CN101827082A - 记录及回放用户的桌面操作信息的方法、系统及设备 - Google Patents
记录及回放用户的桌面操作信息的方法、系统及设备 Download PDFInfo
- Publication number
- CN101827082A CN101827082A CN201010106967A CN201010106967A CN101827082A CN 101827082 A CN101827082 A CN 101827082A CN 201010106967 A CN201010106967 A CN 201010106967A CN 201010106967 A CN201010106967 A CN 201010106967A CN 101827082 A CN101827082 A CN 101827082A
- Authority
- CN
- China
- Prior art keywords
- packet
- terminal
- server
- audit server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000012550 audit Methods 0.000 claims abstract description 69
- 238000004321 preservation Methods 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 4
- 238000005194 fractionation Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了记录及回放用户的桌面操作信息的方法、系统及设备,涉及网络安全领域,用以解决现有记录及回放用户的桌面操作信息的技术对客户端有影响,不方便管理的问题。记录方法包括:审计服务器截获终端与终端服务器之间往来的数据包;对截获的数据包进行解析拆分后保存;将解析拆分后的数据包重新组合后发往对端。回放方法包括:审计服务器按保存顺序读取保存的数据包信息;分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。以上操作均在审计服务器中完成,不会影响客户端,并且便于管理。
Description
技术领域
本发明涉及网络安全领域,特别是涉及记录及回放用户的桌面操作信息的方法、系统及设备。
背景技术
随着网络技术的发展,对网络安全的需求也在逐渐增加,为了便于审计和取证,需要记录用户在操作系统桌面上进行操作的信息。目前提供的方案是在客户端的操作系统上安装一个软件,这个软件以固定的时间间隔来不断的保存屏幕图像。
可见,该技术需要在客户端安装软件,对客户端有影响,不方便管理。如果用户将该软件关闭,将无法记录和回放。
发明内容
本发明提供了记录及回放用户的桌面操作信息的方法、系统及设备,用以解决现有记录及回放用户的桌面操作信息的技术对客户端有影响,不方便管理的问题。
本发明的一种记录用户的桌面操作信息的方法,包括下列步骤:截获步骤:审计服务器截获终端与终端服务器之间往来的数据包;拆分步骤:审计服务器对截获的数据包进行解析拆分后保存;组合步骤:审计服务器将解析拆分后的数据包重新组合后发往对端。
相应的,本发明的一种回放用户的桌面操作信息的方法,包括下列步骤:读取步骤:审计服务器按保存顺序读取保存的数据包信息;分析步骤:审计服务器分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;回放步骤:审计服务器按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
本发明的一种审计服务器,包括:截获单元,用于截获终端与终端服务器之间往来的数据包;拆分单元,用于对截获的数据包进行解析拆分后保存;组合单元,用于将解析拆分后的数据包重新组合后发往对端。
相应的,本发明的一种审计服务器,包括:读取单元,用于按保存顺序读取保存的数据包信息;分析单元,用于分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;回放单元,用于按照读取单元的读取顺序,以所述时间间隔逐一回放各个数据包的内容。
本发明的一种记录及回放用户的桌面操作信息的系统,包括:相互通信的终端和终端服务器;在所述终端和终端服务器之间还包括:审计服务器,在记录时,用于截获终端与终端服务器之间往来的数据包,并对截获的数据包进行解析拆分后保存,再将解析拆分后的数据包重新组合后发往对端;在回放时,用于按保存顺序读取保存的数据包信息,并分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔,分析数据包信息中的包头,获知数据包的功能和内容;以及按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
本发明有益效果如下:
本发明提出了在终端和终端服务器之间增加审计服务器,并由审计服务器截获、拆分、保存被截获的数据包信息,实现了记录用户的桌面操作信息;之后通过读取、分析和回放机制实现了回放用户的桌面操作信息。以上操作均在审计服务器中完成,不会影响客户端,并且便于管理。
附图说明
图1为本发明实施例1中的系统结构示意图;
图2为本发明实施例2中的审计服务器结构示意图;
图3为本发明实施例3中的审计服务器结构示意图;
图4为本发明实施例4中记录用户的桌面操作信息的方法步骤流程图;
图5为本发明实施例5中基于RDP协议的记录功能应用流程图;
图6为本发明实施例6中基于VNC协议的记录功能应用流程图;
图7为本发明实施例7中回放用户的桌面操作信息的方法步骤流程图。
具体实施方式
为了不对客户端有影响且方便管理,本发明提出了记录及回放用户的桌面操作信息的方法、系统及设备,以下通过若干实施例具体描述。
实施例1、参见图1所示,本实施例中的记录及回放用户的桌面操作信息的系统包括:相互通信的终端和终端服务器;还包括:在终端和终端服务器之间的审计服务器。
终端与审计服务器之间以及审计服务器与终端服务器之间采用远程桌面协议(RDP Remote Desktop Protocol)或虚拟网络计算协议(VNC Virtual networkcomputing)通信。基于RDP协议,允许终端连接到终端服务器获取服务器上正在运行的应用程序的信息。终端的显示与服务器端运行界面通过RDP协议进行数据交换与传输。基于VNC协议,允许终端连接到终端服务器获取服务器上正在运行的应用程序的信息。终端的显示与服务器端运行界面通过VNC协议进行数据交换与传输。
审计服务器锚定于终端和终端服务器之间,终端和终端服务器交互的数据包都需流经审计服务器,并由其转发。在记录时,审计服务器用于截获终端与终端服务器之间往来的数据包,并对截获的数据包进行解析拆分后保存,再将解析拆分后的数据包重新组合后发往对端;在回放时,审计服务器用于按保存顺序读取保存的数据包信息,并分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔,分析数据包信息中的包头,获知数据包的功能和内容;以及按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
实施例2、参见图2所示,本实施例中的审计服务器,包括:截获单元、拆分单元和组合单元。
其中,截获单元,用于截获终端与终端服务器之间往来的数据包。
拆分单元,用于对截获的数据包进行解析拆分后保存;具体的,拆分单元将截获的数据包解析拆分后,在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。
组合单元,用于将解析拆分后的数据包重新组合后发往对端。
实施例3、参见图3所示,本实施例中的审计服务器,包括:读取单元、分析单元和回放单元。
其中,读取单元,用于按保存顺序读取保存的数据包信息。
分析单元,用于分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;以RDP协议数据包为例:包头含以下功能的传输控制字符含义:序始、文始、文终、送毕、询问、确认、转义、否认、同步、块终,通过分析这些字段,可获知该RDP协议数据包所要完成的功能,同理可分析并获知RDP协议数据包的内容。
回放单元,用于按照读取单元的读取顺序,以上述时间间隔逐一回放各个数据包的内容。
实施例4、参见图4所示,本实施例中的记录用户的桌面操作信息的方法,包括下列主要步骤:
S101、审计服务器截获终端与终端服务器之间往来的数据包。
S102、审计服务器对截获的数据包进行解析拆分后保存。
S103、审计服务器将解析拆分后的数据包重新组合后发往对端。
实施例5、基于实施例4,参见图5所示,以终端与审计服务器之间以及审计服务器与终端服务器之间采用RDP协议通信为例,进一步详述。
为了截获RDP协议的信息,必须添加一个服务器来截获和保存RDP协议的内容,这个服务器称为审计服务器。基于RDP协议的应用流程为:用户在终端使用基于RDP协议的远程桌面客户端软件连接审计服务器,审计服务器将这个连接转发到终端服务器,这样,终端和终端服务器就通过RDP协议连接上。由于终端和终端服务器的RDP连接穿过审计服务器,使得审计服务器锚定于终端与终端服务器之间,可以将终端与终端服务器之间往来的RDP数据包截获。审计服务器截获数据包后解析拆分该数据包,之后在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。完成保存操作后,审计服务器将解析拆分后的数据包重新组合(还原被截获的数据包)后发往对端,对端收到该数据包后正常处理,不会感觉有异。
实施例6、基于实施例4,参见图6所示,以终端与审计服务器之间以及审计服务器与终端服务器之间采用VNC协议通信为例,进一步详述。
为了截取VNC协议的信息,必须添加一个服务器来获取和保存VNC协议的内容,这个服务器称为审计服务器。基于VNC协议的应用流程为:用户在终端使用基于VNC协议的远程桌面客户端软件连接审计服务器,审计服务器将这个连接转发到终端服务器,这样,终端和终端服务器就通过VNC协议连接上。由于终端和终端服务器的VNC连接穿过审计服务器,使得审计服务器锚定于终端与终端服务器之间,可以将终端与终端服务器之间往来的VNC数据包截获。审计服务器截获数据包后解析拆分该数据包,之后在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。完成保存操作后,审计服务器将解析拆分后的数据包重新组合(还原被截获的数据包)后发往对端,对端收到该数据包后正常处理,不会感觉有异。
实施例7、参见图7所示,本实施例中的回放用户的桌面操作信息的方法,包括下列主要步骤:
S201、审计服务器按保存顺序读取保存的数据包信息。
S202、审计服务器分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容。
S203、审计服务器按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
更为具体的,在播放RDP协议的桌面操作记录时,按保存顺序读取每个RDP数据包,首先分析其包头的字段,包头含以下功能的传输控制字符含义:序始、文始、文终、送毕、询问、确认、转义、否认、同步、块终,通过分析这些字段,可获知该RDP协议数据包所要完成的功能,同理可分析并获知RDP协议数据包的内容,将分析结果在一个窗口上显示出来。通过比较前后两个包的包头时间戳字段,可以得出前后两个包之间的间隔时间。按照这样的方法去读取每一个RDP数据包,可以得出RDP协议的桌面操作记录的回放结果。
同理,在播放VNC桌面操作记录时,按保存顺序读取VNC包,首先分析其包头,根据时间戳字段,可以得知每个包之间的时间间隔。接着分析各个VNC包的功能,然后读取VNC包的内容,将内容在一个窗口上显示出来,达到回放的效果。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种记录用户的桌面操作信息的方法,其特征在于,包括下列步骤:
截获步骤:审计服务器截获终端与终端服务器之间往来的数据包;
拆分步骤:审计服务器对截获的数据包进行解析拆分后保存;
组合步骤:审计服务器将解析拆分后的数据包重新组合后发往对端。
2.如权利要求1所述记录用户的桌面操作信息的方法,其特征在于,在截获步骤之前还包括:
在所述终端与终端服务器建立连接的过程中,审计服务器转发连接消息;
连接建立后,审计服务器锚定于终端与终端服务器之间,并转发终端与终端服务器之间往来的数据包。
3.如权利要求1所述记录用户的桌面操作信息的方法,其特征在于,在拆分步骤中具体包括:
审计服务器截获数据包后解析拆分该数据包;
之后,审计服务器在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。
4.如权利要求1至3任一项所述记录用户的桌面操作信息的方法,其特征在于,所述终端与审计服务器之间以及审计服务器与终端服务器之间采用远程桌面协议或虚拟网络计算协议通信。
5.一种回放用户的桌面操作信息的方法,其特征在于,包括下列步骤:
读取步骤:审计服务器按保存顺序读取保存的数据包信息;
分析步骤:审计服务器分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;
回放步骤:审计服务器按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
6.一种审计服务器,其特征在于,包括:
截获单元,用于截获终端与终端服务器之间往来的数据包;
拆分单元,用于对截获的数据包进行解析拆分后保存;
组合单元,用于将解析拆分后的数据包重新组合后发往对端。
7.如权利要求6所述的审计服务器,其特征在于,所述拆分单元在每一被拆分的数据包包头中添加一个时间戳字段,并以数据包为单位,以二进制方式,按截获顺序保存。
8.一种审计服务器,其特征在于,包括:
读取单元,用于按保存顺序读取保存的数据包信息;
分析单元,用于分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔;分析数据包信息中的包头,获知数据包的功能和内容;
回放单元,用于按照读取单元的读取顺序,以所述时间间隔逐一回放各个数据包的内容。
9.一种记录及回放用户的桌面操作信息的系统,其特征在于,包括:相互通信的终端和终端服务器;在所述终端和终端服务器之间还包括:
审计服务器,在记录时,用于截获终端与终端服务器之间往来的数据包,并对截获的数据包进行解析拆分后保存,再将解析拆分后的数据包重新组合后发往对端;
在回放时,用于按保存顺序读取保存的数据包信息,并分析数据包信息中的时间戳字段,获知前后数据包之间的时间间隔,分析数据包信息中的包头,获知数据包的功能和内容;以及按照读取顺序,以所述时间间隔逐一回放各个数据包的内容。
10.如权利要求9所述记录及回放用户的桌面操作信息的系统,其特征在于,所述终端与审计服务器之间以及审计服务器与终端服务器之间采用远程桌面协议或虚拟网络计算协议通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010106967 CN101827082B (zh) | 2010-02-09 | 2010-02-09 | 记录及回放用户的桌面操作信息的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010106967 CN101827082B (zh) | 2010-02-09 | 2010-02-09 | 记录及回放用户的桌面操作信息的方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101827082A true CN101827082A (zh) | 2010-09-08 |
CN101827082B CN101827082B (zh) | 2013-04-24 |
Family
ID=42690788
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010106967 Expired - Fee Related CN101827082B (zh) | 2010-02-09 | 2010-02-09 | 记录及回放用户的桌面操作信息的方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101827082B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125304A (zh) * | 2014-08-13 | 2014-10-29 | 北京华夏威科软件技术有限公司 | 一种会话级应用审计方法及系统 |
CN104145258A (zh) * | 2011-09-09 | 2014-11-12 | 石器公司 | 基于服务器的远程桌面记录和回放方法和装置 |
CN104796448A (zh) * | 2014-01-22 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 网络系统的数据处理方法和装置 |
CN105338341A (zh) * | 2014-08-12 | 2016-02-17 | 杭州海康威视系统技术有限公司 | 还原实时视频码流的方法及装置 |
CN105868083A (zh) * | 2015-01-21 | 2016-08-17 | 中兴通讯股份有限公司 | 一种回放用户操作的方法和装置 |
CN106209954A (zh) * | 2015-05-08 | 2016-12-07 | 中国科学院声学研究所 | 一种rdp明文数据解析方法及装置 |
CN106713494A (zh) * | 2017-01-23 | 2017-05-24 | 上海上讯信息技术股份有限公司 | 一种智能审计方法和装置 |
CN107786609A (zh) * | 2016-08-30 | 2018-03-09 | 中国科学院声学研究所 | 一种远程桌面协议的采集回放系统及方法 |
CN107948010A (zh) * | 2017-11-09 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种网络抓包实现方法、系统及网络设备 |
CN113691585A (zh) * | 2021-07-16 | 2021-11-23 | 曙光网络科技有限公司 | 数据录制和回放的系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564525A (zh) * | 2004-03-30 | 2005-01-12 | 国电自动化研究院 | 多媒体网络通信的记录方法及装置 |
CN100542255C (zh) * | 2006-09-26 | 2009-09-16 | 腾讯科技(深圳)有限公司 | 一种网络电视监控系统及方法 |
CN101043478B (zh) * | 2007-04-20 | 2010-05-26 | 北京航空航天大学 | 实现消息安全处理的服务网关及方法 |
-
2010
- 2010-02-09 CN CN 201010106967 patent/CN101827082B/zh not_active Expired - Fee Related
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104145258A (zh) * | 2011-09-09 | 2014-11-12 | 石器公司 | 基于服务器的远程桌面记录和回放方法和装置 |
CN104145258B (zh) * | 2011-09-09 | 2017-07-07 | 石器公司 | 基于服务器的远程桌面记录和回放方法和装置 |
CN104796448B (zh) * | 2014-01-22 | 2019-02-12 | 腾讯科技(深圳)有限公司 | 网络系统的数据处理方法和装置 |
CN104796448A (zh) * | 2014-01-22 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 网络系统的数据处理方法和装置 |
CN105338341A (zh) * | 2014-08-12 | 2016-02-17 | 杭州海康威视系统技术有限公司 | 还原实时视频码流的方法及装置 |
CN104125304B (zh) * | 2014-08-13 | 2017-09-19 | 北京华夏威科软件技术有限公司 | 一种会话级应用审计方法及系统 |
CN104125304A (zh) * | 2014-08-13 | 2014-10-29 | 北京华夏威科软件技术有限公司 | 一种会话级应用审计方法及系统 |
CN105868083A (zh) * | 2015-01-21 | 2016-08-17 | 中兴通讯股份有限公司 | 一种回放用户操作的方法和装置 |
CN106209954A (zh) * | 2015-05-08 | 2016-12-07 | 中国科学院声学研究所 | 一种rdp明文数据解析方法及装置 |
CN106209954B (zh) * | 2015-05-08 | 2019-08-13 | 中国科学院声学研究所 | 一种rdp明文数据解析方法及装置 |
CN107786609A (zh) * | 2016-08-30 | 2018-03-09 | 中国科学院声学研究所 | 一种远程桌面协议的采集回放系统及方法 |
CN106713494A (zh) * | 2017-01-23 | 2017-05-24 | 上海上讯信息技术股份有限公司 | 一种智能审计方法和装置 |
CN107948010A (zh) * | 2017-11-09 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种网络抓包实现方法、系统及网络设备 |
CN113691585A (zh) * | 2021-07-16 | 2021-11-23 | 曙光网络科技有限公司 | 数据录制和回放的系统 |
CN113691585B (zh) * | 2021-07-16 | 2024-02-02 | 曙光网络科技有限公司 | 数据录制和回放的系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101827082B (zh) | 2013-04-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101827082B (zh) | 记录及回放用户的桌面操作信息的方法及设备 | |
US9161238B2 (en) | Mobile device monitoring and testing | |
KR101596530B1 (ko) | 원격 세션에서의 멀티미디어 동작을 관리하는 시스템 및 방법 | |
US7831703B2 (en) | Apparatus and method for monitoring and auditing activity of a legacy environment | |
US8547974B1 (en) | Generating communication protocol test cases based on network traffic | |
DE112018000226T5 (de) | Mobiles Cloud-Computing-Endgerät und Betriebsverfahren dafür | |
CN102421112B (zh) | 移动终端的测试方法、移动终端模拟器、测试设备及系统 | |
US8615159B2 (en) | Methods and systems for cataloging text in a recorded session | |
US20050086344A1 (en) | Method and system for unrestricted, symmetric remote scripting | |
US8788652B2 (en) | Real world network testing combining lower layer network tests, application layer tests and interdependent interactions | |
CN1933594A (zh) | 多路音视频数据网络传输与同步播放的方法 | |
CN104281808B (zh) | 一种通用的Android恶意行为检测方法 | |
CN102438173A (zh) | 一种远程控制机顶盒的方法及系统 | |
CN110473129B (zh) | 一种基于安卓Android和云平台的监管场所警务专网应用管控系统 | |
CN102215265A (zh) | 实现远程虚拟桌面访问统一管理和监控的系统及方法 | |
CN101860549B (zh) | 一种Web Service下访问会话数据处理方法及装置 | |
CN103795762A (zh) | 一种反向代理的测试方法及系统 | |
WO2016145981A1 (zh) | 一种数据传输系统及方法 | |
CN106713494B (zh) | 一种智能审计方法和装置 | |
CN111586058A (zh) | 一种运维审计系统混合协议代理系统及方法 | |
US20220391354A1 (en) | Information sharing method, apparatus, electronic device, and storage medium | |
CN114692049A (zh) | 基于浏览器的录屏方法及装置、电子设备、存储介质 | |
CN105247875A (zh) | 分发控制系统和分发系统 | |
IL176551A (en) | Standard and method for monitoring and auditing the activity of a selected environment | |
US8156250B2 (en) | Arrangements for a 3270 compatible terminal with browser capability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
DD01 | Delivery of document by public notice |
Addressee: BLUEDON INFORMATION SECURITY TECHNOLOGY Co.,Ltd. Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130424 |