[发明专利]全程全网安全协同防御系统的协同防御方法

说明书

【技术领域】

本发明涉及互联网与计算机网络安全技术领域，尤其涉及计算机网络安全一体化协同防御的网络协同防御方法。

【背景技术】

计算机网络的飞速发展，给人们的生产和生活带来极大的便利，使各行业和企业的信息化程度迅速提高。我们在得益于计算机网络迅速发展所带来的巨大机遇的同时，也不得不面临着各种网络安全问题的挑战：病毒，蠕虫，木马，恶意攻击，非授权接入，非法外联，垃圾邮件等。这些网络安全威胁不仅给个人的工作和生活带来很大的不便和损失，更给企业，对政府带来巨大的影响。

面对这些威胁，人们提出了多种防护措施：防火墙，防病毒，入侵检测，虚拟专用网，反垃圾邮件等。但这些网络安全系统在功能上孤立单一，大多只能对抗已知攻击，缺少对网络系统故障和人为操作失误等因素的处理。这种传统的网络安全系统是基于静态安全技术建立的被动防御模型，没有依据统一的安全防御策略对网络系统各个层面进行系统全面的防御，消极反应和事后修补完善外在附加，被动的防御，未能解决脆弱的本源问题，更无法应对具有多样、随机、隐蔽和传播等特点的攻击和破坏行为，而且安全系统自身的安全可靠没有保证。这种防御体制已不能适应当今复杂多变的网络环境安全需求。

现有计算机网络安全产品的多样化使得整个系统的相互协作与管理成为难点，设备管理、运行管理带来的管理成本与难度直接制约了安全防御体系的有效性。为了解决各种网络设备的协作和管理问题，近年来提出了统一威胁管理(Unified Treatment Management，UTM)的方式，将多种网络安全控制能力融合在一起，进行统一管理，实现防御一体化。该种防御方式为简化安全解决方案，规避设备兼容性问题提供了有效途径。但现今的解决方案要么是将独立的软件和硬件模块嵌入到一个系统或机箱中实现功能的堆砌，要么是对某一功能进行特殊的处理，不能做到从体系结构层面对网络各层进行有效整合和简化处理，UTM设备和系统并不成熟，且防御措施是“个人自扫门前雪”的孤立方式，即，只是在单点进行被动防御。然而事实表明，计算机网络的不安全因素在网络安全事件中，都不是孤立和分离的，而且越来越成群体化趋势，现有技术的计算机网络安全防御系统的孤立的被动防御理念显然无法对群体性网络安全事件进行防御(如病毒扩散，分布式DDoS攻击等)，也不能从根本上解决网络安全问题。

【发明内容】

本发明提供一种全程全网安全协同防御系统的协同防御方法，提供全局式网络一体化安全协同解决方案，实现全局性的网络一体化协同安全防御。

为了解决上述的技术问题，本发明提供一种全程全网安全协同防御系统的协同防御方法，所述全程全网安全协同防御系统包括安全分析控制中心、设置于计算机网络节点外端口处的流量数据探测子系统和设置于计算机网络节点的协同防御设备，所述的协同防御方法包括如下步骤：

(1)流量数据探测子系统持续接收预进入内部网络的流量，采集流量数据并将其发送至协同防御设备，协同防御设备将分析确认不包含异常活动和异常内容的流量数据传送到计算机内部系统；

(2)当协同防御设备检测到有异常的数据包或者异常流量安全事件时，则通知流量数据探测子系统将异常流量数据后续包传送给协同防御设备，协同防御设备对异常流量数据进行分析，依据原有的预设策略或形成的新策略或安全分析中心发送过来的安全策略对安全事件进行处理；

(3)协同防御设备将安全事件、策略、事件处理结果及其日记传送给安全分析控制中心；

(4)安全分析控制中心接收并传送事件相关信息至安全分析控制内置的数据中心，经安全分析控制中心进行统一分析后做出管理决策，查看各协同防御设备并分析全程全网安全协同防御系统的运行状况，然后更新各协同防御设备的协同防御策略，对协同防御设备的各功能组件进行统一部署，并通过审核日记对安全事件进行源头控制；

(5)安全分析控制中心记录整个安全事件处理时间，结果等，以备追踪查询。

所述的步骤(2)中，当原有安全策略可以处理安全事件时仅利用其原有的预设策略响应；当原有的预设策略无法处理安全事件时，协同防御设备利用自身的策略和网络资源，或反映给管理员制定新的可执行策略，并将策略分发至其他协同防御设备；当协同防御设备自身无法制定相应的策略时，发送报告给安全分析控制中心，安全分析控制中心结合数据中心制定策略，并分发给其他协同防御设备。