System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 终端管理方法、装置、设备、存储介质及计算机程序制造方法及图纸_技高网

终端管理方法、装置、设备、存储介质及计算机程序制造方法及图纸

技术编号:41197682 阅读:6 留言:0更新日期:2024-05-07 22:25
本申请公开了一种终端管理方法、装置、设备、存储介质及计算机程序,属于网络安全技术领域。所述方法包括:接收目标终端发送的第一业务报文,基于目标终端的IP地址,确定目标终端的标识,基于第一业务报文生成第二业务报文,将第二业务报文发送至防火墙,在第二业务报文为恶意挖矿报文的情况下,对目标终端进行隔离处理。由于第二业务报文携带目标终端的标识,且目标终端的标识在业务报文转发的过程中并不会发生变化。这样,在第二业务报文为恶意挖矿报文的情况下,通过目标终端的标识就能够准确地定位被挖矿病毒攻击的目标终端。而且,对于被挖矿病毒攻击的目标终端进行隔离处理,能够避免挖矿病毒从目标终端扩散至局域网中的其他终端。

【技术实现步骤摘要】

本申请涉及网络安全,特别涉及一种终端管理方法、装置、设备、存储介质及计算机程序


技术介绍

1、当前网络环境中挖矿病毒日益泛滥,在通过终端访问互联网的过程中,终端可能会受到挖矿病毒的攻击。虽然挖矿病毒并不会窃取终端所存储的数据,但是挖矿病毒会占用终端的资源,比如网络资源、计算资源和电力资源,导致终端出现卡顿和响应缓慢等问题。而且,在挖矿病毒具有横向扩散功能的情况下,挖矿病毒会从当前终端扩散至局域网中的其他终端。

2、在相关技术中,局域网出口部署有防火墙和/或安全分析系统,在网关将终端上报的业务报文通过局域网出口发送至互联网的过程中,防火墙和/或安全分析系统对该业务报文进行恶意挖矿检测,以确定该业务报文是否为恶意挖矿报文。在防火墙和/或安全分析系统确定出该业务报文为恶意挖矿报文之后,阻断该业务报文对应的流量。

3、然而,按照上述网络手段检测出挖矿病毒之后,只能对该业务报文对应的流量进行阻断,无法定位被挖矿病毒攻击的终端。


技术实现思路

1、本申请提供了一种终端管理方法、装置、设备、存储介质及计算机程序,可以准确地定位被挖矿病毒攻击的目标终端。所述技术方案如下:

2、第一方面,提供了一种终端管理方法。在该方法中,接收目标终端发送的第一业务报文,第一业务报文携带目标终端的互联网协议ip地址,基于目标终端的ip地址,确定目标终端的标识,基于第一业务报文生成第二业务报文,第二业务报文携带目标终端的ip地址和目标终端的标识,将第二业务报文发送至防火墙,防火墙用于对第二业务报文进行恶意挖矿检测,在第二业务报文为恶意挖矿报文的情况下,对目标终端进行隔离处理。

3、接收到目标终端发送的第一业务报文之后,基于第一业务报文生成第二业务报文。由于第二业务报文携带目标终端的标识,且目标终端的标识在业务报文转发的过程中并不会发生变化。这样,在第二业务报文为恶意挖矿报文的情况下,通过目标终端的标识就能够准确地定位被挖矿病毒攻击的目标终端。而且,对于被挖矿病毒攻击的目标终端进行隔离处理,能够避免挖矿病毒从目标终端扩散至局域网中的其他终端。

4、终端管理系统包括目标终端、网关、控制分析器和防火墙。其中,控制分析器、网关和防火墙可能是三个各自独立的设备。或者,控制分析器可能被集成在网关上,与网关作为一个整体的设备。又或者,控制分析器可能被集成在防火墙上,与防火墙作为一个整体的设备。因此,接下来将分别进行介绍。

5、第一种情况,控制分析器是独立于网关和防火墙之外的其他设备。

6、目标终端向网关发送第一业务报文,第一业务报文携带目标终端的ip地址。

7、在目标终端向网关发送第一业务报文之前,网关需要对目标终端进行上线处理。也即是,目标终端向网关发送上线请求,该上线请求携带目标终端的用户名和目标终端的ip地址。网关接收目标终端发送的上线请求,基于目标终端的用户名,确定目标终端对应的挖矿次数。在目标终端对应的挖矿次数不大于次数阈值的情况下,对目标终端进行上线处理。在目标终端对应的挖矿次数大于次数阈值的情况下,不对目标终端进行上线处理。

8、其中,网关基于目标终端的用户名,确定目标终端对应的挖矿次数的实现过程包括:网关向控制分析器发送挖矿次数查询请求,该挖矿次数查询请求携带目标终端的用户名。控制分析器接收到网关发送的挖矿次数查询请求之后,基于目标终端的用户名,从本地存储的用户名与挖矿次数之间的对应关系中获取目标终端对应的挖矿次数。然后,控制分析器向网关发送挖矿次数查询响应,该挖矿次数查询响应携带目标终端对应的挖矿次数。

9、网关接收到控制分析器发送的挖矿次数查询响应之后,将目标终端对应的挖矿次数与次数阈值进行比较。在目标终端对应的挖矿次数不大于次数阈值的情况下,表明目标终端并没有频繁地被挖矿病毒攻击。此时,网关对目标终端进行上线处理,并向目标终端发送上线成功通知。在目标终端对应的挖矿次数大于次数阈值的情况下,表明目标终端已经被挖矿病毒攻击过多次。此时,网关向目标终端发送上线失败通知和提示消息,该提示消息用于提示目标终端已被锁定无法进行上线,需要目标终端向管理员申请解锁才能进行上线。即,在目标终端被挖矿病毒攻击过多次的情况下,永久性阻断目标终端的上线行为,除非目标终端向管理员申请解锁才能进行上线。

10、需要说明的是,控制分析器将挖矿次数查询响应发送给网关,使得网关基于目标终端对应的挖矿次数和次数阈值之间的关系,确定目标终端能否上线仅为一种示例。示例地,网关还能够按照其他的方式来确定目标终端能否上线。示例地,控制分析器接收到网关发送的挖矿次数查询请求之后,基于目标终端的用户名,从本地存储的用户名与挖矿次数之间的对应关系中获取目标终端对应的挖矿次数。然后,控制分析器将目标终端对应的挖矿次数与次数阈值进行比较,在目标终端对应的挖矿次数不大于次数阈值的情况下,生成第一指导信息并发送给网关,第一指导信息指示目标终端能够上线。网关接收到控制分析器发送的第一指导信息之后,对目标终端进行上线处理。相反,在目标终端对应的挖矿次数大于次数阈值的情况下,控制分析器生成第二指导信息并发送给网关,第二指导信息指示目标终端不能上线。网关接收到控制分析器发送的第二指导信息之后,不对目标终端进行上线处理。也即是,控制分析器获取到目标终端对应的挖矿次数之后,直接将目标终端对应的挖矿次数与次数阈值进行比较,以此来生成指导信息,进而将指导信息发送给网关。这样,网关接收到控制分析器发送的指导信息之后,能够直接基于指导信息确定目标终端能否上线。

11、可选地,在网关对目标终端进行上线处理之后,网关还能够基于目标终端的用户名和/或目标终端的ip地址,按照相关算法生成目标终端的标识,进而将目标终端的ip地址与目标终端的标识之间的对应关系存储至本地。

12、网关接收目标终端发送的第一业务报文,基于第一业务报文生成第二业务报文,并将第二业务报文发送至防火墙,第二业务报文携带目标终端的ip地址和目标终端的标识。

13、在网关将业务报文从局域网发送至互联网的过程中,网关通过网络地址转换的方式,将目标终端的私网地址转换成公网地址,导致业务报文携带的目标终端的ip地址发生变化,从而无法定位目标终端。所以,网关接收到目标终端发送的第一业务报文之后,将目标终端的标识封装在第一业务报文中,以得到第二业务报文,进而将第二业务报文从局域网发送至互联网。由于目标终端的标识在业务报文转发的过程中并不会发生变化。因此,通过第二业务报文携带的目标终端的标识就能够定位目标终端。

14、防火墙接收网关发送的第二业务报文,对第二业务报文进行恶意挖矿检测,在第二业务报文为恶意挖矿报文的情况下,向控制分析器发送恶意挖矿通知,该恶意挖矿通知携带目标终端的标识。

15、控制分析器接收防火墙发送的该恶意挖矿通知,生成隔离通知并发送给网关,该隔离通知携带目标终端的ip地址。

16、示例地,控制分析器接收到防火墙发送的该恶意挖矿通知之后,能够基于该本文档来自技高网...

【技术保护点】

1.一种终端管理方法,其特征在于,所述方法包括:

2.如权利要求1所述的方法,其特征在于,对所述目标终端进行隔离处理,包括:

3.如权利要求2所述的方法,其特征在于,所述恶意挖矿通知还携带恶意挖矿日志;

4.如权利要求1所述的方法,其特征在于,对所述目标终端进行隔离处理,包括:

5.如权利要求4所述的方法,其特征在于,所述恶意挖矿通知还携带恶意挖矿日志;

6.如权利要求4或5所述的方法,其特征在于,所述接收所述防火墙发送的恶意挖矿通知之后,所述方法还包括:

7.如权利要求5或6所述的方法,其特征在于,所述将所述挖矿病毒清除指导信息发送给所述目标终端之后,所述方法还包括:

8.如权利要求1-7任一所述的方法,其特征在于,所述接收目标终端发送的第一业务报文之前,所述方法还包括:

9.如权利要求8所述的方法,其特征在于,所述对所述目标终端进行上线处理之后,所述方法还包括:

10.一种终端管理装置,其特征在于,所述装置包括:

11.如权利要求10所述的装置,其特征在于,所述第一处理模块包括:

12.如权利要求11所述的装置,其特征在于,所述恶意挖矿通知还携带恶意挖矿日志;

13.如权利要求10所述的装置,其特征在于,所述第一处理模块包括:

14.如权利要求13所述的装置,其特征在于,所述恶意挖矿通知还携带恶意挖矿日志;

15.如权利要求13或14所述的装置,其特征在于,所述第一处理模块还包括:

16.如权利要求14或15所述的装置,其特征在于,所述第一处理模块还包括:

17.如权利要求10-16任一所述的装置,其特征在于,所述装置还包括:

18.如权利要求17所述的装置,其特征在于,所述装置还包括:

19.一种终端管理设备,其特征在于,所述终端管理设备包括存储器和处理器,所述存储器用于存储计算机程序,所述处理器被配置为用于执行所述存储器中存储的计算机程序,以实现权利要求1-9任一项所述的方法。

20.一种计算机可读存储介质,其特征在于,所述存储介质内存储有指令,当所述指令在所述计算机上运行时,使得所述计算机执行权利要求1-9任一所述的方法的步骤。

21.一种计算机程序,其特征在于,所述计算机程序包括指令,当所述指令在所述计算机上运行时,使得所述计算机执行权利要求1-9任一项所述的方法。

...

【技术特征摘要】

1.一种终端管理方法,其特征在于,所述方法包括:

2.如权利要求1所述的方法,其特征在于,对所述目标终端进行隔离处理,包括:

3.如权利要求2所述的方法,其特征在于,所述恶意挖矿通知还携带恶意挖矿日志;

4.如权利要求1所述的方法,其特征在于,对所述目标终端进行隔离处理,包括:

5.如权利要求4所述的方法,其特征在于,所述恶意挖矿通知还携带恶意挖矿日志;

6.如权利要求4或5所述的方法,其特征在于,所述接收所述防火墙发送的恶意挖矿通知之后,所述方法还包括:

7.如权利要求5或6所述的方法,其特征在于,所述将所述挖矿病毒清除指导信息发送给所述目标终端之后,所述方法还包括:

8.如权利要求1-7任一所述的方法,其特征在于,所述接收目标终端发送的第一业务报文之前,所述方法还包括:

9.如权利要求8所述的方法,其特征在于,所述对所述目标终端进行上线处理之后,所述方法还包括:

10.一种终端管理装置,其特征在于,所述装置包括:

11.如权利要求10所述的装置,其特征在于,所述第一处理模块包括:

12.如权利要求11所述的装置,其特征在于,所...

【专利技术属性】
技术研发人员:许燕平何平蒋宇
申请(专利权)人:华为技术有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1