[发明专利]网络安全防护方法和装置

说明书

技术领域

本发明实施例涉及互联网技术，尤其涉及一种网络安全防护方法和装置。

背景技术

随着网络技术的不断发展，网络病毒、攻击、黑客等技术也更加迅猛，病毒变种、攻击智能化、繁殖化，网络安全的维护显得尤为重要。

图1为常规的网络安全防护系统示意图，如图1所示，针对当前的网络攻击和病毒木马的繁衍，大部分企业会在网络层部署防火墙Anti-DDos，入侵检测系统(英文：Intrusion Detection Systems，简称：IDS)，入侵防御系统(英文：Intrusion Prevention System，简称：IPS)以及防火墙对其进行检测和拦截；而在应用层会有web应用防御系统(英文：Web Application Firewall，简称：WAF)，主机入侵防御系统(英文：Host-based Intrusion Prevention System，简称：HIPS)，对Webshell，病毒木马，rootkit进行检测和防御，对服务器的攻击进行拦截处理，单一特征的网络攻击就由相应检测和防御功能的防御系统去完成检测和拦截。

然而，上面提供的安全防护系统中，各个防御系统单一作战不能有效跟上层或者相邻的防御系统进行有效交流，不能及时更新检测特征来进行防御拦截动作，网络攻击突破单点防御系统后，导致另外的防御系统的防御压力大大增大，攻击流量的无限放大，容易造成多个单节点的防御系统失效，租户面临很大的安全威胁。

发明内容

本申请提供一种网络安全防护方法和装置，用于解决各个防御系统单一作战不能有效跟上层或者相邻的防御系统进行有效交流，不能及时更新检测特征来进行防御拦截动作，网络攻击突破单点防御系统后，导致另外的防御系统的防御压力大大增大，攻击流量的无限放大，容易造成多个单节点的防御系统失效，租户面临很大的安全威胁的问题。

本申请第一方面提供一种网络安全防护方法，应用于第一节点控制器，第一节点控制器与多个防御系统连接；方法包括：

接收第一防御系统发送的网络攻击的特征数据，第一防御系统为与第一节点控制器连接的任一个防御系统；

根据特征数据建立新的检测和防御规则；

将检测和防御规则发送至至少一个第二防御系统，以使至少一个第二防御系统根据检测和防御规则检测和拦截网络攻击；其中，第二防御系统为与第一节点控制器连接的防御系统。

上述方案提供的网络安全防护方法，设置节点控制器连接多个防御系统，每个防御系统可以将检测到的攻击的特征数据发送至节点控制器，节点控制器生成检测和防御规则并分别发送给该节点控制器管理的多个防御系统，以实现多个防御系统同时对该攻击的检测和防御，提高入侵发现和防御能力，有效减轻单一防御系统的防御压力，同时能够避免单一防御系统局限性，并且防御系统之间的数据共享，可以建立全面的安全数据中心。

一种可能设计中，至少一个第二防御系统为在第一防御系统之前进行检测防御的至少一个防御系统。

一种可能设计中，至少一个第二防御系统包括第一防御系统。

一种可能设计中，至少一个第二防御系统为在第一防御系统之后进行检测防御的至少一个防御系统。

一种可能设计中，根据特征数据建立新的检测和防御规则，包括：

根据特征数据分析获取网络攻击的攻击特征；

在流量监测规则中加入监测攻击特征的检测告警，并定制与攻击特征对应的拦截策略，得到检测和防御规则。

一种可能设计中，方法还包括：

将网络攻击的特征数据发送至管理控制系统，以使管理控制系统根据特征数据确定网络攻击特征、并根据网络攻击特征建立新的检测和防御规则、并将检测和防御规则发送至管理控制系统管理的包括所述第一节点控制器的至少一个节点控制器。

一种可能设计中，方法还包括：

将检测和防御规则发送至管理控制系统，以使管理控制系统将检测和防御规则发送至管理控制系统管理的除了所述第一节点控制器以外的至少一个节点控制器。

本申请第二方面提供一种网络安全防护方法，应用于第一节点控制器，第一节点控制器与多个防御系统连接；方法包括：

接收第一防御系统发送的网络攻击的特征数据，第一防御系统为与第一节点控制器连接的任一个防御系统；

根据网络攻击的特征数据建立新的检测和防御规则；

将检测和防御规则通过管理控制系统发送至管理控制系统管理的至少一个节点控制器，以使至少一个节点控制器将对应的防御系统的规则更新为检测和防御规则。