本申请提供一种失陷主机的处理方法、装置、电子设备及存储介质。该方法包括:接收待处理报文;若待处理报文为需转发报文,则根据待处理报文对应的源IP地址、失陷主机列表和失陷例外访问表对待处理报文进行处理;其中,失陷主机列表中存储有失陷主机信息;失陷例外访问表中存储有失陷主机请求的网络解禁信息。本申请实施例通过设置失陷例外访问表,使得失陷主机中的正常业务被正常处理,并且能够提高主机的安全性。的安全性。的安全性。
【技术实现步骤摘要】
失陷主机的处理方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种失陷主机的处理方法、装置、电子设备及存储介质。
技术介绍
[0002]为了保证主机的安全,安全网关在发现主机被攻击者攻击后,攻击者或病毒有可能发起进一步的渗透和攻击,所以安全防御方需要尽可能限制失陷主机的行为,避免攻击的扩散,往往会采用黑名单的方式来阻断该主机的一切网络通信。因此,该主机的正常访问也将被阻断,影响主机的正常业务的处理。
技术实现思路
[0003]本申请实施例的目的在于提供一种失陷主机的处理方法、装置、电子设备及存储介质,用以在提高主机安全性的同时,降低对主机正常业务的影响。
[0004]第一方面,本申请实施例提供一种失陷主机的处理方法,包括:
[0005]接收待处理报文;
[0006]若待处理报文为需转发报文,则根据待处理报文对应的源IP地址、失陷主机列表和失陷例外访问表对待处理报文进行处理;其中,失陷主机列表中存储有失陷主机信息;失陷例外访问表中存储有失陷主机请求的网络解禁信息。
[0007]本申请实施例通过设置失陷例外访问表,使得失陷主机中的正常业务被正常处理,并且能够提高主机的安全性。
[0008]在任一实施例中,根据所述待处理报文对应的源IP地址、失陷主机列表和失陷例外访问表对所述待处理报文进行处理,包括:
[0009]若失陷主机列表包括待处理报文对应的源IP地址,则判断待处理报文对应的源IP地址、目的IP地址和服务端口号是否在失陷例外访问表中;若在,则对待处理报文进行转发流程处理。
[0010]本申请实施例中,通过对失陷例外访问表中的源IP地址、目的IP地址和服务端口号对应的报文进行转发流程处理,使得失陷主机的正常报文能够被处理,在提高主机安全性的同时,降低了对主机的影响。
[0011]在任一实施例中,该方法还包括:
[0012]若待处理报文对应的源IP地址、目的IP地址和服务端口号不在失陷例外访问表中,则将待处理报文丢弃。
[0013]本申请实施例中,对于失陷主机发送的报文,如果该报文对应的源IP地址、目的IP地址和服务端口号不在该失陷例外访问表中,则确定该待处理报文为攻击报文,将待处理报文丢弃,从而提高了主机的安全性。
[0014]在任一实施例中,该方法还包括:
[0015]若失陷主机列表不包括待处理报文对应的源IP地址,则对待处理报文进行转发处
理。
[0016]本申请实施例通过失陷主机列表来记录被攻击了的主机,如果主机的源IP地址没在失陷主机列表中,则说明该主机没有被攻击,其报文可被正常处理,提高了主机的安全性。
[0017]在任一实施例中,该方法还包括:
[0018]若待处理报文为本地发送报文,则将待处理报文写入本地协议栈,通过本地协议栈进行处理。
[0019]本申请实施例通过本地协议栈对本地发送报文进行处理,提高了报文处理的效率。
[0020]在任一实施例中,该方法还包括:
[0021]接收失陷主机发送的访问请求,访问请求包括目的IP地址和服务端口号;
[0022]将目的IP地址、服务端口号和失陷主机的源IP地址写入失陷例外访问表中,以表征访问请求被处理。
[0023]本申请实施例通过将失陷主机申请解禁网络的源IP地址、目的IP地址和服务端口号加入失陷例外访问表中,在提高主机安全性的同时,降低了对主机的影响。
[0024]在任一实施例中,该方法还包括:
[0025]在确定失陷主机后,若对该失陷主机的处理方式为加入黑名单,则将失陷主机对应的源IP地址加入失陷主机列表中。
[0026]本申请实施例通过将失陷主机的源IP地址加入失陷主机列表中,提高了主机的安全性。
[0027]第二方面,本申请实施例提供一种失陷主机的处理装置,包括:
[0028]报文接收模块,用于接收待处理报文;
[0029]报文处理模块,用于若待处理报文为需转发报文,则根据待处理报文对应的源IP地址、失陷主机列表和失陷例外访问表对待处理报文进行处理;其中,失陷主机列表中存储有失陷主机信息;失陷例外访问表中存储有失陷主机请求的网络解禁信息。
[0030]第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
[0031]所述处理器和所述存储器通过所述总线完成相互间的通信;
[0032]所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
[0033]第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:
[0034]所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
[0035]本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
[0036]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看
作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0037]图1为本申请实施例提供的一种失陷主机的处理方法流程示意图;
[0038]图2为本申请实施例提供的另一种失陷主机的处理方法流程示意图;
[0039]图3为本申请实施例提供的又一种失陷主机的处理方法流程示意图;
[0040]图4为本申请实施例提供的一种失陷主机的处理装置结构示意图;
[0041]图5为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
[0042]本申请专利技术人研究发现,安全网关为了保证主机的安全,通过安全验证规则对主机发送或接收的报文进行安全验证,当安全验证通过后再将该报文进行转发。若主机被攻击者攻击,那么其对应的需要被转发的报文被安全网关发现后,确定该主机已经失陷,此时称为失陷主机。安全网关中根据不同的安全验证规则匹配有不同的处理策略,例如:有些安全验证规则禁止该失陷主机的一切网络请求,有些安全验证规则仅发出告警。对于禁止失陷主机一切网络请求的情况,失陷主机的一切网络流量将被丢弃,使得失陷主机的一切依赖网络的应用程序都无法使用,如果用户正在进行重要工作的操作,会收到很大的影响,而引起失陷的原因往往通过某些特定的协议进行传播,比如SMB、RDP等协议,而失陷主机上的病毒连接C2服务器也是有明确的IP或域名地址,所以大部分网络应用的继续使用并不会使黑客的攻击进一步恶化。
[0043]基于此,本申请实施例提出一种失陷主机的处理方法、装置、电子设备及存储介质。该方法通过设置失陷主机列表和失陷例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种失陷主机的处理方法,其特征在于,包括:接收待处理报文;若所述待处理报文为需转发报文,则根据所述待处理报文对应的源IP地址、失陷主机列表和失陷例外访问表对所述待处理报文进行处理;其中,所述失陷主机列表中存储有失陷主机信息;所述失陷例外访问表中存储有失陷主机请求的网络解禁信息。2.根据权利要求1所述的方法,其特征在于,所述根据所述待处理报文对应的源IP地址、失陷主机列表和失陷例外访问表对所述待处理报文进行处理,包括:若所述失陷主机列表包括所述待处理报文对应的源IP地址,则判断所述待处理报文对应的源IP地址、目的IP地址和服务端口号是否在所述失陷例外访问表中;若在,则对所述待处理报文进行转发流程处理。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:若所述待处理报文对应的源IP地址、目的IP地址和服务端口号不在所述失陷例外访问表中,则将所述待处理报文丢弃。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述失陷主机列表不包括所述待处理报文对应的源IP地址,则对所述待处理报文进行转发处理。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述待处理报文为本地发送报文,则将所述待处理报文写入本地协议栈,通过所述本地协议栈进行处理。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收失陷主机发送的访...
【专利技术属性】
技术研发人员:娄扬,刘传宇,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。