防护方法及装置、服务器和存储介质

技术领域

本申请实施例涉及安全技术领域，涉及但不限于一种防护方法及装置、服务器和存储介质。

背景技术

随着信息科技与计算机行业的飞速发展，服务器在当今人们的生产生活中的应用十分深入而广泛。在一些大型数据中心或云计算基地等应用场合中，甚至会部署有几万甚至几十万台服务器，因此，服务器的网络安全至关重要。

发明内容

有鉴于此，本申请实施例提供一种防护方法及装置、服务器和存储介质。

本申请实施例的技术方案是这样实现的：

第一方面，本申请实施例提供一种防护方法，所述方法包括：

如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；

所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；

其中，所述被管理服务器支持所述本机管理系统实现管理功能。

在一些实施例中，所述方法还包括：所述本机管理系统将所述安全事件报告至对应的第一管理系统，使得所述第一管理系统能够将所述安全事件传播至第一集群中除所述本机管理系统以外的其他本机管理系统，进而所述其他本机管理系统能够基于所述安全事件进行主动防护；其中，所述第一集群包括同一网域内的多个本机管理系统，所述第一管理系统用于管理所述第一集群中的每一本机管理系统。

在一些实施例中，所述方法还包括以下至少一种：所述本机管理系统通过所述第一管理系统将所述安全事件报告至对应的第二管理系统，使得所述第二管理系统能够将所述安全事件传播至第二集群中除所述第一管理系统以外的其他第一管理系统；其中，所述第二集群包括多个属于不同网域的第一管理系统，所述第二管理系统用于管理所述第二集群中的每一第一管理系统；所述本机管理系统通过所述第一管理系统将所述安全事件报告至对应的第二管理系统，使得所述第二管理系统能够阻止所述安全事件对应的网络交换机的攻击端口。

在一些实施例中，所述第一管理系统和所述第二管理系统部署于同一管理设备，或，所述第一管理系统和所述第二管理系部署于不同的管理设备。

在一些实施例中，所述方法还包括：如果所述被管理服务器的操作系统确定自身被攻击，生成所述攻击对应的安全事件；所述操作系统将所述安全事件通过通用串行总线地址发送至所述本机管理系统，使得所述本机管理系统能够基于所述安全事件进行主动防护。

在一些实施例中，所述安全事件包括攻击IP和以下参数中的至少一种：攻击者的企图、攻击的开始时间、攻击的MAC地址。

在一些实施例中，所述方法还包括：获取系统事件；对所述系统事件进行分析，确定所述系统事件的事件信息；如果所述系统事件的事件信息符合预设条件，则本机管理系统确定自身被攻击。

第二方面，本申请实施例提供一种防护装置，所述装置包括：

第一事件生成单元，用于如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；

第一事件发送单元，用于所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；

其中，所述被管理服务器支持所述本机管理系统实现管理功能。

第三方面，本申请实施例提供一种被管理服务器，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述防护方法中的步骤。

第四方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法中的步骤。

本申请实施例提供一种防护方法及装置、服务器和存储介质，通过如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；其中，所述被管理服务器支持所述本机管理系统实现管理功能，如此，能够实现主动式的防御，当服务器内部的本机管理系统遭受攻击，该服务器内部的操作系统会接收到信息进而主动封锁攻击。

附图说明

图1为本申请实施例防护方法的实现流程示意图一；

图2为本申请实施例防护方法的实现流程示意图二；

图3为本申请实施例防护方法的实现流程示意图三；

图4A本申请实施例防护方法对应的结构示意图一；

图4B本申请实施例防护方法对应的结构示意图二；

图4C本申请实施例防护方法对应的结构示意图三；

图5为本申请实施例防护装置的组成结构示意图；

图6为本申请实施例被管理服务器的一种硬件实体示意图。

具体实施方式

下面结合附图和实施例对本申请的技术方案进一步详细阐述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。

在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本申请的说明，其本身没有特定的意义。因此，“模块”、“部件”或“单元”可以混合地使用。

需要指出，本申请实施例所涉及的术语“第一\第二\第三”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。

基于此，本申请实施例提供一种防护方法，该方法所实现的功能可以通过被管理服务器中的处理器调用程序代码来实现，当然程序代码可以保存在所述被管理服务器的存储介质中。图1为本申请实施例防护方法的实现流程示意图一，如图1所示，所述方法包括：

步骤S101、如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；

本申请实施例中，所述本机管理系统可以是任一具有服务器管理能力的管理系统，例如，XCC(Lenovo XClarity Controller)，通过XCC能够对本机进行监控管理。其中，每一台被管理服务器对应一个XCC，XCC能够获取对应的被管理服务器中的参数信息，例如硬件配置信息、资源占用信息、温度信息、功耗信息和健康状态信息等。其中，可以将XCC看做是被管理服务器本身自带的固件。

这里，如果被管理服务器中的本机管理系统确定自身被攻击者攻击，则根据该攻击生成对应的安全事件。例如，生成的安全事件可以包括攻击者IP(Internet Protocol，互联网协议)、攻击企图、攻击发生的时间等信息。

步骤S102、所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；其中，所述被管理服务器支持所述本机管理系统实现管理功能。

本申请实施例中，一被管理服务器中包括一本机管理系统和所述被管理服务器的操作系统。进而，如果本机管理系统遭受到攻击者的攻击，本机管理系统可以基于该攻击生成安全事件，并将该安全事件发送至该被管理服务器的操作系统。如此，该操作系统可以提前通过自身的防火墙规则阻止该安全事件中的攻击者IP，防止自身也遭受到该攻击者的攻击，达到主动防护的效果。当然，除了通过自身的防火墙规则阻止该安全事件中的攻击者IP，在接收到安全事件后还可以通过其他的方式、手段达到主动防护的目的，本申请实施例对此并不做限制。

这里，通过上述步骤S101至步骤S102中的方法，能够实现主动式的防御，当服务器内部的本机管理系统遭受攻击，该服务器内部的操作系统会接收到信息进而主动封锁攻击。

在一些实施例中，所述安全事件包括攻击IP和以下参数中的至少一种：攻击者的企图、攻击的开始时间、攻击的MAC(Media Access Control，媒体存取控制)地址。

例如，攻击者的IP可以为192.168.1.222，攻击的开始时间可以是2022年12月1日8:00，攻击者的企图可以是在1分钟内10次登陆失败，攻击的MAC地址可以是00-16-EA-AE-3C-40。

基于前述的实施例，本申请实施例再提供一种防护方法，所述方法应用于被管理服务器，所述方法包括：

步骤S111、如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；

步骤S112、所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；其中，所述被管理服务器支持所述本机管理系统实现管理功能；

本申请实施例中，如果被攻击端来自本机管理系统，操作系统可以通过内部的沟通从本机管理系统获得攻击者IP，然后进行防火墙更新达到主动防护的目的。

步骤S113、如果所述被管理服务器的操作系统确定自身被攻击，生成所述攻击对应的安全事件；

这里，如果被管理服务器中的操作系统确定自身被攻击者攻击，则根据该攻击生成对应的安全事件。例如，生成的安全事件可以包括攻击者IP(Internet Protocol，互联网协议)、攻击企图、攻击发生的时间等信息。

步骤S114、所述操作系统将所述安全事件通过通用串行总线地址发送至所述本机管理系统，使得所述本机管理系统能够基于所述安全事件进行主动防护。

本申请实施例中，如果被攻击端来自操作系统，操作系统的防火墙进行初步防护以后会跟自身的本机管理系统沟通，本机管理系统得到攻击通知后进行主动防护。

例如，当被管理服务器开机时，正常情况下会用到两组IP，一组分配至XCC，另一组分配至主机节点(属于操作系统)。XCC IP是内网IP，跟操作系统下的主机节点IP是区隔开的，操作系统底下会有一组Ethernet Over USB IP的虚拟IP，这组虚拟IP是主机节点跟XCC的桥梁，当操作系统遭受攻击时，操作系统可以透过Ethernet Over USB IP把事件通知到XCC。

本申请实施例中，为了安全性考量将安全事件通过通用串行总线地址(即Ethernet Over USB IP)发送至本机管理系统。该通用串行总线地址所在的装置(即Ethernet Over USB)是区隔企业内部网络跟外部网络的一个沟通装置，如果服务器本身的操作系统中毒是无法透过该装置感染到其他设备或者网络环境的，因此该装置是一个安全性较高的作为广播的介质，让中毒的服务器能够透过这个介质与自身的本机管理系统做沟通，使得本机管理系统自身进行主动防护，以及本机管理系统传播遭受的攻击进而通知其他服务器进行主动防护。

这里，通过上述步骤S111至步骤S113中的方法，能够实现主动式的防御，当服务器内部的本机管理系统遭受攻击，该服务器内部的操作系统会接收到信息进而主动封锁攻击。当服务器内部的操作系统遭受攻击，该服务器内部的本机管理系统会接收到信息进而主动封锁攻击。

基于前述的实施例，本申请实施例再提供一种防护方法，所述方法应用于被管理服务器，所述方法包括：

步骤S121、获取系统事件；

这里，所述系统事件可以是对服务器本身硬件或操作系统异常状况侦测得到的事件，也可以是对输入操作进行侦测到的事件。进而，本申请实施例中可以通过分析系统事件确定是否遭受攻击，然后利用防火墙封锁攻击来源。

步骤S122、对所述系统事件进行分析，确定所述系统事件的事件信息；

步骤S123、如果所述系统事件的事件信息符合预设条件，则本机管理系统确定自身被攻击；

举例来说，如果侦测到存在系统事件“在一分钟内登陆失败3次”，且该系统事件已发生多次，则对登陆的IP进行比对，如果登陆的IP都是同一个来源且攻击行为一致，但是账号或者密码错误则初步判定异常，如果又存在另一不同的IP继续错误登陆，则把这两个IP都认为是攻击者IP，确定发生攻击事件。

也就是说，相关技术中的防火墙规则仅是输入账户密码错误次数过多则预设时长内禁止登陆，预设时长过了自动解除可以再次登陆，攻击者可以无限次尝试进行非法登陆。而本申请实施例中可以通过对服务器本身硬件状况的分析，或者操作系统状况的分析，或者输入操作的分析来判断是正常事件还是攻击事件，如此能够尽早发现攻击事件实现主动防护。

步骤S124、如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；

步骤S125、所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；其中，所述被管理服务器支持所述本机管理系统实现管理功能。

基于前述的实施例，本申请实施例再提供一种防护方法，所述方法应用于被管理服务器，图2为本申请实施例防护方法的实现流程示意图二，如图2所示，所述方法包括：

步骤S201、如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；

步骤S202、所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；其中，所述被管理服务器支持所述本机管理系统实现管理功能；

步骤S203、所述本机管理系统将所述安全事件报告至对应的第一管理系统，使得所述第一管理系统能够将所述安全事件传播至第一集群中除所述本机管理系统以外的其他本机管理系统，进而所述其他本机管理系统能够基于所述安全事件进行主动防护；其中，所述第一集群包括同一网域内的多个本机管理系统，所述第一管理系统用于管理所述第一集群中的每一本机管理系统。

本申请实施例中，所述第一管理系统可以是任一具有批量服务器管理能力的系统，例如，LXCA(Lenovo XClarity Administrator)，通过LXCA能够提供大量服务器的批量部署功能，包括操作系统安装、服务器配置和固件更新等。其中，该第一管理系统可以是安装在管理服务器上的软件。

这里，第一集群可以是一组(若干个)被管理服务器组成的服务系统。之中的每一被管理服务器均对应一本机管理系统，因此该第一集群包括同一网域内的多个本机管理系统。进而，该第一管理系统用于管理该第一集群中的每一本机管理系统。例如，一LXCA可以管理多个服务器对应的XCC。也就是说，一台被管理服务器是对应自己系统本身的XCC，LXCA是用于集成所有网域下的XCC做统一集中管理。

例如，被管理服务器A遭受到了攻击，则被管理服务器A的XCC会将攻击生成的安全事件报告至对应的LXCA；进而，该LXCA会将该安全事件传播至被管理服务器B对应的XCC、被管理服务器C对应的XCC和被管理服务器D对应的XCC。被管理服务器B对应的XCC、被管理服务器C对应的XCC和被管理服务器D对应的XCC在接收到安全事件后会进行主动防御(如封锁安全事件中的攻击者IP)，以及在接收到安全事件后会将该安全事件通知给本机的操作系统。

这里，通过上述步骤S201至步骤S203中的方法，能够实现主动式的防御，当一台服务器遭受攻击，同一网域内的所有服务器都会接收到信息进而主动封锁攻击。

在一些实施例中，所述方法还包括以下至少一种：

第一种、所述本机管理系统通过所述第一管理系统将所述安全事件报告至对应的第二管理系统，使得所述第二管理系统能够将所述安全事件传播至第二集群中除所述第一管理系统以外的其他第一管理系统；其中，所述第二集群包括多个属于不同网域的第一管理系统，所述第二管理系统用于管理所述第二集群中的每一第一管理系统；

第二种、所述本机管理系统通过所述第一管理系统将所述安全事件报告至对应的第二管理系统，使得所述第二管理系统能够阻止所述安全事件对应的网络交换机的攻击端口。

基于前述的实施例，本申请实施例再提供一种防护方法，所述方法应用于被管理服务器，图3为本申请实施例防护方法的实现流程示意图三，如图3所示，所述方法包括：

步骤S301、如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；

步骤S302、所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；其中，所述被管理服务器支持所述本机管理系统实现管理功能；

步骤S303、所述本机管理系统将所述安全事件报告至对应的第一管理系统，使得所述第一管理系统能够将所述安全事件传播至第一集群中除所述本机管理系统以外的其他本机管理系统，进而所述其他本机管理系统能够基于所述安全事件进行主动防护；其中，所述第一集群包括同一网域内的多个本机管理系统，所述第一管理系统用于管理所述第一集群中的每一本机管理系统；

步骤S304、所述本机管理系统通过所述第一管理系统将所述安全事件报告至对应的第二管理系统，使得所述第二管理系统能够将所述安全事件传播至第二集群中除所述第一管理系统以外的其他第一管理系统；其中，所述第二集群包括多个属于不同网域的第一管理系统，所述第二管理系统用于管理所述第二集群中的每一第一管理系统；

本申请实施例中，所述第二管理系统可以是任一对上述第一管理系统具有管理能力的系统，例如，LXCO(Lenovo XClarity Orchestrator)，通过LXCO能够集成所有LXCA做统一管理，可以集成跨网域的LXCA，便于跨国际的管理。LXCO的功能是监控所有LXCA集成的XCC服务器，包含任何攻击事件，终端的服务器版本更新等。其中，该第二管理系统可以是安装在管理服务器上的软件。

举例来说，第一LXCA用于管理第一网域内的多个XCC，第二LXCA用于管理第二网域内的多个XCC，第三LXCA用于管理第三网域内的多个XCC。一LXCO负责管理该第一LXCA、该第二LXCA和该第三LXCA。其中，所述第一网域、第二网域和第三网域为三个不同的网域。如果属于第一网域内的某一XCC遭受到攻击，则将该攻击对应的安全事件通过第一LXCA报告至LXCO，该LXCO再将该安全事件传播至第二LXCA和第三LXCA，使得所述第二网域内的多个XCC和第三网域内的多个XCC均能够基于该安全事件进行主动防护。

步骤S305、所述本机管理系统通过所述第一管理系统将所述安全事件报告至对应的第二管理系统，使得所述第二管理系统能够阻止所述安全事件对应的网络交换机的攻击端口。

这里，网络交换机是黑客或是中毒服务器连网的第一步，只要确定出该网络交换机，并阻止该网络交换机的攻击端口，就能阻断攻击。

这里，通过上述步骤S301至步骤S305中的方法，能够实现主动式的防御，当一台服务器遭受攻击，不同网域的服务器都会接收到信息进而主动封锁攻击。

在一些实施例中，所述第一管理系统和所述第二管理系统部署于同一管理设备，或，所述第一管理系统和所述第二管理系部署于不同的管理设备。

这里，第一管理系统和第二管理系统可以部署在同一管理设备上，也可以分别部署在不同的管理设备上。

区别于相关技术中通常使用XCC(Lenovo XClarity Controller)对单一服务器(如某一被管理服务器)进行防护，本申请实施例希望够透过LXCA和LXCO来防护网域及跨国间的所有服务器安全性。因此，本申请实施例提出一种主动式防御的防护方法，当有一台被管理服务器遭受攻击，所有服务器都会接收到信息进而主动封锁攻击。

该防护方法的主要内容包括：

第一、透过安全事件在XCC与主机节点传递，并更新防火墙规则来阻止黑客攻击。

本申请实施例中，一台被管理服务器存在主机节点和对应的XCC。进而，如果XCC被攻击则可将攻击生成的安全事件传递给主机节点，使得主机节点能够进行主动防护。同样地，如果主机节点被攻击则可将攻击生成的安全事件传递给XCC，使得XCC能够进行主动防护。

第二、透过安全事件在XCC与LXCA，以及LXCA与LXCO中传递，主动防护黑客攻击。

本申请实施例中，LXCA用于集成所有网域下的XCC做统一集中管理，LXCO用于集成所有LXCA做统一管理，可以集成跨网域的LXCA，便于跨国际的管理。LXCO的主要功能是监控所有LXCA集成的XCC服务器和终端的服务器版本更新等。与LXCA的差别在于LXCO是呈现报表示的视角，让管理者更容易发现各地服务器有任何异常发生。

下面对本申请实施例中的防护方法进行详细地说明：

(1)、保护被XCC管理的节点：XCC将触发带有攻击IP信息的安全事件。

即，如果XCC节点遭受攻击，则XCC节点使用攻击者企图、攻击者IP、攻击的开始时间、攻击的MAC地址等生成安全事件，并将生成的安全事件发送给主机节点(例如被管理服务器中的操作系统)。进而，主机节点通过内部的LAN(Local Area Network，局域网)IP或者USB(Universal Serial Bus，通用串行总线)IP接收安全事件，并更新自身的防火墙规则来阻止安全事件中携带的攻击者IP，达到主动防护的目的。当然，在主机节点接收到安全事件后，除通过更新自身的防火墙规则来进行主动防护外，还可以通过其他的手段来进行主动防护，本申请实施例对此并不做限制。

例如，当服务器开机时正常情况下会用到两组IP，一组给XCC，另一组给主机节点。XCC IP是公司内网IP，跟操作系统下的主机节点IP是区隔开的。操作系统底下会有一组Ethernet Over USB IP的虚拟IP，这组虚拟IP是主机节点跟XCC的桥梁，当操作系统下遭受攻击时，操作系统可以透过Ethernet Over USB IP把事件通知到XCC，然后XCC再往上通报LXCA/LXCO。

图4A本申请实施例防护方法对应的结构示意图一，如图4A所示，某一被管理服务器中XCC节点的IP是192.168.1.10，该被管理服务器中主机节点的IP是192.168.1.11。该XCC节点遭受了IP为192.168.1.222的攻击者的攻击后，该XCC节点将该携带有攻击IP“192.168.1.222”的攻击事件通知给主机节点，主机节点更新防火墙规则来阻止该攻击者IP。其中，该攻击事件除了包括攻击者IP，还可以包括目的攻击IP“192.168.1.10”、MAC地址、开始时间“2021/8/818:00”，以及攻击企图“1分钟内3次登陆失败”。

本申请实施例中，存在安全事件和系统事件两种，其中，系统事件是服务器本身硬件或操作系统异常状况侦测，安全事件是针对异常的操作监控，包含任何登入信息，正常及非正常信息都会记录，系统本身安全等级被人为降低等。

(2)、保护被LXCA管理的XCC节点：LXCA从被攻击的XCC节点接收安全事件，LXCA通知被管理的XCC节点，XCC节点接收到通知后阻止攻击者IP。

即，某一XCC节点向LXCA报告安全事件，该LXCA将该安全事件传播到多个被管理的XCC节点，该多个被管理的XCC节点接收安全事件并阻止攻击者IP。

图4B本申请实施例防护方法对应的结构示意图二，如图4B所示，IP为192.168.1.1的LXCA管理了三个XCC节点，包括IP为192.168.1.20的XCC节点、IP为192.168.1.10的XCC节点和IP为192.168.1.30的XCC节点。其中，IP为192.168.1.10的XCC节点遭受到了IP为192.168.1.222的攻击者的攻击。在遭受到攻击后，IP为192.168.1.10的XCC节点将该攻击生成对应的安全事件，并将该安全事件发送给IP为192.168.1.1的LXCA，该LXCA将该安全事件传播至其他的两个XCC节点，使得其他的两个XCC节点能够根据该安全事件进行主动防护。其中，该攻击事件除了包括攻击者IP，还可以包括目的攻击IP“192.168.1.10”等信息。

这里，通常情况下，攻击者攻击企业的服务器都是做全局攻击，大多数服务器本身就存在防输入密码错误次数太多的防御，但是当密码错误次数太多会造成整个系统登入方式被锁住，服务器管理者在很长时间内也无法登入；因此，最佳的防护方式是封锁攻击者IP，以免造成全局服务器都被攻击到锁住，服务器管理者只能到本地服务器进行实体重启XCC才能立刻解除。即，本申请实施例中，XCC本身没有办法通知其他服务器现在有遭受攻击的状况，需要透过LXCA及LXCO进行全局广播，才不会让所有服务器都因为遭受攻击以后主动封锁登入服务，只要封锁该攻击者IP即可防御。如此，能够进行全局的主动防御。

(3)、保护被LXCO管理的集群：LXCO接收某一LXCA发送的安全事件，LXCO通知其他被管理的LXCA，以及LXCO通知被管理的网络交换机。

即，LXCA将安全事件报告至LXCO，LXCO接收到安全事件后将该安全事件传播至其管理的LXCA节点，使得LXCA节点能够再将该安全事件传播至其下的多个XCC节点实现主动防护。另外，LXCO节点在被管理的网络交换机中阻止攻击者端口。

这里，黑客攻击或是计算机受到病毒感染，通常不会只是攻击单一主机、单一网域，网络交换机是黑客或是中毒计算机连网的第一步，只要LXCO/LXCA确定出这台交换机，就能阻断攻击。

图4C本申请实施例防护方法对应的结构示意图三，如图4C所示，IP为192.168.200.1的LXCO管理两个LXCA，这两个LXCA的IP分别为192.168.100.1和192.168.1.10，攻击者IP为192.168.1.222。进而，LXCO除了将基于攻击者IP生成的安全事件发送给两个LXCA，使得这两个LXCA能够主动阻止攻击者IP外，所述LXCO还阻止被攻击的网络交换机的攻击者端口。其中，该攻击事件除了包括攻击者IP，还可以包括目的攻击IP“192.168.1.10”等信息。

本申请实施例中，XCC的管理者LXCA可以监控某台XCC遭受攻击，然后透过LXCA广播到其他XCC通知封锁该攻击IP，LXCA再往上通知到LXCO，让LXCO做LXCA的全局广播，可以进一步预防跨网域或不同地区的服务器遭受攻击。

基于前述的实施例，本申请实施例提供一种防护装置，该装置包括所包括的各单元、以及各单元所包括的各模块、以及各模块所包括的各部件，可以通过被管理服务器中的处理器来实现；当然也可通过具体的逻辑电路实现；在实施的过程中，处理器可以为CPU(Central Processing Unit，中央处理器)、MPU(Microprocessor Unit，微处理器)、DSP(Digital Signal Processing，数字信号处理器)或FPGA(Field Programmable GateArray，现场可编程门阵列)等。

图5为本申请实施例防护装置的组成结构示意图，如图5所示，所述装置500包括：

第一事件生成单元501，用于如果本机管理系统确定自身被攻击，生成所述攻击对应的安全事件；

第一事件发送单元502，用于所述本机管理系统将所述安全事件发送至被管理服务器的操作系统，使得所述操作系统能够基于所述安全事件进行主动防护；

其中，所述被管理服务器支持所述本机管理系统实现管理功能。

在一些实施例中，所述装置还包括：

第一报告单元，用于所述本机管理系统将所述安全事件报告至对应的第一管理系统，使得所述第一管理系统能够将所述安全事件传播至第一集群中除所述本机管理系统以外的其他本机管理系统，进而所述其他本机管理系统能够基于所述安全事件进行主动防护；

其中，所述第一集群包括同一网域内的多个本机管理系统，所述第一管理系统用于管理所述第一集群中的每一本机管理系统。

在一些实施例中，所述装置还包括以下至少一种：

第二报告单元，用于所述本机管理系统通过所述第一管理系统将所述安全事件报告至对应的第二管理系统，使得所述第二管理系统能够将所述安全事件传播至第二集群中除所述第一管理系统以外的其他第一管理系统；其中，所述第二集群包括多个属于不同网域的第一管理系统，所述第二管理系统用于管理所述第二集群中的每一第一管理系统；

所述第二报告单元，还用于所述本机管理系统通过所述第一管理系统将所述安全事件报告至对应的第二管理系统，使得所述第二管理系统能够阻止所述安全事件对应的网络交换机的攻击端口。

在一些实施例中，所述第一管理系统和所述第二管理系统部署于同一管理设备，或，所述第一管理系统和所述第二管理系部署于不同的管理设备。

在一些实施例中，所述装置还包括：

第二事件生成单元，用于如果所述被管理服务器的操作系统确定自身被攻击，生成所述攻击对应的安全事件；

第二事件发送单元，用于所述操作系统将所述安全事件通过通用串行总线地址发送至所述本机管理系统，使得所述本机管理系统能够基于所述安全事件进行主动防护。

在一些实施例中，所述安全事件包括攻击IP和以下参数中的至少一种：攻击者的企图、攻击的开始时间、攻击的MAC地址。

在一些实施例中，所述装置还包括：

系统事件获取单元，用于获取系统事件；

分析单元，用于对所述系统事件进行分析，确定所述系统事件的事件信息；

确定单元，用于如果所述系统事件的事件信息符合预设条件，则本机管理系统确定自身被攻击。

以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

需要说明的是，本申请实施例中，如果以软件功能模块的形式实现上述的防护方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、ROM(Read Only Memory，只读存储器)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本申请实施例不限制于任何特定的硬件和软件结合。

对应地，本申请实施例提供一种被管理服务器，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述实施例中提供的防护方法中的步骤。

对应地，本申请实施例提供一种可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述防护方法中的步骤。

这里需要指出的是：以上存储介质和设备实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

需要说明的是，图6为本申请实施例被管理服务器的一种硬件实体示意图，如图6所示，该被管理服务器600的硬件实体包括：处理器601、通信接口602和存储器603，其中

处理器601通常控制被管理服务器600的总体操作。

通信接口602可以使被管理服务器600通过网络与其他被管理服务器或电子设备或平台通信。

存储器603配置为存储由处理器601可执行的指令和应用，还可以缓存待处理器601以及被管理服务器600中各模块待处理或已经处理的数据(例如，图像数据、音频数据、语音通信数据和视频通信数据)，可以通过FLASH(闪存)或RAM(Random Access Memory，随机访问存储器)实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理模块中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本申请所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。

本申请所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。

本申请所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。