專利名稱：記錄及回放用戶的桌面操作信息的方法、系統(tǒng)及設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別是涉及記錄及回放用戶的桌面操作信息的方法、 系統(tǒng)及設(shè)備。
背景技術(shù)：
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)網(wǎng)絡(luò)安全的需求也在逐漸增加，為了便于審計(jì)和取證，需 要記錄用戶在操作系統(tǒng)桌面上進(jìn)行操作的信息。目前提供的方案是在客戶端的操作系統(tǒng)上 安裝一個(gè)軟件，這個(gè)軟件以固定的時(shí)間間隔來不斷的保存屏幕圖像?？梢姡摷夹g(shù)需要在客戶端安裝軟件，對(duì)客戶端有影響，不方便管理。如果用戶將 該軟件關(guān)閉，將無法記錄和回放。

發(fā)明內(nèi)容
本發(fā)明提供了記錄及回放用戶的桌面操作信息的方法、系統(tǒng)及設(shè)備，用以解決現(xiàn) 有記錄及回放用戶的桌面操作信息的技術(shù)對(duì)客戶端有影響，不方便管理的問題。本發(fā)明的一種記錄用戶的桌面操作信息的方法，包括下列步驟截獲步驟審計(jì) 服務(wù)器截獲終端與終端服務(wù)器之間往來的數(shù)據(jù)包；拆分步驟審計(jì)服務(wù)器對(duì)截獲的數(shù)據(jù)包 進(jìn)行解析拆分后保存；組合步驟審計(jì)服務(wù)器將解析拆分后的數(shù)據(jù)包重新組合后發(fā)往對(duì) 端。相應(yīng)的，本發(fā)明的一種回放用戶的桌面操作信息的方法，包括下列步驟讀取步 驟審計(jì)服務(wù)器按保存順序讀取保存的數(shù)據(jù)包信息；分析步驟審計(jì)服務(wù)器分析數(shù)據(jù)包信 息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間間隔；分析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù) 包的功能和內(nèi)容；回放步驟審計(jì)服務(wù)器按照讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù) 據(jù)包的內(nèi)容。本發(fā)明的一種審計(jì)服務(wù)器，包括截獲單元，用于截獲終端與終端服務(wù)器之間往來 的數(shù)據(jù)包；拆分單元，用于對(duì)截獲的數(shù)據(jù)包進(jìn)行解析拆分后保存；組合單元，用于將解析拆 分后的數(shù)據(jù)包重新組合后發(fā)往對(duì)端。相應(yīng)的，本發(fā)明的一種審計(jì)服務(wù)器，包括讀取單元，用于按保存順序讀取保存的 數(shù)據(jù)包信息；分析單元，用于分析數(shù)據(jù)包信息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間 間隔；分析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù)包的功能和內(nèi)容；回放單元，用于按照讀取單元 的讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包的內(nèi)容。本發(fā)明的一種記錄及回放用戶的桌面操作信息的系統(tǒng)，包括相互通信的終端和 終端服務(wù)器；在所述終端和終端服務(wù)器之間還包括審計(jì)服務(wù)器，在記錄時(shí)，用于截獲終端 與終端服務(wù)器之間往來的數(shù)據(jù)包，并對(duì)截獲的數(shù)據(jù)包進(jìn)行解析拆分后保存，再將解析拆分 后的數(shù)據(jù)包重新組合后發(fā)往對(duì)端；在回放時(shí)，用于按保存順序讀取保存的數(shù)據(jù)包信息，并分 析數(shù)據(jù)包信息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間間隔，分析數(shù)據(jù)包信息中的包 頭，獲知數(shù)據(jù)包的功能和內(nèi)容；以及按照讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包的內(nèi)容。本發(fā)明有益效果如下本發(fā)明提出了在終端和終端服務(wù)器之間增加審計(jì)服務(wù)器，并由審計(jì)服務(wù)器截獲、拆分、保存被截獲的數(shù)據(jù)包信息，實(shí)現(xiàn)了記錄用戶的桌面操作信息；之后通過讀取、分析和 回放機(jī)制實(shí)現(xiàn)了回放用戶的桌面操作信息。以上操作均在審計(jì)服務(wù)器中完成，不會(huì)影響客 戶端，并且便于管理。


圖1為本發(fā)明實(shí)施例1中的系統(tǒng)結(jié)構(gòu)示意圖；圖2為本發(fā)明實(shí)施例2中的審計(jì)服務(wù)器結(jié)構(gòu)示意圖；圖3為本發(fā)明實(shí)施例3中的審計(jì)服務(wù)器結(jié)構(gòu)示意圖；圖4為本發(fā)明實(shí)施例4中記錄用戶的桌面操作信息的方法步驟流程圖；圖5為本發(fā)明實(shí)施例5中基于RDP協(xié)議的記錄功能應(yīng)用流程圖；圖6為本發(fā)明實(shí)施例6中基于VNC協(xié)議的記錄功能應(yīng)用流程圖；圖7為本發(fā)明實(shí)施例7中回放用戶的桌面操作信息的方法步驟流程圖。
具體實(shí)施例方式為了不對(duì)客戶端有影響且方便管理，本發(fā)明提出了記錄及回放用戶的桌面操作信 息的方法、系統(tǒng)及設(shè)備，以下通過若干實(shí)施例具體描述。實(shí)施例1、參見圖1所示，本實(shí)施例中的記錄及回放用戶的桌面操作信息的系統(tǒng)包 括相互通信的終端和終端服務(wù)器；還包括在終端和終端服務(wù)器之間的審計(jì)服務(wù)器。終端與審計(jì)服務(wù)器之間以及審計(jì)服務(wù)器與終端服務(wù)器之間采用遠(yuǎn)程桌面協(xié)議 (RDP Remote Desktop Protocol)網(wǎng) 各i十胃十辦i義(VNC Virtual networkcomputing) 通信?；赗DP協(xié)議，允許終端連接到終端服務(wù)器獲取服務(wù)器上正在運(yùn)行的應(yīng)用程序的信 息。終端的顯示與服務(wù)器端運(yùn)行界面通過RDP協(xié)議進(jìn)行數(shù)據(jù)交換與傳輸?；赩NC協(xié)議， 允許終端連接到終端服務(wù)器獲取服務(wù)器上正在運(yùn)行的應(yīng)用程序的信息。終端的顯示與服務(wù) 器端運(yùn)行界面通過VNC協(xié)議進(jìn)行數(shù)據(jù)交換與傳輸。審計(jì)服務(wù)器錨定于終端和終端服務(wù)器之間，終端和終端服務(wù)器交互的數(shù)據(jù)包都需 流經(jīng)審計(jì)服務(wù)器，并由其轉(zhuǎn)發(fā)。在記錄時(shí)，審計(jì)服務(wù)器用于截獲終端與終端服務(wù)器之間往來 的數(shù)據(jù)包，并對(duì)截獲的數(shù)據(jù)包進(jìn)行解析拆分后保存，再將解析拆分后的數(shù)據(jù)包重新組合后 發(fā)往對(duì)端；在回放時(shí)，審計(jì)服務(wù)器用于按保存順序讀取保存的數(shù)據(jù)包信息，并分析數(shù)據(jù)包信 息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間間隔，分析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù) 包的功能和內(nèi)容；以及按照讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包的內(nèi)容。實(shí)施例2、參見圖2所示，本實(shí)施例中的審計(jì)服務(wù)器，包括截獲單元、拆分單元和 組合單元。其中，截獲單元，用于截獲終端與終端服務(wù)器之間往來的數(shù)據(jù)包。拆分單元，用于對(duì)截獲的數(shù)據(jù)包進(jìn)行解析拆分后保存；具體的，拆分單元將截獲的 數(shù)據(jù)包解析拆分后，在每一被拆分的數(shù)據(jù)包包頭中添加一個(gè)時(shí)間戳字段，并以數(shù)據(jù)包為單 位，以二進(jìn)制方式，按截獲順序保存。
組合單元，用于將解析拆分后的數(shù)據(jù)包重新組合后發(fā)往對(duì)端。實(shí)施例3、參見圖3所示，本實(shí)施例中的審計(jì)服務(wù)器，包括讀取單元、分析單元和 回放單元。其中，讀取單元，用于按保存順序讀取保存的數(shù)據(jù)包信息。分析單元，用于分析數(shù)據(jù)包信息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間間 隔；分析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù)包的功能和內(nèi)容；以RDP協(xié)議數(shù)據(jù)包為例包頭含 以下功能的傳輸控制字符含義序始、文始、文終、送畢、詢問、確認(rèn)、轉(zhuǎn)義、否認(rèn)、同步、塊終， 通過分析這些字段，可獲知該RDP協(xié)議數(shù)據(jù)包所要完成的功能，同理可分析并獲知RDP協(xié)議 數(shù)據(jù)包的內(nèi)容?；胤艈卧?，用于按照讀取單元的讀取順序，以上述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包 的內(nèi)容。實(shí)施例4、參見圖4所示，本實(shí)施例中的記錄用戶的桌面操作信息的方法，包括下 列主要步驟S101、審計(jì)服務(wù)器截獲終端與終端服務(wù)器之間往來的數(shù)據(jù)包。S102、審計(jì)服務(wù)器對(duì)截獲的數(shù)據(jù)包進(jìn)行解析拆分后保存。S103、審計(jì)服務(wù)器將解析拆分后的數(shù)據(jù)包重新組合后發(fā)往對(duì)端。實(shí)施例5、基于實(shí)施例4，參見圖5所示，以終端與審計(jì)服務(wù)器之間以及審計(jì)服務(wù)器 與終端服務(wù)器之間采用RDP協(xié)議通信為例，進(jìn)一步詳述。為了截獲RDP協(xié)議的信息，必須添加一個(gè)服務(wù)器來截獲和保存RDP協(xié)議的內(nèi)容，這 個(gè)服務(wù)器稱為審計(jì)服務(wù)器?；赗DP協(xié)議的應(yīng)用流程為用戶在終端使用基于RDP協(xié)議的 遠(yuǎn)程桌面客戶端軟件連接審計(jì)服務(wù)器，審計(jì)服務(wù)器將這個(gè)連接轉(zhuǎn)發(fā)到終端服務(wù)器，這樣，終 端和終端服務(wù)器就通過RDP協(xié)議連接上。由于終端和終端服務(wù)器的RDP連接穿過審計(jì)服務(wù) 器，使得審計(jì)服務(wù)器錨定于終端與終端服務(wù)器之間，可以將終端與終端服務(wù)器之間往來的 RDP數(shù)據(jù)包截獲。審計(jì)服務(wù)器截獲數(shù)據(jù)包后解析拆分該數(shù)據(jù)包，之后在每一被拆分的數(shù)據(jù)包 包頭中添加一個(gè)時(shí)間戳字段，并以數(shù)據(jù)包為單位，以二進(jìn)制方式，按截獲順序保存。完成保 存操作后，審計(jì)服務(wù)器將解析拆分后的數(shù)據(jù)包重新組合(還原被截獲的數(shù)據(jù)包)后發(fā)往對(duì) 端，對(duì)端收到該數(shù)據(jù)包后正常處理，不會(huì)感覺有異。實(shí)施例6、基于實(shí)施例4，參見圖6所示，以終端與審計(jì)服務(wù)器之間以及審計(jì)服務(wù)器 與終端服務(wù)器之間采用VNC協(xié)議通信為例，進(jìn)一步詳述。為了截取VNC協(xié)議的信息，必須添加一個(gè)服務(wù)器來獲取和保存VNC協(xié)議的內(nèi)容，這 個(gè)服務(wù)器稱為審計(jì)服務(wù)器?；赩NC協(xié)議的應(yīng)用流程為用戶在終端使用基于VNC協(xié)議的 遠(yuǎn)程桌面客戶端軟件連接審計(jì)服務(wù)器，審計(jì)服務(wù)器將這個(gè)連接轉(zhuǎn)發(fā)到終端服務(wù)器，這樣，終 端和終端服務(wù)器就通過VNC協(xié)議連接上。由于終端和終端服務(wù)器的VNC連接穿過審計(jì)服務(wù) 器，使得審計(jì)服務(wù)器錨定于終端與終端服務(wù)器之間，可以將終端與終端服務(wù)器之間往來的 VNC數(shù)據(jù)包截獲。審計(jì)服務(wù)器截獲數(shù)據(jù)包后解析拆分該數(shù)據(jù)包，之后在每一被拆分的數(shù)據(jù)包 包頭中添加一個(gè)時(shí)間戳字段，并以數(shù)據(jù)包為單位，以二進(jìn)制方式，按截獲順序保存。完成保 存操作后，審計(jì)服務(wù)器將解析拆分后的數(shù)據(jù)包重新組合(還原被截獲的數(shù)據(jù)包)后發(fā)往對(duì) 端，對(duì)端收到該數(shù)據(jù)包后正常處理，不會(huì)感覺有異。實(shí)施例7、參見圖7所示，本實(shí)施例中的回放用戶的桌面操作信息的方法，包括下列主要步驟S201、審計(jì)服務(wù)器按保存順序讀取保存的數(shù)據(jù)包信息。S202、審計(jì)服務(wù)器分析數(shù)據(jù)包信息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間 間隔；分析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù)包的功能和內(nèi)容。S203、審計(jì)服務(wù)器按照讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包的內(nèi)容。更為具體的，在播放RDP協(xié)議的桌面操作記錄時(shí)，按保存順序讀取每個(gè)RDP數(shù)據(jù) 包，首先分析其包頭的字段，包頭含以下功能的傳輸控制字符含義序始、文始、文終、送畢、 詢問、確認(rèn)、轉(zhuǎn)義、否認(rèn)、同步、塊終，通過分析這些字段，可獲知該RDP協(xié)議數(shù)據(jù)包所要完成 的功能，同理可分析并獲知RDP協(xié)議數(shù)據(jù)包的內(nèi)容，將分析結(jié)果在一個(gè)窗口上顯示出來。通 過比較前后兩個(gè)包的包頭時(shí)間戳字段，可以得出前后兩個(gè)包之間的間隔時(shí)間。按照這樣的 方法去讀取每一個(gè)RDP數(shù)據(jù)包，可以得出RDP協(xié)議的桌面操作記錄的回放結(jié)果。同理，在播放VNC桌面操作記錄時(shí)，按保存順序讀取VNC包，首先分析其包頭，根據(jù) 時(shí)間戳字段，可以得知每個(gè)包之間的時(shí)間間隔。接著分析各個(gè)VNC包的功能，然后讀取VNC 包的內(nèi)容，將內(nèi)容在一個(gè)窗口上顯示出來，達(dá)到回放的效果。顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精 神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
一種記錄用戶的桌面操作信息的方法，其特征在于，包括下列步驟截獲步驟審計(jì)服務(wù)器截獲終端與終端服務(wù)器之間往來的數(shù)據(jù)包；拆分步驟審計(jì)服務(wù)器對(duì)截獲的數(shù)據(jù)包進(jìn)行解析拆分后保存；組合步驟審計(jì)服務(wù)器將解析拆分后的數(shù)據(jù)包重新組合后發(fā)往對(duì)端。
2.如權(quán)利要求1所述記錄用戶的桌面操作信息的方法，其特征在于，在截獲步驟之前 還包括在所述終端與終端服務(wù)器建立連接的過程中，審計(jì)服務(wù)器轉(zhuǎn)發(fā)連接消息； 連接建立后，審計(jì)服務(wù)器錨定于終端與終端服務(wù)器之間，并轉(zhuǎn)發(fā)終端與終端服務(wù)器之 間往來的數(shù)據(jù)包。
3.如權(quán)利要求1所述記錄用戶的桌面操作信息的方法，其特征在于，在拆分步驟中具 體包括審計(jì)服務(wù)器截獲數(shù)據(jù)包后解析拆分該數(shù)據(jù)包；之后，審計(jì)服務(wù)器在每一被拆分的數(shù)據(jù)包包頭中添加一個(gè)時(shí)間戳字段，并以數(shù)據(jù)包為 單位，以二進(jìn)制方式，按截獲順序保存。
4.如權(quán)利要求1至3任一項(xiàng)所述記錄用戶的桌面操作信息的方法，其特征在于，所述終 端與審計(jì)服務(wù)器之間以及審計(jì)服務(wù)器與終端服務(wù)器之間采用遠(yuǎn)程桌面協(xié)議或虛擬網(wǎng)絡(luò)計(jì) 算協(xié)議通信。
5.一種回放用戶的桌面操作信息的方法，其特征在于，包括下列步驟 讀取步驟審計(jì)服務(wù)器按保存順序讀取保存的數(shù)據(jù)包信息；分析步驟審計(jì)服務(wù)器分析數(shù)據(jù)包信息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間 間隔；分析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù)包的功能和內(nèi)容；回放步驟審計(jì)服務(wù)器按照讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包的內(nèi)容。
6.一種審計(jì)服務(wù)器，其特征在于，包括截獲單元，用于截獲終端與終端服務(wù)器之間往來的數(shù)據(jù)包； 拆分單元，用于對(duì)截獲的數(shù)據(jù)包進(jìn)行解析拆分后保存； 組合單元，用于將解析拆分后的數(shù)據(jù)包重新組合后發(fā)往對(duì)端。
7.如權(quán)利要求6所述的審計(jì)服務(wù)器，其特征在于，所述拆分單元在每一被拆分的數(shù)據(jù) 包包頭中添加一個(gè)時(shí)間戳字段，并以數(shù)據(jù)包為單位，以二進(jìn)制方式，按截獲順序保存。
8.一種審計(jì)服務(wù)器，其特征在于，包括讀取單元，用于按保存順序讀取保存的數(shù)據(jù)包信息；分析單元，用于分析數(shù)據(jù)包信息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間間隔；分 析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù)包的功能和內(nèi)容；回放單元，用于按照讀取單元的讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包的內(nèi)容。
9.一種記錄及回放用戶的桌面操作信息的系統(tǒng)，其特征在于，包括相互通信的終端 和終端服務(wù)器；在所述終端和終端服務(wù)器之間還包括審計(jì)服務(wù)器，在記錄時(shí)，用于截獲終端與終端服務(wù)器之間往來的數(shù)據(jù)包，并對(duì)截獲的數(shù) 據(jù)包進(jìn)行解析拆分后保存，再將解析拆分后的數(shù)據(jù)包重新組合后發(fā)往對(duì)端；在回放時(shí)，用于按保存順序讀取保存的數(shù)據(jù)包信息，并分析數(shù)據(jù)包信息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間間隔，分析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù)包的功能和內(nèi) 容；以及按照讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包的內(nèi)容。
10.如權(quán)利要求9所述記錄及回放用戶的桌面操作信息的系統(tǒng)，其特征在于，所述終端 與審計(jì)服務(wù)器之間以及審計(jì)服務(wù)器與終端服務(wù)器之間采用遠(yuǎn)程桌面協(xié)議或虛擬網(wǎng)絡(luò)計(jì)算 協(xié)議通信。
全文摘要
本發(fā)明公開了記錄及回放用戶的桌面操作信息的方法、系統(tǒng)及設(shè)備，涉及網(wǎng)絡(luò)安全領(lǐng)域，用以解決現(xiàn)有記錄及回放用戶的桌面操作信息的技術(shù)對(duì)客戶端有影響，不方便管理的問題。記錄方法包括審計(jì)服務(wù)器截獲終端與終端服務(wù)器之間往來的數(shù)據(jù)包；對(duì)截獲的數(shù)據(jù)包進(jìn)行解析拆分后保存；將解析拆分后的數(shù)據(jù)包重新組合后發(fā)往對(duì)端?；胤欧椒ò▽徲?jì)服務(wù)器按保存順序讀取保存的數(shù)據(jù)包信息；分析數(shù)據(jù)包信息中的時(shí)間戳字段，獲知前后數(shù)據(jù)包之間的時(shí)間間隔；分析數(shù)據(jù)包信息中的包頭，獲知數(shù)據(jù)包的功能和內(nèi)容；按照讀取順序，以所述時(shí)間間隔逐一回放各個(gè)數(shù)據(jù)包的內(nèi)容。以上操作均在審計(jì)服務(wù)器中完成，不會(huì)影響客戶端，并且便于管理。
文檔編號(hào)H04L29/06GK101827082SQ20101010696
公開日2010年9月8日 申請(qǐng)日期2010年2月9日 優(yōu)先權(quán)日2010年2月9日
發(fā)明者柯宗慶, 柯宗貴 申請(qǐng)人:藍(lán)盾信息安全技術(shù)股份有限公司