[发明专利]一种文件传输中实时监测的方法及系统

说明书

技术领域

本发明涉及一种用于文件传输中实时监测的方法及系统，是一种可用于入侵检测防御(IDS/IPS)及审计产品中的方法及系统，属于网络技术领域。

背景技术

入侵检测/防御系统(Intrusion Detection/Protection System，IDS/IPS)作为网络安全防护的重要手段，通常部署在关键网络内部/网络边界入口处，实时捕获网络内或进出网络的报文数据流并进行智能综合分析，发现可能的入侵行为并进行实时阻断。

目前的网络环境当中IM类软件越来越多的得到了用户的使用，并且随着软件的发展，IM类软件除了提供网上聊天功能之外，大都提供文件传输功能。如MSN、qq、雅虎通等等。现在又很多的病毒传播或攻击行为都隐藏在这些IM软件传输的文件当中。而目前的入侵检测产品对于这些通过IM软件传输的文件的检测功能都实现在文件传输结束之后，对文件进行完整的重组然后再进行相应的检测。但是这种检测方式往往比较滞后。当文件传输结束，相应的文件内容已经保存至客户机器上，有可能造成各种直接或间接的损失。并且在文件传输结束后再进行检测及报警显然不具备实时预警的功能。尤其在传输文件内容较多，数据量大的时候等到全部传输完毕再进行检测及报警显然已经损失了大量的时间和系统资源。这是当前的检测方式普遍存在的一大缺陷。所以有必要发展一种对IM软件文件传输中进行实时检测及报警的方法，在文件传输的过程当中即可进行实时的检测工作，从而在发现病毒或其它攻击行为的时候能够及时的发现并且能够实时的对用户进行报警。以便用户可以及时采取应对措施，既可以在第一时间防范病毒或攻击的入侵，也可以极大的节省时间及系统资源，以提高整个入侵检测系统的性能。在报警的时候利用已经建立的文件传输的会话构造报警数据报文无需建立新的会话连接，进一步提高了效率和资源利用率。根据研究发现在常用的IM软件当中如MSN、雅虎通都是采用明文进行文件传输并且数据报文当中都包含关于传输文件的相关信息，因此实现这种IM软件文件传输中实时检测及报警是可行的。

发明内容

本发明提出一种文件传输中实时监测的方法及系统，所述的文件传输中实时监测技术可以满足：在IM类软件文件传输过程当中可以实时对文件数据内容进行深入检测，准确的发现文件当中携带的病毒或攻击行为。能够实时对用户进行报警进而在第一时间对发现的病毒或攻击行为进行处理。彻底避免在文件下载结束后可能对系统造成的危害。同时尽早的进行处理可以大大提高系统性能，缩短等待文件传输完成的时间从而进一步提高了处理效率，提高整体入侵检测的性能。

本发明的目的是这样实现的，一种文件传输中实时监测的系统，包括：文件传输识别器、文件重组器、会话信息记录器、检测规则库和检测引擎及报警报文构造器。

其中：

负责依据数据报文进行文件传输行为识别的文件传输识别器，所述文件传输识别器以层次化的数据包协议分析方法依据实际捕获的数据报文及文件传输行为特征进行实际文件传输行为识别，依赖协议分析方法在已识别的文件传输协商数据包中提取关于此次文件传输相关信息；

依据所述文件传输识别器提供的此次文件传输的相关信息对实际传输的文件数据进行重组还原的文件重组器；

依据文件传输行为识别阶段相关数据报文进行会话信息提取及记录的会话信息记录器，其依据所述文件传输识别器得到的相应协议解析信息提取关于此次文件传输使用的相关会话信息，所述会话信息包括：源IP、目的IP、源端口、目的端口、当前会话ID；

存储深入检测阶段需要检测的具体规则的检测规则库；

依据所述文件重组器得到的还原文件数据和所述检测规则库中存储的实际检测规则，采用多模式匹配算法进行相应的深入检测，并在发现病毒或入侵行为时提供相应检测信息供报警报文构造使用的深入检测器；及

在收到深入检测器提供的病毒或入侵行为检测信息后，依据会话信息记录器提供的此次文件传输会话信息进行报警报文构造的报警报文构造器。

所述文件传输识别器与文件重组器及会话信息记录器连接；所述文件重组器及检测规则库与深入检测器连接；所述深入检测器及会话信息记录器与报警报文构造器连接。

一种文件传输中实时监测的方法，包含以下步骤：

文件传输行为识别步骤，包括以下两个子步骤：以层次化的数据包协议分析方法依据实际捕获的数据报文及文件传输行为特征进行实际文件传输行为识别的子步骤；依赖协议分析方法在已识别的文件传输协商数据包中提取关于此次文件传输相关信息的子步骤；

文件重组步骤，依据文件传输行为识别步骤中提供的此次文件传输的相关信息对实际传输的文件数据进行重组还原；