[发明专利]一种RDP数据采集装置及方法

说明书

本发明涉及一种RDP数据采集装置，包括：IP数据转发模块、RDP处理模块以及RDP日志生成模块；其中，所述IP数据转发模块负责接收网络中的数据包，并转发经过自身处理的数据包；所述RDP处理模块负责获取RDP会话数据传输过程中的密钥信息，并对密文数据进行解密；所述RDP日志生成模块根据一定的规则和数据格式生成RDP会话日志。

技术领域

本发明涉及网络通信领域，特别涉及一种RDP数据采集装置及方法。

背景技术

RDP(Remote Desktop Protocol，远程桌面协议)是由微软公司提出的一种通讯协议，主要用于实现Windows操作系统下的多用户模式，用于远程访问运行在Windows终端服务器上的应用程序，将应用的逻辑执行和用户界面分离开来。

服务器端通过使用视频驱动程序描述显示输出，构造描述信息到使用RDP协议的网络数据包，通过网络发送到客户端；在客户端，视频驱动程序接收到描述信息，经过处理并显示出来。在输入过程中，客户端鼠标和键盘消息从客户端直接传送到服务器端；在服务器端，RDP使用自己的虚拟鼠标和键盘驱动程序去接收这些鼠标和键盘事件。

作为当前网络信息安全业界一个逐渐得到公认的事实：在安全事件造成的损失中，有75％以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作等。分析这些内部安全威胁没有得到有效控制的根源，可以发现下列主要因素：审计体系没有有效工作或者根本没有、不具备完整的访问授权机制，不具备完善的职责分离机制，人员安全意识和技能方面的不足等。其中，缺少可信的、完备的审计系统是目前普遍存在、首当其冲的最重要的根源因素，必须严肃研究对待。

审计系统帮助记录发生在重要信息系统中各种各样的会话和事件，包括网络中的、主机操作系统中，也包括应用系统中的。这些审计信息反映了信息系统运行的基本轨迹。一方面，它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组织的安全策略；另一方面，这些宝贵的审计信息在信息系统出现故障和安全事故时，就像航空器“黑盒子”一样，帮助调查者深入挖掘事件背后的情报，重建事件过程，直至完整的分析定位事件的本源，并部署进一步的措施来避免损失的再次发生。

审计系统在做审计前，需要有数据采集装置为其提供审计用的基础数据。如图1所示，现有技术中的RDP数据采集装置在工作时，需要与服务端和客户端分别建立一个TCP连接，然后再进行数据采集、RDP解密、生成RDP明文日志等操作。该装置在工作时需要长时间地维护TCP连接的信息，系统资源的开销很大。

发明内容

本发明的目的在于克服现有技术中的RDP数据采集装置需要长时间维护TCP连接的信息、系统资源开销大的缺陷，从而提供一种时间开销与系统资源开销都较小的RDP数据采集装置。

为了实现上述目的，本发明提供了一种RDP数据采集装置，包括：IP数据转发模块、RDP处理模块以及RDP日志生成模块；其中，所述IP数据转发模块负责接收网络中的数据包，并转发经过自身处理的数据包；所述RDP处理模块负责获取RDP会话数据传输过程中的密钥信息，并对密文数据进行解密；所述RDP日志生成模块根据一定的规则和数据格式生成RDP会话日志。

上述技术方案中，所述IP数据转发模块接收到网络上的数据报文后，对IP包进行重组，对TCP包进行重组，若数据包为重传包则还要进行TCP重传处理；然后判断报文的类别，若为RDP数据包，将RDP数据包提交给RDP处理模块，等待RDP处理模块处理完成后，接收RDP处理模块提交过来的RDP数据包，再转发到网络上，若不是RDP数据包，则直接转发到网络上。

上述技术方案中，所述RDP处理模块对RDP数据包的处理分为：RDP连接认证阶段和RDP数据传输阶段；