安全调度方法和系统
技术领域
本发明涉及一种计算机应用技术领域,尤其涉及一种安全调度方法和系统。
背景技术
随着云计算的兴起,计算机领域正发生着深刻的变革。我国云计算服务市场处于起步阶段,云计算技术与设备已经具备一定的发展基础。我国云计算服务市场总体规模较小,但追赶势头明显。据Gartner估计,2011年我国在全球约900亿美元的云计算服务市场中所占份额不到3%,但年增速达到40%,预期未来我国与国外在云计算方面的差距将逐渐缩小。
总结起来云计算具有以下几个特点:
(1)超大规模:“云”具有相当的规模,Google云计算已经拥有100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。企业私有云一般拥有数百上千台服务器。“云”能赋予用户前所未有的计算能力。
(2)虚拟化:云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。
(3)高可靠性:“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。
(4)通用性:云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。
(5)高可扩展性:“云”的规模可以动态伸缩,满足应用和用户规模增长的需要。
(6)按需服务:“云”是一个庞大的资源池,按需购买;云可以像自来水,电,煤气那样计费。
(7)极其廉价:由于“云”的特殊容错措施可以采用极其廉价的节点来构成云,“云”的自动化集中式管理使大量企业无需负担日益高昂的数据中心管理成本,“云”的通用性使资源的利用率较之传统系统大幅提升,因此用户可以充分享受“云”的低成本优势,经常只要花费几百美元、几天时间就能完成以前需要数万美元、数月时间才能完成的任务。
根据IDC在2009年年底发布的一项调查报告显示,云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。该三大挑战排名同IDC于2008年进行的云计算服务调查结论完全一致。2009年11月,Forrester Research公司的调查结果显示,有51%的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。由此可见,安全性是客户选择云计算时的首要考虑因素。
云计算由于其用户、信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多。在2009年,Google、Microsoft、Amazon等公司的云计算服务均出现了重大故障,导致成千上万客户的信息服务受到影响,进一步加剧了业界对云计算应用安全的担忧。
如何避免云计算环境中多用户共存带来的潜在风险都成为云计算环境所面临的安全挑战。一般通过增加防火墙等安全过滤系统来进行安全防御,但如果攻击的类型和数量比较多,很可能导致防御系统的负载过重而崩溃。
发明内容
本发明要解决的技术问题是提供一种云计算领域的安全调度方法和系统,解决在云计算环境下的大规模安全攻击防御系统负载过重的问题。
为了解决上述问题,本发明提供了一种安全调度方法,包括:
已启用的安全过滤功能依次防御攻击;
获取已启用的各安全过滤功能的受攻击信息;
根据各安全过滤功能的受攻击信息调整各安全过滤功能防御攻击的次序。
进一步的,上述方法还可具有以下特点,所述受攻击信息为指定时间内的受攻击次数,或者,为受攻击频率。
进一步的,上述方法还可具有以下特点,所述根据各安全过滤功能的受攻击信息调整各安全过滤功能防御攻击的次序包括:
根据各安全过滤功能的受攻击次数或受攻击频率的大小对所述安全过滤功能排序,将受攻击次数或受攻击频率最大的安全过滤功能放置在最前面防御攻击,受攻击次数或受攻击频率最小的安全过滤功能放置在最后面防御攻击。
进一步的,上述方法还可具有以下特点,所述方法还包括:对所述安全过滤功能进行维护,所述维护包括如下之一或其组合:
注册、启用、停止、删除。
进一步的,上述方法还可具有以下特点,所述方法还包括:
所述各安全过滤功能基于调整后的次序防御攻击。
本发明还提供一种安全调度系统,包括服务注册模块、安全调度模块和安全过滤模块,所述安全过滤模块包括一个或多个用于防御攻击的安全过滤功能,其中:
所述服务注册模块用于:维护所述安全过滤模块中的各安全过滤功能;
所述安全调度模块用于:获取所述安全过滤模块中已启用的安全过滤功能的受攻击信息;根据各安全过滤功能的受攻击信息调整各安全过滤功能防御攻击的次序。
进一步的,上述系统还可具有以下特点,所述安全调度模块获取的所述受攻击信息为指定时间内的受攻击次数,或者,为受攻击频率。
进一步的,上述系统还可具有以下特点,所述安全调度模块根据各安全过滤功能的受攻击信息调整各安全过滤功能防御攻击的次序包括:
根据各安全过滤功能的受攻击次数或受攻击频率的大小对所述安全过滤功能排序,将受攻击次数或受攻击频率最大的安全过滤功能放置在最前面防御攻击,受攻击次数或受攻击频率最小的安全过滤功能放置在最后面防御攻击。
进一步的,上述系统还可具有以下特点,所述服务注册模块维护所述安全过滤模块中的各安全过滤功能包括:
对所述安全过滤功能进行如下操作之一或其组合:
注册、启用、停止、删除。
进一步的,上述系统还可具有以下特点,所述安全过滤模块还用于:按照所述安全调度模块调整后的次序使用所述安全过滤功能防御攻击。
本发明实施例提供的一种安全调度方法和系统,通过弹性的插件式的过滤设计和智能防御层次设计可以将某段时间内受攻击的频率高的安全过滤功能调整到前面,有效降低安全防御系统的负载,从而实现大规模云计算环境下对云计算系统安全的可靠保证,解决在云计算环境下的大规模安全攻击防御系统负载过重的问题。本发明不限于云计算领域,也可以用于信息安全领域或者计算机领域的安全调度。
附图说明
图1为云计算环境下弹性智能安全系统网络架构视图;
图2为云计算环境下弹性智能安全系统弹性设计原理图;
图3为云计算环境下弹性智能安全系统模块设计图;
图4为云计算环境下弹性智能安全系统系统流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明实施例提供的云计算领域的安全调度方法,通过弹性的插件式的过滤设计和智能防御层次设计可以有效降低防御系统的负载,从而实现大规模云计算环境下对云计算系统安全的可靠保证。
首先结合图1,对本发明的实施进行说明,在一个典型的配置环境中用户通过弹性智能安全系统可以访问到云计算平台中的资源,弹性智能安全系统对来自广域网的用户请求进行安全过滤,从而确保云计算平台的安全。
本发明的设计原理如图2所示,系统包括不同的安全过滤功能,如Dos等网络攻击201,对每一个安全过滤功能都有一个被攻击的统计数202,系统也可以注册更多的安全过滤功能,当遇到安全攻击,每一个安全过滤功能就像一个个安全过滤网一样将攻击屏蔽掉,如果系统在第一次安全过滤网就抵挡了大部分的攻击,则后面的安全过滤网就会承受比较少的负载,否则所有的功能都会经过每一个安全过滤网进行过滤则会增加整个系统的负载,负载过大很可能导致系统崩溃。
本发明实施例提供一种安全调度方法,包括:
获取已启用的安全过滤功能的受攻击信息;根据各安全过滤功能的受攻击信息调整各安全过滤功能防御攻击的次序。
其中,所述受攻击信息为指定时间内的受攻击次数,或者,为受攻击频率。
其中,所述根据各安全过滤功能的受攻击信息调整各安全过滤功能防御攻击的次序包括:
根据各安全过滤功能的受攻击次数或受攻击频率的大小对所述安全过滤功能排序,将受攻击次数或受攻击频率最大的安全过滤功能放置在最前面防御攻击,受攻击次数或受攻击频率最小的安全过滤功能放置在最后面防御攻击。
其中,所述方法还包括:对所述安全过滤功能进行维护,所述维护包括如下之一或其组合:
注册、启用、停止、删除。
其中,所述方法还包括:所述各安全过滤功能基于调整后的次序防御攻击。
如图3所示该系统体系结构包括:服务注册模块301、安全调度模块302、安全过滤模块303,其中:
服务注册模块301用于维护系统中所有的安全过滤功能;包括注册、启用、停止、删除,每一个安全过滤功能相当于一个安全过滤网一样,只要安全过滤功能注册之后立即可以启用;
安全调度模块302用于对安全过滤功能进行调度,包括:获取所述安全过滤模块中已启用的安全过滤功能的受攻击信息;根据各安全过滤功能的受攻击信息调整各安全过滤功能防御攻击的次序;
安全过滤模块303包含一个或多个安全过滤功能,比如Dos等网络攻击、侦测及报文侦听,各安全过滤功能用于防御攻击,且各安全过滤功能依次防御攻击,各安全过滤功能的次序由安全调度模块决定。
其中,所述安全调度模块获取的所述受攻击信息为指定时间内的受攻击次数,或者,为受攻击频率。
其中,所述安全调度模块根据各安全过滤功能的受攻击信息调整各安全过滤功能防御攻击的次序包括:
根据各安全过滤功能的受攻击次数或受攻击频率的大小对所述安全过滤功能进行排序,从大到小进行排序,即:将受攻击次数或受攻击频率最大的安全过滤功能放置在最前面防御攻击,受攻击次数或受攻击频率最小的安全过滤功能放置在最后面防御攻击。
图4说明了安全系统一次动态调整的流程,报:
步骤401:网络安全对系统进行攻击,云计算平台遇到来自广域网的安全攻击,安全攻击的方式比较多,包括Dos网络攻击、侦测及报文侦听等等。
步骤402:第1至第N层安全过滤功能依次进行安全防御并记录;
其中,网络攻击首先遇到第一层安全过滤功能的防御,系统进行防御和统计攻击的次数。通过第一层安全攻击的继续遇到第i层的安全过滤功能,每一层进行防御和统计攻击的次数,i=2...N。
步骤403:安全调度模块对统计的攻击次数进行排序;
其中,可以统计指定时间内的攻击次数,当然,也可以统计攻击频率,对频率进行排序;
其中,可以实时统计,也可以只在某一时段内统计;
步骤404:动态调整安全过滤功能的顺序,根据排序记录重新调整安全过滤功能的防御顺序确保被攻击最多的安全过滤功能放到最前面,被攻击最少的安全过滤功能放到最后面。
步骤405:调整之后继续进行安全防御。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。