本公开提出一种网络安全主动防御方法及系统，涉及网络安全技术领域。包括：若监测到数据流进入主动防御区域，基于SDN交换机将数据流转发到SDN控制器；基于SDN控制器和预设规则，检测数据流是否有匹配的规则；若数据流与任一规则匹配，在告警日志中记录数据流对应的特征信息；对特征信息进行解析，以提取数据流关联的攻击特征和属性信息；基于SDN控制器、攻击特征和属性信息，生成对应的规则条目，并下发给各个SDN交换机，以对流表进行更新。由此，可以实现防火墙核心的异构冗余集群架构和各个安全设备之间协同联动处置，实现对攻击告警的自动响应配置，是提升主动防御技术防御强度及防御面。