1.一種基于視頻流的windows遠程登陸協(xié)議入侵檢測方法，其特征在于，該方法包括以下步驟：

S01、配置nginx拉流端賬戶，下載rtmp-module，安裝nginx服務器，添加rtmp服務，配置目錄權(quán)限，啟動nginx服務器，從流媒體服務器獲取音頻或視頻數(shù)據(jù)，配置實現(xiàn)拉流的模塊功能；

S02、配置windows推流端，下載配置錄屏軟件，安裝screen-capture-recorder，下載安裝ffmpeg；

S03、創(chuàng)建任務計劃程序，控制錄屏和停止錄屏的時機；

S04、開始執(zhí)行任務計劃，所述任務計劃是根據(jù)程序進行的自動化作業(yè)；

S05、系統(tǒng)中的計劃程序判定入侵者通過遠程連接windows沙箱端，則觸動計劃任務，沙箱端開啟視頻錄制程序，將屏幕上的動作錄制保存到硬盤上，并轉(zhuǎn)化為流數(shù)據(jù)，流數(shù)據(jù)通過RTMP協(xié)議傳送到拉流端；

S06、在開始錄屏之后判斷遠程連接的狀態(tài)是通過讀取windows日志記錄實現(xiàn)的，讀取的日志記錄為：Microsoft-Windows-TerminalServices-LocalSessionManager/Operational，日志的來源是windows自帶的服務，TerminalServices-LocalSessionManager，實時地判斷遠程連接與否的狀態(tài)，3389端口連接的狀態(tài)是記錄事件id為25，斷開為24，則判斷遠程連接斷開；

S07、判斷遠程連接端口斷開連接時，系統(tǒng)自動觸發(fā)計劃任務，關(guān)閉屏幕錄制單元停止視頻錄制程序。