【技術實現步驟摘要】
本申請屬于計算機,尤其涉及一種遠程桌面實時監測方法、系統、設備和介質。
技術介紹
1、隨著信息技術的飛速發展,計算機安全已成為全球關注的重要議題。特別是隨著互聯網的普及和云計算技術的發展,計算機作為個人信息存儲和業務處理的關鍵載體,其安全性面臨著日益嚴重的挑戰,其中尤以未經授權的遠程桌面控制攻擊最為突出。這類攻擊通過惡意軟件、漏洞利用等方式,使攻擊者能夠在未經用戶知情或同意的情況下,遠程操控目標計算機系統,竊取敏感信息、植入木馬程序或執行其他惡意行為。因此,如何有效檢測計算機是否被遠程桌面控制,成為當前網絡安全領域亟待解決的重要問題。
2、現有技術中,如何有效檢測計算機是否被遠程桌面控制,通常包括以下兩種方案:(一)基于系統日志分析的檢測方法,主要通過收集和分析操作系統的日志信息,來檢測計算機是否被遠程桌面控制。該方法通常包括以下幾個步驟:首先,收集操作系統、應用程序以及網絡服務等產生的日志信息;然后,利用日志分析工具對收集到的日志進行解析和過濾,提取與遠程桌面控制相關的特征;最后,通過對比分析或機器學習等方法,判斷計算機是否存在被遠程桌面控制的情況。(二)基于網絡流量監控的檢測方法,通過監控網絡數據包的傳輸情況,來發現異常的網絡連接和遠程桌面控制行為。該方法通常利用網絡監控工具對網絡流量進行實時捕獲和分析,通過識別特定的網絡協議和數據包特征,來判斷是否存在遠程桌面控制行為。
3、上述兩種方法中,方法(一)雖然能夠較為準確地檢測出遠程桌面控制行為,但需要對系統日志進行深入分析和處理,對技術和人員要求較高且
技術實現思路
1、本申請實施例提供了一種遠程桌面實時監測方法、系統、設備和介質,可以解決上述現有技術問題之一。
2、第一方面,本申請實施例提供了一種遠程桌面實時監測方法,包括:
3、采用事件鉤子技術進行事件監聽,通過預設事件回調函數響應每一個事件并返回監聽數據,其中,所述事件包括鍵盤按鍵操作、鼠標按下、鼠標松開、鼠標移動和鼠標點擊;
4、對所述監聽數據進行特性行為分析,初步判斷每個所述事件的來源類型,所述來源類型包括本機用戶事件和遠程桌面控制事件;
5、對所述監聽數據進行數據處理,生成數據包;
6、采用事件循環的方法,對每個所述數據包對應的事件進行二次判斷,獲得遠程控制結果;
7、基于所述遠程控制結果,發出預警提示,將監測預警數據上傳至后臺服務,所述監測預警數據為監測過程中產生的數據。
8、進一步的,所述方法應用于監測預警設備;
9、在采用事件鉤子技術進行事件監聽,通過預設事件回調函數響應每一個事件并返回監聽數據之前,包括:
10、將所述監測預警設備安裝于計算機設備,初始化所述計算機設備的運行環境,啟動所述計算機設備的后臺服務進程。
11、進一步的,所述對所述監聽數據進行特性行為分析,初步判斷每個所述事件的來源類型,所述來源類型包括本機用戶事件和遠程桌面控制事件,包括:
12、基于預設單位時間閾值,對多個所述監聽數據進行預處理,去除干擾性監聽數據,獲得預處理監聽數據,所述干擾性監聽數據為無效或者重復的監聽數據;
13、將多個所述預處理監聽數據對應的事件添加至預設事件序列,所述預處理監聽數據包括事件類型、鼠標數據、鍵盤數據、事件注入標記數據和事件產生時間;
14、判斷所述預設事件序列中的多個事件的所述事件注入標記數據是否滿足預設注入事件標記值,所述預設注入事件標記值包括遠程鼠標標記值和遠程鍵盤標記值;
15、若滿足所述預設注入事件標記值,則可初步判斷所述事件的來源類型為遠程桌面控制事件;
16、若不滿足所述預設注入事件標記值,則說明所述事件的來源類型為本機用戶事件。
17、進一步的,所述將多個所述預處理監聽數據對應的事件添加至預設事件序列,包括:
18、將待添加的事件標記為新事件,獲取所述新事件的事件產生時間;
19、計算所述新事件的事件產生時間與所述預設事件序列中的最后一個事件的事件產生時間之間的時間差;
20、若所述時間差小于預設事件時間閾值,則將所述新事件添加至所述預設事件序列;
21、若所述事件差大于預設事件時間閾值,則清空所述預設事件序列中的事件,再將所述新事件添加至所述預設事件序列。
22、進一步的,所述對所述監聽數據進行數據處理中的監聽數據為添加至所述預設事件序列的事件對應的預處理監聽數據;
23、所述對所述監聽數據進行數據處理,生成數據包,包括:
24、對所述預處理監聽數據進行解析,獲得關鍵變量數據,所述關鍵變量數據包括事件類型、按鍵碼、事件注入標記數據和事件產生時間;
25、設置注入字段,基于所述事件注入標記數據,確定所述注入字段的字段值,所述注入字段用于標識所述事件的來源類型;
26、將所述事件類型、所述按鍵碼、所述注入字段和所述事件產生時間編譯構建為數據包,所述數據包的數據格式為json格式,所述事件類型包括鼠標點擊類型、鼠標按下類型、鼠標移動類型和鍵盤按鍵類型。
27、進一步的,所述預設事件序列中的每一個事件對應一個數據包;
28、所述采用事件循環的方法,對每個所述數據包對應的事件進行二次判斷,獲得遠程控制結果,包括:
29、判斷是否開啟軟鍵盤設置,若開啟軟鍵盤設置,則觸發第一忽略事件,所述第一忽略事件為忽略所述軟鍵盤開啟狀態下的所有事件;
30、判斷是否發生本地鼠標點擊事件,若發生本地鼠標點擊事件,則觸發第二忽略事件,所述第二忽略事件為忽略在預設忽略時間閾值下產生的遠程桌面控制事件;
31、判斷是否發生觸摸屏事件,若發生觸摸屏事件,則觸發第三忽略事件,所述第三忽略事件為忽略在預設忽略事件閾值下所述觸摸屏事件對應的遠程桌面控制事件;
32、基于所述第一忽略事件、所述第二忽略事件和所述第三忽略事件,獲得所述預設事件序列中的最終事件;
33、根據標記字段的字段值,判斷所述最終事件是否為遠程桌面控制事件;
34、若存在多個所述最終事件為遠程桌面控制事件,則說明當前計算機被遠程桌面控制,生成遠程控制結果。
35、進一步的,所述發出預警提示的方式為彈出桌面彈窗提示,所述彈窗提示寫明相關遠程桌面控制事項;
36、所述監測預警數據包括數據包、遠程控制結果以及監測預警設備和計算機設備的基礎信息;
37、在將監測預警數據上傳至后臺服務之前,包括:采用接口簽名加密方法以及字節碼加密方法,對所述監測預警數據進行加密。本文檔來自技高網...
【技術保護點】
1.一種遠程桌面實時監測方法,其特征在于,包括:
2.如權利要求1所述的方法,其特征在于,所述方法應用于監測預警設備;
3.如權利要求1所述的方法,其特征在于,所述對所述監聽數據進行特性行為分析,初步判斷每個所述事件的來源類型,所述來源類型包括本機用戶事件和遠程桌面控制事件,包括:
4.如權利要求3所述的方法,其特征在于,所述將多個所述預處理監聽數據對應的事件添加至預設事件序列,包括:
5.如權利要求3所述的方法,其特征在于,所述對所述監聽數據進行數據處理中的監聽數據為添加至所述預設事件序列的事件對應的預處理監聽數據;
6.如權利要求5所述的方法,其特征在于,所述預設事件序列中的每一個事件對應一個數據包;
7.如權利要求2所述的方法,其特征在于,所述發出預警提示的方式為彈出桌面彈窗提示,所述彈窗提示寫明相關遠程桌面控制事項;
8.一種遠程桌面實時監測系統,其特征在于,包括:
9.一種計算機設備,包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器上運行的計算機程序,其特征在于,所述
10.一種計算機可讀存儲介質,所述計算機可讀存儲介質存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1至7任一項所述的方法。
...【技術特征摘要】
1.一種遠程桌面實時監測方法,其特征在于,包括:
2.如權利要求1所述的方法,其特征在于,所述方法應用于監測預警設備;
3.如權利要求1所述的方法,其特征在于,所述對所述監聽數據進行特性行為分析,初步判斷每個所述事件的來源類型,所述來源類型包括本機用戶事件和遠程桌面控制事件,包括:
4.如權利要求3所述的方法,其特征在于,所述將多個所述預處理監聽數據對應的事件添加至預設事件序列,包括:
5.如權利要求3所述的方法,其特征在于,所述對所述監聽數據進行數據處理中的監聽數據為添加至所述預設事件序列的事件對應的預處理監聽數據;
6.如權利要求5所述的方...
【專利技術屬性】
技術研發人員:謝福成,楊件,方梓帆,楊子鋒,
申請(專利權)人:廣東南方網絡信息科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。