[发明专利]威胁处理方法及系统、联动客户端、安全设备及主机有效
| 申请号: | 201210578641.6 | 申请日: | 2012-12-27 |
| 公开(公告)号: | CN103067384A | 公开(公告)日: | 2013-04-24 |
| 发明(设计)人: | 赖后华;吴昊;易琛军;李春茂 | 申请(专利权)人: | 华为技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 唐华明 |
| 地址: | 518129 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 威胁 处理 方法 系统 联动 客户端 安全设备 主机 | ||
1.一种威胁处理方法,其特征在于,包括:
威胁源获取威胁信息;
根据所述威胁信息定位威胁进程;
处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
2.根据权利要求1所述的方法,其特征在于,
所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息,包括:
当所述安全设备检测到网络异常时,所述安全设备获取网络异常会话中的五元组信息;
所述安全设备从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。
3.根据权利要求2所述的方法,其特征在于,所述根据所述威胁信息定位威胁进程,包括;
由查询语句根据所述威胁源IP、威胁源端口号以及协议获得威胁进程ID;
获取所有进程的信息列表;
根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
4.根据权利要求1所述的方法,其特征在于,所述处理所述威胁进程包括:
通知用户存在所述威胁进程,和/或关闭所述威胁进程。
5.根据权利要求1-4所述的任意一项方法,其特征在于,所述网络异常为流量异常。
6.一种威胁处理方法,其特征在于,包括:
安全设备检测威胁源,并从网络会话中提取所述威胁源的威胁信息;
发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端。
7.根据权利要求6所述的方法,其特征在于,
所述安全设备检测威胁源,并提取所述威胁源的威胁信息,包括:
当所述安全设备检测到网络异常时,获取网络异常会话中的五元组信息;
从所述异常会话中的五元组信息中提取所述威胁信息,所述威胁信息包括威胁源IP、威胁源端口号以及协议。
8.根据权利要求7所述的方法,其特征在于,所述威胁源根据所述威胁信息定位威胁进程,包括;
由查询语句根据所述威胁源IP、威胁源端口号以及协议获取威胁进程ID;
获取所有进程信息列表;
根据所述威胁进程ID从所述信息列表中获取威胁进程信息,并根据所述威胁进程信息定位威胁进程。
9.根据权利要求6所述的方法,其特征在于,所述安全设备检测威胁源之后还包括:
制定联动策略并发送至所述威胁源,所述联动策略为通知用户存在所述威胁进程,和/或关闭所述威胁进程。
10.根据权利要求6-9所述的任意一项方法,其特征在于,所述网络异常为流量异常。
11.一种联动客户端,用于威胁的处理,其特征在于,包括:
威胁信息获取单元,用于威胁源获取威胁信息并将所述威胁信息发送给进程关联单元;
进程关联单元,用于从所述威胁信息获取单元获取所述威胁信息,根据所述威胁信息定位威胁进程;
处理单元,用于处理所述威胁进程;
其中,所述威胁源为导致网络异常的终端,所述威胁信息由安全设备提取,所述安全设备检测到威胁源时,从网络会话中提取所述威胁源的威胁信息。
12.一种安全设备,用于威胁的处理,其特征在于,包括:
检测单元,用于检测导致网络异常的威胁源,并从网络会话中提取所述威胁源的威胁信息;
发送单元,发送所述威胁信息至所述威胁源,使得所述威胁源根据所述威胁信息定位威胁进程,并处理所述威胁进程。
13.根据权利要求12所述的安全设备,其特征在于,所述安全设备还包括策略制定单元,用于制定联动策略并将所述联动策略发送至所述威胁源,所述联动策略为,对威胁进程进行处理。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华为技术有限公司,未经华为技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210578641.6/1.html,转载请声明来源钻瓜专利网。
