[发明专利]信息处理方法、装置及存储介质

说明书

本发明提供了一种信息处理方法、装置及存储介质，方法包括：通过基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；解析网络流数据得到五元组信息对应的终端标识信息；终端标识信息为发起连接的终端设备的标识，终端标识信息被嵌入至发起连接的终端设备的网络流数据中；若本地网络链异常，则发送异常信息给后端处理节点，异常信息包括终端标识信息；以供后端处理节点利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理。由于本方案中的异常信息中包括了终端标识信息，使得后端处理节点可以通过终端标识信息快速的确定出多个异常信息进行处理，提高了处理速度，进而提高了确定出异常设备的效率。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种信息处理方法、装置及存储介质。

背景技术

网络安全设备在进行安全检测或者失陷主机检测时，需要分析攻击网络数据流对应告警日志中的网际互连协议(Internet Protocol，IP)地址信息，以便检出异常设备。由于网络安全设备所处网络环境比较复杂，内网中会存在网络地址转换(Network AddressTranslation，NAT)路由器用于和因特网进行通信，两通信主机之间的一条网络数据流的经过NAT路由器后，源目的IP地址都会进行转化，导致一条网络数据流形成了包含不同源目的IP地址的多个告警日志，进而导致确定出异常设备的效率较低。

发明内容

本发明实施例提供的一种信息处理方法、装置及存储介质，可以提高确定出异常设备的效率。

本发明的技术方案是这样实现的：

本发明实施例提供了一种信息处理方法，包括：

基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；

解析网络流数据得到五元组信息对应的终端标识信息；终端标识信息为发起连接的终端设备的标识，终端标识信息被嵌入至发起连接的终端设备的网络流数据中；

若本地网络链异常，则发送异常信息给后端处理节点，异常信息包括终端标识信息；以供后端处理节点利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理。

上述方案中，终端标识信息包括：终端设备信息和/或数据流唯一值；

解析网络流数据得到五元组信息对应的终端标识信息，包括：

在网络流数据的预定字段中解析得到五元组信息对应的终端设备信息和/或数据流唯一值。

本发明实施例还提供了一种信息处理方法，应用于后端处理节点，包括：

获取N个异常信息；其中，N为大于1的整数；

利用N个异常信息对应的N个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识；

利用多个异常信息，确定出异常设备信息。

上述方案中，利用N个异常信息对应的N个终端标识信息，确定出属于同一数据流的多个异常信息，包括：

在N个异常信息中，将各终端标识信息之间相似度大于或等于预设阈值的异常信息作为属于同一数据流的多个异常信息。

上述方案中，利用多个异常信息，确定出异常设备信息，包括：

基于多个异常信息对应的时间信息，对多个异常信息进行排序；

依据排序后的每个异常信息对应的终端标识信息确定异常设备信息。

本发明实施例还提供了一种信息处理方法，应用于终端节点，包括：

响应获取的指令信息，形成待发送数据；