[发明专利]文件类型识别方法及装置

说明书

技术领域

本发明涉及计算机及网络安全领域，特别是涉及一种文件类型识别方法及装置。

背景技术

随着科学技术的不断发展，人们对网络的依赖程度越来越高，并通过网络来传输数据，然而在传输数据的同时，信息安全也面临着极大的挑战。为了防止机密信息泄露，网络管理员或企业常常需要对传输文件的类型进行识别和检测。

现有的文件类型识别技术通过应用识别及协议深度分析，获取文件名，并依赖文件名中的后缀名确定文件类型。该方法虽然不需要查找文件边界，不需要分析文件内容，但是在实际应用中如果文件的文件名被修改，将会识别出错误的结果，因此，使用这种技术正确识别率低并且差错不可预期。

同时，基于魔鬼数字的文件类型识别方法，该方法与文件头数据流进行匹配，根据匹配结果判断文件类型。该方法虽然能有效识别文件类型，但是采用字符串进行比较，识别效率低，不能满足网络设备对转发性能的需求。

因此，现有的文件类型识别技术都不能准确高效地识别文件类型。

发明内容

本发明的目的是提高文件类型识别准确率，避免后缀名识别错误带来的隐患；识别过程采用逻辑运算，大大提高了文件类型识别的效率。

为实现上述目的，本发明提供了一种文件类型识别方法，该方法包括：

对文件的文件特征进行预编译，从而获取位图特征，所述位图特征包括第一偏移量和所述第一偏移量对应的第一字符值；

从传输的数据包中获取需要识别文件类型的第一文件的文件流，所述文件流包括第二偏移量和所述第二偏移量对应的第二字符值；

根据所述第二偏移量从所述位图特征中查找与所述第二偏移量相匹配的第一偏移量；

将所述第二字符值与各所述第一字符值依次进行运算，得到运算结果；

根据所述运算结果确定所述第一文件的文件类型。

进一步地，所述根据所述运算结果确定所述第一文件的文件类型之后还包括：对所述第一文件的文件类型进行处理。

进一步地，所述运算为与运算，从而缩小查找文件类型的范围。

进一步地，对文件的文件特征进行预编译，从而获取位图特征之后还包括：将所述位图特征在进程启动时加载到内存中。

进一步地，所述位图特征还包括文件类型ID；所述将所述第二字符值与各所述第一字符值依次进行运算，得到运算结果包括：

判断所述第二字符值与所述第一字符值是否匹配；

如果所述第二字符值与所述第一字符值匹配，则根据当前所述第一字符值所对应的所述文件类型ID确定所述第一文件的文件类型；

如果所述第二字符值与所述第一字符值不匹配，则判断所述第一文件的文件类型为异常文件类型。

进一步地，所述异常文件类型包括内容篡改文件类型和未知文件类型。

进一步地，所述从传输的数据包中获取需要识别文件类型的第一文件的文件流，还包括获取文件边界，所述文件边界用于确定所述传输的数据包的开始时间和结束时间。

另一方面，本发明提供了一种文件类型识别装置，所述装置包括特征编译模块、文件边界获取模块、类型识别模块、结果决策模块、策略模块和策略匹配模块；

特征编译模块，用于对文件的文件特征进行预编译，从而获取位图特征，所述位图特征包括文件类型ID、第一偏移量和所述第一偏移量对应的第一字符值；

策略模块，用于指示所述第一文件的文件类型如何处理；

文件边界获取模块，用于从传输的数据包中获取需要识别文件类型的第一文件的文件流和文件边界，所述文件流包括第二偏移量和所述第二偏移量对应的第二字符值；

类型识别模块，用于根据所述第二偏移量从所述位图特征中查找与所述第二偏移量相匹配的第一偏移量；将所述第二字符值与各所述第一字符值依次进行运算，得到运算结果；

结果决策模块，用于根据所述运算结果确定所述第一文件的文件类型；

策略匹配模块，用于根据所述策略模块，对所述第一文件的文件类型进行处理。

本发明的主要优点在于：

1、在下一代防火墙的数据防泄露功能应用中，可以实时告警特定文件类型文件的发送或接收。

2、在下一代防火墙的数据防泄露功能应用中，可以高效准确地识别文件类型，为文件解析和内容审计等功能提供保障。

3、在上网行为管理等网络监控设备应用中，可以跟踪局域网内用户的操作，细粒化呈现用户下载或上传的行为。

附图说明

图1为本发明实施例提供的文件类型识别方法流程图；

图2为本发明实施例提供的文件类型识别装置的示意图；