专利名称:威胁处理方法及系统、联动客户端、安全设备及主机的制作方法
技术领域:
本发明涉及网络安全技术领域,更具体地说,涉及一种威胁处理方法及系统、联动客户端、安全设备及主机。
背景技术:
随着计算机与网络技术的不断发展,网络安全也日益受到人们越来越多的关注。防范终端电脑发起恶意流量是网络安全中的一个方面。恶意发起流量的终端电脑被认为是威胁源,现有消除威胁源的方法有多种,通常的,由安全设备(如 IPS (Intrusion Prevention System,入侵防御系统)/IDS (IntrusionDetection System,入侵检测系统)/FW (Fire Wall,防火墙)等)发现TCP/UDP威胁流量后,安全设备隔离威胁源,如网络侧隔离或终端侧隔离。但是,现有安全设备消除威胁源的方法,具有以下缺陷安全设备将整个终端电脑认为是威胁源,因此,被认为成威胁源的整个终端电脑被隔离,不允许其访问其他的终端上的办公资源,进而导致被认为成威胁源的终端电脑无法正常办公。
发明内容
有鉴于此,为了解 决被认为成威胁源的终端电脑无法正常办公的问题,第一方面提供了一种威胁源的处理方法,技术方案如下一种威胁处理方法,包括威胁源获取威胁信息;根据所述威胁信息定位威胁进程;处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。结合第一方面,在第一方面的第一种可能的实现方式中,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,包括当所述安全设备检测到网络异常时,所述安全设备获取网络异常会话中的五元组信息;所述安全设备从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID ;获取所有进程的信息列表;
根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。结合第一方面,在第一方面的第三种可能的实现方式中,所述处理所述威胁进程包括通知用户存在所述威胁进程,和/或关闭所述威胁进程。结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,或第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,本申请实施例提供的威胁源的处理方法,所述网络异常为流量异常。本发明第二方面提供了一种威胁处理方法,包括安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息;发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程;其中,所述威胁源为导致网络异常的终端。结合第二方面,在第二方面的第一种可能的实现方式中,所述安全设备检测威胁源,并提取所述威胁源的威胁信息,包括当所述安全设备检测到网络异常时,获取网络异常会话中的五元组信息;从所述异常 会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述威胁源根据所述威胁信息定位威胁进程,包括;由查询语句根据所述威胁源IP、威胁源端口号以及协议获取威胁进程ID ;获取所有进程信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。结合第二方面在第二方面的第三种可能的实现方式中,所述安全设备检测威胁源之后还包括制定联动策略并发送至所述威胁源,所述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。结合第二方面,或第二方面的第一种可能的实现方式,或第二方面的第二种可能的实现方式,或第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,本申请实施例提供的威胁源的处理方法,所述网络异常为流量异常。本发明第三方面提供了一种联动客户端,用于威胁的处理,包括威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元,用于处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。本发明第四方面提供了一种安全设备,用于威胁的处理,包括检测单元,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;发送单元,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。结合第四方面,在第四方面的第一种可能的实现方式中,所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。本发明第五方面提供了一种威胁处理系统,包括联动客户端以及如第四方面,或在第四方面的第一种可能的实现方式中所述的安全设备;所述联动客户端 用于威胁的处理,包括威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元,用于处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。本发明第六方面提供了一种主机,所述主机包括处理器,通信接口,存储器和总线.
-^4 ,其中处理器、通信接口、存储器通过总线完成相互间的通信;所述通信接口,用于获取威胁信息,并将所述威胁信息传输给所述处理器,其中,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,所述威胁源为导致网络异常的终端;所述处理器,用于执行程序;所述存储器,用于存放程序;其中程序用于根据所述威胁信息定位威胁进程;处理所述威胁进程。本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。图1为本发明实施例提供的一种威胁处理方法的流程图;图2为本发明实施例提供的另一威胁处理方法的流程图;图3为本发明实施例提供的威胁处理方法的信令图;图4为本发明实施例提供的联动客户端的一种结构示意图;图5为本发明实施例提供的安全设备的一种结构示意图;图6为本发明实施例提供的威胁处理系统的结构示意图;图7为本发明实施例提供的一种主机的结构示意图;图8为本发明实施例提供的程序732的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。为了引用和清楚起见,下文中使用的技术名词、简写或缩写总结如下IP Internet Protocol,网络之间互连的协议;ID :IDentity,身份标识号码;TCP Transmission Control Protocol,一种面向连接(连接导向)的、可靠的、基 于字节流的运输层通信协议;UDP User Datagram Protocol,用户数据包协议。本发明实施例公开的一种威胁处理方法,如图1所示,本发明实施例从终端电脑 一侧介绍本发明的具体实现过程。其中,所述方法至少包括以下步骤步骤101 :威胁源获取威胁信息,其中,威胁源为导致网络异常的终端,威胁信息 由安全设备提取,安全设备检测到威胁源时,从网络会话中提取威胁源的威胁信息。本发明中的网络异常可以为流量异常,其中,威胁源是指发起恶意流量的终端电 脑,如发起病毒、木马、蠕虫、间谍软件、Flood攻击、畸形报文攻击等的终端电脑。获取的威 胁信息可以包括威胁源IP、威胁源端口号以及协议。在通信中,五元组能够唯一确定一个会话,五元组通常是指由源IP地址,源端口, 目的IP地址,目的端口,和传输层协议号这五个量组成的一个集合。例如192. 168. 1. 1:10 000TCP121. 14. 88. 76:80就构成了一个五元组。其意义是,一个IP地址为192. 168. 1. 1的 终端通过端口 10000,利用TCP协议,和IP地址为121. 14. 88. 76,端口为80的终端进行连 接。上述的获取威胁信息可以包括,当安全设备检测到网络异常时,安全设备获取网络异常 会话中的五元组信息;安全设备从异常会话中的五元组信息中提取威胁信息,威胁信息包 括威胁源IP、威胁源端口号以及协议,其中,源IP地址即为威胁源IP,源端口即为威胁源端 口号。步骤102 :根据所述威胁信息定位威胁进程。
其中,威胁进程是指流量异常的应用进程。由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID ;获取所有进程的信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。当威胁源为服务端时,可以根据查询语句C: \>netstat - ano-pproto I find" 0. 0. 0.0:10000"获得进程ID,其中,O. O. O. O为威胁源IP, 10000为威胁源端口号。当威胁源为客户端时,可以根据查询语句C: \>netstat - ano-pproto I find" 192. 168.1. 1:10000"获得进程 ID,其中,192. 168.1.1 为威胁源 IP,10000 为
威胁源端口号。其中,-p proto :proto可以是下列协议中的任何一个TCP、UDP、TCPv6或UDPv6。步骤103 :处理所述威胁进程。处理所述威胁进程可以包括通知用户存在所述威胁进程,和/或关闭所述威胁进程。通知用户当前进程存在威胁,建议关闭或清除病毒,或者可以直接关闭该威胁进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包;也可以在通知用户当前进程存在威胁,建议关闭或清除病毒的同时,直接关闭该进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包。本申请以通知和关闭两种处理方式进行说明,但并不限于此两种处理方式。
本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。参见图2,在本发明的其他实施例中,还公开了一种威胁处理方法,所述方法至少包括以下步骤步骤201 :安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息,其中,威胁源为导致网络异常的终端。步骤202 :发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。本发明实施例从安全设备一侧介绍本发明的具体实现过程。本发明中的网络异常可以为流量异常,异常流量可以是威胁源通过TCP或UDP协议传播的。当安全设备检测到网络异常时,安全设备获取网络异常会话中的五元组信息;安全设备从异常会话中的五元组信息中提取威胁信息,威胁信息包括威胁源IP、威胁源端口号以及协议,其中,源IP地址即为威胁源IP,源端口即为威胁源端口号。安全设备将威胁信息发送至威胁源,威胁源根据所述威胁信息获取威胁进程信息,并处理所述威胁进程信息对应的威胁进程。其中,威胁进程是指流量异常的应用进程。威胁源根据威胁信息定位威胁进程可以包括由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID ;获取所有进程的信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。进一步的,在其他实施例中,安全设备检测威胁源之后还需要制定联动策略,并将其发送至威胁源,上述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。通知用户当前进程存在威胁,建议关闭或清除病毒,或者可以直接关闭该威胁进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包;也可以在通知用户当前进程存在威胁,建议关闭或清除病毒的同时,直接关闭该进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包。本申请以通知和关闭两种处理方式进行说明,但并不限于此两种处理方式。本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。参考图3,本发明实施例以信令图的形式,详细的介绍本发明的安全设备与终端电脑的交互过程。步骤301 :威胁源终端电脑通过TCP或UDP协议传播威胁流量。步骤302 :安全设备检测到威胁流量,提取威胁源终端电脑的威胁信息,上述威胁信息包括威胁源IP、威胁源端口号以及协议。当安全设备检测到网络异常时,安全设备获取网络异常会话中的五元组信息;安全设备从异常会话中的五元组信息中提取威胁信息,威胁信息包括威胁源IP、威胁源端口号以及协议,其中,源IP地址即为威胁源IP,源端口即为威胁源端口号。步骤303 :安全设备发送上述威胁信息至威胁源终端电脑。步骤304 :威胁源终端电脑获取威胁信息,并根据威胁信息定位到威胁进程。威胁进程是指流量异常的应用进程。威胁源根据威胁信息定位威胁进程可以包括由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID ;获取所有进程的信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。步骤305 :威胁源终端电脑处理威胁进程。威胁源终端电脑处理威胁进程可以包括通知用户存在所述威胁进程,和/或关闭所述威胁进程。通知用户当前进程存在威胁,建议关闭或清除病毒,或者可以直接关闭该威胁进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包;也可以在通知用户当前进程存在威胁,建议关闭或清 除病毒的同时,直接关闭该进程或者设置终端电脑上的防火墙阻止该威胁进程继续往外发包。本申请以通知和关闭两种处理方式进行说明,但并不限于此两种处理方式。在上述的步骤305中,威胁源终端电脑处理威胁进程信息对应的威胁进程可以是,威胁源终端电脑根据终端上的设置,自动选择是选用通知的处理方式,还是关闭的处理方式,还是通知加关闭的处理方式。需要指出的是,在上述的步骤302中,安全设备还可以制定联动策略,联动策略为对威胁进程进行处理。在步骤303中,安全设备同时将联动策略发送至威胁源终端电脑,在步骤304中,威胁源终端电脑获取联动策略,在步骤305中,威胁源终端电脑根据联动策略对威胁进程进行相应处理。本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。与上述方法对应的,本发明实施例还公开了一种联动客户端,参考图4,本发明实施例在终端电脑上安装联动客户端,联动客户端包括威胁信息获取单元U410,用于威胁源获取威胁信息,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,并将所述威胁信息发送给所述威胁源中的威胁信息获取单元;所述威胁信息获取单元将所述威胁信息传输给进程关联单元;所述进程`关联单元U420,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元U430,用于处理所述威胁进程。优选的,在本发明的其他实施例中,所述进程关联单元U420,包括进程ID获取单元、进程信息列表获取单元以及定位单元;所述进程ID获取单元,用于由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID,并将所述威胁进程ID传输给所述定位单元;所述进程信息列表获取单元,用于获取所有进程的信息列表,并将所述信息列表传输给所述定位单元;所述定位单元,用于从所述进程ID单元接收所述威胁进程ID以及从所述进程信息列表获取单元接收所述信息列表,根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。优选的,在本发明的其他实施例中,处理单元U430,包括通知单元和/或关闭单元;所述通知单元用于通知用户存在所述威胁进程;所述关闭单元用于关闭所述威胁进程。优选的,在上述实施例中,所述网络异常为流量异常。本发明实施例提供的威胁处理装置能够识别到具体的威胁进程并处理该威胁进程,优选的,通知用户当前进程存在威胁,可以建议关闭或清除病毒,或者直接关闭该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。与上述方法对应的,本发明实施例还公开了一种安全设备,用于威胁源的处理,参见图5,安全设备包括检测单元U501,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;发送单元U502,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。优选的,在本发明的其他实施例中,所述威胁信息包括威胁源IP、威胁源端口号、协议;所述检测单元U501,包括五元组获取单元以及提取单元所述五元组获取单元,用于检测到网络异常时,获取网络异常会话中的五元组信息,并将所述异常会话中的五元组信息传输给所述提取单元;所述提取单元,用于从所述五元组获取单元中接收所述异常会话中的五元组信息,并从所述异常会话中的五元组信息中提取所述威胁源IP、威胁源端口号、协议。进一步的,所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。另外,参见图6,本发明实施例还公开一种威胁源的处理系统,包括上述实施例中的联动客户端620以及上述 实施例中的安全设备610。其中,所述安全设备610通过路由器620与局域网中的各个终端电脑相连,联动客户端620设置于各个终端电脑中。联动客户端620用于威胁的处理,所述联动客户端包括威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元,用于处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。安全设备610用于威胁源的处理,所述安全设备包括检测单元,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;发送单元,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。请参考图7,本发明实施例提供了一种主机700的示意图。主机700可能是包含计算能力的主机服务器,或者是个人计算机PC,或者是可携带的便携式计算机或终端等等,本发明具体实施例并不对主机的具体实现做限定。主机700包括
处理器(processor)710,通信接口(Communications Interface) 720,存储器(memory) 730,总线 740。处理器710,通信接口 720,存储器730通过总线740完成相互间的通信。通信接口 720,用于获取威胁信息,并将所述威胁信息传输给所述处理器,其中,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,所述威胁源为导致网络异常的终端;处理器710,用于执行程序732。具体地,程序732可以包括程序代码,所述程序代码包括计算机操作指令。处理器710可能是一个中央处理器CPU,或者是特定集成电路ASIC (ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。存储器730,用于存放程序732。存储器730可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。程序732具体可以用于根据所述威胁信息定位威胁进程;处理所述威 胁进程。如图8所示,程序732,可以包括威胁信息获取单元U410,用于威胁源获取威胁信息,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,并将所述威胁信息发送给所述威胁源中的威胁信息获取单元;所述威胁信息获取单元将所述威胁信息传输给进程关联单元;所述进程关联单元U420,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元U430,用于处理所述威胁进程。程序732中各单元和预控制器的具体实现参见上述实施例中的相应单元,在此不赘述。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。本领域普通技术人员可以理解上述实施例方法中的全部或部分处理是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
权利要求
1.一种威胁处理方法,其特征在于,包括威胁源获取威胁信息;根据所述威胁信息定位威胁进程;处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
2.根据权利要求1所述的方法,其特征在于,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,包括当所述安全设备检测到网络异常时,所述安全设备获取网络异常会话中的五元组信所述安全设备从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。
3.根据权利要求2所述的方法,其特征在于,所述根据所述威胁信息定位威胁进程,包括;由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID ;获取所有进程的信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
4.根据权利要求1所述的方法,其特征在于,所述处理所述威胁进程包括通知用户存在所述威胁进程,和/或关闭所述威胁进程。
5.根据权利要求1-4所述的任意一项方法,其特征在于,所述网络异常为流量异常。
6.一种威胁处理方法,其特征在于,包括安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息;发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程;其中,所述威胁源为导致网络异常的终端。
7.根据权利要求6所述的方法,其特征在于,所述安全设备检测威胁源,并提取所述威胁源的威胁信息,包括当所述安全设备检测到网络异常时,获取网络异常会话中的五元组信息;从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。
8.根据权利要求7所述的方法,其特征在于,所述威胁源根据所述威胁信息定位威胁进程,包括;由查询语句根据所述威胁源IP、威胁源端口号以及协议获取威胁进程ID ;获取所有进程信息列表;根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
9.根据权利要求6所述的方法,其特征在于,所述安全设备检测威胁源之后还包括制定联动策略并发送至所述威胁源,所述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。
10.根据权利要求6-9所述的任意一项方法,其特征在于,所述网络异常为流量异常。
11.一种联动客户端,用于威胁的处理,其特征在于,包括威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元,用于处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
12.—种安全设备,用于威胁的处理,其特征在于,包括检测单元,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;发送单元,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。
13.根据权利要求12所述的安全设备,其特征在于,所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。
14.一种威胁处理系统,其特征在于,包括联动客户端以及如权利要求12-13任意一项所述的安全设备;所述联动客户端用于威胁的处理,包括威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;处理单元,用于处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
15.一种主机,其特征在于,包括处理器,通信接口,存储器和总线;其中处理器、通信接口、存储器通过总线完成相互间的通信;所述通信接口,用于获取威胁信息,并将所述威胁信息传输给所述处理器,其中,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,所述威胁源为导致网络异常的终端;所述处理器,用于执行程序;所述存储器,用于存放程序;其中程序用于根据所述威胁信息定位威胁进程;处理所述威胁进程。
全文摘要
本发明实施例提供一种威胁处理方法,包括威胁源获取威胁信息;根据所述威胁信息定位威胁进程;处理所述威胁进程;其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。本发明实施例提供的威胁源的处理方法能够识别到具体的威胁进程并处理该威胁进程,而不是将整个终端电脑认为是威胁源,因此,本发明实施例提供的方案并不会将被认为成威胁源的终端电脑进行隔离,而是识别到该威胁源具体的威胁进程并处理该威胁进程,所以,该威胁源还可以访问其他终端上的办公资源,进而,被认为成威胁源的终端电脑还能够正常办公。
文档编号H04L29/06GK103067384SQ20121057864
公开日2013年4月24日 申请日期2012年12月27日 优先权日2012年12月27日
发明者赖后华, 吴昊, 易琛军, 李春茂 申请人:华为技术有限公司