CN111277585A - 威胁处理方法、装置、设备和可读存储介质 - Google Patents
威胁处理方法、装置、设备和可读存储介质 Download PDFInfo
- Publication number
- CN111277585A CN111277585A CN202010049686.9A CN202010049686A CN111277585A CN 111277585 A CN111277585 A CN 111277585A CN 202010049686 A CN202010049686 A CN 202010049686A CN 111277585 A CN111277585 A CN 111277585A
- Authority
- CN
- China
- Prior art keywords
- domain name
- terminal
- threat
- request
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种威胁处理方法,该方法包括:当终端请求流量时,获取对应的请求域名;判断所述请求域名是否为恶意域名;若所述请求域名为恶意域名,则获取所述终端请求流量的对象对应的对象信息;根据所述对象信息的威胁分析结果发送处置指令,以使所述终端按照所述处置指令进行对象处理。本发明还公开了一种威胁处理装置、威胁处理设备和可读存储介质。本发明旨在从根源解决威胁问题,提高威胁处理的可靠性。
Description
技术领域
本发明涉及信息技术领域,尤其涉及威胁处理方法、威胁处理装置、空调器和可读存储介质。
背景技术
为了保证信息安全,目前的网络设备均会采用一些保护机制对信息安全产生影响的威胁进行处理。
目前在对终端请求上网时的威胁处理时,对上网流量中的病毒文件、C&C服务器外连、钓鱼网站等恶意外联行为进行拦截,然而这样仅仅是防止了外联,但对已经存在终端中发起恶意外联的进程或文件并未有进行处理,无法及时从根源解决威胁问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种威胁处理方法,旨在从根源解决威胁问题,提高威胁处理的可靠性。
为实现上述目的,本发明提供一种威胁处理方法,所述威胁处理方法包括以下步骤:
当终端请求流量时,获取对应的请求域名;
判断所述请求域名是否为恶意域名;
若所述请求域名为恶意域名,则获取所述终端请求流量的对象对应的对象信息;
根据所述对象信息的威胁分析结果发送处置指令,以使所述终端按照所述处置指令进行对象处理。
可选地,所述获取所述终端请求流量的对象对应的对象信息的步骤包括:
获取所述终端对应的终端标识信息;
发送所述终端标识信息和所述请求域名至所述终端对应的终端管控模块;
获取所述终端管控模块基于所述终端标识信息和所述请求域名进行溯源举证后返回的所述对象信息。
可选地,所述获取所述终端请求流量的对象对应的对象信息的步骤包括:
获取所述终端对应的终端标识信息;
将所述终端标识信息和所述请求域名,作为所述终端请求流量的对象对应的对象信息。
可选地,所述根据所述对象信息的威胁分析结果发送处置指令的步骤包括:
获取所述对象信息对应的威胁状态信息,获取所述对象信息对应的杀毒结果;
根据所述威胁状态信息和杀毒结果,分析所述终端上的目标对象及其对应的处置方式;
按照所述处置方式发送所述处置指令。
可选地,所述根据所述威胁状态信息和杀毒结果,分析所述终端上的目标对象及其对应的处置方式的步骤包括:
将所述杀毒结果中高危的对象、或所述威胁状态信息中属于黑名单的对象,确定为第一目标对象,确定所述第一目标对象对应的处置方式为隔离;
将在所述杀毒结果中安全、且在所述威胁状态信息中属于白名单的对象,确定为第二目标对象,确定所述第二目标对象对应的处置方式为信任;
在所述杀毒结果和所述威胁状态信息中,将除所述第一目标对象和所述第二目标对象以外的对象,确定为第三目标对象,确定所述第三目标对象对应的处置方式为持续观察。
可选地,所述获取所述对象信息对应的威胁状态信息的步骤包括:
确定所述对象信息的信息摘要;
根据所述信息摘要查询第一威胁情报库,得到所述威胁状态信息。
可选地,所述按照所述处置方式发送所述处置指令的步骤包括:
根据所述处置方式和所述目标对象,生成对应的处置指令;
发送所述处置指令至所述终端对应的终端管控模块,以使所述终端管控模块发送所述处置指令至所述终端,使所述终端按照所述处置指令进行对象处置。
可选地,所述判断所述请求域名是否为恶意域名的步骤之后,还包括:
当所述请求域名为恶意域名时,禁止所述终端请求流量,执行所述获取所述终端请求流量的对象对应的对象信息的步骤;
当所述请求域名为非恶意域名时,按照所述请求域名请求流量。
可选地,所述判断所请求域名是否为恶意域名的步骤包括:
基于本地的第二威胁情报库,判断所述请求域名是否为恶意域名;
其中,所述非恶意域名包括未知域名,所述基于本地的第二威胁情报库,判断所述请求域名是否为恶意域名的步骤之后,还包括:
若所述请求域名为未知域名,按照所述请求域名请求流量,将所述请求域名上传至云端,以使云端按照所述请求域名的分析结果,更新所述第二威胁情报库。
此外,为了实现上述目的,本申请还提出一种威胁处理方法,所述威胁处理方法包括:
在接收到防火墙模块发送的终端标识信息和请求域名时,根据所述终端标识信息和请求域名确定对应的对象信息;所述终端标识信息和所述请求域名为所述防火墙模块在终端请求流量且对应的请求域名为恶意域名时发出;
发送所述对象信息至所述防火墙模块,以使所述防火墙模块获取所述终端请求流量的对象对应的对象信息,根据所述对象信息的威胁分析结果发送处置指令,使所述终端按照所述处置指令进行对象处理。
可选地,所述发送所述对象信息至所述防火墙模块的步骤之后,还包括:
在接收到所述防火墙模块的处置指令时,发送所述处置指令至对应的终端,以使所述终端按照所述处置指令进行对象处置。
此外,为了实现上述目的,本申请还提出一种威胁处理装置,所述威胁处理装置包括防火墙模块;
所述防火墙模块包括:
域名子模块,所述域名子模块用于当终端请求流量时,获取对应的请求域名;
判断模块,所述判断模块用于判断所述请求域名是否为恶意域名;
溯源子模块,所述溯源子模块用于若所述判断模块判定所述请求域名为恶意域名,则获取所述终端请求流量的对象对应的对象信息;
处理子模块,所述处理子模块用于根据所述对象信息的威胁分析结果发送处置指令,以使所述终端按照所述处置指令进行对象处理。
可选地,所述威胁处理装置还包括终端管控模块,所述溯源子模块还用于:
获取所述终端对应的终端标识信息;
发送所述终端标识信息和所述请求域名至所述终端管控模块;
获取所述终端管控模块基于所述终端标识信息和所述请求域名进行溯源举证后返回的所述对象信息;
所述终端管控模块用于:
在接收到防火墙模块发送的终端标识信息和请求域名时,根据所述终端标识信息和请求域名确定对应的对象信息;
发送所述对象信息至所述防火墙模块。
此外,为了实现上述目的,本申请还提出一种威胁处理设备,所述威胁处理设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁处理程序,所述威胁处理程序被所述处理器执行时实现如上任一项所述的威胁处理方法的步骤。
此外,为了实现上述目的,本申请还提出一种可读存储介质,所述可读存储介质上存储有威胁处理程序,所述威胁处理程序被处理器执行时实现如上任一项所述的威胁处理方法的步骤。
本发明提出的一种威胁处理方法,该方法包括当终端请求流量时,获取对应的请求域名,判断请求域名是否为恶意域名,若请求域名为恶意域名,则获取终端请求流量的对象对应的对象信息,根据对象信息的威胁分析结果发送处置指令,以使所述终端按照处置指令进行对象处理。通过此方式,当终端出现恶意外联时,及时对请求流量的对象进行处理,从而实现从根源解决威胁问题,避免被处理的对象再次发生恶意外联,有效提高威胁处理的可靠性。
附图说明
图1是本发明威胁处理设备一实施例运行涉及的硬件结构示意图;
图2为本发明威胁处理方法第一实施例的流程示意图;
图3为本发明威胁处理方法第二实施例的流程示意图;
图4为本发明威胁处理方法第三实施例的流程示意图;
图5为本发明威胁处理方法第四实施例的流程示意图;
图6为本发明威胁处理方法实施例涉及的硬件模块连接示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:当终端请求流量时,获取对应的请求域名;判断所述请求域名是否为恶意域名;若所述请求域名为恶意域名,则获取所述终端请求流量的对象对应的对象信息;根据所述对象信息的威胁分析结果发送处置指令,以使所述终端按照所述处置指令进行对象处理。
由于现有技术中对终端请求上网时的威胁处理时,对上网流量中的病毒文件、C&C服务器外连、钓鱼网站等恶意外联行为进行拦截,然而这样仅仅是防止了外联,但对已经存在终端中发起恶意外联的进程或文件并未有进行处理,无法及时从根源解决威胁问题。
本发明提供上述的解决方案,旨在从根源解决威胁问题,提高威胁处理的可靠性。
本发明提出一种威胁处理设备,可具体为安装有防火墙的网关设备,可应用于对联网设备在请求流量时的威胁处理。
在本发明实施例中,参照图1,威胁处理装置包括:处理器1001,例如CPU,存储器1002等。处理器1001与存储器1002连接。存储器1002可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1002可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的装置结构并不构成对装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种可读存储介质的存储器1002中可以包括威胁处理程序。在图1所示的装置中,处理器1001可以用于调用存储器1002中存储的威胁处理程序,并执行以下实施例中威胁处理方法的相关步骤操作。
本发明还提供一种威胁处理方法。
参照图2,提出本发明威胁处理方法第一实施例,所述威胁处理方法包括:
步骤S10,当终端请求流量时,获取对应的请求域名;
终端一般通过请求域名向互联网请求流量,因此在接收到终端发出的流量请求信息时,解析该流量请求信息得到对应的请求域名。
步骤S20,判断所述请求域名是否为恶意域名;
若所述请求域名为恶意域名,则执行步骤S30。
通过本地或云端的威胁情报库对请求域名进行解析,判断其是否为恶意域名。威胁情报库可通过搜集网络上出现的域名并进行威胁分析后生成。威胁情报库可包括具有威胁的域名的集合所形成的黑名单。当请求域名属于黑名单时,则判定请求域名为恶意域名。
步骤S30,获取所述终端请求流量的对象对应的对象信息;
当请求域名为恶意域名时,可发送对象请求指令至发出请求的终端或终端所对应的终端管控平台,以使终端或终端管控平台返回对应请求流量的对象所对应的对象信息。对象信息指的到请求流量的对象及与其相关的所有对象的信息。
具体的,获取终端对应的终端标识信息,根据终端标识信息和请求域名,获取终端请求流量的对象对应的对象信息。其中,终端请求流量的对象可具体包括进程或文件。终端标识信息可从终端所发出的流量请求信息中解析得到。不同的终端标识信息代表不同的终端,基于终端标识信息和恶意的请求域名执行相应的查询指令,便可溯源得到对应的对象信息。
其中,步骤S30可包括:获取所述终端对应的终端标识信息,发送所述终端标识信息和所述请求域名至所述终端对应的终端管控模块;获取所述终端管控模块基于所述终端标识信息和所述请求域名进行溯源举证后返回的所述对象信息。终端管控模块具体为对内网环境的终端进行管理和控制的服务器。其中,所述对象信息由所述终端管控模块根据所述终端的检测响应模块对所述请求域名的溯源分析结果得到。终端标识信息具体为终端管控平台用于管控受控终端的、为受控终端所配置的用于与其他终端区分的唯一标识。在终端请求流量的同时,终端的检测响应模块(Endpoint Detection and Response,EDR)可以识别发起请求的对象(进程或文件)并将相关的信息上传到终端管控模块的数据库中。其中,检测响应模块识别出的恶意文件,终端管控模块可以向终端发出处置指令,将威胁彻底抹杀掉。基于此,将终端标识信息和请求域名发送至终端管控模块,终端管控模块基于终端标识信息和请求域名在其数据库进行溯源举证,查找请求流量的终端所对应的进程树,将举证得到的进程树返回,获取终端管控模块基于终端标识信息和请求域名返回的进程树,作为对象信息。在这里,终端管控模块所返回的进程树中既可包括请求流量的终端上请求流量相关的文件和/或进程(如请求域名的进程及相关的配置文件),还可包括请求流量的终端以外的其他终端上与当前请求流量相关的文件和/或进程。具体的,终端管控模块管控有A、B、C三个终端,当A终端请求流量时,A终端的检测响应模块可识别发起请求的进程或文件,并将相关的信息上传到终端管控模块的数据库中,此外,B终端的检测响应模块和C终端的检测响应模块也可同时将与当前请求流量相关的进程或文件的相关信息上传到终端管控模块的数据库中。当终端管控模块在接收到终端标识信息以及请求域名时,可基于终端标识信息以及请求域名在其数据库中除了查找A终端上与当前请求流量相关的文件和/或进程以外,还可查找B终端和C终端与当前请求流量相关的文件和/或进程,将查找到的所有文件和/或进程,形成进程树作为溯源举证的结果进行反馈,作为上述的对象信息。
此外,在其他实施例中,还可获取终端对应的终端标识信息,将终端标识信息和所述请求域名,作为终端请求流量的对象对应的对象信息。
步骤S40,根据所述对象信息的威胁分析结果发送处置指令,以使所述终端按照所述处置指令进行对象处理。
具体的,对对象信息进行威胁分析,确定终端中所需处理的对象及其处置方式,作为威胁分析结果,按照威胁分析结果通过直接发送或间接发送的方式发送相应的处置指令至请求流量的终端,控制该终端按照处置指令对关联的对象进行相应的处理。具体的,终端可按照处置指令对相应的对象进行隔离、信任、移除隔离、移除信任通过等处理。
本发明实施例提出的一种威胁处理方法,该方法包括当终端请求流量时,获取对应的请求域名,判断请求域名是否为恶意域名,若请求域名为恶意域名,则获取终端请求流量的对象对应的对象信息,根据对象信息的威胁分析结果发送处置指令,以使所述终端按照处置指令进行对象处理。通过此方式,当终端出现恶意外联时,及时对请求流量的对象进行处理,从而实现从根源解决威胁问题,避免被处理的对象再次发生恶意外联,有效提高威胁处理的可靠性。具体的,获取终端标识信息,发送终端标识信息和请求域名至终端对应的终端管控模块,获取终端管控模块基于终端标识信息和请求域名进行溯源分析返回的所述对象信息,由于终端在请求流量时会自动将请求流量的对象(进程或文件)的相关信息上传至终端管控模块,因此通过终端管控模块获取对应的对象信息,可实现快速得到分析结果并基于分析结果对终端的对象进行处理,从而提高威胁处理的效率。
进一步的,基于第一实施例,提出本申请威胁处理方法第二实施例。在第二实施例中,参照图3,所述根据所述对象信息的威胁分析结果发送处置指令的步骤包括:
步骤S41,获取所述对象信息对应的威胁状态信息,获取所述对象信息对应的杀毒结果;
威胁状态信息可依据本地或云端的威胁情报库对所获取的对象信息进行分析得到。威胁状态信息可包括无威胁状态、有威胁状态和可能存在威胁状态。威胁情报库可通过基于网络或本地数据对不同的文件或进程进行威胁分析得到。威胁情报库可包括表征不同威胁程度的对象相关信息的名单。具体的,威胁情报库可包括黑名单、白名单和灰名单等。当文件或进程属于黑名单时,则对应的威胁状态信息为有威胁状态;当文件或进程属于白名单时,则对应的威胁状态信息为无威胁状态;当文件或进程属于灰名单时,则对应的威胁状态信息为可能存在威胁状态。
具体的,可确定所述对象信息的信息摘要;根据所述信息摘要查询第一威胁情报库,得到所述威胁状态信息。第一威胁情报库可具体包括云端或本地的威胁情报库。第一威胁情报库所包括的不同威胁程度的对象相关信息的名单可基于各对象的信息摘要值进行表征。这里的信息摘要具体指的是对象信息的MD5值。基于MD5值查询本地或云端的威胁情报库,得到该MD5值对应的威胁状态信息作为对象信息的威胁状态信息。
杀毒结果具体为终端的检测响应模块对对象信息进行病毒查杀后的查杀结果。具体的,杀毒结果具体包括高危、中危、低危和安全等。具体的,对象信息在病毒查杀后危险指数大于或等于第一阈值,则杀毒结果为高危;对象信息在病毒查杀后危险指数在第二阈值(第二阈值小于第一阈值)至第一阈值之间的,则杀毒结果为中危;对象信息在病毒查杀后危险指数在第三阈值(第三阈值小于第二阈值)至第二阈值之间的,则杀毒结果为低危;对象信息在病毒查杀后危险指数小于第三阈值,则杀毒结果为安全。
其中,对象信息具体包括多个与请求流量相关的文件或进程。不同的文件或进程对应不同的威胁状态信息和杀毒结果。
步骤S42,根据所述威胁状态信息和杀毒结果,分析所述终端上的目标对象及其对应的处置方式;
不同的威胁状态信息以及不同的杀毒结果,可对应有不同的处置方式。处置方式可具体包括隔离、持续观察、信任等。
具体的,对象信息所对应包括的文件或进程均分别作为目标对象,每个目标对象按照其对应的杀毒结果及威胁状态信息确定对应的处置方式。具体的,将所述杀毒结果中高危的对象、或所述威胁状态信息中属于黑名单的对象,确定为第一目标对象,确定所述第一目标对象对应的处置方式为隔离;将在所述杀毒结果中安全、且在所述威胁状态信息中属于白名单的对象,确定为第二目标对象,确定所述第二目标对象对应的处置方式为信任;在所述杀毒结果和所述威胁状态信息中,将除所述第一目标对象和所述第二目标对象以外的对象,确定为第三目标对象,确定所述第三目标对象对应的处置方式为持续观察。例如,杀毒结果中为高危的对象,对应的处置方式为隔离;威胁状态信息中属于黑名单的对象,对应的处置方式为隔离;杀毒结果为安全且在威胁状态信息中属于白名单的对象,对应的处置方式为信任;杀毒结果为中危且在威胁状态信息中属于白名单的对象,对应的处置方式为持续观察;杀毒结果中为低危且在威胁状态信息中属于灰名单的对象,对应的处置方式为持续观察,等等。
步骤S43,按照所述处置方式发送所述处置指令。
具体的,可直接按照处置方式处理终端上对应的目标对象。此外,可按照处置方式生成处置建议并显示,例如隔离的处置方式对应显示建议隔离、持续观察的处置方式对应显示建议持续观察、无需处置的处置方式对应显示安全。基于显示的处置建议获取用户的反馈信息,当反馈信息包含确认信息时,按照处置方式发送处置指令至终端,以控制终端按照处置指令进行相应的目标对象的处理;或者提取确认信息中对应的目标对象,按照对应的处置方式发送处置指令,以控制终端按照处置指令进行相应的目标对象的处理,等等。
其中,当终端具有其对应的终端管控模块时,步骤S33具体包括:根据所述处置方式和所述目标对象,生成对应的处置指令;发送所述处置指令至所述终端对应的终端管控模块,以使所述终端管控模块发送所述处置指令至所述终端,使所述终端按照所述处置指令进行对象处置。具体的,当处置指令中包括隔离A对象时,则终端查找A对象并进行隔离,而后在该对象发出启动请求时,阻止该对象运行;当处置指令包括持续观察B对象时,则终端查找B对象并对其持续观察,而后在该对象运行时,对其进行威胁监控;当处置指令包括信任C对象时,则终端查找C对象并将其标记为信任,而后在该对象运行时,不再对其进行威胁监控。
在本实施例中,基于对象信息的威胁状态信息和杀毒结果确定所需处置的目标对象及其处置方式,以按照处置方式发送处置指令后,实现对终端上对象进行准确处置,以进一步提高威胁处理的可靠性。
进一步的,基于上述任一实施例,提出本申请威胁处理方法第三实施例。在第三实施例中,参照图4,步骤S20之后还包括:
当所述请求域名为恶意域名时,执行步骤S01并执行所述获取所述终端请求流量的对象对应的对象信息的步骤;当所述请求域名为非恶意域名时,则执行步骤S02。其中,非恶意域名包括安全域名和未知域名。
步骤S01,禁止所述终端请求流量;
步骤S02,按照所述请求域名请求流量。
威胁情报库除了包括第一实施例中具有威胁的域名集合所形成的黑名单外,还可包括不具有威胁的域名集合所形成的白名单。当请求域名不属于黑名单时,则请求域名为非恶意域名。其中,当请求域名属于白名单时,则请求域名为安全域名;当请求域名既不属于黑名单又不属于白名单时,则请求域名为未知域名。
具体的,步骤S20可包括::基于本地的第二威胁情报库,判断所述请求域名是否为恶意域名。基于此,若所述请求域名为未知域名,按照所述请求域名请求流量,将所述请求域名上传至云端,以使云端按照所述请求域名的分析结果,更新所述第二威胁情报库。
第二威胁情报库具体由云端服务器定期将云端的威胁情报库更新到本地形成。
云端服务器接收到上传的请求域名后,对请求域名进行检测分析,并将分析结果保存到云端威胁情报库,云端服务器定时将云端威胁情报库同步到本地,以更新本地威胁情报库。
在本实施例中,对于恶意域名,禁止其请求流量,以保证信息安全;对于非恶意域名,则允许其请求流量,保证用户的数据使用需求和数据安全。其中,通过本地的威胁情报库对请求域名进行分析,可有利于提高域名分析的效率,避免断网状态对威胁分析的影响,提高威胁分析的可靠性。基于此,对于未知域名及时上传到云端分析,并及时更新本地威胁情报库,从而提高本地对请求域名分析的准确性。通过上述方式,针对不同类型的请求域名进行针对性的处置,从而实现用户网络使用需求和信息安全的有效兼顾。
进一步的,上述威胁处理方法的任一实施例的执行主体可具体为设备中的防火墙模块。基于上述任一实施例,提出本申请威胁处理方法第四实施例。在第四实施例中,威胁处理方法的执行主体具体为终端的终端管控模块,参照图5,所述威胁处理方法还包括:
步骤S100,在接收到防火墙模块发送的终端标识信息和请求域名时,根据所述终端标识信息和请求域名确定对应的对象信息;所述终端标识信息和所述请求域名为所述防火墙模块在终端请求流量且对应的请求域名为恶意域名时发出;
步骤S200,发送所述对象信息至所述防火墙模块,以使所述防火墙模块获取所述终端请求流量的对象对应的对象信息,根据所述对象信息的威胁分析结果发送处置指令,使所述终端按照所述处置指令进行对象处理。
终端标识信息具体为终端管控平台用于管控受控终端的、为受控终端所配置的用于与其他终端区分的唯一标识。在终端请求流量的同时,终端的检测响应模块(EndpointDetection and Response,EDR)可以识别发起请求的对象(进程或文件)并将相关的信息上传到终端管控模块的数据库中。其中,检测响应模块识别出的恶意文件,终端管控模块可以向终端发出处置指令,将威胁彻底抹杀掉。基于此,终端管控模块基于所接收到的终端标识信息和请求域名在其数据库进行查找举证,查找请求流量的终端所对应的进程树,将举证得到的进程树返回,终端管控模块基于终端标识信息和请求域名向防火墙模块返回进程树,作为对象信息。
在本实施例中,在防火墙模块发现恶意域名向终端管控模块发送终端标识信息和请求域名时,通过上述方式向防火墙模块返回请求流量的对象所对应的对象信息,以供防火墙模块进行溯源举证,使防火墙模块可基于接收到的对象信息进行分析,处置相应的终端的对象,从而当终端出现恶意外联时,及时对请求流量的对象进行处理,从而实现从根源解决威胁问题,避免被处理的对象再次发生恶意外联,有效提高威胁处理的可靠性。
具体的,步骤S200之后,还包括:在接收到所述防火墙模块的处置指令时,发送所述处置指令至对应的终端,以使所述终端按照所述处置指令进行对象处置。通过此方式,从而保证终端管控模块对终端威胁的有效及时地管控,从而进一步提高威胁处理的可靠性。
在本发明实施例中,参照图6,多个终端01可采用终端管控模块02进行管控。其中,每个终端01分别具有一个检测响应模块011(Endpoint Detection and Response,EDR),终端01通过其对应的检测响应模块与终端管控模块02连接。多个终端01以及终端管控模块02均与防火墙模块03连接。防火墙模块03与终端管控模块02可按照上述第一实施例至第四实施例中的威胁处理方法进行交互以实现对终端向互联网04请求流量进行管控,同时在请求流量出现威胁的过程中对终端01中的对象进行及时的威胁处理。进一步的,防火墙模块03还可与云端数据分析模块05连接。云端数据分析模块05可对防火墙模块03所上传的数据进行威胁分析,并将威胁分析结果保存至云端威胁情报库06,云端威胁情报库06可定期或实时同步至防火墙模块03,以在防火墙模块03本地形成本地威胁情报库,实现防火墙模块03可在终端01请求流量时基于本地威胁情报库进行威胁分析。
此外,本发明实施例还提出一种威胁处理装置,该威胁处理装置包括防火墙模块。该防火墙模块包括:
域名子模块,所述域名子模块用于当终端请求流量时,获取对应的请求域名;
判断模块,所述判断模块用于判断所述请求域名是否为恶意域名;
溯源子模块,所述溯源子模块用于若所述判断模块判定所述请求域名为恶意域名,则获取所述终端请求流量的对象对应的对象信息;
处理子模块,所述处理子模块用于根据所述对象信息的威胁分析结果发送处置指令,以使所述终端按照所述处置指令进行对象处理。进一步的,所述威胁处理装置还包括终端管控模块。所述溯源子模块还用于:
获取所述终端对应的终端标识信息;
发送所述终端标识信息和所述请求域名至所述终端管控模块;
获取所述终端管控模块基于所述终端标识信息和所述请求域名进行溯源举证后返回的所述对象信息;
所述终端管控模块用于:
在接收到防火墙模块发送的终端标识信息和请求域名时,根据所述终端标识信息和请求域名确定对应的对象信息;
发送所述对象信息至所述防火墙模块。由于本实施例的威胁处理装置采用了上述威胁处理方法所有实施例的全部技术方案,因此至少具有上述威胁处理方法实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本发明实施例还提出一种可读存储介质,所述可读存储介质上存储有威胁处理程序,所述威胁处理程序被处理器执行时实现如上威胁处理方法任一实施例的相关步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (15)
1.一种威胁处理方法,其特征在于,所述威胁处理方法包括以下步骤:
当终端请求流量时,获取对应的请求域名;
判断所述请求域名是否为恶意域名;
若所述请求域名为恶意域名,则获取所述终端请求流量的对象对应的对象信息;
根据所述对象信息的威胁分析结果发送处置指令,以使所述终端按照所述处置指令进行对象处理。
2.如权利要求1所述的威胁处理方法,其特征在于,所述获取所述终端请求流量的对象对应的对象信息的步骤包括:
获取所述终端对应的终端标识信息;
发送所述终端标识信息和所述请求域名至所述终端对应的终端管控模块;
获取所述终端管控模块基于所述终端标识信息和所述请求域名进行溯源举证后返回的所述对象信息。
3.如权利要求1所述的威胁处理方法,其特征在于,所述获取所述终端请求流量的对象对应的对象信息的步骤包括:
获取所述终端对应的终端标识信息;
将所述终端标识信息和所述请求域名,作为所述终端请求流量的对象对应的对象信息。
4.如权利要求1所述的威胁处理方法,其特征在于,所述根据所述对象信息的威胁分析结果发送处置指令的步骤包括:
获取所述对象信息对应的威胁状态信息,获取所述对象信息对应的杀毒结果;
根据所述威胁状态信息和杀毒结果,分析所述终端上的目标对象及其对应的处置方式;
按照所述处置方式发送所述处置指令。
5.如权利要求4所述的威胁处理方法,其特征在于,所述根据所述威胁状态信息和杀毒结果,分析所述终端上的目标对象及其对应的处置方式的步骤包括:
将所述杀毒结果中高危的对象、或所述威胁状态信息中属于黑名单的对象,确定为第一目标对象,确定所述第一目标对象对应的处置方式为隔离;
将在所述杀毒结果中安全、且在所述威胁状态信息中属于白名单的对象,确定为第二目标对象,确定所述第二目标对象对应的处置方式为信任;
在所述杀毒结果和所述威胁状态信息中,将除所述第一目标对象和所述第二目标对象以外的对象,确定为第三目标对象,确定所述第三目标对象对应的处置方式为持续观察。
6.如权利要求4所述的威胁处理方法,其特征在于,所述获取所述对象信息对应的威胁状态信息的步骤包括:
确定所述对象信息的信息摘要;
根据所述信息摘要查询第一威胁情报库,得到所述威胁状态信息。
7.如权利要求4所述的威胁处理方法,其特征在于,所述按照所述处置方式发送所述处置指令的步骤包括:
根据所述处置方式和所述目标对象,生成对应的处置指令;
发送所述处置指令至所述终端对应的终端管控模块,以使所述终端管控模块发送所述处置指令至所述终端,使所述终端按照所述处置指令进行对象处置。
8.如权利要求1至7中任一项所述的威胁处理方法,其特征在于,所述判断所述请求域名是否为恶意域名的步骤之后,还包括:
当所述请求域名为恶意域名时,禁止所述终端请求流量,执行所述获取所述终端请求流量的对象对应的对象信息的步骤;
当所述请求域名为非恶意域名时,按照所述请求域名请求流量。
9.如权利要求8所述的威胁处理方法,其特征在于,所述判断所请求域名是否为恶意域名的步骤包括:
基于本地的第二威胁情报库,判断所述请求域名是否为恶意域名;
其中,所述非恶意域名包括未知域名,所述基于本地的第二威胁情报库,判断所述请求域名是否为恶意域名的步骤之后,还包括:
若所述请求域名为未知域名,按照所述请求域名请求流量,将所述请求域名上传至云端,以使云端按照所述请求域名的分析结果,更新所述第二威胁情报库。
10.一种威胁处理方法,其特征在于,所述威胁处理方法包括:
在接收到防火墙模块发送的终端标识信息和请求域名时,根据所述终端标识信息和请求域名确定对应的对象信息;所述终端标识信息和所述请求域名为所述防火墙模块在终端请求流量且对应的请求域名为恶意域名时发出;
发送所述对象信息至所述防火墙模块,以使所述防火墙模块获取所述终端请求流量的对象对应的对象信息,根据所述对象信息的威胁分析结果发送处置指令,使所述终端按照所述处置指令进行对象处理。
11.如权利要求10所述的威胁处理方法,其特征在于,所述发送所述对象信息至所述防火墙模块的步骤之后,还包括:
在接收到所述防火墙模块的处置指令时,发送所述处置指令至对应的终端,以使所述终端按照所述处置指令进行对象处置。
12.一种威胁处理装置,其特征在于,所述威胁处理装置包括防火墙模块;
所述防火墙模块包括:
域名子模块,所述域名子模块用于当终端请求流量时,获取对应的请求域名;
判断模块,所述判断模块用于判断所述请求域名是否为恶意域名;
溯源子模块,所述溯源子模块用于若所述判断模块判定所述请求域名为恶意域名,则获取所述终端请求流量的对象对应的对象信息;
处理子模块,所述处理子模块用于根据所述对象信息的威胁分析结果发送处置指令,以使所述终端按照所述处置指令进行对象处理。
13.如权利要求12所述的威胁处理装置,其特征在于,所述威胁处理装置还包括终端管控模块,所述溯源子模块还用于:
获取所述终端对应的终端标识信息;
发送所述终端标识信息和所述请求域名至所述终端管控模块;
获取所述终端管控模块基于所述终端标识信息和所述请求域名进行溯源举证后返回的所述对象信息;
所述终端管控模块用于:
在接收到防火墙模块发送的终端标识信息和请求域名时,根据所述终端标识信息和请求域名确定对应的对象信息;
发送所述对象信息至所述防火墙模块。
14.一种威胁处理设备,其特征在于,所述威胁处理设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁处理程序,所述威胁处理程序被所述处理器执行时实现如权利要求1至11中任一项所述的威胁处理方法的步骤。
15.一种可读存储介质,其特征在于,所述可读存储介质上存储有威胁处理程序,所述威胁处理程序被处理器执行时实现如权利要求1至11中任一项所述的威胁处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010049686.9A CN111277585B (zh) | 2020-01-16 | 2020-01-16 | 威胁处理方法、装置、设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010049686.9A CN111277585B (zh) | 2020-01-16 | 2020-01-16 | 威胁处理方法、装置、设备和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111277585A true CN111277585A (zh) | 2020-06-12 |
| CN111277585B CN111277585B (zh) | 2022-09-30 |
Family
ID=71001721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010049686.9A Active CN111277585B (zh) | 2020-01-16 | 2020-01-16 | 威胁处理方法、装置、设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111277585B (zh) |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN106203116A (zh) * | 2008-06-11 | 2016-12-07 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CA2950987A1 (en) * | 2015-12-09 | 2017-06-09 | Accenture Global Solutions Limited | Connected security system |
| CN107292169A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
| CN107634931A (zh) * | 2016-07-18 | 2018-01-26 | 深圳市深信服电子科技有限公司 | 异常数据的处理方法、云端服务器、网关及终端 |
| CN107689965A (zh) * | 2017-09-30 | 2018-02-13 | 北京奇虎科技有限公司 | 网络设备的防护方法、装置及系统 |
| CN108092943A (zh) * | 2016-11-22 | 2018-05-29 | 中兴通讯股份有限公司 | 一种防御apt攻击的方法和系统 |
| WO2018099206A1 (zh) * | 2016-12-01 | 2018-06-07 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
| CN109361712A (zh) * | 2018-12-17 | 2019-02-19 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及信息处理装置 |
| CN109936560A (zh) * | 2018-12-27 | 2019-06-25 | 上海银行股份有限公司 | 恶意软件防护方法及装置 |
| CN110035062A (zh) * | 2019-03-07 | 2019-07-19 | 亚信科技(成都)有限公司 | 一种网络验伤方法及设备 |
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN110414236A (zh) * | 2019-07-26 | 2019-11-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意进程的检测方法及装置 |
| CN110493165A (zh) * | 2018-06-29 | 2019-11-22 | 厦门白山耘科技有限公司 | 自动确定恶意网络进程的方法、装置及网络入侵检测系统 |
-
2020
- 2020-01-16 CN CN202010049686.9A patent/CN111277585B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106203116A (zh) * | 2008-06-11 | 2016-12-07 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CA2950987A1 (en) * | 2015-12-09 | 2017-06-09 | Accenture Global Solutions Limited | Connected security system |
| AU2016269514A1 (en) * | 2015-12-09 | 2017-06-29 | Accenture Global Solutions Limited | Connected security system |
| CN107292169A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN107634931A (zh) * | 2016-07-18 | 2018-01-26 | 深圳市深信服电子科技有限公司 | 异常数据的处理方法、云端服务器、网关及终端 |
| CN108092943A (zh) * | 2016-11-22 | 2018-05-29 | 中兴通讯股份有限公司 | 一种防御apt攻击的方法和系统 |
| WO2018099206A1 (zh) * | 2016-12-01 | 2018-06-07 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| CN107689965A (zh) * | 2017-09-30 | 2018-02-13 | 北京奇虎科技有限公司 | 网络设备的防护方法、装置及系统 |
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
| CN110493165A (zh) * | 2018-06-29 | 2019-11-22 | 厦门白山耘科技有限公司 | 自动确定恶意网络进程的方法、装置及网络入侵检测系统 |
| CN109361712A (zh) * | 2018-12-17 | 2019-02-19 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及信息处理装置 |
| CN109936560A (zh) * | 2018-12-27 | 2019-06-25 | 上海银行股份有限公司 | 恶意软件防护方法及装置 |
| CN110035062A (zh) * | 2019-03-07 | 2019-07-19 | 亚信科技(成都)有限公司 | 一种网络验伤方法及设备 |
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN110414236A (zh) * | 2019-07-26 | 2019-11-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意进程的检测方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| 王媛媛等: "恶意域名检测研究与应用综述", 《计算机应用与软件》 * |
| 白浩: "互联网高级持续性威胁分析取证手段及技术研究", 《电信工程技术与标准化》 * |
| 陈卫平: "高级持续性威胁检测与分析技术初探", 《现代电视技术》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111277585B (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11489855B2 (en) | System and method of adding tags for use in detecting computer attacks | |
| US11783035B2 (en) | Multi-representational learning models for static analysis of source code | |
| US10740463B2 (en) | Method and system for proactive detection of malicious shared libraries via a remote reputation system | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| EP2860657B1 (en) | Determining a security status of potentially malicious files | |
| WO2021077987A1 (zh) | 一种安全漏洞的防御方法和设备 | |
| EP2754081B1 (en) | Dynamic cleaning for malware using cloud technology | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| US9235706B2 (en) | Preventing execution of task scheduled malware | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| US20070006311A1 (en) | System and method for managing pestware | |
| Andriatsimandefitra et al. | Detection and identification of android malware based on information flow monitoring | |
| US11372971B2 (en) | Threat control | |
| Zou et al. | An approach for detection of advanced persistent threat attacks | |
| JP2006040196A (ja) | ソフトウェア監視システムおよび監視方法 | |
| CN111259398B (zh) | 病毒防御方法、装置、设备和可读存储介质 | |
| CN111277585B (zh) | 威胁处理方法、装置、设备和可读存储介质 | |
| US8640242B2 (en) | Preventing and detecting print-provider startup malware | |
| CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
| Wahanggara et al. | Malware detection through call system on android smartphone using vector machine method | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| JPWO2019180989A1 (ja) | ヒアリングシステム、脅威対応システム、方法およびプログラム | |
| US11792212B2 (en) | IOC management infrastructure | |
| CN111723372B (zh) | 一种病毒查杀方法、装置及计算机可读存储介质 | |
| KR20230147277A (ko) | 네트워크 보안 시스템 및 이를 이용한 네트워크 보안 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |