一种用于运维审计系统的Windows远程桌面文件传输审计方法与流程

本发明涉及运维审计技术领域，具体的说，是一种用于运维审计系统的windows远程桌面文件传输审计方法。

背景技术：

随着网络技术的逐渐普及，人们的生活和工作对网络的依赖越来越紧密，而和网络相关的安全问题也越来越受到关注。windows远程运维是图像运维中用得最广泛的，windows远程运维除了图形运维也可以进行文件的上传下载。因此，在公司的windows服务器或者个人windows电脑上文件的安全得到更多关注，往往会产生一些安全问题，如下：1）运维人员可能会误上传病毒文件到windows主机，导致中毒并且会感染到内网的其他电脑；2）运维人员也有可能会下载windows主机上的数据，导致公司机密或者个人隐私数据泄露。而针对windows主机运维，现有的审计手段往往只有单一的图形审计，无法对于运维人员的文件上传下载等操作进行精确的事后定位。

技术实现要素：

本发明的目的在于提供一种用于运维审计系统的windows远程桌面文件传输审计方法，用于解决现有技术中无法对运维过程中文件的上传、下载操作进行精确的事后定位的问题。

为了达到上述目的，本发明通过下述技术方案实现：

一种用于运维审计系统的windows远程桌面文件传输审计方法，包括：

步骤s100：在运维客户端与目标服务器之间建立代理模块；

步骤s200：所述代理模块采集运维客户端与目标服务器的通信数据，解析并提取协议数据，所述协议数据包括图像数据和文件数据，将所述图像数据存储至数据库中，并将所述文件数据还原成文件信息数据后存储至数据库中；

步骤s300：从数据库中读取所述图像数据进行数据还原后进行数据展示，从数据库中读取所述文件信息数据并进行展示。

工作原理：

运维审计系统中包括运维客户端、代理模块、目标服务器、数据库和展示模块，所述运维客户端连接代理模块，代理模块连接目标服务器，所述数据库分别连接代理模块和展示模块，所述展示模块部署在浏览器上。代理模块在运维客户端与目标服务器之间，用于通过网络监控运维客户端与目标服务器之间的通信数据，运维人员在运维客户端访问目标服务器的时候，运维人员的文件操作记录和文件操作过程以通信数据的方式在运维客户端与目标服务器之间传输，经过代理模块时，代理模块获得通信数据，解析出协议数据，并提取协议数据中的图像数据和文件数据，将图像数据存储在数据库中，并将提取的文件数据还原为可读的文件信息数据后存储至数据库中。审计员使用浏览器访问数据库，读取数据库中图像数据，进行数据还原成图像视频数据后通过浏览器的页面回放，审计员可查看运维人员的文件操作过程。浏览器从数据库中读取文件信息数据，将文件的操作记录单独展示出来，审计员通过网页阅览文件的操作记录，包括文件大小、传输起止时间、传输速率、文件操作结果等信息，并且可以下载，以用于取证。因此对运维人员的每次访问目标服务器的操作进行了图像审计和文件审计两种审计方式，并且文件审计对运维过程中的文件上传、下载等文件操作提供了有效、精确的事后定位。

进一步地，所述步骤s100中的代理模块包括与所述运维客户端连接的模拟服务端和与所述目标服务器连接的模拟客户端，具体步骤包括：

步骤s110：运维人员在运维客户端操作客户端工具连接所述模拟服务端，所述模拟服务端与所述运维客户端完成连接的初始化以及连接权限设置；

步骤s120：代理模块的模拟客户端连接服务器，所述模拟客户端与所述服务器完成连接初始化以及连接权限设置；

步骤s130：代理模块的模拟服务端接收运维客户端发送的数据后调用模拟客户端，模拟客户端将数据转发给目标服务器；目标服务器返回数据至代理模块的模拟客户端，模拟客户端调用模拟服务端，模拟服务器将数据转发给运维客户端。

工作原理：

代理模块分为与运维客户端通信的模拟服务端和与目标服务器通信的模拟客户端，模拟服务端与运维客户端以及模拟客户端与目标服务器的连接初始化以及连接权限设置，通过协商的方式实现，协商包括以下几个阶段：

连接的初始化：协商出本次连接所使用的安全加密协议，安全加密协议包括rdp、ssl、nla；

基础设置信息交换：这一步客户端和服务端双方声明彼此的基本参数，比如系统/协议版本、显示分辨率、图像显示色深、安全数据、网络数据等一系列信息交换；

通道的建立：协议中分了很多类通道，包括remoteapp通道、粘贴板通道、音频通道、打印机通道、磁盘映射通道、usb可插拔设备通道用于传输不同类型的数据，这个阶段是用于协商客户端和服务器会用到的通道；

rdp安全初始化：这个阶段进行rdp自身的安全加密的初始化，包括对称加密key的交换以及用户身份验证；

许可：这个阶段服务器会验证客户端的许可证书的身份有效性，以及完成许可证书的颁发协商；

协议能力交换：完成双方所支持支持的图像渲染方式、文字图像渲染方式、窗口控制参数等一系列参数能力的协商和信息交换；

连接完成：这个阶段是成功完成连接协商后的一些信息和参数交换用以完成整个rdp连接的细节。

模拟服务端与模拟客户端建立连接之后，当模拟服务端接收到运维客户端发送的数据后调用模拟客户端，通过模拟客户端将数据转发给目标服务器；当目标服务器返回数据时，模拟客户端接收目标服务器返回的数据并调用模拟服务端，通过模拟服务器将数据转发给运维客户端。

进一步地，所述客户端工具为mstsc。

使用客户端工具mstsc，使运维人员登录运维客户端的时候与代理模块建立连接。使运维过程必须要经过代理模块，便于审计运维人员的操作过程。

进一步地，所述步骤s200具体包括：

步骤s210：所述代理模块中的模拟服务端和模拟客户端在运维客户端与目标服务器之间进行数据转发时提取通信数据；

步骤s220：所述代理模块采用rdp协议解析所述通信数据得到协议数据；

步骤s230：将所述协议数据中的图像数据按照原始采集顺序存入数据库中；

步骤s240：将所述协议数据中的文件信息数据还原成文件操作记录，所述文件操作记录为可识别文件信息，包括文件大小、传输起止时间、传输速率、文件操作结果，将所述文件操作记录按照原始采集顺序存入数据库中。

工作原理：

代理模块中的模拟服务端和模拟客户端在数据转发过程中获取通信数据，代理模块采用远程桌面协议即rdp协议解析获得的通信数据，得到协议数据，协议数据包括图像数据，将图像数据按照获取数据的时间先后依次存储到数据库中，而将解析出的文件信息数据还原成文件操作记录，这些文件操作记录以可识别的文件形式记录了运维人员的操作记录，包括操作的文件大小，文件传输的起止时间、传输速率和操作结果等，并存储至数据库中。因此，代理模块对windows远程桌面协议的图形通道和文件通道的解析，分别得到图像数据和文件信息数据，提供了图形审计和文件审计两种方式，提高了审计员定位关键信息的效率，两种审计方式也可以弥补相互之间的不足。

进一步地，所述步骤s300具体包括：

步骤s310：在审计员的浏览器上部署展示模块；

步骤s320：所述展示模块采用图像渲染的方法将所述图形数据转换为图像视频数据；

步骤s330：将所述图像视频数据和所述文件操作记录分别通过浏览器展示。

工作原理：

展示模块部署在浏览器上，通过flash实现将图像数据渲染成图像视频数据，用于以视频回放的方式还原运维人员的操作过程。审计员可以在有网络连接的地方使用浏览器通过网页将运维人员对目标服务器的整个操作过程回放出来；在浏览器中展示模块将文件的操作记录单独展示出来，审计员同样可以通过网页阅览文件操作记录，获取可识别的文件信息并可以下载以用于取证；

进一步地，所述图像渲染包括：

步骤s321：通过https协议读取数据库中的图像数据；

步骤s322：采用flash将所述图像数据转换为图像视频数据。

工作原理：

浏览器中部署的展示模块通过https协议获取数据库中的数据，并调用flash将协议数据转换为图像视频数据并通过视频回放的方式展示给审计员。

本发明与现有技术相比，具有以下优点及有益效果：

本发明实现了windows远程桌面协议的文件传输的双重审计，包括图形运维和文件运维，其中文件运维包括运维人员对文件的上传、下载、文件传输速率、文件大小、文件传输起止时间以及操作结果等，提高了审计员定位关键信息的效率，两种审计方式互相弥补了对方的不足，为运维过程的文件操作提供了有效、精确的事后定位。

附图说明

图1为本发明的系统结构框图。

具体实施方式

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

实施例1：

结合附图1所示，一种用于运维审计系统的windows远程桌面文件传输审计方法，包括：

步骤s100：在运维客户端与目标服务器之间建立代理模块；

步骤s200：所述代理模块采集运维客户端与目标服务器的通信数据，解析并提取协议数据，所述协议数据包括图像数据和文件数据，将所述图像数据存储至数据库中，并将所述文件数据还原成文件信息数据后存储至数据库中；

步骤s300：从数据库中读取所述图像数据进行数据还原后进行数据展示，从数据库中读取所述文件信息数据并进行展示。

工作原理：

运维审计系统中包括运维客户端、代理模块、目标服务器、数据库和展示模块，所述运维客户端连接代理模块，代理模块连接目标服务器，所述数据库分别连接代理模块和展示模块，所述展示模块部署在浏览器上。代理模块在运维客户端与目标服务器之间，用于通过网络监控运维客户端与目标服务器之间的通信数据，运维人员在运维客户端访问目标服务器的时候，运维人员的文件操作记录和文件操作过程以通信数据的方式在运维客户端与目标服务器之间传输，经过代理模块时，代理模块获得通信数据，解析出协议数据，并提取协议数据中的图像数据和文件数据，将图像数据存储在数据库中，并将提取的文件数据还原为可读的文件信息数据后存储至数据库中。审计员使用浏览器访问数据库，读取数据库中图像数据，进行数据还原成图像视频数据后通过浏览器的页面回放，审计员可查看运维人员的文件操作过程。浏览器从数据库中读取文件信息数据，将文件的操作记录单独展示出来，审计员通过网页阅览文件的操作记录，包括文件大小、传输起止时间、传输速率、文件操作结果等信息，并且可以下载，以用于取证。因此对运维人员的每次访问目标服务器的操作进行了图像审计和文件审计两种审计方式。

实施例2：

在实施例1的基础上，结合附图1所示，所述步骤s100中的代理模块包括与所述运维客户端连接的模拟服务端和与所述目标服务器连接的模拟客户端，具体步骤包括：

步骤s110：运维人员在运维客户端操作客户端工具连接所述模拟服务端，所述模拟服务端与所述运维客户端完成连接的初始化以及连接权限设置；

步骤s120：代理模块的模拟客户端连接服务器，所述模拟客户端与所述服务器完成连接初始化以及连接权限设置；

步骤s130：代理模块的模拟服务端接收运维客户端发送的数据后调用模拟客户端，模拟客户端将数据转发给目标服务器；目标服务器返回数据至代理模块的模拟客户端，模拟客户端调用模拟服务端，模拟服务器将数据转发给运维客户端。

工作原理：

代理模块分为与运维客户端通信的模拟服务端和与目标服务器通信的模拟客户端，模拟服务端与运维客户端以及模拟客户端与目标服务器的连接初始化以及连接权限设置，通过协商的方式实现，协商包括以下几个阶段：

连接的初始化：协商出本次连接所使用的安全加密协议，安全加密协议包括rdp、ssl、nla；

基础设置信息交换：这一步客户端和服务端双方声明彼此的基本参数，比如系统/协议版本、显示分辨率、图像显示色深、安全数据、网络数据等一系列信息交换；

通道的建立：协议中分了很多类通道，包括remoteapp通道、粘贴板通道、音频通道、打印机通道、磁盘映射通道、usb可插拔设备通道用于传输不同类型的数据，这个阶段是用于协商客户端和服务器会用到的通道；

rdp安全初始化：这个阶段进行rdp自身的安全加密的初始化，包括对称加密key的交换以及用户身份验证；

许可：这个阶段服务器会验证客户端的许可证书的身份有效性，以及完成许可证书的颁发协商；

协议能力交换：完成双方所支持支持的图像渲染方式、文字图像渲染方式、窗口控制参数等一系列参数能力的协商和信息交换；

连接完成：这个阶段是成功完成连接协商后的一些信息和参数交换用以完成整个rdp连接的细节。

模拟服务端与模拟客户端建立连接之后，当模拟服务端接收到运维客户端发送的数据后调用模拟客户端，通过模拟客户端将数据转发给目标服务器；当目标服务器返回数据时，模拟客户端接收目标服务器返回的数据并调用模拟服务端，通过模拟服务器将数据转发给运维客户端。

进一步地，所述客户端工具为mstsc。

使用客户端工具mstsc，使运维人员登录运维客户端的时候与代理模块建立连接。使运维过程必须要经过代理模块，便于审计运维人员的操作过程。

实施例3：

在实施例2的基础上，结合附图1所示，所述步骤s200具体包括：

步骤s210：所述代理模块中的模拟服务端和模拟客户端在运维客户端与目标服务器之间进行数据转发时提取通信数据；

步骤s220：所述代理模块采用rdp协议解析所述通信数据得到协议数据；

步骤s230：将所述协议数据中的图像数据按照原始采集顺序存入数据库中；

步骤s240：将所述协议数据中的文件信息数据还原成文件操作记录，所述文件操作记录为可识别文件信息，包括文件大小、传输起止时间、传输速率、文件操作结果，将所述文件操作记录按照原始采集顺序存入数据库中。

工作原理：

代理模块中的模拟服务端和模拟客户端在数据转发过程中获取通信数据，代理模块采用远程桌面协议即rdp协议解析获得的通信数据，得到协议数据，协议数据包括图像数据，将图像数据按照获取数据的时间先后依次存储到数据库中，而将解析出的文件信息数据还原成文件操作记录，这些文件操作记录以可识别的文件形式记录了运维人员的操作记录，包括操作的文件大小，文件传输的起止时间、传输速率和操作结果等，并存储至数据库中。因此，代理模块对windows远程桌面协议的图形通道和文件通道的解析，分别得到图像数据和文件信息数据，提供了图形审计和文件审计两种方式，提高了审计员定位关键信息的效率，两种审计方式也可以弥补相互之间的不足。

实施例4：

在实施例3的基础上，结合附图1所示，所述步骤s300具体包括：

步骤s310：在审计员的浏览器上部署展示模块；

步骤s320：所述展示模块采用图像渲染的方法将所述图形数据转换为图像视频数据；

步骤s330：将所述图像视频数据和所述文件操作记录分别通过浏览器展示。

工作原理：

展示模块部署在浏览器上，通过flash实现将图像数据渲染成图像视频数据，用于以视频回放的方式还原运维人员的操作过程。审计员可以在有网络连接的地方使用浏览器通过网页将运维人员对目标服务器的整个操作过程回放出来；在浏览器中展示模块将文件的操作记录单独展示出来，审计员同样可以通过网页阅览文件操作记录，获取可识别的文件信息并可以下载以用于取证；

进一步地，所述图像渲染包括：

步骤s321：通过https协议读取数据库中的图像数据；

步骤s322：采用flash将所述图像数据转换为图像视频数据。

工作原理：

浏览器中部署的展示模块通过https协议获取数据库中的数据，并调用flash将协议数据转换为图像视频数据并通过视频回放的方式展示给审计员。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。