一种失陷主机的封禁方法、装置电子设备和存储介质与流程

本技术涉及网络安全，具体而言，涉及一种失陷主机的方法、装置电子设备和存储介质。

背景技术：

1、目前，安全网关使用各类检测方法发现有失陷主机后，为了防止失陷主机的信息泄露以及木马蠕虫病毒的进一步扩散，通常在网关上对失陷主机进行隔离，禁止其进一步的网络活动。

2、但是对失陷主机的研判所依赖的规则、特征、威胁情报等，都存在误报的可能性，如果产生误判，对被隔离主机进行完全的网络隔离，有可能对用户的正常业务产生较大影响。

技术实现思路

1、本技术实施例的目的在于提供一种失陷主机的封禁方法、装置电子设备和存储介质，能够根据主机的实际情况对主机实行不同程度的封禁，保证计算机安全的同时最小化对业务的影响。

2、第一方面，本技术实施例提供了一种失陷主机的封禁方法，包括：

3、接收流量报文；

4、判断所述流量报文对应目标主机是否为封禁主机；

5、若是，在预先配置的失陷主机处置表中获取所述目标主机的隔离策略，所述失陷主机处置表中包括不同等级的隔离策略；

6、根据所述目标主机的隔离策略对所述流量报文进行处理。

7、在上述实现过程中，在预先配置的失陷主机处置表中配置有不同等级的隔离策略，当接收到流量报文时，判断流量报文对应的目标主机是否是已经被封禁的主机，如果是被封禁的主机，则去失陷主机处置表中获取对应的隔离策略，根据隔离策略对流量报文进行处理。基于上述实施方式，能够避免对所有主机执行相同的隔离策略，导致正常业务受到影响。

8、进一步地，所述隔离策略包括：完全隔离策略或部分隔离策略；

9、所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤，包括：

10、根据所述完全隔离策略对所述流量报文进行处理，或，根据一个或多个所述部分隔离策略对所述流量报文进行处理。

11、在上述实现过程中，将隔离策略分为两种，分别是完全隔离策略和部分隔离策略；基于完全隔离策略，能够实现对主机的完全隔离，最大程度地保护主机安全，进一步保护整个系统的安全；基于部分隔离策略，能够实现对主机进行部分隔离，保护计算机安全的同时最小化封禁操作对业务的影响。

12、进一步地，所述根据所述完全隔离策略对所述流量报文进行处理的步骤，包括：

13、若所述目标主机的隔离策略为完全隔离策略，拦截所述流量报文。

14、在上述实现过程中，不同等级的隔离策略包括网络隔离，基于该策略，可以实现对封禁主机的完全封禁，保证主机不被进一步攻击，也保证主机所在的系统不会被进一步攻击。

15、进一步地，所述部分隔离策略包括：主机外网隔离策略；

16、所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤，包括：

17、若所述目标主机的隔离策略为主机外网隔离策略，对所述流量报文进行解析，得到目的ip和源ip；

18、若所述目的ip或所述源ip为外网ip，则对所述流量报文进行阻断。

19、在上述实现过程中，通过实行主机外网隔离策略，可以保证主机在内网之间正常通信，适用于只用于处理网内业务的主机。

20、进一步地，所述部分隔离策略包括：服务器外网隔离策略；所述失陷主机处置表包括所述目标主机的保留服务端口；

21、所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤，包括：

22、若所述目标主机的隔离策略为服务器外网隔离策略，对所述流量报文进行解析，得到所述流量报文对应的接收端口；

23、判断所述接收端口是否为所述保留服务端口；

24、若是，放行所述流量报文；若否，对所述流量报文进行阻断。

25、在上述实现过程中，不同等级的隔离策略包括：服务器外网隔离，主机处置表中配置有目标主机的保留服务端口，通过放心接收端口对应的流量报文，能够使得一个或多个目标应用的部分或者全部功能正常运行，能够在一定程度上避免业务全部受到影响。

26、进一步地，所述部分隔离策略包括：常用协议隔离策略；所述失陷主机处置表包括：隔离协议；

27、所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤，包括：

28、若所述目标主机的隔离策略为常用协议隔离策略，对所述流量报文进行解析，得到所述流量报文对应的协议；

29、判断所述流量报文对应的协议是否为所述隔离协议；

30、若是，对所述流量报文进行阻断；若否，放行所述流量报文。

31、在上述实现过程中，不同的浏览器、不同的应用、不同的系统、不同的主机以及不同的通信网络之间采用不同的通信协议进行通信，病毒、恶意软件通常通过一种或多种特定的协议进行传输、入侵，失陷主机处置表中的隔离策略包括了常用协议隔离，当流量报文是采用隔离协议进行传输时，说明该流量报文所传输的内容有极大的可能包含恶意软件或者病毒，因此，将该流量报文进行隔离，能够保证计算机的安全，同时，方形其他协议的报文，保证其他的业务不受影响。

32、进一步地，所述部分隔离策略包括：组合访问控制策略；所述失陷主机处置表包括：访问控制策略组；

33、所述根据所述目标主机的隔离策略对所述流量报文进行处理的步骤，包括：

34、若所述目标主机的隔离策略为组合访问控制策略，依次使用通用访问控制策略和所述访问控制策略组对所述流量报文进行控制。

35、在上述实现过程中，设置了访问控制策略组，实现了对封禁主机的报文的个性化控制，保证业务的正常运行。

36、第二方面，本技术实施例提供一种失陷主机的封禁装置，包括：

37、接收模块，用于接收流量报文；

38、判断模块，用于判断所述流量报文对应目标主机是否为封禁主机；

39、获取模块，用于当所述判断模块的判断结果为是时，在预先配置的失陷主机处置表中获取所述目标主机的隔离策略，所述失陷主机处置表中包括不同等级的隔离策略；

40、隔离模块，用于根据所述目标主机的隔离策略对所述流量报文进行处理。

41、在上述实现过程中，在预先配置的失陷主机处置表中配置有不同等级的隔离策略，当接收到流量报文时，判断流量报文对应的目标主机是否是已经被封禁的主机，如果是被封禁的主机，则去失陷主机处置表中获取对应的隔离策略，根据隔离策略对流量报文进行处理。基于上述实施方式，能够避免对所有主机执行相同的隔离策略，导致正常业务受到影响。

42、第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。

43、第四方面，本技术实施例提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。

44、本技术公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本技术公开的上述技术即可得知。

45、为使本技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。