CN103067384A - 威胁处理方法及系统、联动客户端、安全设备及主机 - Google Patents

威胁处理方法及系统、联动客户端、安全设备及主机 Download PDF

Info

Publication number
CN103067384A
CN103067384A CN2012105786416A CN201210578641A CN103067384A CN 103067384 A CN103067384 A CN 103067384A CN 2012105786416 A CN2012105786416 A CN 2012105786416A CN 201210578641 A CN201210578641 A CN 201210578641A CN 103067384 A CN103067384 A CN 103067384A
Authority
CN
China
Prior art keywords
threat
source
information
safety means
network abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012105786416A
Other languages
English (en)
Other versions
CN103067384B (zh
Inventor
赖后华
吴昊
易琛军
李春茂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201210578641.6A priority Critical patent/CN103067384B/zh
Publication of CN103067384A publication Critical patent/CN103067384A/zh
Application granted granted Critical
Publication of CN103067384B publication Critical patent/CN103067384B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Alarm Systems (AREA)

Abstract

本发明实施例提供一种威胁处理方法,包括:威胁源获取威胁信息;根据所述威胁信息定位威胁进程;处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。

Description

威胁处理方法及系统、联动客户端、安全设备及主机
技术领域
本发明涉及网络安全技术领域,更具体地说,涉及一种威胁处理方法及系统、联动客户端、安全设备及主机。
背景技术
随着计算机与网络技术的不断发展,网络安全也日益受到人们越来越多的关注。防范终端电脑发起恶意流量是网络安全中的一个方面。
恶意发起流量的终端电脑被认为是威胁源,现有消除威胁源的方法有多种,通常的,由安全设备(如IPS(Intrusion Prevention System,入侵防御系统)/IDS(Intrusion Detection System,入侵检测系统)/FW(Fire Wall,防火墙)等)发现TCP/UDP威胁流量后,安全设备隔离威胁源,如网络侧隔离或终端侧隔离。
但是,现有安全设备消除威胁源的方法,具有以下缺陷:
安全设备将整个终端电脑认为是威胁源,因此,被认为成威胁源的整个终端电脑被隔离,不允许其访问其他的终端上的办公资源,进而导致被认为成威胁源的终端电脑无法正常办公。
发明内容
有鉴于此,为了解决被认为成威胁源的终端电脑无法正常办公的问题,第一方面提供了一种威胁源的处理方法,技术方案如下:
一种威胁处理方法,包括:
威胁源获取威胁信息;
根据所述威胁信息定位威胁进程;
处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
结合第一方面,在第一方面的第一种可能的实现方式中,
所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,包括:
当所述安全设备检测到网络异常时,所述安全设备获取网络异常会话中的五元组信息;
所述安全设备从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,
由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID;
获取所有进程的信息列表;
根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
结合第一方面,在第一方面的第三种可能的实现方式中,所述处理所述威胁进程包括:
通知用户存在所述威胁进程,和/或关闭所述威胁进程。
结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,或第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,本申请实施例提供的威胁源的处理方法,所述网络异常为流量异常。
本发明第二方面提供了一种威胁处理方法,包括:
安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息;
发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端。
结合第二方面,在第二方面的第一种可能的实现方式中,
所述安全设备检测威胁源,并提取所述威胁源的威胁信息,包括:
当所述安全设备检测到网络异常时,获取网络异常会话中的五元组信息;
从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,
所述威胁源根据所述威胁信息定位威胁进程,包括;
由查询语句根据所述威胁源IP、威胁源端口号以及协议获取威胁进程ID;
获取所有进程信息列表;
根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
结合第二方面在第二方面的第三种可能的实现方式中,
所述安全设备检测威胁源之后还包括:
制定联动策略并发送至所述威胁源,所述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。
结合第二方面,或第二方面的第一种可能的实现方式,或第二方面的第二种可能的实现方式,或第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,本申请实施例提供的威胁源的处理方法,所述网络异常为流量异常。
本发明第三方面提供了一种联动客户端,用于威胁的处理,包括:
威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;
进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;
处理单元,用于处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
本发明第四方面提供了一种安全设备,用于威胁的处理,包括:
检测单元,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;
发送单元,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。
结合第四方面,在第四方面的第一种可能的实现方式中,
所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。
本发明第五方面提供了一种威胁处理系统,包括联动客户端以及如第四方面,或在第四方面的第一种可能的实现方式中所述的安全设备;
所述联动客户端用于威胁的处理,包括:
威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;
进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;
处理单元,用于处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
本发明第六方面提供了一种主机,所述主机包括处理器,通信接口,存储器和总线;
其中处理器、通信接口、存储器通过总线完成相互间的通信;
所述通信接口,用于获取威胁信息,并将所述威胁信息传输给所述处理器,其中,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,所述威胁源为导致网络异常的终端;
所述处理器,用于执行程序;
所述存储器,用于存放程序;
其中程序用于:
根据所述威胁信息定位威胁进程;
处理所述威胁进程。
本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种威胁处理方法的流程图;
图2为本发明实施例提供的另一威胁处理方法的流程图;
图3为本发明实施例提供的威胁处理方法的信令图;
图4为本发明实施例提供的联动客户端的一种结构示意图;
图5为本发明实施例提供的安全设备的一种结构示意图;
图6为本发明实施例提供的威胁处理系统的结构示意图;
图7为本发明实施例提供的一种主机的结构示意图;
图8为本发明实施例提供的程序732的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了引用和清楚起见,下文中使用的技术名词、简写或缩写总结如下:
IP:Internet Protocol,网络之间互连的协议;
ID:IDentity,身份标识号码;
TCP:Transmission Control Protocol,一种面向连接(连接导向)的、可靠的、基于字节流的运输层通信协议;
UDP:User Datagram Protocol,用户数据包协议。
本发明实施例公开的一种威胁处理方法,如图1所示,本发明实施例从终端电脑一侧介绍本发明的具体实现过程。其中,所述方法至少包括以下步骤:
步骤101:威胁源获取威胁信息,其中,威胁源为导致网络异常的终端,威胁信息由安全设备提取,安全设备检测到威胁源时,从网络会话中提取威胁源的威胁信息。
本发明中的网络异常可以为流量异常,其中,威胁源是指发起恶意流量的终端电脑,如发起病毒、木马、蠕虫、间谍软件、Flood攻击、畸形报文攻击等的终端电脑。获取的威胁信息可以包括威胁源IP、威胁源端口号以及协议。
在通信中,五元组能够唯一确定一个会话,五元组通常是指由源IP地址,源端口,目的IP地址,目的端口,和传输层协议号这五个量组成的一个集合。例如:192.168.1.1:10000TCP121.14.88.76:80就构成了一个五元组。其意义是,一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接。上述的获取威胁信息可以包括,当安全设备检测到网络异常时,安全设备获取网络异常会话中的五元组信息;安全设备从异常会话中的五元组信息中提取威胁信息,威胁信息包括威胁源IP、威胁源端口号以及协议,其中,源IP地址即为威胁源IP,源端口即为威胁源端口号。
步骤102:根据所述威胁信息定位威胁进程。
其中,威胁进程是指流量异常的应用进程。
由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID;获取所有进程的信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
当威胁源为服务端时,可以根据查询语句C:\>netstat–ano-p proto|find″0.0.0.0:10000″获得进程ID,其中,0.0.0.0为威胁源IP,10000为威胁源端口号。
当威胁源为客户端时,可以根据查询语句C:\>netstat–ano-p proto|find″192.168.1.1:10000″获得进程ID,其中,192.168.1.1为威胁源IP,10000为威胁源端口号。
其中,-p proto:proto可以是下列协议中的任何一个:TCP、UDP、TCPv6或UDPv6。
步骤103:处理所述威胁进程。
处理所述威胁进程可以包括:通知用户存在所述威胁进程,和/或关闭所述威胁进程。
通知用户当前进程存在威胁,建议关闭或清除病毒,或者可以直接关闭该威胁进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包;也可以在通知用户当前进程存在威胁,建议关闭或清除病毒的同时,直接关闭该进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包。本申请以通知和关闭两种处理方式进行说明,但并不限于此两种处理方式。
本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。
参见图2,在本发明的其他实施例中,还公开了一种威胁处理方法,所述方法至少包括以下步骤:
步骤201:安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息,其中,威胁源为导致网络异常的终端。
步骤202:发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。
本发明实施例从安全设备一侧介绍本发明的具体实现过程。
本发明中的网络异常可以为流量异常,异常流量可以是威胁源通过TCP或UDP协议传播的。当安全设备检测到网络异常时,安全设备获取网络异常会话中的五元组信息;安全设备从异常会话中的五元组信息中提取威胁信息,威胁信息包括威胁源IP、威胁源端口号以及协议,其中,源IP地址即为威胁源IP,源端口即为威胁源端口号。安全设备将威胁信息发送至威胁源,威胁源根据所述威胁信息获取威胁进程信息,并处理所述威胁进程信息对应的威胁进程。其中,威胁进程是指流量异常的应用进程。威胁源根据威胁信息定位威胁进程可以包括:由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID;获取所有进程的信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
进一步的,在其他实施例中,安全设备检测威胁源之后还需要制定联动策略,并将其发送至威胁源,上述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。通知用户当前进程存在威胁,建议关闭或清除病毒,或者可以直接关闭该威胁进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包;也可以在通知用户当前进程存在威胁,建议关闭或清除病毒的同时,直接关闭该进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包。本申请以通知和关闭两种处理方式进行说明,但并不限于此两种处理方式。
本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。
参考图3,本发明实施例以信令图的形式,详细的介绍本发明的安全设备与终端电脑的交互过程。
步骤301:威胁源终端电脑通过TCP或UDP协议传播威胁流量。
步骤302:安全设备检测到威胁流量,提取威胁源终端电脑的威胁信息,上述威胁信息包括威胁源IP、威胁源端口号以及协议。
当安全设备检测到网络异常时,安全设备获取网络异常会话中的五元组信息;安全设备从异常会话中的五元组信息中提取威胁信息,威胁信息包括威胁源IP、威胁源端口号以及协议,其中,源IP地址即为威胁源IP,源端口即为威胁源端口号。
步骤303:安全设备发送上述威胁信息至威胁源终端电脑。
步骤304:威胁源终端电脑获取威胁信息,并根据威胁信息定位到威胁进程。
威胁进程是指流量异常的应用进程。威胁源根据威胁信息定位威胁进程可以包括:
由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID;
获取所有进程的信息列表;
根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
步骤305:威胁源终端电脑处理威胁进程。
威胁源终端电脑处理威胁进程可以包括:通知用户存在所述威胁进程,和/或关闭所述威胁进程。
通知用户当前进程存在威胁,建议关闭或清除病毒,或者可以直接关闭该威胁进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包;也可以在通知用户当前进程存在威胁,建议关闭或清除病毒的同时,直接关闭该进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包。本申请以通知和关闭两种处理方式进行说明,但并不限于此两种处理方式。在上述的步骤305中,威胁源终端电脑处理威胁进程信息对应的威胁进程可以是,威胁源终端电脑根据终端上的设置,自动选择是选用通知的处理方式,还是关闭的处理方式,还是通知加关闭的处理方式。
需要指出的是,在上述的步骤302中,安全设备还可以制定联动策略,联动策略为:对威胁进程进行处理。在步骤303中,安全设备同时将联动策略发送至威胁源终端电脑,在步骤304中,威胁源终端电脑获取联动策略,在步骤305中,威胁源终端电脑根据联动策略对威胁进程进行相应处理。
本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。
与上述方法对应的,本发明实施例还公开了一种联动客户端,参考图4,本发明实施例在终端电脑上安装联动客户端,联动客户端包括:
威胁信息获取单元U410,用于威胁源获取威胁信息,
所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,并将所述威胁信息发送给所述威胁源中的威胁信息获取单元;所述威胁信息获取单元将所述威胁信息传输给进程关联单元;
所述进程关联单元U420,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;
处理单元U430,用于处理所述威胁进程。
优选的,在本发明的其他实施例中,所述进程关联单元U420,包括进程ID获取单元、进程信息列表获取单元以及定位单元;
所述进程ID获取单元,用于由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID,并将所述威胁进程ID传输给所述定位单元;
所述进程信息列表获取单元,用于获取所有进程的信息列表,并将所述信息列表传输给所述定位单元;
所述定位单元,用于从所述进程ID单元接收所述威胁进程ID以及从所述进程信息列表获取单元接收所述信息列表,根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
优选的,在本发明的其他实施例中,处理单元U430,包括通知单元和/或关闭单元;
所述通知单元用于通知用户存在所述威胁进程;
所述关闭单元用于关闭所述威胁进程。
优选的,在上述实施例中,所述网络异常为流量异常。
本发明实施例提供的威胁处理装置能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。
与上述方法对应的,本发明实施例还公开了一种安全设备,用于威胁源的处理,参见图5,安全设备包括:
检测单元U501,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;
发送单元U502,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。
优选的,在本发明的其他实施例中,所述威胁信息包括威胁源IP、威胁源端口号、协议;
所述检测单元U501,包括五元组获取单元以及提取单元:
所述五元组获取单元,用于检测到网络异常时,获取网络异常会话中的五元组信息,并将所述异常会话中的五元组信息传输给所述提取单元;
所述提取单元,用于从所述五元组获取单元中接收所述异常会话中的五元组信息,并从所述异常会话中的五元组信息中提取所述威胁源IP、威胁源端口号、协议。
进一步的,所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。
另外,参见图6,本发明实施例还公开一种威胁源的处理系统,包括上述实施例中的联动客户端620以及上述实施例中的安全设备610。
其中,所述安全设备610通过路由器620与局域网中的各个终端电脑相连,联动客户端620设置于各个终端电脑中。
联动客户端620用于威胁的处理,所述联动客户端包括:
威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;
进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;
处理单元,用于处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
安全设备610用于威胁源的处理,所述安全设备包括:
检测单元,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;
发送单元,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。
所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。
请参考图7,本发明实施例提供了一种主机700的示意图。主机700可能是包含计算能力的主机服务器,或者是个人计算机PC,或者是可携带的便携式计算机或终端等等,本发明具体实施例并不对主机的具体实现做限定。主机700包括:
处理器(processor)710,通信接口(Communications Interface)720,存储器(memory)730,总线740。
处理器710,通信接口720,存储器730通过总线740完成相互间的通信。
通信接口720,用于获取威胁信息,并将所述威胁信息传输给所述处理器,其中,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,所述威胁源为导致网络异常的终端;
处理器710,用于执行程序732。
具体地,程序732可以包括程序代码,所述程序代码包括计算机操作指令。
处理器710可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器730,用于存放程序732。存储器730可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序732具体可以用于:
根据所述威胁信息定位威胁进程;
处理所述威胁进程。
如图8所示,程序732,可以包括:
威胁信息获取单元U410,用于威胁源获取威胁信息,
所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,并将所述威胁信息发送给所述威胁源中的威胁信息获取单元;所述威胁信息获取单元将所述威胁信息传输给进程关联单元;
所述进程关联单元U420,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;
处理单元U430,用于处理所述威胁进程。
程序732中各单元和预控制器的具体实现参见上述实施例中的相应单元,在此不赘述。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本领域普通技术人员可以理解上述实施例方法中的全部或部分处理是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (15)

1.一种威胁处理方法,其特征在于,包括:
威胁源获取威胁信息;
根据所述威胁信息定位威胁进程;
处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
2.根据权利要求1所述的方法,其特征在于,
所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,包括:
当所述安全设备检测到网络异常时,所述安全设备获取网络异常会话中的五元组信息;
所述安全设备从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。
3.根据权利要求2所述的方法,其特征在于,所述根据所述威胁信息定位威胁进程,包括;
由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID;
获取所有进程的信息列表;
根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
4.根据权利要求1所述的方法,其特征在于,所述处理所述威胁进程包括:
通知用户存在所述威胁进程,和/或关闭所述威胁进程。
5.根据权利要求1-4所述的任意一项方法,其特征在于,所述网络异常为流量异常。
6.一种威胁处理方法,其特征在于,包括:
安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息;
发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端。
7.根据权利要求6所述的方法,其特征在于,
所述安全设备检测威胁源,并提取所述威胁源的威胁信息,包括:
当所述安全设备检测到网络异常时,获取网络异常会话中的五元组信息;
从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。
8.根据权利要求7所述的方法,其特征在于,所述威胁源根据所述威胁信息定位威胁进程,包括;
由查询语句根据所述威胁源IP、威胁源端口号以及协议获取威胁进程ID;
获取所有进程信息列表;
根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
9.根据权利要求6所述的方法,其特征在于,所述安全设备检测威胁源之后还包括:
制定联动策略并发送至所述威胁源,所述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。
10.根据权利要求6-9所述的任意一项方法,其特征在于,所述网络异常为流量异常。
11.一种联动客户端,用于威胁的处理,其特征在于,包括:
威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;
进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;
处理单元,用于处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
12.一种安全设备,用于威胁的处理,其特征在于,包括:
检测单元,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;
发送单元,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。
13.根据权利要求12所述的安全设备,其特征在于,所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。
14.一种威胁处理系统,其特征在于,包括联动客户端以及如权利要求12-13任意一项所述的安全设备;
所述联动客户端用于威胁的处理,包括:
威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;
进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;
处理单元,用于处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
15.一种主机,其特征在于,包括处理器,通信接口,存储器和总线;
其中处理器、通信接口、存储器通过总线完成相互间的通信;
所述通信接口,用于获取威胁信息,并将所述威胁信息传输给所述处理器,其中,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,所述威胁源为导致网络异常的终端;
所述处理器,用于执行程序;
所述存储器,用于存放程序;
其中程序用于:
根据所述威胁信息定位威胁进程;
处理所述威胁进程。
CN201210578641.6A 2012-12-27 2012-12-27 威胁处理方法及系统、联动客户端、安全设备及主机 Active CN103067384B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210578641.6A CN103067384B (zh) 2012-12-27 2012-12-27 威胁处理方法及系统、联动客户端、安全设备及主机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210578641.6A CN103067384B (zh) 2012-12-27 2012-12-27 威胁处理方法及系统、联动客户端、安全设备及主机

Publications (2)

Publication Number Publication Date
CN103067384A true CN103067384A (zh) 2013-04-24
CN103067384B CN103067384B (zh) 2016-12-28

Family

ID=48109846

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210578641.6A Active CN103067384B (zh) 2012-12-27 2012-12-27 威胁处理方法及系统、联动客户端、安全设备及主机

Country Status (1)

Country Link
CN (1) CN103067384B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105611561A (zh) * 2016-01-07 2016-05-25 中国联合网络通信集团有限公司 一种链路故障处理方法、装置和系统
CN108270722A (zh) * 2016-12-30 2018-07-10 阿里巴巴集团控股有限公司 一种攻击行为检测方法和装置
CN109547449A (zh) * 2018-11-29 2019-03-29 深圳市网心科技有限公司 一种安全检测方法及相关装置
CN109564740A (zh) * 2016-08-16 2019-04-02 阿尔卡特朗讯 基于区块链的安全威胁检测方法和系统
CN110493165A (zh) * 2018-06-29 2019-11-22 厦门白山耘科技有限公司 自动确定恶意网络进程的方法、装置及网络入侵检测系统
CN113452717A (zh) * 2021-07-02 2021-09-28 安天科技集团股份有限公司 通信软件安全防护的方法、装置、电子设备及存储介质
CN114285617A (zh) * 2021-12-20 2022-04-05 北京安天网络安全技术有限公司 一种网络威胁监测方法、装置、电子设备及可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020157021A1 (en) * 2000-07-14 2002-10-24 Stephen Sorkin System and method for computer security using multiple cages
CN101026510A (zh) * 2007-01-31 2007-08-29 华为技术有限公司 一种网络流量异常检测方法和系统
CN101437230A (zh) * 2008-12-22 2009-05-20 华为技术有限公司 恶意流量处理方法及系统
CN101453423A (zh) * 2008-11-19 2009-06-10 中国网络通信集团公司 流量联动控制方法、装置及系统
CN101977188A (zh) * 2010-10-14 2011-02-16 中国科学院计算技术研究所 恶意程序检测系统
CN102546587A (zh) * 2011-11-16 2012-07-04 深信服网络科技(深圳)有限公司 防止网关系统会话资源被恶意耗尽的方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020157021A1 (en) * 2000-07-14 2002-10-24 Stephen Sorkin System and method for computer security using multiple cages
CN101026510A (zh) * 2007-01-31 2007-08-29 华为技术有限公司 一种网络流量异常检测方法和系统
CN101453423A (zh) * 2008-11-19 2009-06-10 中国网络通信集团公司 流量联动控制方法、装置及系统
CN101437230A (zh) * 2008-12-22 2009-05-20 华为技术有限公司 恶意流量处理方法及系统
CN101977188A (zh) * 2010-10-14 2011-02-16 中国科学院计算技术研究所 恶意程序检测系统
CN102546587A (zh) * 2011-11-16 2012-07-04 深信服网络科技(深圳)有限公司 防止网关系统会话资源被恶意耗尽的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
自由风: "Antivitus Solution防病毒软件不是计算机唯一防线", 《个人电脑》, no. 11, 2 November 2003 (2003-11-02) *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105611561A (zh) * 2016-01-07 2016-05-25 中国联合网络通信集团有限公司 一种链路故障处理方法、装置和系统
CN105611561B (zh) * 2016-01-07 2019-08-27 中国联合网络通信集团有限公司 一种链路故障处理方法、装置和系统
CN109564740A (zh) * 2016-08-16 2019-04-02 阿尔卡特朗讯 基于区块链的安全威胁检测方法和系统
CN109564740B (zh) * 2016-08-16 2022-07-19 阿尔卡特朗讯 基于区块链的安全威胁检测方法和系统
CN108270722A (zh) * 2016-12-30 2018-07-10 阿里巴巴集团控股有限公司 一种攻击行为检测方法和装置
CN110493165A (zh) * 2018-06-29 2019-11-22 厦门白山耘科技有限公司 自动确定恶意网络进程的方法、装置及网络入侵检测系统
CN109547449A (zh) * 2018-11-29 2019-03-29 深圳市网心科技有限公司 一种安全检测方法及相关装置
CN109547449B (zh) * 2018-11-29 2021-09-24 深圳市网心科技有限公司 一种安全检测方法及相关装置
CN113452717A (zh) * 2021-07-02 2021-09-28 安天科技集团股份有限公司 通信软件安全防护的方法、装置、电子设备及存储介质
CN114285617A (zh) * 2021-12-20 2022-04-05 北京安天网络安全技术有限公司 一种网络威胁监测方法、装置、电子设备及可读存储介质

Also Published As

Publication number Publication date
CN103067384B (zh) 2016-12-28

Similar Documents

Publication Publication Date Title
KR101890272B1 (ko) 보안이벤트 자동 검증 방법 및 장치
CN103067384A (zh) 威胁处理方法及系统、联动客户端、安全设备及主机
CN105409164B (zh) 通过使用硬件资源来检测网络业务中的矛盾的根套件检测
Wang et al. Intrusion prevention system design
US11863570B2 (en) Blockchain-based network security system and processing method
US8561188B1 (en) Command and control channel detection with query string signature
JP4768021B2 (ja) IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法
US9450974B2 (en) Intrusion management
CN108270722B (zh) 一种攻击行为检测方法和装置
US20160359904A1 (en) Method and system for detection of headless browser bots
JP2008011537A (ja) ネットワークセキュリティデバイスにおけるパケット分類
WO2004095281A3 (en) System and method for network quality of service protection on security breach detection
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
US9661006B2 (en) Method for protection of automotive components in intravehicle communication system
CN104901971A (zh) 对网络行为进行安全分析的方法和装置
US20140380457A1 (en) Adjusting ddos protection
US20070289014A1 (en) Network security device and method for processing packet data using the same
KR20080026122A (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법
CN111181967B (zh) 数据流识别方法、装置、电子设备及介质
US10237287B1 (en) System and method for detecting a malicious activity in a computing environment
CN106664305B (zh) 用于确定数据的信誉的装置、系统和方法
KR101041997B1 (ko) 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법
Balaji et al. EUDIS-an encryption scheme for user-data security in public networks
Sharma et al. A survey of intrusion detection system for denial of service attack in cloud
Jee et al. A network partition scheme to protect secure zone for malicious code

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant