[发明专利]一种文件传输中实时监测的方法及系统

权利要求书

1.一种文件传输中实时监测的方法，所使用的系统包括：文件传输识别器、文件信息提取器、文件状态储存器、文件重组器、检测规则库及检测引擎，其特征在于所述方法包含以下步骤：

文件传输行为识别步骤；

当前传输文件信息提取步骤；

文件状态更新步骤；

文件重组步骤；

深入检测步骤。

2.根据权利要求1所述的一种文件传输中实时监测的方法，其特征在于所述的文件传输行为识别步骤中的子步骤：

根据实际捕获的数据报文采用协议解析技术进行层次化解析；

确定当前使用的IM软件类型；

依据相应IM软件的静态报文特征、文件传输动作标识对当前IM软件的文件传输行为进行识别；

提取包含文件传输信息的数据报文供当前传输文件信息提取步骤使用。

3.根据权利要求1所述的一种文件传输中实时监测的方法，其特征在于所述的当前传输文件信息提取步骤中的子步骤：

以文件传输行为识别步骤提供的数据报文为提取对象，在该报文中提取与当前报文中传输的文件相关的信息；

将这些信息提供给文件状态存储器作为文件状态更新步骤的依据；

同时将数据报文当中传输的数据部分提供给文件重组器作为文件重组的输入。

4.根据权利要求1所述的一种文件传输中实时监测的方法，其特征在于所述的文件状态更新步骤中的子步骤：

依据当前传输文件信息提取步骤当中提取的文件相关信息对比文件状态存储器当中存储的该文件状态信息；

如符合规则即更新文件状态存储器当中的文件状态信息；

若文件状态存储器当中不包含当前文件的信息则作为新的传输文件保存当前信息；

若当前文件相关信息标识为文件传输结束则在文件状态储存器中删除该文件相关状态信息。

5.根据权利要求1所述的一种文件传输中实时监测的方法，其特征在于所述的文件重组步骤中的子步骤：

提取当前传输文件信息提取步骤提供的文件数据；

提取文件状态存储器当中存储的该文件信息；

对当前数据报文所传输的文件数据部分与已传输的数据部分进行拼接；

在每拼接上一个分组数据报文之后都将实际传输的文件数据内容输出给深入检测步骤作为输入。

6.根据权利要求1所述的一种文件传输中实时监测的方法，其特征在于所述的深入检测步骤中的子步骤：

接收文件重组步骤输出的阶段性的拼接报文；

提取检测规则库中预先储存的检测规则；

以检测规则为模式采用多模式匹配算法对拼接的报文进行检测；

若发现病毒或攻击行为则实施报警或阻断。

7.一种文件传输中实时监测的系统，其特征在于，包括：负责依据数据报文进行文件传输行为识别的文件传输识别器、与所述的文件传输识别器连接的依据数据报文包含的当前文件传输信息进行相关信息提取的文件信息提取器、与所述的文件信息提取器连接的存储当前正在传输的所有文件所处的状态信息的文件状态存储器、与所述的文件信息提取器和文件状态存储器连接的依赖当前报文的文件信息及存储的该文件状态进行相应文件重组还原的文件重组器、与所述的深入检测器连接的存储预先设置的检测规则的检测规则库、与所述的文件重组器连接的依据重组的文件数据及实际检测规则进行深入检测的深入检测器。