CN109587174A - 用于网络防护的协同防御方法和系统 - Google Patents

Abstract

一种用于网络防护的协同防御方法及系统，该系统包括决策与部署层、以及协同与监控层；决策与部署层利用获取到的网络安全预警事件，根据网络安全的防御目的和网络安全现状制定防御意图，而后由决策引擎产生网络防御策略，并根据防御策略部署防御任务；协同与监控层包括控制中心和网络安全设备，实现网络安全设备间的协同任务部署和网络防御情况的实时监控；控制中心与决策与部署层、网络安全设备通信连接，进行数据流控制和逻辑控制；控制中心包括协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块。本发明给出以安全感知、协同防护、集中管理为核心的协同防御解决方案，实现了主动、综合、全面的动态安全防护体系。

Description

用于网络防护的协同防御方法和系统

技术领域

本发明涉及网络安全防护技术，特别是一种用于网络防护的协同防御方法和系统。

背景技术

近年来网络业务的飞速发展，使网络安全形势呈现出如下一些特点。主要表现在：1.安全漏洞数量持续快速增长。由于网络协议、操作系统、应用软件本身高度复杂，以及用户技术水平参差不齐，导致网络及主机系统中存在不可避免的各种安全漏洞。漏洞的存在是各种安全威胁存在的主要根源，当前系统安全问题之所以呈愈演愈烈之势，最根本的原因就在于漏洞的存在不能完全避免，并且漏洞呈现出越来越多、越来越严重的趋势。2.攻击节奏加快，危害度增强。早期的网络攻击是一门复杂的技术，黑客也都是具有深厚技术积累的网络高手，然而，随着各种自动化攻击工具堂而皇之地出现在各大站点以供下载，极大地降低了攻击技术的难度。此外，密码破解、反编译、漏洞挖掘与渗透等黑客技术也不断发展，这些情况使得攻击者进行网络攻击的节奏明显加快，从漏洞的发现到漏洞的渗透，所需要的时间间隔越来越短，甚至出现了zer0-day攻击(漏洞公布当天就会出现相应的攻击手段)的现象。3.网络安全事件频发。由于网络及信息系统中安全漏洞的广泛存在、大量黑客工具的存在导致攻击难度的降低，以及利益上的驱动，使得网络上的攻击行为越来越多，导致网络安全事件的发生频率越来越高。

从上面的网络安全现状分析可以看出，由于漏洞的不可避免、攻击难度的降低以及利益的驱动，当前网络安全形势是严重的，攻击的频率、攻击的危害度日益增加。随着信息安全保障被逐渐提升到国家安全的重要层面，可以预见，出于政治、经济、文化方面的需要，信息战将逐渐成为军队、政府、企业组织等关注的热点，这将导致网络攻击技术得到更高层面的提升，网络攻击的危害度将进一步增强。正是由于这些威胁的存在，使得网络与信息安全面临巨大的挑战，需要有相应的安全技术和措施予以解决。

现有的网络运行业务有着明确的分工，在这种业务模式下也导致存在以下问题:

1.信息孤岛效应。由于信息化教育的深度和广度的有待发展，在企业内部普遍在着“重硬轻软，重网络轻数据”的认识误区。企业对设备的更新换代投入较大，但是缺少对信息互通的关注，使信息化系统长期存在无法互通互联的问题，例如其安全防御设备在运行过程中不断产生大量的安全日志和事件，只能为安全运维提供数据支持，对于网络安全决策、资产管理和设备实时监控缺毫无帮助，形成“所谓信息孤岛”效应。

2.被动防御为主的安全现状。当前信息安全建设、安全防护产品的模式都是被动式防护，无论是防火墙、入侵检测还是杀毒系统，通常需要等待安全厂商针对新的攻击进行开发。而当前的网络安全都无法对现在流行的“瞬时攻击”、APT攻击做出防护，网络安全运维人员对于网络的突发事件缺乏主动性的决策和防御机制，缺少网络安全事件的预警，在整个网络安全防御过程中经常处于被动局面，既无法提前做好防御准备，又不能够在安全事件发生时及时处理。常常采用阻断通信，关闭服务等方法完成必要的保护。

3.企业内部网络各安全设备缺乏协同性，无法对安全事件进行追踪及综合分析，有效发挥各安全设备的防护能力，由于企业内部网络中部署了大量的网络安全防护设备，因此网络安全策略的部署必须对安全设备进行整体优化配置，以此来保证网络安全的整体防护能力，长期以来网络安全设备之间存在着大量的安全配置冲突、安全防护缺漏的问题；各种安全设备的防护能力存在不同的差异，充分利用安全设备的特点做好一体化防御是企业目前面临的一个重要问题。

从目前国内外安全研究问题可以看出，当前网络安全的危害程度日益加深，网络渗透入侵手段技术层出不穷，传统的网络安全设备和防御体系已经很难应付当前的网络安全危机，在这种大背景下，传统信息安全防护存在的信息安全孤岛、安全区域性短板、防御的被动性(对未知漏洞防护水平有限)等不足显得尤为突出，亟需借助一体化的协同防御体系，来弥补这些短板。

发明内容

本发明的主要目的在于克服现有技术的不足，提供一种用于网络防护的协同防御方法和系统。

为实现上述目的，本发明采用以下技术方案：

一种用于网络防护的协同防御系统，至少包括决策与部署层、以及协同与监控层；

所述决策与部署层利用获取到的网络安全预警事件，由网络安全的决策者根据网络安全的防御目的和网络安全现状制定防御意图，而后由决策引擎产生网络防御策略，并根据防御策略部署防御任务；

所述协同与监控层包括控制中心和网络安全设备，实现网络安全设备间的协同任务部署和网络防御情况的实时监控；其中所述控制中心与所述决策与部署层、所述网络安全设备通信连接，进行实际数据流的控制和逻辑控制；

其中，所述控制中心包括协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块；

所述协同防御策略分析模块分析所述网络安全设备的安全检测情况，当发现网络安全问题时，基于预先建立的用来评估安全级别的模型评估安全，进行网络安全的量化分级，当所述网络安全问题超越预定级别时调动所述网络安全设备协同防御；

所述协同防御策略订阅模块根据所述协同防御策略分析模块的分析结果向所述决策与部署层订阅应对所述网络安全问题的策略；

所述协同防御策略分发模块通过协同控制器来完成协同策略的分发。

进一步地：

所述协同控制器以SSL安全协议对协同策略加密，从而确保其安全地进行分发。

所述网络安全设备包括以下子系统/模块：

协同防火墙，阻挡与切断含有安全威胁的连接；

协同电子取证模块，实施网络访问的电子身份认证，并进行电子身份的取证；

行为管理系统，进行DMZ去流量控制与上网行为审计；

协同入侵检测模块，检测和反馈网络信息运行与交互的情况，进行异常数据检测与阻断，以及报警；

移动办公管理模块，进行远程或移动VPN接入办公的用户管理。

所述网络安全设备还包括：强安全审计系统，所述强安全审计系统分别与协同防火墙、协同电子取证模块、行为管理系统、协同入侵检测模块、移动办公管理模块通信连接并与之协作，进行目标操作，供审计管理人员进行设备与服务器执行增加、修改和查询等操作记录，以及进行管理人员身份鉴别，提供最终的安全结果。

所述网络安全设备还包括安全伪装子系统，所述安全伪装子系统增加不被外界侵扰的难度等级，与协同入侵检测模块共同发挥作用。

所述网络安全设备还包括安全恢复子系统，所述安全恢复子系统和电子取证子系统在攻击与入侵行为实现后启动，恢复文件与系统和记录侵入系统。

所述协同防火墙、所述行为管理系统、所述协同入侵检测模块、以及所述移动办公管理模块均以双机热备的方式部署。

采用分布式安全机制以确保协同防御的防御效果，所述分布式安全机制包括分布式协同机制、主动协同管理机制、数据安全传输机制和防御策略实现机制。

所述分布式协同机制通过子系统协作性工作，实现子系统之间相关数据的共享与传递；

所述主动协同管理机制以节点为核心，利用发挥检测作用的节点搜集与反馈的信息进行基本评估，实现协同防御，当一个节点发现不安全信息或异常攻击行为时，发挥检测作用的节点及时搜集与反馈的信息，当接受不安全信息或异常攻击行为的节点不能识别不安全信息或异常攻击行为时，根据其他的检测不安全信息或异常攻击行为的节点汇总所有的不安全信息或异常攻击行为；

所述数据安全传输机制使用SSL实现域网各个应用层的通信认证、数据保密，保障网络系统的安全；

所述防御策略实现机制实现网络防御任务的下达和执行，其协同策略基于如下字段：

<DOMAIN>，<TARGET>，<TYPE>，<EVENT>，<LEVEL>，<ACT>，<OBJECT>；其中：

<DOMAIN>划分策略适用范围，即适用于域内或域间；

<TARGET>确定防御策略的防御目标，包括预先设定的防御目标和自定义的防御目标；

<TYPE>确定防御策略的防御类型，包括入侵或响应；

<EVENT>确定防御策略防御的具体事件；

<LEVEL>确定防御策略的防御等级；

<ACT>确定防御策略需要执行的操作。

<OBJECT>确定防御策略的具体应用对象，包括IDS、防火墙。

一种用于网络防护的协同防御方法，其特征在于,使用如权利要求1至9任一项所述的用于网络防护的协同防御系统进行网络安全防护的协同防御

本发明具有如下有益效果：

针对传统的网络安全设备和防御体系在信息安全防护上存在的信息安全孤岛、安全区域性短板、防御的被动性(对未知漏洞防护水平有限)等不足，本发明提供了一种一体化的协同防御系统和方法，给出以安全感知、协同防护、集中管理为核心的协同防御解决方案，实现主动、综合、全面的动态安全防护体系。本发明的控制中心采用协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块，结合决策与部署层提供的防御策略部署，并控制网络安全设备执行协同和部署，使网络安全设备可以改变以往孤立运行的局面，促使网络防御设备由原有的“信息孤岛”变成信息联动，对网络中的信息设备实施监控可以有效的获取网络防御的效果，对网络防御的结果做出有效的评价和判断，有利于网络防御的深入分析。通过本发明，可以整合信息网络平台，实现多源数据的融合，在大数据的环境背景下实现多源信息的充分利用，为网络安全提供有力的支撑。本发明能够实现网络安全的态势感知和预警的功能，改变了以往的被动防御的局面，通过对网络安全数据分析可以做到对安全事件的提前掌控，为网络安全方案提供可靠地数据依据。本发明提供自动化决策，使自动化防御成为可能，管理人员可以从防御意图出发对网络中的网络安全设备实现全方位的部署，实现网络安全的全局部署和优化。

由本发明实施例所构建的协同系统防御体系呈现出自治性、协同性、实时性、动态性四个特点。

(1)自治性：主要体现在两点：第一，各个安全子系统的存在与运行都是自治的，不因为某一个子系统的破损，而不能发挥其自身作用。第二，计算机个体具有一定的独立性，在安全防御体系中各司其职，某个个体的损坏不会引起安全防御体系的坏损。

(2)协同性：各个安全子系统都是协同性的存在与运行，同一级别的子系统，不同级别的系统要素均需在协同机制与协同规则的规范下，松散性或耦合性的协同工作，从而最大限度的发挥作用。

(3)实时性：各个安全子系统均实时性的进行检测、反馈、恢复工作，在一定时间限度内快速响应，并且能够灵活的记录运行过程与运行信息，能够在短时间内进行基本的恢复。

(4)动态性：计算机个体具有一定的智能性，根据计算机的智能计量功能，实现计算机复合的计算，这样可以快速、即时、动态的调节计算及运行任务与运行配置。表1给出了本发明的协同安全防御与其他松散安全策略在性能上的对比。

附图说明

图1为本发明一种实施例的用于网络防护的协同防御系统结构框图；

图2为本发明一种实施例中的协同与监控层各网络安全设备架构图；

图3为本发明一种实施例中的决策与部署层采用的决策引擎的模块结构图。

具体实施方式

以下对本发明的实施方式作详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

参阅图1，在一种实施例中，用于网络防护的协同防御系统包括决策与部署层以及协同与监控层。

所述决策与部署层利用获取到的网络安全预警事件，由网络安全的决策者根据网络安全的防御目的和网络安全现状制定防御意图，而后由决策引擎产生网络防御方案，并根据防御方案部署防御任务。

所述协同与监控层包括控制中心和网络安全设备，实现网络安全设备间的协同任务部署和网络防御情况的实时监控。

所述控制中心与所述决策与部署层和所述网络安全设备通信连接，实现实际数据流的控制和逻辑控制。

所述控制中心包括协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块。

协同防御策略分析模块：分析协同入侵检测模块提交的安全检测；当发现一体化网络的安全问题时，基于预先建立的用来评估安全级别的模型评估安全，进行网络安全的量化分级；当网络安全问题超越预定级别时，自动地调动网络安全协同防御系统，进行各节点、各系统、各层次之间的协同防御；反之，当网络安全问题未超越预定级别时，对该安全问题不作处理。

协同防御策略订阅模块：根据协同防御策略分析模块的分析结果自动地判断需要向决策和部署层订阅应对网络安全问题的策略，以自动地调动各系统进行防御与控制工作。

协同防御策略分发模块：通过协同控制器来完成协同策略的分发。协同控制器可以SSL等安全协议对协同策略加密，从而确保其安全地进行分发。

所述网络安全设备包括协同防火墙、协同电子取证模块、行为管理系统、协同入侵检测模块、移动办公管理模块以及强安全审计系统。其具体的体系架构如图2所示。在一定的协议与规则的规范下，协同防御系统通过控制中心、协同防火墙、协同电子取证模块、行为管理系统、协同入侵检测模块、移动办公管理模块以及强安全审计系统，实现各网络安全设备(子系统)间的协同任务部署，相互合作、协调，同步、及时的运作，实现网络防护的协同，完成网络安全的工作。

协同防火墙，阻挡与切断含有安全威胁的连接。优选以双机热备的方式部署协同防火墙。

协同电子取证模块，实施网络访问的电子身份认证，并完成电子身份的取证工作。

行为管理系统，用于提供DMZ去流量控制与上网行为审计之用。通过行为管理系统，可以解决业务系统的带宽拥挤以及行为审计的问题。优选以双机热备的方式部署行为管理系统，

协同入侵检测模块，用于提供异常数据检测与阻断，通过入侵检测系统可以解决攻击者的攻击以及异常数据的报警，做到及时阻断的作用。优选以双机热备的方式部署协同入侵检测模块。

移动办公管理模块，用于提供远程或移动VPN接入办公的用户管理。优选以双机热备的方式部署。

强安全审计系统，分别与协同防火墙、协同电子取证模块、行为管理系统、协同入侵检测模块、移动办公管理模块通信连接。通过强安全审计系统进行目标系统的操作，供审计管理人员进行设备与服务器执行增加、修改和查询等操作记录，同时，强安全审计系统可采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

强安全审计子系统与其他所有的系统协作，提供最终的安全结果。

该系统的控制防御作用在强安全审计系统启动(存在)或未启动(未存在)时，实现各系统要素之间协调、合作与同步的逻辑控制关系。

协同与监控层还可以包括安全伪装子系统，增加不被外界侵扰的难度等级，与协同入侵检测模块共同发挥作用。协同入侵检测模块用于检测和反馈网络信息运行与交互的情况。协同与监控层还可以包括安全恢复子系统，安全恢复子系统和电子取证子系统可在攻击与入侵行为实现后启动，用于恢复文件与系统和记录侵入系统。

当入侵者发出入侵与攻击行为时，协同入侵检测模块第一时间反应攻击信息，强安全审计子系统同步得出安全状态报告，电子取证子系统亦对相关内容进行电子记录。随即，在必要时安全伪装子系统运行。当造成破坏时，安全恢复子系统发挥作用，利用区域联盟的计算机备份资料恢复资料与系统。

控制中心与上述系统和模块均通信连接，实现实际数据流的控制和逻辑控制，同时，控制中心可以从决策与部署层获得防御任务。

网络安全系统防御体系还可根据要求进行必要的扩展与简化，以减少系统的冗余。

各网络安全设备的网络防御方式的具体举例描述如下。

身份认证：用户名口令、身份识别、PKI证书和生物认证等，用来确定用户或者设备身份的合法性。

加解密：典型的加密体制可采用对称加密和非对称加密，用来在传输过程或存储过程中进行信息数据的加解密。

边界防护：典型的设备有防火墙和入侵检测设备。

防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内部网络操作环境的特殊网络互连设备。

访问控制：保证网络资源不被非法使用和访问。访问控制是网络安全防范和保护的主要核心策略，规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以权限控制。

主机加固：操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息网络系统遭受严重的威胁。通过主机加固对操作系统、数据库等进行漏洞加固和保护。

安全审计技术：包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为审计，确认行为的合规性，确保管理的安全。

检测监控技术：对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制，避免网络流量的滥用、垃圾信息和有害信息的传播。

在优选的实施例中，为保证系统协同防御的成功运行，系统采用分布式安全机制以确保协同防御的防御效果，分布式安全机制包括分布式协同机制、主动协同管理机制、数据安全传输机制和防御策略实现机制。另外，该体系优选采用Agent技术，用以增强和保障体系运行的机动性与智能化。

分布式协同机制在整个的网络安全防御系统中处于最为基础的地位。分布式协同机制通过所有的子系统(AS)协作性工作最终实现工作过程。将分布式协同机制设置在网络安全防御系统，实现子系统(AS)之间实现相关数据的共享与传递，增加信息监测的系统性与完整性。系统功能的安全实现机制需要子系统各自在系统内部进行安全问题的整理与收集，之后将所有的整理与收集的安全信息统一格式后一一传递。其他子系统采用数据融合的方法处理接收到的入侵信息，从而获得更为精准的全局网络攻击信息。通过对不同安全事件在时间上和空间上的信息依赖关系及安全部件在防御功能上的互补性进行深度分析，数据融合实现了将多个安全事件消息融合成对应于一个特征分类的消息，这不仅提高了分析的准确性，而且提高了检测组件的处理效率。

主动协同管理机制以节点为核心，利用其他的发挥检测作用的节点搜集与反馈的信息进行基本评估，最终实现整个系统的协同防御，一个节点发现不安全信息或异常攻击行为时，发挥检测作用的节点及时的搜集与反馈的信息，当接受不安全信息或异常攻击行为的节点不能很好的识别不安全信息或异常攻击行为时，需要根据其他的检测不安全信息或异常攻击行为的节点汇总所有的不安全信息或异常攻击行为。

数据安全传输机制可使用SSL实现域网各个应用层的通信认证、数据保密等，最终保障整个网络系统的安全。其中，openSSL提供的开发库，保障系统中形成客户端和服务器的TCP连接。建立TCP连接后，安全握手连接形成了交互身份认证。SSL_write用于TCP层数据发送。SSL_read解密TCP层数据。因此，最终实现了整个网络安全协同防御体系所有的功能模块之间的信息与数据的传输。

防御策略实现主要用于实现网络防御任务的下达、执行，考虑到网络攻击的多样性，协同策略基于如下字段内容实现：

<DOMAIN>，<TARGET>，<TYPE>，<EVENT>，<LEVEL>，<ACT>，<OBJECT>。

其中：

<DOMAIN>划分策略适用范围，即适用于域内或域间。

<TARGET>确定防御策略的防御目标，包括预先设定的防御目标和自定义的防御目标。

<TYPE>确定防御策略的防御类型，包括入侵或响应等。

<EVENT>确定防御策略防御的具体事件，如TCPFlood等。

<LEVEL>确定防御策略的防御等级。

<ACT>确定防御策略需要执行的操作，例如，检测、修复等。

<OBJECT>确定防御策略的具体应用对象，包括IDS、防火墙等。防御策略的实现机制有基于服务的协同策略：根据入侵检测子系统等模块得出的对网络用户行为的检测结果，对可疑的行为采取实时通知。

本发明实施例的协同防御体系呈现出自治性、协同性、实时性、动态性四个特点。

(1)自治性：主要体现在两点：第一，各个安全子系统的存在与运行都是自治的，不因为某一个子系统的破损，而不能发挥其自身作用。第二，计算机个体具有一定的独立性，在安全防御体系中各司其职，某个个体的损坏不会引起安全防御体系的坏损。

(2)协同性：各个安全子系统都是协同性的存在与运行，同一级别的子系统，不同级别的系统要素均需在协同机制与协同规则的规范下，松散性或耦合性的协同工作，从而最大限度的发挥作用。

(3)实时性：各个安全子系统均实时性的进行检测、反馈、恢复工作，在一定时间限度内快速响应，并且能够灵活的记录运行过程与运行信息，能够在短时间内进行基本的恢复。

(4)动态性：计算机个体具有一定的智能性，根据计算机的智能计量功能，实现计算机复合的计算，这样可以快速、即时、动态的调节计算及运行任务与运行配置。

表1给出了本文设计的协同安全防御与其他松散安全策略在性能上的对比。

表1本发明实施例提供的协同防御与松散策略比较

在另一些实施例中，所述决策与部署层具有决策引擎，其可包括策略描述语言解释器、防御策略信息库和防御策略引擎。按照形式化描述语言生成策略描述文件。

策略描述语言解释器按照可语言语法格式所写的语句，将参数传递到策略引擎中，具体包括对实体、角色、协调者、防御机制、活动、上下文这些实体语句的识别，以及防御策略语句的识别等。根据给定的模型描述语言BNF范式，实现防御模型描述语言的词法分析程序和语法分析程序。

防御策略信息库进行防御策略信息的存储。为了防御设手段的可扩展性，对防御策略信息进行独立的存储。策略引擎负责网络模型描述语言的语义分析。根据上述设计，防御模型描述语言包括实体、角色、协调者、活动、防御机制、上下文这些实体语句和策略语句。实体语句需要在防御策略信息库中提取相关信息，并辅助策略的描述和转化，策略语句则是实现模型到策略转化的核心。

防御策略引擎完成两部分任务：一是从防御策略信息库中获取相关信息；二是借助防御策略信息库从防御模型中抽取出防御策略。

如图3所示，防御策略引擎优选包括三个模块：网络拓扑处理模块、策略处理模块和防御任务获取模块三部分。这三个模块还可分别包含各自的子模块。网络拓扑处理模块包含了抽取节点属性子模块和抽取节点间联系子模块；策略处理模块分为了抽取节点策略和抽取服务策略两个子模块；防御任务获取模块中包含了确定保护对象、生成事件场景、确定操作实体和确定操作规则四个子模块。

网络拓扑处理模块从网络拓扑描述文本中提取相关的拓扑信息；策略处理模块从防御策略描述文件中将有关策略信息提取并存储到相关对象中；防御任务获取模块进行具体防御策略向防御任务的转换工作，其形式化表述下列公式所示。

其中，Po代表上层所输入的策略描述，s代表服务类型，e代表节点类型，co代表可能发生的上下文，b代表相应的服务和上下文所需要采用的防御机制，组成了服务型策略，组成了节点型策略；To代表拓扑描述，N是节点集，C与；节点n和域c分别是集合N和C的元素；节点n中包含若干元素，name代表节点的名字，id是节点的唯一标识，cid是节点所在域的标识，v代表漏洞信息，u代表节点的用户信息，f为文件信息，acl为节点上的访问控制列表信息；域c同样包含若干属于域的信息，cname代表域的名字，cid是域的唯一标识，ch代表域首信息，ns代表域所包含的节点集；M代表所要生成的防御任务，防御任务的包含保护措施、检测措施、响应措施、恢复和抗衰措施；po、to、m分别为Po、To、M的一个子集；最后的推导函数Transfer()中包含两个参数，分别为po和to，经过函数的变换最终得出生成的仿真措施m。在网络拓扑描述的信息提取过程当中，将每个节点的属性信息及节点间关系进行抽取，抽取出拓扑信息。基于拓扑和策略信息，防御任务获取模块把二者的信息进行结合，形成防御任务所需的保护对象、操作实体以及操作规则，最终整合成防御防御任务的文本描述，转给下层继续进行部署操作。

该系统运用了XSB推理引擎，该引擎是一种基于Prolog语言的逆向推理引擎，可通过将用户所提供的事实(网络的实际拓扑描述)和已存在的推理规则(攻击知识库)以谓词形式输入XSB，然后通过查询谓词的输入，推理得到所需的结果。其中，事件场景是由网络中节点本身所存在的一些漏洞，以及网络中可能发生的事件，而导致系统无法正常提供关键服务的一种假想场景。生成事件场景是提前预防网络攻击以及事故、故障所造成的威胁的有效手段之一，根据生成的事件场景，在网络中的关键节点上部署相关措施，可以有效的增强系统的防御能力，使整个拓扑的防御增强。因此，本系统运用了攻击路径自动生成的技术方法，实现了生成事件场景模块，进而推导出网络中的关键节点，并最终得出防御部署任务。

以上内容是结合具体/优选的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，其还可以对这些已描述的实施方式做出若干替代或变型，而这些替代或变型方式都应当视为属于本发明的保护范围。

Claims (10)

1.一种用于网络防护的协同防御系统，其特征在于,至少包括决策与部署层、以及协同与监控层；

所述决策与部署层利用获取到的网络安全预警事件，由网络安全的决策者根据网络安全的防御目的和网络安全现状制定防御意图，而后由决策引擎产生网络防御策略，并根据防御策略部署防御任务；

所述协同与监控层包括控制中心和网络安全设备，实现网络安全设备间的协同任务部署和网络防御情况的实时监控；其中所述控制中心与所述决策与部署层、所述网络安全设备通信连接，进行实际数据流的控制和逻辑控制；

其中，所述控制中心包括协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块；

所述协同防御策略分析模块分析所述网络安全设备的安全检测情况，当发现网络安全问题时，基于预先建立的用来评估安全级别的模型评估安全，进行网络安全的量化分级，当所述网络安全问题超越预定级别时调动所述网络安全设备协同防御；

所述协同防御策略订阅模块根据所述协同防御策略分析模块的分析结果向所述决策与部署层订阅应对所述网络安全问题的策略；

所述协同防御策略分发模块通过协同控制器来完成协同策略的分发。

2.如权利要求1所述的用于网络防护的协同防御系统，其特征在于,所述协同控制器以SSL安全协议对协同策略加密，从而确保其安全地进行分发。

3.如权利要求1所述的用于网络防护的协同防御系统，其特征在于,所述网络安全设备包括以下子系统/模块：

协同防火墙，阻挡与切断含有安全威胁的连接；

协同电子取证模块，实施网络访问的电子身份认证，并进行电子身份的取证；

行为管理系统，进行DMZ去流量控制与上网行为审计；

协同入侵检测模块，检测和反馈网络信息运行与交互的情况，进行异常数据检测与阻断，以及报警；

移动办公管理模块，进行远程或移动VPN接入办公的用户管理。

4.如权利要求3所述的用于网络防护的协同防御系统，其特征在于,所述网络安全设备还包括：强安全审计系统，所述强安全审计系统分别与协同防火墙、协同电子取证模块、行为管理系统、协同入侵检测模块、移动办公管理模块通信连接并与之协作，进行目标操作，供审计管理人员进行设备与服务器执行增加、修改和查询等操作记录，以及进行管理人员身份鉴别，提供最终的安全结果。

5.如权利要求3或4所述的用于网络防护的协同防御系统，其特征在于,所述网络安全设备还包括安全伪装子系统，所述安全伪装子系统增加不被外界侵扰的难度等级，与协同入侵检测模块共同发挥作用。

6.如权利要求3至5任一项所述的用于网络防护的协同防御系统，其特征在于,所述网络安全设备还包括安全恢复子系统，所述安全恢复子系统和电子取证子系统在攻击与入侵行为实现后启动，恢复文件与系统和记录侵入系统。

7.如权利要求3至6任一项所述的用于网络防护的协同防御系统，其特征在于,所述协同防火墙、所述行为管理系统、所述协同入侵检测模块、以及所述移动办公管理模块均以双机热备的方式部署。

8.如权利要求1至7任一项所述的用于网络防护的协同防御系统，其特征在于,采用分布式安全机制以确保协同防御的防御效果，所述分布式安全机制包括分布式协同机制、主动协同管理机制、数据安全传输机制和防御策略实现机制。

9.如权利要求8所述的用于网络防护的协同防御系统，其特征在于,

所述分布式协同机制通过子系统协作性工作，实现子系统之间相关数据的共享与传递；

所述主动协同管理机制以节点为核心，利用发挥检测作用的节点搜集与反馈的信息进行基本评估，实现协同防御，当一个节点发现不安全信息或异常攻击行为时，发挥检测作用的节点及时搜集与反馈的信息，当接受不安全信息或异常攻击行为的节点不能识别不安全信息或异常攻击行为时，根据其他的检测不安全信息或异常攻击行为的节点汇总所有的不安全信息或异常攻击行为；

所述数据安全传输机制使用SSL实现域网各个应用层的通信认证、数据保密，保障网络系统的安全；

所述防御策略实现机制实现网络防御任务的下达和执行，其协同策略基于如下字段：

<DOMAIN>，<TARGET>，<TYPE>，<EVENT>，<LEVEL>，<ACT>，<OBJECT>；其中：

<DOMAIN>划分策略适用范围，即适用于域内或域间；

<TARGET>确定防御策略的防御目标，包括预先设定的防御目标和自定义的防御目标；

<TYPE>确定防御策略的防御类型，包括入侵或响应；

<EVENT>确定防御策略防御的具体事件；

<LEVEL>确定防御策略的防御等级；

<ACT>确定防御策略需要执行的操作。

<OBJECT>确定防御策略的具体应用对象，包括IDS、防火墙。

10.一种用于网络防护的协同防御方法，其特征在于,使用如权利要求1至9任一项所述的用于网络防护的协同防御系统进行网络安全防护的协同防御。