[发明专利]基于视频流windows远程登陆协议入侵检测方法及系统

权利要求书

1.一种基于视频流的windows远程登陆协议入侵检测方法，其特征在于，该方法包括以下步骤：

S01、配置nginx拉流端账户，下载rtmp-module，安装nginx服务器，添加rtmp服务，配置目录权限，启动nginx服务器，从流媒体服务器获取音频或视频数据，配置实现拉流的模块功能；

S02、配置windows推流端，下载配置录屏软件，安装screen-capture-recorder，下载安装ffmpeg；

S03、创建任务计划程序，控制录屏和停止录屏的时机；

S04、开始执行任务计划，所述任务计划是根据程序进行的自动化作业；

S05、系统中的计划程序判定入侵者通过远程连接windows沙箱端，则触动计划任务，沙箱端开启视频录制程序，将屏幕上的动作录制保存到硬盘上，并转化为流数据，流数据通过RTMP协议传送到拉流端；

S06、在开始录屏之后判断远程连接的状态是通过读取windows日志记录实现的，读取的日志记录为：Microsoft-Windows-TerminalServices-LocalSessionManager/Operational，日志的来源是windows自带的服务，TerminalServices-LocalSessionManager，实时地判断远程连接与否的状态，3389端口连接的状态是记录事件id为25，断开为24，则判断远程连接断开；

S07、判断远程连接端口断开连接时，系统自动触发计划任务，关闭屏幕录制单元停止视频录制程序。

2.一种基于视频流的windows远程登陆协议入侵检测系统，其特征在于，所述基于视频流的windows远程登陆协议入侵检测系统，包括服务器、nginx拉流端模块，windows推流端模块，任务计划程序模块，其中：所述nginx拉流端模块，用于配置实现拉流的模块功能，所述windows推流端模块，用于下载配置录屏软件，所述任务计划程序模块，用于控制录屏和停止录屏的时机；所述系统判定入侵者通过 rdp 协议远程连接 windows 端，则触动计划任务开启视频录制程序，远程连接端口断开连接时，系统自动触发计划任务，立即停止视频录制程序。

3.根据权利要求2所述的一种基于视频流的windows远程登陆协议入侵检测系统，其特征在于，核心服务器采用centos操作系统上安装nginx作容器，采用rtmp协议，作为拉流端，在视频数据于windows推流端产生之后可作保存处理。

4.根据权利要求2所述的一种基于视频流的windows远程登陆协议入侵检测系统，其特征在于，所述任务计划程序模块，自定义创建计划，与windows远程连接打开与否建立联系。

5.根据权利要求2所述的一种基于视频流的windows远程登陆协议入侵检测系统，其特征在于，所述任务计划程序模块可将任务计划与日志信息联系，使得管理员可以通过日志内容知道系统是否被入侵。

6.根据权利要求 2 所述的基于视频流的windows 远程登陆协议入侵检测系统，其特征在于，所述系统通过推流将录屏视频数据实时传输到服务器上。