安全防御方法、终端、云端服务器以及安全防御系统与流程

本发明涉及网络安全技术领域，特别是涉及一种安全防御方法、终端、云端服务器以及安全防御系统。

背景技术：

目前互联网面临各种网络攻击，例如暴库、勒索病毒、0-day等层出不穷，受到攻击的终端主要是由于安全防御能力不强或者系统应用本身存在漏洞，使攻击者有机可乘。对于一些大型的企业或单位，则会购买专门的防火墙、ips等设备来防护终端的安全。

近些年来，在政府的领导下，各个业务系统开始往云端迁移，原有的安全防御设备将无法使用，需要购买新的云安全防御设备，重新部署新的网络拓扑，重新部署对应的安全防御策略，这些都严重浪费了大量的人力和财力。

目前采用终端软件进行防御的方式为，通过客户在终端中安装客户端防御软件，每个客户端根据自己的业务系统配置相应的安全防御策略，该方法可以摆脱因为网络环境问题而重新配置安全策略的问题，但是各个业务系统之间的的安全策略无联系，不能做到一机配置，全网受用。

技术实现要素：

本发明的目的是提供一种安全防御方法、终端、云端服务器以及安全防御系统，以解决现有采用终端软件进行防御的方式不能做到一机配置、全网受用的问题。

为解决上述技术问题，本发明提供一种安全防御方法，应用于终端，包括：

获取终端的当前通信行为数据；

通过云端服务器获取安全防御策略，所述安全防御策略包含通信行为数据与应采取的防御动作的对应关系；

根据所述安全防御策略，确定与所述当前通信行为数据相匹配的防御动作。

可选地，所述通过云端服务器获取安全防御策略包括：

将防御日志数据发送至云端服务器，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；

获取所述云端服务器对所述防御日志数据进行分析、采用自适应策略调整后的安全防御策略。

本发明还提供了一种终端，包括：

行为数据获取模块，用于获取终端的当前通信行为数据；

防御策略获取模块，用于通过云端服务器获取安全防御策略，所述安全防御策略包含通信行为数据与应采取的防御动作的对应关系；

防御动作确定模块，用于根据所述安全防御策略，确定与所述当前通信行为数据相匹配的防御动作。

可选地，所述防御策略获取模块包括：

日志数据发送单元，用于将防御日志数据发送至云端服务器，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；

防御策略获取单元，用于获取所述云端服务器对所述防御日志数据进行分析、采用自适应策略调整后的安全防御策略。

本发明还提供了一种安全防御方法，应用于云端服务器，包括：

获取由各个终端上传的防御日志数据，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；

对所述防御日志数据进行分析，生成安全防御策略，所述安全防御策略包含通信行为数据与应采取的防御动作的对应关系；

将所述安全防御策略数据发送至各个终端。

可选地，所述对所述防御日志数据进行分析，生成安全防御策略包括：

对所述防御日志数据进行分析，采用自适应策略调整所述安全防御策略。

可选地，还包括：

当检测到终端被入侵时，限制其他终端对被入侵终端进行数据访问。

可选地，还包括：

根据所述防御日志数据，确定常用攻击ip地址，并将所述常用攻击ip地址设置为禁止访问名单；

将所述禁止访问名单发送至各个终端。

本发明还提供了一种云端服务器，包括：

日志数据获取模块，用于获取由各个终端上传的防御日志数据，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；

防御策略生成模块，用于对所述防御日志数据进行分析，生成安全防御策略，所述安全防御策略包含通信行为数据与应采取的防御动作的对应关系；

防御策略发送模块，用于将所述安全防御策略数据发送至各个终端。

本发明还提供了一种安全防御系统，包括至少一个上述任一种终端，以及上述云端服务器。

本发明所提供的安全防御方法，云端服务器获取由各个终端上传的防御日志数据，防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；对防御日志数据进行分析，生成安全防御策略，安全防御策略包含通信行为数据与应采取的防御动作的对应关系；将安全防御策略数据发送至各个终端。终端获取当前通信行为数据；通过云端服务器获取安全防御策略；根据安全防御策略，确定与当前通信行为数据相匹配的防御动作。本发明所提供的安全防御方法只需在云端服务器进行统一配置，即可无视业务系统部署在何地，对整个网路进行统一安全的防御管理，减少了系统运维的工作量。此外，本发明还提供了一种具有上述技术优点的终端、云端服务器以及安全防御系统。

附图说明

为了更清楚的说明本发明实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明所提供的安全防御方法的一种具体实施方式的流程图；

图2为本发明所提供的安全防御方法中通过云端服务器获取安全防御策略的过程示意图；

图3为本发明实施例提供的终端的结构框图；

图4为本发明所提供的安全防御方法的另一种具体实施方式的流程图；

图5为本发明实施例提供的云端服务器的结构框图；

图6为本发明所提供的安全防御系统的一种具体实施方式示意图；

图7为本发明所提供的安全防御系统的工作流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明所提供的安全防御方法的一种具体实施方式的流程图如图1所示，应用于终端，具体可以通过硬件和/或软件进行实现，该方法包括：

步骤s101：获取终端的当前通信行为数据；

当前通信行为数据可以具体包括终端当前数据交互过程中的多个通信参数，通过这些通信参数可以反映当前网络是否存在攻击行为，从而检测出网络是否安全，并且做出安全防御行为。具体地，当前通信行为数据可以包括但不限于终端的流量、行为和动作数据，这均不影响本发明的实现。

步骤s102：通过云端服务器获取安全防御策略，所述安全防御策略包含通信行为数据与应采取的防御动作的对应关系；

本发明实施例中云端服务器与位于网络中的各个终端相连，可以获取由各个终端上传的防御日志数据，防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；对这些防御日志数据进行分析，生成安全防御策略。安全防御策略包含通信行为数据与应采取的防御动作的对应关系。根据通信行为数据可以识别出常见的攻击手段或常用的攻击ip，在不同的攻击手段下分别对应不同的防御动作。

需要指出的是，本发明实施例中步骤s101以及步骤s102之间没有时间顺序的限制，即步骤s101以及步骤s102在时间上并没有执行的先后顺序，在此只是一种具体的实施方式。

步骤s103：根据所述安全防御策略，确定与所述当前通信行为数据相匹配的防御动作。

需要指出的是，本发明实施例中终端可以为整个网路中的防御端，具体可以为公有云、私有云、混合云、个人终端中的任意一个或任意组合。

终端依据安全防御策略，可以从中查找到当前通信行为数据相匹配的防御动作。这样，防御终端通过分析终端的流量、行为和动作等当前通信行为数据，根据安全防御策略确定相应的防御动作并执行，从而达到安全防御的效果。

本发明所提供的安全防御方法，云端服务器获取由各个终端上传的防御日志数据，防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；对防御日志数据进行分析，生成安全防御策略，安全防御策略包含通信行为数据与应采取的防御动作的对应关系；将安全防御策略数据发送至各个终端。终端获取当前通信行为数据；通过云端服务器获取安全防御策略；根据安全防御策略，确定与当前通信行为数据相匹配的防御动作。本发明所提供的安全防御方法只需在云端服务器进行统一配置，即可无视业务系统部署在何地，对整个网路进行统一安全的防御管理，减少了系统运维的工作量。

在上述实施例的基础上，参照图2，本发明所提供的安全防御方法中通过云端服务器获取安全防御策略的过程可以具体包括：

步骤s1021：将防御日志数据发送至云端服务器，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；

步骤s1022：获取所述云端服务器对所述防御日志数据进行分析、采用自适应策略调整后的安全防御策略。

可见，本实施例中各个防御终端对终端流量进行清洗，识别出攻击流量并分析其行为，根据流量分析的结果信息、终端受到攻击的信息生成防御日志数据，并发送至云端服务器，云端服务器可以对上报的所有的防御日志数据进行汇总归类，进行大数据建模，从而生成安全防御策略。可以理解的是，本发明实施例中云端服务器可以设置基本的安全防御策略以及自适应策略，在接收到实时的日志数据后，采用自适应策略不断对安全防御策略进行实时调整。并将调整后的安全防御策略重新下发给各个终端，进行更新替换。本发明实施例通过自适应调整安全防御策略，能够进一步确保业务系统的安全。

下面对本发明实施例提供的终端进行介绍，下文描述的终端与上文描述的安全防御方法可相互对应参照。

图3为本发明实施例提供的终端的结构框图，参照图3该终端可以包括：

行为数据获取模块100，用于获取终端的当前通信行为数据；

当前通信行为数据可以具体包括终端当前数据交互过程中的多个通信参数，通过这些通信参数可以反映当前网络是否存在攻击行为，从而检测出网络是否安全，并且做出安全防御行为。具体地，当前通信行为数据可以包括但不限于终端的流量、行为和动作数据，这均不影响本发明的实现。

防御策略获取模块200，用于通过云端服务器获取安全防御策略，所述安全防御策略包含通信行为数据与应采取的防御动作的对应关系；

本发明实施例中云端服务器与位于网络中的各个终端相连，可以获取由各个终端上传的防御日志数据，防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；对这些防御日志数据进行分析，生成安全防御策略。安全防御策略包含通信行为数据与应采取的防御动作的对应关系。根据通信行为数据可以识别出常见的攻击手段或常用的攻击ip，在不同的攻击手段下分别对应不同的防御动作。

防御动作确定模块300，用于根据所述安全防御策略，确定与所述当前通信行为数据相匹配的防御动作。

需要指出的是，本发明实施例中终端可以为整个网路中的防御端，具体可以为公有云、私有云、混合云、个人终端中的任意一个或任意组合。

终端依据安全防御策略，可以从中查找到当前通信行为数据相匹配的防御动作。这样，防御终端通过分析终端的流量、行为和动作等当前通信行为数据，根据安全防御策略确定相应的防御动作并执行，从而达到安全防御的效果。

作为一种具体实施方式，本发明所提供的安全防御方法中防御策略获取模块200可以具体包括：

日志数据发送单元，用于将防御日志数据发送至云端服务器，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；

防御策略获取单元，用于获取所述云端服务器对所述防御日志数据进行分析、采用自适应策略调整后的安全防御策略。

本实施例的终端用于实现前述的安全防御方法，因此终端中的具体实施方式可见前文中的安全防御方法的实施例部分，例如，行为数据获取模块100，防御策略获取模块200，防御动作确定模块300，分别用于实现上述安全防御方法中步骤s101，s102，s103，所以，其具体实施方式可以参照相应的各个部分实施例的描述，在此不再赘述。

本发明所提供的安全防御方法的另一种具体实施方式的流程图如图4所示，该方法应用于云端服务器，具体可以由硬件和/或软件来进行实现，其具体可以包括：

步骤s201：获取由各个终端上传的防御日志数据，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；

终端对终端流量进行清洗，识别出攻击流量并分析其行为，根据流量分析的结果信息、终端受到攻击的信息生成防御日志数据，并发送至云端服务器。

步骤s202：对所述防御日志数据进行分析，生成安全防御策略，所述安全防御策略包含通信行为数据与应采取的防御动作的对应关系；

可选地，本步骤可以具体为：对所述防御日志数据进行分析，采用自适应策略调整所述安全防御策略。

云端服务器可以对上报的所有的防御日志数据进行汇总归类，进行大数据建模，从而生成安全防御策略。本发明实施例中云端服务器可以设置基本的安全防御策略以及自适应策略，在接收到实时的日志数据后，采用自适应策略不断对安全防御策略进行实时调整。

步骤s203：将所述安全防御策略数据发送至各个终端。

通过将生成或者调整后的安全防御策略下发给各个终端，以便终端依据安全防御策略进行防御。

在上述实施例的基础上，本发明所提供的安全防御方法还可以进一步包括：当检测到终端被入侵时，限制其他终端对被入侵终端进行数据访问。

进一步地，本发明实施例还可以包括：根据所述防御日志数据，确定常用攻击ip地址，并将所述常用攻击ip地址设置为禁止访问名单；将所述禁止访问名单发送至各个终端。

下面对本发明实施例提供的云端服务器进行介绍，下文描述的云端服务器与上文描述的安全防御方法可相互对应参照。

图5为本发明实施例提供的云端服务器的结构框图，参照图5该云端服务器可以包括：

日志数据获取模块400，用于获取由各个终端上传的防御日志数据，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；

终端对终端流量进行清洗，识别出攻击流量并分析其行为，根据流量分析的结果信息、终端受到攻击的信息生成防御日志数据，并发送至云端服务器。

防御策略生成模块500，用于对所述防御日志数据进行分析，生成安全防御策略，所述安全防御策略包含通信行为数据与应采取的防御动作的对应关系；

可选地，本步骤可以具体为：对所述防御日志数据进行分析，采用自适应策略调整所述安全防御策略。

云端服务器可以对上报的所有的防御日志数据进行汇总归类，进行大数据建模，从而生成安全防御策略。本发明实施例中云端服务器可以设置基本的安全防御策略以及自适应策略，在接收到实时的日志数据后，采用自适应策略不断对安全防御策略进行实时调整。

防御策略发送模块600，用于将所述安全防御策略数据发送至各个终端。

通过将生成或者调整后的安全防御策略下发给各个终端，以便终端依据安全防御策略进行防御。

本实施例的云端服务器用于实现前述的安全防御方法，因此云端服务器中的具体实施方式可见前文中的安全防御方法的实施例部分，例如，日志数据获取模块400，防御策略生成模块500，防御策略发送模块600，分别用于实现上述安全防御方法中步骤s201，s202，s203，所以，其具体实施方式可以参照相应的各个部分实施例的描述，在此不再赘述。

此外，本发明还提供了一种安全防御系统，包括至少一个上述任一种所述的终端以及上述云端服务器。

图6为本发明所提供的安全防御系统的一种具体实施方式示意图，该系统中终端可以具体为公有云、私有云、混合云或者个人终端。参照图6，下面对本发明所提供的安全防御系统的具体工作过程进行详细阐述。

在云端服务器配置基本的安全防御策略，并设置对应的自适应策略。当新增终端时，安装云端服务器提供的防御软件，防御软件主动连接云端服务器并获取安全防御策略对终端进行防御。防御软件监控并对终端流量进行清洗，识别攻击流量并分析其行为，将其详细日志上报给云端服务器。云端服务器接收到来自各终端防御软件的的日志信息，对该日志信息进行汇总归类，并根据该数据建立大数据模型，根据自适应策略的来调整对应的安全防御策略。将调整好的安全防御策略重新下发给各终端。

本发明实施例中如果云端服务器识别出某终端已被入侵，则全网封锁该终端。

本发明实施例采用统一安全策略的实现流程，即所有终端的安全策略都使用统一策略。在第一次使用时，云端服务器向各个终端下发策略；在第二次以及以后，则云端服务器分析各个终端实时发送的大数据，自适应调整策略并重新下发给各个终端。

参照图7本发明所提供的安全防御系统的工作流程图，其具体的工作流程包括：

步骤s301：云端服务器配置安全防御策略以及自适应策略；

安全防御策略包含通信行为数据与应采取的防御动作的对应关系。根据通信行为数据可以识别出常见的攻击手段或常用的攻击ip，在不同的攻击手段下分别对应不同的防御动作。

依据安全防御策略可以查找到当前通信行为数据相匹配的防御动作。这样，防御终端通过分析终端的流量、行为和动作等当前通信行为数据，根据安全防御策略确定相应的防御动作并执行，可以达到安全防御的效果。

本发明实施例中云端服务器设置基本的安全防御策略以及自适应策略。在接收到实时的日志数据后，可以采用自适应策略不断对安全防御策略进行实时调整。并将调整后的安全防御策略重新下发给各个终端，进行更新替换。通过自适应调整安全防御策略，能够进一步确保业务系统的安全。

步骤s302：将安全防御策略下发至各个终端；

通过将生成或者调整后的安全防御策略下发给各个终端，以便终端依据安全防御策略进行防御。

步骤s303：终端上报防御日志数据至云端服务器；

各个防御终端获取当前通信行为数据，当前通信行为数据可以具体包括终端当前数据交互过程中的多个通信参数，通过这些通信参数可以反映当前网络是否存在攻击行为，从而检测出网络是否安全，并且做出安全防御行为。具体地，当前通信行为数据可以包括但不限于终端的流量、行为和动作数据。

然后，各个防御终端根据所述安全防御策略，对终端流量进行清洗，识别出攻击流量并分析其行为，根据流量分析的结果信息、终端受到攻击的信息生成防御日志数据，并发送至云端服务器。

具体地，所述防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息。

步骤s304：云端服务器对获取到的防御日志数据进行大数据建模；

云端服务器可以对上报的所有的防御日志数据进行汇总归类，进行大数据建模，从而生成安全防御策略。

步骤s305：自动生成新的安全防御策略，并下发至各个终端。

可以理解的是，本发明实施例中云端服务器可以设置基本的安全防御策略以及自适应策略，在接收到实时的日志数据后，采用自适应策略不断对安全防御策略进行实时调整。并将调整后的安全防御策略重新下发给各个终端，进行更新替换。本发明实施例通过自适应调整安全防御策略，能够进一步确保业务系统的安全。

本发明所提供的安全防御系统，云端服务器获取由各个终端上传的防御日志数据，防御日志数据至少包括终端对流量进行分析的结果信息、终端受到攻击的信息；对防御日志数据进行分析，生成安全防御策略，安全防御策略包含通信行为数据与应采取的防御动作的对应关系；将安全防御策略数据发送至各个终端。终端获取当前通信行为数据；通过云端服务器获取安全防御策略；根据安全防御策略，确定与当前通信行为数据相匹配的防御动作。本发明所提供的安全防御系统，只需在云端服务器进行统一配置，即可无视业务系统部署在何地，对整个网路进行统一安全的防御管理，减少了系统运维的工作量。并且。通过自适应调整安全防御策略，能够确保业务系统的安全。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上对本发明所提供的安全防御方法、终端、云端服务器以及安全防御系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。