信息处理方法、装置及存储介质与流程

1.本发明实施例涉及网络安全技术领域，尤其涉及一种信息处理方法、装置及存储介质。


背景技术：

2.网络安全设备在进行安全检测或者失陷主机检测时，需要分析攻击网络数据流对应告警日志中的网际互连协议(internet protocol，ip)地址信息，以便检出异常设备。由于网络安全设备所处网络环境比较复杂，内网中会存在网络地址转换(network address translation，nat)路由器用于和因特网进行通信，两通信主机之间的一条网络数据流的经过nat路由器后，源目的ip地址都会进行转化，导致一条网络数据流形成了包含不同源目的ip地址的多个告警日志，进而导致确定出异常设备的效率较低。


技术实现要素：

3.本发明实施例提供的一种信息处理方法、装置及存储介质，可以提高确定出异常设备的效率。
4.本发明的技术方案是这样实现的：
5.本发明实施例提供了一种信息处理方法，包括：
6.基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；
7.解析网络流数据得到五元组信息对应的终端标识信息；终端标识信息为发起连接的终端设备的标识，终端标识信息被嵌入至发起连接的终端设备的网络流数据中；
8.若本地网络链异常，则发送异常信息给后端处理节点，异常信息包括终端标识信息；以供后端处理节点利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理。
9.上述方案中，终端标识信息包括：终端设备信息和/或数据流唯一值；
10.解析网络流数据得到五元组信息对应的终端标识信息，包括：
11.在网络流数据的预定字段中解析得到五元组信息对应的终端设备信息和/或数据流唯一值。
12.本发明实施例还提供了一种信息处理方法，应用于后端处理节点，包括：
13.获取n个异常信息；其中，n为大于1的整数；
14.利用n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识；
15.利用多个异常信息，确定出异常设备信息。
16.上述方案中，利用n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息，包括：
17.在n个异常信息中，将各终端标识信息之间相似度大于或等于预设阈值的异常信息作为属于同一数据流的多个异常信息。
18.上述方案中，利用多个异常信息，确定出异常设备信息，包括：
19.基于多个异常信息对应的时间信息，对多个异常信息进行排序；
20.依据排序后的每个异常信息对应的终端标识信息确定异常设备信息。
21.本发明实施例还提供了一种信息处理方法，应用于终端节点，包括：
22.响应获取的指令信息，形成待发送数据；
23.形成终端标识信息，并将终端标识信息写入待发送数据形成数据流；
24.将数据流发送给目的终端节点，供终端节点与目的终端节点之间的多个前端节点在检测出所属的本地网络链异常时，发送异常信息给后端处理节点。
25.上述方案中，终端标识信息包括：终端设备信息和/或数据流唯一值；
26.形成终端标识信息，并将终端标识信息写入待发送数据形成数据流，包括：
27.获取本地的终端设备信息，并对应终端节点与目的终端节点首次通信之后的待发送数据形成数据流唯一值；
28.将终端设备信息和/或数据流唯一值写入待发送数据的预定字段，形成数据流。
29.本发明实施例还提供了一种信息处理方法，应用于后端处理节点，包括：
30.获取n个异常信息；其中，n为大于1的整数；
31.利用n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识；
32.将多个异常信息进行聚合，得到聚合异常信息以确定出异常源设备信息。
33.本发明实施例还提供了一种信息处理方法，应用于前端节点，包括：
34.基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；
35.若网络流数据异常，则基于网络流数据对应的五元组信息在第一映射表中确定出终端标识信息；第一映射表包括多个终端标识信息与多个五元组信息的映射关系信息；
36.将终端标识信息发送给终端节点，供终端节点根据终端标识信息在第二映射表中确定出异常终端信息；第二映射表包括终端标识信息与多个终端属性信息的映射关系信息。
37.本发明实施例还提供了一种信息处理装置，应用于前端节点，包括：
38.第一数据接收单元，用于基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；
39.解析单元，用于解析所述网络流数据得到所述五元组信息对应的终端标识信息；所述终端标识信息为发起连接的终端设备的标识，所述终端标识信息被嵌入至发起连接的终端设备的网络流数据中；
40.第一发送单元，用于若所述本地网络链异常，则发送异常信息给后端处理节点，所述异常信息包括所述终端标识信息；供所述后端处理节点利用多个前端节点发送的多个异常信息中的所述终端标识信息，对所述多个异常信息进行处理。
41.本发明实施例还提供了一种信息处理装置，应用于后端处理节点，包括：
42.第二数据接收单元，用于获取n个异常信息；其中，n为大于1的整数；
43.第一确定单元，用于利用所述n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识；
44.处理单元，用于利用所述多个异常信息，确定出异常设备信息。
45.本发明实施例还提供了一种信息处理装置，应用于终端节点，包括：
46.响应单元，用于响应获取的指令信息，形成待发送数据；
47.数据处理单元，用于形成终端标识信息，并将所述终端标识信息写入所述待发送数据形成数据流；
48.第二发送单元，用于将所述数据流发送给目的终端节点，供所述终端节点与所述目的终端节点之间的多个前端节点在检测出所属的本地网络链异常时，发送异常信息给后端处理节点。
49.本发明实施例还提供了一种信息处理装置，应用于后端处理节点，包括：
50.第二数据接收单元，用于获取n个异常信息；其中，n为大于1的整数；
51.第二确定单元，用于利用所述n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识；
52.聚合单元，用于将所述多个异常信息进行聚合，得到聚合异常信息以确定出异常源设备信息。
53.本发明实施例还提供了一种信息处理装置，应用于前端节点，包括：
54.第三数据接收单元，用于基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；
55.第三确定单元，用于若所述网络流数据异常，则基于所述网络流数据对应的所述五元组信息在第一映射表中确定出终端标识信息；所述第一映射表包括多个终端标识信息与多个五元组信息的映射关系信息；
56.第三发送单元，用于将所述终端标识信息发送给终端节点，供所述终端节点根据所述终端标识信息在第二映射表中确定出异常终端信息；所述第二映射表包括所述终端标识信息与多个终端属性信息的映射关系信息。
57.本发明实施例还提供了一种信息处理装置，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述方法中的步骤。
58.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现上述方法中的步骤。
59.本发明实施例中，通过基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；解析网络流数据得到五元组信息对应的终端标识信息；终端标识信息为发起连接的终端设备的标识，终端标识信息被嵌入至发起连接的终端设备的网络流数据中；若本地网络链异常，则发送异常信息给后端处理节点，异常信息包括终端标识信息；以供后端处理节点利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理。由于本方案中的异常信息中包括了终端标识信息，使得后端处理节点可以通过终端标识信息快速的确定出多个异常信息进行处理，提高了处理速度，进而提高了确定出异常设备的效率。
附图说明
60.图1为本发明实施例提供的信息处理方法的一个可选的流程示意图；
61.图2为本发明实施例提供的信息处理方法的一个可选的效果示意图；
62.图3为本发明实施例提供的信息处理方法的一个可选的流程示意图；
63.图4为本发明实施例提供的信息处理方法的一个可选的流程示意图；
64.图5为本发明实施例提供的信息处理方法的一个可选的流程示意图；
65.图6为本发明实施例提供的信息处理方法的一个可选的流程示意图；
66.图7为本发明实施例提供的信息处理方法的交互示意图；
67.图8为本发明实施例提供的信息处理装置的结构示意图一；
68.图9为本发明实施例提供的信息处理装置的一种硬件实体示意图一；
69.图10为本发明实施例提供的信息处理装置的结构示意图二；
70.图11为本发明实施例提供的信息处理装置的一种硬件实体示意图二；
71.图12为本发明实施例提供的信息处理装置的结构示意图三；
72.图13为本发明实施例提供的信息处理装置的一种硬件实体示意图三；
73.图14为本发明实施例提供的信息处理装置的结构示意图四；
74.图15为本发明实施例提供的信息处理装置的一种硬件实体示意图四；
75.图16为本发明实施例提供的信息处理装置的结构示意图五；
76.图17为本发明实施例提供的信息处理装置的一种硬件实体示意图五。
具体实施方式
77.为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和实施例对本发明的技术方案进一步详细阐述，所描述的实施例不应视为对本发明的限制，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
78.在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。
79.如果发明文件中出现“第一/第二”的类似描述则增加以下的说明，在以下的描述中，所涉及的术语“第一\第二\第三”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本发明实施例能够以除了在这里图示或描述的以外的顺序实施。
80.除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的，不是旨在限制本发明。
81.相关技术中，在专用网内部的一些主机可使用nat路由器的方法与因特网进行通信。这种方法需要在专用网连接到因特网的路由器上安装nat软件。装有nat软件的路由器叫做nat路由器，它至少有一个有效的外部全球ip地址。这样，所有使用本地地址的主机在和外界通信时，都要在nat路由器上将其本地地址转换成全球ip地址，才能和因特网连接。
82.nat路由器不仅能解决了lp地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。把内网的私有地址，转化成外网的公有地址。使得内部网络上的主机可以访问internet。
83.企业内网网络一般都会存在nat路由器转换的情况，示例性的，主机a和主机b之间
存在两层的nat转换，分别为nat1和nat2，主机a至nat1之间的网络链为网络链1，nat1至nat2之间的网络链为网络链2，nat2至主机b之间的网络链为网络链3。从主机a到主机b的一条数据流在网络链1、2、3处的源目的ip地址各不相同。
84.假如企业选择在1、2、3处部署网络安全设备，这时候从主机a到主机b的一条网络流会产生三条告警日志，这三条告警日志实质上是同一条网络流量。这就会给确定攻击主机造成很大的困扰。1、一条网络流会产生三条告警日志，需要分析这3条的告警日志。2、很难从这3条告警日志中准确识别出哪个ip地址所属主机是真实的攻击源主机，哪个是目的主机。进而导致确定出攻击主机的效率较低。
85.图1为本发明实施例提供的信息处理方法的一个可选的流程示意图，将结合图1示出的步骤进行说明。
86.s101、基于预先确定的本地网络链的五元组信息，在获取的多个网络流数据中确定出本地网络链的网络流数据。
87.本发明实施例中，前端节点基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据。
88.本发明实施例中，前端节点基于预先确定的本地网络链的五元组信息，在获取的多个网络流数据中确定出目标主机发送的网络流数据。
89.本发明实施例中，前端节点在本地网络链的首次通信数据流中获取五元组信息，并进行存储。
90.本发明实施例中，两终端在进行tcp三次握手时，两终端间的各个网络链中都会形成对应的首次通信数据流，前端节点获取所属本地网络链的首次通信数据流内的五元组信息进行存储。
91.本发明实施例中，五元组信息包括：源网络地址信息、源端口信息、目的网络地址信息、目的端口信息和传输层协议信息。前端节点将每个数据包含的中间源网络地址信息、中间源端口信息、中间目的网络地址信息，中间目的端口信息和中间传输层协议信息与源网络地址信息、源端口信息、目的网络地址信息、目的端口信息和传输层协议信息分别进行匹配。前端节点确定出与五元组信息匹配的第一源网络地址信息、第一中间源端口信息、第一中间目的网络地址信息、第一中间目的端口信息和第一中间传输层协议信息对应的数据为网络流数据。
92.本发明实施例中，两通信终端之间可以配置多个nat路由器，每个nat路由器与前一个设备之间都可以配置前端节点(前端节点可以为网络安全设备，其中，目标主机可以为每个nat路由器对应的前一个设备)。两通信终端首次建立通信连接时，前端节点获取所属的本地网络链的五元组信息，并进行存储。前端节点可以利用该五元组信息，在接收到的多个网络流数据中，确定出目标主机发送的网络流数据。
93.本发明实施例中，前端节点可以为防火墙或者态势感知设备。其中，五元组信息包括：源ip地址信息、源端口信息、目的ip地址信息，目的端口信息和传输层协议信息。本地网络链指的是前端节点所处的两个网络设备之间的通信链路。示例性的，本地网络链可以为通信终端与nat路由器之间的网络链路，本地网络链也可以为两个相邻nat路由器之间的网络链路。
94.示例性的，结合图2，主机a和主机b之间配置了nat1和nat2。主机a和nat1之间的网
络链1可以配置前端节点1，前端节点1所属的本地网络链为网络链1。nat1和nat2之间的网络链2可以配置前端节点2，前端节点2所属的本地网络链为网络链2，nat2和主机b之间的网络链3可以配置前端节点3，前端节点3所属的本地网络链为网络链3。前端节点1可以通过网络链1的五元组信息确定出，主机a发送的网络流数据。前端节点2可以通过网络链2的五元组信息确定出，nat1发送的网络流数据。前端节点3可以通过网络链3的五元组信息确定出，nat2发送的网络流数据。
95.本发明实施例中，防火墙或者态势感知等网络安全设备在进行安全检测的时候，对每一条网络流在传输控制协议层(transmission control protocol，tcp)三次握手之后基于五元组信息建立链接跟踪。
96.s102、解析网络流数据得到五元组信息对应的终端标识信息；终端标识信息为发起连接的终端设备的标识，终端标识信息被嵌入至发起连接的终端设备的网络流数据中。
97.本发明实施例中，前端节点解析网络流数据得到五元组信息对应的终端标识信息。其中，终端标识信息为发起连接的终端设备的标识，终端标识信息被嵌入至发起连接的终端设备的网络流数据中。
98.本发明实施例中，前端节点解析网络流数据的预定字段可以得到终端标识信息。本发明实施例中，终端节点采集自身的多个属性信息，并基于当前数据流随机形成对应的数据流唯一值，终端节点结合多个属性信息和唯一值形成终端标识信息。终端节点将该多个属性信息以及数据流唯一值写入待发送数据的预定字段，再经过多个前端节点发送给目的终端节点。
99.本发明实施例中，前端节点在网络流数据的预定字段中解析得到终端名信息、终端物理地址信息和/或数据流唯一值。其中，终端标识信息可以包括：终端设备信息和数据流唯一值。终端设备信息也可以包括：终端名信息、终端物理地址信息。预定字段可以为tcp option或者ip option字段。
100.本发明实施例中，前端节点可以将终端设备信息和/或数据流唯一值写入网络数据流的五元组信息的某个字段。
101.本发明实施例中，网络安全设备采集到网络流数据的时候，解析出主机名、媒体存取控制位址(media access control address，mac)和数据流唯一值等信息。
102.本发明实施例中，前端节点对应的终端节点可以安装端点防护软件，端点防护软件采集终端的终端名信息和终端物理地址信息。终端发起网络链接的时候，端点防护软件将终端名信息、终端物理地址信息、基于数据流随机生成的唯一值等信息写入tcp连接三次握手之后的几个数据包的tcp选项(tcp option)或者ip选项(ip option)字段。其中，端点防护软件可以为端点检测与响应(endpoint detection and response，edr)组件。
103.s103、若本地网络链异常，则发送异常信息给后端处理节点，异常信息包括终端标识信息；以供后端处理节点利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理。
104.本发明实施例中，若本地网络链异常，则前端节点发送异常信息给后端处理节点，异常信息包括终端标识信息；以供后端处理节点利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理。
105.本发明实施例中，前端节点会利用预设程序对网络流数据进行检测，若网络流数
据为攻击行为数据，则前端节点记录网络流数据的五元组信息，及其关联的终端标识信息进而形成异常信息，并将异常信息发送给后端处理节点。同时终端节点与目的终端节点之间的多个前端节点都会给后端处理节点发送了对应数据流的异常信息。进而后端处理节点可以利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理，进而确定出异常设备信息。
106.本发明实施例中，终端节点给数据流中写入终端标识信息，再将数据流发送给目的终端节点。此时终端节点与目的终端节点之间的多个前端节点都会形成到对应的异常信息，但是多个异常信息中包含的终端标识信息是相同的，进而后端处理节点可以利用多异常信息中的终端标识信息相同的特性，对多个异常信息进行排序聚合。利用排序聚合后得到的信息确定出异常设备信息及异常源设备信息。
107.本发明实施例中，由于两终端节点之间的同一攻击行为的数据流无论经过多少个nat路由器，其包含的终端标识信息均不会发生变化，进而前端节点可以基于该特征形成异常信息。后端处理节点可以在n个异常信息中，通过终端标识信息确定出属于两终端之间同一攻击数据流的多个异常信息，进而利用多个异常信息的时间戳进行排序聚合，进而可以更快的确定出异常设备信息。
108.本发明实施例中，通过基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；解析网络流数据得到五元组信息对应的终端标识信息；终端标识信息为发起连接的终端设备的标识，终端标识信息被嵌入至发起连接的终端设备的网络流数据中；若本地网络链异常，则发送异常信息给后端处理节点，异常信息包括终端标识信息；以供后端处理节点利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理。由于本方案中的异常信息中包括了终端标识信息，使得后端处理节点可以通过终端标识信息快速的确定出多个异常信息进行处理，提高了处理速度，进而提高了确定出异常设备的效率。
109.图3为本发明实施例提供的信息处理方法的一个可选的流程示意图，将结合图3示出的步骤进行说明。
110.s201、获取n个异常信息。
111.本发明实施例中，后端处理节点获取n个异常信息。其中，n为大于1整数。
112.本发明实施例中，后端处理节点接收到不同前端节点发送的n个异常信息。其中，n为大于1的整数。
113.本发明实施例中，后端处理节点可以为与多个前端节点连接的服务器。
114.其中，多个前端节点可以配置在同一对两终端之间，多个前端节点也可以配置在不同对的两终端之间。
115.s202、利用n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识。
116.本发明实施例中，后端处理节点利用n个异常信息对应的的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识。
117.本发明实施例中，后端处理节点在n个异常信息中确定出，包含相同的终端标识信息的多个异常信息。
118.本发明实施例中，后端处理节点可以在n个异常信息中确定出，包含相同的数据流唯一值的多个异常信息。
119.本发明实施例中，后端处理节点在n个异常信息中，将各终端标识信息之间相似度大于或等于预设阈值的多个异常信息作为属于同一数据流的多个异常信息。其中，预设阈值可以为预先确定的数值。
120.本发明实施例中，后端处理节点在n个终端标识信息中计算任意两个终端标识信息之间的相似度。后端处理节点在所有相似度中找到大于或等于预设阈值的相似度。本发明实施例中，后端处理节点可以计算得到终端标识信息1和终端标识信息2和终端标识信息3和终端标识信息4之间相似度大于预设阈值。后端处理节点可以计算得到终端标识信息5和终端标识信息6和终端标识信息7之间相似度大于预设阈值。则后端处理节点可以确定终端标识信息1和终端标识信息2和终端标识信息3和终端标识信息4对应异常信息为同一数据流的异常信息，后端处理节点可以确定终端标识信息5和终端标识信息6和终端标识信息7对应异常信息为同一数据流的异常信息。
121.其中，终端标识信息包括：终端名信息、终端物理地址信息和数据流唯一值。
122.s203、利用多个异常信息，确定出异常设备信息。
123.本发明实施例中，后端处理节点利用多个异常信息，确定出异常设备信息。
124.本发明实施例中，后端处理节点多个异常信息进行排序，根据排序后的异常信息确定出异常设备信息。
125.本发明实施例中，后端处理节点基于多个异常信息对应的时间信息(时间戳)，对多个异常信息进行排序。后端处理节点依据排序后的每个异常信息对应的终端标识信息确定异常设备信息。
126.本发明实施例中，后端处理节点可以通过排序后的每个异常信息的终端标识信息确定出异常设备信息。进而供用户根据异常设备信息确定出一定次序的异常设备。
127.本发明实施例中，后端处理节点可以确定一次次序的多个异常设备中的首个异常设备为异常源设备。
128.本发明实施例中，后端处理节点可以通过多个异常信息的时间戳对多个异常信息进行聚合，得到聚合异常信息。使用户通过聚合异常信息中的终端标识信息确定出异常源设备信息。
129.本发明实施例中，后端处理节点可以和多个前端节点通信连接。多个前端节点可以为不同组的两终端之间的网络安全设备。由于两终端之间的同一攻击行为的数据流无论经过多少个nat路由器，其发送的网络数据流内的终端标识信息均不会发生变化，进而前端节点可以形成具有相同终端标识信息的异常信息。后端处理节点可以在n个异常信息中，通过终端标识信息确定出属于两终端之间同一攻击数据流的多个异常信息，进而利用多个异常信息的时间戳进行排序，形成一定次序的异常信息。进而可以更快的确定出异常设备信息。
130.本发明实施例中，后端处理节点利用n个异常信息中包含的终端标识信息，确定出属于同一数据流的多个异常信息，进而对多个异常信息进行处理，提高了处理速度，进而提高了确定出异常设备的效率。
131.在一些实施例中，参见图4，图4为本发明实施例提供的信息处理方法的一个可选
的流程示意图，将结合各步骤进行说明。
132.s301、响应获取的指令信息，形成待发送数据。
133.本发明实施例中，终端节点响应获取的指令信息，形成待发送数据。
134.本发明实施例中，终端节点响应获取的目标对象的指令信息，通过预定进程形成待发送数据。
135.本发明实施例中，终端节点响应获取某个应用的指令信息，通过预定进程形成待发送数据。
136.s302、形成终端标识信息，并将终端标识信息写入待发送数据形成数据流。
137.本发明实施例中，终端节点形成终端标识信息，并将终端标识信息写入待发送数据形成数据流。
138.本发明实施例中，终端节点基于自身属性与预备数据流形成终端标识信息，并将终端标识信息写入待发送数据形成数据流。
139.本发明实施例中，终端节点通过断端点防护软件采集自身的多个属性信息(可以为响应指令信息的进程信息、文件信息或者注册表信息)，并随机形成对应预备数据流的数据流唯一值。进而得到了终端标识信息。终端节点将终端标识信息写入待发送数据形成数据流。
140.s303、将数据流发送给目的终端节点，供终端节点与目的终端节点之间的多个前端节点在检测出所属的本地网络链异常时，发送异常信息给后端处理节点。
141.本发明实施例中，终端节点将数据流发送给目的终端节点，供终端节点与目的终端节点之间的多个前端节点在检测出所属的本地网络链异常时，发送异常信息给后端处理节点，进而供后端处理节点利用终端标识信息在接收到的异常信息中确定出属于同一数据流的多个异常信息，并对多个异常信息进行处理，以确定出异常设备信息。
142.示例性的，结合图2，主机a将形成的数据流发送给主机b。该数据流会经过nat1和nat2，同时也会经过前端节点1、前端节点2和前端节点3。前端节点1、前端节点2和前端节点3对各自采集到的数据流进行检测，在检测异常时，前端节点1、前端节点2和前端节点3将形成三个异常信息发送给后端处理节点。供后端处理节点利用终端标识信息，在n个异常信息中提取出前端节点1、前端节点2和前端节点3发送的3个异常信息，对3个异常信息进行排序，进而确定出异常设备信息。
143.本发明实施例中，由于终端节点将数据流发送给目标终端节点的过程中，会被多个前端节点进行检测，当检测出异常时将形成的多个异常信息发送给后端处理节点，供后端处理节点利用终端标识信息快速的提取出多个异常信息进行处理，提高了处理速度，进而提高了确定出异常设备的效率。
144.在一些实施例中，图4示出的s302可以通过s304至s305实现，将结合各步骤进行说明。
145.s304、获取本地的终端设备信息，并对应终端节点与目的终端节点首次通信之后的待发送数据形成数据流唯一值。
146.本发明实施例中，终端节点获取本地的终端设备信息，并对应终端节点与目的终端节点首次通信之后的待发送数据形成数据流唯一值。终端标识信息包括：终端设备信息和/或数据流唯一值。
147.本发明实施例中，终端节点获取本地的终端设备信息，并对应终端节点与目的终端节点tcp首次握手之后的待发送数据形成数据流唯一值。
148.本发明实施例中，终端节点获取本地的终端名信息和终端物理地址信息，并对应tcp首次握手之后的待发送数据形成数据流唯一值。
149.本发明实施例中，终端节点可以利用预定算法对待发送数据进行计算形成数据流唯一值。终端也可以随机形成预备数据流对应的数据流唯一值。
150.本发明实施例中，终端节点可以在待发送数据的payload中确定出预定字节长度的信息片段，终端节点可以通过hash算法或者信息摘要算法(md5 message-digest algorithm，md5)算法对该信息片段进行计算，得到数据流唯一值。
151.s305、将终端设备信息和/或数据流唯一值写入待发送数据的预定字段，形成数据流。
152.本发明实施例中，终端节点将终端设备信息和/或数据流唯一值写入待发送数据的预定字段，新城各行数据流。
153.本发明实施例中，终端节点将终端名信息、终端物理地址信息和/或数据流唯一值写入预备数据流的预定字段，形成数据流。
154.在一些实施例中，参见图5，图5为本发明实施例提供的信息处理方法的一个可选的流程示意图，将结合各步骤进行说明。
155.s401、获取n个异常信息。
156.本发明实施例中，后端处理节点获取n个异常信息。其中，n为大于1整数。
157.s402、利用n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识。
158.本发明实施例中，后端处理节点利用n个异常信息对应的的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识。
159.s403、将多个异常信息进行聚合，得到聚合异常信息以确定出异常源设备信息。
160.本发明实施例中，后端处理节点将多个异常信息进行聚合，得到聚合异常信息以确定出异常源设备信息。
161.本发明实施例中，后端处理节点利用接收到多个异常信息的时间信息，对多个异常信息进行聚合，得到聚合异常信息。后端处理节点在聚合异常信息中确定出异常源设备信息，进而确定出异常源设备。
162.本发明实施例中，后端处理节点按照多个异常信息的时间信息，对多个异常信息进行排序。后端处理节点获取排序后的首个异常信息的源网络地址信息、源端口信息，及最后一个异常信息的目的网络地址信息和目的端口信息，结合多个异常信息均包含的传输层协议信息、终端标识信息和数据流唯一值，形成聚合异常信息。后端处理节点在聚合异常信息中确定出源网络地址信息、源端口信息、终端标识信息(终端名信息、终端物理地址信息)为异常源设备信息，供用户基于源网络地址信息、源端口信息、终端标识信息确定出异常源设备。
163.本发明实施例中，多个异常信息均包括：源网络地址信息、源端口信息、目的网络地址信息、目的端口信息、传输层协议信息、终端名信息、终端物理地址信息和数据流唯一
值。
164.本发明实施例中，若后端处理节点接收到三个异常信息a、b、c。三个异常信息a、b、c分别对应的时间戳为15:04:02、15:04:03、15:04:06。则后端处理节点按照三个时间戳的先后顺序将三个异常信息a、b、c进行排序。后端处理节点取异常信息a的源ip地址信息，取异常信息c的源ip地址信息，再结合传输层协议信息、终端标识信息和数据流唯一值形成聚合异常信息。
165.本发明实施例中，后端处理节点在聚合异常信息中确定源ip地址信息、源端口信息、终端名信息、终端物理地址信息为异常设备信息，供用户根据异常设备信息确定出异常设备。
166.在一些实施例中，参见图6，图6为本发明实施例提供的信息处理方法的一个可选的流程示意图，将结合各步骤进行说明。
167.s501、基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据。
168.本发明实施例中，前端节点基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据。
169.s502、若网络流数据异常，则基于网络流数据对应的五元组信息在第一映射表中确定出终端标识信息；第一映射表包括多个终端标识信息与多个五元组信息的映射关系信息。
170.本发明实施例中，若网络流数据异常，前端节点则基于网络流数据对应的五元组信息在第一映射表中确定出终端标识信息。第一映射表包括多个终端标识信息与多个五元组信息的映射关系信息。
171.本发明实施例中，前端节点通过预定程序对网络流数据进行检测，若网络流数据异常，前端节点在网络流数据中提取出五元组信息。前端节点通过该五元组信息在第一映射表中确定出对应的终端标识信息。
172.本发明实施例中，前端节点在进行数据检测的时候，也需要将终端标识信息、五元组信息进行关联，以形成第一映射表。
173.s503、将终端标识信息发送给终端节点，供终端节点根据终端标识信息在第二映射表中确定出异常终端信息；第二映射表包括终端标识信息与多个终端属性信息的映射关系信息。
174.本发明实施例中，前端节点将终端标识信息发送给终端节点，供终端节点根据终端标识信息在第二映射表中确定出异常终端信息；第二映射表包括终端标识信息与多个终端属性信息的映射关系信息。
175.本发明实施例中，终端节点在进行信息采集的时候，也需要将终端标识信息与多个终端属性信息进行关联以形成第二映射表。多个终端属性信息包括：形成对应数据流的进程信息、文件信息和注册表信息。
176.在一些实施例中，参见图7，图7为本发明实施例提供的信息处理方法的交互示意图，将结合各步骤进行说明。
177.s601、后端处理节点获取n个异常信息。
178.步骤s601的详细实现与s201的实现一致，此处不再赘述。
179.s602、后端处理节点利用n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识。
180.步骤s602的详细实现与s202的实现一致，此处不再赘述。
181.s603、后端处理节点利用多个异常信息，确定出异常设备信息。
182.步骤s603的详细实现与s203的实现一致，此处不再赘述。
183.参见图8，图8为本发明实施例提供的信息处理装置的结构示意图一。
184.本发明实施例还提供了一种信息处理装置500，应用于前端节点，包括：第一数据接收单元503、解析单元504和第一发送单元505。
185.第一数据接收单元503，用于基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；
186.解析单元504，用于解析所述网络流数据得到所述五元组信息对应的终端标识信息；所述终端标识信息为发起连接的终端设备的标识，所述终端标识信息被嵌入至发起连接的终端设备的网络流数据中；
187.第一发送单元505，用于若所述本地网络链异常，则发送异常信息给后端处理节点，所述异常信息包括所述终端标识信息；供所述后端处理节点利用多个前端节点发送的多个异常信息中的所述终端标识信息，对所述多个异常信息进行处理。
188.本发明实施例中，所述终端标识信息包括：终端设备信息和/或数据流唯一值；信息处理装置500中的解析单元504用于在所述网络流数据的预定字段中解析得到所述五元组信息对应的所述终端设备信息和/或所述数据流唯一值。
189.本发明实施例中，通过第一数据接收单元503基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；通过解析单元504解析网络流数据得到五元组信息对应的终端标识信息；终端标识信息为发起连接的终端设备的标识，终端标识信息被嵌入至发起连接的终端设备的网络流数据中；通过第一发送单元505若本地网络链异常，则发送异常信息给后端处理节点，异常信息包括终端标识信息；以供后端处理节点利用多个前端节点发送的多个异常信息中的终端标识信息，对多个异常信息进行处理。由于本方案中的异常信息中包括了终端标识信息，使得后端处理节点可以通过终端标识信息快速的确定出多个异常信息进行处理，提高了处理速度，进而提高了确定出异常设备的效率。
190.需要说明的是，本发明实施例中，如果以软件功能模块的形式实现上述的信息处理方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台信息处理装置(可以是个人计算机等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。
191.对应地，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法中的步骤。
192.对应地，本发明实施例提供一种信息处理装置，包括第一存储器502和第一处理器501，所述第一存储器502存储有可在第一处理器501上运行的计算机程序，所述第一处理器
501执行所述程序时实现上述方法中的步骤。
193.这里需要指出的是：以上存储介质和装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本发明存储介质和装置实施例中未披露的技术细节，请参照本发明方法实施例的描述而理解。
194.需要说明的是，图9为本发明实施例提供的信息处理装置的一种硬件实体示意图一，如图9所示，该信息处理装置500的硬件实体包括：第一处理器501和第一存储器502，其中；
195.第一处理器501通常控制信息处理装置500的总体操作。
196.第一存储器502配置为存储由第一处理器501可执行的指令和应用，还可以缓存待第一处理器501以及信息处理装置500中各模块待处理或已经处理的数据(例如，图像数据、音频数据、语音通信数据和视频通信数据)，可以通过闪存(flash)或随机访问存储器(random access memory，ram)实现。
197.参见图10，图10为本发明实施例提供的信息处理装置的结构示意图二。
198.本发明实施例还提供了一种信息处理装置600，应用于后端处理节点，包括：第二数据接收单元603、第一确定单元604和处理单元605。
199.第二数据接收单元603，用于获取n个异常信息；其中，n为大于1的整数；
200.第一确定单元604，用于利用所述n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识；
201.处理单元605，用于利用所述多个异常信息，确定出异常设备信息。
202.本发明实施例中，信息处理装置600中的第一确定单元604用于在n个异常信息中，将各终端标识信息之间相似度大于或等于预设阈值的异常信息作为属于同一数据流的多个异常信息。
203.本发明实施例中，信息处理装置600中的处理单元用于基于多个异常信息对应的时间信息，对多个异常信息进行排序；依据排序后的每个异常信息对应的终端标识信息确定异常设备信息。
204.本发明实施例中，通过第二数据接收单元603用于获取n个异常信息；n为大于1的整数；第一确定单元604，用于利用所述n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识；处理单元605，用于利用所述多个异常信息，确定出异常设备信息。由于本方案中的异常信息中包括了终端标识信息，使得后端处理节点可以通过终端标识信息对多个前端节点发送的多个异常信息进行快速处理，进而提高了确定出异常设备的效率。
205.对应地，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法中的步骤。
206.对应地，本发明实施例提供一种信息处理装置，包括第二存储器602和第二处理器601，所述第二存储器602存储有可在第二处理器601上运行的计算机程序，所述第二处理器601执行所述程序时实现上述方法中的步骤。
207.这里需要指出的是：以上存储介质和装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本发明存储介质和装置实施例中未
披露的技术细节，请参照本发明方法实施例的描述而理解。
208.需要说明的是，图11为本发明实施例提供的信息处理装置的一种硬件实体示意图二，如图11所示，该信息处理装置600的硬件实体包括：第二处理器601和第二存储器602，其中；
209.第二处理器601通常控制信息处理装置600的总体操作。
210.第二存储器602配置为存储由第二处理器601可执行的指令和应用，还可以缓存待第二处理器601以及信息处理装置600中各模块待处理或已经处理的数据(例如，图像数据、音频数据、语音通信数据和视频通信数据)，可以通过闪存(flash)或随机访问存储器(random access memory，ram)实现。
211.参见图12，图12为本发明实施例提供的信息处理装置的结构示意图三。
212.本发明实施例还提供了一种信息处理装置800，应用于终端节点，包括：响应单元703、数据处理单元704和第二发送单元705。
213.响应单元703，用于响应获取的指令信息，形成待发送数据；
214.数据处理单元704，用于形成终端标识信息，并将所述终端标识信息写入所述待发送数据形成数据流；
215.第二发送单元705，用于将所述数据流发送给目的终端节点，供所述终端节点与所述目的终端节点之间的多个前端节点在检测出所属的本地网络链异常时，发送异常信息给后端处理节点。
216.本发明实施例中，终端标识信息包括：终端设备信息和/或数据流唯一值；
217.数据处理单元704用于获取本地的终端设备信息，并对应终端节点与目的终端节点首次通信之后的待发送数据形成数据流唯一值；将终端设备信息和/或数据流唯一值写入待发送数据的预定字段，形成数据流。
218.由于本方案中的异常信息中包括了终端标识信息，使得后端处理节点可以通过终端标识信息对多个前端节点发送的多个异常信息进行快速处理，进而提高了确定出异常设备的效率。
219.对应地，本发明实施例提供一种信息处理装置，包括第三存储器702和第三处理器701，所述第三存储器702存储有可在第三处理器701上运行的计算机程序，所述第三处理器701执行所述程序时实现上述方法中的步骤。
220.这里需要指出的是：以上存储介质和装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本发明存储介质和装置实施例中未披露的技术细节，请参照本发明方法实施例的描述而理解。
221.需要说明的是，图13为本发明实施例提供的信息处理装置的一种硬件实体示意图三，如图13所示，该信息处理装置700的硬件实体包括：第三处理器701和第三存储器702，其中；
222.第三处理器701通常控制信息处理装置700的总体操作。
223.第三存储器702配置为存储由第三处理器701可执行的指令和应用，还可以缓存待第三处理器701以及信息处理装置700中各模块待处理或已经处理的数据(例如，图像数据、音频数据、语音通信数据和视频通信数据)，可以通过闪存(flash)或随机访问存储器(random access memory，ram)实现。
224.参见图14，图14为本发明实施例提供的信息处理装置的结构示意图四。
225.本发明实施例还提供了一种信息处理装置，应用于后端处理节点，包括：第二数据接收单元803、第二确定单元804和聚合单元805。
226.第二数据接收单元803，用于获取n个异常信息；其中，n为大于1的整数；
227.第二确定单元804，用于利用所述n个异常信息对应的n个终端标识信息，确定出属于同一数据流的多个异常信息；其中，每个终端标识信息为发起连接的对应终端设备的标识；
228.聚合单元805，用于将所述多个异常信息进行聚合，得到聚合异常信息以确定出异常源设备信息。
229.由于本方案中的异常信息中包括了终端标识信息，使得后端处理节点可以通过终端标识信息对多个前端节点发送的多个异常信息进行快速处理，进而提高了确定出异常设备的效率。
230.对应地，本发明实施例提供一种信息处理装置，包括第四存储器802和第四处理器801，所述第四存储器802存储有可在第四处理器801上运行的计算机程序，所述第四处理器801执行所述程序时实现上述方法中的步骤。
231.这里需要指出的是：以上存储介质和装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本发明存储介质和装置实施例中未披露的技术细节，请参照本发明方法实施例的描述而理解。
232.需要说明的是，图15为本发明实施例提供的信息处理装置的一种硬件实体示意图四，如图15所示，该信息处理装置800的硬件实体包括：第四处理器801和第四存储器802，其中；
233.第四处理器801通常控制信息处理装置800的总体操作。
234.第四存储器802配置为存储由第四处理器801可执行的指令和应用，还可以缓存待第四处理器801以及信息处理装置800中各模块待处理或已经处理的数据(例如，图像数据、音频数据、语音通信数据和视频通信数据)，可以通过闪存(flash)或随机访问存储器(random access memory，ram)实现。
235.参见图16，图16为本发明实施例提供的信息处理装置的结构示意图五。
236.本发明实施例还提供了一种信息处理装置，应用于前端节点，包括：第三数据接收单元903、第三确定单元904和第三发送单元905。
237.第三数据接收单元903，用于基于预先确定的本地网络链的五元组信息，获取目标主机发送的网络流数据；
238.第三确定单元904，用于若所述网络流数据异常，则基于所述网络流数据对应的所述五元组信息在第一映射表中确定出终端标识信息；所述第一映射表包括多个终端标识信息与多个五元组信息的映射关系信息；
239.第三发送单元905，用于将所述终端标识信息发送给终端节点，供所述终端节点根据所述终端标识信息在第二映射表中确定出异常终端信息；所述第二映射表包括所述终端标识信息与多个终端属性信息的映射关系信息。
240.由于本方案中的异常信息中包括了终端标识信息，使得后端处理节点可以通过终端标识信息对多个前端节点发送的多个异常信息进行快速处理，进而提高了确定出异常设
备的效率。
241.对应地，本发明实施例提供一种信息处理装置，包括第五存储器902和第五处理器901，所述第五存储器902存储有可在第五处理器901上运行的计算机程序，所述第五处理器901执行所述程序时实现上述方法中的步骤。
242.这里需要指出的是：以上存储介质和装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本发明存储介质和装置实施例中未披露的技术细节，请参照本发明方法实施例的描述而理解。
243.需要说明的是，图17为本发明实施例提供的信息处理装置的一种硬件实体示意图五，如图17所示，该信息处理装置900的硬件实体包括：第五处理器901和第五存储器902，其中；
244.第五处理器901通常控制信息处理装置900的总体操作。
245.第五存储器902配置为存储由第五处理器901可执行的指令和应用，还可以缓存待第五处理器901以及信息处理装置900中各模块待处理或已经处理的数据(例如，图像数据、音频数据、语音通信数据和视频通信数据)，可以通过闪存(flash)或随机访问存储器(random access memory，ram)实现。
246.应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
247.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
248.在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
249.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
250.另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
251.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储装置、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。
252.或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机、服务器、或者网络装置等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储装置、rom、磁碟或者光盘等各种可以存储程序代码的介质。
253.以上所述，仅为本发明的实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。