CN110324417A - 一种基于拟态防御的云服务执行体动态重构方法 - Google Patents
一种基于拟态防御的云服务执行体动态重构方法 Download PDFInfo
- Publication number
- CN110324417A CN110324417A CN201910580682.0A CN201910580682A CN110324417A CN 110324417 A CN110324417 A CN 110324417A CN 201910580682 A CN201910580682 A CN 201910580682A CN 110324417 A CN110324417 A CN 110324417A
- Authority
- CN
- China
- Prior art keywords
- offline
- cloud service
- executes
- execution body
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于拟态防御的云服务执行体动态重构方法,该方法包括:步骤1,搭建异构云服务执行体镜像资源池;步骤2,根据云服务执行体调度触发机制构建预下线执行体信息队列;步骤3,采用执行体下线与上线机制,实现新上线执行体和预下线执行体的无缝切换。本发明通过拟态防御实现了云服务执行体的动态重构,解决了执行体的最优化调度问题,提高云服务执行体的鲁棒性和动态性,增强了基于拟态防御的云业务的安全性。
Description
技术领域
本发明涉及网络空间安全技术领域,具体的说,涉及了一种基于拟态防御的云服务执行体动态重构方法。
背景技术
云计算是一种以虚拟化技术为基础,以网络为载体提供基础架构、平台、软件应用等服务为形式,整合大规模可扩展的分布式计算资源进行协同工作的超级计算模式,具有租户共存资源共享运营,任务和数据集中化管理,外包(Oursourcing)交易等模式。云计算强大的并行计算能力,使得许多科研工作者将大规模科学云服务执行体任务交付给云平台完成。
现阶段,云服务执行体任务安全面临诸多威胁。首先云服务执行体的攻击面大,云服务任务执行需要大量计算资源,在云计算这种多租户共存的环境中,每一个计算资源都有可能成为恶意攻击的突破口。其次计算成本高,云服务执行体主要面向的是计算密集型任务,如果云任务被异常中断,将会造成大量的资源浪费。最后,任务执行时间长,云任务执行周期较长,为攻击者提供了充足的攻击时间。
基于拟态防御的云服务执行体通过动态异构冗余技术,使多个执行时同时处理相同请求,并对不同执行体的响应进行裁决得到最终响应结果,能够防御基于已知或未知漏洞的攻击,然而,冗余的执行体依然存在被攻击的威胁,当攻击积累到一定程度,有可能同时攻破所有在线的冗余执行体。为了加强云服务执行体的安全性,需要解决云服务执行体的动态重构问题,构建一定的策略在合适的时机对已被攻陷的执行体进行调度,并基于执行体在线工作时长、在线执行体多样性、历史故障率等多种参数选择恰当的执行体替换被攻陷执行体上线工作。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供了一种基于拟态防御的云服务执行体动态重构方法,以解决执行体的最优化调度问题,提高云服务执行体的鲁棒性和动态性,增强基于拟态防御的云业务的安全性,通过异构云服务执行体选型、搭建和配置,维护异构冗余的云服务执行体镜像库,动态控制实现云服务执行体的最优化调度,确保在线云服务执行体的安全可靠。
为了实现上述目的,本发明所采用的技术方案是:一种基于拟态防御的云服务执行体动态重构方法,该方法包括:
步骤1,搭建异构云服务执行体镜像资源池。
服务提供商根据要提供的服务类型以及访问量等评估确定基本需求,评估和分析现有商业化公有云,如阿里云、亚马逊云、Azure云等,各家云提供商的云架构、服务器、虚拟化平台、管理软件等具有差异性,最后选定至少4个以上功能稳定、接口标准的公有云提供商,向其申请主机并签订服务等级协定。对于同一云提供商的虚拟机申请,指定多物理数据中心的云主机,并提出数量和配置需求,如CPU、内存、存储、网络带宽等,根据一定的多样化准则为不同的主机安装不同的操作系统,同时开发多样化、多版本的业务应用软件,并安装在不同的主机上,进行服务和网络配置,测试保证每个云服务执行体均可单独对外提供服务。同时,从安全角度在保证基本服务的前提下,基于最小特权原则对每个云服务执行体进行安全配置,如仅开放必要的端口,其他无关服务禁止,仅接受来自输入代理的请求并返回响应,以尽可能的减小攻击面。这样形成服务商拥有的具有较大控制权限的私有云数据中心——一个可提供异构云服务执行体的资源池,提高了服务提供商的控制及响应能力。
步骤2,调度管理模块根据云服务执行体调度触发机制构建预下线执行体信息队列。
云服务执行体调度触发机制包括执行体异常离线触发机制、在线工作时间超时触发机制和执行体故障率高触发机制。
执行体异常离线触发机制是指:当在线云服务执行体异常离线时,发送预下线执行体信息;具体的,如果由于CPU过载、内存不足、进程死锁等原因导致执行体没有向调度管理模块回复心跳检测消息且失去连接达到离线时长阈值,则视为执行体异常离线。
执行体故障率高触发机制是指:当承载相同任务的不同在线云服务执行体出现不一致输出时,输出结果与最终裁决结果不一致的执行体故障次数累积一次,通过统计单位时间内执行体的失效次数,得到执行体故障率,当某一执行体故障率达到故障率阈值时,发送预下线执行体信息;
在线工作时间超时触发机制是指:当在线云服务执行体正常承载任务执行时长超过工作时长阈值时,发送预下线执行体信息。
步骤3,调度管理模块采用执行体下线与上线机制,实现新上线执行体和预下线执行体的无缝切换。
调度管理模块将预下线执行体信息发送至动态轮换模块,由动态轮换模块实施执行体镜像信息的更新,主要是更新预下线执行体对应镜像类型的历史故障率信息。动态轮换模块依据最优化动态轮换机制生成新上线执行体后,更新新上线执行体对应镜像类型的创建频率信息,并将上线执行体信息发送至调度管理模块,由调度管理模块同步更新相关执行体信息。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,本申请公开的基于拟态防御的安全云服务执行体重构方法,基于多样性、动态性的思想,通过利用不同云提供商的天然多样性,结合控制的灵活性,使拟态防御云服务执行体异构化、动态化调度与轮换,增强拟态防御云服务的可靠性和安全性;对云服务执行体的调度和轮换操作依据优先级处理,保证调度管理模块的运行稳定性和低负载;执行体的上线与下线处理实现无缝对接,使得拟态防御云服务维持无中断服务。
基于拟态防御的云服务执行体动态重构使得面临执行体被攻击时,拟态防御云服务能够自适应地优化执行体构造,能更好保证云服务任务执行的可靠性和安全性,从而进一步增强拟态防御云服务的内生安全性能。
附图说明
图1为本申请实施例公开的步骤1的流程示意图。
图2为本申请实施例公开的步骤2中云服务执行体调度触发机制流程示意图。
图3为本申请实施例公开的步骤205中构建预下线执行体信息队列的流程示意图。
图4为本申请实施例公开的步骤3的流程示意图。
图5为本申请实施例公开的步骤301的流程示意图。
图6为本申请实施例公开的步骤303的流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为方便理解本申请中的实施例,现对本申请中自定义的名词给出详细定义:
云服务执行体调度触发机制
云服务执行体调度触发机制包括执行体异常离线触发机制、在线工作时间超时触发机制和执行体故障率高触发机制。
执行体异常离线触发机制是指:当在线云服务执行体异常离线时,调度管理模块发送预下线执行体信息;具体的,执行体异常离线是指:调度管理模块周期性发送心跳检测信息到执行体,如果由于CPU过载、内存不足、进程死锁等原因导致执行体没有向调度管理模块回复心跳检测消息且失去连接达到离线时长阈值,则视为执行体异常离线。
执行体故障率高触发机制是指:当承载相同任务的不同在线云服务执行体出现不一致输出时,输出结果与最终裁决结果不一致的执行体故障次数累积一次,通过统计单位时间内执行体的失效次数,得到执行体故障率,当某一执行体故障率达到故障率阈值时,调度管理模块发送预下线执行体信息。
在线工作时间超时触发机制是指:当在线云服务执行体正常承载任务执行时长超过工作时长阈值时,调度管理模块发送预下线执行体信息。
执行体下线与上线机制
调度管理模块将预下线执行体信息发送至动态轮换模块,由动态轮换模块实施执行体镜像信息的更新,主要是更新预下线执行体对应镜像类型的历史故障率信息。动态轮换模块在生成新上线执行体后,将上线执行体信息发送至调度管理模块,动态轮换模块实施执行体镜像信息的更新,主要是更新预下线执行体对应镜像类型的创建频率信息,同时调度管理模块同步更新相关执行体信息。
最优化动态轮换机制
所述最优化动态轮换机制的主要目的是为预下线的执行体替换合适的新执行体上线工作。
具体的,所述最优化动态轮换机制包括依据异构性轮换选择策略、依据创建频率轮换选择策略和依据历史故障率轮换选择策略;
依据异构性轮换选择策略:是指根据与原执行体集的异构性进行选择,异构性大的执行体类型被优先选择,这样可以保证执行体集的异构性;
依据创建频率轮换选择策略:是指根据执行体镜像最近一段时间间隔内被用于创建执行体的频率进行选择,创建频率低的执行体被优先选择,因为该类型执行体的上线不会导致同类型执行体数量过多
依据历史故障率轮换选择策略:是指根据最近一段时间内同类型的下线执行体的平均故障率选择新上线执行体,历史故障率较低的执行体类型被优先选择。因为该类型的执行体相对而言可以被认为安全性较强。其中,在历史故障率的考察时间间隔内,没有下线执行体的进项类型,其历史故障率默认为0。
为解决现有技术的不足,本发明提供一种基于拟态防御的云服务执行体动态重构方法,该方法包括:
步骤1,搭建异构云服务执行体镜像资源池。
如图1所示,步骤1具体可分为:
步骤101,云服务提供商确定业务类型,业务量等需求信息,确定对执行体如虚拟机、容器的规格,如CPU、内存、硬盘空间、操作系统等的需求,以及所需执行体的数量、使用时间;
步骤102,调研及评估多家公有云基础设施提供商的成熟度、完善性、安全性、基本架构以及成本等,选定4家以上符合条件的公有云提供商;
步骤103,向选定的公有云提供商提出申请并签订SLA协议,为满足异构度需求,向不同的服务商申请云主机时可提出不同的需求,如不同操作系统的主机等,使申请的云主机间有一定的差异性,服务提供商也可向云提供商提供打包了系统以及服务执行所需的软件及运行环境等的多样化执行体镜像;
步骤104,共有云提供商根据用户需求提供云主机或虚拟服务器,服务提供商用户获得相应访问接口和控制权限;
步骤105,在不同云提供商提供的云主机上安装多样化的、不同版本的服务实现软件,服务提供商自己开发或者购买不同版本的服务软件,并进行服务配置,测试保证每个云服务执行体可单独可对外服务。基于最小特权原则对云主机及服务进行安全配置,仅开放必要的端口、其他服务禁止,尽可能的减小攻击面;此外,定期对多样化执行体镜像进行系统升级和漏洞修补;
步骤106,服务提供商所拥有的不同公有云的主机构成了服务提供商自己控制的私有虚拟云数据中心,服务提供商对这些主机有一定的控制权限,形成了异构云服务执行体资源池,并进行一定的配置使其与代理及控制中心保持可靠通信。
此外,云服务提供商还需定期对多样化执行体镜像进行系统升级和漏洞修补。
步骤2,调度管理模块根据云服务执行体调度触发机制构建预下线执行体信息队列。
如图2所示,步骤2的实施步骤包括:
步骤201,调度管理模块收集所有在线云服务执行体的属性类别和承载服务类型,对云服务执行体进行标记和编号,并构建一个执行体全生命周期管理数据库。
步骤202,为服务提供商配置云服务执行体调度触发机制。
步骤2021,为服务提供商配置在线工作时间超时触发机制,在调度管理模块中自定义超时阈值,对于不同类型的云服务执行体可以配置具有差异性的超时阈值。
步骤2022,为服务提供商配置执行体故障率高触发机制,在调度管理模块设置执行体故障率阈值。承载相同任务的不同云服务执行体出现不一致输出时,输出结果与最终裁决结果不一致的执行体故障次数累积一次,通过统计单位时间内执行体的故障次数计算执行体故障率;对于不同类型的云服务执行体可以配置具有差异性的故障率阈值。
步骤2023,为服务提供商配置执行体异常离线触发机制,初始化离线时长阈值。
步骤203,调度管理模块收集统计所有在线云服务执行体的状态信息和运行日志信息,按照对应编号写入执行体全生命周期管理数据库;
步骤204,调度管理模块周期性检测并更新执行体全生命周期管理数据库,当某个在线云服务执行体满足云服务执行体调度触发机制时,将该云服务执行体的状态信息置为预下线,生成预下线执行体信息;
步骤205,根据云服务执行体的预下线类型将预下线执行体信息插入到预下线执行体信息队列中。
具体的,如图3所示,按照云服务执行体的预下线类型对预下线执行体消息进行排序,可以构造三种预下线执行体信息队列,包括异常离线队列、失效队列和超时队列。
首先对于预下线类型为异常离线的预下线执行体信息,按照消息到达时间的先后顺序排序构造异常离线队列;对于新到达的预下线类型为异常离线的预下线执行体信息,直接插入现有异常离线队列的队尾。
其次于预下线类型为故障率高的预下线执行体信息,按照故障率从高到低的顺序排列构成失效队列,当故障率相同时,按照消息到达的时间从先到后排列;对于新到达的预下线类型为故障率高的预下线执行体信息,根据其故障率插入现有失效队列。
再次,对于预下线类型为在线工作时间超时的预下线执行体信息,按照在线工作时长从大到小的顺序排列构成超时队列,当在线工作时长相同时,按照消息到达的时间从先到后排列。对于新到达的预下线类型为在线工作时间超时的预下线执行体信息,根据其故障率或在线工作时长插入现有超时队列。对于超时队列的消息而言,在排队期间超时时间继续累计,直到接受处理为止。
步骤3,采用执行体下线与上线机制,实现新上线执行体和预下线执行体的无缝切换。
具体的,步骤3的实施步骤包括:
步骤301,调度管理模块按照预下线执行体信息队列的优先级顺序逐条向预下线执行体和动态轮换模块发送预下线执行体信息,
为避免执行体调度过于频繁,尽可能减轻由于调度带来的云服务中断问题,并减小调度管理模块的负载,所有云服务执行体的预下线执行体信息需要按照一定的顺序执行,因而需要在调度管理模块中需要对预下线执行体信息队列进行优先级排序;优选的,预下线执行体信息队列的优先级顺序为异常离线队列>失效队列>超时队列。
如图5所示,调度管理模块首先逐条处理异常离线队列,直到该队列为空;然后处理失效队列,最后处理超时队列。对预下线队列中的消息的处理操作是指取队头消息发送至动态轮换模块。
需要注意的是:排队期间,在线工作时长超时消息的超时时间继续累计,当超时队列中的最大超时时间大于预设最大等待时间时,调度管理模块对超时队列设置临时优先标记,在异常离线队列处理完毕后,临时优先处理超时队列,直到超时队列中的最大超时时间小于预设最大等待时间,取消临时优先标记。
步骤302,动态轮换模块根据预下线执行体信息更新执行体镜像信息数据库中预下线执行体对应镜像类型的信息;
步骤303,动态轮换模块根据预下线执行体信息采用最优化动态轮换机制生成新上线执行体,更新执行体镜像信息数据库中新上线执行体对应镜像类型的创建频率信息,并将新上线执行体信息发送至调度管理模块;
具体的,如图6所示,动态轮换模块根据预下线执行体信息采用最优化动态轮换机制生成新上线执行体的步骤如下:
步骤3031,动态轮换模块分析预下线执行体的预下线类型,若是异常离线,则执行步骤3032;若是故障率高,则执行步骤3033;若是在线工作时间超时,则执行步骤3034;
步骤3032,动态轮换模块根据异构云服务执行体镜像资源池中云服务执行体镜像与预下线执行体的异构性计算结果,优先选择异构性最大的云服务执行体镜像生成新上线执行体;
步骤3033,动态轮换模块根据异构云服务执行体镜像资源池中云服务执行体镜像预设时间间隔内被执行体历史发生故障的频率,优先选择故障频率低的云服务执行体镜像生成新上线执行体;
步骤3034,动态轮换模块根据异构云服务执行体镜像资源池中云服务执行体镜像预设时间间隔内被用于创建新上线执行体的频率,优先选择创建频率低的云服务执行体镜像生成新上线执行体。
步骤304,调度管理模块同步更新新上线执行体信息和预下线执行体信息。
步骤3041,调度管理模块辅助新上线执行体替换预下线执行体所有逻辑连接;
步骤3042,调度管理模块注册新上线执行体信息并建立连接,销毁预下线执行体并注销注册信息。
需要注意的是:同一云服务执行体在从上线到下线的生命周期中仅发送一次预下线执行体信息。在预下线状态下,所述云服务执行体仍然保持工作状态,以维持拟态云服务的可用性,直到预下线执行体信息得到处理,新的云服务执行体上线以后,预下线云服务执行体才正式下线。
Claims (10)
1.一种基于拟态防御的云服务执行体动态重构方法,其特征在于,该方法包括:
步骤1,搭建异构云服务执行体镜像资源池;
步骤2,调度管理模块根据云服务执行体调度触发机制构建预下线执行体信息队列;
步骤3,调度管理模块采用执行体下线与上线机制,实现新上线执行体和预下线执行体的无缝切换。
2.根据权利要求1所述的基于拟态防御的云服务执行体动态重构方法,其特征在于,步骤2的具体步骤为:
步骤201,调度管理模块收集所有在线云服务执行体的属性类别和承载服务类型,对云服务执行体进行标记和编号,并构建一个执行体全生命周期管理数据库;
步骤202:为服务提供商配置云服务执行体调度触发机制;
步骤203,调度管理模块收集统计所有在线云服务执行体的状态信息和运行日志信息,按照对应编号写入该执行体全生命周期管理数据库;
步骤204,调度管理模块周期性检测并更新执行体全生命周期管理数据库,当某个在线云服务执行体满足云服务执行体调度触发机制时,将该云服务执行体的状态信息配置为预下线,生成预下线执行体信息,所述预下线执行体信息包括预下线类型,以及预下线的云服务执行体编号、镜像类型参数和承载服务类型,所述预下线类型包括执行体异常离线、在线工作时间超时和执行体故障率高;
步骤205,调度管理模块根据云服务执行体的预下线类型将预下线执行体信息插入到预下线执行体信息队列中。
3.根据权利要求1或2所述的基于拟态防御的云服务执行体动态重构方法,其特征在于:所述云服务执行体调度触发机制包括执行体异常离线触发机制、在线工作时间超时触发机制和执行体故障率高触发机制,
所述执行体异常离线触发机制是指:当在线云服务执行体异常离线时,调度管理模块发送预下线执行体信息;
所述执行体故障率高触发机制是指:当承载相同任务的不同在线云服务执行体出现不一致输出时,输出结果与最终裁决结果不一致的执行体故障次数累积一次,通过统计单位时间内执行体的失效次数,得到执行体故障率,当某一执行体故障率达到故障率阈值时,调度管理模块发送预下线执行体信息;
所述在线工作时间超时触发机制是指:当在线云服务执行体正常承载任务执行时长超过工作时长阈值时,调度管理模块发送预下线执行体信息。
4.根据权利要求3所述的基于拟态防御的云服务执行体动态重构方法,其特征在于:所述预下线执行体信息队列包括异常离线队列、超时队列和失效队列;
对于预下线类型为异常离线的预下线执行体信息,按照消息到达时间的先后顺序排序构造异常离线队列;
对于预下线类型为故障率高的预下线执行体信息,按照故障率从高到低的顺序排列构成失效队列,当故障率相同时,按照消息到达时间的先后顺序进行排列;
对于预下线类型为在线工作时间超时的预下线执行体信息,按照在线工作时长从大到小的顺序排列构成超时队列,当在线工作时长相同时,按照消息到达时间的先后顺序进行排列。
5.根据权利要求1所述的基于拟态防御的云服务执行体动态重构方法,其特征在于,步骤3具体包括:
步骤301:调度管理模块按照预下线执行体信息队列的优先级顺序逐条向预下线执行体和动态轮换模块发送预下线执行体信息;
步骤302:动态轮换模块根据预下线执行体信息更新执行体镜像信息数据库中预下线执行体对应镜像类型的信息;
步骤303,动态轮换模块根据预下线执行体信息采用最优化动态轮换机制生成新上线执行体,更新执行体镜像信息数据库中新上线执行体对应镜像类型的创建频率信息,并将新上线执行体信息发送至调度管理模块;
步骤304,调度管理模块同步更新新上线执行体信息和预下线执行体信息。
6.根据权利要求5所述的基于拟态防御的云服务执行体动态重构方法,其特征在于:步骤301中,预下线执行体信息队列的优先级顺序为异常离线队列>失效队列>超时队列。
7.根据权利要求5所述的基于拟态防御的云服务执行体动态重构方法,其特征在于:所述最优化动态轮换机制包括依据异构性轮换选择策略、依据创建频率轮换选择策略和依据历史故障率轮换选择策略;
依据异构性轮换选择策略:是指根据与原执行体集的异构性进行选择,异构性大的执行体类型被优先选择;
依据创建频率轮换选择策略:是指根据执行体镜像最近一段时间间隔内被用于创建执行体的频率进行选择,创建频率低的执行体被优先选择;
依据历史故障率轮换选择策略:是指根据最近一段时间内同类型的下线执行体的平均故障率选择上线执行体,历史故障率较低的执行体类型被优先选择。
8.根据权利要求5所述的基于拟态防御的云服务执行体动态重构方法,其特征在于:步骤303具体包括:
步骤3031:动态轮换模块分析预下线执行体的预下线类型,若是异常离线,则执行步骤3032;若是故障率高,则执行步骤3033;若是在线工作时间超时,则执行步骤3034;
步骤3032:动态轮换模块根据异构云服务执行体镜像资源池中云服务执行体镜像与预下线执行体的异构性计算结果,优先选择异构性最大的云服务执行体镜像生成新上线执行体;
步骤3033:动态轮换模块根据异构云服务执行体镜像资源池中云服务执行体镜像预设时间间隔内被执行体历史发生故障的频率,优先选择故障频率低的云服务执行体镜像生成新上线执行体;
步骤3034:动态轮换模块根据异构云服务执行体镜像资源池中云服务执行体镜像预设时间间隔内被用于创建新上线执行体的频率,优先选择创建频率低的云服务执行体镜像生成新上线执行体。
9.根据权利要求5所述的基于拟态防御的云服务执行体动态重构方法,其特征在于,步骤304包括:
步骤3041,调度管理模块辅助新上线执行体替换预下线执行体所有逻辑连接;
步骤3042,调度管理模块注册新上线执行体信息并建立连接,销毁预下线执行体并注销注册信息。
10.根据权利要求6所述的基于拟态防御的云服务执行体动态重构方法,其特征在于:排队期间,在线工作时长超时消息的超时时间继续累计,当超时队列中的最大超时时间大于预设最大等待时间时,调度管理模块对超时队列设置临时优先标记,在异常离线队列处理完毕后,临时优先处理超时队列,直到超时队列中的最大超时时间小于预设最大等待时间,取消临时优先标记。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910580682.0A CN110324417B (zh) | 2019-06-29 | 2019-06-29 | 一种基于拟态防御的云服务执行体动态重构方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910580682.0A CN110324417B (zh) | 2019-06-29 | 2019-06-29 | 一种基于拟态防御的云服务执行体动态重构方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110324417A true CN110324417A (zh) | 2019-10-11 |
| CN110324417B CN110324417B (zh) | 2020-10-27 |
Family
ID=68121330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910580682.0A Active CN110324417B (zh) | 2019-06-29 | 2019-06-29 | 一种基于拟态防御的云服务执行体动态重构方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110324417B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784475A (zh) * | 2019-10-31 | 2020-02-11 | 中国人民解放军战略支援部队信息工程大学 | 一种安全防御方法及装置 |
| CN110781012A (zh) * | 2019-10-22 | 2020-02-11 | 河南信大网御科技有限公司 | 一种基于统一消息队列的拟态裁决器和裁决方法 |
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111309450A (zh) * | 2020-03-17 | 2020-06-19 | 中科天御(苏州)科技有限公司 | 一种基于云的主动免疫安全防御方法及装置 |
| CN111628978A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 一种拟态归一化裁决系统、方法及可读存储介质 |
| CN111628979A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 无协议状态的环状拟态架构、防御方法和可读存储介质 |
| CN112134842A (zh) * | 2020-08-18 | 2020-12-25 | 河南信大网御科技有限公司 | 异构执行体超级特权检测器、方法及拟态构造架构 |
| CN112153024A (zh) * | 2020-09-11 | 2020-12-29 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于SaaS平台的拟态防御系统 |
| CN112153036A (zh) * | 2020-09-18 | 2020-12-29 | 湖南联盛网络科技股份有限公司 | 一种基于代理服务器的安全防御方法及系统 |
| CN112181433A (zh) * | 2020-10-16 | 2021-01-05 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 拟态多模混合执行体的编译、运行和管理方法及系统 |
| CN112291346A (zh) * | 2020-10-29 | 2021-01-29 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 面向异构节点集群的拟态应用部署管理系统、方法及介质 |
| CN112383527A (zh) * | 2020-11-09 | 2021-02-19 | 浙江大学 | 一种拟态waf的执行体自愈方法 |
| CN113094158A (zh) * | 2021-03-15 | 2021-07-09 | 国政通科技有限公司 | 服务的驱动调用方法、调用装置、电子设备及存储介质 |
| CN113505006A (zh) * | 2021-07-08 | 2021-10-15 | 上海红阵信息科技有限公司 | 一种面向拟态数据库的裁决装置及方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411937A (zh) * | 2016-11-15 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
| CN106874755A (zh) * | 2017-01-22 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法 |
| CN107092518A (zh) * | 2017-04-17 | 2017-08-25 | 上海红神信息技术有限公司 | 一种保护拟态防御系统软件层安全的编译方法 |
| US20170255886A1 (en) * | 2016-03-03 | 2017-09-07 | Hewlett-Packard Development Company, L.P. | Workflow execution |
| CN107145376A (zh) * | 2016-03-01 | 2017-09-08 | 中兴通讯股份有限公司 | 一种主动防御方法和装置 |
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN107454082A (zh) * | 2017-08-07 | 2017-12-08 | 中国人民解放军信息工程大学 | 基于拟态防御的安全云服务构建方法及装置 |
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN108833417A (zh) * | 2018-06-21 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统 |
| CN109150831A (zh) * | 2018-07-16 | 2019-01-04 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
-
2019
- 2019-06-29 CN CN201910580682.0A patent/CN110324417B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107145376A (zh) * | 2016-03-01 | 2017-09-08 | 中兴通讯股份有限公司 | 一种主动防御方法和装置 |
| US20170255886A1 (en) * | 2016-03-03 | 2017-09-07 | Hewlett-Packard Development Company, L.P. | Workflow execution |
| CN106411937A (zh) * | 2016-11-15 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
| CN106874755A (zh) * | 2017-01-22 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于拟态安全防御零日攻击的多数一致逃逸错误处理装置及其方法 |
| CN107092518A (zh) * | 2017-04-17 | 2017-08-25 | 上海红神信息技术有限公司 | 一种保护拟态防御系统软件层安全的编译方法 |
| CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
| CN107454082A (zh) * | 2017-08-07 | 2017-12-08 | 中国人民解放军信息工程大学 | 基于拟态防御的安全云服务构建方法及装置 |
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN108833417A (zh) * | 2018-06-21 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统 |
| CN109150831A (zh) * | 2018-07-16 | 2019-01-04 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张震骁: "拟态防御动态调度策略研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110781012B (zh) * | 2019-10-22 | 2020-11-24 | 河南信大网御科技有限公司 | 一种基于统一消息队列的拟态裁决器和裁决方法 |
| CN110781012A (zh) * | 2019-10-22 | 2020-02-11 | 河南信大网御科技有限公司 | 一种基于统一消息队列的拟态裁决器和裁决方法 |
| CN110784475A (zh) * | 2019-10-31 | 2020-02-11 | 中国人民解放军战略支援部队信息工程大学 | 一种安全防御方法及装置 |
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111181926B (zh) * | 2019-12-13 | 2022-04-05 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111309450A (zh) * | 2020-03-17 | 2020-06-19 | 中科天御(苏州)科技有限公司 | 一种基于云的主动免疫安全防御方法及装置 |
| CN111628978B (zh) * | 2020-05-21 | 2022-02-22 | 河南信大网御科技有限公司 | 一种拟态归一化裁决系统、方法及可读存储介质 |
| CN111628979A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 无协议状态的环状拟态架构、防御方法和可读存储介质 |
| CN111628978A (zh) * | 2020-05-21 | 2020-09-04 | 河南信大网御科技有限公司 | 一种拟态归一化裁决系统、方法及可读存储介质 |
| CN112134842A (zh) * | 2020-08-18 | 2020-12-25 | 河南信大网御科技有限公司 | 异构执行体超级特权检测器、方法及拟态构造架构 |
| CN112134842B (zh) * | 2020-08-18 | 2022-08-16 | 河南信大网御科技有限公司 | 异构执行体超级特权检测器、方法及拟态构造架构 |
| CN112153024A (zh) * | 2020-09-11 | 2020-12-29 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于SaaS平台的拟态防御系统 |
| CN112153024B (zh) * | 2020-09-11 | 2022-11-11 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于SaaS平台的拟态防御系统 |
| CN112153036A (zh) * | 2020-09-18 | 2020-12-29 | 湖南联盛网络科技股份有限公司 | 一种基于代理服务器的安全防御方法及系统 |
| CN112181433A (zh) * | 2020-10-16 | 2021-01-05 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 拟态多模混合执行体的编译、运行和管理方法及系统 |
| CN112181433B (zh) * | 2020-10-16 | 2023-09-26 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 拟态多模混合执行体的编译、运行和管理方法及系统 |
| CN112291346B (zh) * | 2020-10-29 | 2022-08-16 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 面向异构节点集群的拟态应用部署管理系统、方法及介质 |
| CN112291346A (zh) * | 2020-10-29 | 2021-01-29 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 面向异构节点集群的拟态应用部署管理系统、方法及介质 |
| CN112383527A (zh) * | 2020-11-09 | 2021-02-19 | 浙江大学 | 一种拟态waf的执行体自愈方法 |
| CN113094158A (zh) * | 2021-03-15 | 2021-07-09 | 国政通科技有限公司 | 服务的驱动调用方法、调用装置、电子设备及存储介质 |
| CN113505006A (zh) * | 2021-07-08 | 2021-10-15 | 上海红阵信息科技有限公司 | 一种面向拟态数据库的裁决装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110324417B (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324417A (zh) | 一种基于拟态防御的云服务执行体动态重构方法 | |
| Gill et al. | Resource provisioning based scheduling framework for execution of heterogeneous and clustered workloads in clouds: from fundamental to autonomic offering | |
| US20210014275A1 (en) | System and method for a cloud computing abstraction layer with security zone facilities | |
| US9442771B2 (en) | Generating configurable subscription parameters | |
| Calheiros et al. | Energy-efficient scheduling of urgent bag-of-tasks applications in clouds through DVFS | |
| US8572138B2 (en) | Distributed computing system having autonomic deployment of virtual machine disk images | |
| US9027024B2 (en) | Market-based virtual machine allocation | |
| US9563479B2 (en) | Brokering optimized resource supply costs in host cloud-based network using predictive workloads | |
| US7533170B2 (en) | Coordinating the monitoring, management, and prediction of unintended changes within a grid environment | |
| WO2012100092A2 (en) | System and method for a cloud computing abstraction layer with security zone facilities | |
| US20220284019A1 (en) | Programmable framework for distributed computation of statistical functions over time-based data | |
| Sahal et al. | A survey on SLA management for cloud computing and cloud-hosted big data analytic applications | |
| Emeakaroha et al. | Managing and optimizing bioinformatics workflows for data analysis in clouds | |
| Murad et al. | Optimized Min-Min task scheduling algorithm for scientific workflows in a cloud environment | |
| Netaji et al. | A comprehensive survey on container resource allocation approaches in cloud computing: State-of-the-art and research challenges | |
| Meng et al. | Service-oriented reliability modeling and autonomous optimization of reliability for public cloud computing systems | |
| CN114137861A (zh) | 一种意图驱动的云安全服务系统及方法 | |
| Nogueira et al. | Network virtualization system suite: Experimental network virtualization platform | |
| Deng et al. | Cloud-Native Computing: A Survey from the Perspective of Services | |
| Li et al. | Delay-aware cost optimization for dynamic resource provisioning in hybrid clouds | |
| Jawade et al. | Confinement forest‐based enhanced min‐min and max‐min technique for secure multicloud task scheduling | |
| Yu et al. | A Microservice Resilience Deployment Mechanism Based on Diversity | |
| US10298437B2 (en) | Distributed data collection in an enterprise network | |
| Lavacca | Scheduling Jobs on Federation of Kubernetes Clusters | |
| Jabber et al. | Task Scheduling and Resource Allocation in Cloud Computing: A Review and Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |