(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211139834.1 (22)申请日 2022.09.19 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园 ·玉泉慧谷1号楼地上 一层西侧、 二层(地上两侧) (72)发明人 韦振奎　毕鑫　许健行　肖新光　 (74)专利代理 机构 北京格允知识产权代理有限 公司 11609 专利代理师 王文雅 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 外联设备处理方法、 装置、 电子设备及存储 介质 (57)摘要 本发明提供了一种外联设备处理方法、 装 置、 电子设备及存储介质， 其中方法包括： 获取与 当前终端设备处于网络连接状态的外联设备的 IP列表； 确定所述IP列表中是否存在恶意IP， 若 存在， 则关闭所述恶意IP对应的进程； 捕获与所 述恶意IP相关的流量， 并根据与所述恶意IP相关 的流量确定当前终端设备中是否存在与所述恶 意IP相关的恶意文件， 若存在， 则对所述恶意文 件进行查杀处理。 本方案， 在网络连接过程中， 能 够依据流量进行恶意文件的确定， 相对于传统方 案， 可以提高网络连接过程中终端设备的安全 性。 权利要求书2页 说明书8页 附图1页 CN 115460012 A 2022.12.09 CN 115460012 A 1.一种外联设备处 理方法， 其特 征在于， 包括： 获取与当前终端设备处于网络连接状态的外联设备的IP列表； 确定所述 IP列表中是否存在恶意 IP， 若存在， 则关闭所述恶意 IP对应的进程； 捕获与所述恶意IP相关的流量， 并根据与所述恶意IP相关的流量确定当前终端设备中 是否存在与所述恶意 IP相关的恶意文件， 若存在， 则对所述恶意文件进行查杀处 理。 2.根据权利要求1所述的方法， 其特 征在于， 在所述确定所述IP列表中是否存在恶意IP之前， 还包括： 获取当前终端设备处于网络 连接状态的端口列表； 所述确定所述 IP列表中是否存在恶意 IP， 包括： 确定所述端口列表中是否存在异常端口， 并将所述IP列表中使用所述异常端口的IP确 定为恶意 IP。 3.根据权利要求1或2所述的方法， 其特征在于， 所述确定所述IP列表中是否存在恶意 IP， 包括： 确定所述 IP列表中是否存在非信任IP； 根据每一个非信任IP对应的网络连接状态， 确定是否存在处于非数据传输状态、 且当 前网络连接状态的更新时间距离当前系统时间超过设定时长、 以及 对应进程处于运行中的 非信任IP， 若存在， 将该非信任IP确定为恶意 IP。 4.根据权利要求3所述的方法， 其特征在于， 所述非数据传输状态包括： FIN_WAIT1、 CLOSE_WAIT、 FIN_WAIT2、 LAS T_ACK、 TIME_WAIT、 CL OSING和CLOSED中的任 意一个网络连接状 态。 5.根据权利要求1所述的方法， 其特 征在于， 所述捕获与所述恶意 IP相关的流 量， 包括： 将所述恶意IP确定为检索关键词， 以在所述当前终端设备中进行全局检索， 得到与所 述恶意IP相关的流 量。 6.根据权利要求1或5所述的方法， 其特征在于， 所述与所述恶意IP相关的恶意文件包 括如下中的至少一种： 由所述恶意IP所对应的外联设备发送至所述当前终端设备的文件、 由其他外联设备发送至所述当前终端设备的文件且该文件中包含所述恶意IP， 和， 产生所 述恶意IP所对应的进程的文件。 7.根据权利要求6所述的方法， 其特征在于， 当存在由其他外联设备发送至所述当前终 端设备的文件 且该文件中包 含所述恶意 IP时， 还包括： 获取该文件中包含的除所述恶意IP之外的其他IP和该其他外联设备的IP， 将该其他IP 和该其他外联设备的IP进 行安全检测， 以确定是否将该其他IP和该其他外联设备的IP确定 为恶意IP。 8.一种外联设备处 理装置， 其特 征在于， 包括： 获取单元， 用于获取与当前终端设备处于网络连接状态的外联设备的IP列表； 恶意IP确定单元， 用于确定所述IP列表中是否存在恶意IP， 若存在， 触发处理单元关闭 所述恶意 IP对应的进程； 恶意文件确定单元， 用于捕获与所述恶意IP相关的流量， 并根据与所述恶意IP相 关的 流量确定当前终端设备中是否存在与所述恶意IP相关的恶意文件， 若存在， 则触发所述处 理单元对所述恶意文件进行查杀处 理。权　利　要　求　书 1/2 页 2 CN 115460012 A 29.一种电子设备， 包括存储器和处理器， 所述存储器中存储有计算机程序， 所述处理器 执行所述计算机程序时， 实现如权利要求1 ‑7中任一项所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 当所述计算机程序在计算机中 执行时， 令计算机执 行权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115460012 A 3