技術領域

本發明涉及網絡安全技術領域，更具體地說，涉及一種威脅處理方法及系統、聯動客戶端、安全設備及主機。

背景技術

隨著計算機與網絡技術的不斷發展，網絡安全也日益受到人們越來越多的關注。防范終端電腦發起惡意流量是網絡安全中的一個方面。

惡意發起流量的終端電腦被認為是威脅源，現有消除威脅源的方法有多種，通常的，由安全設備（如IPS（Intrusion?Prevention?System，入侵防御系統）/IDS（Intrusion?Detection?System，入侵檢測系統）/FW（Fire?Wall，防火墻）等）發現TCP/UDP威脅流量后，安全設備隔離威脅源，如網絡側隔離或終端側隔離。

但是，現有安全設備消除威脅源的方法，具有以下缺陷：

安全設備將整個終端電腦認為是威脅源，因此，被認為成威脅源的整個終端電腦被隔離，不允許其訪問其他的終端上的辦公資源，進而導致被認為成威脅源的終端電腦無法正常辦公。

發明內容

有鑒于此，為了解決被認為成威脅源的終端電腦無法正常辦公的問題，第一方面提供了一種威脅源的處理方法，技術方案如下：

一種威脅處理方法，包括：

威脅源獲取威脅信息；

根據所述威脅信息定位威脅進程；

處理所述威脅進程；

其中，所述威脅源為導致網絡異常的終端，所述威脅信息由安全設備提取，所述安全設備檢測到威脅源時，從網絡會話中提取所述威脅源的威脅信息。

結合第一方面，在第一方面的第一種可能的實現方式中，

所述安全設備檢測到威脅源時，從網絡會話中提取所述威脅源的威脅信息，包括：

當所述安全設備檢測到網絡異常時，所述安全設備獲取網絡異常會話中的五元組信息；

所述安全設備從所述異常會話中的五元組信息中提取所述威脅信息，所述威脅信息包括威脅源IP、威脅源端口號以及協議。

結合第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，

由查詢語句根據所述威脅源IP、威脅源端口號以及協議獲得威脅進程ID；

獲取所有進程的信息列表；

根據所述威脅進程ID從所述信息列表中獲取威脅進程信息，并根據所述威脅進程信息定位威脅進程。

結合第一方面，在第一方面的第三種可能的實現方式中，所述處理所述威脅進程包括：

通知用戶存在所述威脅進程，和/或關閉所述威脅進程。

結合第一方面，或第一方面的第一種可能的實現方式，或第一方面的第二種可能的實現方式，或第一方面的第三種可能的實現方式，在第一方面的第四種可能的實現方式中，本申請實施例提供的威脅源的處理方法，所述網絡異常為流量異常。

本發明第二方面提供了一種威脅處理方法，包括：

安全設備檢測威脅源，并從網絡會話中提取所述威脅源的威脅信息；

發送所述威脅信息至所述威脅源，使得所述威脅源根據所述威脅信息定位威脅進程，并處理所述威脅進程；

其中，所述威脅源為導致網絡異常的終端。

結合第二方面，在第二方面的第一種可能的實現方式中，

所述安全設備檢測威脅源，并提取所述威脅源的威脅信息，包括：

當所述安全設備檢測到網絡異常時，獲取網絡異常會話中的五元組信息；

從所述異常會話中的五元組信息中提取所述威脅信息，所述威脅信息包括威脅源IP、威脅源端口號以及協議。

結合第二方面的第一種可能的實現方式，在第二方面的第二種可能的實現方式中，

所述威脅源根據所述威脅信息定位威脅進程，包括；

由查詢語句根據所述威脅源IP、威脅源端口號以及協議獲取威脅進程ID；

獲取所有進程信息列表；

根據所述威脅進程ID從所述信息列表中獲取威脅進程信息，并根據所述威脅進程信息定位威脅進程。

結合第二方面在第二方面的第三種可能的實現方式中，

所述安全設備檢測威脅源之后還包括：

制定聯動策略并發送至所述威脅源，所述聯動策略為通知用戶存在所述威脅進程，和/或關閉所述威脅進程。

結合第二方面，或第二方面的第一種可能的實現方式，或第二方面的第二種可能的實現方式，或第二方面的第三種可能的實現方式，在第二方面的第四種可能的實現方式中，本申請實施例提供的威脅源的處理方法，所述網絡異常為流量異常。

本發明第三方面提供了一種聯動客戶端，用于威脅的處理，包括：