本發(fā)明實施例涉及互聯(lián)網(wǎng)技術(shù)，尤其涉及一種網(wǎng)絡(luò)安全防護(hù)方法和裝置。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)病毒、攻擊、黑客等技術(shù)也更加迅猛，病毒變種、攻擊智能化、繁殖化，網(wǎng)絡(luò)安全的維護(hù)顯得尤為重要。

圖1為常規(guī)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)示意圖，如圖1所示，針對當(dāng)前的網(wǎng)絡(luò)攻擊和病毒木馬的繁衍，大部分企業(yè)會在網(wǎng)絡(luò)層部署防火墻Anti-DDos，入侵檢測系統(tǒng)(英文：Intrusion Detection Systems，簡稱：IDS)，入侵防御系統(tǒng)(英文：Intrusion Prevention System，簡稱：IPS)以及防火墻對其進(jìn)行檢測和攔截；而在應(yīng)用層會有web應(yīng)用防御系統(tǒng)(英文：Web Application Firewall，簡稱：WAF)，主機(jī)入侵防御系統(tǒng)(英文：Host-based Intrusion Prevention System，簡稱：HIPS)，對Webshell，病毒木馬，rootkit進(jìn)行檢測和防御，對服務(wù)器的攻擊進(jìn)行攔截處理，單一特征的網(wǎng)絡(luò)攻擊就由相應(yīng)檢測和防御功能的防御系統(tǒng)去完成檢測和攔截。

然而，上面提供的安全防護(hù)系統(tǒng)中，各個防御系統(tǒng)單一作戰(zhàn)不能有效跟上層或者相鄰的防御系統(tǒng)進(jìn)行有效交流，不能及時更新檢測特征來進(jìn)行防御攔截動作，網(wǎng)絡(luò)攻擊突破單點防御系統(tǒng)后，導(dǎo)致另外的防御系統(tǒng)的防御壓力大大增大，攻擊流量的無限放大，容易造成多個單節(jié)點的防御系統(tǒng)失效，租戶面臨很大的安全威脅。

技術(shù)實現(xiàn)要素：

本申請?zhí)峁┮环N網(wǎng)絡(luò)安全防護(hù)方法和裝置，用于解決各個防御系統(tǒng)單一作戰(zhàn)不能有效跟上層或者相鄰的防御系統(tǒng)進(jìn)行有效交流，不能及時更新檢測特征來進(jìn)行防御攔截動作，網(wǎng)絡(luò)攻擊突破單點防御系統(tǒng)后，導(dǎo)致另外的防御系統(tǒng)的防御壓力大大增大，攻擊流量的無限放大，容易造成多個單節(jié)點的防御系統(tǒng)失效，租戶面臨很大的安全威脅的問題。

本申請第一方面提供一種網(wǎng)絡(luò)安全防護(hù)方法，應(yīng)用于第一節(jié)點控制器，第一節(jié)點控制器與多個防御系統(tǒng)連接；方法包括：

接收第一防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，第一防御系統(tǒng)為與第一節(jié)點控制器連接的任一個防御系統(tǒng)；

根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

將檢測和防御規(guī)則發(fā)送至至少一個第二防御系統(tǒng)，以使至少一個第二防御系統(tǒng)根據(jù)檢測和防御規(guī)則檢測和攔截網(wǎng)絡(luò)攻擊；其中，第二防御系統(tǒng)為與第一節(jié)點控制器連接的防御系統(tǒng)。

上述方案提供的網(wǎng)絡(luò)安全防護(hù)方法，設(shè)置節(jié)點控制器連接多個防御系統(tǒng)，每個防御系統(tǒng)可以將檢測到的攻擊的特征數(shù)據(jù)發(fā)送至節(jié)點控制器，節(jié)點控制器生成檢測和防御規(guī)則并分別發(fā)送給該節(jié)點控制器管理的多個防御系統(tǒng)，以實現(xiàn)多個防御系統(tǒng)同時對該攻擊的檢測和防御，提高入侵發(fā)現(xiàn)和防御能力，有效減輕單一防御系統(tǒng)的防御壓力，同時能夠避免單一防御系統(tǒng)局限性，并且防御系統(tǒng)之間的數(shù)據(jù)共享，可以建立全面的安全數(shù)據(jù)中心。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之前進(jìn)行檢測防御的至少一個防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)包括第一防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之后進(jìn)行檢測防御的至少一個防御系統(tǒng)。

一種可能設(shè)計中，根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則，包括：

根據(jù)特征數(shù)據(jù)分析獲取網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測攻擊特征的檢測告警，并定制與攻擊特征對應(yīng)的攔截策略，得到檢測和防御規(guī)則。

一種可能設(shè)計中，方法還包括：

將網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)發(fā)送至管理控制系統(tǒng)，以使管理控制系統(tǒng)根據(jù)特征數(shù)據(jù)確定網(wǎng)絡(luò)攻擊特征、并根據(jù)網(wǎng)絡(luò)攻擊特征建立新的檢測和防御規(guī)則、并將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)管理的包括所述第一節(jié)點控制器的至少一個節(jié)點控制器。

一種可能設(shè)計中，方法還包括：

將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)，以使管理控制系統(tǒng)將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)管理的除了所述第一節(jié)點控制器以外的至少一個節(jié)點控制器。

本申請第二方面提供一種網(wǎng)絡(luò)安全防護(hù)方法，應(yīng)用于第一節(jié)點控制器，第一節(jié)點控制器與多個防御系統(tǒng)連接；方法包括：

接收第一防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，第一防御系統(tǒng)為與第一節(jié)點控制器連接的任一個防御系統(tǒng)；

根據(jù)網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

將檢測和防御規(guī)則通過管理控制系統(tǒng)發(fā)送至管理控制系統(tǒng)管理的至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。

一種可能設(shè)計中，所述至少一個節(jié)點控制包括除了所述第一節(jié)點控制器意外的一個或多個節(jié)點控制器。

該方案中，節(jié)點控制器連接多個防御系統(tǒng)，每個管理控制系統(tǒng)可控制管理多個節(jié)點控制器，每個防御系統(tǒng)可以將檢測到的攻擊的特征數(shù)據(jù)發(fā)送至節(jié)點控制器，節(jié)點控制器生成檢測和防御規(guī)則并發(fā)送至管理控制系統(tǒng)，或者節(jié)點控制器將接收到的特征數(shù)據(jù)直接發(fā)送給管理控制系統(tǒng)，通過管理控制器將檢測和防御規(guī)則發(fā)送至其他節(jié)點控制器，以使其他節(jié)點控制器對連接的防御系統(tǒng)進(jìn)行檢測和防御規(guī)則的更新，以實現(xiàn)防御系統(tǒng)之間的數(shù)據(jù)共享，大大提高我們的入侵發(fā)現(xiàn)和防御能力,構(gòu)建業(yè)界最有競爭力的防御體系。還可以建立全面的安全數(shù)據(jù)中心。

一種可能設(shè)計中，根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則，包括：

根據(jù)特征數(shù)據(jù)分析獲取網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測攻擊特征的檢測告警，并定制與攻擊特征對應(yīng)的攔截策略，得到檢測和防御規(guī)則。

一種可能設(shè)計中，將檢測和防御規(guī)則發(fā)送至至少一個第二防御系統(tǒng)，以使至少一個第二防御系統(tǒng)根據(jù)檢測和防御規(guī)則檢測和攔截網(wǎng)絡(luò)攻擊；其中，第二防御系統(tǒng)為與第一節(jié)點控制器連接的防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之前進(jìn)行檢測防御的至少一個防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)包括第一防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之后進(jìn)行檢測防御的至少一個防御系統(tǒng)。

一種可能設(shè)計中，將網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)發(fā)送至管理控制系統(tǒng)，以使管理控制系統(tǒng)根據(jù)特征數(shù)據(jù)確定網(wǎng)絡(luò)攻擊特征、并根據(jù)網(wǎng)絡(luò)攻擊特征建立新的檢測和防御規(guī)則、并將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)管理的至少一個節(jié)點控制器。本方案中，該至少一個節(jié)點控制器可以包括第一節(jié)點控制器。

本申請第三方面提供一種網(wǎng)絡(luò)安全防護(hù)方法，應(yīng)用于管理控制系統(tǒng)，管理控制系統(tǒng)用于管理多個節(jié)點控制器；方法包括：

接收第一節(jié)點控制器發(fā)送的檢測和防御規(guī)則，檢測和防御規(guī)則為第一節(jié)點控制器根據(jù)檢測到的新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立的規(guī)則，第一節(jié)點控制器為管理控制系統(tǒng)管理的任一個節(jié)點控制器；

將檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。

一種可能設(shè)計中，所述至少一個節(jié)點控制器包括除了所述第一節(jié)點控制器以外的一個或者多個節(jié)點控制器。

一種可能設(shè)計中，方法還包括：

接收并存儲第一節(jié)點控制器發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)。

一種可能設(shè)計中，方法還包括：

根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則，并將新的檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。本方案中，一種可能設(shè)計中，發(fā)送管理控制系統(tǒng)根據(jù)數(shù)據(jù)特征建立的新的檢測和防御規(guī)則的至少一個節(jié)點控制器可以包括第一節(jié)點控制器。

一種可能設(shè)計中，至少一個節(jié)點控制器可以包括第一節(jié)點控制器，也可以包括除了第一節(jié)點控制器之外的其他控制器。

本申請第四方面提供一種網(wǎng)絡(luò)安全防護(hù)方法，應(yīng)用于管理控制系統(tǒng)，管理控制系統(tǒng)用于管理多個節(jié)點控制器；方法包括：

接收第一節(jié)點控制器發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，第一節(jié)點控制器為管理控制系統(tǒng)管理的任一個節(jié)點控制器；

根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

將檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。

一種可能設(shè)計中，所述至少一個節(jié)點控制器包括第一節(jié)點控制器。

一種可能設(shè)計中，根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則，包括：

根據(jù)特征數(shù)據(jù)分析獲取網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測攻擊特征的檢測告警，并定制與攻擊特征對應(yīng)的攔截策略，得到檢測和防御規(guī)則。

一種可能設(shè)計中，方法還包括：

接收第一節(jié)點控制器發(fā)送的檢測和防御規(guī)則，檢測和防御規(guī)則為第一節(jié)點控制器根據(jù)檢測到的新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立的規(guī)則，第一節(jié)點控制器為管理控制系統(tǒng)管理的任一個節(jié)點控制器；

將檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。

本方案中，管理控制系統(tǒng)發(fā)送從第一節(jié)點控制器接收來的檢測和防御規(guī)則的至少一個節(jié)點控制器可不包括第一節(jié)點控制器，即是除了第一節(jié)點控制器之外的一個或多個節(jié)點控制器。

本申請第五方面提供一種網(wǎng)絡(luò)安全防護(hù)方法，應(yīng)用于第二節(jié)點控制器，所述第二節(jié)點控制器與多個防御系統(tǒng)連接，所述方法包括：

接收管理控制系統(tǒng)發(fā)送的檢測和防御規(guī)則；

將檢測和防御規(guī)則下發(fā)至對應(yīng)的防御系統(tǒng)進(jìn)行規(guī)則的更新。

本申請第六方面提供一種節(jié)點控制器，所述節(jié)點控制器與多個防御系統(tǒng)連接；所述節(jié)點控制器包括：

接收模塊，用于接收第一防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，所述第一防御系統(tǒng)為與所述節(jié)點控制器連接的任一個防御系統(tǒng)；

處理模塊，用于根據(jù)所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

發(fā)送模塊，用于將所述檢測和防御規(guī)則發(fā)送至至少一個第二防御系統(tǒng)，以使所述至少一個第二防御系統(tǒng)根據(jù)所述檢測和防御規(guī)則檢測和攔截所述網(wǎng)絡(luò)攻擊；其中，第二防御系統(tǒng)為與所述節(jié)點控制器連接的防御系統(tǒng)。

一種可能設(shè)計中，所述發(fā)送模塊發(fā)送檢測和防御規(guī)則的所述至少一個第二防御系統(tǒng)為在所述第一防御系統(tǒng)之前進(jìn)行檢測防御的至少一個防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)包括第一防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之后進(jìn)行檢測防御的至少一個防御系統(tǒng)。

一種可能設(shè)計中，所述處理模塊具體用于：

根據(jù)所述特征數(shù)據(jù)分析獲取所述網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測所述攻擊特征的檢測告警，并定制與所述攻擊特征對應(yīng)的攔截策略，得到所述檢測和防御規(guī)則。

一種可能設(shè)計中，所述發(fā)送模塊還用于：

將所述網(wǎng)絡(luò)攻擊的所述特征數(shù)據(jù)發(fā)送至管理控制系統(tǒng)，以使所述管理控制系統(tǒng)根據(jù)所述特征數(shù)據(jù)確定網(wǎng)絡(luò)攻擊特征、并根據(jù)所述網(wǎng)絡(luò)攻擊特征建立新的檢測和防御規(guī)則、并將所述檢測和防御規(guī)則發(fā)送至所述管理控制系統(tǒng)管理的包括所述第一節(jié)點控制器的至少一個節(jié)點控制器。

一種可能設(shè)計中，所述發(fā)送模塊還用于：

將所述檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)，以使所述管理控制系統(tǒng)將所述檢測和防御規(guī)則發(fā)送至所述管理控制系統(tǒng)管理的除了所述第一節(jié)點控制器以外的至少一個節(jié)點控制器。

本申請第七方面提供一種節(jié)點控制器，所述節(jié)點控制器與多個防御系統(tǒng)連接；所述節(jié)點控制器包括：

接收模塊，用于接收第一防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，所述第一防御系統(tǒng)為與所述第一節(jié)點控制器連接的任一個防御系統(tǒng)；

處理模塊，用于根據(jù)所述網(wǎng)絡(luò)攻擊的所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

發(fā)送模塊，用于將所述檢測和防御規(guī)則通過所述管理控制系統(tǒng)發(fā)送至所述管理控制系統(tǒng)管理的至少一個節(jié)點控制器，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

一種可能設(shè)計中，所述處理模塊具體用于：

根據(jù)特征數(shù)據(jù)分析獲取網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測攻擊特征的檢測告警，并定制與攻擊特征對應(yīng)的攔截策略，得到檢測和防御規(guī)則。

一種可能設(shè)計中，所述發(fā)送模塊還用于將檢測和防御規(guī)則發(fā)送至至少一個第二防御系統(tǒng)，以使至少一個第二防御系統(tǒng)根據(jù)檢測和防御規(guī)則檢測和攔截網(wǎng)絡(luò)攻擊；其中，第二防御系統(tǒng)為與第一節(jié)點控制器連接的防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之前進(jìn)行檢測防御的至少一個防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)包括第一防御系統(tǒng)。

一種可能設(shè)計中，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之后進(jìn)行檢測防御的至少一個防御系統(tǒng)。

一種可能設(shè)計中，所述發(fā)送模塊還用于將網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)發(fā)送至管理控制系統(tǒng)，以使管理控制系統(tǒng)根據(jù)特征數(shù)據(jù)確定網(wǎng)絡(luò)攻擊特征、并根據(jù)網(wǎng)絡(luò)攻擊特征建立新的檢測和防御規(guī)則、并將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)管理的至少一個節(jié)點控制器。

本申請第八方面提供一種網(wǎng)絡(luò)安全防護(hù)裝置，所述網(wǎng)絡(luò)安全防護(hù)裝置用于管理多個節(jié)點控制器；所述網(wǎng)絡(luò)安全防護(hù)裝置包括：

接收模塊，用于接收第一節(jié)點控制器發(fā)送的檢測和防御規(guī)則，所述檢測和防御規(guī)則為所述第一節(jié)點控制器根據(jù)檢測到的新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立的規(guī)則，所述第一節(jié)點控制器為所述網(wǎng)絡(luò)安全防護(hù)裝置管理的任一個節(jié)點控制器；

發(fā)送模塊，用于將所述檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

一種可能設(shè)計中，所述接收模塊還用于接收并存儲第一節(jié)點控制器發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)。

一種可能設(shè)計中，所述裝置還包括：處理模塊用于根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則，并將新的檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。

一種可能設(shè)計中，至少一個節(jié)點控制器可以包括第一節(jié)點控制器，也可以包括除了第一節(jié)點控制器之外的其他控制器。

本申請第九方面提供一種網(wǎng)絡(luò)安全防護(hù)裝置，所述網(wǎng)絡(luò)安全防護(hù)裝置用于管理多個節(jié)點控制器；所述網(wǎng)絡(luò)安全防護(hù)裝置包括：

接收模塊，用于接收第一節(jié)點控制器發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，所述第一節(jié)點控制器為所述管理控制系統(tǒng)管理的任一個節(jié)點控制器；

處理模塊，用于根據(jù)所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

發(fā)送模塊，用于將所述檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

一種可能設(shè)計中，所述處理模塊具體用于：

根據(jù)特征數(shù)據(jù)分析獲取網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測攻擊特征的檢測告警，并定制與攻擊特征對應(yīng)的攔截策略，得到檢測和防御規(guī)則。

一種可能設(shè)計中，所述接收模塊還用于接收第一節(jié)點控制器發(fā)送的檢測和防御規(guī)則，檢測和防御規(guī)則為第一節(jié)點控制器根據(jù)檢測到的新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立的規(guī)則，第一節(jié)點控制器為管理控制系統(tǒng)管理的任一個節(jié)點控制器；

所述發(fā)送模塊還用于將檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。

本申請第十方面提供一種節(jié)點控制器，所述節(jié)點控制器與多個防御系統(tǒng)連接，所述節(jié)點控制器包括：

接收模塊，接收管理控制系統(tǒng)發(fā)送的檢測和防御規(guī)則；

發(fā)送模塊，用于將所述檢測和防御規(guī)則下發(fā)至對應(yīng)的防御系統(tǒng)進(jìn)行規(guī)則的更新。

本申請第十一方面提供一種節(jié)點控制器，該節(jié)點控制器包括至少一個處理器、存儲器和通信接口。所述至少一個處理器、所述存儲器和所述通信接口均通過總線連接；所述存儲器存儲計算機(jī)執(zhí)行指令；所述至少一個處理器執(zhí)行所述存儲器存儲的計算機(jī)執(zhí)行指令，使得所述節(jié)點控制器通過所述通信接口與防御系統(tǒng)或者管理控制系統(tǒng)進(jìn)行數(shù)據(jù)交互來執(zhí)行上述第一方面或者第一方面的的各種可能設(shè)計或者第二方面或者第二方面的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本申請第十二方面提供一種網(wǎng)絡(luò)安全防護(hù)裝置，該網(wǎng)絡(luò)安全防護(hù)裝置包括至少一個處理器、存儲器和通信接口。所述至少一個處理器、所述存儲器和所述通信接口均通過總線連接；所述存儲器存儲計算機(jī)執(zhí)行指令；所述至少一個處理器執(zhí)行所述存儲器存儲的計算機(jī)執(zhí)行指令，使得所述網(wǎng)絡(luò)安全防護(hù)裝置通過所述通信接口與節(jié)點控制器進(jìn)行數(shù)據(jù)交互來執(zhí)行上述第三方面或者第三方面的的各種可能設(shè)計或者第四方面或者第四方面的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本申請第十三方面提供一種計算機(jī)可讀存儲介質(zhì)，計算機(jī)可讀存儲介質(zhì)中存儲有計算機(jī)執(zhí)行指令，當(dāng)節(jié)點控制器的至少一個處理器執(zhí)行該計算機(jī)執(zhí)行指令時，節(jié)點控制器執(zhí)行上述第一方面或者第一方面的的各種可能設(shè)計或者第二方面或者第二方面的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本申請第十四方面提供一種計算機(jī)可讀存儲介質(zhì)，計算機(jī)可讀存儲介質(zhì)中存儲有計算機(jī)執(zhí)行指令，當(dāng)網(wǎng)絡(luò)安全防護(hù)裝置的至少一個處理器執(zhí)行該計算機(jī)執(zhí)行指令時，網(wǎng)絡(luò)安全防護(hù)裝置執(zhí)行上述第三方面或者第三方面的的各種可能設(shè)計或者第四方面或者第四方面的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本申請第十五方面提供一種計算機(jī)程序產(chǎn)品，該計算機(jī)程序產(chǎn)品包括計算機(jī)執(zhí)行指令，該計算機(jī)執(zhí)行指令存儲在計算機(jī)可讀存儲介質(zhì)中。節(jié)點控制器的至少一個處理器可以從計算機(jī)可讀存儲介質(zhì)讀取該計算機(jī)執(zhí)行指令，至少一個處理器執(zhí)行該計算機(jī)執(zhí)行指令使得節(jié)點控制器實施第一方面或者第一方面的的各種可能設(shè)計或者第二方面或者第二方面的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本申請第十六方面提供一種計算機(jī)程序產(chǎn)品，該計算機(jī)程序產(chǎn)品包括計算機(jī)執(zhí)行指令，該計算機(jī)執(zhí)行指令存儲在計算機(jī)可讀存儲介質(zhì)中。網(wǎng)絡(luò)安全防護(hù)裝置的至少一個處理器可以從計算機(jī)可讀存儲介質(zhì)讀取該計算機(jī)執(zhí)行指令，至少一個處理器執(zhí)行該計算機(jī)執(zhí)行指令使得網(wǎng)絡(luò)安全防護(hù)裝置實施上述第三方面或者第三方面的的各種可能設(shè)計或者第四方面或者第四方面的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本申請?zhí)峁┑木W(wǎng)絡(luò)安全防護(hù)方法和裝置，節(jié)點控制器接收連接控制的任一個防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則，將檢測和防御規(guī)則發(fā)送至至少一個防御系統(tǒng)，以使接收到新的檢測和防御規(guī)則的防御系統(tǒng)對該網(wǎng)絡(luò)攻擊進(jìn)行檢測和攔截網(wǎng)絡(luò)攻擊，或者通過管理控制系統(tǒng)發(fā)送給其他的節(jié)點控制器，然后發(fā)送給其他節(jié)點控制器控制的多個防御系統(tǒng)。實現(xiàn)多個防御系統(tǒng)之間的聯(lián)動或者不同的節(jié)點控制器之間的聯(lián)動，實現(xiàn)多個防御系統(tǒng)同時對該攻擊的檢測和防御，提高入侵發(fā)現(xiàn)和防御能力，有效減輕單一防御系統(tǒng)的防御壓力，避免單一防御系統(tǒng)的局限性，各防御系統(tǒng)的數(shù)據(jù)共享，建立強(qiáng)大全面的安全數(shù)據(jù)中心提供強(qiáng)大的修復(fù)能力。

附圖說明

圖1為常規(guī)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)示意圖；

圖2為本發(fā)明提供的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)架構(gòu)示意圖；

圖3為本發(fā)明提供的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)各個節(jié)點裝置的功能模塊示意圖；

圖4為本發(fā)明網(wǎng)絡(luò)安全防護(hù)方法實施例一的流程圖；

圖5為本發(fā)明網(wǎng)絡(luò)安全防護(hù)方法實施例二的流程圖；

圖6為本發(fā)明網(wǎng)絡(luò)安全防護(hù)方法實施例三的流程圖；

圖7為本發(fā)明節(jié)點控制器實施例一的結(jié)構(gòu)示意圖；

圖8為本發(fā)明網(wǎng)絡(luò)安全防護(hù)裝置實施例一的結(jié)構(gòu)示意圖；

圖9為本發(fā)明節(jié)點控制器實施例三的結(jié)構(gòu)示意圖；

圖10為本發(fā)明節(jié)點控制器實施例四的結(jié)構(gòu)示意圖；

圖11為本發(fā)明網(wǎng)絡(luò)安全防護(hù)裝置實施例三的結(jié)構(gòu)示意圖。

具體實施方式

圖1所示的安全防護(hù)系統(tǒng)中，單點的防御系統(tǒng)被黑客突破后帶來的防御流量壓力變大。單一的節(jié)點防御系統(tǒng)的檢測特征單薄，對新型的網(wǎng)絡(luò)攻擊手段不能有效識別。當(dāng)某一節(jié)點的防御系統(tǒng)發(fā)現(xiàn)了新型的攻擊方法之后不能有效的通知到另外的防御節(jié)點或者延遲很久才能人工通知到運維人員來進(jìn)行規(guī)則的更新。各個防御系統(tǒng)單一作戰(zhàn)不能有效跟上層或者相鄰的防御系統(tǒng)進(jìn)行有效交流，不能及時更新檢測特征來進(jìn)行防御攔截動作。

為了克服這些問題，本方案提供的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)上增加了節(jié)點控制器(也稱為節(jié)點控制中心)和管理控制系統(tǒng)(也稱為管理中心)，每個節(jié)點控制器分別與下層的多個防御系統(tǒng)連接，就層次而言相當(dāng)于這些防御系統(tǒng)的”上司”。節(jié)點控制器和管理控制系統(tǒng)可以實現(xiàn)節(jié)點直接的聯(lián)動，也能讓單個防御節(jié)點的防御服務(wù)系統(tǒng)之間聯(lián)動起來，實現(xiàn)共同防御。圖2為本發(fā)明提供的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)架構(gòu)示意圖，如圖2所示，提供一種具體的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，管理控制系統(tǒng)管理第一節(jié)點控制器和第二節(jié)點控制器，第一節(jié)點控制器和第二節(jié)點控制器分別連接防ddos攻擊(英文：Anti Distributed Denial of Service，簡稱：Anti-Ddos)、入侵防御系統(tǒng)(英文：Intrusion Prevention System，簡稱：IPS)、防火墻(英文：firewall，簡稱：FW)、入侵檢測系統(tǒng)(英文：Intrusion Detection Systems，簡稱：IDS)、網(wǎng)站應(yīng)用級入侵防御系統(tǒng)(英文：Web Application Firewall，簡稱：WAF)、基于主機(jī)的入侵防御(英文：Host-based Intrusion Prevention System，簡稱：HIPS)、基于主機(jī)的檢測系統(tǒng)(英文：Host-based Intrusion Detection Systems，簡稱：HIDS)等防御系統(tǒng)，然后防御系統(tǒng)下層與虛擬機(jī)(英文：virtual machine，簡稱：VM)連接，進(jìn)行安全防護(hù)。

在具體實施中，節(jié)點控制器可以接收到各個防御系統(tǒng)發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊或黑客攻擊的特征數(shù)據(jù)，根據(jù)這些特征數(shù)據(jù)建立新的檢測和防御規(guī)則，然后將更新后的檢測和防御規(guī)則下發(fā)通知到其他相應(yīng)的防御系統(tǒng)，由對應(yīng)功能的防御系統(tǒng)進(jìn)行檢測和攔截這些黑客攻擊；實現(xiàn)同一防御節(jié)點下服務(wù)之間的聯(lián)動；并且該節(jié)點控制器將新型的網(wǎng)絡(luò)攻擊特征上報到了管理控制系統(tǒng)，管理控制系統(tǒng)更新系統(tǒng)中的檢測和防御規(guī)則并將這些更新內(nèi)容實時通知到所有節(jié)點控制器，然后由節(jié)點控制器來調(diào)度分配任務(wù)給相應(yīng)的防御系統(tǒng)?；蛘吖?jié)點控制器將根據(jù)特征數(shù)據(jù)重新建立的檢測和防御規(guī)則直接通過管理控制系統(tǒng)發(fā)送到其他的節(jié)點控制器，以使其他的節(jié)點控制器也可以對檢測和防御規(guī)則進(jìn)行更新，這樣就實現(xiàn)了節(jié)點之間的聯(lián)動防御。

圖3為本發(fā)明提供的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)各個節(jié)點裝置的功能模塊示意圖，節(jié)點控制器(節(jié)點控制中心)和防御系統(tǒng)以及管理控制系統(tǒng)的連接關(guān)系如圖3所示，下面對各個裝置進(jìn)行具體介紹。

首先介紹節(jié)點控制器，節(jié)點控制器部署有數(shù)據(jù)存儲中心、關(guān)聯(lián)分析系統(tǒng)、規(guī)則系統(tǒng)、通訊調(diào)度系統(tǒng)。

數(shù)據(jù)存儲中心，用于將節(jié)點處的防御系統(tǒng)上報的數(shù)據(jù)和攻擊的特征數(shù)據(jù)存儲在系統(tǒng)中。

關(guān)聯(lián)分析系統(tǒng)，用于通過將各個防御系統(tǒng)上報到數(shù)據(jù)存儲中心的數(shù)據(jù)進(jìn)行強(qiáng)關(guān)聯(lián)，通過建立的數(shù)據(jù)模型進(jìn)行數(shù)據(jù)分析處理，分析出攻擊特征；例如：當(dāng)IDS系統(tǒng)發(fā)現(xiàn)了網(wǎng)絡(luò)流量端口異常掃描行為，將異常的網(wǎng)絡(luò)流量數(shù)據(jù)上報到節(jié)點控制器的數(shù)據(jù)存儲中心；而此時HIDS將主機(jī)中的進(jìn)程訪問的網(wǎng)絡(luò)端口信息也上報到了節(jié)點的數(shù)據(jù)存儲中心，通過進(jìn)程的行為和網(wǎng)絡(luò)端口的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，還原黑客攻擊的入侵特征，得出此特征可能是APT攻擊；而關(guān)聯(lián)分析系統(tǒng)就是通過IDS上報的網(wǎng)絡(luò)流量和HIDS上報的進(jìn)程訪問的網(wǎng)絡(luò)端口信息數(shù)據(jù)進(jìn)行關(guān)聯(lián)，得出該網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)。

規(guī)則系統(tǒng)，用于根據(jù)關(guān)聯(lián)分析的結(jié)果更新相應(yīng)的檢測和防御規(guī)則；本身也維護(hù)了防御系統(tǒng)的已有的檢測和防御規(guī)則；例如之上的關(guān)聯(lián)分析系統(tǒng)通過關(guān)聯(lián)分析，得出了APT的攻擊特征數(shù)據(jù)，那么規(guī)則系統(tǒng)就更新IDS的流量檢測和防御規(guī)則，規(guī)則中加入對此類網(wǎng)絡(luò)特征數(shù)據(jù)包的檢測告警；同時也更新HIDS的主機(jī)中此進(jìn)程行為的檢測特征，并制定此類網(wǎng)絡(luò)攻擊包和進(jìn)程行為的防御規(guī)則(也稱為攔截策略)。

通訊調(diào)度系統(tǒng)，用于通知節(jié)點下面的各個防御系統(tǒng)進(jìn)行檢測和防御規(guī)則的更新，并將檢測和防御規(guī)則下發(fā)到各個防御系統(tǒng)；同時將這些策略上報給管理控制系統(tǒng)；同時也負(fù)責(zé)接收管理控制系統(tǒng)下發(fā)的檢測和防御規(guī)則，并用于接收下面的防御系統(tǒng)上報的特征數(shù)據(jù)。

其次，介紹管理控制系統(tǒng)，本發(fā)明中管理控制系統(tǒng)包括數(shù)據(jù)存儲中心，數(shù)據(jù)分析中心，規(guī)則策略系統(tǒng)，節(jié)點管理系統(tǒng)。

數(shù)據(jù)存儲中心，用于對各節(jié)點控制器上報的數(shù)據(jù)(包括網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)或者節(jié)點控制器發(fā)送的檢測和防御規(guī)則)進(jìn)行存儲。數(shù)據(jù)分析中心，用于對存儲中心的數(shù)據(jù)進(jìn)行分析，建立模型。規(guī)則策略系統(tǒng)，用于根據(jù)數(shù)據(jù)分析的攻擊的特征數(shù)據(jù)，通過建立的模型進(jìn)行規(guī)則和策略的制定以及更新并同步給通訊調(diào)度系統(tǒng)；同上面的節(jié)點控制器的規(guī)則系統(tǒng)功能一樣。節(jié)點管理系統(tǒng)，用于管理各節(jié)點控制器，各節(jié)點控制器的健康度以及心跳信息。通訊調(diào)度系統(tǒng)，用于負(fù)責(zé)接收各節(jié)點控制器上報的數(shù)據(jù)和攻擊的特征數(shù)據(jù)，并下發(fā)監(jiān)測和防御規(guī)則到各節(jié)點控制器。

基于上述圖2所示的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)架構(gòu)以及圖3所示的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的每個節(jié)點裝置的功能，下面以幾個具體的實施例來介紹本發(fā)明提供的網(wǎng)絡(luò)安全防護(hù)方法。

圖4為本發(fā)明網(wǎng)絡(luò)安全防護(hù)方法實施例一的流程圖，如圖4所示，該方案提供的網(wǎng)絡(luò)安全防護(hù)方法的具體步驟為：

S101：接收第一防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)。

在本步驟中，第一節(jié)點控制器(不特指某個節(jié)點控制器，可以是系統(tǒng)中任意一個節(jié)點控制器)，防御系統(tǒng)發(fā)現(xiàn)了異常的網(wǎng)絡(luò)特征或者異常進(jìn)程訪問特征，則獲取這些特征數(shù)據(jù)，上報給節(jié)點控制器，該節(jié)點控制器則接收到下層的任意一個防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)(也稱為攻擊特征)。

S102：根據(jù)所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則。

在本步驟中，節(jié)點控制器根據(jù)特征數(shù)據(jù)分析獲取所述網(wǎng)絡(luò)攻擊的攻擊特征；在目前的流量監(jiān)測規(guī)則中加入監(jiān)測所述攻擊特征的檢測告警，并定制與所述攻擊特征對應(yīng)的攔截策略，得到所述檢測和防御規(guī)則。

例如：當(dāng)IDS系統(tǒng)發(fā)現(xiàn)了網(wǎng)絡(luò)流量端口異常掃描行為，將異常的網(wǎng)絡(luò)流量數(shù)據(jù)上報；而此時HIDS將主機(jī)中的進(jìn)程訪問的網(wǎng)絡(luò)端口信息也上報到了節(jié)點控制器，通過進(jìn)程的行為和網(wǎng)絡(luò)端口的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，還原黑客攻擊的入侵特征，得出此特征可能是APT攻擊，即通過IDS上報的網(wǎng)絡(luò)流量和HIDS上報的進(jìn)程訪問的網(wǎng)絡(luò)端口信息數(shù)據(jù)進(jìn)行關(guān)聯(lián)，得出的攻擊特征。然后根據(jù)關(guān)聯(lián)分析的結(jié)果更新相應(yīng)的檢測和防御規(guī)則。即更新IDS的流量檢測規(guī)則，規(guī)則中加入對此類網(wǎng)絡(luò)特征數(shù)據(jù)包的檢測告警；同時也更新HIDS的主機(jī)中此進(jìn)程行為的檢測特征，并制定此類網(wǎng)絡(luò)攻擊包和進(jìn)程行為的防御規(guī)則，得到新的檢測和防御規(guī)則。

S103：將所述檢測和防御規(guī)則發(fā)送至至少一個第二防御系統(tǒng)。

在本步驟中，第一節(jié)點控制器在根據(jù)接收到的攻擊得到建立了新的檢測和防御規(guī)則之后，需要將該檢測和防御規(guī)則通知給一個或者多個防御系統(tǒng)，進(jìn)行規(guī)則更新以對該網(wǎng)絡(luò)攻擊進(jìn)行防御。

該方案中的至少一個第二防御系統(tǒng)，可以包括第一防御系統(tǒng)，也可以包括先與第一防御系統(tǒng)進(jìn)行檢測和防御的上層防御系統(tǒng)，還可以包括在第一防御系統(tǒng)之后再進(jìn)行檢測和防御的下層防御系統(tǒng)，對此本方案不做限制。

即至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之前進(jìn)行檢測防御的至少一個防御系統(tǒng)。

可選的，至少一個第二防御系統(tǒng)包括第一防御系統(tǒng)。

可選的，至少一個第二防御系統(tǒng)包括在第一防御系統(tǒng)之后進(jìn)行檢測防御的至少一個防御系統(tǒng)。

S104：至少一個第二防御系統(tǒng)根據(jù)所述檢測和防御規(guī)則檢測和攔截所述網(wǎng)絡(luò)攻擊。

在本步驟中，接收到該新的檢測和防御規(guī)則的第二防御系統(tǒng)對本地的策略進(jìn)行更新，對前述的網(wǎng)絡(luò)攻擊進(jìn)行檢測和攔截。

本實施例提供的網(wǎng)絡(luò)安全防護(hù)方法，設(shè)置節(jié)點控制器連接多個防御系統(tǒng)，每個防御系統(tǒng)可以將檢測到的攻擊的特征數(shù)據(jù)發(fā)送至節(jié)點控制器，節(jié)點控制器生成檢測和防御規(guī)則并分別發(fā)送給該節(jié)點控制器管理的多個防御系統(tǒng)，以實現(xiàn)多個防御系統(tǒng)同時對該攻擊的檢測和防御，提高入侵發(fā)現(xiàn)和防御能力，有效減輕單一防御系統(tǒng)的防御壓力，同時能夠避免單一防御系統(tǒng)局限性。

可選的，在上述實施例一的基礎(chǔ)上，步驟S102之前，第一節(jié)點控制器還可以將網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)發(fā)送至管理控制系統(tǒng)，以使管理控制系統(tǒng)根據(jù)特征數(shù)據(jù)確定網(wǎng)絡(luò)攻擊特征、并根據(jù)網(wǎng)絡(luò)攻擊特征建立新的檢測和防御規(guī)則、并將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)管理的至少一個節(jié)點控制器，該至少一個節(jié)點控制器可以是管理控制系統(tǒng)管理的部分或者全部節(jié)點控制器。

本方案的實質(zhì)是將網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)上報至管理控制系統(tǒng)，由管理控制系統(tǒng)對特征數(shù)據(jù)進(jìn)行分析處理，得到新的檢測和防御規(guī)則，然后通知該至少一個節(jié)點控制器(包括第一控制節(jié)點)，節(jié)點控制器再通知給各個防御系統(tǒng)進(jìn)行檢測和防御規(guī)則更新。

可選的，在上述實施例一的基礎(chǔ)上，步驟S102之后，該第一節(jié)點控制器還可以將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)，以使管理控制系統(tǒng)將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)管理的除了第一控制節(jié)點以外的至少一個節(jié)點控制器。

在管理控制系統(tǒng)側(cè)，接收第一節(jié)點控制器發(fā)送的檢測和防御規(guī)則，所述檢測和防御規(guī)則為所述第一節(jié)點控制器根據(jù)檢測到的新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立的規(guī)則，所述第一節(jié)點控制器為所述管理控制系統(tǒng)管理的任一個節(jié)點控制器；將所述檢測和防御規(guī)則發(fā)送至除了第一控制節(jié)點以外的至少一個節(jié)點控制器，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

該方案是與實施例并列的方案，本方案的實質(zhì)是節(jié)點控制器分析處理得到的檢測和防御規(guī)則直接上報至管理控制系統(tǒng)，管理控制系統(tǒng)將該新的檢測和防御規(guī)則轉(zhuǎn)發(fā)至多個節(jié)點控制器，節(jié)點控制器再通知給各個防御系統(tǒng)進(jìn)行檢測和防御規(guī)則更新。

通過上述的可選方案，建立強(qiáng)大全面的安全數(shù)據(jù)中心，提供強(qiáng)大的修復(fù)能力，確保單點防御系統(tǒng)有效的運行，大大提高我們的入侵發(fā)現(xiàn)和防御能力,構(gòu)建業(yè)界最有競爭力的防御體系。

圖5為本發(fā)明網(wǎng)絡(luò)安全防護(hù)方法實施例二的流程圖，如圖5所示，該方案的具體實現(xiàn)步驟為：

S201：接收第一防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)。

S202：根據(jù)所述網(wǎng)絡(luò)攻擊的所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則。

上述步驟中，第一節(jié)點控制器接收網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，并根據(jù)特征數(shù)據(jù)建立檢測和防御規(guī)則的具體實現(xiàn)與實施例一類似，在此不再贅述。

S203：將所述檢測和防御規(guī)則通過管理控制系統(tǒng)發(fā)送至所述管理控制系統(tǒng)管理的至少一個節(jié)點控制器。

第一節(jié)點控制器將新的檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)，由管理控制系統(tǒng)將新的檢測和防御規(guī)則發(fā)送給除了第一控制節(jié)點以外的至少一個節(jié)點控制器(例如圖2中所述的第二節(jié)點控制器)。

在管理控制系統(tǒng)側(cè)，接收第一節(jié)點控制器發(fā)送的檢測和防御規(guī)則，所述檢測和防御規(guī)則為所述第一節(jié)點控制器根據(jù)檢測到的新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立的規(guī)則，所述第一節(jié)點控制器為所述管理控制系統(tǒng)管理的任一個節(jié)點控制器；將所述檢測和防御規(guī)則發(fā)送至除了第一控制節(jié)點以外的至少一個節(jié)點控制器(例如圖2中所述的第二節(jié)點控制器)，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

在該第二節(jié)點控制器側(cè)，接收管理控制系統(tǒng)發(fā)送的檢測和防御規(guī)則，并將所述檢測和防御規(guī)則下發(fā)至對應(yīng)的防御系統(tǒng)進(jìn)行規(guī)則的更新。具體的可以實現(xiàn)為S204和S205。

S204：將所述檢測和防御規(guī)則發(fā)送至至少一個防御系統(tǒng)。

S205：將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

在上述步驟中，其他的節(jié)點控制器在接收到管理控制系統(tǒng)發(fā)送的檢測和防御規(guī)則之后，將該檢測和防御規(guī)則發(fā)送給其下層連接的一個或者多個防御系統(tǒng)，該至少一個防御系統(tǒng)可以是與該檢測和防御規(guī)則對應(yīng)的防御系統(tǒng)，也可以是與檢測和防御規(guī)則對應(yīng)的防御系統(tǒng)的上層的防御系統(tǒng)，也可以是與檢測和防御規(guī)則對應(yīng)的防御系統(tǒng)的下層的防御系統(tǒng)，對此本方案不做限制。

該些防御系統(tǒng)接收到新的檢測和防御規(guī)則之后，對本地的策略進(jìn)行更新，對前述的網(wǎng)絡(luò)攻擊進(jìn)行檢測和攔截。

本實施例提供的網(wǎng)絡(luò)安全防護(hù)方法，每個防御系統(tǒng)可以將檢測到的攻擊的特征數(shù)據(jù)發(fā)送至節(jié)點控制器，節(jié)點控制器生成檢測和防御規(guī)則并發(fā)送至管理控制系統(tǒng)，以使其他節(jié)點控制器對連接的防御系統(tǒng)進(jìn)行檢測和防御規(guī)則的更新，以實現(xiàn)防御系統(tǒng)之間的數(shù)據(jù)共享，大大提高我們的入侵發(fā)現(xiàn)和防御能力,構(gòu)建業(yè)界最有競爭力的防御體系。還可以建立全面的安全數(shù)據(jù)中心。

可選的，在上述實施例二的基礎(chǔ)上，S201之后，第一節(jié)點控制器可以直接上特征數(shù)據(jù)發(fā)送至管理控制系統(tǒng)，由管理控制系統(tǒng)根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則。即管理控制系統(tǒng)接收第一節(jié)點控制器發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，并根據(jù)所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則，然后管理控制系統(tǒng)將建立的所述檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

該些節(jié)點控制器接收管理控制系統(tǒng)發(fā)送的檢測和防御規(guī)則；將所述檢測和防御規(guī)則下發(fā)至對應(yīng)的防御系統(tǒng)進(jìn)行規(guī)則的更新。

上述方案中，同一個節(jié)點控制器的防御系統(tǒng)之間實現(xiàn)共同治敵，還可以通過管理控制系統(tǒng)通知其他的節(jié)點控制器對對應(yīng)的防御系統(tǒng)進(jìn)行檢測和防御規(guī)則的更新，防患于未然，實現(xiàn)數(shù)據(jù)共享，大大提高入侵發(fā)現(xiàn)和防御能力，避免單一防御系統(tǒng)的局限性，緩解防御系統(tǒng)的壓力。同時可以提供強(qiáng)大的修復(fù)能力，確保單點防御系統(tǒng)的有效運行。

上述實施例一或二是基于圖2系統(tǒng)架構(gòu)的方案說明，下面基于圖3所示的各個節(jié)點裝置的具體功能模塊，對該網(wǎng)絡(luò)安全防護(hù)方法進(jìn)行說明。

圖6為本發(fā)明網(wǎng)絡(luò)安全防護(hù)方法實施例三的流程圖，如圖6所示，該網(wǎng)絡(luò)安全防護(hù)方法的一種具體實現(xiàn)步驟為：

1)、發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，上報到節(jié)點控制器1。

多個防御系統(tǒng)發(fā)現(xiàn)了異常網(wǎng)絡(luò)特征和異常進(jìn)程訪問特征，然后將這些網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)上報到節(jié)點控制器1。

2)、上報到存儲中心。

節(jié)點控制器1的通訊調(diào)度系統(tǒng)將防御系統(tǒng)上報的數(shù)據(jù)傳送到數(shù)據(jù)存儲中心。

3)、數(shù)據(jù)和攻擊特征關(guān)聯(lián)分析。

關(guān)聯(lián)分析系統(tǒng)通過各防御系統(tǒng)上報的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，比如還原一個進(jìn)程的網(wǎng)絡(luò)行為，將訪問的端口，訪問的文件信息，修改的文件信息，時間，權(quán)限等數(shù)據(jù)信息多維度對比，關(guān)聯(lián)起來分析。

4)、更新檢測和防御規(guī)則。

上述關(guān)聯(lián)分析系統(tǒng)關(guān)聯(lián)分析得出此類網(wǎng)絡(luò)攻擊特征和惡意進(jìn)程特征，通知給規(guī)則策略系統(tǒng)；規(guī)則策略系統(tǒng)將關(guān)聯(lián)分析的結(jié)果進(jìn)行解讀，然后更新此類攻擊的檢測和攔截規(guī)則。

5)、開啟下發(fā)和通知任務(wù)。

節(jié)點控制器1的規(guī)則策略系統(tǒng)將更新后的檢測和攔截規(guī)則同步給通訊調(diào)度系統(tǒng)；由通訊調(diào)度系統(tǒng)負(fù)責(zé)更新規(guī)則的下發(fā)給各個防御系統(tǒng)。

6)、通知并下發(fā)新的檢測和防御規(guī)則到當(dāng)前節(jié)點下的各個防御系統(tǒng)。

節(jié)點控制器1的的通訊調(diào)度系統(tǒng)將更新后的檢測和防御規(guī)則下發(fā)給下面的相應(yīng)的防御系統(tǒng)，接收新的檢測和防御規(guī)則的防御系統(tǒng)可以是Anti-Ddos本身，也可以是其上層或者下層的其他防御系統(tǒng)，還可以是該節(jié)點控制器下的所有防御系統(tǒng)。

7)、將新型的網(wǎng)絡(luò)攻擊特征和數(shù)據(jù)上報到管理控制系統(tǒng)。

該第一節(jié)點控制器1的通訊調(diào)度系統(tǒng)還可以將發(fā)現(xiàn)的新型網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)的上報到管理控制系統(tǒng)。

8)、根據(jù)節(jié)點控制器1上報的數(shù)據(jù)和攻擊特征進(jìn)行實時分析并更新升級自己的檢測和防御規(guī)則。

管理控制系統(tǒng)對節(jié)點控制器1上報的網(wǎng)路攻擊的特征數(shù)據(jù)進(jìn)行分析，如同節(jié)點控制器1的關(guān)聯(lián)分析一樣，根據(jù)網(wǎng)絡(luò)，端口，修改文件，時間，權(quán)限等數(shù)據(jù)進(jìn)行關(guān)聯(lián)，還原攻擊行為。

9)、通知并下發(fā)新的檢測和防御規(guī)則到其余節(jié)點控制器。

管理控制系統(tǒng)對關(guān)聯(lián)分析的結(jié)果進(jìn)行解讀，然后更新此類攻擊的檢測和攔截規(guī)則；(或者直接利用節(jié)點控制器的新的檢測和防御規(guī)則，不需要管理控制系統(tǒng)再進(jìn)行關(guān)聯(lián)分析得出這些新的檢測和防御規(guī)則)，然后將更新的檢測和防御規(guī)則下發(fā)到其余的節(jié)點控制器(例如節(jié)點控制器2)。

10)通知并下發(fā)新的檢測和防御規(guī)則到當(dāng)前節(jié)點下的各個防御系統(tǒng)。

其他的節(jié)點控制器收到管理控制系統(tǒng)下發(fā)的檢測和防御規(guī)則后就由通訊調(diào)度系統(tǒng)負(fù)責(zé)將新的檢測和防御規(guī)則下發(fā)到該節(jié)點控制器下面的相應(yīng)的防御系統(tǒng)進(jìn)行規(guī)則更新。

在上述方案中，所有的防御系統(tǒng)上報到節(jié)點控制器的數(shù)據(jù)格式都是按照預(yù)先自定義的數(shù)據(jù)格式進(jìn)行數(shù)據(jù)的上報，例如：網(wǎng)絡(luò)數(shù)據(jù)有網(wǎng)絡(luò)數(shù)據(jù)的格式，進(jìn)程信息有進(jìn)程的數(shù)據(jù)字段和格式等；對規(guī)則和策略的格式制定也是預(yù)先定義好的，只接收和生成預(yù)先自定義且能有效識別的文件；節(jié)點控制器和管理控制系統(tǒng)也只處理定義的簽名的規(guī)則和策略，且節(jié)點控制器和管理控制系統(tǒng)的規(guī)則和策略文件格式是相同的。

本發(fā)明提供的網(wǎng)絡(luò)安全防護(hù)方法，多個防御系統(tǒng)的數(shù)據(jù)上報到節(jié)點控制器，節(jié)點控制器根據(jù)數(shù)據(jù)和攻擊特征建立并更新檢測和防御規(guī)則；然后將建立的新的檢測和防御規(guī)則下發(fā)到同節(jié)點下面的另外防御系統(tǒng)，實現(xiàn)共同制敵；另外當(dāng)前節(jié)點可以將新發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊特征上報到管理控制系統(tǒng)，由管理控制系統(tǒng)來通知其余節(jié)點下的防御系及時更新檢測和防御規(guī)則，防患于未然，大大提高入侵發(fā)現(xiàn)和防御能力，構(gòu)件更為安全的防御體系，避免單一防御系統(tǒng)的局限性，減少單一防御系統(tǒng)的防御壓力。

圖7為本發(fā)明節(jié)點控制器實施例一的結(jié)構(gòu)示意圖，如圖7所示，所述節(jié)點控制器10包括：

接收模塊11，用于接收第一防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，所述第一防御系統(tǒng)為與所述節(jié)點控制器連接的任一個防御系統(tǒng)；

處理模塊12，用于根據(jù)所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

發(fā)送模塊13，用于將所述檢測和防御規(guī)則發(fā)送至至少一個第二防御系統(tǒng)，以使所述至少一個第二防御系統(tǒng)根據(jù)所述檢測和防御規(guī)則檢測和攔截所述網(wǎng)絡(luò)攻擊；其中，第二防御系統(tǒng)為與所述節(jié)點控制器連接的防御系統(tǒng)。

可選的，所述發(fā)送模塊13發(fā)送檢測和防御規(guī)則的所述至少一個第二防御系統(tǒng)為在所述第一防御系統(tǒng)之前進(jìn)行檢測防御的至少一個防御系統(tǒng)。

可選的，所述處理模塊12具體用于：

根據(jù)所述特征數(shù)據(jù)分析獲取所述網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測所述攻擊特征的檢測告警，并定制與所述攻擊特征對應(yīng)的攔截策略，得到所述檢測和防御規(guī)則。

可選的，所述發(fā)送模塊13還用于：

將所述網(wǎng)絡(luò)攻擊的所述特征數(shù)據(jù)發(fā)送至管理控制系統(tǒng)，以使所述管理控制系統(tǒng)根據(jù)所述特征數(shù)據(jù)確定網(wǎng)絡(luò)攻擊特征、并根據(jù)所述網(wǎng)絡(luò)攻擊特征建立新的檢測和防御規(guī)則、并將所述檢測和防御規(guī)則發(fā)送至所述管理控制系統(tǒng)管理的包括所述第一節(jié)點控制器的至少一個節(jié)點控制器。

可選的，所述發(fā)送模塊13還用于：

將所述檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)，以使所述管理控制系統(tǒng)將所述檢測和防御規(guī)則發(fā)送至所述管理控制系統(tǒng)管理的除了所述第一節(jié)點控制器以外的至少一個節(jié)點控制器。

可選的，所述發(fā)送模塊13發(fā)送檢測和防御規(guī)則的所述至少一個第二防御系統(tǒng)為在所述第一防御系統(tǒng)之前進(jìn)行檢測防御的至少一個防御系統(tǒng)。

可選的，所述發(fā)送模塊13發(fā)送檢測和防御規(guī)則的至少一個第二防御系統(tǒng)包括第一防御系統(tǒng)。

可選的，所述發(fā)送模塊13發(fā)送檢測和防御規(guī)則的至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之后進(jìn)行檢測防御的至少一個防御系統(tǒng)。

上述實施例提供的節(jié)點控制器，用于執(zhí)行前述方法任一實施例中的節(jié)點控制器的技術(shù)方案，其實現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

可選的，在該節(jié)點控制器的實施例二中，

接收模塊11，用于接收第一防御系統(tǒng)發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，所述第一防御系統(tǒng)為與所述第一節(jié)點控制器連接的任一個防御系統(tǒng)；

處理模塊12，用于根據(jù)所述網(wǎng)絡(luò)攻擊的所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

發(fā)送模塊13，用于將所述檢測和防御規(guī)則通過所述管理控制系統(tǒng)發(fā)送至所述管理控制系統(tǒng)管理的至少一個節(jié)點控制器，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

可選的，所述處理模塊12具體用于：

根據(jù)特征數(shù)據(jù)分析獲取網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測攻擊特征的檢測告警，并定制與攻擊特征對應(yīng)的攔截策略，得到檢測和防御規(guī)則。

可選的，所述發(fā)送模塊13還用于將檢測和防御規(guī)則發(fā)送至至少一個第二防御系統(tǒng)，以使至少一個第二防御系統(tǒng)根據(jù)檢測和防御規(guī)則檢測和攔截網(wǎng)絡(luò)攻擊；其中，第二防御系統(tǒng)為與第一節(jié)點控制器連接的防御系統(tǒng)。

可選的，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之前進(jìn)行檢測防御的至少一個防御系統(tǒng)。

可選的，至少一個第二防御系統(tǒng)包括第一防御系統(tǒng)。

可選的，至少一個第二防御系統(tǒng)為在第一防御系統(tǒng)之后進(jìn)行檢測防御的至少一個防御系統(tǒng)。

可選的，所述發(fā)送模塊13還用于將網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)發(fā)送至管理控制系統(tǒng)，以使管理控制系統(tǒng)根據(jù)特征數(shù)據(jù)確定網(wǎng)絡(luò)攻擊特征、并根據(jù)網(wǎng)絡(luò)攻擊特征建立新的檢測和防御規(guī)則、并將檢測和防御規(guī)則發(fā)送至管理控制系統(tǒng)管理的至少一個節(jié)點控制器。

上述實施例提供的節(jié)點控制器，用于執(zhí)行前述方法任一實施例中的節(jié)點控制器的技術(shù)方案，其實現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

圖8為本發(fā)明網(wǎng)絡(luò)安全防護(hù)裝置實施例一的結(jié)構(gòu)示意圖，如圖8所示，所述網(wǎng)絡(luò)安全防護(hù)裝置20用于管理多個節(jié)點控制器；所述網(wǎng)絡(luò)安全防護(hù)裝置20包括：

接收模塊21，用于接收第一節(jié)點控制器發(fā)送的檢測和防御規(guī)則，所述檢測和防御規(guī)則為所述第一節(jié)點控制器根據(jù)檢測到的新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立的規(guī)則，所述第一節(jié)點控制器為所述網(wǎng)絡(luò)安全防護(hù)裝置管理的任一個節(jié)點控制器；

發(fā)送模塊22，用于將所述檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

可選的，所述至少一個節(jié)點控制包括除了所述第一節(jié)點控制器意外的一個或多個節(jié)點控制器。

可選的，所述接收模塊21還用于接收并存儲第一節(jié)點控制器發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)。

可選的，所述裝置還包括：處理模塊23，用于根據(jù)特征數(shù)據(jù)建立新的檢測和防御規(guī)則，并將新的檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。

可選的，至少一個節(jié)點控制器可以包括第一節(jié)點控制器，也可以包括除了第一節(jié)點控制器之外的其他控制器。

本實施例提供的網(wǎng)絡(luò)安全防護(hù)裝置，用于執(zhí)行前述方法任一實施例中的管理控制系統(tǒng)的技術(shù)方案，其實現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

在本發(fā)明網(wǎng)絡(luò)安全防護(hù)裝置實施例二中，可選的，該網(wǎng)絡(luò)安全防護(hù)裝置20的各個模塊還用于執(zhí)行下面的功能。

接收模塊21，用于接收第一節(jié)點控制器發(fā)送的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)，所述第一節(jié)點控制器為所述管理控制系統(tǒng)管理的任一個節(jié)點控制器；

處理模塊23，用于根據(jù)所述特征數(shù)據(jù)建立新的檢測和防御規(guī)則；

發(fā)送模塊22，用于將所述檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使所述至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為所述檢測和防御規(guī)則。

可選的，所述處理模塊23具體用于：

根據(jù)特征數(shù)據(jù)分析獲取網(wǎng)絡(luò)攻擊的攻擊特征；

在流量監(jiān)測規(guī)則中加入監(jiān)測攻擊特征的檢測告警，并定制與攻擊特征對應(yīng)的攔截策略，得到檢測和防御規(guī)則。

可選的，所述接收模塊21還用于接收第一節(jié)點控制器發(fā)送的檢測和防御規(guī)則，檢測和防御規(guī)則為第一節(jié)點控制器根據(jù)檢測到的新的網(wǎng)絡(luò)攻擊的特征數(shù)據(jù)建立的規(guī)則，第一節(jié)點控制器為管理控制系統(tǒng)管理的任一個節(jié)點控制器；

所述發(fā)送模塊22還用于將檢測和防御規(guī)則發(fā)送至至少一個節(jié)點控制器，以使至少一個節(jié)點控制器將對應(yīng)的防御系統(tǒng)的規(guī)則更新為檢測和防御規(guī)則。

本實施例提供的網(wǎng)絡(luò)安全防護(hù)裝置，用于執(zhí)行前述方法任一實施例中的管理控制系統(tǒng)的技術(shù)方案，其實現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

圖9為本發(fā)明節(jié)點控制器實施例三的結(jié)構(gòu)示意圖，如圖9所示，所述節(jié)點控制器30與多個防御系統(tǒng)連接，所述節(jié)點控制器30包括：

接收模塊31，接收管理控制系統(tǒng)發(fā)送的檢測和防御規(guī)則；

發(fā)送模塊32，用于將所述檢測和防御規(guī)則下發(fā)至對應(yīng)的防御系統(tǒng)進(jìn)行規(guī)則的更新。

本實施例提供的節(jié)點控制器，用于執(zhí)行前述方法任一實施例中的節(jié)點控制器的技術(shù)方案，其實現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

前述的節(jié)點控制器和管理控制系統(tǒng)的具體實現(xiàn)中，接收模塊可以被實現(xiàn)為接收器，發(fā)送模塊可以被實現(xiàn)為發(fā)送器，處理模塊可以被實現(xiàn)為處理器，數(shù)據(jù)和程序代碼可存儲在存儲器中，由控制器根據(jù)相應(yīng)的程序指令控制執(zhí)行。

在上述節(jié)點控制器或者管理控制系統(tǒng)的具體實現(xiàn)中，應(yīng)理解，處理器可以是中央處理單元(英文：Central Processing Unit，簡稱：CPU)，還可以是其他通用處理器、數(shù)字信號處理器(英文：Digital Signal Processor，簡稱：DSP)、專用集成電路(英文：Application Specific Integrated Circuit，簡稱：ASIC)等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。結(jié)合本發(fā)明實施例所公開的方法的步驟可以直接體現(xiàn)為硬件處理器執(zhí)行完成，或者用處理器中的硬件及軟件模塊組合執(zhí)行完成。

圖10為本發(fā)明節(jié)點控制器實施例四的結(jié)構(gòu)示意圖，如圖10所示，該節(jié)點控制器40包括至少一個處理器41、存儲器42和通信接口43。所述至少一個處理器41、所述存儲器42和所述通信接口43均通過總線44連接；所述存儲器42存儲計算機(jī)執(zhí)行指令；所述至少一個處理器41執(zhí)行所述存儲器42存儲的計算機(jī)執(zhí)行指令，使得所述節(jié)點控制器40通過所述通信接口43與防御系統(tǒng)或者管理控制系統(tǒng)進(jìn)行數(shù)據(jù)交互來執(zhí)行前述任一實施例中節(jié)點控制器側(cè)的各種可能的網(wǎng)絡(luò)安全防護(hù)方法。

圖11為本發(fā)明網(wǎng)絡(luò)安全防護(hù)裝置實施例三的結(jié)構(gòu)示意圖，如圖11所示，該網(wǎng)絡(luò)安全防護(hù)裝置50包括至少一個處理器51、存儲器52和通信接口53。所述至少一個處理器51、所述存儲器52和所述通信接口53均通過總線54連接；所述存儲器52存儲計算機(jī)執(zhí)行指令；所述至少一個處理器51執(zhí)行所述存儲器52存儲的計算機(jī)執(zhí)行指令，使得所述網(wǎng)絡(luò)安全防護(hù)裝置通過所述通信接口與節(jié)點控制器進(jìn)行數(shù)據(jù)交互來執(zhí)行上述任一實施例中管理控制系統(tǒng)的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

在上述節(jié)點控制器40中的處理器41或者網(wǎng)絡(luò)安全防護(hù)裝置50的處理器51，可以包括不同類型的處理器，或者包括相同類型的處理器；處理器可以是以下的任一種：中央處理器(Central Processing Unit，簡稱CPU)、ARM處理器、現(xiàn)場可編程門陣列(Field Programmable Gate Array，簡稱FPGA)、專用處理器等具有計算處理能力的器件。一種可選實施方式，所述至少一個處理器還可以集成為眾核處理器。

在上述節(jié)點控制器40中的存儲器42或者網(wǎng)絡(luò)安全防護(hù)裝置50的存儲器52可以是以下的任一種或任一種組合：隨機(jī)存取存儲器(Random Access Memory，簡稱RAM)、只讀存儲器(read only memory，簡稱ROM)、非易失性存儲器(non-volatile memory，簡稱NVM)、固態(tài)硬盤(Solid State Drives，簡稱SSD)、機(jī)械硬盤、磁盤、磁盤整列等存儲介質(zhì)。

通信接口43和通信接口53各自用于節(jié)點控制器和網(wǎng)絡(luò)安全防護(hù)裝置與其他設(shè)備進(jìn)行數(shù)據(jù)交互。通信接口可以是以下的任一種或任一種組合：網(wǎng)絡(luò)接口(例如以太網(wǎng)接口)、無線網(wǎng)卡等具有網(wǎng)絡(luò)接入功能的器件。

總線44和總線54各自可以包括地址總線、數(shù)據(jù)總線、控制總線等，為便于表示，圖10和圖11中用一條粗線表示該總線(總線44或總線54)。該總線可以是以下的任一種或任一種組合：工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(Industry Standard Architecture，簡稱ISA)總線、外設(shè)組件互連標(biāo)準(zhǔn)(Peripheral Component Interconnect，簡稱PCI)總線、擴(kuò)展工業(yè)標(biāo)準(zhǔn)結(jié)構(gòu)(Extended Industry Standard Architecture，簡稱EISA)總線等有線數(shù)據(jù)傳輸?shù)钠骷?/p>

此外，本發(fā)明實施例里還提供一種計算機(jī)可讀存儲介質(zhì)，計算機(jī)可讀存儲介質(zhì)中存儲有計算機(jī)執(zhí)行指令，當(dāng)節(jié)點控制器的至少一個處理器執(zhí)行該計算機(jī)執(zhí)行指令時，節(jié)點控制器執(zhí)行上述各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本發(fā)明實施例里還提供一種計算機(jī)可讀存儲介質(zhì)，計算機(jī)可讀存儲介質(zhì)中存儲有計算機(jī)執(zhí)行指令，當(dāng)網(wǎng)絡(luò)安全防護(hù)裝置的至少一個處理器執(zhí)行該計算機(jī)執(zhí)行指令時，網(wǎng)絡(luò)安全防護(hù)裝置執(zhí)行上述實施例中的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本發(fā)明實施例里還提供一種計算機(jī)程序產(chǎn)品，該計算機(jī)程序產(chǎn)品包括計算機(jī)執(zhí)行指令，該計算機(jī)執(zhí)行指令存儲在計算機(jī)可讀存儲介質(zhì)中。節(jié)點控制器的至少一個處理器可以從計算機(jī)可讀存儲介質(zhì)讀取該計算機(jī)執(zhí)行指令，至少一個處理器執(zhí)行該計算機(jī)執(zhí)行指令使得節(jié)點控制器實施前述方法實施例中的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

本發(fā)明實施例里還提供一種計算機(jī)程序產(chǎn)品，該計算機(jī)程序產(chǎn)品包括計算機(jī)執(zhí)行指令，該計算機(jī)執(zhí)行指令存儲在計算機(jī)可讀存儲介質(zhì)中。網(wǎng)絡(luò)安全防護(hù)裝置的至少一個處理器可以從計算機(jī)可讀存儲介質(zhì)讀取該計算機(jī)執(zhí)行指令，至少一個處理器執(zhí)行該計算機(jī)執(zhí)行指令使得網(wǎng)絡(luò)安全防護(hù)裝置實施上述的各種可能設(shè)計或者第四方面或者第四方面的各種可能設(shè)計提供的網(wǎng)絡(luò)安全防護(hù)方法。

最后應(yīng)說明的是：以上各實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述各實施例對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改，或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍。