[发明专利]失陷主机的定位方法、防护装置、网络安全设备及介质

说明书

本发明公开了一种失陷主机的定位方法，包括以下步骤：在所述防护装置接收到网络安全设备下发的查询指令的情况下，获取所述查询指令对应的IP地址；根据实时更新维护的映射关系获取所述IP地址对应的主机信息，其中，所述映射关系为监控到的IP地址及主机信息关联生成的；将获取的所述主机信息发送至所述网络安全设备。本发明还公开了一种防护装置、网络安全设备及计算机可读存储介质，达成了提升DHCP场景下失陷主机定位方案的兼容性的效果。

技术领域

本发明涉及网络安全技术领域，尤其涉及失陷主机的定位方法、防护装置、网络安全设备及计算机可读存储介质。

背景技术

近年来为更好的检测内部网络存在中的威胁，发现失陷主机，大部分网络安全设备都具备结合情报IOC(Indicators of Compromise，折衷指标)，从流量中发现主机的异常网络行为，进而识别失陷主机的功能。但是在DHCP(Dynamic Host ConfigurationProtocol，动态主机配置协议)场景下，在通过流量检测失陷主机的IP地址再定位到具体的主机时，由于每一主机的IP地址是动态分配的，无法强关联至真实主机。

目前，为解决无法定位真实主机的缺陷，一般通过联动交换机/路由器，读取其IP地址池的映射关系或租赁关系，来获取当前某个IP被分配给哪个主机。但并不是所有交换机和路由器都支持联动，因此交换机/路由器的接口需要开发，且存在不具备开放接口的能力的交换机/路由器，导致现有方案不使用与未额外开发接口或者不具备开放接口的能力的交换机/路由器，这样导致现有的在DHCP场景下的失陷主机定位方案存在局限性。

发明内容

本发明的主要目的在于提供一种失陷主机的定位方法、防护装置、网络安全设备及计算机可读存储介质，旨在达成提升DHCP场景下失陷主机定位方案的兼容性的效果。

为实现上述目的，本发明提供一种失陷主机的定位方法，所述失陷主机的定位方法包括以下步骤：

在所述防护装置接收到网络安全设备下发的查询指令的情况下，获取所述查询指令对应的IP地址；

根据实时更新维护的映射关系获取所述IP地址对应的主机信息，其中，所述映射关系为监控到的IP地址及主机信息关联生成的；

将获取的所述主机信息发送至所述网络安全设备。

可选地，所述失陷主机的定位方法还包括：

接收终端在监控到IP地址发生变化的情况下上传的IP地址更新信息；

基于所述IP地址更新信息更新所述映射关系。

此外，为实现上述目的，本发明还提供一种失陷主机的定位方法，所述失陷主机的定位方法应用于网络安全设备，所述失陷主机的定位方法包括以下步骤：

在检测到恶意流量的情况下，确定该恶意流量对应主机的IP地址，并基于所述IP地址生成查询指令；

将所述查询指令发送至防护装置，其中，所述防护装置接收到所述查询指令后，反馈所述查询指令对应的主机信息；

接收所述主机信息，并根据所述主机信息确定针对该恶意流量的失陷主机。

可选地，所述接收所述主机信息，并根据所述主机信息确定失陷主机的步骤之后：

基于所述失陷主机执行预设管理操作。

可选地，所述预设管理操作包括以下一个或多个操作：

清理所述失陷主机中的恶意进程和/或恶意文件；

隔离所述失陷主机；

发出包含所述失陷主机对应主机信息的告警信息；

此外，为实现上述目的，本发明还提供一种防护装置，所述防护装置包括：