CN114936083A - 基于微服务的拟态web执行体高效调度的方法及装置 - Google Patents

基于微服务的拟态web执行体高效调度的方法及装置 Download PDF

Info

Publication number
CN114936083A
CN114936083A CN202210638307.9A CN202210638307A CN114936083A CN 114936083 A CN114936083 A CN 114936083A CN 202210638307 A CN202210638307 A CN 202210638307A CN 114936083 A CN114936083 A CN 114936083A
Authority
CN
China
Prior art keywords
web
web module
module
modules
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210638307.9A
Other languages
English (en)
Inventor
杨菥
郑秋华
程利超
曹伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dianzi University
Original Assignee
Hangzhou Dianzi University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dianzi University filed Critical Hangzhou Dianzi University
Priority to CN202210638307.9A priority Critical patent/CN114936083A/zh
Publication of CN114936083A publication Critical patent/CN114936083A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/4881Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Cleaning Implements For Floors, Carpets, Furniture, Walls, And The Like (AREA)

Abstract

本发明公开一种基于微服务拟态web执行体高效调度的方法及装置。本发明将web模块组成拟态web执行体集的过程中,以web服务调用链组成结果的高随机性和高异构性作为目标,在传统拟态web系统执行体轮换过程中,不更换整个执行体,而是在web服务调用链某一web模块的生存时间到达时,随机选择能够维持差异值的web模块替换原有web模块。本发明提出针对单个web模块进行调度,能够在基于微服务的拟态防御web服务中以高随机性、高异构性完成拟态调度;针对每个web模块的生存时间计算方式,在控制web模块定期清洗的同时考虑到web模块的安全特征,增强基于微服务的拟态防御web服务器的整体安全性。

Description

基于微服务的拟态web执行体高效调度的方法及装置
技术领域
本发明涉及网络空间安全领域,特别涉及一种基于微服务拟态web执行体高效调度的方法及装置。
背景技术
Web网站目前已经成为人们获取信息的主要渠道,随着数字化的进一步推进,其重要性与日俱增,作为互联网网站、服务承载和提供的平台,web服务器当下已经成为了网络攻击的主要目标,各种安全问题比如篡改网页、后门植入、DDoS攻击等层出不穷,其安全性广受网络空间安全领域的关注。
拟态防御,作为一种新兴的主动防御技术,目前已在多个领域被证实其能有效防护未知的漏洞和后门。拟态web服务器,作为拟态防御在web安全中的一个典型应用,目前也已经在多个重要系统中得到应用,其安全防护能力也得到了验证。但在拟态web服务器应用实践中,也发现了以下问题。首先,目前拟态web服务器的执行体主要基于物理机和虚拟机实现,使得拟态web服务运行成本昂贵、损耗大,在难以应用和推广的同时也对web服务运行性能造成很大影响。此外,当前拟态防御web服务器大多数仍然采用单体架构,这一方面难满足拟态的快速轮换清洗要求,另一方面执行体中的各模块耦合严重,难以满足快速构建部署web执行体的要求。对此,业界研究人员提出了基于微服务的拟态防御构建技术。基于微服务的拟态防御构建技术可以有效解耦各模块,同时快速定位问题,便于拟态防御web服务器的运行和维护。同时,通过微服务和web前后端分离技术结合,可有效解决目前不同执行体之间前端界面不一致问题,进一步降低拟态防御web服务的开发难度。与单体架构的拟态执行体相比,基于微服务的拟态web服务的调度算法则要复杂得多,具体涉及执行体的选择、执行体的动态构建和动态清洗轮换等任务。
针对当前单体架构的拟态调度技术难以在基于微服务的拟态web服务中应用,且目前服务中应用调度算法的缺乏问题,本发明给出了一种在微服务环境下拟态web执行体高效调度的方法。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何提供一种拟态web服务器异构执行体调度的方法来解决拟态web服务在微服务架构下调度算法性能低的问题。
(二)技术方案
本发明的第一个目的是为了解决上述技术问题,提供一种基于微服务的拟态web执行体高效调度的方法。
本发明方法在基于微服务的拟态web系统中进行调度;所述基于微服务的拟态web系统包括服务注册中心、动态调度组件、服务网关、web模块构件池和拟态web执行体集。其中:
服务注册中心完成拟态web服务的注册功能,同时监测服务状态。
动态调度组件完成拟态web服务调用链的构建过程,web服务调用链是微服务在拟态web系统中的执行过程,动态调度组件用于构建控制各微服务和请求的发送关系,调度对象包括拟态web执行体集、web模块构件池。所述拟态web执行体集中包含有多个结构相异、功能相同的等价执行体(例如业务功能相同,但是漏洞情况、使用语言、运行状态等属性不同),在微服务场景中,异构执行体是通过异构的web模块组成的web服务调用链。在每层web服务调用链中,当前层的web模块构件池包括活动web模块集合和可被调用的后备web模块集合,所述活动web模块指代当前正在工作的web模块。
服务网关完成外界请求的转发功能。
本发明调度方法将web模块组成拟态web执行体集的过程中,以web服务调用链组成结果的高随机性和高异构性作为目标,在传统拟态web系统执行体轮换过程中,不更换整个执行体,而是在web服务调用链某一web模块的生存时间到达时,通过本发明调度方法随机选择能够维持差异值的web模块替换原有web模块,该方法主要步骤如下:
步骤(1)、采集微服务中所有web模块的历史运行信息、web模块信息,存入数据库;其中web模块信息包括web模块的漏洞数量、漏洞种类、编程语言;根据web模块的漏洞数量、漏洞种类,结合CVSS公开漏洞评鉴系统获取对应web模块的漏洞威胁程度评价得分zi
步骤(2)、计算微服务中所有web模块的安全系数
步骤(3)、计算每层服务调用链中每个web模块与当前服务调用链层其他web模块间的差异值;具体是:
根据web模块的安全系数计算每个web模块i与当前服务调用链层其他web模块间的差异值C:
C={ci,j|j=1,2,…,n,i≠j}
ci,j=s*ei,j
其中s表示加权系数;
步骤(4)、计算生存时间
步骤(5)、确定web模块的调用顺序,具体如下:
5-1向数据库发送查询请求,获取web模块构件池中web模块的调用信息;所述web模块的调用信息包括当前web模块的调用情况、漏洞信息和种类、编程语言、资源使用情况;
5-2计算web模块的置信度
Web模块在生成时首先初始化置信度
Figure BDA0003681389480000031
若某web服务调用链结果异常,则通过链路追踪确定异常web模块i,降低该web模块的置信度
Figure BDA0003681389480000032
然后判断当前web模块置信度是否大于预设的置信度下限Pd,若否则清洗当前web模块,若是则将当前web模块轮换至后备web模块集合,跳转至步骤5-3;若所有web服务调用链结果正常,则不做额外处理,跳转至步骤5-3;
5-3计算同一服务调用链层次中任意两个web模块的差异值
根据步骤5-1的查询结果计算同一服务调用链层次中任意两个web模块i、j的差异值
Figure BDA0003681389480000033
并写入数据库中,其中
Figure BDA0003681389480000034
P=[p1,p2,…,pt]T表示所有服务调用链的web模块间加权系数,t表示服务调用链层数;
5-4判断当前web模块是否已被一条服务调用链使用,若是则返回步骤5-3,若否则继续判断当前服务调用链是否连续使用同一编程语言,若是则返回步骤5-3,若否则跳转至步骤5-5计算服务调用链间差异值;
5-5计算服务调用链间差异值
随机选取同一服务调用链层内b个web模块组成当前服务调用链中该层次的后备web模块集合N;根据同一服务调用链层次web模块间差异值ωij,计算不同服务调用链i、j间差异值hij
Figure BDA0003681389480000041
其中
Figure BDA0003681389480000042
表示web模块i的置信度,b表示服务调用链的总数目;
步骤(6)、计算后备web模块集合中非活动web模块的综合系数
计算后备web模块集合中所有web模块的调度时间距离集合T1=[t1,t2,…,tm],将其归一化至[0,1]区间内,计算得到后备web模块集合中非活动web模块的综合系数集合Sij
Figure BDA0003681389480000043
Figure BDA0003681389480000044
其中,
Figure BDA0003681389480000045
表示当前微服务系统中当前时刻,
Figure BDA0003681389480000046
代表web模块nm上次被调用的时间,m表示后备web模块集合中非活动web模块的数目,
Figure BDA0003681389480000047
表示T1的转置。
步骤(7)、计算后备web模块的随机生成数区间
7-1根据综合系数集合Sij中最小值smin和最大值smax,将所有综合系数归一化到0~1区间内得到s′ij;将s′ij最小值s′min放大至个位数,得到第i层第j个非活动web模块j的生成区间范围Qij
Qij=s′ij*G
其中G表示放大系数,通常为10的倍数。
7-2根据如下公式,获得后备web模块集合中非活动web模块生成区间范围最大值,最终构成非活动web模块j的随机数范围区间(0,A];
Figure BDA0003681389480000048
其中|N|表示后备web模块集合N内的元素数量。
7-3对后备web模块集合中每个非活动web模块随机生成数区间(xl,yl],l表示第l个非活动web模块,
Figure BDA0003681389480000049
yl=xl+Qij;若后备web模块集合中有新增第l+1个非活动web模块,则随机数范围区间更新为(0,A]=(0,A+Qij];
步骤(8)、当后备web模块集合中非活动web模块i到达生存时间或者异常web模块清洗下线时,生成一个在(0,A]区间范围内的随机数,若随机数落在数区间(xl,yl],则调用后备web模块集合中第l个非活动web模块替换服务调用链中同一层次web模块;若替换后服务调用链间差异值与替换前服务调用链间差异值大于阈值H,则认为当前调度可行,原web模块ai下线或重新加入后备web模块集合中。
本发明的第二个目的是提供基于微服务的拟态web执行体高效调度装置,包括:
Web模块信息数据库,存储微服务中所有web模块的历史运行信息、web模块信息,web模块的漏洞威胁程度评价得分zi
第一计算单元,用于计算微服务web模块构件池中所有web模块的安全系数;
第二计算单元,计算每层服务调用链中任意两web模块间的差异值;
第三计算单元,用于计算微服务web模块构件池中所有web模块的生存时间;
Web模块调度策略单元,用于确定web模块构件池中web模块的调用顺序;
第四计算单元,计算后备web模块集合中非活动web模块的综合系数;
第五计算单元,计算后备web模块的随机生成数区间;
Web模块调度单元,用于根据第五计算单元生成的随机生成数区间和数区间实现活动web模块与非活动web模块的调用。
本发明的第三个目的是提供一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行所述的方法。
本发明的第四个目的是提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现所述的方法。
与现有技术相比,本发明具有如下有益效果:
(1)本发明能够在基于微服务的拟态web服务中以高随机性、高异构性完成拟态调度;
(2)本发明提出针对每个web模块的生存时间计算方式,在控制web模块定期清洗的同时考虑到web模块的安全特征,增强基于微服务的拟态防御web服务器的整体安全性。
附图说明
图1为本发明方法的流程图;
图2为本发明确定web模块的调用顺序方法的流程图。
图3为本发明web模块的调度策略的流程图。
具体实施方式
下面结合附图对本发明做进一步的分析。
如图1,本发明调度方法将web模块组成拟态web执行体集的过程中,以web服务调用链组成结果的高随机性和高异构性作为目标,在传统拟态web系统执行体轮换过程中,不更换整个执行体,而是在web服务调用链某一web模块的生存时间到达时,通过本发明调度方法随机选择能够维持差异值的web模块替换原有web模块,该方法主要步骤如下:
步骤(1)、采集微服务中所有web模块的历史运行信息、web模块信息,存入数据库;其中web模块信息包括web模块的漏洞数量、漏洞种类、编程语言;根据web模块的漏洞数量、漏洞种类,结合CVSS公开漏洞评鉴系统获取对应web模块的漏洞威胁程度评价得分zi
web模块的历史运行信息包括当前web模块占用的CPU资源和内存资源等、高并发访问时间;
上述漏洞数量、漏洞种类来源于CVSS公开漏洞评鉴系统,web模块的其余信息来自可知信息和web模块运行时的日志信息。
步骤(2)、计算微服务中所有web模块的安全系数
2-1依据web模块构件池中所有web模块的漏洞数量及其对应的漏洞种类,获取后备web模块i和后备web模块j之间的共同漏洞数量nij=|Vi∩Vj|,其中Vi表示后备web模块i的漏洞集合,Vj表示后备web模块j的漏洞集合,|·|表示取数目函数;
2-2根据web模块的漏洞威胁程度评价得分zi,获取web模块i和web模块j共同漏洞对应威胁程度评价得分zx,最后可得安全系数ei,j为:
Figure BDA0003681389480000071
2-3根据web模块的漏洞数量、漏洞种类,获取每个web模块i与当前调用链层其他web模块之间的安全系数集合E={ei,j|j=1,2,…,n,i≠j},n表示当前调用链层中web模块的数目;
步骤(3)、计算每层服务调用链中任意两web模块间的差异值
根据web模块的安全系数计算每个web模块i与当前服务调用链层其他web模块间的差异值C:
C={ci,j|j=1,2,…,n,i≠j}
ci,j=s*ei,j
其中s表示加权系数;
步骤(4)、计算生存时间
对每个web模块进行一次攻击测试,获取攻击者一次攻击花费的平均时间
Figure BDA0003681389480000072
并记录一次成功攻击期望花费的时间为
Figure BDA0003681389480000073
根据
Figure BDA0003681389480000074
得到当前web模块i的期望生存时间为
Figure BDA0003681389480000075
根据
Figure BDA0003681389480000076
则进一步得到当前web模块i期望生存时间的概率密度函数期望μtime以及标准差σtime
Figure BDA0003681389480000077
Figure BDA0003681389480000078
其中n表示web模块构件池中所有web模块的数量。
进一步可得到当前web模块的生存时间概率密度函数:
Figure BDA0003681389480000079
其中x表示当前web模块的实际生存时间。
根据此概率密度函数f(x)随机生成当前web模块对应的生存时间。
步骤(5)、确定web模块的调用顺序,如图2
在调用web模块时,要确保同一服务调用链层内各web模块间的差异性以及服务调用链中相邻web模块的非同源性,以此确定各web模块的调用顺序,具体如下:
5-1向数据库发送查询请求,获取web模块构件池中web模块的调用信息;所述web模块的调用信息包括当前web模块的调用情况、漏洞信息和种类、编程语言、资源使用情况;
5-2计算web模块的置信度
Web模块在生成时首先初始化置信度
Figure BDA0003681389480000081
若某web服务调用链结果异常,则通过链路追踪确定异常web模块i,降低该web模块的置信度
Figure BDA0003681389480000082
然后判断当前web模块置信度是否大于预设的置信度下限Pd,若否则清洗当前web模块,若是则将当前web模块轮换至后备web模块集合,跳转至步骤5-3;若所有web服务调用链结果正常,则不做额外处理,跳转至步骤5-3;
5-3计算同一服务调用链层次中任意两个web模块的差异值
根据步骤5-1的查询结果计算同一服务调用链层次中任意两个web模块i、j的差异值
Figure BDA0003681389480000083
并写入数据库中,其中
Figure BDA0003681389480000084
P=[p1,p2,…,pt]T表示所有服务调用链的web模块间加权系数,t表示服务调用链层数;
5-4判断当前web模块是否已被一条服务调用链使用,若是则返回步骤5-3,若否则继续判断当前服务调用链是否连续使用同一编程语言,若是则返回步骤5-3,若否则跳转至步骤5-5计算服务调用链间差异值;
5-5计算服务调用链间差异值
随机选取同一服务调用链层内b个web模块组成当前服务调用链中该层次的后备web模块集合N;根据同一服务调用链层次web模块间差异值ωij,计算不同服务调用链i、j间差异值hij
Figure BDA0003681389480000085
其中
Figure BDA0003681389480000086
表示web模块i的置信度,b表示服务调用链的总数目;
上述web服务调用链结果可采用表决器判断。
为了确保最后执行体的异构性,后备web模块的选择原则:第一,每一web模块能且仅能被一条服务调用链使用;第二,一条服务调用链中不能连续使用同一编程语言。
步骤(6)、计算后备web模块集合中非活动web模块的综合系数
计算后备web模块集合中所有web模块的调度时间距离集合T1=[t1,t2,…,tm],将其归一化至[0,1]区间内,计算得到后备web模块集合中非活动web模块的综合系数集合Sij
Figure BDA0003681389480000091
Figure BDA0003681389480000092
其中,
Figure BDA0003681389480000093
表示当前微服务系统中当前时刻,
Figure BDA0003681389480000094
代表web模块nm上次被调用的时间,m表示后备web模块集合中非活动web模块的数目,
Figure BDA0003681389480000095
表示T1的转置。
步骤(7)、计算后备web模块的随机生成数区间
7-1根据综合系数集合Sij中最小值smin和最大值smax,将所有综合系数归一化到0~1区间内得到s′ij;将s′ij最小值s′min放大至个位数,得到第i层第j个非活动web模块j的生成区间范围Qij
Qij=s′ij*G
其中G表示放大系数,通常为10的倍数。
7-2根据如下公式,获得后备web模块集合中非活动web模块生成区间范围最大值,最终构成非活动web模块j的随机数范围区间(0,A];
Figure BDA0003681389480000096
其中|N|表示后备web模块集合N内的元素数量。
7-3对后备web模块集合中每个非活动web模块随机生成数区间(xl,yl],l表示第l个非活动web模块,
Figure BDA0003681389480000097
yl=xl+Qij;若后备web模块集合中有新增第l+1个非活动web模块,则随机数范围区间更新为(0,A]=(0,A+Qij];
步骤(8)、如图3,当后备web模块集合中非活动web模块i到达生存时间或者异常web模块清洗下线时,生成一个在(0,A]区间范围内的随机数,若随机数落在数区间(xl,yl],则调用后备web模块集合中第l个非活动web模块替换服务调用链中同一层次web模块;若替换后服务调用链间差异值与替换前服务调用链间差异值大于阈值H,则认为当前调度可行,原web模块ai下线或重新加入后备web模块集合中。

Claims (7)

1.一种基于微服务的拟态web执行体高效调度的方法,其特征在于包括以下步骤:
步骤(1)、采集微服务中所有web模块的历史运行信息、web模块信息,并根据web模块的漏洞数量、漏洞种类获取漏洞威胁程度评价得分zi,存入数据库;其中web模块信息包括web模块的漏洞数量、漏洞种类、编程语言;
步骤(2)、计算微服务web模块构件池中所有web模块的安全系数;
步骤(3)、计算每层服务调用链中每个web模块与当前服务调用链层其他web模块间的差异值;具体是:
根据web模块的安全系数计算每个web模块i与当前服务调用链层其他web模块间的差异值C:
C={ci,j|j=1,2,...,n,t≠j}
ci,j=s*ei,j
其中s表示加权系数;
步骤(4)、计算每个web模块的生存时间;
步骤(5)、确定web模块构件池中web模块的调用顺序,具体如下:
5-1向数据库发送查询请求,获取web模块构件池中web模块的调用信息;所述web模块的调用信息包括当前web模块的调用情况、漏洞信息和种类、编程语言、资源使用情况;
5-2计算web模块的置信度
web模块在生成时首先初始化置信度
Figure FDA0003681389470000011
若某web服务调用链结果异常,则通过链路追踪确定异常web模块i,降低该web模块的置信度
Figure FDA0003681389470000012
然后判断当前web模块置信度是否大于预设的置信度下限Ρd,若否则清洗当前web模块,若是则将当前web模块轮换至后备web模块集合,跳转至步骤4-3;若所有web服务调用链结果正常,则不做额外处理,跳转至步骤4-3;
5-3计算同一服务调用链层次中任意两个web模块的差异值
根据步骤5-1的查询结果计算同一服务调用链层次中任意两个web模块i、j的差异值
Figure FDA0003681389470000013
并写入数据库中,其中
Figure FDA0003681389470000014
P=[p1,p2,…,pt]T表示所有服务调用链的web模块间加权系数,t表示服务调用链层数;
5-4判断当前web模块是否已被一条服务调用链使用,若是则返回步骤5-3,若否则继续判断当前服务调用链是否连续使用同一编程语言,若是则返回步骤5-3,若否则跳转至步骤5-5计算服务调用链间差异值;
5-5计算服务调用链间差异值
随机选取同一服务调用链层内b个web模块组成当前服务调用链中该层次的后备web模块集合N;根据同一服务调用链层次web模块间差异值ωij,计算不同服务调用链i、j间差异值hij
Figure FDA0003681389470000021
其中
Figure FDA0003681389470000022
表示web模块i的置信度,b表示服务调用链的总数目;
步骤(6)、计算后备web模块集合中非活动web模块的综合系数
计算后备web模块集合中所有web模块的调度时间距离集合T1=[t1,t2,…,tm],将其归一化至[0,1]区间内,计算得到后备web模块集合中非活动web模块的综合系数集合Sij
Figure FDA0003681389470000023
Figure FDA0003681389470000024
其中,
Figure FDA0003681389470000025
表示当前微服务系统中当前时刻,
Figure FDA0003681389470000026
代表web模块nm上次被调用的时间,m表示后备web模块集合中非活动web模块的数目,
Figure FDA0003681389470000027
表示T1的转置;
步骤(7)、计算后备web模块的随机生成数区间
7-1根据综合系数集合Sij中最小值smin和最大值smax,将所有综合系数归一化到0~1区间内得到s′ij;将s′ij最小值s′min放大至个位数,得到第i层第j个非活动web模块j的生成区间范围Qij
Qij=s′ij*G
其中G表示放大系数,通常为10的倍数;
7-2根据如下公式,获得后备web模块集合中非活动web模块生成区间范围最大值,最终构成非活动web模块j的随机数范围区间(0,A];
Figure FDA0003681389470000031
其中|N|表示后备web模块集合N内的元素数量;
7-3对后备web模块集合中每个非活动web模块随机生成数区间(xl,yl],l表示第l个非活动web模块,
Figure FDA0003681389470000032
yl=xl+Qij;若后备web模块集合中有新增第l+1个非活动web模块,则随机数范围区间更新为(0,A]=(0,A+Qij];
步骤(8)、当后备web模块集合中非活动web模块i到达生存时间或者异常web模块清洗下线时,生成一个在(0,A]区间范围内的随机数,若随机数落在数区间(xl,yl],则调用后备web模块集合中第l个非活动web模块替换服务调用链中同一层次web模块;若替换后服务调用链间差异值与替换前服务调用链间差异值的差值大于阈值H,则认为当前调度可行,原web模块下线或重新加入后备web模块集合中。
2.根据权利要求1所述方法,其特征在于步骤(1)web模块的历史运行信息包括当前web模块占用的CPU资源和内存资源、高并发访问时间。
3.根据权利要求1所述方法,其特征在于步骤(2)具体是:
2-1依据web模块构件池中所有web模块的漏洞数量及其对应的漏洞种类,获取后备web模块i和后备web模块j之间的共同漏洞数量nij=|Vi∩Vj|,其中Vi表示后备web模块i的漏洞集合,Vj表示后备web模块j的漏洞集合,|·|表示取数目函数;
2-2根据web模块的漏洞威胁程度评价得分zi,获取web模块i和web模块j共同漏洞对应威胁程度评价得分zx,进而得到安全系数ei,j为:
Figure FDA0003681389470000033
2-3根据web模块的漏洞数量、漏洞种类,获取每个web模块i与当前服务调用链层其他web模块之间的安全系数集合E={ei,j|j=1,2,…,n,i≠j},n表示当前服务调用链层中web模块的数目。
4.根据权利要求3所述方法,其特征在于步骤(4)具体是:对每个web模块进行一次攻击测试,获取攻击者一次攻击花费的平均时间
Figure FDA0003681389470000034
并记录一次成功攻击期望花费的时间为
Figure FDA0003681389470000041
根据
Figure FDA0003681389470000042
得到当前web模块i的期望生存时间为
Figure FDA0003681389470000043
根据
Figure FDA0003681389470000044
则进一步得到当前web模块i期望生存时间的概率密度函数期望μtime以及标准差σtime
Figure FDA0003681389470000045
Figure FDA0003681389470000046
其中n表示web模块构件池中所有web模块的数量;
进一步得到当前web模块的生存时间概率密度函数:
Figure FDA0003681389470000047
其中x表示当前web模块的实际生存时间;
根据此概率密度函数f(x)随机生成当前web模块对应的生存时间。
5.实现权利要求1-4任一项所述的基于微服务的拟态web执行体高效调度装置,其特征在于包括:
web模块信息数据库,存储微服务中所有web模块的历史运行信息、web模块信息,web模块的漏洞威胁程度评价得分zi
第一计算单元,用于计算微服务web模块构件池中所有web模块的安全系数;
第二计算单元,计算每层服务调用链中任意两web模块间的差异值;
第三计算单元,用于计算微服务web模块构件池中所有web模块的生存时间;
web模块调度策略单元,用于确定web模块构件池中web模块的调用顺序;
第四计算单元,计算后备web模块集合中非活动web模块的综合系数;
第五计算单元,计算后备web模块的随机生成数区间;
web模块调度单元,用于根据第五计算单元生成的随机生成数区间和数区间实现活动web模块与非活动web模块的调用。
6.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-4中任一项所述的方法。
7.一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-4中任一项所述的方法。
CN202210638307.9A 2022-06-07 2022-06-07 基于微服务的拟态web执行体高效调度的方法及装置 Pending CN114936083A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210638307.9A CN114936083A (zh) 2022-06-07 2022-06-07 基于微服务的拟态web执行体高效调度的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210638307.9A CN114936083A (zh) 2022-06-07 2022-06-07 基于微服务的拟态web执行体高效调度的方法及装置

Publications (1)

Publication Number Publication Date
CN114936083A true CN114936083A (zh) 2022-08-23

Family

ID=82865938

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210638307.9A Pending CN114936083A (zh) 2022-06-07 2022-06-07 基于微服务的拟态web执行体高效调度的方法及装置

Country Status (1)

Country Link
CN (1) CN114936083A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115811425A (zh) * 2022-11-18 2023-03-17 中国科学院沈阳自动化研究所 一种两安一体化仪表风险迭代设计方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115811425A (zh) * 2022-11-18 2023-03-17 中国科学院沈阳自动化研究所 一种两安一体化仪表风险迭代设计方法
CN115811425B (zh) * 2022-11-18 2024-04-16 中国科学院沈阳自动化研究所 一种两安一体化仪表风险迭代设计方法

Similar Documents

Publication Publication Date Title
CN110417721B (zh) 安全风险评估方法、装置、设备及计算机可读存储介质
WO2020093201A1 (zh) 基于gspn和鞅理论网络空间拟态防御的安全性建模量化方法
US8762188B2 (en) Cyberspace security system
CN108881110B (zh) 一种安全态势评估与防御策略联合决策方法及系统
EP2069993A2 (en) Security system and method for detecting intrusion in a computerized system
CN116319099A (zh) 一种多终端的财务数据管理方法和系统
CN114936083A (zh) 基于微服务的拟态web执行体高效调度的方法及装置
EP4009586B1 (en) A system and method for automatically neutralizing malware
Shojafar et al. Automatic clustering of attacks in intrusion detection systems
CN112154415A (zh) 大型计算机系统中的高效事件管理
CN114493203A (zh) 一种安全编排及自动化响应的方法和装置
Ravishankar et al. Time dependent network resource optimization in cyber–physical systems using game theory
CN113132398A (zh) 一种基于q学习的阵列蜜罐系统防御策略预测方法
CN116451234A (zh) 一种操作系统终端动态信任评估算法
Simmons et al. ADAPT: a game inspired attack-defense and performance metric taxonomy
CN110430158B (zh) 采集代理部署方法及装置
Jiang et al. A stochastic game theoretic approach to attack prediction and optimal active defense strategy decision
CN113673811B (zh) 一种基于session的在线学习绩效评估方法及装置
CN109495297B (zh) 基于启发式强化学习的韧性云环境故障注入方法
CN114844684A (zh) 一种基于多重融合方法的主动防御网络评估方法及系统
CN111107035B (zh) 基于行为辨识的安全态势感知与防护方法及装置
Chonka et al. Protecting information systems from ddos attack using multicore methodology
Zhao et al. Optimization partial mission abandonment strategy for k-out-of-n multi-state system
CN117874357B (zh) 一种针对指显系统的信息推荐方法及装置
CN110008097B (zh) 服务化信息系统攻击效能综合评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination