一种信息处理方法及装置与流程

1.本技术涉及通信技术领域，尤其涉及一种信息处理方法及装置。


背景技术：

2.为了提高终端访问内网的安全性，内网中的检测设备(例如防火墙设备等)通常会根据管理员输入的互联网协议(internet protocol，ip)地址范围(即，对应的ip地址均为内网中的内网服务器的ip地址)，指示相应的内网服务器启动学习功能，以学习与内网服务器通信的终端(可称为外联终端)的ip地址和端口；该检测设备还会将相应的内网服务器学习到的外联终端的ip地址和端口汇报给管理员进行分析，以便于管理员进一步制定安全防护策略及其对应的安全防护规则，并通过该检测设备下发到相关的内网服务器上，从而使这些内网服务器依据下发的安全防护策略及其对应的安全防护规则过滤掉攻击报文。
3.目前，如果管理员需要针对某个ip地址范围设置一些不需要启动学习功能的内网服务器的ip地址，管理员会先向该检测设备输入该ip地址范围，然后再向该检测设备输入针对该ip地址范围设置的不需要启动学习功能的内网服务器的ip地址。这样一来，对于该检测设备而言，在接收到该ip地址范围之后，会立即指示该ip地址范围对应的ip地址所对应的内网服务器启动学习功能，然后在接收到针对该ip地址范围设置的不需要启动学习功能的内网服务器的ip地址时，再通知相应的内网服务器关闭学习功能。
4.可见，上述这种信息处理方式，容易出现误报了较多的不需要启动学习功能的内网服务器学习到的外联终端的ip地址和端口的问题，从而影响管理员制定安全防护策略及其对应的安全防护规则，进而降低了访问内网的安全性。


技术实现要素：

5.为克服相关技术中存在的问题，本技术提供了一种信息处理方法及装置。
6.根据本技术实施例的第一方面，提供一种信息处理方法，所述方法应用于检测设备，所述方法包括：
7.判断自身在当前的设定周期内是否接收到管理员输入的ip地址范围；
8.在判断结果为否时，将下一个所述设定周期作为当前的设定周期，返回执行判断自身在当前的设定周期内是否接收到管理员输入的ip地址范围的步骤，直到所述检测设备停止运行；
9.在判断结果为是时，根据在当前的设定周期内接收到的所有的ip地址范围，确定需要启动学习功能的内网服务器的ip地址，其中，所有的ip地址范围中至少有一个ip地址范围对应有不需要启动学习功能的内网服务器的ip地址；
10.向确定出的ip地址对应的内网服务器发送学习指令，以使确定出的ip地址对应的内网服务器根据所述学习指令，在所述学习指令所指示的学习时长内学习其外联终端的ip地址和端口，并继续执行将下一个所述设定周期作为当前的设定周期的步骤。
11.根据本技术实施例的第二方面，提供一种信息处理装置，所述装置应用于检测设
备，所述装置包括：
12.判断模块，用于判断自身在当前的设定周期内是否接收到管理员输入的ip地址范围，并在判断结果为否时，将下一个所述设定周期作为当前的设定周期，执行判断自身在当前的设定周期内是否接收到管理员输入的ip地址范围的步骤，直到所述检测设备停止运行；
13.确定模块，用于在所述判断模块的判断结果为是时，根据在当前的设定周期内接收到的所有的ip地址范围，确定需要启动学习功能的内网服务器的ip地址，其中，所有的ip地址范围中至少有一个ip地址范围对应有不需要启动学习功能的内网服务器的ip地址；
14.发送模块，用于向所述确定模块确定出的ip地址对应的内网服务器发送学习指令，以使确定出的ip地址对应的内网服务器根据所述学习指令，在所述学习指令所指示的学习时长内学习其外联终端的ip地址和端口，并触发所述判断模块继续执行将下一个所述设定周期作为当前的设定周期的步骤。
15.本技术的实施例提供的技术方案可以包括以下有益效果：
16.在本技术实施例中，对于内网中的检测设备而言，会按照设定周期监测自身是否接收到了管理员输入的ip地址范围，一旦在某个设定周期内接收到管理员输入的ip地址范围，会在这个设定周期到达后，依据在这个设定周期内接收到的所有的ip地址范围，再进一步确定需要启动学习功能的内网服务器的ip地址，以指示相应的内网服务器学习其外联终端的ip地址和端口。这样一来，该检测设备可以减少误报不需要启动学习功能的内网服务器学习到的外联终端的ip地址和端口，从而便于管理员精准制定安全防护策略及其对应的安全防护规则，进而提高了访问内网的安全性。
17.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
18.此处的附图被并入说明书中并构成本技术的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
19.图1为本技术实施例提供的一种信息处理方法的流程示意图；
20.图2为本技术实施例提供的一种信息处理装置的结构示意图；
21.图3为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
22.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
23.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
24.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
25.接下来对本技术实施例进行详细说明。
26.本技术实施例提供了一种信息处理方法，该方法应用于内网中的检测设备，该检测设备例如可以是防火墙设备等等，如图1所示，该方法可以包括如下步骤：
27.s11、判断自身在当前的设定周期内是否接收到管理员输入的ip地址范围；在判断结果为否时，执行步骤s12；在判断结果为是时，执行步骤s13。
28.s12、将下一个设定周期作为当前的设定周期，返回执行步骤s11，直到检测设备停止运行。
29.s13、根据在当前的设定周期内接收到的所有的ip地址范围，确定需要启动学习功能的内网服务器的ip地址。
30.其中，在本步骤中，所有的ip地址范围中至少有一个ip地址范围对应有不需要启动学习功能的内网服务器的ip地址。
31.s14、向确定出的ip地址对应的内网服务器发送学习指令，以使确定出的ip地址对应的内网服务器根据学习指令，在学习指令所指示的学习时长内学习其外联终端的ip地址和端口，并继续执行s12。
32.具体地，在上述步骤s11中，上述设定周期可根据内网的实际情况来设置，例如，设定周期可以设置为5s等。
33.在上述步骤s13中，该检测设备可以通过以下方式确定需要启动学习功能的内网服务器的ip地址：
34.将所有的ip地址范围对应的ip地址中除所有的不需要启动学习功能的内网服务器的ip地址之外的ip地址，确定为需要启动学习功能的内网服务器的ip地址。
35.例如，假设该检测设备在当前的设定周期内接收到了3个ip地址范围为10.1.5.10～10.1.5.20、10.2.5.10～10.2.5.15和对应有10.2.5.12(即，不需要启动学习功能的内网服务器的ip地址)的10.2.5.10～10.2.5.15，那么，该检测设备最终可以确定出需要启动学习功能的内网服务器的ip地址分别为：10.1.5.10、10.1.5.11、10.1.5.12、10.1.5.13、10.1.5.14、10.1.5.15、10.1.5.16、10.1.5.17、10.1.5.18、10.1.5.19、10.1.5.20、10.2.5.10、10.2.5.11、10.2.5.13、10.2.5.14和10.2.5.15。
36.需要说明的是，在上述步骤s14中，该检测设备向确定出的ip地址对应的内网服务器发送的学习指令所指示的学习时长可以是管理员选择并输入该检测设备的。
37.在一个例子中，该学习时长可以由管理员按小时选择，例如，该学习时长为1小时等。
38.在另一个例子中，该学习时长也可以由管理员按天选择，例如，该学习时长为1天等。
39.当然，该学习时长还可以通过其他方式设置，在此不再一一列举。
40.进一步地，在本技术实施例中，为了方便管理员快速、准确地分析外联终端学习到
的ip地址和端口，精准制定相应的安全防护策略及其对应的安全防护规则，该检测设备在向确定出的ip地址对应的内网服务器发送学习指令之后，还可以执行以下操作：
41.接收确定出的ip地址对应的内网服务器发送的其学习到的外联终端的ip地址和端口；
42.针对接收到的每个外联终端的ip地址，若判断出预设的ip地址信誉库中不存在该外联终端的ip地址，则确定该外联终端的ip地址为合法ip地址；
43.若判断出预设的ip地址信誉库中存在该外联终端的ip地址，则确定该外联终端的ip地址为非法ip地址，并进一步根据预设的ip地址信誉库中记录的ip地址及其对应的攻击类型和攻击级别，确定该外联终端的ip地址对应的攻击类别和攻击级别；
44.将所有的非法ip地址及其对应的端口、内网服务器、攻击类别和攻击级别、以及所有的合法ip地址及其对应的端口和内网服务器的ip地址显示给管理员。
45.在一个例子中，该检测设备可以将所有的非法ip地址及其对应的端口、内网服务器、攻击类别和攻击级别、以及所有的合法ip地址及其对应的端口和内网服务器的ip地址以列表的形式显示给管理员，例如下表一所示。
46.内网服务器地址外联终端地址端口攻击类型攻击级别10.2.5.10192.168.1.10tcp 1024挖矿软件高10.2.5.11192.168.1.15tcp 1988盗号木马高10.2.5.13192.168.1.12tcp 1027僵尸网络高10.2.5.14192.168.1.30udp 1699垃圾邮件中10.2.5.15192.168.1.31udp 1700垃圾邮件中
47.表一
48.更进一步地，在本技术实施例中，该检测设备在将所有的非法ip地址及其对应的端口、内网服务器、攻击类别和攻击级别、以及所有的合法ip地址及其对应的端口和内网服务器的ip地址显示给管理员之后，还可以执行以下操作：
49.若接收到所述管理员输入的针对所述所有的合法ip地址设置的第一安全防护策略，则在接收到所述第一安全防护策略时所处的所述设定周期到达后，如果未接收到所述管理员输入的所述第一安全防护策略对应的第一安全防护规则，将所述第一安全防护策略通知给所述第一安全防护策略对应的内网服务器；
50.如果接收到所述管理员输入的所述第一安全防护策略对应的第一安全防护规则，将所述第一安全防护策略及其对应的最新的第一安全防护规则通知给所述第一安全防护策略对应的内网服务器。
51.在此操作流程中，管理员输入的所有的合法ip地址是该检测设备筛选出的。
52.在这里，上述第一安全防护策略和上述第一安全防护规则的具体内容为现有技术，在此不再详述。
53.通过执行此操作流程，该检测设备可以准确地将攻击报文汇报给管理员，从而提高了访问内网的安全性。
54.当然，在本技术实施例中，该检测设备在向确定出的ip地址对应的内网服务器发送学习指令之后，还可以执行以下操作：
55.若接收到所述管理员输入的针对所述检测设备输出的外联终端的ip地址确定出
的合法ip地址设置的第二安全防护策略，则在接收到所述第二安全防护策略时所处的所述设定周期到达后，如果未接收到所述管理员输入的所述第二安全防护策略对应的第二安全防护规则，将所述第二安全防护策略通知给所述第二安全防护策略对应的内网服务器；
56.如果接收到所述管理员输入的所述第二安全防护策略对应的第二安全防护规则，将所述第二安全防护策略及其对应的最新的第二安全防护规则通知给所述第二安全防护策略中的内网服务器。
57.在此操作流程中，管理员输入的合法ip地址是管理员依据该检测设备输出的外联终端的ip地址分析后确定出的。
58.由以上技术方案可以看出，在本技术实施例中，对于内网中的检测设备而言，会按照设定周期监测是否接收到了管理员输入的ip地址范围，一旦在某个设定周期内接收到管理员输入的ip地址范围，会在这个设定周期到达后，依据在设定周期内接收到的所有的ip地址范围，再进一步确定需要启动学习功能的内网服务器的ip地址，以指示相应的内网服务器学习其外联终端的ip地址和端口。这样一来，该检测设备可以减少误报不需要启动学习功能的内网服务器学习到的外联终端的ip地址和端口，从而便于管理员精准制定安全防护策略及其对应的安全防护规则，进而提高了访问内网的安全性。
59.基于同一发明构思，本技术还提供了一种信息处理装置，该装置应用于内网中的检测设备，该检测设备例如可以是防火墙设备等等，其结构示意图如图2所示，具体包括：
60.判断模块21，用于判断自身在当前的设定周期内是否接收到管理员输入的ip地址范围，并在判断结果为否时，将下一个所述设定周期作为当前的设定周期，执行判断自身在当前的设定周期内是否接收到管理员输入的ip地址范围的步骤，直到所述检测设备停止运行；
61.确定模块22，用于在所述判断模块的判断结果为是时，根据在当前的设定周期内接收到的所有的ip地址范围，确定需要启动学习功能的内网服务器的ip地址，其中，所有的ip地址范围中至少有一个ip地址范围对应有不需要启动学习功能的内网服务器的ip地址；
62.发送模块23，用于向所述确定模块确定出的ip地址对应的内网服务器发送学习指令，以使确定出的ip地址对应的内网服务器根据所述学习指令，在所述学习指令所指示的学习时长内学习其外联终端的ip地址和端口，并触发所述判断模块21继续执行将下一个所述设定周期作为当前的设定周期的步骤。
63.优选地，所述确定模块22，具体用于通过以下方式确定需要启动学习功能的内网服务器的ip地址：
64.将所有的ip地址范围对应的ip地址中除所有的不需要启动学习功能的内网服务器的ip地址之外的ip地址，确定为需要启动学习功能的内网服务器的ip地址。
65.优选地，所述装置还包括：
66.处理模块(图2中未示出)，用于在向确定出的ip地址对应的内网服务器发送学习指令之后，接收确定出的ip地址对应的内网服务器发送的其学习到的外联终端的ip地址和端口；
67.针对接收到的每个外联终端的ip地址，若判断出预设的ip地址信誉库中不存在该外联终端的ip地址，则确定该外联终端的ip地址为合法ip地址；
68.若判断出所述预设的ip地址信誉库中存在该外联终端的ip地址，则确定该外联终
processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field
‑
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
80.在本技术提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述信息处理方法的步骤。
81.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。