CN106254312A - 一种通过虚拟机异构实现服务器防攻击的方法及装置 - Google Patents
一种通过虚拟机异构实现服务器防攻击的方法及装置 Download PDFInfo
- Publication number
- CN106254312A CN106254312A CN201610564694.0A CN201610564694A CN106254312A CN 106254312 A CN106254312 A CN 106254312A CN 201610564694 A CN201610564694 A CN 201610564694A CN 106254312 A CN106254312 A CN 106254312A
- Authority
- CN
- China
- Prior art keywords
- server
- virtual
- service
- virtual server
- externally
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/148—Migration or transfer of sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种通过虚拟机异构实现服务器防攻击的方法及装置,通过在实体服务器上进行虚拟机异构生成多个使用不同操作系统的虚拟机,按第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,在检测到服务器遭受攻击后,按第二策略立即切换对外提供服务的虚拟服务器,并在后续时间按第二策略加快虚拟服务器的切换频率,调整虚拟服务器的切换顺序,对网络渗透攻击所需感知或匹配的网络环境进行动态变换,以切断网络渗透攻击过程中的先验知识链,使网络渗透攻击的后续步骤无法完成,解决了现有技术中无法通过防火墙和服务器操作系统的安全功能来防止网络渗透攻击的问题。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种通过虚拟机异构实现服务器防攻击的方法及装置。
背景技术
随着IP网络技术的不断发展,基于IP网络的智能监控技术得到快速发展,基于IP网络的视频监控已经成为目前视频监控的主流。而随着广域网的视频监控业务的部署越来越多,安全问题也越来越突出,最常见的网络攻击方式就是渗透攻击。
网络渗透攻击是对大型的网络主机服务器群组采用的一种迂回渐进式的攻击方法,通过长期而有计划地逐步渗透攻击进入网络,最终完全控制整个网络。网络渗透攻击之所以能够成功,是因为网络上总会有一些或大或小的安全缺陷或漏洞,攻击者利用这些小缺陷一步一步地获取更多信息,并利用新获取的信息将这些缺陷扩大,最终导致整个网络安全防线的失守,并掌控整个网络的权限。
现有技术通过防火墙和服务器操作系统本身的安全功能来防止网络攻击,但是防火墙以及每种操作系统都有自己的漏洞和缺陷,黑客通过长期摸索和试探,可以发现并利用这些缺陷和漏洞来对服务器进行网络渗透攻击。
发明内容
本发明的目的是提供一种通过虚拟机异构实现服务器防攻击的方法及装置,以解决现有技术中无法通过防火墙和服务器操作系统的安全功能来防止网络渗透攻击的问题。
为了实现上述目的,本发明技术方案如下:
一种通过虚拟机异构实现服务器防攻击的方法,所述通过虚拟机异构实现服务器防攻击的方法,包括:
将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,并在每台虚拟服务器上安装对外提供服务的应用软件;
根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务。
进一步地,所述根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,包括:
在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
其中,所述第一策略与第二策略中的每台虚拟服务器每次对外提供服务的时间或虚拟服务器的切换顺序不同。
进一步地,所述在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,包括:
根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,包括:
在检测到服务器遭到攻击后,立即切换对外提供服务的虚拟服务器;
在后续时间根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述第二策略中每台虚拟服务器每次对外提供服务的时间小于第一策略中每台虚拟服务器每次对外提供服务的时间,第二策略中虚拟服务器的切换顺序与第一策略中虚拟服务器的切换顺序不同。
进一步地,所述将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,包括:
在实体服务器上完成各个异构操作系统的安装,并将每个异构操作系统保存为镜像文件;
在实体服务器上通过虚拟化程序以不同的镜像文件进行虚拟服务器安装,并在虚拟服务器安装完成后配置该虚拟服务器的IP地址和端口号;
配置所述虚拟服务器共享数据库,在实体服务器上配置有一个统一的虚拟IP地址和端口号对外提供服务。
进一步地,根据权利要求1或2或3所述的通过虚拟机异构实现服务器防攻击的方法,其特征在于,所述调度虚拟服务器来对外提供服务,包括:
通知当前提供服务的虚拟服务器保存当前业务会话的ID和状态信息到共享的数据库;
调度用于接替当前虚拟服务器提供服务的虚拟服务器启动,并从共享数据库中读取当前业务会话的ID和状态信息,进行虚拟服务器的切换;
发送消息给切换前提供服务的虚拟服务器,使其通知客户端以原来的会话ID进行重新连接;
切换后提供服务的虚拟服务器根据从共享数据库中读取的当前业务会话的ID和状态信息对重新连接请求进行验证,验证通过后建立连接。
本发明还提出了一种通过虚拟机异构实现服务器防攻击的装置,其特征在于,所述通过虚拟机异构实现服务器防攻击的装置,包括:
虚拟机安装模块,用于将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,并在每台虚拟服务器上安装对外提供服务的应用软件;
虚拟机调度模块,用于根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务。
进一步地,所述虚拟机调度模块根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
其中,所述第一策略与第二策略中的每台虚拟服务器每次对外提供服务的时间或虚拟服务器的切换顺序不同。
进一步地,所述虚拟机调度模块在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述虚拟机调度模块在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
在检测到服务器遭到攻击后,立即切换对外提供服务的虚拟服务器;
在后续时间根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述第二策略中每台虚拟服务器每次对外提供服务的时间小于第一策略中每台虚拟服务器每次对外提供服务的时间,第二策略中虚拟服务器的切换顺序与第一策略中虚拟服务器的切换顺序不同。
进一步地,所述虚拟机安装模块将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,执行如下操作:
在实体服务器上完成各个异构操作系统的安装,并将每个异构操作系统保存为镜像文件;
在实体服务器上通过虚拟化程序以不同的镜像文件进行虚拟服务器安装,并在虚拟服务器安装完成后配置该虚拟服务器的IP地址和端口号;
配置所述虚拟服务器共享数据库,在实体服务器上配置有一个统一的虚拟IP地址和端口号对外提供服务。
进一步地,所述虚拟机调度模块调度虚拟服务器来对外提供服务,执行如下操作:
通知当前提供服务的虚拟服务器保存当前业务会话的ID和状态信息到共享的数据库;
调度用于接替当前虚拟服务器提供服务的虚拟服务器启动,并从共享数据库中读取当前业务会话的ID和状态信息,进行虚拟服务器的切换;
发送消息给切换前提供服务的虚拟服务器,使其通知客户端以原来的会话ID进行重新连接;
切换后提供服务的虚拟服务器根据从共享数据库中读取的当前业务会话的ID和状态信息对重新连接请求进行验证,验证通过后建立连接。
本发明提出了一种通过虚拟机异构实现服务器防攻击的方法及装置,通过将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,按预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,对网络渗透攻击所需感知或匹配的网络环境进行动态变换,切断网络渗透攻击的先验知识链,使网络渗透攻击的后续步骤无法进行,从而达到防止网络渗透攻击的目的,解决了现有技术中无法通过防火墙和服务器操作系统的安全功能来防止网络渗透攻击的问题,使黑客的渗透攻击前后获得的信息无法一致,让其攻击失败。
附图说明
图1为本发明通过虚拟机异构实现服务器防攻击的方法流程图;
图2为本实施例视频监控系统的组网结构图;
图3为本发明通过虚拟机异构实现服务器防攻击的装置结构示意图。
具体实施方式
下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
本实施例一种通过虚拟机异构实现服务器防攻击的方法,如图1所示,包括:
步骤S1、将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,并在每台虚拟服务器上安装对外提供服务的应用软件。
网络渗透攻击都是针对特定的设备IP地址进行,并且需要具有一定攻击步骤。攻击者在实施渗透攻击过程中,总体来说可以分为三个阶段,分别是预攻击阶段、攻击阶段和后攻击阶段。
预攻击阶段是攻击者对攻击目标相关信息进行收集和整理的阶段,也就是我们常说的黑客踩点。黑客通过多重方式进行信息收集,可以比较全面地了解被攻击目标的信息,并分析可能存在的安全问题,方便在攻击阶段实现目的明确的攻击测试,提高渗透攻击的成功率。攻击阶段是攻击者对攻击目标渗透过程的核心阶段,也是利用预攻击阶段收集到的信息实施攻击的主要过程。通过预攻击阶段的信息收集和攻击阶段中渗透攻击的实施,攻击者往往可以获取到目标环境的普通用户权限,如获取到网站的webshell或者获取目标主机反弹的cmdshell。攻击者会通过该普通用户权限进一步收集目标系统信息,寻找可能存在的权限提升的机会,进而实现最高权限的获取。后攻击阶段是攻击者对攻击战果进一步扩大,以及尽可能隐藏自身痕迹的过程。攻击者通过内网渗透、嗅探攻击、口令破解或者安装特洛伊木马或病毒等方式实现该过程,实现对目标环境中内网敏感数据信息的获取,并在目标环境中留下隐藏的后门,以方便日后获取更多的数据信息。
针对渗透攻击的特点,本实施例通过对提供网络服务的服务器进行虚拟异构生成多个使用不同操作系统的虚拟服务器,多个虚拟服务器通过一个统一的IP地址对外提供服务,并使用一个共享的数据库,然后按预定的策略进行统一调度,在不同的时间段内由不同的虚拟服务器对外提供服务,并在检测到网络攻击时,加快虚拟服务器的轮换频率或改变虚拟服务器轮换的顺序,这种机制对网络渗透攻击所需感知或匹配的网络环境进行动态变换,以切断攻击过程中的先验知识链,阻止网络渗透攻击的继续进行。
本实施例以视频监控系统中的视频管理平台为例进行说明,如图2所示,视频管理平台由包括三台实体服务器的服务器集群构成,其中主服务器为整个视频管理平台服务器集群的管理服务器,实体服务器通过虚拟机异构生成三台虚拟服务器,三台虚拟服务器通过统一的虚拟IP地址和端口号对外提供视频监控服务。
首先,在主服务器上配置每台从服务器的IP地址以及SSH登录的用户名和密码,从服务器注册到主服务器中,主服务器获取每台从服务器的CPU、内存、硬盘、网卡资源信息,并将获取到的从服务器的资源信息保存在主服务器的数据库中。
在主服务器上完成视频监控平台程序所需的各个异构操作系统的安装,并将每个异构操作系统保存为镜像文件,例如,将Windows操作系统镜像保存为Image0,将Centos操作系统镜像保存为Image1,将Ubuntu操作系统镜像保存为Image2。
然后,在主服务器上通过虚拟化程序(例如:KVM)启动以Image0为模板镜像的一个实例,进行虚拟服务器安装,安装完成后配置该虚拟服务器的IP地址为202.100.10.168,将该虚拟服务器保存为Instance00。在主服务器上发送命令给从服务器1进行虚拟服务器安装,从服务器1接收到主服务器的命令后从主服务器下载模板镜像文件Image1,并通过虚拟化程序KVM启动Image1的一个实例,进行虚拟服务器安装,安装完成后配置该虚拟服务器的IP地址为202.100.10.178,将该虚拟服务器保存为Instance11。在主服务器上发送命令给从服务器2进行虚拟服务器安装,从服务器2接收到主服务器的命令后从主服务器下载模板镜像文件Image2,并通过虚拟化程序KVM启动Image2的一个实例,进行虚拟服务器安装,安装完成后配置该虚拟服务器的IP地址为202.100.10.188,将该虚拟服务器保存为Instance22。
本实施例主服务器通过虚拟机异构生成多个虚拟服务器后,在各个虚拟主机上安装视频监控平台软件,并在各个虚拟服务器上配置不同的端口号来提供视频监控服务。具体为:在虚拟服务器Instance00上配置端口号5060来提供视频监控服务,在虚拟服务器Instance11上配置端口号25060来提供视频监控服务,在虚拟服务器Instance22上配置端口号35060来提供视频监控服务。
通过上述方法,本实施例通过虚拟化程序KVM进行虚拟机异构,生成虚拟服务器Instance00、Instance11、Instance22,其中虚拟服务器Instance00为Windows操作系统,虚拟服务器Instance11为Centos操作系统,虚拟服务器Instance22为Ubuntu操作系统,并在每台虚拟服务器上完成视频监控平台软件的安装。
步骤S2、根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务。
本实施例在完成虚拟服务器及应用软件安装后,在主服务器上配置一个虚拟的IP地址202.100.10.100和端口号80对外统一提供视频监控服务。
本实施例在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,在不同的时间将该虚拟IP地址和端口号映射到不同的虚拟服务器的IP地址和提供视频服务的端口号,实现在不同的时间由不同的虚拟服务器对外提供视频监控服务。例如,第一策略为按虚拟服务器Instance00、Instance11、Instance22的顺序轮流提供视频监控服务,每台虚拟服务器每次提供服务的时间为一天,则主服务器首先将202.100.10.100和端口号80映射到202.100.10.168和端口号5060,由虚拟服务器Instance00对外提供视频监控服务,第二天将202.100.10.100和端口号80映射到202.100.10.178和端口号25060,切换到虚拟服务器Instance11对外提供视频监控服务,第三天将202.100.10.100和端口号80映射到202.100.10.188和端口号35060,切换到虚拟服务器Instance22对外提供视频监控服务,如此循环往复,由三台虚拟服务器轮流对外提供视频监控服务。
需要说明的是,本实施例的多台虚拟服务器采用共享的数据库,主服务器在切换对外提供视频监控服务的虚拟服务器时,首先通知当前提供视频监控服务的虚拟服务器(例如,Instance00)保存当前业务会话的ID和状态信息到共享的数据库,然后调度用于接替当前虚拟服务器提供视频监控服务的虚拟服务器(例如,Instance11)启动,并从共享数据库中读取当前业务会话的ID和状态信息,然后发送消息给Instance00,让其通知正在使用的客户端(会话的发起者,例如视频监控客户端)以原来的会话ID进行重新连接,Instance11接收到客户端的重新连接请求后,根据从共享数据库中读取的当前业务会话的ID和状态信息对重新连接请求进行验证,验证通过后建立连接。因此,在对外提供视频监控服务的虚拟服务器进行切换时,用户的使用不受影响,并且用户感知不到虚拟服务器的切换。
通过上述方法,本实施例在没有检测到攻击时,主动对网络渗透攻击所需感知或匹配的网络环境进行动态变换,预防可能发生的网络渗透攻击。
本实施例在检测到服务器遭到攻击后,首先按照第二策略马上切换对外提供视频监控的虚拟服务器。由于此时处于网络渗透攻击的预攻击阶段,攻击者可能已经通过攻击获取服务器了的操作系统类型、服务器的实际IP地址及端口号、应用程序类型等信息,例如,当遭到网络渗透攻击时,提供视频监控服务的虚拟服务器为Instance00时,攻击者获取到操作系统类型为Windows系统,服务器的实际IP地址为202.100.10.168,端口号为5060,应用程序为IIS,而攻击者利用这些信息进行后续攻击时,主服务器将对外提供服务的虚拟服务器切换为Instance11,使操作系统类型变为Centos系统,服务器的实际IP地址变为202.100.10.178,端口号变为25060,应用程序变为Apache,导致攻击者的后续攻击无法进行。
然后,主服务器根据第二策略中每台虚拟服务器每次对外提供服务的时间,提高虚拟服务器切换的频率,例如,将服务器切换的频率由第一策略中每天切换一次提高到第二策略中的每30分钟切换一次,加快对网络渗透攻击所需感知或匹配的网络环境的动态变换,使网络渗透攻击的后续步骤无法完成。同时主服务器根据第二策略中虚拟服务器的切换顺序,改变虚拟服务器的切换顺序,例如,第一策略中虚拟服务器的切换顺序为Instance00->Instance11->Instance22,第二策略中虚拟服务器的切换顺序为Instance00->Instance22->Instance11,以进一步提高网络渗透攻击者进行后续攻击的难度。
需要说明的是,本实施例除了采用上述优选的方法外,还可以单独采用上述第一策略或者第二策略来防止网络渗透攻击。第一策略与第二策略中的每台虚拟服务器每次对外提供服务的时间或虚拟服务器的切换顺序不同。
通过上述方法,本实施例按照预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,使网络渗透攻击的后续步骤无法完成,从而有效防止了网络渗透攻击,解决了现有技术中无法通过防火墙和服务器操作系统的安全功能来防止网络渗透攻击的问题。
如图3所示,本实施例还提供了一种通过虚拟机异构实现服务器防攻击的装置,本实施中的装置可以通过软件实现,例如安装了该软件的服务器,也可以通过硬件或者软硬件结合的方式实现。该装置包括:
虚拟机安装模块,用于将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,并在每台虚拟服务器上安装对外提供服务的应用软件;
虚拟机调度模块,用于根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务。
如上述方法对应地,本装置中各模块描述如下:
本实施例虚拟机调度模块根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
其中,所述第一策略与第二策略中的每台虚拟服务器每次对外提供服务的时间或虚拟服务器的切换顺序不同。
本实施例虚拟机调度模块在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
本实施例虚拟机调度模块在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
在检测到服务器遭到攻击后,立即切换对外提供服务的虚拟服务器;
在后续时间根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述第二策略中每台虚拟服务器每次对外提供服务的时间小于第一策略中每台虚拟服务器每次对外提供服务的时间,第二策略中虚拟服务器的切换顺序与第一策略中虚拟服务器的切换顺序不同。
本实施例虚拟机安装模块将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,执行如下操作:
在实体服务器上完成各个异构操作系统的安装,并将每个异构操作系统保存为镜像文件;
在实体服务器上通过虚拟化程序以不同的镜像文件进行虚拟服务器安装,并在虚拟服务器安装完成后配置该虚拟服务器的IP地址和端口号;
配置所述虚拟服务器共享数据库,在实体服务器上配置有一个统一的虚拟IP地址和端口号对外提供服务。
本实施例虚拟机调度模块调度虚拟服务器来对外提供服务,执行如下操作:
通知当前提供服务的虚拟服务器保存当前业务会话的ID和状态信息到共享的数据库;
调度用于接替当前虚拟服务器提供服务的虚拟服务器启动,并从共享数据库中读取当前业务会话的ID和状态信息,进行虚拟服务器的切换;
发送消息给切换前提供服务的虚拟服务器,使其通知客户端以原来的会话ID进行重新连接;
切换后提供服务的虚拟服务器根据从共享数据库中读取的当前业务会话的ID和状态信息对重新连接请求进行验证,验证通过后建立连接。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种通过虚拟机异构实现服务器防攻击的方法,其特征在于,所述通过虚拟机异构实现服务器防攻击的方法,包括:
将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,并在每台虚拟服务器上安装对外提供服务的应用软件;
根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务。
2.根据权利要求1所述的通过虚拟机异构实现服务器防攻击的方法,其特征在于,所述根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,包括:
在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
其中,所述第一策略与第二策略中的每台虚拟服务器每次对外提供服务的时间或虚拟服务器的切换顺序不同。
3.根据权利要求2所述的通过虚拟机异构实现服务器防攻击的方法,其特征在于,所述在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,包括:
根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,包括:
在检测到服务器遭到攻击后,立即切换对外提供服务的虚拟服务器;
在后续时间根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述第二策略中每台虚拟服务器每次对外提供服务的时间小于第一策略中每台虚拟服务器每次对外提供服务的时间,第二策略中虚拟服务器的切换顺序与第一策略中虚拟服务器的切换顺序不同。
4.根据权利要求1所述的通过虚拟机异构实现服务器防攻击的方法,其特征在于,所述将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,包括:
在实体服务器上完成各个异构操作系统的安装,并将每个异构操作系统保存为镜像文件;
在实体服务器上通过虚拟化程序以不同的镜像文件进行虚拟服务器安装,并在虚拟服务器安装完成后配置该虚拟服务器的IP地址和端口号;
配置所述虚拟服务器共享数据库,在实体服务器上配置有一个统一的虚拟IP地址和端口号对外提供服务。
5.根据权利要求1或2或3所述的通过虚拟机异构实现服务器防攻击的方法,其特征在于,所述调度虚拟服务器来对外提供服务,包括:
通知当前提供服务的虚拟服务器保存当前业务会话的ID和状态信息到共享的数据库;
调度用于接替当前虚拟服务器提供服务的虚拟服务器启动,并从共享数据库中读取当前业务会话的ID和状态信息,进行虚拟服务器的切换;
发送消息给切换前提供服务的虚拟服务器,使其通知客户端以原来的会话ID进行重新连接;
切换后提供服务的虚拟服务器根据从共享数据库中读取的当前业务会话的ID和状态信息对重新连接请求进行验证,验证通过后建立连接。
6.一种通过虚拟机异构实现服务器防攻击的装置,其特征在于,所述通过虚拟机异构实现服务器防攻击的装置,包括:
虚拟机安装模块,用于将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,并在每台虚拟服务器上安装对外提供服务的应用软件;
虚拟机调度模块,用于根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务。
7.根据权利要求6所述的通过虚拟机异构实现服务器防攻击的装置,其特征在于,所述虚拟机调度模块根据预定的运行策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务;
其中,所述第一策略与第二策略中的每台虚拟服务器每次对外提供服务的时间或虚拟服务器的切换顺序不同。
8.根据权利要求7所述的通过虚拟机异构实现服务器防攻击的装置,其特征在于,所述虚拟机调度模块在没有检测到攻击时,根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
根据第一策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述虚拟机调度模块在检测到攻击后,根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序调度虚拟服务器来对外提供服务,执行如下操作:
在检测到服务器遭到攻击后,立即切换对外提供服务的虚拟服务器;
在后续时间根据第二策略中每台虚拟服务器每次对外提供服务的时间以及虚拟服务器的切换顺序,控制虚拟服务器进行切换,在不同的时间调度不同的虚拟服务器来对外提供服务;
所述第二策略中每台虚拟服务器每次对外提供服务的时间小于第一策略中每台虚拟服务器每次对外提供服务的时间,第二策略中虚拟服务器的切换顺序与第一策略中虚拟服务器的切换顺序不同。
9.根据权利要求6所述的通过虚拟机异构实现服务器防攻击的装置,其特征在于,所述虚拟机安装模块将实体服务器进行虚拟机异构,生成多台使用不同操作系统的虚拟服务器,执行如下操作:
在实体服务器上完成各个异构操作系统的安装,并将每个异构操作系统保存为镜像文件;
在实体服务器上通过虚拟化程序以不同的镜像文件进行虚拟服务器安装,并在虚拟服务器安装完成后配置该虚拟服务器的IP地址和端口号;
配置所述虚拟服务器共享数据库,在实体服务器上配置有一个统一的虚拟IP地址和端口号对外提供服务。
10.根据权利要求6或7或8所述的通过虚拟机异构实现服务器防攻击的装置,其特征在于,所述虚拟机调度模块调度虚拟服务器来对外提供服务,执行如下操作:
通知当前提供服务的虚拟服务器保存当前业务会话的ID和状态信息到共享的数据库;
调度用于接替当前虚拟服务器提供服务的虚拟服务器启动,并从共享数据库中读取当前业务会话的ID和状态信息,进行虚拟服务器的切换;
发送消息给切换前提供服务的虚拟服务器,使其通知客户端以原来的会话ID进行重新连接;
切换后提供服务的虚拟服务器根据从共享数据库中读取的当前业务会话的ID和状态信息对重新连接请求进行验证,验证通过后建立连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610564694.0A CN106254312B (zh) | 2016-07-15 | 2016-07-15 | 一种通过虚拟机异构实现服务器防攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610564694.0A CN106254312B (zh) | 2016-07-15 | 2016-07-15 | 一种通过虚拟机异构实现服务器防攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106254312A true CN106254312A (zh) | 2016-12-21 |
| CN106254312B CN106254312B (zh) | 2019-12-13 |
Family
ID=57613780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610564694.0A Active CN106254312B (zh) | 2016-07-15 | 2016-07-15 | 一种通过虚拟机异构实现服务器防攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106254312B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN108632214A (zh) * | 2017-03-20 | 2018-10-09 | 中兴通讯股份有限公司 | 一种实现移动目标防御的方法及装置 |
| CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
| CN112398850A (zh) * | 2020-11-13 | 2021-02-23 | 国网冀北电力有限公司张家口供电公司 | 一种基于异构服务器平台动态防御方法 |
| CN115484149A (zh) * | 2022-09-13 | 2022-12-16 | 中国建设银行股份有限公司 | 网络切换方法、网络切换装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102110217A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种通过虚拟机岗位轮换实现自动修复的方法 |
| CN104598294A (zh) * | 2015-01-07 | 2015-05-06 | 杨学仕 | 用于移动设备的高效安全的虚拟化方法及其设备 |
| CN105100016A (zh) * | 2014-05-12 | 2015-11-25 | 中国民航大学 | 基于虚拟哈希安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法 |
| CN105278999A (zh) * | 2015-11-19 | 2016-01-27 | 国云科技股份有限公司 | 一种安全高效虚拟机软件部署的方法 |
| CN105487917A (zh) * | 2015-12-07 | 2016-04-13 | 郑州轻工业学院 | 一种虚拟机实现验证码系统修复的方法及装置 |
| CN105553948A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种基于虚拟机的弹性防攻击方法 |
| CN105701400A (zh) * | 2016-01-12 | 2016-06-22 | 中国人民解放军信息工程大学 | 一种虚拟机平台的安全控制方法及装置 |
-
2016
- 2016-07-15 CN CN201610564694.0A patent/CN106254312B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102110217A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种通过虚拟机岗位轮换实现自动修复的方法 |
| CN105100016A (zh) * | 2014-05-12 | 2015-11-25 | 中国民航大学 | 基于虚拟哈希安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法 |
| CN104598294A (zh) * | 2015-01-07 | 2015-05-06 | 杨学仕 | 用于移动设备的高效安全的虚拟化方法及其设备 |
| CN105278999A (zh) * | 2015-11-19 | 2016-01-27 | 国云科技股份有限公司 | 一种安全高效虚拟机软件部署的方法 |
| CN105487917A (zh) * | 2015-12-07 | 2016-04-13 | 郑州轻工业学院 | 一种虚拟机实现验证码系统修复的方法及装置 |
| CN105553948A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种基于虚拟机的弹性防攻击方法 |
| CN105701400A (zh) * | 2016-01-12 | 2016-06-22 | 中国人民解放军信息工程大学 | 一种虚拟机平台的安全控制方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632214A (zh) * | 2017-03-20 | 2018-10-09 | 中兴通讯股份有限公司 | 一种实现移动目标防御的方法及装置 |
| CN108632214B (zh) * | 2017-03-20 | 2022-02-22 | 中兴通讯股份有限公司 | 一种实现移动目标防御的方法及装置 |
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN107291538B (zh) * | 2017-06-14 | 2020-08-21 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
| CN110290100B (zh) * | 2019-03-06 | 2021-11-09 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
| CN112398850A (zh) * | 2020-11-13 | 2021-02-23 | 国网冀北电力有限公司张家口供电公司 | 一种基于异构服务器平台动态防御方法 |
| CN115484149A (zh) * | 2022-09-13 | 2022-12-16 | 中国建设银行股份有限公司 | 网络切换方法、网络切换装置、电子设备及存储介质 |
| CN115484149B (zh) * | 2022-09-13 | 2024-04-02 | 中国建设银行股份有限公司 | 网络切换方法、网络切换装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106254312B (zh) | 2019-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106254312A (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
| JP6549719B2 (ja) | ローリングセキュリティプラットフォーム | |
| CN104935672B (zh) | 负载均衡服务高可用实现方法和设备 | |
| US10491621B2 (en) | Website security tracking across a network | |
| CN105592052B (zh) | 一种防火墙规则配置方法及装置 | |
| CN105429839B (zh) | 虚拟化网络功能vnf优化方法、装置及系统 | |
| JP2014506045A (ja) | ネットワーク刺激エンジン | |
| CN106911648B (zh) | 一种环境隔离方法及设备 | |
| CN103944869A (zh) | 云端唤醒 | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| US20150288572A1 (en) | Programmatically simulating system conditions | |
| CN111506316B (zh) | 一种自动化蜜罐部署方法及装置 | |
| CN102215254A (zh) | 安全提供用户对计算机设备远程管理许可的会话密钥信息 | |
| CN112448822B (zh) | 一种跨网络唤醒的方法以及相关设备 | |
| US20110137809A1 (en) | Establishing secure tunnels for customer support | |
| CN103368809A (zh) | 一种互联网反向穿透隧道的实现方法 | |
| CN108234164A (zh) | 集群部署方法及装置 | |
| EP3035636A1 (en) | Computer defenses and counterattacks | |
| CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
| CN110221949A (zh) | 自动化运维管理方法、装置、设备及可读存储介质 | |
| CN108605264A (zh) | 网络管理 | |
| CN106941418B (zh) | Ssl vpn配置信息的同步方法和装置 | |
| CN105787355A (zh) | 一种安全软件进程权限管理方法和装置 | |
| CN106165367B (zh) | 一种存储装置的访问控制方法、存储装置以及控制系统 | |
| CN105939344A (zh) | 一种tcp连接的建立方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |