[发明专利]一种实时传讯会话的监控方法及系统

说明书

技术领域

本发明涉及网络管理，更具体地，涉及一种用于IM(Instant Messaging，实时传讯)类应用的使用过程中对会话进行监控的方法及系统。

背景技术

目前的网络环境当中IM类软件越来越多的得到了用户的使用，并且随着软件的发展，各种IM类软件都提供方便的网上聊天功能。日益完善和增多的聊天功能给人们的学习、生活、工作提供了很好的沟通渠道，但随之而来也出现了一些弊端。这主要体现在IM软件的滥用上，比如说上班时间聊天、泄露内部机密、占用网络资源等等。

目前对于IM应用的具体监控的考虑并不完善，很多产品只提供了某些IM类软件的一些基本业务监控功能，例如MSN的聊天、文件传输等具体网络行为的监控。但是大都缺乏对网络当中IM类应用的一种宏观方向的监控，比如当前网络环境当中MSN的使用会话数，qq的使用会话数等等，这些信息可以更好的把握整体网络环境当中的IM应用情况，以方便统一化的管理及有针对性的进行具体业务监控。文中提到的会话并非传统意义上的TCP连接会话，而是在网络聊天过程当中两个客户端之间聊天建立的会话通道。除了在总体上把握网络环境当中的IM应用情况还可以记录不同用户的IM类会话数量，比如张三MSN会话数、QQ的会话数等等，这有助于公司或组织内部更好的掌握其成员的IM类软件使用情况，避免过多占用工作时间。

此外，如果在监控过程当中发现某一类IM会话数量或某用户的IM会话数量异于日常使用情况，也可能是用户的客户端存在病毒或被攻击导致的自动发起会话。目前，还没有一种可以对IM类会话的上述信息进行监控的方法和系统。

上述IM会话的监控可应用在网络业务审计的方法和产品中，网络业务审计系统目前应用日益广泛，作为网络安全防护的重要手段，它通过对业务系统中可信人员的网络活动进行解析、记录、分析以帮助管理人员事前规划预防、事中实时监控、违规行为阻止和事后追查网络运营事故，从而帮助用户加强内外部网络行为监管、避免核心资产损失、保障客户业务系统的正常运营，是企业实现IT管理和控制的最佳实践。

发明内容

本发明要解决的技术问题是提供一种实时传讯会话的监控方法及系统，用以实现对IM应用中会话的宏观监控，提高监控范围。

申请人在对各类IM软件使用的协议进行分析研究的同时，发现大多数IM类应用在发起一个新会话或终止一个已有会话的时候都会发送具有明显标识的数据报文，这说明更好的对IM类软件的使用进行有效监控以避免滥用问题是可能的。

为了解决上述问题，本发明提供了一种实时传讯会话的监控方法，包括：

(1)对实时捕获的数据报文进行协议解析，如识别当前报文负载是与会话发起及终止相关的实时传讯IM应用的会话报文，确定该报文的IM应用类型并提取会话相关信息；

(2)依据会话状态和提取的会话相关信息，对保存的相应会话的信息进行更新，并统计各类IM应用的当前会话数量，对于新发起的会话则保存该会话相关信息，并相应增加该会话所属IM应用的当前会话数量；对于即将终止的会话且该会话相关信息已存储，则删除该会话信息，并相应减少该会话所属IM应用的当前会话数量；对于会话相关信息未保存的即将终止的会话无需处理。

进一步的，所述会话相关信息包括会话双方的用户标识；

所述步骤(2)中，还依据所述会话双方的用户标识和会话状态，针对当前网络中的每一个用户进行其使用的各类IM应用会话数量的统计，对于新发起的会话，则依据所述会话双方的用户标识，相应增加参与此次会话的用户使用该会话所属IM应用的当前会话数量；对于即将终止的会话且该会话相关信息已存储，则依据所述会话双方的用户标识，相应减少参与此次会话 用户使用该会话所属IM应用的当前会话数量。

进一步的，所述步骤(2)中，对于新发起的会话还将捕获发起会话的报文的系统时间记录为会话发起时间，对于即将终止的会话且该会话相关信息已存储，还记录此时系统时间为会话终止时间，并根据会话发起时间和终止时间计算该会话在线时长。

进一步的，所述会话相关信息还包括会话使用的源端口及目的端口；

所述步骤(2)中，对于即将终止的会话，根据会话双方的用户标识以及会话使用的源端口及目的端口在保存的会话相关信息中查找，确定该会话相关信息是否已保存，如果没有找到相应条目，说明此会话与保存的IM应用无关，无需做任何处理，如果查询时找到相应条目，则删除此条目。

进一步的，所述步骤(2)之后还包括：(3)依据统计出的当前网络当中正在进行的IM会话情况及各会话相关信息，结合设定的控制策略进行控制处理。