一種rdp數(shù)據(jù)采集裝置及方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡通信領域�,特別涉及一種RDP數(shù)據(jù)采集裝置及方法。
【背景技術】
[0002]RDP(Remote Desktop Protocol,遠程桌面協(xié)議)是由微軟公司提出的一種通訊協(xié)議�,主要用于實現(xiàn)Windows操作系統(tǒng)下的多用戶模式,用于遠程訪問運行在Windows終端服務器上的應用程序����,將應用的邏輯執(zhí)行和用戶界面分離開來。
[0003]服務器端通過使用視頻驅(qū)動程序描述顯示輸出�,構造描述信息到使用RDP協(xié)議的網(wǎng)絡數(shù)據(jù)包,通過網(wǎng)絡發(fā)送到客戶端����;在客戶端,視頻驅(qū)動程序接收到描述信息����,經(jīng)過處理并顯示出來����。在輸入過程中,客戶端鼠標和鍵盤消息從客戶端直接傳送到服務器端�����;在服務器端,RDP使用自己的虛擬鼠標和鍵盤驅(qū)動程序去接收這些鼠標和鍵盤事件�。
[0004]作為當前網(wǎng)絡信息安全業(yè)界一個逐漸得到公認的事實:在安全事件造成的損失中,有75%以上來自內(nèi)部���,其中包括內(nèi)部人員的越權訪問���、濫用、以及誤操作等���。分析這些內(nèi)部安全威脅沒有得到有效控制的根源��,可以發(fā)現(xiàn)下列主要因素:審計體系沒有有效工作或者根本沒有�、不具備完整的訪問授權機制���,不具備完善的職責分離機制�,人員安全意識和技能方面的不足等�����。其中����,缺少可信的�、完備的審計系統(tǒng)是目前普遍存在����、首當其沖的最重要的根源因素,必須嚴肅研究對待��。
[0005]審計系統(tǒng)幫助記錄發(fā)生在重要信息系統(tǒng)中各種各樣的會話和事件����,包括網(wǎng)絡中的、主機操作系統(tǒng)中��,也包括應用系統(tǒng)中的����。這些審計信息反映了信息系統(tǒng)運行的基本軌跡。一方面���,它可以幫助管理層和審計者審核信息系統(tǒng)的運行是否符合法律法規(guī)的要求和組織的安全策略��;另一方面,這些寶貴的審計信息在信息系統(tǒng)出現(xiàn)故障和安全事故時��,就像航空器“黑盒子”一樣�,幫助調(diào)查者深入挖掘事件背后的情報�����,重建事件過程�,直至完整的分析定位事件的本源����,并部署進一步的措施來避免損失的再次發(fā)生。
[0006]審計系統(tǒng)在做審計前�����,需要有數(shù)據(jù)采集裝置為其提供審計用的基礎數(shù)據(jù)����。如圖1所示,現(xiàn)有技術中的RDP數(shù)據(jù)采集裝置在工作時����,需要與服務端和客戶端分別建立一個TCP連接,然后再進行數(shù)據(jù)采集�、RDP解密、生成RDP明文日志等操作�。該裝置在工作時需要長時間地維護TCP連接的信息,系統(tǒng)資源的開銷很大�����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的在于克服現(xiàn)有技術中的RDP數(shù)據(jù)采集裝置需要長時間維護TCP連接的信息、系統(tǒng)資源開銷大的缺陷��,從而提供一種時間開銷與系統(tǒng)資源開銷都較小的RDP數(shù)據(jù)采集裝置����。
[0008]為了實現(xiàn)上述目的,本發(fā)明提供了一種RDP數(shù)據(jù)采集裝置��,包括:IP數(shù)據(jù)轉(zhuǎn)發(fā)模塊�����、RDP處理模塊以及RDP日志生成模塊�����;其中�,所述IP數(shù)據(jù)轉(zhuǎn)發(fā)模塊負責接收網(wǎng)絡中的數(shù)據(jù)包,并轉(zhuǎn)發(fā)經(jīng)過自身處理的數(shù)據(jù)包����;所述RDP處理模塊負責獲取RDP會話數(shù)據(jù)傳輸過程中的密鑰信息,并對密文數(shù)據(jù)進行解密;所述RDP日志生成模塊根據(jù)一定的規(guī)則和數(shù)據(jù)格式生成RDP會話日志�。
[0009]上述技術方案中�����,所述IP數(shù)據(jù)轉(zhuǎn)發(fā)模塊接收到網(wǎng)絡上的數(shù)據(jù)報文后����,對IP包進行重組,對TCP包進行重組��,若數(shù)據(jù)包為重傳包則還要進行TCP重傳處理���;然后判斷報文的類另IJ���,若為RDP數(shù)據(jù)包,將RDP數(shù)據(jù)包提交給RDP處理模塊���,等待RDP處理模塊處理完成后�����,接收RDP處理模塊提交過來的RDP數(shù)據(jù)包�����,再轉(zhuǎn)發(fā)到網(wǎng)絡上��,若不是RDP數(shù)據(jù)包�����,則直接轉(zhuǎn)發(fā)到網(wǎng)絡上��。
[0010]上述技術方案中���,所述RDP處理模塊對RDP數(shù)據(jù)包的處理分為:RDP連接認證階段和RDP數(shù)據(jù)傳輸階段�;
[0011 ] 在RDP連接認證階段�,所述RDP處理模塊將服務端RSA公鑰替換為RDP數(shù)據(jù)采集裝置的RSA公鑰,并利用客戶端隨機字符串和服務端隨機字符串協(xié)商得到用于數(shù)據(jù)傳輸階段的客戶端和服務端的RC4加密密鑰�;所述RDP處理模塊還實現(xiàn)了身份認證處理;
[0012]在RDP數(shù)據(jù)傳輸階段����,RDP處理模塊對所接收的RDP數(shù)據(jù)包拷貝一份數(shù)據(jù),然后將原始數(shù)據(jù)直接提交給IP數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)出去�,不做任何改動;將拷貝數(shù)據(jù)通過RC4密鑰進行解密��,然后將解密后的數(shù)據(jù)提交給RDP日志模塊以生成RDP日志。
[0013]上述技術方案中����,所述RDP處理模塊將服務端RSA公鑰替換為RDP數(shù)據(jù)采集裝置的RSA公鑰包括:
[0014]提取RDP服務端發(fā)送給客戶端的服務端RSA公鑰,將所述服務端RSA公鑰替換為RDP數(shù)據(jù)采集裝置的RSA公鑰����,被替換的服務端RSA公鑰信息會存放在X.509證書中��,或存放在RDP給定的一個格式中��;若所述服務端RSA公鑰信息存放在X.509證書中�,則還需要對根證書進行替換。
[0015]上述技術方案中��,所述RDP處理模塊利用客戶端隨機字符串和服務端隨機字符串協(xié)商得到用于數(shù)據(jù)傳輸階段的客戶端和服務端的RC4加密密鑰包括:
[0016]提取RDP服務端發(fā)送給客戶端密鑰協(xié)商的服務端隨機字符串信息�,然后發(fā)送給客戶端;
[0017]提取RDP客戶端發(fā)送給服務端密鑰協(xié)商的加密隨機字符串信息�����,用RDP數(shù)據(jù)采集裝置的私鑰進行解密提取出客戶端隨機字符串��,再用服務端的RSA公鑰進行加密����,將加密后的客戶端隨機字符串信息發(fā)送給服務端�����;
[0018]由所述客戶端隨機字符串和服務端隨機字符串協(xié)商����,得到用于數(shù)據(jù)傳輸階段的客戶端和服務端的RC4加密密鑰�����。
[0019]上述技術方案中�����,所述身份認證處理通過以下操作實現(xiàn):提取RDP客戶端發(fā)送給服務端的身份認證信息字段���,用RDP數(shù)據(jù)采集裝置的私鑰進行解密���,再用服務端的RSA公鑰進行加密后發(fā)送給服務端。
[0020]上述技術方案中�����,所述RDP日志生成模塊依據(jù)RDP處理模塊遞交過來的數(shù)據(jù),根據(jù)客戶端操作-服務端響應模式����,將用戶的一次完整行為以一定的數(shù)據(jù)格式記錄在一條日志里。
[0021]上述技術方案中���,所述日志的數(shù)據(jù)格式包括:1字節(jié)的日志標識起始位���,4字節(jié)的日志長度�����,η字節(jié)的數(shù)據(jù)�,I字節(jié)的日志標識結束位;其中�,
[0022]η字節(jié)數(shù)據(jù)內(nèi)容采用“類型-長度-數(shù)值”的格式,其中的I字節(jié)表示類型��,4字節(jié)表示數(shù)值長度����,m字節(jié)表示數(shù)值;所述類型包括:登陸時間�、客戶端端口號�����、客戶端IP地址���、服務端端口號、服務端IP地址���、數(shù)據(jù)ID����、會話ID�、域名、登陸名稱�����、登陸密碼����、提取的數(shù)據(jù)類型以及提取的數(shù)據(jù)。
[0023]本發(fā)明的優(yōu)點在于:
[0024]首先����,本發(fā)明的RDP數(shù)據(jù)采集裝置在做數(shù)據(jù)采集時脫離了 TCP/IP協(xié)議棧����,只用到了 TCP/IP協(xié)議棧里IP重組��、TCP重組以及TCP重傳的部分功能�,極大程度地簡化了數(shù)據(jù)包接收轉(zhuǎn)發(fā)的處理,減少了處理時間開銷�;
[0025]其次,本發(fā)明的RDP數(shù)據(jù)采集裝置對客戶端和服務端都不建立TCP連接�����,不用維護TCP連接的信息�,節(jié)省系統(tǒng)資源開銷���;
[0026]最后���,通過生成的RDP日志能夠幫助管理層和審計者審核用戶進行RDP登錄和操作是否符合法律法規(guī)的要求和組織的安全策略;在出現(xiàn)故障和安全事故時���,通過生成的RDP日志能夠幫助調(diào)查者深入挖掘����,重建事件過程,直至完整的分析和定位事件���,并部署進一步的措施來避免故障或安全事故��。
【附圖說明】
[0027]圖1為現(xiàn)有技術中的RDP數(shù)據(jù)采集裝置的通信過程示意圖����;
[0028]圖2為本發(fā)明的RDP數(shù)據(jù)采集裝置的連接位置示意圖�;
[0029]圖3為本發(fā)明的RDP數(shù)據(jù)采集裝置的功能模塊圖;
[0030]圖4為本發(fā)明的RDP數(shù)據(jù)采集裝置中的各個功能模塊對數(shù)據(jù)包的處理流程圖��;
[0031]圖5為本發(fā)明的RDP數(shù)據(jù)采集裝置的通信過程示意圖�。
【具體實施方式】
[0032]現(xiàn)結合附圖對本發(fā)明作進一步的描述。
[0033]如圖2所示�����,本發(fā)明的RDP數(shù)據(jù)采集裝置位于客戶端與服務端之間�����,該裝置能夠?qū)DP會話消息進行數(shù)據(jù)采集��,生成RDP會話日志��,以供審計。本發(fā)明的RDP數(shù)據(jù)采集裝置不采用TCP/IP協(xié)議棧����,在數(shù)據(jù)采集過程中,直接在網(wǎng)絡層中對傳輸層(TCP)和應用層(各種協(xié)議)的數(shù)據(jù)報文進行處理�。
[0034]如圖3所示,本發(fā)明的RDP數(shù)據(jù)采集裝置包括:IP數(shù)據(jù)轉(zhuǎn)發(fā)模塊����、RDP處理模塊以及RDP日志生成模塊。其中��,所述IP數(shù)據(jù)轉(zhuǎn)發(fā)模塊負責接收網(wǎng)絡中的數(shù)據(jù)包����,并轉(zhuǎn)發(fā)經(jīng)過自身處理的數(shù)據(jù)包;所述RDP處理模塊負責獲取RDP會話數(shù)據(jù)傳輸過程中的密鑰信息�����,并對密文數(shù)據(jù)進行解密�����;所述RDP日志生成模塊根據(jù)一定的規(guī)則和數(shù)據(jù)格式生成RDP會話日志���。
[0035]下面結合圖4對本發(fā)明的RDP數(shù)據(jù)采集裝置中的