CN104754048B - 服务器集群的一种拟态组织结构 - Google Patents
服务器集群的一种拟态组织结构 Download PDFInfo
- Publication number
- CN104754048B CN104754048B CN201510143140.9A CN201510143140A CN104754048B CN 104754048 B CN104754048 B CN 104754048B CN 201510143140 A CN201510143140 A CN 201510143140A CN 104754048 B CN104754048 B CN 104754048B
- Authority
- CN
- China
- Prior art keywords
- server
- disk
- mimicry
- data
- institutional framework
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及服务器集群的一种拟态组织结构,其硬件包括服务器,数据磁盘及磁盘连接器,服务器之间通过预定协议相互通信,服务器选用异构的CPU,且每个服务器预装有与其CPU型号匹配的多个版本的操作系统,服务器通过磁盘连接器依据连接策略连接一块数据磁盘,服务器启动时,随机加载一个版本的操作系统,并加载与数据磁盘匹配的文件系统管理模块。本发明服务器选用不同的硬件平台和不同的软件组合,并运行相同功能的服务软件,对外提供一致的服务,异构的软硬件环境和动态的连接与组合方式,增加集群系统的多样性和随机性,提升系统中漏洞与陷门被探测与利用的难度,提高服务器集群系统的整体安全性。
Description
技术领域
本发明涉及服务器集群技术领域,特别涉及服务器集群的一种拟态组织结构。
背景技术
网络系统中通常配置有服务器,如文件服务器、Web服务器、数据库服务器、分布式文件系统中的元数据服务器和对象服务器等。服务器中保存着大量的数据,为网络系统中的用户提供特定的服务。随着数据量的急剧增加,单台服务器已难以满足需求。因而目前的网络系统中通常配置了多台同一类型的服务器,他们构成服务器集群,共同为系统中的用户提供服务。对系统中的用户来说,服务器集群的行为与单台服务器相同。当需要服务时,用户向服务器集群提出请求,集群中的单台服务器或多台服务器联合为用户提供特定的服务。集群中的服务器共享全部或部分数据,通过特定的网络和协议相互通信,同步数据,协调工作等。服务器集群的使用极大地缓解了单台服务器的工作压力,提高了服务器系统的吞吐率,提高了整个网络系统的服务质量。
为了简化管理,目前的集群系统通常采用相同型号、相同配置的服务器。这种单一的结构存在着严重的安全缺陷,如果一台服务器中的漏洞被发现、陷门被利用,整个集群中的服务器都将难以幸免。导致这种缺陷的根本原因是服务器集群系统的结构过于单一,环境过于稳定,缺少必要的变换,其动态性和随机性不足。
发明内容
针对现有技术中的不足,本发明提供服务器集群的一种拟态组织结构,采用异构的硬件平台、随机连接的数据磁盘和动态组合的软件栈,来增加集群系统的多样性和随机性,提升系统中漏洞与陷门被探测与利用的难度,从而提高服务器集群系统的整体安全性。
按照本发明所提供的设计方案,服务器集群的一种拟态组织结构,其硬件包括服务器,数据磁盘及磁盘连接器,服务器之间通过预定协议相互通信;服务器选用异构的CPU,且每个服务器预装有与其CPU型号匹配的多个版本的操作系统,服务器通过磁盘连接器依据连接策略连接一块数据磁盘,服务器启动时,随机加载一个版本的操作系统,并加载与数据磁盘匹配的文件系统管理模块。
上述的,所述磁盘连接器为交叉开关,可将任一数据磁盘连接到任一服务器上,连接关系由磁盘连接器随机选择。
上述的,还包含仲裁器,根据连接策略为服务器选择数据磁盘,并通过磁盘连接器将数据磁盘连接到服务器;仲裁器读取各数据磁盘中的文件,按照预设的评估策略评估各数据磁盘的安全性,并对问题磁盘及服务器进行清洗。
上述的,每块数据磁盘上建立的文件系统类型相同或不同,服务器启动时随机加载一个版本的操作系统,检测并加载与数据磁盘匹配的文件系统管理模块。
上述的,所述连接策略包括随机连接策略,随机地选择连接关系;加权连接策略,根据用户预定的权重选择连接关系;基于评估等级的连接策略,类似于加权连接策略,但其权重会依据安全评估的结果动态调整。
上述的,评估策略包括基于文件一致性的评估;基于病毒与木马检测的评估;基于操作日志的评估。
上述的,集群中的服务器为同一数据文件创建多个副本,且保证将不同副本保存在不同的数据磁盘中;仲裁器在完成安全评估之后,保留预定份额的文件副本,删除多余的文件副本。
优选的,服务器集群为同一数据文件创建的副本数量不少于3份,仲裁器为同一文件保留的副本数为1份、2份或多份。
上述的,服务器的操作系统、文件系统管理模块、函数库及应用软件存储在服务器专有存储设备中。
上述的,服务器专有存储设备为服务器的私有磁盘或盘阵。
本发明服务器集群的一种拟态组织结构的有益效果:
1.本发明服务器集群的一种拟态组织结构为集群中的服务器选用不同的硬件平台和不同的软件组合,并运行相同功能的服务软件,对外提供一致的服务,异构的软硬件环境和动态的连接与组合方式,增加集群系统的多样性和随机性,提升系统中漏洞与陷门被探测与利用的难度,提高服务器集群系统的整体安全性。
2.本发明中服务器通过磁盘连接器随机选择数据磁盘并加载与之对应的文件系统管理模块,服务器中配置有与CPU相匹配的多个版本的操作系统,随机加载其中一个操作系统,服务器上的操作系统、文件系统等有多种组合方式,每次启动时,服务器随机选择一种,随机性得到有效提升,预测加载的操作系统、文件系统等的难度大大增加,即使其中某个环节存在漏洞和陷门,其被利用的难度大大提升,因此,整个服务器集群的安全性大大增加。
3.本发明中仲裁器可以通过预先设定的策略控制数据磁盘与服务器的连接,评估各数据磁盘的安全性,并在发现问题时启动自清洗程序,通过不断地自我清洗,消除数据磁盘中的碎片和驻留的恶意代码,进一步增加服务器集群的随机性和不可预测性。
4.本发明中当用户的请求被随机递交给集群中的一台服务器时,该服务器可能采用的是任意一种CPU,运行的是任一版本的操作系统、文件系统、函数库等,用户难以预测服务器的内部状态,因而难以利用其中的漏洞和陷门对其发起攻击。
附图说明:
图1为本发明服务器集群的一种拟态组织结构的示意图之一;
图2为本发明服务器集群的一种拟态组织结构的示意图之二。
具体实施方式:
下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详细说明本发明的实施方式,但本发明的实施方式并不限于此。
实施例一,参见图1所示,服务器集群的一种拟态组织结构,其硬件包括服务器,数据磁盘及磁盘连接器,服务器之间通过预定协议相互通信;服务器选用异构的CPU,且每个服务器预装有与其CPU型号匹配的多个版本的操作系统,服务器通过磁盘连接器依据连接策略连接一块数据磁盘,服务器启动时,随机加载一个版本的操作系统,并加载与数据磁盘匹配的文件系统管理模块。
集群中的服务器选用不同的硬件平台和不同的软件组合,并运行相同功能的服务软件,对外提供一致的服务。
服务器的CPU可选用SW/ARM/X86/PowerPC等型号的产品;服务器通过磁盘连接器依据选择策略选择数据磁盘并加载与之对应的文件系统管理模块,如EXT2/3/4、XFS、BTRFS等;服务器中配置有与CPU型号匹配的多个版本的操作系统,如经过裁剪和随机化改造的Linux、Unix、Windows等;服务器上的操作系统、文件系统管理模块等有多种组合方式,每次启动时,服务器随机加载一个版本的操作系统,随机性大大增加,预测服务器操作系统、文件系统等的难度大大增加,即使其中某个环节存在漏洞和陷门,其被利用的难度大大提升,因此,整个服务器集群的安全性大大增加。
实施例二,与实施例一基本相同,不同之处在于:所述磁盘连接器为交叉开关,可将任一数据磁盘连接到任一服务器上,连接关系由磁盘连接器随机选择。
同一个时间段内,磁盘连接器仅将一块数据磁盘连接到一台服务器上,在一个特定的时间段内,一台服务器仅能看到一块数据磁盘。
集群中的服务器选用不同的硬件平台和不同的软件组合,并运行相同功能的服务软件,对外提供一致的服务。服务器的CPU可选用SW/ARM/X86/PowerPC等型号的产品;服务器通过磁盘连接器依据随机连接策略连接数据磁盘并加载与之对应的文件系统管理模块,如EXT2/3/4、XFS、BTRFS等;服务器中配置有与CPU型号匹配的多个版本的操作系统,如经过裁剪和随机化改造的Linux、Unix、Windows等;服务器上的操作系统、文件系统管理模块等有多种组合方式,每次启动时,服务器随机加载一个版本的操作系统,随机性大大增加,预测服务器操作系统、文件系统等的难度大大增加,即使其中某个环节存在漏洞和陷门,其被利用的难度大大提升,因此,整个服务器集群的安全性大大增加。
实施例三,参见图2所示,与实施例一基本相同,不同之处在于:还包含仲裁器,仲裁器是一个独立部件,根据连接策略为服务器选择数据磁盘,并通过磁盘连接器将数据磁盘连接到服务器;仲裁器读取各数据磁盘中的文件,按照预设的评估策略评估各数据磁盘的安全性,并对问题磁盘及服务器进行清洗。
上述的,评估策略包括基于文件一致性的评估;基于病毒与木马检测的评估;基于操作日志的评估等。集群中的服务器为同一数据文件创建多个副本,且保证将不同副本保存在不同的数据磁盘中;仲裁器在完成安全评估之后,保留预定份额的文件副本,删除多余的文件副本;通过不断地自我清洗,消除数据磁盘中的碎片和驻留的恶意代码,进一步增加服务器集群的随机性和不可预测性。
每块数据磁盘上建立的文件系统类型相同或不同,服务器启动时随机加载一个版本的操作系统,检测并加载与数据磁盘匹配的文件系统管理模块。
上述的,服务器的操作系统、文件系统管理模块、函数库及应用软件存储在服务器专有存储设备中,服务器专有存储设备为服务器的私有磁盘或共用盘阵。
集群中的服务器都是独立的计算机系统,包含CPU、RAM、总线、磁盘接口等,不同的服务器配置有不同型号的CPU,如SW、ARM、X86、PowerPC等,服务器中内嵌有与CPU型号一致的操作系统,如经过裁剪和改造的Linux、Unix、Windows等,还可插入多种不同类型的文件系统,如EXT、XFS、BTRFS等。
当用户的请求被随机递交给集群中的一台服务器时,该服务器可能采用的是任意一种型号的CPU,运行的是任一版本的操作系统、文件系统管理模块、函数库等,用户难以预测服务器的内部状态,因而难以利用其中的漏洞和陷门对其发起攻击。
当服务器集群加电时,仲裁器首先启动,完成自身的初始化工作,并根据预定策略选择磁盘连接方式,控制磁盘连接器实施磁盘连接,为每台服务器分配一块数据磁盘,并向服务器发送启动信号;服务器随机选择并加载一种版本的操作系统,检测与之相连的数据磁盘上的文件系统并加载对应的文件系统管理模块,从数据磁盘中读入管理用的元数据,建立管理数据结构,完成数据磁盘的本地安装。
收到用户请求后,服务器自己处理请求并将结果直接应答给请求者,或将请求转发给其他服务器,由目标服务器处理并应答请求。集群中的服务器之间通过预定的协议相互通信,交换信息、协调动作、同步数据等,服务器使用的数据来源于与之关联的数据磁盘。服务器集群应为同一数据文件创建多个副本,且不同副本应保存在不同的数据磁盘中,副本数量应不少于3份,仲裁器在完成安全评估之后,可删除多余的副本,保留预定份额的副本。当仲裁器发现某数据磁盘有问题时,可启动磁盘清洗工作。磁盘清洗工作由仲裁器负责,其流程如下:
(1)将问题服务器的工作转交给其它服务器,将其缓存中的数据刷新到数据磁盘上,停止问题服务器的服务工作。
(2)请求磁盘连接器断开问题服务器与数据磁盘的连接,将数据磁盘连接到仲裁器上。
(3)仲裁器检查数据磁盘中各数据文件的安全性,将其中的文件逐个拷贝到备用磁盘中。
(4)在拷贝工作完成之后,将备用磁盘连接到服务器上,重启问题服务器的服务工作。
(5)问题磁盘变成了备用磁盘,选用一种不同类型的文件系统对其进行格式化。
本发明并不局限于上述具体实施方式,本领域技术人员还可据此做出多种变化,但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
Claims (9)
1.服务器集群的一种拟态组织结构,其硬件包括服务器,数据磁盘及磁盘连接器,服务器之间通过预定协议相互通信,其特征在于:服务器选用异构的CPU,且每个服务器预装有与其CPU型号匹配的多个版本的操作系统,服务器通过磁盘连接器依据连接策略连接一块数据磁盘,服务器启动时,随机加载一个版本的操作系统,并加载与数据磁盘匹配的文件系统管理模块;还包含仲裁器,根据连接策略为服务器选择数据磁盘,并通过磁盘连接器将数据磁盘连接到服务器;仲裁器读取各数据磁盘中的文件,按照预设的评估策略评估各数据磁盘的安全性,并对问题磁盘及服务器进行清洗。
2.根据权利要求1所述的服务器集群的一种拟态组织结构,其特征在于:所述磁盘连接器为交叉开关,将任一数据磁盘连接到任一服务器上,连接关系由磁盘连接器随机选择。
3.根据权利要求1所述的服务器集群的一种拟态组织结构,其特征在于:评估策略包括基于文件一致性的评估;基于病毒与木马检测的评估;基于操作日志的评估。
4.根据权利要求1所述的服务器集群的一种拟态组织结构,其特征在于:集群中的服务器为同一数据文件创建多个副本,且保证将不同副本保存在不同的数据磁盘中;仲裁器在完成安全评估之后,保留预定份额的文件副本,删除多余的文件副本。
5.根据权利要求4所述的服务器集群的一种拟态组织结构,其特征在于:服务器集群为同一数据文件创建的副本数量不少于3份,仲裁器为同一文件保留的副本数为至少1份。
6.根据权利要求1所述的服务器集群的一种拟态组织结构,其特征在于:每块数据磁盘上建立的文件系统类型相同或不同,服务器启动时随机加载一个版本的操作系统,检测并加载与数据磁盘匹配的文件系统管理模块。
7.根据权利要求1所述的服务器集群的一种拟态组织结构,其特征在于:所述连接策略包括随机连接策略,随机地选择连接关系;加权连接策略,根据用户预定的权重选择连接关系;基于评估等级的连接策略,类似于加权连接策略,但其权重会依据安全评估的结果动态调整。
8.根据权利要求1所述的服务器集群的一种拟态组织结构,其特征在于:服务器的操作系统、文件系统管理模块、函数库及应用软件存储在服务器专有存储设备中。
9.根据权利要求8所述的服务器集群的一种拟态组织结构,其特征在于:服务器专有存储设备为服务器的私有磁盘或盘阵。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510143140.9A CN104754048B (zh) | 2015-03-30 | 2015-03-30 | 服务器集群的一种拟态组织结构 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510143140.9A CN104754048B (zh) | 2015-03-30 | 2015-03-30 | 服务器集群的一种拟态组织结构 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104754048A CN104754048A (zh) | 2015-07-01 |
CN104754048B true CN104754048B (zh) | 2018-05-22 |
Family
ID=53593135
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510143140.9A Expired - Fee Related CN104754048B (zh) | 2015-03-30 | 2015-03-30 | 服务器集群的一种拟态组织结构 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104754048B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106534046B (zh) * | 2015-09-10 | 2019-08-20 | 中国科学院声学研究所 | 一种拟态数据传输服务器及数据传输方法 |
US10277621B2 (en) * | 2017-07-12 | 2019-04-30 | Symantec Corporation | Systems and methods for detecting vulnerabilities on servers |
CN108055232B (zh) * | 2017-10-30 | 2020-11-06 | 中国人民解放军空军工程大学 | 一种高速轻量级拟态虚拟网构建方法 |
CN108052839A (zh) * | 2018-01-25 | 2018-05-18 | 知新思明科技(北京)有限公司 | 拟态任务处理机 |
CN109831519B (zh) * | 2019-03-07 | 2021-08-13 | 中国人民解放军战略支援部队信息工程大学 | 一种提升服务质量的方法及系统 |
CN114363051B (zh) * | 2021-12-31 | 2023-07-21 | 河南信大网御科技有限公司 | 一种拟态开关以及拟态系统内部单向通信方法 |
CN114416189B (zh) * | 2022-01-19 | 2024-02-27 | 浪潮商用机器有限公司 | 一种服务器操作系统的启动装置、方法、介质及服务器 |
CN114679432B (zh) * | 2022-02-28 | 2024-01-05 | 河南信大网御科技有限公司 | 一种有害电话防范设备和方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101630305A (zh) * | 2008-07-16 | 2010-01-20 | 中国人民解放军信息工程大学 | 高效能计算机中可重构部件的柔性管理方法 |
CN102520989A (zh) * | 2011-12-01 | 2012-06-27 | 浪潮电子信息产业股份有限公司 | 一种基于u盘的智能集群系统部署的方法 |
CN103051671A (zh) * | 2012-11-22 | 2013-04-17 | 浪潮电子信息产业股份有限公司 | 一种集群文件系统重复数据删除方法 |
CN104394150A (zh) * | 2014-11-26 | 2015-03-04 | 大连梯耐德网络技术有限公司 | 一种基于硬件重构的拟态安全网络架构的实现系统及方法 |
CN104408372A (zh) * | 2014-11-26 | 2015-03-11 | 大连梯耐德网络技术有限公司 | 一种基于系统重载的拟态安全实现系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447723B (zh) * | 2010-10-12 | 2015-09-09 | 运软网络科技(上海)有限公司 | 客户端虚拟化架构 |
-
2015
- 2015-03-30 CN CN201510143140.9A patent/CN104754048B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101630305A (zh) * | 2008-07-16 | 2010-01-20 | 中国人民解放军信息工程大学 | 高效能计算机中可重构部件的柔性管理方法 |
CN102520989A (zh) * | 2011-12-01 | 2012-06-27 | 浪潮电子信息产业股份有限公司 | 一种基于u盘的智能集群系统部署的方法 |
CN103051671A (zh) * | 2012-11-22 | 2013-04-17 | 浪潮电子信息产业股份有限公司 | 一种集群文件系统重复数据删除方法 |
CN104394150A (zh) * | 2014-11-26 | 2015-03-04 | 大连梯耐德网络技术有限公司 | 一种基于硬件重构的拟态安全网络架构的实现系统及方法 |
CN104408372A (zh) * | 2014-11-26 | 2015-03-11 | 大连梯耐德网络技术有限公司 | 一种基于系统重载的拟态安全实现系统及方法 |
Non-Patent Citations (1)
Title |
---|
《A Virtualized Hybrid Distributed File System》;Xingyu Zhou等;《2013 International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery》;20131012;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN104754048A (zh) | 2015-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104754048B (zh) | 服务器集群的一种拟态组织结构 | |
CN102902909B (zh) | 一种防止文件被篡改的系统和方法 | |
CN104885092B (zh) | 用于操作系统的安全系统和方法 | |
US20100083381A1 (en) | Hardware-based anti-virus scan service | |
US7890626B1 (en) | High availability cluster server for enterprise data management | |
CN106133743B (zh) | 用于优化预安装应用程序的扫描的系统和方法 | |
CN102202062B (zh) | 一种实现访问控制的方法和装置 | |
CN102930205A (zh) | 一种监测单元及方法 | |
CN102810138A (zh) | 一种用户端文件的修复方法和系统 | |
JP2008305418A (ja) | 記憶されているデータに対する分散的ウィルススキャン | |
US9275238B2 (en) | Method and apparatus for data security reading | |
CN111033633B (zh) | 将数据记录上传到云存储库 | |
CN107944271A (zh) | 到安全操作系统环境的基于上下文的切换 | |
CN102713925B (zh) | 机密信息泄露防止系统、机密信息泄露防止方法及机密信息泄露防止程序 | |
US10091293B2 (en) | Rapid cloud-based image centralization | |
CN113138836B (zh) | 一种使用基于Docker容器的防逃逸系统的防逃逸方法 | |
CN108334404B (zh) | 应用程序的运行方法和装置 | |
KR101478801B1 (ko) | 가상 머신을 이용한 클라우드 컴퓨팅 서비스를 제공하는 시스템 및 방법 | |
CN105844155A (zh) | 宏病毒查杀方法及系统 | |
JP6255336B2 (ja) | 安全なデータ格納方法およびデバイス | |
CN107992491A (zh) | 一种分布式文件系统、数据访问和数据存储的方法及装置 | |
CN102254123A (zh) | 强化应用软件安全性的方法及装置 | |
CN102902922B (zh) | 文件修复方法和系统 | |
CN106354773A (zh) | 应用程序存储数据的方法及装置 | |
EP4068097A1 (en) | System and method for distributed-agent backup of virtual machines |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180522 |