CN102624547A - 一种即时通信上网行为管理的方法、装置与系统 - Google Patents
一种即时通信上网行为管理的方法、装置与系统 Download PDFInfo
- Publication number
- CN102624547A CN102624547A CN2012100498183A CN201210049818A CN102624547A CN 102624547 A CN102624547 A CN 102624547A CN 2012100498183 A CN2012100498183 A CN 2012100498183A CN 201210049818 A CN201210049818 A CN 201210049818A CN 102624547 A CN102624547 A CN 102624547A
- Authority
- CN
- China
- Prior art keywords
- file
- type
- characteristic
- transmitted
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 230000005540 biological transmission Effects 0.000 claims abstract description 55
- 238000012546 transfer Methods 0.000 claims description 43
- 239000000284 extract Substances 0.000 claims description 40
- 230000008569 process Effects 0.000 claims description 34
- 230000006399 behavior Effects 0.000 claims description 29
- 238000007726 management method Methods 0.000 claims description 26
- 238000012795 verification Methods 0.000 claims description 22
- 238000012545 processing Methods 0.000 claims description 9
- 238000001914 filtration Methods 0.000 abstract description 3
- 238000000605 extraction Methods 0.000 description 11
- 238000012360 testing method Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 238000007596 consolidation process Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供一种即时通信上网行为管理的方法、装置与系统,包括:传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;当根据第一文件类型能够从所述文件已传输的部分中提取第二特征时,根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,所述预置的策略中包含有要终止传输的文件类型,该方法能对所传输的文件进行有效过滤。
Description
技术领域
本发明实施例涉及通信技术领域,特别涉及一种即时通信上网行为管理的方法、装置与系统。
背景技术
即时通讯(Instant Messenger,简称IM)软件可以说是目前我国上网用户使用率最高的软件,无论是老牌的ICQ,还是国内用户量第一的腾讯QQ,以及微软的MSN都是大众关注的焦点,它们能让你迅速地在网上找到你的朋友或工作伙伴,可以实时交谈和互传信息。而且,现在不少IM软件还集成了数据交换、语音聊天、网络会议、电子邮件的功能。
目前,即时通信常用的两种协议为,传输控制协议/因特网互联协议(Transmission Control Protocol,TCP)和用户数据包协议(User DatagramProtocol,UDP),二者都是建立在更底层的IP协议上的两种通讯传输协议。TCP是以数据流的形式,将传输数据经分割、打包后,通过两台机器之间建立起的虚电路,进行连续的、双向的、严格保证数据正确性的文件传输协议。UDP是以数据包的形式,对拆分后的数据的先后到达顺序不做要求的文件传输协议。
由于通过即时通信软件用户可以通过即时通信软件向另一用户发送消息或文件传输,出于安全和审计考虑,为了防止敏感信息或数据通过网络传送给错误的接收对象,使企业在信息社会中既能确保核心机密数据的安全保障,同时又不影响工作、业务的正常开展,企业常常需要对即时通信上网行为进行管理。
在现有技术中,对即时通信上网行为进行管理的方式通常是,通过文件扩展名来判断文件的类型,再根据配置策略方案确定是否传输该文件。在实现本发明实施例的过程中,发明人发现现有技术中通过文件扩展名判断文件类型来对即时通信上网行为进行管理的方法中,如果人为的把扩展名去掉或更改扩展名,检测系统便无法准确辨别出所传输文件的真实文件类型,从而无法对所传输的文件进行有效过滤,对企业信息的保护存在巨大的安全隐患。
发明内容
有鉴于此,本发明实施例提供一种即时通信上网行为管理的方法、装置与系统,能有效识别出即时通讯中所传输文件的真实文件类型,从而对所传输的文件进行有效过滤,提高了安全性。
根据本发明实施例的一个方面,提供一种即时通信上网行为管理的方法,包括:
传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;
根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;
当根据第一文件类型能够从所述文件已传输的部分中提取出第二特征,则根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;,所述第二特征包括标识文件类型的文件结构信息;
当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,所述预置的策略中包含有要终止传输的文件类型。
根据本发明实施例的另一个方面,提供一种即时通信上网行为管理装置,包括:
策略配置模块,用于预置策略,所述预置的策略中包含有要终止传输的文件类型;
第一识别模块,用于在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;
第二识别模块,用于根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;
校验模块,用于当第二识别模块能够从所述文件已传输的部分中提取出第二特征时,根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;
处理模块,用于当校验结果为所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件。
根据本发明实施例的又一个方面,提供一种即时通信上网行为管理系统,包括:
信息接收器,用于接收用户预置的策略,将策略发送给存储器;
主处理器,用于在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;当根据第一文件类型能够从所述文件已传输的部分中提取出第二特征时,则根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,所述预置的策略中包含有要终止传输的文件类型;
存储器,用于存储预置策略。
通过以上技术方案可知,本发明技术方案通过在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,并根据第一文件类型从所述文件已传输的部分中提取第二特征来校验所述第一文件类型是否为所述文件的真实文件类型,当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,从而提高了对所传输文件的文件类型识别的准确性,增强了系统的安全性。并且,本发明技术方案中识别文件类型是在文件传输过程中进行,无需先缓存整个文件再对文件类型进行识别,从而减少了检测过程中的时间消耗,提高了用户体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一个实施例所示即时通信上网行为管理方法的流程图;
图2为本发明又一个实施例所示即时通信上网行为管理方法的流程图;
图3为本发明另一个实施例所示即时通信上网行为管理方法的流程图;
图4为本发明一个实施例所示即时通信上网行为管理装置的结构示意图;
图5为本发明又一个实施例所示即时通信上网行为管理装置的结构示意图;
图6为本发明一个实施例所示即时通信上网行为管理系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明实施例保护的范围。
图1为本发明一个实施例所示即时通信上网行为管理方法的流程图,如图1所示,该方法包括:
步骤101、传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征为用于区分文件类型的文件头信息;
步骤102、当根据第一文件类型能够从所述文件已传输的部分中提取出第二特征时,则根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型,所述第二特征包括标识文件类型的文件结构信息;
步骤103、当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,所述预置的策略中包含有要终止传输的文件类型。
上述实施例所示即时通信上网行为管理方法中,通过在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,并根据第一文件类型从所述文件已传输的部分中提取第二特征来校验所述第一文件类型是否为所述文件的真实文件类型,当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,从而提高了对所传输文件的文件类型识别的准确性,避免了通过人为修改第一特征而逃避文件类型检测的可能性,增强了系统的安全性。并且,本发明技术方案中识别文件类型是在文件传输过程中进行,无需先缓存整个文件再对文件类型进行识别,从而减少了检测过程中的时间消耗,提高了用户体验。
图2为本发明又一个实施例所示即时通信上网行为管理方法的流程图,在本实施例中将以word文档的传输和检测为例,进行具体的说明。参照图2所示,具体步骤包括:
步骤201、开始传输文件,进入步骤203;
步骤203、传输文件过程中,从所述文件已传输的部分中提取第一特征,所述第一特征包括用于区分文件类型的文件头数字;
本实施例中以word文档为例,所述第一特征为所传输文件的文件头数字,word文档的文件头数字是office文件统一的文件头数字,具体形式为8个16进制的数字;文件在传输过程是以字节的形式进行传输,而上述8个字节最先进行传输。所述提取第一特征具体为在文件传输的前8个字节完成传输之后,即读取前8个字节;进入步骤205;
步骤205、根据所述第一特征获得所述文件的第一文件类型,进入步骤207;
具体的,可以通过将提取的第一特征与预知的具体文件类型的文件头数字相匹配来获取第一文件类型;例如,,office文件的文件头数字统一为D0 CF11 E0 A1 B1 1A E1这8个字节;RIFF(Resource Interchange File Format,资源互换文件格式)文件的文件头信息为‘RIFF’。
具体的,本实施例中当根据文件已传输的部分获得该文件的文件头数字为D0 CF 11 E0 A1 B1 1A E1时,可以知道所传输文件的第一文件类型为office文件,但无法具体确定其具体为word、ppt或xls;
步骤207、根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;
本实施例中对于已经确定第一文件类型为office的所传输文件,则针对office的具体文件结构提取第二特征;office的文件结构信息位于文件头信息之后,所以必须完成文件头信息的传输才可以进行第二特征的提取;实际情况中,office文件的文件头信息之后的位置上是文件属性信息,文件属性信息中每128个字节代表一种属性,所述第二特征即文件结构信息为文件属性信息中的一种;由于office文件除了文件结构信息外还包括多种文件属性信息,并且所有文件属性信息的顺序不固定,所以提取第二特征的过程中需要每隔128个字节查找确定该部分文件属性信息是否就是文件结构信息。进入步骤208.
步骤208,判断第二特征是否提取成功;
具体的,本实施例中,当在已传输文件的文件属性信息中查找到代表WordDocument的一串字节,则认为该部分文件属性信息是word文档的文件结构信息,读取该部分字节即完成第二特征的提取;如果到最后一个数据包都没有查找到WordDocument这一串字节,则认为第二特征提取失败。当提取第二特征成功则进入步骤209;当提取第二特征失败则进入步骤213;
步骤209、根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型,是则进入步骤211,否则进入步骤213;
例如步骤205中识别的第一文件类型为office文件,步骤207中提取的第二特征为代表WordDocument的一串字节,则认为所传输文件的真实文件类型为office文件中的word文档,与步骤205中识别的“office文件”的结果一致,认为步骤205中识别的第一文件类型为该文件的真实文件类型,则进入步骤211;
如果步骤205中识别的第一文件类型为RIFF文件类型,则根据标识RIFF文件的文件结构信息位置(例如,具体可以是在第9-12个字节的位置上)在已传输的数据包中去查找该文件的文件结构信息,如果在相应的位置上提取出的第二特征并不是标识RIFF文件的文件结构信息(例如,如果在第9-12个字节没有看到“wave”或“MIDI”或“AVI”等标识具体RIFF文件类型的内容),则认为该文件的真实文件类型不是步骤205中识别出的RIFF文件,则进入步骤213。
步骤211、判断所述真实文件类型是否满足预置策略;当真实文件类型满足预置策略时,则进入步骤213;当真实文件类型不满足预置策略,则进入步骤215;
具体的,所述预置策略中包括需要执行拦截操作的文件类型,如需要拦截word文件,则预置策略中包含word文件类型,当检测到文件的真实文件类型为word,则判断该文件的文件类型满足预置策略。
步骤213、终止传输所述文件;
步骤215、继续传输所述文件。
具体的,如果预置的策略中是需要终止传输的文件类型,则当得到的文件类型满足预置的策略时,终止传输所述文件,当得到的文件类型不满足预置的策略时,继续传输所述文件。
当然可以理解的是,如果预置的策略中是需要继续传输的文件类型,则当得到的文件类型满足预置的策略时则继续传输所述文件,当得到的文件类型不满足预置的策略时则终止传输所述文件,本实施例中是以预置的策略中为需要终止的文件类型为例进行说明。
本实施例通过在传输文件过程中提取第一特征和第二特征,并且通过提取的第二特征来验证根据第一特征获得的文件类型是否为真实的文件类型,由于第二特征是文件的结构体信息,因此第二特征难以被恶意修改,从而提高了识别文件的文件类型的准确性,并在识别出的文件的文件类型符合预置的策略时,终止传输文件,从而对所传输的文件进行有效过滤。并且,在无法提取第二特征时,终止传输正在传输的文件,进一步提高了系统的安全性。且由于整个过程是在文件传输的过程中进行,无需缓存整个文件再对文件类型进行识别,从而减少了检测过程中的时间消耗,提高了用户体验。
图3为本发明另一个实施例所示即时通信上网行为管理方法的流程图,本实施例为在实施例2的基础上进一步扩充得到,具体步骤为:
步骤301、开始文件传输,进入步骤303;
步骤303、传输文件过程中,从所述文件已传输的部分中提取第一特征,当能够从所述文件已传输的部分中提取出第一特征时,进入步骤305,否则进入步骤315;
具体的,所述第一特征包括用于区分文件类型的文件头信息,例如用于区分文件类型的文件头数字。然而实际应用中,有些文件类型(例如txt文档)是属于没有固定格式的文件类型,这种文件类型没有文件头信息,因此,对这种文件类型,无法提取出第一特征。当无法提取出第一特征时,则进入步骤315;
步骤305、根据所述第一特征获得所述文件的第一文件类型;进入步骤307;
步骤307、根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息,进入步骤308;
步骤308,判断所述第二特征是否提取成功,当第二特征提取成功时进入步骤309;当提取第二特征失败则进入步骤313;
步骤309、根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;是则进入步骤311,否则进入步骤313;
步骤311、判断所述真实文件类型是否满足预置策略;当真实文件类型满足预置策略,则进入步骤313;当真实文件类型不满足预置策略,则进入步骤319;
步骤313、终止传输所述文件;
步骤315、判断所述文件是否带扩展名,当所述文件不携带扩展名则进入步骤313;当所述文件携带扩展名,则进入步骤317;
步骤317、根据所述文件的扩展名识别所述文件的文件类型,进入步骤311;
例如所述文件带有扩展名“.rmvb”则认为该文件的真实文件类型为rmvb文件,进入步骤311,判断所述文件的文件类型是否满足预置的策略;
步骤319、继续传输所述文件。
本实施例在图2所示实施例的基础上,扩充了当无法提取文件的第一特征时,通过文件携带的扩展名来识别文件的文件类型的技术方案,本实施例相比于图1或图2所示实施例,实现了在获取第一文件类型失败情况下得到文件的真实文件类型,使得检验过程更加完善和准确,进一步有效的实现了对文件的过滤,提高了系统的安全性。
图4为本发明一个实施例所示即时通信上网行为管理装置的结构示意图,参照图4所示,该装置包括:
策略配置模块,用于预置策略,所述预置的策略中包含有要终止传输的文件类型;
第一识别模块,用于在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;
第二识别模块,用于根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;
校验模块,用于当第二识别模块能够从所述文件已传输的部分中提取出第二特征时,根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;
处理模块,用于当校验结果为所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件。
本实施为针对图1所示方法实施例而提供的即时通信上网行为管理装置,通过本实施例所述装置实现如图1所示实时中的方法,从而实现通过在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,并根据第一文件类型从所述文件已传输的部分中提取第二特征来校验所述第一文件类型是否为所述文件的真实文件类型,当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,从而提高了对所传输文件的文件类型识别的准确性,避免了通过人为修改扩展名或第一特征而逃避文件类型检测的可能性,增强了系统的安全性。并且,本发明技术方案中识别文件类型是在文件传输过程中进行,无需先缓存整个文件再对文件类型进行识别,从而减少了检测过程中的时间消耗,提高了用户体验。
图4为本发明一个实施例所示即时通信上网行为管理装置的结构示意图,针对如图4所示的装置实施例,下面以word文档的传输和检测为例,进行具体的说明,该装置包括:
策略配置模块,用于预置策略,所述预置的策略中包含有要终止传输的文件类型;
所述预置策略中包括需要执行拦截操作的文件类型,如需要拦截word文件,则预置策略中包含word文件类型,当文件的文件类型为word则该文件满足预置策略;
第一识别模块,用于在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;
本实施例中所述第一特征为所传输文件的文件头数字,以word文档为例,word文档的文件头数字是office文件统一的文件头数字,具体形式为8个16进制的数字;文件在传输过程是以字节的形式进行传输,而上述8个字节最先进行传输,因此,可以通过读取所传输文件的前8个字节来获得所传输文件的第一特征;具体的,是将该8个字节中的内容与预置的文件头数字相匹配来获得第一文件类型,例如:office文件的文件头数字统一为D0 CF 11 E0A1 B1 1A E1这8个字节;RIFF(Resource Interchange File Format,资源互换文件格式)文件的文件头信息为‘RIFF’。
具体的,本实施例中当根据文件已传输的部分获得该文件的文件头数字为D0 CF 11 E0 A1 B1 1A E1时,可以知道所传输文件的第一文件类型为office文件,但无法具体确定其具体为word、ppt或xls;
第二识别模块,用于根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;
本实施例中对于已经确定第一文件类型为office的所传输文件,则针对office的具体文件结构提取第二特征;office的文件结构信息位于文件头信息之后,所以必须完成文件头信息的传输才可以进行第二特征的提取;实际情况中,office文件的文件头信息之后的位置上是文件属性信息,文件属性信息中每128个字节代表一种属性,所述第二特征即文件结构信息为文件属性信息中的一种;由于office文件除了文件结构信息外还包括多种文件属性信息,并且所有文件属性信息的顺序不固定,所以提取第二特征的过程中需要每隔128个字节查找确定一次该部分文件属性信息是否就是文件结构信息。例如,当查找得到代表WordDocument的一串字节,则认为该部分文件属性信息是word文档的文件结构信息,读取该部分字节即完成第二特征的提取;如果到最后一个数据包都没有查找到WordDocument这一串字节,则认为第二特征提取失败。
校验模块,用于当第二识别模块能够从所述文件已传输的部分中提取第二特征时,根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;
具体的,例如第一识别模块识别的第一文件类型为office文件,第二识别模块提取出的第二特征为代表WordDocument的一串字节,则认为所传输文件的真实文件类型为office文件中的word文档,与第一识别模块识别的“office文件”的结果一致,第一识别模块识别的第一文件类型为该文件的真实文件类型;
如果第一识别模块识别的第一文件类型为RIFF文件类型,则根据标识RIFF文件的文件结构信息位置(例如,具体可以是在第9-12个字节的位置上)在已传输的数据包中去查找该文件的文件结构信息,如果在相应的位置上提取出的第二特征并不是标识RIFF文件的文件结构信息(例如,如果在第9-12个字节没有看到“wave”或“MIDI”或“AVI”等标识具体RIFF文件类型的内容),则认为第一识别模块识别出的RIFF文件类型不是该文件的真实文件类型。
处理模块,用于当校验结果为所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件;当真实文件类型且不满足预置的策略时,继续传输所述文件;当第二识别模块提取第二特征失败时终止传输所述文件。
本实施例通过在传输文件过程中提取第一特征和第二特征,并且通过提取的第二特征来验证根据第一特征获得的文件类型是否为真实的文件类型,由于第二特征是文件的结构体信息,因此第二特征难以被恶意修改,从而提高了识别文件的文件类型的准确性,并在识别出的文件的文件类型符合预置的策略时,终止传输文件,从而对所传输的文件进行有效过滤。并且,在无法提取第二特征时,终止传输正在传输的文件,进一步提高了系统的安全性。且由于整个过程是在文件传输的过程中进行,无需缓存整个文件再对文件类型进行识别,从而减少了检测过程中的时间消耗,提高了用户体验。
图5为本发明又一个实施例所示即时通信上网行为管理装置的结构示意图,在图4所示的实施例基础上,还包括:
第三识别模块,用于当第一识别模块无法从所述文件已传输的部分中提取第一特征时,若所述文件携带有扩展名则根据所述文件的扩展名识别所述文件的文件类型;
例如,对txt类型的文件,由于没有固定的文件格式,因此无法从文件中提取出第一特征,因此可以根据该文件携带的扩展名”.txt”来识别出该文件为txt类型的文本文件。
所述处理模块还用于,当所述第三识别模块根据所述文件的扩展名识别出所述文件的文件类型,且当所述文件的文件类型满足预置的策略时,终止传输所述文件;当所述文件没有携带扩展名,所述第三识别模块无法识别出所述文件的文件类型时,终止传输所述文件。
本发明实施例在根据第一特征无法得到所述文件的第一文件类型时,进一步通过文件的扩展名来识别文件的文件类型,从而进一步实现了对文件的有效过滤,进一步提高了系统的安全性。
图6为本发明一个实施例所示即时通信上网行为管理系统的结构示意图,包括:
信息接收器,用于接收用户预置的策略,将策略发送给存储器;
主处理器,用于在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;当根据第一文件类型能够从所述文件已传输的部分中提取出第二特征时,则根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,所述预置的策略中包含有要终止传输的文件类型;
具体的,所述主处理器可以为上述实施例中所述的所示即时通信上网行为管理装置。具体可参考前述装置和方法的实施例的描述,此处不再赘述。
存储器,用于存储预置策略。
上述实施例所示即时通信上网行为管理系统中,在传输文件的过程中提取文件的第一特征,根据所述第一特征获得所述文件的第一文件类型,并根据第一文件类型从所述文件已传输的部分中提取第二特征来校验所述第一文件类型是否为所述文件的真实文件类型,当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,从而提高了对所传输文件的文件类型识别的准确性,增强了系统的安全性。并且,本发明技术方案中识别文件类型是在文件传输过程中进行,无需先缓存整个文件再对文件类型进行识别,从而减少了检测过程中的时间消耗,提高了用户体验。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (11)
1.一种即时通信上网行为管理方法,其特征在于,包括:
传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征为用于区分文件类型的文件头信息;
当根据第一文件类型能够从所述文件已传输的部分中提取出第二特征时,则根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型,所述第二特征为标识文件类型的文件结构信息;
当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,所述预置的策略中包含有要终止传输的文件类型。
2.根据权利要求1所述的方法,其特征在于,还包括:
当根据第一文件类型不能从所述文件已传输的部分中提取出第二特征时,终止传输所述文件。
3.根据权利要求1所述的方法,其特征在于,还包括:
当所述第一文件类型为所述文件的真实文件类型且不满足预置的策略时,继续传输所述文件。
4.根据权利要求1所述的方法,其特征在于,还包括:
当所述第一文件类型不是所述文件的真实文件类型时,终止传输所述文件。
5.根据权利要求1-4任一所述方法,其特征在于,还包括:
当无法从所述文件已传输的部分中提取第一特征时,若所述文件携带有扩展名,则根据所述文件的扩展名识别所述文件的文件类型,且当所述文件的文件类型满足预置的策略时,终止传输所述文件;
当无法从所述文件已传输的部分中提取第一特征时,若所述文件没有携带扩展名,则终止传输所述文件。
6.一种即时通信上网行为管理装置,其特征在于,包括:
策略配置模块,用于预置策略,所述预置的策略中包含有要终止传输的文件类型;
第一识别模块,用于在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;
第二识别模块,用于根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;
校验模块,用于当第二识别模块能够从所述文件已传输的部分中提取出第二特征时,根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;
处理模块,用于当校验结果为所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件。
7.根据权利要求6所示装置,其特征在于:
所述处理模块,还用于当第二识别模块不能从所述文件已传输的部分中提取出第二特征时,终止传输所述文件。
8.根据权利要求6所述装置,其特征在于:
所述处理模块,还用于当所述校验模块的校验结果为所述第一文件类型为所述文件的真实文件类型且不满足预置的策略时,继续传输所述文件。
9.根据权利要求6所述装置,其特征在于:
所述处理模块,还用于当所述校验模块的校验结果为所述第一文件类型不是所述文件的真实文件类型时,终止传输所述文件。
10.根据权利要求7-9任一所述装置,其特征在于,还包括:
第三识别模块,用于当无法从所述文件已传输的部分中提取第一特征时,若所述文件携带有扩展名,则根据所述文件的扩展名识别所述文件的文件类型;
所述处理模块还用于,当所述第三识别模块根据所述文件的扩展名识别出所述文件的文件类型,且当所述文件的文件类型满足预置的策略时,终止传输所述文件;当所述文件没有携带扩展名,所述第三识别模块无法识别出所述文件的文件类型时,终止传输所述文件。
11.一种即时通信上网行为管理系统,其特征在于,所述系统包括;
信息接收器,用于接收用户预置的策略,将策略发送给存储器;
主处理器,用于在传输文件过程中,从所述文件已传输的部分中提取第一特征,根据所述第一特征获得所述文件的第一文件类型,所述第一特征包括用于区分文件类型的文件头信息;根据第一文件类型从所述文件已传输的部分中提取第二特征,所述第二特征包括标识文件类型的文件结构信息;当根据第一文件类型能够从所述文件已传输的部分中提取出第二特征时,则根据所述第二特征校验所述第一文件类型是否为所述文件的真实文件类型;当所述第一文件类型为所述文件的真实文件类型且满足预置的策略时,终止传输所述文件,所述预置的策略中包含有要终止传输的文件类型;
存储器,用于存储预置策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100498183A CN102624547A (zh) | 2011-12-31 | 2012-02-29 | 一种即时通信上网行为管理的方法、装置与系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110459771.3 | 2011-12-31 | ||
| CN201110459771 | 2011-12-31 | ||
| CN2012100498183A CN102624547A (zh) | 2011-12-31 | 2012-02-29 | 一种即时通信上网行为管理的方法、装置与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102624547A true CN102624547A (zh) | 2012-08-01 |
Family
ID=46564238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100498183A Pending CN102624547A (zh) | 2011-12-31 | 2012-02-29 | 一种即时通信上网行为管理的方法、装置与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102624547A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103677654A (zh) * | 2012-09-24 | 2014-03-26 | 联想(北京)有限公司 | 一种存储数据的方法及电子设备 |
| CN106227852A (zh) * | 2016-07-28 | 2016-12-14 | 中国石油天然气集团公司 | 地震勘探成果数据文件的识别方法和装置 |
| CN108140084A (zh) * | 2015-08-13 | 2018-06-08 | 格拉斯沃(Ip)有限公司 | 利用多层策略管理来管理风险 |
| CN108270783A (zh) * | 2018-01-15 | 2018-07-10 | 新华三信息安全技术有限公司 | 一种数据处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008009994A1 (en) * | 2006-07-19 | 2008-01-24 | Chronicle Solutions (Uk) Limited | Network monitoring by using packet header analysis |
| CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
| CN101639880A (zh) * | 2008-07-31 | 2010-02-03 | 华为技术有限公司 | 一种文件检测方法和装置 |
| CN101901315A (zh) * | 2010-07-12 | 2010-12-01 | 浪潮齐鲁软件产业有限公司 | 一种usb移动存储介质安全隔离与监控管理方法 |
| WO2011034813A2 (en) * | 2009-09-15 | 2011-03-24 | Backa Bruce R | System and method for determining true computer file type identity |
-
2012
- 2012-02-29 CN CN2012100498183A patent/CN102624547A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008009994A1 (en) * | 2006-07-19 | 2008-01-24 | Chronicle Solutions (Uk) Limited | Network monitoring by using packet header analysis |
| CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
| CN101639880A (zh) * | 2008-07-31 | 2010-02-03 | 华为技术有限公司 | 一种文件检测方法和装置 |
| WO2011034813A2 (en) * | 2009-09-15 | 2011-03-24 | Backa Bruce R | System and method for determining true computer file type identity |
| CN101901315A (zh) * | 2010-07-12 | 2010-12-01 | 浪潮齐鲁软件产业有限公司 | 一种usb移动存储介质安全隔离与监控管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 石宇: "文件类型的分析、判定与关键信息的提取", 《中国优秀硕士学位论文全文数据库信息科技辑》, no. 14, 15 December 2011 (2011-12-15) * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103677654A (zh) * | 2012-09-24 | 2014-03-26 | 联想(北京)有限公司 | 一种存储数据的方法及电子设备 |
| CN103677654B (zh) * | 2012-09-24 | 2018-03-23 | 联想(北京)有限公司 | 一种存储数据的方法及电子设备 |
| CN108140084A (zh) * | 2015-08-13 | 2018-06-08 | 格拉斯沃(Ip)有限公司 | 利用多层策略管理来管理风险 |
| CN106227852A (zh) * | 2016-07-28 | 2016-12-14 | 中国石油天然气集团公司 | 地震勘探成果数据文件的识别方法和装置 |
| CN108270783A (zh) * | 2018-01-15 | 2018-07-10 | 新华三信息安全技术有限公司 | 一种数据处理方法及装置 |
| CN108270783B (zh) * | 2018-01-15 | 2021-04-16 | 新华三信息安全技术有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| CN109495377B (zh) | 即时的电子邮件内嵌url的信誉确定设备、系统和方法 | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| US20090044006A1 (en) | System for blocking spam mail and method of the same | |
| CN101707608A (zh) | 应用层协议自动化测试方法及装置 | |
| CN102724317A (zh) | 一种网络数据流量分类方法和装置 | |
| CN101340290A (zh) | 一种内外网间安全传输数据的方法、系统及其传输卡 | |
| CN102594623A (zh) | 防火墙的数据检测方法及装置 | |
| CN112134893A (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| CN104320325A (zh) | 一种消息推送方法及装置 | |
| CN102624547A (zh) | 一种即时通信上网行为管理的方法、装置与系统 | |
| CN102780681A (zh) | Url过滤系统及过滤url的方法 | |
| CN108683589B (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
| CN102404341A (zh) | 电子邮件用户行为监测方法和装置 | |
| US9172607B2 (en) | Transmitting of configuration items within a network | |
| CN101778055B (zh) | 一种消息处理方法和网络实体 | |
| KR101826728B1 (ko) | 로그 관리 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| US20050216588A1 (en) | Blocking specified unread messages to avoid mailbox overflow | |
| CN111130993B (zh) | 一种信息提取的方法及装置、可读存储介质 | |
| CN114124555A (zh) | 报文回放方法、装置、电子设备及计算机可读介质 | |
| CN114328190A (zh) | 一种自动拆分ips事件的方法、系统及服务器 | |
| CN113938311A (zh) | 一种邮件攻击溯源方法及系统 | |
| CN118524163B (zh) | 基于网络协议分析获取工业网络中设备信息的方法及系统 | |
| CN106656729B (zh) | 一种发送信息的方法及装置 | |
| US20110265184A1 (en) | Security monitoring method, security monitoring system and security monitoring program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGY CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120801 |