本发明专利技术实施例提供一种威胁处理方法,包括:威胁源获取威胁信息;根据所述威胁信息定位威胁进程;处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。本发明专利技术实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明专利技术实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。
【技术实现步骤摘要】
威胁处理方法及系统、联动客户端、安全设备及主机
本专利技术涉及网络安全
,更具体地说,涉及一种威胁处理方法及系统、联动客户端、安全设备及主机。
技术介绍
随着计算机与网络技术的不断发展,网络安全也日益受到人们越来越多的关注。防范终端电脑发起恶意流量是网络安全中的一个方面。恶意发起流量的终端电脑被认为是威胁源,现有消除威胁源的方法有多种,通常的,由安全设备(如IPS(IntrusionPreventionSystem,入侵防御系统)/IDS(IntrusionDetectionSystem,入侵检测系统)/FW(FireWall,防火墙)等)发现TCP/UDP威胁流量后,安全设备隔离威胁源,如网络侧隔离或终端侧隔离。但是,现有安全设备消除威胁源的方法,具有以下缺陷:安全设备将整个终端电脑认为是威胁源,因此,被认为成威胁源的整个终端电脑被隔离,不允许其访问其他的终端上的办公资源,进而导致被认为成威胁源的终端电脑无法正常办公。
技术实现思路
有鉴于此,为了解决被认为成威胁源的终端电脑无法正常办公的问题,第一方面提供了一种威胁源的处理方法,技术方案如下:一种威胁处理方法,包括:威胁源获取威胁信息;根据所述威胁信息定位威胁进程;处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。结合第一方面,在第一方面的第一种可能的实现方式中,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,包括:当所述安全设备检测到网络异常时,所述安全设备获取网络异常会话中的五元组信息;所述安全设备从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID;获取所有进程的信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。结合第一方面,在第一方面的第三种可能的实现方式中,所述处理所述威胁进程包括:通知用户存在所述威胁进程,和/或关闭所述威胁进程。结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,或第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,本申请实施例提供的威胁源的处理方法,所述网络异常为流量异常。本专利技术第二方面提供了一种威胁处理方法,包括:安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息;发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程;其中,所述威胁源为导致网络异常的终端。结合第二方面,在第二方面的第一种可能的实现方式中,所述安全设备检测威胁源,并提取所述威胁源的威胁信息,包括:当所述安全设备检测到网络异常时,获取网络异常会话中的五元组信息;从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述威胁源根据所述威胁信息定位威胁进程,包括;由查询语句根据所述威胁源IP、威胁源端口号以及协议获取威胁进程ID;获取所有进程信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。结合第二方面在第二方面的第三种可能的实现方式中,所述安全设备检测威胁源之后还包括:制定联动策略并发送至所述威胁源,所述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。结合第二方面,或第二方面的第一种可能的实现方式,或第二方面的第二种可能的实现方式,或第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,本申请实施例提供的威胁源的处理方法,所述网络异常为流量异常。本专利技术第三方面提供了一种联动客户端,用于威胁的处理,包括:威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元,用于处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。本专利技术第四方面提供了一种安全设备,用于威胁的处理,包括:检测单元,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;发送单元,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。结合第四方面,在第四方面的第一种可能的实现方式中,所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。本专利技术第五方面提供了一种威胁处理系统,包括联动客户端以及如第四方面,或在第四方面的第一种可能的实现方式中所述的安全设备;所述联动客户端用于威胁的处理,包括:威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元,用于处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。本专利技术第六方面提供了一种主机,所述主机包括处理器,通信接口,存储器和总线;其中处理器、通信接口、存储器通过总线完成相互间的通信;所述通信接口,用于获取威胁信息,并将所述威胁信息传输给所述处理器,其中,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,所述威胁源为导致网络异常的终端;所述处理器,用于执行程序;所述存储器,用于存放程序;其中程序用于:根据所述威胁信息定位威胁进程;处理所述威胁进程。本专利技术实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本专利技术实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种威胁处理方法的流程图;图2为本专利技术实施例提供的另一威胁处理方法的流程图;图3为本专利技术实施例提供的威胁处理方法的信令图;图4为本专利技术实施例提供的联动客户端的一种结构示意图;图5为本专利技术实施例提供的安全设备的一种结构示意图;图6为本专利技术实施例提供的威胁处理系统的结构示意图;图7为本专利技术实施例提供的一种主机本文档来自技高网...
【技术保护点】
一种威胁处理方法,其特征在于,包括:威胁源获取威胁信息;根据所述威胁信息定位威胁进程;处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
【技术特征摘要】
1.一种威胁处理方法,其特征在于,包括:威胁源获取威胁信息;根据所述威胁信息定位威胁进程;处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息;其中所述根据所述威胁信息定位威胁进程,包括;由查询语句根据所述威胁信息中包括的威胁源IP、威胁源端口号以及协议获得威胁进程ID;获取所有进程的信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位所述威胁进程。2.根据权利要求1所述的方法,其特征在于,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,包括:当所述安全设备检测到网络异常时,所述安全设备获取网络异常会话中的五元组信息;所述安全设备从所述异常会话中的五元组信息中提取所述威胁信息。3.根据权利要求1所述的方法,其特征在于,所述处理所述威胁进程包括:通知用户存在所述威胁进程,和/或关闭所述威胁进程。4.根据权利要求1-3所述的任意一项方法,其特征在于,所述网络异常为流量异常。5.一种威胁处理方法,其特征在于,包括:安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息;发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程;其中,所述威胁源为导致网络异常的终端;所述威胁源根据所述威胁信息定位威胁进程,包括;由查询语句根据所述威胁信息中包括的威胁源IP、威胁源端口号以及协议获取威胁进程ID;获取所有进程信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位所述威胁进程。6.根据权利要求5所述的方法,其特征在于,所述安全设备检测威胁源,并提取所述威胁源的威胁信息,包括:当所述安全设备检测到网络异常时,获取网络异常会话中的五元组信息;从所述异常会话中的五元组信息中提取所述威胁信息。7.根据权利要求5所述的方法,其特征在于,所述安全设备检测威胁源之后还包括:制定联动策略并发送至所述威胁源,所述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。8.根据权利要求5-7所述的任意一项方法,其特征在于,所述网络异常为流量异常。9.一种联动客户端,用于威胁的处理,其特征在于,包括:威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元,用于处理所述威胁进程;其中,所述威胁源为...
【专利技术属性】
技术研发人员:赖后华,吴昊,易琛军,李春茂,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。