CN112153024B - 基于SaaS平台的拟态防御系统 - Google Patents

基于SaaS平台的拟态防御系统 Download PDF

Info

Publication number
CN112153024B
CN112153024B CN202010955694.XA CN202010955694A CN112153024B CN 112153024 B CN112153024 B CN 112153024B CN 202010955694 A CN202010955694 A CN 202010955694A CN 112153024 B CN112153024 B CN 112153024B
Authority
CN
China
Prior art keywords
mimicry
application
management module
heterogeneous
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010955694.XA
Other languages
English (en)
Other versions
CN112153024A (zh
Inventor
朱丹江
余新胜
解维
徐骏
朱飞凡
徐李定
罗论涵
凌颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 32 Research Institute
Original Assignee
CETC 32 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 32 Research Institute filed Critical CETC 32 Research Institute
Priority to CN202010955694.XA priority Critical patent/CN112153024B/zh
Publication of CN112153024A publication Critical patent/CN112153024A/zh
Application granted granted Critical
Publication of CN112153024B publication Critical patent/CN112153024B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)

Abstract

本发明提供了一种基于SaaS平台的拟态防御系统,包括:云管理模块:处理用户请求并反馈处理结果;镜像管理模块:维护镜像远程仓库,对上传的镜像进行存储和删除;拟态编排模块:对创建应用的异构执行体所需的资源进行调度,生成创建各异构执行体所需的信息;执行体管理模块:负责异构执行体的创建、删除;拟态分发模块:将用户请求发到各异构执行体,得到执行结果并发送到拟态负反馈模块;拟态负反馈模块:对执行结果进行一致性裁决,将裁决为一致的执行结果作为对应用户请求的处理结果进行响应。本发明通过云管理模块的集中管理,简化了用户进行拟态应用部署、管理的复杂度,提高了云平台的安全性。

Description

基于SaaS平台的拟态防御系统
技术领域
本发明涉及网络安全技术领域,具体地,涉及一种基于SaaS平台的拟态防御系统。
背景技术
目前主流SaaS云平台一般基于多备份冗余架构,云平台上SaaS应用的安全性由冗余架构上附加的防火墙、入侵检测等额外的功能模块保障。这些功能模块所使用的被动防御技术对外部攻击的防御效果依赖于先验知识的完备性和精确匹配能力的准确性。由国家互联网应急中心(CNCERT)编写的《2019年我国互联网网络安全态势综述》报告可知,2019年国家信息安全漏洞共享平台(CNVD)收录的漏洞数量创历史新高,同比增长14%,共计16193个;同时,在云网融合的趋势下,针对我国主流云平台上发生的网络安全事件数量占比较高,遭受DDoS攻击次数占境内目标被攻击次数的74.0%、被植入后门链接数量占境内全部植入后门链接数量的86.3%、被篡改网页数量占境内被篡改网页数量的87.9%,是网络攻击的重灾区,漏洞后门的不可预知性使得被动防御方法已难以满足目前SaaS云平台的安全性需求。
拟态防御作为我国科学家首创的主动防御技术,采用“动态异构冗余”(DynamicHeterogeneous Redundancy,DHR)的系统架构,阻断了漏洞和后门的被利用环境,使得网络攻击的成功率呈指数级下降,解决了未知漏洞后门的有效防御问题,在网络空间安全防御中具有很好的发展前景。通过拟态防御技术与云平台的有效结合,能够大幅提高SaaS云平台的安全性。
目前现有的拟态云平台主要针对云平台的任务调度、拟态架构中负反馈调度模块功能的设计实现等,忽略了云平台的应用创建、删除等管理,以及云平台上应用遭受攻击时的执行体清洗恢复策略、拟态过程展示等方面。
专利文献CN110545260A(申请号:201910716371.2)公开了一种基于拟态构造的云管理平台构建方法,包括:分发器接收用户端或宿主机的用户请求信息,将其进行预处理后同时发送给异构执行体组中的多个处于活跃状态的异构云管理平台执行体;异构云管理平台执行体接收到分发器转发来的用户请求信息,进行相应的请求处理操作,并将处理结果发送至裁决器;裁决器接收到各异构云管理平台执行体发来的处理结果信息,并根据请求来源将结果信息进行归类,对同一请求来源的多个处理结果信息进行一致性表决,并将表决后的结果信息经过适当处理后发送给用户端和宿主机,裁决器按需向负反馈调度单元上报自身状态和裁决信息;用户端收到裁决器发来的结果信息后,通过交互界面向用户展示处理结果情况。该专利中,包括应用管理信息、应用工作信息在内的所有数据全部经过云管理平台;而本发明的架构中,应用工作的正常数据流不经过云管理模块,只有执行体发生异常后,由负反馈模块将相关数据发送到云管理模块,对执行体进行清洗恢复。该专利负反馈模块和裁决模块是相互独立的,而本发明中,一致性裁决是负反馈模块的功能之一。该专利使用冗余的方法对云管模块进行保护,裁决器不但需要处理应用工作的数据,还需检查管理数据的一致性;而本发明通过分离应用工作数据和用户管理数据,对应用的攻击不会传递到云管理模块,实现对云管理模块的保护。
专利文献CN110768966A(申请号:201910959245.X)公开了一种基于拟态防御的安全云管理系统构建方法和装置,该方法包括:利用多样化编译工具搭建多个云管理系统,多个云管理系统之间功能相同但结构不同;构建请求代理转发单元用于接收用户请求,建立请求队列,并根据控制信息将用户请求转发至多个云管理系统;构建请求代理裁决单元用于按照预设的请求处理及部署裁决流程对多个云管理系统针对同一用户请求的响应进行处理,并将处理结果转发至Openstack执行组件;构建响应转发单元和回复响应裁决单元用于按照预设的响应拟态裁决及输出流程对Openstack执行组件的执行结果和多个云管理系统对执行结果的响应进行处理。本发明可以保证管理员对网络的操作信息不被窃取和恶意篡改,保证对云系统的操作安全可靠。该专利对云管理系统进行了异构冗余,借此以保证云管理系统的安全性;而本发明只有一个云管理模块,通过分离应用工作数据和用户管理数据,对应用的攻击不会传递到云管理模块,实现对云管理模块的保护。该专利中,云管理系统负责对用户的请求进行响应,分发模块负责用户请求的转发;而在本发明中,分发模块不但进行应该工作数据的转发,还负责将裁决一致的应用响应发送到应用。
专利文献CN107786568A(申请号:201711072096.2)公开了一种拟态云主机的自动构建装置、方法及系统,包括:拟态云主机;拟态平台模块;异构镜像库模块;拟态反馈控制器模块;拟态调度器模块。一种拟态云主机的自动构建方法,包括:申请拟态云主机,并部署应用;对拟态云主机进行自动化拟态反馈控制;对拟态云主机进行安全维护。一种拟态云主机的自动构建系统,包括:服务器集群及上述任一所述一种拟态云主机的自动构建装置。该专利拟态平台模块只和拟态云主机交互,而本发明云管理模块和负反馈模块、镜像管理模块等多个模块交互。该专利提供的是拟态云主机,用户需要先申请拟态云主机,才能部署应用;而本发明提供的是拟态应用运行环境,拥有权限的用户直接部署应用,无需先申请拟态云主机。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于SaaS平台的拟态防御系统。
根据本发明提供的基于SaaS平台的拟态防御系统,包括:
云管理模块:处理来自前端的用户请求并反馈处理结果,为用户服务提供业务逻辑层,通过RESTful接口调用其它模块;所述用户服务包括应用创建、应用删除、镜像上传、镜像删除和应用拟态清洗恢复;
镜像管理模块:维护镜像远程仓库,对上传的镜像进行存储和删除;
拟态编排模块:查询应用信息、镜像信息和各计算节点上的资源信息,对创建应用的异构执行体所需的资源进行调度,生成创建各异构执行体所需的信息;所述拟态编排模块实现各计算节点的负载均衡;
执行体管理模块:负责异构执行体的创建、删除,并对各异构执行体运行时的信息进行采集,发送到云管理模块,对异构执行体的耗费资源进行监控、管理和展示;
拟态分发模块:将用户请求加标签后分发到各异构执行体,得到各异构执行体的执行结果,并发送到拟态负反馈模块进行一致性裁决;
拟态负反馈模块:对从拟态分发模块得到的用户请求在各异构执行体上的执行结果进行一致性裁决,将裁决为一致的执行结果作为对应用户请求的处理结果进行响应。
优选的,进行一致性裁决时,若所有执行结果一致,则将该执行结果传递给拟态分发模块对用户请求进行响应;否则,选取多数一致的执行结果发送到拟态分发模块进行响应,并将所有裁决结果发送给云管理模块,对存在异常的异构执行体进行清洗恢复;
若所有异构执行体的执行结果均不一致,则通过拟态分发模块响应异常,并将所有裁决结果发送给云管理模块,对所有异构执行体进行清洗恢复。
优选的,所述镜像上传包括:用户通过前端上传待创建应用所需的镜像,云管理模块将上传的镜像文件流转发到镜像管理模块,存储到远程镜像仓库。
优选的,所述镜像删除包括:用户从镜像列表中选择镜像进行删除,云管理模块将待删除的镜像信息发送到镜像管理模块,从远程镜像仓库中删除镜像。
优选的,镜像信息查询包括:用户从镜像列表中选择镜像并查询其详细信息,云管理模块向镜像管理模块获取相关信息并响应给用户。
优选的,所述应用创建包括:云管理模块收到用户创建应用的请求后,调用拟态编排模块和执行体管理模块,异步地创建应用并部署到多个异构执行体上。
优选的,所述应用删除包括:云管理模块收到用户删除应用的请求后,调用执行体管理模块进行应用删除,释放相应的资源。
优选的,耗费资源监控包括:云管理模块从拟态编排模块实时接收应用所耗费的内存和CPU资源信息,发送到前端进行展示;
在应用耗费资源出现异常时进行告警;
在应用的可用资源处于临界状态时,在不影响拟态裁决的情况下,释放部分异构执行体所占用的资源,在获得新的可用资源时增加应用的异构执行体的数量。
优选的,所述应用拟态清洗恢复包括:云管理模块收到拟态负反馈模块发送的裁决结果后,对存在潜在危险的异构执行体,调用拟态编排模块和执行体管理模块,为应用创建相应数量的异构执行体,同时对存在潜在危险的异构执行体进行清洗恢复。
优选的,云管理模块根据设置定时对异构执行体进行轮换,云管理模块根据可用资源量,在可用资源量大于等于预设阈值时,为应用创建同样数量的异构执行体,在轮换时,应用的计算执行任务通过拟态分发模块发送到新创建的异构执行体上,同时挂起该应用之前的所有异构执行体,待该应用上的计算执行任务都完成后,删除挂起的异构执行体;
在可用资源量小于预设阈值时,云管理模块根据可用资源量估算可创建的异构执行体数量,根据可创建异构执行体数量占所有异构执行体总数量的比例,在设置的下次轮换周期到来前,缩短相应的异构执行体轮换时间,通过在一次轮换周期内多次部分轮换,完成全部异构执行体的轮换。
与现有技术相比,本发明具有如下的有益效果:
1、本发明通过云管理模块将前端SaaS应用和镜像管理模块的镜像仓库、拟态裁决、负反馈,以及负责异构执行体创建、删除等操作的终端模块相隔离,大大提高了云平台的安全性;通过云管理模块的集中管理,简化了用户进行拟态应用部署、管理的复杂度,使得用户可以像使用普通应用一样使用拟态应用;
2、本发明基于REST原则,使云管理模块和SaaS应用创建、拟态安全所涉及的各个模块进行交互,实现对SaaS应用在拟态安全云平台上的管理;
3、本发明提供了SaaS应用遭受攻击时执行体的清洗恢复策略,保证尽可能快地恢复SaaS应用的正常功能,减少对攻击的响应时间;通过云管理模块,当执行体发生异常时对其进行清洗恢复,或者定时对所有执行体进行清洗恢复,以保证用户应用的安全性;
4、本发明通过业务流和管理流数据分流的方法对云管理模块、镜像管理模块等进行保护,使得对SaaS应用的攻击无法波及云管理等模块。另外,云管理等模块出现问题也不会影响已部署应用的正常工作。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为基于拟态防御的SaaS云平台模块交互图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
实施例:
如图1,根据本发明提供的基于SaaS平台的拟态防御系统,包括:
云管理模块:作为平台的业务功能实现的枢纽,直接处理前端发来的用户请求,并对其响应服务的处理结果。云管理模块负责实现为用户提供服务的业务逻辑,通过RESTful接口调用镜像管理等其他模块,为用户提供应用创建、应用删除、镜像上传、镜像删除、应用拟态清洗恢复等服务。
镜像管理模块:维护一个镜像远程仓库,负责用户上传镜像的存储、删除等管理。另外,为了减小云管理模块所维护数据的复杂性,云管理模块只维护满足用户请求的基本镜像信息,而镜像的详细信息则由镜像管理模块按需提供给云管理模块。
拟态编排模块:根据应用的镜像等信息以及各计算节点上的资源信息等,对创建应用N异构执行体所需的资源进行调度,生成创建各异构执行体所需的信息。各计算节点的负载均衡也由该模块实现。
执行体管理模块:负责执行体的创建、删除等管理功能,并对各执行体的运行时信息进行采集,将其发送到云管理模块,以对执行体所耗费资源进行监控、管理和展示。
拟态分发模块:将应用的请求加标签后分发到各异构执行体执行,并将经拟态负反馈模块裁决为一致的执行结果作为对应用请求的响应。另外,拟态分发模块还负责将各执行体对每次请求的响应结果进行处理,发送到拟态负反馈模块进行一致性裁决。
拟态负反馈模块:对从拟态分发模块得到的某请求在各异构执行体上的处理结果进行一致性裁决,如果所有结果一致,则将该结果传递给拟态分发模块对应用请求进行响应;否则,选取多数一致的结果发送到拟态分发模块作为响应的信息,并将所有裁决结果发送给云管理模块,对可能存在异常的执行体进行清洗恢复;如果所有执行体的结果均不一致,则通过拟态分发模块响应异常,并将所有裁决结果发送给云管理模块,对所有执行体进行清洗恢复。
基于拟态防御的SaaS云平台所提供的镜像相关服务主要包括:
镜像上传:用户通过前端上传待创建应用所需的镜像,云管理模块将上传的镜像文件流转发到镜像管理模块,存储到远程镜像仓库。
镜像删除:用户从镜像列表中选择镜像进行删除,云管理模块将待删除的镜像信息发送到镜像管理模块,从远程镜像仓库中删除镜像。
镜像详细信息查询:用户从镜像列表中选择镜像查询其详细信息,云管理模块向镜像管理模块获取相关信息,响应给用户。
应用相关的服务主要包括:
应用创建:云管理模块收到用户创建应用的请求后,调用拟态编排模块和执行体管理模块,异步地创建应用并部署到多个异构执行体上。
应用删除:云管理模块收到用户删除应用的请求后,调用执行体管理模块进行应用删除,释放相应的资源。
应用性能监控:云管理模块从拟态编排模块实时接收应用所耗费的内存、cpu等资源信息,发送到前端进行展示。另外,在应用耗费资源出现反常时进行告警;在应用可用资源处于临界状态时,在不影响拟态裁决的情况下,释放部分执行体所占用的资源,优先保证应用的可用性,并在有可用资源时增加应用的执行体数量。
拟态安全相关的服务主要包括:
应用执行体清洗恢复:云管理模块收到拟态负反馈模块发送的裁决信息后,找到潜在危险的执行体,调用拟态编排模块和执行体管理模块,为应用创建相应数量的执行体先进行恢复,同时删除潜在危险的执行体进行清洗。在执行清洗恢复的过程中,暂时只使用潜在安全的执行体为应用提供服务。
执行体定时轮换:云管理模块根据设置定时对执行体进行轮换,以降低攻击逃逸的可能性。云管理模块根据可用资源量,在可用资源足够时,先为应用创建同样数量的执行体,在轮换时,应用的计算执行任务通过拟态分发模块发送到新创建的执行体上,同时挂起该应用之前的所有执行体,待其上的计算执行任务都完成后,删除这些执行体;在可用资源不足以进行应用执行体整体轮换时,根据可用资源量估算可创建的执行体数量,根据可创建执行体数量占执行体总数量的比例,在所设置的下次轮换周期到来之前,缩短相应的执行体轮换时间,通过在一次轮换周期内多次部分轮换,完成全部执行体的轮换。
另外,云管理模块对用户的每次操作和执行体的清洗、恢复、轮换等进行记录,并生成相应的拟态展示信息,发送给前端进行拟态过程展示等。
本发明采用Spring架构,云管理模块向前端提供镜像管理、应用管理等相关服务。云管理模块通过TCP/IP协议和其他模块进行交互,所有交互的信息均以JSON的格式发送。云管理模块、镜像管理模块等各个模块可部署在不同或相同的服务器、容器、虚拟机里。云管理模块通过Mysql等数据库对应用、镜像、执行体、用户操作等信息进行记录,以供前端使用,对其他各个模块的信息进行管理,注入镜像的详细信息或执行体的实时信息,则由云管理模块从相关模块主动或被动获取。用户可通过配置文件,对定时拟态清洗恢复的周期等信息进行设置。云管理模块通过拟态负反馈模块裁决不一致信息,识别潜在异常的执行体,并对其进行清洗恢复。另外,云管理模块通过执行体周期性轮换策略,对应用所有的执行体在周期内进行全部或分批进行轮换。通过记录所有用户操作信息和执行体清洗恢复信息,云管理模块生成供前端进行拟态过程展示和应用监控等信息。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。

Claims (7)

1.一种基于SaaS平台的拟态防御系统,其特征在于,包括:
云管理模块:处理来自前端的用户请求并反馈处理结果,为用户服务提供业务逻辑层,通过RESTful接口调用其它模块;所述用户服务包括应用创建、应用删除、镜像上传、镜像删除和应用拟态清洗恢复;
镜像管理模块:维护镜像远程仓库,对上传的镜像进行存储和删除;
拟态编排模块:查询应用信息、镜像信息和各计算节点上的资源信息,对创建应用的异构执行体所需的资源进行调度,生成创建各异构执行体所需的信息;所述拟态编排模块实现各计算节点的负载均衡;
执行体管理模块:负责异构执行体的创建、删除,并对各异构执行体运行时的信息进行采集,发送到云管理模块,对异构执行体的耗费资源进行监控、管理和展示;
拟态分发模块:将用户请求加标签后分发到各异构执行体,得到各异构执行体的执行结果,并发送到拟态负反馈模块进行一致性裁决;
拟态负反馈模块:对从拟态分发模块得到的用户请求在各异构执行体上的执行结果进行一致性裁决,将裁决为一致的执行结果作为对应用户请求的处理结果进行响应;
进行一致性裁决时,若所有执行结果一致,则将该执行结果传递给拟态分发模块对用户请求进行响应;否则,选取多数一致的执行结果发送到拟态分发模块进行响应,并将所有裁决结果发送给云管理模块,对存在异常的异构执行体进行清洗恢复;
若所有异构执行体的执行结果均不一致,则通过拟态分发模块响应异常,并将所有裁决结果发送给云管理模块,对所有异构执行体进行清洗恢复;
所述镜像上传包括:用户通过前端上传待创建应用所需的镜像,云管理模块将上传的镜像文件流转发到镜像管理模块,存储到远程镜像仓库;
所述镜像删除包括:用户从镜像列表中选择镜像进行删除,云管理模块将待删除的镜像信息发送到镜像管理模块,从远程镜像仓库中删除镜像。
2.根据权利要求1所述的基于SaaS平台的拟态防御系统,其特征在于,镜像信息查询包括:用户从镜像列表中选择镜像并查询其详细信息,云管理模块向镜像管理模块获取相关信息并响应给用户。
3.根据权利要求1所述的基于SaaS平台的拟态防御系统,其特征在于,所述应用创建包括:云管理模块收到用户创建应用的请求后,调用拟态编排模块和执行体管理模块,异步地创建应用并部署到多个异构执行体上。
4.根据权利要求1所述的基于SaaS平台的拟态防御系统,其特征在于,所述应用删除包括:云管理模块收到用户删除应用的请求后,调用执行体管理模块进行应用删除,释放相应的资源。
5.根据权利要求1所述的基于SaaS平台的拟态防御系统,其特征在于,耗费资源监控包括:云管理模块从拟态编排模块实时接收应用所耗费的内存和CPU资源信息,发送到前端进行展示;
在应用耗费资源出现异常时进行告警;
在应用的可用资源处于临界状态时,在不影响拟态裁决的情况下,释放部分异构执行体所占用的资源,在获得新的可用资源时增加应用的异构执行体的数量。
6.根据权利要求1所述的基于SaaS平台的拟态防御系统,其特征在于,所述应用拟态清洗恢复包括:云管理模块收到拟态负反馈模块发送的裁决结果后,对存在潜在危险的异构执行体,调用拟态编排模块和执行体管理模块,为应用创建相应数量的异构执行体,同时对存在潜在危险的异构执行体进行清洗恢复。
7.根据权利要求1所述的基于SaaS平台的拟态防御系统,其特征在于,云管理模块根据设置定时对异构执行体进行轮换,云管理模块根据可用资源量,在可用资源量大于等于预设阈值时,为应用创建同样数量的异构执行体,在轮换时,应用的计算执行任务通过拟态分发模块发送到新创建的异构执行体上,同时挂起该应用之前的所有异构执行体,待该应用上的计算执行任务都完成后,删除挂起的异构执行体;
在可用资源量小于预设阈值时,云管理模块根据可用资源量估算可创建的异构执行体数量,根据可创建异构执行体数量占所有异构执行体总数量的比例,在设置的下次轮换周期到来前,缩短相应的异构执行体轮换时间,通过在一次轮换周期内多次部分轮换,完成全部异构执行体的轮换。
CN202010955694.XA 2020-09-11 2020-09-11 基于SaaS平台的拟态防御系统 Active CN112153024B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010955694.XA CN112153024B (zh) 2020-09-11 2020-09-11 基于SaaS平台的拟态防御系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010955694.XA CN112153024B (zh) 2020-09-11 2020-09-11 基于SaaS平台的拟态防御系统

Publications (2)

Publication Number Publication Date
CN112153024A CN112153024A (zh) 2020-12-29
CN112153024B true CN112153024B (zh) 2022-11-11

Family

ID=73890959

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010955694.XA Active CN112153024B (zh) 2020-09-11 2020-09-11 基于SaaS平台的拟态防御系统

Country Status (1)

Country Link
CN (1) CN112153024B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112612594B (zh) * 2020-12-30 2024-03-29 郑州昂视信息科技有限公司 一种执行体调度方法及相关装置
CN113792290B (zh) * 2021-06-02 2024-02-02 国网河南省电力公司信息通信公司 拟态防御的裁决方法及调度系统
CN114338169B (zh) * 2021-12-29 2023-11-14 北京天融信网络安全技术有限公司 请求处理方法、装置、服务器及计算机可读存储介质
CN114510712B (zh) * 2022-04-20 2022-06-28 中科星启(北京)科技有限公司 拟态数量调整方法、装置、宿主机及存储介质
CN115277163A (zh) * 2022-07-22 2022-11-01 杭州安司源科技有限公司 一种基于标签的拟态化改造方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107291538A (zh) * 2017-06-14 2017-10-24 中国人民解放军信息工程大学 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统
CN107786568A (zh) * 2017-11-03 2018-03-09 中国人民解放军信息工程大学 一种拟态云主机的自动构建装置、方法及系统
CN108833417A (zh) * 2018-06-21 2018-11-16 中国人民解放军战略支援部队信息工程大学 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统
CN109218440A (zh) * 2018-10-12 2019-01-15 上海拟态数据技术有限公司 一种场景化的拟态web服务器异构执行体动态调度方法
CN109587168A (zh) * 2018-12-29 2019-04-05 河南信大网御科技有限公司 软件定义网络中基于拟态防御的网络功能部署方法
CN110324417A (zh) * 2019-06-29 2019-10-11 河南信大网御科技有限公司 一种基于拟态防御的云服务执行体动态重构方法
CN110545260A (zh) * 2019-08-05 2019-12-06 上海拟态数据技术有限公司 一种基于拟态构造的云管理平台构建方法
CN111083113A (zh) * 2019-11-15 2020-04-28 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 拟态分发系统、方法及介质
CN111124663A (zh) * 2019-11-15 2020-05-08 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 拟态资源调度方法、系统及介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107454082A (zh) * 2017-08-07 2017-12-08 中国人民解放军信息工程大学 基于拟态防御的安全云服务构建方法及装置
CN109525418B (zh) * 2018-10-11 2021-10-08 浙江工商大学 一种拟态防御下服务部署执行体集合异构度保证的调度方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107291538A (zh) * 2017-06-14 2017-10-24 中国人民解放军信息工程大学 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统
CN107786568A (zh) * 2017-11-03 2018-03-09 中国人民解放军信息工程大学 一种拟态云主机的自动构建装置、方法及系统
CN108833417A (zh) * 2018-06-21 2018-11-16 中国人民解放军战略支援部队信息工程大学 拟态化邮件服务器信息处理装置及邮件服务处理方法、装置和邮件系统
CN109218440A (zh) * 2018-10-12 2019-01-15 上海拟态数据技术有限公司 一种场景化的拟态web服务器异构执行体动态调度方法
CN109587168A (zh) * 2018-12-29 2019-04-05 河南信大网御科技有限公司 软件定义网络中基于拟态防御的网络功能部署方法
CN110324417A (zh) * 2019-06-29 2019-10-11 河南信大网御科技有限公司 一种基于拟态防御的云服务执行体动态重构方法
CN110545260A (zh) * 2019-08-05 2019-12-06 上海拟态数据技术有限公司 一种基于拟态构造的云管理平台构建方法
CN111083113A (zh) * 2019-11-15 2020-04-28 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 拟态分发系统、方法及介质
CN111124663A (zh) * 2019-11-15 2020-05-08 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 拟态资源调度方法、系统及介质

Also Published As

Publication number Publication date
CN112153024A (zh) 2020-12-29

Similar Documents

Publication Publication Date Title
CN112153024B (zh) 基于SaaS平台的拟态防御系统
Machida et al. Modeling and analysis of software rejuvenation in a server virtualized system with live VM migration
CN106708622B (zh) 集群资源处理方法和系统、资源处理集群
Fagg et al. FT-MPI: Fault tolerant MPI, supporting dynamic applications in a dynamic world
CN110764871B (zh) 一种基于云平台的拟态化应用封装与控制系统和方法
US10489232B1 (en) Data center diagnostic information
US8589727B1 (en) Methods and apparatus for providing continuous availability of applications
CN112416581B (zh) 定时任务的分布式调用系统
CN109684032A (zh) 防脑裂的OpenStack虚拟机高可用计算节点装置及管理方法
CN104391777B (zh) 基于Linux操作系统的云平台及其运行监控方法和装置
CN109656742A (zh) 一种节点异常处理方法、装置及存储介质
CN111400139A (zh) 多数据中心批量作业的管控和调度系统、方法及存储介质
CN112433808B (zh) 基于网格计算的网络安全事件检测系统及方法
Moghaddam et al. Performance-aware management of cloud resources: A taxonomy and future directions
US11709723B2 (en) Cloud service framework
Suciu et al. A solution for implementing resilience in open source Cloud platforms
Demirbaga et al. Autodiagn: An automated real-time diagnosis framework for big data systems
CA3144664A1 (en) Determining problem dependencies in application dependency discovery, reporting, and management tool
González et al. HerdMonitor: monitoring live migrating containers in cloud environments
CN113824601A (zh) 一种基于业务日志的电力营销监控系统
Bouizem Fault tolerance in FaaS environments
CN113542001A (zh) Osd故障心跳检测方法、装置、设备及存储介质
Perez-Espinoza et al. A distributed architecture for monitoring private clouds
Matar Benchmarking fault-tolerance in stream processing systems
CN117593172B (zh) 进程管理方法、装置、介质及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant