CN109088941A - 一种基于DDoS攻击下智能调度云资源的方法 - Google Patents
一种基于DDoS攻击下智能调度云资源的方法 Download PDFInfo
- Publication number
- CN109088941A CN109088941A CN201811019290.9A CN201811019290A CN109088941A CN 109088941 A CN109088941 A CN 109088941A CN 201811019290 A CN201811019290 A CN 201811019290A CN 109088941 A CN109088941 A CN 109088941A
- Authority
- CN
- China
- Prior art keywords
- resource
- node
- cloud
- service
- cloud resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全防护技术领域,具体涉及一种基于DDoS攻击下智能调度云资源的方法,包括整合云资源、监测各节点资源服务器健康状态、剔除过载服务器资源,修复后重新接入、云服务下无缝迁移用户业务。本发明的有益效果:不仅监测负载状态、硬件使用率,同时增加云资源分配率、清洗量的状态监测、预评估接入节点方式;分配率表明云资源分配多少资源,即,使用率;清洗量表明该节点资源清洗数据的量级,同时获取攻击峰值趋势,清洗吞吐值的返回作为预评估防护的参数;能够高效、及时的做出资源的判断和调整;提前做出有效的判断云资源状态,为用户的线上服务提供保障,通过整合云资源来防御攻击,保障用户承载的业务正常运行。
Description
技术领域
本发明涉及网络安全防护技术领域,具体涉及一种基于DDoS攻击下智能调度云资源的方法。
背景技术
随着互联网的快速发展迅速占领市场份额,使得更多的人产生对网络依赖感。尤其随着移动支付、共享服务、物联网、人工智能更多的接入互联网平台,让网络安全变得尤为的重要。如何防护洪水般的攻击及保护用户数据安全成为网络安全的重点,由于单个节点的服务器资源能承受攻击峰值是有限度。这就要求我们需要进一步整合云资源并且提供云服务下防护恶意攻击的方案。基于用户不同的需求,不同的权重优先级的考量,需要做出具有针对性的调度资源防护攻击。由于互联网的迅速渗透到生活中的各个领域包括吃住行等隐私信息,保护数据安全显得尤为的重要。大量用户需要云服务来解决自身的网络安全,使云服务下云资源的调度必须更加高效,快速。目前大多数客户使用单台设备进行防护,导致的后果是在大规模攻击下单设备防御性能有限,一方面主从设备切换不及时,再则由于时效问题使得用户提供的业务无法正常的运行。传统的云防护下的资源健康状态监测方法只能够解决非持续性的恶意攻击,也并未对攻击做出预评估,预警的策略防御,就会造成对于攻击后的响应速度不够及时,调度云资源轮询速度过慢,用户业务牵引不及时导致服务间断地被攻击。不能很好起到云服务下资源调度的作用。这就必须提出一套高效的攻击预判(接近防护阈值前做好风险评估),云资源切换防护(资源调度器选择最优线路作为新节点接入防护),用户业务平滑迁移的方案。因此本专利将针对这些问题做出更合理、更高效,更可靠的云资源调度方法。
发明内容
本发明的目的在于克服现有技术中存在的问题,提供一种基于DDoS攻击下智能调度云资源的方法,它可以实现用户在受到大规模攻击情况下,通过整合云资源来防御攻击,保障用户承载的业务正常运行,针对云服务下调度云资源的延迟性导致攻击防护的间断性做出优化。
为实现上述技术目的,达到上述技术效果,本发明是通过以下技术方案实现的:
一种基于DDoS攻击下智能调度云资源的方法,包括如下步骤:
步骤1、整合云资源:部署不同地理位置的节点资源服务整合为云资源,提供云环境下云资源服务;
步骤2、监测各节点资源服务器健康状态;
步骤3、剔除过载服务器资源,修复后重新接入;
步骤4、云服务下无缝迁移用户业务。
进一步地,所述步骤2中,监测各节点资源服务器健康状态是根据不同地理位置节点资源服务器上资源分配情况、流量清洗能力作为判断健康状态的标准,实时监控统筹各个节点资源的调度策略数据。
进一步地,所述调度策略数据包括:节点资源分配率、负载量、清洗量、带宽、硬件使用率。
进一步地,所述步骤4中,过载服务器资源会生成记录信息会统计和分析过载原因作为修复时的参考对象。
进一步地,所述步骤4中,云服务下无缝迁移用户业务,具体包括如下步骤:
步骤4.1、预评估哪些节点资源能够承载用户业务服务的接入;
步骤4.2、根据之前业务相关的配置同步接入到新节点资源服务器来防护。
本发明的有益效果:不仅监测负载状态、硬件使用率,同时增加云资源分配率、清洗量的状态监测、预评估接入节点方式;分配率表明云资源分配多少资源,即,使用率;清洗量表明该节点资源清洗数据的量级,同时获取攻击峰值趋势,清洗吞吐值的返回作为预评估防护的参数;能够高效、及时的做出资源的判断和调整;提前做出有效的判断云资源状态,为用户的线上服务提供保障,通过整合云资源来防御攻击,保障用户承载的业务正常运行,在用户受到大规模攻击后单个节点资源达到防护阈值需要调度其他节点资源来协助防护;监控各个节点资源的健康状态并将过载的资源的用户服务接管到新节点资源上面,同时保障用户服务的不间断。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
一种基于DDoS攻击下智能调度云资源的方法,包括如下步骤:
步骤1、整合云资源:部署不同地理位置的节点资源服务整合为云资源,提供云环境下云资源服务,在不同地理位置IDC机房部署防护服务器作为节点资源,通过负载均衡策略以集群方式部署各个设备;以便增加该资源节点的整体防护能力,每单台设备C1,C2,C3......等多个子设备通过负载均衡策略构成S1集群节点资源,再由S1,S2,S3....等多个节点构成云资源环境,通过所有不同地域的节点资源整合为云环境下的云资源服务;
再由云平台通过添加节点信息如地址、账户信息来管理各个节点,可查看其负载情况、流量攻击峰值趋势图、挂载的业务量、资源分配情况等。管理系统中同时显示各地域分布节点的在线、离线、过载情况,其中流量攻击峰值趋势图按照分、时、天、月、年查看趋势图,挂载的业务量即节点上部署哪些域名主机作为防护对象,资源分配情况即查看地址池中已分配多少云地址、云端口和剩余的地址端口。
步骤2、监测各节点资源服务器健康状态,通过检测各个节点资源S1的健康状态来创建调度任务,一方面根据单节点资源S1的负载能力Q1作为一个健康指标,另一方面根据节点S1的资源分配情况Q2作为另一个健康指标,监测S系列节点的负载能力Q1,包括CPU使用率、内存使用率、磁盘使用率、带宽剩余量、线程并发请求量、网络堵塞等,资源分配Q2指标包括S1节点资源池中地址分配使用率、节点数据清洗量高低,若节点S1资源返回资源分配剩余率很低,说明该节点S1的资源已经饱和,下次分发任务转移其他节点S2上分配,若清洗值每次返回大流量清洗数据说明正在受到大规模的攻击可以做出提前预估并采取有效地防护措施。例如:S1节点带宽阈值200G,若每次请求返回清洗数据接近阈值,亦可设置最大阈值参数,等接近阈值时,启动自动分发模式将数据清洗转入S2节点。检测S1节点资源池中地址分配情况,若剩余地址无多,则下次请求过来需要转发到S3节点来分配地址资源,注:调度器会心跳检测哪个节点资源充足可能是S3或者S4。
步骤3、剔除过载服务器资源,修复后重新接入,针对节点资源过剩的服务器进行服务迁移,通过步所述骤2监测各节点资源服务器健康状态后排查哪部分节点资源的Q1,Q2指标不符合要求,过载或者没有分配、清洗能力后,需要将这个原有节点S1资源上承载的服务通过RPC分发到其他空闲节点S2资源上。
分发到空闲节点S2资源上也需要预评估完成时间,不能直接将资源任意的迁移到某个节点资源上;调度任务器会跟每个S系列节点剩余的资源、清洗量、负载能力、用户的需求、权重做出预评估完成时间。选择最佳的空闲节点资源将作为迁移节点;
预评估需要根据用户的业务量包括用户使用的线路、用户协议类型、地址数量、防护峰值、所在地域等信息调度任务器计算后做出最佳节点的接入。例如S2节点清洗能力为1T设备,S2节点清洗能力是100G,当攻击达到90G左右需要根据预评估结果,即:S2节点是否能抗住100G攻击、获取节点上剩余地址分配率等,并迁移到S2节点上。服务迁移完毕之后需要剔除过载节点S1资源,重新修复、部署、配置、检测后重新接入系统;
步骤4、云服务下无缝迁移用户业务,用于将攻击防护迁移到空闲节点S2资源上。
所述步骤2中,监测各节点资源服务器健康状态是根据不同地理位置节点资源服务器上资源分配情况、流量清洗能力作为判断健康状态的标准,实时监控统筹各个节点资源的调度策略数据。
所述调度策略数据包括:节点资源分配率、负载量、清洗量、带宽、硬件使用率。
所述步骤4中,过载服务器资源会生成记录信息会统计和分析过载原因作为修复时的参考对象,过载的节点上系统会记录并生成统计与分析数据来排查造成过载的原由,是由于本身的防护带宽过低、服务器硬件能力较弱、网络线程问题、分配资源过多、清洗流量包阻塞等问题,可以通过分析数据找出问题所在包括带宽占用过大、磁盘读取速率过慢、并发量过大、负载能力不够、清洗流量过多等。
所述步骤4中,云服务下无缝迁移用户业务,具体包括如下步骤:
步骤4.1、预评估哪些节点资源能够承载用户业务服务的接入,分发到空闲节点S2资源上也需要预评估完成时间,不能直接将资源任意的迁移到某个节点资源上,根据每个S系列节点剩余的资源、清洗量、负载能力、用户的需求、权重做出预评估完成时间,选择最佳的空闲节点资源将作为迁移节点,预评估需要根据用户的业务量包括用户使用的线路、用户协议类型、地址数量、防护峰值、所在地域等信息,计算后做出最佳节点的接入,云服务无缝迁移一方面需要监控健康状态同时做出告警节点资源剩余承受阈值,超过阈值将自动迁移,如果不检测阈值,等到服务器健康状态归0,再做迁移,用户所承载的业务会挂掉造成服务供应中断,因此所述步骤4.1就是做提前预警,有了这一步,后面实施起来更方便;
步骤4.2、根据之前业务相关的配置同步接入到新节点资源服务器来防护,由于过载节点S1资源还未彻底宕机,资源还未被彻底回收,因此用户的服务还可以正常访问,等迁移完毕新节点S2资源环境已经就绪,所有配置也已生效,过载资源也释放完毕,就可以满足用户业务的迁移,来保障所支持的上层业务不会中断,这个环节是将攻击防护迁移到空闲节点S2资源上。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (5)
1.一种基于DDoS攻击下智能调度云资源的方法,其特征在于,包括如下步骤:
步骤1、整合云资源:部署不同地理位置的节点资源服务整合为云资源,提供云环境下云资源服务;
步骤2、监测各节点资源服务器健康状态;
步骤3、剔除过载服务器资源,修复后重新接入;
步骤4、云服务下无缝迁移用户业务。
2.根据权利要求1所述的一种基于DDoS攻击下智能调度云资源的方法,其特征在于,所述步骤2中,监测各节点资源服务器健康状态是根据不同地理位置节点资源服务器上资源分配情况、流量清洗能力、负载能力、硬件使用率作为判断健康状态的标准,实时监控统筹各个节点资源的调度策略数据。
3.根据权利要求2所述的一种基于DDoS攻击下智能调度云资源的方法,其特征在于,所述调度策略数据包括:节点资源分配率、负载量、清洗量、带宽剩余量、CPU使用率、内存使用率、磁盘使用率、线程并发请求量、网络堵塞。
4.根据权利要求1所述的一种基于DDoS攻击下智能调度云资源的方法,其特征在于,所述步骤4中,过载服务器资源会生成记录信息会统计和分析过载原因作为修复时的参考对象。
5.根据权利要求1所述的一种基于DDoS攻击下智能调度云资源的方法,其特征在于,所述步骤4中,云服务下无缝迁移用户业务,具体包括如下步骤:
步骤4.1、预评估哪些节点资源能够承载用户业务服务的接入;
步骤4.2、根据之前业务相关的配置同步接入到新节点资源服务器来防护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811019290.9A CN109088941A (zh) | 2018-09-03 | 2018-09-03 | 一种基于DDoS攻击下智能调度云资源的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811019290.9A CN109088941A (zh) | 2018-09-03 | 2018-09-03 | 一种基于DDoS攻击下智能调度云资源的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109088941A true CN109088941A (zh) | 2018-12-25 |
Family
ID=64840589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811019290.9A Pending CN109088941A (zh) | 2018-09-03 | 2018-09-03 | 一种基于DDoS攻击下智能调度云资源的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109088941A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110336800A (zh) * | 2019-06-19 | 2019-10-15 | 茂名市群英网络有限公司 | 一种云服务的管理控制系统 |
| CN110336801A (zh) * | 2019-06-20 | 2019-10-15 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
| CN110545258A (zh) * | 2019-07-25 | 2019-12-06 | 浙江大华技术股份有限公司 | 流媒体服务器资源配置方法、装置和服务器 |
| CN110647400A (zh) * | 2019-09-29 | 2020-01-03 | 成都安恒信息技术有限公司 | 一种基于正反馈的节点预热方法 |
| CN112671704A (zh) * | 2020-11-18 | 2021-04-16 | 国网甘肃省电力公司信息通信公司 | 一种攻击感知的mMTC切片资源分配方法、装置及电子设备 |
| CN114389829A (zh) * | 2020-10-20 | 2022-04-22 | 中国移动通信有限公司研究院 | DDoS攻击防护清洗方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131031A (zh) * | 2016-07-19 | 2016-11-16 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN106411583A (zh) * | 2016-09-21 | 2017-02-15 | 努比亚技术有限公司 | 应用服务器修复装置和方法 |
| US20170293717A1 (en) * | 2016-04-08 | 2017-10-12 | Bingsheng Technology (Wuhan) Co., Ltd. | System and method for remote pathology consultation data transfer and storage |
| CN107566508A (zh) * | 2017-09-19 | 2018-01-09 | 广东电网有限责任公司信息中心 | 一种自动化运维的短信微服务系统 |
| US10475111B1 (en) * | 2015-06-19 | 2019-11-12 | Amazon Technologies, Inc. | Selecting and configuring metrics for monitoring |
-
2018
- 2018-09-03 CN CN201811019290.9A patent/CN109088941A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10475111B1 (en) * | 2015-06-19 | 2019-11-12 | Amazon Technologies, Inc. | Selecting and configuring metrics for monitoring |
| US20170293717A1 (en) * | 2016-04-08 | 2017-10-12 | Bingsheng Technology (Wuhan) Co., Ltd. | System and method for remote pathology consultation data transfer and storage |
| CN106131031A (zh) * | 2016-07-19 | 2016-11-16 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN106411583A (zh) * | 2016-09-21 | 2017-02-15 | 努比亚技术有限公司 | 应用服务器修复装置和方法 |
| CN107566508A (zh) * | 2017-09-19 | 2018-01-09 | 广东电网有限责任公司信息中心 | 一种自动化运维的短信微服务系统 |
Non-Patent Citations (1)
| Title |
|---|
| 程秋晨: ""基于弹性负载的数据实时迁移方法的研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110336800A (zh) * | 2019-06-19 | 2019-10-15 | 茂名市群英网络有限公司 | 一种云服务的管理控制系统 |
| CN110336800B (zh) * | 2019-06-19 | 2022-05-20 | 茂名市群英网络有限公司 | 一种云服务的管理控制系统 |
| CN110336801A (zh) * | 2019-06-20 | 2019-10-15 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
| CN110336801B (zh) * | 2019-06-20 | 2021-07-06 | 杭州安恒信息技术股份有限公司 | 一种抗DDoS设备选择的方法 |
| CN110545258A (zh) * | 2019-07-25 | 2019-12-06 | 浙江大华技术股份有限公司 | 流媒体服务器资源配置方法、装置和服务器 |
| CN110647400A (zh) * | 2019-09-29 | 2020-01-03 | 成都安恒信息技术有限公司 | 一种基于正反馈的节点预热方法 |
| CN110647400B (zh) * | 2019-09-29 | 2022-04-22 | 成都安恒信息技术有限公司 | 一种基于正反馈的节点预热方法 |
| CN114389829A (zh) * | 2020-10-20 | 2022-04-22 | 中国移动通信有限公司研究院 | DDoS攻击防护清洗方法及装置 |
| CN112671704A (zh) * | 2020-11-18 | 2021-04-16 | 国网甘肃省电力公司信息通信公司 | 一种攻击感知的mMTC切片资源分配方法、装置及电子设备 |
| CN112671704B (zh) * | 2020-11-18 | 2022-11-15 | 国网甘肃省电力公司信息通信公司 | 一种攻击感知的mMTC切片资源分配方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109088941A (zh) | 一种基于DDoS攻击下智能调度云资源的方法 | |
| US10855545B2 (en) | Centralized resource usage visualization service for large-scale network topologies | |
| US8832063B1 (en) | Dynamic request throttling | |
| CN105190558B (zh) | 用于创建逻辑资源的方法和系统 | |
| Dixit et al. | Elasticon: an elastic distributed sdn controller | |
| US7644161B1 (en) | Topology for a hierarchy of control plug-ins used in a control system | |
| CN103428008B (zh) | 面向多用户群的大数据分发方法 | |
| EP3982270A1 (en) | Customer-directed networking limits in distributed systems | |
| Beniwal et al. | A comparative study of static and dynamic load balancing algorithms | |
| CN105159775A (zh) | 基于负载均衡器的云计算数据中心的管理系统和管理方法 | |
| CN107977271B (zh) | 一种数据中心综合管理系统负载均衡方法 | |
| Wang et al. | Bandwidth guaranteed virtual network function placement and scaling in datacenter networks | |
| Srivastava et al. | CGP: Cluster-based gossip protocol for dynamic resource environment in cloud | |
| CN116662020B (zh) | 应用服务动态管理方法、系统、电子设备及存储介质 | |
| Reddy et al. | On optimization efficiency of scalability and availability of cloud-based software services using scale rate limiting algorithm | |
| Li et al. | A dynamic I/O sensing scheduling scheme in Kubernetes | |
| CN110661865A (zh) | 一种网络通信方法及网络通信架构 | |
| Da Silva et al. | A methodology for management of cloud computing using security criteria | |
| Li et al. | Utilizing content delivery network in cloud computing | |
| Slim et al. | CLOSE: A costless service offloading strategy for distributed edge cloud | |
| Lakew et al. | Management of distributed resource allocations in multi-cluster environments | |
| Jeong et al. | An energy-efficient service scheduling algorithm in federated edge cloud | |
| Kuribayashi | Resource allocation method for cloud computing environments with different service quality to users at multiple access points | |
| Wang et al. | Dynamic resource arrangement in cloud federation | |
| Bloch et al. | Analysis and survey of issues in live virtual machine migration interferences |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181225 |