后门攻击事件处理方法、装置、设备及存储介质与流程

1.本发明涉及互联网安全技术领域，尤其涉及一种后门攻击事件处理方法、装置、设备及存储介质。


背景技术：

2.后门攻击可以绕过安全控制对程序或系统进行访问，以读取程序或系统的隐秘文件。现有技术中需要用户定时查看是否存在后门攻击事件，在检测到后门攻击事件时还需要根据人工经验处理后门攻击事件，导致后门攻击事件的处理效率低下。
3.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

4.本发明的主要目的在于提供了一种后门攻击事件处理方法、装置、设备及存储介质，旨在解决如何提高后门攻击事件的处理效率的技术问题。
5.为实现上述目的，本发明提供了一种后门攻击事件处理方法，所述后门攻击事件处理方法包括以下步骤：
6.根据后门攻击事件确定被攻击设备信息和后门攻击行为信息；
7.根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果；
8.根据所述攻击分析结果获取对应的攻击阻断策略；
9.按照所述攻击阻断策略对所述后门攻击事件进行处理。
10.可选地，所述根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果的步骤，包括：
11.根据所述被攻击设备信息确定测试攻击流程信息；
12.根据所述后门攻击行为信息确定业务访问信息；
13.根据所述测试攻击流程信息对所述业务访问信息进行分析，获得攻击分析结果。
14.可选地，所述根据所述攻击分析结果获取对应的攻击阻断策略的步骤，包括：
15.根据所述攻击分析结果确定木马后门文件的文件状态信息；
16.根据所述文件状态信息获取对应的攻击阻断策略。
17.可选地，所述根据所述攻击分析结果确定木马后门文件的文件状态信息的步骤，包括：
18.判断所述攻击分析结果是否满足预设误报条件；
19.在所述攻击分析结果不满足所述预设误报条件时，检测所述后门攻击事件中是否存在木马病毒信息；
20.在所述后门攻击事件中存在木马病毒信息时，根据所述木马病毒信息获取木马后门文件；
21.确定所述木马后门文件对应的文件状态信息。
22.可选地，所述判断所述攻击分析结果是否满足预设误报条件的步骤之后，还包括：
23.在所述攻击分析结果满足所述预设误报条件时，获取所述后门攻击事件的初始误报排查策略；
24.根据所述攻击分析结果对所述初始误报排查策略进行调整。
25.可选地，所述根据所述攻击分析结果判断所述后门攻击事件中是否存在木马病毒信息的步骤之后，还包括：
26.在所述后门攻击事件中不存在木马病毒信息时，根据所述后门攻击事件、所述被攻击设备信息及所述后门攻击行为信息生成第一后门攻击日志；
27.将所述第一后门攻击日志添加至预设后门攻击库中进行存储。
28.可选地，所述按照所述攻击阻断策略对所述后门攻击事件进行处理的步骤之后，还包括：
29.根据所述被攻击设备信息确定安全联动设备；
30.通过所述安全联动设备对所述后门攻击事件进行查杀。
31.可选地，所述按照所述攻击阻断策略对所述后门攻击事件进行处理的步骤之后，还包括：
32.确定所述后门攻击事件的攻击处理流程信息；
33.根据所述攻击处理流程信息确定后门漏洞信息；
34.根据所述后门漏洞信息对被攻击后门进行漏洞修复。
35.可选地，所述根据所述攻击处理流程信息确定后门漏洞信息的步骤，包括：
36.根据所述攻击处理流程信息确定多个攻击节点信息；
37.分别对多个所述攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果；
38.根据所述漏洞分析结果从多个所述攻击节点信息中选取目标攻击节点信息；
39.根据所述目标攻击节点信息确定后门漏洞信息。
40.可选地，所述根据后门攻击事件确定被攻击设备信息和后门攻击行为信息的步骤之前，还包括：
41.进行后门攻击检测，获取检测数据；
42.对所述检测数据进行特征提取，得到特征数据；
43.对所述特征数据进行预测，得到攻击检测结果；
44.根据所述攻击检测结果得到后门攻击事件。
45.可选地，所述根据所述后门漏洞信息对被攻击后门进行漏洞修复的步骤之后，还包括：
46.根据所述后门攻击事件、所述攻击处理流程信息及所述后门漏洞信息生成第二后门攻击日志；
47.将所述第二后门攻击日志添加至预设后门攻击库中进行存储。
48.可选地，所述将所述第二后门攻击日志添加至预设后门攻击库中进行存储的步骤，包括：
49.获取所述第二后门攻击日志对应的后门攻击日志类型；
50.根据所述后门攻击日志类型从预设后门攻击库中确定后门攻击子库；
51.将所述第二后门攻击日志添加至所述后门攻击子库中进行存储。
52.此外，为实现上述目的，本发明还提出一种后门攻击事件处理装置，所述后门攻击事件处理装置包括：
53.确定模块，用于根据后门攻击事件确定被攻击设备信息和后门攻击行为信息；
54.分析模块，用于根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果；
55.获取模块，用于根据所述攻击分析结果获取对应的攻击阻断策略；
56.处理模块，用于按照所述攻击阻断策略对所述后门攻击事件进行处理。
57.可选地，所述分析模块，还用于根据所述被攻击设备信息确定测试攻击流程信息；
58.所述分析模块，还用于根据所述后门攻击行为信息确定业务访问信息；
59.所述分析模块，还用于根据所述测试攻击流程信息对所述业务访问信息进行分析，获得攻击分析结果。
60.可选地，所述处理模块，还用于根据所述被攻击设备信息确定安全联动设备；
61.所述处理模块，还用于通过所述安全联动设备对所述后门攻击事件进行查杀。
62.可选地，所述处理模块，还用于确定所述后门攻击事件的攻击处理流程信息；
63.所述处理模块，还用于根据所述攻击处理流程信息确定后门漏洞信息；
64.所述处理模块，还用于根据所述后门漏洞信息对被攻击后门进行漏洞修复。
65.可选地，所述处理模块，还用于根据所述攻击处理流程信息确定多个攻击节点信息；
66.所述处理模块，还用于从多所述攻击节点信息中选取目标攻击节点信息；
67.所述处理模块，还用于根据所述目标攻击节点信息确定后门漏洞信息。
68.可选地，所述处理模块，还用于分别对多个所述攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果；
69.所述处理模块，还用于根据所述漏洞分析结果从多个所述攻击节点信息中选取目标攻击节点信息。
70.此外，为实现上述目的，本发明还提出一种后门攻击事件处理设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的后门攻击事件处理程序，所述后门攻击事件处理程序配置为实现如上文所述的后门攻击事件处理方法的步骤。
71.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有后门攻击事件处理程序，所述后门攻击事件处理程序被处理器执行时实现如上文所述的后门攻击事件处理方法的步骤。
72.本发明首先根据后门攻击事件确定被攻击设备信息和后门攻击行为信息，然后根据被攻击设备信息对后门攻击行为信息进行分析，获得攻击分析结果，之后根据攻击分析结果获取对应的攻击阻断策略，最后按照攻击阻断策略对后门攻击事件进行处理。相较于现有技术中需要用户定时查看是否存在恶意访问行为，在检测到恶意访问行为时需要人工经验处理恶意访问行为，而本发明中根据后门攻击事件对应的被攻击设备和后门攻击行为信息确定对应的攻击阻断策略，之后利用攻击阻断策略对后门攻击事件进行处理，从而提
高了后门攻击事件的处理效率，进而提升整体的安全能力和用户体验。
附图说明
73.图1是本发明实施例方案涉及的硬件运行环境的后门攻击事件处理设备的结构示意图；
74.图2为本发明后门攻击事件处理方法第一实施例的流程示意图；
75.图3为本发明后门攻击事件处理方法一实施例的后门攻击检测流程示意图；
76.图4为本发明后门攻击事件处理方法第二实施例的流程示意图；
77.图5为本发明后门攻击事件处理方法第三实施例的流程示意图；
78.图6为本发明后门攻击事件处理装置第一实施例的结构框图。
79.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
80.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
81.参照图1，图1为本发明实施例方案涉及的硬件运行环境的后门攻击事件处理设备结构示意图。
82.如图1所示，该后门攻击事件处理设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wi reless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)，也可以是稳定的非易失性存储器(non-vo latile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
83.本领域技术人员可以理解，图1中示出的结构并不构成对后门攻击事件处理设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
84.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及后门攻击事件处理程序。
85.在图1所示的后门攻击事件处理设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明后门攻击事件处理设备中的处理器1001、存储器1005可以设置在后门攻击事件处理设备中，所述后门攻击事件处理设备通过处理器1001调用存储器1005中存储的后门攻击事件处理程序，并执行本发明实施例提供的后门攻击事件处理方法。
86.本发明实施例提供了一种后门攻击事件处理方法，参照图2，图2为本发明后门攻击事件处理方法第一实施例的流程示意图。
87.本实施例中，所述后门攻击事件处理方法包括以下步骤：
88.步骤s10：根据后门攻击事件确定被攻击设备信息和后门攻击行为信息。
89.易于理解的是，本实施例的执行主体可以是具有数据处理、网络通讯和程序运行等功能的后门攻击事件处理设备，也可以为其他具有相似功能的计算机设备，本实施例并
不加以限制。
90.可以理解的是，后门攻击事件可以绕过安全控制对程序或系统进行访问的事件，被攻击设备信息为后门攻击的设备信息，后门攻击行为信息为后门攻击时所操作的行为信息等。
91.还需要说明的是，为了能够准确获取后门攻击事件，可以通过安全检测设备实时检测被攻击设备，在检测到被攻击设备存在后门攻击行为时，判定存在后门攻击事件。
92.需要说明的是，还可进行后门攻击检测，通过进行数据采集，并对数据进行处理确定后门攻击事件，则在步骤s10之前，还包括：进行后门攻击检测，获取检测数据；对所述检测数据进行特征提取，得到特征数据；对所述特征数据进行预测，得到攻击检测结果；根据所述攻击检测结果得到后门攻击事件。
93.可以理解的是，检测数据为进行预处理后的数据，预处理包括数据清洗，还可包括其他处理方式，本实施例对此不作限制，当得到检测数据后，对检测数据进行特征提取，提取包括有主动特征提取和被动特征提取，则特征数据包括主动特征数据和被动特征数据，并对特征数据进行预测，预测分为对主动特征进行基于spark随机森林的预测，对被动特征进行基于gbdt(gra dient boosting decision tree，下文简称gbdt)决策树的预测。从而得到两个预测结果，并将两个预测结果进行加权组合，得到最终的攻击检测结果。
94.可适用于大型工业制造企业或工业自动化企业的应用场景，例如无线传感设备接入监控场景或一些大型控制设备监控场景。对于主动特征的预测流程如下：先主动抓取工业网络服务器环境数据，对数据进行预处理，主要包括对采集的数据进行众值填充、均值填充或读热编码处理，进而保证数据的规范性，从而得到检测数据，将检测数据划分为训练集、测试集、验证集，其比例可默认为：7:2:1。然后提取数据的特征，主动数据的特征就是服务器数据的特征，如服务器证书、协议以及密钥特征，基于spark的随机森林模型构建。在此步骤中提出基于spark来优化随机森林分类方法的执行效率。在此可通过随机选择样本、随机选择特征构建随机树，进而得到分类检测结果；判断训练是否达到预期，如是，则存储模型；如果不是，则继续进行模型调优处理，基于测试集进行预测，并判断是否存在异常，如果是输出后门攻击异常；如果不是，则标识为网络正常。
95.对于被动特征的预测流程如下：通过爬虫工具获取url数据，数据解析过滤与预处理。在此首先需要对爬取的数据进行解析，获取文本形式的url内容。然后，对url进行去重过滤处理，以及自动填充预处理，将数据集划分为训练集、测试集、验证集，并进行特征提取。其中，特征提取主要提取url的静态资源特征，如源url地址，目的url地址等；以及动态交互性特征，如是否存在暗链等。并构建基于gbdt决策树的预测模型，构建过程为：每一棵树拟合当前整个模型的损失函数的负梯度，构建新的树加到当前模型中形成新模型，下一棵树拟合新模型的损失函数的负梯度，进而通过多次迭代更新求出函数的最优解。判断训练是否达到预期，如是，则存储模型；如果不是，则继续进行模型调优处理；基于测试集进行预测，并判断是否存在异常，如果是输出后门攻击异常；如果不是，则标识为网络正常。
96.对上述两个预测结果的结果值进行加权，然后通过bagging集成方法进行检测。由于前面的分类属于“弱”分类模型，因而需要通过两个“弱”分类模型集成构成一个“强”分类模型，保证分类结果的准确性，判断投票结果是否大于阈值，例如阈值设置为0.5，如果是，则存在后门攻击，如果不是，则表示工业互联网网络状态正常，从而实现对后门攻击的准确
识别与检测，进而能够为后续的防御方案提供更好的支持。如图3所示，图3为后门攻击检测过程整体流程示意图，包括主动特征预测和被动特征预测，主动特征预测可主动抓取服务器环境数据，并对数据进行预处理以及特征提取，并构建基于spark的随机森林模型构建，确定模型训练是否达到最优，在模型训练达到最优时，通过测试集进行预测，从而判断是否存在异常，若存在异常，则确定存在网络攻击，若不存在异常，则确定网络正常。被动特征预测可通过爬虫工具获取url数据，并对数据进行解析过滤以及预处理，并将和处理后的数据进行特征提取，并构建基于gbrt决策树的预测模型，判断模型训练是否达到最优，在达到最优时，基于测试集进行测试，从而确定是否存在异常，若存在异常，则确定存在网络攻击，若不存在异常，则确定网络正常，并将两组检测结果进行加权，通过bagging集成方法进行检测，确定投票结果是否大于阈值，若大于阈值，则存在网络攻击，若小于阈值，则网络正常。
97.步骤s20：根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果。
98.在具体实现中，为了避免误判后门攻击事件，需要对后门攻击事件进行分析，对后门攻击事件进行分析的处理方式可以为根据被攻击设备信息确定测试攻击流程信息，然后根据后门攻击行为信息确定业务访问信息，之后根据测试攻击流程信息对业务访问信息进行分析，获得攻击分析结果。
99.应理解的是，业务访问信息包括程序访问信息和系统访问信息等，测试攻击流程信息可以为用户为了测试后门攻击所涉及的攻击流程信息等，攻击分析结果包括测试攻击和恶意攻击等。
100.在本实施例中，由于攻击设备信息不同，可以根据攻击设备信息设置对应的测试攻击流程，以利用测试攻击流程对被攻击设备进行模拟后门攻击等。
101.假设业务访问信息为程序访问信息，需要获取程序访问信息对应的测试攻击流程信息，之后利用测试攻击流程信息对后门攻击行为信息进行分析，获得攻击分析结果。业务访问信息为系统访问信息，需要获取系统访问信息对应的测试攻击流程信息，之后利用测试攻击流程信息对后门攻击行为信息进行分析，以获得攻击分析结果。
102.步骤s30：根据所述攻击分析结果获取对应的攻击阻断策略。
103.还需要说明的是，由于攻击分析结果中存在测试攻击或恶意攻击，其测试攻击对应的攻击阻断策略与恶意攻击对应的攻击阻断策略完全不同。攻击阻断策略为用户针对后门攻击事件所设置的后门攻击解决手段，该攻击阻断策略可以为用户自定义设置等。
104.进一步地，为了能够快速确定攻击阻断策略，根据攻击分析结果获取对应的攻击阻断策略的处理方式可以为根据攻击分析结果确定木马后门文件的文件状态信息，之后根据文件状态信息获取对应的攻击阻断策略。
105.应理解的是，木马后门文件可以为后门攻击事件的发起者向被攻击设备所发生的木马文件。文件状态信息包括文件存在或文件不存在等。
106.在具体实现中，根据攻击分析结果确定木马后门文件的文件状态信息的处理方式可以为判断攻击分析结果是否满足预设误报条件，在攻击分析结果不满足预设误报条件时，检测后门攻击事件中是否存在木马病毒信息，在后门攻击事件中不存在木马病毒信息时，根据后门攻击事件、被攻击设备信息及后门攻击行为信息生成第一后门攻击日志，并将第一后门攻击日志添加至预设后门攻击库中进行存储；在后门攻击事件中存在木马病毒信
息时，根据木马病毒信息获取木马后门文件，确定木马后门文件对应的文件状态信息。
107.还需要说明的是，根据攻击分析结果可以利用多种误报排查方式判断是否是误报，误报排查方式包括多种设备触发安全告警和/或通知相关人员确认是否是正常业务和/或是否是正常软件引起的误报等。
108.在本实施例中，在攻击分析结果为恶意攻击时，判定攻击分析结果不满足预设误报条件，之后利用多种检测方式联合判断后门攻击事件中是否存在木马病毒信息，多种检测方式分别为检测是否存在文件上传成功告警和/或检测是否存在木马后门连接成功告警和/或联合终端端点检测与响应系统判断该木马文件是否存在等，在后门攻击事件中存在木马病毒信息时，根据木马病毒信息获取木马后门文件，确定木马后门文件对应的文件状态信息。
109.还需要说明的是，在攻击分析结果满足预设误报条件时，获取后门攻击事件的初始误报排查策略，之后根据攻击分析结果对初始误报排查策略进行调整即对初始误报排查策略进行优化等。
110.步骤s40：按照所述攻击阻断策略对所述后门攻击事件进行处理。
111.应理解的是，攻击阻断策略中阻断方式包括木马文件隔离、文件路径隔离和主机隔离等。
112.在具体实现中按照攻击阻断策略对后门攻击事件进行处理后，还需要根据攻击设备信息确定安全联动设备，该安全联动设备可以为端点检测与响应系统，之后通过安全联动设备对后门攻击事件进行查杀，并将备份木马交由安全人员进行分析、优化规则，清除主机上存在的木马等。
113.还需要说明的是，按照攻击阻断策略对后门攻击事件进行处理后还可以确定后门攻击事件的攻击处理流程信息，根据攻击处理流程信息确定后门漏洞信息，并根据后门漏洞信息对被攻击后门进行漏洞修复，其后门漏洞信息为被攻击设备中存在的漏洞信息等。
114.应理解的是，攻击处理流程信息可以为从感知后门攻击事件直至处理后门攻击事件的整个流程信息，后门漏洞信息为被攻击设备中存在的漏洞信息等。
115.进一步地，为了能够精准确定后门漏洞信息，根据攻击处理流程信息确定后门漏洞信息的处理方式可以为根据攻击处理流程信息确定多个攻击节点信息，然后从多个攻击节点信息中选取目标攻击节点信息，最后根据目标攻击节点信息确定后门漏洞信息。
116.需要说明的是，从多个攻击节点信息中选取目标攻击节点信息的处理方式为分别对多个攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果，之后根据漏洞分析结果从多个攻击节点中选取目标攻击节点信息。
117.在具体实现中，根据后门漏洞信息对被攻击后门进行漏洞修复之后还需要根据后门攻击事件、攻击处理流程信息及后门漏洞信息生成第二后门攻击日志，之后获取第二后门攻击日志对应的后门攻击日志类型，根据后门攻击日志类型从预设后门攻击库中确定后门攻击子库，并将第二后门攻击日志添加至后门攻击子库中进行存储等。
118.还应理解的是，后门攻击日志类型包括恶意攻击类型和测试攻击类型，为了能够快速查找对应的后门攻击日志，可以根据后门攻击日志类型将后门攻击日志进行分类，并添加至对应的后门攻击子库中进行存储。
119.还需要说明的是，预设后门攻击库中存在多个后门攻击子库，可以根据后门攻击
日志类型对多个后门攻击子库进行划分，并将后门攻击日志类型与后门攻击子库进行绑定等。
120.在本实施例中首先根据后门攻击事件确定被攻击设备信息和后门攻击行为信息，然后根据被攻击设备信息对后门攻击行为信息进行分析，获得攻击分析结果，之后根据攻击分析结果获取对应的攻击阻断策略，最后按照攻击阻断策略对后门攻击事件进行处理。相较于现有技术中需要用户定时查看是否存在恶意访问行为，在检测到恶意访问行为时需要人工经验处理恶意访问行为，而本实施例中根据后门攻击事件对应的被攻击设备和后门攻击行为信息确定对应的攻击阻断策略，之后利用攻击阻断策略对后门攻击事件进行处理，从而提高了后门攻击事件的处理效率，进而提高了用户体验。
121.参考图3，图3为本发明后门攻击事件处理方法第二实施例的流程示意图。
122.基于上述第一实施例，在本实施例中，所述步骤s30，包括：
123.步骤s301：根据所述攻击分析结果确定木马后门文件的文件状态信息。
124.应理解的是，攻击分析结果中存在测试攻击或恶意攻击，若攻击分析结果为恶意攻击，则后门攻击事件中可能存在木马后门文件，木马后门文件可以为后门攻击事件的发起者向被攻击设备所发生的木马文件，该木马后门文件中存在木马病毒等。文件状态信息包括文件存在或文件不存在等。
125.在具体实现中，根据攻击分析结果确定木马后门文件的文件状态信息的处理方式可以为判断攻击分析结果是否满足预设误报条件，在攻击分析结果不满足预设误报条件时，检测后门攻击事件中是否存在木马病毒信息，在后门攻击事件中不存在木马病毒信息时，根据后门攻击事件、被攻击设备信息及后门攻击行为信息生成第一后门攻击日志，并将第一后门攻击日志添加至预设后门攻击库中进行存储；在后门攻击事件中存在木马病毒信息时，根据木马病毒信息获取木马后门文件，确定木马后门文件对应的文件状态信息。
126.还需要说明的是，根据攻击分析结果可以利用多种误报排查方式判断是否是误报，误报排查方式包括多种设备触发安全告警和/或通知相关人员确认是否是正常业务和/或是否是正常软件引起的误报等。
127.在本实施例中，在攻击分析结果为恶意攻击时，判定攻击分析结果不满足预设误报条件，之后利用多种检测方式联合判断后门攻击事件中是否存在木马病毒信息，多种检测方式分别为检测是否存在文件上传成功告警和/或检测是否存在木马后门连接成功告警和/或联合终端端点检测与响应系统判断该木马文件是否存在等，在后门攻击事件中存在木马病毒信息时，根据木马病毒信息获取木马后门文件，确定木马后门文件对应的文件状态信息。
128.步骤s302：根据所述文件状态信息获取对应的攻击阻断策略。
129.还需要说明的是，文件状态信息包括文件存在状态和文件不存在状态，其文件存在状态对应的攻击阻断策略与文件不存在状态对应的攻击阻断策略完全不同。
130.在具体实现中，在文件状态信息为文件不存在状态时，对应的攻击阻断策略可以为后门攻击事件的初始误报排查规则，之后根据攻击分析结果对初始误报排查规则进行优化等。在文件状态信息为文件存在状态时，对应的攻击阻断策略可以为木马文件隔离、文件路径隔离和主机隔离等。
131.在本实施例中首先根据攻击分析结果确定木马后门文件的文件状态信息，之后根
据文件状态信息获取对应的攻击阻断策略，相较于现有技术中需要人工处理木马后门文件，但人工处理水平有限，导致后门攻击事件的处理效率低下，而本实施例中可以根据文件状态信息直接确定对应的攻击阻断策略，实现了快速确定攻击阻断策略，进而利用攻击阻断策略精准处理后门攻击事件。
132.参考图4，图4为本发明后门攻击事件处理方法第三实施例的流程示意图。
133.基于上述第一实施例，在本实施例中，所述步骤s40之后，还包括：
134.步骤s50：根据所述被攻击设备信息确定安全联动设备。
135.还需要说明的是，由于被攻击设备不同，被攻击设备对应的安全联动设备也不同，安全联动设备可以为端点检测与响应系统等。
136.步骤s60：通过所述安全联动设备对所述后门攻击事件进行查杀。
137.在具体实现中可以通过安全联动设备对被攻击设备进行查杀，备份木马交由安全人员进行分析、优化规则，并清除主机上存在的木马。之后还可以确定后门攻击事件的攻击处理流程信息，根据攻击处理流程信息确定后门漏洞信息，并根据后门漏洞信息对被攻击后门进行漏洞修复，其后门漏洞信息为被攻击设备中存在的漏洞信息等。
138.进一步地，为了能够精准确定后门漏洞信息，根据攻击处理流程信息确定后门漏洞信息的处理方式可以为根据攻击处理流程信息确定多个攻击节点信息，然后从多个攻击节点信息中选取目标攻击节点信息，最后根据目标攻击节点信息确定后门漏洞信息。
139.应理解的是，攻击处理流程信息可以为从感知后门攻击事件直至处理后门攻击事件的整个流程信息，后门漏洞信息为被攻击设备中存在的漏洞信息等。
140.需要说明的是，从多个攻击节点信息中选取目标攻击节点信息的处理方式为分别对多个攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果，之后根据漏洞分析结果从多个攻击节点中选取目标攻击节点信息。
141.应理解的是，漏洞分析结果为存在漏洞或不存在漏洞。例如多个攻击节点信息分别为攻击节点a、攻击节点b及攻击节点c，分别对攻击节点a、攻击节点b及攻击节点c进行漏洞分析，若攻击节点a存在漏洞、攻击节点b不存在漏洞及攻击节点c存在漏洞，则目标攻击节点信息为攻击节点a和攻击节点c等。
142.还需要说明的是，根据后门漏洞信息对被攻击后门进行漏洞修复之后还需要根据后门攻击事件、攻击处理流程信息及后门漏洞信息生成第二后门攻击日志，之后获取第二后门攻击日志对应的后门攻击日志类型，根据后门攻击日志类型从预设后门攻击库中确定后门攻击子库，并将第二后门攻击日志添加至后门攻击子库中进行存储等。
143.在本实施例中，根据被攻击设备信息确定安全联动设备，之后通过所述安全联动设备对后门攻击事件进行查杀，相较于现有技术中对后门攻击事件进行处理后，并不会再次对后门攻击事件进行查杀，而本实施例中在对后门攻击事件处理后，为了避免存在残留病毒，还需要联动安全设备对后门攻击事件进行查杀，从而保证了被攻击设备的安全性。
144.参照图5，图5为本发明后门攻击事件处理装置第一实施例的结构框图。
145.如图5所示，本发明实施例提出的后门攻击事件处理装置包括：
146.确定模块5001，用于根据后门攻击事件确定被攻击设备信息和后门攻击行为信息。
147.可以理解的是，后门攻击事件可以绕过安全控制对程序或系统进行访问的事件，
被攻击设备信息为后门攻击的设备信息，后门攻击行为信息为后门攻击时所操作的行为信息等。
148.还需要说明的是，为了能够准确获取后门攻击事件，可以通过安全检测设备实时检测被攻击设备，在检测到被攻击设备存在后门攻击行为时，判定存在后门攻击事件。
149.分析模块5002，用于根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果。
150.在具体实现中，为了避免误判后门攻击事件，需要对后门攻击事件进行分析，对后门攻击事件进行分析的处理方式可以为根据被攻击设备信息确定测试攻击流程信息，然后根据后门攻击行为信息确定业务访问信息，之后根据测试攻击流程信息对业务访问信息进行分析，获得攻击分析结果。
151.应理解的是，测试攻击流程信息可以为用户为了测试后门攻击所涉及的攻击流程信息等，攻击分析结果包括测试攻击和恶意攻击等。
152.在本实施例中，由于攻击设备信息不同，可以根据攻击设备信息设置对应的测试攻击流程，以利用测试攻击流程对被攻击设备进行模拟后门攻击等。
153.假设业务访问信息为程序访问信息，需要获取程序访问信息对应的测试攻击流程信息，之后利用测试攻击流程信息对后门攻击行为信息进行分析，获得攻击分析结果。业务访问信息为系统访问信息，需要获取系统访问信息对应的测试攻击流程信息，之后利用测试攻击流程信息对后门攻击行为信息进行分析，以获得攻击分析结果。
154.获取模块5003，用于根据所述攻击分析结果获取对应的攻击阻断策略。
155.还需要说明的是，由于攻击分析结果中存在测试攻击或恶意攻击，其测试攻击对应的攻击阻断策略与恶意攻击对应的攻击阻断策略完全不同。攻击阻断策略为用户针对后门攻击事件所设置的后门攻击解决手段，该攻击阻断策略可以为用户自定义设置等。
156.进一步地，为了能够快速确定攻击阻断策略，根据攻击分析结果获取对应的攻击阻断策略的处理方式可以为根据攻击分析结果确定木马后门文件的文件状态信息，之后根据文件状态信息获取对应的攻击阻断策略。
157.应理解的是，木马后门文件可以为后门攻击事件的发起者向被攻击设备所发生的木马文件。文件状态信息包括文件存在或文件不存在等。
158.在具体实现中，根据攻击分析结果确定木马后门文件的文件状态信息的处理方式可以为判断攻击分析结果是否满足预设误报条件，在攻击分析结果不满足预设误报条件时，检测后门攻击事件中是否存在木马病毒信息，在后门攻击事件中不存在木马病毒信息时，根据后门攻击事件、被攻击设备信息及后门攻击行为信息生成第一后门攻击日志，并将第一后门攻击日志添加至预设后门攻击库中进行存储；在后门攻击事件中存在木马病毒信息时，根据木马病毒信息获取木马后门文件，确定木马后门文件对应的文件状态信息。
159.还需要说明的是，根据攻击分析结果可以利用多种误报排查方式判断是否是误报，误报排查方式包括多种设备触发安全告警和/或通知相关人员确认是否是正常业务和/或是否是正常软件引起的误报等。
160.在本实施例中，在攻击分析结果为恶意攻击时，判定攻击分析结果不满足预设误报条件，之后利用多种检测方式联合判断后门攻击事件中是否存在木马病毒信息，多种检测方式分别为检测是否存在文件上传成功告警和/或检测是否存在木马后门连接成功告警
和/或联合终端端点检测与响应系统判断该木马文件是否存在等，在后门攻击事件中存在木马病毒信息时，根据木马病毒信息获取木马后门文件，确定木马后门文件对应的文件状态信息。
161.还需要说明的是，在攻击分析结果满足预设误报条件时，获取后门攻击事件的初始误报排查策略，之后根据攻击分析结果对初始误报排查策略进行调整即对初始误报排查策略进行优化等。
162.处理模块5004，用于按照所述攻击阻断策略对所述后门攻击事件进行处理。
163.应理解的是，攻击阻断策略中阻断方式包括木马文件隔离、文件路径隔离和主机隔离等。
164.在具体实现中按照攻击阻断策略对后门攻击事件进行处理后，还需要根据攻击设备信息确定安全联动设备，该安全联动设备可以为端点检测与响应系统，之后通过安全联动设备对后门攻击事件进行查杀，并将备份木马交由安全人员进行分析、优化规则，清除主机上存在的木马等。
165.还需要说明的是，按照攻击阻断策略对后门攻击事件进行处理后还可以确定后门攻击事件的攻击处理流程信息，根据攻击处理流程信息确定后门漏洞信息，并根据后门漏洞信息对被攻击后门进行漏洞修复，其后门漏洞信息为被攻击设备中存在的漏洞信息等。
166.应理解的是，攻击处理流程信息可以为从感知后门攻击事件直至处理后门攻击事件的整个流程信息，后门漏洞信息为被攻击设备中存在的漏洞信息等。
167.进一步地，为了能够精准确定后门漏洞信息，根据攻击处理流程信息确定后门漏洞信息的处理方式可以为根据攻击处理流程信息确定多个攻击节点信息，然后从多个攻击节点信息中选取目标攻击节点信息，最后根据目标攻击节点信息确定后门漏洞信息。
168.需要说明的是，从多个攻击节点信息中选取目标攻击节点信息的处理方式为分别对多个攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果，之后根据漏洞分析结果从多个攻击节点中选取目标攻击节点信息。
169.在具体实现中，根据后门漏洞信息对被攻击后门进行漏洞修复之后还需要根据后门攻击事件、攻击处理流程信息及后门漏洞信息生成第二后门攻击日志，之后获取第二后门攻击日志对应的后门攻击日志类型，根据后门攻击日志类型从预设后门攻击库中确定后门攻击子库，并将第二后门攻击日志添加至后门攻击子库中进行存储等。
170.还应理解的是，后门攻击日志类型包括恶意攻击类型和测试攻击类型，为了能够快速查找对应的后门攻击日志，可以根据后门攻击日志类型将后门攻击日志进行分类，并添加至对应的后门攻击子库中进行存储。
171.还需要说明的是，预设后门攻击库中存在多个后门攻击子库，可以根据后门攻击日志类型对多个后门攻击子库进行划分，并将后门攻击日志类型与后门攻击子库进行绑定等。
172.在本实施例中首先根据后门攻击事件确定被攻击设备信息和后门攻击行为信息，然后根据被攻击设备信息对后门攻击行为信息进行分析，获得攻击分析结果，之后根据攻击分析结果获取对应的攻击阻断策略，最后按照攻击阻断策略对后门攻击事件进行处理。相较于现有技术中需要用户定时查看是否存在恶意访问行为，在检测到恶意访问行为时需要人工经验处理恶意访问行为，而本实施例中根据后门攻击事件对应的被攻击设备和后门
攻击行为信息确定对应的攻击阻断策略，之后利用攻击阻断策略对后门攻击事件进行处理，从而提高了后门攻击事件的处理效率，进而提高了用户体验。
173.进一步地，所述分析模块5002，还用于根据所述被攻击设备信息确定测试攻击流程信息；
174.所述分析模块5002，还用于根据所述后门攻击行为信息确定业务访问信息；
175.所述分析模块5002，还用于根据所述测试攻击流程信息对所述业务访问信息进行分析，获得攻击分析结果。
176.进一步地，所述处理模块5004，还用于根据所述被攻击设备信息确定安全联动设备；
177.所述处理模块5004，还用于通过所述安全联动设备对所述后门攻击事件进行查杀。
178.进一步地，所述处理模块5004，还用于确定所述后门攻击事件的攻击处理流程信息；
179.所述处理模块5004，还用于根据所述攻击处理流程信息确定后门漏洞信息；
180.所述处理模块5004，还用于根据所述后门漏洞信息对被攻击后门进行漏洞修复。
181.进一步地，所述处理模块5004，还用于根据所述攻击处理流程信息确定多个攻击节点信息；
182.所述处理模块5004，还用于分别对多个所述攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果；
183.所述处理模块5004，还用于根据所述漏洞分析结果从多个所述攻击节点信息中选取目标攻击节点信息。
184.所述处理模块5004，还用于根据所述目标攻击节点信息确定后门漏洞信息。
185.进一步地，所述确定模块5001，还用于进行后门攻击检测，获取检测数据；
186.所述确定模块5001，还用于对所述检测数据进行特征提取，得到特征数据；
187.所述确定模块5001，还用于对所述特征数据进行预测，得到攻击检测结果；
188.所述确定模块5001，还用于根据所述攻击检测结果得到后门攻击事件。
189.本发明后门攻击事件处理装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。
190.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
191.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
192.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可
以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
193.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。
194.本发明还公开了a1、一种后门攻击事件处理方法，所述后门攻击事件处理方法包括以下步骤：
195.根据后门攻击事件确定被攻击设备信息和后门攻击行为信息；
196.根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果；
197.根据所述攻击分析结果获取对应的攻击阻断策略；
198.按照所述攻击阻断策略对所述后门攻击事件进行处理。
199.a2、如a1所述的方法，所述根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果的步骤，包括：
200.根据所述被攻击设备信息确定测试攻击流程信息；
201.根据所述后门攻击行为信息确定业务访问信息；
202.根据所述测试攻击流程信息对所述业务访问信息进行分析，获得攻击分析结果。
203.a3、如a1所述的方法，所述根据所述攻击分析结果获取对应的攻击阻断策略的步骤，包括：
204.根据所述攻击分析结果确定木马后门文件的文件状态信息；
205.根据所述文件状态信息获取对应的攻击阻断策略。
206.a4、如a3所述的方法，所述根据所述攻击分析结果确定木马后门文件的文件状态信息的步骤，包括：
207.判断所述攻击分析结果是否满足预设误报条件；
208.在所述攻击分析结果不满足所述预设误报条件时，检测所述后门攻击事件中是否存在木马病毒信息；
209.在所述后门攻击事件中存在木马病毒信息时，根据所述木马病毒信息获取木马后门文件；
210.确定所述木马后门文件对应的文件状态信息。
211.a5、如a4所述的方法，所述判断所述攻击分析结果是否满足预设误报条件的步骤之后，还包括：
212.在所述攻击分析结果满足所述预设误报条件时，获取所述后门攻击事件的初始误报排查策略；
213.根据所述攻击分析结果对所述初始误报排查策略进行调整。
214.a6、如a4所述的方法，所述根据所述攻击分析结果判断所述后门攻击事件中是否存在木马病毒信息的步骤之后，还包括：
215.在所述后门攻击事件中不存在木马病毒信息时，根据所述后门攻击事件、所述被攻击设备信息及所述后门攻击行为信息生成第一后门攻击日志；
216.将所述第一后门攻击日志添加至预设后门攻击库中进行存储。
217.a7、如a1-a6任一项所述的方法，所述按照所述攻击阻断策略对所述后门攻击事件
进行处理的步骤之后，还包括：
218.根据所述被攻击设备信息确定安全联动设备；
219.通过所述安全联动设备对所述后门攻击事件进行查杀。
220.a8、如a1-a6任一项所述的方法，所述按照所述攻击阻断策略对所述后门攻击事件进行处理的步骤之后，还包括：
221.确定所述后门攻击事件的攻击处理流程信息；
222.根据所述攻击处理流程信息确定后门漏洞信息；
223.根据所述后门漏洞信息对被攻击后门进行漏洞修复。
224.a9、如a8所述的方法，所述根据所述攻击处理流程信息确定后门漏洞信息的步骤，包括：
225.根据所述攻击处理流程信息确定多个攻击节点信息；
226.分别对多个所述攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果；
227.根据所述漏洞分析结果从多个所述攻击节点信息中选取目标攻击节点信息；
228.根据所述目标攻击节点信息确定后门漏洞信息。
229.a10、如a1所述的方法，所述根据后门攻击事件确定被攻击设备信息和后门攻击行为信息的步骤之前，还包括：
230.进行后门攻击检测，获取检测数据；
231.对所述检测数据进行特征提取，得到特征数据；
232.对所述特征数据进行预测，得到攻击检测结果；
233.根据所述攻击检测结果得到后门攻击事件。
234.a11、如a8所述的方法，所述根据所述后门漏洞信息对被攻击后门进行漏洞修复的步骤之后，还包括：
235.根据所述后门攻击事件、所述攻击处理流程信息及所述后门漏洞信息生成第二后门攻击日志；
236.将所述第二后门攻击日志添加至预设后门攻击库中进行存储。
237.a12、如a11所述的方法，所述将所述第二后门攻击日志添加至预设后门攻击库中进行存储的步骤，包括：
238.获取所述第二后门攻击日志对应的后门攻击日志类型；
239.根据所述后门攻击日志类型从预设后门攻击库中确定后门攻击子库；
240.将所述第二后门攻击日志添加至所述后门攻击子库中进行存储。
241.本发明还公开了b13、一种后门攻击事件处理装置，所述后门攻击事件处理装置包括：
242.确定模块，用于根据后门攻击事件确定被攻击设备信息和后门攻击行为信息；
243.分析模块，用于根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果；
244.获取模块，用于根据所述攻击分析结果获取对应的攻击阻断策略；
245.处理模块，用于按照所述攻击阻断策略对所述后门攻击事件进行处理。
246.b14、如b13所述的装置，所述分析模块，还用于根据所述被攻击设备信息确定测试
攻击流程信息；
247.所述分析模块，还用于根据所述后门攻击行为信息确定业务访问信息；
248.所述分析模块，还用于根据所述测试攻击流程信息对所述业务访问信息进行分析，获得攻击分析结果。
249.b15、如b13或b14所述的装置，所述处理模块，还用于根据所述被攻击设备信息确定安全联动设备；
250.所述处理模块，还用于通过所述安全联动设备对所述后门攻击事件进行查杀。
251.b16、如b13或b14所述的装置，所述处理模块，还用于确定所述后门攻击事件的攻击处理流程信息；
252.所述处理模块，还用于根据所述攻击处理流程信息确定后门漏洞信息；
253.所述处理模块，还用于根据所述后门漏洞信息对被攻击后门进行漏洞修复。
254.b17、如b16所述的装置，所述处理模块，还用于根据所述攻击处理流程信息确定多个攻击节点信息；
255.所述处理模块，还用于分别对多个所述攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果；
256.所述处理模块，还用于根据所述漏洞分析结果从多个所述攻击节点信息中选取目标攻击节点信息。
257.所述处理模块，还用于根据所述目标攻击节点信息确定后门漏洞信息。
258.b18、如b13所述的装置，所述处理模块，还用于；
259.所述确定模块，还用于进行后门攻击检测，获取检测数据；
260.所述确定模块，还用于对所述检测数据进行特征提取，得到特征数据；
261.所述确定模块，还用于对所述特征数据进行预测，得到攻击检测结果；
262.所述确定模块，还用于根据所述攻击检测结果得到后门攻击事件。
263.本发明还公开了c19、一种后门攻击事件处理设备，所述后门攻击事件处理设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的后门攻击事件处理程序，所述后门攻击事件处理程序配置有实现如上文所述的后门攻击事件处理方法的步骤。
264.本发明还公开了d20、一种存储介质，所述存储介质上存储有后门攻击事件处理程序，所述后门攻击事件处理程序被处理器执行时实现如上文所述的后门攻击事件处理方法的步骤。

技术特征：
1.一种后门攻击事件处理方法，其特征在于，所述后门攻击事件处理方法包括以下步骤：根据后门攻击事件确定被攻击设备信息和后门攻击行为信息；根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果；根据所述攻击分析结果获取对应的攻击阻断策略；按照所述攻击阻断策略对所述后门攻击事件进行处理。2.如权利要求1所述的方法，其特征在于，所述根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果的步骤，包括：根据所述被攻击设备信息确定测试攻击流程信息；根据所述后门攻击行为信息确定业务访问信息；根据所述测试攻击流程信息对所述业务访问信息进行分析，获得攻击分析结果。3.如权利要求1所述的方法，其特征在于，所述根据所述攻击分析结果获取对应的攻击阻断策略的步骤，包括：根据所述攻击分析结果确定木马后门文件的文件状态信息；根据所述文件状态信息获取对应的攻击阻断策略。4.如权利要求1-3任一项所述的方法，其特征在于，所述按照所述攻击阻断策略对所述后门攻击事件进行处理的步骤之后，还包括：根据所述被攻击设备信息确定安全联动设备；通过所述安全联动设备对所述后门攻击事件进行查杀。5.如权利要求1-3任一项所述的方法，其特征在于，所述按照所述攻击阻断策略对所述后门攻击事件进行处理的步骤之后，还包括：确定所述后门攻击事件的攻击处理流程信息；根据所述攻击处理流程信息确定后门漏洞信息；根据所述后门漏洞信息对被攻击后门进行漏洞修复。6.如权利要求5所述的方法，其特征在于，所述根据所述攻击处理流程信息确定后门漏洞信息的步骤，包括：根据所述攻击处理流程信息确定多个攻击节点信息；分别对多个所述攻击节点信息进行漏洞分析，以获得各攻击节点对应的漏洞分析结果；根据所述漏洞分析结果从多个所述攻击节点信息中选取目标攻击节点信息；根据所述目标攻击节点信息确定后门漏洞信息。7.如权利要求1所述的方法，其特征在于，所述根据后门攻击事件确定被攻击设备信息和后门攻击行为信息的步骤之前，还包括：进行后门攻击检测，获取检测数据；对所述检测数据进行特征提取，得到特征数据；对所述特征数据进行预测，得到攻击检测结果；根据所述攻击检测结果得到后门攻击事件。8.一种后门攻击事件处理装置，其特征在于，所述后门攻击事件处理装置包括：确定模块，用于根据后门攻击事件确定被攻击设备信息和后门攻击行为信息；
分析模块，用于根据所述被攻击设备信息对所述后门攻击行为信息进行分析，获得攻击分析结果；获取模块，用于根据所述攻击分析结果获取对应的攻击阻断策略；处理模块，用于按照所述攻击阻断策略对所述后门攻击事件进行处理。9.一种后门攻击事件处理设备，其特征在于，所述后门攻击事件处理设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的后门攻击事件处理程序，所述后门攻击事件处理程序配置有实现如权利要求1至7中任一项所述的后门攻击事件处理方法的步骤。10.一种存储介质，其特征在于，所述存储介质上存储有后门攻击事件处理程序，所述后门攻击事件处理程序被处理器执行时实现如权利要求1至7中任一项所述的后门攻击事件处理方法的步骤。

技术总结
本发明涉及互联网安全技术领域，公开了一种后门攻击事件处理方法、装置、设备及存储介质，所述方法包括：根据后门攻击事件确定被攻击设备信息和后门攻击行为信息；根据被攻击设备信息对后门攻击行为信息进行分析，获得攻击分析结果；根据攻击分析结果获取对应的攻击阻断策略；按照攻击阻断策略对后门攻击事件进行处理。相较于现有技术中需要用户定时查看是否存在后门攻击事件，在检测到后门攻击事件时需要根据人工经验处理后门攻击事件，而本发明根据后门攻击事件对应的被攻击设备和后门攻击行为信息确定对应的攻击阻断策略，之后利用攻击阻断策略对后门攻击事件进行处理，从而提高了后门攻击事件的处理效率。了后门攻击事件的处理效率。了后门攻击事件的处理效率。


技术研发人员：李豪 任海峰
受保护的技术使用者：三六零数字安全科技集团有限公司
技术研发日：2023.07.27
技术公布日：2023/9/22