公共安全防护系统和公共安全防护方法

摘要

本发明公开了一种公共安全防护系统，该系统包括：在互联网边缘设置的多个公共安全防护装置，各公共安全防护装置通过信息交互构成公共安全防护网；所述公共安全防护装置，用于将根据本地安全事件信息获取的安全策略保存，并分发给根据安全事件信息确定的目标公共安全防护装置；将接收自外部的安全策略保存；根据自身保存的安全策略对流经的上行和/或下行流量进行控制。本发明还公开了一种公共安全防护方法。使用本发明能够为互联网提供有效的公共安全防护。

说明书

技术领域

本发明涉及网络安全技术，具体涉及公共安全防护系统和公共安全防护方法。

背景技术

互联网是国家重要信息基础设施之一，成为人们赖以工作和生活的重要信息环境。目前的互联网安全防护方案主要有防火墙、入侵检测等，这些安全防护方案都专属于特定的网络实体，例如个人用户或诸如企业用户的局域网用户，因此被部署于个人用户的主机内或企业用户的局域网侧，为个人用户或企业用户这些被防护点提供信息和网络的安全防护。以下将现有的以保护被防护点信息和网络安全为目的安全防护系统称为专用防护系统，简称“专防”系统。现有的防火墙、入侵检测等安全防护方案都属于“专防”系统，设置有“专防”系统的网络实体称为专防点。

图1为现有的一种安全防护方案示意图，如图1所述，个人用户通过接入网与互联网进行信息交互，企业网直接与互联网进行信息交互。“专防”系统被设置在个人用户的主机内，和企业用户的局域网侧，保证了个人用户和企业网的安全。

然而，目前这种“专防”系统具有以下不足：

首先，这种在被保护点侧实施的“专防”是基于个人用户或企业用户的需要，采用单向防护对来自网络的流量进行监测和控制，其目的是保证被保护点的安全，正所谓“律人不律己”。对自身是否是攻击源，以及自身是否会对互联网构成安全威胁并不关注。当个人用户、企业网为攻击源时，其发起的攻击行为将在互联网中快速传播，使得连接在互联网但没有设置安全防护的个人用户或企业网成为被攻击的目标。可见，作为公共网络的互联网，其是否安全直接关系到联网的个人用户和企业网的安全。

其次，“专防”方案只是在互联网的“不安全海洋”中建立“安全孤岛”，各“专防”系统之间是相互独立的，因此“专防”系统的安全性完全取决于其自身的防护能力和防护水平。虽然已经有相关安全防护方案提出在局域网内部实现例如防火墙与入侵检测系统之间的联动，但是这也只是在“专防”系统内部进行的安全联动，各“专防”系统之间不发生任何联系。因此，这种基于“点”的“专防”方案，不能在互联网范围内实现各“专防”系统的联动。当某个“专防”系统发现攻击行为后，只能及时制定相应安全策略并更新自身策略库，而其它的“专防”系统的防护安全防护能力并不能因此而提高。这种各自防护的“专防“方案无法对一些需要在互联网全网范围内进行联合控制的安全事件做出快速响应。

此外，不同的“专防”需要实现很多相同的安全防护能力，例如病毒的防护。这些重复性的工作提高了“专防”的成本和复杂程度，难以实现高效率的安全管理。

可见，现有的安全防护方案不能有效的实现互联网的公共安全防护。

发明内容

有鉴于此，本发明提供了一种公共安全防护系统，能够为互联网提供公共安全防护。

该系统包括在互联网边缘设置的多个公共安全防护装置，各公共安全防护装置通过信息交互构成公共安全防护网；

所述公共安全防护装置，用于将根据本地安全事件信息获取的安全策略保存，并分发给根据安全事件信息确定的目标公共安全防护装置；将接收自外部的安全策略保存；根据自身保存的安全策略对流经的上行和/或下行流量进行控制。

其中，所述公共安全防护装置在确定本地安全事件信息是攻击行为的安全事件信息时，根据该攻击行为的安全事件信息获取安全策略；

所述公共安全防护装置在无法确定本地安全事件信息是否为攻击行为的安全事件信息时，向预先确定的所述公共安全防护网中提供协同分析的协同公共安全防护装置发起携带所述本地安全事件信息的协同分析请求，接收所述协同公共安全防护装置返回的协同分析结果；将协同分析结果中的安全策略作为根据本地安全事件信息获取的安全策略；

较佳地，所述公共安全防护装置进一步接收来自外部设备的携带有安全事件信息的协同分析请求，收集相关的安全事件信息，根据接收的和收集的安全事件信息制定安全策略，将制定的安全策略返回给发起协同分析请求的外部设备；所述外部设备为所述公共安全防护网中的其他公共安全防护装置、或与该公共安全防护装置相通信的专用安全防护系统。

较佳地，所述公共安全防护装置进一步用于在检测出新的攻击模式时，将新的攻击模式保存在本地，并同步到公共安全防护网中的其它公共安全防护装置。

较佳地，所述公共安全防护装置进一步对自身进行安全审计检查，在判定自身受到攻击后，根据本地记录的审计信息恢复到上一个安全状态，并从公共安全防护网中的其它公共安全防护装置中获取恢复后所需的安全策略，并在本地保存。

本发明还提供了一种公共安全防护方法，能够为互联网提供公共安全防护。

在互联网边缘设置多个公共安全防护装置，各公共安全防护装置通过信息构成公共安全防护网，该方法包括：

公共安全防护装置将根据本地安全事件信息获取的安全策略保存，并分发给根据所述安全事件信息确定的目标公共安全防护装置；将接收自外部的安全策略保存；

根据保存的安全策略对流经该公共安全防护装置的上行和/或下行流量进行控制。

其中，所述根据本地安全事件信息获取安全策略为：

公共安全防护装置实时监测流经自身的流量，在检测到安全事件后，以自身保存的决策支持信息为依据，对检测到的该安全事件的安全事件信息进行分析；

在确定所述安全事件为攻击行为时，制定安全策略；

在无法确定所述安全事件是否为攻击行为时，向预先确定的提供协同分析的公共安全防护装置发起携带所述检测到的安全事件信息的协同分析请求；接收提供协同分析的公共安全防护装置返回的协同分析结果，将协同分析结果中的安全策略作为根据安全事件信息获取的安全策略。

所述从外部获取安全策略为：

接收公共安全防护网中其它公共安全防护装置分发的安全策略，作为从外部获取的安全策略；

或者，接收个人用户或局域网用户所使用的专用防护系统定制的安全策略，作为从外部获取的安全策略；

或者，接收安全管理机构的安全管理系统发送的安全策略，作为从外部获取的安全策略；

较佳地，该方法进一步包括，接收来自外部设备的协同分析请求，获取协同分析请求中携带的安全事件信息，根据协同分析请求从外部获取协同分析所需的相关安全事件信息；以自身保存的决策支持信息为依据，对从协同分析请求中获取的安全事件信息和所述协同分析所需的相关安全事件信息进行分析，为确定为攻击行为的安全事件制定安全策略。

较佳地，所述确定所述安全事件为攻击行为之后，进一步包括：在判定所述攻击行为是新的攻击模式时，将新的攻击模式保存在本地，并同步到公共安全防护网中的其它公共安全防护装置。

较佳地，该方法进一步包括：公共安全防护装置对自身进行安全审计检查，在判定自身受到攻击后，根据本地记录的审计信息恢复到上一个安全状态，并从公共安全防护网中的其它公共安全防护装置中获取恢复后所需的安全策略，并在本地保存。

较佳地，该方法进一步包括：对来自公共安全防护装置外部的信息的来源进行认证，在判定所述信息来自合法来源时，允许该公共安全防护装置根据所述信息进行处理。

根据以上技术方案可见，应用本发明能够为互联网提供公共安全防护。具体来说，具有如下有益效果：

在互联网边缘设置多个公共安全防护装置，各公共安全防护装置通过信息交互构成公共安全防护网。该公共安全防护网中的公共安全防护装置部署在互联网的网络边缘，可以由运营商运营，那么就可以在公共安全防护装置中制定相应的策略满足国家、运营商以及用户的公共安全需求。

公共安全防护装置可以将自身制定的安全策略分发给所需的其它公共安全防护装置，也可以接收其它公共安全防护装置分发的安全策略，从而实现了公共安全防护装置之间的联动。因此，这种基于免疫原理的策略分发和学习机制使得公共安全防护网迅速而主动的具有防御各种攻击的能力。解决了现有技术中的“专防”系统相互之间因相互独立而带来的缺陷。

另外，这种联动机制也不仅仅局限于公共安全防护网内部，公共安全防护装置还可以与“专防”系统联动。因此，这种联动性是整个互联网范围内的，是公共安全防护装置之间，或公共安全防护装置与“专防”系统之间的联动，或公共安全防护装置与安全管理机构的安全管理系统之间的联动，而不是现有的“专防”系统内部联动。

公共安全防护装置不仅能够主动制定安全策略，而且可以通过协同分析机制进行安全事件信息的协同分析。这种协同分析的机制使得公共安全防护装置在依据自身能力无法确定是否发生了攻击行为时，请求协同公共安全防护装置协同分析，充分的运用的公共安全防护网的资源，使得公共安全防护装置能够对攻击行为进行快速响应。

公共安全防护系统中的公共安全防护装置可以向其他安全防护装置学习安全策略。某一个公共安全防护装置被攻击后，可以通过记录的审计信息恢复到上一个安全状态，同时从公共安全防护网中的其它公共安全防护装置中获取恢复后所需的安全策略，并保存在所述策略库中，使其迅速恢复其工作能力。

各个公共安全防护装置可以对上行和下行流量进行控制，实现双向的安全防护。

当一个公共安全防护装置发现新的攻击模式后，将新的攻击模式同步到公共安全防护网中的其它公共安全防护装置，使获得该攻击模式的公共安全防护网也能够正确识别此类攻击行为。

综上，本发明的公共安全防护方案能够有效防御网络攻击行为的发生，确保网络环境的安全，实现了公共安全防护。

附图说明

图1为现有的一种安全防护方案示意图。

图2为本发明实施例中公共安全防护系统的结构示意图。

图3为本发明实施例中公共安全防护装置的结构示意图。

图4为本发明公共安全防护方法的示意性流程图。

图5为本发明实施例中公共安全防护装置对本地安全事件的处理的方法流程图。

图6为本发明实施例中公共安全防护装置执行协同分析操作的方法流程图。

具体实施方式

本发明提出了公共安全防护的概念，简称“公防”。“公防”的目的是保护互联网的公共安全，保证互联网不向联网用户发起攻击，也不被联网用户攻击，实现全网范围内对安全事件的快速感知和响应。

实现公共安全防护的实体称为公共安全防护装置，简称公防点。与现有的“专防”系统区别在于，公防点被部署在公共互联网的边缘，各公防点对流经的双向流量进行控制，且各公防点之间可以通过信息交互联动。具体来说，对于部署在公共互联网边缘的每个公防点来说，都需要承担两个重要的公共安全职责：其一是保护公防点两端的安全，对流经公防点的上行和下行流量进行控制，即可以抵御网络发起的攻击，且不向网络发起攻击。其二是各个公防点能够联动，形成公共防护网，各公防点能够在获得新的安全策略后分发给其它相关公防点，使得各公防点迅速而主动的具备防御各种攻击行为的能力，从而有效的保障互联网环境的安全，实现公共安全防护。

实现该公防点功能的设备称为公共安全防护装置。该公共安全防护装置可以设置在处于互联网边缘的网络设备中，也可以单独设置于互联网边缘。

下面结合附图并举实施例，对本发明进行详细描述。

图2示出了本发明实施例中公共安全防护系统的结构示意图。如图2所示，该系统包括多个公共安全防护装置201。各公共安全防护装置201通过交互信息实现联动。每个公共安全防护装置都可以将根据本地安全事件信息获取的安全策略保存，并分发给根据安全事件信息确定的目标公共安全防护装置；该公共安全防护装置201将接收自外部的安全策略保存；还根据保存的安全策略对流经该公共安全防护装置的上行和下行流量进行控制(如图2所示实线为数据流量)。

其中，安全事件信息是与安全事件相关的信息，安全事件是指可能对公共安全防护装置两端的网络实体造成安全威胁的访问行为或流量数据。

这里所述的互联网是由运营商运营的“运营商网络”，其可以是一个城域网，也可以是由多个城域网组成的网络，如省网；公共安全防护装置可以是设置在互联网边缘的独立的设备，也可以设置在互联网边缘的宽带接入服务器、或边缘路由器、或其它网络边缘设备中；各公共安全防护装置之间通过信令实现信息交互，信令流(如图2中虚线所示)使得各公共安全防护装置形成全网状、星型或其它结构形式的拓扑。

本发明将公共安全防护系统称为公共安全防护架构(IPSPA，InternetPublic Security Protection Architecture)，或IPSPA体系。IPSPA体系中的每个公共安全防护装置可以独立工作，也可以协同工作。

公共安全防护系统中的公共安全防护装置可以单独工作，也可以协同工作，还可以与现有的“专防”系统协同工作。图2还示出了公共安全防护系统与“专防”系统相结合的关系，如图2所示，公共安全防护装置201与“专防”系统202之间可以通信，它们也可以各自独立工作，担负不同的职责。“公防”和“专防”的结合后，“专防”可以更有效的利用其安全防护方案，专注于为个人用户或企业网用户提供特定安全防护能力；而“公防”面向国家、运营商的安全需求以及用户的公共安全需求，在运营商管辖的公共互联网范围内，为个人用户或企业网用户提供公共安全防护能力。因此，“公防”和“专防”的有效结合，可以满足不同主体的安全需求，进而形成更加完整的互联网安全防护体系。

各公共安全防护装置之间不仅可以进行联动控制，还可以进行协同分析。具体而言，公共安全防护装置201在确定本地安全事件信息是攻击行为的安全事件信息后，可以根据该攻击行为的安全事件信息制定安全策略；当公共安全防护装置无法确定本地安全事件信息是否为攻击行为的安全事件信息时，向预先确定的提供协同分析的协同公共安全防护装置发起携带本地安全事件信息的协同分析请求，并接收协同公共安全防护装置返回的协同分析结果；将协同分析结果中的安全策略作为根据本地安全事件信息获取的安全策略。

可提供协同分析的公共安全防护装置201不仅可以协助其它公共安全防护装置进行协同分析，还可以为“专防”系统提供协同分析。

在分析或协同分析过程中，如果公共安全防护装置在检测出新的攻击模式时，将新的攻击模式保存在本地，并同步到公共安全防护网中的其它公共安全防护装置。

另外，各公共安全防护装置对自身进行安全审计检查，在判定自身受到攻击后，不仅可以根据本地保存的审计信息恢复到上一个安全状态，还可以从公共安全防护网中的其它公共安全防护装置中获取恢复后所需的安全策略，并在本地保存。

下面结合公共安全防护装置的具体组成对公共安全防护装置如何实现上述联动、协同分析、攻击模式更新等功能进行详细说明。

图3示出了本发明实施例中公共安全防护装置的结构示意图。如图3所示，该公共安全防护装置包括安全事件库305、决策支持库306、策略库303、信息搜集模块307、分析决策模块301、协同模块302和防护控制模块304。

其中，安全事件库305，用于存储安全事件信息。这些安全事件信息是自身搜集的，或者是从其它公共安全防护装置获取的，或者是“专防”系统发送来的，或者是安全管理机构的安全管理系统发送来的。

安全事件库305存储的安全事件信息包括安全事件发生的日期和时间、安全事件的主体和客体、安全事件的类型、安全事件的危险级别、安全事件的分析结果以及处理状态等。其中，安全事件的主体和客体包括：安全事件的源地址或源地址段，安全事件的目的地址或目的地址段；安全事件的类型包括：拒绝服务(DoS，Deny of Service)攻击，蠕虫病毒等；安全事件的危险级别包括：一般危险、中等危险、非常危险；安全事件的分析结果是指安全事件可能造成的后果；安全事件的处理状态包括：忽略该安全事件、请求协同分析等待分析结果、已制定安全策略等。这些安全事件信息可用于支持网络攻击系统的定位和追踪。

决策支持库306，存储用于分析决策的决策支持信息。这些决策支持信息是分析决策模块301进行分析和协同分析的依据。决策支持信息包括在分析决策过程中用于攻击模式匹配的攻击模式信息，用于异常分析的分析规则等。

策略库303，存储用于防护控制的安全策略。安全策略包括策略内容、策略的有效时间、策略的来源、以及策略的状态等。其中，策略的来源是该策略来自何处，例如策略是自身制定的，或者来自其他公共安全防护装置、或者来自“专防”系统，或者来自安全管理机构的安全管理系统。策略的状态包括自动执行状态和禁用状态，处于自动执行状态的安全策略为有效的安全策略。

信息搜集模块307，用于实时监测流经该公共安全防护装置的流量，在检测到安全事件后，获取与该安全事件相关的安全事件信息，将获取的安全事件信息发送到安全事件库305保存，同时向分析决策模块301发送安全事件分析通知。该信息搜集模块307的安全事件搜集功能可以通过配置实现该功能的启动或禁用。

分析决策模块301负责根据安全事件信息、决策支持信息进行分析和/或协同分析。首先对分析决策模块的分析操作进行说明。

分析决策模块301在接收到信息搜集模块307发送的安全事件分析通知后，从安全事件库305提取当前发生的安全事件信息或最近一段时间内发生的安全事件信息，从决策支持库306中获取决策支持信息，根据得到的安全事件信息和决策支持信息进行分析，得到分析结果。分析操作可以采用现有的攻击模式匹配，异常行为分析，数据挖掘等技术。分析的目的是判断自身防护点是否检测到攻击行为。

下面对在判定发生了攻击行为的情况进行描述。在判断发生了攻击行为后，执行如下操作：

1、进行安全事件报警。

报警操作可以配置为启动或禁止，在启动情况下，还可以配置具体的报警操作。

2、判断是否需要制定新的安全策略。在判定需要制定新的安全策略时，根据该攻击行为的安全事件信息制定新的安全策略。然后根据本地安全策略更新规则对策略库303中的安全策略进行更新处理。并在判定需要分发该新的安全策略后，向协同模块302发送攻击行为的安全事件信息，以及新制定的安全策略。

其中，在判断是否需要制定新的安全策略时，如果该攻击行为没有对应的安全策略，则判定为需要制定，否则不需要制定。在判断是否需要分发该新的安全策略时，根据攻击行为的类型进行判断。例如，对于病毒造成的攻击行为则需要向公共安全防护网中所有其它公共安全防护装置分发该安全策略；当攻击行为从源到目的经过了多个公共安全防护装置，第一个经过的公共安全防护装置为源公共安全防护装置，那么，当判断出该攻击行为的公共安全防护装置不是源公共安全防护装置时，则需要向源公共安全防护装置分发其制定的安全策略，使得源公共安全防护装置能够在源头上控制该攻击行为；如果判断出攻击行为的公共安全防护装置是源公共安全防护装置，则可以不分发其制定的安全策略，在源头上控制该攻击行为。对于判断是否需要分发安全策略的规则可以预先进行设定，具体规则也是根据不同的安全需要进行设定的。

另外，向协同模块302发送的攻击行为的安全事件信息可以是安全事件信息的一部分属性，例如安全事件源地址和目的地址、源地址段或目的地址段和安全事件类型，以协助协同模块302根据这些信息确定要进行策略分发的目标公共安全防护装置。

3、判断发生的攻击行为是否属于未知的攻击模式；如果是，则获取攻击模式，根据本地攻击模式更新规则，将获取的攻击模式信息作为决策支持信息，对决策支持库306中的决策支持信息进行更新，并向协同模块302发送获取的攻击模式信息。该判断步骤与判断是否需要制定新的安全策略的步骤和报警步骤并没有明确的顺序。

在上述判断、处理等工作完成后，分析决策模块301还要将分析处理结果保存到安全事件库305中。分析处理结果包括安全事件的类型，安全事件的分析结果，以及安全事件的处理状态。

上述安全策略更新规则可以设置为：默认自动插入新的安全策略到安全策略库、或在发出告警信息后等待管理员确认后，对新安全策略进行进一步处理。攻击模式更新规则可以设置为：默认自动插入新的攻击模式到决策支持库306，或等待管理员确认后对新攻击模式进行进一步处理。且本地安全策略更新规则和攻击模式更新规则可以设置在分析决策模块301中，也可以设置在公共安全防护装置中一个存储模块中。例如，在该公共安全防护装置中增加一个配置信息存储模块，用于存储诸如安全策略更新规则和攻击模式更新规则等处理规则和配置信息。

协同模块302是公共安全防护装置与外部进行信息交互的接口。该协同模块302会接收到来自公共安全防护装置内部的信息和来自其它公共防护装置或“专防”系统或来自安全管理机构的安全管理系统的信息。由于协同模块302接收的信息来源和类型都比较复杂，因此以下分类对协同模块302的功能进行详细描述。

1)对安全策略分发操作的处理；

协同模块302在接收到来自分析决策模块301的安全事件信息和安全策略后，根据接收到的安全事件信息确定目标公共安全防护装置，生成携带有安全策略的安全策略分发消息，向确定的目标公共安全防护装置发送该安全策略分发消息。

这里，确定目标公共安全防护装置的操作为：根据接收到的安全事件信息中的安全事件源地址和目的地址、源地址段或目的地址段或安全事件类型确定目标公共安全防护装置，并发送安全策略分发消息。举个例子，公共安全防护装置A根据安全事件信息中的源和目的地址段发现来自地址为b，c，d的流量分别流经公共防护点B、C和D，然后经过A点向目标地址a发起攻击，则该公共安全防护点A在制定安全策略后，需要向B、C和D发送其制定的安全策略，使B、C和D能够控制相关流量。还可以根据安全事件的类型确定目标公共安全防护装置，例如如果该安全事件是病毒，则需要向公共安全防护网中的所有公共安全防护装置发送新制定的安全策略。

协同模块302在接收到来自外部的安全策略分发消息后，从中获取安全策略，根据本地安全策略更新规则，采用获取的安全策略对策略库303进行更新处理。

2)对攻击模式信息同步操作的处理；

协同模块302接收到来自分析决策模块301的攻击模式信息后，生成携带有该攻击模式信息的攻击模式同步消息，向其它公共安全防护装置发送生成的攻击模式同步消息。通常，攻击模式同步操作会在全网范围内进行，以实现全网防护点攻击模式信息的更新。这里全网是指由公共安全防护装置组成的公共安全防护网。

协同模块302在接收到来自其它公共安全防护装置的攻击模式同步消息后，从中获取攻击模式信息，根据本地攻击模式更新规则，采用获取的攻击模式信息更新支持策略库306。

这里所述的本地安全策略更新规则和攻击模式更新规则可以设置在协同模块302中，也可以设置在该公共安全防护装置中的一个存储模块中，例如前述配置信息存储模块。通常，同一公共安全防护装置不同模块中的安全策略更新规则会配置为相同的，同理攻击模式更新规则也会配置为相同的。如果采用后者的方案，那么只需要一次配置就可以使协同模块302和分析决策模块301共享相同的安全策略更新规则和攻击模式更新规则。

防护控制模块304，用于依据策略库303中的安全策略对流经该公共安全防护装置的上行和下行流量进行实时控制。该模块的防护控制功能也可以配置具体设置为对上行流量、或下行流量进行防护控制。

在实际中，如果分析决策模块301无法确定正在分析的安全事件是否为攻击行为，则可以根据安全事件的行为特征确定该安全事件可能导致的威胁等级。对于不同等级的安全事件，分析决策模块301可以根据预先确定的操作方式进行处理。例如，对于具有高威胁等级的安全事件，分析决策模块301可将具有高威胁等级的安全事件信息携带在协同分析请求中发送给协同模块302。

协同模块302在接收到来自分析决策模块301发送的协同分析请求后，向预先确定的可以为该公共安全防护装置提供协同分析的公共安全防护装置发起协同分析请求。以下将可以提供协同分析的公共安全防护装置称为协同公共安全防护装置。如果发起协同分析的公共安全防护装置没有对应的协同公共安全防护装置，则不能发起协同分析。

协同模块302在接收到协同公共安全防护装置返回的协同分析结果后，从中获取安全事件的分析处理结果，采用分析处理结果更新安全事件库305中对应的安全事件信息。如果该协同分析结果指示被协同分析的安全事件为攻击事件且协同公共安全防护装置为该攻击事件制定了策略，则该协同模块302还需要进行安全事件报警，根据本地安全策略更新规则采用获取的安全策略更新策略库303。还可以进一步判断是否分发获取的安全策略，并在判定为是时向确定的目标公共安全防护装置分发获取的安全策略。

协同公共安全防护装置在进行协同分析时，是其中的分析决策模块301实现的。下面对协同公共安全防护装置中分析决策模块301进行协同分析的操作进行详细描述。

分析决策模块301从协同模块302接收安全事件协同分析通知，该通知是协同模块302在接收到来自外部的协同请求后发送给分析决策模块301的。协同请求可以是来自其它公共安全防护点，也可以来自“专防”系统，也可以来自安全管理机构的安全管理系统。该安全事件协同分析通知中携带有从协同分析请求中获取的安全事件信息，以及协同模块302从其它相关公共安全防护装置中收集的协同分析所需的安全事件信息。那么，分析决策模块301会从安全事件协同分析通知中获取安全事件信息，根据从决策支持库306中获取的决策支持信息，对得到的安全事件信息进行协同分析。在实际中，所述得到的安全事件信息也可以是协同模块302在收集到协同分析所需的安全事件信息后保存在安全事件库305，并由分析决策模块301提取的，那么，分析决策模块301接收的安全事件协同分析通知中不包含安全事件信息。

分析决策模块301的协同分析操作可以采用现有的攻击模式匹配、异常行为分析和数据挖掘技术中的一种或多种组合。协同分析的目的是协助发起协同分析的公共安全防护装置、或“专防”系统、或安全管理系统分析其提供的安全事件是否为攻击行为并制定相应的安全策略。

与上述“分析结果”相同，“协同分析结果”也包括两种情况。在判定为发生攻击行为后，执行报警、制定安全策略和同步攻击模式的操作，不负责安全策略的分发。最后在协同分析完成后，将安全事件的分析处理结果保存到安全事件库305中。对于协同分析也无法判断的安全事件，则可以进一步请求该进行协同分析的公共安全防护装置对应的协同公共安全防护装置进行协同分析，或者等待管理员处理。

由于是协同分析，分析决策模块301在协同分析完成后还需要将携带安全事件的分析处理结果的协同分析结果发送给协同模块302，使其将该结果返回到发起协同请求的公共安全防护装置、或“专防”系统，或安全管理系统。如果在协同分析过程中判断出请求分析的安全事件为攻击行为，且制定了相应的安全策略，则返回的协同分析结果还包括该安全事件对应的安全策略。

下面对协同模块302在协同分析过程中进行的相关操作进行详细描述。对于协同分析的情况，作为外部接口的协同模块302，其具体的工作是对来自内部和外部的与协同分析相关的信息进行处理：

首先，对于协同分析请求，协同模块302在接收到来自其它公共安全防护装置、或“专防”系统、或安全管理系统的协同分析请求后，从协同分析请求中获取安全事件信息，从获取的安全事件信息中提取相关时间段、相关IP地址或相关应用程序等信息进行分析，判断是否需要向其它公共安全防护装置发起协同安全事件信息获取请求，以获取用于协同分析的相关安全事件信息；如果判定为是，则确定目标公共安全防护装置，向确定的目标公共安全防护装置发送携带相关时间段、相关IP地址或相关应用程序等信息的协同安全事件信息获取请求。等待目标公共安全防护装置返回相关安全事件信息或等待超时后，将收集到的安全事件信息保存到安全事件库，同时向分析决策模块发送安全事件协同分析通知。或者，将收集到的安全事件信息携带在安全事件协同分析通知中发送给分析决策模块301。在判断是否应该向其它公共安全防护装置发起协同安全事件信息获取请求时，判断自身的安全事件库305中是否有与协同分析请求中携带的安全事件信息相关的安全事件信息，如果没有，则需要向其它公共安全防护装置发起协同安全事件信息获取请求；或者，判断依据协同分析请求中的安全事件信息以及自身安全事件库305保存的相关安全事件信息是否能够进行攻击行为的判断，如果不能则向其它公共安全防护装置发起协同安全事件信息获取请求。

对于协同分析结果，协同模块302在接收到来自分析决策模块301的协同分析结果后，将该协同分析结果返回给发起请求的公共安全防护装置、或“专防”系统、或安全管理系统。

另外，对于协同安全事件信息获取请求，协同模块302接收到来自其它公共安全防护装置的协同安全事件信息获取请求后，根据协同安全事件信息获取请求中的相关时间段、相关IP地址或相关应用程序等信息判断该提取哪些安全事件信息，根据判断结果从安全事件库305中提取对应的安全事件信息，将提取的安全事件信息返回给发起请求的公共安全防护装置。在判断该提取哪些安全事件信息时，可以根据时间段来获取，例如获取在过去2天内发生的安全事件信息，或者也可以同时考虑应用类型，例如过去2天内针对某一类应用发生的安全事件信息。如果当前提供协同安全事件信息的公共双向防护点中没有相关的安全事件信息或者安全事件的相关性不是很强时，也可以从其它的公共安全防护装置中获取相关的安全事件信息。

可见，协同分析所依据的安全事件信息是来自多个相关公共安全防护装置的。对于联合攻击来说，需要多个相关的公共安全防护装置提供用于协同分析的安全事件信息，因此，本发明的协同分析实现了网络中联合攻击的识别。

在实际中，公共安全防护装置还包括审计信息库311和安全审计模块312。

审计信息库311，用于存储自身公共安全防护装置的审计信息。该审计信息包括安全状态变更信息、重要文件的修改信息等。

安全审计模块312，用于根据本地安全审计配置，对自身公共安全防护装置进行安全审计检查，以判断自身是否受到了攻击。如果是，则进行恢复操作。其中，安全审计检查例如对重要文件的完整性检查，当被检查的重要文件不完整时，判定为受到了攻击。恢复操作包括以下两个步骤：

步骤a)根据审计信息库中的审计信息恢复到上一个安全状态；

步骤b)判断是否需要向其它公共安全防护装置发起安全策略同步请求，如果是，则通过协同模块302向其它公共安全防护装置发送安全策略同步请求。该安全策略同步请求中可以携带时间信息以及策略类型信息，时间信息表明获取从哪个时刻以后的安全策略，策略类型信息指出获取通用安全策略，还是针对该公共安全防护装置的安全策略。其它公共安全防护装置接收到该安全策略同步请求后，获取其携带的时间信息以及所需策略类型，将该时间信息所指示的时刻以后的、与安全策略同步请求发起者相关的安全策略返回给发起安全策略同步请求的公共安全防护装置。判断是否需要向其它公共安全防护装置发起安全策略同步请求时，可以根据预先设置的策略同步判断规则进行判断，例如，通过审计日志信息发现在上一个安全状态时间后，进行了安全策略更改，则发送安全策略同步请求。

其中，本地安全审计配置包括执行审计检查的时间间隔。安全审计模块312根据审计检查的时间间隔，定期执行上述安全审计操作。本地安全审计配置可以设置在安全审计模块中，也可以设置在公共安全防护装置中一个存储模块中，例如前述配置信息存储模块。

在这种情况下，信息搜集模块307还用于对公共安全防护装置进行实时监测，将记录的审计信息发送到审计信息库311保存。这里，对公共安全防护装置进行实时监测是指对该装置内部的各个模块和数据库进行监测，记录该公共安全防护装置的审计信息，即公共安全防护装置所进行的活动的情况，例如，谁访问了公共安全防护装置，数据库被改动的情况，公共安全防护装置执行了什么操作等。

协同模块302在接收到来自安全审计模块312的安全策略同步请求后，确定目标公共安全防护装置，将安全策略同步请求发送给确定的目标公共安全防护装置，请求获取安全策略。这里，确定目标公共安全防护装置的操作可以根据配置信息和/或审计信息确定。在根据配置信息确定时，可以预先为每个公共安全防护装置配置一个或多个可提供全网通用安全策略同步的公共安全防护装置，并保存在配置信息中。该配置的提供全网通用安全策略同步的公共安全装置为其它公共安全防护装置提供全网通用的安全策略，例如病毒控制策略。在根据审计信息确定时，可以将审计信息记录曾接收本公共安全防护装置分发的安全策略的公共安全防护装置作为目标公共安全防护装置，或者将曾向本公共安全防护装置分发安全策略的公共安全防护装置作为目标公共安全防护装置，并从根据审计信息确定的目标公共安全防护装置上获取非全网通用的安全策略。例如，安全审计模块将公共安全防护装置A恢复到2007-6-2的安全状态，但审计信息显示，从2007-6-2到当前时刻，公共安全防护装置A从公共安全防护装置B、C接收过非全网通用的安全策略，则将公共安全防护装置B和C确定为进行安全策略同步的目标公共安全防护装置。

当协同模块302接收到来自其它公共安全防护装置的安全策略同步请求后，从策略库303中提取相应安全策略，将提取的安全策略携带在安全策略同步响应中，返回给发起请求的公共安全防护装置。

可见，在自身受到攻击后本装置还可以自动恢复到上一个安全状态，同时通过发送安全策略同步请求，获取恢复时刻与恢复的上一个安全状态时刻之间的新安全策略，保证恢复后，仍然具备最新的攻击防御能力，保证了公共安全防护的有效性。

在实际中，本发明公共安全防护装置进一步包括认证数据库322和认证管理模块321，其中，

认证数据库322，用于存储认证信息，包括公共安全防护装置之间的认证信息，专用系统的认证信息，以及安全管理系统的认证信息。例如，合法的公共安全防护装置的证书。

认证管理模块321，用于接收协同模块302发来的认证请求，依据认证数据库322中的认证信息和认证请求中的认证信息进行认证，并向协同模块302返回认证结果。

协同模块302在接收到来自外部的信息后，根据该信息携带的认证信息生成认证请求发送给认证管理模块321，在根据认证结果确认认证通过时才进行后续操作。如果认证不通过，则不进行后续操作，向发送相关信息的公共安全防护装置或“专防”系统或安全管理系统返回认证失败信息。认证信息可以采用用户名+密码的方式，那么认证请求中会包括用户名和密码，认证管理模块321判断认证请求中的用户名和密码与认证数据库322中的用户名和密码一致，则认证成功。这是一种较为简单的认证方式，当然，也可以采用现有其它认证机制实现各公共安全防护装置之间，公共安全防护装置与“专防”系统之间，公共安全防护装置与安全管理系统之间的认证。

可见，认证管理模块321和认证数据库322的设置可以保证公共安全防护装置接收到信息来自可以信任的公共安全防护装置、“专防”系统和安全管理系统。

在实际中，为了满足不同的安全需求，可以在该协同模块302中设置一安全策略定制接口，该接口可以接收定制的安全策略，使得公共安全防护装置可以接收用户或国家安全机构定制的安全策略，满足特定的安全需求。例如，设置在宽带接入服务器的公共安全防护装置可以接受接入层用户定制的过滤不良网站的安全策略。该协同模块302通过安全策略定制接口接收到定制的安全策略后，还需要判断定制的策略是否与策略库中的安全策略相冲突，在判定为不冲突时，根据安全策略更新规则自动的或经管理人员确认后，插入到策略库中。

图4为本发明实现公共安全防护方法的示意性流程图。如图4所示，该方法包括以下步骤，

步骤401：预先在互联网的边缘设置公共安全防护装置。

步骤402：公共安全防护装置将根据本地安全事件信息获取的安全策略在本地保存，并分发给根据安全事件信息确定的目标公共安全防护装置；将接收自外部的安全策略在本地保存。

步骤403：公共安全防护装置根据本地安全策略，对流经该公共安全防护装置的上行和/或下行流量进行控制。通过配置，可以对流经该公共安全防护装置的上行流量、或下行流量，或同时对上行和下行流量进行控制。

下面从一个公共安全防护装置的角度，说明其对本地安全事件的处理。

图5为本发明实施例公共安全防护装置对本地安全事件的处理的方法流程。如图5所示，该方法包括：

步骤501：实时监测公共安全防护装置，记录审计信息；实时监测流经公共安全防护装置的流量。

本步骤实时不间断的执行。

步骤502：判定检测到安全事件。

其中判断是否检测到安全事件是成熟的技术。例如，可以根据当前流量所承载的访问控制行为和/或当前流量的行为进行判断。如果发现有大量对相同节点的访问，或发现当前流量突然开始持续增大，则判定为检测到了安全事件。此时，该安全事件只是被认为有威胁的行为。

步骤503：在本地保存检测到的安全事件对应的安全事件信息。

在步骤502中检测到的与安全事件相关的信息，即安全事件信息是用于后续决策分析的依据，因此需要保存。

步骤504：从本地获取与检测到的安全事件相关的安全事件信息，并且从本地获取决策支持信息。

其中，与安全事件相关的安全事件信息不仅包括检测到的安全事件对应的安全事件信息，还可能包括最近一段事件发生的相关联安全事件对应的安全事件信息。

步骤505：判断是否发生了攻击行为。如果能够判定发生攻击行为，则执行步骤506；如果无法判定，则执行步骤520。

本步骤505中，根据从本地收集的安全事件信息和决策支持信息进行模式匹配、异常行为或数据挖掘等分析，判断是否发生了攻击行为。

步骤506：攻击报警。

步骤507：根据攻击行为对应的安全事件信息制定安全策略。

本步骤中，如果本地已经具备了该攻击行为对应的安全策略，则不必再次制定。

步骤508：判定步骤505检测到的攻击行为是否为新的攻击模式。如果是，则执行步骤509；否则，执行步骤510。

步骤509：将攻击行为的攻击模式信息作为决策支持信息，更新本地决策支持信息，并将该攻击模式信息同步到其它公共安全防护装置。

本步骤中，同步操作是在全网进行的。

本步骤执行后，接收到攻击模式信息的公共安全防护装置，根据本地攻击模式更新规则，更新本地攻击模式信息。

攻击模式的同步处理保证了各公共安全防护装置能够及时得到最新的攻击模式信息。使得各公共安全防护装置自动具有最新的识别攻击行为的能力，使其主动具备抵御最新攻击的能力。

步骤510：判断是否需要更新本地安全策略；如果是，则执行步骤511；否则，执行步骤512。

本步骤510中，根据本地安全策略更新规则对制定的安全策略或协同分析公共安全防护装置返回的安全策略进行处理。例如，该攻击行为的威胁程度很低时，忽略该安全事件对应的安全策略；攻击行为的威胁程度中等或者很高，则判定需要更新本地安全策略。

步骤511：更新本地安全策略。

本步骤的具体更新过程也依据本地安全策略更新规则进行处理，例如将自动更新本地安全策略，或者发出警告信息后等待管理员进一步确定后，再更新本地安全策略。

步骤512：判断是否需要分发制定的安全策略；如果是，则执行步骤513；否则，执行步骤514。该被判断的安全策略可以是本地制定的安全策略，也可以是协同分析公共安全防护装置返回的安全策略。

本步骤512中，根据攻击行为对应的安全事件信息源和目的地址、攻击类型以及安全事件的等级决定是否需要向其它公共安全防护装置分发制定的安全策略。例如，安全事件的源和目的地址分别为a，b。相关流量从a经过公共安全防护装置A、公共安全防护装置B，到达目标节点b。在公共安全防护装置B发现a对b发起攻击时，判定需要向A分发安全策略。

在实际中，可以先执行步骤512的判断，再执行步骤510的判断。

步骤513：根据攻击行为的安全事件信息确定目标公共安全防护装置，向目标公共安全防护装置发送制定的安全策略。

本步骤执行后，接收到所分发的安全策略的目标安全防护装置根据其自身安全策略更新规则更新其保存的安全策略。

安全策略的分发保证了公共安全防护体系能够对攻击进行快速的响应，从而实现实时的防护。

步骤514：更新本地安全事件信息中安全事件的分析处理结果。本流程结束。

步骤520：判断是否发起协同分析请求；如果是，则执行步骤521；否则，执行步骤530。

本步骤中，根据步骤504获取的安全事件信息确定该事件可能导致的威胁等级，根据威胁等级判断是否发起协同分析请求。例如，当威胁程度很低或者中等，判定不需要发起协同分析请求；如果威胁程度很高，且该公共安全防护装置具有预先确定的协同公共安全防护装置，则判定需要发起协同分析请求。如果该公共安全防护装置没有对应的协同公共安全防护装置，也会判定为不发起协同分析请求。

步骤521：向协同公共安全防护装置发起携带有安全事件信息的协同分析请求。

步骤522：接收返回的协同分析结果。

步骤523：根据协同分析结果判断，请求协同分析的安全事件是否为攻击事件，且随协同分析结果返回了为该攻击事件制定的安全策略。如果是，则执行步骤524；否则，执行步骤514。

步骤524：攻击报警。然后执行步骤510。

步骤530：根据安全事件的威胁等级对安全事件进行处理，然后执行步骤514。

本步骤中，根据安全事件的威胁等级进行相应的处理。例如，当安全事件的威胁程度很低时，忽略该安全事件；如果威胁程度中等，则发出报警信息，等待管理员处理或等待自身时间相关性安全事件发生后再进行处理。对于没有协同公共安全防护装置的公共安全防护装置来说，对于威胁程度很高的安全事件，也只能发出报警信息，等待管理员处理或等待自身时间相关性安全事件发生后再进行处理。

至此，本流程结束。

上述步骤501执行后，公共安全防护装置将记录的审计信息在本地保存。根据本地安全审计配置，定期根据保存的审计信息，对自身公共安全防护装置进行安全审计检查，以判断自身是否受到了攻击。如果是，则根据审计信息库中的审计信息恢复到上一个安全状态；判断是否需要向其它公共安全防护装置发起安全策略同步请求，如果是，则确定目标公共安全防护装置，向确定的目标公共安全防护装置发送安全策略同步请求，否则，等待执行下一次的安全审计检查操作。

接收到安全策略同步请求的公共安全防护装置，从本地保存的安全策略中获取被请求的安全策略，将获取的安全策略返回给发起安全策略同步请求的公共安全防护装置。

在上述步骤521执行后，提供协同分析的公共安全防护装置接收到协同分析请求，并进行协同分析。公共安全防护装置还会接收到其他系统，例如“专防”系统或安全管理系统的协同分析请求，此时也会执行协同分析的操作。

图6为本发明实施例中公共安全防护装置执行协同分析操作的方法流程图。如图6所示，该方法包括：

步骤601：接收到携带安全事件信息的协同分析请求。

步骤602：根据协同分析请求中的安全事件信息，判断是否需要从其它公共安全防护装置获取相关的安全事件信息；如果是则执行步骤603；否则，执行步骤606。

本步骤中，根据安全事件信息中的相关时间段、相关IP地址或相关应用程序等信息进行判断。这里，需要从其它公共安全防护装置获取安全事件信息的情况有两种：其一，当本地保存的安全事件信息中，没有与协同分析请求中携带的安全事件信息相关的安全事件信息，则需要从其它公共安全防护装置获取相关的安全事件信息；其二，当依据协同分析请求中的安全事件信息以及本地保存的相关安全事件信息，无法进行是否为攻击行为的判断，则向其他公共安全防护装置获取安全事件信息。

步骤603：确定目标公共安全防护装置，向确定的目标公共安全防护装置发送协同安全事件信息获取请求。

本步骤执行后，接收到协同安全事件信息获取请求的公共安全防护装置，提取相应安全事件信息返回给发起该请求的公共安全防护装置。

步骤604：判断是否接收到返回的用于协同分析的安全事件信息；如果是，则执行步骤606；否则，执行步骤605。

步骤605：判断是否超过预先设定的时间。如果是，则返回执行步骤604；否则，执行步骤606。

步骤606：根据收集的安全事件信息和本地决策支持信息进行协同分析。

本步骤的协同分析操作与图5中的步骤505～509的步骤相同。在更新本地安全事件信息中安全事件的分析处理结果后，继续执行步骤607。

步骤607：向发起协同分析的公共安全防护装置返回协同分析结果。

其中，发起协同分析的还可以是“专防”系统或安全管理系统。

至此，本流程结束。

为了保证信息来源的可靠性，在上述步骤601接收到来自外部的信息后，公共安全防护装置对接收的信息的来源进行认证，在判定所述信息来自合法来源时，允许该公共安全防护装置根据所述信息进行处理。步骤601中来自外部的信息为协同分析请求。该信息还可以是前述安全策略分发消息、攻击模式同步消息、协同分析结果、协同安全事件信息获取请求、安全策略同步请求，等等。

由以上所述可以看出，本发明所提供的公共安全防护方案能够提供公共安全防护，履行公共安全职责。设置在网络边缘的公共安全防护装置通过信令交互信息，实现联动，将网络的安全解决方案从“点”拓展到了“网”，即公共安全防护网，实现了对攻击行为的快速响应。

其次，基于生成、更新和分发的安全策略处理过程，使得全网的公共安全防护装置快速能够快速对安全事件进行响应，从而使公共安全防护网具有实时的安全防护能力。

再次，不同的“公防”点之间能够进行互相获取安全信息，在无法根据自身检测到的安全事件信息判断出安全事件为攻击行为时，可以协同其它公共安全防护装置协同分析，并接收返回的结果，从而可以实现对联合攻击的识别。

公共安全防护装置是按照功能模块进行设计的，在后续的应用过程中，可以根据需要增加新的模块，与其他模块之间的交互只需要满足相关的接口。因此，可以实现功能的灵活扩展。

不同公共安全防护装置之间可以形成灵活的拓扑，因此适合于对防护网的体系进行扩展，也就是说可以扩展到节点更多的情况。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。