基于用戶行為的桌面屏幕審計方法

基于用戶行為的桌面屏幕審計方法
【技術領域】
[0001]本發明涉及屏幕涉及技術領域，特別是一種基于用戶行為的桌面屏幕審計方法。
【背景技術】
[0002]屏幕審計技術應用于記錄終端用戶對桌面的操作信息，當出現安全問題時，可讓管理員有據可查。目前的屏幕審計技術大多采用準實時截取計算機桌面的屏幕，然后壓縮圖片發送給監控端的方式，這種實現機制會導致海量的截圖數據，對網絡帶寬和存儲造成極大的負載，并且監控端得到的數據只能以時間進行分類，當出現安全事故時，管理員面對海量的數據，無法快速找出出現問題時的錄像。

【發明內容】

[0003]為了解決上述問題，本發明實現了一個按需截屏、對截屏數據進行有效歸類、提升管理員檢索的效率的桌面屏幕錄審計方法。
[0004]本發明采用以下方案實現:一種基于用戶行為的桌面屏幕審計方法，其特征在于包括以下步驟:
步驟1:審計客戶端啟動后，會安裝鉤子，用于捕捉用戶的操作行為；所述審計客戶端安裝在用戶桌面系統上，用于監控用戶的行為，并將數據上報給審計服務器；
步驟2:審計客戶端讀取配置，該配置包括:鼠標觸發截屏的最短間隔、鍵盤觸發截屏的最短間隔、鍵盤普通鍵特殊鍵及組合鍵的觸發截屏規則、截屏圖片為黑白還是彩色；
步驟3:用戶正常辦公時，所述鉤子攔截到用戶的有效操作，觸發截屏，并進行圖片壓縮；截圖模塊記錄當前是鼠標點擊還是鍵盤輸入，如果是鼠標點擊則記錄鼠標點擊的位置，以便管理員查看錄像時觀察到用戶在哪里點擊鼠標，并同時記錄當前用戶會話ID，進程名稱，窗口標題及當前時間；
步驟4:審計客戶端上傳步驟3的圖片和記錄的信息；
步驟5:審計服務器端接收審計客戶端上傳的數據，保存圖片及圖片信息進數據庫；步驟結束。
[0005]在本發明一實施例中，還包括管理員查看數據，具體包括以下步驟:
步驟2 1:當管理員需要查看數據時，通過服務器根據用戶會話，時間，進程名稱和窗口標題，篩選出相應的屏幕數據；
步驟2 2:當管理員需要播放錄像時，服務器將根據步驟2 I的篩選條件，還原屏幕圖片及附帶的文本信息，并按順序播放所述圖片和數據，實現“錄像”播放。
[0006]在本發明一實施例中，所述鉤子包括鼠標鉤子、鍵盤鉤子和消息鉤子。
[0007]在本發明一實施例中，所述圖片壓縮的策略為:將彩色圖片則轉換為黑白圖片。
[0008]在本發明一實施例中，所述的截屏包括按需截屏；該按需截屏包括:A)對用戶當前的操作進行判斷，只對可能產生審計風險的用戶操作進行截屏；B)對用戶當前操作的進程進行判斷，只對會產生審計風險的應用程序進行截屏，當用戶在使用某些不會產生審計風險的應用程序時，則不會進行截屏。
[0009]在本發明一實施例中，所述的截屏還包括截屏文本信息獲取:即截屏時該審計客戶端還會獲取更多關于圖片的附帶信息，并能根據圖片的附帶信息進行分類，實現按會話、應用程序、同一窗口標題來分別審計，管理員對可疑的風險操作直接審計，無需按時間從頭到尾觀看審計圖片。
[0010]在本發明一實施例中，所述的審計服務器端具備還原播放:即該審計服務器端還原播放屏幕錄像時，能根據分類，時間，最后按順序播放各張完整截屏，實現的“錄像”數據的播放。
[0011]本發明的有益效果是:
1、同類軟件一般采用準實時截屏，按每秒截屏一次，一天8個小時的截屏次數近3萬次，而本發明在采用安裝鉤子來獲取用戶所進行的可疑風險操作正常OA辦公環境下測試約為4000次，節約大量的存儲和網絡帶寬資源；
2、管理員審計截圖圖片時，可根據會話、應用程序和操作內容來審計用戶的操作，管理員對可疑的風險操作直接審計，無需按時間從頭到尾觀看審計圖片，提高審計效率，例如管理員懷疑某個員工通過某聊天工具將機密文件外發，則可以只檢索該聊天軟件相關的截屏。
【附圖說明】
[0012]圖1是本發明方法流程示意圖。
【具體實施方式】
[0013]為使本發明的上述目的、特征和優點能夠更為明顯易懂，下面結合附圖對本發明的【具體實施方式】做詳細的說明。
[0014]在以下描述中闡述了具體細節以便于充分理解本發明。但是本發明能夠以多種不同于在此描述的其它方式來實施，本領域技術人員可以在不違背本發明內涵的情況下做類似推廣。因此本發明不受下面公開的【具體實施方式】的限制。
[0015]本實施例提供一種基于用戶行為的桌面屏幕審計方法，該方法主要依靠兩個部分實現:A)審計客戶端，審計客戶端安裝在用戶桌面系統上，用于監控用戶的行為，并將數據上報給審計服務器。B)審計服務器，用于管理員定義審計的策略，及篩選查看用戶的行為數據。
請參見圖1，該方法包括以下步驟:
用戶屏幕審計:
步驟1.審計客戶端啟動后，會安裝鼠標鉤子、鍵盤鉤子、消息鉤子，用于捕捉用戶的操作行為。
[0016]步驟2.審計客戶端讀取配置(鼠標觸發截屏的最短間隔、鍵盤觸發截屏的最短間隔、鍵盤普通鍵特殊鍵及組合鍵的觸發截屏規則、截屏圖片為黑白還是彩色)；
步驟3.用戶正常辦公時，鉤子攔截到用戶的有效操作，觸發截屏，并進行圖片壓縮(如果策略為黑白圖片，則轉換為黑白圖片，降低存儲空間)；截圖模塊記錄當前是鼠標點擊還是鍵盤輸入，如果是鼠標點擊則記錄鼠標點擊的位置，以便管理員查看錄像時可以觀察到用戶在哪里點擊鼠標，并同時記錄當前用戶會話ID，進程名稱，窗口標題及當前時間；
步驟4.客戶端上傳步驟3的圖片和記錄的信息(用戶會話ID、窗口標題、進程名、圖片的分辨率、鼠標的位置信息、及截圖時間)；
步驟5.服務器端接收客戶端上傳的數據，保存圖片及圖片信息(報文包括截圖時間、當前產生截圖的用戶、產生截圖的窗口名、產生截圖的進程名、圖片的分辨