[发明专利]报文识别的系统、方法和装置

说明书

本发明公开了一种报文识别的系统、方法和装置。其中，该系统包括：采集器，用于对采集到的报文提取报文特征，并将报文特征与预先存储的病毒特征进行第一次特征匹配，将特征匹配成功的报文发送至汇总器；汇总器，与至少一个采集器通信连接，用于接收存在病毒特征的报文，并通过预设特征集群对报文进行第二次特征匹配，将特征匹配成功的报文发送至数据处理器；数据处理器，与汇总器通信连接，用于对汇总器第二次特征匹配后的报文进行分类，确定发送报文的终端类别。本发明解决了检测精度低的技术问题。

技术领域

本发明涉及通信技术应用领域，具体而言，涉及一种报文识别的系统、方法和装置。

背景技术

随着云技术的广泛运用，如何在由客户端和服务端组成的云网架构中检测被注入木马程序的虚拟机成为现有亟待解决的问题。

对于组成木马程序的流通环境来说，通常是由客户端与服务端组成的云网架构，在常规通信模式中：客户端主动向一个地址被预置到程序中的服务端汇报自己的存在，并主动接受服务端的管理，在该通信过程中，客户端和服务端需要遵循一套通信协议。通过分析现存已知的木马程序的流通方式，承载木马程序的通信协议数量极为有限。而且，即使随着木马程序的变种和进化，承载木马程序的通信协议都会遵循第一个木马程序版本曾使用过的通信协议。基于上述原理，通过在通信协议组中提取报文的特征，并通过该特征进行木马特征匹配，最后将疑似存在木马程序的报文过滤出来。

由上可知，通过协议特征做报文匹配是一个非常简单的方法，但是该方法缺陷在于匹配粗放，会出现大量的误匹配，而且缺少一个可信可行的方法对匹配结果进行确认。并且，为了做特征报文匹配，需要在客户端系统上安装额外的应用程序，从而对报文中的特征与木马程序特征进行匹配。

现有技术中对携带木马程序的报文的检测精度低的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种报文识别的系统、方法和装置，以至少解决检测精度低的技术问题。

根据本发明实施例的一个方面，提供了一种报文识别的系统，包括：采集器、汇总器和数据处理器，其中，采集器，用于对采集到的报文提取报文特征，并将报文特征与预先存储的病毒特征进行第一次特征匹配，将特征匹配成功的报文发送至汇总器；汇总器，与至少一个采集器通信连接，用于接收存在病毒特征的报文，并通过预设特征集群对报文进行第二次特征匹配，将特征匹配成功的报文发送至数据处理器；数据处理器，与汇总器通信连接，用于对汇总器第二次特征匹配后的报文进行分类，确定发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端。

根据本发明实施例的另一方面，还提供了一种报文识别的方法，包括：采集网络传输节点中的报文；提取报文的报文特征；判断报文特征是否与预先存储的病毒特征匹配；在判断结果为是的情况下，将报文发送至汇总器，其中，汇总器，用于对报文做第二次特征匹配筛选，确定携带病毒特征的报文。

根据本发明实施例的另一方面，还提供了另一种报文识别的方法，包括：接收采集器发送的报文；提取报文中的报文特征，并判断报文特征是否与预设特征集群中的特征匹配；在判断结果为是的情况下，将报文发送至数据处理器。

根据本发明实施例的另一方面，还提供了又一种报文识别的方法，包括：接收汇总器发送的报文；对报文依据预设条件分类，得到报文分类，其中，报文分类包括：云网传输节点接收的报文和云网传输节点发送的报文；依据预设方式对报文分类进行识别，得到发送报文的终端类别，其中，终端类别包括：病毒的发起控制端和与发起控制端通信连接的报文发送端。

根据本发明实施例的又一方面，还提供了一种报文识别的装置，包括：采集模块，用于采集网络传输节点中的报文；提取模块，用于提取报文的报文特征；判断模块，用于判断报文特征是否与预先存储的病毒特征匹配；发送模块，用于在判断结果为是的情况下，将报文发送至汇总器，其中，汇总器，用于对报文做第二次特征匹配筛选，确定携带病毒特征的报文。