本发明专利技术公开了一种远程桌面检测系统,包括WEB管理页面模块,代理程序模块和回放程序模块,代理程序模块为远程桌面访问进行代理服务,在代理的过程中,记录远程桌面协议数据,并保存为回放文件,供回放程序调用,同时,可以实时的中断运维操作,并提供给管理页面进行运维操作功能接口,当运维人员通过网页点击来运维某台机器时,协议代理程序能为其代理运维会话。将运维操作发起方信息、运维会话的过程、被运维的设备等信息记录并保存下来,提供事中控制、事后回放、集中审计等功能。本发明专利技术还提供了一种远程桌面检测方法。本发明专利技术提供的方法可以对远程桌面进行实时监控,使采用远程桌面协议的企业的系统更加安全和稳定。
【技术实现步骤摘要】
本专利技术涉及属于远程控制和检测领域,特别涉及一种远程桌面检测系统及其检测方法。
技术介绍
远程访问技术方便网络管理员管理和维护服务器。基于图形的远程桌面访问提供了图形化交互的方式,大大降低了运维服务器的工作难度,同时提供更友好的交互界面。这改变了网络管理人员、运维人员的工作方式。网管人员或运维人员使用远程桌面客户端程序连接到任意一台开启了远程桌面控制功能的计算机上,运行程序,维护数据库等,客户端负责传递用户键盘鼠标等输入给远程服务器,同时将远程服务器发回的图像变化展示出来,就好像亲自操作远程的服务器一样。对于电力、电信、金融、航空等大型企业来说,部署的信息系统的数量越来越多,远程桌面访问的需求也越来越大,运维工作量也越来越大,因此大型企业一般也采用第三方运维的方式,这种方式能缓解企业职工的工作负担,但是也增加了第三方运维人员对企业里的信息系统的进行破坏的可能性,因此企业急需一种能对远程桌面访问进行控制并审计的技术。 目前,使用最多的图形化远程访问协议是远程桌面协议。当前网络协议分析类产品无非有如下几类:行为控制、流量控制,以及协议审计等。而对于协议审计,传统意义上来说,是对外网中网络协议的审计。但是对于航空、航天、电力、政府等重要部门来说,一般除了外网之外,还建立了一套只在组织内部使用的内网,因此也需要对内网进行审计。审计技术的核心在于代理技术,为了完整的抓取完整的协议数据,通常采用代理技术对远程桌面访问过程进行监控和审计。目前远程桌面协议已经公开,但是远程桌面协议文档却晦涩难懂,国内外的文献中也很少提及对远程桌面协议本身的分析,即使做了一些分析,一般也仅仅对远程协议的安全性略作介绍,不对远程桌面协议进行深入分析。另一方面基于远程协议的应用却层出不穷,这源于当前网络带宽的提高以及智能移动端对内网的安全接入需求。这些应用所使用的远程桌面协议代码通常比较原始,都是在远程桌面协议未开源时,通过逆向工程得到的,因此有很大的不稳定性。
技术实现思路
专利技术目的:本专利技术的目的在于针对现有技术的不足,提供一种能够远程访问操作, 进行实时监测的远程桌面检测系统。 技术方案:本专利技术提供一种远程桌面检测系统,包括WEB管理页面模块,代理程序模块和回放程序模块,其中, 所述WEB管理页面模块用于提供系统管理员配置审计系统的用户接口,资源管理员进行人员、角色、设备、权限设置的管理接口,运维人员进行运维的统一入口,审计人员回放运维会话的接口,日志管理员查看日志的接口; 所述代理程序模块包括代理服务端、代理客户端和数据记录模块;其中, 所述代理服务端用于与代理客户端和运维客户端进行通信,负责响应代理客户端进行远程桌面协议连接初始化的请求,当与代理客户端完成连接初始化过程后,进入了连接保持阶段,用于接收运维客户端输入的数据包,将输入的数据包传输给代理客户端,最终通过代理客户端将运维客户端输入的数据包发送给服务器;在连接保持阶段,接受代理客户端传来的服务器图形更新数据包,在重新组包后,将重新组包的数据包发送给代理客户端; 所述代理客户端用于建立与服务器的连接,并维持连接;代理客户端接收代理服务端传来的运维客户端输入的数据包,并将组好的数据包发送给服务器;当服务器产生了对运维客户端输入的数据包响应后,代理客户端将接收服务器图形更新数据包,并按照远程桌面协议栈的规定,对服务器图形更新数据包进行逐层解包,获取服务器的真实图形命令,并将真实图形命令传送给代理服务端,并由代理服务端将真实图形命令重新组包,发送给运维客户端; 所述数据记录模块用于将代理服务端和代理客户端分析出来的图形命令、服务器响应和用户输入端输入的数据保存下来,并存成回放文件,供回放程序模块使用; 所述回放程序模块用于播放由代理程序模块存储下来的回放文件。 进一步,所述回放程序模块包括绘图控制模块、时间控制模块和播放控制模块,其中, 所述绘图控制模块用于读取回放文件中的绘图命令,然后将绘图命令对虚拟桌面的变化绘制出来,直到回放文件中所有图形命令都被绘制完毕; 所述时间控制模块用于使回放程序模块在进行回放时的速度与实际的的速度一致; 所述播放控制模块包括开始、暂停、快进和跳转的播放控制功能。 进一步,所述服务器采用基于代理的多线程TCP服务器模型。 本专利技术还提供了一种远程桌面检测方法,包括以下步骤: 步骤1:代理服务端与用户客户端进行TCP连接初始化流程; 步骤2:线程创建一个代理客户端套接字,与服务器建立TCP连接,并与服务器进行协议连接初始化流程; 步骤3:连接处理线程分别与用户客户端和服务器建立了协议级的连接,之后转入了对连接会话的代理转发阶段; 步骤4:代理服务端判断是否有用户客户端发来的数据,若有,则代理服务端接收数据,并按照服务端协议栈的分析,得到真实的数据;并交给代理客户端协议栈进行重新打包,代理客户端将重新打包的数据发送给服务器;若没有数据,直接跳转到步骤5; 步骤5:判断服务器是否有相应的数据发来,若有,则代理客户端接收数据,并按照代理客户端协议栈的分析,得到真实的代理服务端响应数据,根据得到的响应数据在WEB页面上重现图形化操作界面,审计人员可以通过WEB页面实时监测运维人员的操作情况;同时代理客户端将数据交给代理服务端协议栈进行重新打包,代理服务端将重新打包的数据发送给运维客户端;若没有数据,则令线程挂起200ms,然后进行步骤4,重复这个过程。其中,挂起时间不能太大,影响用户使用感觉,有延迟;如果挂起时间太小,系统消耗太大,用户并发数受限制,所述本专利技术中选择200ms作为本专利技术中线程挂起时间; 工作原理:本专利技术采用代理程序模块为远程桌面访问进行代理服务,在代理的过程中,记录远程桌面协议数据,并保存为回放文件,供回放程序调用,同时,可以实时的中断运维操作,并提供给管理页面进行运维操作功能接口,当运维人员通过网页点击来运维某台机器时,协议代理程序能为其代理运维会话。将运维操作发起方信息、运维会话的过程、被运维的设备等信息记录并保存下来,提供事中控制、事后回放、集中审计等功能。 本专利技术还对使用多线程的TCP服务器模型做了改进,首先不在主线程中处理与客户端的正常通信,而是每接受一个连接请求后,新建一个新线程专门处理与这个连接之间的通信。也就是说,有多少个连接,就新建多少个连接处理线程。这样连接会话之间互相不影响。主线程,即监听线程只需负责接受连接,而不负责处理连接。每一个连接处理线程只需负责处理与某一个连接的正常通信而不需要处理与所有的连接会话进行通信。 有益效果:与现有技术相比,本专利技术提供的方法可以对远程桌面进行实时监控,使采用远程桌面协议的企业的系统更加安全和稳定。 附图说明图1为本专利技术所述的现场设备网络拓扑结构示意图; 图2为本专利技术所述的远程桌面访问监测主程序的流程图;图3为本专利技术所述的回放程序结构示意图。 具体实施方式下面对本专利技术技术方案进行详细说明,但是本专利技术的保护范围不局限于所述实施例。本文档来自技高网...
【技术保护点】
一种远程桌面检测系统,其特征在于:包括WEB管理页面模块,代理程序模块和回放程序模块,其中, 所述WEB管理页面模块用于提供系统管理员配置审计系统的用户接口,资源管理员进行人员、角色、设备、权限设置的管理接口,运维人员进行运维的统一入口,审计人员回放运维会话的接口,日志管理员查看日志的接口; 所述代理程序模块包括代理服务端、代理客户端和数据记录模块;其中, 所述代理服务端用于与代理客户端和运维客户端进行通信,负责响应代理客户端进行远程桌面协议连接初始化的请求,当与代理客户端完成连接初始化过程后,进入了连接保持阶段,用于接收运维客户端输入的数据包,将输入的数据包传输给代理客户端,最终通过代理客户端将运维客户端输入的数据包发送给服务器;在连接保持阶段,接受代理客户端传来的服务器图形更新数据包,在重新组包后,将重新组包的数据包发送给代理客户端; 所述代理客户端用于建立与服务器的连接,并维持连接;代理客户端接收代理服务端传来的运维客户端输入的数据包,并将组好的数据包发送给服务器;当服务器产生了对运维客户端输入的数据包响应后,代理客户端将接收服务器图形更新数据包,并按照远程桌面协议栈的规定,对服务器图形更新数据包进行逐层解包,获取服务器的真实图形命令,并将真实图形命令传送给代理服务端,并由代理服务端将真实图形命令重新组包,发送给运维客户端; 所述数据记录模块用于将代理服务端和代理客户端分析出来的图形命令、服务器响应和用户输入端输入的数据保存下来,并存成回放文件,供回放程序模块使用; 所述回放程序模块用于播放由代理程序模块存储下来的回放文件。...
【技术特征摘要】
1.一种远程桌面检测系统,其特征在于:包括WEB管理页面模块,代理程序模块和回放程序模块,其中,
所述WEB管理页面模块用于提供系统管理员配置审计系统的用户接口,资源管理员进行人员、角色、设备、权限设置的管理接口,运维人员进行运维的统一入口,审计人员回放运维会话的接口,日志管理员查看日志的接口;
所述代理程序模块包括代理服务端、代理客户端和数据记录模块;其中,
所述代理服务端用于与代理客户端和运维客户端进行通信,负责响应代理客户端进行远程桌面协议连接初始化的请求,当与代理客户端完成连接初始化过程后,进入了连接保持阶段,用于接收运维客户端输入的数据包,将输入的数据包传输给代理客户端,最终通过代理客户端将运维客户端输入的数据包发送给服务器;在连接保持阶段,接受代理客户端传来的服务器图形更新数据包,在重新组包后,将重新组包的数据包发送给代理客户端;
所述代理客户端用于建立与服务器的连接,并维持连接;代理客户端接收代理服务端传来的运维客户端输入的数据包,并将组好的数据包发送给服务器;当服务器产生了对运维客户端输入的数据包响应后,代理客户端将接收服务器图形更新数据包,并按照远程桌面协议栈的规定,对服务器图形更新数据包进行逐层解包,获取服务器的真实图形命令,并将真实图形命令传送给代理服务端,并由代理服务端将真实图形命令重新组包,发送给运维客户端;
所述数据记录模块用于将代理服务端和代理客户端分析出来的图形命令、服务器响应和用户输入端输入的数据保存下来,并存成回放文件,供回放程序模块使用;
所述回放程序模块用于播放由代理程序模块存储下来的回放文件。
2.根据权利要求1所述的远程桌面检测系统,其特征在于:所述回放程序...
【专利技术属性】
技术研发人员:吴克河,崔文超,安思成,乔俊峰,高昆仑,李凌,
申请(专利权)人:国家电网公司,华北电力大学,中国电力科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。