一种安全防御系统及方法与流程

本发明涉及网络安全技术领域，特别是涉及一种安全防御系统及方法。

背景技术：

随着互联网在各领域应用的越来越广泛，各种网络攻击也在不断变化和增加。在企事业单位构建的私有云中，可能部署有大量终端，一旦受到网络攻击，将给企事业单位造成较大的经济损失。受到网络攻击的终端主要是由于安全防御能力不强或者系统、应用本身存在漏洞。

目前，网络攻击多种多样，传统防御方法主要是通过防火墙进行防御，在网络出入口部署防火墙，对出入流量进行清洗，拦截攻击流量。

这种方法过于简单，防御能力较弱，一旦拦截失败，攻击流量进入私有云，极易在终端间进行横向平移，安全隐患较大。

技术实现要素：

本发明的目的是提供一种安全防御系统及方法，以进行东西向和南北向流量的统一安全防御，提高防御能力，增强私有云安全性。

为解决上述技术问题，本发明提供如下技术方案：

一种安全防御系统，包括部署在私有云的核心交换机、安全资源池和多个终端，所述安全资源池中包含微隔离子系统和多个安全组件，所述多个终端的每个终端中均安装有微隔离插件，用于接收所述微隔离子系统下发的微隔离策略；其中，

所述核心交换机，用于在接收到对终端的访问流量时，将接收到的访问流量引导到所述安全资源池，经由所述安全资源池中各安全组件进行清洗防护后发送给相应终端；

所述多个终端，其中每个终端，用于在接收到所述核心交换机或其他终端发送的访问流量时，基于自身的微隔离策略，确定接收到的访问流量是否为安全流量，如果是，则接受相应的访问；将自身的流量发出信息和流量接收信息上报给所述微隔离子系统；

所述微隔离子系统，用于接收各终端上报的流量发出信息和流量接收信息，并输出展示各终端的流量详情和访问关系，以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。

在本发明的一种具体实施方式中，

所述微隔离子系统，还用于在接收到对微隔离策略的调整指令时，将调整后的微隔离策略下发给相应终端；

所述调整指令为在基于各终端的流量详情和访问关系，确定存在异常访问流量时做出的。

在本发明的一种具体实施方式中，

每个终端，还用于在确定接收到的访问流量非安全流量时，拒绝接受相应的访问。

在本发明的一种具体实施方式中，

所述微隔离子系统，还用于在输出展示各终端的流量详情和访问关系时，将各终端拒绝接受的访问流量区别显示。

在本发明的一种具体实施方式中，

所述微隔离子系统，还用于基于各终端上报的流量接收信息，确定是否存在被终端拒绝接受次数大于设定阈值的访问流量，如果是，则输出处理提示信息。

在本发明的一种具体实施方式中，所述多个安全组件至少包括防火墙安全组件和上网行为管理安全组件。

一种安全防御方法，应用于部署在私有云的安全资源池中的微隔离子系统，所述私有云中还部署有核心交换机和多个终端，所述多个终端的每个终端中均安装有微隔离插件，用于接收所述微隔离子系统下发的微隔离策略；所述方法包括：

接收各终端上报的流量发出信息和流量接收信息；

输出展示各终端的流量详情和访问关系，以基于各终端的流量详情和访问关系调整相应终端的微隔离策略；

其中，所述多个终端的每个终端用于在接收到所述核心交换机或其他终端发送的访问流量时，基于自身的微隔离策略，确定接收到的访问流量是否为安全流量，如果是，则接受相应的访问；将自身的流量发出信息和流量接收信息上报给所述微隔离子系统。

在本发明的一种具体实施方式中，所述安全资源池中还包含多个安全组件，所述多个终端的每个终端接收到的所述核心交换机发送的访问流量为：所述核心交换机在接收到对终端的访问流量时，将接收到的访问流量引导到所述安全资源池，经由所述安全资源池中各安全组件进行清洗防护后发送给相应终端的。

在本发明的一种具体实施方式中，还包括：

在接收到对微隔离策略的调整指令时，将调整后的微隔离策略下发给相应终端；

所述调整指令为在基于各终端的流量详情和访问关系，确定存在异常访问流量时做出的。

在本发明的一种具体实施方式中，所述多个终端的每个终端还用于在确定接收到的访问流量为非安全流量时，拒绝接受相应的访问，所述方法还包括：

在输出展示各终端的流量详情和访问关系时，将各终端拒绝接受的访问流量区别显示。

在本发明的一种具体实施方式中，还包括：

基于各终端上报的流量接收信息，确定是否存在被终端拒绝接受次数大于设定阈值的访问流量；

如果是，则输出处理提示信息。

应用本发明实施例所提供的技术方案，安全资源池中包含微隔离子系统和多个安全组件，每个终端中均安装有微隔离插件，用于接收微隔离子系统下发的微隔离策略，核心交换机在接收到对终端的访问流量时，将接收到的访问流量引导到安全资源池，经由安全资源池中各安全组件进行清洗防护后发送给相应终端，每个终端在接收到核心交换机或者其他终端发送的访问流量时，基于自身的微隔离策略，在确定接收到的访问流量为安全流量时，接受相应的访问，将自身的流量发出信息和流量接收信息上报给微隔离子系统，微隔离子系统接收各终端上报的流量发出信息和流量接收信息，并输出展示各终端的流量详情和访问关系，以使运维人员基于此调整相应终端的微隔离策略。将微隔离子系统合入到安全资源池中，完善安全资源池各方面的防御能力，进行东西向和南北向流量的统一安全防护，提高防御能力，增强私有云安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中一种安全防御系统的结构示意图；

图2为本发明实施例中流量详情和访问关系展示示意图；

图3为本发明实施例中一种安全防御方法的实施流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1所示，为本发明实施例所提供的一种安全防御系统的结构示意图，该系统包括部署在私有云的核心交换机110、安全资源池120和多个终端，如终端131、终端132、终端133、终端134，安全资源池120中包含微隔离子系统121和多个安全组件，如安全组件122、安全组件123、安全组件124，多个终端的每个终端中均安装有微隔离插件，用于接收微隔离子系统121下发的微隔离策略。

其中，核心交换机110，用于在接收到对终端的访问流量时，将接收到的访问流量引导到安全资源池120，经由安全资源池120中各安全组件进行清洗防护后发送给相应终端；

多个终端，其中每个终端用于在接收到核心交换机110或其他终端发送的访问流量时，基于自身的微隔离策略，确定接收到的访问流量是否为安全流量，如果是，则接受相应的访问；将自身的流量发出信息和流量接收信息上报给微隔离子系统121；

微隔离子系统121，用于接收各终端上报的流量发出信息和流量接收信息，并输出展示各终端的流量详情和访问关系，以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。

在实际应用中，私有云的终端之间可能会有互访需求，私有云的终端与外部设备通过互联网也可能会有互访需求，这些访问都会生成访问流量。根据实际部署情况，有的访问流量需要经过私有云的核心交换机110后到达私有云的终端，有的访问流量无需经过私有云的核心交换机110即可直接到达私有云的终端。通常，从互联网发过来的访问流量都需经过私有云的核心交换机110后到达私有云的终端。终端(terminal)也可称为终端设备，一般作为用户的服务器并在其上部署各种业务系统，如web、db、oa等。

在私有云中，核心交换机110在接收到对终端的访问流量时，将接收到的访问流量引导到安全资源池120，经由安全资源池120中各安全组件进行清洗防护后发送给相应终端。安全资源池120(cloudsecurityserviceplatform，cssp)以保护资产和业务为核心，其中的安全组件是提供安全防护的基础支撑，服务持续在整个资产和业务生命周期内。安全资源池120中包含多个安全组件，多个安全组件至少包括防火墙安全组件和上网行为管理安全组件，还可以包括数据库安全审计安全组件和/或漏洞检索安全组件等。如果安全资源池120中包含上述所有安全组件，则核心交换机110进行引流操作，将接收到的对终端的访问流量引导到安全资源池120，依次通过防火墙安全组件、上网行为管理安全组件、数据库安全审计安全组件、漏洞检索安全组件等的清洗防护后，再将访问流量发送给相应终端，实现南北向流量的防护。经过各安全组件的清洗防护操作为现有技术，本发明实施例对此不再赘述。

对于私有云中的每个终端而言，其接收到的访问流量可能是核心交换机110转发的，还可能是私有云中其他终端发送的。针对每个终端，如果该终端接收到核心交换机110或其他终端发送的访问流量，则可以基于自身的微隔离策略，确定接收到的访问流量是否为安全流量。

微隔离策略可以分为ip端口隔离和服务封锁。举例而言，某终端对应的微隔离策略可以是不允许主机a/b访问本机80端口，或者封锁本机访问主机a/b的80端口。服务封锁与ip端口隔离类似，只是封锁的是协议，如ftp协议、http协议等。

每个终端通过各自的微隔离插件可以接收微隔离子系统121发送的微隔离策略，不同终端中的微隔离策略可以相同或不同，微隔离策略中包含预先配置好的需进行隔离的协议、端口、ip等信息。终端可以从访问流量中提取出五元组，即源ip、目的ip、协议、源端口、目的端口，将这些信息分别与微隔离策略中相应信息进行匹配，如果至少有一个信息匹配上，则可以确定接收到的访问流量为非安全流量，如果均不匹配，则可以确定接收到的访问流量为安全流量。

终端在确定接收到的访问流量为安全流量时，可以接受相应的访问并响应，在确定接收到的访问流量非安全流量时，拒绝接受相应的访问，进一步可以做丢弃处理。也就是说基于微隔离策略，只有终端确定接收到的访问流量为安全流量时，才会接受并响应。

私有云中的每个终端除接收访问流量外，还可能会发出访问流量。每个终端可以将自身的流量发出信息和流量接收信息上报给微隔离子系统121。

微隔离子系统121接收到各终端上报的流量发出信息和流量接收信息后，可以输出展示各终端的流量详情和访问关系，如图2所示，每条线表示某终端到另一终端的流量详情和访问关系，实现细粒度流量可视。这样，运维人员可以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。如某终端中了勒索病毒，有大量的445端口外发流量，则可以调整各终端的微隔离策略对该终端进行隔离。再如，某终端只是一个web服务器，但是出现了ftp的流量，则可以调整该终端的微隔离策略，封锁该终端的ftp的流量，实现微调。

应用本发明实施例所提供的系统，安全资源池中包含微隔离子系统和多个安全组件，每个终端中均安装有微隔离插件，用于接收微隔离子系统下发的微隔离策略，核心交换机在接收到对终端的访问流量时，将接收到的访问流量引导到安全资源池，经由安全资源池中各安全组件进行清洗防护后发送给相应终端，每个终端在接收到核心交换机或者其他终端发送的访问流量时，基于自身的微隔离策略，在确定接收到的访问流量为安全流量时，接受相应的访问，将自身的流量发出信息和流量接收信息上报给微隔离子系统，微隔离子系统接收各终端上报的流量发出信息和流量接收信息，并输出展示各终端的流量详情和访问关系，以使运维人员基于此调整相应终端的微隔离策略。将微隔离子系统合入到安全资源池中，完善安全资源池各方面的防御能力，进行东西向和南北向流量的统一安全防护，提高防御能力，增强私有云安全性。

在本发明的一种具体实施方式中，微隔离子系统121还用于在接收到对微隔离策略的调整指令时，将调整后的微隔离策略下发给相应终端，调整指令为基于各终端的流量详情和访问关系，确定存在异常访问流量时做出的。

微隔离子系统121输出展示各终端的流量详情和访问关系后，运维人员可以了解到各终端的流量详情和访问关系，基于各终端的流量详情和访问关系，可以确定是否存在异常访问流量，从而可以根据实际情况确定针对异常访问流量的处理方式，接受或者拒绝等，对相应终端的微隔离策略进行调整。

如某终端出现svchost.exe进程对外发出大量445端口的流量，对于这种未知的扩散型流量，在微隔离子系统121输出展示的流量详情和访问关系的流量可视页面上，可以展示成红色对外扩散的警示线，进一步查看异常访问即可发现是一个未知进程的扩散，可以调整各终端的微隔离策略配置该终端445端口，对该终端445端口的流量进行隔离。

再如，通常，作为数据库服务器，只会收到web服务器的数据请求，而图2中，数据库服务器对其他web服务器、slb服务器、数据库服务器等有大量的对外发包，明显存在异常访问流量。可以调整各终端的微隔离策略隔离该数据库服务器对外外发流量。

微隔离子系统121在接收到对微隔离策略的调整指令后，可以将调整后的微隔离策略通过网络下发给相应终端，当该终端再次接收到访问流量时，可以基于调整后的微隔离策略确定接收到的访问流量是否为安全流量。

在本发明的一个实施例中，微隔离子系统121还用于在输出展示各终端的流量详情和访问关系时，将各终端拒绝接受的访问流量区别显示。

微隔离子系统121可以接收私有云中每个终端上报的流量发出信息和流量接收信息，流量接收信息中可以包括访问流量是否被终端接受的信息。微隔离子系统121可以从流量接收信息中获得每个访问流量是否为被终端拒绝接受的流量。从而在输出展示各终端的流量详情和访问关系时，可以将各终端拒绝接受的访问流量区别显示，如通过颜色区别，或者通过线条粗细区别。流量安全状态一览无余，这样更方便运维人员查看。

在本发明的一个实施例中，微隔离子系统121还用于基于各终端上报的流量接收信息，确定是否存在被终端拒绝接受次数大于设定阈值的访问流量，如果是，则输出处理提示信息。

微隔离子系统121基于各终端上报的流量接收信息，可以确定每个访问流量是否为被终端拒绝接受的流量。如果存在被终端拒绝接受次数大于设定阈值的访问流量，则表明该访问流量可能为具有正常需求、临时产生的流量，或者为异常流量，微隔离子系统121可以输出处理提示信息。运维人员通过该处理提示信息可以进一步对该访问流量的性质进行确定，如果确定其为具有正常需求、临时产生的流量，则可以调整微隔离策略不再对该访问流量进行隔离，以使终端能够正常接受该访问，如果确定其为异常流量，则可以进一步查找发送源，排除安全隐患。

相应于上面的系统实施例，本发明实施例还提供了一种安全防御方法，应用于部署在私有云的安全资源池中的微隔离子系统，私有云中还部署有核心交换机和多个终端，多个终端的每个终端中均安装有微隔离插件，用于接收微隔离子系统下发的微隔离策略；下文描述的一种安全防御方法与上文描述的一种安全防御系统可相互对应参照。

参见图3所示，该方法包括以下步骤：

s310：接收各终端上报的流量发出信息和流量接收信息；

s320：输出展示各终端的流量详情和访问关系，以基于各终端的流量详情和访问关系调整相应终端的微隔离策略；

其中，多个终端的每个终端用于在接收到核心交换机或其他终端发送的访问流量时，基于自身的微隔离策略，确定接收到的访问流量是否为安全流量，如果是，则接受相应的访问；将自身的流量发出信息和流量接收信息上报给微隔离子系统。

在本发明实施例中，私有云的终端之间可能会有互访需求，私有云的终端与外部设备通过互联网也可能会有互访需求，这些访问都会生成访问流量。根据实际部署情况，有的访问流量需要经过私有云的核心交换机后到达私有云的终端，有的访问流量无需经过私有云的核心交换机即可直接到达私有云的终端。通常，从互联网发过来的访问流量都需经过私有云的核心交换机后到达私有云的终端。终端(terminal)也可称为终端设备，一般作为用户的服务器并在其上部署各种业务系统，如web、db、oa等。

对于私有云中的每个终端而言，其接收到的访问流量可能是核心交换机转发的，还可能是私有云中其他终端发送的。针对每个终端，如果该终端接收到核心交换机或其他终端发送的访问流量，则可以基于自身的微隔离策略，确定接收到的访问流量是否为安全流量。

微隔离策略可以分为ip端口隔离和服务封锁。举例而言，某终端对应的微隔离策略可以是不允许主机a/b访问本机80端口，或者封锁本机访问主机a/b的80端口。服务封锁与ip端口隔离类似，只是封锁的是协议，如ftp协议、http协议等。

每个终端通过各自的微隔离插件可以接收微隔离子系统发送的微隔离策略，不同终端中的微隔离策略可以相同或不同，微隔离策略中包含预先配置好的需进行隔离的协议、端口、ip等信息。终端可以从访问流量中提取出五元组，即源ip、目的ip、协议、源端口、目的端口，将这些信息分别与微隔离策略中相应信息进行匹配，如果至少有一个信息匹配上，则可以确定接收到的访问流量为非安全流量，如果均不匹配，则可以确定接收到的访问流量为安全流量。

终端在确定接收到的访问流量为安全流量时，可以接受相应的访问并响应，在确定接收到的访问流量非安全流量时，拒绝接受相应的访问，进一步可以做丢弃处理。也就是说基于微隔离策略，只有终端确定接收到的访问流量为安全流量时，才会接受并响应。

私有云中的每个终端除接收访问流量外，还可能会发出访问流量。每个终端可以将自身的流量发出信息和流量接收信息上报给微隔离子系统。

微隔离子系统接收到各终端上报的流量发出信息和流量接收信息后，可以输出展示各终端的流量详情和访问关系，实现细粒度流量可视，这样，运维人员可以基于各终端的流量详情和访问关系调整相应终端的微隔离策略。如某终端中了勒索病毒，有大量的445端口外发流量，则可以调整各终端的微隔离策略对该终端进行隔离。再如，某终端只是一个web服务器，但是出现了ftp的流量，则可以调整该终端的微隔离策略，封锁该终端的ftp的流量，实现微调。

应用本发明实施例所提供的方法，安全资源池中包含微隔离子系统，每个终端中均安装有微隔离插件，用于接收微隔离子系统下发的微隔离策略，私有云中部署的多个终端的每个终端在接收到核心交换机或者其他终端发送的访问流量时，基于自身的微隔离策略，在确定接收到的访问流量为安全流量时，接受相应的访问，将自身的流量发出信息和流量接收信息上报给微隔离子系统，微隔离子系统接收各终端上报的流量发出信息和流量接收信息，并输出展示各终端的流量详情和访问关系，以使运维人员基于此调整相应终端的微隔离策略。将微隔离子系统合入到安全资源池中，完善安全资源池各方面的防御能力，进行东西向流量的安全防护，提高防御能力，增强私有云安全性。

在本发明的一个实施例中，安全资源池中还包含多个安全组件，多个终端的每个终端接收到的核心交换机发送的访问流量为：核心交换机在接收到对终端的访问流量时，将接收到的访问流量引导到安全资源池，经由安全资源池中各安全组件进行清洗防护后发送给相应终端的。

在私有云中，核心交换机在接收到对终端的访问流量时，将接收到的访问流量引导到安全资源池，经由安全资源池中各安全组件进行清洗防护后发送给相应终端。安全资源池以保护资产和业务为核心，其中的安全组件是提供安全防护的基础支撑，服务持续在整个资产和业务生命周期内。安全资源池中至少包含防火墙安全组件和上网行为管理安全组件，还可以包含数据库安全审计安全组件和/或漏洞检索安全组件等。如果安全资源池中包含上述所有安全组件，则核心交换机进行引流操作，将接收到的对终端的访问流量引导到安全资源池，依次通过防火墙安全组件、上网行为管理安全组件、数据库安全审计安全组件、漏洞检索安全组件等的清洗防护后，再将访问流量发送给相应终端，实现南北向流量的防护。经过各安全组件的清洗防护操作为现有技术，本发明实施例对此不再赘述。

在本发明的一种具体实施方式中，还包括：

在接收到对微隔离策略的调整指令时，将调整后的微隔离策略下发给相应终端，调整指令为在基于各终端的流量详情和访问关系，确定存在异常访问流量时做出的。

微隔离子系统输出展示各终端的流量详情和访问关系后，运维人员可以了解到各终端的流量详情和访问关系，根据实际情况可以对相应终端的微隔离策略进行调整。微隔离子系统在接收到对微隔离策略的调整指令后，可以将调整后的微隔离策略下发给相应终端，当该终端再次接收到访问流量时，可以基于调整后的微隔离策略确定接收到的访问流量是否为安全流量。

在本发明的一种具体实施方式中，多个终端的每个终端还用于在确定接收到的访问流量非安全流量时，拒绝接受相应的访问，方法还包括：

在输出展示各终端的流量详情和访问关系时，将各终端拒绝接受的访问流量区别显示。

微隔离子系统可以接收私有云中每个终端上报的流量发出信息和流量接收信息，流量接收信息中可以包括访问流量是否被终端接受的信息。微隔离子系统可以从流量接收信息中获得每个访问流量是否为被终端拒绝接受的流量。从而在输出展示各终端的流量详情和访问关系时，可以将各终端拒绝接受的访问流量区别显示，如通过颜色区别，或者通过线条粗细区别。流量安全状态一览无余，这样更方便运维人员查看。

在本发明的一种具体实施方式中，还包括：

基于各终端上报的流量接收信息，确定是否存在被终端拒绝接受次数大于设定阈值的访问流量；

如果是，则输出处理提示信息。

微隔离子系统基于各终端上报的流量接收信息，可以确定每个访问流量是否为被终端拒绝接受的流量。如果存在被终端拒绝接受次数大于设定阈值的访问流量，则表明该访问流量可能为具有正常需求、临时产生的流量，或者为异常流量，微隔离子系统可以输出处理提示信息。运维人员通过该处理提示信息可以进一步对该访问流量的性质进行确定，如果确定其为具有正常需求、临时产生的流量，则可以调整微隔离策略不再对该访问流量进行隔离，以使终端能够正常接受该访问，如果确定其为异常流量，则可以进一步查找发送源，排除安全隐患。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。