一種圖形化審計(jì)方法、裝置及電子設(shè)備的制造方法
【專利摘要】本發(fā)明實(shí)施例提供一種圖形化審計(jì)方法、裝置及電子設(shè)備。圖形化審計(jì)方法包括：獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容，所述操作內(nèi)容包括所述目標(biāo)設(shè)備上進(jìn)行圖形化顯示的圖形化顯示信息；根據(jù)所述圖形化顯示信息，生成可索引編碼；根據(jù)所述可索引編碼，定位所述圖形化顯示信息。本發(fā)明實(shí)施例可提高圖形化操作審計(jì)的效率。
【專利說明】
一種圖形化審計(jì)方法、裝置及電子設(shè)備
技術(shù)領(lǐng)域
[0001]本發(fā)明實(shí)施例涉及審計(jì)領(lǐng)域，尤其涉及一種圖形化審計(jì)方法、裝置及電子設(shè)備。
【背景技術(shù)】
[0002]服務(wù)器遠(yuǎn)程管理主要存在兩大陣營，一類是以UNIX系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)為代表的字符方式遠(yuǎn)程管理，例如Telnet、SSH、FTP等；另一類是以WINDOWS系統(tǒng)為代表的圖形化操作(可視化)管理，例如 RDP (Remote Desktop Protocol/遠(yuǎn)程桌面)、Citrix ICA、VNC 等。隨著信息安全技術(shù)發(fā)展，信息安全審計(jì)日趨重要，對于企業(yè)核心信息資產(chǎn)(關(guān)鍵服務(wù)器)上的數(shù)據(jù)的變化需要有全程審計(jì)留痕技術(shù)進(jìn)行監(jiān)管。內(nèi)控審計(jì)就是需要對這些遠(yuǎn)程管理維護(hù)操作行為進(jìn)行相應(yīng)的監(jiān)管與規(guī)范。
[0003]字符方式遠(yuǎn)程管理的審計(jì)可以通過日志、抓包等方式，將操作過程以文本方式記錄下來，然后實(shí)施快速搜索、查詢、定位以及告警和阻斷等相應(yīng)執(zhí)行措施，而圖形化操作的審計(jì)因?yàn)槠涮厥庑?，一直以來是一個難點(diǎn)。
[0004]目前來說，圖形化操作審計(jì)的應(yīng)對措施主要有以下幾種:
[0005]1、在服務(wù)器上安裝截屏軟件或者插件，通過錄屏的方式記錄操作內(nèi)容，事后可以通過視頻回放來還原操作內(nèi)容。
[0006]2、通過網(wǎng)絡(luò)sniffer “抓包”方式，記錄下來所有網(wǎng)絡(luò)訪問的數(shù)據(jù)包，然后通過數(shù)據(jù)包分析，能發(fā)掘與還原一部分相關(guān)信息。
[0007]3、通過“堡皇機(jī)”方式，做為第三方登錄設(shè)備，所有客戶端先登錄“堡皇機(jī)”，然后通過“堡皇機(jī)”再登錄目標(biāo)系統(tǒng)，在“堡皇機(jī)”上通過錄屏或者抓包方式記錄下操作的行為，事后通過視頻回放來還原操作內(nèi)容。
[0008]現(xiàn)有的幾種技術(shù)均存在一些問題，因此在真實(shí)環(huán)境中使用會受到限制，不能充分發(fā)揮審計(jì)威懾力與高效的事后取證能力。
[0009]第一種技術(shù)，在服務(wù)器上安裝截屏軟件或者插件。服務(wù)器的資源很寶貴，安裝這些軟件會大幅影響服務(wù)器性能，影響服務(wù)器穩(wěn)定性，錄屏記錄量非常大，在服務(wù)器本地存儲需要大量的硬盤空間，通過網(wǎng)絡(luò)存儲會占用巨大的網(wǎng)絡(luò)帶寬，當(dāng)服務(wù)器數(shù)量很多時，這種技術(shù)幾乎無法使用。另外，服務(wù)器通常是安裝在機(jī)房的機(jī)架上，24小時處于屏幕保護(hù)的狀態(tài)，錄屏方式不一定能真實(shí)記錄遠(yuǎn)程操作服務(wù)器的行為。
[0010]第二種技術(shù)，通過網(wǎng)絡(luò)sniffer “抓包”方式進(jìn)行記錄。這種方式只能記錄明文協(xié)議，對于有些非加密的圖形操作協(xié)議，例如VNC可以有效，但是對于加密的圖形協(xié)議，例如RDP、ICA等無能為力。另外網(wǎng)絡(luò)sniffer “抓包”方式本身可能會有丟包，數(shù)據(jù)不完整，并且在數(shù)據(jù)量龐大的情況下，通常采用的策略是抽樣抓包，更不能保證數(shù)據(jù)的全面記錄。
[0011]第三種技術(shù)，通過“堡皇機(jī)”方式做為第三方登錄設(shè)備。這種方式的工作原理是由客戶端發(fā)起連接到“堡皇機(jī)”，再由“堡皇機(jī)”發(fā)起連接到目標(biāo)服務(wù)器。為了保證能記錄圖形操作內(nèi)容，通常有兩種解決方案，1、是在“堡皇機(jī)”上采用第一種技術(shù)，此方案與第一種技術(shù)存在同樣的問題，2、是在“堡皇機(jī)”上進(jìn)行“中間人”的“抓包”分析，對于加密協(xié)議可以通過數(shù)據(jù)包還原，以圖形回放方式恢復(fù)部分相關(guān)操作信息。
[0012]在第三種技術(shù)的第2方案中，可以部分解決記錄操作內(nèi)容并進(jìn)行回放的問題，SP圖形化操作的記錄，但是目前還沒有更好的技術(shù)對于這些圖形化操作的記錄進(jìn)行相應(yīng)的圖形化操作審計(jì)。因?yàn)閳D形操作環(huán)境下，每天操作將產(chǎn)生大量的視頻回放數(shù)據(jù)，這些記錄下來的數(shù)據(jù)如果需要人工回放方式一個個去看來審計(jì)是不現(xiàn)實(shí)的，一方面如此大量的數(shù)據(jù)如果一個個去回放，將需要難以承受的人力與時間；另一方面通過人工去一個個查看是不準(zhǔn)確的，不能保證是否會有遺漏。
[0013]以上幾種技術(shù)，主要還是處于解決圖形化操作的記錄與回放這個層面，最后均需要通過人工回放“錄屏”信息來使用這些記錄的數(shù)據(jù)，也就是必須經(jīng)過人工回放才能定位到相應(yīng)的圖形化操作記錄，審計(jì)效率低。
[0014]另外也有一些技術(shù)，在記錄“錄屏/視頻回放”的基礎(chǔ)上進(jìn)行了一些技術(shù)改進(jìn)，也是希望解決對圖形化記錄結(jié)果的審計(jì)功能。例如，在專用的瘦客戶機(jī)的客戶端上提供“Mark”或者“Tag”等功能，當(dāng)操作某些圖形化操作時，由操作人員自行記錄內(nèi)容，舉例就是，如果通過圖形化終端修改一個用戶信息，就“Mark” 一下“修改用戶信息”，這樣以后就可以通過搜索這個信息來快速查詢和定位到相應(yīng)的操作內(nèi)容。這種方式需要在操作過程中人工標(biāo)記操作內(nèi)容，再通過人工標(biāo)記的操作內(nèi)容才能定位到相應(yīng)的圖形化操作記錄，審計(jì)效率低。

【發(fā)明內(nèi)容】

[0015]本發(fā)明實(shí)施例的目的是提供一種圖形化審計(jì)方法、裝置及電子設(shè)備，以提高圖形化操作審計(jì)的效率。
[0016]本發(fā)明實(shí)施例提供一種圖形化審計(jì)方法，包括:
[0017]獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容，所述操作內(nèi)容包括所述目標(biāo)設(shè)備上進(jìn)行圖形化顯示的圖形化顯示信息；
[0018]根據(jù)所述圖形化顯示信息，生成可索引編碼；
[0019]根據(jù)所述可索引編碼，定位所述圖形化顯示信息。
[0020]優(yōu)選地，所述獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容包括:
[0021]在一設(shè)備將一數(shù)據(jù)包通過所述客戶端與所述目標(biāo)服務(wù)器之間的網(wǎng)絡(luò)透明代理協(xié)議連接轉(zhuǎn)發(fā)給所述目標(biāo)服務(wù)器之前，從所述數(shù)據(jù)包中解析出所述操作內(nèi)容，其中，所述數(shù)據(jù)包由一客戶端根據(jù)用戶對所述目標(biāo)服務(wù)器的遠(yuǎn)程訪問請求信息生成并通過所述網(wǎng)絡(luò)透明代理協(xié)議連接發(fā)送給所述設(shè)備。
[0022]優(yōu)選地，所述圖形化顯示信息包括以像素表示的文本信息，所述可索引編碼包括字符編碼，所述根據(jù)所述圖形化顯示信息，生成可索引編碼包括:
[0023]將所述文本信息映射為標(biāo)識符號點(diǎn)陣；
[0024]將所述標(biāo)識符號點(diǎn)陣映射為所述字符編碼。
[0025]優(yōu)選地，所述根據(jù)所述可索引編碼，定位所述圖形化顯示信息包括:
[0026]對應(yīng)記錄所述可索引編碼和所述圖形化顯示信息；
[0027]在用戶選擇所述可索引編碼時，根據(jù)對應(yīng)記錄的所述可索引編碼和所述圖形化顯示信息，定位所述圖形化顯示信息。
[0028]優(yōu)選地，還包括:
[0029]在定位到所述圖形化顯示信息時，根據(jù)所述圖形化顯示信息，在屏幕上進(jìn)行圖形顯不O
[0030]本發(fā)明實(shí)施例還提供一種圖形化審計(jì)裝置，包括:
[0031]獲取模塊，用于獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容，所述操作內(nèi)容包括所述目標(biāo)設(shè)備上進(jìn)行圖形化顯示的圖形化顯示信息；
[0032]生成模塊，用于根據(jù)所述圖形化顯示信息，生成可索引編碼；
[0033]定位模塊，用于根據(jù)所述可索引編碼，定位所述圖形化顯示信息。
[0034]優(yōu)選地，所述獲取模塊包括:
[0035]解析單元，用于在一設(shè)備將一數(shù)據(jù)包通過所述客戶端與所述目標(biāo)服務(wù)器之間的網(wǎng)絡(luò)透明代理協(xié)議連接轉(zhuǎn)發(fā)給所述目標(biāo)服務(wù)器之前，從所述數(shù)據(jù)包中解析出所述操作內(nèi)容，其中，所述數(shù)據(jù)包由一客戶端根據(jù)用戶對所述目標(biāo)服務(wù)器的遠(yuǎn)程訪問請求信息生成并通過所述網(wǎng)絡(luò)透明代理協(xié)議連接發(fā)送給所述設(shè)備。
[0036]優(yōu)選地，所述圖形化顯示信息包括以像素表示的文本信息，所述可索引編碼包括字符編碼，所述生成模塊包括:
[0037]第一映射單元，用于將所述文本信息映射為標(biāo)識符號點(diǎn)陣；
[0038]第二映射單元，用于將所述標(biāo)識符號點(diǎn)陣映射為所述字符編碼。
[0039]優(yōu)選地，所述定位模塊包括:
[0040]記錄單元，用于對應(yīng)記錄所述可索引編碼和所述圖形化顯示信息；
[0041]定位單元，用于在用戶選擇所述可索引編碼時，根據(jù)對應(yīng)記錄的所述可索引編碼和所述圖形化顯示信息，定位所述圖形化顯示信息。
[0042]優(yōu)選地，還包括:
[0043]顯示模塊，用于在定位到所述圖形化顯示信息時，根據(jù)所述圖形化顯示信息，在屏幕上進(jìn)行圖形顯示。
[0044]本發(fā)明實(shí)施例還提供一種包括以上所述的圖形化審計(jì)裝置的電子設(shè)備。
[0045]從以上所述可以看出，本發(fā)明實(shí)施例至少具有如下有益效果:
[0046]不需要人工操作就能定位用戶圖形化操作內(nèi)容，提高了圖形化操作審計(jì)的效率。
【附圖說明】
[0047]圖1表示本發(fā)明實(shí)施例提供的一種圖形化審計(jì)方法的步驟流程圖；
[0048]圖2A表示堡皇機(jī)工作方式示意圖；
[0049]圖2B表示網(wǎng)絡(luò)透明代理(TProxy)轉(zhuǎn)發(fā)方式示意圖；
[0050]圖3A、圖3B分別表示采用錄屏方式進(jìn)行數(shù)據(jù)記錄和屏幕上還原中的示例圖；
[0051]圖3C、圖3D分別表示采用協(xié)議分析方式進(jìn)行數(shù)據(jù)記錄和屏幕上還原的示例圖；
[0052]圖4表示本發(fā)明實(shí)施例的較佳實(shí)施方式的搜索示例圖；
[0053]圖5表示本發(fā)明實(shí)施例提供的一種圖形化審計(jì)裝置的結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0054]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖及具體實(shí)施例對本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述。
[0055]圖1表示本發(fā)明實(shí)施例提供的一種圖形化審計(jì)方法的步驟流程圖，參照圖1，本發(fā)明實(shí)施例提供一種審計(jì)方法，包括如下步驟:
[0056]步驟1I，獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容，所述操作內(nèi)容包括所述目標(biāo)設(shè)備上進(jìn)行圖形化顯示的圖形化顯示信息；
[0057]步驟102，根據(jù)所述圖形化顯示信息，生成可索引編碼；
[0058]步驟103，根據(jù)所述可索引編碼，定位所述圖形化顯示信息。
[0059]可見，通過上述方式，不需要人工操作就能定位用戶圖形化操作內(nèi)容，提高了圖形化操作審計(jì)的效率。
[0060]其中，所述目標(biāo)設(shè)備例如:目標(biāo)服務(wù)器。
[0061]所述圖形化顯示信息例如:包括以像素表示的文本信息。所述文本信息例如英文字母、漢字、其他文字等信息。所述文本信息可以按照待在屏幕上每個像素位置顯示的像素值來表示，或者也可以按照畫圖指令的方式來表示。這里，畫圖指令例如:畫矩形框或以紅色填充等。所述可索引編碼例如:包括字符編碼。字符編碼例如:ANSI或GB2312等編碼。
[0062]對于所述圖形化顯示信息包括以像素表示的文本信息，所述可索引編碼包括字符編碼的情況，所述根據(jù)所述圖形化顯示信息，生成可索引編碼可包括:
[0063]將所述文本信息映射為標(biāo)識符號點(diǎn)陣；
[0064]將所述標(biāo)識符號點(diǎn)陣映射為所述字符編碼。
[0065]本發(fā)明實(shí)施例中，所述根據(jù)所述可索引編碼，定位所述圖形化顯示信息可包括:
[0066]對應(yīng)記錄所述可索引編碼和所述圖形化顯示信息；
[0067]在用戶選擇所述可索引編碼時，根據(jù)對應(yīng)記錄的所述可索引編碼和所述圖形化顯示信息，定位所述圖形化顯示信息。
[0068]這里，對于按照畫圖指令的方式來表示的情況，與按照待在屏幕上每個像素位置顯示的像素值來表示相比，可大量節(jié)約記錄的數(shù)據(jù)量，從而節(jié)約了審計(jì)所需的資源，不會影響服務(wù)器的性能和穩(wěn)定性。
[0069]本發(fā)明實(shí)施例中，為了支持回放，還可包括:
[0070]在定位到所述圖形化顯示信息時，根據(jù)所述圖形化顯示信息，在屏幕上進(jìn)行圖形顯不O
[0071]本發(fā)明實(shí)施例中，所述圖形化操作可以是用戶直接在目標(biāo)服務(wù)器上進(jìn)行，也可以是用戶在客戶端通過遠(yuǎn)程訪問目標(biāo)服務(wù)器的方式進(jìn)行。對于后一種情況，客戶端可以通過堡皇機(jī)進(jìn)行遠(yuǎn)程訪問，相應(yīng)地，所述操作內(nèi)容可以從堡皇機(jī)中獲取，而由于堡皇機(jī)與客戶端和服務(wù)器分別建立連接，需要在兩個連接之間進(jìn)行數(shù)據(jù)轉(zhuǎn)換，因而由此所獲得的操作內(nèi)容可能不夠完整和精確。有鑒于此，為了通過完全忠實(shí)地記錄客戶端和服務(wù)器之間傳輸?shù)膬?nèi)容，客戶端也可以通過具備網(wǎng)絡(luò)透明代理轉(zhuǎn)發(fā)功能的設(shè)備來遠(yuǎn)程訪問目標(biāo)服務(wù)器，則所述獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容可包括:
[0072]在一設(shè)備將一數(shù)據(jù)包通過所述客戶端與所述目標(biāo)服務(wù)器之間的網(wǎng)絡(luò)透明代理協(xié)議連接轉(zhuǎn)發(fā)給所述目標(biāo)服務(wù)器之前，從所述數(shù)據(jù)包中解析出所述操作內(nèi)容，其中，所述數(shù)據(jù)包由一客戶端根據(jù)用戶對所述目標(biāo)服務(wù)器的遠(yuǎn)程訪問請求信息生成并通過所述網(wǎng)絡(luò)透明代理協(xié)議連接發(fā)送給所述設(shè)備。
[0073]所述設(shè)備例如:網(wǎng)絡(luò)透明代理服務(wù)器。
[0074]為將本發(fā)明實(shí)施例闡述得更加清楚明白，下面提供本發(fā)明實(shí)施例的較佳實(shí)施方式。
[0075]本較佳實(shí)施方式涉及服務(wù)器遠(yuǎn)程管理與審計(jì)領(lǐng)域。
[0076]本較佳實(shí)施方式提供一種網(wǎng)絡(luò)環(huán)境下圖形化操作審計(jì)的方法。
[0077]對于【背景技術(shù)】中所闡述的前三種技術(shù)，作為某一事件的事后取證有一定的作用，但是對于圖形化操作內(nèi)容的自動識別與審計(jì)，事發(fā)時或者事發(fā)前就自動實(shí)時監(jiān)控識別與預(yù)警，事后快速搜索與定位，都沒有提供相應(yīng)的技術(shù)解決方案。
[0078]對于【背景技術(shù)】中所闡述的技術(shù)改進(jìn)，有一定的作用，但是也存在幾個問題:1、對于惡意違規(guī)，不忠實(shí)地進(jìn)行相應(yīng)記錄的操作人員不能記錄和及時發(fā)現(xiàn)，2、對于誤操作或者其他錯漏行為不能發(fā)現(xiàn)，3、對于未事行記錄的任意的或者未知事件無法進(jìn)行相應(yīng)的搜索與定位。
[0079]本較佳實(shí)施方式就是首先提供了一種方法來解決圖形化記錄的問題，然后對于采用了這種方法記錄的這些圖形化記錄數(shù)據(jù)，提供了一種高效的自動搜索、識別、定位與審計(jì)的方法。
[0080]簡單地概述就是，通過網(wǎng)絡(luò)透明代理的技術(shù)記錄圖形化操作內(nèi)容，動態(tài)協(xié)商加密協(xié)議從而實(shí)現(xiàn)協(xié)議的完整解析，然后將圖形化操作的數(shù)據(jù)如圖像、位置、鼠標(biāo)等信息，與可搜索的文字等信息相對應(yīng)與關(guān)聯(lián)，通過索引檢索預(yù)處理建立“行為分析數(shù)據(jù)庫”，從而實(shí)現(xiàn)圖形化操作的自動識別與審計(jì)。
[0081]這種技術(shù)能實(shí)現(xiàn)對未事先預(yù)定義的圖形操作行為快速識別、檢測與定位。例如，傳統(tǒng)字符操作方式下對于刪除文件操作的審計(jì)，就是查找“Del ”、“rm”等命令，而在圖形化的操作下，可能是鼠標(biāo)選中了某個文件，然后用鍵盤“Shift+Del ”無痕跡地刪除，這種組合方式的行為，在本較佳實(shí)施方式中，都可以簡單快速地查找、定位、實(shí)時告警，甚至阻斷其操作行為。
[0082]1、本較佳實(shí)施方式首先需要采用網(wǎng)絡(luò)透明代理技術(shù)進(jìn)行協(xié)議的完整記錄，主要是實(shí)現(xiàn)在解決加密協(xié)議記錄的前提下，保持原樣記錄協(xié)議內(nèi)容，這與“堡皇機(jī)”的工作方式有很大不同。
[0083]如圖2A所示，“堡皇機(jī)”是由客戶端向“堡皇機(jī)”發(fā)起連接，到“堡皇機(jī)”終結(jié)，再由“堡皇機(jī)”發(fā)起到服務(wù)器連接到服務(wù)器終結(jié)，共有兩條不同連接。對于這兩條連接里的內(nèi)容無法精確匹配與分析，因?yàn)槔碚撋蟻碚f，從客戶端到“堡皇機(jī)”采用協(xié)議A，而從“堡皇機(jī)”到服務(wù)器可以采用協(xié)議B，兩條連接可以是完全不同的協(xié)議。本較佳實(shí)施方式中的網(wǎng)絡(luò)透明代理技術(shù)與此有重大區(qū)別，對于同一條連接的內(nèi)容首先進(jìn)行忠實(shí)的記錄，然后才能進(jìn)行完整與精確的解析與分析?？蓞⒄請D2B。
[0084]本較佳實(shí)施方式中采用了網(wǎng)絡(luò)透明代理轉(zhuǎn)發(fā)方式進(jìn)行加密協(xié)議的協(xié)商，進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)與記錄，進(jìn)行數(shù)據(jù)包的分析與存儲。
[0085]2、本較佳實(shí)施方式中需要做的第二件事是將記錄內(nèi)容的以原方式還原。圖形化操作的內(nèi)容通常表現(xiàn)為屏幕上鼠標(biāo)的移動，畫面的更改，鍵盤的輸入輸出，另外還有一部分內(nèi)容包括音頻信號的傳輸、文件與數(shù)據(jù)的傳輸、剪貼板內(nèi)容等等。我們把這些內(nèi)容分為兩大部分，前面一部分為基本數(shù)據(jù)，后面一部分為擴(kuò)展數(shù)據(jù)，同時，擴(kuò)展數(shù)據(jù)中也可能包括有一部分是基本數(shù)據(jù)的延伸。
[0086]首先我們來看基本數(shù)據(jù)，這里還原內(nèi)容的方法與視頻播放或者錄屏播放有著顯著的不同。視頻或者錄屏播放不需要理解畫面的的含義，只需要根據(jù)記錄的數(shù)據(jù)，逐點(diǎn)在屏幕上畫像素，然后逐幀填滿畫面。而本較佳實(shí)施方式中的方法是記錄網(wǎng)絡(luò)數(shù)據(jù)包，分析協(xié)議，然后根據(jù)協(xié)議指令還原成為圖形化操作，因此記錄占用空間要少得多，高效得多，并且如果進(jìn)行詳細(xì)分析，能夠完全解析協(xié)議的含義。錄屏方式記錄的是每一幀畫面里點(diǎn)陣每一個點(diǎn)的像素、顏色信息等，而本較佳實(shí)施方式中是記錄的原始畫圖指令，例如，畫矩形框，以紅色填充，等等。以圖3A、3B所示為例，錄屏方式記錄的數(shù)據(jù)是像素1，I位置為黃色，1，2位置為黃色，I, 3位置為紅色，I, 4位置為藍(lán)色，I, 5位置為藍(lán)色，2，I位置為黃色......;相應(yīng)地，在屏幕上還原時，執(zhí)行在1，I位置畫黃色的點(diǎn)，在1，2位置畫黃色的點(diǎn)，在1，3位置畫紅色的點(diǎn)，在1，4位置畫藍(lán)色的點(diǎn)，在1，5位置畫藍(lán)色的點(diǎn)，在2，I位置畫黃色的點(diǎn)，......。而對應(yīng)本較佳實(shí)施方式中的協(xié)議分析方式，參照圖3C、3D，所記錄的基本數(shù)據(jù)則是像素1，I位置到2，2位置畫黃色矩形，在1，3位置到2，3位置畫紅色矩形，在1，4位置到7，5位置畫藍(lán)色矩形，在3，I位置到7，3位置畫紅色矩形，這種方式數(shù)據(jù)量小。圖3B中的擴(kuò)展數(shù)據(jù)與基本數(shù)據(jù)是同步的，但不一定在屏幕上顯示出來。圖3B中，在屏幕上還原時，將擴(kuò)展數(shù)據(jù)與基本數(shù)據(jù)進(jìn)行匹配和索引預(yù)處理，將圖形化的模擬數(shù)據(jù)進(jìn)行數(shù)字化處理，記入行為分析數(shù)據(jù)庫。
[0087]然后我們來看擴(kuò)展數(shù)據(jù)，在前面提到的基本數(shù)據(jù)處理中主要是用來畫圖等，而擴(kuò)展數(shù)據(jù)并不一定全部在屏幕上展現(xiàn)出來，我們把傳輸?shù)臄U(kuò)展數(shù)據(jù)稱為一個特殊通道。在特殊通道里含有大量的信息，這些信息與屏幕畫面是同步的，根據(jù)這些信息分析與，能夠?qū)U(kuò)展數(shù)據(jù)實(shí)現(xiàn)與基礎(chǔ)數(shù)據(jù)畫面的關(guān)聯(lián)，從而可以實(shí)現(xiàn)將屏幕上顯示的模擬畫面轉(zhuǎn)變?yōu)閿?shù)字化的信息，便于檢索定位等。因此在這里，我們將畫面分析和處理回放數(shù)據(jù)的同時，要進(jìn)行索引預(yù)處理，將模擬的畫面信息轉(zhuǎn)變?yōu)樘厥馔ǖ乐型綌U(kuò)展數(shù)據(jù)所表示的，能用數(shù)字化描述的信息。
[0088]進(jìn)行了完整充分的協(xié)議分析與精確匹配后，擴(kuò)展數(shù)據(jù)雖然不在屏幕畫面上以圖形化方式展現(xiàn)出來，但是這些數(shù)據(jù)可以對應(yīng)和預(yù)處理索引信息，提供給后續(xù)審計(jì)分析使用。
[0089]3、這一部分講述如何實(shí)現(xiàn)圖形化操作的搜索、查詢、定位等審計(jì)。以目前網(wǎng)絡(luò)環(huán)境下圖形化操作的主流協(xié)議RDP(Remote Desktop Protocol，微軟的遠(yuǎn)程桌面協(xié)議)為例，通過在第2部分中對協(xié)議底層的解析與預(yù)處理，我們可以做到，以像素表示的英文字母、漢字、其他文字等文本信息，通過某種方式進(jìn)行編碼，然后將這些編碼放入一個標(biāo)識符號(Glyph)的二進(jìn)制數(shù)據(jù)中，所有的Glyph存放在一個緩沖區(qū)中，以后每次繪制文字時，通過改引用改緩沖區(qū)的索引來找到該圖形。
[0090]于是，根據(jù)這種方式的逆變化，我們實(shí)現(xiàn)了一種匹配方法，可以快速把每個Glyph還原為對應(yīng)該Glyph字符的編碼:例如ANSI編碼或GB2312編碼；經(jīng)過以上方式處理后，在模擬的圖形會話記錄中，同步對應(yīng)的即可出現(xiàn)大量數(shù)字化的可供搜索的文本內(nèi)容。以圖4所示為例，將“菜單”兩字的像素映射為Glyph點(diǎn)陣，再將Glyph點(diǎn)陣映射為ANSI編碼或GB2312等編碼，再將映射為的編碼作為用像素表示的“菜單”的索引。
[0091]按照本較佳實(shí)施方式中的方法，對于圖形協(xié)議中Glyph進(jìn)行相應(yīng)的匹配與索引，可以快速查找、定位圖形化操作的內(nèi)容。
[0092]本較佳實(shí)施方式中，充分利用現(xiàn)有圖形化網(wǎng)絡(luò)操作協(xié)議中數(shù)據(jù)傳輸?shù)姆椒?，提出一種從圖形到文字的反向映射方法。采用擴(kuò)展數(shù)據(jù)中的Glyph進(jìn)行圖象對應(yīng)文字的編碼索弓丨，從而實(shí)現(xiàn)圖形操作審計(jì)，不但可以圖形回放，而且可通過文字關(guān)鍵字方式的搜索、定位；網(wǎng)絡(luò)透明代理是指完全忠實(shí)記錄原客戶端和服務(wù)器之間傳輸?shù)膬?nèi)容，本方式記錄的數(shù)據(jù)可完全重現(xiàn)當(dāng)時所有操作行為，這樣才能保證記錄所有原始Glyph數(shù)據(jù)，才可以實(shí)現(xiàn)對Glyph完成圖形到文字的映射；記錄數(shù)據(jù)協(xié)議原始內(nèi)容而不是屏幕內(nèi)容，然后通過協(xié)議分析還原出屏幕內(nèi)容，記錄的數(shù)據(jù)量比“錄屏”方式要小很多，是圖形化操作的可審計(jì)前提。
[0093]本較佳實(shí)施方式的技術(shù)優(yōu)點(diǎn)包括但不限于:
[0094]1、采用擴(kuò)展數(shù)據(jù)中的Glyph進(jìn)行圖象對應(yīng)文字的編碼索引，從而實(shí)現(xiàn)圖形操作審計(jì)，不但可以圖形回放，而且可通過文字關(guān)鍵字方式的搜索、定位，與只能回放不能搜索的“錄屏”方式相比有先進(jìn)性，尚無其他圖形化審計(jì)方法可比。另外與【背景技術(shù)】中提到“Mark”操作內(nèi)容，然后再進(jìn)行搜索相比，此方法不需要事先進(jìn)行任何定義與記錄，可直接實(shí)現(xiàn)RDP、ICA等圖形化操作協(xié)議下的搜索。
[0095]2、與“堡皇機(jī)”方式的記錄與回放相比，本較佳實(shí)施方式記錄的數(shù)據(jù)更為全面和忠于原始性，這樣才能保證還原Glyph數(shù)據(jù)與編碼的對應(yīng)關(guān)系。
[0096]3、與“錄屏”方式的圖形化操作審計(jì)相比，本較佳實(shí)施方式記錄的數(shù)據(jù)量要小很多，還原出來的內(nèi)容是操作時的真實(shí)在現(xiàn)。并且不需要在服務(wù)器上安裝任何軟件，不會影響服務(wù)器的性能和穩(wěn)定性。
[0097]圖5表示本發(fā)明實(shí)施例提供的一種圖形化審計(jì)裝置的結(jié)構(gòu)框圖，參照圖5，本發(fā)明實(shí)施例還提供一種圖形化審計(jì)裝置，包括:
[0098]獲取模塊501，用于獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容，所述操作內(nèi)容包括所述目標(biāo)設(shè)備上進(jìn)行圖形化顯示的圖形化顯示信息；
[0099]生成模塊502，用于根據(jù)所述圖形化顯示信息，生成可索引編碼；
[0100]定位模塊503，用于根據(jù)所述可索引編碼，定位所述圖形化顯示信息。
[0101]可見，通過上述方式，不需要人工操作就能定位用戶圖形化操作內(nèi)容，提高了圖形化操作審計(jì)的效率。
[0102]本發(fā)明實(shí)施例中，所述獲取模塊501可包括:
[0103]解析單元，用于在一設(shè)備將一數(shù)據(jù)包通過所述客戶端與所述目標(biāo)服務(wù)器之間的網(wǎng)絡(luò)透明代理協(xié)議連接轉(zhuǎn)發(fā)給所述目標(biāo)服務(wù)器之前，從所述數(shù)據(jù)包中解析出所述操作內(nèi)容，其中，所述數(shù)據(jù)包由一客戶端根據(jù)用戶對所述目標(biāo)服務(wù)器的遠(yuǎn)程訪問請求信息生成并通過所述網(wǎng)絡(luò)透明代理協(xié)議連接發(fā)送給所述設(shè)備。
[0104]本發(fā)明實(shí)施例中，所述圖形化顯示信息可包括以像素表示的文本信息，所述可索引編碼可包括字符編碼，所述生成模塊502可包括:
[0105]第一映射單元，用于將所述文本信息映射為標(biāo)識符號點(diǎn)陣；
[0106]第二映射單元，用于將所述標(biāo)識符號點(diǎn)陣映射為所述字符編碼。
[0107]本發(fā)明實(shí)施例中，所述定位模塊503可包括:
[0108]記錄單元，用于對應(yīng)記錄所述可索引編碼和所述圖形化顯示信息；
[0109]定位單元，用于在用戶選擇所述可索引編碼時，根據(jù)對應(yīng)記錄的所述可索引編碼和所述圖形化顯示信息，定位所述圖形化顯示信息。
[0110]本發(fā)明實(shí)施例中，還可包括:
[0111]顯示模塊，用于在定位到所述圖形化顯示信息時，根據(jù)所述圖形化顯示信息，在屏幕上進(jìn)行圖形顯示。
[0112]本發(fā)明實(shí)施例還提供一種電子設(shè)備，所述電子設(shè)備包括以上所述的圖形化審計(jì)裝置。所述電子設(shè)備例如:可以網(wǎng)絡(luò)透明代理服務(wù)器。
【主權(quán)項(xiàng)】
1.一種圖形化審計(jì)方法，其特征在于，包括: 獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容，所述操作內(nèi)容包括所述目標(biāo)設(shè)備上進(jìn)行圖形化顯示的圖形化顯示信息； 根據(jù)所述圖形化顯示信息，生成可索引編碼； 根據(jù)所述可索引編碼，定位所述圖形化顯示信息。2.根據(jù)權(quán)利要求1所述的圖形化審計(jì)方法，其特征在于，所述獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容包括: 在一設(shè)備將一數(shù)據(jù)包通過所述客戶端與所述目標(biāo)服務(wù)器之間的網(wǎng)絡(luò)透明代理協(xié)議連接轉(zhuǎn)發(fā)給所述目標(biāo)服務(wù)器之前，從所述數(shù)據(jù)包中解析出所述操作內(nèi)容，其中，所述數(shù)據(jù)包由一客戶端根據(jù)用戶對所述目標(biāo)服務(wù)器的遠(yuǎn)程訪問請求信息生成并通過所述網(wǎng)絡(luò)透明代理協(xié)議連接發(fā)送給所述設(shè)備。3.根據(jù)權(quán)利要求1所述的圖形化審計(jì)方法，其特征在于，所述圖形化顯示信息包括以像素表示的文本信息，所述可索引編碼包括字符編碼，所述根據(jù)所述圖形化顯示信息，生成可索引編碼包括: 將所述文本信息映射為標(biāo)識符號點(diǎn)陣； 將所述標(biāo)識符號點(diǎn)陣映射為所述字符編碼。4.根據(jù)權(quán)利要求1所述的圖形化審計(jì)方法，其特征在于，所述根據(jù)所述可索引編碼，定位所述圖形化顯示信息包括: 對應(yīng)記錄所述可索引編碼和所述圖形化顯示信息； 在用戶選擇所述可索引編碼時，根據(jù)對應(yīng)記錄的所述可索引編碼和所述圖形化顯示信息，定位所述圖形化顯示信息。5.根據(jù)權(quán)利要求1所述的圖形化審計(jì)方法，其特征在于，還包括: 在定位到所述圖形化顯示信息時，根據(jù)所述圖形化顯示信息，在屏幕上進(jìn)行圖形顯示。6.一種圖形化審計(jì)裝置，其特征在于，包括: 獲取模塊，用于獲取用戶當(dāng)前對目標(biāo)設(shè)備進(jìn)行圖形化操作的操作內(nèi)容，所述操作內(nèi)容包括所述目標(biāo)設(shè)備上進(jìn)行圖形化顯示的圖形化顯示信息； 生成模塊，用于根據(jù)所述圖形化顯示信息，生成可索引編碼； 定位模塊，用于根據(jù)所述可索引編碼，定位所述圖形化顯示信息。7.根據(jù)權(quán)利要求6所述的圖形化審計(jì)裝置，其特征在于，所述獲取模塊包括: 解析單元，用于在一設(shè)備將一數(shù)據(jù)包通過所述客戶端與所述目標(biāo)服務(wù)器之間的網(wǎng)絡(luò)透明代理協(xié)議連接轉(zhuǎn)發(fā)給所述目標(biāo)服務(wù)器之前，從所述數(shù)據(jù)包中解析出所述操作內(nèi)容，其中，所述數(shù)據(jù)包由一客戶端根據(jù)用戶對所述目標(biāo)服務(wù)器的遠(yuǎn)程訪問請求信息生成并通過所述網(wǎng)絡(luò)透明代理協(xié)議連接發(fā)送給所述設(shè)備。8.根據(jù)權(quán)利要求6所述的圖形化審計(jì)裝置，其特征在于，所述圖形化顯示信息包括以像素表示的文本信息，所述可索引編碼包括字符編碼，所述生成模塊包括: 第一映射單元，用于將所述文本信息映射為標(biāo)識符號點(diǎn)陣； 第二映射單元，用于將所述標(biāo)識符號點(diǎn)陣映射為所述字符編碼。9.根據(jù)權(quán)利要求6所述的圖形化審計(jì)裝置，其特征在于，所述定位模塊包括: 記錄單元，用于對應(yīng)記錄所述可索引編碼和所述圖形化顯示信息； 定位單元，用于在用戶選擇所述可索引編碼時，根據(jù)對應(yīng)記錄的所述可索引編碼和所述圖形化顯示信息，定位所述圖形化顯示信息。10.根據(jù)權(quán)利要求6所述的圖形化審計(jì)裝置，其特征在于，還包括: 顯示模塊，用于在定位到所述圖形化顯示信息時，根據(jù)所述圖形化顯示信息，在屏幕上進(jìn)行圖形顯示。11.一種電子設(shè)備，其特征在于，包括如權(quán)利要求6至10中任一權(quán)利要求所述的圖形化審計(jì)裝置。
【文檔編號】H04L29/06GK105847222SQ201510019074
【公開日】2016年8月10日
【申請日】2015年1月14日
【發(fā)明人】李杰毅, 徐良, 何曉明, 包森成, 吳天東
【申請人】中國移動通信集團(tuán)浙江有限公司