本發(fā)明涉及通信技術(shù)應(yīng)用領(lǐng)域，具體而言，涉及一種報文識別的系統(tǒng)、方法和裝置。

背景技術(shù)：

隨著云技術(shù)的廣泛運(yùn)用，如何在由客戶端和服務(wù)端組成的云網(wǎng)架構(gòu)中檢測被注入木馬程序的虛擬機(jī)成為現(xiàn)有亟待解決的問題。

對于組成木馬程序的流通環(huán)境來說，通常是由客戶端與服務(wù)端組成的云網(wǎng)架構(gòu)，在常規(guī)通信模式中：客戶端主動向一個地址被預(yù)置到程序中的服務(wù)端匯報自己的存在，并主動接受服務(wù)端的管理，在該通信過程中，客戶端和服務(wù)端需要遵循一套通信協(xié)議。通過分析現(xiàn)存已知的木馬程序的流通方式，承載木馬程序的通信協(xié)議數(shù)量極為有限。而且，即使隨著木馬程序的變種和進(jìn)化，承載木馬程序的通信協(xié)議都會遵循第一個木馬程序版本曾使用過的通信協(xié)議。基于上述原理，通過在通信協(xié)議組中提取報文的特征，并通過該特征進(jìn)行木馬特征匹配，最后將疑似存在木馬程序的報文過濾出來。

由上可知，通過協(xié)議特征做報文匹配是一個非常簡單的方法，但是該方法缺陷在于匹配粗放，會出現(xiàn)大量的誤匹配，而且缺少一個可信可行的方法對匹配結(jié)果進(jìn)行確認(rèn)。并且，為了做特征報文匹配，需要在客戶端系統(tǒng)上安裝額外的應(yīng)用程序，從而對報文中的特征與木馬程序特征進(jìn)行匹配。

現(xiàn)有技術(shù)中對攜帶木馬程序的報文的檢測精度低的問題，目前尚未提出有效的解決方案。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種報文識別的系統(tǒng)、方法和裝置，以至少解決檢測精度低的技術(shù)問題。

根據(jù)本發(fā)明實(shí)施例的一個方面，提供了一種報文識別的系統(tǒng)，包括：采集器、匯總器和數(shù)據(jù)處理器，其中，采集器，用于對采集到的報文提取報文特征，并將報文特 征與預(yù)先存儲的病毒特征進(jìn)行第一次特征匹配，將特征匹配成功的報文發(fā)送至匯總器；匯總器，與至少一個采集器通信連接，用于接收存在病毒特征的報文，并通過預(yù)設(shè)特征集群對報文進(jìn)行第二次特征匹配，將特征匹配成功的報文發(fā)送至數(shù)據(jù)處理器；數(shù)據(jù)處理器，與匯總器通信連接，用于對匯總器第二次特征匹配后的報文進(jìn)行分類，確定發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種報文識別的方法，包括：采集網(wǎng)絡(luò)傳輸節(jié)點(diǎn)中的報文；提取報文的報文特征；判斷報文特征是否與預(yù)先存儲的病毒特征匹配；在判斷結(jié)果為是的情況下，將報文發(fā)送至匯總器，其中，匯總器，用于對報文做第二次特征匹配篩選，確定攜帶病毒特征的報文。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了另一種報文識別的方法，包括：接收采集器發(fā)送的報文；提取報文中的報文特征，并判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配；在判斷結(jié)果為是的情況下，將報文發(fā)送至數(shù)據(jù)處理器。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了又一種報文識別的方法，包括：接收匯總器發(fā)送的報文；對報文依據(jù)預(yù)設(shè)條件分類，得到報文分類，其中，報文分類包括：云網(wǎng)傳輸節(jié)點(diǎn)接收的報文和云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文；依據(jù)預(yù)設(shè)方式對報文分類進(jìn)行識別，得到發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端。

根據(jù)本發(fā)明實(shí)施例的又一方面，還提供了一種報文識別的裝置，包括：采集模塊，用于采集網(wǎng)絡(luò)傳輸節(jié)點(diǎn)中的報文；提取模塊，用于提取報文的報文特征；判斷模塊，用于判斷報文特征是否與預(yù)先存儲的病毒特征匹配；發(fā)送模塊，用于在判斷結(jié)果為是的情況下，將報文發(fā)送至匯總器，其中，匯總器，用于對報文做第二次特征匹配篩選，確定攜帶病毒特征的報文。

根據(jù)本發(fā)明實(shí)施例的又一方面，還提供了另一種報文識別的裝置，包括：接收模塊，用于接收采集器發(fā)送的報文；特征提取模塊，用于提取報文中的報文特征，并判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配；數(shù)據(jù)發(fā)送模塊，用于在判斷結(jié)果為是的情況下，將報文發(fā)送至數(shù)據(jù)處理器，報文為確認(rèn)為攜帶病毒特征的報文。

根據(jù)本發(fā)明實(shí)施例的又一方面，還提供了又一種報文識別的裝置，包括：報文接收模塊，用于接收匯總器發(fā)送的報文；分類模塊，用于對報文依據(jù)預(yù)設(shè)條件分類，得到報文分類，其中，報文分類包括：云網(wǎng)傳輸節(jié)點(diǎn)接收的報文和云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文；識別模塊，用于依據(jù)預(yù)設(shè)方式對報文分類進(jìn)行識別，得到發(fā)送報文的終端類別， 其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端。

在本發(fā)明實(shí)施例中，通過采集器，用于對采集到的報文提取報文特征，并將報文特征與預(yù)先存儲的病毒特征進(jìn)行第一次特征匹配，將特征匹配成功的報文發(fā)送至匯總器；匯總器，與至少一個采集器通信連接，用于接收存在病毒特征的報文，并通過預(yù)設(shè)特征集群對報文進(jìn)行第二次特征匹配，將特征匹配成功的報文發(fā)送至數(shù)據(jù)處理器；數(shù)據(jù)處理器，與匯總器通信連接，用于對匯總器第二次特征匹配后的報文進(jìn)行分類，確定發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端，達(dá)到了對匹配結(jié)果提供進(jìn)一步確認(rèn)的目的，從而實(shí)現(xiàn)了提升對攜帶木馬程序的報文的檢測精度的技術(shù)效果，進(jìn)而解決了檢測精度低的技術(shù)問題。

附圖說明

此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中：

圖1是本發(fā)明實(shí)施例的一種報文識別的方法的采集器的硬件結(jié)構(gòu)框圖；

圖2是根據(jù)本發(fā)明實(shí)施例一的報文識別的方法的流程圖；

圖3是根據(jù)本發(fā)明實(shí)施例二的報文識別的方法的流程圖；

圖4是根據(jù)本發(fā)明實(shí)施例三的報文識別的方法的流程圖；

圖5是根據(jù)本發(fā)明實(shí)施例三的一種報文識別的方法的流程圖；

圖6是根據(jù)本發(fā)明實(shí)施例四的報文識別的裝置的結(jié)構(gòu)示意圖；

圖7是根據(jù)本發(fā)明實(shí)施例四的一種報文識別的裝置的結(jié)構(gòu)示意圖；

圖8是根據(jù)本發(fā)明實(shí)施例四的另一種報文識別的裝置的結(jié)構(gòu)示意圖；

圖9是根據(jù)本發(fā)明實(shí)施例五的報文識別的裝置的結(jié)構(gòu)示意圖；

圖10是根據(jù)本發(fā)明實(shí)施例五的一種報文識別的裝置的結(jié)構(gòu)示意圖；

圖11是根據(jù)本發(fā)明實(shí)施例六的報文識別的裝置的結(jié)構(gòu)示意圖；

圖12是根據(jù)本發(fā)明實(shí)施例六的一種報文識別的裝置的結(jié)構(gòu)示意圖；

圖13是根據(jù)本發(fā)明實(shí)施例六的另一種報文識別的裝置的結(jié)構(gòu)示意圖；

圖14是根據(jù)本發(fā)明實(shí)施例六的又一種報文識別的裝置的結(jié)構(gòu)示意圖；

圖15是根據(jù)本發(fā)明實(shí)施例七的報文識別的系統(tǒng)的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。

需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

本申請實(shí)施例涉及的技術(shù)名詞：

木馬：目前比較流行的一種病毒類型。區(qū)別于其它病毒，它其實(shí)是一套系統(tǒng)，包含兩個部分：客戶端和服務(wù)端。一般來說，我們平常說的木馬，指的是被植入受害者電腦的客戶端。有兩種方式將木馬植入受害者電腦：(1)將木馬程序偽裝后，欺騙用戶主動下載和執(zhí)行；(2)通過其它方式侵入受害者電腦后，安裝木馬程序?？蛻舳藭a(chǎn)生一個有著迷惑性名稱的進(jìn)程，暗中打開某個端口，和服務(wù)端通信，并且在接受服務(wù)端的指令后，客戶端將會掃描用戶文件中的一些敏感信息并且向服務(wù)端報告，或?qū)ν鈭?zhí)行ddos攻擊等；

肉雞：木馬系統(tǒng)中的客戶端；

中控端：木馬系統(tǒng)中的服務(wù)端；

網(wǎng)絡(luò)傳輸節(jié)點(diǎn)：云計算設(shè)備組成的網(wǎng)絡(luò)中，每個云計算設(shè)備的數(shù)據(jù)進(jìn)出口的位置；

匯總器：與網(wǎng)絡(luò)傳輸節(jié)點(diǎn)網(wǎng)絡(luò)連接，用于接收網(wǎng)絡(luò)傳輸節(jié)點(diǎn)上報的數(shù)據(jù)，并對該數(shù)據(jù)執(zhí)行進(jìn)一步匹配計算的設(shè)備。

實(shí)施例1

根據(jù)本發(fā)明實(shí)施例，還提供了一種報文識別的方法實(shí)施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機(jī)可執(zhí)行指令的計算機(jī)系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本申請實(shí)施例一所提供的方法實(shí)施例可以在移動終端、計算機(jī)終端或者類似的運(yùn)算裝置中執(zhí)行。以運(yùn)行在計算機(jī)終端上為例，圖1是本發(fā)明實(shí)施例的一種報文識別的方法的采集器的硬件結(jié)構(gòu)框圖。如圖1所示，采集器10可以包括一個或多個(圖中僅示出一個)處理器102(處理器102可以包括但不限于微處理器mcu或可編程邏輯器件fpga等的處理裝置)、用于存儲數(shù)據(jù)的存儲器104、以及用于通信功能的傳輸模塊106。本領(lǐng)域普通技術(shù)人員可以理解，圖1所示的結(jié)構(gòu)僅為示意，其并不對上述電子裝置的結(jié)構(gòu)造成限定。例如，采集器10還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。

存儲器104可用于存儲應(yīng)用軟件的軟件程序以及模塊，如本發(fā)明實(shí)施例中的報文識別的方法對應(yīng)的程序指令/模塊，處理器102通過運(yùn)行存儲在存儲器104內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，即實(shí)現(xiàn)上述的應(yīng)用程序的漏洞檢測方法。存儲器104可包括高速隨機(jī)存儲器，還可包括非易失性存儲器，如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實(shí)例中，存儲器104可進(jìn)一步包括相對于處理器102遠(yuǎn)程設(shè)置的存儲器，這些遠(yuǎn)程存儲器可以通過網(wǎng)絡(luò)連接至采集器10。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。

傳輸裝置106用于經(jīng)由一個網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實(shí)例可包括采集器10的通信供應(yīng)商提供的無線網(wǎng)絡(luò)。在一個實(shí)例中，傳輸裝置106包括一個網(wǎng)絡(luò)適配器(networkinterfacecontroller，nic)，其可通過基站與其他網(wǎng)絡(luò)設(shè)備相連從而可與互聯(lián)網(wǎng)進(jìn)行通訊。在一個實(shí)例中，傳輸裝置106可以為射頻(radiofrequency，rf)模塊，其用于通過無線方式與互聯(lián)網(wǎng)進(jìn)行通訊。

在上述運(yùn)行環(huán)境下，本申請?zhí)峁┝巳鐖D2所示的報文識別的方法。在采集器側(cè)，圖2是根據(jù)本發(fā)明實(shí)施例一的報文識別的方法的流程圖。

步驟s202，采集網(wǎng)絡(luò)傳輸節(jié)點(diǎn)中的報文；

本申請上述步驟s202中，本申請實(shí)施例可以適用于采集器側(cè)，采集器采集網(wǎng)絡(luò)傳 輸節(jié)點(diǎn)中的報文，該報文可以為由該網(wǎng)絡(luò)傳輸節(jié)點(diǎn)連接的多臺終端接收或發(fā)送的所有報文，其中，該網(wǎng)絡(luò)包括：云網(wǎng)絡(luò)。

其中，本申請實(shí)施例中的云網(wǎng)絡(luò)可以為有多個云計算設(shè)備構(gòu)建成的網(wǎng)絡(luò)，云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)可以為云網(wǎng)絡(luò)中每組設(shè)備收發(fā)數(shù)據(jù)的節(jié)點(diǎn)，例如，本申請實(shí)施例中的云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)可以為多個云計算設(shè)備各自的數(shù)據(jù)出入口，本申請實(shí)施例中采集器即部署于該云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)位置處。

此外，云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)還可以為一個骨干網(wǎng)絡(luò)中，各個網(wǎng)絡(luò)節(jié)點(diǎn)，即，例如，一個企業(yè)集團(tuán)中的企業(yè)級網(wǎng)絡(luò)，該網(wǎng)絡(luò)可以由多個網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)成，以此通過將該多個網(wǎng)絡(luò)節(jié)點(diǎn)通信連接，將多個該網(wǎng)絡(luò)節(jié)點(diǎn)下轄的局域網(wǎng)構(gòu)建成企業(yè)級的完整網(wǎng)絡(luò)，這里云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)可以為該多個網(wǎng)絡(luò)節(jié)點(diǎn)，同理，采集器的部署則在該多個網(wǎng)絡(luò)節(jié)點(diǎn)位置，本申請實(shí)施例提供的報文識別的方法中，以云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)可以為多個云計算設(shè)備各自的數(shù)據(jù)出入口為例進(jìn)行說明，以實(shí)現(xiàn)本申請實(shí)施例提供的報文識別的方法為準(zhǔn)，具體不做限定。

步驟s204，提取報文的報文特征；

基于步驟s202中采集到的報文，本申請上述步驟s204中，采集器提取的報文中的報文特征，該報文特征可以包括：報文所屬的通信協(xié)議、地址信息和端口信息中的一種或至少兩種的組合。

步驟s206，判斷報文特征是否與預(yù)先存儲的病毒特征匹配；

基于步驟s204中提取的報文特征，本申請上述步驟s206中，采集器判斷報文特征是否與預(yù)先存儲的病毒特征匹配，其中，預(yù)先存儲的病毒特征可以為多個用于描述多個類型病毒的字符串，在本申請實(shí)施例提供的報文識別的方法中，以檢測攜帶木馬病毒的報文為例，在提取報文特征后，將判斷該報文特征是否與木馬病毒的特征相匹配，如果判斷結(jié)果為是執(zhí)行步驟s208。

步驟s208，在判斷結(jié)果為是的情況下，將報文發(fā)送至匯總器，其中，匯總器，用于對報文做第二次特征匹配篩選，確定攜帶病毒特征的報文。

基于步驟s206中的判斷，本申請上述步驟s208中，采集器得到報文特征與預(yù)先存儲的病毒特征匹配的情況下，采集器將報文發(fā)送至匯總器，由匯總器進(jìn)行進(jìn)一步的篩選過濾，從而確保在采集器側(cè)的初步驗證匹配的情況下不影響云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)的正常報文傳輸，進(jìn)而通過由匯總器進(jìn)一步的匹配驗證，以使得達(dá)到提升對攜帶木馬程序的報文的檢測精度的技術(shù)效果。

由上可知，本申請上述實(shí)施例一所提供的方案，在采集器側(cè)，通過采集云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)中的報文；提取報文的報文特征；判斷報文特征是否與預(yù)先存儲的病毒特征匹配；在判斷結(jié)果為是的情況下，將報文發(fā)送至匯總器，其中，匯總器，用于對報文做第二次特征匹配篩選，確定攜帶病毒特征的報文，達(dá)到了對匹配結(jié)果提供進(jìn)一步確認(rèn)的目的，進(jìn)而解決了檢測精度低的技術(shù)問題。

可選的，步驟s204中提取報文的報文特征包括：

step1，提取報文中的通信協(xié)議標(biāo)識。

本申請上述步驟s204中的step1中，采集器提取報文中的通信協(xié)議標(biāo)識。其中，該通信協(xié)議標(biāo)識可以至少包括：超文本傳輸協(xié)議(hypertexttransferprotocol，簡稱http)、網(wǎng)絡(luò)之間互連的協(xié)議(internetprotocol，簡稱ip)或傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(transmissioncontrolprotocol/internetprotocol，簡稱tcp/ip)。

進(jìn)一步地，可選的，步驟s206中判斷報文特征是否與預(yù)先存儲的病毒特征匹配包括：

step1，判斷通信協(xié)議標(biāo)識是否與病毒特征中的通信協(xié)議標(biāo)識匹配。

基于步驟s204中的step1提取的報文特征，本申請上述步驟s206中的step1中，采集器判斷通信協(xié)議標(biāo)識是否與病毒特征中的通信協(xié)議標(biāo)識匹配。

可選的，網(wǎng)絡(luò)包括：云網(wǎng)絡(luò)，云網(wǎng)絡(luò)由多臺云計算設(shè)備組成。

結(jié)合步驟s202至步驟s208，在采集器側(cè)，在云網(wǎng)絡(luò)環(huán)境中，采集器采集所有網(wǎng)絡(luò)傳輸節(jié)點(diǎn)中的報文，并提取每一個報文的報文特征，通過將該報文特征與預(yù)先存儲的病毒特征匹配，將匹配成功的報文發(fā)送至匯總器，這里本申請實(shí)施例提供的報文識別的方法中采集器初步的采集和匹配將存在病毒特征的報文全部上報至匯總器，以避免報文篩選漏選的可能，進(jìn)而通過匯總器的進(jìn)一步的匹配計算，由匯總器分擔(dān)了采集器的數(shù)據(jù)計算壓力，提升了采集器的運(yùn)算效率。

實(shí)施例2

本申請?zhí)峁┝巳鐖D3所示的報文識別的方法。在匯總器側(cè)，圖3是根據(jù)本發(fā)明實(shí)施例二的報文識別的方法的流程圖。

步驟s302，接收采集器發(fā)送的報文；

本申請上述步驟s302中，本申請實(shí)施例可以適用于匯總器側(cè)，匯總器接收采集器 發(fā)送的報文，匯總器接收的報文為采集器進(jìn)行初步過濾匹配后存在攜帶病毒嫌疑的報文。

步驟s304，提取報文中的報文特征，并判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配；

基于步驟s302中接收到的報文，本申請上述步驟s304中，匯總器提取報文中的報文特征，并判斷該報文特征是否與預(yù)設(shè)特征集群中的特征匹配，其中，該預(yù)設(shè)特征集群可以為匯總器加入更多用于匹配報文特征的病毒特征組，在本申請實(shí)施例中預(yù)設(shè)特征集群可以至少包括：地址信息、端口信息、通信協(xié)議和協(xié)議負(fù)載payload中的至少兩種的組合。

這里匯總器對采集器發(fā)送的報文的進(jìn)一步匹配，是為了減輕采集器由于對采集到的全部報文進(jìn)行匹配的運(yùn)算壓力，在采集器上報存在攜帶病毒嫌疑的報文后，由匯總器進(jìn)一步的驗證過濾，以使得提升對攜帶木馬程序的報文的檢測精度。

步驟s306，在判斷結(jié)果為是的情況下，將報文發(fā)送至數(shù)據(jù)處理器，報文為確認(rèn)為攜帶病毒特征的報文。

基于步驟s304中的判斷，本申請上述步驟s306中，在匯總器判斷報文特征與預(yù)設(shè)特征集群中的特征匹配的情況下，匯總器將特征匹配的報文發(fā)送至數(shù)據(jù)處理器。

此處需要說明的是，除了將特征匹配的報文上報至數(shù)據(jù)處理器外，還可以通過將該報文的報文特征進(jìn)行打包發(fā)送至數(shù)據(jù)處理器，以保障數(shù)據(jù)上報的過程中減輕數(shù)據(jù)傳輸?shù)呢?fù)載壓力。

結(jié)合步驟s302至步驟s306，匯總器接收采集器上報的報文，并對該報文執(zhí)行第二次的匹配過濾，其中，在執(zhí)行第二次的匹配過濾的過程中匯總器通過加入更多的病毒特征對報文執(zhí)行更為精細(xì)的匹配，以使得減輕每個采集器的數(shù)據(jù)處理負(fù)擔(dān)，提升采集器的數(shù)據(jù)處理能力和采集效率，將數(shù)據(jù)處理的壓力分流至匯總器，令匯總器執(zhí)行進(jìn)一步的過濾，最后將特征匹配的報文上報至數(shù)據(jù)處理器。

由上可知，本申請上述實(shí)施例二所提供的方案，通過接收采集器發(fā)送的報文；提取報文中的報文特征，并判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配；在判斷結(jié)果為是的情況下，將報文發(fā)送至數(shù)據(jù)處理器，報文為確認(rèn)為攜帶病毒特征的報文，達(dá)到了對匹配結(jié)果提供進(jìn)一步確認(rèn)的目的，從而實(shí)現(xiàn)了提升對攜帶木馬程序的報文的檢測精度的技術(shù)效果，進(jìn)而解決了檢測精度低的技術(shù)問題。

可選的，步驟s304中判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配包括：

step1，依據(jù)預(yù)設(shè)特征集群中的地址信息、端口信息以及通信協(xié)議標(biāo)識與報文特征進(jìn)行匹配。

本申請上述步驟s304中的step1中，匯總器依據(jù)特征集群中的地址信息、端口信息以及通信協(xié)議標(biāo)識與采集器上報的報文中的報文特征進(jìn)行匹配。

具體的，假設(shè)地址信息包括：目的地址和源地址；端口信息包括：目的端口和源端口；通信協(xié)議標(biāo)識包括：超文本傳輸協(xié)議(hypertexttransferprotocol，簡稱http)標(biāo)識、網(wǎng)絡(luò)之間互連的協(xié)議(internetprotocol，簡稱ip)標(biāo)識或傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(transmissioncontrolprotocol/internetprotocol，簡稱tcp/ip)標(biāo)識；

判斷預(yù)設(shè)特征集群中的目的地址、源地址、目的端口、源端口以及特征協(xié)議標(biāo)識是否與采集器上報的報文中的報文特征匹配。

實(shí)施例3

本申請?zhí)峁┝巳鐖D4所示的報文識別的方法。在數(shù)據(jù)處理器側(cè)，圖4是根據(jù)本發(fā)明實(shí)施例三的報文識別的方法的流程圖。

步驟s402，接收匯總器發(fā)送的報文；

本申請上述步驟s402中，本申請實(shí)施例可以適用于數(shù)據(jù)處理器側(cè)，數(shù)據(jù)處理器接收匯總器上報的報文，其中，該報文為匯總器對采集器上報的報文進(jìn)行第二次匹配后得到的報文。

步驟s404，對報文依據(jù)預(yù)設(shè)條件分類，得到報文分類，其中，報文分類包括：云網(wǎng)傳輸節(jié)點(diǎn)接收的報文和云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文；

本申請上述步驟s404中，數(shù)據(jù)處理器對報文依據(jù)預(yù)設(shè)條件分類，得到報文分類，其中，在數(shù)據(jù)處理器側(cè)，需要對病毒特征匹配的報文進(jìn)行溯源分析，判斷符合病毒特征的報文所屬的終端，因此在判斷該報文所屬的終端之前，需要對報文進(jìn)行分類，判斷該報文為云網(wǎng)傳輸節(jié)點(diǎn)中接收的報文或云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)發(fā)送的報文。判斷該報文所屬的終端見步驟s406。

步驟s406，依據(jù)預(yù)設(shè)方式對報文分類進(jìn)行識別，得到發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端。

基于步驟s404中得到的報文分類，本申請上述步驟s406中，數(shù)據(jù)處理器通過預(yù)設(shè)方式對報文分類后的報文進(jìn)行識別，得到報文所屬的終端類別，即，得到報文所屬 的終端為病毒的發(fā)起控制端或與發(fā)起控制端通信連接的報文發(fā)送端。

其中，本申請實(shí)施例中的與發(fā)起控制端通信連接的報文發(fā)送端可以為，接收了發(fā)起控制端木馬病毒后的客戶端，該客戶端在“感染”木馬病毒后，將會受發(fā)起控制端的控制獲取該客戶端內(nèi)用戶的私密信息，進(jìn)而將該私密信息泄露出去，本申請實(shí)施例中的與發(fā)起控制端通信連接的報文發(fā)送端即上述與發(fā)起控制端通信連接，且“感染”木馬病毒的客戶端，在本領(lǐng)域亦稱作“肉雞”。

綜上，結(jié)合步驟s402至s406，里本申請實(shí)施例中提出了由采集器、匯總器和數(shù)據(jù)處理器組成的報文失敗的系統(tǒng)，通過采集器的初步匹配，獲取與病毒特征匹配的全部報文，進(jìn)而通過將該報文上報至匯總器，由匯總器進(jìn)一步的匹配過濾，得到攜帶病毒的報文，最后由數(shù)據(jù)處理器對該報文的分類，獲取發(fā)送該報文的終端類型，最終分析得到發(fā)送該報文的終端為病毒初始的發(fā)起控制端或傳遞該病毒的客戶端，從而實(shí)現(xiàn)了提升對攜帶木馬程序的報文的檢測精度的技術(shù)效果。

由上可知，本申請上述實(shí)施例三所提供的方案，通過接收匯總器發(fā)送的報文；對報文依據(jù)預(yù)設(shè)條件分類，得到報文分類，其中，報文分類包括：云網(wǎng)傳輸節(jié)點(diǎn)接收的報文和云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文；依據(jù)預(yù)設(shè)方式對報文分類進(jìn)行識別，得到發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端，達(dá)到了對匹配結(jié)果提供進(jìn)一步確認(rèn)的目的，進(jìn)而解決了檢測精度低的技術(shù)問題。

可選的，步驟s404中對報文依據(jù)預(yù)設(shè)條件分類，得到報文分類包括：

step1，依據(jù)報文中的地址信息對報文進(jìn)行分類。

本申請上述步驟s404中的step1中，數(shù)據(jù)處理器依據(jù)報文中的地址信息進(jìn)行分類，將源地址為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端地址的報文分為一類，將目的地址為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端地址的報文分為一類。

進(jìn)一步地，可選的，步驟s404中的step1中依據(jù)報文中的地址信息對報文進(jìn)行分類包括：

步驟a，判斷地址信息中的源地址是否為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端的地址；

本申請上述步驟s404中的step1中的步驟a中，數(shù)據(jù)處理器判斷地址信息中的源地址是否為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端的地址，在判斷結(jié)果為是的情況下執(zhí)行步驟b，在判斷結(jié)果為否的情況下執(zhí)行步驟c。

步驟b，在判斷結(jié)果為是的情況下，判定報文為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端發(fā)送的 報文；

基于步驟a的判斷，本申請上述步驟b中，在數(shù)據(jù)處理器判斷地址信息中的源地址為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端的地址的情況下，數(shù)據(jù)處理器判定該報文為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端發(fā)送的報文。

步驟c，在判斷結(jié)果為否的情況下，判定報文為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端接收的報文。

基于步驟a的判斷，本申請上述步驟c中，在數(shù)據(jù)處理器判斷地址信息中的源地址不是云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端的地址的情況下，數(shù)據(jù)處理器判定報文為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端接收的報文。

可選的，步驟s406中依據(jù)預(yù)設(shè)方式對報文分類進(jìn)行識別，得到發(fā)送報文的終端類別包括：

step1，在報文分類為云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文的情況下，判斷預(yù)存病毒地址信息中的源地址是否與報文中的源地址相同，在判斷結(jié)果為是的情況下，發(fā)送報文的終端類別為病毒的發(fā)起控制端；

基于步驟s404的報文分類，本申請上述步驟s406中的step1中，在報文分類為云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文的情況下，數(shù)據(jù)服務(wù)器判斷預(yù)存病毒地址信息中的源地址是否與報文中的源地址相同，在判斷結(jié)果為是的情況下，發(fā)送報文的終端類別為病毒的發(fā)起控制端。

step2，在報文分類為云網(wǎng)傳輸節(jié)點(diǎn)接收的報文的情況下，判斷預(yù)存病毒地址信息中的源地址是否與報文中的源地址相同，在判斷結(jié)果為是的情況下，發(fā)送報文的終端類別為發(fā)起控制端通信連接的報文發(fā)送端。

本申請上述step2中，在報文分類為云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文的情況下，數(shù)據(jù)服務(wù)器判斷預(yù)存病毒地址信息中的源地址是否與報文中的源地址相同，在判斷結(jié)果為是的情況下，發(fā)送報文的終端類別為發(fā)起控制端通信連接的報文發(fā)送端。

結(jié)合step1和step2，數(shù)據(jù)服務(wù)器對于符合模型的報文，識別為木馬協(xié)議報文，進(jìn)而識別出肉雞和主控端。模型的定義可以有很多種，而且會隨著木馬的演進(jìn)同步演進(jìn)。此處對模型舉一個例子：如果存在大量的報文，具備不同的源ip，但總是發(fā)往相同的幾個目的ip和目的端口，則基本可以判定，這幾個目的ip就是木馬主控端的ip，發(fā)送這些報文的主機(jī)就是肉雞。

綜上，結(jié)合實(shí)施例1至實(shí)施例3，圖5是根據(jù)本發(fā)明實(shí)施例三的一種報文識別的 方法的流程圖；如圖5所示，結(jié)合采集器、匯總器和數(shù)據(jù)處理器，在部署于多個云網(wǎng)傳輸節(jié)點(diǎn)的采集器中上傳多個特征匹配后的特征報文，進(jìn)而在匯總器中對采集器上報的特征報文執(zhí)行第二次匹配，將符合病毒特征的報文上報至數(shù)據(jù)處理器，其中，該數(shù)據(jù)處理器可以為大數(shù)據(jù)分析系統(tǒng)，通過大數(shù)據(jù)分析系統(tǒng)的分析識別，可以得到木馬肉雞和木馬中控端，即，木馬傳輸系統(tǒng)中的傳輸終端以及木馬傳輸系統(tǒng)中的控制端。

需要說明的是，對于前述的各方法實(shí)施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明并不受所描述的動作順序的限制，因為依據(jù)本發(fā)明，某些步驟可以采用其他順序或者同時進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動作和模塊并不一定是本發(fā)明所必須的。

通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到根據(jù)上述實(shí)施例的報文識別的方法可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實(shí)施方式。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)(如rom/ram、磁碟、光盤)中，包括若干指令用以使得一臺終端設(shè)備(可以是手機(jī)，計算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實(shí)施例所述的方法。

實(shí)施例4

根據(jù)本申請實(shí)施例，還提供了一種用于實(shí)施實(shí)施例一對應(yīng)的方法實(shí)施例的裝置實(shí)施例，本申請上述實(shí)施例所提供的裝置可以在采集器上運(yùn)行。

圖6是根據(jù)本發(fā)明實(shí)施例四的報文識別的裝置的結(jié)構(gòu)示意圖。

如圖6所示，該報文識別的裝置包括：采集模塊62、提取模塊64、判斷模塊66和發(fā)送模塊68。

其中，采集模塊62，用于采集網(wǎng)絡(luò)傳輸節(jié)點(diǎn)中的報文；提取模塊64，用于提取報文的報文特征；判斷模塊66，用于判斷報文特征是否與預(yù)先存儲的病毒特征匹配；發(fā)送模塊68，用于在判斷結(jié)果為是的情況下，將報文發(fā)送至匯總器，其中，匯總器，用于對報文做第二次特征匹配篩選，確定攜帶病毒特征的報文。

由上可知，本申請上述實(shí)施例四所提供的方案，通過采集云網(wǎng)絡(luò)傳輸節(jié)點(diǎn)中的報文；提取報文的報文特征；判斷報文特征是否與預(yù)先存儲的病毒特征匹配；在判斷結(jié) 果為是的情況下，將報文發(fā)送至匯總器，其中，匯總器，用于對報文做第二次特征匹配篩選，確定攜帶病毒特征的報文，達(dá)到了對匹配結(jié)果提供進(jìn)一步確認(rèn)的目的，進(jìn)而解決了檢測精度低的技術(shù)問題。

此處需要說明的是，上述采集模塊62、提取模塊64、判斷模塊66和發(fā)送模塊68對應(yīng)于實(shí)施例一中的步驟s202至步驟s208，四個模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的采集器10中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

可選的，圖7是根據(jù)本發(fā)明實(shí)施例四的一種報文識別的裝置的結(jié)構(gòu)示意圖。如圖7所示，提取模塊64包括：提取單元641。

其中，提取單元641，用于提取報文中的通信協(xié)議標(biāo)識。

此處需要說明的是，上述提取單元641對應(yīng)于實(shí)施例一中的步驟s204中的step1，該模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的采集器10中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

可選的，圖8是根據(jù)本發(fā)明實(shí)施例四的另一種報文識別的裝置的結(jié)構(gòu)示意圖。如圖8所示，判斷模塊66包括：判斷單元661。

其中，判斷單元661，用于判斷通信協(xié)議標(biāo)識是否與病毒特征中的通信協(xié)議標(biāo)識匹配。

此處需要說明的是，上述判斷單元661對應(yīng)于實(shí)施例一中的步驟s206中的step1，該模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的采集器10中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

可選的，網(wǎng)絡(luò)包括：云網(wǎng)絡(luò)，云網(wǎng)絡(luò)由多臺云計算設(shè)備組成。

實(shí)施例5

根據(jù)本申請實(shí)施例，還提供了一種用于實(shí)施實(shí)施例二對應(yīng)的方法實(shí)施例的裝置實(shí)施例，本申請上述實(shí)施例所提供的裝置可以在匯總器上運(yùn)行。

圖9是根據(jù)本發(fā)明實(shí)施例五的報文識別的裝置的結(jié)構(gòu)示意圖。

如圖9所示，該報文識別的裝置包括：接收模塊92、特征提取模塊94和數(shù)據(jù)發(fā)送模塊96。

其中，接收模塊92，用于接收采集器發(fā)送的報文；特征提取模塊94，用于提取報文中的報文特征，并判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配；數(shù)據(jù)發(fā)送模塊96，用于在判斷結(jié)果為是的情況下，將報文發(fā)送至數(shù)據(jù)處理器，報文為確認(rèn)為攜帶病毒特征的報文。

由上可知，本申請上述實(shí)施例五所提供的方案，通過接收采集器發(fā)送的報文；提取報文中的報文特征，并判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配；在判斷結(jié)果為是的情況下，將報文發(fā)送至數(shù)據(jù)處理器，報文為確認(rèn)為攜帶病毒特征的報文，達(dá)到了對匹配結(jié)果提供進(jìn)一步確認(rèn)的目的，進(jìn)而解決了檢測精度低的技術(shù)問題。

此處需要說明的是，上述接收模塊92、特征提取模塊94和數(shù)據(jù)發(fā)送模塊96對應(yīng)于實(shí)施例二中的步驟s302至步驟s206，三個模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例二提供的匯總器中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

可選的，圖10是根據(jù)本發(fā)明實(shí)施例五的一種報文識別的裝置的結(jié)構(gòu)示意圖。如圖10所示，特征提取模塊94包括：匹配單元941。

其中，匹配單元941，用于依據(jù)預(yù)設(shè)特征集群中的地址信息、端口信息以及通信協(xié)議標(biāo)識與報文特征進(jìn)行匹配。

此處需要說明的是，上述匹配單元941對應(yīng)于實(shí)施例二中的步驟s304中的step1，該模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例二提供的匯總器中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

實(shí)施例6

根據(jù)本申請實(shí)施例，還提供了一種用于實(shí)施實(shí)施例三對應(yīng)的方法實(shí)施例的裝置實(shí)施例，本申請上述實(shí)施例所提供的裝置可以在數(shù)據(jù)處理器上運(yùn)行。

圖11是根據(jù)本發(fā)明實(shí)施例六的報文識別的裝置的結(jié)構(gòu)示意圖。

如圖11所示，該報文識別的裝置包括：報文接收模塊1102、分類模塊1104和識 別模塊1106。

其中，報文接收模塊1102，用于接收匯總器發(fā)送的報文；分類模塊1104，用于對報文依據(jù)預(yù)設(shè)條件分類，得到報文分類，其中，報文分類包括：云網(wǎng)傳輸節(jié)點(diǎn)接收的報文和云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文；識別模塊1106，用于依據(jù)預(yù)設(shè)方式對報文分類進(jìn)行識別，得到發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端。

由上可知，本申請上述實(shí)施例六所提供的方案，通過接收匯總器發(fā)送的報文；對報文依據(jù)預(yù)設(shè)條件分類，得到報文分類，其中，報文分類包括：云網(wǎng)傳輸節(jié)點(diǎn)接收的報文和云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文；依據(jù)預(yù)設(shè)方式對報文分類進(jìn)行識別，得到發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端，達(dá)到了對匹配結(jié)果提供進(jìn)一步確認(rèn)的目的，進(jìn)而解決了檢測精度低的技術(shù)問題。

此處需要說明的是，上述報文接收模塊1102、分類模塊1104和識別模塊1106對應(yīng)于實(shí)施例三中的步驟s402至步驟s406，三個模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例三所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例三提供的數(shù)據(jù)處理器中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

可選的，圖12是根據(jù)本發(fā)明實(shí)施例六的一種報文識別的裝置的結(jié)構(gòu)示意圖。如圖12所示，分類模塊1104包括：分類單元11041。

其中，分類單元11041，用于依據(jù)報文中的地址信息對報文進(jìn)行分類。

此處需要說明的是，上述分類單元11041對應(yīng)于實(shí)施例三中的步驟s404中的step1，該模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例三所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例三提供的數(shù)據(jù)處理器中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

進(jìn)一步地，可選的，圖13是根據(jù)本發(fā)明實(shí)施例六的另一種報文識別的裝置的結(jié)構(gòu)示意圖。如圖13所示，分類單元11041包括：判斷子單元110411、第一判斷子單元110412和第二判斷子單元110413。

其中，判斷子單元110411，用于判斷地址信息中的源地址是否為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端的地址；第一判斷子單元110412，在判斷結(jié)果為是的情況下，判定報文為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端發(fā)送的報文；第二判斷子單元110413，在判斷結(jié)果為否的情況下，判定報文為云網(wǎng)傳輸節(jié)點(diǎn)轄區(qū)內(nèi)終端接收的報文。

此處需要說明的是，上述判斷子單元110411、第一判斷子單元110412和第二判斷子單元110413對應(yīng)于實(shí)施例三中的步驟s404中的step1中的步驟a至步驟c，三個模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例三所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例三提供的數(shù)據(jù)處理器中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

可選的，圖14是根據(jù)本發(fā)明實(shí)施例六的又一種報文識別的裝置的結(jié)構(gòu)示意圖。如圖14所示，識別模塊1106包括：第一識別單元11061和第二識別單元11062。

其中，第一識別單元11061，用于在報文分類為云網(wǎng)傳輸節(jié)點(diǎn)發(fā)送的報文的情況下，判斷預(yù)存病毒地址信息中的源地址是否與報文中的源地址相同，在判斷結(jié)果為是的情況下，發(fā)送報文的終端類別為病毒的發(fā)起控制端；第二識別單元11062，用于在報文分類為云網(wǎng)傳輸節(jié)點(diǎn)接收的報文的情況下，判斷預(yù)存病毒地址信息中的源地址是否與報文中的源地址相同，在判斷結(jié)果為是的情況下，發(fā)送報文的終端類別為發(fā)起控制端通信連接的報文發(fā)送端。

此處需要說明的是，上述第一識別單元11061和第二識別單元11062對應(yīng)于實(shí)施例三中的步驟s406中的step1和step2，兩個模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例三所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例三提供的數(shù)據(jù)處理器中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。

實(shí)施例7

根據(jù)本申請實(shí)施例，提供了一種報文識別的系統(tǒng)實(shí)施例，圖15是根據(jù)本發(fā)明實(shí)施例七的報文識別的系統(tǒng)的結(jié)構(gòu)示意圖。

如圖15所示，該報文識別的系統(tǒng)包括：采集器1502、匯總器1504和數(shù)據(jù)處理器1506。

其中，采集器1502，用于對采集到的報文提取報文特征，并將報文特征與預(yù)先存儲的病毒特征進(jìn)行第一次特征匹配，將特征匹配成功的報文發(fā)送至匯總器1504；匯總器1504，與至少一個采集器1502通信連接，用于接收存在病毒特征的報文，并通過預(yù)設(shè)特征集群對報文進(jìn)行第二次特征匹配，將特征匹配成功的報文發(fā)送至數(shù)據(jù)處理器1506；數(shù)據(jù)處理器1506，與匯總器1504通信連接，用于對匯總器1504第二次特征匹配后的報文進(jìn)行分類，確定發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端。

對應(yīng)實(shí)施例1至實(shí)施例3，采集器1502分布于云網(wǎng)中的各個傳輸節(jié)點(diǎn)，匯總器1504接收由采集器1502上報的特征匹配的報文，并對該報文執(zhí)行進(jìn)一步的匹配，最后由數(shù)據(jù)處理器1506對報文執(zhí)行分類，并識別該報文所屬的終端類別。

由上可知，本申請上述實(shí)施例七所提供的方案，通過采集器，用于對采集到的報文提取報文特征，并將報文特征與預(yù)先存儲的病毒特征進(jìn)行第一次特征匹配，將特征匹配成功的報文發(fā)送至匯總器；匯總器，與至少一個采集器通信連接，用于接收存在病毒特征的報文，并通過預(yù)設(shè)特征集群對報文進(jìn)行第二次特征匹配，將特征匹配成功的報文發(fā)送至數(shù)據(jù)處理器；數(shù)據(jù)處理器，與匯總器通信連接，用于對匯總器第二次特征匹配后的報文進(jìn)行分類，確定發(fā)送報文的終端類別，其中，終端類別包括：病毒的發(fā)起控制端和與發(fā)起控制端通信連接的報文發(fā)送端，達(dá)到了對匹配結(jié)果提供進(jìn)一步確認(rèn)的目的，從而實(shí)現(xiàn)了提升對攜帶木馬程序的報文的檢測精度的技術(shù)效果，進(jìn)而解決了檢測精度低的技術(shù)問題。

可選的，在采集器1502分布于云網(wǎng)絡(luò)各個傳輸節(jié)點(diǎn)的情況下，采集器1502包括：數(shù)據(jù)采集裝置、數(shù)據(jù)分析裝置和數(shù)據(jù)上報裝置，其中，

數(shù)據(jù)采集裝置，與云網(wǎng)絡(luò)中的虛擬主機(jī)通信連接，用于采集虛擬主機(jī)接收或發(fā)送的報文；

數(shù)據(jù)分析裝置，與數(shù)據(jù)采集裝置通信連接，用于提取報文中的報文特征，判斷報文特征是否與預(yù)先存儲的病毒特征匹配；

數(shù)據(jù)上報裝置，分別與數(shù)據(jù)分析裝置和匯總器通信連接，用于在特征匹配成功的情況下，將與預(yù)先存儲的病毒特征匹配的報文發(fā)送至匯總器。

具體的，對應(yīng)實(shí)施例1中的采集器1502側(cè)的步驟s202至步驟s208，采集器1502對由云網(wǎng)傳輸節(jié)點(diǎn)連接的虛擬主機(jī)接收或發(fā)送的報文；采集器1502提取報文中的報文特征，并對該報文特征與預(yù)先存儲的病毒特征進(jìn)行匹配，將匹配成功的報文發(fā)送至匯總器1504。

可選的，匯總器1504包括：第一數(shù)據(jù)接收裝置、數(shù)據(jù)過濾裝置和數(shù)據(jù)發(fā)送裝置，其中，

數(shù)據(jù)接收裝置，與數(shù)據(jù)上報裝置通信連接，用于接收采集器1502匹配后的報文；

數(shù)據(jù)過濾裝置，與數(shù)據(jù)接收裝置通信連接，用于依據(jù)預(yù)設(shè)特征集群對報文中的報文特征執(zhí)行特征匹配，判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配；

數(shù)據(jù)發(fā)送裝置，分別與數(shù)據(jù)過濾裝置和數(shù)據(jù)處理器通信連接，用于在判斷結(jié)果為 是的情況下，將報文發(fā)送至數(shù)據(jù)處理器1506。

具體的，對應(yīng)實(shí)施例2中的匯總器1504側(cè)的步驟s302至步驟s306，匯總器1504接收采集器1502上報的報文，并對該報文執(zhí)行第二次特征匹配，并判斷報文特征是否與預(yù)設(shè)特征集群中的特征匹配，最后在判斷結(jié)果為是的情況下，將報文發(fā)送至數(shù)據(jù)處理器1506。

可選的，數(shù)據(jù)處理器1506包括：第二數(shù)據(jù)接收裝置、數(shù)據(jù)識別裝置和結(jié)果輸出裝置，其中，

第二數(shù)據(jù)接收裝置，與數(shù)據(jù)發(fā)送裝置通信連接，用于接收匯總器1504發(fā)送的報文；

數(shù)據(jù)識別裝置，與第二數(shù)據(jù)接收裝置通信連接，用于依據(jù)預(yù)設(shè)條件解析報文，判斷發(fā)送報文的終端類別；

結(jié)果輸出裝置，與數(shù)據(jù)識別裝置通信連接，用于輸出發(fā)送報文的終端類別。

具體的，對應(yīng)實(shí)施例3中的數(shù)據(jù)處理器1506的步驟s402至步驟s406，數(shù)據(jù)處理器1506接收匯總器1504發(fā)送的報文，數(shù)據(jù)處理器1506依據(jù)預(yù)設(shè)條件解析報文，并判斷該報文所屬的終端類別，最后得到該報文所屬的終端類別。

實(shí)施例8

本發(fā)明的實(shí)施例還提供了一種存儲介質(zhì)。可選地，在本實(shí)施例中，上述存儲介質(zhì)可以用于保存上述實(shí)施例一所提供的報文識別的方法所執(zhí)行的程序代碼。

可選地，在本實(shí)施例中，上述存儲介質(zhì)可以位于計算機(jī)網(wǎng)絡(luò)中計算機(jī)終端群中的任意一個計算機(jī)終端中，或者位于移動終端群中的任意一個移動終端中。

可選地，在本實(shí)施例中，存儲介質(zhì)被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：采集網(wǎng)絡(luò)傳輸節(jié)點(diǎn)中的報文；提取報文的報文特征；判斷報文特征是否與預(yù)先存儲的病毒特征匹配；在判斷結(jié)果為是的情況下，將報文發(fā)送至匯總器，其中，匯總器，用于依據(jù)報文與預(yù)設(shè)特征集群中的特征進(jìn)行匹配判斷。

可選地，在本實(shí)施例中，存儲介質(zhì)被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：提取報文中的通信協(xié)議標(biāo)識。

可選地，在本實(shí)施例中，存儲介質(zhì)被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：判斷通信協(xié)議標(biāo)識是否與病毒特征中的通信協(xié)議標(biāo)識匹配。

可選的，網(wǎng)絡(luò)包括：云網(wǎng)絡(luò)，云網(wǎng)絡(luò)由多臺云計算設(shè)備組成。

上述本發(fā)明實(shí)施例序號僅僅為了描述，不代表實(shí)施例的優(yōu)劣。

在本發(fā)明的上述實(shí)施例中，對各個實(shí)施例的描述都各有側(cè)重，某個實(shí)施例中沒有詳述的部分，可以參見其他實(shí)施例的相關(guān)描述。

在本申請所提供的幾個實(shí)施例中，應(yīng)該理解到，所揭露的技術(shù)內(nèi)容，可通過其它的方式實(shí)現(xiàn)。其中，以上所描述的裝置實(shí)施例僅僅是示意性的，例如所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，單元或模塊的間接耦合或通信連接，可以是電性或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個實(shí)施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨(dú)物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時，可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機(jī)設(shè)備(可為個人計算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實(shí)施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、只讀存儲器(rom，read-onlymemory)、隨機(jī)存取存儲器(ram，randomaccessmemory)、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進(jìn)和潤飾，這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。