CN115460012A - 外联设备处理方法、装置、电子设备及存储介质 - Google Patents
外联设备处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115460012A CN115460012A CN202211139834.1A CN202211139834A CN115460012A CN 115460012 A CN115460012 A CN 115460012A CN 202211139834 A CN202211139834 A CN 202211139834A CN 115460012 A CN115460012 A CN 115460012A
- Authority
- CN
- China
- Prior art keywords
- malicious
- list
- exists
- file
- current terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种外联设备处理方法、装置、电子设备及存储介质,其中方法包括:获取与当前终端设备处于网络连接状态的外联设备的IP列表;确定所述IP列表中是否存在恶意IP,若存在,则关闭所述恶意IP对应的进程;捕获与所述恶意IP相关的流量,并根据与所述恶意IP相关的流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件,若存在,则对所述恶意文件进行查杀处理。本方案,在网络连接过程中,能够依据流量进行恶意文件的确定,相对于传统方案,可以提高网络连接过程中终端设备的安全性。
Description
技术领域
本发明实施例涉及计算机安全技术领域,特别涉及一种外联设备处理方法、装置、电子设备及存储介质。
背景技术
目前,终端设备对外联设备的检测,一般是在接入外联设备时利用IP白名单对接入的外联设备进行检测。而该方式存在局限性,无法保证整个连接过程的安全,因此依然存在安全隐患。
发明内容
本发明实施例提供了一种外联设备处理方法、装置、电子设备及存储介质,以对整个连接过程中恶意的外联设备进行相应处理,提高终端设备的安全性。
第一方面,本发明实施例提供了一种外联设备处理方法,包括:
获取与当前终端设备处于网络连接状态的外联设备的IP列表;
确定所述IP列表中是否存在恶意IP,若存在,则关闭所述恶意IP对应的进程;
捕获与所述恶意IP相关的流量,并根据与所述恶意IP相关的流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件,若存在,则对所述恶意文件进行查杀处理。
在一种可能的实现方式中,在所述确定所述IP列表中是否存在恶意IP之前,还包括:获取当前终端设备处于网络连接状态的端口列表;
所述确定所述IP列表中是否存在恶意IP,包括:
确定所述端口列表中是否存在异常端口,并将所述IP列表中使用所述异常端口的IP确定为恶意IP。
在一种可能的实现方式中,所述确定所述IP列表中是否存在恶意IP,包括:
确定所述IP列表中是否存在非信任IP;
根据每一个非信任IP对应的网络连接状态,确定是否存在处于非数据传输状态、且当前网络连接状态的更新时间距离当前系统时间超过设定时长、以及对应进程处于运行中的非信任IP,若存在,将该非信任IP确定为恶意IP。
在一种可能的实现方式中,所述非数据传输状态包括:FIN_WAIT1、CLOSE_WAIT、FIN_WAIT2、LAST_ACK、TIME_WAIT、CLOSING和CLOSED中的任意一个网络连接状态。
在一种可能的实现方式中,所述捕获与所述恶意IP相关的流量,包括:
将所述恶意IP确定为检索关键词,以在所述当前终端设备中进行全局检索,得到与所述恶意IP相关的流量。
在一种可能的实现方式中,所述与所述恶意IP相关的恶意文件包括如下中的至少一种:由所述恶意IP所对应的外联设备发送至所述当前终端设备的文件、由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP,和,产生所述恶意IP所对应的进程的文件。
在一种可能的实现方式中,当存在由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP时,还包括:
获取该文件中包含的除所述恶意IP之外的其他IP和该其他外联设备的IP,将该其他IP和该其他外联设备的IP进行安全检测,以确定是否将该其他IP和该其他外联设备的IP确定为恶意IP。
第二方面,本发明实施例还提供了一种外联设备处理装置,包括:
获取单元,用于获取与当前终端设备处于网络连接状态的外联设备的IP列表;
恶意IP确定单元,用于确定所述IP列表中是否存在恶意IP,若存在,触发处理单元关闭所述恶意IP对应的进程;
恶意文件确定单元,用于捕获与所述恶意IP相关的流量,并根据与所述恶意IP相关的流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件,若存在,则触发所述处理单元对所述恶意文件进行查杀处理。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种外联设备处理方法、装置、电子设备及存储介质,获取与当前终端设备处于网络连接状态的外联设备的IP列表,通过在整个连接过程中检测是否存在恶意IP的方式来确定是否存在恶意的外联设备,以及通过捕获恶意IP相关的流量来确定与恶意IP相关的恶意文件,并进行查杀,保证当前终端设备在与外联设备的连接过程中的安全性。可见,本方案,在网络连接过程中,能够依据流量进行恶意文件的确定,相对于传统方案,可以提高网络连接过程中终端设备的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种外联设备处理方法流程图;
图2是本发明一实施例提供的一种电子设备的硬件架构图;
图3是本发明一实施例提供的一种外联设备处理装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,当终端设备与外联设备建立连接时,可以利用IP白名单对接入的外联设备进行安全检测,以确定是否可接入该外联设备。然而当安全检测通过后,终端设备与外联设备建立连接之后,以及整个连接过程中,终端设备中的杀毒软件等也仅是针对外联设备发送至终端设备的文件进行病毒查杀,而对于终端设备与外联设备的流量数据并不会进行查杀,以及连接过程中外联设备是否存在恶意行为进行检测。
基于上述问题,本发明的发明构思在于:在终端设备与外联设备的网络连接状态下,通过判定外联设备的IP是否为恶意IP,来进一步对恶意IP对应的外联设备进行处理,以保证整个网络连接过程中的检测,提高整个网络连接过程中的安全性。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种外联设备处理方法,该方法包括:
步骤100,获取与当前终端设备处于网络连接状态的外联设备的IP列表;
步骤102,确定所述IP列表中是否存在恶意IP,若存在,则关闭所述恶意IP对应的进程;
步骤104,捕获与所述恶意IP相关的流量,并根据与所述恶意IP相关的流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件,若存在,则对所述恶意文件进行查杀处理。
本发明实施例中,获取与当前终端设备处于网络连接状态的外联设备的IP列表,通过在整个连接过程中检测是否存在恶意IP的方式来确定是否存在恶意的外联设备,以及通过捕获恶意IP相关的流量来确定与恶意IP相关的恶意文件,并进行查杀,保证当前终端设备在与外联设备的连接过程中的安全性。可见,本方案,在网络连接过程中,能够依据流量进行恶意文件的确定,相对于传统方案,可以提高网络连接过程中终端设备的安全性。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,获取与当前终端设备处于网络连接状态的外联设备的IP列表。
一个实现方式中,可以采用当前终端设备中的netstat工具获取与当前终端设备处于网络连接状态的外联设备的IP列表。
本发明实施例中,网络连接状态可以包括如下状态:LISTEN、SYN_SENT、SYN_RECV、ESTABLISHED、FIN_WAIT1、CLOSE_WAIT、FIN_WAIT2、LAST_ACK、TIME_WAIT、CLOSING和CLOSED。
然后,针对步骤102,确定所述IP列表中是否存在恶意IP,若存在,则关闭所述恶意IP对应的进程。
一个实现方式中,可以通过IP情报库中包括的IP黑名单与步骤100获取的IP列表进行匹配,若IP列表中存在位于IP黑名单中IP,则确定该IP为恶意IP。在外联设备接入时间至当前时间内,若IP黑名单发生了更新,此时可以利用更新后的IP黑名单对所有处于网络连接状态的外联设备进行再次检测,以确定是否对应有恶意IP,从而可以保证对已经接入的外联设备进行进一步检测,保证终端设备的安全。
另一个实现方式中,还可以在利用netstat工具获取IP列表时,利用netstat工具获取当前终端设备处于网络连接状态的端口列表;在确定IP列表中是否存在恶意IP时,具体地,确定所述端口列表中是否存在异常端口,并将所述IP列表中使用所述异常端口的IP确定为恶意IP。
本发明一个实施例中,异常端口的确定方式至少可以包括如下方式中的至少一种:
方式A、根据端口列表确定是否存在预设关闭端口被IP列表中目标IP对应的外联设备开启,若存在,则将该端口确定为异常端口,以及该目标IP确定为恶意IP。
方式B、统计位于端口列表中的每一个高危端口被调用次数,将被调用次数大于对应次数阈值的高危端口确定为异常端口。
本发明实施例中,外联设备接入后则利用本端终端设备的端口进行流量和数据交互,若外联设备存在恶意行为,则会导致端口的异常,通过识别异常端口来确定恶意IP,增加了恶意IP的识别方式,且在定义恶意IP时更加准确,从而保证终端设备的安全。
在本发明一个实施例中,基于上述确定恶意IP的方式,还可以进一步包括其他方式来确定:
确定所述IP列表中是否存在非信任IP;
根据每一个非信任IP对应的网络连接状态,确定是否存在处于非数据传输状态、且当前网络连接状态的更新时间距离当前系统时间超过设定时长、以及对应进程处于运行中的非信任IP,若存在,将该非信任IP确定为恶意IP。
操作终端设备的业务人员经常会与其业务领域相关的外联设备进行网络连接,因此,本发明实施例中,可以将与当前终端设备所处业务领域相关的外联设备的IP加入信任列表中,而该信任列表之外的IP则需要重点关注其是否存在恶意行为以及是否为恶意IP。
进一步地,用户还可以将确定安全的IP更新至信任列表中。
在确定IP列表中是否存在非信任IP时,可以利用该信任列表来确定。
可以理解的是,终端设备与外联设备建立连接的过程中会创建进程,且在连接建立完成之后,一般会进行数据传输,且整个连接过程中会对应不同网络连接状态。若非信任IP的外联设备与当前终端设备处于网络连接状态,但该网络连接状态是非数据传输状态,而当前网络状态的更新时间距离当前系统时间超过设定时长,也就是说在设定时长中都没有传输数据,而其进程依然处于运行中,则表明该非信任IP可能对当前终端设备存在恶意操作,如此可以确定出恶意IP。
其中,非数据传输状态可以是网络连接状态中除ESTABLISHED以外的其他任意一种状态。一般在经历过ESTABLISHED状态之后,表明已将恶意流量或恶意文件注入至当前终端设备中,因此,优选地,所述非数据传输状态包括:FIN_WAIT1、CLOSE_WAIT、FIN_WAIT2、LAST_ACK、TIME_WAIT、CLOSING和CLOSED中的任意一个网络连接状态。
在确定出恶意IP之后,为降低恶意IP对当前终端设备的进一步威胁,需要将恶意IP对应的进程关闭。一个实现方式中,通过恶意IP确定对应的进程PID之后,定位进程路径,并记录对应进程的名称、进程文件的MD5值、进程文件的路径和进程文件创建时间中的至少一种。
最后针对步骤104,捕获与所述恶意IP相关的流量,并根据与所述恶意IP相关的流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件,若存在,则对所述恶意文件进行查杀处理。
本发明实施例中,当发现外联设备存在威胁行为之后,可以自动启动网络分析,以捕获与恶意IP相关的流量。还可以进一步搜集网络统计信息,以将捕获的与恶意IP相关的流量解码为可阅读形式,并以pcap形式进行保存。
在一个实现方式中,该捕获与恶意IP相关的流量可以捕获源IP是该恶意IP的流量,和/或,该目的IP为该恶意IP的流量。
在另一个实现方式中,该捕获与恶意IP相关的流量可以包括:将所述恶意IP确定为检索关键词,以在所述当前终端设备中进行全局检索,得到与所述恶意IP相关的流量。
通过将恶意IP作为检索关键词,不仅可以检索到源IP或目的IP为该恶意IP的流量,还可以检索到由其他外联设备与当前终端设备交互的流量中包含该恶意IP的流量。而与其他外联设备交互的流量中包含该恶意IP,表明这部分流量甚至该其他外联设备存在安全问题。因此,将恶意IP作为检索关键词进行全局检索,捕获得到的流量更加丰富。
在捕获与恶意IP相关的流量时,可以使用wireshark实现,由于只捕获与恶意IP相关的流量,而不是全部流量,因此捕获速度快,可以避免占用主机过多的处理资源。
相应地,该与恶意IP相关的恶意文件包括如下中的至少一种:由所述恶意IP所对应的外联设备发送至所述当前终端设备的文件、由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP,和,产生所述恶意IP所对应的进程的文件。
在本发明一个实施例中,当存在由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP时,还包括:获取该文件中包含的除所述恶意IP之外的其他IP和该其他外联设备的IP,将该其他IP和该其他外联设备的IP进行安全检测,以确定是否将该其他IP和该其他外联设备的IP确定为恶意IP。
由于文件中包含该恶意IP,那么不排除该文件中还包含其他IP,若还包含其他IP,由于该其他IP与恶意IP为同等性质,则需要对该其他IP进行安全检测。同理,发送该文件的外联设备依然存在安全问题,同样需要对发送该文件的外联设备的IP进行安全检测。
其中,对IP进行安全检测的方式可以通过黑名单或白名单的方式进行检测。
本发明一个实施例中,当确定恶意文件之后,为了降低恶意文件对当前终端设备的安全威胁,可以将恶意文件进行查杀。
进一步地,在确定恶意文件之后,可以通过弹框方式提示用户,并提示该恶意文件可能会产生的影响。还可以设置规定时间段,若在规定时间段内,用户未选择是否查杀,则当超过规定时间段时,将自动完成查杀工作。
更进一步地,还可以确定恶意文件的病毒类型,若为感染式文件、宏病毒文件,则删除恶意代码部分之后,对被感染的原文件进行恢复。若恶意文件的病毒类型为预设类型,比如利用永恒之蓝漏洞进行传播的病毒文件,则在隔离并删除恶意文件之后,新建同名空文件,并将该同名空文件的权限设置为拒绝写入。
另外,还可以在查杀前将恶意文件加密并存储到隔离区,然后删除该恶意文件,以此可以避免误删重要文件,使得用户可在隔离区找回该文件。
当完成恶意文件的查杀处理后,可以将本次外联设备的处理情况生成日志,日志内容可以包括:恶意IP所对应外联设备的恶意行为描述、与该外联设备建立连接的时间、恶意IP、产生恶意IP的进程、进程文件的MD5值、进程文件的路径、进程文件的创建时间和处置结果中的至少一个。
进一步地,还可以与外部溯源工具联动,以对于恶意IP相关的流量和恶意文件进行分析实现溯源。
其中,对流量的分析可以包括:分析是否已将当前终端设备中的敏感文件泄露给恶意IP的外联设备。具体地,若流量传输使用TCP协议,分析是否已完成TCP的三次握手,是否已完成建立链接;若数据传输使用HTTP、FTP等文件传输协议,分析传输的数据流,分析是否传输敏感文件(敏感文件由用户定义)。
其中,对病毒文件的分析可以包括:了解病毒文件运行后对当前终端设备的操作,分析是否还存在残余病毒文件,以及未删除的启动项、注册表、计划任务、服务等,从而进一步清除残余病毒文件和病毒文件对当前终端设备操作的痕迹。
如图2、图3所示,本发明实施例提供了一种外联设备处理装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种外联设备处理装置所在电子设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种外联设备处理装置,包括:
获取单元301,用于获取与当前终端设备处于网络连接状态的外联设备的IP列表;
恶意IP确定单元302,用于确定所述IP列表中是否存在恶意IP,若存在,触发处理单元303关闭所述恶意IP对应的进程;
恶意文件确定单元304,用于捕获与所述恶意IP相关的流量,并根据与所述恶意IP相关的流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件,若存在,则触发所述处理单元303对所述恶意文件进行查杀处理。
在本发明一个实施例中,所述获取单元301在所述确定所述IP列表中是否存在恶意IP之前,还用于获取当前终端设备处于网络连接状态的端口列表;
所述恶意IP确定单元302具体用于确定所述端口列表中是否存在异常端口,并将所述IP列表中使用所述异常端口的IP确定为恶意IP。
在本发明一个实施例中,所述恶意IP确定单元302还可以用于确定所述IP列表中是否存在非信任IP;根据每一个非信任IP对应的网络连接状态,确定是否存在处于非数据传输状态、且当前网络连接状态的更新时间距离当前系统时间超过设定时长、以及对应进程处于运行中的非信任IP,若存在,将该非信任IP确定为恶意IP。
在本发明一个实施例中,所述非数据传输状态包括:FIN_WAIT1、CLOSE_WAIT、FIN_WAIT2、LAST_ACK、TIME_WAIT、CLOSING和CLOSED中的任意一个网络连接状态。
在本发明一个实施例中,所述恶意文件确定单元304,在捕获与所述恶意IP相关的流量时,具体用于将所述恶意IP确定为检索关键词,以在所述当前终端设备中进行全局检索,得到与所述恶意IP相关的流量。
在本发明一个实施例中,所述与所述恶意IP相关的恶意文件包括如下中的至少一种:由所述恶意IP所对应的外联设备发送至所述当前终端设备的文件、由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP,和,产生所述恶意IP所对应的进程的文件。
在本发明一个实施例中,当存在由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP时,所述处理单元302还用于获取该文件中包含的除所述恶意IP之外的其他IP和该其他外联设备的IP,将该其他IP和该其他外联设备的IP进行安全检测,以确定是否将该其他IP和该其他外联设备的IP确定为恶意IP。
可以理解的是,本发明实施例示意的结构并不构成对一种外联设备处理装置的具体限定。在本发明的另一些实施例中,一种外联设备处理装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种外联设备处理方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种外联设备处理方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种外联设备处理方法,其特征在于,包括:
获取与当前终端设备处于网络连接状态的外联设备的IP列表;
确定所述IP列表中是否存在恶意IP,若存在,则关闭所述恶意IP对应的进程;
捕获与所述恶意IP相关的流量,并根据与所述恶意IP相关的流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件,若存在,则对所述恶意文件进行查杀处理。
2.根据权利要求1所述的方法,其特征在于,
在所述确定所述IP列表中是否存在恶意IP之前,还包括:获取当前终端设备处于网络连接状态的端口列表;
所述确定所述IP列表中是否存在恶意IP,包括:
确定所述端口列表中是否存在异常端口,并将所述IP列表中使用所述异常端口的IP确定为恶意IP。
3.根据权利要求1或2所述的方法,其特征在于,所述确定所述IP列表中是否存在恶意IP,包括:
确定所述IP列表中是否存在非信任IP;
根据每一个非信任IP对应的网络连接状态,确定是否存在处于非数据传输状态、且当前网络连接状态的更新时间距离当前系统时间超过设定时长、以及对应进程处于运行中的非信任IP,若存在,将该非信任IP确定为恶意IP。
4.根据权利要求3所述的方法,其特征在于,所述非数据传输状态包括:FIN_WAIT1、CLOSE_WAIT、FIN_WAIT2、LAST_ACK、TIME_WAIT、CLOSING和CLOSED中的任意一个网络连接状态。
5.根据权利要求1所述的方法,其特征在于,所述捕获与所述恶意IP相关的流量,包括:
将所述恶意IP确定为检索关键词,以在所述当前终端设备中进行全局检索,得到与所述恶意IP相关的流量。
6.根据权利要求1或5所述的方法,其特征在于,所述与所述恶意IP相关的恶意文件包括如下中的至少一种:由所述恶意IP所对应的外联设备发送至所述当前终端设备的文件、由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP,和,产生所述恶意IP所对应的进程的文件。
7.根据权利要求6所述的方法,其特征在于,当存在由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP时,还包括:
获取该文件中包含的除所述恶意IP之外的其他IP和该其他外联设备的IP,将该其他IP和该其他外联设备的IP进行安全检测,以确定是否将该其他IP和该其他外联设备的IP确定为恶意IP。
8.一种外联设备处理装置,其特征在于,包括:
获取单元,用于获取与当前终端设备处于网络连接状态的外联设备的IP列表;
恶意IP确定单元,用于确定所述IP列表中是否存在恶意IP,若存在,触发处理单元关闭所述恶意IP对应的进程;
恶意文件确定单元,用于捕获与所述恶意IP相关的流量,并根据与所述恶意IP相关的流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件,若存在,则触发所述处理单元对所述恶意文件进行查杀处理。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211139834.1A CN115460012A (zh) | 2022-09-19 | 2022-09-19 | 外联设备处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211139834.1A CN115460012A (zh) | 2022-09-19 | 2022-09-19 | 外联设备处理方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115460012A true CN115460012A (zh) | 2022-12-09 |
Family
ID=84304726
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211139834.1A Pending CN115460012A (zh) | 2022-09-19 | 2022-09-19 | 外联设备处理方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115460012A (zh) |
-
2022
- 2022-09-19 CN CN202211139834.1A patent/CN115460012A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
US10063574B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using N-gram distribution of data | |
KR101038387B1 (ko) | 원치 않는 트래픽 검출 방법 및 장치 | |
US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
EP1873992B1 (en) | Packet classification in a network security device | |
US9507944B2 (en) | Method for simulation aided security event management | |
CN111935061B (zh) | 一种工控主机的网络安全防护实现方法及工控主机 | |
CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
US20090178140A1 (en) | Network intrusion detection system | |
US20190230097A1 (en) | Bot Characteristic Detection Method and Apparatus | |
CN112003864B (zh) | 一种基于全流量的网站安全检测系统和方法 | |
CN113364799B (zh) | 一种网络威胁行为的处理方法和系统 | |
EP3826263A1 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
CN112398829A (zh) | 一种电力系统的网络攻击模拟方法及系统 | |
CN111641589A (zh) | 高级可持续威胁检测方法、系统、计算机以及存储介质 | |
JP6928265B2 (ja) | 情報処理装置及び情報処理方法 | |
KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
CN112149115A (zh) | 一种病毒库的更新方法、装置、电子装置和存储介质 | |
CN115460012A (zh) | 外联设备处理方法、装置、电子设备及存储介质 | |
CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
CN114301689B (zh) | 校园网络安全防护方法、装置、计算设备及存储介质 | |
CN115086068B (zh) | 一种网络入侵检测方法和装置 | |
KR100545678B1 (ko) | 바이러스 확산 방지 시스템 및 방법 | |
RU2757330C1 (ru) | Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |