[发明专利]信息处理方法、装置及存储介质

权利要求书

1.一种信息处理方法，其特征在于，包括：

获取N个异常信息；其中，每个异常信息均对应有网络链；所述每个异常信息是根据网络中的流量检测确定的；N为大于1的整数；

获取多个通信链路对应的多个转换策略信息；

基于所述多个转换策略信息对所述N个异常信息进行处理，确定出异常设备信息。

2.根据权利要求1所述的信息处理方法，其特征在于，所述获取多个通信链路对应的多个转换策略信息，包括：

接收到每个通信链路包含的多个转换节点发送的多个转换日志；

在所述多个转换日志中提取出所述每个通信链路对应的转换策略信息，进而得到所述多个转换策略信息。

3.根据权利要求2所述的信息处理方法，其特征在于，所述在所述多个转换日志中提取出所述每个通信链路对应的转换策略信息，包括：

基于所述多个转换日志的时间信息，对所述多个转换日志进行排序；

在首个转换日志中提取出中间源网络地址信息和转换信息，在其他转换日志中分别提取出对应的所述转换信息；其中，所述转换信息包括：五元组信息；

将在所述首个转换日志中提取出所述中间源网络地址信息，及在所述多个转换日志中提取出的多个转换信息组合，形成所述转换策略信息。

4.根据权利要求1所述的信息处理方法，其特征在于，所述基于所述多个转换策略信息对所述N个异常信息进行处理，确定出异常设备信息，包括：

利用所述多个转换策略信息，在所述N个异常信息中确定出属于同一数据流的多个异常信息；

基于所述多个异常信息之间的相似性，确定出异常设备信息。

5.根据权利要求4所述的信息处理方法，其特征在于，所述利用所述多个转换策略信息，在所述N个异常信息中确定出属于同一数据流的多个异常信息，包括：

在所述N个异常信息中确定出，具有与中间源网络地址信息匹配的目的网络地址信息对应的第一异常信息；所述中间源网络地址信息属于第K个转换策略信息；K为大于等于1的整数；

在所述N个异常信息中确定出，具有与M个转换信息分别对应匹配异常五元组信息对应的M个异常信息；所述M个转换信息属于所述第K个转换策略信息；M为大于1的整数；

将所述第一异常信息与所述M个异常信息组合，得到所述多个异常信息。

6.根据权利要求4所述的信息处理方法，其特征在于，所述基于所述多个异常信息之间的相似性，确定出异常设备信息，包括：

对所述多个异常信息进行相似性验证检测，得到所述多个异常信息的检测结果；

若所述检测结果表征所述多个异常信息相似性验证通过，则基于所述多个异常信息的时间信息，对所述多个异常信息进行排序；

依据排序后的每个异常信息包括的异常五元组信息确定所述异常设备信息。

7.根据权利要求6所述的信息处理方法，其特征在于，所述对所述多个异常信息进行相似性验证检测，得到所述多个异常信息的检测结果，包括：

在每个异常信息的应用层数据包中确定出，预定长度字节的字符串；

通过所述字符串计算得到所述每个异常信息的标识信息；

若所述多个异常信息的标识信息之间的相似度大于或者等于预设阈值，则得到所述多个异常信息相似性验证通过的检测结果。

8.一种信息处理方法，其特征在于，包括：

获取N个异常信息；其中，每个异常信息均对应有网络链；所述每个异常信息是根据网络中的流量检测确定的；N为大于1的整数；

获取多个通信链路对应的多个转换策略信息；

基于所述多个转换策略信息在所述N个异常信息确定出同一数据流的多个异常信息，对所述多个异常信息进行聚合，确定出异常源设备信息。