CN107786568B - 一种拟态云主机的自动构建装置、方法及系统 - Google Patents

一种拟态云主机的自动构建装置、方法及系统 Download PDF

Info

Publication number
CN107786568B
CN107786568B CN201711072096.2A CN201711072096A CN107786568B CN 107786568 B CN107786568 B CN 107786568B CN 201711072096 A CN201711072096 A CN 201711072096A CN 107786568 B CN107786568 B CN 107786568B
Authority
CN
China
Prior art keywords
mimicry
module
heterogeneous
cloud host
redundancy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711072096.2A
Other languages
English (en)
Other versions
CN107786568A (zh
Inventor
邬江兴
程国振
王亚文
扈红超
陈福才
刘文彦
霍树民
梁浩
丁瑞浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201711072096.2A priority Critical patent/CN107786568B/zh
Publication of CN107786568A publication Critical patent/CN107786568A/zh
Application granted granted Critical
Publication of CN107786568B publication Critical patent/CN107786568B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及云安全技术领域,尤其涉及一种拟态云主机的自动构建装置、方法及系统。一种拟态云主机的自动构建装置,包括:拟态云主机;拟态平台模块;异构镜像库模块;拟态反馈控制器模块;拟态调度器模块。一种拟态云主机的自动构建方法,包括:申请拟态云主机,并部署应用;对拟态云主机进行自动化拟态反馈控制;对拟态云主机进行安全维护。一种拟态云主机的自动构建系统,包括:服务器集群及上述任一所述一种拟态云主机的自动构建装置。本申请提供了一种拟态云主机的自动构建装置、方法及系统,利用拟态防御原理解决单一化、同质化执行体带来的安全问题,提高云服务和系统的安全性、可靠性。

Description

一种拟态云主机的自动构建装置、方法及系统
技术领域
本发明涉及云安全技术领域,尤其涉及一种拟态云主机的自动构建装置、方法及系统。
背景技术
云计算是继分布式计算、网格计算、对等计算之后的一种新型计算模式,它以虚拟化技术为基础,以网络为载体提供基础架构、平台、软件等服务为形式,整合大规模可扩展的计算、存储、数据、应用等分布式计算资源进行协同工作的超级计算模式。在云计算模式中,用户不再需要购买硬件,只需要支付相应的费用,通过网络就可以方便地获取所需要的计算和存储资源。早在2011年1月发布的IT行业十大战略技术报告中就将云计算技术列为十大战略技术之首。Google、IBM、Microsoft、Amazon、腾讯、阿里巴巴等知名IT企业都在大力开发和推进云计算,但是近年来,云服务提供商频频出现各种不安全的事件,由此云安全成为了人们广泛关注的焦点。云计算依托虚拟化技术,构建了多租户共存的运营模式,在带来利润的同时,也无形中增大了云平台的攻击面,攻击者可以合法的租用虚拟机并以其作为跳板,对整个云系统实施攻击,比如攻击者可以利用虚拟平台漏洞获取宿主机权限,进而窃取或纂改其它租户数据、信息等。
安全与隐私作为云计算租户最关心的问题,在越来越多的安全风险涌现的情况下,工业界与学术界也不断地提出了相应的安全机制和管理方法。但是云计算由于其大规模、分布式的系统架构,使得传统安全手段,如漏洞扫描,病毒查杀,入侵检测等技术难以发挥功效。因此,云安全问题有待新的技术手段来实现。
发明内容
针对现有技术中存在的缺陷,本申请提供了一种拟态云主机的自动构建装置、方法及系统,利用拟态防御原理解决单一化、同质化执行体带来的安全问题,提高云服务和系统的安全性、可靠性。
为了实现上述目的,本发明采用以下技术方案:
一种拟态云主机的自动构建装置,包括:
拟态云主机,所述拟态云主机包括:虚代理模块、异构冗余执行体和虚拟裁决模块,分别完成数据分发、冗余处理和裁决;所述虚代理模块、异构冗余执行体和虚拟裁决模块均由异构镜像组合而成;
拟态平台模块,用于执行拟态云主机的部署、运行时监控、信息反馈;
异构镜像库模块,用于生成、注册异构化镜像库,管理面向应用的异构镜像;
拟态反馈控制模块,包括冗余控制模块、异构控制模块和拟态界面控制模块,用于相应安全等级要求的拟态云主机的生成和运行时控制,其中冗余控制模块、异构控制模块控制异构冗余执行体的生成,拟态界面控制模块控制虚代理模块和虚拟裁决模块的部署和生成、接收拟态平台模块反馈的消息、根据反馈的消息向拟态调度模块发送调度和清洗指令;
拟态调度模块,包括调度机制模块和清洗策略模块,用于接收拟态反馈控制模块的指令,基于安全策略,对拟态云主机进行动态操作,包括拟态云主机的调度,可疑异构冗余执行体的清洗操作。
优选地,所述拟态平台模块进一步包括拟态代理模块、健康监控模块、拟态反馈控制代理模块、调度代理模块,其中,拟态代理模块部署异构应用到拟态云主机中的异构冗余执行体,并向应用层屏蔽部署细节;健康监控模块收集拟态云主机中异构冗余执行体的健康状况,并上报云编排与管理平台;拟态反馈控制代理模块将虚拟裁决模块的裁决反馈到云编排与管理平台的拟态反馈控制模块;调度代理模块接收管理平面的拟态调度模块的调度指令。
优选地,所述安全策略包括:迁移策略、清洗策略、轮换策略、重构策略及同步策略,所述安全策略可周期性触发。
优选地,所述拟态云主机的调度包括迁移、重构、轮换和异构冗余执行体的同步;所述可疑异构冗余执行体的清洗操作包括在线检查点恢复、离线重启、自愈合。
一种拟态云主机的自动构建方法,包括以下步骤:
步骤1:申请拟态云主机,并部署应用;
步骤2:对拟态云主机进行自动化拟态反馈控制;
步骤3:对拟态云主机进行安全维护。
优选地,所述步骤1包括:
步骤1.1:根据需要部署的软件应用类型,选择拟态云主机,并指定安全等级,向拟态代理模块申请异构冗余执行体安全部署请求;
步骤1.2:拟态代理模块将请求转发至拟态反馈控制模块;
步骤1.3:拟态反馈控制模块中的异构控制模块和冗余控制模块制定出异构冗余组合方案;
步骤1.4:根据异构冗余组合方案要求,异构镜像库模块通过云管理网络下发至各计算节点,进行实例化;
步骤1.5:在异构冗余执行体中部署软件应用,待部署完毕后,拟态调度模块触发同步策略,将部署的软件应用同步到所有异构冗余执行体中。
优选地,所述步骤2包括:
步骤2.1:拟态平台模块中的反馈控制代理模块实时监控提供服务的异构冗余执行体的异构性、冗余性和裁决状态;
步骤2.2:当反馈控制代理模块检测出异构冗余执行体的异构和冗余状况低于初始水平时,将消息反馈给拟态反馈控制模块;
步骤2.3:当反馈控制代理模块收到虚拟裁决模块的裁决出现不一致信息时,将裁决的元数据反馈到拟态反馈控制模块,所述元数据包括:异构冗余执行体的状态、虚拟裁决模块的裁决结果;
步骤2.4:拟态反馈控制模块中的异构控制模块和冗余控制模块制定异构冗余组合方案,激活拟态调度模块,根据调度策略,配合异构镜像库模块,实现拟态云主机的内部组件的动态调度。
优选地,所述步骤3包括:
根据健康监控模块及拟态反馈控制代理模块的状态,分别执行如下步骤:
步骤3.1:当拟态平台模块中的健康监控模块检测出物理基础设施异常时,触发迁移策略,将异常物理节点上的所有拟态云主机迁移到正常的物理节点服务器上;
步骤3.2:当拟态平台模块中的健康监控模块检测出拟态云主机异常,且为轻度异常时,触发清洗机制,并根据实际情况选择不同的清洗方式,包括:重启、自愈和检查点恢复;
步骤3.3:当拟态平台模块中的健康监控模块检测出拟态云主机异常,且为重度异常时,触发轮换策略,利用异构镜像库生成新的相同类型的异构冗余执行体,代替原有异常的异构冗余执行体;
步骤3.4:当拟态平台模块中的拟态反馈控制代理模块检测出在执行任务时,拟态裁决出现不一致的情况,触发重构策略,重新制定异构冗余策略,更换异构冗余执行体,实现拟态云主机的重组。
优选地,在执行所述步骤3.1、步骤3.2、步骤3.3、步骤3.4中的任一步骤时,均同时采用同步策略。
一种拟态云主机的自动构建系统,包括:服务器集群及上述任一所述一种拟态云主机的自动构建装置。
与现有技术相比,本发明具有的有益效果:
本发明的一种拟态云主机的构建装置、方法及系统,基于云环境下的异构化虚拟资源和异构镜像库,将租户的资源请求按照既定的安全策略映射为虚拟化的动态异构冗余结构,并对用户呈现单个云主机,屏蔽内部结构,并根据监控信息施加各类动态操作和异构冗余控制,形成拟态云主机的闭环负反馈控制,实现租户业务的错误容忍、可疑异构冗余执行体的检测、调度和清洗,增加攻击者的漏洞利用攻击的成本,提高云服务和系统的安全性、可靠性。
附图说明
图1为本发明一种拟态云主机的自动构建装置的结构示意图之一。
图2为本发明一种拟态云主机的自动构建装置的结构示意图之二。
图3为本发明一种拟态云主机的自动构建方法的基本流程示意图之一。
图4为本发明一种拟态云主机的自动构建方法的基本流程示意图之二。
图5为本发明一种拟态云主机的自动构建方法的基本流程示意图之三。
图6为本发明一种拟态云主机的自动构建方法的基本流程示意图之四。
图7为本发明一种拟态云主机的自动构建方法的基本流程示意图之五。
具体实施方式
为了便于理解,对本发明的具体实施方式中出现的部分名词作以下解释说明:
实例化:异构镜像转化成异构冗余执行体的过程。
下面结合附图和具体的实施例对本发明做进一步的解释说明:
实施例一:
如图1所示,本发明的一种拟态云主机的自动构建装置,包括:
拟态云主机101,包括:虚代理模块1011、异构冗余执行体1012和虚拟裁决模块1013,分别完成数据分发、冗余处理和裁决;所述虚代理模块1011、异构冗余执行体1012和虚拟裁决模块1013均由异构镜像组合而成。
拟态平台模块102,用于执行拟态云主机101的部署、运行时监控、信息反馈。
异构镜像库模块103,用于生成、注册异构化镜像库,管理面向应用的异构镜像。
拟态反馈控制模块104,包括冗余控制模块1041、异构控制模块1042和拟态界面控制模块1043,用于相应安全等级要求的拟态云主机101的生成和运行时控制,其中冗余控制模块1041、异构控制模块1042控制异构冗余执行体1012的生成,拟态界面控制模块1043控制虚代理模块1011和虚拟裁决模块1013的部署和生成、接收拟态平台模块102反馈的消息、根据反馈消息向拟态调度模块105发送调度和清洗指令。
拟态调度模块105,包括调度机制模块1051和清洗策略模块1052,用于接收拟态反馈控制模块104的指令,基于安全策略,对拟态云主机101进行动态操作,包括拟态云主机101的调度,可疑异构冗余执行体1012的清洗操作。
实施例二:
如图2所示,本发明的另一种拟态云主机的自动构建装置,包括:
拟态云主机201,包括:虚代理模块2011、异构冗余执行体2012和虚拟裁决模块2013,分别完成数据分发、冗余处理和裁决;所述虚代理模块2011、异构冗余执行体2012和虚拟裁决模块2013均由异构镜像组合而成;
拟态平台模块202,用于执行拟态云主机201的部署、运行时监控、信息反馈;
异构镜像库模块203,用于生成、注册异构化镜像库,管理面向应用的异构镜像;
拟态反馈控制模块204,包括冗余控制模块2041、异构控制模块2042和拟态界面控制模块2043,用于相应安全等级要求的拟态云主机201的生成和运行时控制,其中冗余控制模块2041、异构控制模块2042控制异构冗余执行体201的生成,拟态界面控制模块2043控制虚代理模块2011和虚拟裁决模块2013的部署和生成、接收拟态平台模块202反馈的消息、根据反馈消息向拟态调度模块205发送调度和清洗指令;
拟态调度模块205,包括调度机制模块2051和清洗策略模块2052,用于接收拟态反馈控制模块的指令,基于安全策略,对拟态云主机201进行动态操作,包括拟态云主机201的调度,可疑异构冗余执行体2012的清洗操作。
所述拟态平台模块202进一步包括拟态代理模块2021、健康监控模块2022、拟态反馈控制代理模块2023、调度代理模块2024,其中,拟态代理模块2021部署异构应用到拟态云主机201中的异构冗余执行体2012,并向应用层屏蔽部署细节;健康监控模块2022收集拟态云主机201中异构冗余执行体2012的健康状况,并上报云编排与管理平台;拟态反馈控制代理模块2023将虚拟裁决模块2013的裁决反馈到云编排与管理平台的拟态反馈控制模块204;调度代理模块2024接收管理平面的拟态调度模块205的调度指令。
值得说明的是,所述安全策略包括:迁移策略、清洗策略、轮换策略、重构策略及同步策略,所述安全策略可周期性触发。
值得说明的是,所述拟态云主机的调度包括迁移、重构、轮换和异构冗余执行体的同步;所述可疑异构冗余执行体的清洗操作包括在线检查点恢复、离线重启、自愈合。
实施例三:
如图3所示,本发明的一种拟态云主机的自动构建方法,包括:
步骤S31:申请拟态云主机,并部署应用;
步骤S32:对拟态云主机进行自动化拟态反馈控制;
步骤S33:对拟态云主机进行安全维护。
实施例四:
如图4所示,本发明的另一种拟态云主机的自动构建方法,包括:
步骤S41:申请拟态云主机,并部署应用,包括:
步骤S411:根据部署的应用类型,选择拟态云主机,并指定安全等级,向拟态代理模块申请异构冗余执行体安全部署请求;
步骤S412:拟态代理模块将请求转发至拟态反馈控制模块;
步骤S413:拟态反馈控制模块中的异构控制模块和冗余控制模块制定出异构冗余组合方案;
步骤S414:根据异构冗余组合方案要求,异构镜像库模块通过云管理网络下发至各计算节点,进行实例化;
步骤S415:在异构冗余执行体中部署软件应用,待部署完毕后,拟态调度模块触发同步策略,将部署的软件应用同步到所有异构冗余执行体中。
步骤S42:对拟态云主机进行自动化拟态反馈控制,包括:
步骤S421:拟态平台模块中的反馈控制代理模块实时监控提供服务的异构冗余执行体的异构性、冗余性和裁决状态;
步骤S422:当反馈控制代理模块检测出异构冗余执行体的异构和冗余状况低于初始水平时,将消息反馈给拟态反馈控制模块;
步骤S423:当反馈控制代理模块收到虚拟裁决模块的裁决出现不一致信息时,将裁决的元数据反馈到拟态反馈控制模块,所述元数据包括:异构冗余执行体的状态、虚拟裁决模块的裁决结果;
步骤S424:拟态反馈控制模块中的冗余控制模块和异构控制模块制定冗余和异构组合方案,激活拟态调度模块,根据调度策略,配合异构镜像库模块,实现拟态云主机的内部组件的动态调度。
步骤S43:当拟态平台模块中的健康监控模块检测出物理基础设施异常时,触发迁移策略,将异常物理节点上的所有拟态云主机迁移到正常的物理节点服务器上。
值得说明的是,在执行所述步骤S43时,同时采用同步策略。
实施例五:
如图5所示,本发明的另一种拟态云主机的自动构建方法,包括:
步骤S51:申请拟态云主机,并部署应用,包括:
步骤S511:根据部署的应用类型,选择拟态云主机,并指定安全等级,向拟态代理模块申请异构冗余执行体安全部署请求;
步骤S512:拟态代理模块将请求转发至拟态反馈控制模块;
步骤S513:拟态反馈控制模块中的异构控制模块和冗余控制模块制定出异构冗余组合方案;
步骤S514:根据异构冗余组合方案要求,异构镜像库模块通过云管理网络下发至各计算节点,进行实例化;
步骤S515:在异构冗余执行体中部署软件应用,待部署完毕后,拟态调度模块触发同步策略,将部署的软件应用同步到所有异构冗余执行体中。
步骤S52:对拟态云主机进行自动化拟态反馈控制,包括:
步骤S521:拟态平台模块中的反馈控制代理模块实时监控提供服务的异构冗余执行体的异构性、冗余性和裁决状态;
步骤S522:当反馈控制代理模块检测出异构冗余执行体的异构和冗余状况低于初始水平时,将消息反馈给拟态反馈控制模块;
步骤S523:当反馈控制代理模块收到虚拟裁决模块的裁决出现不一致信息时,将裁决的元数据反馈到拟态反馈控制模块,所述元数据包括:异构冗余执行体的状态、虚拟裁决模块的裁决结果;
步骤S524:拟态反馈控制模块中的冗余控制模块和异构控制模块制定冗余和异构组合方案,激活拟态调度模块,根据调度策略,配合异构镜像库模块,实现拟态云主机的内部组件的动态调度。
步骤S53:当拟态平台模块中的健康监控模块检测出拟态云主机异常,且为轻度异常时,触发清洗策略,并根据实际情况选择不同的清洗方式,包括:重启、自愈和检查点恢复。
值得说明的是,在执行所述步骤S53时,同时采用同步策略。
实施例六:
如图6所示,本发明的另一种拟态云主机的自动构建方法,包括:
步骤S61:申请拟态云主机,并部署应用,包括:
步骤S611:根据部署的应用类型,选择拟态云主机,并指定安全等级,向拟态代理模块申请异构冗余执行体安全部署请求;
步骤S612:拟态代理模块将请求转发至拟态反馈控制模块;
步骤S613:拟态反馈控制模块中的异构控制模块和冗余控制模块制定出异构冗余组合方案;
步骤S614:根据异构冗余组合方案要求,异构镜像库模块通过云管理网络下发至各计算节点,进行实例化;
步骤S615:在异构冗余执行体中部署软件应用,待部署完毕后,拟态调度模块触发同步策略,将部署的软件应用同步到所有异构冗余执行体中。
步骤S62:对拟态云主机进行自动化拟态反馈控制,包括:
步骤S621:拟态平台模块中的反馈控制代理模块实时监控提供服务的异构冗余执行体的异构性、冗余性和裁决状态;
步骤S622:当反馈控制代理模块检测出异构冗余执行体的异构和冗余状况低于初始水平时,将消息反馈给拟态反馈控制模块;
步骤S623:当反馈控制代理模块收到虚拟裁决模块的裁决出现不一致信息时,将裁决的元数据反馈到拟态反馈控制模块,所述元数据包括:异构冗余执行体的状态、虚拟裁决模块的裁决结果;
步骤S624:拟态反馈控制模块中的冗余控制模块和异构控制模块制定冗余和异构组合方案,激活拟态调度模块,根据调度策略,配合异构镜像库模块,实现拟态云主机的内部组件的动态调度。
步骤S63:当拟态平台模块中的健康监控模块检测出拟态云主机异常,且为重度异常时,触发轮换策略,利用异构镜像库生成新的相同类型的异构冗余执行体,代替原有异常异构冗余执行体。
值得说明的是,在执行所述步骤S63时,同时采用同步策略。
实施例七:
如图7所示,本发明的另一种拟态云主机的自动构建方法,包括:
步骤S71:申请拟态云主机,并部署应用,包括:
步骤S711:根据部署的应用类型,选择拟态云主机,并指定安全等级,向拟态代理模块申请异构冗余执行体安全部署请求;
步骤S712:拟态代理模块将请求转发至拟态反馈控制模块;
步骤S713:拟态反馈控制模块中的异构控制模块和冗余控制模块制定出异构冗余组合方案;
步骤S714:根据异构冗余组合方案要求,异构镜像库模块通过云管理网络下发至各计算节点,进行实例化;
步骤S715:在异构冗余执行体中部署软件应用,待部署完毕后,拟态调度模块触发同步策略,将部署的软件应用同步到所有异构冗余执行体中。
步骤S72:对拟态云主机进行自动化拟态反馈控制,包括:
步骤S721:拟态平台模块中的反馈控制代理模块实时监控提供服务的异构冗余执行体的异构性、冗余性和裁决状态;
步骤S722:当反馈控制代理模块检测出异构冗余执行体的异构和冗余状况低于初始水平时,将消息反馈给拟态反馈控制模块;
步骤S723:当反馈控制代理模块收到虚拟裁决模块的裁决出现不一致信息时,将裁决的元数据反馈到拟态反馈控制模块,所述元数据包括:异构冗余执行体的状态、虚拟裁决模块的裁决结果;
步骤S724:拟态反馈控制模块中的冗余控制模块和异构控制模块制定冗余和异构组合方案,激活拟态调度模块,根据调度策略,配合异构镜像库模块,实现拟态云主机的内部组件的动态调度。
步骤S73:当拟态平台模块中的拟态反馈控制代理模块检测出在执行任务时,拟态裁决出现不一致的情况,触发重构策略,重新制定异构冗余策略,更换异构冗余执行体,实现拟态云主机的重组。
值得说明的是,在执行所述步骤S73时,同时采用同步策略。
实施例八:
本发明的一种拟态云主机的自动构建系统,包括:
服务器集群及实施例三及实施例四中任一所述一种拟态云主机的自动构建装置;
作为一种可实施方式,服务器集群有15个服务器。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种拟态云主机的自动构建装置,其特征在于,包括:
拟态云主机,所述拟态云主机包括:虚代理模块、异构冗余执行体和虚拟裁决模块,分别完成数据分发、冗余处理和裁决;所述虚代理模块、异构冗余执行体和虚拟裁决模块均由异构镜像组合而成;
拟态平台模块,用于执行拟态云主机的部署、运行时监控、信息反馈;
所述拟态平台模块进一步包括拟态代理模块、健康监控模块、拟态反馈控制代理模块、调度代理模块,其中,拟态代理模块部署异构应用到拟态云主机中的异构冗余执行体,并向应用层屏蔽部署细节;健康监控模块收集拟态云主机中异构冗余执行体的健康状况,并上报云编排与管理平台;拟态反馈控制代理模块将虚拟裁决模块的裁决反馈到云编排与管理平台的拟态反馈控制模块;调度代理模块接收管理平面的拟态调度模块的调度指令;拟态代理模块部署异构应用到拟态云主机中的异构冗余执行体包括:根据需要部署的软件应用类型,选择拟态云主机,并指定安全等级,向拟态代理模块申请异构冗余执行体安全部署请求;拟态代理模块将请求转发至拟态反馈控制模块;拟态反馈控制模块中的异构控制模块和冗余控制模块制定出异构冗余组合方案;根据异构冗余组合方案要求,异构镜像库模块通过云管理网络下发至各计算节点,进行实例化;在异构冗余执行体中部署软件应用,待部署完毕后,拟态调度模块触发同步策略,将部署的软件应用同步到所有异构冗余执行体中;
异构镜像库模块,用于生成、注册异构化镜像库,管理面向应用的异构镜像;
拟态反馈控制模块,包括冗余控制模块、异构控制模块和拟态界面控制模块,用于相应安全等级要求的拟态云主机的生成和运行时控制,其中冗余控制模块、异构控制模块控制异构冗余执行体的生成,拟态界面控制模块控制虚代理模块和虚拟裁决模块的部署和生成、接收拟态平台模块反馈的消息、根据反馈的消息向拟态调度模块发送调度和清洗指令;
拟态调度模块,包括调度机制模块和清洗策略模块,用于接收拟态反馈控制模块的指令,基于安全策略,对拟态云主机进行动态操作,包括拟态云主机的调度,可疑异构冗余执行体的清洗操作。
2.根据权利要求1所述的一种拟态云主机的自动构建装置,其特征在于,所述安全策略包括:迁移策略、清洗策略、轮换策略、重构策略及同步策略,所述安全策略可周期性触发。
3.根据权利要求1所述的一种拟态云主机的自动构建装置,其特征在于,所述拟态云主机的调度包括迁移、重构、轮换和异构冗余执行体的同步;所述可疑异构冗余执行体的清洗操作包括在线检查点恢复、离线重启、自愈合。
4.一种拟态云主机的自动构建方法,其特征在于,包括以下步骤:
步骤1:申请拟态云主机,并部署应用;包括:
步骤1.1:根据需要部署的软件应用类型,选择拟态云主机,并指定安全等级,向拟态代理模块申请异构冗余执行体安全部署请求;
步骤1.2:拟态代理模块将请求转发至拟态反馈控制模块;
步骤1.3:拟态反馈控制模块中的异构控制模块和冗余控制模块制定出异构冗余组合方案;
步骤1.4:根据异构冗余组合方案要求,异构镜像库模块通过云管理网络下发至各计算节点,进行实例化;
步骤1.5:在异构冗余执行体中部署软件应用,待部署完毕后,拟态调度模块触发同步策略,将部署的软件应用同步到所有异构冗余执行体中;
步骤2:对拟态云主机进行自动化拟态反馈控制;
所述步骤2包括:
步骤2.1:拟态平台模块中的反馈控制代理模块实时监控提供服务的异构冗余执行体的异构性、冗余性和裁决状态;
步骤2.2:当反馈控制代理模块检测出异构冗余执行体的异构和冗余状况低于初始水平时,将消息反馈给拟态反馈控制模块;
步骤2.3:当反馈控制代理模块收到虚拟裁决模块的裁决出现不一致信息时,将裁决的元数据反馈到拟态反馈控制模块,所述元数据包括:异构冗余执行体的状态、虚拟裁决模块的裁决结果;
步骤2.4:拟态反馈控制模块中的异构控制模块和冗余控制模块制定异构冗余组合方案,激活拟态调度模块,根据调度策略,配合异构镜像库模块,实现拟态云主机的内部组件的动态调度;
步骤3:对拟态云主机进行安全维护。
5.根据权利要求4所述的一种拟态云主机的自动构建方法,其特征在于,所述步骤3包括:
根据健康监控模块及拟态反馈控制代理模块的状态,分别执行如下步骤:
步骤3.1:当拟态平台模块中的健康监控模块检测出物理基础设施异常时,触发迁移策略,将异常物理节点上的所有拟态云主机迁移到正常的物理节点服务器上;
步骤3.2:当拟态平台模块中的健康监控模块检测出拟态云主机异常,且为轻度异常时,触发清洗机制,并根据实际情况选择不同的清洗方式,包括:重启、自愈和检查点恢复;
步骤3.3:当拟态平台模块中的健康监控模块检测出拟态云主机异常,且为重度异常时,触发轮换策略,利用异构镜像库生成新的相同类型的异构冗余执行体,代替原有异常的异构冗余执行体;
步骤3.4:当拟态平台模块中的拟态反馈控制代理模块检测出在执行任务时,拟态裁决出现不一致的情况,触发重构策略,重新制定异构冗余策略,更换异构冗余执行体,实现拟态云主机的重组。
6.根据权利要求5所述的一种拟态云主机的自动构建方法,其特征在于,在执行所述步骤3.1、步骤3.2、步骤3.3、步骤3.4中的任一步骤时,均同时采用同步策略。
7.一种拟态云主机的自动构建系统,其特征在于,包括:服务器集群及权利要求1-3任一所述拟态云主机的自动构建装置。
CN201711072096.2A 2017-11-03 2017-11-03 一种拟态云主机的自动构建装置、方法及系统 Active CN107786568B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711072096.2A CN107786568B (zh) 2017-11-03 2017-11-03 一种拟态云主机的自动构建装置、方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711072096.2A CN107786568B (zh) 2017-11-03 2017-11-03 一种拟态云主机的自动构建装置、方法及系统

Publications (2)

Publication Number Publication Date
CN107786568A CN107786568A (zh) 2018-03-09
CN107786568B true CN107786568B (zh) 2020-09-11

Family

ID=61432614

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711072096.2A Active CN107786568B (zh) 2017-11-03 2017-11-03 一种拟态云主机的自动构建装置、方法及系统

Country Status (1)

Country Link
CN (1) CN107786568B (zh)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667826B (zh) * 2018-04-25 2020-09-04 中国人民解放军战略支援部队信息工程大学 一种基于四模异构冗余处理器的调度装置和调度方法
CN109150831B (zh) * 2018-07-16 2021-03-23 中国人民解放军战略支援部队信息工程大学 一种内生安全的云任务执行装置及方法
CN109413024B (zh) * 2018-08-27 2021-05-11 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 异构功能等价体多模判决结果的逆向数据校验方法及系统
CN109525594B (zh) * 2018-12-24 2021-03-23 中国人民解放军战略支援部队信息工程大学 一种异构冗余网络中后门部署方法及装置
CN109587168B (zh) * 2018-12-29 2020-12-15 河南信大网御科技有限公司 软件定义网络中基于拟态防御的网络功能部署方法
CN109831519B (zh) * 2019-03-07 2021-08-13 中国人民解放军战略支援部队信息工程大学 一种提升服务质量的方法及系统
CN110162983B (zh) * 2019-04-25 2020-12-15 中国人民解放军战略支援部队信息工程大学 在同步冗余系统中获取一致加解密结果的装置及方法
CN110417738A (zh) * 2019-06-26 2019-11-05 天津芯海创科技有限公司 一种内生安全系统调度器实现装置及实现方法
CN110324417B (zh) * 2019-06-29 2020-10-27 河南信大网御科技有限公司 一种基于拟态防御的云服务执行体动态重构方法
CN110460658B (zh) * 2019-08-05 2022-05-10 上海红阵信息科技有限公司 一种基于拟态构造的分布式存储构建方法
CN110545260B (zh) * 2019-08-05 2022-05-10 上海拟态数据技术有限公司 一种基于拟态构造的云管理平台构建方法
CN110581852A (zh) * 2019-09-11 2019-12-17 河南信大网御科技有限公司 一种高效型拟态防御系统及方法
CN110764871B (zh) * 2019-10-11 2023-02-14 中国人民解放军战略支援部队信息工程大学 一种基于云平台的拟态化应用封装与控制系统和方法
CN110781012B (zh) * 2019-10-22 2020-11-24 河南信大网御科技有限公司 一种基于统一消息队列的拟态裁决器和裁决方法
CN111031096B (zh) * 2019-11-15 2022-05-31 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 一种基于拟态防御的分布式存储系统构建方法
CN111475198B (zh) * 2020-04-14 2023-01-24 中国人民解放军战略支援部队信息工程大学 一种网络服务器的拟态化方法及装置
CN113630264B (zh) * 2020-05-08 2024-02-27 中国人民解放军61062部队 一种拟态网络设备现网部署的组网方法及系统
CN111371907B (zh) * 2020-05-26 2020-08-14 网络通信与安全紫金山实验室 一种基于stp协议的数据同步方法、装置和拟态交换机
CN112153024B (zh) * 2020-09-11 2022-11-11 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于SaaS平台的拟态防御系统
CN112242923A (zh) * 2020-09-15 2021-01-19 中国人民解放军战略支援部队信息工程大学 基于拟态防御的统一数据管理网络功能实现系统及方法
CN112291346B (zh) * 2020-10-29 2022-08-16 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 面向异构节点集群的拟态应用部署管理系统、方法及介质
CN112422540B (zh) * 2020-11-09 2021-09-03 浙江大学 一种拟态waf中的执行体动态变换方法
CN112748985B (zh) * 2020-12-31 2023-09-26 网络通信与安全紫金山实验室 拟态应用的网络隔离方法、装置、计算机设备和存储介质
CN112653707B (zh) * 2020-12-31 2022-08-16 河南信大网御科技有限公司 一种增强型拟态输入代理
CN112527512B (zh) * 2020-12-31 2023-11-21 河南信大网御科技有限公司 一种增强型拟态构造系统
CN113904802B (zh) * 2021-09-06 2023-08-11 河南信大网御科技有限公司 拟态云应用管理方法、通信代理模块及云应用管理模块
CN114513372B (zh) * 2022-04-20 2022-06-28 中科星启(北京)科技有限公司 基于宿主的拟态威胁感知预警方法及系统
CN116719283A (zh) * 2023-06-09 2023-09-08 杭州优稳自动化系统有限公司 一种内生安全的云边协同工控系统架构

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281306B (zh) * 2013-05-03 2016-02-24 四川省电力公司信息通信公司 云数据中心虚拟化基础架构平台
US10019480B2 (en) * 2014-11-14 2018-07-10 International Business Machines Corporation Query tuning in the cloud
CN107196803B (zh) * 2017-05-31 2019-11-22 中国人民解放军信息工程大学 异构云主机的动态生成与维护方法
CN107291538B (zh) * 2017-06-14 2020-08-21 中国人民解放军信息工程大学 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统

Also Published As

Publication number Publication date
CN107786568A (zh) 2018-03-09

Similar Documents

Publication Publication Date Title
CN107786568B (zh) 一种拟态云主机的自动构建装置、方法及系统
Jhawar et al. Fault tolerance and resilience in cloud computing environments
CN102833310B (zh) 一种基于虚拟化技术的工作流引擎集群系统
US20180365074A1 (en) Thread pool management
CN107196803B (zh) 异构云主机的动态生成与维护方法
CN103414712B (zh) 一种分布式虚拟桌面管理系统和方法
US10956197B2 (en) Virtual machine with an emulator manager for migration of synchronized streams of state data
CN109150831A (zh) 一种内生安全的云任务执行装置及方法
CN103810015A (zh) 虚拟机创建方法和设备
US20080209429A1 (en) Methods and systems for managing resources in a virtual environment
CN110958311A (zh) 一种基于yarn的共享集群弹性伸缩系统及方法
Almurshed et al. A fault-tolerant workflow composition and deployment automation IoT framework in a multicloud edge environment
CN109309581B (zh) 跨硬件架构的容器管理系统
CN112463168B (zh) 一种vpp服务容器化部署方法、装置、终端及存储介质
Heidari et al. Integrating open saf high availability solution with open stack
Takano et al. Cooperative VM migration for a virtualized HPC cluster with VMM-bypass I/O devices
CN105933136A (zh) 一种资源调度方法及系统
Goutam et al. The performance evaluation of proactive fault tolerant scheme over cloud using CloudSim simulator
John et al. Making cloud easy: design considerations and first components of a distributed operating system for cloud
Hirofuchi et al. Adding virtual machine abstractions into SimGrid: A first step toward the simulation of infrastructure-as-a-service concerns
Kadu et al. Virtual Machine Migration Techniques, Security Threats and Vulnerabilities
Timm et al. Grids, virtualization, and clouds at Fermilab
Matthews et al. Virtualized recomposition: Cloudy or clear?
Takano et al. Ninja migration: An interconnect-transparent migration for heterogeneous data centers
CN118055023B (zh) 一种跨节点并行计算任务局部进程迁移的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant