WO2018107811A1

WO2018107811A1 - 网络安全联合防御方法、装置、服务器和存储介质

Info

Publication number: WO2018107811A1
Application number: PCT/CN2017/099727
Authority: WO
Inventors: 王元铭
Original assignee: 平安科技（深圳）有限公司
Priority date: 2016-12-14
Filing date: 2017-08-30
Publication date: 2018-06-21
Also published as: SG11201808509RA; CN106790023B; CN106790023A; US10917417B2; US20190098027A1

Abstract

一种网络安全联合防御方法，包括：获取多个安全设备的安全日志信息，其中，安全日志信息为设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；将获取的多个安全日志信息转换成预设日志格式，其中，预设日志格式为多个安全设备均可识别的日志格式；将转换后的安全日志信息包含的入侵事件信息按照预设的入侵事件类型进行分类汇总；获取预先设置的每个入侵事件类型对应的安全设备标识；将每个入侵事件类型对应的入侵事件信息推送至安全设备标识对应的安全设备，以使安全设备根据推送的入侵事件信息调整对应的自身防御策略。

Description

网络安全联合防御方法、装置、服务器和存储介质

本申请要求于2016年12月14日提交中国专利局、申请号为2016111560167、发明名称为“网络安全联合防御方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

【技术领域】

本发明涉及计算机技术领域，特别是涉及一种网络安全联合防御方法、装置、服务器和存储介质。

【背景技术】

随着互联网技术的迅猛发展，企业运转、社会活动以及人们的日常生活都离不开互联网，为保证上述活动的有序运行，必须加强网络安全系统的构建和维护。

传统的网络安全防御主要依赖现有安全设备，如漏洞扫描设备、防火墙、侵入保护设备等。上述安全设备安全防御能力有限，每个安全设备都有其无法避免的短板，安全防御效果不理想。如何利用传统安全设备达到更理想的网络安全防御效果，成了一个亟待解决的问题。

【发明内容】

根据本申请公开的各种实施例，提供一种网络安全联合防御方法、装置、服务器和存储介质。

一种网络安全联合防御方法，所述方法包括：

获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；

将所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；

获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；

将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。

一种网络安全联合防御方法，所述方法包括：

根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息；

将生成的所述安全日志信息上传到安全日志共享平台，其中，所述安全日志共享平台用于分类汇总上传的所述安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行所述多种事件类别的入侵事件信息的推送；

接收所述安全日志共享平台推送的至少一种事件类别的所述入侵事件信息；

以接收的所述入侵事件信息为线索信息生成联合防御策略。

一种网络安全联合防御装置，所述装置包括：

安全日志信息获取模块，用于获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；

日志信息分类模块，用于将所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；

关联信息获取模块，用于获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；

日志信息推送模块，用于将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。

一种网络安全联合防御装置，所述装置包括：

安全日志信息生成模块，用于根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息；

安全信息分享模块，用于将生成的所述安全日志信息上传到安全日志共享平台，其中，所述安全日志共享平台用于分类汇总上传的所述安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行所述多种事件类别的入侵事件信息的推送；

事件信息接收模块，用于接收所述安全日志共享平台推送的至少一种事件类别的所述入侵事件信息；

联合决策模块，用于以接收的所述入侵事件信息为线索信息生成联合防御策略。

一种服务器，包括存储器和处理器，所述存储器中存储有计算机可执行指令，所述指令被所述处理器执行时，使得所述处理器执行以下步骤：

一个或多个存储有计算机可执行指令的非易失性可读存储介质，所述计算机可执行指令被一个或多个处理器执行，使得所述一个或多个处理器执行以下步骤：

一个或多个存储有计算机可执行指令的非易失性可读存储介质，所述指令被一个或多个处理器执行，使得所述一个或多个处理器执行以下步骤：

以接收的所述入侵事件信息为线索信息生成联合防御策略。

本申请的一个或多个实施例的细节在下面的附图和描述中提出。本申请的其它特征、目的和优点将从说明书、附图以及权利要求书变得明显。

【附图说明】

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一个实施例中网络安全联合防御方法的应用环境图；

图2为一个实施例中网络安全联合防御方法的流程图；

图3为另一个实施例中网络安全联合防御方法的流程图；

图4为一个实施例中网络安全联合防御装置的结构框图；

图5为又一个实施例中网络安全联合防御装置的结构框图；

图6为一个实施例中服务器的内部结构示意图；

图7为一个实施例中安全设备的内部结构示意图。

【具体实施方式】

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，在一个实施例中，提供了一种网络安全联合防御方法的应用环境图，该应用环境图包括多个安全设备110和与安全设备110可进行双向通信的服务器，其中，安全设备110可以是防火墙安全设备、安装有IDS（Intrusion Detection Systems入侵检测系统）或IPS（Instrusion Prevention System入侵防护系统）硬件安全设备、漏洞扫描安全设备等可对系统和网络进行安全检测防护的设备。安全设备可从计算机网络或者计算机服务器中监控用户行为或系统活动，并以自身防御策略为准则进行监控信息分析，得到记录有违反自身防御策略的入侵事件（包括入侵检测事件、入侵处理事件等）的安全日志。各个安全设备将获取的安全日志信息上传到服务器，服务器对多个安全日志进行汇总分析，将属于一种类型的入侵事件信息返回给相应的安全设备以实现多个安全设备之间信息的共享，安全设备将利用更加丰富的入侵事件信息，更加及时、准确地进行入侵事件的检测、定位以及处理。

图2为本发明一个实施例的网络安全联合防御方法的流程示意图。应当理解的是，虽然图2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必须按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且图2中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替执行。

参考图2，一种网络安全联合防御方法具体包括以下步骤：

步骤S202：获取多个安全设备的安全日志信息，其中，安全日志信息为安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息。

安全设备是指能够从网络或者网络环境下的系统发现违反安全策略行为、遭遇袭击迹象的设备。安全设备可以包括防火墙、IDS（Intrusion Detection Systems入侵检测系统）、IPS（Instrusion Prevention System入侵防护系统）以及漏洞扫描等，其中，防火墙安装在不同网络的边界，是不同安全级别的网络或者安全域之间唯一的通道，只有被防火墙策略明确授权的通信才可以通过通道。IDS通过收集、分析系统、网络、数据以及用户活动的状态和行为（这些信息一般来自系统和网络日志文件）识别攻击行为、发现异常状况并进行异常告警。IPS进行简单快速的攻击检测并对检测的攻击进行实时处理。漏洞扫描可通过网络远程检测目标网络或者本地主机的上存在的漏洞信息。

安全日志信息是安全设备经检测、防御等自身功能得到的网络/系统环境中的违反安全设备预设防御策略的入侵事件信息。例如，对于防火墙来说，安全信息可以为检测到的防火墙安全策略中拒绝访问的访问事件信息；对于漏洞扫描而言，其安全日志信息可以为网络和系统环境中检测到的漏洞信息；对于IDS和IPS而言，其安全日志信息可以是识别的攻击事件、异常事件，IPS的安全日志信息还包括事件处理信息，如终止进程、切断连接以及更改文件属性等事件信息。不同安全设备的安全日志信息内容、日志格式都不尽相同。

步骤S204：将获取的多个安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个安全设备均可识别的日志格式。

不同的安全设备的日志格式可能不同，在对安全日志信息进行统计分析前，需要对将获取的多种日志格式的安全日志信息进行日志格式的统一。将获取的不同的安全日志信息转化成预设的日志格式，并确保该预设的日志格式能够被这些安全设备所识别。

安全日志的格式包括表达方式和字段格式，其中，表达方式包括文本表达方式、二进制表达方式以及其他计算机语言表达方式。进行日志格式的统一即将表达方式以及字段格式都进行统一。

在一个实施例中，安全设备可以对上传到服务器中的安全日志信息进行加密处理，服务器预先存储秘钥信息，并根据秘钥信息对加密的安全日志信息进行解密，而后执行步骤S204。在另一个实施例中，服务器在将分类统计后的入侵事件信息推送至安全设备之前，也可以对推送信息进行加密处理，以防止信息在网络传输过程中被更改，避免安全设备不能准确的进行安全检测和安全防御。

步骤S206：将转换后的安全日志信息所包含的入侵事件信息按照预设的入侵事件类型进行分类汇总。

服务器预先设定了入侵事件的类型，如模糊入侵事件、已检测出攻击源的入侵事件、漏洞信息、已处理入侵事件，其中，系统漏洞也可以划分到模糊入侵事件中。在另一个实施例中，还可以对入侵事件的类型进一步细化。

步骤S208：获取预设的每个入侵事件类型与安全设备标识之间的对应关系。

这里设定安全设备包括漏洞扫描安全设备、IDS、IPS以及防火墙，服务器为上述的每个安全设备分配唯一的安全设备标识，服务器预先建立上述划分的入侵事件类型与安全设备标识之间的对应关系。

在一个实施例中，可将模糊入侵事件与IDS和/或IPS安全设备标识绑定，以使IDS和/或IPS安全设备能够根据模糊入侵事件信息对入侵事件进行进一步的检测以定位攻击类型、攻击源；可将以检测出攻击源的入侵事件与IPS安全设备标识进行绑定以使IPS根据明确的攻击源信息及时做出攻击处理响应，还可将检测到攻击源的入侵事件与防火墙安全设备标识进行绑定，以使防火墙更新安全防御策略，对入侵事件对应的链接进行阻断。

步骤S210：将针对于入侵事件类型汇总的入侵事件信息推送至具有对应关系的安全设备标识所指向的安全设备，以使安全设备根据推送的入侵事件信息调整自身防御策略。

根据入侵事件类型与安全设备之间的绑定关系，将相应的入侵事件类型对应的入侵事件信息推送至具有绑定关系的安全设备中，以使安全设备获得更多的线索，并根据线索调整安全防御策略以更加准确及时的进行入侵事件的检测和处理。

本实施例中，多个安全设备将自身在进行安全防御时检测到的安全日志信息上传共享平台，共享平台对所有安全日志进行可读性格式转化以及统筹分析分类，并按照设定的信息共享规则，将统计分析的安全日志信息共享至能够更好实现安全日志信息价值的安全设备中，安全设备根据共享平台推送的安全日志信息为线索信息动态调整安全防御策略，实现了攻击事件的快速、精准定位，进而实现对攻击事件的快速有效处理，上述的多安全设备信息共享和联合防御大大提高了网络安全防御的准确性和及时性，取得了更理想的安全防御的效果。

在一个实施例中，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联。

具体的，模糊检测设备和攻击检测设备均能够检测出网络和系统中的入侵事件信息。模糊入侵事件信息为服务器预设的其中一种入侵事件类型。进一步的，模糊入侵事件信息为未明确攻击信息的模糊入侵事件，也就是，模糊入侵事件为可被其他安全检测设备利用来生成明确攻击信息的入侵事件信息。

步骤S210：将针对于入侵事件类型汇总的入侵事件信息推送至具有对应关系的安全设备标识所指向的安全设备，以使安全设备根据推送的入侵事件信息调整自身防御策略包括：

将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。

服务器将模糊检测设备检测的模糊入侵事件信息推送至攻击检测设备中，攻击检测设备根据模糊入侵事件信息调整自身防御策略或者生成新的检测策略，该更新的或者新生成的检测策略为联合检测策略，攻击检测设备将根据生成的联合检测策略进行入侵事件信息的进一步检测，得到攻击源信息。

需要说明的是，本实施例在生成所述联合检测策略后，该联合检测策略将被添加至所述安全设备中，以加强该安全设备对入侵事件的检测能力，使该安全设备在后面的检测工作中检测出更多的入侵事件，进而生成新的联合检测策略等。如此往复，不断加强安全设备的检测性能。

举例来说，模糊检测设备为漏洞扫描安全设备，模糊入侵事件信息为漏洞扫描安全设备扫描得到的系统/应用/网络中的漏洞信息，攻击检测设备为IDS，IDS生成针对漏洞信息的攻击检测源策略，执行该攻击源检测策略，检测攻击该漏洞的攻击源信息，IDS检测出的该漏洞的攻击源信息。

本实施例中，攻击检测设备得到的攻击源信息实质上是模糊检测设备与攻击检测设备联合协作得到的更加详细的、明确的入侵事件信息，通过安全日志信息的共享使得各个安全设备之间相互协作，可更加快速准确的进行攻击事件的检测。

在一个实施例中，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识的关联。

具体的，攻击防御设备是指能够进行攻击事件处理（如终止进程、切断连接、改变文件属性、访问限制）以消除攻击事件的危害或者减少攻击事件影响的安全设备。在一个实施例中，攻击防御设备可以是IPS和防火墙等。

在步骤将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息之后，还包括：

将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。

服务器将攻击检测设备上传的经过联合协作分析得到的攻击源信息推送给攻击防御设备，攻击防御设备生成针对该攻击源信息的安全防御策略，该安全防御策略实质为根据多个安全设备的入侵事件信息生成的联合防御策略，攻击防御设备通过执行生成的联合防御策略进行更加精准、及时的攻击处理和防御。

在一个实施例中，如图3所示，还提供了一种网络安全联合防御方法，该方法以应用到如图1所示的其中一个安全设备110中进行举例说明，具体包括以下步骤：

步骤S302：根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息。

安全设备是指能够从网络或者网络环境下的系统发现违反安全策略行为、遭遇袭击迹象的设备。安全设备可以包括防火墙、IDS（Intrusion Detection Systems入侵检测系统）、IPS（Instrusion Prevention System入侵防护系统）以及漏洞扫描等。

安全设备设置有自身入侵防御策略，通过执行自身入侵防御策略进行入侵检测，生成违反自身防御策略的入侵事件信息，并将生成的入侵事件信息以安全日志的形式进行记录。

步骤S304：将生成的安全日志信息上传到安全日志共享平台，其中，安全日志共享平台用于分类汇总上传的安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行多种事件类别的入侵事件信息的推送。

具体的，安全设备每个设定时间将生成的安全日志信息上传至服务器，或者服务器每个设定时间自动从安全设备中进行安全日志信息的抓取。

步骤S306：接收安全日志共享平台推送的至少一种事件类别的入侵事件信息。

步骤S308：以接收的入侵事件信息为线索信息生成联合防御策略。

在一个实施例中，服务器进行获取的各个安全设备的安全日志的日志格式进行一致性转化，转化的日志格式保证各个安全设备能够识别。进一步的，服务器对格式统一化的安全日志信息进行统计分析，分类整理，并将设定类别的安全日志信息（入侵事件信息）推送至设定的安全设备中以实现信息充分共享，各个安全设备能够根据共享的入侵事件信息更加快速准确地进行攻击的挖掘、定位、防御和处置。

本实施例中，安全设备能够通过共享平台获取到其他安全设备的安全日志信息，充分利用共享的安全日志信息进行安全策略的最优化调整，使攻击检测处理更加高效、准确，极大地提高了安全设备的安全防御能力。

在一个实施例中，步骤S306中的以接收的入侵事件信息为线索信息生成联合防御策略的步骤为：将安全设备自身生成的安全日志信息和接收的入侵事件信息进行事件关联，生成联合安全日志信息；根据联合安全日志信息生成联合防御策略，并执行联合防御策略以进行入侵事件检测和入侵事件防御。

具体的，安全设备可根据安全日志信息中的时间属性进行入侵事件的关联。在另一个实施例中，还可以通过地址特征（如IP）、端口信息属性进行事件的关联，得到联合安全日志信息。

安全设备针对联合安全日志信息生成联合防御策略，以使攻击检测处理更加高效、准确，极大地提高了安全设备的安全防御能力。

在一个实施例中，如图4所示，提供了一种网络安全联合防御装置，该装置包括：

安全日志信息获取模块402，用于获取多个安全设备的安全日志信息，其中，安全日志信息为安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息。

格式转换模块404，用于将获取的多个安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个安全设备均可识别的日志格式。

日志信息分类模块406，用于将转换后的安全日志信息所包含的入侵事件信息按照预设的入侵事件类型进行分类汇总。

关联信息获取模块408，用于获取预设的每个入侵事件类型与安全设备标识之间的对应关系。

日志信息推送模块410，用于将针对于入侵事件类型汇总的入侵事件信息推送至具有对应关系的安全设备标识所指向的安全设备，以使安全设备根据推送的入侵事件信息调整自身防御策略。

日志信息推送模块410，还用于将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。

在一个实施例中，所所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联。

日志信息推送模块410，还用于将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。

在一个实施例中，如图5所示，提供了一种网络安全联合防御装置，该装置包括：

安全日志信息生成模块502，用于根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息。

安全信息分享模块504，用于将生成的安全日志信息上传到安全日志共享平台，其中，安全日志共享平台用于分类汇总上传的安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行多种事件类别的入侵事件信息的推送。

事件信息接收模块506，用于接收安全日志共享平台推送的至少一种事件类别的入侵事件信息。

联合决策模块508，用于以接收的入侵事件信息为线索信息生成联合防御策略。

在一个实施例中，联合决策模块508，还用于将安全设备自身生成的安全日志信息和接收的入侵事件信息进行事件关联，生成联合安全日志信息；根据联合安全日志信息生成联合防御策略，并执行联合防御策略以进行入侵事件检测和入侵事件防御。

在一个实施例中，提供了一种服务器，该服务器的内部结构如图6所示，包括通过系统总线连接的处理器、非易失性存储介质、内存储器和网络接口。其中，该服务器的非易失性存储介质存储有操作系统、数据库和至少一条计算机可执行指令，该计算机可执行指令可被处理器执行。数据库用于存储数据，如存储收集的业务流量数据等。处理器用于提供计算和控制能力，支撑整个服务器的运行。服务器中的内存储器为非易失性存储介质中的操作系统、数据库和计算机可执行指令提供高速缓存的运行环境。网络接口用于与安全设备通过网络连接通信。本领域技术人员可以理解，图6中示出的服务器的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的服务器的限定，具体的服务器可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种服务器，该服务器的处理器执行存储器中的计算机可执行指令时，具体执行以下步骤：获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；将所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。

在一个实施例中，所述处理器还执行以下步骤：将获取的多个所述安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个所述安全设备均可识别的日志格式。

在一个实施例中，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联；

所述处理器还执行以下步骤：将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。

在一个实施例中，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联；

所述处理器还执行以下步骤：将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。

在一个实施例中，提供了一种安全设备，该安全设备的内部结构如图7所示，包括通过系统总线连接的处理器，非易失性存储介质、内存储器和网络接口。其中，安全设备的非易失性存储介质存储有操作系统和至少一条计算机可执行指令，该计算机可执行指令可被处理器所执行。处理器用于提供计算和控制能力，支撑整个安全设备的运行。安全设备的内存储器为非易失存储机制中的操作系统和计算机可执行指令提供高效缓存的运行环境。网络接口用于与图6中的服务器通过网络连接通信。本领域技术人员可以理解，图7中示出的服务器的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的服务器的限定，具体的服务器可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种安全设备，该安全设备的处理器执行存储器中的计算机可执行指令时，具体执行以下步骤：根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息；将生成的所述安全日志信息上传到安全日志共享平台，其中，所述安全日志共享平台用于分类汇总上传的所述安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行所述多种事件类别的入侵事件信息的推送；接收所述安全日志共享平台推送的至少一种事件类别的所述入侵事件信息；以接收的所述入侵事件信息为线索信息生成联合防御策略。

在一个实施例中，处理器执行的所述接收的所述入侵事件信息为线索信息生成联合防御策略，包括：将安全设备自身生成的所述安全日志信息和接收的所述入侵事件信息进行事件关联，生成联合安全日志信息；根据所述联合安全日志信息生成联合防御策略，并执行所述联合防御策略以进行入侵事件检测和入侵事件防御。

上述各个模块可全部或部分通过软件、硬件及其组合来实现。其中，网络接口可以是以太网卡或无线网卡等。上述各模块可以硬件形式内嵌于或独立于上述的服务器和安全设备中的处理器中，也可以以软件形式存储于服务器和安全设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。该处理器可以为中央处理单元（CPU)、微处理器、单片机等。

在一个实施例中，提供了一个或多个存储有计算机可执行指令的非易失性可读存储介质，该指令被一个或多个处理器执行时，使得一个或多个处理器执行上述实施例方法中的全部或部分流程。上述的计算机可执行指令为由上述各实施例方法中的全部或者部分流程实现的计算机程序对应的计算机可执行指令。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可执行指令来指令相关的硬件来完成，程序可存储于一计算机可读取存储介质中，如本发明实施例中，该程序可存储于计算机系统的非易失性可读存储介质中，并被该计算机系统中的至少一个处理器执行，以实现包括如上述各方法的实施例的流程。其中，非易失性可读存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory，ROM）等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims

一种网络安全联合防御方法，包括：

获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；

将所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；

获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；及

将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。
根据权利要求1所述的方法，其特征在于，在所述获取多个安全设备的安全日志信息之后，还包括：

将获取的多个所述安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个所述安全设备均可识别的日志格式。
根据权利要求1或2所述的方法，其特征在于，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联；

所述将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略，还包括：

将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。
根据权利要求3所述的方法，其特征在于，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联；

所述将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略，还包括：

将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。
一种网络安全联合防御方法，包括：

根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息；

将生成的所述安全日志信息上传到安全日志共享平台，其中，所述安全日志共享平台用于分类汇总上传的所述安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行所述多种事件类别的入侵事件信息的推送；

接收所述安全日志共享平台推送的至少一种事件类别的所述入侵事件信息；及

以接收的所述入侵事件信息为线索信息生成联合防御策略。
根据权利要求5所述的方法，其特征在于，所述接收的所述入侵事件信息为线索信息生成联合防御策略，包括：

将安全设备自身生成的所述安全日志信息和接收的所述入侵事件信息进行事件关联，生成联合安全日志信息；

根据所述联合安全日志信息生成联合防御策略，并执行所述联合防御策略以进行入侵事件检测和入侵事件防御。
一种网络安全联合防御装置，其特征在于，包括：

安全日志信息获取模块，用于获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；

日志信息分类模块，用于将所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；

关联信息获取模块，用于获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；及

日志信息推送模块，用于将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。
根据权利要求7所述的装置，其特征在于，还包括：

格式转换模块，用于将获取的多个所述安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个所述安全设备均可识别的日志格式。
根据权利要求7或8所述的装置，其特征在于，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联；

所述日志信息推送模块还用于将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。
根据权利要求9所述的装置，其特征在于，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联；

所述日志信息推送模块还用于将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。
一种网络安全联合防御装置，其特征在于，包括：

安全日志信息生成模块，用于根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息；

安全信息分享模块，用于将生成的所述安全日志信息上传到安全日志共享平台，其中，所述安全日志共享平台用于分类汇总上传的所述安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行所述多种事件类别的入侵事件信息的推送；

事件信息接收模块，用于接收所述安全日志共享平台推送的至少一种事件类别的所述入侵事件信息；及

联合决策模块，用于以接收的所述入侵事件信息为线索信息生成联合防御策略。
根据权利要求11所述的装置，其特征在于，所述联合决策模块，还用于将安全设备自身生成的所述安全日志信息和接收的所述入侵事件信息进行事件关联，生成联合安全日志信息；根据所述联合安全日志信息生成联合防御策略，并执行所述联合防御策略以进行入侵事件检测和入侵事件防御。
一种服务器，包括存储器和处理器，所述存储器中存储有计算机可执行指令，所述指令被所述处理器执行时，使得所述处理器执行以下步骤：

获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；

将所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；

获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；及

将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。
根据权利要求13所述的服务器，其特征在于，所述处理器还执行以下步骤：将获取的多个所述安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个所述安全设备均可识别的日志格式。
根据权利要求13或14所述的服务器，其特征在于，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联；

所述处理器还执行以下步骤：

将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。
根据权利要求15所述的服务器，其特征在于，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联；

所述处理器还执行以下步骤：

将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。
一个或多个存储有计算机可执行指令的非易失性可读存储介质，所述指令被一个或多个处理器执行，使得所述一个或多个处理器执行以下步骤：

获取多个安全设备的安全日志信息，其中，所述安全日志信息为所述安全设备在网络/系统环境中获取的违反自身防御策略的入侵事件信息；

将所述安全日志信息所包含的所述入侵事件信息按照预设的入侵事件类型进行分类汇总；

获取预设的每个所述入侵事件类型与安全设备标识之间的对应关系；及

将针对于所述入侵事件类型汇总的所述入侵事件信息推送至具有对应关系的所述安全设备标识所指向的安全设备，以使所述安全设备根据推送的所述入侵事件信息调整所述自身防御策略。
根据权利要求17所述的非易失性可读存储介质，其特征在于，所述处理器还执行以下步骤：将获取的多个所述安全日志信息的日志格式转换成预设日志格式，其中，预设日志格式为多个所述安全设备均可识别的日志格式。
根据权利要求17或18所述的非易失性可读存储介质，其特征在于，所述安全设备包括模糊检测设备和攻击检测设备，所述模糊检测设备用于检测模糊入侵事件，所述攻击检测设备用于检测攻击源信息，所述检测模糊入侵事件与所述攻击检测设备标识关联；

所述处理器还执行以下步骤：

将所述模糊入侵事件信息推送至所述攻击检测设备，以使所述攻击检测设备根据所述模糊入侵事件信息生成攻击源联合检测策略，所述攻击检测设备根据所述攻击源联合检测策略检测攻击源信息。
根据权利要求19所述的非易失性可读存储介质，其特征在于，所述安全设备还包括攻击防御设备，所述攻击源信息与所述攻击防御设备标识关联；

所述处理器还执行以下步骤：

将所述攻击源信息推送至所述攻击防御设备，以使所述攻击防御设备根据所述攻击源信息生成联合防御策略。
一个或多个存储有计算机可执行指令的非易失性可读存储介质，所述指令被一个或多个处理器执行，使得所述一个或多个处理器执行以下步骤：

根据自身防御策略对网络/系统环境中的网络/系统状态信息和用户行为信息进行检测，生成安全日志信息；

将生成的所述安全日志信息上传到安全日志共享平台，其中，所述安全日志共享平台用于分类汇总上传的所述安全日志信息，生成多种事件类别的入侵事件信息，并按照设定规则进行所述多种事件类别的入侵事件信息的推送；

接收所述安全日志共享平台推送的至少一种事件类别的所述入侵事件信息；及

以接收的所述入侵事件信息为线索信息生成联合防御策略。
根据权利要求21所述的非易失性可读存储介质，其特征在于，所述处理器执行的所述接收的所述入侵事件信息为线索信息生成联合防御策略，包括：

将安全设备自身生成的所述安全日志信息和接收的所述入侵事件信息进行事件关联，生成联合安全日志信息；

根据所述联合安全日志信息生成联合防御策略，并执行所述联合防御策略以进行入侵事件检测和入侵事件防御。