一種基於虛擬機服務跳變的網絡安全防禦方法與流程

2023-05-31 02:44:27

本發明屬於網絡信息安全
技術領域：
，尤其涉及一種基於虛擬機服務跳變的網絡安全防禦方法。
背景技術：
：隨著網際網路的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網絡安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的，通常也是狡猾的、專業的，並且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說，收效甚微。網絡安全性可以被粗略地分為4個相互交織的部分：保密、鑑別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網絡安全性時最常想到的內容。鑑別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與籤名有關。保密和完整性通過使用註冊過的郵件和文件鎖來。以上傳統的防護方式，主要通過訪問控制、特徵防禦等被動的防禦方式來進行防禦。但是網際網路上攻擊攻擊方式層出不窮，被動的防禦方式是不可能完全防禦來自網際網路的攻擊。技術實現要素：鑑於上述問題，本發明的目的在於提供一種基於虛擬機服務跳變的網絡安全防禦方法，旨在解決現有網絡安全防禦方法不可能完全防禦來自網際網路的攻擊的技術問題。本發明採用如下技術方案：所述基於虛擬機服務跳變的網絡安全防禦方法包括下述步驟：創建並管理服務；對於當前服務，從跳變序列中提取一個跳變元組，並將當前跳變元組指針指向下一個跳變元組，所述跳變元組包括跳變元組編號、跳變超時時間、虛擬機類型、服務實例編號；按照跳變元組提取服務實例信息，所述服務實例信息包括服務IP位址、服務埠號；按照跳變超時時間和跳變速度因子設置跳變計時器；根據跳變元組服務實例信息，通過服務實例的IP位址和端號重新修改對應的服務代理配置文件，重新加載服務代理配置文件後生效；當客戶端有請求發出時，處理客戶端的請求，此期間跳變元組的虛擬機類型作為當前對外類型，直到跳變計時器超時，重新提取跳變元組。進一步的，按照跳變元組中的跳變超時時間除以跳變因子後的時間長度設置跳變計時器。進一步的，所述創建並管理服務步驟具體包括：當需要創建服務時，剛開始為關閉狀態Closed，當接收到創建服務消息後進入服務初始化狀態ServiceInit，創建的服務保存在服務列表serviceList中，當接收到創建服務實例消息後進入實例初始化狀態InstanceInit，當接收到跳變序列後進入暫停狀態Stopped，Stopped狀態服務接收到啟動服務消息後會進入運行狀態Running，服務開始運行，同時服務跳變也開始執行。進一步的，當接收到創建服務消息後，還要先進行消息解析，創建服務消息中包含該服務名稱和服務埠號，接收到創建服務消息後會首先檢查此服務名稱是否已經在服務列表中存在，如果存在，立即返回失敗，說明為該服務已經存在；若不存在，則進入服務初始化狀態ServiceInit，創建的服務保存在服務列表serviceList中，當接收到創建服務實例消息後進入實例初始化狀態InstanceInit，當接收到跳變序列後進入暫停狀態Stopped，Stopped狀態服務接收到啟動服務消息後會進入運行狀態Running，此時創建的服務保存在服務列表serviceList中，最後回復創建服務成功，服務開始運行。進一步的，在所述創建並管理服務步驟中，當接收到刪除服務消息DeleteService後，進行消息解析，刪除服務消息中包含該服務名稱，接收到該消息後會首先檢查該服務名稱是否在服務列表中存在，如果不存在，則立即回復失敗，說明為該服務不存在；然後檢查該服務狀態是否為Running狀態，若是Running狀態，直接回復請停止服務後再刪除；若檢查通過，清除該服務對應的服務實例和跳變序列，清除服務列表中對應該服務信息，最後回復刪除服務成功。進一步的，在所述創建並管理服務步驟中，當接收到查詢服務消息GetServices後，將服務列表中的所有服務信息，包括服務名稱、埠號封裝為查詢結果消息並返回。進一步的，所述接收到啟動服務消息後會進入運行狀態Running，服務開始運行，同時服務跳變也開始執行步驟具體包括：當接收到啟動服務消息StartService後，啟動服務消息中包含啟動服務名稱，若該服務名稱在服務列表serviceList中不存在，直接回復啟動服務失敗，若該服務狀態不是Stopped狀態，則回復服務還沒有就緒；若檢查通過，則進行服務代理配置並加載，啟動跳變流程，將該服務狀態修改為Running狀態，最後返回服務啟動完成。進一步的，對於處於運行狀態Running的服務，當接收到停止服務消息StopService時，停止服務消息中包含停止服務名稱，首先檢查該服務服務列表serviceList中是否存在，若存在則停止該服務對應的跳變流程和清除服務代理配置，停止該服務的代理，最後返回服務關閉成功。本發明的有益效果是：本發明可以選擇提供服務的虛擬機，通過不斷變化的虛擬機類型和每種虛擬機類型的服務時間，讓攻擊者無法獲知何時採用何種虛擬機類型服務，進而無法利用某個作業系統或系統軟體的漏洞對服務端進行攻擊。附圖說明圖1是本發明實施例提供的基於虛擬機服務跳變的網絡安全防禦方法的流程圖；圖2是服務狀態遷移示意圖。具體實施方式為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，並不用於限定本發明。為了說明本發明所述的技術方案，下面通過具體實施例來進行說明。圖1示出了本發明實施例提供的基於虛擬機服務跳變的網絡安全防禦方法的流程，為了便於說明僅示出了與本發明實施例相關的部分。本實施例提供的基於虛擬機服務跳變的網絡安全防禦方法包括下述步驟：步驟S1、創建並管理服務。創建的服務保存在服務列表serviceList中，每個服務具有一個服務狀態，服務狀態包括關閉狀態Closed、服務初始化狀態ServiceInit、實例初始化狀態InstanceInit、暫停狀態Stopped和運行狀態Running。服務狀態遷移如圖2所示，針對一個服務，剛開始為Closed狀態，當接收到創建服務的消息後進入ServiceInit狀態，當接收到創建服務實例消息後進入InstanceInit狀態，接收跳變序列後進入Stopped狀態。Stopped狀態服務接收到啟動服務消息會進入Running狀態，此時服務開始運行，同時服務跳變也開始執行。另外，處於Running狀態的服務可以通過停止服務消息，將其狀態變為Stopped狀態，服務和跳變也相應停止。ServiceInit、InstanceInit和Stopped狀態都可以接收和處理刪除服務消息，服務刪除後相應的服務實例列表和跳變序列也同時被刪除，服務狀態就會恢復為Closed狀態。若Running狀態收到刪除服務消息，則服務狀態不變，所以服務應當先停止再刪除。服務(Service)是指一個Web應用，位於客戶端和伺服器之間的服務跳變代理設備同時支持代理多個Web應用，不同的Web應用通過埠號區分。服務的成員變量包括：服務名稱(serviceName)、服務埠號(port)、對應的跳變序列(hoppingTupleList)、服務當前狀態(serviceState)、當前跳變元組ID(currentTupleId)、跳變計時器(hoppingTimer)、跳變速率調節因子(hoppingSepeedFactor)。步驟S2、對於當前服務，從跳變序列中提取一個跳變元組，並將當前跳變元組指針指向下一個跳變元組。跳變序列是由一系列跳變元組組成(HoppingTuple類)，跳變元組其成員包括：跳變元組編號(tupleId)、跳變超時時間(timeLength)、虛擬機類型(Virtualtype)、服務實例編號(instanceId)，通過服務實例編號instanceId可以查找到對應的服務實例信息。跳變序列有多個跳變元組，通過跳變元組編號予以區分，根據服務的當前跳變元組ID(currentTupleId)提取對應的跳變元組，然後將指針指向當前跳變序列的下一個跳變元組，以後續實現遍歷跳變序列。步驟S3、按照跳變元組提取服務實例信息。服務實例(ServiceInstance類)對應一個啟動了某個Web應用服務的虛擬機實例，服務實例信息包括服務IP位址(ipAddress)、服務埠號(port)。通過該IP位址和埠，即可以訪問其提供的Web應用服務。步驟S4、按照跳變超時時間和跳變速度因子設置跳變計時器。具體的，根據跳變元組中的跳變超時時間除以跳變因子後的時間長度設置跳變計時器，如果跳變因子為1，則跳變計時器的時間設置就是所述跳變超時時間。步驟S5、根據跳變元組服務實例信息，通過服務實例的IP位址和端號重新修改對應的服務代理配置文件，重新加載服務代理配置文件後生效。對於創建的服務，需用通過服務代理提供接口，將服務轉化為服務代理配置文件，服務代理配置通過加載配置文件按照服務和服務實例信息提供代理服務。此後，所有連接請求都會轉給新的服務實例處理。步驟S6、當客戶端有請求發出時，處理客戶端的請求，此期間跳變元組的虛擬機類型作為當前對外類型，直到跳變計時器超時，重新提取跳變元組。虛擬機類型包括作業系統和應用伺服器的類型，比如下表1所示：TomcatIISNginxApacheWindows2008Y(1)Y(6)Y(9)Y(14)WindowsXPY(2)Y(7)Y(10)Y(15)Windows7Y(3)Y(8)Y(11)Y(16)Centos6.5Y(4)NY(12)Y(17)Ubuntu14.04Y(5)NY(13)Y(18)中標麒麟Y(19)NY(20)Y(21)表1應用伺服器的類型有多種，比如Tomcat、IIS、Nginx、Apache等，伺服器的作業系統也可支持多種，比如Windows2008、WindowsXP、Windows7、Centos6.5、Ubuntu14.04、中標麒麟等，表中標註Y後方的括號表示支持的的多種組合，比如Y(6)表示採用Windows2008作業系統的IIS伺服器，且包括6種組合類型。表中N表示不支持。當客戶端需要向服務端發出訪問請求時，直接處理客戶端請求，首先根據日誌配置選擇是否將該消息記錄在日誌文件中，接著通過查詢白名單檢查該客戶IP是否具有訪問該服務的權限，然後對該請求進行速率控制，防止惡意用戶的使用過多的系統資源，最後代理該客戶端將該請求發送給對應服務的Web伺服器處理。在整個過程產生了服務代理，在跳變計時器的每個統計周期(即虛擬機類型的服務時間內)，跳變元組中的虛擬機類型作為對外顯示的類型，因此通過不斷變化的虛擬機類型和每種虛擬機類型的服務時間，讓攻擊者無法獲知何時採用何種虛擬機類型服務，進而無法利用某個作業系統或系統軟體的漏洞對服務端進行攻擊，客戶端的請求也就非常隱蔽，無法被攻擊者破解。另外，本發明中，在客戶端和伺服器之間，通過代理訪問的方式，服務代理配置直接通過加載配置文件實現，屏蔽後臺的動態服務切換對客戶端訪問的影響。當跳變計時器超時後，由於在步驟S2中，當前跳變元組指針已經指向下一個跳變元組，因此根據指針即可讀取到下一個新的跳變元組，進而實現虛擬機類型和伺服器時間不間斷跳變，增加了網絡安全性。上述步驟S1中，結合圖2所述，當接收到創建服務消息後，還要先進行消息解析，創建服務消息中包含該服務名稱和服務埠號，接收到創建服務消息後會首先檢查此服務名稱是否已經在服務列表中存在，如果存在，立即返回失敗，說明為該服務已經存在；若不存在，則進入服務初始化狀態ServiceInit，創建的服務保存在服務列表serviceList中，當接收到創建服務實例消息後進入實例初始化狀態InstanceInit，當接收到跳變序列後進入暫停狀態Stopped，Stopped狀態服務接收到啟動服務消息後會進入運行狀態Running，此時創建的服務保存在服務列表serviceList中，最後回復創建服務成功，服務開始運行。當接收到刪除服務消息DeleteService後，進行消息解析，刪除服務消息中包含該服務名稱，接收到該消息後會首先檢查該服務名稱是否在服務列表中存在，如果不存在，則立即回復失敗，說明為該服務不存在；然後檢查該服務狀態是否為Running狀態，若是Running狀態，直接回復請停止服務後再刪除；若檢查通過，清除該服務對應的服務實例和跳變序列，清除服務列表中對應該服務信息，最後回復刪除服務成功。當接收到查詢服務消息GetServices後，將服務列表中的所有服務信息，包括服務名稱、埠號封裝為查詢結果消息並返回。當接收到啟動服務消息StartService後，啟動服務消息中包含啟動服務名稱，若該服務名稱在服務列表serviceList中不存在，直接回復啟動服務失敗，若該服務狀態不是Stopped狀態，則回復服務還沒有就緒；若檢查通過，則進行服務代理配置並加載，啟動跳變流程，將該服務狀態修改為Running狀態，最後返回服務啟動完成。對於處於運行狀態Running的服務，當接收到停止服務消息StopService時，停止服務消息中包含停止服務名稱，首先檢查該服務服務列表serviceList中是否存在，若存在則停止該服務對應的跳變流程和清除服務代理配置，停止該服務的代理，最後返回服務關閉成功。以上所述僅為本發明的較佳實施例而已，並不用以限制本發明，凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發明的保護範圍之內。當前第1頁1&nbsp2&nbsp3&nbsp