[发明专利]失陷主机的定位方法、防护装置、网络安全设备及介质

权利要求书

1.一种失陷主机的定位方法，其特征在于，所述失陷主机的定位方法应用于防护装置，所述失陷主机的定位方法包括以下步骤：

在所述防护装置接收到网络安全设备下发的查询指令的情况下，获取所述查询指令对应的IP地址；

根据实时更新维护的映射关系获取所述IP地址对应的主机信息，其中，所述映射关系为监控到的IP地址及主机信息关联生成的；

将获取的所述主机信息发送至所述网络安全设备。

2.如权利要求1所述的失陷主机的定位方法，其特征在于，所述失陷主机的定位方法还包括：

接收终端在监控到IP地址发生变化的情况下上传的IP地址更新信息；

基于所述IP地址更新信息更新所述映射关系。

3.一种失陷主机的定位方法，其特征在于，所述失陷主机的定位方法应用于网络安全设备，所述失陷主机的定位方法包括以下步骤：

在检测到恶意流量的情况下，确定该恶意流量对应主机的IP地址，并基于所述IP地址生成查询指令；

将所述查询指令发送至防护装置，其中，所述防护装置接收到所述查询指令后，反馈所述查询指令对应的主机信息；

接收所述主机信息，并根据所述主机信息确定针对该恶意流量的失陷主机。

4.如权利要求3所述的失陷主机的定位方法，其特征在于，所述接收所述主机信息，并根据所述主机信息确定失陷主机的步骤之后：

基于所述失陷主机执行预设管理操作。

5.如权利要求4所述的失陷主机的定位方法，其特征在于，所述预设管理操作包括以下一个或多个操作：

清理所述失陷主机中的恶意进程和/或恶意文件；

隔离所述失陷主机；

发出包含所述失陷主机对应主机信息的告警信息。

6.一种防护装置，其特征在于，所述防护装置包括：

获取模块，用于在所述防护装置接收到网络安全设备下发的查询指令的情况下，获取所述查询指令对应的IP地址；

确认模块，用于根据实时更新维护的映射关系获取所述IP地址对应的主机信息，其中，所述映射关系为监控到的IP地址及主机信息关联生成的；

发送模块，用于将获取的所述主机信息发送至所述网络安全设备。

7.一种防护装置，其特征在于，所述防护装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的失陷主机的定位程序，所述失陷主机的定位程序被所述处理器执行时实现如权利要求1至2中任一项所述的失陷主机的定位方法的步骤。

8.一种网络安全设备，其特征在于，所述网络安全设备包括：

确定模块，用于在检测到恶意流量的情况下，确定该恶意流量对应主机的IP地址，并基于所述IP地址生成查询指令；

发送模块，用于将所述查询指令发送至防护装置，其中，所述防护装置接收到所述查询指令后，反馈所述查询指令对应的主机信息；

接收模块，用于接收所述主机信息，并根据所述主机信息确定针对该恶意流量的失陷主机。

9.一种网络安全设备，其特征在于，所述网络安全设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的失陷主机的定位程序，所述失陷主机的定位程序被所述处理器执行时实现如权利要求3至5中任一项所述的失陷主机的定位方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有失陷主机的定位程序，所述失陷主机的定位程序被处理器执行时实现如权利要求1至2或者3至5中任一项所述的失陷主机的定位方法的步骤。