本發(fā)明提供了一種基于視頻流的windows遠(yuǎn)程登陸協(xié)議入侵檢測方法及系統(tǒng)，通過采取視頻推流的方式，將本地保存的文件以直播的形式傳輸?shù)椒?wù)器上，通過推流將視頻數(shù)據(jù)傳輸?shù)椒?wù)器上，采用centos操作系統(tǒng)上安裝nginx作容器，作為核心的服務(wù)器，采用rtmp協(xié)議，作為拉流端，在視頻數(shù)據(jù)于windows推流端產(chǎn)生之后可作保存。利用本發(fā)明的方法，可以實時上傳保存錄屏數(shù)據(jù)，防止被入侵者刪除，同時可以及時錄制視頻，控制錄制和停止錄制視頻的時間，做到讓入侵者察覺不到的同時成功取證，節(jié)約錄屏?xí)r的資源。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于視頻流的windows遠(yuǎn)程登陸協(xié)議入侵檢測方法及系統(tǒng)。

背景技術(shù)

目前針對windows錄屏無較好的觸發(fā)方式，只能通過人工手動點擊程序操作，且往往需要一直開啟錄屏程序，對資源消耗很大，無法在入侵者通過rdp協(xié)議進(jìn)入遠(yuǎn)程桌面的瞬間進(jìn)行屏幕錄制，以及在入侵者斷開rdp協(xié)議，退出遠(yuǎn)程桌面的瞬間同時終止屏幕錄制。

同時現(xiàn)有視頻錄制方案都是保存為mp4或avi格式，在錄制過程中，若被非正常終止，錄制的視頻文件將損壞，無法播放。現(xiàn)有的錄制方案都是將錄制文件保存在本地，錄制完成后上傳到服務(wù)端，無法實時同步到服務(wù)端，若錄制的文件被入侵者發(fā)現(xiàn)，將導(dǎo)致被刪除，無法起到入侵檢測，事件回放作用。

發(fā)明內(nèi)容

針對以上現(xiàn)有問題，本發(fā)明提出一種基于視頻流windows遠(yuǎn)程登陸協(xié)議入侵檢測方法及系統(tǒng)，采用調(diào)用計劃任務(wù)程序，自定義創(chuàng)建計劃，與windows遠(yuǎn)程連接打開與否建立聯(lián)系，做到及時錄制視頻的同時防止產(chǎn)生資源浪費，同時采取視頻推流的方式，將本地保存的文件以直播的形式傳輸?shù)椒?wù)器上，避免文件被損壞無法播放或者被入侵者刪除。

本發(fā)明的原理是：采用調(diào)用計劃任務(wù)程序，自定義創(chuàng)建計劃，與windows遠(yuǎn)程連接打開與否建立聯(lián)系。只要入侵者通過rdp協(xié)議遠(yuǎn)程連接windows端，則觸動計劃任務(wù)開啟視頻錄制程序，遠(yuǎn)程連接端口斷開連接時，系統(tǒng)自動觸發(fā)計劃任務(wù)，立即停止視頻錄制程序，通過推流將視頻數(shù)據(jù)傳輸?shù)椒?wù)器上；采用centos操作系統(tǒng)上安裝nginx作容器，作為核心的服務(wù)器，采用rtmp協(xié)議，作為拉流端，在視頻數(shù)據(jù)于windows推流端產(chǎn)生之后可作保存。

為達(dá)成上述功能，本發(fā)明所采用的優(yōu)選技術(shù)方案如下：

優(yōu)選技術(shù)方案一種基于視頻流windows遠(yuǎn)程登陸協(xié)議入侵檢測方法，所述該方法包括以下步驟：

S01、配置nginx拉流端賬戶，下載rtmp-module，安裝nginx服務(wù)器，配置niginx，添加rtmp服務(wù)，配置目錄權(quán)限，啟動nginx服務(wù)器，從流媒體服務(wù)器獲取音頻或視頻數(shù)據(jù)，配置實現(xiàn)拉流的模塊功能；

S02、配置windows推流端，下載配置錄屏軟件，安裝screen-capture-recorder，下載安裝ffmpeg；

S03、創(chuàng)建任務(wù)計劃程序，控制錄屏和停止錄屏的時機(jī)；

S04、開始執(zhí)行任務(wù)計劃，所述任務(wù)計劃是根據(jù)程序進(jìn)行的自動化作業(yè)；

S05、系統(tǒng)中的計劃程序判定入侵者通過遠(yuǎn)程連接windows沙箱端，則觸動計劃任務(wù)，沙箱端開啟視頻錄制程序，將屏幕上的動作錄制保存到硬盤上，并轉(zhuǎn)化為流數(shù)據(jù)，流數(shù)據(jù)通過RTMP協(xié)議傳送到拉流端；

S06、在開始錄屏之后判斷遠(yuǎn)程連接的狀態(tài)是通過讀取windows日志記錄實現(xiàn)的，讀取的日志記錄為：Microsoft-Windows-TerminalServices-LocalSessionManager/Operational，日志的來源是windows自帶的服務(wù)，TerminalServices-LocalSessionManager，實時地判斷遠(yuǎn)程連接與否的狀態(tài)，3389端口連接的狀態(tài)是記錄事件id為25，斷開為24，則判斷遠(yuǎn)程連接斷開；