CN113992430A - 一种失陷处理方法及装置 - Google Patents
一种失陷处理方法及装置 Download PDFInfo
- Publication number
- CN113992430A CN113992430A CN202111593692.1A CN202111593692A CN113992430A CN 113992430 A CN113992430 A CN 113992430A CN 202111593692 A CN202111593692 A CN 202111593692A CN 113992430 A CN113992430 A CN 113992430A
- Authority
- CN
- China
- Prior art keywords
- target
- information
- defect
- processing
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种失陷处理方法及装置,涉及网络安全技术领域,该失陷处理方法包括:先获取待检测数据,并对待检测数据进行基于安全威胁情报的失陷检测,得到失陷检测结果;当失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与失陷检测结果相匹配的目标资产信息;再根据预先配置的失陷处理策略,确定与失陷检测结果相匹配的目标处理策略;最后根据目标处理策略执行相应的失陷处理操作并输出报警信息,能够在检测到失陷情况之后及时对其进行自动化高效处理,响应速度快,从而能够及时维护网络安全。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种失陷处理方法及装置。
背景技术
目前,随着互联网的迅速发展,随之而来也出现了很多如数据丢失、数据泄密、数据篡改等威胁信息安全的行为,使得人们对信息安全问题格外关注。现有的实现检测方法,通常是先检测失陷设备,再向管理人员发送失陷报警提示,然后管理人员根据失陷报警提示确定相应的失陷设备,最后采用人工处理的方式对该失陷设备进行相应的处置。然而,在实践中发现,现有人工处置方式,响应速度慢,从而无法及时的对检测到的失陷情况进行处理。可见现有方式,处置响应速度慢,无法及时处理失陷情况,从而无法及时维护网络安全。
发明内容
本申请实施例的目的在于提供一种失陷处理方法及装置,能够在检测到失陷情况之后及时对其进行自动化高效处理,响应速度快,从而能够及时维护网络安全。
本申请实施例第一方面提供了一种失陷处理方法,包括:
获取待检测数据,并对所述待检测数据进行基于安全威胁情报的失陷检测,得到失陷检测结果;
当所述失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与所述失陷检测结果相匹配的目标资产信息;
根据预先配置的失陷处理策略,确定与所述失陷检测结果相匹配的目标处理策略;
根据所述目标处理策略执行相应的失陷处理操作并输出报警信息。
在上述实现过程中,先获取待检测数据,并对待检测数据进行基于安全威胁情报的失陷检测,得到失陷检测结果;当失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与失陷检测结果相匹配的目标资产信息;再根据预先配置的失陷处理策略,确定与失陷检测结果相匹配的目标处理策略;最后根据目标处理策略执行相应的失陷处理操作并输出报警信息,能够在检测到失陷情况之后及时对其进行自动化高效处理,响应速度快,从而能够及时维护网络安全。
进一步地,所述失陷检测结果至少包括威胁程序标识、失陷设备的地址信息、失陷严重级别以及可信度。
进一步地,在所述获取待检测数据之前,还包括:
获取预先录入的固定资产信息,并实时获取目标服务器的接入数据;
对所述接入数据进行解析,得到网络资产解析信息;
将所述固定资产信息与所述网络资产解析信息进行关联,得到资产数据库并存储。
进一步地,所述失陷处理策略包括多个判定条件以及与每个所述判定条件对应的处理策略;
所述根据预先配置的失陷处理策略,确定与所述失陷检测结果相匹配的目标处理策略,包括:
根据预先配置的失陷处理策略,确定所述可信度以及所述失陷严重级别所满足的目标判定条件;
根据所述失陷处理策略获取所述目标判定条件对应的目标处理策略。
进一步地,所述根据所述目标处理策略执行相应的失陷处理操作并输出报警信息,包括:
当所述目标判定条件为第一判定条件时,则根据所述目标处理策略发送包括所述失陷检测结果以及所述目标资产信息的报警信息;
当所述目标判定条件为第二判定条件时,则根据所述目标处理策略和所述失陷设备的地址信息进行防火墙IP阻断处理,并发送包括所述失陷检测结果以及所述目标资产信息的报警信息;
当所述目标判定条件为第三判定条件时,则根据所述目标处理策略和所述失陷设备的地址信息进行防火墙IP阻断处理,并对所述失陷设备进行网络阻断以及设备封锁处理,并发送包括所述失陷检测结果以及所述目标资产信息的报警信息。
进一步地,所述目标资产信息包括与所述失陷设备的地址信息对应的目标固定资产信息以及与所述地址信息对应的目标网络资产解析信息;
其中,所述目标固定资产信息至少包括所述失陷设备所归属用户的用户标识、所述归属用户所在的组织标识、所述归属用户的定位信息以及所述归属用户的通信信息;所述目标网络资产解析信息至少包括所述地址信息对应的设备物理地址以及所述失陷设备的账户标识。
本申请实施例第二方面提供了一种失陷处理装置,所述失陷处理装置包括:
获取单元,用于获取待检测数据;
失陷检测单元,用于对所述待检测数据进行基于威胁情报的失陷检测,得到失陷检测结果;
匹配单元,用于当所述失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与所述失陷检测结果相匹配的目标资产信息;
确定单元,用于根据预先配置的失陷处理策略,确定与所述失陷检测结果相匹配的目标处理策略;
防护单元,用于根据所述目标处理策略执行相应的失陷处理操作并输出报警信息。
在上述实现过程中,获取单元获取待检测数据;失陷检测单元对所述待检测数据进行基于威胁情报的失陷检测,得到失陷检测结果;匹配单元当所述失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与所述失陷检测结果相匹配的目标资产信息;确定单元根据预先配置的失陷处理策略,确定与所述失陷检测结果相匹配的目标处理策略;防护单元根据所述目标处理策略执行相应的失陷处理操作并输出报警信息,能够在检测到失陷情况之后及时对其进行自动化高效处理,响应速度快,从而能够及时维护网络安全。
进一步地,所述失陷检测结果至少包括失陷设备的地址信息、失陷严重级别以及可信度。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的失陷处理方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的失陷处理方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种失陷处理方法的流程示意图;
图2为本申请实施例提供的一种失陷处理装置的结构示意图;
图3为本申请实施例提供的一种失陷处理系统的模块流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种失陷处理方法的流程示意图。其中,该失陷处理方法包括:
S101、获取预先录入的固定资产信息,并实时获取目标服务器的接入数据。
本申请实施例中,预先录入的固定资产信息包括提前录入的固定信息,包括归属用户的用户标识(如用户姓名)、归属用户所在的组织标识(如部门名称)、归属用户的定位信息(如办公位置信息等),归属用户的通信信息(如电话号码、邮箱等)。可以通过表格文件或CSV(Comma-Separated Values,字符分隔值)文件手动录入,并采用AES对称加密的方式对录入的固定资产信息进行加密并存储在数据库中。在使用时只先解密用户标识部分,只有在用户标识匹配的情况下,其他信息才会全部解密,并且一旦数据使用完成,立即恢复成加密状态。
本申请实施例中,目标服务器的接入数据包括DNS(Domain Name System,域名系统)服务器请求响应日志、HTTP(Hyper Text Transfer Protocol,超文本传输协议)服务器访问日志、网络镜像流量、DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务器的接入数据、VPN(Virtual Private Network,虚拟专用网络)服务器的接入数据、WIFI(无线通信)热点的接入数据等,对此本申请实施例不作限定。
本申请实施例中,该方法的执行主体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
在本申请实施例中,该方法的执行主体还可以为智能手机、平板电脑等智能设备,对此本实施例中不作任何限定。
S102、对接入数据进行解析,得到网络资产解析信息。
本申请实施例中,可以通过配置正则算法对接入数据进行解析,从而可以实时获取到各个设备IP(Internet Protocol)对应的设备物理地址以及失陷设备的账户标识(如用户名),并且可与第一类固定信息进行关联,最终可获取到该IP资产的全部信息。其中,设备物理地址具体可以为MAC(Media Access Control Address,媒体存取控制位址)地址,也称为局域网地址(LAN Address)、MAC位址、以太网地址(Ethernet Address)或物理地址(Physical Address)。
S103、将固定资产信息与网络资产解析信息进行关联,得到资产数据库并存储。
S104、获取待检测数据,并对待检测数据进行基于安全威胁情报的失陷检测,得到失陷检测结果。
本申请实施例中,失陷检测结果至少包括威胁程序标识(如病毒标识、木马文件标识等)、失陷设备的地址信息(如IP地址等)、失陷严重级别以及可信度等,对此本申请实施例不作限定。
本申请实施例中,失陷严重级别从高到低依次可以分为:低级、中级、高级、高危级等,对此本申请实施例不作限定。
本申请实施例中,可信度范围为0-100分,具体地,0到60分为疑似,60到75分为较可信,75到90分为可信,90分以上为确信等,对此本申请实施例不作限定。
S105、当失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与失陷检测结果相匹配的目标资产信息。
本申请实施例中,通过获取与失陷检测结果相匹配的目标资产信息,能够及时确定失陷设备的归属用户,最终精确定位到人。
本申请实施例中,目标资产信息包括与失陷设备的地址信息对应的目标固定资产信息以及与地址信息对应的目标网络资产解析信息等,对此本申请实施例不作限定。
本申请实施例中,目标固定资产信息至少包括失陷设备所归属用户的用户标识、归属用户所在的组织标识、归属用户的定位信息以及归属用户的通信信息等,对此本申请实施例不作限定。
本申请实施例中,目标网络资产解析信息至少包括地址信息对应的设备物理地址以及失陷设备的账户标识等,对此本申请实施例不作限定。
本申请实施例中,在实际应用中,通过实时接接入数据,汇总得到所有设备的IP以及相关的资产信息,并且根据日志实时更新,最终可以在任何时间点,实时查询出失陷设备的IP地址所对应的MAC地址、主机名、使用者的部门、姓名、电话等信息,为后续的处置做数据支撑。
在步骤S105之后,还包括以下步骤:
S106、根据预先配置的失陷处理策略,确定可信度以及失陷严重级别所满足的目标判定条件。
本申请实施例中,失陷处理策略包括多个判定条件以及与每个判定条件对应的处理策略等,对此本申请实施例不作限定。
本申请实施例中,可以根据可信度以及失陷严重级别确定目标判定条件。该判定条件包括第一判定条件、第二判定条件以及第三判定条件。
本申请实施例中,当可信度在60分以下时,则确定为第一判定条件;当可信度在60分以上,且失陷严重级别为中级以下时,则确定为第二判定条件;当可信度在60分以上,且失陷严重级别为高级或高危级时,则确定为第三判定条件。
S107、根据失陷处理策略获取目标判定条件对应的目标处理策略。
本申请实施例中,根据预先配置的失陷处理策略,结合失陷检测结果以及目标资产信息等,灵活制定目标处理策略,在高效的同时保证处置的准确性与精准性。
本申请实施例中,该方法可应用于失陷处理系统,该失陷处理系统包括数据输入与检测模块、资产模块、处置模块和AGENT模块,系统流程图如图3所示。
本申请实施例中,处置模块包括WIFI阻断子模块、防火墙联动子模块、AGENT联动子模块、邮件与短信通知子模块以及处置配置子模块。
其中,WIFI阻断子模块,用于阻断失陷设备的MAC地址与WIFI热点之间的链接,利用802.11 WIFI协议的 Deauthentication 特性,定向阻断失陷设备的WIFI链接。
其中,防火墙联动子模块,用于联动防火墙进行失陷设备的IP阻断。
其中,AGENT联动子模块,用于与失陷设备上安装的AGENT模块进行联动,使失陷设备下线并且锁定,只有在公司配置管理员同意后方可解锁。在实际应用中,可以使失陷设备网络下线,该网络包括互联网、局域网等。
其中,邮件与短信通知子模块,能够针对失陷设备发送邮件或短信通知提示信息。
其中,处置配置子模块,能够根据失陷检测结果以及目标资产信息,自定义目标处理策略。
如图3所示,AGENT模块安装于失陷设备上,能够在AGENT联动子模块的联动控制下,控制失陷设备执行设备锁定、网络下线、USB等移动设备封禁等操作。当失陷设备锁定后,只有管理员输入管理密钥后方可解锁,每台设备在安装AGENT时会生成各自独立的解锁密钥,由管理员统一保存。
本申请实施例中,实施上述步骤S106~步骤S107,能够根据预先配置的失陷处理策略,确定与失陷检测结果相匹配的目标处理策略。
在步骤S107之后,还包括以下步骤:
S108、当目标判定条件为第一判定条件时,则根据目标处理策略发送包括失陷检测结果以及目标资产信息的报警信息。
本申请实施例中,当可信度在60分以下时,只给失陷设备的归属用户和管理员发送相应的报警信息。
S109、当目标判定条件为第二判定条件时,则根据目标处理策略和失陷设备的地址信息进行防火墙IP阻断处理,并发送包括失陷检测结果以及目标资产信息的报警信息。
本申请实施例中,当可信度在60分以上,且失陷严重级别为中级以下时,可以通过防火墙联动子模块联动防火墙进行IP阻断处理,并给失陷设备的归属用户和管理员发送相应的报警信息。
S110、当目标判定条件为第三判定条件时,则根据目标处理策略和失陷设备的地址信息进行防火墙IP阻断处理,并对失陷设备进行网络阻断以及设备封锁处理,并发送包括失陷检测结果以及目标资产信息的报警信息。
本申请实施例中,当可信度在60分以上,且失陷严重级别为高级或高危级时,则通过WIFI阻断子模块、防火墙联动子模块、AGENT联动子模块,对失陷设备做全方位封锁,同时给失陷设备的归属用户和管理员发送相应的报警信息。
本申请实施例中,实施上述步骤S108、步骤S109或者步骤S110,能够根据目标处理策略执行相应的失陷处理操作并输出报警信息。
本申请实施例中,该方法能够结合威胁情报检测的报警日志、资产日志等数据,自动化确定失陷设备。再确定出失陷设备之后,与WIFI阻断子模块、防火墙联动子模块、AGENT联动子模块等进行自动化联动,在第一时间阻断失陷设备的内外网链接,保护重要设施的功能和配置安全,并且可有效避免事态扩大。
本申请实施例中,结合失陷检测结果、目标资产信息以及防火墙、AGENT联动等功能,能够及时使失陷设备下线,极大的提高了处置效率,以防数据泄露或数据被恶意修改,防止事态扩大。
可见,实施本实施例所描述的失陷处理方法,能够在检测到失陷情况之后及时对其进行自动化高效处理,响应速度快,从而能够及时维护网络安全。
实施例2
请参看图2,图2为本申请实施例提供的一种失陷处理装置的结构示意图。如图2所示,该失陷处理装置包括:
获取单元210,用于获取待检测数据;
失陷检测单元220,用于对待检测数据进行基于威胁情报的失陷检测,得到失陷检测结果;
匹配单元230,用于当失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与失陷检测结果相匹配的目标资产信息;
确定单元240,用于根据预先配置的失陷处理策略,确定与失陷检测结果相匹配的目标处理策略;
防护单元250,用于根据目标处理策略执行相应的失陷处理操作并输出报警信息。
本申请实施例中,失陷检测结果至少包括威胁程序标识、失陷设备的地址信息、失陷严重级别以及可信度等,对此本申请实施例不作限定。
作为一种可选的实施方式,获取单元210,还用于在获取待检测数据之前,获取预先录入的固定资产信息,并实时获取目标服务器的接入数据;
该失陷处理装置还包括:
解析单元260,用于对接入数据进行解析,得到网络资产解析信息;
关联单元270,用于将固定资产信息与网络资产解析信息进行关联,得到资产数据库并存储。
本申请实施例中,失陷处理策略包括多个判定条件以及与每个判定条件对应的处理策略等,对此本申请实施例不作限定。
作为一种可选的实施方式,确定单元240包括:
第一子单元241,用于根据预先配置的失陷处理策略,确定可信度以及失陷严重级别所满足的目标判定条件;
第二子单元242,用于根据失陷处理策略获取目标判定条件对应的目标处理策略。
作为一种可选的实施方式,防护单元250,具体用于当目标判定条件为第一判定条件时,则根据目标处理策略发送包括失陷检测结果以及目标资产信息的报警信息;当目标判定条件为第二判定条件时,则根据目标处理策略和失陷设备的地址信息进行防火墙IP阻断处理,并发送包括失陷检测结果以及目标资产信息的报警信息;当目标判定条件为第三判定条件时,则根据目标处理策略和失陷设备的地址信息进行防火墙IP阻断处理,并对失陷设备进行网络阻断以及设备封锁处理,并发送包括失陷检测结果以及目标资产信息的报警信息。
本申请实施例中,目标资产信息包括与失陷设备的地址信息对应的目标固定资产信息以及与地址信息对应的目标网络资产解析信息等,对此本申请实施例不作限定。
本申请实施例中,目标固定资产信息至少包括失陷设备所归属用户的用户标识、归属用户所在的组织标识、归属用户的定位信息以及归属用户的通信信息等,对此本申请实施例不作限定。
本申请实施例中,目标网络资产解析信息至少包括地址信息对应的设备物理地址以及失陷设备的账户标识等,对此本申请实施例不作限定。
本申请实施例中,对于失陷处理装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的失陷处理装置,能够在检测到失陷情况之后及时对其进行自动化高效处理,响应速度快,从而能够及时维护网络安全。
本申请实施例提供了一种电子设备,包括存储器以及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行本申请实施例1中的失陷处理方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的失陷处理方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种失陷处理方法,其特征在于,包括:
获取待检测数据,并对所述待检测数据进行基于安全威胁情报的失陷检测,得到失陷检测结果;
当所述失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与所述失陷检测结果相匹配的目标资产信息;
根据预先配置的失陷处理策略,确定与所述失陷检测结果相匹配的目标处理策略;
根据所述目标处理策略执行相应的失陷处理操作并输出报警信息。
2.根据权利要求1所述的失陷处理方法,其特征在于,所述失陷检测结果至少包括威胁程序标识、失陷设备的地址信息、失陷严重级别以及可信度。
3.根据权利要求2所述的失陷处理方法,其特征在于,在所述获取待检测数据之前,还包括:
获取预先录入的固定资产信息,并实时获取目标服务器的接入数据;
对所述接入数据进行解析,得到网络资产解析信息;
将所述固定资产信息与所述网络资产解析信息进行关联,得到资产数据库并存储。
4.根据权利要求2所述的失陷处理方法,其特征在于,所述失陷处理策略包括多个判定条件以及与每个所述判定条件对应的处理策略;
所述根据预先配置的失陷处理策略,确定与所述失陷检测结果相匹配的目标处理策略,包括:
根据预先配置的失陷处理策略,确定所述可信度以及所述失陷严重级别所满足的目标判定条件;
根据所述失陷处理策略获取所述目标判定条件对应的目标处理策略。
5.根据权利要求4所述的失陷处理方法,其特征在于,所述根据所述目标处理策略执行相应的失陷处理操作并输出报警信息,包括:
当所述目标判定条件为第一判定条件时,则根据所述目标处理策略发送包括所述失陷检测结果以及所述目标资产信息的报警信息;
当所述目标判定条件为第二判定条件时,则根据所述目标处理策略和所述失陷设备的地址信息进行防火墙IP阻断处理,并发送包括所述失陷检测结果以及所述目标资产信息的报警信息;
当所述目标判定条件为第三判定条件时,则根据所述目标处理策略和所述失陷设备的地址信息进行防火墙IP阻断处理,并对所述失陷设备进行网络阻断以及设备封锁处理,并发送包括所述失陷检测结果以及所述目标资产信息的报警信息。
6.根据权利要求3所述的失陷处理方法,其特征在于,所述目标资产信息包括与所述失陷设备的地址信息对应的目标固定资产信息以及与所述地址信息对应的目标网络资产解析信息;
其中,所述目标固定资产信息至少包括所述失陷设备所归属用户的用户标识、所述归属用户所在的组织标识、所述归属用户的定位信息以及所述归属用户的通信信息;所述目标网络资产解析信息至少包括所述地址信息对应的设备物理地址以及所述失陷设备的账户标识。
7.一种失陷处理装置,其特征在于,所述失陷处理装置包括:
获取单元,用于获取待检测数据;
失陷检测单元,用于对所述待检测数据进行基于威胁情报的失陷检测,得到失陷检测结果;
匹配单元,用于当所述失陷检测结果为存在失陷情况时,根据预设的资产数据库获取与所述失陷检测结果相匹配的目标资产信息;
确定单元,用于根据预先配置的失陷处理策略,确定与所述失陷检测结果相匹配的目标处理策略;
防护单元,用于根据所述目标处理策略执行相应的失陷处理操作并输出报警信息。
8.根据权利要求7所述的失陷处理装置,其特征在于,所述失陷检测结果至少包括失陷设备的地址信息、失陷严重级别以及可信度。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至6中任一项所述的失陷处理方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至6任一项所述的失陷处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111593692.1A CN113992430B (zh) | 2021-12-24 | 2021-12-24 | 一种失陷处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111593692.1A CN113992430B (zh) | 2021-12-24 | 2021-12-24 | 一种失陷处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113992430A true CN113992430A (zh) | 2022-01-28 |
CN113992430B CN113992430B (zh) | 2022-03-29 |
Family
ID=79734199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111593692.1A Active CN113992430B (zh) | 2021-12-24 | 2021-12-24 | 一种失陷处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113992430B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114826715A (zh) * | 2022-04-15 | 2022-07-29 | 咪咕文化科技有限公司 | 网络防护方法、装置、设备及存储介质 |
CN115913785A (zh) * | 2023-01-09 | 2023-04-04 | 北京微步在线科技有限公司 | 一种多防火墙的联动方法及设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170344743A1 (en) * | 2016-05-26 | 2017-11-30 | Barracuda Networks, Inc. | Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets |
CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
US20200128047A1 (en) * | 2018-10-19 | 2020-04-23 | Oracle International Corporation | Autonomous monitoring of applications in a cloud environment |
CN112039865A (zh) * | 2020-08-26 | 2020-12-04 | 北京计算机技术及应用研究所 | 一种威胁驱动的网络攻击检测与响应方法 |
CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控系统安全防护方法及装置 |
-
2021
- 2021-12-24 CN CN202111593692.1A patent/CN113992430B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170344743A1 (en) * | 2016-05-26 | 2017-11-30 | Barracuda Networks, Inc. | Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets |
CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
US20200128047A1 (en) * | 2018-10-19 | 2020-04-23 | Oracle International Corporation | Autonomous monitoring of applications in a cloud environment |
CN112039865A (zh) * | 2020-08-26 | 2020-12-04 | 北京计算机技术及应用研究所 | 一种威胁驱动的网络攻击检测与响应方法 |
CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控系统安全防护方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114826715A (zh) * | 2022-04-15 | 2022-07-29 | 咪咕文化科技有限公司 | 网络防护方法、装置、设备及存储介质 |
CN114826715B (zh) * | 2022-04-15 | 2024-03-22 | 咪咕文化科技有限公司 | 网络防护方法、装置、设备及存储介质 |
CN115913785A (zh) * | 2023-01-09 | 2023-04-04 | 北京微步在线科技有限公司 | 一种多防火墙的联动方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113992430B (zh) | 2022-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11470029B2 (en) | Analysis and reporting of suspicious email | |
US10462169B2 (en) | Lateral movement detection through graph-based candidate selection | |
CN110798472B (zh) | 数据泄露检测方法与装置 | |
JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
US20180063186A1 (en) | System for tracking data security threats and method for same | |
US9069954B2 (en) | Security threat detection associated with security events and an actor category model | |
CN113992430B (zh) | 一种失陷处理方法及装置 | |
US8959624B2 (en) | Executable download tracking system | |
US20140380478A1 (en) | User centric fraud detection | |
JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
US10375091B2 (en) | Method, device and assembly operable to enhance security of networks | |
US20130333034A1 (en) | Method and Apparatus for Automatic Identification of Affected Network Resources After a Computer Intrusion | |
US20220070185A1 (en) | Method for responding to threat transmitted through communication network | |
CN112714093A (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
EP4185975B1 (en) | Detection of anomalous count of new entities | |
US20170155683A1 (en) | Remedial action for release of threat data | |
WO2011149773A2 (en) | Security threat detection associated with security events and an actor category model | |
US20210336954A1 (en) | Monitoring security configurations of cloud-based services | |
WO2022060438A1 (en) | Fidelity of anomaly alerts using control plane and data plane information | |
CN116015776A (zh) | 一种失陷主机的封禁方法、装置电子设备和存储介质 | |
CN114500024B (zh) | 一种网络资产的管理方法、装置、设备及存储介质 | |
Azhar et al. | Big Data Security Issues: A Review | |
US20230269256A1 (en) | Agent prevention augmentation based on organizational learning | |
Valarmathi et al. | An Adaptive Cryptography Using OpenAI API: Dynamic Key Management Using Self Learning AI |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |