一种失陷主机处理方法、装置、电子设备及存储介质与流程

本申请涉及计算机安全，具体而言，涉及一种失陷主机处理方法、装置、电子设备及存储介质。

背景技术：

1、目前，当攻击方成功攻破某台主机时，便可能趁势继续深入渗透并实施进一步的攻击。为此，安全防御方需要迅速采取措施，限制失陷主机的行为，以遏制攻击的扩散。然而，若对失陷主机采取过于严格的限制，可能会干扰主机中正常业务的运行。因此，如何在遏制攻击的同时，降低对主机业务的影响，是本领域亟待解决的技术问题。

技术实现思路

1、本申请实施例的目的在于提供一种失陷主机处理方法、装置、电子设备及存储介质，用以实现在遏制攻击的同时降低对主机业务影响的技术效果。

2、本申请实施例第一方面提供了一种失陷主机处理方法，所述方法应用于服务器；所述服务器与多个主机通信连接；所述方法包括：

3、创建与多个所述主机对应的虚拟机；

4、存储每个所述主机发送的业务文件；

5、将所述业务文件同步至所述虚拟机，以使在从多个所述主机中确定出失陷主机的情况下，所述失陷主机的用户远程操作所述虚拟机中与所述失陷主机对应的目标业务文件。

6、在上述实现过程中，通过在服务器中创建虚拟机，并将主机上传的业务文件同步至虚拟机中。由于虚拟机承载了业务所需的业务文件，因此当检测到失陷主机时，失陷主机的用户也可以远程操作虚拟机中的业务文件。那么在后续对失陷主机进行攻击遏制、修复等处理时，也不会影响主机业务的运行，从而实现了主机失陷后也能继续使用正常业务软件的技术效果。

7、进一步地，所述创建与多个主机对应的虚拟机，包括：

8、根据多个所述主机搭载的操作系统，生成搭载有所述操作系统的虚拟机；其中，所述虚拟机的数量与所述操作系统的数量匹配。

9、在上述实现过程中，根据多个主机搭载的操作系统，生成搭载有相同操作系统的虚拟机，使得服务器创建的虚拟机的数量与操作系统数量匹配。由于无需针对每个主机都创建一个虚拟机，因此可以大大减少虚拟机的创建数量，节约了虚拟机创建时服务器所消耗的资源。

10、进一步地，所述将所述业务文件同步至所述虚拟机，包括：

11、在从多个所述主机中确定出失陷主机的情况下，将所述失陷主机的目标业务文件同步至所述虚拟机。

12、在上述实现过程中，在主机失陷之前，服务器只需创建虚拟机以及存储各个主机上传的业务文件。在主机发生失陷之后，服务器才将失陷主机的目标业务文件同步至虚拟机。对于未失陷的正常主机，无需将正常主机的业务文件同步至虚拟机。因此本实施例避免了将所有业务文件同步至虚拟机，从而节约了不必要资源开销。

13、进一步地，所述方法还包括：

14、若检测到所述失陷主机向除所述服务器以外的其他设备发起第一网络连接，阻断所述第一网络连接；

15、若检测到所述失陷主机接收第二网络连接，在所述第二网络连接的请求方通过安全检测的情况下，将所述第二网络连接转发至所述虚拟机。

16、在上述实现过程中，针对失陷主机主动发起与被动接收的网络连接进行分情况处理。针对失陷主机向其他设备主动发起的网络连接，一律阻断，以防止失陷主机通过网络扩大攻击范围。针对失陷主机被动接收的网络连接，在请求方通过安全检测时将流量转发至虚拟机。失陷主机的用户可以远程至虚拟机来处理该网络连接，从而降低对正常业务的影响。

17、本申请实施例第二方面提供了一种失陷主机处理方法，所述方法应用于主机搭载的安全终端；所述主机与服务器通信连接；所述服务器创建有与所述主机对应的虚拟机；所述方法包括：

18、响应于业务文件更新或到达预设的上传周期，向所述服务器发送所述业务文件，以使所述服务器将所述业务文件同步至所述虚拟机；

19、在确定本端所在主机为失陷主机的情况下，与所述虚拟机进行远程连接，以使所述失陷主机的用户远程操作所述虚拟机中与所述失陷主机对应的目标业务文件。

20、进一步地，所述方法还包括：

21、若检测到所述失陷主机向除所述服务器以外的其他设备发起第一网络连接，阻断所述第一网络连接；

22、若检测到所述失陷主机接收第二网络连接，在所述第二网络连接的请求方通过安全检测的情况下，将所述第二网络连接转发至所述虚拟机。

23、进一步地，所述方法还包括：

24、对所述失陷主机中的业务文件执行保护策略；所述保护策略包括禁止执行和/或禁止修改；和/或

25、终止所述失陷主机中的目标进程。

26、在上述实现过程中，可以降低在主机被攻陷后业务文件被泄露的风险，以及可以避免攻击在失陷主机中的加剧。

27、本申请实施例第三方面提供了一种失陷主机处理装置，所述装置应用于服务器；所述服务器与多个主机通信连接；所述装置包括：

28、创建模块，用于创建与多个所述主机对应的虚拟机；

29、存储模块，用于存储每个所述主机发送的业务文件；

30、同步模块，用于将所述业务文件同步至所述虚拟机，以使在从多个所述主机中确定出失陷主机的情况下，所述失陷主机的用户远程操作所述虚拟机中与所述失陷主机对应的目标业务文件。

31、本申请实施例第四方面提供了一种失陷主机处理装置，所述装置应用于主机搭载的安全终端；所述主机与服务器通信连接；所述服务器创建有与所述主机对应的虚拟机；所述装置包括：

32、发送模块，用于响应于业务文件更新或到达预设的上传周期，向所述服务器发送所述业务文件，以使所述服务器将所述业务文件同步至所述虚拟机；

33、连接模块，用于在确定本端所在主机为失陷主机的情况下，与所述虚拟机进行远程连接，以使所述失陷主机的用户远程操作所述虚拟机中与所述失陷主机对应的目标业务文件。

34、本申请实施例第五方面提供了一种电子设备，所述电子设备包括：

35、处理器；

36、用于存储处理器可执行指令的存储器；

37、其中，所述处理器调用所述可执行指令时实现第一方面或第二方面任一所述方法的操作。

38、本申请实施例第六方面提供了一种计算机可读存储介质，其上存储有计算机指令，所述计算机指令被处理器执行时实现第一方面或第二方面任一所述方法的步骤。

技术特征：

1.一种失陷主机处理方法，其特征在于，所述方法应用于服务器；所述服务器与多个主机通信连接；所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述创建与多个主机对应的虚拟机，包括：

3.根据权利要求1所述的方法，其特征在于，所述将所述业务文件同步至所述虚拟机，包括：

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

5.一种失陷主机处理方法，其特征在于，所述方法应用于主机搭载的安全终端；所述主机与服务器通信连接；所述服务器创建有与所述主机对应的虚拟机；所述方法包括：

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

7.根据权利要求5所述方法，其特征在于，所述方法还包括：

8.一种失陷主机处理装置，其特征在于，所述装置应用于服务器；所述服务器与多个主机通信连接；所述装置包括：

9.一种失陷主机处理装置，其特征在于，所述装置应用于主机搭载的安全终端；所述主机与服务器通信连接；所述服务器创建有与所述主机对应的虚拟机；所述装置包括：

10.一种电子设备，其特征在于，所述电子设备包括：

11.一种计算机可读存储介质，其特征在于，其上存储有计算机指令，所述计算机指令被处理器执行时实现权利要求1-4或5-7任一所述方法的步骤。

技术总结
本申请实施例提供一种失陷主机处理方法、装置、电子设备及存储介质，所述方法应用于服务器；服务器与多个主机通信连接；所述方法包括：创建与多个主机对应的虚拟机；存储每个主机发送的业务文件；将业务文件同步至虚拟机，以使在从多个主机中确定出失陷主机的情况下，失陷主机的用户远程操作虚拟机中与失陷主机对应的目标业务文件。由于虚拟机承载了业务所需的业务文件，因此当检测到失陷主机时，失陷主机的用户也可以远程操作虚拟机中的业务文件。那么在后续对失陷主机进行攻击遏制、修复等处理时，也不会影响主机业务的运行，从而实现了主机失陷后也能继续使用正常业务软件的技术效果。

技术研发人员：娄扬,刘传宇
受保护的技术使用者：北京天融信网络安全技术有限公司
技术研发日：
技术公布日：2024/3/31