本发明专利技术涉及一种RDP明文数据解析方法及装置。该RDP明文数据解析方法首先获取一条完整的RDP明文数据报文。然后判定该完整RDP明文数据报文的类型。最后对不同类型的RDP明文数据报文进行差异化处理,提取客户端与服务端之间的交互信息。本发明专利技术节省了RDP明文数据解析时间,能够更快地生成日志,提高了用户体验。本发明专利技术能够应用于数据采集审计领域。
【技术实现步骤摘要】
本专利技术涉及计算机领域,尤其涉及数据采集审计领域。
技术介绍
远程桌面协议(The Remote Desktop Protocol,简称RDP)是一个多通道(multi-channel)协议,可以让用户PC机连接控制另一台Windows操作系统的电脑。RDP支持虚拟通道来连续传送客户端与服务器之间数据交流,例如来自服务器的显示数据,以及加密了的客户端的鼠标、键盘数据。以RDP协议为基础的远程桌面可以让用户可靠地使用远程计算机上的所有应用程序、文件和网络资源,而无需执行本地程序。目前对于RDP协议的研究只能基于RDP协议前身相关的技术文档或是分析已有的rdesktop源代码得到初步的资料,再使用反向工程的分析方法,通过获取Windows终端启动和正常工作时的通讯数据包的明文来分析。该协议于2009年3月正式提供文档说明,为RDP协议分析提供了方便。随着互联网的快速发展,网络安全问题也越来越多,而完备的审计系统是解决当前网络安全问题的重要因素。审计系统可以通过分析日志,及时发现网络系统、应用系统中的非法用户、非法访问、异常操作、异常状态等安全信息,及时发现敏感信息的泄密轨迹,还原信息泄密的历史过程,追责定位,提高各种管理系统的安全水平。现有技术是对接收到的所有RDP数据都进行分析,而RDP数据在一次传输过程中可能会传输多个数据报文或者仅传输数据报文的一部分,这样直接地对接收到的数据报文进行分析将会导致提取错误信息。同时,对大量数据进行分析所需时间过长,生成日志时间过慢。由此导致审计系统在对生成的
日志进行数据分析时,无法快速准确地获取到用户登陆及操作信息,进而无法快速准确地帮助审计部门完成数据分析和定位。
技术实现思路
本专利技术提供了一种解决以上问题的RDP明文数据解析方法及装置。在第一方面,本专利技术提供了一种RDP明文数据解析方法。该方法首先获取一条完整的RDP明文数据报文。然后判定该完整RDP明文数据报文的类型。最后对不同类型的RDP明文数据报文进行差异化处理,提取客户端与服务端之间的交互信息。优选地,本专利技术还包括将上述交互信息封装到固定格式日志中的步骤。优选地,本专利技术通过对接收到的RDP明文数据进行拆分和/或拼接的方式来获取一条完整的RDP明文数据报文。优选地,上述获取一条完整的RDP明文数据报文的步骤包括:接收RDP明文数据信息,并与缓存数据形成新数据报文;其中,该RDP明文数据信息包括RDP明文数据长度、传输方向、RDP数据内容;判定该新数据报文的封装类型;其中,该封装类型包括未知封装、RDP4封装、RDP5封装;对不同封装类型的数据报文采用不同处理方式,得到相应的完整RDP数据报文长度;判断所述RDP明文数据报文长度是否大于等于所述完整RDP数据报文长度,若大于等于,则通过该新数据报文中得到一条完整RDP明文数据报文。优选地,根据上述新数据报文的首字节,来判定该新数据报文是否为RDP4封装或RPD5封装。若所述新数据报文的首字节为03,则该新数据报文封装为RDP4封装。若所述新数据报文首字节的最后两位为00,则该新数据报文封装为RDP5封装。优选地,上述判定完整RDP明文数据报文类型的步骤包括:判定该完整RDP明文数据报文为RDP4数据报文;判断该RDP4明文数据报文是否为连接认证阶段数据报文;如果是连接认证阶段数据报文,则提取该连接认证阶段数
据报文的MCS层初始化连接数据单元以及MCS层连接确认数据单元的通道号与通道名称之间的对应关系;如果不是连接认证阶段数据报文,则判断该RDP数据报文的MCS层通道号是否为虚拟通道对应的通道号;如果该MCS层通道号是虚拟通道对应的通道号,则该RDP明文数据类型为通道格式类型数据报文,将该通道格式数据报文去头部再封装,进行信息提取;如果该MCS层通道号不是虚拟通道对应的通道号,则提取客户端登陆注册数据单元以及字段为功能数据单元的数据单元类型中的信息。优选地,上述判定完整RDP明文数据报文类型的步骤包括:判断上述完整RDP明文数据报文是否为RDP5报文;若确认该RDP明文数据报文为RDP5报文,则将该RDP5报文去除头部再封装,进行信息提取。在第二方面,本专利技术提供了一种RDP明文数据解析装置。该装置包括RDP完整数据获取模块、RDP数据类型判定模块、交互数据提取模块。该RDP完整数据获取模块用于获取一条完整的RDP明文数据报文。该RDP数据类型判定模块用于判定该完整RDP明文数据报文的类型。该交互数据提取模块用于对不同类型的RDP明文数据报文进行差异化处理,以提取客户端与服务端之间交互信息。本专利技术通过对RDP数据进行拆分与拼接的操作,保证了每次处理一条完整的RDP数据报文,进而使审计系统获取到准确的日志信息。同时,由于本专利技术在RDP解析过程中,过滤掉了一些不需要进行信息提取的数据包,节省了RDP解析时间,更快地生成日志,提高了用户体验。附图说明图1为本专利技术一个实施例的解析RDP明文数据及日志封装方法流程图;图2为本专利技术一个实施例的获取完整RDP明文数据报文流程图;图3为本专利技术一个实施例的判断RDP明文数据报文格式类型的流程图;图4为本专利技术一个实施例的解析RDP明文数据及日志封装系统框图。具体实施方式下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述。图1为本专利技术一个实施例的解析RDP明文数据及日志封装方法流程图。在步骤S101,对输入的RDP明文数据进行处理,以获取一条完整的RDP明文数据报文。一个例子中,对输入的RDP明文数据进行拆分和/或拼接,以获取一条完整的RDP明文数据报文,便于解析。在步骤S102,判定该完整RDP明文数据报文的类型,依据该类型过滤不需要进行信息提取的RDP明文数据报文。具体地,RDP明文数据报文类型包括RDP5格式数据报文类型、RDP4格式数据报文类型;其中,RDP4格式数据报文包括连接认证阶段数据报文及非连接认证阶段的RDP4数据报文,而该非连接认证阶段的RDP4数据报文包括Channel格式数据报文(通道格式数据报文)、非Channel格式的RDP4数据报文(非通道格式的RDP4数据报文)。需要提取信息的RDP数据报文包括:RDP5数据报文、连接认证阶段数据报文中的MCS Connect Init ial PDU(MCS层初始化连接数据单元)和MCS Connect Response PDU(MCS层连接确认数据单元)、Channel格式数据报文、非Channel格式RDP4数据报文中的Cl ient Info PDU(客户端登陆注册数据单元)和字段为DATA PDU(功能数据单元)的PDU type(数据单元类型)。在步骤S103,对不同类型的RDP明文数据报文进行差异化处理,以提取客户端与服务端之间交互的功能数据。具体地,上述需要提取的功能数据包括:登录信息、鼠标键盘等操作的输入数据、图形界面等输出数据、虚拟通道传输的打印机数据、剪贴板内容数据、声音数据等。在本专利技术的一个优选实施例中,包括步骤S104,即将上述步骤S103提取到的功能数据封装到固定格式的日志中。在本专利技术的一个实施例中,上述固定格式的日志内容包括:单字节(即1字节)的日志标识起始位,多字节(如4字节)的日志长度,多字节(本文档来自技高网...
【技术保护点】
一种RDP明文数据解析方法,其特征在于,包括:步骤a,获取一条完整的RDP明文数据报文;步骤b,判定该完整RDP明文数据报文的类型;步骤c,对不同类型的RDP明文数据报文进行差异化处理,提取客户端与服务端之间的交互信息。
【技术特征摘要】
1.一种RDP明文数据解析方法,其特征在于,包括:步骤a,获取一条完整的RDP明文数据报文;步骤b,判定该完整RDP明文数据报文的类型;步骤c,对不同类型的RDP明文数据报文进行差异化处理,提取客户端与服务端之间的交互信息。2.如权利要求1所述的一种RDP明文数据解析方法,其特征在于,在所述步骤c之后还包括:步骤d,将所述交互信息封装到固定格式的日志中。3.如权利要求1所述的一种RDP明文数据解析方法,其特征在于,在所述步骤a之前还包括接收RDP明文数据的步骤,且所述步骤a是通过对接收到的该RDP明文数据进行拆分和/或拼接方式来获取到所述一条完整的RDP明文数据报文。4.如权利要求1所述的一种RDP明文数据解析方法,其特征在于,所述步骤c还包括,依据所述RDP明文数据报文类型过滤掉无需信息提取的RDP数据报文的步骤。5.如权利要求1所述的一种RDP明文数据解析方法,其特征在于,所述步骤a包括:步骤a1,接收RDP明文数据信息,并与缓存数据形成新数据报文;其中,该RDP明文数据信息包括RDP明文数据长度、传输方向、RDP数据内容;步骤a2,判定该新数据报文的封装类型;其中,该封装类型包括未知封装、RDP4封装、RDP5封装;步骤a3,对不同封装类型的数据报文采用不同处理方式,得到相应的完整RDP数据报文长度;步骤a4,判断所述RDP明文数据长度是否大于等于所述完整RDP数据报文长度,若大于等于,则通过该新数据报文得到所述一条完整RDP明文数据报
\t文。6.如权利要求5所述的一种RDP明文数据解析方法,其特征在于,所述新数据报文的初始封装为未知封装。7.如权利要求5所述的一种RDP明文数据解析方法,其特征在于,根据所述新数据...
【专利技术属性】
技术研发人员:叶晓舟,程维佳,樊皓,郑艳伟,
申请(专利权)人:中国科学院声学研究所,北京中科智网科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。