[發(fā)明專利]威脅處理方法、裝置、設(shè)備和可讀存儲介質(zhì)有效
| 申請?zhí)枺?/td> | 202010049686.9 | 申請日: | 2020-01-16 |
| 公開(公告)號: | CN111277585B | 公開(公告)日: | 2022-09-30 |
| 發(fā)明(設(shè)計)人: | 郭振乾;蔣世齊;黎子流;王瑞芹 | 申請(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L61/4511 |
| 代理公司: | 深圳市世紀(jì)恒程知識產(chǎn)權(quán)代理事務(wù)所 44287 | 代理人: | 魏蘭 |
| 地址: | 518000 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 威脅 處理 方法 裝置 設(shè)備 可讀 存儲 介質(zhì) | ||
1.一種威脅處理方法,其特征在于,所述威脅處理方法包括以下步驟:
當(dāng)終端請求流量時,獲取對應(yīng)的請求域名;
判斷所述請求域名是否為惡意域名;
若所述請求域名為惡意域名,則獲取所述終端請求流量的對象對應(yīng)的對象信息;所述對象信息包括請求流量對應(yīng)終端上的對象及與其相關(guān)的所有對象的信息,所述對象信息還包括所述請求流量對應(yīng)終端以外的其他終端上的對象及與其相關(guān)的所有對象的信息;
根據(jù)所述對象信息的威脅分析結(jié)果發(fā)送處置指令,以使所述終端按照所述處置指令進行對象處理。
2.如權(quán)利要求1所述的威脅處理方法,其特征在于,所述獲取所述終端請求流量的對象對應(yīng)的對象信息的步驟包括:
獲取所述終端對應(yīng)的終端標(biāo)識信息;
發(fā)送所述終端標(biāo)識信息和所述請求域名至所述終端對應(yīng)的終端管控模塊;
獲取所述終端管控模塊基于所述終端標(biāo)識信息和所述請求域名進行溯源舉證后返回的所述對象信息。
3.如權(quán)利要求1所述的威脅處理方法,其特征在于,所述獲取所述終端請求流量的對象對應(yīng)的對象信息的步驟包括:
獲取所述終端對應(yīng)的終端標(biāo)識信息;
將所述終端標(biāo)識信息和所述請求域名,作為所述終端請求流量的對象對應(yīng)的對象信息。
4.如權(quán)利要求1所述的威脅處理方法,其特征在于,所述根據(jù)所述對象信息的威脅分析結(jié)果發(fā)送處置指令的步驟包括:
獲取所述對象信息對應(yīng)的威脅狀態(tài)信息,獲取所述對象信息對應(yīng)的殺毒結(jié)果;
根據(jù)所述威脅狀態(tài)信息和殺毒結(jié)果,分析所述終端上的目標(biāo)對象及其對應(yīng)的處置方式;
按照所述處置方式發(fā)送所述處置指令。
5.如權(quán)利要求4所述的威脅處理方法,其特征在于,所述根據(jù)所述威脅狀態(tài)信息和殺毒結(jié)果,分析所述終端上的目標(biāo)對象及其對應(yīng)的處置方式的步驟包括:
將所述殺毒結(jié)果中高危的對象、或所述威脅狀態(tài)信息中屬于黑名單的對象,確定為第一目標(biāo)對象,確定所述第一目標(biāo)對象對應(yīng)的處置方式為隔離;
將在所述殺毒結(jié)果中安全、且在所述威脅狀態(tài)信息中屬于白名單的對象,確定為第二目標(biāo)對象,確定所述第二目標(biāo)對象對應(yīng)的處置方式為信任;
在所述殺毒結(jié)果和所述威脅狀態(tài)信息中,將除所述第一目標(biāo)對象和所述第二目標(biāo)對象以外的對象,確定為第三目標(biāo)對象,確定所述第三目標(biāo)對象對應(yīng)的處置方式為持續(xù)觀察。
6.如權(quán)利要求4所述的威脅處理方法,其特征在于,所述獲取所述對象信息對應(yīng)的威脅狀態(tài)信息的步驟包括:
確定所述對象信息的信息摘要;
根據(jù)所述信息摘要查詢第一威脅情報庫,得到所述威脅狀態(tài)信息。
7.如權(quán)利要求4所述的威脅處理方法,其特征在于,所述按照所述處置方式發(fā)送所述處置指令的步驟包括:
根據(jù)所述處置方式和所述目標(biāo)對象,生成對應(yīng)的處置指令;
發(fā)送所述處置指令至所述終端對應(yīng)的終端管控模塊,以使所述終端管控模塊發(fā)送所述處置指令至所述終端,使所述終端按照所述處置指令進行對象處置。
8.如權(quán)利要求1至7中任一項所述的威脅處理方法,其特征在于,所述判斷所述請求域名是否為惡意域名的步驟之后,還包括:
當(dāng)所述請求域名為惡意域名時,禁止所述終端請求流量,執(zhí)行所述獲取所述終端請求流量的對象對應(yīng)的對象信息的步驟;
當(dāng)所述請求域名為非惡意域名時,按照所述請求域名請求流量。
9.如權(quán)利要求8所述的威脅處理方法,其特征在于,所述判斷所請求域名是否為惡意域名的步驟包括:
基于本地的第二威脅情報庫,判斷所述請求域名是否為惡意域名;
其中,所述非惡意域名包括未知域名,所述基于本地的第二威脅情報庫,判斷所述請求域名是否為惡意域名的步驟之后,還包括:
若所述請求域名為未知域名,按照所述請求域名請求流量,將所述請求域名上傳至云端,以使云端按照所述請求域名的分析結(jié)果,更新所述第二威脅情報庫。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010049686.9/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 威脅處理方法及系統(tǒng)、聯(lián)動客戶端、安全設(shè)備及主機
- 一種安全威脅管理方法和系統(tǒng)
- 一種電力系統(tǒng)移動終端安全威脅評估方法
- 一種云平臺下租戶安全威脅告警系統(tǒng)及其實現(xiàn)方法
- 一種基于決策樹的網(wǎng)絡(luò)威脅評估方法、裝置及存儲介質(zhì)
- 一種工控網(wǎng)絡(luò)威脅自動隔離方法及系統(tǒng)
- 一種威脅情報防御方法和系統(tǒng)
- 基于態(tài)勢感知告警的威脅評估系統(tǒng)及方法
- 一種威脅處置方法、威脅處置工具和計算機可讀介質(zhì)
- 一種威脅情報的評價方法、裝置、設(shè)備及存儲介質(zhì)
