[发明专利]用于网络防护的协同防御方法和系统

说明书

一种用于网络防护的协同防御方法及系统，该系统包括决策与部署层、以及协同与监控层；决策与部署层利用获取到的网络安全预警事件，根据网络安全的防御目的和网络安全现状制定防御意图，而后由决策引擎产生网络防御策略，并根据防御策略部署防御任务；协同与监控层包括控制中心和网络安全设备，实现网络安全设备间的协同任务部署和网络防御情况的实时监控；控制中心与决策与部署层、网络安全设备通信连接，进行数据流控制和逻辑控制；控制中心包括协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块。本发明给出以安全感知、协同防护、集中管理为核心的协同防御解决方案，实现了主动、综合、全面的动态安全防护体系。

技术领域

本发明涉及网络安全防护技术，特别是一种用于网络防护的协同防御方法和系统。

背景技术

近年来网络业务的飞速发展，使网络安全形势呈现出如下一些特点。主要表现在：1.安全漏洞数量持续快速增长。由于网络协议、操作系统、应用软件本身高度复杂，以及用户技术水平参差不齐，导致网络及主机系统中存在不可避免的各种安全漏洞。漏洞的存在是各种安全威胁存在的主要根源，当前系统安全问题之所以呈愈演愈烈之势，最根本的原因就在于漏洞的存在不能完全避免，并且漏洞呈现出越来越多、越来越严重的趋势。2.攻击节奏加快，危害度增强。早期的网络攻击是一门复杂的技术，黑客也都是具有深厚技术积累的网络高手，然而，随着各种自动化攻击工具堂而皇之地出现在各大站点以供下载，极大地降低了攻击技术的难度。此外，密码破解、反编译、漏洞挖掘与渗透等黑客技术也不断发展，这些情况使得攻击者进行网络攻击的节奏明显加快，从漏洞的发现到漏洞的渗透，所需要的时间间隔越来越短，甚至出现了zer0-day攻击(漏洞公布当天就会出现相应的攻击手段)的现象。3.网络安全事件频发。由于网络及信息系统中安全漏洞的广泛存在、大量黑客工具的存在导致攻击难度的降低，以及利益上的驱动，使得网络上的攻击行为越来越多，导致网络安全事件的发生频率越来越高。

从上面的网络安全现状分析可以看出，由于漏洞的不可避免、攻击难度的降低以及利益的驱动，当前网络安全形势是严重的，攻击的频率、攻击的危害度日益增加。随着信息安全保障被逐渐提升到国家安全的重要层面，可以预见，出于政治、经济、文化方面的需要，信息战将逐渐成为军队、政府、企业组织等关注的热点，这将导致网络攻击技术得到更高层面的提升，网络攻击的危害度将进一步增强。正是由于这些威胁的存在，使得网络与信息安全面临巨大的挑战，需要有相应的安全技术和措施予以解决。

现有的网络运行业务有着明确的分工，在这种业务模式下也导致存在以下问题:

1.信息孤岛效应。由于信息化教育的深度和广度的有待发展，在企业内部普遍在着“重硬轻软，重网络轻数据”的认识误区。企业对设备的更新换代投入较大，但是缺少对信息互通的关注，使信息化系统长期存在无法互通互联的问题，例如其安全防御设备在运行过程中不断产生大量的安全日志和事件，只能为安全运维提供数据支持，对于网络安全决策、资产管理和设备实时监控缺毫无帮助，形成“所谓信息孤岛”效应。

2.被动防御为主的安全现状。当前信息安全建设、安全防护产品的模式都是被动式防护，无论是防火墙、入侵检测还是杀毒系统，通常需要等待安全厂商针对新的攻击进行开发。而当前的网络安全都无法对现在流行的“瞬时攻击”、APT攻击做出防护，网络安全运维人员对于网络的突发事件缺乏主动性的决策和防御机制，缺少网络安全事件的预警，在整个网络安全防御过程中经常处于被动局面，既无法提前做好防御准备，又不能够在安全事件发生时及时处理。常常采用阻断通信，关闭服务等方法完成必要的保护。

3.企业内部网络各安全设备缺乏协同性，无法对安全事件进行追踪及综合分析，有效发挥各安全设备的防护能力，由于企业内部网络中部署了大量的网络安全防护设备，因此网络安全策略的部署必须对安全设备进行整体优化配置，以此来保证网络安全的整体防护能力，长期以来网络安全设备之间存在着大量的安全配置冲突、安全防护缺漏的问题；各种安全设备的防护能力存在不同的差异，充分利用安全设备的特点做好一体化防御是企业目前面临的一个重要问题。