【技術領域】

本發明涉及互聯網與計算機網絡安全技術領域，尤其涉及計算機網絡安全一體化協同防御的網絡協同防御方法。

【背景技術】

計算機網絡的飛速發展，給人們的生產和生活帶來極大的便利，使各行業和企業的信息化程度迅速提高。我們在得益于計算機網絡迅速發展所帶來的巨大機遇的同時，也不得不面臨著各種網絡安全問題的挑戰：病毒，蠕蟲，木馬，惡意攻擊，非授權接入，非法外聯，垃圾郵件等。這些網絡安全威脅不僅給個人的工作和生活帶來很大的不便和損失，更給企業，對政府帶來巨大的影響。

面對這些威脅，人們提出了多種防護措施：防火墻，防病毒，入侵檢測，虛擬專用網，反垃圾郵件等。但這些網絡安全系統在功能上孤立單一，大多只能對抗已知攻擊，缺少對網絡系統故障和人為操作失誤等因素的處理。這種傳統的網絡安全系統是基于靜態安全技術建立的被動防御模型，沒有依據統一的安全防御策略對網絡系統各個層面進行系統全面的防御，消極反應和事后修補完善外在附加，被動的防御，未能解決脆弱的本源問題，更無法應對具有多樣、隨機、隱蔽和傳播等特點的攻擊和破壞行為，而且安全系統自身的安全可靠沒有保證。這種防御體制已不能適應當今復雜多變的網絡環境安全需求。

現有計算機網絡安全產品的多樣化使得整個系統的相互協作與管理成為難點，設備管理、運行管理帶來的管理成本與難度直接制約了安全防御體系的有效性。為了解決各種網絡設備的協作和管理問題，近年來提出了統一威脅管理(Unified?Treatment?Management，UTM)的方式，將多種網絡安全控制能力融合在一起，進行統一管理，實現防御一體化。該種防御方式為簡化安全解決方案，規避設備兼容性問題提供了有效途徑。但現今的解決方案要么是將獨立的軟件和硬件模塊嵌入到一個系統或機箱中實現功能的堆砌，要么是對某一功能進行特殊的處理，不能做到從體系結構層面對網絡各層進行有效整合和簡化處理，UTM設備和系統并不成熟，且防御措施是“個人自掃門前雪”的孤立方式，即，只是在單點進行被動防御。然而事實表明，計算機網絡的不安全因素在網絡安全事件中，都不是孤立和分離的，而且越來越成群體化趨勢，現有技術的計算機網絡安全防御系統的孤立的被動防御理念顯然無法對群體性網絡安全事件進行防御(如病毒擴散，分布式DDoS攻擊等)，也不能從根本上解決網絡安全問題。

【發明內容】

本發明提供一種全程全網安全協同防御系統的協同防御方法，提供全局式網絡一體化安全協同解決方案，實現全局性的網絡一體化協同安全防御。

為了解決上述的技術問題，本發明提供一種全程全網安全協同防御系統的協同防御方法，所述全程全網安全協同防御系統包括安全分析控制中心、設置于計算機網絡節點外端口處的流量數據探測子系統和設置于計算機網絡節點的協同防御設備，所述的協同防御方法包括如下步驟：

(1)流量數據探測子系統持續接收預進入內部網絡的流量，采集流量數據并將其發送至協同防御設備，協同防御設備將分析確認不包含異常活動和異常內容的流量數據傳送到計算機內部系統；

(2)當協同防御設備檢測到有異常的數據包或者異常流量安全事件時，則通知流量數據探測子系統將異常流量數據后續包傳送給協同防御設備，協同防御設備對異常流量數據進行分析，依據原有的預設策略或形成的新策略或安全分析中心發送過來的安全策略對安全事件進行處理；

(3)協同防御設備將安全事件、策略、事件處理結果及其日記傳送給安全分析控制中心；

(4)安全分析控制中心接收并傳送事件相關信息至安全分析控制內置的數據中心，經安全分析控制中心進行統一分析后做出管理決策，查看各協同防御設備并分析全程全網安全協同防御系統的運行狀況，然后更新各協同防御設備的協同防御策略，對協同防御設備的各功能組件進行統一部署，并通過審核日記對安全事件進行源頭控制；

(5)安全分析控制中心記錄整個安全事件處理時間，結果等，以備追蹤查詢。

所述的步驟(2)中，當原有安全策略可以處理安全事件時僅利用其原有的預設策略響應；當原有的預設策略無法處理安全事件時，協同防御設備利用自身的策略和網絡資源，或反映給管理員制定新的可執行策略，并將策略分發至其他協同防御設備；當協同防御設備自身無法制定相應的策略時，發送報告給安全分析控制中心，安全分析控制中心結合數據中心制定策略，并分發給其他協同防御設備。