技術領域

本發明實施例涉及互聯網技術，尤其涉及一種網絡安全防護方法和裝置。

背景技術

隨著網絡技術的不斷發展，網絡病毒、攻擊、黑客等技術也更加迅猛，病毒變種、攻擊智能化、繁殖化，網絡安全的維護顯得尤為重要。

圖1為常規的網絡安全防護系統示意圖，如圖1所示，針對當前的網絡攻擊和病毒木馬的繁衍，大部分企業會在網絡層部署防火墻Anti-DDos，入侵檢測系統(英文：Intrusion Detection Systems，簡稱：IDS)，入侵防御系統(英文：Intrusion Prevention System，簡稱：IPS)以及防火墻對其進行檢測和攔截；而在應用層會有web應用防御系統(英文：Web Application Firewall，簡稱：WAF)，主機入侵防御系統(英文：Host-based Intrusion Prevention System，簡稱：HIPS)，對Webshell，病毒木馬，rootkit進行檢測和防御，對服務器的攻擊進行攔截處理，單一特征的網絡攻擊就由相應檢測和防御功能的防御系統去完成檢測和攔截。

然而，上面提供的安全防護系統中，各個防御系統單一作戰不能有效跟上層或者相鄰的防御系統進行有效交流，不能及時更新檢測特征來進行防御攔截動作，網絡攻擊突破單點防御系統后，導致另外的防御系統的防御壓力大大增大，攻擊流量的無限放大，容易造成多個單節點的防御系統失效，租戶面臨很大的安全威脅。

發明內容

本申請提供一種網絡安全防護方法和裝置，用于解決各個防御系統單一作戰不能有效跟上層或者相鄰的防御系統進行有效交流，不能及時更新檢測特征來進行防御攔截動作，網絡攻擊突破單點防御系統后，導致另外的防御系統的防御壓力大大增大，攻擊流量的無限放大，容易造成多個單節點的防御系統失效，租戶面臨很大的安全威脅的問題。

本申請第一方面提供一種網絡安全防護方法，應用于第一節點控制器，第一節點控制器與多個防御系統連接；方法包括：

接收第一防御系統發送的網絡攻擊的特征數據，第一防御系統為與第一節點控制器連接的任一個防御系統；

根據特征數據建立新的檢測和防御規則；

將檢測和防御規則發送至至少一個第二防御系統，以使至少一個第二防御系統根據檢測和防御規則檢測和攔截網絡攻擊；其中，第二防御系統為與第一節點控制器連接的防御系統。

上述方案提供的網絡安全防護方法，設置節點控制器連接多個防御系統，每個防御系統可以將檢測到的攻擊的特征數據發送至節點控制器，節點控制器生成檢測和防御規則并分別發送給該節點控制器管理的多個防御系統，以實現多個防御系統同時對該攻擊的檢測和防御，提高入侵發現和防御能力，有效減輕單一防御系統的防御壓力，同時能夠避免單一防御系統局限性，并且防御系統之間的數據共享，可以建立全面的安全數據中心。

一種可能設計中，至少一個第二防御系統為在第一防御系統之前進行檢測防御的至少一個防御系統。

一種可能設計中，至少一個第二防御系統包括第一防御系統。

一種可能設計中，至少一個第二防御系統為在第一防御系統之后進行檢測防御的至少一個防御系統。

一種可能設計中，根據特征數據建立新的檢測和防御規則，包括：

根據特征數據分析獲取網絡攻擊的攻擊特征；

在流量監測規則中加入監測攻擊特征的檢測告警，并定制與攻擊特征對應的攔截策略，得到檢測和防御規則。

一種可能設計中，方法還包括：

將網絡攻擊的特征數據發送至管理控制系統，以使管理控制系統根據特征數據確定網絡攻擊特征、并根據網絡攻擊特征建立新的檢測和防御規則、并將檢測和防御規則發送至管理控制系統管理的包括所述第一節點控制器的至少一個節點控制器。

一種可能設計中，方法還包括：

將檢測和防御規則發送至管理控制系統，以使管理控制系統將檢測和防御規則發送至管理控制系統管理的除了所述第一節點控制器以外的至少一個節點控制器。

本申請第二方面提供一種網絡安全防護方法，應用于第一節點控制器，第一節點控制器與多個防御系統連接；方法包括：

接收第一防御系統發送的網絡攻擊的特征數據，第一防御系統為與第一節點控制器連接的任一個防御系統；

根據網絡攻擊的特征數據建立新的檢測和防御規則；

將檢測和防御規則通過管理控制系統發送至管理控制系統管理的至少一個節點控制器，以使至少一個節點控制器將對應的防御系統的規則更新為檢測和防御規則。