基于用户行为的桌面屏幕审计方法.pdf

本发明涉及屏幕涉及技术领域，特别是一种基于用户行为的桌面屏幕审计方法。包括以下步骤：步骤1：审计客户端启动后，会安装钩子，用于捕捉用户的操作行为；并将数据上报给审计服务器；步骤2：审计客户端读取配置；步骤3：用户正常办公时，所述钩子拦截到用户的有效操作，触发截屏，并进行图片压缩；截图模块记录当前是鼠标点击还是键盘输入，并同时记录信息；步骤4：审计客户端上传步骤3的图片和记录的信息；步骤5：审计服务器端接收审计客户端上传的数据，保存图片及图片信息进数据库；步骤结束。本发明实现了一个按需截屏、对截屏数据进行有效归类、提升管理员检索的效率的桌面屏幕录审计。

权利要求书
1.  一种基于用户行为的桌面屏幕审计方法，其特征在于包括以下步骤：
  步骤1：审计客户端启动后，会安装钩子，用于捕捉用户的操作行为；所述审计客户端安装在用户桌面系统上，用于监控用户的行为，并将数据上报给审计服务器；
   步骤2：审计客户端读取配置，该配置包括：鼠标触发截屏的最短间隔、键盘触发截屏的最短间隔、键盘普通键特殊键及组合键的触发截屏规则、截屏图片为黑白还是彩色；
   步骤3：用户正常办公时，所述钩子拦截到用户的有效操作，触发截屏，并进行图片压缩；截图模块记录当前是鼠标点击还是键盘输入，如果是鼠标点击则记录鼠标点击的位置，以便管理员查看录像时观察到用户在哪里点击鼠标，并同时记录当前用户会话ID，进程名称，窗口标题及当前时间；
   步骤4：审计客户端上传步骤3的图片和记录的信息；                                     
步骤5：审计服务器端接收审计客户端上传的数据，保存图片及图片信息进数据库；步骤结束。

2.  根据权利要求１所述的基于用户行为的桌面屏幕审计方法，其特征在于：还包括管理员查看数据，具体包括以下步骤：
  步骤２1：当管理员需要查看数据时，通过服务器根据用户会话，时间，进程名称和窗口标题，筛选出相应的屏幕数据；
  步骤２2：当管理员需要播放录像时，服务器将根据步骤２1的筛选条件，还原屏幕图片及附带的文本信息，并按顺序播放所述图片和数据，实现“录像”播放。

3.  根据权利要求１所述的基于用户行为的桌面屏幕审计方法，其特征在于：所述钩子包括鼠标钩子、键盘钩子和消息钩子。

4.  根据权利要求１所述的基于用户行为的桌面屏幕审计方法，其特征在于：所述图片压缩的策略为：将彩色图片则转换为黑白图片。

5.  根据权利要求１所述的基于用户行为的桌面屏幕审计方法，其特征在于：所述的截屏包括按需截屏；该按需截屏包括：A）对用户当前的操作进行判断，只对可能产生审计风险的用户操作进行截屏；B）对用户当前操作的进程进行判断，只对会产生审计风险的应用程序进行截屏，当用户在使用某些不会产生审计风险的应用程序时，则不会进行截屏。

6.  根据权利要求１所述的基于用户行为的桌面屏幕审计方法，其特征在于：所述的截屏还包括截屏文本信息获取：即截屏时该审计客户端还会获取更多关于图片的附带信息，并能根据图片的附带信息进行分类，实现按会话、应用程序、同一窗口标题来分别审计，管理员对可疑的风险操作直接审计，无需按时间从头到尾观看审计图片。

7.  根据权利要求６所述的基于用户行为的桌面屏幕审计方法，其特征在于：所述的审计服务器端具备还原播放：即该审计服务器端还原播放屏幕录像时，能根据分类，时间，最后按顺序播放各张完整截屏,实现的“录像”数据的播放。

说明书基于用户行为的桌面屏幕审计方法
技术领域
本发明涉及屏幕涉及技术领域，特别是一种基于用户行为的桌面屏幕审计方法。
背景技术
 屏幕审计技术应用于记录终端用户对桌面的操作信息，当出现安全问题时，可让管理员有据可查。目前的屏幕审计技术大多采用准实时截取计算机桌面的屏幕，然后压缩图片发送给监控端的方式，这种实现机制会导致海量的截图数据，对网络带宽和存储造成极大的负载，并且监控端得到的数据只能以时间进行分类，当出现安全事故时，管理员面对海量的数据，无法快速找出出现问题时的录像。
发明内容
   为了解决上述问题，本发明实现了一个按需截屏、对截屏数据进行有效归类、提升管理员检索的效率的桌面屏幕录审计方法。
  本发明采用以下方案实现：一种基于用户行为的桌面屏幕审计方法，其特征在于包括以下步骤：
  步骤1：审计客户端启动后，会安装钩子，用于捕捉用户的操作行为；所述审计客户端安装在用户桌面系统上，用于监控用户的行为，并将数据上报给审计服务器；
   步骤2：审计客户端读取配置，该配置包括：鼠标触发截屏的最短间隔、键盘触发截屏的最短间隔、键盘普通键特殊键及组合键的触发截屏规则、截屏图片为黑白还是彩色；
   步骤3：用户正常办公时，所述钩子拦截到用户的有效操作，触发截屏，并进行图片压缩；截图模块记录当前是鼠标点击还是键盘输入，如果是鼠标点击则记录鼠标点击的位置，以便管理员查看录像时观察到用户在哪里点击鼠标，并同时记录当前用户会话ID，进程名称，窗口标题及当前时间；
   步骤4：审计客户端上传步骤3的图片和记录的信息；                                     
步骤5：审计服务器端接收审计客户端上传的数据，保存图片及图片信息进数据库；步骤结束。
 在本发明一实施例中，还包括管理员查看数据，具体包括以下步骤：
  步骤２1：当管理员需要查看数据时，通过服务器根据用户会话，时间，进程名称和窗口标题，筛选出相应的屏幕数据；
  步骤２2：当管理员需要播放录像时，服务器将根据步骤２1的筛选条件，还原屏幕图片及附带的文本信息，并按顺序播放所述图片和数据，实现“录像”播放。
  在本发明一实施例中，所述钩子包括鼠标钩子、键盘钩子和消息钩子。
  在本发明一实施例中，所述图片压缩的策略为：将彩色图片则转换为黑白图片。
  在本发明一实施例中，所述的截屏包括按需截屏；该按需截屏包括：A）对用户当前的操作进行判断，只对可能产生审计风险的用户操作进行截屏；B）对用户当前操作的进程进行判断，只对会产生审计风险的应用程序进行截屏，当用户在使用某些不会产生审计风险的应用程序时，则不会进行截屏。
  在本发明一实施例中，所述的截屏还包括截屏文本信息获取：即截屏时该审计客户端还会获取更多关于图片的附带信息，并能根据图片的附带信息进行分类，实现按会话、应用程序、同一窗口标题来分别审计，管理员对可疑的风险操作直接审计，无需按时间从头到尾观看审计图片。
在本发明一实施例中，所述的审计服务器端具备还原播放：即该审计服务器端还原播放屏幕录像时，能根据分类，时间，最后按顺序播放各张完整截屏,实现的“录像”数据的播放。
本发明的有益效果是：
１、同类软件一般采用准实时截屏，按每秒截屏一次，一天8个小时的截屏次数近3万次，而本发明在采用安装钩子来获取用户所进行的可疑风险操作正常OA办公环境下测试约为4000次，节约大量的存储和网络带宽资源；
 2、管理员审计截图图片时，可根据会话、应用程序和操作内容来审计用户的操作，管理员对可疑的风险操作直接审计，无需按时间从头到尾观看审计图片，提高审计效率，例如管理员怀疑某个员工通过某聊天工具将机密文件外发，则可以只检索该聊天软件相关的截屏。
附图说明
图１是本发明方法流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。
在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施方式的限制。
  本实施例提供一种基于用户行为的桌面屏幕审计方法，该方法主要依靠两个部分实现：A）审计客户端，审计客户端安装在用户桌面系统上，用于监控用户的行为，并将数据上报给审计服务器。B)审计服务器，用于管理员定义审计的策略，及筛选查看用户的行为数据。                                                
   请参见图１，该方法包括以下步骤：
用户屏幕审计：                                                             
  步骤1. 审计客户端启动后，会安装鼠标钩子、键盘钩子、消息钩子，用于捕捉用户的操作行为。
  步骤2.审计客户端读取配置（鼠标触发截屏的最短间隔、键盘触发截屏的最短间隔、键盘普通键特殊键及组合键的触发截屏规则、截屏图片为黑白还是彩色）；
  步骤3. 用户正常办公时，钩子拦截到用户的有效操作，触发截屏，并进行图片压缩(如果策略为黑白图片，则转换为黑白图片，降低存储空间)；截图模块记录当前是鼠标点击还是键盘输入，如果是鼠标点击则记录鼠标点击的位置，以便管理员查看录像时可以观察到用户在哪里点击鼠标，并同时记录当前用户会话ID，进程名称，窗口标题及当前时间；
  步骤4. 客户端上传步骤3的图片和记录的信息（用户会话ID、窗口标题、进程名、图片的分辨率、鼠标的位置信息、及截图时间）；
  步骤5. 服务器端接收客户端上传的数据，保存图片及图片信息（报文包括截图时间、当前产生截图的用户、产生截图的窗口名、产生截图的进程名、图片的分辨率、鼠标的位置信息）进数据库；步骤结束。
管理员查看数据：
   步骤1. 当管理员需要查看数据时，可以通过服务器根据用户会话，时间，进程名称和窗口标题，筛选出相应的屏幕数据；
步骤2.当管理员需要播放录像时，服务器将根据步骤1的筛选条件，还原屏幕图片及附带的文本信息，并按顺序播放这些图片和数据，实现“录像”播放。管理员可以方便的查看用户的操作行为。
  在本发明一实施例中，所述的截屏包括按需截屏：A）对用户当前的操作进行判断，只对可能产生审计风险的用户操作进行截屏，例如对用户在打字时不截屏，对用户打开应用程序、点击按钮、切换窗口、输入特殊按键（如Ctrl+Alt+Delete组合键）等操作时进行截屏，在降低截屏频率的前提下，有效保证截屏的有效性；B）对用户当前操作的进程进行判断，只对会产生审计风险的应用程序进行截屏，当用户在使用某些不会产生审计风险的应用程序时，则不会进行截屏，（如可设置用户操作word时不截屏）。
  在本发明一实施例中，所述的截屏还包括截屏文本信息获取：在面对海量数据时，由于无法做到很方便的检索，因此截屏时还会获取更多关于图片的附带信息（当前用户会话ID、当前操作的进程名、窗口标题、截图时间）。可根据图片的附带信息进行分类，实现按会话、应用程序、同一窗口标题来分别审计，管理员对可疑的风险操作直接审计，无需按时间从头到尾观看审计图片，提高审计效率。
  在本发明一实施例中，所述服务器端还能还原播放：即服务器端还原播放屏幕录像时，可以根据分类，时间，最后按顺序播放各张完整截屏,实现的“录像”数据的播放。
本发明虽然已以较佳实施例公开如上，但其并不是用来限定本发明，任何本领域技术人员在不脱离本发明的精神和范围内，都可以利用上述揭示的方法和技术内容对本发明技术方案做出可能的变动和修改，因此，凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化及修饰，均属于本发明技术方案的保护范围。以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。