信息分析报警方法、装置和存储介质

技术领域

本发明涉及信息处理技术领域，具体涉及一种信息分析报警方法、装置及超声设备。

背景技术

用户在使用网络服务时，通常需要提交自己的个人信息，而这些信息有些是需要保密的敏感信息，泄露之后会给用户带来极大的困扰。

为了避免泄露现有方案为：从访问日志中提取Http(超文本传输协议)响应信息；检测Http响应信息是否包括数据库系统的敏感信息；若包括，则确定Http请求信息指向Webshell。然后，上述方案只能对业务系统打印的访问日志进行分析HTTP响应。

发明内容

有鉴于此，本发明实施例提供了一种信息分析报警方法、装置和存储介质，以解决现有技术中的问题。

根据第一方面，本发明实施例提供了一种信息分析报警方法，包括：

获取网关出口的流量信息；

将所述流量信息存储至消息队列MQ；

在消费所述MQ中的流量信息时获取反馈信息；

根据所述反馈信息进行报警提示。

可选的，所述根据所述反馈信息进行报警提示，包括：

根据预设识别规则识别所述反馈信息中的特征信息，所述预设识别规则为根据预设提醒服务训练设置的规则；

根据所述特征信息进行拦截和/或报警。

可选的，所述根据预设识别规则识别所述反馈信息中的特征信息，包括：

根据所述预设识别规则识别所述反馈信息中的敏感信息，所述敏感信息包括姓名、身份信息、联系电话、银行账号、住址、医疗信息和教育信息中的至少一种。

可选的，所述根据所述特征信息进行拦截和/或报警，包括：

确定识别得到的所述敏感信息的信息类型；

推送报警信息至所述信息类型所对应的监控终端。

可选的，所述根据预设识别规则识别所述反馈信息中的特征信息，包括：

根据所述预设识别规则识别所述反馈信息中用于表征网络攻击的特征信息。

可选的，所述根据所述特征信息进行拦截和/或报警，包括：

在识别到用于表征网络攻击的特征信息时，执行报警或者拦截。

可选的，所述获取网关出口的流量信息，包括：

获取所述网关出口的http流量的流量信息。

第二方面，提供了一种信息分析报警装置，所述装置包括存储器和处理器，所述存储器中存储有至少一条程序指令，所述处理器通过加载并执行所述至少一条程序指令以实现如第一方面所述的方法。

第三方面，提供了一种计算机存储介质，所述存储介质中存储有至少一条程序指令，所述至少一条程序指令被处理器加载并执行以实现如第一方面所述的方法。

通过获取网关出口的流量信息；将所述流量信息存储至消息队列MQ；在消费所述MQ中的流量信息时获取反馈信息；根据所述反馈信息进行报警提示。解决了现有技术中仅能对访问日志中的内容进行分析，应用场景较为局限的问题，到达了可以无侵入的针对实时流量进行分析，技术方案更通用的效果。同时，通过将实时获取的流量信息存储到MQ中，达到了可以分析报警方法的可靠性和性能。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

图1为本发明一个实施例提供的信息分析报警方法的方法流程图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

请参考图1，其示出了本申请一个实施例提供的信息分析报警方法的方法流程图，如图1所示，所述方法包括：

步骤101，获取网关出口的流量信息；

可以实时采集各个网关出口的流量信息。实际实现时，可以实时采集网关出口的http流量的流量信息。可选的，网关中可以设置有流量采集agent(代理)，通过各个流量采集agent采集网关出口的7层的http流量的流量信息。

步骤102，将所述流量信息存储至MQ(Message Queue，消息队列)；

在获取到流量信息之后，将获取到的流量信息依次存储至MQ中。

步骤103，在消费所述MQ中的流量信息时获取反馈信息；

在消费MQ中的流量信息时，截取返回给用户的response。

步骤104，根据所述反馈信息进行报警提示。

在获取到反馈信息之后，即可根据反馈信息发出报警提示信息。并且，可以通过报警平台发出该报警提示信息。

实际实现时，本步骤可以包括：

步骤104a，根据预设识别规则识别所述反馈信息中的特征信息，所述预设识别规则为根据预设提醒服务训练设置的规则；

实际实现时，根据不同的应用场景所需识别的信息也不同，并且识别不同信息的识别方式也有所不同，因此，本申请中的预设识别规则可以为预先根据所需提醒的预设提醒服务设置的规则。并且，在所需识别的特征信息包括多种时，预设识别规则中可以包括用于识别不同特征信息的规则。

实际实现时，根据不同的应用场景，特征信息可以为敏感信息，也可以为其他类型的信息，比如为网络攻击时的攻击特征信息，或者，为其他定制服务的定制特征信息，在此并不做限定。

在一种可能的实施方式中，在用于保险服务系统时，敏感信息可以包括姓名、身份信息、联系电话、银行账号、住址、保险单号、医疗信息和教育信息中的至少一种。身份信息可以包括身份证号、护照号、社保账号等等可以标识用户身份的信息。而在用于银行系统时，敏感信息可以包括姓名、身份信息、联系电话、银行账号以及住址等等。本实施例对其具体内容并不做限定。在敏感信息包括身份证号时，预设识别规则可以为用于识别18位字符串的识别规则；在敏感信息包括银行账号时，预设识别规则中可以相应的包括用于识别账号的识别规则，本实施例在此并不做限定。

在另一种可能的实施例中，在特征信息为用于表征网络攻击的攻击特征信息时，可以通过智能AI和大数据确定网络攻击的共性特征，根据确定的共性特征生成识别共性特征的识别规则，本实施例在此并不做限定。

步骤104b，根据所述特征信息进行拦截和/或报警。

在识别得到特征信息之后，可以根据识别得到的特征信息进行拦截和/或报警。

综上所述，通过获取网关出口的流量信息；将所述流量信息存储至消息队列MQ；在消费所述MQ中的流量信息时获取反馈信息；根据所述反馈信息进行报警提示。解决了现有技术中仅能对访问日志中的内容进行分析，应用场景较为局限的问题，到达了可以无侵入的针对实时流量进行分析，技术方案更通用的效果。同时，通过将实时获取的流量信息存储到MQ中，达到了可以分析报警方法的可靠性和性能。

此外，在采集流量信息时可以支持自定义采样率，在此不再赘述。

需要补充说明的是，基于上述论述可知，特征信息可以为敏感信息或者用于表征网络攻击的信息，因此，下述将分别对其两种情况进行说明。

在第一种可能的实施例中，在识别得到的特征信息包括敏感信息时，上述步骤104a包括：

根据所述预设识别规则识别所述反馈信息中的敏感信息，所述敏感信息包括姓名、身份信息、联系电话、银行账号、住址、医疗信息和教育信息中的至少一种。

步骤104b包括：

第一，确定识别得到的所述敏感信息的信息类型；

信息类型为姓名、身份信息、联系电话、银行账号、住址、医疗信息和教育信息中的至少一种。

第二，推送报警信息至所述信息类型所对应的监控终端。

由于实际实现时，不同类型的信息可以来自不同的微服务，因此，为了辅助提升各个微服务的功能，在确定得到信息类型之后，即可推送报警提示信息至信息类型所对应的监控终端，监控终端可以为微服务的负责人所对应的终端。

比如，信息分析报警方法在网关有两个时，通过各个网关中的流量采集agent采集各自网关的流量信息，将采集到的流量信息导入到MQ。此后，进入敏感信息处理服务，具体的，在消费MQ时获取response，自动识别response中的敏感信息，确定敏感信息所对应的微服务以及负责人，通过报警平台发出报警。需要说明的是，实际实现时，可以包括更多或者更少的网关，在此并不做限定。另外，上述信息分析报警方法的一种可能的方法流程图。

通过确定敏感信息的信息类型，进而推送报警信息至信息类型所对应的监控终端，使得相应的技术人员可以及时获知报警信息进而推动相应业务的整改。

在第二种可能的实施例中，在特征信息为用于表征网络攻击的信息时，步骤104a包括：

根据所述预设识别规则识别所述反馈信息中用于表征网络攻击的特征信息。

如上所述，在特征信息为用于表征网络攻击的攻击特征信息时，可以通过智能AI和大数据确定网络攻击的共性特征，根据确定的共性特征生成识别共性特征的识别规则，本实施例在此并不做限定。实际实现时，根据预设识别规则的不同，本步骤的具体识别方式也有所不同，在此不再枚举。

步骤104b包括：

在识别到用于表征网络攻击的特征信息时，执行报警或者拦截。

在反馈信息中包括用于表征网络攻击的特征信息时，则说明存在被攻击的风险，此时可以进行报警，或者，拦截，或者，在拦截的同时报警。

本实施例还公开了一种信息分析报警装置，所述装置包括存储器和处理器，所述存储器中存储有至少一条程序指令，所述处理器通过加载并执行所述至少一条程序指令的方式执行以上所述的信息分析报警方法。

本实施例还公开了一种计算机存储介质，所述存储介质中存储有至少一条程序指令，所述至少一条程序指令被所述处理器加载并执行以上所述的信息分析报警方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。