面代码所示：
[0108] <applcl codc=,!com.nsibcusfsash.Launchcr.classM archivc=MNSFLaunchcr.jar" width="0" hcight="0'f> <param name=''lP" value=" 10,245.34.877〉 <param namc=MPORT" valuc=M3389M/> <param namc=MSESSION_ID" value=H1237> </applct>
[0109] applet参数中，IP表示堡垒机的IP，PORT表示RDP代理模块监听的端口， SESSI0N_ID表示插入数据库的session表的ID值。
[0110] ⑤客户端浏览器启动java插件，通过java插件将上述java插件参数写入应用程 序mstsc的配置文件SAS-H. rdp ;
[0111] ⑥客户端启动应用程序mstsc,所述应用程序mstsc根据配置文件SAS-H. rdp中的 RDP连接信息与堡垒机的RDP代理模块建立连接，并将配置文件SAS-H. rdp中的前置机IE 启动指示信息发送给RDP代理模块。
[0112] 启动方式如下：mstsc/edit SAS-H. rdp。
[0113] mstsc在启动的时候会根据SAS-H. rdp文件中的RDP连接信息的内容（堡垒机的 IP和RDP代理监听的端口），使用RDP协议去连接堡垒机的RDP代理模块，并将SAS-H. rdp 文件中SESSI0N_ID的值发送给RDP代理模块，RDP代理模块通过SESSI0N_ID的值查询数据 表session，然后RDP代理模块根据查询的内容（前置机的IP和监听的端口）去连接前置 机，并通过浏览器路径信息启动前置机的浏览器，并通过传递参数（目标服务地址的信息） 给前置机浏览器来连接到目标WEB服务器。这样在客户端就启动了前置机的浏览器，但客 户端仅作为浏览器的显示及操作端。
[0114] 之后，用户通过客户端显示界面，经RDP代理模块与前置机的浏览器交互图形界 面数据，RDP代理模块转发和保存堡垒机的前置机和客户端之间的图形界面数据，堡垒机的 前置机在运行浏览器的过程中，通过堡垒机中的WEB代理服务器与目标WEB服务器通信，由 WEB代理服务器转发和保存堡垒机的前置机与目标WEB服务器之间的http数据；堡垒机的 审计模块根据RDP代理模块保存的图形界面数据，及WEB代理服务器模块保存的http数据 进行录屏审计。
[0115] 优选地，RDP代理模块保存的图形界面数据时，记录保存该图像界面数据的时间 戳，形成URL审计日志；WEB代理服务器模块保存的http数据时，记录保存该http数据的 时间戳，形成RDP图形日志；堡垒机的审计模块在进行录屏审计时，根据其中一个http数据 的时间戳，定位该时间戳之后的图像界面数据进行录屏审计。
[0116] 由于URL审计日志和RDP图形日志几乎是同时记录的，程序执行时间的误差是很 小的，所以可以根据URL审计日志的时间戳，去定点播放RDP图形日志，从而准确定位到某 个请求的具体操作。
[0117] URL日志同RDP图形日志的对应关系如图6所示。
[0118] URL审计日志同RDP图形日志不是--对应的关系，可能很多的RDP图形之后才会 生产一条URL的审计日志，RDP图形日志是远大于URL审计日志的，但是每条URL审计日志 的时间戳肯定在某两条RDP日志的时间戳之间或同某条RDP图形的时间戳相同。
[0119] 通过URL审计日志定位RDP图形日志的流程图如图7所示：
[0120] 在图7中，用户指定播放的URL，获取用户指定播放的URL的时间戳为T0,然后在 RDP图形播放器中，从起始位置开始读取RDP图形数据包，获取第一个数据包的时间戳为 T1，然后再读取下一个RDP图形数据包的时间戳为T2,若T0大于或等于T1并且T0小于T2， 则从T1对应的RDP图形数据包开始播放图形数据，若不满足，则读取T1对应的RDP图形数 据包中的数据到内存，但不绘制，是由于RDP数据包是前后依赖的，不能前面的数据包没有 绘制在内存，而直接绘制后面的数据包，然后将文件指针定位到T2的数据包上，并设置T1 为T2,然后在循环读取下一个数据包。从而实现URL定位RDP图形日志的功能。
[0121] 基于同一发明构思，本发明实施例中还提供了一种基于WEB代理进行录屏审计的 系统，由于该装置解决问题的原理与一种基于WEB代理进行录屏审计的方法相似，因此该 装置的实施可以参见方法的实施，重复之处不再赘述。
[0122] 一种基于WEB代理进行录屏审计的系统，如图8所示，包括：
[0123] WEB服务器801，用于与客户端的浏览器建立连接后，将RDP连接信息发送给客户 端的浏览器，由所述客户端根据通过浏览器获取的所述RDP连接信息与RDP代理模块建立 连接；
[0124] RDP代理模块802,用于在与客户端建立连接后，与前置机建立连接并启动前置机 上的浏览器，通过转发和保存前置机和客户端之间的图形界面数据，实现将浏览器的运行 端部署到前置机上，将浏览器的显示及操作端部署在所述客户端；
[0125] 前置机803,用于在运行浏览器的过程中，通过WEB代理服务器与目标WEB服务器 通信；
[0126] WEB代理服务器804,用于用于转发和保存前置机与目标WEB服务器之间的http 数据；
[0127] 审计模块805,用于将所述RDP代理模块保存的图形界面数据，及所述WEB代理服 务器模块保存的http数据关联起来进行录屏审计。
[0128] 优选地，本发明实施例中基于WEB代理进行录屏审计的系统为部署在一个服务器 上的堡垒机。
[0129] 优选地，WEB服务器将RDP连接信息发送给客户端的浏览器之前，还用于：将包括 多个目标WEB服务器的http数据发送给客户端的浏览器进行显示，接收客户端通过浏览器 发送的用户选择的目标WEB服务器；
[0130] WEB服务器将RDP连接信息发送给客户端的浏览器时，还用于：将前置机IE启动 指示信息发送给客户端的浏览器，所述前置机IE启动指示信息包括堡垒机的前置机地址、 浏览器的路径、目标服务地址的指示信息；
[0131] RDP代理模块在与客户端建立连接后，还用于：接收客户端发送的前置机IE启动 指示信息；
[0132] RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览 器，具体包括：根据前置机IE启动指示信息确定前置机地址、浏览器的路径、目标服务地 址，根据前置机地址连接前置机，根据浏览器的路径启动前置机中浏览器，根据目标服务地 址连接目标WEB服务器。
[0133] 优选地，WEB服务器接收客户端通过浏览器发送的用户选择的目标WEB服务器之 后，还用于：
[0134] 生成包括堡垒机的前置机地址信息、浏览器的路径信息、目标服务地址信息的表 项并存入数据库，接收所述数据库返回的表项ID ;
[0135] WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，包括：WEB服务器将 所述表项ID发送给客户端的浏览器；
[0136] RDP代理模块接收客户端发送的前置机IE启动指示信息，具体包括：接收客户端 发送的表项ID ;
[0137] RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览 器，具体包括：
[0138] 根据所述表项ID在数据库中查询对应的表项，根据表项中前置机地址信息连接 前置机，根据表项中浏览器的路径信息启动前置机中浏览器，根据表项中目标服务地址的 信息连接目标WEB服务器。
[0139] 优选地，WEB服务器将RDP连接信息发送给客户端的浏览器，具体包括：
[0140] WEB服务器将RDP连接信息，以java插件参数的形式发送到客户端的浏览器，由客 户端的浏览器启动的java插件将所述RDP连接信息写入应用程序mstsc的配置文件，通过 java插件启动应用程序mstsc,由mstsc根据所述配置文件中的RDP连接信息与RDP代理 模块建立连接；
[0141] WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，具体包括：
[0142] WEB服务器将前置机IE启动指示信息，以java插件参数的形式发送到客户端的浏 览器，由客户端的浏览器启动的java插件将所述IE启动指示信息写入mstsc的配置文件， 由mstsc与RDP代理模块建立连接后，将所述配置文件前置机IE启动指示信息发送给RDP 代理模块。
[0143] 优选地，RDP代理模块保存图形界面数据时，还用于记录保存该图像界面数据的时 间戳；WEB代理服务器模块保存的http数据时，还用于记录保存该http数据的时间戳；
[0144] 审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块 保存的http数据关联起来进行录屏审计，具体包括：
[0145] 审计模块在进行录屏审计时，根据其中一个http数据的时间戳，定位该时间戳之 后的图像界面数据进行录屏审计。
[0146] 通过传统日志可以记录访问的目标WEB服务器的文件，由于访问文件多而杂，很 难追踪用户具体的操作流程，不能审计到用户的一些高危操作，比如：删除用户，设置错误 的权限等；通过屏幕录制日志，就可以轻松知道是谁进行的危险操作，便于责任追踪。
[0147] 本发明实施例在WEB代理的部署中，采用了一种全新的WEB代理部署方式，实现 了 WEB审计的录屏功能，极大地提高了 WEB安全审计的力度，可以清楚地了解用户的所有操 作，从安全审计方面来说是一次极大地提高。
[0148] 本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一 流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算 机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理 器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生 用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能 的装置。
[0149] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特 定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能。
[0150] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计 算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图 一个方框或多个方框中指定的功能的步骤。
[0151] 尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造 性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优 选实施例以及落入本发明范围的所有变更和修改。
[0152] 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内，则本发明也意图包含这些改动和变型在内。
【权利要求】
1. 一种基于WEB代理进行录屏审计的方法，其特征在于，包括： WEB服务器与客户端的浏览器建立连接后，将RDP连接信息发送给客户端的浏览器，由 所述客户端根据通过浏览器获取的所述RDP连接信息与RDP代理模块建立连接； RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览器，通 过转发和保存前置机和客户端之间的图形界面数据，实现将浏览器的运行端部署到前置机 上，将浏览器的显示及操作端部署在所述客户端； 前置机在运行浏览器的过程中，通过WEB代理服务器与目标WEB服务器通信，由所述 WEB代理服务器转发和保存前置机与目标WEB服务器之间的http数据； 审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块保存 的http数据关联起来进行录屏审计。
2. 如权利要求1所述的方法，其特征在于，WEB服务器将RDP连接信息发送给客户端的 浏览器之前，还包括： WEB服务器将包括多个目标WEB服务器的http数据发送给客户端的浏览器进行显示， 接收客户端通过浏览器发送的用户选择的目标WEB服务器； WEB服务器将RDP连接信息发送给客户端的浏览器时，还包括： WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，该前置机IE启动指示信 息包括前置机地址、浏览器的路径、目标服务地址的指示信息； RDP代理模块在与客户端建立连接后，还包括： RDP代理模块接收客户端发送的前置机IE启动指示信息； RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览器，具 体包括： RDP代理模块根据前置机IE启动指示信息确定前置机地址、浏览器的路径、目标服务 地址，根据前置机地址连接前置机，根据浏览器的路径启动前置机中浏览器，根据目标服务 地址连接目标WEB服务器。
3. 如权利要求2所述的方法，其特征在于，WEB服务器接收客户端通过浏览器发送的用 户选择的目标WEB服务器之后，还包括： WEB服务器生成包括前置机地址信息、浏览器的路径信息、目标服务地址信息的表项并 存入数据库； WEB服务器接收所述数据库返回的表项ID ; WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，包括：WEB服务器将所述 表项ID发送给客户端的浏览器； RDP代理模块接收客户端发送的前置机IE启动指示信息，具体包括： RDP代理模块接收客户端发送的表项ID ; RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览器，具 体包括： RDP代理模块与客户端建立连接后，根据所述表项ID在数据库中查询对应的表项，根 据表项中前置机地址信息连接前置机，根据表项中浏览器的路径信息启动前置机中浏览 器，根据表项中目标服务地址的信息连接目标WEB服务器。
4. 如权利要求1或2或3所述的方法，其特征在于，WEB服务器将RDP连接信息发送给 客户端的浏览器，具体包括： WEB服务器将RDP连接信息，以java插件参数的形式发送到客户端的浏览器，由客户端 的浏览器启动的java插件将所述RDP连接信息写入应用程序mstsc的配置文件，通过java 插件启动应用程序mstsc，由mstsc根据所述配置文件中的RDP连接信息与RDP代理模块建 立连接； WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，具体包括： WEB服务器将前置机IE启动指示信息，以java插件参数的形式发送到客户端的浏览 器，由客户端的浏览器启动的java插件将所述IE启动指示信息写入mstsc的配置文件， 由mstsc与RDP代理模块建立连接后，将所述配置文件中的前置机IE启动指示信息发送给 RDP代理模块。
5. 如权利要求1所述的方法，其特征在于， RDP代理模块保存图形界面数据时，记录保存该图像界面数据的时间戳；WEB代理服务 器模块保存的http数据时，记录保存该http数据的时间戳； 审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块保存 的http数据关联起来进行录屏审计，具体包括： 审计模块根据其中一个http数据的时间戳，定位该时间戳之后的图像界面数据进行 录屏审计。
6. -种基于WEB代理进行录屏审计的系统，其特征在于，包括： WEB服务器，与客户端的浏览器建立连接后，将RDP连接信息发送给客户端的浏览器， 由所述客户端根据通过浏览器获取的所述RDP连接信息与RDP代理模块建立连接； RDP代理模块，在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览器， 通过转发和保存前置机和客户端之间的图形界面数据，实现将浏览器的运行端部署到前置 机上，将浏览器的显示及操作端部署在所述客户端； 前置机，在运行浏览器的过程中，通过WEB代理服务器与目标WEB服务器通信； WEB代理服务器，用于转发和保存前置机与目标WEB服务器之间的http数据； 审计模块，将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块保存 的http数据关联起来进行录屏审计。
7. 如权利要求6所述的系统，其特征在于， WEB服务器将RDP连接信息发送给客户端的浏览器之前，还用于：将包括多个目标WEB 服务器的http数据发送给客户端的浏览器进行显示，接收客户端通过浏览器发送的用户 选择的目标WEB服务器； WEB服务器将RDP连接信息发送给客户端的浏览器时，还用于：将前置机IE启动指示 信息发送给客户端的浏览器，所述前置机IE启动指示信息包括堡垒机的前置机地址、浏览 器的路径、目标服务地址的指示信息； RDP代理模块在与客户端建立连接后，还用于：接收客户端发送的前置机IE启动指示 信息； RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览器，具 体包括：根据前置机IE启动指示信息确定前置机地址、浏览器的路径、目标服务地址，根据 前置机地址连接前置机，根据浏览器的路径启动前置机中浏览器，根据目标服务地址连接 目标WEB服务器。
8. 如权利要求7所述的系统，其特征在于，WEB服务器接收客户端通过浏览器发送的用 户选择的目标WEB服务器之后，还用于： 生成包括堡垒机的前置机地址信息、浏览器的路径信息、目标服务地址信息的表项并 存入数据库，接收所述数据库返回的表项ID ; WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，包括：WEB服务器将所述 表项ID发送给客户端的浏览器； RDP代理模块接收客户端发送的前置机IE启动指示信息，具体包括：接收客户端发送 的表项ID ; RDP代理模块在与客户端建立连接后，与前置机建立连接并启动前置机上的浏览器，具 体包括： 根据所述表项ID在数据库中查询对应的表项，根据表项中前置机地址信息连接前置 机，根据表项中浏览器的路径信息启动前置机中浏览器，根据表项中目标服务地址的信息 连接目标WEB服务器。
9. 如权利要求7或8所述的系统，其特征在于，WEB服务器将RDP连接信息发送给客户 端的浏览器，具体包括： WEB服务器将RDP连接信息，以java插件参数的形式发送到客户端的浏览器，由客户端 的浏览器启动的java插件将所述RDP连接信息写入应用程序mstsc的配置文件，通过java 插件启动应用程序mstsc，由mstsc根据所述配置文件中的RDP连接信息与RDP代理模块建 立连接； WEB服务器将前置机IE启动指示信息发送给客户端的浏览器，具体包括： WEB服务器将前置机IE启动指示信息，以java插件参数的形式发送到客户端的浏览 器，由客户端的浏览器启动的java插件将所述IE启动指示信息写入mstsc的配置文件，由 mstsc与RDP代理模块建立连接后，将所述配置文件前置机IE启动指示信息发送给RDP代 理模块。
10. 如权利要求6所述的系统，其特征在于， RDP代理模块保存图形界面数据时，还用于记录保存该图像界面数据的时间戳；WEB代 理服务器模块保存的http数据时，还用于记录保存该http数据的时间戳； 审计模块将所述RDP代理模块保存的图形界面数据，及所述WEB代理服务器模块保存 的http数据关联起来进行录屏审计，具体包括： 审计模块在进行录屏审计时，根据其中一个http数据的时间戳，定位该时间戳之后的 图像界面数据进行录屏审计。
【文档编号】H04L29/08GK104219330SQ201410514245
【公开日】2014年12月17日 申请日期:2014年9月29日 优先权日:2014年9月29日
【发明者】肖春亮, 王豪, 杨硕飞 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司