网络安全防护方法和装置与流程

本发明实施例涉及互联网技术，尤其涉及一种网络安全防护方法和装置。

背景技术：

随着网络技术的不断发展，网络病毒、攻击、黑客等技术也更加迅猛，病毒变种、攻击智能化、繁殖化，网络安全的维护显得尤为重要。

图1为常规的网络安全防护系统示意图，如图1所示，针对当前的网络攻击和病毒木马的繁衍，大部分企业会在网络层部署防火墙Anti-DDos，入侵检测系统(英文：Intrusion Detection Systems，简称：IDS)，入侵防御系统(英文：Intrusion Prevention System，简称：IPS)以及防火墙对其进行检测和拦截；而在应用层会有web应用防御系统(英文：Web Application Firewall，简称：WAF)，主机入侵防御系统(英文：Host-based Intrusion Prevention System，简称：HIPS)，对Webshell，病毒木马，rootkit进行检测和防御，对服务器的攻击进行拦截处理，单一特征的网络攻击就由相应检测和防御功能的防御系统去完成检测和拦截。

然而，上面提供的安全防护系统中，各个防御系统单一作战不能有效跟上层或者相邻的防御系统进行有效交流，不能及时更新检测特征来进行防御拦截动作，网络攻击突破单点防御系统后，导致另外的防御系统的防御压力大大增大，攻击流量的无限放大，容易造成多个单节点的防御系统失效，租户面临很大的安全威胁。

技术实现要素：

本申请提供一种网络安全防护方法和装置，用于解决各个防御系统单一作战不能有效跟上层或者相邻的防御系统进行有效交流，不能及时更新检测特征来进行防御拦截动作，网络攻击突破单点防御系统后，导致另外的防御系统的防御压力大大增大，攻击流量的无限放大，容易造成多个单节点的防御系统失效，租户面临很大的安全威胁的问题。

本申请第一方面提供一种网络安全防护方法，应用于第一节点控制器，第一节点控制器与多个防御系统连接；方法包括：

接收第一防御系统发送的网络攻击的特征数据，第一防御系统为与第一节点控制器连接的任一个防御系统；

根据特征数据建立新的检测和防御规则；

将检测和防御规则发送至至少一个第二防御系统，以使至少一个第二防御系统根据检测和防御规则检测和拦截网络攻击；其中，第二防御系统为与第一节点控制器连接的防御系统。

上述方案提供的网络安全防护方法，设置节点控制器连接多个防御系统，每个防御系统可以将检测到的攻击的特征数据发送至节点控制器，节点控制器生成检测和防御规则并分别发送给该节点控制器管理的多个防御系统，以实现多个防御系统同时对该攻击的检测和防御，提高入侵发现和防御能力，有效减轻单一防御系统的防御压力，同时能够避免单一防御系统局限性，并且防御系统之间的数据共享，可以建立全面的安全数据中心。

一种可能设计中，至少一个第二防御系统为在第一防御系统之前进行检测防御的至少一个防御系统。

一种可能设计中，至少一个第二防御系统包括第一防御系统。

一种可能设计中，至少一个第二防御系统为在第一防御系统之后进行检测防御的至少一个防御系统。

一种可能设计中，根据特征数据建立新的检测和防御规则，包括：

根据特征数据分析获取网络攻击的攻击特征；

在流量监测规则中加入监测攻击特征的检测告警，并定制与攻击特征对应的拦截策略，得到检测和防御规则。

一种可能设计中，方法还包括：

将网络攻击的特征数据发送至管理控制系统，以使管理控制系统根据特征数据确定网络攻击特征、并根据网络攻击特征建立新的检测和防御规则、并将检测和防御规则发送至管理控制系统管理的包括所述第一节点控制器的至少一个节点控制器。

一种可能设计中，方法还包括：

将检测和防御规则发送至管理控制系统，以使管理控制系统将检测和防御规则发送至管理控制系统管理的除了所述第一节点控制器以外的至少一个节点控制器。

本申请第二方面提供一种网络安全防护方法，应用于第一节点控制器，第一节点控制器与多个防御系统连接；方法包括：

接收第一防御系统发送的网络攻击的特征数据，第一防御系统为与第一节点控制器连接的任一个防御系统；

根据网络攻击的特征数据建立新的检测和防御规则；

将检测和防御规则通过管理控制系统发送至管理控制系统管理的至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。

一种可能设计中，所述至少一个节点控制包括除了所述第一节点控制器意外的一个或多个节点控制器。

该方案中，节点控制器连接多个防御系统，每个管理控制系统可控制管理多个节点控制器，每个防御系统可以将检测到的攻击的特征数据发送至节点控制器，节点控制器生成检测和防御规则并发送至管理控制系统，或者节点控制器将接收到的特征数据直接发送给管理控制系统，通过管理控制器将检测和防御规则发送至其他节点控制器，以使其他节点控制器对连接的防御系统进行检测和防御规则的更新，以实现防御系统之间的数据共享，大大提高我们的入侵发现和防御能力,构建业界最有竞争力的防御体系。还可以建立全面的安全数据中心。

一种可能设计中，根据特征数据建立新的检测和防御规则，包括：

根据特征数据分析获取网络攻击的攻击特征；

在流量监测规则中加入监测攻击特征的检测告警，并定制与攻击特征对应的拦截策略，得到检测和防御规则。

一种可能设计中，将检测和防御规则发送至至少一个第二防御系统，以使至少一个第二防御系统根据检测和防御规则检测和拦截网络攻击；其中，第二防御系统为与第一节点控制器连接的防御系统。

一种可能设计中，至少一个第二防御系统为在第一防御系统之前进行检测防御的至少一个防御系统。

一种可能设计中，至少一个第二防御系统包括第一防御系统。

一种可能设计中，至少一个第二防御系统为在第一防御系统之后进行检测防御的至少一个防御系统。

一种可能设计中，将网络攻击的特征数据发送至管理控制系统，以使管理控制系统根据特征数据确定网络攻击特征、并根据网络攻击特征建立新的检测和防御规则、并将检测和防御规则发送至管理控制系统管理的至少一个节点控制器。本方案中，该至少一个节点控制器可以包括第一节点控制器。

本申请第三方面提供一种网络安全防护方法，应用于管理控制系统，管理控制系统用于管理多个节点控制器；方法包括：

接收第一节点控制器发送的检测和防御规则，检测和防御规则为第一节点控制器根据检测到的新的网络攻击的特征数据建立的规则，第一节点控制器为管理控制系统管理的任一个节点控制器；

将检测和防御规则发送至至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。

一种可能设计中，所述至少一个节点控制器包括除了所述第一节点控制器以外的一个或者多个节点控制器。

一种可能设计中，方法还包括：

接收并存储第一节点控制器发送的网络攻击的特征数据。

一种可能设计中，方法还包括：

根据特征数据建立新的检测和防御规则，并将新的检测和防御规则发送至至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。本方案中，一种可能设计中，发送管理控制系统根据数据特征建立的新的检测和防御规则的至少一个节点控制器可以包括第一节点控制器。

一种可能设计中，至少一个节点控制器可以包括第一节点控制器，也可以包括除了第一节点控制器之外的其他控制器。

本申请第四方面提供一种网络安全防护方法，应用于管理控制系统，管理控制系统用于管理多个节点控制器；方法包括：

接收第一节点控制器发送的网络攻击的特征数据，第一节点控制器为管理控制系统管理的任一个节点控制器；

根据特征数据建立新的检测和防御规则；

将检测和防御规则发送至至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。

一种可能设计中，所述至少一个节点控制器包括第一节点控制器。

一种可能设计中，根据特征数据建立新的检测和防御规则，包括：

根据特征数据分析获取网络攻击的攻击特征；

在流量监测规则中加入监测攻击特征的检测告警，并定制与攻击特征对应的拦截策略，得到检测和防御规则。

一种可能设计中，方法还包括：

接收第一节点控制器发送的检测和防御规则，检测和防御规则为第一节点控制器根据检测到的新的网络攻击的特征数据建立的规则，第一节点控制器为管理控制系统管理的任一个节点控制器；

将检测和防御规则发送至至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。

本方案中，管理控制系统发送从第一节点控制器接收来的检测和防御规则的至少一个节点控制器可不包括第一节点控制器，即是除了第一节点控制器之外的一个或多个节点控制器。

本申请第五方面提供一种网络安全防护方法，应用于第二节点控制器，所述第二节点控制器与多个防御系统连接，所述方法包括：

接收管理控制系统发送的检测和防御规则；

将检测和防御规则下发至对应的防御系统进行规则的更新。

本申请第六方面提供一种节点控制器，所述节点控制器与多个防御系统连接；所述节点控制器包括：

接收模块，用于接收第一防御系统发送的网络攻击的特征数据，所述第一防御系统为与所述节点控制器连接的任一个防御系统；

处理模块，用于根据所述特征数据建立新的检测和防御规则；

发送模块，用于将所述检测和防御规则发送至至少一个第二防御系统，以使所述至少一个第二防御系统根据所述检测和防御规则检测和拦截所述网络攻击；其中，第二防御系统为与所述节点控制器连接的防御系统。

一种可能设计中，所述发送模块发送检测和防御规则的所述至少一个第二防御系统为在所述第一防御系统之前进行检测防御的至少一个防御系统。

一种可能设计中，至少一个第二防御系统包括第一防御系统。

一种可能设计中，至少一个第二防御系统为在第一防御系统之后进行检测防御的至少一个防御系统。

一种可能设计中，所述处理模块具体用于：

根据所述特征数据分析获取所述网络攻击的攻击特征；

在流量监测规则中加入监测所述攻击特征的检测告警，并定制与所述攻击特征对应的拦截策略，得到所述检测和防御规则。

一种可能设计中，所述发送模块还用于：

将所述网络攻击的所述特征数据发送至管理控制系统，以使所述管理控制系统根据所述特征数据确定网络攻击特征、并根据所述网络攻击特征建立新的检测和防御规则、并将所述检测和防御规则发送至所述管理控制系统管理的包括所述第一节点控制器的至少一个节点控制器。

一种可能设计中，所述发送模块还用于：

将所述检测和防御规则发送至管理控制系统，以使所述管理控制系统将所述检测和防御规则发送至所述管理控制系统管理的除了所述第一节点控制器以外的至少一个节点控制器。

本申请第七方面提供一种节点控制器，所述节点控制器与多个防御系统连接；所述节点控制器包括：

接收模块，用于接收第一防御系统发送的网络攻击的特征数据，所述第一防御系统为与所述第一节点控制器连接的任一个防御系统；

处理模块，用于根据所述网络攻击的所述特征数据建立新的检测和防御规则；

发送模块，用于将所述检测和防御规则通过所述管理控制系统发送至所述管理控制系统管理的至少一个节点控制器，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

一种可能设计中，所述处理模块具体用于：

根据特征数据分析获取网络攻击的攻击特征；

在流量监测规则中加入监测攻击特征的检测告警，并定制与攻击特征对应的拦截策略，得到检测和防御规则。

一种可能设计中，所述发送模块还用于将检测和防御规则发送至至少一个第二防御系统，以使至少一个第二防御系统根据检测和防御规则检测和拦截网络攻击；其中，第二防御系统为与第一节点控制器连接的防御系统。

一种可能设计中，至少一个第二防御系统为在第一防御系统之前进行检测防御的至少一个防御系统。

一种可能设计中，至少一个第二防御系统包括第一防御系统。

一种可能设计中，至少一个第二防御系统为在第一防御系统之后进行检测防御的至少一个防御系统。

一种可能设计中，所述发送模块还用于将网络攻击的特征数据发送至管理控制系统，以使管理控制系统根据特征数据确定网络攻击特征、并根据网络攻击特征建立新的检测和防御规则、并将检测和防御规则发送至管理控制系统管理的至少一个节点控制器。

本申请第八方面提供一种网络安全防护装置，所述网络安全防护装置用于管理多个节点控制器；所述网络安全防护装置包括：

接收模块，用于接收第一节点控制器发送的检测和防御规则，所述检测和防御规则为所述第一节点控制器根据检测到的新的网络攻击的特征数据建立的规则，所述第一节点控制器为所述网络安全防护装置管理的任一个节点控制器；

发送模块，用于将所述检测和防御规则发送至至少一个节点控制器，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

一种可能设计中，所述接收模块还用于接收并存储第一节点控制器发送的网络攻击的特征数据。

一种可能设计中，所述装置还包括：处理模块用于根据特征数据建立新的检测和防御规则，并将新的检测和防御规则发送至至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。

一种可能设计中，至少一个节点控制器可以包括第一节点控制器，也可以包括除了第一节点控制器之外的其他控制器。

本申请第九方面提供一种网络安全防护装置，所述网络安全防护装置用于管理多个节点控制器；所述网络安全防护装置包括：

接收模块，用于接收第一节点控制器发送的网络攻击的特征数据，所述第一节点控制器为所述管理控制系统管理的任一个节点控制器；

处理模块，用于根据所述特征数据建立新的检测和防御规则；

发送模块，用于将所述检测和防御规则发送至至少一个节点控制器，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

一种可能设计中，所述处理模块具体用于：

根据特征数据分析获取网络攻击的攻击特征；

在流量监测规则中加入监测攻击特征的检测告警，并定制与攻击特征对应的拦截策略，得到检测和防御规则。

一种可能设计中，所述接收模块还用于接收第一节点控制器发送的检测和防御规则，检测和防御规则为第一节点控制器根据检测到的新的网络攻击的特征数据建立的规则，第一节点控制器为管理控制系统管理的任一个节点控制器；

所述发送模块还用于将检测和防御规则发送至至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。

本申请第十方面提供一种节点控制器，所述节点控制器与多个防御系统连接，所述节点控制器包括：

接收模块，接收管理控制系统发送的检测和防御规则；

发送模块，用于将所述检测和防御规则下发至对应的防御系统进行规则的更新。

本申请第十一方面提供一种节点控制器，该节点控制器包括至少一个处理器、存储器和通信接口。所述至少一个处理器、所述存储器和所述通信接口均通过总线连接；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述节点控制器通过所述通信接口与防御系统或者管理控制系统进行数据交互来执行上述第一方面或者第一方面的的各种可能设计或者第二方面或者第二方面的各种可能设计提供的网络安全防护方法。

本申请第十二方面提供一种网络安全防护装置，该网络安全防护装置包括至少一个处理器、存储器和通信接口。所述至少一个处理器、所述存储器和所述通信接口均通过总线连接；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述网络安全防护装置通过所述通信接口与节点控制器进行数据交互来执行上述第三方面或者第三方面的的各种可能设计或者第四方面或者第四方面的各种可能设计提供的网络安全防护方法。

本申请第十三方面提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，当节点控制器的至少一个处理器执行该计算机执行指令时，节点控制器执行上述第一方面或者第一方面的的各种可能设计或者第二方面或者第二方面的各种可能设计提供的网络安全防护方法。

本申请第十四方面提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，当网络安全防护装置的至少一个处理器执行该计算机执行指令时，网络安全防护装置执行上述第三方面或者第三方面的的各种可能设计或者第四方面或者第四方面的各种可能设计提供的网络安全防护方法。

本申请第十五方面提供一种计算机程序产品，该计算机程序产品包括计算机执行指令，该计算机执行指令存储在计算机可读存储介质中。节点控制器的至少一个处理器可以从计算机可读存储介质读取该计算机执行指令，至少一个处理器执行该计算机执行指令使得节点控制器实施第一方面或者第一方面的的各种可能设计或者第二方面或者第二方面的各种可能设计提供的网络安全防护方法。

本申请第十六方面提供一种计算机程序产品，该计算机程序产品包括计算机执行指令，该计算机执行指令存储在计算机可读存储介质中。网络安全防护装置的至少一个处理器可以从计算机可读存储介质读取该计算机执行指令，至少一个处理器执行该计算机执行指令使得网络安全防护装置实施上述第三方面或者第三方面的的各种可能设计或者第四方面或者第四方面的各种可能设计提供的网络安全防护方法。

本申请提供的网络安全防护方法和装置，节点控制器接收连接控制的任一个防御系统发送的网络攻击的特征数据，根据特征数据建立新的检测和防御规则，将检测和防御规则发送至至少一个防御系统，以使接收到新的检测和防御规则的防御系统对该网络攻击进行检测和拦截网络攻击，或者通过管理控制系统发送给其他的节点控制器，然后发送给其他节点控制器控制的多个防御系统。实现多个防御系统之间的联动或者不同的节点控制器之间的联动，实现多个防御系统同时对该攻击的检测和防御，提高入侵发现和防御能力，有效减轻单一防御系统的防御压力，避免单一防御系统的局限性，各防御系统的数据共享，建立强大全面的安全数据中心提供强大的修复能力。

附图说明

图1为常规的网络安全防护系统示意图；

图2为本发明提供的网络安全防护系统架构示意图；

图3为本发明提供的网络安全防护系统各个节点装置的功能模块示意图；

图4为本发明网络安全防护方法实施例一的流程图；

图5为本发明网络安全防护方法实施例二的流程图；

图6为本发明网络安全防护方法实施例三的流程图；

图7为本发明节点控制器实施例一的结构示意图；

图8为本发明网络安全防护装置实施例一的结构示意图；

图9为本发明节点控制器实施例三的结构示意图；

图10为本发明节点控制器实施例四的结构示意图；

图11为本发明网络安全防护装置实施例三的结构示意图。

具体实施方式

图1所示的安全防护系统中，单点的防御系统被黑客突破后带来的防御流量压力变大。单一的节点防御系统的检测特征单薄，对新型的网络攻击手段不能有效识别。当某一节点的防御系统发现了新型的攻击方法之后不能有效的通知到另外的防御节点或者延迟很久才能人工通知到运维人员来进行规则的更新。各个防御系统单一作战不能有效跟上层或者相邻的防御系统进行有效交流，不能及时更新检测特征来进行防御拦截动作。

为了克服这些问题，本方案提供的网络安全防护系统上增加了节点控制器(也称为节点控制中心)和管理控制系统(也称为管理中心)，每个节点控制器分别与下层的多个防御系统连接，就层次而言相当于这些防御系统的”上司”。节点控制器和管理控制系统可以实现节点直接的联动，也能让单个防御节点的防御服务系统之间联动起来，实现共同防御。图2为本发明提供的网络安全防护系统架构示意图，如图2所示，提供一种具体的网络安全防护系统，管理控制系统管理第一节点控制器和第二节点控制器，第一节点控制器和第二节点控制器分别连接防ddos攻击(英文：Anti Distributed Denial of Service，简称：Anti-Ddos)、入侵防御系统(英文：Intrusion Prevention System，简称：IPS)、防火墙(英文：firewall，简称：FW)、入侵检测系统(英文：Intrusion Detection Systems，简称：IDS)、网站应用级入侵防御系统(英文：Web Application Firewall，简称：WAF)、基于主机的入侵防御(英文：Host-based Intrusion Prevention System，简称：HIPS)、基于主机的检测系统(英文：Host-based Intrusion Detection Systems，简称：HIDS)等防御系统，然后防御系统下层与虚拟机(英文：virtual machine，简称：VM)连接，进行安全防护。

在具体实施中，节点控制器可以接收到各个防御系统发现的网络攻击或黑客攻击的特征数据，根据这些特征数据建立新的检测和防御规则，然后将更新后的检测和防御规则下发通知到其他相应的防御系统，由对应功能的防御系统进行检测和拦截这些黑客攻击；实现同一防御节点下服务之间的联动；并且该节点控制器将新型的网络攻击特征上报到了管理控制系统，管理控制系统更新系统中的检测和防御规则并将这些更新内容实时通知到所有节点控制器，然后由节点控制器来调度分配任务给相应的防御系统。或者节点控制器将根据特征数据重新建立的检测和防御规则直接通过管理控制系统发送到其他的节点控制器，以使其他的节点控制器也可以对检测和防御规则进行更新，这样就实现了节点之间的联动防御。

图3为本发明提供的网络安全防护系统各个节点装置的功能模块示意图，节点控制器(节点控制中心)和防御系统以及管理控制系统的连接关系如图3所示，下面对各个装置进行具体介绍。

首先介绍节点控制器，节点控制器部署有数据存储中心、关联分析系统、规则系统、通讯调度系统。

数据存储中心，用于将节点处的防御系统上报的数据和攻击的特征数据存储在系统中。

关联分析系统，用于通过将各个防御系统上报到数据存储中心的数据进行强关联，通过建立的数据模型进行数据分析处理，分析出攻击特征；例如：当IDS系统发现了网络流量端口异常扫描行为，将异常的网络流量数据上报到节点控制器的数据存储中心；而此时HIDS将主机中的进程访问的网络端口信息也上报到了节点的数据存储中心，通过进程的行为和网络端口的数据进行关联分析，还原黑客攻击的入侵特征，得出此特征可能是APT攻击；而关联分析系统就是通过IDS上报的网络流量和HIDS上报的进程访问的网络端口信息数据进行关联，得出该网络攻击的特征数据。

规则系统，用于根据关联分析的结果更新相应的检测和防御规则；本身也维护了防御系统的已有的检测和防御规则；例如之上的关联分析系统通过关联分析，得出了APT的攻击特征数据，那么规则系统就更新IDS的流量检测和防御规则，规则中加入对此类网络特征数据包的检测告警；同时也更新HIDS的主机中此进程行为的检测特征，并制定此类网络攻击包和进程行为的防御规则(也称为拦截策略)。

通讯调度系统，用于通知节点下面的各个防御系统进行检测和防御规则的更新，并将检测和防御规则下发到各个防御系统；同时将这些策略上报给管理控制系统；同时也负责接收管理控制系统下发的检测和防御规则，并用于接收下面的防御系统上报的特征数据。

其次，介绍管理控制系统，本发明中管理控制系统包括数据存储中心，数据分析中心，规则策略系统，节点管理系统。

数据存储中心，用于对各节点控制器上报的数据(包括网络攻击的特征数据或者节点控制器发送的检测和防御规则)进行存储。数据分析中心，用于对存储中心的数据进行分析，建立模型。规则策略系统，用于根据数据分析的攻击的特征数据，通过建立的模型进行规则和策略的制定以及更新并同步给通讯调度系统；同上面的节点控制器的规则系统功能一样。节点管理系统，用于管理各节点控制器，各节点控制器的健康度以及心跳信息。通讯调度系统，用于负责接收各节点控制器上报的数据和攻击的特征数据，并下发监测和防御规则到各节点控制器。

基于上述图2所示的网络安全防护系统架构以及图3所示的网络安全防护系统的每个节点装置的功能，下面以几个具体的实施例来介绍本发明提供的网络安全防护方法。

图4为本发明网络安全防护方法实施例一的流程图，如图4所示，该方案提供的网络安全防护方法的具体步骤为：

S101：接收第一防御系统发送的网络攻击的特征数据。

在本步骤中，第一节点控制器(不特指某个节点控制器，可以是系统中任意一个节点控制器)，防御系统发现了异常的网络特征或者异常进程访问特征，则获取这些特征数据，上报给节点控制器，该节点控制器则接收到下层的任意一个防御系统发送的网络攻击的特征数据(也称为攻击特征)。

S102：根据所述特征数据建立新的检测和防御规则。

在本步骤中，节点控制器根据特征数据分析获取所述网络攻击的攻击特征；在目前的流量监测规则中加入监测所述攻击特征的检测告警，并定制与所述攻击特征对应的拦截策略，得到所述检测和防御规则。

例如：当IDS系统发现了网络流量端口异常扫描行为，将异常的网络流量数据上报；而此时HIDS将主机中的进程访问的网络端口信息也上报到了节点控制器，通过进程的行为和网络端口的数据进行关联分析，还原黑客攻击的入侵特征，得出此特征可能是APT攻击，即通过IDS上报的网络流量和HIDS上报的进程访问的网络端口信息数据进行关联，得出的攻击特征。然后根据关联分析的结果更新相应的检测和防御规则。即更新IDS的流量检测规则，规则中加入对此类网络特征数据包的检测告警；同时也更新HIDS的主机中此进程行为的检测特征，并制定此类网络攻击包和进程行为的防御规则，得到新的检测和防御规则。

S103：将所述检测和防御规则发送至至少一个第二防御系统。

在本步骤中，第一节点控制器在根据接收到的攻击得到建立了新的检测和防御规则之后，需要将该检测和防御规则通知给一个或者多个防御系统，进行规则更新以对该网络攻击进行防御。

该方案中的至少一个第二防御系统，可以包括第一防御系统，也可以包括先与第一防御系统进行检测和防御的上层防御系统，还可以包括在第一防御系统之后再进行检测和防御的下层防御系统，对此本方案不做限制。

即至少一个第二防御系统为在第一防御系统之前进行检测防御的至少一个防御系统。

可选的，至少一个第二防御系统包括第一防御系统。

可选的，至少一个第二防御系统包括在第一防御系统之后进行检测防御的至少一个防御系统。

S104：至少一个第二防御系统根据所述检测和防御规则检测和拦截所述网络攻击。

在本步骤中，接收到该新的检测和防御规则的第二防御系统对本地的策略进行更新，对前述的网络攻击进行检测和拦截。

本实施例提供的网络安全防护方法，设置节点控制器连接多个防御系统，每个防御系统可以将检测到的攻击的特征数据发送至节点控制器，节点控制器生成检测和防御规则并分别发送给该节点控制器管理的多个防御系统，以实现多个防御系统同时对该攻击的检测和防御，提高入侵发现和防御能力，有效减轻单一防御系统的防御压力，同时能够避免单一防御系统局限性。

可选的，在上述实施例一的基础上，步骤S102之前，第一节点控制器还可以将网络攻击的特征数据发送至管理控制系统，以使管理控制系统根据特征数据确定网络攻击特征、并根据网络攻击特征建立新的检测和防御规则、并将检测和防御规则发送至管理控制系统管理的至少一个节点控制器，该至少一个节点控制器可以是管理控制系统管理的部分或者全部节点控制器。

本方案的实质是将网络攻击的特征数据上报至管理控制系统，由管理控制系统对特征数据进行分析处理，得到新的检测和防御规则，然后通知该至少一个节点控制器(包括第一控制节点)，节点控制器再通知给各个防御系统进行检测和防御规则更新。

可选的，在上述实施例一的基础上，步骤S102之后，该第一节点控制器还可以将检测和防御规则发送至管理控制系统，以使管理控制系统将检测和防御规则发送至管理控制系统管理的除了第一控制节点以外的至少一个节点控制器。

在管理控制系统侧，接收第一节点控制器发送的检测和防御规则，所述检测和防御规则为所述第一节点控制器根据检测到的新的网络攻击的特征数据建立的规则，所述第一节点控制器为所述管理控制系统管理的任一个节点控制器；将所述检测和防御规则发送至除了第一控制节点以外的至少一个节点控制器，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

该方案是与实施例并列的方案，本方案的实质是节点控制器分析处理得到的检测和防御规则直接上报至管理控制系统，管理控制系统将该新的检测和防御规则转发至多个节点控制器，节点控制器再通知给各个防御系统进行检测和防御规则更新。

通过上述的可选方案，建立强大全面的安全数据中心，提供强大的修复能力，确保单点防御系统有效的运行，大大提高我们的入侵发现和防御能力,构建业界最有竞争力的防御体系。

图5为本发明网络安全防护方法实施例二的流程图，如图5所示，该方案的具体实现步骤为：

S201：接收第一防御系统发送的网络攻击的特征数据。

S202：根据所述网络攻击的所述特征数据建立新的检测和防御规则。

上述步骤中，第一节点控制器接收网络攻击的特征数据，并根据特征数据建立检测和防御规则的具体实现与实施例一类似，在此不再赘述。

S203：将所述检测和防御规则通过管理控制系统发送至所述管理控制系统管理的至少一个节点控制器。

第一节点控制器将新的检测和防御规则发送至管理控制系统，由管理控制系统将新的检测和防御规则发送给除了第一控制节点以外的至少一个节点控制器(例如图2中所述的第二节点控制器)。

在管理控制系统侧，接收第一节点控制器发送的检测和防御规则，所述检测和防御规则为所述第一节点控制器根据检测到的新的网络攻击的特征数据建立的规则，所述第一节点控制器为所述管理控制系统管理的任一个节点控制器；将所述检测和防御规则发送至除了第一控制节点以外的至少一个节点控制器(例如图2中所述的第二节点控制器)，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

在该第二节点控制器侧，接收管理控制系统发送的检测和防御规则，并将所述检测和防御规则下发至对应的防御系统进行规则的更新。具体的可以实现为S204和S205。

S204：将所述检测和防御规则发送至至少一个防御系统。

S205：将对应的防御系统的规则更新为所述检测和防御规则。

在上述步骤中，其他的节点控制器在接收到管理控制系统发送的检测和防御规则之后，将该检测和防御规则发送给其下层连接的一个或者多个防御系统，该至少一个防御系统可以是与该检测和防御规则对应的防御系统，也可以是与检测和防御规则对应的防御系统的上层的防御系统，也可以是与检测和防御规则对应的防御系统的下层的防御系统，对此本方案不做限制。

该些防御系统接收到新的检测和防御规则之后，对本地的策略进行更新，对前述的网络攻击进行检测和拦截。

本实施例提供的网络安全防护方法，每个防御系统可以将检测到的攻击的特征数据发送至节点控制器，节点控制器生成检测和防御规则并发送至管理控制系统，以使其他节点控制器对连接的防御系统进行检测和防御规则的更新，以实现防御系统之间的数据共享，大大提高我们的入侵发现和防御能力,构建业界最有竞争力的防御体系。还可以建立全面的安全数据中心。

可选的，在上述实施例二的基础上，S201之后，第一节点控制器可以直接上特征数据发送至管理控制系统，由管理控制系统根据特征数据建立新的检测和防御规则。即管理控制系统接收第一节点控制器发送的网络攻击的特征数据，并根据所述特征数据建立新的检测和防御规则，然后管理控制系统将建立的所述检测和防御规则发送至至少一个节点控制器，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

该些节点控制器接收管理控制系统发送的检测和防御规则；将所述检测和防御规则下发至对应的防御系统进行规则的更新。

上述方案中，同一个节点控制器的防御系统之间实现共同治敌，还可以通过管理控制系统通知其他的节点控制器对对应的防御系统进行检测和防御规则的更新，防患于未然，实现数据共享，大大提高入侵发现和防御能力，避免单一防御系统的局限性，缓解防御系统的压力。同时可以提供强大的修复能力，确保单点防御系统的有效运行。

上述实施例一或二是基于图2系统架构的方案说明，下面基于图3所示的各个节点装置的具体功能模块，对该网络安全防护方法进行说明。

图6为本发明网络安全防护方法实施例三的流程图，如图6所示，该网络安全防护方法的一种具体实现步骤为：

1)、发现新的网络攻击的特征数据，上报到节点控制器1。

多个防御系统发现了异常网络特征和异常进程访问特征，然后将这些网络攻击的特征数据上报到节点控制器1。

2)、上报到存储中心。

节点控制器1的通讯调度系统将防御系统上报的数据传送到数据存储中心。

3)、数据和攻击特征关联分析。

关联分析系统通过各防御系统上报的数据进行关联分析，比如还原一个进程的网络行为，将访问的端口，访问的文件信息，修改的文件信息，时间，权限等数据信息多维度对比，关联起来分析。

4)、更新检测和防御规则。

上述关联分析系统关联分析得出此类网络攻击特征和恶意进程特征，通知给规则策略系统；规则策略系统将关联分析的结果进行解读，然后更新此类攻击的检测和拦截规则。

5)、开启下发和通知任务。

节点控制器1的规则策略系统将更新后的检测和拦截规则同步给通讯调度系统；由通讯调度系统负责更新规则的下发给各个防御系统。

6)、通知并下发新的检测和防御规则到当前节点下的各个防御系统。

节点控制器1的的通讯调度系统将更新后的检测和防御规则下发给下面的相应的防御系统，接收新的检测和防御规则的防御系统可以是Anti-Ddos本身，也可以是其上层或者下层的其他防御系统，还可以是该节点控制器下的所有防御系统。

7)、将新型的网络攻击特征和数据上报到管理控制系统。

该第一节点控制器1的通讯调度系统还可以将发现的新型网络攻击的特征数据的上报到管理控制系统。

8)、根据节点控制器1上报的数据和攻击特征进行实时分析并更新升级自己的检测和防御规则。

管理控制系统对节点控制器1上报的网路攻击的特征数据进行分析，如同节点控制器1的关联分析一样，根据网络，端口，修改文件，时间，权限等数据进行关联，还原攻击行为。

9)、通知并下发新的检测和防御规则到其余节点控制器。

管理控制系统对关联分析的结果进行解读，然后更新此类攻击的检测和拦截规则；(或者直接利用节点控制器的新的检测和防御规则，不需要管理控制系统再进行关联分析得出这些新的检测和防御规则)，然后将更新的检测和防御规则下发到其余的节点控制器(例如节点控制器2)。

10)通知并下发新的检测和防御规则到当前节点下的各个防御系统。

其他的节点控制器收到管理控制系统下发的检测和防御规则后就由通讯调度系统负责将新的检测和防御规则下发到该节点控制器下面的相应的防御系统进行规则更新。

在上述方案中，所有的防御系统上报到节点控制器的数据格式都是按照预先自定义的数据格式进行数据的上报，例如：网络数据有网络数据的格式，进程信息有进程的数据字段和格式等；对规则和策略的格式制定也是预先定义好的，只接收和生成预先自定义且能有效识别的文件；节点控制器和管理控制系统也只处理定义的签名的规则和策略，且节点控制器和管理控制系统的规则和策略文件格式是相同的。

本发明提供的网络安全防护方法，多个防御系统的数据上报到节点控制器，节点控制器根据数据和攻击特征建立并更新检测和防御规则；然后将建立的新的检测和防御规则下发到同节点下面的另外防御系统，实现共同制敌；另外当前节点可以将新发现的网络攻击特征上报到管理控制系统，由管理控制系统来通知其余节点下的防御系及时更新检测和防御规则，防患于未然，大大提高入侵发现和防御能力，构件更为安全的防御体系，避免单一防御系统的局限性，减少单一防御系统的防御压力。

图7为本发明节点控制器实施例一的结构示意图，如图7所示，所述节点控制器10包括：

接收模块11，用于接收第一防御系统发送的网络攻击的特征数据，所述第一防御系统为与所述节点控制器连接的任一个防御系统；

处理模块12，用于根据所述特征数据建立新的检测和防御规则；

发送模块13，用于将所述检测和防御规则发送至至少一个第二防御系统，以使所述至少一个第二防御系统根据所述检测和防御规则检测和拦截所述网络攻击；其中，第二防御系统为与所述节点控制器连接的防御系统。

可选的，所述发送模块13发送检测和防御规则的所述至少一个第二防御系统为在所述第一防御系统之前进行检测防御的至少一个防御系统。

可选的，所述处理模块12具体用于：

根据所述特征数据分析获取所述网络攻击的攻击特征；

在流量监测规则中加入监测所述攻击特征的检测告警，并定制与所述攻击特征对应的拦截策略，得到所述检测和防御规则。

可选的，所述发送模块13还用于：

将所述网络攻击的所述特征数据发送至管理控制系统，以使所述管理控制系统根据所述特征数据确定网络攻击特征、并根据所述网络攻击特征建立新的检测和防御规则、并将所述检测和防御规则发送至所述管理控制系统管理的包括所述第一节点控制器的至少一个节点控制器。

可选的，所述发送模块13还用于：

将所述检测和防御规则发送至管理控制系统，以使所述管理控制系统将所述检测和防御规则发送至所述管理控制系统管理的除了所述第一节点控制器以外的至少一个节点控制器。

可选的，所述发送模块13发送检测和防御规则的所述至少一个第二防御系统为在所述第一防御系统之前进行检测防御的至少一个防御系统。

可选的，所述发送模块13发送检测和防御规则的至少一个第二防御系统包括第一防御系统。

可选的，所述发送模块13发送检测和防御规则的至少一个第二防御系统为在第一防御系统之后进行检测防御的至少一个防御系统。

上述实施例提供的节点控制器，用于执行前述方法任一实施例中的节点控制器的技术方案，其实现原理和技术效果类似，在此不再赘述。

可选的，在该节点控制器的实施例二中，

接收模块11，用于接收第一防御系统发送的网络攻击的特征数据，所述第一防御系统为与所述第一节点控制器连接的任一个防御系统；

处理模块12，用于根据所述网络攻击的所述特征数据建立新的检测和防御规则；

发送模块13，用于将所述检测和防御规则通过所述管理控制系统发送至所述管理控制系统管理的至少一个节点控制器，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

可选的，所述处理模块12具体用于：

根据特征数据分析获取网络攻击的攻击特征；

在流量监测规则中加入监测攻击特征的检测告警，并定制与攻击特征对应的拦截策略，得到检测和防御规则。

可选的，所述发送模块13还用于将检测和防御规则发送至至少一个第二防御系统，以使至少一个第二防御系统根据检测和防御规则检测和拦截网络攻击；其中，第二防御系统为与第一节点控制器连接的防御系统。

可选的，至少一个第二防御系统为在第一防御系统之前进行检测防御的至少一个防御系统。

可选的，至少一个第二防御系统包括第一防御系统。

可选的，至少一个第二防御系统为在第一防御系统之后进行检测防御的至少一个防御系统。

可选的，所述发送模块13还用于将网络攻击的特征数据发送至管理控制系统，以使管理控制系统根据特征数据确定网络攻击特征、并根据网络攻击特征建立新的检测和防御规则、并将检测和防御规则发送至管理控制系统管理的至少一个节点控制器。

上述实施例提供的节点控制器，用于执行前述方法任一实施例中的节点控制器的技术方案，其实现原理和技术效果类似，在此不再赘述。

图8为本发明网络安全防护装置实施例一的结构示意图，如图8所示，所述网络安全防护装置20用于管理多个节点控制器；所述网络安全防护装置20包括：

接收模块21，用于接收第一节点控制器发送的检测和防御规则，所述检测和防御规则为所述第一节点控制器根据检测到的新的网络攻击的特征数据建立的规则，所述第一节点控制器为所述网络安全防护装置管理的任一个节点控制器；

发送模块22，用于将所述检测和防御规则发送至至少一个节点控制器，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

可选的，所述至少一个节点控制包括除了所述第一节点控制器意外的一个或多个节点控制器。

可选的，所述接收模块21还用于接收并存储第一节点控制器发送的网络攻击的特征数据。

可选的，所述装置还包括：处理模块23，用于根据特征数据建立新的检测和防御规则，并将新的检测和防御规则发送至至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。

可选的，至少一个节点控制器可以包括第一节点控制器，也可以包括除了第一节点控制器之外的其他控制器。

本实施例提供的网络安全防护装置，用于执行前述方法任一实施例中的管理控制系统的技术方案，其实现原理和技术效果类似，在此不再赘述。

在本发明网络安全防护装置实施例二中，可选的，该网络安全防护装置20的各个模块还用于执行下面的功能。

接收模块21，用于接收第一节点控制器发送的网络攻击的特征数据，所述第一节点控制器为所述管理控制系统管理的任一个节点控制器；

处理模块23，用于根据所述特征数据建立新的检测和防御规则；

发送模块22，用于将所述检测和防御规则发送至至少一个节点控制器，以使所述至少一个节点控制器将对应的防御系统的规则更新为所述检测和防御规则。

可选的，所述处理模块23具体用于：

根据特征数据分析获取网络攻击的攻击特征；

在流量监测规则中加入监测攻击特征的检测告警，并定制与攻击特征对应的拦截策略，得到检测和防御规则。

可选的，所述接收模块21还用于接收第一节点控制器发送的检测和防御规则，检测和防御规则为第一节点控制器根据检测到的新的网络攻击的特征数据建立的规则，第一节点控制器为管理控制系统管理的任一个节点控制器；

所述发送模块22还用于将检测和防御规则发送至至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。

本实施例提供的网络安全防护装置，用于执行前述方法任一实施例中的管理控制系统的技术方案，其实现原理和技术效果类似，在此不再赘述。

图9为本发明节点控制器实施例三的结构示意图，如图9所示，所述节点控制器30与多个防御系统连接，所述节点控制器30包括：

接收模块31，接收管理控制系统发送的检测和防御规则；

发送模块32，用于将所述检测和防御规则下发至对应的防御系统进行规则的更新。

本实施例提供的节点控制器，用于执行前述方法任一实施例中的节点控制器的技术方案，其实现原理和技术效果类似，在此不再赘述。

前述的节点控制器和管理控制系统的具体实现中，接收模块可以被实现为接收器，发送模块可以被实现为发送器，处理模块可以被实现为处理器，数据和程序代码可存储在存储器中，由控制器根据相应的程序指令控制执行。

在上述节点控制器或者管理控制系统的具体实现中，应理解，处理器可以是中央处理单元(英文：Central Processing Unit，简称：CPU)，还可以是其他通用处理器、数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：Application Specific Integrated Circuit，简称：ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

图10为本发明节点控制器实施例四的结构示意图，如图10所示，该节点控制器40包括至少一个处理器41、存储器42和通信接口43。所述至少一个处理器41、所述存储器42和所述通信接口43均通过总线44连接；所述存储器42存储计算机执行指令；所述至少一个处理器41执行所述存储器42存储的计算机执行指令，使得所述节点控制器40通过所述通信接口43与防御系统或者管理控制系统进行数据交互来执行前述任一实施例中节点控制器侧的各种可能的网络安全防护方法。

图11为本发明网络安全防护装置实施例三的结构示意图，如图11所示，该网络安全防护装置50包括至少一个处理器51、存储器52和通信接口53。所述至少一个处理器51、所述存储器52和所述通信接口53均通过总线54连接；所述存储器52存储计算机执行指令；所述至少一个处理器51执行所述存储器52存储的计算机执行指令，使得所述网络安全防护装置通过所述通信接口与节点控制器进行数据交互来执行上述任一实施例中管理控制系统的各种可能设计提供的网络安全防护方法。

在上述节点控制器40中的处理器41或者网络安全防护装置50的处理器51，可以包括不同类型的处理器，或者包括相同类型的处理器；处理器可以是以下的任一种：中央处理器(Central Processing Unit，简称CPU)、ARM处理器、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)、专用处理器等具有计算处理能力的器件。一种可选实施方式，所述至少一个处理器还可以集成为众核处理器。

在上述节点控制器40中的存储器42或者网络安全防护装置50的存储器52可以是以下的任一种或任一种组合：随机存取存储器(Random Access Memory，简称RAM)、只读存储器(read only memory，简称ROM)、非易失性存储器(non-volatile memory，简称NVM)、固态硬盘(Solid State Drives，简称SSD)、机械硬盘、磁盘、磁盘整列等存储介质。

通信接口43和通信接口53各自用于节点控制器和网络安全防护装置与其他设备进行数据交互。通信接口可以是以下的任一种或任一种组合：网络接口(例如以太网接口)、无线网卡等具有网络接入功能的器件。

总线44和总线54各自可以包括地址总线、数据总线、控制总线等，为便于表示，图10和图11中用一条粗线表示该总线(总线44或总线54)。该总线可以是以下的任一种或任一种组合：工业标准体系结构(Industry Standard Architecture，简称ISA)总线、外设组件互连标准(Peripheral Component Interconnect，简称PCI)总线、扩展工业标准结构(Extended Industry Standard Architecture，简称EISA)总线等有线数据传输的器件。

此外，本发明实施例里还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，当节点控制器的至少一个处理器执行该计算机执行指令时，节点控制器执行上述各种可能设计提供的网络安全防护方法。

本发明实施例里还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，当网络安全防护装置的至少一个处理器执行该计算机执行指令时，网络安全防护装置执行上述实施例中的各种可能设计提供的网络安全防护方法。

本发明实施例里还提供一种计算机程序产品，该计算机程序产品包括计算机执行指令，该计算机执行指令存储在计算机可读存储介质中。节点控制器的至少一个处理器可以从计算机可读存储介质读取该计算机执行指令，至少一个处理器执行该计算机执行指令使得节点控制器实施前述方法实施例中的各种可能设计提供的网络安全防护方法。

本发明实施例里还提供一种计算机程序产品，该计算机程序产品包括计算机执行指令，该计算机执行指令存储在计算机可读存储介质中。网络安全防护装置的至少一个处理器可以从计算机可读存储介质读取该计算机执行指令，至少一个处理器执行该计算机执行指令使得网络安全防护装置实施上述的各种可能设计或者第四方面或者第四方面的各种可能设计提供的网络安全防护方法。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。