一种基于RDP的数据防泄漏系统和方法技术方案

本发明专利技术公开了一种基于RDP的数据防泄漏系统和方法，所述系统包括：安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块。本发明专利技术能够对远程访问数据中心的RDP终端进行身份认证，确保合法使用；对原有RDP终端和数据中心改动小，不受RDP远程虚拟化技术实现方式和架构影响；能杜绝数据中心到RDP终端的非授权数据流动；所述数据防泄漏系统对每次RDP终端的认证请求进行记录，即使发生恶意访问的情况，通过查询所述数据防泄漏系统的认证请求记录可以快速定位到进行恶意访问的RDP终端。

A data leakage prevention system and method based on RDP

The invention discloses a data leakage prevention system and method based on RDP, which comprises a safety management module, an identity authentication module, a data acquisition module, a protocol analysis module and an access control module. The invention can authenticate the RDP terminal for remote access to the data center, to ensure that legitimate use; little change to the original RDP terminal and data center, the implementation method and the framework of RDP remote virtualization technology; to prevent unauthorized data center to the RDP terminal flow; the data leakage prevention system on time RDP terminal authentication request to record, even if malicious access occurs, by querying the data leakage prevention system authentication request records can quickly locate malicious access to terminal RDP.

【技术实现步骤摘要】

本专利技术涉及远程虚拟化安全
，具体涉及一种基于RDP的数据防泄漏系统和方法。
技术介绍
现有的远程数据中心通常使用PC终端，并采用RDP协议进行数据交互，而RDP远程协议可以通过共享本地磁盘，外设等进行本地与数据中心的文件拷贝。这种协议交换安全性较弱，易将数据中心的受保护文件或数据在未经授权情况下就被拷贝外泄。同时，由于RDP远程连接配置通常是可以直接由用户选择的，存在恶意用户通过共享本地磁盘而获取到数据中心受保护数据的风险。
技术实现思路
本专利技术的目的在于，为解决上述技术问题，提供一种能有效防止受保护文件或数据未经授权情况下就被拷贝外泄的基于RDP的数据防泄漏系统和方法。为解决上述技术问题，本专利技术采用如下的技术方案：一种基于RDP的数据防泄漏系统，包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块，其中：安全管理模块，用于对所述数据防泄漏系统进行安全管理，录入合法的RDP终端用户并为其配置访问数据中心的授权信息；身份认证模块，用于对所述RDP终端用户的身份进行鉴别，根据用户输入的认证信息，判断用户是否为合法的RDP终端用户；数据采集模块，用于实时采集流经所述数据防泄漏系统的网络数据，获取RDP终端至数据防泄漏系统、RDP终端至数据中心之间的数据；协议分析模块，用于对采集的所述网络数据进行RDP协议解析，丢弃所述网络数据非RDP协议数据包，得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为；访问控制模块，用于对RDP终端与数据中心之间的数据流进行访问控制，根据所述授权信息，判断所述RDP终端的操作行为是否合法，若操作行为合法则放行所述数据流，否则阻断所述数据流。如前述的基于RDP的数据防泄漏系统，所述认证信息包括用户名、口令密码和数字证书，所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。本专利技术还提供一种基于RDP的数据防泄漏方法，包括：S1、RDP终端访问数据防泄漏系统，数据防泄漏系统通过用户输入的认证信息，判断用户是否为合法的用户；S2、RDP终端通过数据防泄漏系统与数据中心进行远程连接；S3、在网桥网口上采集RDP终端与数据中心远程连接中的网络数据；S4、根据采集到的网络数据分析确认所述远程连接是否为RDP远程连接，并对采集的所述网络数据进行RDP协议解析，丢弃所述网络数据非RDP协议数据包，确认所述远程连接中管道信息对应的操作行为；S5、通过对操作行为进行分析，确认RDP终端是否存在数据传输拷贝行为；S6、对RDP终端与数据中心之间的数据流进行访问控制，根据认证信息与数据防泄漏系统中预先配置的授权信息进行匹配，判断所述RDP终端的操作行为是否合法，若操作行为合法则放行所述数据流，否则阻断所述数据流。如前述的基于RDP的数据防泄漏方法，所述分析确认所述远程连接是否为RDP远程连接的具体方法为：首先确认所述远程连接的目的端口是3389，并确认三次握手后的首个数据包中前四个字节是RDP协议特征。如前述的基于RDP的数据防泄漏方法，在所述分析确认所述远程连接为RDP远程连接之前还包括：终端向数据中心发起RDP远程连接请求后，数据采集模块通过采集入网口数据包，通过入网口数据包中的五元组建立基于当前RDP远程连接的流表信息；所述五元组包括：源IP、源端口、目的IP、目的端口和协议类型。如前述的基于RDP的数据防泄漏方法，所述操作行为包括：磁盘共享、文件拷贝和打印共享。如前述的基于RDP的数据防泄漏方法，所述管道信息包括：管道A协议包、管道B协议包和管道C协议包。如前述的基于RDP的数据防泄漏方法，步骤S4中确认所述远程连接中管道信息对应的操作行为的方法具体为：管道A协议包出现时，管道C协议包也出现过，则RDP远程连接已到用户登录界面，同时时初始化管道C的统计信息；出现由RDP终端发起的管道B协议包时，则当前RDP终端正在进行剪贴板操作行为；管道C协议包出现操作特征后，则当前RDP终端正在进行交互行为。如前述的基于RDP的数据防泄漏方法，所述步骤S5具体包括以下步骤：S5a、根据管道A协议包累计信息统计得出RDP远程登录行为；S5b、当登录后根据终端发起的管道B协议包累计信息统计得出剪贴板行为；S5c、当登录后根据管道C协议包累计信息统计得出磁盘共享或打印共享行为；S5d、当满足磁盘共享或打印共享行为后，根据管道C协议包中特征分析得出数据拷贝行为。与现有技术相比，本专利技术通过设置安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块，从而能够对远程访问数据中心的RDP终端进行身份认证，确保合法使用；对原有RDP终端和数据中心改动小，不受RDP远程虚拟化技术实现方式和架构影响；能杜绝数据中心到RDP终端的非授权数据流动；所述数据防泄漏系统对每次RDP终端的认证请求进行记录，即使发生恶意访问的情况，通过查询所述数据防泄漏系统的认证请求记录可以快速定位到进行恶意访问的RDP终端。附图说明图1为本专利技术系统结构示意图；图2为本专利技术方法流程示意图；图3为本专利技术中RDP终端通过数据防泄漏系统与数据中心进行远程连接的流程图；图4为本专利技术中数据防泄漏系统在网桥网口上采集终端与数据中心远程连接中的数据包流程图；图5为本专利技术中数据防泄漏系统根据采集到的数据包分析确认远程连接是否为RDP远程连接流程图。下面结合附图和具体实施方式对本专利技术作进一步的说明。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。本专利技术实施例1，如图1所示，本实施例公开了一种基于RDP的数据防泄漏系统120，包括：包括安全管理模块121、身份认证模块122、数据采集模块123、协议分析模块124和访问控制模块125，其中：安全管理模块121，用于对所述数据防泄漏系统120进行安全管理，录入合法的RDP终端用户并为其配置访问数据中心130的授权信息；身份认证模块122，用于对所述RDP终端用户的身份进行鉴别，根据用户输入的认证信息，判断用户是否为合法的RDP终端用户；数据采集模块123，用于实时采集流经所述数据防泄漏系统120的网络数据，获取RDP终端110至数据防泄漏系统120、RDP终端110至数据中心130之间的数据；协议分析模块124，用于对采集的所述网络数据进行RDP协议解析，丢弃所述网络数据非RDP协议数据包，得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为；访问控制模块125，用于对RDP终端110与数据中心130之间的数据流进行访问控制，根据所述授权信息，判断所述RDP终端110的操作行为是否合法，若操作行为合法则放行所述数据流，否则阻断所述数据流。如前述的基于RDP的数据防泄漏系统120，所述认证信息包括用户名、口令密码和数字证书，所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。本专利技术实施例2，本实施例公开了本专利技术还提供一种基于RDP的数据防泄漏方法，包括：S1、终端访问数据防泄漏系统120，数据防泄漏系统120通过用户输入的认证信息，判断用户是否为合法的用户；S2、终端通过数据防泄漏系统12本文档来自技高网...

【技术保护点】
一种基于RDP的数据防泄漏系统，包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块，其特征在于：安全管理模块，用于对所述数据防泄漏系统进行安全管理，录入合法的RDP终端用户并为其配置访问数据中心的授权信息；身份认证模块，用于对所述RDP终端用户的身份进行鉴别，根据用户输入的认证信息，判断用户是否为合法的RDP终端用户；数据采集模块，用于实时采集流经所述数据防泄漏系统的网络数据，获取RDP终端至数据防泄漏系统、RDP终端至数据中心之间的数据；协议分析模块，用于对采集的所述网络数据进行RDP协议解析，丢弃所述网络数据非RDP协议数据包，得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为；访问控制模块，用于对RDP终端与数据中心之间的数据流进行访问控制，根据所述授权信息，判断所述RDP终端的操作行为是否合法，若操作行为合法则放行所述数据流，否则阻断所述数据流。

【技术特征摘要】
1.一种基于RDP的数据防泄漏系统，包括安全管理模块、身份认证模块、数据采集模块、协议分析模块和访问控制模块，其特征在于：安全管理模块，用于对所述数据防泄漏系统进行安全管理，录入合法的RDP终端用户并为其配置访问数据中心的授权信息；身份认证模块，用于对所述RDP终端用户的身份进行鉴别，根据用户输入的认证信息，判断用户是否为合法的RDP终端用户；数据采集模块，用于实时采集流经所述数据防泄漏系统的网络数据，获取RDP终端至数据防泄漏系统、RDP终端至数据中心之间的数据；协议分析模块，用于对采集的所述网络数据进行RDP协议解析，丢弃所述网络数据非RDP协议数据包，得到所述网络数据中的RDP登录、剪贴板和数据拷贝行为；访问控制模块，用于对RDP终端与数据中心之间的数据流进行访问控制，根据所述授权信息，判断所述RDP终端的操作行为是否合法，若操作行为合法则放行所述数据流，否则阻断所述数据流。2.如权利要求1所述的基于RDP的数据防泄漏系统，其特征在于，所述认证信息包括用户名、口令密码和数字证书，所述授权信息包括是否允许剪贴板操作行为、磁盘共享文件拷贝行为和打印共享行为。3.一种基于RDP的数据防泄漏方法，其特征在于，包括：S1、RDP终端访问数据防泄漏系统，数据防泄漏系统通过用户输入的认证信息，判断用户是否为合法的用户；S2、RDP终端通过数据防泄漏系统与数据中心进行远程连接；S3、在网桥网口上采集RDP终端与数据中心远程连接中的网络数据；S4、根据采集到的网络数据分析确认所述远程连接是否为RDP远程连接，并对采集的所述网络数据进行RDP协议解析，丢弃所述网络数据非RDP协议数据包，确认所述远程连接中管道信息对应的操作行为；S5、通过对操作行为进行分析，确认RDP终端是否存在数据传输拷贝行为；S6、对RDP终端与数据中心之间的数据流进行访问控制，根据认证信息与数据防泄漏系统中预先配置的授权信息进行匹...

【专利技术属性】
技术研发人员：高曦，牟永鹏，王斌，
申请(专利权)人：北京北信源软件股份有限公司，
类型：发明
国别省市：北京;11