CN111683068A - 失陷主机的定位方法、防护装置、网络安全设备及介质 - Google Patents
失陷主机的定位方法、防护装置、网络安全设备及介质 Download PDFInfo
- Publication number
- CN111683068A CN111683068A CN202010465251.2A CN202010465251A CN111683068A CN 111683068 A CN111683068 A CN 111683068A CN 202010465251 A CN202010465251 A CN 202010465251A CN 111683068 A CN111683068 A CN 111683068A
- Authority
- CN
- China
- Prior art keywords
- host
- address
- lost
- information
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000013507 mapping Methods 0.000 claims abstract description 40
- 230000008859 change Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 238000004140 cleaning Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 7
- 230000007547 defect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种失陷主机的定位方法,包括以下步骤:在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;将获取的所述主机信息发送至所述网络安全设备。本发明还公开了一种防护装置、网络安全设备及计算机可读存储介质,达成了提升DHCP场景下失陷主机定位方案的兼容性的效果。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及失陷主机的定位方法、防护装置、网络安全设备及计算机可读存储介质。
背景技术
近年来为更好的检测内部网络存在中的威胁,发现失陷主机,大部分网络安全设备都具备结合情报IOC(Indicators of Compromise,折衷指标),从流量中发现主机的异常网络行为,进而识别失陷主机的功能。但是在DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)场景下,在通过流量检测失陷主机的IP地址再定位到具体的主机时,由于每一主机的IP地址是动态分配的,无法强关联至真实主机。
目前,为解决无法定位真实主机的缺陷,一般通过联动交换机/路由器,读取其IP地址池的映射关系或租赁关系,来获取当前某个IP被分配给哪个主机。但并不是所有交换机和路由器都支持联动,因此交换机/路由器的接口需要开发,且存在不具备开放接口的能力的交换机/路由器,导致现有方案不使用与未额外开发接口或者不具备开放接口的能力的交换机/路由器,这样导致现有的在DHCP场景下的失陷主机定位方案存在局限性。
发明内容
本发明的主要目的在于提供一种失陷主机的定位方法、防护装置、网络安全设备及计算机可读存储介质,旨在达成提升DHCP场景下失陷主机定位方案的兼容性的效果。
为实现上述目的,本发明提供一种失陷主机的定位方法,所述失陷主机的定位方法包括以下步骤:
在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;
根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;
将获取的所述主机信息发送至所述网络安全设备。
可选地,所述失陷主机的定位方法还包括:
接收终端在监控到IP地址发生变化的情况下上传的IP地址更新信息;
基于所述IP地址更新信息更新所述映射关系。
此外,为实现上述目的,本发明还提供一种失陷主机的定位方法,所述失陷主机的定位方法应用于网络安全设备,所述失陷主机的定位方法包括以下步骤:
在检测到恶意流量的情况下,确定该恶意流量对应主机的IP地址,并基于所述IP地址生成查询指令;
将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息;
接收所述主机信息,并根据所述主机信息确定针对该恶意流量的失陷主机。
可选地,所述接收所述主机信息,并根据所述主机信息确定失陷主机的步骤之后:
基于所述失陷主机执行预设管理操作。
可选地,所述预设管理操作包括以下一个或多个操作:
清理所述失陷主机中的恶意进程和/或恶意文件;
隔离所述失陷主机;
发出包含所述失陷主机对应主机信息的告警信息;
此外,为实现上述目的,本发明还提供一种防护装置,所述防护装置包括:
获取模块,用于在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;
确认模块,用于根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;
发送模块,用于将获取的所述主机信息发送至所述网络安全设备。
此外,为实现上述目的,本发明还提供一种防护装置,所述防护装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的失陷主机的定位程序,所述失陷主机的定位程序被所述处理器执行时实现如上所述的应用于防护装置的失陷主机的定位方法的步骤。
此外,为实现上述目的,本发明还提供一种网络安全设备,所述网络安全设备包括:
确定模块,用于在检测到恶意流量的情况下,确定该恶意流量对应主机的IP地址,并基于所述IP地址生成查询指令;
发送模块,用于将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息;
接收模块,用于接收所述主机信息,并根据所述主机信息确定针对该恶意流量的失陷主机。
此外,为实现上述目的,本发明还提供一种网络安全设备,所述网络安全设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的失陷主机的定位程序,所述失陷主机的定位程序被所述处理器执行时实现如上所述的应用于网络安全设备的失陷主机的定位方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有失陷主机的定位程序,所述失陷主机的定位程序被处理器执行时实现如上所述的失陷主机的定位方法的步骤。
本发明实施例提出的一种失陷主机的定位方法、防护装置、网络安全设备及计算机可读存储介质,在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址,然后根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的,并将获取的所述主机信息发送至所述网络安全设备,由于可以直接响应网络安全设备的查询指令,使得网络设备可以直接查询到失陷主机对应的主机信息,这样避免了通过动交换机/路由器,读取其IP地址池的映射关系或租赁关系的方案导致的在DHCP场景下的失陷主机定位方案存在局限性的缺点,达成了提高DHCP场景下失陷主机定位方案的兼容性的效果。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明失陷主机的定位方法一实施例的流程示意图;
图3为本发明失陷主机的定位方法的实施例涉及的网络拓扑结构图;
图4为本发明失陷主机的定位方法一实施方式的流程示意图
图5为本发明失陷主机的定位方法另一实施例的流程示意图;
图6为本发明失陷主机的定位方法又一实施例的流程示意图;
图7为本发明实施例涉及的防护装置的结构简图;
图8为本发明实施例涉及的终端设备的结构简图;
图9为本发明实施例涉及的网络安全设备的结构简图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
由于为解决无法定位真实主机的缺陷,一般通过联动交换机/路由器,读取其IP地址池的映射关系或租赁关系,来获取当前某个IP被分配给哪个主机。但并不是所有交换机和路由器都支持联动,因此交换机/路由器的接口需要开发,且存在不具备开放接口的能力的交换机/路由器,导致现有方案不使用与未额外开发接口或者不具备开放接口的能力的交换机/路由器,这样导致现有的在DHCP场景下的失陷主机定位方案存在局限性。
为解决现有技术的上述缺陷,本发明实施例提出的一种失陷主机的定位方法、防护装置、网络安全设备及计算机可读存储介质,其中,所述失陷主机的定位方法解决上述缺陷的主要步骤包括:
在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;
根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;
将获取的所述主机信息发送至所述网络安全设备。
由于可以直接响应网络安全设备的查询指令,使得网络设备可以直接查询到失陷主机对应的主机信息,这样避免了通过动交换机/路由器,读取其IP地址池的映射关系或租赁关系的方案导致的在DHCP场景下的失陷主机定位方案存在局限性的缺点,达成了提高DHCP场景下失陷主机定位方案的兼容性的效果。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端可以是防护设备或者网络安全设备等终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1003,存储器1004,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。存储器1004可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1004可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1004中可以包括操作系统、网络通信模块以及失陷主机的定位程序。
在图1所示的终端中,网络接口1003主要用于连接后台服务器,与后台服务器进行数据通信;作为一种实施方式,处理器1001可以用于调用存储器1004中存储的失陷主机的定位程序,并执行以下操作:
在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;
根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;
将获取的所述主机信息发送至所述网络安全设备。
进一步地,处理器1001可以调用存储器1004中存储的失陷主机的定位程序,还执行以下操作:
接收终端在监控到IP地址发生变化的情况下上传的IP地址更新信息;
基于所述IP地址更新信息更新所述映射关系。
可选地,作为另一种实施方式,处理器1001可以用于调用存储器1004中存储的失陷主机的定位程序,并执行以下操作:
在检测到恶意流量的情况下,确定该恶意流量对应主机的IP地址,并基于所述IP地址生成查询指令;
将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息;
接收所述主机信息,并根据所述主机信息确定针对该恶意流量的失陷主机。
进一步地,处理器1001可以调用存储器1004中存储的失陷主机的定位程序,还执行以下操作:
基于所述失陷主机执行预设管理操作。
参照图2,在本发明失陷主机的定位方法的一实施例中,所述失陷主机的定位方法应用于防护装置,所述失陷主机的定位方法包括以下步骤:
步骤S1、在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;
步骤S2、根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;
步骤S3、将获取的所述主机信息发送至所述网络安全设备。
需要说明的是,本发明失陷主机的定位方法可以适用于DHCP场景,在DHCP场景下,每一主机对应的IP地址,可能会随着时间的改变而发生改变。因此,并不能根据IP地址准确地定位真实主机。当需要根据IP地址定位真实主机是,一般通过联动交换机/路由器,读取其IP地址池的映射关系或租赁关系,来获取当前某个IP被分配给哪个主机。但并不是所有交换机和路由器都支持联动,因此交换机/路由器的接口需要开发,且存在不具备开放接口的能力的交换机/路由器,导致现有方案不使用与未额外开发接口或者不具备开放接口的能力的交换机/路由器,这样导致现有的在DHCP场景下的失陷主机定位方案存在局限性。
作为一种实现方式,参照图3所示的网络拓扑结构,在网络中可以包括网管终端10,用于网络管理员对网络进行管理。网络安全设备20,用于获取流量转发装置30转发的网络流量,并根据所述网络流量确定,用于失陷主机的IP地址,所述网络流量转发装置30可以设置为路由器或者交换机等用于转发网络流量的设备。所述流量转发装置与主机50通信连接,设置为转发主机50的网络流量。所述主机50还与防护装置连接40,设置为向所述防护装置40上传本端的主机信息和当前IP地址。
在本实施例中,防护装置可以接收主机(即终端)上传的IP地址以及主机信息,其中,所述主机信息可以包括(主机名,mac地址,操作系统信息、硬件信息等)。当接收到终端上传的所述主机信息和IP地址后,可以将所述主机信息与IP地址关联保存,生成IP地址与主机信息之间的映射关系。
具体地,终端与所述防护装置之间可以基于Client/Server(客户机-服务器)架构(即C/S架构),其中,以所述防护装置为服务器,以主机为客户机。使得所述主机在获取到本端的IP地址和主机信息后,将所述主机信息和IP地址发送至防护装置。其中,本实施例所述的方案主要针对DHCP场景下的主机,每一主机对应的IP地址可以是随时间的不同而变化的。可以理解的是,实施例并不限定必须为DHCP场景下的主机,也可以是固定IP地址的主机。
进一步地,所述防护装置还可以接收网络安全设备下发的查询指令,然后在接收到网络安全设备下发的查询指令时,获取所述查询指令对应的IP地址,进而基于获取到的所述IP地址和所述映射关系,确定所述查询指令对应的IP地址对应的主机信息。然后将所述主机信息反馈至网络安全设备。其中,所述网络安全设备发送的所述查询指令对应的IP地址为失陷主机对应的IP地址。因此,当所述网络安全设备接收到所述主机信息后,可以基于所述主机信息生成告警信息,并发送至网管终端,从而使得网管终端可以根据告警信息中的主机信息,快速确定失陷主机对应的主机信息。
示例性地,在DHCP场景下,由于每一主机对应的IP地址会随时间变化而变化。例如,当张三的主机在5月19日8点时申请的IP地址为地址192.168.1.1,而在18点时,可能张三的主机对应的IP地址为192.168.1.24。因此,网络安全设备无法直接根据IP地址确定主机信息。而需要先调用交换机或者路由器等设备的地址匹配关系,然后根据地址匹配关系确定不同时间段IP地址对应的主机的主机信息。在本实施例公开的技术方案中,张三的主机可以实时(该实时可以包含两种情况:定时上传IP地址及主机信息;在终端的IP地址发生变化的情况下上传IP地址及主机信息,在此不做限定。)将自身的主机信息与IP地址上传至防护装置,在防护装置检测到张三的主机当前对应的IP地址为失陷主机对应的IP地址时,可以向防护装置发送查询指令,然后防护装置在接收到网络安全设备下发的查询指令的情况下,直接将所述IP地址及关联的主机信息发送至网络完全设备,使得网络安全设备可以根据IP地址确定失陷主机为张三主机。
值得注意的是,终端获取IP地址的操作和获取主机信息的操作的执行顺序不受限定,可先获取IP地址,也可先获取主机信息,也可同时获取IP地址及主机信息。
在本实施例公开的技术方案中,先在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址,然后根据预存的映射关系获取所述IP地址对应的主机信息,所述映射关系为IP地址与主机信息之间的映射关系,并将获取的所述主机信息发送至所述网络安全设备,由于可以直接响应网络安全设备的查询指令,使得网络设备可以直接查询到失陷主机对应的主机信息,这样避免了通过动交换机/路由器,读取其IP地址池的映射关系或租赁关系的方案导致的在DHCP场景下的失陷主机定位方案存在局限性的缺点,达成了提高DHCP场景下失陷主机定位方案的兼容性的效果。
参照图4,所述失陷主机的定位方法应用于防护装置,作为所述失陷主机的定位方法的一种实现方式,所述失陷主机的定位方法还包括:
步骤S4、接收终端在监控到IP地址发生变化的情况下上传的IP地址更新信息;
步骤S5、基于所述IP地址更新信息更新所述映射关系。
在本实施例中,由于终端(即主机)设置为DHCP场景下的主机,因此,每一终端的本端IP可以能是随时间变化而动态变化的。因此,当终端检测到本地地址出现变更时,可以向所述防护装置发送IP地址更新信息。其中,所述IP地址更新信息中至少包括所述终端在IP地址更新后的IP地址。使得所述防护装置可以根据所述IP地址更新信息更与所述映射关系中,所述主机信息对应的IP地址。
具体地,作为一种可选实施方式,所述IP地址更新信息中可以包括主机信息和所述主机信息对应的终端更新后的IP地址,进而根据所述主机信息确定所述映射关系中,需要进行IP地址更新的主机信息。并根据所述IP地址更新信息中包含的所述IP地址,更新所述映射关系中,需要进行IP地址更新的主机信息对应的IP地址。
作为另一种可选实施方式,所述防护装置可以在接收到所述IP地址更新信息后,可以先获取发送所述IP地址更新信息的终端的识别标识,例如,可以获取所述IP地址更新信息对应的数据包对应的源MAC地址作为所述终端的识别标识。然后根据所述识别标识确定所述IP地址更新信息对应的主机信息,并根据所述IP地址更新信息更新所述映射关系中,所述主机信息对应的IP地址。
需要声明的是,图4并不用于限定所述步骤S4至步骤S5必须于步骤S3之后执行,所述步骤S4至步骤S5也可以在步骤S3与步骤S2之间执行。图4示出的执行顺序仅为所述失陷主机的定位方法的具体实施方式中的一种可选的执行顺序。
在本实施例公开的技术方案中,先接收所述终端上传的IP地址更新信息,然后基于所述IP地址更新信息更新所述映射关系中,所述主机信息对应的所述IP地址,这样使得防护装置中保存的主机信息对应的IP地址可以与终端当前时刻对应的实际IP地址同步更新,使得防护装置向网络安全设备反馈的主机信息更加准确,达成了提升了失陷主机定位方法生成的定位结果的准确性的效果。
参照图5,在本发明失陷主机的定位方法的另一实施例中,所述失陷主机的定位方法应用于终端,所述失陷主机的定位方法包括以下步骤:
步骤S10、获取本端的IP地址;
步骤S20、获取本端的主机信息;
步骤S30、将所述IP地址及所述主机信息发送至防护装置,以供所述防护装置关联保存所述IP地址及所述主机信息。
在本实施例中,网络中的每一真实主机中均可以布置有agent(进程文件),其中,所述agent为电脑提供的用户监视和管理系统的程序。使得所述终端可以基于预先布置的agent获取所述终端的IP地址和主机信息。其中,所述终端可以是DHCP场景下的主机。因此,所述主机在执行所述步骤S10之前,可以先基于DHCP协议申请IP地址,并将基于DHCP协议申请的IP地址,作为本端的IP地址。
当获取到所述本端IP地址和本端的主机信息后,可以将所述IP地址及所述主机信息发送至防护装置,以供所述防护装置关联保存所述IP地址及所述主机信息。
可选地,由于所述终端为DHCP场景下的主机,因此,当所述终端基于DHCP协议申请的IP地址到期后,需要进行续期。当续期不成功时,需要重新申请新的IP地址。因此,终端对应的实际IP地址可能随时间变化而发生变更。因此,所述终端可以在监测到本地对应的实际IP地址发生变更后,获取变更后的所述IP地址,并根据变更后的所述IP地址生成IP地址更新信息。然后将所述IP地址更新信息发送至所述防护装置,以供所述防护装置基于所述IP地址更新信息更新所述主机信息对应的所述IP地址。其中,所述IP地址更新信息可以进包括终端IP地址发生变更后的IP地址,也可以包括终端IP地址发生变更后的IP地址和终端的本端主机信息。
在本实施例公开的技术方案中,终端可以获取本端的IP地址,以及获取本端的主机信息,然后将所述IP地址及所述主机信息发送至防护装置,以供所述防护装置关联保存所述IP地址及所述主机信息,由于终端可以主动上传本端对应的IP地址和主机信息,使得所述防护装置可以确定每一IP地址对应的主机信息,使得网络完全设备可以基于所述防护装置查询失陷主机对应的主机信息,而无需通过联动交换机/路由器,读取其IP地址池的映射关系或租赁关系,来获取当前某个IP被分配给哪个主机,从而达成了提升DHCP场景下失陷主机定位方案的兼容性的效果。
参照图6,在本发明失陷主机的定位方法的又一实施例中,所述失陷主机的定位方法应用于网络安全设备,所述失陷主机的定位方法包括以下步骤:
步骤S100、在检测到恶意流量的情况下,确定该恶意流量对应主机的IP地址,并基于所述IP地址生成查询指令;
步骤S200、将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息;
步骤S300、接收所述主机信息,并根据所述主机信息确定针对该恶意流量的失陷主机。
在本实施例中,所述失陷主机是指是指被攻击者植入了如僵尸网络、木马等控制程序的主机,导致攻击者可以远程控制主机,使主机执行攻击下发的任何指令。
所述网络安全设备是指如态势感知、传统防火墙、下一代防火墙、NTA(NetworkTerminal Appliance,网络终端设备)、IPS(Intrusion PreventionSystem,入侵防御系统)、WAF(Web Application Firewall,网站应用级入侵防御系统)等通过网络流量分析来检测或防御网络攻击的安全防护装置,一般被部署在防护目标链路之外,抓取出口路由器或核心交换机的流量进行分析,发现威胁后及时防御或告警的设备。
所述网络安全设备可以获取流量转发设备(如交换机或者路由器等)转发的网络流量,然后根据所述网络流量确定所述失陷主机对应的所述IP地址。进而基于所述IP地址生成查询指令,并将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息。当所述网络安全设备接收到所述主机信息后,根据所述主机信息确定失陷主机,即将接收到的所述主机信息作为失陷主机对应的主机信息。
可选地,在确定失陷主机后,可以基于所述失陷主机的主机信息执行预设管理操作,其中,所述预设管理操作可以包括对失陷主机进行生成失陷主机对应的告警信息、隔离所述失陷主机和/或清理所述失陷主机。
可选地,当生成所述告警信息后,可以将所述告警信息发送至网管终端,以通过所述网管终端输出所述告警信息。从而使得网络管理员可以基于所述告警信息快速确定当前的失陷主机。
在本实施例公开的技术方案中,先确定失陷主机对应的IP地址,并基于所述IP地址生成查询指令,然后将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息,最后接收所述主机信息,并根据所述主机信息确定失陷主机,这样达成了提升DHCP场景下失陷主机定位方案的兼容性的效果。
此外,本发明实施例还提出一种防护装置,参照图7,所述防护装置100包括:获取模块101、确认模块102和发送模块103。获取模块101,用于在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;确认模块102,用于根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;发送模块103,用于将获取的所述主机信息发送至所述网络安全设备。
此外,本发明实施例还提出一种防护装置,所述防护装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的失陷主机的定位程序,所述失陷主机的定位程序被所述处理器执行时实现如上各个实施例所述的失陷主机的定位方法的步骤。
此外,本发明实施例还提出一种终端设备,参照图8,所述终端设备200包括:获取模块201和发送模块202,其中,获取模块201所述用于获取本端的IP地址,以及获取本端的主机信息;发送模块202用于将所述IP地址及所述主机信息发送至防护装置,以供所述防护装置关联保存所述IP地址及所述主机信息。
此外,本发明实施例还提出一种终端设备,所述终端设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的失陷主机的定位程序,所述失陷主机的定位程序被所述处理器执行时实现如上各个实施例所述的失陷主机的定位方法的步骤。
此外,本发明实施例还提出一种网络安全设备,参照图9,所述网络安全设备300包括:确定模块301、发送模块302和接收模块303。确定模块301,用于在检测到恶意流量的情况下,确定该恶意流量对应主机的IP地址,并基于所述IP地址生成查询指令;发送模块302,用于将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息;接收模块303,用于接收所述主机信息,并根据所述主机信息确定针对该恶意流量的失陷主机。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有失陷主机的定位程序,所述失陷主机的定位程序被处理器执行时实现如上各个实施例所述的失陷主机的定位方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是网络安全设备或者防护装置等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种失陷主机的定位方法,其特征在于,所述失陷主机的定位方法应用于防护装置,所述失陷主机的定位方法包括以下步骤:
在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;
根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;
将获取的所述主机信息发送至所述网络安全设备。
2.如权利要求1所述的失陷主机的定位方法,其特征在于,所述失陷主机的定位方法还包括:
接收终端在监控到IP地址发生变化的情况下上传的IP地址更新信息;
基于所述IP地址更新信息更新所述映射关系。
3.一种失陷主机的定位方法,其特征在于,所述失陷主机的定位方法应用于网络安全设备,所述失陷主机的定位方法包括以下步骤:
在检测到恶意流量的情况下,确定该恶意流量对应主机的IP地址,并基于所述IP地址生成查询指令;
将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息;
接收所述主机信息,并根据所述主机信息确定针对该恶意流量的失陷主机。
4.如权利要求3所述的失陷主机的定位方法,其特征在于,所述接收所述主机信息,并根据所述主机信息确定失陷主机的步骤之后:
基于所述失陷主机执行预设管理操作。
5.如权利要求4所述的失陷主机的定位方法,其特征在于,所述预设管理操作包括以下一个或多个操作:
清理所述失陷主机中的恶意进程和/或恶意文件;
隔离所述失陷主机;
发出包含所述失陷主机对应主机信息的告警信息。
6.一种防护装置,其特征在于,所述防护装置包括:
获取模块,用于在所述防护装置接收到网络安全设备下发的查询指令的情况下,获取所述查询指令对应的IP地址;
确认模块,用于根据实时更新维护的映射关系获取所述IP地址对应的主机信息,其中,所述映射关系为监控到的IP地址及主机信息关联生成的;
发送模块,用于将获取的所述主机信息发送至所述网络安全设备。
7.一种防护装置,其特征在于,所述防护装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的失陷主机的定位程序,所述失陷主机的定位程序被所述处理器执行时实现如权利要求1至2中任一项所述的失陷主机的定位方法的步骤。
8.一种网络安全设备,其特征在于,所述网络安全设备包括:
确定模块,用于在检测到恶意流量的情况下,确定该恶意流量对应主机的IP地址,并基于所述IP地址生成查询指令;
发送模块,用于将所述查询指令发送至防护装置,其中,所述防护装置接收到所述查询指令后,反馈所述查询指令对应的主机信息;
接收模块,用于接收所述主机信息,并根据所述主机信息确定针对该恶意流量的失陷主机。
9.一种网络安全设备,其特征在于,所述网络安全设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的失陷主机的定位程序,所述失陷主机的定位程序被所述处理器执行时实现如权利要求3至5中任一项所述的失陷主机的定位方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有失陷主机的定位程序,所述失陷主机的定位程序被处理器执行时实现如权利要求1至2或者3至5中任一项所述的失陷主机的定位方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010465251.2A CN111683068A (zh) | 2020-05-27 | 2020-05-27 | 失陷主机的定位方法、防护装置、网络安全设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010465251.2A CN111683068A (zh) | 2020-05-27 | 2020-05-27 | 失陷主机的定位方法、防护装置、网络安全设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111683068A true CN111683068A (zh) | 2020-09-18 |
Family
ID=72453804
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010465251.2A Pending CN111683068A (zh) | 2020-05-27 | 2020-05-27 | 失陷主机的定位方法、防护装置、网络安全设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111683068A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114095217A (zh) * | 2021-11-06 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机快照取证溯源方法和系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092614A (zh) * | 2014-07-30 | 2014-10-08 | 杭州华三通信技术有限公司 | 更新地址解析信息的方法和装置 |
CN108540588A (zh) * | 2018-03-15 | 2018-09-14 | 深信服科技股份有限公司 | Mac地址获取方法及系统、网络安全设备及可读存储介质 |
US20190132278A1 (en) * | 2017-10-31 | 2019-05-02 | Arista Networks, Inc. | Method and system for host discovery and tracking in a network |
CN111106896A (zh) * | 2018-10-26 | 2020-05-05 | 中兴通讯股份有限公司 | 责任人定位方法、数据发送方法、装置、设备及存储介质 |
CN111106951A (zh) * | 2019-11-29 | 2020-05-05 | 中国电信股份有限公司云南分公司 | 终端管理平台终端信息与资源关联的方法 |
-
2020
- 2020-05-27 CN CN202010465251.2A patent/CN111683068A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092614A (zh) * | 2014-07-30 | 2014-10-08 | 杭州华三通信技术有限公司 | 更新地址解析信息的方法和装置 |
US20190132278A1 (en) * | 2017-10-31 | 2019-05-02 | Arista Networks, Inc. | Method and system for host discovery and tracking in a network |
CN108540588A (zh) * | 2018-03-15 | 2018-09-14 | 深信服科技股份有限公司 | Mac地址获取方法及系统、网络安全设备及可读存储介质 |
CN111106896A (zh) * | 2018-10-26 | 2020-05-05 | 中兴通讯股份有限公司 | 责任人定位方法、数据发送方法、装置、设备及存储介质 |
CN111106951A (zh) * | 2019-11-29 | 2020-05-05 | 中国电信股份有限公司云南分公司 | 终端管理平台终端信息与资源关联的方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114095217A (zh) * | 2021-11-06 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机快照取证溯源方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
CN108881211B (zh) | 一种违规外联检测方法及装置 | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
US20190245875A1 (en) | Method and apparatus for defending against dns attack, and storage medium | |
CN105099821B (zh) | 基于云的虚拟环境下流量监控的方法和装置 | |
US8904524B1 (en) | Detection of fast flux networks | |
US20100241744A1 (en) | Network Monitoring Apparatus and Network Monitoring Method | |
CN107438068B (zh) | 一种防arp攻击的方法及装置 | |
KR100779072B1 (ko) | Arp 공격 탐지 장치 및 방법 | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
CN106878240B (zh) | 僵尸主机识别方法及装置 | |
CN114500115A (zh) | 流量数据包的审计装置、系统及方法 | |
US20170034004A1 (en) | Discovering network nodes | |
CN111683068A (zh) | 失陷主机的定位方法、防护装置、网络安全设备及介质 | |
JP2006040196A (ja) | ソフトウェア監視システムおよび監視方法 | |
CN106506270B (zh) | 一种ping报文处理方法及装置 | |
KR100920528B1 (ko) | Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템 | |
KR20080070793A (ko) | 안티 파밍 방법 | |
JP4655028B2 (ja) | ワームの感染防止システム | |
KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 | |
KR101619371B1 (ko) | 패킷 처리 방법 및 장치 | |
US10015179B2 (en) | Interrogating malware | |
JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
CN111404893B (zh) | 一种主机分类方法、装置、设备及计算机存储介质 | |
US8149723B2 (en) | Systems and methods for discovering machines |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200918 |
|
RJ01 | Rejection of invention patent application after publication |