CN116015776A - 一种失陷主机的封禁方法、装置电子设备和存储介质 - Google Patents
一种失陷主机的封禁方法、装置电子设备和存储介质 Download PDFInfo
- Publication number
- CN116015776A CN116015776A CN202211598304.3A CN202211598304A CN116015776A CN 116015776 A CN116015776 A CN 116015776A CN 202211598304 A CN202211598304 A CN 202211598304A CN 116015776 A CN116015776 A CN 116015776A
- Authority
- CN
- China
- Prior art keywords
- host
- isolation
- flow message
- policy
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种失陷主机的封禁方法、装置、电子设备和存储介质,其中,方法包括:接收流量报文;判断所述流量报文对应目标主机是否为封禁主机,若是,在预先配置的失陷主机处置表中获取所述目标主机的隔离策略,所述失陷主机处置表中包括不同等级的隔离策略;根据所述目标主机的隔离策略对所述流量报文进行处理。实施上述实施例,能够避免对所有主机执行相同的隔离策略,导致正常业务受到影响。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种失陷主机的方法、装置电子设备和存储介质。
背景技术
目前,安全网关使用各类检测方法发现有失陷主机后,为了防止失陷主机的信息泄露以及木马蠕虫病毒的进一步扩散,通常在网关上对失陷主机进行隔离,禁止其进一步的网络活动。
但是对失陷主机的研判所依赖的规则、特征、威胁情报等,都存在误报的可能性,如果产生误判,对被隔离主机进行完全的网络隔离,有可能对用户的正常业务产生较大影响。
发明内容
本申请实施例的目的在于提供一种失陷主机的封禁方法、装置电子设备和存储介质,能够根据主机的实际情况对主机实行不同程度的封禁,保证计算机安全的同时最小化对业务的影响。
第一方面,本申请实施例提供了一种失陷主机的封禁方法,包括:
接收流量报文;
判断所述流量报文对应目标主机是否为封禁主机;
若是,在预先配置的失陷主机处置表中获取所述目标主机的隔离策略,所述失陷主机处置表中包括不同等级的隔离策略;
根据所述目标主机的隔离策略对所述流量报文进行处理。
在上述实现过程中,在预先配置的失陷主机处置表中配置有不同等级的隔离策略,当接收到流量报文时,判断流量报文对应的目标主机是否是已经被封禁的主机,如果是被封禁的主机,则去失陷主机处置表中获取对应的隔离策略,根据隔离策略对流量报文进行处理。基于上述实施方式,能够避免对所有主机执行相同的隔离策略,导致正常业务受到影响。
进一步地,所述隔离策略包括:完全隔离策略或部分隔离策略;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
根据所述完全隔离策略对所述流量报文进行处理,或,根据一个或多个所述部分隔离策略对所述流量报文进行处理。
在上述实现过程中,将隔离策略分为两种,分别是完全隔离策略和部分隔离策略;基于完全隔离策略,能够实现对主机的完全隔离,最大程度地保护主机安全,进一步保护整个系统的安全;基于部分隔离策略,能够实现对主机进行部分隔离,保护计算机安全的同时最小化封禁操作对业务的影响。
进一步地,所述根据所述完全隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为完全隔离策略,拦截所述流量报文。
在上述实现过程中,不同等级的隔离策略包括网络隔离,基于该策略,可以实现对封禁主机的完全封禁,保证主机不被进一步攻击,也保证主机所在的系统不会被进一步攻击。
进一步地,所述部分隔离策略包括:主机外网隔离策略;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为主机外网隔离策略,对所述流量报文进行解析,得到目的IP和源IP;
若所述目的IP或所述源IP为外网IP,则对所述流量报文进行阻断。
在上述实现过程中,通过实行主机外网隔离策略,可以保证主机在内网之间正常通信,适用于只用于处理网内业务的主机。
进一步地,所述部分隔离策略包括:服务器外网隔离策略;所述失陷主机处置表包括所述目标主机的保留服务端口;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为服务器外网隔离策略,对所述流量报文进行解析,得到所述流量报文对应的接收端口;
判断所述接收端口是否为所述保留服务端口;
若是,放行所述流量报文;若否,对所述流量报文进行阻断。
在上述实现过程中,不同等级的隔离策略包括:服务器外网隔离,主机处置表中配置有目标主机的保留服务端口,通过放心接收端口对应的流量报文,能够使得一个或多个目标应用的部分或者全部功能正常运行,能够在一定程度上避免业务全部受到影响。
进一步地,所述部分隔离策略包括:常用协议隔离策略;所述失陷主机处置表包括:隔离协议;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为常用协议隔离策略,对所述流量报文进行解析,得到所述流量报文对应的协议;
判断所述流量报文对应的协议是否为所述隔离协议;
若是,对所述流量报文进行阻断;若否,放行所述流量报文。
在上述实现过程中,不同的浏览器、不同的应用、不同的系统、不同的主机以及不同的通信网络之间采用不同的通信协议进行通信,病毒、恶意软件通常通过一种或多种特定的协议进行传输、入侵,失陷主机处置表中的隔离策略包括了常用协议隔离,当流量报文是采用隔离协议进行传输时,说明该流量报文所传输的内容有极大的可能包含恶意软件或者病毒,因此,将该流量报文进行隔离,能够保证计算机的安全,同时,方形其他协议的报文,保证其他的业务不受影响。
进一步地,所述部分隔离策略包括:组合访问控制策略;所述失陷主机处置表包括:访问控制策略组;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为组合访问控制策略,依次使用通用访问控制策略和所述访问控制策略组对所述流量报文进行控制。
在上述实现过程中,设置了访问控制策略组,实现了对封禁主机的报文的个性化控制,保证业务的正常运行。
第二方面,本申请实施例提供一种失陷主机的封禁装置,包括:
接收模块,用于接收流量报文;
判断模块,用于判断所述流量报文对应目标主机是否为封禁主机;
获取模块,用于当所述判断模块的判断结果为是时,在预先配置的失陷主机处置表中获取所述目标主机的隔离策略,所述失陷主机处置表中包括不同等级的隔离策略;
隔离模块,用于根据所述目标主机的隔离策略对所述流量报文进行处理。
在上述实现过程中,在预先配置的失陷主机处置表中配置有不同等级的隔离策略,当接收到流量报文时,判断流量报文对应的目标主机是否是已经被封禁的主机,如果是被封禁的主机,则去失陷主机处置表中获取对应的隔离策略,根据隔离策略对流量报文进行处理。基于上述实施方式,能够避免对所有主机执行相同的隔离策略,导致正常业务受到影响。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的通信系统的结构示意图;
图2为本申请实施例提供的失陷主机的封禁方法的流程示意图;
图3为本申请实施例提供的失陷主机的封禁装置的结构示意图;
图4为本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
目前,安全网关使用各类检测方法发现有失陷主机后,为了防止失陷主机的信息泄露以及木马蠕虫病毒的进一步扩散,通常在网关上对失陷主机进行隔离,禁止其进一步的网络活动。
但是对失陷主机的研判所依赖的规则、特征、威胁情报等,都存在误报的可能性,如果产生误判,对被隔离主机进行完全的网络隔离,有可能对用户的正常业务产生较大影响。
实施例1
参见图1,本申请实施例提供一种通信系统,包括:网关、多个终端设备,其中,终端设备包括但不限于,服务器、主机设备、网络设备。网关和多个终端之间可以通过无线连接、也可以通过无线连接。网关中配置有失陷主机处置表,处置表中包括不同等级的隔离策略。网关用于转发多个终端设备之间,多个终端设备和通信系统外部的流量报文。网关在工作时首先接受流量报文,判断流量报文对应目标主机是否为封禁主机,若是,在预先配置的失陷主机处置表中获取目标主机的隔离策略,失陷主机处置表中包括不同等级的隔离策略;根据目标主机的隔离策略对流量报文进行处理。
在一可能的实施方式中,网关在确定该流量报文对应的主机是封禁主机时,发出告警通知给工作人员,工作人员在预先配置的失陷主机处置表中选取该封禁主机对应的隔离策略,网关在预先配置的失陷主机处置表中获取工作人员选择的隔离策略,根据隔离策略对流量报文进行处理。
安全网关增加全局的“失陷主机处置表”,可以用哈希表实现,key为IP地址,value记录为管理员配置的处置动作,value中包含action成员,记录处置动作是“主机外网隔离”、“服务器外网隔离”、“常用协议隔离”或者是配置失陷主机“访问控制策略组”,value中包含isolate_protocol成员,记录管理员选中的“常用协议隔离”列表,value中包含exception_ports成员,记录管理员添加的“保留服务端口”,列表,value中包含fw_policy链表,为“访问控制策略组”中设置的源ip、目的ip、源端口号、目的端口号、协议以及限制流量通过的时间等信息,其中fw_policy链表的成员可根据需要进行设置。
在一可能的实施方式中,失陷主机处置表中的隔离策略分为两类,分别是完全隔离策略和部分隔离策略。网关设备根据完全隔离策略对流量报文进行处理,或者一个或多个部分隔离策略对流量报文进行处理。
上述实施例中,将隔离策略分为两种,分别是完全隔离策略和部分隔离策略;基于完全隔离策略,能够实现对主机的完全隔离,最大程度地保护主机安全,进一步保护整个系统的安全;基于部分隔离策略,能够实现对主机进行部分隔离,保护计算机安全的同时最小化封禁操作对业务的影响。
实施例2
参见图2,本申请实施例提供一种失陷主机的封禁方法,包括:
S201:接收流量报文;
该流量报文可以是通信系统中的终端的流量报文,或者是通信系统外的其他终端设备、通信设备的流量报文。
S202:判断流量报文对应目标主机是否为封禁主机;若是,在预先配置的失陷主机处置表中获取目标主机的隔离策略,失陷主机处置表中包括不同等级的隔离策略;
流量报文对应的目标主机可以是发送该流量报文的终端设备、通信设备,也可以该流量报文所要到达的终端设备、通信设备。
如果该流量报文对应的目标主机不是封禁主机,则根据正常的防控策略对流量报文进行处置。例如,对某些IP的流量报文进行过滤、拦截等操作。如果该流量报文对应的目标主机是封禁主机,则根据正常的防控策略对流量报文进行处置之后,再根据失陷主机表中的目标主机的隔离策略对流量报文进行处理。
S203:根据目标主机的隔离策略对流量报文进行处理。
在上述实现过程中,在预先配置的失陷主机处置表中配置有不同等级的隔离策略,当接收到流量报文时,判断流量报文对应的目标主机是否是已经被封禁的主机,如果是被封禁的主机,则去失陷主机处置表中获取对应的隔离策略,根据隔离策略对流量报文进行处理。基于上述实施方式,能够避免对所有主机执行相同的隔离策略,导致正常业务受到影响。
在一可能的实施方式中,隔离策略包括:完全隔离策略或部分隔离策略;S203包括:根据完全隔离策略对流量报文进行处理,或,根据一个或多个部分隔离策略对流量报文进行处理。
也就是说,完全隔离策略和部分隔离策略是相互排斥的,当网关设备选择完全隔离策略实现对失陷主机进行封禁时,不可以再选择部分隔离策略对失陷主机进行封禁;当网关选择部分隔离策略对失陷主机进行封禁时,不可以选择完全隔离策略对失陷主机进行封禁。
在上述实现过程中,将隔离策略分为两种,分别是完全隔离策略和部分隔离策略;基于完全隔离策略,能够实现对主机的完全隔离,最大程度地保护主机安全,进一步保护整个系统的安全;基于部分隔离策略,能够实现对主机进行部分隔离,保护计算机安全的同时最小化封禁操作对业务的影响。
S203包括;获取目标主机所属的区域,获取目标主机所属的区域对应隔离策略,根据目标主机所属的隔离策略对进行划分。
上述实施例中,区域的划分是根据区域内处理的主机处理的业务类型进行划分的。
在一可能的实施方式中,根据完全隔离策略对流量报文进行处理的步骤,包括:若目标主机的隔离策略为完全隔离策略,拦截流量报文。
在上述实现过程中,不同等级的隔离策略包括网络隔离,基于该策略,可以实现对封禁主机的完全封禁,保证主机不被进一步攻击,也保证主机所在的系统不会被进一步攻击。
进一步地,部分隔离策略包括:主机外网隔离策略;根据目标主机的隔离策略对流量报文进行处理的步骤,包括:若目标主机的隔离策略为主机外网隔离策略,对流量报文进行解析,得到目的IP和源IP;若目的IP或源IP为外网IP,则对流量报文进行阻断。
示例性地,如果失陷主机为企业内主机,需要处理内网业务,发送或收取邮件,或登录公司内部网站处理事务,可将失陷主机IP加入到失陷主机处置表中,value的action成员对应的处置动作是“主机外网隔离”。网关设备根据防火墙或者杀毒引擎的算法判断该主机是失陷主机时,通过该失陷主机的IP地址获取到对于该主机实行主机外网隔离操作。
需要说明的是,本申请实施例中企业内的主机采用的是主机外网隔离的隔离策略,应当理解,企业内的主机可以使用本申请实施例提供的其他隔离策略进行隔离。
进一步地,部分隔离策略包括:服务器外网隔离策略;失陷主机处置表包括目标主机的保留服务端口;根据目标主机的隔离策略对流量报文进行处理的步骤,包括:若目标主机的隔离策略为服务器外网隔离策略,对流量报文进行解析,得到流量报文对应的接收端口;判断接收端口是否为保留服务端口;若是,放行流量报文;若否,对流量报文进行阻断。
示例性地,如果失陷主机为个人家中使用主机,需要远程登录公司主机,可将失陷主机IP加入到“失陷主机处置表”,value的action成员包括的处置动作是“服务器外网隔离”,value的exception_ports包括:443端口到。
需要说明的是,本申请实施例中个人家庭主机采用的是服务器外网隔离的隔离策略,应当理解,个人家中使用主机可以使用本申请实施例提供的其他隔离策略进行隔离。
在上述实现过程中,不同等级的隔离策略包括:服务器外网隔离,主机处置表中配置有目标主机的保留服务端口,通过放心接收端口对应的流量报文,能够使得一个或多个目标应用的部分或者全部功能正常运行,能够在一定程度上避免业务全部受到影响。
进一步地,部分隔离策略包括:常用协议隔离策略;失陷主机处置表包括:隔离协议;根据目标主机的隔离策略对流量报文进行处理的步骤,包括:若目标主机的隔离策略为常用协议隔离策略,对流量报文进行解析,得到流量报文对应的协议;判断流量报文对应的协议是否为隔离协议;若是,对流量报文进行阻断;若否,放行流量报文。
示例性地,如果失陷主机为个人家中使用主机,不需要经常访问公司内部邮箱,可将失陷主机IP加入到“失陷主机处置表”,value的action成员记录处置动作是“常用协议隔离”,value的isolate_protocol成员包括管理员添加的pop3、smtp等协议,失陷主机仍然可以通过https协议访问查看公司内部实时新闻网站。
需要说明的是,本申请实施例中个人家庭主机采用的是常用协议隔离的隔离策略,应当理解,个人家中使用主机可以使用本申请实施例提供的其他隔离策略进行隔离。
在上述实现过程中,不同的浏览器,不同的应用,不同的系统,不同的主机以及不同的通信网络之间采用不同的通信协议进行通信,病毒、恶意软件通常通过一种或多种特定的协议进行传输、入侵,失陷主机处置表中的隔离策略包括了常用协议隔离,当流量报文是采用隔离协议进行传输时,说明该流量报文所传输的内容有极大的可能包含恶意软件或者病毒,因此,将该流量报文进行隔离,能够保证计算机的安全,同时,方形其他协议的报文,保证其他的业务不受影响。
进一步地,部分隔离策略包括:组合访问控制策略;失陷主机处置表包括:访问控制策略组;根据目标主机的隔离策略对流量报文进行处理的步骤,包括:若目标主机的隔离策略为组合访问控制策略,依次使用通用访问控制策略和访问控制策略组对流量报文进行控制。
组合访问控制策略是管理员预先添加的多个关于IP、端口、协议、报文限行时间的过滤条件。通用访问控制策略是针对该区域所有的主机的访问控制策略。
适用于组合访问控制策略的主机是管理员预先进行个性化设置的。
示例性地,所有失陷主机的流量先进行完普通访问控制后,再进入失陷主机访问控制策略组进行控制,命中规则的ip可加入“失陷主机处置表”,value的action成员记录处置动作是“访问控制策略组”,value的fw_policy的成员记录策略id,及管理员选中的源ip、源端口、目的ip、目的端口、协议、报文限行时间等。
在上述实现过程中,设置了访问控制策略组,实现了对封禁主机的报文的个性化控制,保证业务的正常运行。
在一种可能的实施例中,完全隔离策略和部分隔离策略包括:作用时间段。也就是说,若隔离策略为完全隔离策略,在完全隔离策略中配置的第一时间段内拦截流量报文。
若隔离策略为主机外网隔离策略,在主机外网隔离配置的第二时间段内对流量报文进行解析,得到目的IP和源IP;若所述目的IP和源IP为外网IP,则对所述流量报文进行阻断。
若隔离策略为服务器外网隔离策略,在服务器外网隔离策略配置的第三时间段对流量报文进行解析,得到流量报文对应的接收端口;判断接收端口是否为保留服务端口,若是,放行流量报文,若否,对流量报文进行阻断。
若隔离策略为常用协议隔离策略,在常用协议隔离策略配置的第四时间段内对流量报文进行解析,得到流量报文对应的协议;判断流量报文对应的协议是否为隔离协议,若是,对流量报文进行阻断,若否,放行流量报文。
若访问策略为组合访问控制策略,在组合访问控制策略配置的第五时间段内依次使用通用访问控制策略和访问控制策略组对流量报文进行控制。
实施例2
本申请实施例提供一种失陷主机的封禁装置,包括:
接收模块1,用于接收流量报文;
判断模块2,获取模块,用于当所述判断模块的判断结果为是时,在预先配置的失陷主机处置表中获取目标主机的隔离策略,失陷主机处置表中包括不同等级的隔离策略;
隔离模块3,用于根据目标主机的隔离策略对流量报文进行处理。
在上述实现过程中,在预先配置的失陷主机处置表中配置有不同等级的隔离策略,当接收到流量报文时,判断流量报文对应的目标主机是否是已经被封禁的主机,如果是被封禁的主机,则去失陷主机处置表中获取对应的隔离策略,根据隔离策略对流量报文进行处理。基于上述实施方式,能够避免对所有主机执行相同的隔离策略,导致正常业务受到影响。
在一种可能的实施方式中,隔离策略包括:完全隔离策略或部分隔离策略;隔离模块3还用于根据完全隔离策略对流量报文进行处理,或,根据一个或多个部分隔离策略对流量报文进行处理。
在一种可能的实施方式中,隔离模块3还用于若目标主机的隔离策略为完全隔离策略,拦截流量报文。
在一种可能的实施方式中,隔离模块3还用于若目标主机的隔离策略为主机外网隔离策略,对流量报文进行解析,得到目的IP、如果目的IP为外网IP,则对流量报文进行阻断。
在一种可能的实施方式中,隔离模块3还用于若目标主机的隔离策略为服务器外网隔离策略,对流量报文进行解析,得到流量报文对应的接收端口;
判断接收端口是否为保留服务端口,若是,放行流量报文,若否,对流量报文进行阻断。
在一种可能的实施方式中,隔离模块3还用于若目标主机的隔离策略为常用协议隔离策略,对流量报文进行解析,得到流量报文对应的协议;
判断流量报文对应的协议是否为隔离协议,若是,对流量报文进行阻断,若否,放行流量报文。
在一种可能的实施方式中,隔离模块3还用于若目标主机的隔离策略为组合访问控制策略,依次使用通用访问控制策略和访问控制策略组对流量报文进行控制。
本申请还提供一种电子设备,请参见图4,图4为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器41、通信接口42、存储器43和至少一个通信总线44。其中,通信总线44用于实现这些组件直接的连接通信。其中,本申请实施例中电子设备的通信接口42用于与其他节点设备进行信令或数据的通信。处理器41可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器41可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器41也可以是任何常规的处理器等。
存储器43可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器43中存储有计算机可读取指令,当计算机可读取指令由处理器41执行时,电子设备可以执行上述方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。
存储器43、存储控制器、处理器41、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线44实现电性连接。处理器41用于执行存储器43中存储的可执行模块,例如电子设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图4所示的结构仅为示意,电子设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有指令,当指令在计算机上运行时,计算机程序被处理器执行时实现方法实施例的方法,为避免重复,此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种失陷主机的封禁方法,其特征在于,包括:
接收流量报文;
判断所述流量报文对应目标主机是否为封禁主机;
若是,在预先配置的失陷主机处置表中获取所述目标主机的隔离策略,所述失陷主机处置表中包括不同等级的隔离策略;
根据所述目标主机的隔离策略对所述流量报文进行处理。
2.根据权利要求1所述的失陷主机的封禁方法,其特征在于,所述隔离策略包括:完全隔离策略或部分隔离策略;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
根据所述完全隔离策略对所述流量报文进行处理,或,根据一个或多个所述部分隔离策略对所述流量报文进行处理。
3.根据权利要求2所述的失陷主机的封禁方法,其特征在于,所述根据所述完全隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为完全隔离策略,拦截所述流量报文。
4.根据权利要求2所述的失陷主机的封禁方法,其特征在于,所述部分隔离策略包括:主机外网隔离策略;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为主机外网隔离策略,对所述流量报文进行解析,得到目的IP和源IP;
若所述目的IP或所述源IP为外网IP,则对所述流量报文进行阻断。
5.根据权利要求2所述的失陷主机的封禁方法,其特征在于,所述部分隔离策略包括:服务器外网隔离策略;所述失陷主机处置表包括所述目标主机的保留服务端口;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为服务器外网隔离策略,对所述流量报文进行解析,得到所述流量报文对应的接收端口;
判断所述接收端口是否为所述保留服务端口;
若是,放行所述流量报文;若否,对所述流量报文进行阻断。
6.根据权利要求2所述的失陷主机的封禁方法,其特征在于,所述部分隔离策略包括:常用协议隔离策略;所述失陷主机处置表包括:隔离协议;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为常用协议隔离策略,对所述流量报文进行解析,得到所述流量报文对应的协议;
判断所述流量报文对应的协议是否为所述隔离协议;
若是,对所述流量报文进行阻断;若否,放行所述流量报文。
7.根据权利要求2所述的失陷主机的封禁方法,其特征在于,所述部分隔离策略包括:组合访问控制策略;所述失陷主机处置表包括:访问控制策略组;
所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤,包括:
若所述目标主机的隔离策略为组合访问控制策略,依次使用通用访问控制策略和所述访问控制策略组对所述流量报文进行控制。
8.一种失陷主机的封禁装置,其特征在于,包括:
接收模块,用于接收流量报文;
判断模块,用于判断所述流量报文对应目标主机是否为封禁主机;
获取模块,用于当所述判断模块的判断结果为是时,在预先配置的失陷主机处置表中获取所述目标主机的隔离策略,所述失陷主机处置表中包括不同等级的隔离策略;
隔离模块,用于根据所述目标主机的隔离策略对所述流量报文进行处理。
9.一种电子设备,其特征在于,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-7任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211598304.3A CN116015776A (zh) | 2022-12-12 | 2022-12-12 | 一种失陷主机的封禁方法、装置电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211598304.3A CN116015776A (zh) | 2022-12-12 | 2022-12-12 | 一种失陷主机的封禁方法、装置电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116015776A true CN116015776A (zh) | 2023-04-25 |
Family
ID=86023943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211598304.3A Pending CN116015776A (zh) | 2022-12-12 | 2022-12-12 | 一种失陷主机的封禁方法、装置电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015776A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240612A (zh) * | 2023-11-10 | 2023-12-15 | 杭州海康威视数字技术股份有限公司 | 基于多模过滤的失陷物联网设备安全检测方法及装置 |
-
2022
- 2022-12-12 CN CN202211598304.3A patent/CN116015776A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240612A (zh) * | 2023-11-10 | 2023-12-15 | 杭州海康威视数字技术股份有限公司 | 基于多模过滤的失陷物联网设备安全检测方法及装置 |
| CN117240612B (zh) * | 2023-11-10 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 基于多模过滤的失陷物联网设备安全检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10326777B2 (en) | Integrated data traffic monitoring system | |
| US11201883B2 (en) | System, method, and apparatus for data loss prevention | |
| US9319382B2 (en) | System, apparatus, and method for protecting a network using internet protocol reputation information | |
| US7007302B1 (en) | Efficient management and blocking of malicious code and hacking attempts in a network environment | |
| US7228564B2 (en) | Method for configuring a network intrusion detection system | |
| US7681132B2 (en) | System, method and program product for visually presenting data describing network intrusions | |
| JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
| WO2018218537A1 (zh) | 工业控制系统及其网络安全的监视方法 | |
| US20060294588A1 (en) | System, method and program for identifying and preventing malicious intrusions | |
| US20160232349A1 (en) | Mobile malware detection and user notification | |
| US20060041942A1 (en) | System, method and computer program product for preventing spyware/malware from installing a registry | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| EP2683130B1 (en) | Social network protection system | |
| US20190109824A1 (en) | Rule enforcement in a network | |
| CN116015776A (zh) | 一种失陷主机的封禁方法、装置电子设备和存储介质 | |
| JP2017130921A (ja) | 悪意の電子メッセージを検出するための技術 | |
| CN113992430B (zh) | 一种失陷处理方法及装置 | |
| US9769118B2 (en) | Device for providing security barrier for network | |
| KR101343693B1 (ko) | 네트워크 보안시스템 및 그 처리방법 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN113206852A (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| CN114189360B (zh) | 态势感知的网络漏洞防御方法、装置及系统 | |
| US20220239676A1 (en) | Cyber-safety threat detection system | |
| US20230328083A1 (en) | Network vulnerability assessment | |
| CN116015793A (zh) | 一种联动阻断方法、装置、电子设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |