本發明公開了一種報文識別的系統、方法和裝置。其中，該系統包括：采集器，用于對采集到的報文提取報文特征，并將報文特征與預先存儲的病毒特征進行第一次特征匹配，將特征匹配成功的報文發送至匯總器；匯總器，與至少一個采集器通信連接，用于接收存在病毒特征的報文，并通過預設特征集群對報文進行第二次特征匹配，將特征匹配成功的報文發送至數據處理器；數據處理器，與匯總器通信連接，用于對匯總器第二次特征匹配后的報文進行分類，確定發送報文的終端類別。本發明解決了檢測精度低的技術問題。

技術領域

本發明涉及通信技術應用領域，具體而言，涉及一種報文識別的系統、方法和裝置。

背景技術

隨著云技術的廣泛運用，如何在由客戶端和服務端組成的云網架構中檢測被注入木馬程序的虛擬機成為現有亟待解決的問題。

對于組成木馬程序的流通環境來說，通常是由客戶端與服務端組成的云網架構，在常規通信模式中：客戶端主動向一個地址被預置到程序中的服務端匯報自己的存在，并主動接受服務端的管理，在該通信過程中，客戶端和服務端需要遵循一套通信協議。通過分析現存已知的木馬程序的流通方式，承載木馬程序的通信協議數量極為有限。而且，即使隨著木馬程序的變種和進化，承載木馬程序的通信協議都會遵循第一個木馬程序版本曾使用過的通信協議。基于上述原理，通過在通信協議組中提取報文的特征，并通過該特征進行木馬特征匹配，最后將疑似存在木馬程序的報文過濾出來。

由上可知，通過協議特征做報文匹配是一個非常簡單的方法，但是該方法缺陷在于匹配粗放，會出現大量的誤匹配，而且缺少一個可信可行的方法對匹配結果進行確認。并且，為了做特征報文匹配，需要在客戶端系統上安裝額外的應用程序，從而對報文中的特征與木馬程序特征進行匹配。

現有技術中對攜帶木馬程序的報文的檢測精度低的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種報文識別的系統、方法和裝置，以至少解決檢測精度低的技術問題。

根據本發明實施例的一個方面，提供了一種報文識別的系統，包括：采集器、匯總器和數據處理器，其中，采集器，用于對采集到的報文提取報文特征，并將報文特征與預先存儲的病毒特征進行第一次特征匹配，將特征匹配成功的報文發送至匯總器；匯總器，與至少一個采集器通信連接，用于接收存在病毒特征的報文，并通過預設特征集群對報文進行第二次特征匹配，將特征匹配成功的報文發送至數據處理器；數據處理器，與匯總器通信連接，用于對匯總器第二次特征匹配后的報文進行分類，確定發送報文的終端類別，其中，終端類別包括：病毒的發起控制端和與發起控制端通信連接的報文發送端。

根據本發明實施例的另一方面，還提供了一種報文識別的方法，包括：采集網絡傳輸節點中的報文；提取報文的報文特征；判斷報文特征是否與預先存儲的病毒特征匹配；在判斷結果為是的情況下，將報文發送至匯總器，其中，匯總器，用于對報文做第二次特征匹配篩選，確定攜帶病毒特征的報文。

根據本發明實施例的另一方面，還提供了另一種報文識別的方法，包括：接收采集器發送的報文；提取報文中的報文特征，并判斷報文特征是否與預設特征集群中的特征匹配；在判斷結果為是的情況下，將報文發送至數據處理器。

根據本發明實施例的另一方面，還提供了又一種報文識別的方法，包括：接收匯總器發送的報文；對報文依據預設條件分類，得到報文分類，其中，報文分類包括：云網傳輸節點接收的報文和云網傳輸節點發送的報文；依據預設方式對報文分類進行識別，得到發送報文的終端類別，其中，終端類別包括：病毒的發起控制端和與發起控制端通信連接的報文發送端。

根據本發明實施例的又一方面，還提供了一種報文識別的裝置，包括：采集模塊，用于采集網絡傳輸節點中的報文；提取模塊，用于提取報文的報文特征；判斷模塊，用于判斷報文特征是否與預先存儲的病毒特征匹配；發送模塊，用于在判斷結果為是的情況下，將報文發送至匯總器，其中，匯總器，用于對報文做第二次特征匹配篩選，確定攜帶病毒特征的報文。