CN112291266B - 一种数据处理的方法、装置、服务器和存储介质 - Google Patents
一种数据处理的方法、装置、服务器和存储介质 Download PDFInfo
- Publication number
- CN112291266B CN112291266B CN202011291391.9A CN202011291391A CN112291266B CN 112291266 B CN112291266 B CN 112291266B CN 202011291391 A CN202011291391 A CN 202011291391A CN 112291266 B CN112291266 B CN 112291266B
- Authority
- CN
- China
- Prior art keywords
- server
- cloud
- scheduling
- security
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种数据处理的方法和装置,所述方法应用于专有云平台,专有云平台具有由多个云服务器组成的服务器集群,所述方法包括:分别获取所述多个云服务器的日志数据;对所述日志数据进行安全审计,得到安全审计结果;根据所述安全审计结果,确定所述多个云服务器的安全等级;针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测,实现了对访问请求的合理调度,且在专有云平台接收到大量的访问请求时,也能够快速且安全地处理所有的访问请求。
Description
技术领域
本发明涉及数据处理的技术领域,特别是涉及一种数据处理的方法和装置。
背景技术
云平台是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力。云平台可以划分为三类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台,以及计算和存储处理兼顾的综合型云平台。
云平台中一般会部署一定数量的云服务器,当用户向云平台发送访问请求时,云平台会将访问请求发送至对应的云服务器进行处理。但是在实际应用中,当同时有多个用户向云平台发送访问请求时,云平台可能存储将多个访问请求发送给同一个云服务器进行处理,此时,可能会导致该云服务器的处理响应速度变慢,甚至导致该云服务器崩溃。因此,现有技术中,需要一种当云平台接收到大量的访问请求时,能够快速且安全地处理访问请求的方案。
发明内容
鉴于上述问题,提出了以便提供克服上述问题或者至少部分地解决上述问题的一种数据处理的方法及装置、服务器、存储介质,包括:
一种数据处理的方法,应用于专有云平台,所述专有云平台具有由多个云服务器组成的服务器集群,所述方法包括:
分别获取所述多个云服务器的日志数据;
对所述日志数据进行安全审计,得到安全审计结果;
根据所述安全审计结果,确定所述多个云服务器的安全等级;
针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;
根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测。
可选地,所述根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测,包括:
接收针对所述服务器集群的访问请求;
按照所述调度策略,从所述多个云服务器中确定第一云服务器;
按照所述第一云服务器的安全等级对应的检测方式,对所述访问请求进行入侵检测;
在入侵检测通过时,将所述访问请求调度至所述第一云服务器。
可选地,还包括:
在入侵检测未通过时,丢弃所述访问请求,并生成一入侵告警信息。
可选地,所述多个云服务器构成多个服务器子集,所述多个云服务器子集组成所述服务器集群,所述按照所述调度策略,从所述多个云服务器中确定第一云服务器,包括:
确定所述访问请求对应的安全属性信息;
根据所述安全属性信息,从多个服务器子集中确定目标服务器子集;
按照所述调度策略,从所述目标服务器子集中确定第一云服务器。
可选地,还包括:
确定所述安全等级小于预设等级的第二云服务器;
控制所述第二云服务器退出所述服务器集群。
可选地,所述检测方式包括以下任一项或多项:
特征检测、统计检测、专家系统检测、文件完整性检查。
可选地,所述日志数据包括以下任一项或多项:
服务器日志数据、应用程序日志数据。
一种数据处理的装置,应用于专有云平台,所述专有云平台具有由多个云服务器组成的服务器集群,所述装置包括:
日志数据获取模块,用于分别获取所述多个云服务器的日志数据;
安全审计模块,用于对所述日志数据进行安全审计,得到安全审计结果;
安全等级确定模块,用于根据所述安全审计结果,确定所述多个云服务器的安全等级;
调度方案确定模块,用于针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;
调度检测模块,用于根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测。
一种服务器,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的数据处理的方法。
一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的数据处理的方法。
本发明实施例具有以下优点:
在本发明实施例中,通过分别获取所述多个云服务器的日志数据,对所述日志数据进行安全审计,得到安全审计结果;根据所述安全审计结果,确定所述多个云服务器的安全等级;针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测,实现了对访问请求的合理调度,且在专有云平台接收到大量的访问请求时,也能够快速且安全地处理所有的访问请求。
附图说明
为了更清楚地说明本发明的技术方案,下面将对本发明的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种专有云平台整体架构的示意图;
图2是本发明一实施例提供的一种数据处理的方法的步骤流程图;
图3是本发明一实施例提供的一种数据处理的装置的结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
专有云平台采用统一运维服务管理平台对专有云平台内的相关资源进行管理。专有云平台将计算、网络和存储等作为基本组成元素,同时可以根据系统需求对专有云平台中的组成元素进行选择和预定义。专有云平台实际上是基于现有的硬件模块,结合虚拟化、软件定义、分布式架构,通过网络聚合多套标准化通用硬件,实现模块化的无缝横向扩展,构建出完全依靠软件驱动的云平台环境。
专有云平台中的运维系统实现了对云计算环境中的物理设备、操作系统、计算、网络、存储、数据库、中间件、业务应用等进行统一自动化部署、升级变更、配置管理的运维管理。提供故障、性能、配置等方面的监控报警、自动分析诊断处理,通过分析处理评估云平台运行的状态和质量,保障云计算业务应用的持续稳定运行,同时为服务流程提供服务与支撑,构建完善的运维服务管理平台。
专有云平台中的数据中心物理资源管理,可以提供给专有云平台规划工具和自动化部署运维服务,能够集中管理和调度专有云平台的各种资源,且覆盖了物理计算资源、虚拟计算资源、网络资源以及存储资源,能够适配和管理各种虚拟化技术。通过统一的运维管理界面,能够全面高效的管理和运维专有云平台。
专有云平台还可以提供专有云平台运维/诊断系统服务。服务依赖于拓扑展示、云平台资源全量拓扑展示、网络拓扑展示、监控配置、网络健康、基础设施的健康巡检以及预检、故障预检和诊断;这些服务又依赖于终态数据、日志数据和监控数据。同时,机房的NTP(Network Time Protocol,网络时间协议)也要保证每个节点上的时间必须是同步的,这样收集到的日志、监控数据才能是有效数据,保证运维/诊断的有效性。
专有云平台中的运维白屏除了通过专有云平台诊断系统的云产品自主运维portal(入口站点)之外,运维在特定情况下需要登录到设备节点上(物理服务器、虚拟机、容器、网络节点、网络设备)进行。同时,为了减少人为登录服务节点导致的操作失误,专有云平台运维/诊断系统中集成了运维工作中几乎所有的运维工具、运维脚本和运维命令,在云平台运维/诊断系统提供的运维portal中可以对目标节点进行远程登录与运维操作。
专有云平台中,运维档案作为运维数据的存储,包含了终端数据、诊断处方(故障解决方案)、日志数据、监控数据和运维流程数据。作为诊断的依据和故障判断对比的数据来源,数据越丰富,诊断的准确性越高,健康预检和趋势判断的准确性也会越高。
运维安全从三权分立角度进行保障,系统管理员拥有平台的运维操作权限,安全保密员拥有运维账号与角色的创建、变更、销毁的权限,安全审计员拥有对专有云平台的所有运维操作日志的审计权限,对运维权限进行细分,从而保证每一位运维人员用于最小适用权限,杜绝了权限过大带来的风险。产品运维管控统一收敛在专有云平台运维系统中,接入SSO(Single Sign On,单点登录)系统,保证了产品运维管控权限的统一收敛。支持多种双因素服务,运维系统登录时对账户IP和权限信息进行验证,保证了专有云平台的认证安全。
在智慧城市建设中,通过引入云计算,大数据,物联网,移动互联等先进技术,搭建标准统一、入口统一、采集统一、管理统一、服务统一、数据统一的跨域多维大数据公共服务云平台,从而实现跨部门、跨领域和跨地域的数据融通能力,并达到域内数据集中、域外数据共享交换、域边界依规则柔性扩展,以形成数字经济的生态循环,推动了城市管理、社会民生、资源环境、经济产业各领域的数据共享,提升了行政效率、城市治理能力、居民生活品质,促进了行业融合发展,推动了产业转型升级、创新商业模式。
通过跨域多维大数据云平台的建设,能够打破数据壁垒,实现数据集中,破解了大数据发展难题。基于云平台建设,将进一步针对云平台进行数据中台、数据共享服务体系建设。
针对数据中台(即统一数据平台)建设,通过引入数据资源平台、数据共享平台等,并配套对应的数据规范,进而可以建设一个打通各级业务协同机构、视频区域,以及各层级的业务系统、各领域的智慧应用,也可以形成一个提供开放、互联、共享的数据共享平台,且同时能够具备数据上云、数据治理、数据探索、全链路监控等统一数据管理体系。
如图1所示,专有云平台中部署有区域应用门户、开放服务网关、统一数据平台、区域物联传感系统以及其它结构,其中,开放服务网关包括融合业务共享中心、融合数据创新中心,以下对专有云平台的各个部分进行具体说明:
(一)区域应用门户
在区域应用门户中,主要分为交通、环保、旅游、工商、医疗、教育、区域经济大脑、就业、跨域鉴权等板块,用户可以通过区域应用门户进入各板块,并可以获取经处理后的数据所组成的各板块对应的资讯信息。
(二)融合业务共享中心与融合数据创新中心
融合业务共享中心可以按业务分类将各区域数据进行融合后创建不同的数据共享中心,例如:个人信息中心、信用信息中心、法人信息中心、金融服务中心、旅游服务中心、综合治理服务中心、时空服务中心、物联网服务中心等。
融合数据创新中心通过数据融合体系和AI算法体系可以实现对融合数据的创新应用。融合业务共享中心与融合数据创新中心可以将数据进行融合处理后,通过区域应用门户向用户呈现处理后的数据。
(三)统一数据平台
统一数据平台可以包括数据资源平台和数据共享平台,其中,数据资源平台可以包括多个组件,例如,数据上云、智能数仓、智能标签、数据探索、 AIMaster、数据DNA、全景监控、数据资产,进而能够为上层的行业应用和业务场景提供服务,解决了数据管理领域中的数据标准化和数据质量等问题,且采用拖拽等交互方式,简化了业务逻辑和业务功能的实现,提高了数据平台的易用性。
(四)区域物联传感系统
区域物联传感系统由压力、湿度、摄像头、光源、红外传感、温度等相关传感设备及设备数据构成。
(五)其它结构
此外,还可以通过超算集群、区域云计算平台、OpenStack FI Ware集群 (一个开源的云计算管理平台项目,是一系列软件开源项目的组合),对数据进行处理。
参照图2,示出了本发明一实施例提供的一种数据处理的方法的步骤流程图,该方法可以应用于专有云平台,专有云平台可以具有由多个云服务器组成的服务器集群,具体可以包括如下步骤:
步骤201,分别获取所述多个云服务器的日志数据;
在实际应用中,专有云平台中可以设置有多个服务器集群,不同的服务器集群可以向用户提供不同的服务,例如:提供计算服务的服务器集群、提供存储服务的服务器集群、提供在线备份服务的服务器集群、提供托管服务的服务器集群等。
具体的,每个服务器集群可以由多个云服务器组成,在客户端看来,每个由多个云服务器组成的服务器集群就像是一个服务器,通过多个云服务器组成一个服务器集群来提供同一种服务,可以有效地提高专有云平台的处理效率,且由于多个云服务器之间互不干扰,因此,即使一台云服务器发生故障,也不会影响到同一服务器集群中的其他云服务器的工作。
在实际应用中,当用户需要使用专有云平台的某项服务时,可以通过用户终端向专有云平台发送一访问请求,使得专有云平台中的云服务器响应于访问请求而向用户提供相应的服务。
作为一示例,用户终端可以是手机、计算机等。
当接收到访问请求后,专有云平台可以先对该访问请求进行分析,以确定用户需要使用何种服务器集群所提供的服务,例如:用户需要进行数据的存储,则可以向专有云平台发送一进行数据存储的访问请求,专有云平台在确定用户需要使用提供存储服务的服务器集群后,可以将该访问请求发送至提供存储服务的服务器集群,以便提供存储服务的服务器集群响应并处理用户的访问请求。
在实际应用中,每个服务器集群可以是由多个云服务器组成的,而提供服务的实际上是云服务器,因此,专有云平台可以根据情况,将访问请求发送至服务器集群的某一云服务器,以向用户提供相应的服务,例如:用户需要存储数据,而专有云平台中提供存储服务的服务器集群是由100个云服务器组成的,此时,可以将访问请求发送至100个云服务器中的某一个云服务器进行相应的处理。
具体的,可以预先对服务器集群中的多个云服务器进行划分,当接收到用户终端发送的访问请求后,可以依据划分结果对访问请求进行调度,以分配一云服务器对访问请求进行相应的处理。
在实际应用中,可以预先对服务器集群中的多个云服务器进行划分,然后在接收到访问请求后,依据划分结果将访问请求分配至一云服务器进行相应的处理。
在本发明的一实施例中,专有云平台中还可以包括有一负载均衡器,负载均衡器可以用于对多个云服务器进行划分,以及对访问请求进行调度。
具体的,在对多个云服务器进行划分时,负载均衡器可以先获取服务器集群中所有云服务器的日志数据,然后根据日志数据对云服务器进行划分。
在本发明的一实施例中,日志数据可以包括以下任一项或多项:
服务器日志数据、应用程序日志数据。
在实际应用中,云服务器在提供服务时,可以记录所接收到的访问请求的数据信息、访问请求的时间信息、访问请求处理过程中的信息、请求处理结果等数据,此时,云服务器可以依据所记录的数据生成一服务器日志数据和/或应用程序日志数据。
具体的,服务器日志数据可以是指服务器运行过程中所记录并生成的日志数据,应用程序日志数据可以是指应用程序在运行过程中所记录并生成的日志数据,日志数据也可以包括正常的日志数据和异常的日志数据,当日志数据生成后,可以将日志数据保存至预先设置的日志数据库中。
作为一示例,可以在日志数据库中,对服务器日志数据和应用程序日志数据分区域保存,也可以在日志数据库中,对正常的日志数据和异常的日志数据分区域保存。
在实际应用中,可以根据日志数据对服务器集群中的多个云服务器进行划分,从而在接收到用户的访问请求后,按照多个云服务器的划分情况,确定将访问请求调度至哪一云服务器中进行相应的处理。
步骤202,对所述日志数据进行安全审计,得到安全审计结果;
其中,安全审计可以指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现云服务器中的漏洞、入侵行为或改善云服务器性能的过程,也是审查评估云服务器安全风险并采取相应措施的一个过程,实际是记录与审查用户操作云服务器的过程,可以用于提高云服务器的安全性。
在实际应用中,通过对日志数据进行安全审计,负载均衡器可以对多个云服务器的历史处理过程中记录的潜在危险、异常行为、简单攻击、复杂攻击进行分析,然后依据分析结果生成针对于云服务器的安全审计结果。
步骤203,根据所述安全审计结果,确定所述多个云服务器的安全等级;
其中,安全等级可以用于表示云服务器历史的处理过程中的异常发生频率和异常发生情况,例如:经常发生异常的云服务器,可以认为该云服务器是属于安全等级较低的云服务器,相应的,可以将该云服务器的安全等级设置到较低等级。
在得到多个云服务器的安全审计结果后,负载均衡器可以根据安全审计结果对多个云服务器进行安全等级的划分。
具体的,可以预先设置多个安全等级,然后设置安全审计结果与安全等级的对应关系,对应关系可以是线性的对应关系,也可以是其他对应关系。
在实际应用中,当得到多个云服务器的安全审计结果后,可以通过查找预先设置的安全审计结果与安全等级的对应关系,从而确定每个云服务器对应的安全等级,通过对多个云服务器划分安全等级,可以将较多数量的访问请求发送至安全等级较高的云服务器中进行相应的处理,将较少数量的访问请求发送至安全等级较低的云服务器中进行相应的处理。
步骤204,针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;
在确定每个云服务器对应的安全等级后,可以针对每个云服务器,确定每个云服务器的安全等级所对应的调度策略和检测方式。
在本发明的一实施例中,调度策略可以包括每个云服务器与调度概率的对应关系。
其中,调度概率可以是指在接收到一定数量的访问请求后,将其中一定比例的访问请求发送至某一云服务器,例如:需要将当前接收到的1000个访问请求分配给A、B、C、D这四个云服务器进行相应的处理,其中A、B、 C、D对应的调度概率为15%、30%、20%、35%,则表示可以将15%的访问请求分配给云服务器A,将30%的访问请求分配给云服务器B,将20%的访问请求分配给云服务器C,将35%的访问请求分配给云服务器D,当然,调度概率可以仅用于预先对访问请求进行分配,在实际的分配过程中,还可以根据云服务器的状态等情况进行适应性调整。
在实际应用中,可以根据云服务器的安全等级确定所对应的调度策略,例如:当某一云服务器的安全等级较高时,可以认为该云服务器属于较为安全的云服务器,即较少出现异常情况的云服务器,此时可以为该云服务器设置一较高的调度概率,当需要调度访问请求时,将较多的访问请求调度至该安全等级较高的云服务器中进行相应的处理。
具体的,可以预先设置安全等级与调度策略的对应关系,即设置安全等级与调度概率的对应关系,当确定多个云服务器的安全等级后,可以根据安全等级与调度概率的对应关系,确定各个云服务器的安全等级所对应的调度概率,从而在需要对访问请求分配云服务器时,负载均衡器可以依据调度概率对访问请求进行调度。
在本发明的一实施例中,检测方式可以包括以下任一项或多项:
特征检测、统计检测、专家系统检测、文件完整性检查。
在实际应用中,在依据安全等级确定多个云服务器调度策略的同时,还可以依据多个云服务器的安全等级确定对应的检测方法,检测方式可以指负载均衡器在将访问请求调度至云服务之前,对所要调度的访问请求进行入侵检测的方法。
具体的,检测方法可以是以下一种或多种的组合:
(1)特征检测:特征检测指对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式,当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿,其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛,且准确率较高。
(2)统计检测:统计模型常用异常检测,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。
(3)专家系统检测:用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构 (也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
(4)文件完整性检查:文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。文件的数字文摘通过 Hash函数计算得到。不管文件长度如何,它的Hash函数计算结果是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法时,两个不同的文件几乎不可能得到相同的Hash结果,从而,当文件一被修改,就可检测出来。
在实际应用中,可以预先设置安全等级与检测方法的对应关系,当确定多个云服务器的安全等级后,可以依据预先设置的安全等级与检测方法的对应关系,确定各个云服务器的安全等级对应的检测方法。
具体的,一个安全等级可以对应一种检测方法,也可以是对应多种检测方法的组合,可以根据实际情况去设定。
步骤205,根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测。
其中,入侵检测可以指依据检测方法,对所要调度的访问请求进行预先的检测,以判断当前的访问请求是否安全。入侵检测是对防火墙的合理补充,能够帮助专有云平台对付网络攻击,提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对访问请求进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
在实际应用中,当用户需要使用专有云平台中的某一服务时,可以通过用户终端向专有云平台发送一访问请求,此时,负载均衡器可以依据各个云服务器的调度策略对访问请求进行调度,以分配处理该访问请求的云服务器,并且依据该云服务器对应的检测方法,对访问请求进行入侵检测。
在本发明的一实施例中,步骤205还可以包括如下子步骤:
子步骤11,接收针对所述服务器集群的访问请求;
作为一示例,访问请求中可以包括身份信息和用户所需要进行的操作。
在实际应用中,用户可以根据当前需求,在用户终端上进行相应的操作以生成一访问请求,然后用户终端可以将生成的访问请求发送至专有云平台。
子步骤12,按照所述调度策略,从所述多个云服务器中确定第一云服务器;
在接收到访问请求后,专有云平台中的负载均衡器可以根据预先制定好的调度策略,从多个云服务器中确定第一云服务器来对访问请求进行处理。
在接收到访问请求后,负载均衡器可以先确定用户所需要进行的操作的服务类型,从而确定对应的服务器集群,例如:用户需要存储数据,则可以确定对应的服务器集群为提供存储服务的服务器集群。
在确定对应的服务器集群后,可以依据调度策略确定将该访问请求分配至该服务器集群中的哪一云服务器,并将该云服务器作为第一云服务器。
作为一示例,多个云服务器构成多个服务器子集,多个服务器子集组成服务器集群。
在实际应用中,可以由专有云平台中的多个云服务器构成多个服务器子集,多个服务器子集可以组成服务器集群,例如:专有云平台中具有A、B、 C、D、E、F、G七个云服务器,其中云服务器的A、B、C构成服务器子集Ⅰ,云服务器D、E构成服务器子集Ⅱ,云服务器F、G构成服务器子集Ⅲ;服务器子集Ⅰ、Ⅱ、Ⅲ构成服务器集群α。
作为一示例,按照所述调度策略,从所述多个云服务器中确定第一云服务器,可以包括如下步骤:
确定所述访问请求对应的安全属性信息;根据所述安全属性信息,从多个服务器子集中确定目标服务器子集;按照所述调度策略,从所述目标服务器子集中确定第一云服务器。
其中,安全属性信息可以包括发起访问请求的用户身份信息、发起访问请求的用户终端的IP地址、以及发起访问请求的用户终端的运行环境信息等。
在接收到针对服务器集群的访问请求后,负载均衡器可以先确定访问请求对应的安全属性信息。
具体的,可以确定发起请求的用户身份信息是否正确、发起请求的IP地址是否安全、以及发起请求的用户终端当前的运行环境是否安全,然后,可以依据用户身份信息、IP地址以及运行环境信息从多个服务器子集中确定目标服务器子集。
作为一示例,可以预先设置安全属性信息与服务器子集的对应关系,当确定访问请求对应的安全属性信息后,依据预先设置的安全属性信息与服务器子集的对应关系,确定该安全属性信息对应的服务器子集,并将其作为目标服务器子集。
在确定目标服务器子集后,负载均衡器可以根据按照调度策略,从目标服务器子集的多个云服务器中,确定第一云服务器。
子步骤13,按照所述第一云服务器的安全等级对应的检测方式,对所述访问请求进行入侵检测;
在确定第一云服务器后,负载均衡器可以获取该第一云服务器的安全等级对应的检测方法,然后在将该访问请求调度至第一云服务器之前,利用该检测方法对访问请求进行入侵检测,以判断当前的访问请求是否为入侵访问请求。
子步骤14,在入侵检测通过时,将所述访问请求调度至所述第一云服务器。
当访问请求的入侵检测为通过时,可以认为该访问请求为安全的访问请求,然后可以将该访问请求调度至第一云服务器中进行相应的处理。
在本发明的一实施例中,还可以包括如下步骤:
在入侵检测未通过时,丢弃所述访问请求,并生成一入侵告警信息。
其中,入侵告警信息可以用于表示当前的访问请求为入侵访问请求。
当访问请求的入侵检测为未通过时,可以认为该访问请求为入侵访问请求,负载均衡器可以将该访问请求丢弃,并生成一入侵告警信息,然后可以将该入侵告警信息发送至发起访问请求的用户终端上,以告知用户当前的访问请求为入侵访问请求。
在实际应用中,在生成入侵告警信息后,可以基于访问过程生成异常的日志数据,并存储在日志数据库中。
在实际应用中,当云服务器在提供服务时出现异常时,会实时生成日志数据,此时,云服务器的安全等级可能因为日志数据的更新而变化,因此,负载均衡器可以周期性的获取云服务器的日志数据,并可以根据对日志数据进行的安全审计所得到的安全审计结果,更新云服务器的安全等级。
作为一示例,在入侵检测未通过时,还可以将该访问请求调度至安全级别低于第一云服务器的云服务器进行处理。
在本发明的一实施例中,还可以包括如下步骤:
确定所述安全等级小于预设等级的第二云服务器;控制所述第二云服务器退出所述服务器集群。
在实际应用中,当云服务器受到多次入侵访问请求或安全攻击时,可能导致云服务器出现故障而无法正常工作,此时,基于该云服务器的日志数据进行安全审计后,会得到一低级别的安全等级。因此,可以预先设置一安全等级阈值,当服务器集群中出现安全等级低于该安全等级阈值的云服务器时,可以认为该云服务器已经出现故障,无法正常工作,此时,可以将该云服务器确定为第二云服务器,然后由负载均衡器控制该第二云服务器退出其所属的服务器集群,以避免负载均衡器再将访问请求调度至该故障云服务器进行处理。
在本发明实施例中,通过分别获取所述多个云服务器的日志数据;对所述日志数据进行安全审计,得到安全审计结果;根据所述安全审计结果,确定所述多个云服务器的安全等级;针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测,实现了对访问请求的合理调度,且在专有云平台接收到大量的访问请求时,也能够快速且安全地处理所有的访问请求。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图3,示出了本发明一实施例提供的一种数据处理的装置的结构示意图,该装置可以应用于专有云平台,所述专有云平台具有多个云服务器组成的服务器集群,具体可以包括如下模块:
日志数据获取模块301,用于分别获取所述多个云服务器的日志数据;
安全审计模块302,用于对所述日志数据进行安全审计,得到安全审计结果;
安全等级确定模块303,用于根据所述安全审计结果,确定所述多个云服务器的安全等级;
调度方案确定模块304,用于针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;
调度检测模块305,用于根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测。
在本发明的一实施例中,所述调度检测模块305包括:
访问请求接收子模块,用于接收针对所述服务器集群的访问请求;
第一云服务器确定子模块,用于按照所述调度策略,从所述多个云服务器中确定第一云服务器;
入侵检测子模块,用于按照所述第一云服务器的安全等级对应的检测方式,对所述访问请求进行入侵检测;
访问请求调度子模块,用于在入侵检测通过时,将所述访问请求调度至所述第一云服务器。
在本发明的一实施例中,所述装置还包括:
入侵告警信息生成模块,用于在入侵检测未通过时,丢弃所述访问请求,并生成一入侵告警信息。
在本发明的一实施例中,所述多个云服务器构成多个服务器子集,所述多个服务器子集组成所述服务器集群,所述第一云服务器确定子模块,用于确定所述访问请求对应的安全属性信息;根据所述安全属性信息,从多个服务器子集中确定目标服务器子集;按照所述调度策略,从所述目标服务器子集中确定第一云服务器。
在本发明的一实施例中,所述装置还包括:
第二云服务器确定模块,用于确定所述安全等级小于预设等级的第二云服务器;
退出模块,用于控制所述第二云服务器退出所述服务器集群。
在本发明的一实施例中,所述检测方式可以包括以下任一项或多项:
特征检测、统计检测、专家系统检测、文件完整性检查。
在本发明的一实施例中,所述日志数据可以包括以下任一项或多项:
服务器日志数据、应用程序日志数据。
在本发明实施例中,通过分别获取所述多个云服务器的日志数据;对所述日志数据进行安全审计,得到安全审计结果;根据所述安全审计结果,确定所述多个云服务器的安全等级;针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测,实现了对访问请求的合理调度,且在专有云平台接收到大量的访问请求时,也能够快速且安全地处理所有的访问请求。
本发明一实施例还提供了一种服务器,可以包括处理器、存储器及存储在存储器上并能够在处理器上运行的计算机程序,计算机程序被处理器执行时实现如上数据处理的方法。
本发明一实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如上数据处理的方法。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对所提供的一种数据处理的方法和装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种数据处理的方法,其特征在于,应用于专有云平台,所述专有云平台具有由多个云服务器组成的服务器集群,包括:
分别获取所述多个云服务器的日志数据;
对所述日志数据进行安全审计,得到安全审计结果;
根据所述安全审计结果,确定所述多个云服务器的安全等级;
针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;所述调度策略包括云服务器与调度概率的对应关系,所述调度概率与云服务器的安全等级存在对应关系;
根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测。
2.根据权利要求1所述的方法,其特征在于,所述根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测,包括:
接收针对所述服务器集群的访问请求;
按照所述调度策略,从所述多个云服务器中确定第一云服务器;
按照所述第一云服务器的安全等级对应的检测方式,对所述访问请求进行入侵检测;
在入侵检测通过时,将所述访问请求调度至所述第一云服务器。
3.根据权利要求2所述的方法,其特征在于,还包括:
在入侵检测未通过时,丢弃所述访问请求,并生成一入侵告警信息。
4.根据权利要求2或3所述的方法,其特征在于,所述多个云服务器构成多个服务器子集,所述多个服务器子集组成所述服务器集群,所述按照所述调度策略,从所述多个云服务器中确定第一云服务器,包括:
确定所述访问请求对应的安全属性信息;
根据所述安全属性信息,从多个服务器子集中确定目标服务器子集;
按照所述调度策略,从所述目标服务器子集中确定第一云服务器。
5.根据权利要求1所述的方法,其特征在于,还包括:
确定所述安全等级小于预设等级的第二云服务器;
控制所述第二云服务器退出所述服务器集群。
6.根据权利要求1所述的方法,其特征在于,所述检测方式包括以下任一项或多项:
特征检测、统计检测、专家系统检测、文件完整性检查。
7.根据权利要求1所述的方法,其特征在于,所述日志数据包括以下任一项或多项:
服务器日志数据、应用程序日志数据。
8.一种数据处理的装置,其特征在于,应用于专有云平台,所述专有云平台具有由多个云服务器组成的服务器集群,所述装置包括:
日志数据获取模块,用于分别获取所述多个云服务器的日志数据;
安全审计模块,用于对所述日志数据进行安全审计,得到安全审计结果;
安全等级确定模块,用于根据所述安全审计结果,确定所述多个云服务器的安全等级;
调度方案确定模块,用于针对每个云服务器,确定所述安全等级对应的调度策略和检测方式;所述调度策略包括云服务器与调度概率的对应关系,所述调度概率与云服务器的安全等级存在对应关系;
调度检测模块,用于根据所述调度策略和所述检测方式,对针对所述服务器集群的访问请求进行调度和入侵检测。
9.一种服务器,其特征在于,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的数据处理的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的数据处理的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011291391.9A CN112291266B (zh) | 2020-11-17 | 2020-11-17 | 一种数据处理的方法、装置、服务器和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011291391.9A CN112291266B (zh) | 2020-11-17 | 2020-11-17 | 一种数据处理的方法、装置、服务器和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112291266A CN112291266A (zh) | 2021-01-29 |
CN112291266B true CN112291266B (zh) | 2022-03-29 |
Family
ID=74399588
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011291391.9A Active CN112291266B (zh) | 2020-11-17 | 2020-11-17 | 一种数据处理的方法、装置、服务器和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112291266B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113242147B (zh) * | 2021-05-17 | 2023-09-12 | 上海八彦图信息科技有限公司 | 多云环境的自动化运维部署方法、装置、设备和存储介质 |
CN114268489A (zh) * | 2021-12-21 | 2022-04-01 | 福建瑞网科技有限公司 | 一种网络安全防护方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101127633A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种实现移动台安全控制的方法及其系统 |
CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
CN110209484A (zh) * | 2019-05-30 | 2019-09-06 | 华南理工大学 | 基于多云和安全映射的可信云任务调度系统及方法 |
CN110474913A (zh) * | 2019-08-20 | 2019-11-19 | 福建伊时代信息科技股份有限公司 | 一种云环境下的虚拟化防护方法及终端 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007045150A1 (fr) * | 2005-10-15 | 2007-04-26 | Huawei Technologies Co., Ltd. | Procede et systeme de controle de la securite d'un reseau |
CN107231221B (zh) * | 2016-03-25 | 2020-10-23 | 阿里巴巴集团控股有限公司 | 数据中心间的业务流量控制方法、装置及系统 |
CN109040190B (zh) * | 2018-07-02 | 2022-03-22 | 咪咕文化科技有限公司 | 一种调度方法、装置及计算机可读存储介质 |
-
2020
- 2020-11-17 CN CN202011291391.9A patent/CN112291266B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101127633A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种实现移动台安全控制的方法及其系统 |
CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
CN110209484A (zh) * | 2019-05-30 | 2019-09-06 | 华南理工大学 | 基于多云和安全映射的可信云任务调度系统及方法 |
CN110474913A (zh) * | 2019-08-20 | 2019-11-19 | 福建伊时代信息科技股份有限公司 | 一种云环境下的虚拟化防护方法及终端 |
Also Published As
Publication number | Publication date |
---|---|
CN112291266A (zh) | 2021-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
Ficco | Security event correlation approach for cloud computing | |
CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
CN112398860A (zh) | 一种安全控制的方法和装置 | |
US10140453B1 (en) | Vulnerability management using taxonomy-based normalization | |
US11316851B2 (en) | Security for network environment using trust scoring based on power consumption of devices within network | |
WO2017176670A1 (en) | Sensor based system and method for premises safety and operational profiling based on drift analysis | |
CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
CN112769825A (zh) | 一种网络安全保障方法、系统以及计算机存储介质 | |
CN106888106A (zh) | 智能电网中的it资产大规模侦测系统 | |
CN112291266B (zh) | 一种数据处理的方法、装置、服务器和存储介质 | |
CN112887268B (zh) | 一种基于全面检测和识别的网络安全保障方法及系统 | |
CN113115315B (zh) | 一种基于区块链的iot设备行为可信监管方法 | |
CN111092910B (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
CN112383632A (zh) | 一种负载均衡的方法和装置 | |
Wang et al. | A centralized HIDS framework for private cloud | |
CN112256498A (zh) | 一种故障处理的方法和装置 | |
CN112291264B (zh) | 一种安全控制的方法、装置、服务器和存储介质 | |
CN112182625A (zh) | 一种用于智慧城市的数据共享系统 | |
Solmaz et al. | ALACA: A platform for dynamic alarm collection and alert notification in network management systems | |
Bai et al. | Resilience-driven quantitative analysis of vehicle platooning service | |
CN110061854A (zh) | 一种无边界网络智能运维管理方法与系统 | |
Tichy et al. | Application of Cybersecurity Approaches within Smart Cities and ITS | |
CN112269690B (zh) | 一种数据备份的方法和装置 | |
Zbakh et al. | A multi-criteria analysis of intrusion detection architectures in cloud environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |