文件類型識別方法及裝置制造方法
【專利摘要】本發(fā)明涉及一種文件類型識別方法���,包括:對文件的文件特征進行預(yù)編譯,從而獲取位圖特征�����,所述位圖特征包括第一偏移量和所述第一偏移量對應(yīng)的第一字符值��;從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流�,所述文件流包括第二偏移量和所述第二偏移量對應(yīng)的第二字符值;根據(jù)所述第二偏移量從所述位圖特征中查找與所述第二偏移量相匹配的第一偏移量����;將所述第二字符值與各所述第一字符值依次進行運算����,得到運算結(jié)果�;根據(jù)所述運算結(jié)果確定所述第一文件的文件類型。本發(fā)明可以高效準確地識別文件類型�����、實時告警特定文件類型和跟蹤局域網(wǎng)內(nèi)用戶操作�����,細?����;尸F(xiàn)用戶上傳或下載文件的行為�。
【專利說明】文件類型識別方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機及網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種文件類型識別方法及裝置���?����!颈尘凹夹g(shù)】
[0002]隨著科學(xué)技術(shù)的不斷發(fā)展�,人們對網(wǎng)絡(luò)的依賴程度越來越高,并通過網(wǎng)絡(luò)來傳輸數(shù)據(jù)����,然而在傳輸數(shù)據(jù)的同時,信息安全也面臨著極大的挑戰(zhàn)�。為了防止機密信息泄露,網(wǎng)絡(luò)管理員或企業(yè)常常需要對傳輸文件的類型進行識別和檢測�����。
[0003]現(xiàn)有的文件類型識別技術(shù)通過應(yīng)用識別及協(xié)議深度分析�,獲取文件名��,并依賴文件名中的后綴名確定文件類型��。該方法雖然不需要查找文件邊界�����,不需要分析文件內(nèi)容���,但是在實際應(yīng)用中如果文件的文件名被修改�����,將會識別出錯誤的結(jié)果����,因此,使用這種技術(shù)正確識別率低并且差錯不可預(yù)期�。
[0004]同時,基于魔鬼數(shù)字的文件類型識別方法�����,該方法與文件頭數(shù)據(jù)流進行匹配�����,根據(jù)匹配結(jié)果判斷文件類型�。該方法雖然能有效識別文件類型,但是采用字符串進行比較����,識別效率低,不能滿足網(wǎng)絡(luò)設(shè)備對轉(zhuǎn)發(fā)性能的需求����。
[0005]因此,現(xiàn)有的文件類型識別技術(shù)都不能準確高效地識別文件類型。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是提高文件類型識別準確率��,避免后綴名識別錯誤帶來的隱患���;識別過程采用邏輯運算�,大大提高了文件類型識別的效率�����。
[0007]為實現(xiàn)上述目的���,本發(fā)明提供了一種文件類型識別方法���,該方法包括:
[0008]對文件的文件特征進行預(yù)編譯����,從而獲取位圖特征,所述位圖特征包括第一偏移量和所述第一偏移量對應(yīng)的第一字符值�;
[0009]從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流,所述文件流包括第二偏移量和所述第二偏移量對應(yīng)的第二字符值�����;
[0010]根據(jù)所述第二偏移量從所述位圖特征中查找與所述第二偏移量相匹配的第一偏
移量;
[0011]將所述第二字符值與各所述第一字符值依次進行運算,得到運算結(jié)果���;
[0012]根據(jù)所述運算結(jié)果確定所述第一文件的文件類型����。
[0013]進一步地�,所述根據(jù)所述運算結(jié)果確定所述第一文件的文件類型之后還包括:對所述第一文件的文件類型進行處理。
[0014]進一步地�����,所述運算為與運算�,從而縮小查找文件類型的范圍。
[0015]進一步地�����,對文件的文件特征進行預(yù)編譯�����,從而獲取位圖特征之后還包括:將所述位圖特征在進程啟動時加載到內(nèi)存中�����。
[0016]進一步地,所述位圖特征還包括文件類型ID ;所述將所述第二字符值與各所述第一字符值依次進行運算����,得到運算結(jié)果包括:
[0017]判斷所述第二字符值與所述第一字符值是否匹配;[0018]如果所述第二字符值與所述第一字符值匹配�,則根據(jù)當(dāng)前所述第一字符值所對應(yīng)的所述文件類型ID確定所述第一文件的文件類型;
[0019]如果所述第二字符值與所述第一字符值不匹配����,則判斷所述第一文件的文件類型為異常文件類型。
[0020]進一步地����,所述異常文件類型包括內(nèi)容篡改文件類型和未知文件類型。
[0021]進一步地��,所述從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流���,還包括獲取文件邊界,所述文件邊界用于確定所述傳輸?shù)臄?shù)據(jù)包的開始時間和結(jié)束時間���。
[0022]另一方面���,本發(fā)明提供了一種文件類型識別裝置,所述裝置包括特征編譯模塊、文件邊界獲取模塊�、類型識別模塊、結(jié)果決策模塊�����、策略模塊和策略匹配模塊�;
[0023]特征編譯模塊,用于對文件的文件特征進行預(yù)編譯�,從而獲取位圖特征,所述位圖特征包括文件類型ID���、第一偏移量和所述第一偏移量對應(yīng)的第一字符值�;
[0024]策略模塊��,用于指示所述第一文件的文件類型如何處理�;
[0025]文件邊界獲取模塊,用于從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流和文件邊界�,所述文件流包括第二偏移量和所述第二偏移量對應(yīng)的第二字符值;
[0026]類型識別模塊����,用于根據(jù)所述第二偏移量從所述位圖特征中查找與所述第二偏移量相匹配的第一偏移量;將所述第二字符值與各所述第一字符值依次進行運算���,得到運算結(jié)果;
[0027]結(jié)果決策模塊�����,用于根據(jù)所述運算結(jié)果確定所述第一文件的文件類型�;
[0028]策略匹配模塊,用于根據(jù)所述策略模塊����,對所述第一文件的文件類型進行處理。
[0029]本發(fā)明的主要優(yōu)點在于:
[0030]1����、在下一代防火墻的數(shù)據(jù)防泄露功能應(yīng)用中,可以實時告警特定文件類型文件的發(fā)送或接收�����。
[0031]2����、在下一代防火墻的數(shù)據(jù)防泄露功能應(yīng)用中,可以高效準確地識別文件類型���,為文件解析和內(nèi)容審計等功能提供保障����。
[0032]3�、在上網(wǎng)行為管理等網(wǎng)絡(luò)監(jiān)控設(shè)備應(yīng)用中,可以跟蹤局域網(wǎng)內(nèi)用戶的操作����,細粒化呈現(xiàn)用戶下載或上傳的行為�����。
【專利附圖】
【附圖說明】
[0033]圖1為本發(fā)明實施例提供的文件類型識別方法流程圖�;
[0034]圖2為本發(fā)明實施例提供的文件類型識別裝置的示意圖;
[0035]圖3為本發(fā)明實施例提供的位圖特征示意圖����。
【具體實施方式】
[0036]下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述�����。
[0037]圖1為本發(fā)明實施例提供的文件類型識別方法流程圖��。如圖1所示����,該方法包括如下步驟:
[0038]步驟101�����,對文件的文件特征進行預(yù)編譯���,從而獲取位圖特征,位圖特征包括第一
偏移量和所述第一偏移量對應(yīng)的第一字符值����;
[0039]進一步地,從而獲取位圖特征之后還包括:將位圖特征在進程啟動時加載到內(nèi)存中��。
[0040]步驟102����,從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流,文件流包括第二偏移量和所述第二偏移量對應(yīng)的第二字符值�;
[0041]進一步地,從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流�,還包括獲取文件邊界,文件邊界用于確定傳輸?shù)臄?shù)據(jù)包的開始時間和結(jié)束時間��。
[0042]步驟103,根據(jù)第二偏移量從位圖特征中查找與第二偏移量相匹配的第一偏移量;
[0043]步驟104,將第二字符值與各第一字符值依次進行運算�,得到運算結(jié)果;
[0044]進一步地���,位圖特征還包括文件類型ID ;將第二字符值與各第一字符值依次進行運算,得到運算結(jié)果包括:
[0045]判斷第二字符值與第一字符值是否匹配���;
[0046]如果第二字符值與第一字符值匹配�,則根據(jù)當(dāng)前第一字符值所對應(yīng)的文件類型ID確定第一文件的文件類型��;
[0047]如果第二字符值與第一字符值不匹配���,則判斷第一文件的文件類型為異常文件類型��。
[0048]進一步地��,所述異常文件類型包括內(nèi)容篡改文件類型和未知文件類型����。
[0049]進一步地��,運算為與運算���,從而縮小查找文件類型的范圍����。
[0050]步驟105,根據(jù)運算結(jié)果確定第一文件的文件類型���。
[0051]進一步地����,對第一文件的文件類型進行處理�。
[0052]圖2為本發(fā)明實施例提供的一種文件類型識別裝置結(jié)構(gòu)示意圖。如圖2所示����,文件類型識別裝置包括特征編譯模塊20、文件邊界獲取模塊10�����、類型識別模塊30����、結(jié)果決策模塊40、策略模塊60和策略匹配模塊50��。
[0053]特征編譯模塊20,用于對文件的文件特征進行預(yù)編譯���,從而獲取位圖特征�����,位圖特征包括文件類型ID、第一偏移量和所述第一偏移量對應(yīng)的第一字符值�����。
[0054]策略模塊60��,用于指示第一文件的文件類型如何處理�����。��;
[0055]文件邊界獲取模塊10�����,用于從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流和文件邊界��,文件流包括第二偏移量和所述第二偏移量對應(yīng)的第二字符值。
[0056]類型識別模塊30���,用于根據(jù)第二偏移量從所述位圖特征中查找與第二偏移量相匹配的第一偏移量�����;將第二字符值與各第一字符值依次進行運算����,得到運算結(jié)果�����。
[0057]結(jié)果決策模塊40���,用于根據(jù)運算結(jié)果確定第一文件的文件類型�����。
[0058]策略匹配模塊50�,用于根據(jù)策略模塊60��,對第一文件的文件類型進行處理����。
[0059]圖3為本發(fā)明實施例提供的位圖特征示意圖�����。如圖3所示���,該圖包括文件類型ID,第一偏移量和第一偏移量對應(yīng)的第一字符值�����。將文件流中的第二偏移量從位圖特征中查找與第二偏移量相匹配的第一偏移量��;將第二字符值與各第一字符值依次進行與運算�����,若與運算結(jié)果為1�,則根據(jù)與第二字符值進行與運算結(jié)果為I的第一字符值的當(dāng)前位置�����,確定文件類型ID�,并根據(jù)文件類型ID確定文件類型�。
[0060]以上所述的【具體實施方式】��,對本發(fā)明的目的����、技術(shù)方案和有益效果進行了進一步詳細說明,所應(yīng)理解的是�����,以上所述僅為本發(fā)明的【具體實施方式】而已���,并不用于限定本發(fā)明的保護范圍����,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改�����、等同替換�����、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�����。
【權(quán)利要求】
1.一種文件類型識別方法�,其特征在于,包括: 對文件的文件特征進行預(yù)編譯���,從而獲取位圖特征����,所述位圖特征包括第一偏移量和所述第一偏移量對應(yīng)的第一字符值���; 從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流,所述文件流包括第二偏移量和所述第二偏移量對應(yīng)的第二字符值��; 根據(jù)所述第二偏移量從所述位圖特征中查找與所述第二偏移量相匹配的第一偏移量; 將所述第二字符值與各所述第一字符值依次進行運算�����,得到運算結(jié)果�����; 根據(jù)所述運算結(jié)果確定所述第一文件的文件類型。
2.根據(jù)權(quán)利要求1所述的一種文件類型識別方法��,其特征在于��,所述根據(jù)所述運算結(jié)果確定所述第一文件的文件類型之后還包括:對所述第一文件的文件類型進行處理�����。
3.根據(jù)權(quán)利要求1所述的一種文件類型識別方法����,其特征在于,所述運算為與運算�,從而縮小查找文件類型的范圍。
4.根據(jù)權(quán)利要求1所述的一種文件類型識別方法����,其特征在于,對文件的文件特征進行預(yù)編譯�����,從而獲取位圖特征之后還包括:將所述位圖特征在進程啟動時加載到內(nèi)存中�。
5.根據(jù)權(quán)利要求1所述的一種文件類型識別方法�,其特征在于���,所述位圖特征還包括文件類型ID ;所述將所述第二字符值與各所述第一字符值依次進行運算�,得到運算結(jié)果包括: 判斷所述第二字符值與所述第一字符值是否匹配��;` 如果所述第二字符值與所述第一字符值匹配��,則根據(jù)當(dāng)前所述第一字符值所對應(yīng)的所述文件類型ID確定所述第一文件的文件類型��; 如果所述第二字符值與所述第一字符值不匹配�,則判斷所述第一文件的文件類型為異常文件類型。
6.根據(jù)權(quán)利要求1所述的一種文件類型識別方法��,其特征在于���,所述異常文件類型包括內(nèi)容篡改文件類型和未知文件類型����。
7.根據(jù)權(quán)利要求1所述的一種文件類型識別方法���,其特征在于,所述從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流����,還包括獲取文件邊界��,所述文件邊界用于確定所述傳輸?shù)臄?shù)據(jù)包的開始時間和結(jié)束時間�。
8.一種文件類型識別裝置���,其特征在于���,所述裝置包括特征編譯模塊、文件邊界獲取模塊��、類型識別模塊���、結(jié)果決策模塊�����、策略模塊和策略匹配模塊����; 特征編譯模塊��,用于對文件的文件特征進行預(yù)編譯,從而獲取位圖特征�����,所述位圖特征包括文件類型ID��、第一偏移量和所述第一偏移量對應(yīng)的第一字符值�; 策略模塊,用于指示所述第一文件的文件類型如何處理����; 文件邊界獲取模塊,用于從傳輸?shù)臄?shù)據(jù)包中獲取需要識別文件類型的第一文件的文件流和文件邊界��,所述文件流包括第二偏移量和所述第二偏移量對應(yīng)的第二字符值�����; 類型識別模塊�,用于根據(jù)所述第二偏移量從所述位圖特征中查找與所述第二偏移量相匹配的第一偏移量;將所述第二字符值與各所述第一字符值依次進行運算����,得到運算結(jié)果; 結(jié)果決策模塊,用于根據(jù)所述運算結(jié)果確定所述第一文件的文件類型�����;策略匹配模塊�, 用于根據(jù)所述策略模塊,對所述第一文件的文件類型進行處理�。
【文檔編號】G06F17/30GK103701821SQ201310750085
【公開日】2014年4月2日 申請日期:2013年12月31日 優(yōu)先權(quán)日:2013年12月31日
【發(fā)明者】郭璞, 曹政, 劉巖 申請人:北京網(wǎng)康科技有限公司