一种文件的还原方法及系统技术方案

本发明专利技术公开了一种文件的还原方法及系统，该方法包括：根据通用字段特征，从获取到的网络流量中确定至少一个通用字段；基于通用字段的属性信息，确定通用字段的还原顺序；基于还原顺序分别对通用字段的内容进行还原，形成通用字段对应的原始文件。本发明专利技术根据从网络流量中根据特征解析获取文件还原所需的通用字段，并且根据各通用字段之间的固有属性信息，以此确定还原顺序并进行对应通用字段内容的还原，得到对应的原始文件，通过通用字段屏蔽了不同协议之间传输文件的差异性，使文件还原方法具备适合各种协议使用的通用性，解决了现有技术中文件还原方法不具有通用性，使用范围局限的问题。

A method and system of restoring files

The invention discloses a method and system for restoring files, the method includes: determining at least one general field from the acquired network traffic according to the characteristics of the general field; determining the restoring order of the general field based on the attribute information of the general field; restoring the contents of the general field respectively based on the restoring order to form the original file corresponding to the general field. According to the feature analysis of network traffic, the invention obtains the general fields required for file restoration, and determines the restoration order and restores the contents of the corresponding general fields according to the inherent attribute information between the general fields, so as to obtain the corresponding original files. Through the general fields, the differences of the transmission files between different protocols are shielded, so that the file restoration method has It is suitable for the general use of various protocols, and solves the problem that the file restore method in the prior art is not general and the use scope is limited.

【技术实现步骤摘要】
一种文件的还原方法及系统
本专利技术涉及网络安全领域，特别涉及一种文件的还原方法及系统。
技术介绍
在目前的网络环境中，传输文件的方式有很多种，可以通过网页获取文件，也可以通过邮件发送附件，或是通过文件传输协议(FTP)下载文件等等。由于传输时使用的应用层协议不同，传输格式又可分为单流传输与多流传输，当前大部分即时通讯类应用(IM，InstantMessaging)采用多流传输方式。单流传输指文件属性字段(包括文件名、文件大小、文件方向等)与文件内容在一条流中传输；多流传输指文件属性与文件内容在多条流中传输，文件属性、文件内容或文件内容之间都有可能在不同流中传输。目前的网络文件还原方法主要有两种：基于特定协议的文件还原方法和基于文件开始、文件结束的方法。基于特定协议的文件还原方法只能还原特定协议下传输的文件，不具有通用性。而基于文件开始、文件结束的文件还原方法具有一定的通用性，但该方法中文件开始的确定依赖于文件头模板，且只能得到有限的几种文件类型的文件内容，并且缺少文件属性字段，无法组成原始文件。专利
技术实现思路
本专本文档来自技高网...

【技术保护点】
1.一种文件的还原方法，其特征在于，包括：/n根据通用字段特征，从获取到的网络流量中确定至少一个通用字段；/n基于所述通用字段的属性信息，确定所述通用字段的还原顺序；/n基于所述还原顺序分别对所述通用字段的内容进行还原，形成所述通用字段对应的原始文件。/n

【技术特征摘要】
1.一种文件的还原方法，其特征在于，包括：
根据通用字段特征，从获取到的网络流量中确定至少一个通用字段；
基于所述通用字段的属性信息，确定所述通用字段的还原顺序；
基于所述还原顺序分别对所述通用字段的内容进行还原，形成所述通用字段对应的原始文件。


2.根据权利要求1所述的还原方法，其特征在于，所述通用字段至少包括以下之一：文件属性字段、关联ID字段、文件块内容、文件结束字段；其中，所述文件块内容中至少包括块ID和/或块偏移量。


3.根据权利要求2所述的还原方法，其特征在于，所述基于所述通用字段的属性信息，确定所述通用字段的还原顺序之前，还包括：
检测所述通用字段中是否包括所述文件属性字段；
在所述通用字段中包括所述文件属性信息的情况下，确定所述网络流量为主流；
在所述通用字段中不包括所述文件属性信息的情况下，确定所述网络流量为从流。


4.根据权利要求3所述的还原方法，其特征在于，所述基于所述通用字段的属性信息，确定所述通用字段的还原顺序，包括：
在所述网络流量为主流的情况下，按照文件属性字段、关联ID字段、文件块内容、文件结束字段的顺序对所述通用字段进行排序；
在所述网络流量为从流的情况下，按照关联ID字段、文件块内容、文件结束字段的顺序对所述通用字段进行排序。


5.根据权利要求2至4中任一项所述的还原方法，其特征在于，所述基于所述还原顺序分别对所述通用字段的内容进行还原，形成所述通用字段对应的原始文件，至少包括以下之一：
根据所述文件属性字段的内容创建文件节点；
将所述关联ID字段保存至文件节点；
根据所述关联ID字段查找保存有所述关联ID字段的文件节点；
在文件节点中缓存所述文件块内容；
根据文件结束字段，将所述文件块内容按所述块ID...

【专利技术属性】
技术研发人员：唐通，吴远洋，石小雨，
申请(专利权)人：北京天融信网络安全技术有限公司，北京天融信科技有限公司，北京天融信软件有限公司，
类型：发明
国别省市：北京;11