[发明专利]信息处理方法、装置及存储介质

说明书

本发明提供了一种信息处理方法、装置及存储介质，方法包括：通过获取N个异常信息；其中，每个异常信息均对应有网络链；所述每个异常信息是根据网络中的流量检测确定的；N为大于1的整数；获取多个通信链路对应的多个转换策略信息；基于所述多个转换策略信息对所述N个异常信息进行处理，确定出异常设备信息。由于本方案中通过获取的转换策略信息对N个异常信息中进行处理，提高了处理速率，方便分析出异常设备，进而提高了确定出异常设备的效率。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种信息处理方法、装置及存储介质。

背景技术

网络安全设备在进行安全检测或者失陷主机检测时，需要分析攻击网络数据流对应告警日志中的网际互连协议(Internet Protocol，IP)地址信息，以便检出异常设备。由于网络安全设备所处网络环境比较复杂，内网中会存在网络地址转换(Network AddressTranslation，NAT)路由器用于和因特网进行通信，两通信主机之间的一条网络数据流的经过NAT路由器后，源目的IP地址都会进行转化，导致一条网络数据流形成了包含不同源目的IP地址的多个告警日志，进而导致确定出异常设备的效率较低。

发明内容

本发明实施例提供的一种信息处理方法、装置及存储介质，可以提高确定出异常设备的效率。

本发明的技术方案是这样实现的：

本发明实施例提供了一种信息处理方法，包括：

获取N个异常信息；其中，每个异常信息均对应有网络链；所述每个异常信息是根据网络中的流量检测确定的；N为大于1的整数；

获取多个通信链路对应的多个转换策略信息；

基于所述多个转换策略信息对所述N个异常信息进行处理，确定出异常设备信息。

上述方案中，所述获取多个通信链路对应的多个转换策略信息，包括：

接收到每个通信链路包含的多个转换节点发送的多个转换日志；

在所述多个转换日志中提取出所述每个通信链路对应的转换策略信息，进而得到所述多个转换策略信息。

上述方案中，所述在所述多个转换日志中提取出所述每个通信链路对应的转换策略信息，包括：

基于所述多个转换日志的时间信息，对所述多个转换日志进行排序；

在首个转换日志中提取出中间源网络地址信息和转换信息，在其他转换日志中分别提取出对应的所述转换信息；其中，所述转换信息包括：五元组信息；

将在所述首个转换日志中提取出所述中间源网络地址信息，及在所述多个转换日志中提取出的多个转换信息组合，形成所述转换策略信息。

上述方案中，所述基于所述多个转换策略信息对所述N个异常信息进行处理，确定出异常设备信息，包括：

利用所述多个转换策略信息，在所述N个异常信息中确定出属于同一数据流的多个异常信息；

基于所述多个异常信息之间的相似性，确定出异常设备信息。

上述方案中，所述利用所述多个转换策略信息，在所述N个异常信息中确定出属于同一数据流的多个异常信息，包括：

在所述N个异常信息中确定出，具有与中间源网络地址信息匹配的目的网络地址信息对应的第一异常信息；所述中间源网络地址信息属于第K个转换策略信息；K为大于等于1的整数；

在所述N个异常信息中确定出，具有与M个转换信息分别对应匹配异常五元组信息对应的M个异常信息；所述M个转换信息属于所述第K个转换策略信息；M为大于1的整数；

将所述第一异常信息与所述M个异常信息组合，得到所述多个异常信息。