專利名稱:一種實時傳訊會話的監(jiān)控方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)管理���,更具體地,涉及一種用于IM (Instant Messaging,實時傳訊)類應(yīng)用的使用過程中對會話進行監(jiān)控的方法及系統(tǒng)�����。
背景技術(shù):
目前的網(wǎng)絡(luò)環(huán)境當中IM類軟件越來越多的得到了用戶的使用�����,并且隨著軟件的發(fā)展��,各種IM類軟件都提供方便的網(wǎng)上聊天功能�。日益完善和增多的聊天功能給人們的學(xué)習���、生活、工作提供了很好的溝通渠道����,但隨之而來也出現(xiàn)了一些弊端。這主要體現(xiàn)在IM軟件的濫用上���,比如說上班時間聊天�、泄露內(nèi)部機密�����、占用網(wǎng)絡(luò)資源等等����。
目前對于IM應(yīng)用的具體監(jiān)控的考慮并不完善,很多產(chǎn)品只提供了某些IM類軟件的一些基本業(yè)務(wù)監(jiān)控功能���,例如MSN的聊天�����、文件傳輸?shù)染唧w網(wǎng)絡(luò)行為的監(jiān)控�����。但是大都缺乏對網(wǎng)絡(luò)當中IM類應(yīng)用的一種宏觀方向的監(jiān)控���,比如當前網(wǎng)絡(luò)環(huán)境當中MSN的使用會話數(shù)�����,qq的使用會話數(shù)等等����,這些信息可以更好的把握整體網(wǎng)絡(luò)環(huán)境當中的IM應(yīng)用情況���,以方便統(tǒng)一化的管理及有針對性的進行具體業(yè)務(wù)監(jiān)控。文中提到的會話并非傳統(tǒng)意義上的TCP連接會話��,而是在網(wǎng)絡(luò)聊天過程當中兩個客戶端之間聊天建立的會話通道�����。除了在總體上把握網(wǎng)絡(luò)環(huán)境當中的IM應(yīng)用情況還可以記錄不同用戶的IM類會話數(shù)量���,比如張三MSN會話數(shù)����、QQ的會話數(shù)等等,這有助于公司或組織內(nèi)部更好的掌握其成員的IM類軟件使用情況���,避免過多占用工作時間���。
此外,如果在監(jiān)控過程當中發(fā)現(xiàn)某一類IM會話數(shù)量或某用戶的IM會話數(shù)量異于日常使用情況���,也可能是用戶的客戶端存在病毒或被攻擊導(dǎo)致的自動發(fā)起會話�。目前���,還沒有一種可以對IM類會話的上述信息進行監(jiān)控的方法和系統(tǒng)���。
上述IM會話的監(jiān)控可應(yīng)用在網(wǎng)絡(luò)業(yè)務(wù)審計的方法和產(chǎn)品中,網(wǎng)絡(luò)業(yè)務(wù)審計系統(tǒng)目前應(yīng)用日益廣泛����,作為網(wǎng)絡(luò)安全防護的重要手段,它通過對業(yè)務(wù)系統(tǒng)中可信人員的網(wǎng)絡(luò)活動進行解析����、記錄����、分析以幫助管理人員事前規(guī)劃預(yù)防���、事中實時監(jiān)控���、違規(guī)行為阻止和事后追查網(wǎng)絡(luò)運營事故,從而幫助用戶加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管���、避免核心資產(chǎn)損失�����、保障客戶業(yè)務(wù)系統(tǒng)的正常運營����,是企業(yè)實現(xiàn)IT管理和控制的最佳實踐�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種實時傳訊會話的監(jiān)控方法及系統(tǒng)����,
用以實現(xiàn)對IM應(yīng)用中會話的宏觀監(jiān)控��,提高監(jiān)控范圍�。
申請人在對各類IM軟件使用的協(xié)議進行分析研究的同時���,發(fā)現(xiàn)大多數(shù)IM類應(yīng)用在發(fā)起一個新會話或終止一個已有會話的時候都會發(fā)送具有明顯標識的數(shù)據(jù)報文�,這說明更好的對IM類軟件的使用進行有效監(jiān)控以避免濫用問題是可能的�。
為了解決上述問題,本發(fā)明提供了一種實時傳訊會話的監(jiān)控方法�����,包括
(1 )對實時捕獲的數(shù)據(jù)報文進行協(xié)議解析����,如識別當前報文負載是與會話發(fā)起及終止相關(guān)的實時傳訊IM應(yīng)用的會話凈艮文,確定該才艮文的IM應(yīng)用類型并提取會話相關(guān)信息�����;
(2)依據(jù)會話狀態(tài)和提取的會話相關(guān)信息����,對保存的相應(yīng)會話的信息進行更新,并統(tǒng)計各類IM應(yīng)用的當前會話數(shù)量�����,對于新發(fā)起的會話則保存該會話相關(guān)信息,并相應(yīng)增加該會話所屬IM應(yīng)用的當前會話數(shù)量�����;對于即將終止的會話且該會話相關(guān)信息已存儲��,則刪除該會話信息�,并相應(yīng)減少該會話所屬IM應(yīng)用的當前會話數(shù)量;對于會話相關(guān)信息未保存的即將終止的會話無需處理��。
進一步的�����,所述會話相關(guān)信息包括會話雙方的用戶標識�����;
所述步驟(2)中���,還依據(jù)所述會話雙方的用戶標識和會話狀態(tài),統(tǒng)計當前網(wǎng)絡(luò)中的每一個用戶進行其使用的各類IM應(yīng)用會話數(shù)量的統(tǒng)計����,對于新發(fā)起的會話�����,則依據(jù)所述會話雙方的用戶標識����,相應(yīng)增加參與此次會話的用戶使用該會話所屬IM應(yīng)用的當前會話數(shù)量���;對于即將終止的會話且該會話相關(guān)信息已存儲��,則依據(jù)所述會話雙方的用戶標識��,相應(yīng)減少參與此次會話
6用戶使用該會話所屬IM應(yīng)用的當前會話數(shù)量�。
進一步的��,所述步驟(2)中���,對于新發(fā)起的會話還將捕獲發(fā)起會話的報文的系統(tǒng)時間記錄為會話發(fā)起時間����,對于即將終止的會話且該會話相關(guān)信息已存儲���,還記錄此時系統(tǒng)時間為會話終止時間�����,并根據(jù)會話發(fā)起時間和終止時間計算該會話在線時長��。
進一步的�,所述會話相關(guān)信息還包括會話使用的源端口及目的端口;
所述步驟(2)中�����,對于即將終止的會話�����,根據(jù)會話雙方的用戶標識以及會話使用的源端口及目的端口在保存的會話相關(guān)信息中查找���,確定該會話相關(guān)信息是否已保存�����,如果沒有找到相應(yīng)條目�,說明此會話與保存的IM應(yīng)用無關(guān),無需做任何處理����,如果查詢時找到相應(yīng)條目�,則刪除此條目。
進一步的����,所述步驟(2)之后還包括(3)依據(jù)統(tǒng)計出的當前網(wǎng)絡(luò)當中正在進行的IM會話情況及各會話相關(guān)信息,結(jié)合設(shè)定的控制策略進行控制處理�。
為了解決上述問題,本發(fā)明還提供了 一種實時傳訊業(yè)務(wù)多文件傳輸重組系統(tǒng)�����,包括實時傳訊IM應(yīng)用識別器�����、會話報文選擇器�����、會話信息提取器����、會話信息管理器�、會話信息存儲器及會話監(jiān)控器���,其中����,
所述IM應(yīng)用識別器��,用于對實時捕獲的數(shù)據(jù)報文進行協(xié)議解析�����,對IM應(yīng)用的會話報文���,根據(jù)各類IM應(yīng)用數(shù)據(jù)報文的標識特征確定當前使用的IM應(yīng)用類型�,將IM應(yīng)用的會話報文及其類型信息發(fā)送給會話報文選擇器�;
所述會話報文選擇器,用于依據(jù)IM會話報文的特征對M應(yīng)用識別器發(fā)來的IM應(yīng)用的所有數(shù)據(jù)報文進行匹配����,選擇出與會話發(fā)起及終止相關(guān)的報文,將選擇出的報文發(fā)送給會話信息提取器�,將該會話的狀態(tài)及其IM應(yīng)用類型信息發(fā)送給會話信息管理器;
所述會話信息提取器,從收到的與會話發(fā)起及終止相關(guān)的報文中提取會話相關(guān)信息��,并發(fā)送給會話信息管理器�����;
所述會話信息管理器��,用于依據(jù)所述會話相關(guān)信息對會話信息存儲器中保存的會話信息進行更新��,觸發(fā)會話監(jiān)控器工作并指示該會話狀態(tài)�;
所述會話信息存儲器�����,用于保存會話所屬IM應(yīng)用類型信息及提取的會話相關(guān)信息�;
所述會話監(jiān)控器,包括IM應(yīng)用會話數(shù)量統(tǒng)計單元�����,用于被觸發(fā)后�����,如會話狀態(tài)指示為發(fā)起時,相應(yīng)增加該會話所屬IM應(yīng)用的當前會話數(shù)量���;如會話狀態(tài)指示為終止���,相應(yīng)減少該會話所屬IM應(yīng)用的當前會話數(shù)量;對于會話相關(guān)信息未保存的即將終止的會話無需處理���。
進一步的���,所述會話監(jiān)控器,還包括用戶會話數(shù)量統(tǒng)計單元�,用于被觸發(fā)后,如會話狀態(tài)指示為發(fā)起時��,根據(jù)該會話雙方的用戶標識信息�,相應(yīng)增加相關(guān)用戶的當前會話數(shù)量,如會話狀態(tài)指示為終止�����,根據(jù)該會話雙方的用戶標識信息����,相應(yīng)減少相關(guān)用戶的當前會話數(shù)量���;
所述會話信息管理器,對于發(fā)起的會話���,還觸發(fā)用戶會話數(shù)量統(tǒng)計單元并指示該會話狀態(tài)���;對于終止的會話,如果在會話信息存儲器中查詢到已保存該會話的會話相關(guān)信息��,則觸發(fā)用戶會話數(shù)量統(tǒng)計單元并指示該會話狀態(tài)��。
進一步的��,所述會話監(jiān)控器�,還包括會話時長計算單元����,用于根據(jù)會話發(fā)起時間和終止時間計算該會話在線時長;
所述會話信息管理器���,對于發(fā)起的會話�����,還將會話發(fā)起時間保存到會話信息存儲器���;對于終止的會話���,則將刪除會話信息存儲器中該會話的會話相關(guān)信息的時間記錄為會話終止時間,將該會話的發(fā)起和終止時間發(fā)送給會話時長計算單元��。
進一步的��,所述會話信息管理器����,對于發(fā)起的會話,將該會話所屬IM應(yīng)用類型信息和提取的會話相關(guān)信息保存到會話信息存儲器����;對于終止的會話,先到會話信息存儲器查詢是否已保存該會話的會話相關(guān)信息�����,如已保存�,則刪除會話信息存儲器中該會話的會話相關(guān)信息。
進一步的���,所述實時傳訊IM業(yè)務(wù)多文件傳輸重組系統(tǒng)����,還包括所述會話控制處理裝置,用于依據(jù)統(tǒng)計出的當前網(wǎng)絡(luò)當中正在進行的IM會話情況及各會話相關(guān)信息�,結(jié)合設(shè)定的控制策略進行相應(yīng)的控制處理。
與現(xiàn)有技術(shù)相比�����,本發(fā)明解決了對IM軟件缺乏整體應(yīng)用情況監(jiān)控的不足����。從整個網(wǎng)絡(luò)環(huán)境的IM應(yīng)用情況出發(fā),對整體的IM軟件使用情況進行監(jiān)
8控�,既可以按照IM軟件類別準確的統(tǒng)計當前網(wǎng)絡(luò)環(huán)境當中各種IM軟件正在
進行的會話數(shù)量�����,也可以按照不同的用戶準確的監(jiān)控各用戶使用IM軟件的情況�����,方便網(wǎng)絡(luò)管理人員對整個網(wǎng)絡(luò)環(huán)境中的IM應(yīng)用進行整體的規(guī)劃��,有助于完善網(wǎng)絡(luò)管理體制,并在一定程度上具有檢測病毒或攻擊發(fā)生的功能����。此外,系統(tǒng)在設(shè)計的時候充分考慮了擴展性的問題��,對于新出現(xiàn)的IM軟件只需要添加具體會話識別方式�,無需對現(xiàn)有系統(tǒng)進行大的改動,因此也具有很好的靈活性和可擴展性�,可廣泛應(yīng)用網(wǎng)絡(luò)審計產(chǎn)品中。
圖l是本發(fā)明實施例IM會話監(jiān)控方法的流程圖�;圖2是本發(fā)明實施例M會話監(jiān)控系統(tǒng)的結(jié)構(gòu)圖。
具體實施例方式
本發(fā)明為了解決傳統(tǒng)技術(shù)方案存在的弊端�,通過以下具體實施例進一步闡述本發(fā)明所述的一種實時傳訊會話的監(jiān)控方法及系統(tǒng),以下對具體實施方式
進行詳細描述��,但不作為對本發(fā)明的限定�����。
如圖1所示��,是本發(fā)明實施例IM會話監(jiān)控方法在捕獲到數(shù)據(jù)報文后的處理流程���,包含以下步驟
步驟IOO��,實時捕獲數(shù)據(jù)報文���;
步驟IOI, IM應(yīng)用分類識別�����,即對實際捕獲的數(shù)據(jù)報文采用協(xié)議解析技術(shù)進行層次化解析�,根據(jù)各類IM應(yīng)用數(shù)據(jù)報文的標識特征確定當前使用的IM應(yīng)用類型�����;
步驟102�,依據(jù)該IM應(yīng)用的會話報文特征進行匹配,判斷該數(shù)據(jù)報文是否會話發(fā)起及終止相關(guān)的數(shù)據(jù)報文����,如果是,則執(zhí)行步驟103�����,如果不是�����,則丟棄所捕獲的報文�,結(jié)束;
步驟103��,會話信息提取��,即從會話發(fā)起或終止相關(guān)的數(shù)據(jù)報文中提取會話相關(guān)信息�����,同時可記錄正在發(fā)起會話的會話發(fā)起時間��;
步驟104,會話信息更新�����,即依據(jù)提取的會話相關(guān)信息對保存的會話信息進行更新�,如果是新發(fā)起的會話則保存該會話相關(guān)信息并可記錄會話發(fā)起時間,如果是即將終止的會話且該會話的會話相關(guān)信息已存儲�����,則刪除該會
話的會話相關(guān)信息并可記錄會話終止時間���;
步驟105,會話統(tǒng)計�,即在當前網(wǎng)絡(luò)環(huán)境中進行IM會話整體使用情況的統(tǒng)計,如依據(jù)IM應(yīng)用類型和會話狀態(tài)(如發(fā)起或終止)統(tǒng)計各類IM應(yīng)用的當前會話數(shù)量�����;依據(jù)提取的會話相關(guān)信息和會話狀態(tài)統(tǒng)計當前網(wǎng)絡(luò)用戶使用的IM應(yīng)用的會話數(shù)量���;還可根據(jù)會話發(fā)起時間和終止時間計算該會話在線時長等��;
步驟106�����,會話控制�,依據(jù)統(tǒng)計出的當前網(wǎng)絡(luò)當中正在進行的IM會話情況及各會話相關(guān)信息����,結(jié)合設(shè)定的控制策略進行控制處理,如實施阻斷��,會話審計等��。
上述會話信息更新��、會話統(tǒng)計和會話控制可以由不同的線程來并行處理��,并不要求有固定的先后順序��。
在步驟101中��,是以實際捕獲的網(wǎng)絡(luò)報文為樣本�、根據(jù)各種IM軟件通信過程中使用的協(xié)議格式或固定端口等特征對數(shù)據(jù)報文進行解析并且依據(jù)該軟件通信過程當中傳輸?shù)臄?shù)據(jù)報文當中具有的標識特征進行IM應(yīng)用類型的區(qū)分。
例如MSN軟件在使用過程當中使用固定1863端口并且傳輸?shù)臄?shù)據(jù)報文以特征關(guān)鍵字"MSG"開頭�,以下為實際MSN協(xié)議報文內(nèi)容。又如在雅虎通軟件在使用當中傳輸?shù)臄?shù)據(jù)報文以特征關(guān)鍵字"YMSG"開頭���,以下為雅虎通協(xié)議報文內(nèi)容�����。依據(jù)于相應(yīng)的報文特征我們首先唯一的確定當前使用的IM軟件類型�����。在確定了各種IM應(yīng)用數(shù)據(jù)"fe文所屬類型之后����,根據(jù)不同類型的IM軟件通信過程中建立或終止會話時具有的報文特征為^^莫式對所有當前IM應(yīng)用數(shù)據(jù)報文進行過濾���。
在步驟102中���,進行會話相關(guān)統(tǒng)計只需要保留包含會話相關(guān)信息的會話發(fā)起和終止相關(guān)的部分報文即可���。
例如在MSN協(xié)議使用過程中,當發(fā)起一個新的會話的時候服務(wù)器會向客
10隨后該
客戶端以標識為USR的報文向中轉(zhuǎn)服務(wù)器進行身份認證�����。隨后以標識為CAL的數(shù)據(jù)報文向中轉(zhuǎn)服務(wù)器發(fā)送會話呼叫請求��。當服務(wù)器以標識為JOI的數(shù)據(jù)報文返回時����,標識該會話連接已經(jīng)成功建立。樣本如下
表1
..M.......L. E
].隔.k.Z...oK..Z.G..p..:.8.(P.
0000 00 e0 4d a6 cc la 0017 df ba 4c 00 08 00 45 00
0010 00 7d 99 7c 40 00 6b 06 5a 82 cf 2e 6f 4b c0 a8
0020 lc 5a 07 47 Of 2e 70 b3 16 3a 11 38fe28 50 18
0030 fff4 lb bO 00 00 58 46 52 20 33 37 20 53 42 20 ......XFR37SB
0040 32 30 37 2e 34 36 2e 32 36 2e 31 36 37 3a 31 38 207.46.26.167:18
0050 36 33 20 43 4b 49 20 31 33 30 37 30 38 38 31 38
0060 37 2e 31 33 37 38 30 32 34 33 2e 31 35 31 33 30
0070 31 36 32 20 55 20 6d 65 73 73 65 6e 67 65 72 2e
0080 6d 73 6e 2e 63 6f 6d 20 31 0d Oa
63 CKI 1307088187.13780243.15130162 U messenger.msn.com l..
0000 00 17 dfba4c00 00e0 4da6ccla08 00 45 00 ...丄...M.....E.
0010 00 60 66 53 40 00 80 06cd6cc0a8 lc5acf2e .����、fS詠…L.Z..
0020 laa7 0f43 07 47ebe6dddd49 3d9fd3 50 18 ...C.G....I=..P.
0030 ff ff9f 89 00 00 55 53 52 20 32 20 68 73 75 6e ......USR2hsun
0040 40 69 73 2e 69 73 63 61 73 2e 61 63 2e 63 6e 20 卿s.iscas.ac.cn
0050 31 33 30 37 30 38 38 31 38 37 2e 31 33 37 38 30 1307088187.13780
0060 32 34 33 2e 31 35 31 33 30 31 36 32 OdOa 243.15130162..
000000 17dfba4c00 00e0 4da6cc la08 00 45 00 ...丄...M.....E.
001000 4b66 54 40 00訓(xùn)6cd80c0a8 lc5acf2e .KfT@........Z..
0020laa7 0f43 07 47ebe6del5 49 3da0 07 50 18 ...C.G....I=..P.0030ff cb 90 a8 00 00 43 41 4c 20 33 20 63 61 72 69 ......CAL 3 cari
00406e 61 66 75 62 61 69 6c 69 6e 67 40 68 6f 74 6d nafobailing@hotai 005061 69 6c 2e 63 6f 6d 0d 0a ail.頻..
0000 00e0 4da6cc la00 17dfba4c00 08 00 45 00 ..M.......L...E.
0010 00 5ec9 6f40 00 6b06 7f52cf2e laa7c0a8 A.o@.k..R......
0020 lc5a07 47 0f43 49 3da0 21 ebe6de38 50 18 .Z.G.CI= !…8P.
0030 ffa4d9 3f00 00 4a4f49 20 63 61 72 69 6e61 ... ..JOI carina
0040 66 75 62 61 69 6c 69 6e 67 40 68 6f 74 6d 61 69 fbbailing@hotmai
0050 6c 2e 63 6f 6d 20 e5 b0 8f e4 ba ba e9 bl bc 20 l.com.........
0060 31 39 38 35 38 35 39 36 32 38 OdOa 1985859628..
則在此樣本中,本階段步驟需要將這些數(shù)據(jù)報文提取出來以供會話信息 提取階段進行會話相關(guān)信息提取使用��。
在步驟103中���,據(jù)上一步中提供的數(shù)據(jù)報文及該IM應(yīng)用會話的發(fā)起和 終止標識�,在過濾后的數(shù)據(jù)報文中進行信息提取。對發(fā)起會話可提取會話發(fā) 起者ID�����、發(fā)起者IP�����、會話接收者ID���、接收者IP等會話雙方的標識信息以及 使用的源端口及目的端口等會話發(fā)起的相關(guān)信息;對終止會話可提取會話發(fā) 起者IP �、會話接收者IP以及使用的源端口及目的端口等會話終止的相關(guān)信息。 當然��,也可以將會話發(fā)起者ID和會話接收者ID提取出來���。
另外��,可為每一組需要保留的會話相關(guān)信息設(shè)置一個唯一會話標識�,以 幫助完成本次會話的相關(guān)統(tǒng)計�����。
這里,同樣利用協(xié)議解析技術(shù)在數(shù)據(jù)報文當中的相應(yīng)數(shù)據(jù)字段里面提取 這些會話相關(guān)信息���。仍以上一實施例中的樣本報文為例說明提取方法�。在標 識為XFR的數(shù)據(jù)報文中可知使用的中轉(zhuǎn)服務(wù)器地址即會話接收者IP為 207.46.26.167,在標識為USR的數(shù)據(jù)才艮文中可以提取會話發(fā)起者ID為 hsm@is.iscas.ac.cn ,在標識為CAL的數(shù)據(jù)報文中提取會話接收者ID為 carinafobailing@hotmail.com,在標識為JOI的數(shù)據(jù)報文中可知此會話已建立���。
12以捕獲該數(shù)據(jù)報文的系統(tǒng)時間作為會話發(fā)起時間�����。此外根據(jù)這些數(shù)據(jù)報文可 以有效提取當前會話所使用的端口 �����。
對于終止會話的相關(guān)信息的提取較為簡單����,進行會話統(tǒng)計的IM應(yīng)用(或
稱IM軟件)主要以TCP協(xié)議負載����,這些應(yīng)用在關(guān)閉會話的時候只需要關(guān)閉 該TCP會話連接即可。因此只要在網(wǎng)絡(luò)環(huán)境當中捕獲關(guān)閉TCP連接的數(shù)據(jù)報 文即可知該會話為即將終止的會話���,提取此連接的源IP���、目的IP(就是會話 發(fā)起者IP����、會話接收者IP)�、源端口、目的端口����。
步驟104中����,在提取出新建會話或終止會話的會話相關(guān)信息之后,對于 新建會話的會話相關(guān)信息應(yīng)建立新的會話信息存儲條目并可記錄該會話的發(fā) 起時間���;對于正在終止會話的會話相關(guān)信息需要根據(jù)上述四元組(即源IP��、 目的IP�����、源端口��、目的端口 )在保存的會話相關(guān)信息中查找�����,確定該會話相 關(guān)信息是否已保存���,如果沒有找到相應(yīng)條目��,說明此會話與保存的IM應(yīng)用 無關(guān)����,無需做任何處理�,如果查詢時找到相應(yīng)條目,則應(yīng)刪除此條目�����,同時 記錄此時系統(tǒng)時間為會話終止時間�,將該終止時間連同記錄的該會話的會話 發(fā)起時間和查詢結(jié)果一起作為實時統(tǒng)計的依據(jù)。
步驟105中����,依據(jù)會話所屬IM應(yīng)用類型信息和會話狀態(tài)信息對各類IM 應(yīng)用的當前會話數(shù)量進行統(tǒng)計;此外�,可進一步根據(jù)記錄的會話相關(guān)信息, 可針對當前網(wǎng)絡(luò)中的每一個用戶進行其使用的各類IM應(yīng)用的情況統(tǒng)計��。
若收到的是會話發(fā)起相關(guān)報文,則將此報文所屬的IM應(yīng)用類別當前會 話數(shù)加1 ��,例如用戶發(fā)起MSN會話��,則在當前網(wǎng)絡(luò)環(huán)境中的MSN會話統(tǒng)計 數(shù)量上增加1�。同時,按照會話發(fā)起源IP���、會話發(fā)起源ID以及會話接收者IP�����、 會話接收者ID對參與此次會話的用戶對于MSN使用的會話數(shù)量加1。會話 發(fā)起源IP和會話發(fā)起源ID共同標識唯一用戶����,會話接收者IP和會話接收者 ID共同標識唯一用戶�����。
若收到的是會話終止相關(guān)報文�,則需要等待步驟104提供的查詢結(jié)果, 若確認此次的會話終止并非已保存的IM類應(yīng)用����,則不做任何改動���。若確認 此次的會話終止為已保存的某類IM應(yīng)用,則需要將當前網(wǎng)絡(luò)環(huán)境中該IM應(yīng) 用的會話數(shù)量減l�����。同時����,按照該會話的會話發(fā)起源IP、會話發(fā)起源ID以及
13的會話數(shù)量減1 ����。(提取的信息中沒有會話發(fā)起者ID和會話接收者ID時, 可以從保存的會話相關(guān)信息查找到)
除此之外��,還可以根據(jù)步驟104提供的查詢結(jié)果和記錄的該會話的發(fā)起 和終止時間計算本次會話持續(xù)時間���,作為對于本次會話統(tǒng)計的結(jié)果。
步驟106中���,依據(jù)會話統(tǒng)計步驟提供的當前網(wǎng)絡(luò)當中正在進行的IM類 會話情況及各會話相關(guān)信息進行會話控制處理。例如當發(fā)現(xiàn)當前網(wǎng)絡(luò)環(huán)境當 中使用MSN或QQ的比例明顯高于其他IM類應(yīng)用�����,則可以對此兩種IM應(yīng) 用進行更加精確的審計力度或管理策略。又如若發(fā)現(xiàn)某用戶使用IM軟件的 種類過多���、個別IM應(yīng)用會話數(shù)量異?���;驎挸掷m(xù)時間過長則可以相應(yīng)的采 取有針對性的管理如阻斷部分連接的策略����。
如果僅需要進行統(tǒng)計的話���,步驟106是可選的���。另外,也可以不進行用 戶當前使用IM應(yīng)用的會話數(shù)量的統(tǒng)計���。
在另一實施例中�,如果不需統(tǒng)計會話持續(xù)時長����,則無需記錄會話的發(fā)起 時間和終止時間。對于下述裝置也是如此�,此時各功能模塊無需進行會話發(fā) 起和終止時間的記錄和計算。
圖2所示是本實施例提供的實時傳訊會話的監(jiān)控系統(tǒng)���,包括IM應(yīng)用識 別器200�、會話報文選擇器201�����、會話信息提取器202����、會話信息管理器203、 會話信息存儲器204�、會話監(jiān)控器205及會話控制處理裝置206,會話監(jiān)控器 205進一步包括IM應(yīng)用會話數(shù)量統(tǒng)計單元、用戶會話數(shù)量統(tǒng)計單元和會話時 長計算單元����;其中
IM應(yīng)用識別器200����,用于對實時捕獲的數(shù)據(jù)報文進行協(xié)議解析�,丟棄非 IM應(yīng)用的會話報文,對IM應(yīng)用的會話報文����,根據(jù)各類IM應(yīng)用數(shù)據(jù)報文的 標識特征確定當前使用的IM應(yīng)用類型,將IM應(yīng)用的會話凈艮文及其類型信息 發(fā)送給會話報文選擇器201��。
會話報文選擇器201 ����,用于依據(jù)IM會話報文的特征對IM應(yīng)用識別器200 發(fā)來的IM應(yīng)用的所有數(shù)據(jù)報文進行匹配,選擇出與會話發(fā)起及終止相關(guān)的 報文�����,將選擇出的報文發(fā)送給會話信息提取器202�����,將該會話的狀態(tài)及其M 應(yīng)用類型信息發(fā)送給會話信息管理器203�����。
14會話信息提取器202,從收到的與會話發(fā)起及終止相關(guān)的報文中提取會 話相關(guān)信息�,如會話雙方的標識信息和使用的端口信息,同時可記錄會話發(fā) 起時間��。將這些信息發(fā)送給會話信息管理器203;
會話信息管理器203,對于發(fā)起的會話����,將該會話所屬IM應(yīng)用類型信息、 提取的會話相關(guān)信息和會話發(fā)起時間保存到會話信息存儲器204,觸發(fā)IM應(yīng) 用會話數(shù)量統(tǒng)計單元和用戶會話數(shù)量統(tǒng)計單元并指示該會話狀態(tài)��;對于終止 的會話��,先到會話信息存儲器204查詢是否已保存該會話的會話相關(guān)信息�, 如已保存,則刪除會話信息存儲器204中該會話的會話相關(guān)信息并記錄會話 終止時間�����,觸發(fā)IM應(yīng)用會話數(shù)量統(tǒng)計單元和用戶會話數(shù)量統(tǒng)計單元并指示 該會話狀態(tài)��,并將該會話的發(fā)起和終止時間發(fā)送給會話時長計算單元�����。
會話信息存儲器204,用于保存會話所屬IM應(yīng)用類型信息����、提取的會話 相關(guān)信息和會話發(fā)起時間信息��。
會話監(jiān)控器205���,進一步包括
IM應(yīng)用會話數(shù)量統(tǒng)計單元,用于被觸發(fā)后��,如會話狀態(tài)指示為發(fā)起時����, 將該會話所屬IM應(yīng)用的當前會話數(shù)量加1;如會話狀態(tài)指示為終止,將其所 屬IM應(yīng)用的當前會話數(shù)量減1 �。
用戶會話數(shù)量統(tǒng)計單元,用于被觸發(fā)后���,如會話狀態(tài)指示為發(fā)起時���,根 據(jù)該會話用戶標識信息將相關(guān)用戶的當前會話數(shù)量加1,如會話狀態(tài)指示為 終止,將相關(guān)用戶的當前會話數(shù)量減�。
會話時長計算單元,用于根據(jù)會話發(fā)起時間和終止時間計算該會話在線 時長���。
會話控制處理裝置206����,用于對統(tǒng)計狀態(tài)進行檢測�����,依據(jù)統(tǒng)計出的當前 網(wǎng)絡(luò)當中正在進行的IM會話情況及各會話相關(guān)信息���,結(jié)合設(shè)定的控制策略 進行相應(yīng)的控制處理���,如實施阻斷,會話審計等��。
當然����,本發(fā)明還可有其他多種實施例,在不背離本發(fā)明精神及其實質(zhì)的 情況下�����,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形����, 但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護范圍����。
1權(quán)利要求
1��、一種實時傳訊會話的監(jiān)控方法���,其特征在于����,包括(1)對實時捕獲的數(shù)據(jù)報文進行協(xié)議解析��,如識別當前報文負載是與會話發(fā)起及終止相關(guān)的實時傳訊IM應(yīng)用的會話報文��,確定該報文的IM應(yīng)用類型并提取會話相關(guān)信息�;(2)依據(jù)會話狀態(tài)和提取的會話相關(guān)信息,對保存的相應(yīng)會話的信息進行更新����,并統(tǒng)計各類IM應(yīng)用的當前會話數(shù)量,對于新發(fā)起的會話則保存該會話相關(guān)信息�,并相應(yīng)增加該會話所屬IM應(yīng)用的當前會話數(shù)量;對于即將終止的會話且該會話相關(guān)信息已存儲���,則刪除該會話信息���,并相應(yīng)減少該會話所屬IM應(yīng)用的當前會話數(shù)量����;對于會話相關(guān)信息未保存的即將終止的會話無需處理�����。
2��、 如權(quán)利要求1所述的方法�,其特征在于���, 所述會話相關(guān)信息包括會話雙方的用戶標識���;所述步驟(2)中,還依據(jù)所述會話雙方的用戶標識和會話狀態(tài)�����,統(tǒng)計當 前網(wǎng)絡(luò)中的每一個用戶進行其使用的各類IM應(yīng)用會話數(shù)量的統(tǒng)計����,對于新 發(fā)起的會話����,則依據(jù)所述會話雙方的用戶標識���,相應(yīng)增加參與此次會話的用 戶使用該會話所屬IM應(yīng)用的當前會話數(shù)量�;對于即將終止的會話且該會話 相關(guān)信息已存儲�,則依據(jù)所述會話雙方的用戶標識,相應(yīng)減少參與此次會話 用戶使用該會話所屬IM應(yīng)用的當前會話數(shù)量��。
3����、 如權(quán)利要求2所述的方法,其特征在于��,所述步驟(2)中�����,對于新發(fā)起的會話還將捕獲發(fā)起會話的報文的系統(tǒng)時 間記錄為會話發(fā)起時間���,對于即將終止的會話且該會話相關(guān)信息已存儲�����,還 記錄此時系統(tǒng)時間為會話終止時間���,并根據(jù)會話發(fā)起時間和終止時間計算該 會話在線時長����。
4�、 如權(quán)利要求3所述的方法��,其特征在于�, 所述會話相關(guān)信息還包括會話使用的源端口及目的端口;所述步驟(2)中���,對于即將終止的會話�����,根據(jù)會話雙方的用戶標識以及 會話使用的源端口及目的端口在保存的會話相關(guān)信息中查找�,確定該會話相關(guān)信息是否已保存�,如果沒有找到相應(yīng)條目,說明此會話與保存的IM應(yīng)用無關(guān)���,無需做任何處理����,如果查詢時找到相應(yīng)條目,則刪除此條目����。
5、 如權(quán)利要求4所述的方法�,其特征在于,所述步驟(2)之后還包括(3 )依據(jù)統(tǒng)計出的當前網(wǎng)絡(luò)當中正在進行的IM會話情況及各會話相關(guān) 信息�,結(jié)合設(shè)定的控制策略進行控制處理。
6��、 一種實時傳訊業(yè)務(wù)多文件傳輸重組系統(tǒng)�����,其特征在于�����,實時傳訊IM 應(yīng)用識別器���、會話報文選擇器����、會話信息提取器、會話信息管理器�、會話信 息存儲器及會話監(jiān)控器,其中���,所述M應(yīng)用識別器�����,用于對實時捕獲的數(shù)據(jù)報文進行協(xié)議解析����,對IM 應(yīng)用的會話報文�����,根據(jù)各類IM應(yīng)用數(shù)據(jù)報文的標識特征確定當前使用的IM 應(yīng)用類型���,將IM應(yīng)用的會話報文及其類型信息發(fā)送給會話報文選擇器;所述會話才艮文選擇器�����,用于依據(jù)IM會話報文的特征對IM應(yīng)用識別器發(fā) 來的IM應(yīng)用的所有數(shù)據(jù)報文進行匹配,選擇出與會話發(fā)起及終止相關(guān)的報 文���,將選擇出的報文發(fā)送給會話信息提取器���,將該會話的狀態(tài)及其IM應(yīng)用 類型信息發(fā)送給會話信息管理器;所述會話信息提取器��,從收到的與會話發(fā)起及終止相關(guān)的報文中提取會 話相關(guān)信息���,并發(fā)送給會話信息管理器����;所述會話信息管理器�,用于依據(jù)所述會話相關(guān)信息對會話信息存儲器中 保存的會話信息進行更新,觸發(fā)會話監(jiān)控器工作并指示該會話狀態(tài)�����;所述會話信息存儲器���,用于保存會話所屬IM應(yīng)用類型信息及提取的會 話相關(guān)信息���;所述會話監(jiān)控器�,包括IM應(yīng)用會話數(shù)量統(tǒng)計單元����,用于被觸發(fā)后,如 會話狀態(tài)指示為發(fā)起時����,相應(yīng)增加該會話所屬IM應(yīng)用的當前會話數(shù)量;如 會話狀態(tài)指示為終止�,相應(yīng)減少該會話所屬IM應(yīng)用的當前會話數(shù)量;對于 會話相關(guān)信息未保存的即將終止的會話無需處理����。
7、 如權(quán)利要求6所述的系統(tǒng)����,其特征在于,所述會話監(jiān)控器�����,進一步包括用戶會話數(shù)量統(tǒng)計單元��,用于被觸發(fā)后�,如會話狀態(tài)指示為發(fā)起時,根據(jù)該會話雙方的用戶標識信息��,相應(yīng)增加相關(guān) 用戶的當前會話數(shù)量�,如會話狀態(tài)指示為終止,根據(jù)該會話雙方的用戶標識信息���,相應(yīng)減少相關(guān)用戶的當前會話數(shù)量�����;所述會話信息管理器���,對于發(fā)起的會話,還觸發(fā)用戶會話數(shù)量統(tǒng)計單元 并指示該會話狀態(tài)��;對于終止的會話�����,如杲在會話信息存儲器中查詢到已保 存該會話的會話相關(guān)信息����,則觸發(fā)用戶會話數(shù)量統(tǒng)計單元并指示該會話狀態(tài)。
8����、 如權(quán)利要求7所述的系統(tǒng)���,其特征在于,所述會話監(jiān)控器����,進一步包括會話時長計算單元,用于根據(jù)會話發(fā)起 時間和終止時間計算該會話在線時長���;所述會話信息管理器����,對于發(fā)起的會話���,還將會話發(fā)起時間保存到會話 信息存儲器����;對于終止的會話�����,則將刪除會話信息存儲器中該會話的會話相 關(guān)信息的時間記錄為會話終止時間�����,將該會話的發(fā)起和終止時間發(fā)送i會會話 時長計算單元�����。
9����、 如權(quán)利要求8所述的系統(tǒng),其特征在于�����,所述會話信息管理器�,對于發(fā)起的會話,將該會話所屬IM應(yīng)用類型信 息和提取的會話相關(guān)信息保存到會話信息存儲器�����;對于終止的會話��,先到會 話信息存儲器查詢是否已保存該會話的會話相關(guān)信息�,如已保存,則刪除會 話信息存儲器中該會話的會話相關(guān)信息。
10�����、 如權(quán)利要求6所述的系統(tǒng)����,其特征在于,還包括所述會話控制處理裝置��,用于依據(jù)統(tǒng)計出的當前網(wǎng)絡(luò)當中正在進行的IM 會話情況及各會話相關(guān)信息��,結(jié)合設(shè)定的控制策略進行相應(yīng)的控制處理�����。
全文摘要
本發(fā)明公開一種實時傳訊會話的監(jiān)控方法及系統(tǒng)����,所述方法包括(1)對實時捕獲的數(shù)據(jù)報文進行協(xié)議解析,如識別當前報文負載是與會話發(fā)起及終止相關(guān)的IM應(yīng)用的會話報文�����,確定該報文的IM應(yīng)用類型并提取會話相關(guān)信息�;(2)依據(jù)會話狀態(tài)和提取的會話相關(guān)信息���,對保存的相應(yīng)會話的信息進行更新����,并統(tǒng)計各類IM應(yīng)用的當前會話數(shù)量,對于新發(fā)起的會話則保存該會話相關(guān)信息��,并相應(yīng)增加該會話所屬IM應(yīng)用的當前會話數(shù)量�;對于即將終止的會話且該會話相關(guān)信息已存儲,則刪除該會話信息��,并相應(yīng)減少該會話所屬IM應(yīng)用的當前會話數(shù)量�����;對于會話相關(guān)信息未保存的即將終止的會話無需處理����。本發(fā)明用以實現(xiàn)對IM應(yīng)用中會話的宏觀監(jiān)控,提高監(jiān)控范圍���。
文檔編號H04L12/24GK101582791SQ200810111790
公開日2009年11月18日 申請日期2008年5月16日 優(yōu)先權(quán)日2008年5月16日
發(fā)明者孫海波, 王雷章 申請人:北京啟明星辰信息技術(shù)股份有限公司