CN108234646B - 一种分配云安全资源的方法及装置 - Google Patents

一种分配云安全资源的方法及装置 Download PDF

Info

Publication number
CN108234646B
CN108234646B CN201711490026.9A CN201711490026A CN108234646B CN 108234646 B CN108234646 B CN 108234646B CN 201711490026 A CN201711490026 A CN 201711490026A CN 108234646 B CN108234646 B CN 108234646B
Authority
CN
China
Prior art keywords
resource
capacity
user
resource group
resources
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711490026.9A
Other languages
English (en)
Other versions
CN108234646A (zh
Inventor
张龙
冯超
罗金蓉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Beijing NSFocus Information Security Technology Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN201711490026.9A priority Critical patent/CN108234646B/zh
Publication of CN108234646A publication Critical patent/CN108234646A/zh
Application granted granted Critical
Publication of CN108234646B publication Critical patent/CN108234646B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/805QOS or priority aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本发明提供了一种分配云安全资源的方法及装置,用以合理分配云安全资源,实现资源池的充分利用,解决了云安全服务需求差异化的问题。该方法包括:根据用户选择的服务包,确定该服务包对应的安全能力等级,其中,服务包中包括预设的服务需求,服务需求中包括安全能力的大小;根据安全能力等级,确定安全能力等级对应的资源组;利用资源组为用户提供安全服务。

Description

一种分配云安全资源的方法及装置
技术领域
本发明涉及云安全技术领域,尤其涉及一种分配云安全资源的方法及装置。
背景技术
云计算通过采用虚拟化技术将计算资源、存储和网络变成不同的资源池,即将不同设备的CPU和内存等资源解放出来,汇集到一个个CPU池、内存池、网络池中,当用户产生需求时,便从对应的池中选取能够满足需求的配置。资源的池化使得用户不再关心计算资源的物理位置和存在形式,使得资源的效率最大化。
由于传统的安全处理方案和安全事件的处理能力均已不能满足云租户对数据安全的要求,因此,在云计算中心部署创建有安全设备的安全区域,通过将提升网络安全能力(包括访问控制、DDoS(Distributed Denial of Service,分布式拒绝服务)防护、病毒和恶意代码的检测和处理、网络流量的安全检测和过滤、邮件等应用的安全过滤、网络扫描、Web等特定应用的安全检测、网络异常流量检测等)等的资源集群和池化,并通过云平台的安全运维门户进行集中管理,并通过云平台的租户门户向云租户提供安全服务,使用户在不需要自身对安全设施进行维护管理以及最小化服务成本的情况下,通过互联网络得到网络安全防护服务。但由于云平台的资源池的容量是有限的,而且无法满足用户对云安全服务的差异化需求,因此亟需合理分配云安全资源的优化方法。
综上所述,由于云平台的资源池的容量是有限的,而且无法满足用户对云安全服务的差异化需求,因此亟需合理分配云安全资源的优化方法。
发明内容
本发明实施例提供了一种分配云安全资源的方法及装置,用以合理分配云安全资源,实现资源池的充分利用,解决了云安全服务需求差异化的问题。
本发明实施例提供的一种分配云安全资源的方法,包括:
根据用户选择的服务包,确定所述服务包对应的安全能力等级;其中,所述服务包中包括预设的服务需求,所述服务需求中包括安全能力的大小;
根据所述安全能力等级,确定所述安全能力等级对应的资源组;
利用所述资源组为所述用户提供安全服务。
较佳地,根据所述安全能力等级,确定所述安全能力等级对应的资源组,包括:
若存在多个安全能力等级对应的资源组,且所述服务包中包括有所述用户信息,则根据所述用户信息,从所述安全能力等级对应的资源组中,选择资源组。
较佳地,若所述用户信息为用户的位置信息,则根据所述用户的位置信息,从所述安全能力等级对应的资源组中,选择与所述用户距离最近的资源组;
若所述用户信息为用户的优先级信息,则根据所述用户的优先级信息,从所述安全能力等级对应的资源组中,选择与所述用户的优先级相匹配的资源组。
较佳地,该方法还包括:
若所述资源组中可使用的容量无法满足所述服务包中的服务需求,则将所述服务包设置为不可选。
较佳地,确定所述资源组中可使用的容量,包括:
根据所述资源组的总容量、已配置的资源的容量以及已配置且已使用的资源的容量,确定已配置的资源的使用率和所述资源组的配置率;
根据已配置的资源的使用率和所述资源组的配置率,确定已配置但未使用的资源对应的第一系数;根据所述资源组的总容量、已配置的资源的容量,确定未配置的资源的容量;根据所述未配置的资源的容量,确定未配置的资源对应的第二系数;
根据所述第一系数和所述第二系数,确定所述资源组的超卖系数;
根据所述资源组的超卖系数和未配置的资源的容量,确定可使用的资源的容量。
较佳地,所述用户选择的服务包,包括:监测得到的安全事件对应的服务包、与所述用户订购的另外一个安全服务相关联的服务包。
本发明实施例提供的一种分配云安全资源的装置,包括:
安全等级模块,用于根据用户选择的服务包,确定所述服务包对应的安全能力等级;其中,所述服务包中包括预设的服务需求,所述服务需求中包括安全能力的大小;
资源组模块,用于根据所述安全能力等级,确定所述安全能力等级对应的资源组;
提供服务模块,用于利用所述资源组为所述用户提供安全服务。
较佳地,所述资源组模块具体用于:
若存在多个所述安全能力等级对应的资源组,且所述服务包中包括有所述用户信息,则根据所述用户信息,从所述安全能力等级对应的资源组中,选择资源组。
较佳地,所述资源组模块具体用于:
若所述用户信息为用户的位置信息,则根据所述用户的位置信息,从所述安全能力等级对应的资源组中,选择与所述用户距离最近的资源组;
若所述用户信息为用户的优先级信息,则根据所述用户的优先级信息,从所述安全能力等级对应的资源组中,选择与所述用户的优先级相匹配的资源组。
较佳地,所述安全等级模块还用于:
若所述资源组中可使用的容量无法满足所述服务包中的服务需求,则将所述服务包设置为不可选。
较佳地,确定所述资源组中可使用的容量,所述安全等级模块具体用于:
根据所述资源组的总容量、已配置的资源的容量以及已配置且已使用的资源的容量,确定已配置的资源的使用率和所述资源组的配置率;
根据已配置的资源的使用率和所述资源组的配置率,确定已配置但未使用的资源对应的第一系数;根据所述资源组的总容量、已配置的资源的容量,确定未配置的资源的容量;根据所述未配置的资源的容量,确定未配置的资源对应的第二系数;
根据所述第一系数和所述第二系数,确定所述资源组的超卖系数;
根据所述资源组的超卖系数和未配置的资源的容量,确定可使用的资源的容量。
较佳地,所述用户选择的服务包包括:监测得到的安全事件对应的服务包、与所述用户订购的另外一个安全服务相关联的服务包。
本发明实施例提供的一种计算设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述的一种分配云安全资源的方法。
本发明实施例提供的一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述的一种分配云安全资源的方法中的步骤。
本发明实施例提供了一种分配云安全资源的方法及装置,用以合理分配云安全资源,实现资源池的充分利用;动态设定安全服务与资源组的关系,满足了用户的差异化需求;根据监控资源的使用率和配置率适应性的调整超卖系数,提高了资源的利用率,降低了资源的闲置率;本实施例中在未配置资源较少的时候,减少超出未配置的资源的容量,避免了配置的资源无法使用的情况。通过对产生的攻击数据进行分析,为用户推荐切实可靠的安全服务,补充用户在当前场景下的安全薄弱点,完善用户的安全体系,保障业务的顺畅运行;将安全资源池中不同的安全资源进行组合,打包形成包含多种安全能力的服务包,从而全面有效的解决租户的安全问题,实现了安全事件从预警、响应、检测到防护的“安全专家”闭环,快速提升大规模应急处理的响应能力,实现更好的安全防护效果。
附图说明
图1为本发明实施例一提供的一种分配云安全资源的方法的流程示意图;
图2为本发明实施例二提供的一种分配云安全资源的装置的结构示意图。
具体实施方式
本发明实施例提供了一种分配云安全资源的方法及装置,用以合理分配云安全资源,实现资源池的充分利用,解决了云安全服务需求差异化的问题。
下面将结合本发明实施例中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
本发明实施例一中提供了一种分配云安全资源的方法,参见图1,该方法包括:
S110、根据用户选择的服务包,确定该服务包对应的安全能力等级;
S120、根据步骤S110中确定的安全能力等级,确定该安全能力等级对应的资源组;
S130、利用步骤S120中确定的资源组为所述用户提供安全服务。
其中,服务包中包括多种标签,其中,安全能力等级仅为其中之一,即服务包与标签的对应关系为一对多的对应关系。
其中,服务包中包括预设的服务需求;具体地,服务需求包括处理安全事件所需的处理能力(安全能力的大小)、处理时长和处理安全事件所占的内存容量;服务需求还包括处理安全事件的硬件设备的部署位置。可在服务包中设定多个多维度的服务需求,例如在一服务包中,设定对该安全事件需要高性能的设备处理,且部署该处理设备的位置在北京;还包括:占用该资源的时长。
针对步骤S110,确定该服务包对应的安全能力等级,包括:
根据服务需求与安全能力等级的对应关系,确定该服务包对应的安全能力等级。具体地,若处理安全事件需要高性能的设备处理,则该服务需求对应的安全等级为高;若处理安全事件需要中性能的设备处理,则该服务需求对应的安全等级为中;若处理安全事件需要低性能的设备处理,则该服务需求对应的安全等级为低;且判断性能的高低,主要通过CPU的处理速度。
同样地,通过判断处理安全事件的时长和/或处理安全事件所占的内存容量是否满足门限值,也可以确定该服务需求对应的安全等级。处理时长越长,安全等级也就越高;处理安全事件所占的内存容量越大,安全等级也就越高。
针对步骤S120,确定所述安全能力等级对应的资源组,包括:
若安全能力等级与资源组为一一对应的关系,则服务包中的安全能力等级对应的资源组也就只有一组,即可直接确定该安全能力等级对应的资源组;
若存在多个与安全能力等级对应的资源组,即存在多组资源组均符合安全能力的要求,则再查找服务包中是否包括有用户信息;若存在,则从符合安全能力的要求的资源组中,选择一资源组。
具体地,若所述用户信息为用户的位置信息,则再查找服务包中是否包括有对处理安全事件的硬件设备的部署位置的要求;若存在,则从符合安全能力的要求的资源组中,选择满足部署位置要求的资源组。例如,选择距离所述用户距离最近的资源组,或部署位置设定为某一地点,则只选择该地点的资源组即可。
具体地,若所述用户信息为用户的优先级信息,则根据所述用户的优先级信息,从所述安全能力等级对应的资源组中,选择与所述用户的优先级相匹配的资源组。
具体地,与服务包对应的标签,并不仅限于安全能力等级和位置,还可以包括用户标识、服务用途、性能特点等。还可以按照用户需求进行动态添加,但由于标签与服务包的对应关系,因此每设置一标签都需关联一服务包,同样每设置一服务包也需关联一标签。通过设定用户标识标签,可实现对与用户标识对应的资源组内资源的独占,也就解决了云安全服务需求差异化的问题。
针对步骤S130,利用所述资源组为所述用户提供安全服务,包括:
利用步骤S120确定的资源组中的可使用的资源为该用户提供安全服务。
在步骤S120之后,在步骤S130之前,该方法还包括:
判断步骤S120确定的资源组中的可使用的资源的容量是否能满足用户选择的服务包中服务需求;若是,则利用该资源组中的可使用的资源为该用户提供安全服务;否则,向该用户反馈重新选择服务包的消息,并将该服务包设置为“不可选”,直到资源组中的可使用的资源的容量满足该服务包中服务需求为止。
其中,由于资源池的特性,因此资源组中可使用的资源不仅仅包括未分配给用户的资源,还包括已分配给用户,但用户并未使用的资源。确定资源组中可使用的资源的容量的方法为,先确定该资源组中资源的超卖系数,再根据超卖系数与未分配的资源的容量,就可得出资源组中可使用的资源的容量。
具体地,确定该资源组中资源的超卖系数的方法,包括:
根据所述资源组中资源的总容量和已配置给用户的资源的容量,确定该资源组的配置率为已配置的资源的容量占该资源组的总容量的比例;根据已配置的资源的容量和已配置并使用的资源的容量,确定已配置的资源的使用率为已配置并使用的资源的容量占已配置的资源的容量的比例;
根据已配置的资源的使用率和资源组的配置率,确定衡量已配置给用户,但用户并未使用的该资源的容量的第一系数;根据未配置的资源的容量,确定衡量未配置给用户的资源的容量的第二系数;
根据第一系数和第二系数,确定资源组中资源的超卖系数。
具体地,采用公式一,确定资源组中资源的总容量:
Figure BDA0001535434730000081
其中,Ctotal为某一资源组中资源的总容量,Ci为第i个资源的容量,n为该资源组的资源的个数。
具体地,采用公式二,确定该资源组的配置率:
Figure BDA0001535434730000082
其中,Rorder为某一资源组的配置率,Ctotal为该资源组中资源的总容量,Corder为该资源组中已配置的资源的容量。
具体地,采用公式三,确定该资源组的配置率:
Figure BDA0001535434730000083
其中,Rusage为某一资源组中已配置的资源的使用率,Cusage为该资源组中已配置并使用的资源的容量,Corder为该资源组中已配置的资源的容量。
具体地,采用公式四,确定已配置但未使用的资源对应的第一系数:
Iunused=[tan(1-Rusage)+1]×[sin(1-Rorder)+1] 公式四
其中,Iunused为第一系数,Rusage为已配置的资源的使用率,Rorder为资源组的配置率。
具体地,采用公式五,确定未配置的资源对应的第二系数:
Iavailable=log Cavailable 公式五
其中,Iavailable为第二系数,Cavailable为未配置的资源的容量。
具体地,采用公式六,确定资源组中资源的超卖系数:
Ioverload=Iunused×Iavailable 公式六
其中,Ioverload为超卖系数,Iunused为第一系数,Iavailable为第二系数。
具体地,下表体现超卖系数的变化趋势,以及与配置率、使用率之间的关系:
Figure BDA0001535434730000091
根据上述公式和上表可知,资源组中未配置的资源对超卖系数的影响最大,也就是,当资源组中存在大量的未配置的资源时,通过超卖系数,增大可使用的资源数;当资源组中未配置的资源较少,但用户很少使用配置的资源时,仍然可以适当的增大可使用的资源数;但当资源组中未配置的资源较少,且资源的使用率很高,也就是意味着空闲资源少,此时,可使用的资源与未配置的资源相近。通过上述内容可以动态的调整可使用的资源数,并在空闲资源多时,适当的扩大可使用的资源,提升资源池中资源的利用率。
本实施例中根据监控资源的使用率和配置率适应性的调整超卖系数,提高了资源的利用率,降低了资源的闲置率;本实施例中在未配置资源较少的时候,减少超出未配置的资源的容量,避免了配置的资源无法使用的情况。
针对步骤S110中的服务包,既可以是用户自行发现的安全事件对应的服务包,也可以是由云平台的安全监控门户监测得到的安全事件对应的服务包,还可以为与用户订购的另一服务包同属于一个订购组合的服务包;还可以是为用户提供的服务组合包中的一项服务包。
其中,根据安全事件确定服务包,具体包括:
根据安全服务的事件触发关系图谱,确定该安全事件对应的服务需求,再确定该服务需求对应的服务包。
具体地,由云平台的安全监控门户监测得到的安全事件对应的服务包,包括:当WAF(Web Application Firewall,Web应用防护系统)发现防护的Web站点流量异常时,向用户推荐包括ADS服务的服务包。通过对产生的攻击数据进行分析,为用户推荐切实可靠的安全服务,补充用户在当前场景下的安全薄弱点,完善用户的安全体系,保障业务的顺畅运行。
具体地,为全面有效的解决租户的安全问题,将安全资源池中不同的安全资源进行组合,打包形成包含多种安全能力的服务包。以Web站点防护为例,可以把Web风险评估、ADS(ADS为用于DDoS流量清洗的系统)、WAF、Web监控等服务打包成Web站点一站式服务,先用ADS清洗流量,再用WAF检测,实现ADS和WAF对服务的编排和配合,并将风险评估时发现的问题,反馈给WAF生成智能或者虚拟补丁,实现了安全事件从预警、响应、检测到防护的“安全专家”闭环,快速提升大规模应急处理的响应能力,实现更好的安全防护效果。
实施例二:
本发明实施例二中提供了一种分配云安全资源的装置,参见图2,该方法包括:
安全等级模块210,用于根据用户选择的服务包,确定所述服务包对应的安全能力等级;其中,所述服务包中包括预设的服务需求,所述服务需求中包括安全能力的大小;
资源组模块220,用于根据所述安全能力等级,确定所述安全能力等级对应的资源组;
提供服务模块230,用于利用所述资源组为所述用户提供安全服务。
具体地,资源组模块220具体用于:
若存在多个与所述安全能力等级对应的资源组,且所述服务包中包括有所述用户信息,则根据所述用户信息,从所述安全能力等级对应的资源组中,选择资源组。
具体地,资源组模块220具体用于:
若所述用户信息为用户的位置信息,则根据所述用户的位置信息,从所述安全能力等级对应的资源组中,选择与所述用户距离最近的资源组;
若所述用户信息为用户的优先级信息,则根据所述用户的优先级信息,从所述安全能力等级对应的资源组中,选择与所述用户的优先级相匹配的资源组。
具体地,安全等级模块210还用于:
若所述资源组中可使用的容量无法满足所述服务包中的服务需求,则将所述服务包设置为不可选。
具体地,确定所述资源组中可使用的容量,安全等级模块210具体用于:
根据所述资源组的总容量、已配置的资源的容量以及已配置且已使用的资源的容量,确定已配置的资源的使用率和所述资源组的配置率;
根据已配置的资源的使用率和所述资源组的配置率,确定已配置但未使用的资源对应的第一系数;根据所述资源组的总容量、已配置的资源的容量,确定未配置的资源的容量;根据所述未配置的资源的容量,确定未配置的资源对应的第二系数;
根据所述第一系数和所述第二系数,确定所述资源组的超卖系数;
根据所述资源组的超卖系数和未配置的资源的容量,确定可使用的资源的容量。
具体地,所述用户选择的服务包包括:监测得到的安全事件对应的服务包、与所述用户订购的另外一个安全服务相关联的服务包。
其中,所述分配云安全资源的装置可以为云计算平台。
实施例三:
本发明实施例三中提供了一种计算设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如实施例一中所述的一种分配云安全资源的方法。
实施例四:
本发明实施例四中提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如实施例一中所述的一种分配云安全资源的方法中的步骤。
综上所述,本发明实施例提供了一种分配云安全资源的方法及装置,用以合理分配云安全资源,实现资源池的充分利用;动态设定安全服务与资源组的关系,满足了用户的差异化需求;根据监控资源的使用率和配置率适应性的调整超卖系数,提高了资源的利用率,降低了资源的闲置率;本实施例中在未配置资源较少的时候,减少超出未配置的资源的容量,避免了配置的资源无法使用的情况。通过对产生的攻击数据进行分析,为用户推荐切实可靠的安全服务,补充用户在当前场景下的安全薄弱点,完善用户的安全体系,保障业务的顺畅运行;将安全资源池中不同的安全资源进行组合,打包形成包含多种安全能力的服务集合,从而全面有效的解决租户的安全问题,实现了安全事件从预警、响应、检测到防护的“安全专家”闭环,快速提升大规模应急处理的响应能力,实现更好的安全防护效果。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种分配云安全资源的方法,其特征在于,包括:
根据用户选择的服务包,确定所述服务包对应的安全能力等级;其中,所述服务包中包括预设的服务需求,所述服务需求中包括安全能力的大小;
根据所述安全能力等级,确定所述安全能力等级对应的资源组;
利用所述资源组为所述用户提供安全服务;
该方法还包括:若所述资源组中可使用的容量无法满足所述服务包中的服务需求,则将所述服务包设置为不可选;
确定所述资源组中可使用的容量,包括:
根据所述资源组的总容量、已配置的资源的容量以及已配置且已使用的资源的容量,确定已配置的资源的使用率和所述资源组的配置率;
根据已配置的资源的使用率和所述资源组的配置率,确定已配置但未使用的资源对应的第一系数;根据所述资源组的总容量、已配置的资源的容量,确定未配置的资源的容量;根据所述未配置的资源的容量,确定未配置的资源对应的第二系数;
根据所述第一系数和所述第二系数,确定所述资源组的超卖系数;
根据所述资源组的超卖系数和未配置的资源的容量,确定可使用的资源的容量。
2.根据权利要求1所述的方法,其特征在于,根据所述安全能力等级,确定所述安全能力等级对应的资源组,包括:
若存在多个与安全能力等级对应的资源组,且所述服务包中包括有所述用户信息,则根据所述用户信息,从所述安全能力等级对应的资源组中,选择资源组。
3.根据权利要求2所述的方法,其特征在于,若所述用户信息为用户的位置信息,则根据所述用户的位置信息,从所述安全能力等级对应的资源组中,选择与所述用户距离最近的资源组;
若所述用户信息为用户的优先级信息,则根据所述用户的优先级信息,从所述安全能力等级对应的资源组中,选择与所述用户的优先级相匹配的资源组。
4.根据权利要求1所述的方法,其特征在于,所述用户选择的服务包,包括:监测得到的安全事件对应的服务包、与所述用户订购的另外一个安全服务相关联的服务包。
5.一种分配云安全资源的装置,其特征在于,包括:
安全等级模块,用于根据用户选择的服务包,确定所述服务包对应的安全能力等级;其中,所述服务包中包括预设的服务需求,所述服务需求中包括安全能力的大小;
资源组模块,用于根据所述安全能力等级,确定所述安全能力等级对应的资源组;
提供服务模块,用于利用所述资源组为所述用户提供安全服务;
所述安全等级模块还用于:
若所述资源组中可使用的容量无法满足所述服务包中的服务需求,则将所述服务包设置为不可选;
确定所述资源组中可使用的容量,所述安全等级模块具体用于:
根据所述资源组的总容量、已配置的资源的容量以及已配置且已使用的资源的容量,确定已配置的资源的使用率和所述资源组的配置率;
根据已配置的资源的使用率和所述资源组的配置率,确定已配置但未使用的资源对应的第一系数;根据所述资源组的总容量、已配置的资源的容量,确定未配置的资源的容量;根据所述未配置的资源的容量,确定未配置的资源对应的第二系数;
根据所述第一系数和所述第二系数,确定所述资源组的超卖系数;
根据所述资源组的超卖系数和未配置的资源的容量,确定可使用的资源的容量。
6.根据权利要求5所述的装置,其特征在于,所述资源组模块具体用于:
若存在多个与所述安全能力等级对应的资源组,且所述服务包中包括有所述用户信息,则根据所述用户信息,从所述安全能力等级对应的资源组中,选择资源组。
7.根据权利要求6所述的装置,其特征在于,所述资源组模块具体用于:
若所述用户信息为用户的位置信息,则根据所述用户的位置信息,从所述安全能力等级对应的资源组中,选择与所述用户距离最近的资源组;
若所述用户信息为用户的优先级信息,则根据所述用户的优先级信息,从所述安全能力等级对应的资源组中,选择与所述用户的优先级相匹配的资源组。
8.根据权利要求5所述的装置,其特征在于,所述用户选择的服务包包括:监测得到的安全事件对应的服务包、与所述用户订购的另外一个安全服务相关联的服务包。
9.一种计算设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-4任一项所述的一种分配云安全资源的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4任一项所述的一种分配云安全资源的方法中的步骤。
CN201711490026.9A 2017-12-29 2017-12-29 一种分配云安全资源的方法及装置 Active CN108234646B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711490026.9A CN108234646B (zh) 2017-12-29 2017-12-29 一种分配云安全资源的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711490026.9A CN108234646B (zh) 2017-12-29 2017-12-29 一种分配云安全资源的方法及装置

Publications (2)

Publication Number Publication Date
CN108234646A CN108234646A (zh) 2018-06-29
CN108234646B true CN108234646B (zh) 2020-09-22

Family

ID=62646514

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711490026.9A Active CN108234646B (zh) 2017-12-29 2017-12-29 一种分配云安全资源的方法及装置

Country Status (1)

Country Link
CN (1) CN108234646B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110933067A (zh) * 2019-11-26 2020-03-27 北京知道创宇信息技术股份有限公司 恶意邮件识别方法、装置、电子设备及存储介质
CN112738138B (zh) * 2021-03-30 2022-09-30 腾讯科技(深圳)有限公司 云安全托管方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1333508A (zh) * 2000-07-07 2002-01-30 株式会社日立制作所 根据与用户签订的合同动态分配计算机资源的装置和方法
CN101540771A (zh) * 2008-03-20 2009-09-23 Sap股份公司 利用隔离等级条款自动供给托管应用
CN103384251A (zh) * 2013-07-16 2013-11-06 中国人民解放军信息工程大学 多等级安全服务的可组合安全网络构建方法及其装置
CN103516763A (zh) * 2012-06-30 2014-01-15 华为技术有限公司 资源处理方法和系统以及装置
CN106385329A (zh) * 2016-08-31 2017-02-08 华为数字技术(成都)有限公司 资源池的处理方法、装置和设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9141785B2 (en) * 2011-08-03 2015-09-22 Cloudbyte, Inc. Techniques for providing tenant based storage security and service level assurance in cloud storage environment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1333508A (zh) * 2000-07-07 2002-01-30 株式会社日立制作所 根据与用户签订的合同动态分配计算机资源的装置和方法
CN101540771A (zh) * 2008-03-20 2009-09-23 Sap股份公司 利用隔离等级条款自动供给托管应用
CN103516763A (zh) * 2012-06-30 2014-01-15 华为技术有限公司 资源处理方法和系统以及装置
CN103384251A (zh) * 2013-07-16 2013-11-06 中国人民解放军信息工程大学 多等级安全服务的可组合安全网络构建方法及其装置
CN106385329A (zh) * 2016-08-31 2017-02-08 华为数字技术(成都)有限公司 资源池的处理方法、装置和设备

Also Published As

Publication number Publication date
CN108234646A (zh) 2018-06-29

Similar Documents

Publication Publication Date Title
KR101583325B1 (ko) 가상 패킷을 처리하는 네트워크 인터페이스 장치 및 그 방법
CN111258737B (zh) 一种资源调度的方法、装置和过滤式调度器
CN104125214B (zh) 一种实现软件定义安全的安全架构系统及安全控制器
CN103428008A (zh) 面向多用户群的大数据分发策略
WO2016155835A1 (en) Technique for scaling an application having a set of virtual machines
US10305974B2 (en) Ranking system
CN108234646B (zh) 一种分配云安全资源的方法及装置
CN104426694B (zh) 一种调整虚拟机资源的方法和装置
CN105162823B (zh) 一种虚拟机管理方法及装置
CN104917805A (zh) 一种负载分担的方法和设备
CN111628941A (zh) 一种网络流量的分类处理方法、装置、设备及介质
CN109510834B (zh) 一种安全策略下发方法及装置
CN111953732B (zh) 一种云计算系统中的资源调度方法及装置
CN110647392A (zh) 一种基于容器集群的智能弹性伸缩方法
CN112437023B (zh) 虚拟化安全网元数据处理方法、系统、介质和云平台
CN103812750A (zh) 数据通信设备cpu收发报文保护系统及方法
CN108028828A (zh) 一种分布式拒绝服务DDoS攻击检测方法及相关设备
CN108153583B (zh) 任务分配方法及装置、实时计算框架系统
KR102088308B1 (ko) 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
CN107070862B (zh) 网关的数据分流方法、数据分流装置以及网关系统
CN108028806B (zh) 网络功能虚拟化nfv网络中分配虚拟资源的方法和装置
CN104298539A (zh) 基于网络感知的虚拟机调度与再调度方法
CN112260962B (zh) 一种带宽控制方法及装置
US20170187644A1 (en) Resource allocation
CN111277626A (zh) 服务器升级方法、装置、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.