CN105978875B - 一种基于服务跳变和智能清洗的动态服务实现方法及系统 - Google Patents
一种基于服务跳变和智能清洗的动态服务实现方法及系统 Download PDFInfo
- Publication number
- CN105978875B CN105978875B CN201610307060.7A CN201610307060A CN105978875B CN 105978875 B CN105978875 B CN 105978875B CN 201610307060 A CN201610307060 A CN 201610307060A CN 105978875 B CN105978875 B CN 105978875B
- Authority
- CN
- China
- Prior art keywords
- service
- virtual machine
- hopping
- jump
- logical node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000013507 mapping Methods 0.000 claims abstract description 50
- 238000004140 cleaning Methods 0.000 claims abstract description 26
- 239000000284 extract Substances 0.000 claims abstract description 6
- 230000032683 aging Effects 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 14
- 239000013589 supplement Substances 0.000 claims description 9
- 238000012423 maintenance Methods 0.000 claims description 6
- 230000009191 jumping Effects 0.000 claims description 5
- 238000004064 recycling Methods 0.000 claims description 4
- 238000003483 aging Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 2
- 238000010304 firing Methods 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 9
- 230000007123 defense Effects 0.000 abstract description 7
- 230000007246 mechanism Effects 0.000 abstract description 4
- 241000700605 Viruses Species 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 6
- 239000011800 void material Substances 0.000 description 3
- 230000001502 supplementing effect Effects 0.000 description 2
- 230000004083 survival effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010230 functional analysis Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Stored Programmes (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于网络信息安全领域,提供一种基于服务跳变和智能清洗的动态服务实现方法及系统,所述方法包括下述步骤:服务跳变控制器生成基于时空二维的跳变图案;服务跳变控制器生成虚拟机映射表;服务跳变控制器从所述虚拟机映射表中提取部分信息生成服务实例定义表,并连同跳变图案发送至服务跳变代理设备;服务跳变代理设备遍历跳变图案,并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的IP地址和端口,执行具体的每一跳。本发明方案是一种基于虚拟化的服务跳变与智能清洗相结合的技术与机制,可实现主动防御已知和未知的木马、病毒等对网络服务各种攻击。
Description
技术领域
本发明属于网络信息安全领域,具体为主动目标防御中动态服务领域,尤其涉及一种基于服务跳变和智能清洗的动态服务实现方法及系统。
背景技术
主动目标防御是近年来的一项重要安全防护技术,该技术不同以往的网络安全研究思路,它并不追求完善无暇的系统对抗攻击,而是移动要保护的对象(如主机IP地址、端口、网络服务等)来达到防护目标的目的,通过不断的变化(或跳变)被保护对象来增加攻击的难度和代价。
在实现动态服务过程中,如何实现服务安全高效的跳变是系统能否实际运行的关键,但目前并没有可行的动态服务的实现技术和机制。电子科技大学提出了的基于服务多态的IP网络生存模型,通过在多态间的漂移转移漏洞来提高服务系统的生存能力,但仅仅是一种理论想法。另外,国防科技大学在信息系统的防御体系上提出的多样化动态漂移技术的系统框架,但是负载均衡、虚拟化技术主要是用于提高服务的可靠性、经济性和应对大业务量需求,并非用于安全防护目的。因此需要一种能够实现较高安全性和可用性的动态服务实现技术。
发明内容
鉴于上述问题,本发明的目的在于提供一种基于服务跳变和智能清洗的动态服务实现方法及系统,该方案是一种基于虚拟化的服务跳变与智能清洗相结合的技术与机制,可实现主动防御已知和未知的木马、病毒等对网络服务各种攻击。
一方面,所述基于服务跳变和智能清洗的动态服务实现方法,包括:
服务跳变控制器生成基于时空二维的随机服务跳变图案,所述跳变图案包括跳变逻辑节点和对应的驻留时间;
服务跳变控制器生成虚拟机映射表,所述虚拟机映射表包含了跳变逻辑节点与虚拟机名称、IP地址、端口、镜像的映射关系;
服务跳变控制器从所述虚拟机映射表中提取跳变逻辑节点、IP地址、端口的信息,生成服务实例定义表,将所述跳变图案及服务实例定义表发送至服务跳变代理设备;
服务跳变代理设备遍历跳变图案,并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的IP地址和端口,执行具体的每一跳。
另一方面,所述基于服务跳变和智能清洗的动态服务实现系统,包括服务跳变控制器和服务跳变代理设备,其中,
所述服务跳变控制器包括:
图案生成单元,用于生成基于时空二维的随机服务跳变图案,所述跳变图案包括跳变逻辑节点和对应的驻留时间;
映射表生成单元,用于生成虚拟机映射表,所述虚拟机映射表包含了跳变逻辑节点与虚拟机名称、IP地址、端口、镜像的映射关系;
定义表生成单元,用于从所述虚拟机映射表中提取跳变逻辑节点、IP地址、端口的信息,生成服务实例定义表,将所述跳变图案及服务实例定义表发送至服务跳变代理设备;
所述服务跳变代理设备包括:
查询执行单元,用于遍历跳变图案,并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的IP地址和端口,执行具体的每一跳。
本发明的有益效果是:本发明提供了一种较高安全性的动态服务实现技术方案,生成的跳变图案具有时间和空间二维度,使得生成的跳变图案具有高多变性,同时还采用了跳变虚拟机映射机制,可以避免采用实际虚拟机作为跳变图案的节点,会导致跳变图案频繁更新的问题,另外,还采用了基于虚拟机的智能清洗技术,确保系统中的虚拟机处于一种良性更新换代的过程中,可以实现主动防御已知和未知的木马、病毒等对网络服务各种攻击。
附图说明
图1是本发明第一实施例提供的基于服务跳变和智能清洗的动态服务实现方法的流程图;
图2是跳变虚拟机映射示意图;
图3是虚拟机映射表工作原理图;
图4是虚拟机自清洗示意图;
图5是本发明第二实施例提供的基于服务跳变和智能清洗的动态服务实现系统的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例一:
图1示出了本发明实施例提供的基于服务跳变和智能清洗的动态服务实现方法的流程,为了便于说明仅示出了与本发明实施例相关的部分。
如图1所示,本实施例提供的基于服务跳变和智能清洗的动态服务实现方法包括下述步骤:
步骤S1、服务跳变控制器生成基于时空二维的随机服务跳变图案,所述跳变图案包括跳变逻辑节点和对应的驻留时间。
本步骤通过时间和空间二重维度生成随机服务跳变图案,具体的,跳变图案生成算法将针对服务所在的跳变逻辑节点(空间维度)和单一节点驻留时间(时间维度)进行二重随机处理,并将处理结果组合生成最终的跳变图案(Graph),这样生成的跳变图案具有高多变性,增加主动防御性能。作为一种具体实现方案,本步骤包括:
S11、将服务所在的跳变逻辑节点进行混沌随机处理,得到一组逻辑节点空间序列。
具体的,S=fn1(PointList,GraphSize)生成混沌随机处理后的逻辑节点空间序列。这里PointList为跳变逻辑节点的列表,PointList中的节点数量由该服务跳变的不同虚拟机镜像个数来决定,GraphSize为跳变图案的规模,支持百万级别,由用户在用户配置端下发。fn1()为一种混沌随机处理算法,目前该算法较为成熟,具体不赘述。生成的逻辑节点空间序列的长度为GraphSize大小,序列中的每一个节点都从是从跳变逻辑节点列表中随机选择的一个,从而保证在整个图案中,每一个跳变逻辑节点的遍历次数大致相同。
S12、根据驻留时间最大值和最小值范围内,生成一组经过混沌随机处理后的时间序列,所述时间序列长度和所述空间序列长度相同。
具体的,T=fn2(GraphSize,[min,max])生成一组混沌随机处理后的时间序列。同样时间序列的长度为GraphSize,fn2()同样为一种混沌随机处理算法,可与fn1相同,也可不同。业务服务在每一个跳变逻辑节点上驻留时间的最大值max和最小值min由用户在用户配置端下发。生成的时间序列中的每一个节点都从[min,max]之间的整数中随机选择一个,从而保证在跳变过程中,服务在每一个跳变节点上驻留的时间都是在一定区间内随机的。
S13、将所述空间序列和所述时间序列一一对应匹配,得到最终的跳变图案。
Graph=fn3(S,T)生成最终图案,例如:
这里index0表示跳变图案的第一个序列序号,[4,7]表示跳变逻辑节点4的驻留时间为7秒。
步骤S2、服务跳变控制器生成虚拟机映射表,所述虚拟机映射表包含了跳变逻辑节点与虚拟机名称、IP地址、端口、镜像的映射关系。
由于业务所在的虚拟机会不断的被清洗和补充,如果采用实际虚拟机作为跳变图案的节点,会导致跳变图案频繁更新。为了避免此问题,本发明设计了跳变虚拟机映射方案,在虚拟机映射表中引入跳变逻辑节点,使得跳变图案的生成基于不变的跳变逻辑节点,然后再通过虚拟机映射表将实际的虚拟机映射到跳变逻辑节点上。每当实际的虚拟机被清洗替换时,该映射表都会实时更新,并最终下发到跳变逻辑节点。
如图2所示的跳变虚拟机映射示意图,跳变周期来临时,两个虚拟机被清洗掉,新的两个虚拟机被补充进来,虚拟机的名称(唯一标识符)发生了变化。图2中,跳变逻辑节点0和1在自清洗自补充流程中虚拟机发生了清洗替换。对于跳变图案来说,逻辑节点本身没有发生变化,只是0和1背后对应的虚拟机发生了更新,因此需要生成和实时更新“虚拟机映射表”来维护跳变逻辑节点和实际虚拟机的对应关系。
步骤S3、服务跳变控制器从所述虚拟机映射表中提取跳变逻辑节点、IP地址、端口的信息,生成服务实例定义表,将所述跳变图案及服务实例定义表发送至服务跳变代理设备。
步骤S4、服务跳变代理设备遍历跳变图案,并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的IP地址和端口,执行具体的每一跳。
如图3所示的虚拟机映射表的工作原理,图示中,跳变图案中仅包含跳变逻辑节点的信息,另外还包括每次跳变的跳变逻辑节点所对应的驻留时间,而虚拟机映射表中则包含了从跳变逻辑节点到虚拟机名称、IP地址、端口、镜像的对应关系。其中每新生成一个虚拟机,从虚拟化云平台查询得到虚拟机名称以及IP地址,其中所述虚拟化云平台为每一个跳变服务维护一个IP地址池,当需生成/清洗虚拟机时,从所述IP地址池中分配/回收IP地址。服务跳变控制器会抽取虚拟机映射表中的部分信息(逻辑节点、IP地址、端口)生成服务实例定义表,同跳变图案一起下发给跳变服务代理设备。跳变服务代理设备会遍历跳变图案,并在服务实例定义表查询到实际的IP地址和端口后执行具体的每一跳。
本实施例中,所述基于服务跳变和智能清洗的动态服务实现方法还包括下述步骤:
步骤S35、每当实际的虚拟机被清洗以及补充新的虚拟机时,服务跳变控制器更新所述虚拟机映射表,同时更新服务实例定义表。
具体的,包括下述步骤:
S351、每当常态清理周期来临时,将当前周期的每一个跳变逻辑节点的驻留次数累加至驻留计数器,其中每个跳变图案都维护有一个驻留计数器;
S352、统计服务驻留次数最多的N台虚拟机,即得到N台老化虚拟机,N由用户配置;
S353、生成新的虚拟机,并在虚拟机映射表的相应跳变逻辑节点位置替换掉这些老化虚拟机;
S354、新的虚拟机的跳变逻辑节点序号不变,并下发给服务跳变代理设备,并向服务跳变代理设备查询当前正在提供服务的跳变逻辑节点是否为这些老化虚拟机;
S355、如果是,则等待服务从这些跳变逻辑节点上跳变离开;
S356、跳变离开后,清洗这些老化虚拟机,更新服务实例定义表;
S357、最后被清洗虚拟机对应的跳变逻辑节点的驻留次数统计清零,重新开始计数。
遍历跳变图案过程中,整体上各个虚拟机的驻留次数是基本平衡的,但在某一段时间内,会出现某一些虚拟机驻留次数多于其它虚拟机的情况,这些虚拟机受到攻击和感染的几率要大于其它的虚拟机,称之为老化虚拟机,即为智能清洗需要清除的目标。
针对每一个跳变图案维护有一个“节点驻留次数计数器”,简称为驻留计数器,每当常态清洗周期来临时,将当前周期每一个跳变逻辑节点的驻留次数叠加进驻留计数器,进而统计服务驻留次数最多N台虚拟机(N由用户配置端下发)进行清洗。
如图4所示的虚拟机自清洗示意图,当找到老化虚拟机后,并不会立刻清除这些老化虚拟机,而是先启动新的虚拟机,并在虚拟机映射表相应逻辑节点位置替换掉老化虚拟机,新的虚拟机的逻辑节点序号不变并下发给跳变服务代理设备,并向跳变服务代理设备查询当前正在提供服务的逻辑节点是不是这些老化的虚拟机,如果是,则等待服务从这些节点上跳变离开,否则清洗正在提供服务的虚拟机会导致业务服务中断,从而保证业务的无缝切换。清洗老化虚拟机之后,服务跳变控制器会将发生自清洗的跳变逻辑节点的驻留统计计数清零,重新开始计数。它们作为新生代,在之后一段时间内被再次清洗的可能性就比较小。
由于自补充新的虚拟机需要创建并启动虚拟机操作系统,这需要一段时间(在5分钟之内)。因此,常态清洗的周期不能太短,否则会出现清洗速度大于补充速度的情况,最终会导出提供服务的虚拟机池枯竭。因此,管理员需要对常态清洗的周期频率进行配置,配置依照如下公式:
WashCycle=N*基本耗时(单位:秒)
其中,N是每次清洗的虚拟机数量,即选取驻留次数最多的N台虚拟机。基本耗时是一个常量,该常量是补充一个虚拟机的基本耗时时间(300秒),两者的乘积就是常态清洗的时间周期。通过此配置公式可以保证虚拟机补充的速度不低于虚拟机清洗的速度。
本具体实施方式提供了一种基于虚拟机的智能清洗技术,确保系统中的虚拟机处于一种良性的更新换代过程中,老化的虚拟机将逐步被新生代的虚拟机所替代,从而构建一种服务跳变平台自维护的平衡生态。
实施例二:
图5示出了本发明实施例提供的基于服务跳变和智能清洗的动态服务实现系统的结构,包括服务跳变控制器1和服务跳变代理设备2,优选的,所述系统还包括虚拟化云平台3。其中所述服务跳变控制器1保存有跳变图案和附图实例定义表,所述服务跳变控制器2中保存有虚拟机映射表,所述虚拟化云平台3存储有IP地址池和虚拟机池,每新生成一个虚拟机时,从虚拟化云平台查询得到虚拟机名称以及IP地址,当需生成/清洗虚拟机时,从所述IP地址池中分配/回收IP地址。
从功能分析,所述服务跳变控制器1包括:
图案生成单元,用于生成基于时空二维的随机服务跳变图案,所述跳变图案包括跳变逻辑节点和对应的驻留时间;
映射表生成单元,用于生成虚拟机映射表,所述虚拟机映射表包含了跳变逻辑节点与虚拟机名称、IP地址、端口、镜像的映射关系;
定义表生成单元,用于从所述虚拟机映射表中提取跳变逻辑节点、IP地址、端口的信息,生成服务实例定义表,将所述跳变图案及服务实例定义表发送至服务跳变代理设备;
所述服务跳变代理设备2包括:
查询执行单元,用于遍历跳变图案,并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的IP地址和端口,执行具体的每一跳。
所述服务跳变控制器还包括:
更新单元,用于每当实际的虚拟机被清洗以及补充新的虚拟机时,服更新所述虚拟机映射表,同时更新服务实例定义表。
具体实现时,所述更新单元包括:
计数模块,用于每当常态清理周期来临时,将当前周期的每一个跳变逻辑节点的驻留次数累加至驻留计数器,其中每个跳变图案都维护有一个驻留计数器;
统计模块,用于统计服务驻留次数最多的N台虚拟机,即得到N台老化虚拟机,N由用户配置;
生成替换模块,用于生成新的虚拟机,并在虚拟机映射表的相应跳变逻辑节点位置替换掉这些老化虚拟机;
下发查询模块,用于将新的虚拟机的跳变逻辑节点序号下发给服务跳变代理设备,并向服务跳变代理设备查询当前正在提供服务的跳变逻辑节点是否为这些老化虚拟机;
等待模块,用于当跳变逻辑节点是这些老化虚拟机时,等待服务从这些跳变逻辑节点上跳变离开;
清洗更新模块,用于当跳变离开后,清洗这些老化虚拟机,更新服务实例定义表;
清零模块,用于用于被清洗虚拟机对应的跳变逻辑节点的驻留次数统计清零,重新开始计数。
具体实现时,所述图案生成单元包括:
第一生成模块,用于将服务所在的跳变逻辑节点进行混沌随机处理,得到一组逻辑节点空间序列;
第二生成模块,用于根据驻留时间最大值和最小值范围内,生成一组经过混沌随机处理后的时间序列,所述时间序列长度和所述空间序列长度相同;
第三生成模块,用于将所述空间序列和所述时间序列一一对应匹配,得到最终的跳变图案。
上述各个功能单元和功能模块均与实施例一种的相关步骤对应,这些功能单元和功能模块可以实现步骤对应的功能,具体实现过程不赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于服务跳变和智能清洗的动态服务实现方法,其特征在于,所述方法包括:
服务跳变控制器生成基于时空二维的随机服务跳变图案,所述跳变图案包括跳变逻辑节点和对应的驻留时间;
服务跳变控制器生成虚拟机映射表,所述虚拟机映射表包含了跳变逻辑节点与虚拟机名称、IP地址、端口、镜像的映射关系;
服务跳变控制器从所述虚拟机映射表中提取跳变逻辑节点、IP地址、端口的信息,生成服务实例定义表,将所述跳变图案及服务实例定义表发送至服务跳变代理设备;
服务跳变代理设备遍历跳变图案,并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的IP地址和端口,执行具体的每一跳;
其中所述服务跳变控制器生成基于时空二维的随机服务跳变图案步骤,包括:
将服务所在的跳变逻辑节点进行混沌随机处理,得到一组逻辑节点空间序列;
根据驻留时间最大值和最小值范围内,生成一组经过混沌随机处理后的时间序列,所述时间序列长度和所述空间序列长度相同;
将所述空间序列和所述时间序列一一对应匹配,得到最终的跳变图案。
2.如权利要求1所述方法,其特征在于,所述方法还包括下述步骤:
每当实际的虚拟机被清洗以及补充新的虚拟机时,服务跳变控制器更新所述虚拟机映射表,同时更新服务实例定义表。
3.如权利要求2所述方法,其特征在于,所述虚拟机被清洗以及补充新的虚拟机时,服务跳变控制器更新所述虚拟机映射表,同时更新服务实例定义表步骤,具体包括:
每当常态清理周期来临时,将当前周期的每一个跳变逻辑节点的驻留次数累加至驻留计数器,其中每个跳变图案都维护有一个驻留计数器;
统计服务驻留次数最多的N台虚拟机,即得到N台老化虚拟机,N由用户配置;
生成新的虚拟机,并在虚拟机映射表的相应跳变逻辑节点位置替换掉这些老化虚拟机;
新的虚拟机的跳变逻辑节点序号不变,并下发给服务跳变代理设备,并向服务跳变代理设备查询当前正在提供服务的跳变逻辑节点是否为这些老化虚拟机;
如果是,则等待服务从这些跳变逻辑节点上跳变离开;
跳变离开后,清洗这些老化虚拟机,更新服务实例定义表;
最后被清洗虚拟机对应的跳变逻辑节点的驻留次数统计清零,重新开始计数。
4.如权利要求3所述方法,其特征在于,每新生成一个虚拟机,从虚拟化云平台查询得到虚拟机名称以及IP地址,其中所述虚拟化云平台为每一个跳变服务维护一个IP地址池,当需生成/清洗虚拟机时,从所述IP地址池中分配/回收IP地址。
5.如权利要求3所述方法,其特征在于,所述常态清理周期=N*基本耗时,所述基本耗时是补充一个虚拟机的基本耗时时间。
6.一种基于服务跳变和智能清洗的动态服务实现系统,其特征在于,所述系统包括服务跳变控制器和服务跳变代理设备,其中,
所述服务跳变控制器包括:
图案生成单元,用于生成基于时空二维的随机服务跳变图案,所述跳变图案包括跳变逻辑节点和对应的驻留时间;
映射表生成单元,用于生成虚拟机映射表,所述虚拟机映射表包含了跳变逻辑节点与虚拟机名称、IP地址、端口、镜像的映射关系;
定义表生成单元,用于从所述虚拟机映射表中提取跳变逻辑节点、IP地址、端口的信息,生成服务实例定义表,将所述跳变图案及服务实例定义表发送至服务跳变代理设备;
所述服务跳变代理设备包括:
查询执行单元,用于遍历跳变图案,并从服务实例定义表中查询到当前跳变逻辑节点对应的实际的IP地址和端口,执行具体的每一跳;
所述图案生成单元包括:
第一生成模块,用于将服务所在的跳变逻辑节点进行混沌随机处理,得到一组逻辑节点空间序列;
第二生成模块,用于根据驻留时间最大值和最小值范围内,生成一组经过混沌随机处理后的时间序列,所述时间序列长度和所述空间序列长度相同;
第三生成模块,用于将所述空间序列和所述时间序列一一对应匹配,得到最终的跳变图案。
7.如权利要求6所述系统,其特征在于,所述服务跳变控制器还包括:
更新单元,用于每当实际的虚拟机被清洗以及补充新的虚拟机时,服更新所述虚拟机映射表,同时更新服务实例定义表。
8.如权利要求7所述系统,其特征在于,所述更新单元包括:
计数模块,用于每当常态清理周期来临时,将当前周期的每一个跳变逻辑节点的驻留次数累加至驻留计数器,其中每个跳变图案都维护有一个驻留计数器;
统计模块,用于统计服务驻留次数最多的N台虚拟机,即得到N台老化虚拟机,N由用户配置;
生成替换模块,用于生成新的虚拟机,并在虚拟机映射表的相应跳变逻辑节点位置替换掉这些老化虚拟机;
下发查询模块,用于将新的虚拟机的跳变逻辑节点序号下发给服务跳变代理设备,并向服务跳变代理设备查询当前正在提供服务的跳变逻辑节点是否为这些老化虚拟机;
等待模块,用于当跳变逻辑节点是这些老化虚拟机时,等待服务从这些跳变逻辑节点上跳变离开;
清洗更新模块,用于当跳变离开后,清洗这些老化虚拟机,更新服务实例定义表;
清零模块,用于用于被清洗虚拟机对应的跳变逻辑节点的驻留次数统计清零,重新开始计数。
9.如权利要求7所述系统,其特征在于,所述系统还包括虚拟化云平台,所述虚拟化云平台包括IP地址池和虚拟机池,每新生成一个虚拟机时,从虚拟化云平台查询得到虚拟机名称以及IP地址,当需生成/清洗虚拟机时,从所述IP地址池中分配/回收IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610307060.7A CN105978875B (zh) | 2016-05-11 | 2016-05-11 | 一种基于服务跳变和智能清洗的动态服务实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610307060.7A CN105978875B (zh) | 2016-05-11 | 2016-05-11 | 一种基于服务跳变和智能清洗的动态服务实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105978875A CN105978875A (zh) | 2016-09-28 |
| CN105978875B true CN105978875B (zh) | 2019-04-05 |
Family
ID=56992960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610307060.7A Active CN105978875B (zh) | 2016-05-11 | 2016-05-11 | 一种基于服务跳变和智能清洗的动态服务实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105978875B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657054B (zh) * | 2016-12-19 | 2019-08-23 | 中国人民解放军国防信息学院 | 一种基于虚拟机服务跳变的网络安全防御方法 |
| CN108664324B (zh) * | 2017-03-30 | 2022-02-01 | 微软技术许可有限责任公司 | 云服务实例分配的更新日志 |
| CN108989316B (zh) * | 2018-07-26 | 2021-01-22 | 中国电子科技集团公司第二十九研究所 | 一种适用于专用网络的端口跳变通信方法及系统 |
| CN110650118B (zh) * | 2019-08-07 | 2021-11-30 | 江汉大学 | 基于应用切换的自适应安全防御的方法、装置及电子设备 |
| CN111818058B (zh) * | 2020-07-09 | 2022-06-21 | 武汉量子风暴信息科技有限公司 | 面向网络跳变控制器的安全防护方法、系统及相关设备 |
| CN113225315A (zh) * | 2021-04-08 | 2021-08-06 | 福建奇点时空数字科技有限公司 | 一种基于端口模糊处理响应的mtd反网络扫描方法 |
| CN114124383B (zh) * | 2021-11-30 | 2024-01-16 | 中国人民解放军国防科技大学 | 复用同步光的地址跳变图案生成方法、装置及计算机设备 |
| CN115277135B (zh) * | 2022-07-15 | 2023-10-27 | 中国人民解放军国防科技大学 | 一种基于隧道技术的动态安全防护方法及应用 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105429957A (zh) * | 2015-11-02 | 2016-03-23 | 芦斌 | 一种基于sdn构架下的ip地址跳变安全通信方法 |
| CN103457931B (zh) * | 2013-08-15 | 2016-08-10 | 华中科技大学 | 一种网络诱骗与反攻击的主动防御方法 |
| CN104394140B (zh) * | 2014-11-21 | 2018-03-06 | 南京邮电大学 | 一种基于sdn的虚拟网络优化方法 |
-
2016
- 2016-05-11 CN CN201610307060.7A patent/CN105978875B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457931B (zh) * | 2013-08-15 | 2016-08-10 | 华中科技大学 | 一种网络诱骗与反攻击的主动防御方法 |
| CN104394140B (zh) * | 2014-11-21 | 2018-03-06 | 南京邮电大学 | 一种基于sdn的虚拟网络优化方法 |
| CN105429957A (zh) * | 2015-11-02 | 2016-03-23 | 芦斌 | 一种基于sdn构架下的ip地址跳变安全通信方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《Spatio-temporal address mutation for proactive cyber agility against sophisticated attackers》;Jafar Haadi Jafarian;《ACM》;20141107;全文 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105978875A (zh) | 2016-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105978875B (zh) | 一种基于服务跳变和智能清洗的动态服务实现方法及系统 | |
| CN105656688B (zh) | 状态控制方法和装置 | |
| CN108462594B (zh) | 虚拟专有网络及规则表生成方法、装置及路由方法 | |
| CN110113435A (zh) | 一种流量清洗的方法和设备 | |
| Huang et al. | Cost minimization for rule caching in software defined networking | |
| Naveen et al. | On the interaction between content caching and request assignment in cellular cache networks | |
| US20090248597A1 (en) | Method and apparatus for computing a change plan | |
| US11343187B2 (en) | Quantitative exact match distance in network flows | |
| WO2008040092A1 (en) | Decentralised multi-user online environment | |
| CN110099046B (zh) | 超融合服务器的网络跳变方法和系统 | |
| Drucker et al. | The communication complexity of distributed task allocation | |
| US9542225B2 (en) | Method and apparatus for determining allocation design of virtual machines | |
| US20120109913A1 (en) | Method and system for caching regular expression results | |
| CN106534043A (zh) | 一种流量处理方法,设备和系统 | |
| CN107346259A (zh) | 一种动态部署安全能力的实现方法 | |
| CN110198333A (zh) | 数据获取方法和装置、存储介质及电子装置 | |
| CN110070609A (zh) | 地形数据的处理方法、装置、存储介质、处理器及终端 | |
| CN104978488B (zh) | 游戏角色的行为解析方法及装置 | |
| CN108572978A (zh) | 构建用于区块链的倒排索引结构的方法和计算机系统 | |
| CN108062244A (zh) | 爬虫任务的取消方法及装置 | |
| Traish et al. | Towards adaptive online RTS AI with NEAT | |
| CN102857924A (zh) | 认知无线电中基于授权信道切换概率的极大独立集频谱分配方法 | |
| Alzahrani et al. | Energy-aware virtual network embedding approach for distributed cloud | |
| US20190104150A1 (en) | Denial of service mitigation with two-tier hash | |
| Jiang et al. | ORP: An online rule placement scheme to optimize the traffic overhead for data center networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |