專(zhuān)利名稱(chēng):威脅處理方法及系統(tǒng)��、聯(lián)動(dòng)客戶端���、安全設(shè)備及主機(jī)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,更具體地說(shuō)��,涉及一種威脅處理方法及系統(tǒng)��、聯(lián)動(dòng)客戶端����、安全設(shè)備及主機(jī)。
背景技術(shù):
隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�,網(wǎng)絡(luò)安全也日益受到人們?cè)絹?lái)越多的關(guān)注。防范終端電腦發(fā)起惡意流量是網(wǎng)絡(luò)安全中的一個(gè)方面�����。惡意發(fā)起流量的終端電腦被認(rèn)為是威脅源���,現(xiàn)有消除威脅源的方法有多種����,通常的,由安全設(shè)備(如 IPS (Intrusion Prevention System,入侵防御系統(tǒng))/IDS (IntrusionDetection System�����,入侵檢測(cè)系統(tǒng))/FW (Fire Wall�,防火墻)等)發(fā)現(xiàn)TCP/UDP威脅流量后,安全設(shè)備隔離威脅源��,如網(wǎng)絡(luò)側(cè)隔離或終端側(cè)隔離���。但是����,現(xiàn)有安全設(shè)備消除威脅源的方法��,具有以下缺陷安全設(shè)備將整個(gè)終端電腦認(rèn)為是威脅源�,因此,被認(rèn)為成威脅源的整個(gè)終端電腦被隔離��,不允許其訪問(wèn)其他的終端上的辦公資源��,進(jìn)而導(dǎo)致被認(rèn)為成威脅源的終端電腦無(wú)法正常辦公�����。
發(fā)明內(nèi)容
有鑒于此�,為了解 決被認(rèn)為成威脅源的終端電腦無(wú)法正常辦公的問(wèn)題,第一方面提供了一種威脅源的處理方法�,技術(shù)方案如下一種威脅處理方法,包括威脅源獲取威脅信息�����;根據(jù)所述威脅信息定位威脅進(jìn)程���;處理所述威脅進(jìn)程��;其中����,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端����,所述威脅信息由安全設(shè)備提取,所述安全設(shè)備檢測(cè)到威脅源時(shí)����,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息。結(jié)合第一方面��,在第一方面的第一種可能的實(shí)現(xiàn)方式中,所述安全設(shè)備檢測(cè)到威脅源時(shí)�����,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息����,包括當(dāng)所述安全設(shè)備檢測(cè)到網(wǎng)絡(luò)異常時(shí),所述安全設(shè)備獲取網(wǎng)絡(luò)異常會(huì)話中的五元組信息��;所述安全設(shè)備從所述異常會(huì)話中的五元組信息中提取所述威脅信息�����,所述威脅信息包括威脅源IP�、威脅源端口號(hào)以及協(xié)議。結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式��,在第一方面的第二種可能的實(shí)現(xiàn)方式中����,由查詢(xún)語(yǔ)句根據(jù)所述威脅源IP、威脅源端口號(hào)以及協(xié)議獲得威脅進(jìn)程ID �����;獲取所有進(jìn)程的信息列表�;
根據(jù)所述威脅進(jìn)程ID從所述信息列表中獲取威脅進(jìn)程信息,并根據(jù)所述威脅進(jìn)程信息定位威脅進(jìn)程�。結(jié)合第一方面,在第一方面的第三種可能的實(shí)現(xiàn)方式中���,所述處理所述威脅進(jìn)程包括通知用戶存在所述威脅進(jìn)程���,和/或關(guān)閉所述威脅進(jìn)程。結(jié)合第一方面��,或第一方面的第一種可能的實(shí)現(xiàn)方式�,或第一方面的第二種可能的實(shí)現(xiàn)方式,或第一方面的第三種可能的實(shí)現(xiàn)方式����,在第一方面的第四種可能的實(shí)現(xiàn)方式中,本申請(qǐng)實(shí)施例提供的威脅源的處理方法����,所述網(wǎng)絡(luò)異常為流量異常。本發(fā)明第二方面提供了一種威脅處理方法����,包括安全設(shè)備檢測(cè)威脅源�����,并從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息�����;發(fā)送所述威脅信息至所述威脅源��,使得所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程��,并處理所述威脅進(jìn)程���;其中,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端�。結(jié)合第二方面,在第二方面的第一種可能的實(shí)現(xiàn)方式中��,所述安全設(shè)備檢測(cè)威脅源����,并提取所述威脅源的威脅信息,包括當(dāng)所述安全設(shè)備檢測(cè)到網(wǎng)絡(luò)異常時(shí)����,獲取網(wǎng)絡(luò)異常會(huì)話中的五元組信息��;從所述異常 會(huì)話中的五元組信息中提取所述威脅信息����,所述威脅信息包括威脅源IP�、威脅源端口號(hào)以及協(xié)議���。結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式�����,在第二方面的第二種可能的實(shí)現(xiàn)方式中�,所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程���,包括����;由查詢(xún)語(yǔ)句根據(jù)所述威脅源IP��、威脅源端口號(hào)以及協(xié)議獲取威脅進(jìn)程ID ���;獲取所有進(jìn)程信息列表�;根據(jù)所述威脅進(jìn)程ID從所述信息列表中獲取威脅進(jìn)程信息,并根據(jù)所述威脅進(jìn)程信息定位威脅進(jìn)程���。結(jié)合第二方面在第二方面的第三種可能的實(shí)現(xiàn)方式中���,所述安全設(shè)備檢測(cè)威脅源之后還包括制定聯(lián)動(dòng)策略并發(fā)送至所述威脅源,所述聯(lián)動(dòng)策略為通知用戶存在所述威脅進(jìn)程�,和/或關(guān)閉所述威脅進(jìn)程。結(jié)合第二方面����,或第二方面的第一種可能的實(shí)現(xiàn)方式,或第二方面的第二種可能的實(shí)現(xiàn)方式����,或第二方面的第三種可能的實(shí)現(xiàn)方式,在第二方面的第四種可能的實(shí)現(xiàn)方式中����,本申請(qǐng)實(shí)施例提供的威脅源的處理方法,所述網(wǎng)絡(luò)異常為流量異常����。本發(fā)明第三方面提供了一種聯(lián)動(dòng)客戶端,用于威脅的處理��,包括威脅信息獲取單元,用于威脅源獲取威脅信息并將所述威脅信息發(fā)送給進(jìn)程關(guān)聯(lián)單元����;進(jìn)程關(guān)聯(lián)單元,用于從所述威脅信息獲取單元獲取所述威脅信息�,根據(jù)所述威脅信息定位威脅進(jìn)程;處理單元��,用于處理所述威脅進(jìn)程��;其中�,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端���,所述威脅信息由安全設(shè)備提取��,所述安全設(shè)備檢測(cè)到威脅源時(shí)�����,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息����。本發(fā)明第四方面提供了一種安全設(shè)備�����,用于威脅的處理,包括檢測(cè)單元�,用于檢測(cè)導(dǎo)致網(wǎng)絡(luò)異常的威脅源,并從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息���;發(fā)送單元�����,發(fā)送所述威脅信息至所述威脅源��,使得所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程�,并處理所述威脅進(jìn)程�。結(jié)合第四方面,在第四方面的第一種可能的實(shí)現(xiàn)方式中��,所述安全設(shè)備還包括策略制定單元��,用于制定聯(lián)動(dòng)策略并將所述聯(lián)動(dòng)策略發(fā)送至所述威脅源����,所述聯(lián)動(dòng)策略為,對(duì)威脅進(jìn)程進(jìn)行處理。本發(fā)明第五方面提供了一種威脅處理系統(tǒng)����,包括聯(lián)動(dòng)客戶端以及如第四方面,或在第四方面的第一種可能的實(shí)現(xiàn)方式中所述的安全設(shè)備�;所述聯(lián)動(dòng)客戶端 用于威脅的處理,包括威脅信息獲取單元���,用于威脅源獲取威脅信息并將所述威脅信息發(fā)送給進(jìn)程關(guān)聯(lián)單元���;進(jìn)程關(guān)聯(lián)單元,用于從所述威脅信息獲取單元獲取所述威脅信息���,根據(jù)所述威脅信息定位威脅進(jìn)程;處理單元����,用于處理所述威脅進(jìn)程;其中��,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端����,所述威脅信息由安全設(shè)備提取,所述安全設(shè)備檢測(cè)到威脅源時(shí),從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息��。本發(fā)明第六方面提供了一種主機(jī)���,所述主機(jī)包括處理器�����,通信接口�,存儲(chǔ)器和總線.
-^4 �,其中處理器、通信接口�����、存儲(chǔ)器通過(guò)總線完成相互間的通信���;所述通信接口��,用于獲取威脅信息��,并將所述威脅信息傳輸給所述處理器����,其中,所述威脅信息由安全設(shè)備提取���,所述安全設(shè)備檢測(cè)到威脅源時(shí)��,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息�,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端��;所述處理器�����,用于執(zhí)行程序��;所述存儲(chǔ)器�����,用于存放程序��;其中程序用于根據(jù)所述威脅信息定位威脅進(jìn)程���;處理所述威脅進(jìn)程。本發(fā)明實(shí)施例提供的威脅源的處理方法能夠識(shí)別到具體的威脅進(jìn)程并處理該威脅進(jìn)程���,優(yōu)選的���,通知用戶當(dāng)前進(jìn)程存在威脅�����,可以建議關(guān)閉或清除病毒���,或者直接關(guān)閉該威脅進(jìn)程,而不是將整個(gè)終端電腦認(rèn)為是威脅源����,因此,本發(fā)明實(shí)施例提供的方案并不會(huì)將被認(rèn)為成威脅源的終端電腦進(jìn)行隔離����,而是識(shí)別到該威脅源具體的威脅進(jìn)程并處理該威脅進(jìn)程,所以��,該威脅源還可以訪問(wèn)其他終端上的辦公資源�,進(jìn)而,被認(rèn)為成威脅源的終端電腦還能夠正常辦公���。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見(jiàn)地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以 根據(jù)這些附圖獲得其他的附圖�。圖1為本發(fā)明實(shí)施例提供的一種威脅處理方法的流程圖�����;圖2為本發(fā)明實(shí)施例提供的另一威脅處理方法的流程圖����;圖3為本發(fā)明實(shí)施例提供的威脅處理方法的信令圖;圖4為本發(fā)明實(shí)施例提供的聯(lián)動(dòng)客戶端的一種結(jié)構(gòu)示意圖��;圖5為本發(fā)明實(shí)施例提供的安全設(shè)備的一種結(jié)構(gòu)示意圖�;圖6為本發(fā)明實(shí)施例提供的威脅處理系統(tǒng)的結(jié)構(gòu)示意圖����;圖7為本發(fā)明實(shí)施例提供的一種主機(jī)的結(jié)構(gòu)示意圖����;圖8為本發(fā)明實(shí)施例提供的程序732的結(jié)構(gòu)示意圖���。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完 整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例�����?��;?本發(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍。為了引用和清楚起見(jiàn)�,下文中使用的技術(shù)名詞、簡(jiǎn)寫(xiě)或縮寫(xiě)總結(jié)如下IP Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議���;ID :IDentity,身份標(biāo)識(shí)號(hào)碼����;TCP Transmission Control Protocol,一種面向連接(連接導(dǎo)向)的�����、可靠的��、基 于字節(jié)流的運(yùn)輸層通信協(xié)議���;UDP User Datagram Protocol,用戶數(shù)據(jù)包協(xié)議�����。本發(fā)明實(shí)施例公開(kāi)的一種威脅處理方法�����,如圖1所示�����,本發(fā)明實(shí)施例從終端電腦 一側(cè)介紹本發(fā)明的具體實(shí)現(xiàn)過(guò)程��。其中�,所述方法至少包括以下步驟步驟101 :威脅源獲取威脅信息�,其中,威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端��,威脅信息 由安全設(shè)備提取�����,安全設(shè)備檢測(cè)到威脅源時(shí)����,從網(wǎng)絡(luò)會(huì)話中提取威脅源的威脅信息。本發(fā)明中的網(wǎng)絡(luò)異?��?梢詾榱髁慨惓?��,其中�,威脅源是指發(fā)起惡意流量的終端電 腦����,如發(fā)起病毒、木馬����、蠕蟲(chóng)、間諜軟件�、Flood攻擊、畸形報(bào)文攻擊等的終端電腦�。獲取的威 脅信息可以包括威脅源IP、威脅源端口號(hào)以及協(xié)議�。在通信中,五元組能夠唯一確定一個(gè)會(huì)話�����,五元組通常是指由源IP地址�,源端口, 目的IP地址��,目的端口,和傳輸層協(xié)議號(hào)這五個(gè)量組成的一個(gè)集合����。例如192. 168. 1. 1:10 000TCP121. 14. 88. 76:80就構(gòu)成了一個(gè)五元組。其意義是���,一個(gè)IP地址為192. 168. 1. 1的 終端通過(guò)端口 10000,利用TCP協(xié)議����,和IP地址為121. 14. 88. 76,端口為80的終端進(jìn)行連 接�。上述的獲取威脅信息可以包括,當(dāng)安全設(shè)備檢測(cè)到網(wǎng)絡(luò)異常時(shí)����,安全設(shè)備獲取網(wǎng)絡(luò)異常 會(huì)話中的五元組信息;安全設(shè)備從異常會(huì)話中的五元組信息中提取威脅信息�����,威脅信息包 括威脅源IP����、威脅源端口號(hào)以及協(xié)議,其中,源IP地址即為威脅源IP���,源端口即為威脅源端 口號(hào)��。步驟102 :根據(jù)所述威脅信息定位威脅進(jìn)程�����。
其中�����,威脅進(jìn)程是指流量異常的應(yīng)用進(jìn)程����。由查詢(xún)語(yǔ)句根據(jù)所述威脅源IP����、威脅源端口號(hào)以及協(xié)議獲得威脅進(jìn)程ID ;獲取所有進(jìn)程的信息列表;根據(jù)所述威脅進(jìn)程ID從所述信息列表中獲取威脅進(jìn)程信息����,并根據(jù)所述威脅進(jìn)程信息定位威脅進(jìn)程。當(dāng)威脅源為服務(wù)端時(shí)����,可以根據(jù)查詢(xún)語(yǔ)句C: \>netstat - ano-pproto I find" 0. 0. 0.0:10000"獲得進(jìn)程ID����,其中����,O. O. O. O為威脅源IP, 10000為威脅源端口號(hào)。當(dāng)威脅源為客戶端時(shí)���,可以根據(jù)查詢(xún)語(yǔ)句C: \>netstat - ano-pproto I find" 192. 168.1. 1:10000"獲得進(jìn)程 ID,其中�����,192. 168.1.1 為威脅源 IP�,10000 為
威脅源端口號(hào)。其中�,-p proto :proto可以是下列協(xié)議中的任何一個(gè)TCP、UDP�����、TCPv6或UDPv6�����。步驟103 :處理所述威脅進(jìn)程。處理所述威脅進(jìn)程可以包括通知用戶存在所述威脅進(jìn)程���,和/或關(guān)閉所述威脅進(jìn)程��。通知用戶當(dāng)前進(jìn)程存在威脅�,建議關(guān)閉或清除病毒����,或者可以直接關(guān)閉該威脅進(jìn)程或者設(shè)置終端電腦上的防火墻阻止該威脅進(jìn)程繼續(xù)往外發(fā)包;也可以在通知用戶當(dāng)前進(jìn)程存在威脅����,建議關(guān)閉或清除病毒的同時(shí),直接關(guān)閉該進(jìn)程或者設(shè)置終端電腦上的防火墻阻止該威脅進(jìn)程繼續(xù)往外發(fā)包���。本申請(qǐng)以通知和關(guān)閉兩種處理方式進(jìn)行說(shuō)明���,但并不限于此兩種處理方式。
本發(fā)明實(shí)施例提供的威脅源的處理方法能夠識(shí)別到具體的威脅進(jìn)程并處理該威脅進(jìn)程�����,優(yōu)選的,通知用戶當(dāng)前進(jìn)程存在威脅�,可以建議關(guān)閉或清除病毒,或者直接關(guān)閉該威脅進(jìn)程�����,而不是將整個(gè)終端電腦認(rèn)為是威脅源���,因此�,本發(fā)明實(shí)施例提供的方案并不會(huì)將被認(rèn)為成威脅源的終端電腦進(jìn)行隔離����,而是識(shí)別到該威脅源具體的威脅進(jìn)程并處理該威脅進(jìn)程,所以��,該威脅源還可以訪問(wèn)其他終端上的辦公資源����,進(jìn)而����,被認(rèn)為成威脅源的終端電腦還能夠正常辦公。參見(jiàn)圖2��,在本發(fā)明的其他實(shí)施例中,還公開(kāi)了一種威脅處理方法���,所述方法至少包括以下步驟步驟201 :安全設(shè)備檢測(cè)威脅源��,并從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息��,其中���,威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端。步驟202 :發(fā)送所述威脅信息至所述威脅源��,使得所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程���,并處理所述威脅進(jìn)程�。本發(fā)明實(shí)施例從安全設(shè)備一側(cè)介紹本發(fā)明的具體實(shí)現(xiàn)過(guò)程��。本發(fā)明中的網(wǎng)絡(luò)異?���?梢詾榱髁慨惓#惓A髁靠梢允峭{源通過(guò)TCP或UDP協(xié)議傳播的���。當(dāng)安全設(shè)備檢測(cè)到網(wǎng)絡(luò)異常時(shí)��,安全設(shè)備獲取網(wǎng)絡(luò)異常會(huì)話中的五元組信息�;安全設(shè)備從異常會(huì)話中的五元組信息中提取威脅信息,威脅信息包括威脅源IP��、威脅源端口號(hào)以及協(xié)議��,其中����,源IP地址即為威脅源IP,源端口即為威脅源端口號(hào)���。安全設(shè)備將威脅信息發(fā)送至威脅源�,威脅源根據(jù)所述威脅信息獲取威脅進(jìn)程信息�����,并處理所述威脅進(jìn)程信息對(duì)應(yīng)的威脅進(jìn)程���。其中,威脅進(jìn)程是指流量異常的應(yīng)用進(jìn)程���。威脅源根據(jù)威脅信息定位威脅進(jìn)程可以包括由查詢(xún)語(yǔ)句根據(jù)所述威脅源IP�����、威脅源端口號(hào)以及協(xié)議獲得威脅進(jìn)程ID ;獲取所有進(jìn)程的信息列表��;根據(jù)所述威脅進(jìn)程ID從所述信息列表中獲取威脅進(jìn)程信息�,并根據(jù)所述威脅進(jìn)程信息定位威脅進(jìn)程。進(jìn)一步的����,在其他實(shí)施例中,安全設(shè)備檢測(cè)威脅源之后還需要制定聯(lián)動(dòng)策略����,并將其發(fā)送至威脅源,上述聯(lián)動(dòng)策略為通知用戶存在所述威脅進(jìn)程����,和/或關(guān)閉所述威脅進(jìn)程。通知用戶當(dāng)前進(jìn)程存在威脅����,建議關(guān)閉或清除病毒,或者可以直接關(guān)閉該威脅進(jìn)程或者設(shè)置終端電腦上的防火墻阻止該威脅進(jìn)程繼續(xù)往外發(fā)包��;也可以在通知用戶當(dāng)前進(jìn)程存在威脅,建議關(guān)閉或清除病毒的同時(shí)�����,直接關(guān)閉該進(jìn)程或者設(shè)置終端電腦上的防火墻阻止該威脅進(jìn)程繼續(xù)往外發(fā)包��。本申請(qǐng)以通知和關(guān)閉兩種處理方式進(jìn)行說(shuō)明�,但并不限于此兩種處理方式。本發(fā)明實(shí)施例提供的威脅源的處理方法能夠識(shí)別到具體的威脅進(jìn)程并處理該威脅進(jìn)程��,優(yōu)選的�,通知用戶當(dāng)前進(jìn)程存在威脅,可以建議關(guān)閉或清除病毒�,或者直接關(guān)閉該威脅進(jìn)程,而不是將整個(gè)終端電腦認(rèn)為是威脅源���,因此����,本發(fā)明實(shí)施例提供的方案并不會(huì)將被認(rèn)為成威脅源的終端電腦進(jìn)行隔離�,而是識(shí)別到該威脅源具體的威脅進(jìn)程并處理該威脅進(jìn)程,所以����,該威脅源還可以訪問(wèn)其他終端上的辦公資源�����,進(jìn)而,被認(rèn)為成威脅源的終端電腦還能夠正常辦公�。參考圖3,本發(fā)明實(shí)施例以信令圖的形式����,詳細(xì)的介紹本發(fā)明的安全設(shè)備與終端電腦的交互過(guò)程。步驟301 :威脅源終端電腦通過(guò)TCP或UDP協(xié)議傳播威脅流量�����。步驟302 :安全設(shè)備檢測(cè)到威脅流量���,提取威脅源終端電腦的威脅信息���,上述威脅信息包括威脅源IP、威脅源端口號(hào)以及協(xié)議����。當(dāng)安全設(shè)備檢測(cè)到網(wǎng)絡(luò)異常時(shí),安全設(shè)備獲取網(wǎng)絡(luò)異常會(huì)話中的五元組信息��;安全設(shè)備從異常會(huì)話中的五元組信息中提取威脅信息,威脅信息包括威脅源IP�、威脅源端口號(hào)以及協(xié)議,其中�,源IP地址即為威脅源IP,源端口即為威脅源端口號(hào)���。步驟303 :安全設(shè)備發(fā)送上述威脅信息至威脅源終端電腦����。步驟304 :威脅源終端電腦獲取威脅信息��,并根據(jù)威脅信息定位到威脅進(jìn)程�。威脅進(jìn)程是指流量異常的應(yīng)用進(jìn)程。威脅源根據(jù)威脅信息定位威脅進(jìn)程可以包括由查詢(xún)語(yǔ)句根據(jù)所述威脅源IP�����、威脅源端口號(hào)以及協(xié)議獲得威脅進(jìn)程ID �����;獲取所有進(jìn)程的信息列表�;根據(jù)所述威脅進(jìn)程ID從所述信息列表中獲取威脅進(jìn)程信息,并根據(jù)所述威脅進(jìn)程信息定位威脅進(jìn)程���。步驟305 :威脅源終端電腦處理威脅進(jìn)程��。威脅源終端電腦處理威脅進(jìn)程可以包括通知用戶存在所述威脅進(jìn)程���,和/或關(guān)閉所述威脅進(jìn)程。通知用戶當(dāng)前進(jìn)程存在威脅�,建議關(guān)閉或清除病毒,或者可以直接關(guān)閉該威脅進(jìn)程或者設(shè)置終端電腦上的防火墻阻止該威脅進(jìn)程繼續(xù)往外發(fā)包��;也可以在通知用戶當(dāng)前進(jìn)程存在威脅����,建議關(guān)閉或清 除病毒的同時(shí),直接關(guān)閉該進(jìn)程或者設(shè)置終端電腦上的防火墻阻止該威脅進(jìn)程繼續(xù)往外發(fā)包�。本申請(qǐng)以通知和關(guān)閉兩種處理方式進(jìn)行說(shuō)明,但并不限于此兩種處理方式���。在上述的步驟305中�����,威脅源終端電腦處理威脅進(jìn)程信息對(duì)應(yīng)的威脅進(jìn)程可以是����,威脅源終端電腦根據(jù)終端上的設(shè)置,自動(dòng)選擇是選用通知的處理方式�����,還是關(guān)閉的處理方式�����,還是通知加關(guān)閉的處理方式�。需要指出的是,在上述的步驟302中�,安全設(shè)備還可以制定聯(lián)動(dòng)策略,聯(lián)動(dòng)策略為對(duì)威脅進(jìn)程進(jìn)行處理����。在步驟303中,安全設(shè)備同時(shí)將聯(lián)動(dòng)策略發(fā)送至威脅源終端電腦����,在步驟304中,威脅源終端電腦獲取聯(lián)動(dòng)策略����,在步驟305中,威脅源終端電腦根據(jù)聯(lián)動(dòng)策略對(duì)威脅進(jìn)程進(jìn)行相應(yīng)處理����。本發(fā)明實(shí)施例提供的威脅源的處理方法能夠識(shí)別到具體的威脅進(jìn)程并處理該威脅進(jìn)程�,優(yōu)選的�����,通知用戶當(dāng)前進(jìn)程存在威脅��,可以建議關(guān)閉或清除病毒�,或者直接關(guān)閉該威脅進(jìn)程���,而不是將整個(gè)終端電腦認(rèn)為是威脅源�,因此�,本發(fā)明實(shí)施例提供的方案并不會(huì)將被認(rèn)為成威脅源的終端電腦進(jìn)行隔離,而是識(shí)別到該威脅源具體的威脅進(jìn)程并處理該威脅進(jìn)程��,所以�,該威脅源還可以訪問(wèn)其他終端上的辦公資源,進(jìn)而�����,被認(rèn)為成威脅源的終端電腦還能夠正常辦公�����。與上述方法對(duì)應(yīng)的,本發(fā)明實(shí)施例還公開(kāi)了一種聯(lián)動(dòng)客戶端���,參考圖4��,本發(fā)明實(shí)施例在終端電腦上安裝聯(lián)動(dòng)客戶端����,聯(lián)動(dòng)客戶端包括威脅信息獲取單元U410���,用于威脅源獲取威脅信息��,所述威脅信息由安全設(shè)備提取�,所述安全設(shè)備檢測(cè)到威脅源時(shí)����,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息,并將所述威脅信息發(fā)送給所述威脅源中的威脅信息獲取單元;所述威脅信息獲取單元將所述威脅信息傳輸給進(jìn)程關(guān)聯(lián)單元�����;所述進(jìn)程`關(guān)聯(lián)單元U420�����,用于從所述威脅信息獲取單元獲取所述威脅信息,根據(jù)所述威脅信息定位威脅進(jìn)程��;處理單元U430�����,用于處理所述威脅進(jìn)程�。優(yōu)選的,在本發(fā)明的其他實(shí)施例中����,所述進(jìn)程關(guān)聯(lián)單元U420���,包括進(jìn)程ID獲取單元�����、進(jìn)程信息列表獲取單元以及定位單元�����;所述進(jìn)程ID獲取單元�,用于由查詢(xún)語(yǔ)句根據(jù)所述威脅源IP、威脅源端口號(hào)以及協(xié)議獲得威脅進(jìn)程ID�����,并將所述威脅進(jìn)程ID傳輸給所述定位單元�����;所述進(jìn)程信息列表獲取單元�,用于獲取所有進(jìn)程的信息列表,并將所述信息列表傳輸給所述定位單元�����;所述定位單元����,用于從所述進(jìn)程ID單元接收所述威脅進(jìn)程ID以及從所述進(jìn)程信息列表獲取單元接收所述信息列表,根據(jù)所述威脅進(jìn)程ID從所述信息列表中獲取威脅進(jìn)程信息���,并根據(jù)所述威脅進(jìn)程信息定位威脅進(jìn)程����。優(yōu)選的,在本發(fā)明的其他實(shí)施例中���,處理單元U430����,包括通知單元和/或關(guān)閉單元;所述通知單元用于通知用戶存在所述威脅進(jìn)程���;所述關(guān)閉單元用于關(guān)閉所述威脅進(jìn)程���。優(yōu)選的,在上述實(shí)施例中���,所述網(wǎng)絡(luò)異常為流量異常��。本發(fā)明實(shí)施例提供的威脅處理裝置能夠識(shí)別到具體的威脅進(jìn)程并處理該威脅進(jìn)程,優(yōu)選的��,通知用戶當(dāng)前進(jìn)程存在威脅�����,可以建議關(guān)閉或清除病毒�����,或者直接關(guān)閉該威脅進(jìn)程,而不是將整個(gè)終端電腦認(rèn)為是威脅源�����,因此����,本發(fā)明實(shí)施例提供的方案并不會(huì)將被認(rèn)為成威脅源的終端電腦進(jìn)行隔離,而是識(shí)別到該威脅源具體的威脅進(jìn)程并處理該威脅進(jìn)程��,所以�,該威脅源還可以訪問(wèn)其他終端上的辦公資源,進(jìn)而�����,被認(rèn)為成威脅源的終端電腦還能夠正常辦公����。與上述方法對(duì)應(yīng)的,本發(fā)明實(shí)施例還公開(kāi)了一種安全設(shè)備�,用于威脅源的處理,參見(jiàn)圖5�����,安全設(shè)備包括檢測(cè)單元U501,用于檢測(cè)導(dǎo)致網(wǎng)絡(luò)異常的威脅源�����,并從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息���;發(fā)送單元U502��,發(fā)送所述威脅信息至所述威脅源����,使得所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程�,并處理所述威脅進(jìn)程。優(yōu)選的��,在本發(fā)明的其他實(shí)施例中����,所述威脅信息包括威脅源IP����、威脅源端口號(hào)、協(xié)議;所述檢測(cè)單元U501���,包括五元組獲取單元以及提取單元所述五元組獲取單元���,用于檢測(cè)到網(wǎng)絡(luò)異常時(shí),獲取網(wǎng)絡(luò)異常會(huì)話中的五元組信息���,并將所述異常會(huì)話中的五元組信息傳輸給所述提取單元��;所述提取單元��,用于從所述五元組獲取單元中接收所述異常會(huì)話中的五元組信息�����,并從所述異常會(huì)話中的五元組信息中提取所述威脅源IP��、威脅源端口號(hào)����、協(xié)議�����。進(jìn)一步的,所述安全設(shè)備還包括策略制定單元���,用于制定聯(lián)動(dòng)策略并將所述聯(lián)動(dòng)策略發(fā)送至所述威脅源����,所述聯(lián)動(dòng)策略為����,對(duì)威脅進(jìn)程進(jìn)行處理。另外�����,參見(jiàn)圖6���,本發(fā)明實(shí)施例還公開(kāi)一種威脅源的處理系統(tǒng)����,包括上述實(shí)施例中的聯(lián)動(dòng)客戶端620以及上述 實(shí)施例中的安全設(shè)備610����。其中,所述安全設(shè)備610通過(guò)路由器620與局域網(wǎng)中的各個(gè)終端電腦相連��,聯(lián)動(dòng)客戶端620設(shè)置于各個(gè)終端電腦中����。聯(lián)動(dòng)客戶端620用于威脅的處理,所述聯(lián)動(dòng)客戶端包括威脅信息獲取單元�����,用于威脅源獲取威脅信息并將所述威脅信息發(fā)送給進(jìn)程關(guān)聯(lián)單元���;進(jìn)程關(guān)聯(lián)單元�����,用于從所述威脅信息獲取單元獲取所述威脅信息�����,根據(jù)所述威脅信息定位威脅進(jìn)程���;處理單元,用于處理所述威脅進(jìn)程��;其中����,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端��,所述威脅信息由安全設(shè)備提取�,所述安全設(shè)備檢測(cè)到威脅源時(shí)���,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息����。安全設(shè)備610用于威脅源的處理��,所述安全設(shè)備包括檢測(cè)單元�,用于檢測(cè)導(dǎo)致網(wǎng)絡(luò)異常的威脅源,并從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息�����;發(fā)送單元����,發(fā)送所述威脅信息至所述威脅源,使得所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程�����,并處理所述威脅進(jìn)程。所述安全設(shè)備還包括策略制定單元����,用于制定聯(lián)動(dòng)策略并將所述聯(lián)動(dòng)策略發(fā)送至所述威脅源���,所述聯(lián)動(dòng)策略為����,對(duì)威脅進(jìn)程進(jìn)行處理����。請(qǐng)參考圖7,本發(fā)明實(shí)施例提供了一種主機(jī)700的示意圖�。主機(jī)700可能是包含計(jì)算能力的主機(jī)服務(wù)器,或者是個(gè)人計(jì)算機(jī)PC��,或者是可攜帶的便攜式計(jì)算機(jī)或終端等等���,本發(fā)明具體實(shí)施例并不對(duì)主機(jī)的具體實(shí)現(xiàn)做限定����。主機(jī)700包括
處理器(processor)710,通信接口(Communications Interface) 720,存儲(chǔ)器(memory) 730,總線 740�。處理器710��,通信接口 720����,存儲(chǔ)器730通過(guò)總線740完成相互間的通信���。通信接口 720�,用于獲取威脅信息���,并將所述威脅信息傳輸給所述處理器��,其中�����,所述威脅信息由安全設(shè)備提取���,所述安全設(shè)備檢測(cè)到威脅源時(shí),從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息�����,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端;處理器710��,用于執(zhí)行程序732����。具體地,程序732可以包括程序代碼���,所述程序代碼包括計(jì)算機(jī)操作指令。處理器710可能是一個(gè)中央處理器CPU,或者是特定集成電路ASIC (ApplicationSpecific Integrated Circuit),或者是被配置成實(shí)施本發(fā)明實(shí)施例的一個(gè)或多個(gè)集成電路�����。存儲(chǔ)器730����,用于存放程序732。存儲(chǔ)器730可能包含高速RAM存儲(chǔ)器�,也可能還包括非易失性存儲(chǔ)器(non-volatile memory),例如至少一個(gè)磁盤(pán)存儲(chǔ)器。程序732具體可以用于根據(jù)所述威脅信息定位威脅進(jìn)程�;處理所述威 脅進(jìn)程。如圖8所示��,程序732����,可以包括威脅信息獲取單元U410�,用于威脅源獲取威脅信息���,所述威脅信息由安全設(shè)備提取��,所述安全設(shè)備檢測(cè)到威脅源時(shí)��,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息���,并將所述威脅信息發(fā)送給所述威脅源中的威脅信息獲取單元;所述威脅信息獲取單元將所述威脅信息傳輸給進(jìn)程關(guān)聯(lián)單元;所述進(jìn)程關(guān)聯(lián)單元U420�����,用于從所述威脅信息獲取單元獲取所述威脅信息����,根據(jù)所述威脅信息定位威脅進(jìn)程;處理單元U430�,用于處理所述威脅進(jìn)程。程序732中各單元和預(yù)控制器的具體實(shí)現(xiàn)參見(jiàn)上述實(shí)施例中的相應(yīng)單元�����,在此不贅述。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖�����,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的����。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述分布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中���。上述實(shí)施例的模塊可以合并為一個(gè)模塊�,也可以進(jìn)一步拆分成多個(gè)子模塊�。本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例方法中的全部或部分處理是可以通過(guò)程序來(lái)指令相關(guān)的硬件完成�����,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中���。對(duì)所公開(kāi)的實(shí)施例的上述說(shuō)明����,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明�。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專(zhuān)業(yè)技術(shù)人員來(lái)說(shuō)將是顯而易見(jiàn)的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)�。因此,本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例����,而是要符合與本文所公開(kāi)的原理和新穎特點(diǎn)相一致的最寬的范圍。
權(quán)利要求
1.一種威脅處理方法�,其特征在于,包括威脅源獲取威脅信息�;根據(jù)所述威脅信息定位威脅進(jìn)程;處理所述威脅進(jìn)程�����;其中��,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端�,所述威脅信息由安全設(shè)備提取,所述安全設(shè)備檢測(cè)到威脅源時(shí)����,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述安全設(shè)備檢測(cè)到威脅源時(shí)����,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息�,包括當(dāng)所述安全設(shè)備檢測(cè)到網(wǎng)絡(luò)異常時(shí)��,所述安全設(shè)備獲取網(wǎng)絡(luò)異常會(huì)話中的五元組信所述安全設(shè)備從所述異常會(huì)話中的五元組信息中提取所述威脅信息�,所述威脅信息包括威脅源IP、威脅源端口號(hào)以及協(xié)議�����。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于����,所述根據(jù)所述威脅信息定位威脅進(jìn)程,包括�;由查詢(xún)語(yǔ)句根據(jù)所述威脅源IP�����、威脅源端口號(hào)以及協(xié)議獲得威脅進(jìn)程ID ����;獲取所有進(jìn)程的信息列表����;根據(jù)所述威脅進(jìn)程ID從所述信息列表中獲取威脅進(jìn)程信息�,并根據(jù)所述威脅進(jìn)程信息定位威脅進(jìn)程。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,所述處理所述威脅進(jìn)程包括通知用戶存在所述威脅進(jìn)程,和/或關(guān)閉所述威脅進(jìn)程�����。
5.根據(jù)權(quán)利要求1-4所述的任意一項(xiàng)方法��,其特征在于����,所述網(wǎng)絡(luò)異常為流量異常。
6.一種威脅處理方法�����,其特征在于���,包括安全設(shè)備檢測(cè)威脅源����,并從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息;發(fā)送所述威脅信息至所述威脅源�����,使得所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程�,并處理所述威脅進(jìn)程;其中�,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于����,所述安全設(shè)備檢測(cè)威脅源����,并提取所述威脅源的威脅信息�����,包括當(dāng)所述安全設(shè)備檢測(cè)到網(wǎng)絡(luò)異常時(shí),獲取網(wǎng)絡(luò)異常會(huì)話中的五元組信息�;從所述異常會(huì)話中的五元組信息中提取所述威脅信息,所述威脅信息包括威脅源IP��、威脅源端口號(hào)以及協(xié)議����。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于�,所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程,包括�;由查詢(xún)語(yǔ)句根據(jù)所述威脅源IP、威脅源端口號(hào)以及協(xié)議獲取威脅進(jìn)程ID ���;獲取所有進(jìn)程信息列表���;根據(jù)所述威脅進(jìn)程ID從所述信息列表中獲取威脅進(jìn)程信息,并根據(jù)所述威脅進(jìn)程信息定位威脅進(jìn)程�����。
9.根據(jù)權(quán)利要求6所述的方法��,其特征在于�����,所述安全設(shè)備檢測(cè)威脅源之后還包括制定聯(lián)動(dòng)策略并發(fā)送至所述威脅源,所述聯(lián)動(dòng)策略為通知用戶存在所述威脅進(jìn)程����,和/或關(guān)閉所述威脅進(jìn)程。
10.根據(jù)權(quán)利要求6-9所述的任意一項(xiàng)方法����,其特征在于,所述網(wǎng)絡(luò)異常為流量異常����。
11.一種聯(lián)動(dòng)客戶端,用于威脅的處理����,其特征在于,包括威脅信息獲取單元����,用于威脅源獲取威脅信息并將所述威脅信息發(fā)送給進(jìn)程關(guān)聯(lián)單元;進(jìn)程關(guān)聯(lián)單元,用于從所述威脅信息獲取單元獲取所述威脅信息��,根據(jù)所述威脅信息定位威脅進(jìn)程;處理單元�����,用于處理所述威脅進(jìn)程���;其中,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端��,所述威脅信息由安全設(shè)備提取���,所述安全設(shè)備檢測(cè)到威脅源時(shí)�,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息����。
12.—種安全設(shè)備,用于威脅的處理����,其特征在于,包括檢測(cè)單元��,用于檢測(cè)導(dǎo)致網(wǎng)絡(luò)異常的威脅源�,并從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息;發(fā)送單元,發(fā)送所述威脅信息至所述威脅源��,使得所述威脅源根據(jù)所述威脅信息定位威脅進(jìn)程�,并處理所述威脅進(jìn)程。
13.根據(jù)權(quán)利要求12所述的安全設(shè)備����,其特征在于,所述安全設(shè)備還包括策略制定單元�����,用于制定聯(lián)動(dòng)策略并將所述聯(lián)動(dòng)策略發(fā)送至所述威脅源���,所述聯(lián)動(dòng)策略為���,對(duì)威脅進(jìn)程進(jìn)行處理。
14.一種威脅處理系統(tǒng)����,其特征在于,包括聯(lián)動(dòng)客戶端以及如權(quán)利要求12-13任意一項(xiàng)所述的安全設(shè)備��;所述聯(lián)動(dòng)客戶端用于威脅的處理���,包括威脅信息獲取單元�,用于威脅源獲取威脅信息并將所述威脅信息發(fā)送給進(jìn)程關(guān)聯(lián)單元;進(jìn)程關(guān)聯(lián)單元,用于從所述威脅信息獲取單元獲取所述威脅信息��,根據(jù)所述威脅信息定位威脅進(jìn)程���;處理單元,用于處理所述威脅進(jìn)程�;其中,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端�����,所述威脅信息由安全設(shè)備提取�����,所述安全設(shè)備檢測(cè)到威脅源時(shí)�,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息。
15.一種主機(jī)�,其特征在于,包括處理器��,通信接口����,存儲(chǔ)器和總線�����;其中處理器�����、通信接口�����、存儲(chǔ)器通過(guò)總線完成相互間的通信��;所述通信接口���,用于獲取威脅信息,并將所述威脅信息傳輸給所述處理器�����,其中���,所述威脅信息由安全設(shè)備提取���,所述安全設(shè)備檢測(cè)到威脅源時(shí)�����,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息����,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端�����;所述處理器�����,用于執(zhí)行程序�;所述存儲(chǔ)器�����,用于存放程序����;其中程序用于根據(jù)所述威脅信息定位威脅進(jìn)程�;處理所述威脅進(jìn)程����。
全文摘要
本發(fā)明實(shí)施例提供一種威脅處理方法,包括威脅源獲取威脅信息����;根據(jù)所述威脅信息定位威脅進(jìn)程;處理所述威脅進(jìn)程�����;其中���,所述威脅源為導(dǎo)致網(wǎng)絡(luò)異常的終端���,所述威脅信息由安全設(shè)備提取,所述安全設(shè)備檢測(cè)到威脅源時(shí)��,從網(wǎng)絡(luò)會(huì)話中提取所述威脅源的威脅信息���。本發(fā)明實(shí)施例提供的威脅源的處理方法能夠識(shí)別到具體的威脅進(jìn)程并處理該威脅進(jìn)程�����,而不是將整個(gè)終端電腦認(rèn)為是威脅源�����,因此�����,本發(fā)明實(shí)施例提供的方案并不會(huì)將被認(rèn)為成威脅源的終端電腦進(jìn)行隔離�,而是識(shí)別到該威脅源具體的威脅進(jìn)程并處理該威脅進(jìn)程,所以�����,該威脅源還可以訪問(wèn)其他終端上的辦公資源����,進(jìn)而��,被認(rèn)為成威脅源的終端電腦還能夠正常辦公����。
文檔編號(hào)H04L29/06GK103067384SQ20121057864
公開(kāi)日2013年4月24日 申請(qǐng)日期2012年12月27日 優(yōu)先權(quán)日2012年12月27日
發(fā)明者賴(lài)后華, 吳昊, 易琛軍, 李春茂 申請(qǐng)人:華為技術(shù)有限公司