报文识别的系统、方法和装置与流程

本发明涉及通信技术应用领域，具体而言，涉及一种报文识别的系统、方法和装置。

背景技术：

随着云技术的广泛运用，如何在由客户端和服务端组成的云网架构中检测被注入木马程序的虚拟机成为现有亟待解决的问题。

对于组成木马程序的流通环境来说，通常是由客户端与服务端组成的云网架构，在常规通信模式中：客户端主动向一个地址被预置到程序中的服务端汇报自己的存在，并主动接受服务端的管理，在该通信过程中，客户端和服务端需要遵循一套通信协议。通过分析现存已知的木马程序的流通方式，承载木马程序的通信协议数量极为有限。而且，即使随着木马程序的变种和进化，承载木马程序的通信协议都会遵循第一个木马程序版本曾使用过的通信协议。基于上述原理，通过在通信协议组中提取报文的特征，并通过该特征进行木马特征匹配，最后将疑似存在木马程序的报文过滤出来。

由上可知，通过协议特征做报文匹配是一个非常简单的方法，但是该方法缺陷在于匹配粗放，会出现大量的误匹配，而且缺少一个可信可行的方法对匹配结果进行确认。并且，为了做特征报文匹配，需要在客户端系统上安装额外的应用程序，从而对报文中的特征与木马程序特征进行匹配。

现有技术中对携带木马程序的报文的检测精度低的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种报文识别的系统、方法和装置，以至少解决检测精度低的技术问题。

根据本发明实施例的一个方面，提供了一种报文识别的系统，包括：采集器、汇总器和数据处理器，其中，采集器，用于对采集到的报文提取报文特征，并将报文特 征与预先存储的病毒特征进行第一次特征匹配，将特征匹配成功的报文发送至汇总器；汇总器，与至少一个采集器通信连接，用于接收存在病毒特征的报文，并通过预设特征集群对报文进行第二次特征匹配，将特征匹配成功的报文发送至数据处理器；数据处理器，与汇总器通信连接，用于对汇总器第二次特征匹配后的报文进行分类，确定发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端。

根据本发明实施例的另一方面，还提供了一种报文识别的方法，包括：采集网络传输节点中的报文；提取报文的报文特征；判断报文特征是否与预先存储的病毒特征匹配；在判断结果为是的情况下，将报文发送至汇总器，其中，汇总器，用于对报文做第二次特征匹配筛选，确定携带病毒特征的报文。

根据本发明实施例的另一方面，还提供了另一种报文识别的方法，包括：接收采集器发送的报文；提取报文中的报文特征，并判断报文特征是否与预设特征集群中的特征匹配；在判断结果为是的情况下，将报文发送至数据处理器。

根据本发明实施例的另一方面，还提供了又一种报文识别的方法，包括：接收汇总器发送的报文；对报文依据预设条件分类，得到报文分类，其中，报文分类包括：云网传输节点接收的报文和云网传输节点发送的报文；依据预设方式对报文分类进行识别，得到发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端。

根据本发明实施例的又一方面，还提供了一种报文识别的装置，包括：采集模块，用于采集网络传输节点中的报文；提取模块，用于提取报文的报文特征；判断模块，用于判断报文特征是否与预先存储的病毒特征匹配；发送模块，用于在判断结果为是的情况下，将报文发送至汇总器，其中，汇总器，用于对报文做第二次特征匹配筛选，确定携带病毒特征的报文。

根据本发明实施例的又一方面，还提供了另一种报文识别的装置，包括：接收模块，用于接收采集器发送的报文；特征提取模块，用于提取报文中的报文特征，并判断报文特征是否与预设特征集群中的特征匹配；数据发送模块，用于在判断结果为是的情况下，将报文发送至数据处理器，报文为确认为携带病毒特征的报文。

根据本发明实施例的又一方面，还提供了又一种报文识别的装置，包括：报文接收模块，用于接收汇总器发送的报文；分类模块，用于对报文依据预设条件分类，得到报文分类，其中，报文分类包括：云网传输节点接收的报文和云网传输节点发送的报文；识别模块，用于依据预设方式对报文分类进行识别，得到发送报文的终端类别， 其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端。

在本发明实施例中，通过采集器，用于对采集到的报文提取报文特征，并将报文特征与预先存储的病毒特征进行第一次特征匹配，将特征匹配成功的报文发送至汇总器；汇总器，与至少一个采集器通信连接，用于接收存在病毒特征的报文，并通过预设特征集群对报文进行第二次特征匹配，将特征匹配成功的报文发送至数据处理器；数据处理器，与汇总器通信连接，用于对汇总器第二次特征匹配后的报文进行分类，确定发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端，达到了对匹配结果提供进一步确认的目的，从而实现了提升对携带木马程序的报文的检测精度的技术效果，进而解决了检测精度低的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例的一种报文识别的方法的采集器的硬件结构框图；

图2是根据本发明实施例一的报文识别的方法的流程图；

图3是根据本发明实施例二的报文识别的方法的流程图；

图4是根据本发明实施例三的报文识别的方法的流程图；

图5是根据本发明实施例三的一种报文识别的方法的流程图；

图6是根据本发明实施例四的报文识别的装置的结构示意图；

图7是根据本发明实施例四的一种报文识别的装置的结构示意图；

图8是根据本发明实施例四的另一种报文识别的装置的结构示意图；

图9是根据本发明实施例五的报文识别的装置的结构示意图；

图10是根据本发明实施例五的一种报文识别的装置的结构示意图；

图11是根据本发明实施例六的报文识别的装置的结构示意图；

图12是根据本发明实施例六的一种报文识别的装置的结构示意图；

图13是根据本发明实施例六的另一种报文识别的装置的结构示意图；

图14是根据本发明实施例六的又一种报文识别的装置的结构示意图；

图15是根据本发明实施例七的报文识别的系统的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本申请实施例涉及的技术名词：

木马：目前比较流行的一种病毒类型。区别于其它病毒，它其实是一套系统，包含两个部分：客户端和服务端。一般来说，我们平常说的木马，指的是被植入受害者电脑的客户端。有两种方式将木马植入受害者电脑：(1)将木马程序伪装后，欺骗用户主动下载和执行；(2)通过其它方式侵入受害者电脑后，安装木马程序。客户端会产生一个有着迷惑性名称的进程，暗中打开某个端口，和服务端通信，并且在接受服务端的指令后，客户端将会扫描用户文件中的一些敏感信息并且向服务端报告，或对外执行ddos攻击等；

肉鸡：木马系统中的客户端；

中控端：木马系统中的服务端；

网络传输节点：云计算设备组成的网络中，每个云计算设备的数据进出口的位置；

汇总器：与网络传输节点网络连接，用于接收网络传输节点上报的数据，并对该数据执行进一步匹配计算的设备。

实施例1

根据本发明实施例，还提供了一种报文识别的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图1是本发明实施例的一种报文识别的方法的采集器的硬件结构框图。如图1所示，采集器10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，采集器10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中的报文识别的方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至采集器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括采集器10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(networkinterfacecontroller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(radiofrequency，rf)模块，其用于通过无线方式与互联网进行通讯。

在上述运行环境下，本申请提供了如图2所示的报文识别的方法。在采集器侧，图2是根据本发明实施例一的报文识别的方法的流程图。

步骤s202，采集网络传输节点中的报文；

本申请上述步骤s202中，本申请实施例可以适用于采集器侧，采集器采集网络传 输节点中的报文，该报文可以为由该网络传输节点连接的多台终端接收或发送的所有报文，其中，该网络包括：云网络。

其中，本申请实施例中的云网络可以为有多个云计算设备构建成的网络，云网络传输节点可以为云网络中每组设备收发数据的节点，例如，本申请实施例中的云网络传输节点可以为多个云计算设备各自的数据出入口，本申请实施例中采集器即部署于该云网络传输节点位置处。

此外，云网络传输节点还可以为一个骨干网络中，各个网络节点，即，例如，一个企业集团中的企业级网络，该网络可以由多个网络节点构成，以此通过将该多个网络节点通信连接，将多个该网络节点下辖的局域网构建成企业级的完整网络，这里云网络传输节点可以为该多个网络节点，同理，采集器的部署则在该多个网络节点位置，本申请实施例提供的报文识别的方法中，以云网络传输节点可以为多个云计算设备各自的数据出入口为例进行说明，以实现本申请实施例提供的报文识别的方法为准，具体不做限定。

步骤s204，提取报文的报文特征；

基于步骤s202中采集到的报文，本申请上述步骤s204中，采集器提取的报文中的报文特征，该报文特征可以包括：报文所属的通信协议、地址信息和端口信息中的一种或至少两种的组合。

步骤s206，判断报文特征是否与预先存储的病毒特征匹配；

基于步骤s204中提取的报文特征，本申请上述步骤s206中，采集器判断报文特征是否与预先存储的病毒特征匹配，其中，预先存储的病毒特征可以为多个用于描述多个类型病毒的字符串，在本申请实施例提供的报文识别的方法中，以检测携带木马病毒的报文为例，在提取报文特征后，将判断该报文特征是否与木马病毒的特征相匹配，如果判断结果为是执行步骤s208。

步骤s208，在判断结果为是的情况下，将报文发送至汇总器，其中，汇总器，用于对报文做第二次特征匹配筛选，确定携带病毒特征的报文。

基于步骤s206中的判断，本申请上述步骤s208中，采集器得到报文特征与预先存储的病毒特征匹配的情况下，采集器将报文发送至汇总器，由汇总器进行进一步的筛选过滤，从而确保在采集器侧的初步验证匹配的情况下不影响云网络传输节点的正常报文传输，进而通过由汇总器进一步的匹配验证，以使得达到提升对携带木马程序的报文的检测精度的技术效果。

由上可知，本申请上述实施例一所提供的方案，在采集器侧，通过采集云网络传输节点中的报文；提取报文的报文特征；判断报文特征是否与预先存储的病毒特征匹配；在判断结果为是的情况下，将报文发送至汇总器，其中，汇总器，用于对报文做第二次特征匹配筛选，确定携带病毒特征的报文，达到了对匹配结果提供进一步确认的目的，进而解决了检测精度低的技术问题。

可选的，步骤s204中提取报文的报文特征包括：

step1，提取报文中的通信协议标识。

本申请上述步骤s204中的step1中，采集器提取报文中的通信协议标识。其中，该通信协议标识可以至少包括：超文本传输协议(hypertexttransferprotocol，简称http)、网络之间互连的协议(internetprotocol，简称ip)或传输控制协议/因特网互联协议(transmissioncontrolprotocol/internetprotocol，简称tcp/ip)。

进一步地，可选的，步骤s206中判断报文特征是否与预先存储的病毒特征匹配包括：

step1，判断通信协议标识是否与病毒特征中的通信协议标识匹配。

基于步骤s204中的step1提取的报文特征，本申请上述步骤s206中的step1中，采集器判断通信协议标识是否与病毒特征中的通信协议标识匹配。

可选的，网络包括：云网络，云网络由多台云计算设备组成。

结合步骤s202至步骤s208，在采集器侧，在云网络环境中，采集器采集所有网络传输节点中的报文，并提取每一个报文的报文特征，通过将该报文特征与预先存储的病毒特征匹配，将匹配成功的报文发送至汇总器，这里本申请实施例提供的报文识别的方法中采集器初步的采集和匹配将存在病毒特征的报文全部上报至汇总器，以避免报文筛选漏选的可能，进而通过汇总器的进一步的匹配计算，由汇总器分担了采集器的数据计算压力，提升了采集器的运算效率。

实施例2

本申请提供了如图3所示的报文识别的方法。在汇总器侧，图3是根据本发明实施例二的报文识别的方法的流程图。

步骤s302，接收采集器发送的报文；

本申请上述步骤s302中，本申请实施例可以适用于汇总器侧，汇总器接收采集器 发送的报文，汇总器接收的报文为采集器进行初步过滤匹配后存在携带病毒嫌疑的报文。

步骤s304，提取报文中的报文特征，并判断报文特征是否与预设特征集群中的特征匹配；

基于步骤s302中接收到的报文，本申请上述步骤s304中，汇总器提取报文中的报文特征，并判断该报文特征是否与预设特征集群中的特征匹配，其中，该预设特征集群可以为汇总器加入更多用于匹配报文特征的病毒特征组，在本申请实施例中预设特征集群可以至少包括：地址信息、端口信息、通信协议和协议负载payload中的至少两种的组合。

这里汇总器对采集器发送的报文的进一步匹配，是为了减轻采集器由于对采集到的全部报文进行匹配的运算压力，在采集器上报存在携带病毒嫌疑的报文后，由汇总器进一步的验证过滤，以使得提升对携带木马程序的报文的检测精度。

步骤s306，在判断结果为是的情况下，将报文发送至数据处理器，报文为确认为携带病毒特征的报文。

基于步骤s304中的判断，本申请上述步骤s306中，在汇总器判断报文特征与预设特征集群中的特征匹配的情况下，汇总器将特征匹配的报文发送至数据处理器。

此处需要说明的是，除了将特征匹配的报文上报至数据处理器外，还可以通过将该报文的报文特征进行打包发送至数据处理器，以保障数据上报的过程中减轻数据传输的负载压力。

结合步骤s302至步骤s306，汇总器接收采集器上报的报文，并对该报文执行第二次的匹配过滤，其中，在执行第二次的匹配过滤的过程中汇总器通过加入更多的病毒特征对报文执行更为精细的匹配，以使得减轻每个采集器的数据处理负担，提升采集器的数据处理能力和采集效率，将数据处理的压力分流至汇总器，令汇总器执行进一步的过滤，最后将特征匹配的报文上报至数据处理器。

由上可知，本申请上述实施例二所提供的方案，通过接收采集器发送的报文；提取报文中的报文特征，并判断报文特征是否与预设特征集群中的特征匹配；在判断结果为是的情况下，将报文发送至数据处理器，报文为确认为携带病毒特征的报文，达到了对匹配结果提供进一步确认的目的，从而实现了提升对携带木马程序的报文的检测精度的技术效果，进而解决了检测精度低的技术问题。

可选的，步骤s304中判断报文特征是否与预设特征集群中的特征匹配包括：

step1，依据预设特征集群中的地址信息、端口信息以及通信协议标识与报文特征进行匹配。

本申请上述步骤s304中的step1中，汇总器依据特征集群中的地址信息、端口信息以及通信协议标识与采集器上报的报文中的报文特征进行匹配。

具体的，假设地址信息包括：目的地址和源地址；端口信息包括：目的端口和源端口；通信协议标识包括：超文本传输协议(hypertexttransferprotocol，简称http)标识、网络之间互连的协议(internetprotocol，简称ip)标识或传输控制协议/因特网互联协议(transmissioncontrolprotocol/internetprotocol，简称tcp/ip)标识；

判断预设特征集群中的目的地址、源地址、目的端口、源端口以及特征协议标识是否与采集器上报的报文中的报文特征匹配。

实施例3

本申请提供了如图4所示的报文识别的方法。在数据处理器侧，图4是根据本发明实施例三的报文识别的方法的流程图。

步骤s402，接收汇总器发送的报文；

本申请上述步骤s402中，本申请实施例可以适用于数据处理器侧，数据处理器接收汇总器上报的报文，其中，该报文为汇总器对采集器上报的报文进行第二次匹配后得到的报文。

步骤s404，对报文依据预设条件分类，得到报文分类，其中，报文分类包括：云网传输节点接收的报文和云网传输节点发送的报文；

本申请上述步骤s404中，数据处理器对报文依据预设条件分类，得到报文分类，其中，在数据处理器侧，需要对病毒特征匹配的报文进行溯源分析，判断符合病毒特征的报文所属的终端，因此在判断该报文所属的终端之前，需要对报文进行分类，判断该报文为云网传输节点中接收的报文或云网络传输节点发送的报文。判断该报文所属的终端见步骤s406。

步骤s406，依据预设方式对报文分类进行识别，得到发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端。

基于步骤s404中得到的报文分类，本申请上述步骤s406中，数据处理器通过预设方式对报文分类后的报文进行识别，得到报文所属的终端类别，即，得到报文所属 的终端为病毒的发起控制端或与发起控制端通信连接的报文发送端。

其中，本申请实施例中的与发起控制端通信连接的报文发送端可以为，接收了发起控制端木马病毒后的客户端，该客户端在“感染”木马病毒后，将会受发起控制端的控制获取该客户端内用户的私密信息，进而将该私密信息泄露出去，本申请实施例中的与发起控制端通信连接的报文发送端即上述与发起控制端通信连接，且“感染”木马病毒的客户端，在本领域亦称作“肉鸡”。

综上，结合步骤s402至s406，里本申请实施例中提出了由采集器、汇总器和数据处理器组成的报文失败的系统，通过采集器的初步匹配，获取与病毒特征匹配的全部报文，进而通过将该报文上报至汇总器，由汇总器进一步的匹配过滤，得到携带病毒的报文，最后由数据处理器对该报文的分类，获取发送该报文的终端类型，最终分析得到发送该报文的终端为病毒初始的发起控制端或传递该病毒的客户端，从而实现了提升对携带木马程序的报文的检测精度的技术效果。

由上可知，本申请上述实施例三所提供的方案，通过接收汇总器发送的报文；对报文依据预设条件分类，得到报文分类，其中，报文分类包括：云网传输节点接收的报文和云网传输节点发送的报文；依据预设方式对报文分类进行识别，得到发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端，达到了对匹配结果提供进一步确认的目的，进而解决了检测精度低的技术问题。

可选的，步骤s404中对报文依据预设条件分类，得到报文分类包括：

step1，依据报文中的地址信息对报文进行分类。

本申请上述步骤s404中的step1中，数据处理器依据报文中的地址信息进行分类，将源地址为云网传输节点辖区内终端地址的报文分为一类，将目的地址为云网传输节点辖区内终端地址的报文分为一类。

进一步地，可选的，步骤s404中的step1中依据报文中的地址信息对报文进行分类包括：

步骤a，判断地址信息中的源地址是否为云网传输节点辖区内终端的地址；

本申请上述步骤s404中的step1中的步骤a中，数据处理器判断地址信息中的源地址是否为云网传输节点辖区内终端的地址，在判断结果为是的情况下执行步骤b，在判断结果为否的情况下执行步骤c。

步骤b，在判断结果为是的情况下，判定报文为云网传输节点辖区内终端发送的 报文；

基于步骤a的判断，本申请上述步骤b中，在数据处理器判断地址信息中的源地址为云网传输节点辖区内终端的地址的情况下，数据处理器判定该报文为云网传输节点辖区内终端发送的报文。

步骤c，在判断结果为否的情况下，判定报文为云网传输节点辖区内终端接收的报文。

基于步骤a的判断，本申请上述步骤c中，在数据处理器判断地址信息中的源地址不是云网传输节点辖区内终端的地址的情况下，数据处理器判定报文为云网传输节点辖区内终端接收的报文。

可选的，步骤s406中依据预设方式对报文分类进行识别，得到发送报文的终端类别包括：

step1，在报文分类为云网传输节点发送的报文的情况下，判断预存病毒地址信息中的源地址是否与报文中的源地址相同，在判断结果为是的情况下，发送报文的终端类别为病毒的发起控制端；

基于步骤s404的报文分类，本申请上述步骤s406中的step1中，在报文分类为云网传输节点发送的报文的情况下，数据服务器判断预存病毒地址信息中的源地址是否与报文中的源地址相同，在判断结果为是的情况下，发送报文的终端类别为病毒的发起控制端。

step2，在报文分类为云网传输节点接收的报文的情况下，判断预存病毒地址信息中的源地址是否与报文中的源地址相同，在判断结果为是的情况下，发送报文的终端类别为发起控制端通信连接的报文发送端。

本申请上述step2中，在报文分类为云网传输节点发送的报文的情况下，数据服务器判断预存病毒地址信息中的源地址是否与报文中的源地址相同，在判断结果为是的情况下，发送报文的终端类别为发起控制端通信连接的报文发送端。

结合step1和step2，数据服务器对于符合模型的报文，识别为木马协议报文，进而识别出肉鸡和主控端。模型的定义可以有很多种，而且会随着木马的演进同步演进。此处对模型举一个例子：如果存在大量的报文，具备不同的源ip，但总是发往相同的几个目的ip和目的端口，则基本可以判定，这几个目的ip就是木马主控端的ip，发送这些报文的主机就是肉鸡。

综上，结合实施例1至实施例3，图5是根据本发明实施例三的一种报文识别的 方法的流程图；如图5所示，结合采集器、汇总器和数据处理器，在部署于多个云网传输节点的采集器中上传多个特征匹配后的特征报文，进而在汇总器中对采集器上报的特征报文执行第二次匹配，将符合病毒特征的报文上报至数据处理器，其中，该数据处理器可以为大数据分析系统，通过大数据分析系统的分析识别，可以得到木马肉鸡和木马中控端，即，木马传输系统中的传输终端以及木马传输系统中的控制端。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的报文识别的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例4

根据本申请实施例，还提供了一种用于实施实施例一对应的方法实施例的装置实施例，本申请上述实施例所提供的装置可以在采集器上运行。

图6是根据本发明实施例四的报文识别的装置的结构示意图。

如图6所示，该报文识别的装置包括：采集模块62、提取模块64、判断模块66和发送模块68。

其中，采集模块62，用于采集网络传输节点中的报文；提取模块64，用于提取报文的报文特征；判断模块66，用于判断报文特征是否与预先存储的病毒特征匹配；发送模块68，用于在判断结果为是的情况下，将报文发送至汇总器，其中，汇总器，用于对报文做第二次特征匹配筛选，确定携带病毒特征的报文。

由上可知，本申请上述实施例四所提供的方案，通过采集云网络传输节点中的报文；提取报文的报文特征；判断报文特征是否与预先存储的病毒特征匹配；在判断结 果为是的情况下，将报文发送至汇总器，其中，汇总器，用于对报文做第二次特征匹配筛选，确定携带病毒特征的报文，达到了对匹配结果提供进一步确认的目的，进而解决了检测精度低的技术问题。

此处需要说明的是，上述采集模块62、提取模块64、判断模块66和发送模块68对应于实施例一中的步骤s202至步骤s208，四个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的采集器10中，可以通过软件实现，也可以通过硬件实现。

可选的，图7是根据本发明实施例四的一种报文识别的装置的结构示意图。如图7所示，提取模块64包括：提取单元641。

其中，提取单元641，用于提取报文中的通信协议标识。

此处需要说明的是，上述提取单元641对应于实施例一中的步骤s204中的step1，该模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的采集器10中，可以通过软件实现，也可以通过硬件实现。

可选的，图8是根据本发明实施例四的另一种报文识别的装置的结构示意图。如图8所示，判断模块66包括：判断单元661。

其中，判断单元661，用于判断通信协议标识是否与病毒特征中的通信协议标识匹配。

此处需要说明的是，上述判断单元661对应于实施例一中的步骤s206中的step1，该模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的采集器10中，可以通过软件实现，也可以通过硬件实现。

可选的，网络包括：云网络，云网络由多台云计算设备组成。

实施例5

根据本申请实施例，还提供了一种用于实施实施例二对应的方法实施例的装置实施例，本申请上述实施例所提供的装置可以在汇总器上运行。

图9是根据本发明实施例五的报文识别的装置的结构示意图。

如图9所示，该报文识别的装置包括：接收模块92、特征提取模块94和数据发送模块96。

其中，接收模块92，用于接收采集器发送的报文；特征提取模块94，用于提取报文中的报文特征，并判断报文特征是否与预设特征集群中的特征匹配；数据发送模块96，用于在判断结果为是的情况下，将报文发送至数据处理器，报文为确认为携带病毒特征的报文。

由上可知，本申请上述实施例五所提供的方案，通过接收采集器发送的报文；提取报文中的报文特征，并判断报文特征是否与预设特征集群中的特征匹配；在判断结果为是的情况下，将报文发送至数据处理器，报文为确认为携带病毒特征的报文，达到了对匹配结果提供进一步确认的目的，进而解决了检测精度低的技术问题。

此处需要说明的是，上述接收模块92、特征提取模块94和数据发送模块96对应于实施例二中的步骤s302至步骤s206，三个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例二所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的汇总器中，可以通过软件实现，也可以通过硬件实现。

可选的，图10是根据本发明实施例五的一种报文识别的装置的结构示意图。如图10所示，特征提取模块94包括：匹配单元941。

其中，匹配单元941，用于依据预设特征集群中的地址信息、端口信息以及通信协议标识与报文特征进行匹配。

此处需要说明的是，上述匹配单元941对应于实施例二中的步骤s304中的step1，该模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例二所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的汇总器中，可以通过软件实现，也可以通过硬件实现。

实施例6

根据本申请实施例，还提供了一种用于实施实施例三对应的方法实施例的装置实施例，本申请上述实施例所提供的装置可以在数据处理器上运行。

图11是根据本发明实施例六的报文识别的装置的结构示意图。

如图11所示，该报文识别的装置包括：报文接收模块1102、分类模块1104和识 别模块1106。

其中，报文接收模块1102，用于接收汇总器发送的报文；分类模块1104，用于对报文依据预设条件分类，得到报文分类，其中，报文分类包括：云网传输节点接收的报文和云网传输节点发送的报文；识别模块1106，用于依据预设方式对报文分类进行识别，得到发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端。

由上可知，本申请上述实施例六所提供的方案，通过接收汇总器发送的报文；对报文依据预设条件分类，得到报文分类，其中，报文分类包括：云网传输节点接收的报文和云网传输节点发送的报文；依据预设方式对报文分类进行识别，得到发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端，达到了对匹配结果提供进一步确认的目的，进而解决了检测精度低的技术问题。

此处需要说明的是，上述报文接收模块1102、分类模块1104和识别模块1106对应于实施例三中的步骤s402至步骤s406，三个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例三所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例三提供的数据处理器中，可以通过软件实现，也可以通过硬件实现。

可选的，图12是根据本发明实施例六的一种报文识别的装置的结构示意图。如图12所示，分类模块1104包括：分类单元11041。

其中，分类单元11041，用于依据报文中的地址信息对报文进行分类。

此处需要说明的是，上述分类单元11041对应于实施例三中的步骤s404中的step1，该模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例三所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例三提供的数据处理器中，可以通过软件实现，也可以通过硬件实现。

进一步地，可选的，图13是根据本发明实施例六的另一种报文识别的装置的结构示意图。如图13所示，分类单元11041包括：判断子单元110411、第一判断子单元110412和第二判断子单元110413。

其中，判断子单元110411，用于判断地址信息中的源地址是否为云网传输节点辖区内终端的地址；第一判断子单元110412，在判断结果为是的情况下，判定报文为云网传输节点辖区内终端发送的报文；第二判断子单元110413，在判断结果为否的情况下，判定报文为云网传输节点辖区内终端接收的报文。

此处需要说明的是，上述判断子单元110411、第一判断子单元110412和第二判断子单元110413对应于实施例三中的步骤s404中的step1中的步骤a至步骤c，三个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例三所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例三提供的数据处理器中，可以通过软件实现，也可以通过硬件实现。

可选的，图14是根据本发明实施例六的又一种报文识别的装置的结构示意图。如图14所示，识别模块1106包括：第一识别单元11061和第二识别单元11062。

其中，第一识别单元11061，用于在报文分类为云网传输节点发送的报文的情况下，判断预存病毒地址信息中的源地址是否与报文中的源地址相同，在判断结果为是的情况下，发送报文的终端类别为病毒的发起控制端；第二识别单元11062，用于在报文分类为云网传输节点接收的报文的情况下，判断预存病毒地址信息中的源地址是否与报文中的源地址相同，在判断结果为是的情况下，发送报文的终端类别为发起控制端通信连接的报文发送端。

此处需要说明的是，上述第一识别单元11061和第二识别单元11062对应于实施例三中的步骤s406中的step1和step2，两个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例三所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例三提供的数据处理器中，可以通过软件实现，也可以通过硬件实现。

实施例7

根据本申请实施例，提供了一种报文识别的系统实施例，图15是根据本发明实施例七的报文识别的系统的结构示意图。

如图15所示，该报文识别的系统包括：采集器1502、汇总器1504和数据处理器1506。

其中，采集器1502，用于对采集到的报文提取报文特征，并将报文特征与预先存储的病毒特征进行第一次特征匹配，将特征匹配成功的报文发送至汇总器1504；汇总器1504，与至少一个采集器1502通信连接，用于接收存在病毒特征的报文，并通过预设特征集群对报文进行第二次特征匹配，将特征匹配成功的报文发送至数据处理器1506；数据处理器1506，与汇总器1504通信连接，用于对汇总器1504第二次特征匹配后的报文进行分类，确定发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端。

对应实施例1至实施例3，采集器1502分布于云网中的各个传输节点，汇总器1504接收由采集器1502上报的特征匹配的报文，并对该报文执行进一步的匹配，最后由数据处理器1506对报文执行分类，并识别该报文所属的终端类别。

由上可知，本申请上述实施例七所提供的方案，通过采集器，用于对采集到的报文提取报文特征，并将报文特征与预先存储的病毒特征进行第一次特征匹配，将特征匹配成功的报文发送至汇总器；汇总器，与至少一个采集器通信连接，用于接收存在病毒特征的报文，并通过预设特征集群对报文进行第二次特征匹配，将特征匹配成功的报文发送至数据处理器；数据处理器，与汇总器通信连接，用于对汇总器第二次特征匹配后的报文进行分类，确定发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端，达到了对匹配结果提供进一步确认的目的，从而实现了提升对携带木马程序的报文的检测精度的技术效果，进而解决了检测精度低的技术问题。

可选的，在采集器1502分布于云网络各个传输节点的情况下，采集器1502包括：数据采集装置、数据分析装置和数据上报装置，其中，

数据采集装置，与云网络中的虚拟主机通信连接，用于采集虚拟主机接收或发送的报文；

数据分析装置，与数据采集装置通信连接，用于提取报文中的报文特征，判断报文特征是否与预先存储的病毒特征匹配；

数据上报装置，分别与数据分析装置和汇总器通信连接，用于在特征匹配成功的情况下，将与预先存储的病毒特征匹配的报文发送至汇总器。

具体的，对应实施例1中的采集器1502侧的步骤s202至步骤s208，采集器1502对由云网传输节点连接的虚拟主机接收或发送的报文；采集器1502提取报文中的报文特征，并对该报文特征与预先存储的病毒特征进行匹配，将匹配成功的报文发送至汇总器1504。

可选的，汇总器1504包括：第一数据接收装置、数据过滤装置和数据发送装置，其中，

数据接收装置，与数据上报装置通信连接，用于接收采集器1502匹配后的报文；

数据过滤装置，与数据接收装置通信连接，用于依据预设特征集群对报文中的报文特征执行特征匹配，判断报文特征是否与预设特征集群中的特征匹配；

数据发送装置，分别与数据过滤装置和数据处理器通信连接，用于在判断结果为 是的情况下，将报文发送至数据处理器1506。

具体的，对应实施例2中的汇总器1504侧的步骤s302至步骤s306，汇总器1504接收采集器1502上报的报文，并对该报文执行第二次特征匹配，并判断报文特征是否与预设特征集群中的特征匹配，最后在判断结果为是的情况下，将报文发送至数据处理器1506。

可选的，数据处理器1506包括：第二数据接收装置、数据识别装置和结果输出装置，其中，

第二数据接收装置，与数据发送装置通信连接，用于接收汇总器1504发送的报文；

数据识别装置，与第二数据接收装置通信连接，用于依据预设条件解析报文，判断发送报文的终端类别；

结果输出装置，与数据识别装置通信连接，用于输出发送报文的终端类别。

具体的，对应实施例3中的数据处理器1506的步骤s402至步骤s406，数据处理器1506接收汇总器1504发送的报文，数据处理器1506依据预设条件解析报文，并判断该报文所属的终端类别，最后得到该报文所属的终端类别。

实施例8

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的报文识别的方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：采集网络传输节点中的报文；提取报文的报文特征；判断报文特征是否与预先存储的病毒特征匹配；在判断结果为是的情况下，将报文发送至汇总器，其中，汇总器，用于依据报文与预设特征集群中的特征进行匹配判断。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：提取报文中的通信协议标识。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：判断通信协议标识是否与病毒特征中的通信协议标识匹配。

可选的，网络包括：云网络，云网络由多台云计算设备组成。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。