(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111593692.1 (22)申请日 2021.12.24 (65)同一申请的已公布的文献号 申请公布号 CN 113992430 A (43)申请公布日 2022.01.28 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 刘斐然　赵林林　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/06(2022.01)(56)对比文件 CN 112039865 A,2020.12.04 US 201734 4743 A1,2017.1 1.30 CN 112637220 A,2021.04.09 US 2020128047 A1,2020.04.23 审查员 陈希元 (54)发明名称 一种失陷处 理方法及装置 (57)摘要 本申请实施例提供一种失陷处理方法及装 置， 涉及网络安全技术领域， 该失陷处理方法包 括： 先获取待检测数据， 并对待检测数据进行基 于安全威胁情报的失陷检测， 得到失陷检测结 果； 当失陷检测结果为存在失陷情况时， 根据预 设的资产数据库获取与失陷检测结果相 匹配的 目标资产信息； 再根据预先配置的失陷处理策 略， 确定与失陷检测结果相匹配的目标处理策 略； 最后根据目标处理策略执行相应的失陷处理 操作并输 出报警信息， 能够在检测到失陷情况之 后及时对其进行自动化高效处理， 响应速度快， 从而能够 及时维护网络安全。 权利要求书2页 说明书8页 附图3页 CN 113992430 B 2022.03.29 CN 113992430 B 1.一种失陷处 理方法， 其特 征在于， 包括： 获取待检测数据， 并对所述待检测数据进行基于安全威胁情报的失陷检测， 得到失陷 检测结果； 当所述失陷检测结果为存在失陷情况时， 根据预设的资产 数据库获取与所述失陷检测 结果相匹配的目标资产信息； 根据预先配置的失陷处 理策略， 确定与所述失陷检测结果相匹配的目标处 理策略； 根据所述目标处 理策略执 行相应的失陷处 理操作并输出报警信息； 所述失陷检测结果至少包括威胁程序标识、 失陷设备的地址信息、 失陷严重级别以及 可信度； 可信度范围为0 ‑100分， 其中0到60分为疑似， 60到75分为较可信， 75到90分为可信， 90分以上为确信； 所述失陷处 理策略包括多个判定条件以及与每 个所述判定条件 对应的处 理策略； 所述根据预先配置的失陷处理策略， 确定与所述失陷检测结果相匹配的目标处理策 略， 包括： 根据预先配置的失陷处理策略， 确定所述可信度以及所述失陷严重级别所满足的目标 判定条件； 根据所述失陷处 理策略获取 所述目标判定条件 对应的目标处 理策略； 其中， 所述 根据所述目标处 理策略执 行相应的失陷处 理操作并输出报警信息， 包括： 当所述目标判定条件为第 一判定条件时， 则根据 所述目标处理策略发送包括所述失陷 检测结果以及所述目标资产信息的报警信息； 当所述目标判定条件为第 二判定条件时， 则根据 所述目标处理策略和所述失陷设备的 地址信息进 行防火墙IP阻断处理， 并发送包括所述 失陷检测结果以及所述目标资产信息的 报警信息； 当所述目标判定条件为第 三判定条件时， 则根据 所述目标处理策略和所述失陷设备的 地址信息进行防火墙IP阻断处理， 并对所述失陷设备进行网络阻断以及设备封锁处理， 并 发送包括所述失陷检测结果以及所述目标资产信息的报警信息； 其中， 当可信度在60分以下时， 则确定为第一判定条件； 当可信度在60分以上， 且失陷 严重级别为中级以下时， 则确定为第二判定条件； 当可信度在60 分以上， 且失陷严重级别为 高级或高危级时， 则确定为第三判定条件。 2.根据权利要求1所述的失陷处理方法， 其特征在于， 在所述获取待检测数据之前， 还 包括： 获取预先录入的固定资产信息， 并实时获取目标服 务器的接入数据； 对所述接入数据进行解析， 得到网络资产解析信息； 将所述固定资产信息与所述网络资产解析信息进行关联， 得到资产数据库并存 储。 3.根据权利要求2所述的失陷处理方法， 其特征在于， 所述目标资产信 息包括与所述失 陷设备的地址信息对应的目标固定资产信息以及与所述地址信息对应的目标网络资产解 析信息； 其中， 所述目标固定资产信息至少包括所述失陷设备所归属用户的用户标识、 所述归 属用户所在的组织标识、 所述归属用户的定位信息以及所述归属用户的通信信息； 所述 目 标网络资产解析信息至少包括所述地址信息对应的设备物理地址以及所述失陷设备的账权　利　要　求　书 1/2 页 2 CN 113992430 B 2户标识。 4.一种失陷处 理装置， 其特 征在于， 所述失陷处 理装置包括： 获取单元， 用于获取待检测数据； 失陷检测单元， 用于对所述待检测数据进行基于威胁情报的失陷检测， 得到失陷检测 结果； 匹配单元， 用于当所述失陷检测结果为存在失陷情况时， 根据预设的资产数据库获取 与所述失陷检测结果相匹配的目标资产信息； 确定单元， 用于根据预先配置的失陷处理策略， 确定与所述失陷检测结果相匹配的目 标处理策略； 防护单元， 用于根据所述目标处 理策略执 行相应的失陷处 理操作并输出报警信息； 所述失陷检测结果至少包括失陷设备的地址信息、 失陷严重级别以及可信度； 可信度 范围为0‑100分， 其中0到60分为疑似， 60到75分为较可信， 75到90分为可信， 90分以上为确 信； 所述失陷处 理策略包括多个判定条件以及与每 个所述判定条件 对应的处 理策略； 其中， 确定单 元包括： 第一子单元， 用于根据预先配置的失陷处理策略， 确定可信度以及失陷严重级别所满 足的目标判定条件； 第二子单 元， 用于根据失陷处 理策略获取目标判定条件 对应的目标处 理策略； 其中， 防护单元具体用于当目标判定条件为第一判定条件时， 则根据目标处理策略发 送包括失陷检测结果以及目标资产信息的报警信息； 当目标判定条件为第二判定条件时， 则根据目标 处理策略和失陷设备的地址信息进行防火墙IP阻断处理， 并发送包括 失陷检测 结果以及目标资产信息的报警信息； 当目标判定条件为第三判定条件时， 则根据目标处理 策略和失陷设备的地址信息进 行防火墙IP阻断处理， 并对失陷设备进 行网络阻断以及设备 封锁处理， 并发送包括失陷检测结果以及目标资产信息的报警信息； 其中， 当可信度在60分以下时， 则确定为第一判定条件； 当可信度在60分以上， 且失陷 严重级别为中级以下时， 则确定为第二判定条件； 当可信度在60 分以上， 且失陷严重级别为 高级或高危级时， 则确定为第三判定条件。 5.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至3中 任一项所述的失陷处 理方法。 6.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所述 计算机程序指令被一处理器读取并运行时， 执行权利要求1至3任一项所述的失陷处理方 法。权　利　要　求　书 2/2 页 3 CN 113992430 B 3