网络安全联合防御方法和装置与流程

本发明涉及网络安全技术领域，特别是涉及一种网络安全联合防御方法和装置。

背景技术：

随着互联网技术的迅猛发展，企业运转、社会活动以及人们的日常生活都离不开互联网，为保证上述活动的有序运行，必须加强网络安全系统的构建和维护。

传统的网络安全防御主要依赖现有安全设备，如漏洞扫描设备、防火墙、侵入保护设备等。上述安全设备安全防御能力有限，每个安全设备都有其无法避免的短板，安全防御效果不理想。如何利用传统安全设备达到更理想的网络安全防御效果，成了一个亟待解决的问题。

技术实现要素：

基于此，有必要针对上述的问题，提供一种能够提高网络安全防御能力，具备更理想的网络安全防御效果的网络安全联合防御方法和装置。

一种网络安全联合防御方法，所述方法包括：

获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；

将获取的多个所述安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个所述安全设备均可识别的日志格式；

将转换后的所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；

获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；

将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。

在一个实施例中，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联；

所述将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略的步骤，还包括：

将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。

在一个实施例中，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联；

所述将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略的步骤，还包括：

将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。

一种网络安全联合防御方法，所述方法包括：

根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息；

将生成的所述安全日志信息上传到安全日志共享平台，其中，所述安全日志共享平台用于分类汇总上传的所述安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行所述多种事件类别的入侵事件信息的推送；

接收所述安全日志共享平台推送的至少一种事件类别的所述入侵事件信息；

以接收的所述入侵事件信息为线索信息生成联合防御策略。

在一个实施例中，所述接收的所述入侵事件信息为线索信息生成联合防御策略的步骤包括：

将安全设备自身生成的所述安全日志信息和接收的所述入侵事件信息进行事件关联，生成联合安全日志信息；

根据所述联合安全日志信息生成联合防御策略，并执行所述联合防御策略以进行入侵事件检测和入侵事件防御。

一种网络安全联合防御装置，所述装置包括：

安全日志信息获取模块，用于获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；

格式转换模块，用于将获取的多个所述安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个所述安全设备均可识别的日志格式；

日志信息分类模块，用于将转换后的所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；

关联信息获取模块，用于获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；

日志信息推送模块，用于将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。

在一个实施例中，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联；

所述日志信息推送模块还用于将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。

在一个实施例中，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联；

所述日志信息推送模块还用于将将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。

一种网络安全联合防御装置，所述装置包括：

安全日志信息生成模块，用于根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息；

安全信息分享模块，用于将生成的所述安全日志信息上传到安全日志共享平台，其中，所述安全日志共享平台用于分类汇总上传的所述安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行所述多种事件类别的入侵事件信息的推送；

事件信息接收模块，用于接收所述安全日志共享平台推送的至少一种事件类别的所述入侵事件信息；

联合决策模块，用于以接收的所述入侵事件信息为线索信息生成联合防御策略。

在一个实施例中，所述联合决策模块，还用于将安全设备自身生成的所述安全日志信息和接收的所述入侵事件信息进行事件关联，生成联合安全日志信息；根据所述联合安全日志信息生成联合防御策略，并执行所述联合防御策略以进行入侵事件检测和入侵事件防御。

上述网络安全联合防御方法和装置，通过多个安全设备将自身在进行安全防御时检测到的安全日志信息上传共享平台，共享平台对所有安全日志进行可读性格式转化以及统筹分析分类，并按照设定的信息共享规则，将统计分析的安全日志信息共享至能够更好实现安全日志信息价值的安全设备中，安全设备根据共享平台推送的安全日志信息为线索信息动态调整安全防御策略，实现了攻击事件的快速、精准定位，进而实现对攻击事件的快速有效处理，上述的多安全设备信息共享和联合防御大大提高了网络安全防御能力，取得了更理想的安全防御的效果。

附图说明

图1为一个实施例中网络安全联合防御方法的应用环境图；

图2为一个实施例中服务器的内部结构示意图；

图3为一个实施例中网络安全联合防御方法的流程图；

图4为另一个实施例中网络安全联合防御方法的流程图；

图5为一个实施例中网络安全联合防御装置的结构框图；

图6为又一个实施例中网络安全联合防御装置的结构框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，在一个实施例中，提供了一种网络安全联合防御方法的应用环境图，该应用环境图包括多个安全设备110和与安全设备110可进行双向通信的共享服务器，其中，安全设备110可以是防火墙安全设备、安装有IDS(Intrusion Detection Systems入侵检测系统)或IPS(Instrusion Prevention System入侵防护系统)硬件安全设备、漏洞扫描安全设备等可对系统和网络进行安全检测防护的设备。安全设备可从计算机网络或者计算机服务器中监控用户行为或系统活动，并以自身防御策略为准则进行监控信息分析，得到记录有违反自身防御策略的入侵事件(包括入侵检测事件、入侵处理事件等)的安全日志。各个安全设备将获取的安全日志信息上传到共享服务器，共享服务器对多个安全日志进行汇总分析，将属于一种类型的入侵事件信息返回给相应的安全设备以实现多个安全设备之间信息的共享，安全设备将利用更加丰富的入侵事件信息，更加及时、准确地进行入侵事件的检测、定位以及处理。

如图2所示，在一个实施例中，提供了一种共享服务器120，该共享服务器120包括通过系统总线连接的处理器、存储介质、内存和网络接口。其中，该后台服务器120的存储介质存储有操作系统、数据库和一种网络安全联合防御装置，该装置用于实现一种网络安全联合防御方法。数据库用于存储数据，如存储收集的业务流量数据等。处理器用于提供计算和控制能力，支撑整个服务器120的运行。内存为存储介质中的网络安全联合防御方法装置的运行提供环境。网络接口用于与安全设备110通过网络连接通信。

如图3所示，在一个实施例中，提供了一种网络安全联合防御方法，该方法以应用在如图1所示的分享服务器120中进行举例说明，具体包括如下步骤：

步骤S202：获取多个安全设备的安全日志信息，其中，安全日志信息为安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息。

安全设备是指能够从网络或者网络环境下的系统发现违反安全策略行为、遭遇袭击迹象的设备。安全设备可以包括防火墙、IDS(Intrusion Detection Systems入侵检测系统)、IPS(Instrusion Prevention System入侵防护系统)以及漏洞扫描等，其中，防火墙安装在不同网络的边界，是不同安全级别的网络或者安全域之间唯一的通道，只有被防火墙策略明确授权的通信才可以通过通道。IDS通过收集、分析系统、网络、数据以及用户活动的状态和行为(这些信息一般来自系统和网络日志文件)识别攻击行为、发现异常状况并进行异常告警。IPS进行简单快速的攻击检测并对检测的攻击进行实时处理。漏洞扫描可通过网络远程检测目标网络或者本地主机的上存在的漏洞信息。

安全日志信息是安全设备经检测、防御等自身功能得到的网络/系统环境中的违反安全设备预设防御策略的入侵事件信息。例如，对于防火墙来说，安全信息可以为检测到的防火墙安全策略中拒绝访问的访问事件信息；对于漏洞扫描而言，其安全日志信息可以为网络和系统环境中检测到的漏洞信息；对于IDS和IPS而言，其安全日志信息可以是识别的攻击事件、异常事件，IPS的安全日志信息还包括事件处理信息，如终止进程、切断连接以及更改文件属性等事件信息。不同安全设备的安全日志信息内容、日志格式都不尽相同。

步骤S204：将获取的多个安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个安全设备均可识别的日志格式。

不同的安全设备的日志格式可能不同，在对安全日志信息进行统计分析前，需要对将获取的多种日志格式的安全日志信息进行日志格式的统一。将获取的不同的安全日志信息转化成预设的日志格式，并确保该预设的日志格式能够被这些安全设备所识别。

安全日志的格式包括表达方式和字段格式，其中，表达方式包括文本表达方式、二进制表达方式以及其他计算机语言表达方式。进行日志格式的统一即将表达方式以及字段格式都进行统一。

在一个实施例中，安全设备可以对上传到共享服务器中的安全日志信息进行加密处理，共享服务器预先存储秘钥信息，并根据秘钥信息对加密的安全日志信息进行解密，而后执行步骤S204。在另一个实施例中，共享服务器在将分类统计后的入侵事件信息推送至安全设备之前，也可以对推送信息进行加密处理，以防止信息在网络传输过程中被更改，避免安全设备不能准确的进行安全检测和安全防御。

步骤S206：将转换后的安全日志信息所包含的入侵事件信息按照预设的入侵事件类型进行分类汇总。

共享服务器预先设定了入侵事件的类型，如模糊入侵事件、已检测出攻击源的入侵事件、漏洞信息、已处理入侵事件，其中，系统漏洞也可以划分到模糊入侵事件中。在另一个实施例中，还可以对入侵事件的类型进一步细化。

步骤S208：获取预设的每个入侵事件类型与安全设备标识之间的对应关系。

这里设定安全设备包括漏洞扫描安全设备、IDS、IPS以及防火墙，共享服务器为上述的每个安全设备分配唯一的安全设备标识，共享服务器预先建立上述划分的入侵事件类型与安全设备标识之间的对应关系。

在一个实施例中，可将模糊入侵事件与IDS和/或IPS安全设备标识绑定，以使IDS和/或IPS安全设备能够根据模糊入侵事件信息对入侵事件进行进一步的检测以定位攻击类型、攻击源；可将以检测出攻击源的入侵事件与IPS安全设备标识进行绑定以使IPS根据明确的攻击源信息及时做出攻击处理响应，还可将检测到攻击源的入侵事件与防火墙安全设备标识进行绑定，以使防火墙更新安全防御策略，对入侵事件对应的链接进行阻断。

步骤S210：将针对于入侵事件类型汇总的入侵事件信息推送至具有对应关系的安全设备标识所指向的安全设备，以使安全设备根据推送的入侵事件信息调整自身防御策略。

根据入侵事件类型与安全设备之间的绑定关系，将相应的入侵事件类型对应的入侵事件信息推送至具有绑定关系的安全设备中，以使安全设备获得更多的线索，并根据线索调整安全防御策略以更加准确及时的进行入侵事件的检测和处理。

本实施例中，多个安全设备将自身在进行安全防御时检测到的安全日志信息上传共享平台，共享平台对所有安全日志进行可读性格式转化以及统筹分析分类，并按照设定的信息共享规则，将统计分析的安全日志信息共享至能够更好实现安全日志信息价值的安全设备中，安全设备根据共享平台推送的安全日志信息为线索信息动态调整安全防御策略，实现了攻击事件的快速、精准定位，进而实现对攻击事件的快速有效处理，上述的多安全设备信息共享和联合防御大大提高了网络安全防御的准确性和及时性，取得了更理想的安全防御的效果。

在一个实施例中，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联。

具体的，模糊检测设备和攻击检测设备均能够检测出网络和系统中的入侵事件信息。模糊入侵事件信息为共享服务器预设的其中一种入侵事件类型。进一步的，模糊入侵事件信息为未明确攻击信息的模糊入侵事件，也就是，模糊入侵事件为可被其他安全检测设备利用来生成明确攻击信息的入侵事件信息。

步骤S210：将针对于入侵事件类型汇总的入侵事件信息推送至具有对应关系的安全设备标识所指向的安全设备，以使安全设备根据推送的入侵事件信息调整自身防御策略包括：

将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。

共享服务器将模糊检测设备检测的模糊入侵事件信息推送至攻击检测设备中，攻击检测设备根据模糊入侵事件信息调整自身防御策略或者生成新的检测策略，该更新的或者新生成的检测策略为联合检测策略，攻击检测设备将根据生成的联合检测策略进行入侵事件信息的进一步检测，得到攻击源信息。

需要说明的是，本实施例在生成所述联合检测策略后，该联合检测策略将被添加至所述安全设备中，以加强该安全设备对入侵事件的检测能力，使该安全设备在后面的检测工作中检测出更多的入侵事件，进而生成新的联合检测策略等。如此往复，不断加强安全设备的检测性能。

举例来说，模糊检测设备为漏洞扫描安全设备，模糊入侵事件信息为漏洞扫描安全设备扫描得到的系统/应用/网络中的漏洞信息，攻击检测设备为IDS，IDS生成针对漏洞信息的攻击检测源策略，执行该攻击源检测策略，检测攻击该漏洞的攻击源信息，IDS检测出的该漏洞的攻击源信息。

本实施例中，攻击检测设备得到的攻击源信息实质上是模糊检测设备与攻击检测设备联合协作得到的更加详细的、明确的入侵事件信息，通过安全日志信息的共享使得各个安全设备之间相互协作，可更加快速准确的进行攻击事件的检测。

在一个实施例中，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识的关联。

具体的，攻击防御设备是指能够进行攻击事件处理(如终止进程、切断连接、改变文件属性、访问限制)以消除攻击事件的危害或者减少攻击事件影响的安全设备。在一个实施例中，攻击防御设备可以是IPS和防火墙等。

在步骤将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息之后，还包括：

将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。

共享服务器将攻击检测设备上传的经过联合协作分析得到的攻击源信息推送给攻击防御设备，攻击防御设备生成针对该攻击源信息的安全防御策略，该安全防御策略实质为根据多个安全设备的入侵事件信息生成的联合防御策略，攻击防御设备通过执行生成的联合防御策略进行更加精准、及时的攻击处理和防御。

在一个实施例中，如图4所示，还提供了一种网络安全联合防御方法，该方法以应用到如图1所示的其中一个安全设备110中进行举例说明，具体包括如下步骤：

步骤S302：根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息。

安全设备是指能够从网络或者网络环境下的系统发现违反安全策略行为、遭遇袭击迹象的设备。安全设备可以包括防火墙、IDS(Intrusion Detection Systems入侵检测系统)、IPS(Instrusion Prevention System入侵防护系统)以及漏洞扫描等。

安全设备设置有自身入侵防御策略，通过执行自身入侵防御策略进行入侵检测，生成违反自身防御策略的入侵事件信息，并将生成的入侵事件信息以安全日志的形式进行记录。

步骤S304：将生成的安全日志信息上传到安全日志共享平台，其中，安全日志共享平台用于分类汇总上传的安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行多种事件类别的入侵事件信息的推送。

具体的，安全设备每个设定时间将生成的安全日志信息上传至共享服务器，或者共享服务器每个设定时间自动从安全设备中进行安全日志信息的抓取。

步骤S306：接收安全日志共享平台推送的至少一种事件类别的入侵事件信息。

步骤S308：以接收的入侵事件信息为线索信息生成联合防御策略。

在一个实施例中，共享服务器进行获取的各个安全设备的安全日志的日志格式进行一致性转化，转化的日志格式保证各个安全设备能够识别。进一步的，共享服务器对格式统一化的安全日志信息进行统计分析，分类整理，并将设定类别的安全日志信息(入侵事件信息)推送至设定的安全设备中以实现信息充分共享，各个安全设备能够根据共享的入侵事件信息更加快速准确地进行攻击的挖掘、定位、防御和处置。

本实施例中，安全设备能够通过共享平台获取到其他安全设备的安全日志信息，充分利用共享的安全日志信息进行安全策略的最优化调整，使攻击检测处理更加高效、准确，极大地提高了安全设备的安全防御能力。

在一个实施例中，步骤S306中的以接收的入侵事件信息为线索信息生成联合防御策略的步骤为：将安全设备自身生成的安全日志信息和接收的入侵事件信息进行事件关联，生成联合安全日志信息；根据联合安全日志信息生成联合防御策略，并执行联合防御策略以进行入侵事件检测和入侵事件防御。

具体的，安全设备可根据安全日志信息中的时间属性进行入侵事件的关联。在另一个实施例中，还可以通过地址特征(如IP)、端口信息属性进行事件的关联，得到联合安全日志信息。

安全设备针对联合安全日志信息生成联合防御策略，以使攻击检测处理更加高效、准确，极大地提高了安全设备的安全防御能力。

在一个实施例中，如图5所示，提供了一种网络安全联合防御装置，该装置包括：

安全日志信息获取模块402，用于获取多个安全设备的安全日志信息，其中，安全日志信息为安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息。

格式转换模块404，用于将获取的多个安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个安全设备均可识别的日志格式。

日志信息分类模块406，用于将转换后的安全日志信息所包含的入侵事件信息按照预设的入侵事件类型进行分类汇总。

关联信息获取模块408，用于获取预设的每个入侵事件类型与安全设备标识之间的对应关系。

日志信息推送模块410，用于将针对于入侵事件类型汇总的入侵事件信息推送至具有对应关系的安全设备标识所指向的安全设备，以使安全设备根据推送的入侵事件信息调整自身防御策略。

在一个实施例中，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联。

日志信息推送模块410，还用于将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。

在一个实施例中，所所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联。

日志信息推送模块410，还用于将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。

在一个实施例中，如图6所示，提供了一种网络安全联合防御装置，该装置包括：

安全日志信息生成模块502，用于根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息。

安全信息分享模块504，用于将生成的安全日志信息上传到安全日志共享平台，其中，安全日志共享平台用于分类汇总上传的安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行多种事件类别的入侵事件信息的推送。

事件信息接收模块506，用于接收安全日志共享平台推送的至少一种事件类别的入侵事件信息。

联合决策模块508，用于以接收的入侵事件信息为线索信息生成联合防御策略。

在一个实施例中，联合决策模块508，还用于将安全设备自身生成的安全日志信息和接收的入侵事件信息进行事件关联，生成联合安全日志信息；根据联合安全日志信息生成联合防御策略，并执行联合防御策略以进行入侵事件检测和入侵事件防御。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，程序可存储于一计算机可读取存储介质中，如本发明实施例中，该程序可存储于计算机系统的存储介质中，并被该计算机系统中的至少一个处理器执行，以实现包括如上述各方法的实施例的流程。其中，存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。