安全防护方法、装置、电子设备和存储介质与流程

1.本申请涉及网络安全领域，尤其涉及一种安全防护方法、装置、电子设备和存储介质。


背景技术：

2.基于云网联动(cloud network linkage)实现应用防火墙(application firewall，af)与云平台安全服务产品的联动响应，逐渐成为网络安全领域的发展方向。应用防火墙集成了多种业务安全、多种规则引擎相关的检测模块，对网络设备存在一定的安全防御效果。
3.在相关技术中，应用防火墙的引擎加载时间较长导致应用防火墙占用网络设备更多的系统资源，例如，处理器(central processing unit，cpu)消耗、内存消耗等。此外，向网络设备迭代发布新版本的应用防火墙的过程较长，针对多变的网络攻击行为，不能对网络设备及时有效进行安全防护。因此，如何提高网络设备的安全防护效果成为亟待解决的重要问题。


技术实现要素：

4.本申请提供了一种安全防护方法、装置、电子设备和存储介质，可以提高网络设备的安全防护效果。
5.本申请提供了一种安全防护方法，应用于第一设备，包括：
6.获取安全威胁信息，所述安全威胁信息包括至少一个网络设备的网络攻击事件相关的网络信息；
7.获取来自第二设备的访问信息；
8.根据所述安全威胁信息和所述访问信息的匹配结果，确定所述第二设备对所述第一设备的访问行为是否属于网络攻击行为。
9.在一种实现方式中，所述获取安全威胁信息，包括：
10.接收安全设备下发的所述安全威胁信息；
11.或者，定时同步安全设备的安全威胁库收集的所述安全威胁信息；
12.或者，获取所述第一设备配置的所述安全威胁信息；
13.或者，获取所述第一设备更新后的所述安全威胁信息。
14.在一种实现方式中，在确定所述第二设备对所述第一设备的访问行为属于网络攻击行为后，所述方法还包括：
15.阻止来自所述第二设备的访问行为，和/或，将来自所述第二设备的访问信息存储于所述第一设备对应的安全审计日志。
16.在一种实现方式中，所述方法还包括：
17.向所述安全设备上报所述第一设备的安全审计日志。
18.在一种实现方式中，所述安全威胁信息包括以下网络信息中的任一项：
19.所述第二设备的源域名(domain name)信息、所述第二设备的源互联网协议地址(internet protocol address，ip address)信息、所述第二设备的源统一资源定位符(uniform resource locator，url)信息。
20.本申请提供了一种安全防护方法，应用于安全设备，其特征在于，包括：
21.确定安全威胁信息，向第一设备发送所述安全威胁信息，使所述第一设备根据所述安全威胁信息和来自第二设备的访问信息，确定所述第二设备对所述第一设备的访问行为是否属于网络攻击行为；
22.所述安全威胁信息包括至少一个网络设备的网络攻击事件相关的网络信息。
23.在一种实现方式中，所述确定安全威胁信息，包括：
24.获取所述安全设备配置的所述安全威胁信息。
25.在一种实现方式中，所述确定安全威胁信息，包括：
26.获取至少一个网络设备的安全审计日志信息，所述至少一个网络设备包括所述第一设备；
27.根据所述安全审计日志信息获取所述安全威胁信息。
28.本申请提供了一种安全防护装置，应用于第一设备，包括：
29.第一获取模块，用于获取安全威胁信息，所述安全威胁信息包括至少一个网络设备的网络攻击事件相关的网络信息；
30.第二获取模块，获取来自第二设备的访问信息；
31.监测模块，用于根据所述安全威胁信息和所述访问信息的匹配结果，确定所述第二设备对所述第一设备的访问行为是否属于网络攻击行为。
32.在一种实现方式中，所述第一获取模块，用于获取安全威胁信息，包括：
33.接收安全设备下发的所述安全威胁信息，所述安全威胁信息包括所述安全设备获取的至少一个网络设备的网络攻击事件相关的网络信息。
34.在一种实现方式中，所述第一获取模块，用于获取安全威胁信息，包括：
35.定时同步安全设备的安全威胁库收集的所述安全威胁信息。
36.在一种实现方式中，所述第一获取模块，用于获取安全威胁信息，包括：
37.获取所述第一设备配置的所述安全威胁信息；或者，获取所述第一设备更新后的所述安全威胁信息。
38.在一种实现方式中，所述监测模块用于在确定所述第二设备对所述第一设备的访问行为属于网络攻击行为后，具体用于：
39.阻止来自所述第二设备的访问行为，和/或，将来自所述第二设备的访问信息存储于所述第一设备对应的安全审计日志。
40.在一种实现方式中，所述监测模块还用于向所述安全设备上报所述第一设备的安全审计日志。
41.在一种实现方式中，所述安全威胁信息包括以下网络信息中的任一项：
42.所述第二设备的源域名信息、所述第二设备的源互联网协议地址信息、所述第二设备的源统一资源定位符信息。
43.本申请提供了一种安全防护装置，应用于安全设备，包括：
44.确定模块，用于确定安全威胁信息，所述安全威胁信息包括至少一个网络设备的
网络攻击事件相关的网络信息；
45.发送模块，用于向第一设备发送所述安全威胁信息，使所述第一设备根据所述安全威胁信息和来自第二设备的访问信息，确定所述第二设备对所述第一设备的访问行为是否属于网络攻击行为。
46.在一种实现方式中，所述确定模块，用于确定安全威胁信息，包括：
47.获取所述安全设备配置的所述安全威胁信息。
48.在一种实现方式中，所述确定模块，用于确定安全威胁信息，包括：
49.获取至少一个网络设备的安全审计日志信息，所述至少一个网络设备包括所述第一设备；
50.根据所述安全审计日志信息获取所述安全威胁信息。
51.本申请实施例提供一种电子设备，所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现前述一个或多个技术方案提供的安全防护方法。
52.本申请实施例提供一种存储介质，所述存储介质存储有计算机程序；所述计算机程序被执行后能够实现前述一个或多个技术方案提供的安全防护方法。
53.基于上述安全防护方法，第一设备获取安全威胁信息，由于安全威胁信息包含至少一个网络设备的网络攻击事件相关的网络信息，因此，在第一设备根据安全威胁信息和访问信息进行网络攻击行为检测时，可以避免第一设备存储的安全威胁信息不全面产生的安全漏洞，及时有效阻断针对第一设备的网络攻击行为。针对多变的网络攻击行为，不需要在网络设备迭代发布新版本的应用防火墙，缩短了安全威胁信息的更新周期，提高了设备的安全防护效果。
54.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本申请。
附图说明
55.图1为本申请实施例提供的一种安全防护方法的应用场景图；
56.图2为本申请实施例提供的一种安全防护方法的网络架构图；
57.图3为本申请实施例提供的一种安全防护方法的流程示意图；
58.图4为本申请实施例提供的另一种安全防护方法的流程示意图；
59.图5为本申请实施例提供的又一种安全防护方法的流程示意图；
60.图6为本申请实施例提供的一种安全防护方法的交互示意图；
61.图7为本申请实施例提供的一种安全防护装置的结构示意图；
62.图8为本申请实施例提供的另一种安全防护装置的结构示意图；
63.图9为本申请实施例提供的一种电子设备的结构示意图。
64.图10为本申请实施例提供的另一种电子设备的结构示意图。
具体实施方式
65.以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所提供的实施例仅仅用以解释本申请，并不用于限定本申请。另外，以下所提供的实施例是用于实施
本申请的部分实施例，而非提供实施本申请的全部实施例，在不冲突的情况下，本申请实施例记载的技术方案可以任意组合的方式实施。
66.应理解，在本申请实施例中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素，而且还包括没有明确列出的其他要素，或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括该要素的方法或者装置中还存在另外的相关要素；例如，方法中的步骤或者装置中的单元，可以是部分电路、部分处理器、部分程序或软件等等。
67.本申请实施例提供的安全防护方法包含了一系列的步骤，但是本申请实施例提供的安全防护方法不限于所记载的步骤，同样地，本申请实施例提供的安全防护装置包括了一系列模块，但是本申请实施例提供的装置不限于包括所明确记载的模块，还可以包括为获取相关信息、或基于信息进行处理时所需要设置的模块。
68.图1示出了本申请实施例提供的一种安全防护方法的应用场景图。参见图1，第一设备1010设置有应用防火墙1011，应用防火墙1011与安全设备1020基于云网络联动实现第一设备1010和/或第三设备1012的安全防护。其中，第一设备1010和第三设备1012属于专用网络中的网络设备，例如，企业内部网络中的网络设备，第三设备1012通过第一设备1010连接公共网络中的网络设备。
69.示例性地，公共网络中的网络设备包括第二设备1030，在第二设备1030访问第一设备1010和/或第三设备1012时，由设置于第一设备1010的应用防火墙1011提供基于访问控制的安全防护功能，保证第一设备1010所属的企业内部网络的信息安全和网络安全。
70.示例性地，安全设备1020可以是设置于公共网络中的网络设备，或者，设置于云平台中的网络设备。
71.在未进行安全防护的情况下，第二设备1030对第一设备1010的网络攻击行为，可分为非破坏性攻击行为和破坏性攻击行为；例如，非破坏性攻击行为可以采用拒绝服务攻击或信息炸弹的方式，扰乱第一设备1010所属的企业内部网络的正常运行；破坏性攻击可以采用侵入电脑系统、盗窃系统保密信息、破坏目标系统的数据的方式，损害企业内部网络的信息安全。
72.图2示出了本申请实施例提供的一种安全防护方法的网络架构图。参见图2，第一设备设置有应用防火墙1011，应用防火墙1011连接安全设备1020，安全设备1020可以是云平台中的网络设备，安全设备1020设置有多项安全服务产品，安全服务产品可以将安全威胁信息快速下发到第一设备中的应用防火墙1011，及时阻断网络设备1030对第一设备1010的网络攻击行为，同时，与多变的网络攻击行为进行快速迭代对抗，保证第一设备1010所属企业内部网络的信息安全和网络安全。
73.示例性地，安全服务产品包括以下至少一项：云鉴、最大报文段长度(maximum segment size，mss)协议、会话初始协议(session initiation protocol，sip)。
74.示例性地，安全服务产品包括云鉴，云鉴提供基于云平台沙箱、行为分析、威胁情报等多引擎的综合检测与防护订阅服务，基于云鉴在云平台的安全能力，应用防火墙可以构建对于包含高级变种威胁、最新威胁等传统规则签名无法防护的未知威胁的检测与防护能力。
75.示例性地，安全服务产品包括mss协议，mss协议是传输控制协议(transmission control protocol，tcp)定义的一个选项，用于在tcp连接建立时收发双方协商通信时每一个报文段所能承载的最大数据长度。
76.示例性地，安全服务产品包括sip协议，sip是一个应用层的信令控制协议，是由国际互联网标准制定组织制定的面向internet会议和电话的信令协议。
77.示例性地，应用防火墙1011设置有安全威胁信息库，安全威胁信息库包括以下至少一项：域名黑名单信息库、url黑名单信息库、ip黑名单信息库。
78.这里，域名是由一串用点分隔的名字组成的internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位。url是internet标准资源的地址，指示internet中的每个文件的网络位置。ip地址是ip协议提供的为每一个内容网络和每一台主机分配一个逻辑地址的地址格式。
79.示例性地，应用防火墙1011中设置有数据接收模块，数据接收模块用于接收安全设备1020的安全服务产品下发的安全威胁信息。
80.示例性地，应用防火墙1011中设置有以下至少一项安全模块：域名信息检测模块、url信息检测模块、ip信息检测模块。
81.示例性地，应用防火墙1011中设置有安全日志模块，安全日志模块用于记录第二设备1030对第一设备1010的访问信息，得到第一设备1010的安全审计日志。
82.图3示出了本申请实施例提供的一种安全防护方法的示意性流程图。参见图3，本申请的安全防护方法，可以包括以下步骤：
83.步骤a301：获取安全威胁信息，安全威胁信息包括至少一个网络设备的网络攻击事件相关的网络信息。
84.这里，网络攻击事件相关的网络信息可以对应实时监测到的网络攻击事件，或者，对应基于网络安全问题回溯识别得到的、过去一段时间内的网络攻击事件。
85.示例性地，第一设备获取安全威胁信息，第一设备可以是企业内部网络中的网络设备，或者公共网络中的网络设备。
86.示例性地，第一设备设置有应用防火墙，应用防火墙连接云平台中的安全设备，第一设备基于应用防火墙和安全设备的云网联动获取安全威胁信息。
87.这里，云网联动体现在应用防火墙和云平台中的安全设备的交互，云平台中的安全设备采用“软件定义数据中心(softwares defined data center，sddc)”中的“软件定义网络(software defined network，sdn)“，对设置在不同网络设备中的应用防火墙进行集中式软件管理。
88.示例性地，安全设备基于云平台与第一设备中的应用防火墙建立通信连接，向第一设备提供安全服务产品，由安全服务产品向第一设备下发安全威胁信息。
89.示例性地，安全威胁信息包括至少一个网络设备的网络攻击事件相关的域名信息、和/或ip信息、和/或url信息。
90.示例性地，安全设备可以获取至少一个网络设备的网络攻击事件相关的网络信息，形成安全威胁信息。
91.示例性地，安全威胁信息包括以下网络信息中的至少一项：域名黑名单信息、ip黑名单信息、url黑名单信息。
92.示例性地，域名黑名单信息可以包括至少一个网络攻击事件中的攻击源相关的域名信息，例如，网络攻击事件中的攻击源来自第二设备，域名黑名单信息可以是第二设备的源域名信息。
93.示例性地，ip黑名单信息可以包括至少一个网络攻击事件中的攻击源相关的ip信息，例如，网络攻击事件中的攻击源来自第二设备，ip黑名单信息可以是第二设备的源ip信息。
94.示例性地，url黑名单信息可以包括至少一个网络攻击事件中的攻击源相关的url信息，例如，网络攻击事件中的攻击源来自第二设备，域名黑名单信息可以是第二设备的源url信息。
95.步骤a302：获取来自第二设备的访问信息。
96.这里，第二设备可以是公共网络中的网络设备，在第一设备未进行安全防护的情况下，第二设备容易构成对第一设备的安全威胁，例如，第二设备向第一设备发起网络攻击行为。
97.示例性地，第一设备采用进程监控方法获取第二设备对第一设备的访问信息，从而，获取来自第二设备的访问信息。
98.示例性地，来自第二设备的访问信息包括以下网络信息中的任一项：第二设备的源域名、第二设备的源互联网协议地址、第二设备的源统一资源定位符。
99.步骤a303：根据安全威胁信息和访问信息的匹配结果，确定第二设备对第一设备的访问行为是否属于网络攻击行为。
100.这里，第二设备对第一设备的访问行为，即，来自第二设备的访问行为。例如，来自公共网络中的第二设备对企业内部网络中的第一设备的访问行为。
101.示例性地，第一设备设置有安全检测模块，安全检测模块包括以下模块中的任一项：域名信息检测模块、url检测模块、ip信息检测模块；安全检测模块可以读取安全威胁信息库中的安全威胁信息和来自第二设备的访问信息。
102.示例性地，第一设备的安全检测模块根据安全威胁信息和访问信息的匹配结果判断第二设备对第一设备的访问行为是否属于网络攻击行为。
103.示例性地，域名信息检测模块获取第二设备的源域名信息，判断第二设备的源域名信息和域名黑名单信息库中的域名信息是否匹配，如果第二设备的源域名信息和域名黑名单信息库中的域名信息匹配，确定第二设备对第一设备的访问行为属于网络攻击行为。
104.示例性地，url信息检测模块获取第二设备的源url信息，判断第二设备的源url信息和url黑名单信息库中的url信息是否匹配，如果第二设备的源url信息和url黑名单信息库中的url信息匹配，确定第二设备对第一设备的访问行为属于网络攻击行为。
105.示例性地，ip信息检测模块获取第二设备的源ip信息，判断第二设备的源ip信息和ip黑名单信息库中的ip信息是否匹配，如果第二设备的源ip信息和ip黑名单信息库中的ip信息匹配，确定第二设备对第一设备的访问行为属于网络攻击行为。
106.基于上述安全防护方法，第一设备获取安全威胁信息，由于安全威胁信息包含至少一个网络设备的网络攻击事件对应的网络信息，因此，在第一设备根据安全威胁信息和访问信息进行网络攻击行为检测时，可以避免第一设备存储的安全威胁信息不全面可能产生的安全漏洞，及时有效阻断针对第一设备的网络攻击行为。针对多变的网络攻击行为，不
需要在网络设备迭代发布新版本的应用防火墙，缩短了安全威胁信息的更新周期，提高了网络设备的安全防护效果。
107.在实际应用中，上述步骤a301至步骤a303可以采用上述第一设备的处理器实现，上述处理器可以为特定用途集成电路(application specific integrated circuit，asic)、数字信号处理器(digital signal processor，dsp)、数字信号处理装置(digital signal processing device，dspd)、可编程逻辑装置(programmable logic device，pld)、现场可编程逻辑门阵列(field programmable gate array，fpga)、中央处理器(central processing unit，cpu)、控制器、微控制器、微处理器中的至少一种。
108.在一种实现方式中，在上述步骤a301中，获取安全威胁信息，包括：接收安全设备下发的安全威胁信息。
109.示例性地，第一设备设置有数据接收模块、数据存储模块、安全威胁信息库，数据接收模块接收安全设备下发的安全威胁信息，数据存储模块将安全威胁信息存储到安全威胁信息库。
110.示例性地，安全威胁信息库包括域名黑名单信息库、ip地址黑名单信息库、url黑名单信息库。
111.在一种实现方式中，在上述步骤a301中，获取安全威胁信息，包括：定时同步安全设备的安全威胁库收集的安全威胁信息。
112.示例性地，第一设备设置有应用防火墙，应用防火墙定时同步安全设备的安全威胁信息库收集的安全威胁信息，安全威胁信息库可以由安全设备的安全服务产品提供。
113.示例性地，第一设备每隔预设时间周期向安全设备发送同步信号，安全设备接收到同步信号后向第一设备发送安全威胁库收集的安全威胁信息；或者，安全设备每隔预设时间主动向第一设备发送安全威胁库收集的安全威胁信息。
114.在一种实现方式中，在上述步骤a301中，获取安全威胁信息，包括：获取第一设备配置的安全威胁信息；或者，获取第一设备更新后的安全威胁信息。
115.示例性地，第一设备的网络管理员，可以对第一设备的安全威胁信息库进行配置，相应的，第一设备可以获取第一设备的网络管理员配置的安全威胁信息。
116.示例性地，第一设备的网络管理员，可以在配置的安全威胁信息中增加需要封堵的网络设备对应的安全威胁信息，或者，删除不需要封堵的网络设备对应的安全威胁信息。
117.在一种实现方式中，安全威胁信息库设置有域名白名单信息库、ip地址白名单信息库、url白名单信息库。
118.示例性地，当域名黑名单信息库、ip地址黑名单信息库、url黑名单信息库出现误判情况，可以由第一设备将误判域名信息/url信息/ip信息从安全威胁信息库中删除，从而，更新所述安全威胁信息。
119.示例性地，当域名黑名单信息库、ip地址黑名单信息库、url黑名单信息库出现误判情况，可以由第一设备将误判域名信息/url信息/ip信息添加到白名单信息库，从而，更新所述安全威胁信息。
120.在本申请实施例中，基于对安全威胁信息的动态更新，可以保证安全威胁信息的实时性和可靠性，从而，提高对网络设备进行安全防护的效果。
121.在一种实现方式中，在上述步骤a303后，参见图4，上述安全防护方法还可以包括
以下步骤：
122.步骤a304：确定第二设备对第一设备的访问行为属于网络攻击行为；阻止来自第二设备的网络访问行为，和/或，将来自第二设备的访问信息存储于第一设备对应的安全审计日志。
123.示例性地，基于上述步骤a304的检测结果，当监测结果为第二设备对第一设备的访问行为属于网络攻击行为时，阻止第二设备的网络访问行为。
124.示例性地，基于上述步骤a304的检测结果，当监测结果为第二设备对第一设备的访问行为属于网络攻击行为时，由第一设备的安全日志模块记录来自第二设备的访问信息，得到第一设备对应的安全审计日志。
125.应理解，第一设备可以基于安全审计日志进行问题追溯，作为网络安全的一个指标，安全审计日志可以在解决网络安全问题时起到指引作用。
126.步骤a305：确定第二设备对第一设备的访问行为不属于网络攻击行为；不对来自第二设备的访问行为进行阻止。
127.示例性地，基于上述步骤a303，监测得到访问信息和安全威胁信息不匹配时，监测结果为第二设备对第一设备的访问行为不属于网络攻击行为时，不对来自第二设备的访问行为进行阻止。
128.在一种实现方式中，在上述步骤a304后，上述安全防护方法还可以包括以下步骤：
129.向安全设备上报第一设备的安全审计日志。
130.在一种实现方式中，所述安全威胁信息包括以下网络信息中的任一项：所述第二设备的源域名信息、所述第二设备的源互联网协议地址信息、所述第二设备的源统一资源定位符信息。
131.图5示出了本申请实施例提供的安全防护方法的流程示意图，参见图5，本申请实施例提供了一种安全防护方法，应用于安全设备，可以包括以下步骤：
132.步骤a501：确定安全威胁信息，安全威胁信息包括至少一个网络设备的网络攻击事件相关的网络信息。
133.示例性地，获取安全设备的安全专员录入的安全威胁信息，将安全专员录入的安全威胁信息确定为安全威胁信息。
134.示例性地，安全设备采集多个网络设备上报的网络攻击事件相关的网络信息，根据多个网络设备上报的网络攻击事件相关的网络信息分析得到安全威胁信息。
135.示例性地，在根据多个网络设备上报的网络攻击事件相关的网络信息分析得到安全威胁信息后，将安全威胁信息存储于安全威胁信息库。
136.示例性地，安全设备可以与用户进行交互，例如，安全设备配置有安全专员进行维护。安全专员发现黑客的网络攻击行为时，对黑客的网络攻击行为进行拦截，同时，根据网络攻击事件相关的网络信息分析得到安全威胁信息。
137.示例性地，安全设备配置有安全服务产品，将安全威胁信息录入安全设备对应的安全服务产品。
138.步骤a502：向第一设备发送安全威胁信息，使第一设备根据安全威胁信息和访问信息，确定来自第二设备的访问行为是否属于网络攻击行为。
139.示例性地，安全设备与多个网络设备建立通信连接，向多个网络设备提供安全服
务产品，由安全服务产品向第一设备下发安全威胁信息。
140.示例性地，安全设备设置有多项安全服务产品，安全服务产品可以实时更新安全威胁信息，在向第一设备发送安全威胁信息后，第一设备可以实时获取安全设备更新的安全威胁信息。
141.在一种实现方式中，在上述步骤a501前，上述安全防护方法还可以包括以下步骤：
142.步骤a1：获取至少一个网络设备的安全审计日志信息，至少一个网络设备包括第一设备。
143.示例性地，安全设备与多个网络设备建立通信连接，安全设备设置于云平台，基于云网联动采集多个网络设备的安全审计日志信息(security audit log)。
144.示例性地，安全设备向多个网络设备提供安全服务产品，由安全服务产品获取多个网络设备的安全审计日志信息。
145.步骤a2：根据安全审计日志信息获取安全威胁信息，安全威胁信息包括至少一个网络设备的网络攻击事件相关的网络信息。
146.示例性地，安全设备采集多个网络设备的安全审计日志信息，安全审计日志信息用于记录网络设备的网络攻击事件相关的网络信息。
147.示例性地，安全设备根据多个网络设备的安全审计日志信息中记录的网络攻击事件相关的网络信息分析得到安全威胁信息。
148.图6示出了本申请实施例提供的一种安全防护方法的交互示意图，参见图6，本申请的安全防护方法，包括以下步骤：
149.步骤a601：安全设备获取多个网络设备的安全审计日志信息，多个网络设备包括第一设备。
150.关于步骤a601的详细实现过程，参考上述步骤a501，这里不作赘述。
151.步骤a602：安全设备根据安全审计日志信息获取安全威胁信息。
152.关于步骤a602的详细实现过程，参考上述步骤a502，这里不作赘述。
153.步骤a603：安全设备向第一设备下发安全威胁信息。
154.关于步骤a603的详细实现过程，参考上述步骤a503，这里不作赘述。
155.步骤a604：第一设备获取安全威胁信息。
156.示例性地，第一设备接收安全设备下发的安全威胁信息。
157.关于步骤a604的详细实现过程，参考上述步骤a301，这里不作赘述。
158.步骤a605：第一设备获取来自第二设备的访问信息。
159.关于步骤a605的详细实现过程，参考上述步骤a302，这里不作赘述。
160.步骤a606：第一设备根据安全威胁信息和访问信息，确定来自第二设备的网络访问行为是否属于网络攻击行为。
161.关于步骤a606的详细实现过程，参考上述步骤a303，这里不作赘述。
162.步骤a607：第一设备确定来自第二设备的访问行为属于网络攻击行为时，阻止来自第二设备的访问行为，和/或，将来自第二设备的访问信息存储于第一设备对应的安全审计日志。
163.关于步骤a607的详细实现过程，参考上述步骤a304，这里不作赘述。
164.步骤a 608：第一设备向安全设备上报安全审计日志。
165.关于步骤a608的详细实现过程，参考上述步骤a305，这里不作赘述。
166.基于前述实施例相同的技术构思，参见图7，本申请实施例提供的一种安全防护装置，应用于上述第一设备，可以包括：第一获取模块710、第二获取模块720和监测模块730；其中，
167.第一获取模块710，用于获取安全威胁信息，所述安全威胁信息包括至少一个网络设备的网络攻击事件相关的网络信息；
168.第二获取模块720，获取来自第二设备的访问信息；
169.监测模块730，用于根据所述安全威胁信息和所述访问信息的匹配结果，确定所述第二设备对所述第一设备的访问行为是否属于网络攻击行为。
170.在一种实现方式中，所述第一获取模块710，用于获取安全威胁信息，包括以下方式中的任一项：
171.接收安全设备下发的所述安全威胁信息；
172.或者，定时同步安全设备的安全威胁库收集的所述安全威胁信息；
173.或者，获取所述第一设备配置的所述安全威胁信息；
174.或者，获取所述第一设备更新后的所述安全威胁信息。
175.在一种实现方式中，所述监测模块730用于在确定所述第二设备对所述第一设备的访问行为属于网络攻击行为后，还用于：
176.阻止来自所述第二设备的访问行为，和/或，将来自所述第二设备的访问信息存储于所述第一设备对应的安全审计日志。
177.在一种实现方式中，所述监测模块730还用于向所述安全设备上报所述第一设备的安全审计日志。
178.在一种实现方式中，所述安全威胁信息包括以下网络信息中的任一项：
179.所述第二设备的源域名信息、所述第二设备的源互联网协议地址信息、所述第二设备的源统一资源定位符信息。
180.基于前述实施例相同的技术构思，参见图8，本申请实施例提供的一种安全防护装置，应用于上述安全设备，可以包括：
181.确定模块810，用于确定安全威胁信息，所述安全威胁信息包括至少一个网络设备的网络攻击事件相关的网络信息；
182.发送模块820，用于向第一设备发送所述安全威胁信息，使所述第一设备根据所述安全威胁信息和来自第二设备的访问信息，确定所述第二设备对所述第一设备的访问行为是否属于网络攻击行为。
183.在一种实现方式中，所述确定模块810，用于确定安全威胁信息，包括：
184.获取所述安全设备配置的所述安全威胁信息。
185.在一种实现方式中，所述确定模块810，用于确定安全威胁信息，包括：
186.获取至少一个网络设备的安全审计日志信息，所述至少一个网络设备包括所述第一设备；
187.根据所述安全审计日志信息获取所述安全威胁信息。
188.关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不作详细阐述说明。
189.基于上述安全防护装置，第一设备获取安全设备下发的安全威胁信息，由于安全威胁信息包含安全设备获取到的多个网络设备的网络攻击事件对应的网络信息，因此，在第一设备根据安全威胁信息和访问信息进行网络攻击行为检测时，可以避免第一设备存储的安全威胁信息不全面可能产生的安全漏洞，及时有效阻断针对第一设备的网络攻击行为。针对多变的网络攻击行为，不需要在网络设备迭代发布新版本的应用防火墙，缩短了安全威胁信息的更新周期，提高了网络设备的安全防护效果。
190.基于前述实施例相同的技术构思，参见图9，本申请实施例提供的第一电子设备900，可以包括：第一存储器901和第一处理器902；其中，
191.第一存储器901，用于存储计算机程序和数据；
192.第一处理器902，用于执行第一存储器中存储的计算机程序，以实现前述实施例中的任意一种第一设备执行的安全防护方法。
193.基于前述实施例相同的技术构思，参见图10，本申请实施例提供的第二电子设备1000，可以包括：第二存储器1001和第二处理器1002；其中，
194.第二存储器1001，用于存储计算机程序和数据；
195.第二处理器1002，用于执行第二存储器中存储的计算机程序，以实现前述实施例中的任意一种安全设备执行的安全防护方法。
196.在实际应用中，上述第一存储器901或第二存储器1001可以是易失性存储器(volatile memory)，例如ram；或者非易失性存储器(non
‑
volatile memory)，例如rom，快闪存储器(flash memory)，硬盘(hard disk drive，hdd)或固态硬盘(solid
‑
state drive，ssd)；或者上述种类的存储器的组合，并向第一处理器902或第二处理器1002提供指令和数据。
197.上述第一处理器902或第二处理器1002可以为asic、dsp、dspd、pld、fpga、cpu、控制器、微控制器、微处理器中的至少一种。可以理解地，对于不同的电子设备，用于实现上述处理器功能的电子器件还可以为其它，本申请实施例不作具体限定。
198.在一些实施例中，本申请实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法，其具体实现可以参照上文方法实施例的描述，为了简洁，这里不再赘述。
199.上文对各个实施例的描述倾向于强调各个实施例之间的不同之处，其相同或相似之处可以互相参考，为了简洁，本文不再赘述
200.本申请所提供的各方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。
201.本申请所提供的各产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。
202.本申请所提供的各方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。
203.在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相
互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
204.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
205.另外，在本申请各实施例中的各功能单元可以全部集成在一个处理模块中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
206.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤。
207.以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。