專利名稱:云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法以及裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機技術(shù)領(lǐng)域��,具體涉及云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法����、云 計算系統(tǒng)內(nèi)防護(hù)節(jié)點和云計算系統(tǒng)內(nèi)防護(hù)系統(tǒng)�����。
背景技術(shù):
分布式拒絕服務(wù)(DDOS�����,Distributed Denial of Service)攻擊主要是指攻擊者 利用主控主機做跳板(可能多級多層),控制大量受感染而被控制的主機組成攻擊網(wǎng)絡(luò)來 對受害主機進(jìn)行大規(guī)模的拒絕服務(wù)攻擊���。
DDOS攻擊可以利用攻擊網(wǎng)絡(luò)對受害主機發(fā)起互聯(lián)網(wǎng)(Internet)控制報文協(xié)議 (ICMP, Internet Control Message Protocol)洪水(Flood)��、用戶數(shù)據(jù)包協(xié)議(UDP, User Datagram Protocol) flood����、同步(SYN�,Synchronize) flood 等攻擊,DDOS 攻擊往往能把單 個攻擊者的攻擊以級數(shù)形式進(jìn)行放大�,從而對用戶主機造成重大影響,甚至造成癱瘓����,對網(wǎng) 絡(luò)也會造成嚴(yán)重?fù)砣?br>
目前通過虛擬機軟件,可以在一臺物理計算機上模擬出一臺或多臺虛擬的計算 機��,而這些虛擬機就像真正的計算機那樣進(jìn)行工作���,虛擬機上可安裝操作系統(tǒng)��、安裝應(yīng)用程 序���、訪問網(wǎng)絡(luò)資源等等��。對于在虛擬機中運行的應(yīng)用程序而言��,虛擬機就像是在真正的計算 機中進(jìn)行工作���。
云計算系統(tǒng)(可簡稱云系統(tǒng))可看成是在通用硬件上進(jìn)行分布式計算、存儲及管 理的一種集群系統(tǒng)��,云系統(tǒng)可提供高吞吐量的數(shù)據(jù)訪問���,能夠應(yīng)用于大規(guī)模數(shù)據(jù)計算和存 儲��。
隨著云系統(tǒng)技術(shù)的發(fā)展����,一個云系統(tǒng)可能包括成千上萬個虛擬機�����,使得云系統(tǒng)內(nèi) 的各虛擬機的安全防護(hù)也日漸受到關(guān)注��,有效防護(hù)云系統(tǒng)內(nèi)各個虛擬機間的DDOS攻擊的 顯得尤為重要���,但現(xiàn)有的DDOS防護(hù)機制主要針對不同云系統(tǒng)之間�����,云系統(tǒng)與云系統(tǒng)外的主 機之間���、非云系統(tǒng)的各主機之間的DDOS攻擊進(jìn)行防護(hù),并不適用于防護(hù)云系統(tǒng)內(nèi)各個虛擬 機間的DDOS攻擊���。發(fā)明內(nèi)容
本發(fā)明實施例提供一種云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法以及裝置和系統(tǒng)���,以 有效的防護(hù)云系統(tǒng)內(nèi)各個虛擬機間的DDOS攻擊。
為解決上述技術(shù)問題�����,本發(fā)明實施例提供以下技術(shù)方案
一種云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法���,包括
云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點監(jiān)測注入虛擬機的數(shù)據(jù)流量���,其中,所述云計算系統(tǒng)包 括防護(hù)節(jié)點和多個虛擬機��,各個虛擬機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點;
若監(jiān)測到注入所述虛擬機的數(shù)據(jù)流量發(fā)生異常�,提取待注入所述虛擬機的數(shù)據(jù) 流;
將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗�����;
接收所述流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流�;
向所述虛擬機注入清洗后的數(shù)據(jù)流。
一種云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點�,云計算系統(tǒng)包括防護(hù)節(jié)點和多個虛擬機,各個虛 擬機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點���,所述防護(hù)節(jié)點包括
監(jiān)測模塊����,用于監(jiān)測注入虛擬機的數(shù)據(jù)流量����;
提取發(fā)送模塊,用于在所述監(jiān)測模塊監(jiān)測到注入所述虛擬機的數(shù)據(jù)流量發(fā)生異 常時���,提取待注入所述虛擬機的數(shù)據(jù)流,將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清 洗��;
接收模塊,用于接收所述流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流��;
注入模塊�,用于向所述虛擬機注入所述接收模塊接收的清洗后的數(shù)據(jù)流。
一種云計算系統(tǒng)的防護(hù)系統(tǒng)���,云計算系統(tǒng)包括防護(hù)節(jié)點和多個虛擬機��,各個虛擬 機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點��,所述防護(hù)系統(tǒng)包括
云計算系統(tǒng)內(nèi)防護(hù)節(jié)點�����,用于監(jiān)測注入虛擬機的數(shù)據(jù)流量�;若監(jiān)測到注入所述虛 擬機的數(shù)據(jù)流量發(fā)生異常���,提取待注入所述虛擬機的數(shù)據(jù)流�����,將提取的數(shù)據(jù)流發(fā)送給流量 清洗裝置進(jìn)行流量清洗�����;接收所述流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流��;向所述虛擬機 注入清洗后的數(shù)據(jù)流�����。
流量清洗裝置�,用于對來自云計算系統(tǒng)內(nèi)防護(hù)節(jié)點的待注入虛擬機的數(shù)據(jù)流進(jìn)行 流量清洗,向所述云計算系統(tǒng)內(nèi)防護(hù)節(jié)點發(fā)送進(jìn)行流量清洗后的數(shù)據(jù)流��。
由上可見�����,本發(fā)明實施例中在云計算系統(tǒng)內(nèi)部署防護(hù)節(jié)點�����,由云計算系統(tǒng)內(nèi)防護(hù) 節(jié)點來監(jiān)測注入虛擬機的數(shù)據(jù)流量����;若監(jiān)測到注入該虛擬機的數(shù)據(jù)流量發(fā)生異常,提取待 注入該虛擬機的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗���;并將流量清洗裝置進(jìn)行流量清 洗后的數(shù)據(jù)流回注到該虛擬機���。由于是利用部署在云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點進(jìn)行DDOS防 護(hù),因而不僅可以防護(hù)外網(wǎng)對云計算系統(tǒng)內(nèi)虛擬機的DDOS攻擊��,更可有效的防護(hù)云計算系 統(tǒng)內(nèi)的各個虛擬機間的DDOS攻擊�����,進(jìn)而可全面提升云系統(tǒng)的安全性和可靠性����。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地��,下面描述中的附圖僅僅是本 發(fā)明的一些實施例����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下���,還可 以根據(jù)這些附圖獲得其他的附圖���。
圖Ι-a是本發(fā)明實施例提供的一種Xen虛擬化環(huán)境示意圖Ι-b是本發(fā)明實施例提供的一種Domain 0驅(qū)動結(jié)構(gòu)示意圖1-c是本發(fā)明實施例提供的一種Domain U驅(qū)動結(jié)構(gòu)示意圖Ι-d是本發(fā)明實施例提供的一種Domain 0進(jìn)程守護(hù)Domain U示意圖2是本發(fā)明實施例提供的一種DDOS攻擊示意圖3是本發(fā)明實施例一提供的一種云系統(tǒng)DDOS攻擊防護(hù)方法流程圖4是本發(fā)明實施例二提供的一種云系統(tǒng)DDOS攻擊防護(hù)方法流程圖5-a是本發(fā)明實施例三提供的一種云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點示意圖5_b是本發(fā)明實施例三提供的另一種云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點示意圖6是本發(fā)明實施例四提供的一種云計算系統(tǒng)內(nèi)的防護(hù)系統(tǒng)示意圖���。
具體實施方式
本發(fā)明實施例提供一種云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法以及裝置和云系統(tǒng), 以有效的防護(hù)云系統(tǒng)內(nèi)各個虛擬機間的DDOS攻擊�����。
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案�����,下面將結(jié)合本發(fā)明實施例中的 附圖�����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然�,所描述的實施例僅僅是 本發(fā)明一部分的實施例,而不是全部的實施例�����。基于本發(fā)明中的實施例����,本領(lǐng)域普通技術(shù) 人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍����。
為便于理解�,下面先簡單介紹一種虛擬系統(tǒng)運行模式。
參見圖Ι-a����,一個Xen虛擬化環(huán)境可包括如下相互配合的元素
Xen Hypervisor
Domain 0
Domain U PV 客戶系統(tǒng)
Domain U HVM 客戶系統(tǒng)
其中,Xen Hypervisor是一個介于硬件和操作系統(tǒng)之間的軟件層�����,主要負(fù)責(zé) 在各虛擬機之間進(jìn)行中央處理器(CPU��,central processing unit)調(diào)度和內(nèi)存分配 (partitioning)�����。Xen Hypervisor不僅抽象出硬件層����,同時控制各虛擬機的運行����,因為這些 虛擬機共享同一個處理環(huán)境�。Xen Hypervisor—般不會處理網(wǎng)絡(luò)、存儲設(shè)備��、視頻以及其它 輸入 / 輸出(1/0�����,Input/Output)請求�。
Domain O通常是一個修改過的Linux kernel (或其它內(nèi)核),Domain O可看成是 其它虛擬機的管理節(jié)點�����,Domain O通常是唯一運行在Xen Hypervisor之上的虛擬機����,通常 擁有訪問物理1/0資源的權(quán)限,同時和虛擬系統(tǒng)上運行的其它虛擬機進(jìn)行交互�。Domain O 需要在其它Domain啟動之前啟動。其中�����,Domain O中通常包含兩個驅(qū)動(如圖l_b所示) 網(wǎng)絡(luò)支持驅(qū)動(Network Backend Driver)和塊支持驅(qū)動(Block Backend Driver),分別負(fù) 責(zé)處理來自Domain U的網(wǎng)絡(luò)和本地磁盤請求�。Network Backend Driver可直接和本地網(wǎng) 絡(luò)硬件進(jìn)行通信,以處理所有來自Domain U上客戶操作系統(tǒng)的網(wǎng)絡(luò)請求��。Block Backend Driver可和本地存儲設(shè)備進(jìn)行通信����,以處理來自Domain U的讀寫請求等。
Domain U是運行在Xen Hypervisor上虛擬機�����,其中�����,全虛擬化虛擬機被稱為 "Domain U HVM Guests”����,其上運行著不用修改內(nèi)核的操作系統(tǒng)�����,如Windows等;半虛擬化 (paravirtualized)虛擬機被稱之為"Domain U PV Guests”����,其上運行著被修改過內(nèi)核的 操作系統(tǒng),例如Linux����、Solaris, FreeBSD或其它操作系統(tǒng)等。
Domain U PV Guests也可包含兩個驅(qū)動(如圖l_c所示)半虛擬化網(wǎng)絡(luò)驅(qū)動(PV Network Driver)和半虛擬化塊驅(qū)動(PV Block Driver)����。
Domain U HVM Guests虛擬機內(nèi)沒有半虛擬化驅(qū)動(PV Driver),而是在Domain O里為每一個全虛擬化客戶端(HVM Guest)啟動一個特殊的守護(hù)進(jìn)程Qemu-dm�,由Qemu-dm 負(fù)責(zé)客戶操作系統(tǒng)的網(wǎng)絡(luò)和磁盤請求。
常見圖1-d�����,Domain U HVM Guests可初始化為某類機器���,并在Domain U上附加Xen虛擬固件來模擬BIOS�����。
對云系統(tǒng)的網(wǎng)絡(luò)攻擊可如圖2所示���,主要包括三種
云計算系統(tǒng)外外網(wǎng)攻擊�����,主要是外部網(wǎng)絡(luò)發(fā)起的攻擊流量�;
云計算系統(tǒng)內(nèi)不同物理主機間的攻擊��,其主要是云計算系統(tǒng)內(nèi)的不同物理主機間 發(fā)起的攻擊流量��;
云計算系統(tǒng)內(nèi)同一物理主機的不同虛擬機間的攻擊��,主要是云計算系統(tǒng)內(nèi)的相同 物理不同虛擬主機間發(fā)起的攻擊��。
本發(fā)明實施例主要針對云計算系統(tǒng)內(nèi)同一物理主機以及不同物理主機的不同虛 擬機間的DDOS攻擊的防護(hù)進(jìn)行研究��。
下面通過具體實施例進(jìn)行詳細(xì)介紹�����。
實施例一
本發(fā)明云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法的一個實施例�����,可包括云計算系統(tǒng) 內(nèi)防護(hù)節(jié)點監(jiān)測注入虛擬機的數(shù)據(jù)流量���;若監(jiān)測到注入該虛擬機的數(shù)據(jù)流量發(fā)生異常�,提 取待注入該虛擬機的數(shù)據(jù)流���,將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗�;接收該 流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流��;向上述虛擬機注入該清洗后的數(shù)據(jù)流�����。
參見圖3����,具體步驟可以包括
310、云計算系統(tǒng)內(nèi)防護(hù)節(jié)點監(jiān)測注入虛擬機的數(shù)據(jù)流量�;
其中,云計算系統(tǒng)包括防護(hù)節(jié)點和多個虛擬機����,各個虛擬機之間交互的數(shù)據(jù)流經(jīng) 過防護(hù)節(jié)點。
在一種應(yīng)用場景下�,云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點可為云計算系統(tǒng)內(nèi)的虛擬機管理節(jié) 點(該云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點可管理一臺或多臺位于相同或不同云計算系統(tǒng)內(nèi)物 理主機上的虛擬機),也可以是部署在云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點和云計算系統(tǒng)內(nèi)各個 虛擬機之間的裝置�。外網(wǎng)與云計算系統(tǒng)內(nèi)各虛擬機間交互的數(shù)據(jù)流�,以及云計算系統(tǒng)內(nèi)各 個虛擬機間交互的數(shù)據(jù)流都經(jīng)過該云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點����,云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點可 以監(jiān)測注入各個虛擬機的數(shù)據(jù)流。其中����,注入某虛擬機的數(shù)據(jù)流可能來自外網(wǎng),也可能來自 云計算系統(tǒng)內(nèi)的其它虛擬機�。
在實際應(yīng)用中,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點例如可統(tǒng)計在預(yù)定時長(例如30秒�����、一分 鐘或其它值)內(nèi)注入虛擬機的數(shù)據(jù)流量大?��?����;若統(tǒng)計出的在預(yù)定時長內(nèi)注入某一虛擬機的 數(shù)據(jù)流量大小超過設(shè)定閾值(例如50MB、100MB或其它值)��,則可確定注入該虛擬機的數(shù)據(jù)流量發(fā)生異常�����。
320、云計算系統(tǒng)內(nèi)防護(hù)節(jié)點若監(jiān)測到注入上述虛擬機的數(shù)據(jù)流量發(fā)生異常���,則提 取待注入該虛擬機的數(shù)據(jù)流�����,將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗����;
在一種應(yīng)用場景���,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點若監(jiān)測到注入上述虛擬機的數(shù)據(jù)流量發(fā) 生異常�����,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點可直接提取待注入該虛擬機的數(shù)據(jù)流�����,并直接將提取的數(shù) 據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗����。或者�,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點在監(jiān)測到注入上述 虛擬機的數(shù)據(jù)流量發(fā)生異常后,可先向流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請 求�����;若接收來自該流量清洗裝置的指示允許流量清洗的流量清洗響應(yīng)(說明流量清洗裝置 有足夠的清洗資源��,清洗資源可指空閑處理能力)��,再提取待注入該虛擬機的數(shù)據(jù)流����,并將 提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗;此外�,若接收來自該流量清洗裝置的指示不允許流量清洗的流量清洗響應(yīng)(說明流量清洗裝置可能暫時沒有足夠的清洗資源), 則云計算系統(tǒng)內(nèi)防護(hù)節(jié)點可再等待一定時長(例如2秒�����、5秒或其它值)后���,再向流量清洗 裝置發(fā)送指示請求流量清洗的流量清洗請求�,并以此重復(fù)�,直至流量清洗裝置完成流量清 洗。特別的���,如果有多臺流量清洗裝置可以供選擇�,則若當(dāng)前請求流量清洗的流量清洗裝置 暫無足夠的清洗資源�����,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點可請求其它流量清洗裝置來進(jìn)行流量清洗����。
在實際應(yīng)用中,數(shù)據(jù)流量異?�?赡苡蒛DP fiood�、SYN flood、ICMP Flood或其它 DDOS攻擊引起的��,而發(fā)起該DDOS攻擊的可能是外網(wǎng)�,也可能是云計算系統(tǒng)內(nèi)的其它虛擬 機。
流量清洗裝置可以是獨立設(shè)置的流量清洗板�����,亦可是其它部署架構(gòu),流量清洗裝 置可選用SYN反彈�����、TCP代理��、UDP限流�����、空連接檢測��、DNS TC反彈和/或現(xiàn)有的其它一種或 多種技術(shù)進(jìn)行流量清洗��。
330�����、云計算系統(tǒng)內(nèi)防護(hù)節(jié)點接收上述流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流�;
340、云計算系統(tǒng)內(nèi)防護(hù)節(jié)點向上述虛擬機注入清洗后的數(shù)據(jù)流��。
可以理解��,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點將流量清洗裝置進(jìn)行流量清洗后的干凈的數(shù)據(jù) 流回注到對應(yīng)虛擬機中�����,因此該虛擬機可接收到干凈的數(shù)據(jù)流,也就可以進(jìn)行正常的響應(yīng) 和處理����。
由上可見�����,本實施例中在云計算系統(tǒng)內(nèi)部署防護(hù)節(jié)點��,由云計算系統(tǒng)內(nèi)防護(hù)節(jié)點 來監(jiān)測注入虛擬機的數(shù)據(jù)流量����;若監(jiān)測到注入該虛擬機的數(shù)據(jù)流量發(fā)生異常,提取待注入 該虛擬機的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗����;并將流量清洗裝置進(jìn)行流量清洗后 的干凈的數(shù)據(jù)流回注到該虛擬機。由于是利用部署在云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點進(jìn)行DDOS 防護(hù)��,因而不僅可防護(hù)外網(wǎng)對云計算系統(tǒng)內(nèi)虛擬機的DDOS攻擊����,更可有效的防護(hù)云計算系 統(tǒng)內(nèi)的各個虛擬機間的DDOS攻擊���,進(jìn)而可全面提升云系統(tǒng)的安全性和可靠性。
實施例二
為便于更好的理解本發(fā)明實施例的技術(shù)方案����,下面以云計算系統(tǒng)內(nèi)虛擬機管理節(jié) 點對云計算系統(tǒng)內(nèi)的某虛擬機Ai的DDOS攻擊防護(hù)的過程為例,進(jìn)行更詳細(xì)的描述���。
參見圖4�,具體可以包括
401����、云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點監(jiān)測注入虛擬機Ai的數(shù)據(jù)流量;
在一種應(yīng)用場景���,云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點可管理一臺或多臺位于相同或不 同云計算系統(tǒng)內(nèi)物理主機上的虛擬機(其中包括虛擬機Ai)����。
外網(wǎng)與云計算系統(tǒng)內(nèi)各虛擬機間交互的數(shù)據(jù)流量�,以及云計算系統(tǒng)內(nèi)各個虛擬機 間交互的數(shù)據(jù)流量都經(jīng)過該云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點,云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點 可監(jiān)測注入各個虛擬機的數(shù)據(jù)流量��。其中�,注入某虛擬機的數(shù)據(jù)流量可能來自外網(wǎng)�����,也可能 來自云計算系統(tǒng)內(nèi)的其它虛擬機�����。
其中�����,可如圖Ι-a所示,若將Domain 0看作是云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點���, Domain U則是其所管理的虛擬機��。
在實際應(yīng)用中���,云系統(tǒng)內(nèi)的虛擬機管理節(jié)點例如可以統(tǒng)計在預(yù)定時長(例如30 秒、1分鐘或其它值)內(nèi)注入虛擬機Ai的數(shù)據(jù)流量大?���。蝗籼摂M機Ai有網(wǎng)際協(xié)議地址(IP���, Internet Protocol)�����、媒體訪問控制(MAC����,Media Access Control)地址或其它對外地址, 則云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點可基于數(shù)量流量的目的地址��,生成監(jiān)控表��,對注入虛擬機Ai的數(shù)據(jù)流量進(jìn)行監(jiān)測�����,可利用監(jiān)控表來記錄統(tǒng)計信息�����。
402��、云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點若監(jiān)測到注入虛擬機Ai的數(shù)據(jù)流量異常�����,向 流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請求;
具體的����,云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點若統(tǒng)計出在預(yù)定時長內(nèi)注入虛擬機Ai的 數(shù)據(jù)流量超過設(shè)定閾值(例如50MB、100MB或其它值)�,則可確定注入虛擬機Ai的數(shù)據(jù)流量 發(fā)生異常,此時啟動流量清洗機制�����。其中��,流量清洗請求中還可以攜帶虛擬機Ai的標(biāo)識���,流 量清洗裝置可據(jù)此獲知注入虛擬機Ai的數(shù)據(jù)流量異常。
403��、流量清洗裝置向云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點發(fā)送流量清洗響應(yīng)���;
在實際應(yīng)用中�,流量清洗裝置可檢測當(dāng)前是否有足夠的清洗資源(清洗資源可值 可指空閑處理能力)���,若當(dāng)前有足夠的清洗資源��,則可向云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點發(fā)送 指示允許流量清洗的流量清洗響應(yīng)(其中仍可攜帶虛擬機Ai的標(biāo)識)���。
當(dāng)然��,若流量清洗裝置檢測到當(dāng)前沒有足夠的清洗資源�,則可向云計算系統(tǒng)內(nèi)虛 擬機管理節(jié)點發(fā)送指示暫時不允許流量清洗的流量清洗響應(yīng)(其中仍可攜帶虛擬機Ai的 標(biāo)識)�,則云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點可再等待一定時長(例如2秒、5秒或其它值)后�����, 再向流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請求���,以此重復(fù)��,直至流量清洗裝置 完成流量清洗��。特別的����,如果有多臺流量清洗裝置可供選擇���,則若當(dāng)前請求流量清洗的流量 清洗裝置暫無足夠的清洗資源���,云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點可請求其它流量清洗裝置來 進(jìn)行流量清洗��。
此處�,以流量清洗裝置當(dāng)前有足夠的清洗資源為虛擬機Ai提供流量清洗服務(wù)的 場景為例�����。
404��、云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點接收來自流量清洗裝置的指示允許流量清洗 的流量清洗響應(yīng)����,并提取待注入該虛擬機Ai的數(shù)據(jù)流,將提取的數(shù)據(jù)流發(fā)送給流量清洗裝 置進(jìn)行流量清洗��;
在實際應(yīng)用中����,數(shù)據(jù)流量異?���?赡苡蒛DP flood、SYN flood、ICMP Flood或其它 DDOS攻擊引起的����,而發(fā)起該DDOS攻擊的可能是外網(wǎng),也可能是云計算系統(tǒng)內(nèi)的其它虛擬 機����。
流量清洗裝置可以是獨立設(shè)置的流量清洗板,亦可是其它部署架構(gòu)��,流量清洗裝 置可選用SYN反彈�����、TCP代理����、UDP限流、空連接檢測�����、DNS TC反彈和/或現(xiàn)有的其它一種或 多種技術(shù)對虛擬機Ai的異常流量進(jìn)行流量清洗���,以除去可疑流量��。
舉例來說�,若流量清洗裝置基于SYN反彈機制來進(jìn)行流量清洗,則收到客戶端到 目的服務(wù)器的SYN包�,流量清洗裝置可偽造其為目的服務(wù)器,和客戶端進(jìn)行通信�����,回應(yīng)一個 特殊構(gòu)造的確認(rèn)序列號的SYN-ACK包�����,如果SYN包內(nèi)的客戶端源IP是真實的��,則該客戶端 會收到流量清洗裝置發(fā)送過來的特殊的SYN-ACK包�����,同時其會構(gòu)造一個原確認(rèn)序列號的相 同的序列號的RST包��,流量清洗裝置根據(jù)包的信息進(jìn)行判斷����,如果該序列號和初試構(gòu)造的 SYN-ACK包的序列號相同���,則認(rèn)為是真實的���,并把該IP加入白名單�。然后該客戶端會自動重 新發(fā)SYN包����,流量清洗裝置收到后查詢到白名單,則可以直接轉(zhuǎn)發(fā)��。
若流量清洗裝置基于TCP代理機制來進(jìn)行流量清洗�,則當(dāng)客戶端SYN包到達(dá)流量 清洗裝置時,其SYN代理并不轉(zhuǎn)發(fā)SYN包��,而是以服務(wù)器的名義主動回復(fù)客戶端SYN-ACK包 給客戶��,如果收到客戶端的ACK包���,表明這是正常的訪問�,此時流量清洗裝置向服務(wù)器發(fā)送SYN包并完成三次握手��,然后流量清洗裝置代表客戶端和服務(wù)端分別進(jìn)行與服務(wù)端和客戶 端進(jìn)行通信�����,完成轉(zhuǎn)發(fā)。
若流量清洗裝置基于UDP限流機制來進(jìn)行流量清洗��,則當(dāng)流量超過閾值時�,流量 清洗裝置對其流量進(jìn)行限制,從而達(dá)到防護(hù)的目的��。
若流量清洗裝置基于空連接檢測進(jìn)行流量清洗�����,流量清洗裝置可定時對防御防護(hù) IP的TCP連接數(shù)目進(jìn)行統(tǒng)計��,一旦發(fā)現(xiàn)該統(tǒng)計數(shù)值超過閾值��,則判斷發(fā)生空連接攻擊��,則可 以對發(fā)起連接過多的源IP進(jìn)行限制����。
若流量清洗裝置基于DNS TC反彈機制進(jìn)行流量清洗,流量清洗裝置可通過把DNS 的UDP通信方式轉(zhuǎn)化為TCP通信方式來解決DNS的安全防范問題�����,大幅增強DNS安全防護(hù) 能力�。DNS有一個特性���,就是當(dāng)客戶端發(fā)出請求��,如果DNS服務(wù)器準(zhǔn)備應(yīng)答時�,發(fā)現(xiàn)數(shù)據(jù)量過 大,超過512字節(jié)���,就會把DNS的報頭的Flag字段中的TC標(biāo)記至1��,然后把512個截斷的數(shù) 據(jù)返回給客戶端����,客戶端的域名解析器收到這個報文后首先讀取TC字段����,知道該報文是截 斷的,則采用TCP連接的方式主動向DNS的TCP端口進(jìn)行連接��,重新發(fā)出請求����,進(jìn)行信息交 換。
可以理解�,本實施例流量清洗裝置不限于使用上述流量清洗機制�,當(dāng)然還可以根 據(jù)需要采用其它流量清洗方式進(jìn)行流量清洗����,此處不再贅述。
405�、流量清洗裝置向云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點發(fā)送進(jìn)行流量清洗后的數(shù)據(jù)流量;
406���、云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點接收來自流量清洗裝置的進(jìn)行流量清洗后的 數(shù)據(jù)流����,向虛擬機Ai注入該清洗后的數(shù)據(jù)流量��。
可以理解����,云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點將流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù) 流回注到虛擬機Ai中,因此虛擬機Ai可接收到清洗后的數(shù)據(jù)流�����,也就可以進(jìn)行正常的響應(yīng) 和處理�����,有效的防護(hù)了外網(wǎng)或云計算系統(tǒng)內(nèi)其它虛擬機對虛擬機Ai的DDOS攻擊。
由上可見��,本實施例中由云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點來監(jiān)測注入虛擬機的數(shù)據(jù) 流量��;若監(jiān)測到注入該虛擬機的數(shù)據(jù)流量發(fā)生異常����,提取待注入該虛擬機的數(shù)據(jù)流發(fā)送給 流量清洗裝置進(jìn)行流量清洗����;并將流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流回注到該虛擬 機。由于是利用部署在云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點進(jìn)行DDOS防護(hù)�����,因而不僅可防護(hù)外網(wǎng)對云 計算系統(tǒng)內(nèi)虛擬機的DDOS攻擊��,更可有效的防護(hù)云計算系統(tǒng)內(nèi)的各個虛擬機間的DDOS攻 擊�����,進(jìn)而可全面提升云系統(tǒng)的安全性和可靠性����。
為便于更好的實施本發(fā)明實施例的上述技術(shù)方案�����,下面還提供用于實施上述技術(shù) 方案的裝置和系統(tǒng)�����。
實施例三
參見圖5�,本發(fā)明實施例提供的一種云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點500�,其中云計算系 統(tǒng)包括防護(hù)節(jié)點和多個虛擬機,各個虛擬機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點�����,云計算系統(tǒng) 內(nèi)防護(hù)節(jié)點500具體可以包括監(jiān)測模塊510���、提取發(fā)送模塊520�、接收模塊530和注入模塊 540���。
其中��,監(jiān)測模塊510�,用于監(jiān)測注入虛擬機的數(shù)據(jù)流量;
在一種應(yīng)用場景下��,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點500可以是云計算系統(tǒng)內(nèi)虛擬機管理 節(jié)點(該云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點可管理一臺或多臺位于相同或不同云計算系統(tǒng)內(nèi)10物理主機上的虛擬機)����,也可以是部署在云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點和云計算系統(tǒng)內(nèi)各 個虛擬機之間的裝置。外網(wǎng)與云計算系統(tǒng)內(nèi)各虛擬機間交互的數(shù)據(jù)流���,以及云計算系統(tǒng)內(nèi) 各個虛擬機間交互的數(shù)據(jù)流都經(jīng)過該云計算系統(tǒng)內(nèi)防護(hù)節(jié)點500�,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點 500可監(jiān)測注入各個虛擬機的數(shù)據(jù)流����。其中�����,注入某虛擬機的數(shù)據(jù)流可能來自外網(wǎng)���,也可能 來自云計算系統(tǒng)內(nèi)的其它虛擬機���。
其中,監(jiān)測模塊510可具體用于����,統(tǒng)計在預(yù)定時長(例如30秒��、一分鐘或其它值) 內(nèi)注入上述虛擬機的數(shù)據(jù)流量大?����?���;若統(tǒng)計出的預(yù)定時長內(nèi)注入上述虛擬機的數(shù)據(jù)流量大 小超過設(shè)定閾值(例如50MB�、100MB或其它值),則確定注入上述虛擬機的數(shù)據(jù)流量發(fā)生異堂巾ο
提取發(fā)送模塊520�����,用于在監(jiān)測模塊510監(jiān)測到注入上述虛擬機的數(shù)據(jù)流量發(fā)生 異常時�,提取待注入上述虛擬機的數(shù)據(jù)流,將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量 清洗��;
接收模塊530���,用于接收上述流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流���;
注入模塊M0����,用于向上述虛擬機注入接收模塊530接收的清洗后的數(shù)據(jù)流��。
參見圖5-b����,在一種應(yīng)用場景下,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點500還可包括
請求模塊550�����,用于在提取發(fā)送模塊520提取待注入上述虛擬機的數(shù)據(jù)流之前��,向 流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請求����;
響應(yīng)模塊560�����,用于接收來自上述流量清洗裝置的指示允許流量清洗的流量清洗 響應(yīng)���。
需要說明的是�,本實施例的云計算系統(tǒng)內(nèi)防護(hù)節(jié)點500可如上述方法實施例中的 云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點,可以用于配合實現(xiàn)上述方法實施例中的全部技術(shù)方案����,其 各個功能模塊的功能可以根據(jù)上述方法實施例中的方法具體實現(xiàn),其具體實現(xiàn)過程可參照 上述實施例中的相關(guān)描述��,此處不再贅述�。
由上可見,本實施例中在云計算系統(tǒng)內(nèi)部署防護(hù)節(jié)點�����,由云計算系統(tǒng)內(nèi)防護(hù)節(jié)點 500來監(jiān)測注入虛擬機的數(shù)據(jù)流量��;若監(jiān)測到注入該虛擬機的數(shù)據(jù)流量發(fā)生異常����,提取待 注入該虛擬機的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗;并將流量清洗裝置進(jìn)行流量清 洗后的數(shù)據(jù)流回注到該虛擬機�。由于是利用部署在云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點進(jìn)行DDOS防 護(hù),因而不僅可防護(hù)外網(wǎng)對云計算系統(tǒng)內(nèi)虛擬機的DDOS攻擊�,更可有效的防護(hù)云計算系統(tǒng) 內(nèi)的各個虛擬機間的DDOS攻擊,進(jìn)而可全面提升云系統(tǒng)的安全性和可靠性�����。
實施例四
參見圖6,本發(fā)明實施例提供的一種云計算系統(tǒng)的防護(hù)系統(tǒng)����,其中,云計算系統(tǒng)包 括防護(hù)節(jié)點和多個虛擬機�����,各個虛擬機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點�,防護(hù)系統(tǒng)可包括 云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610和流量清洗裝置620
其中,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610�����,用于監(jiān)測注入虛擬機的數(shù)據(jù)流量��;若監(jiān)測到注 入上述虛擬機的數(shù)據(jù)流量發(fā)生異常��,提取待注入上述虛擬機的數(shù)據(jù)流���,將提取的數(shù)據(jù)流發(fā) 送給流量清洗裝置620進(jìn)行流量清洗;接收流量清洗裝置620進(jìn)行流量清洗后的數(shù)據(jù)流����; 向上述虛擬機注入流量清洗裝置620進(jìn)行流量清洗后的數(shù)據(jù)流�����。
流量清洗裝置620��,用于對來自云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610的待注入虛擬機的數(shù) 據(jù)流進(jìn)行流量清洗��,向云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610發(fā)送進(jìn)行流量清洗后的數(shù)據(jù)流���。11
在一種應(yīng)用場景下,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610可為云計算系統(tǒng)內(nèi)虛擬機管理節(jié) 點(該云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點可管理一臺或多臺位于相同或不同云計算系統(tǒng)內(nèi)物 理主機上的虛擬機)�����,也可以是部署在云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點和云計算系統(tǒng)內(nèi)各個 虛擬機之間的裝置�����。外網(wǎng)與云計算系統(tǒng)內(nèi)各虛擬機間交互的數(shù)據(jù)流��,以及云計算系統(tǒng)內(nèi)各 個虛擬機間交互的數(shù)據(jù)流都經(jīng)過云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610��,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610 可監(jiān)測注入各個虛擬機的數(shù)據(jù)流��。其中�,注入某虛擬機的數(shù)據(jù)流可能來自外網(wǎng)����,也可能來自 云計算系統(tǒng)內(nèi)的其它虛擬機���。
在實際應(yīng)用中�,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610例如可統(tǒng)計在預(yù)定時長(例如30秒�����、 一分鐘或其它值)內(nèi)注入虛擬機的數(shù)據(jù)流量大?���。蝗艚y(tǒng)計出的在預(yù)定時長內(nèi)注入某一虛擬 機的數(shù)據(jù)流量大小超過設(shè)定閾值(例如50MB����、100MB或其它值),則可確定注入該虛擬機的數(shù)據(jù)流量發(fā)生異常�����。
在一種應(yīng)用場景����,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610若監(jiān)測到注入上述虛擬機的數(shù)據(jù)流 量發(fā)生異常,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610可直接提取待注入該虛擬機的數(shù)據(jù)流���,并直接將 提取的數(shù)據(jù)流量發(fā)送給流量清洗裝置620進(jìn)行流量清洗���。或者����,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610 在監(jiān)測到注入上述虛擬機的數(shù)據(jù)流量發(fā)生異常后,可先向流量清洗裝置620發(fā)送指示請求 流量清洗的流量清洗請求���;若接收來自該流量清洗裝置620的指示允許流量清洗的流量清 洗響應(yīng)(說明流量清洗裝置620有足夠的清洗資源)��,再提取待注入該虛擬機的數(shù)據(jù)流�����,并 將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置620進(jìn)行流量清洗����;此外���,若接收來自該流量清洗裝 置620的指示不允許流量清洗的流量清洗響應(yīng)(說明流量清洗裝置620可能暫時沒有足夠 的清洗資源)����,則云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610可再等待一定時長(例如2秒、5秒或其它值) 后�,再向流量清洗裝置620發(fā)送指示請求流量清洗的流量清洗請求,以此重復(fù)����,直至流量清 洗裝置620完成流量清洗。
特別的����,如果有多臺流量清洗裝置可供選擇,則若當(dāng)前請求流量清洗的流量清洗 裝置620暫無足夠的清洗資源��,云計算系統(tǒng)內(nèi)防護(hù)節(jié)點610可請求其它流量清洗裝置來進(jìn) 行流量清洗��。
在實際應(yīng)用中����,數(shù)據(jù)流量異常可能由UDP flood�、SYN flood、ICMP Flood或其它 DDOS攻擊引起的�����,而發(fā)起該DDOS攻擊的可能是外網(wǎng),也可能是云計算系統(tǒng)內(nèi)的其它虛擬 機����。
流量清洗裝置620可為獨立設(shè)置的流量清洗板��,亦可是其它部署架構(gòu)��,流量清洗 裝置620可選用SYN反彈�����、TCP代理�、UDP限流、空連接檢測����、DNS TC反彈和/或現(xiàn)有的其它 一種或多種技術(shù)進(jìn)行流量清洗。
需要說明的是�����,對于前述的各方法實施例�����,為了簡單描述,故將其都表述為一系列 的動作組合��,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉��,本發(fā)明并不受所描述的動作順序的限制��,因為 依據(jù)本發(fā)明���,某些步驟可以采用其他順序或者同時進(jìn)行����。其次�,本領(lǐng)域技術(shù)人員也應(yīng)該知 悉,說明書中所描述的實施例均屬于優(yōu)選實施例����,所涉及的動作和模塊并不一定是本發(fā)明 所必須的。
在上述實施例中���,對各個實施例的描述都各有側(cè)重�����,某個實施例中沒有詳述的部 分���,可以參見其他實施例的相關(guān)描述��。
綜上��,本發(fā)明實施例中在云計算系統(tǒng)內(nèi)部署防護(hù)節(jié)點,由云計算系統(tǒng)內(nèi)防護(hù)節(jié)點來監(jiān)測注入虛擬機的數(shù)據(jù)流量����;若監(jiān)測到注入該虛擬機的數(shù)據(jù)流量發(fā)生異常,提取待注入 該虛擬機的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗��;并將流量清洗裝置進(jìn)行流量清洗后 的數(shù)據(jù)流回注到該虛擬機�����。由于是利用部署在云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點進(jìn)行DDOS防護(hù)�����,因 而不僅可防護(hù)外網(wǎng)對云計算系統(tǒng)內(nèi)虛擬機的DDOS攻擊�,更可有效的防護(hù)云計算系統(tǒng)內(nèi)的 各個虛擬機間的DDOS攻擊,進(jìn)而可全面提升云系統(tǒng)的安全性和可靠性�。
本領(lǐng)域普通技術(shù)人員可以理解上述實施例的各種方法中的全部或部分步驟是可 以通過程序來指令相關(guān)的硬件來完成����,該程序可以存儲于一計算機可讀存儲介質(zhì)中���,存儲 介質(zhì)可以包括只讀存儲器����、隨機存儲器����、磁盤或光盤等。
以上對本發(fā)明實施例所提供的云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法以及裝置和 系統(tǒng)進(jìn)行了詳細(xì)介紹�����,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進(jìn)行了闡述���,以 上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想��;同時�,對于本領(lǐng)域的一般 技術(shù)人員��,依據(jù)本發(fā)明的思想��,在具體實施方式
及應(yīng)用范圍上均會有改變之處,綜上��,本說 明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制��。
權(quán)利要求
1.一種云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法����,其特征在于,包括云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點監(jiān)測注入虛擬機的數(shù)據(jù)流量��,其中�,所述云計算系統(tǒng)包括防 護(hù)節(jié)點和多個虛擬機�,各個虛擬機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點;若監(jiān)測到注入所述虛擬機的數(shù)據(jù)流量發(fā)生異常�����,提取待注入所述虛擬機的數(shù)據(jù)流���; 將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗���; 接收所述流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流; 向所述虛擬機注入清洗后的數(shù)據(jù)流���。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,所述云計算系統(tǒng)內(nèi)防護(hù)節(jié)點包括云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點。
3.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于, 所述監(jiān)測注入虛擬機的數(shù)據(jù)流量����,包括統(tǒng)計在預(yù)定時長內(nèi)注入所述虛擬機的數(shù)據(jù)流量大小�����;若統(tǒng)計出的預(yù)定時長內(nèi)注入所述虛擬機的數(shù)據(jù)流量大小超過設(shè)定閾值���,則確定注入所 述虛擬機的數(shù)據(jù)流量發(fā)生異常�����。
4.根據(jù)權(quán)利要求1或2所述的方法���,其特征在于�����,所述提取待注入所述虛擬機的數(shù)據(jù)流 量�,之前還包括向流量清洗裝置發(fā)送指示請求流量清洗的流量清洗請求����; 接收來自所述流量清洗裝置的指示允許流量清洗的流量清洗響應(yīng)。
5.一種云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點���,其特征在于���,云計算系統(tǒng)包括防護(hù)節(jié)點和多個虛擬 機��,各個虛擬機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點�����,所述防護(hù)節(jié)點包括監(jiān)測模塊��,用于監(jiān)測注入虛擬機的數(shù)據(jù)流量��;提取發(fā)送模塊,用于在所述監(jiān)測模塊監(jiān)測到注入所述虛擬機的數(shù)據(jù)流量發(fā)生異常時���, 提取待注入所述虛擬機的數(shù)據(jù)流���,將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗; 接收模塊�,用于接收所述流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流; 注入模塊���,用于向所述虛擬機注入所述接收模塊接收的清洗后的數(shù)據(jù)流���。
6.根據(jù)權(quán)利要求1所述的防護(hù)節(jié)點,其特征在于����, 所述防護(hù)節(jié)點包括云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點。
7.根據(jù)權(quán)利要求5或6所述的防護(hù)節(jié)點���,其特征在于��,所述監(jiān)測模塊具體用于����,統(tǒng)計在預(yù)定時長內(nèi)注入所述虛擬機的數(shù)據(jù)流量大小���;若統(tǒng)計 出的預(yù)定時長內(nèi)注入所述虛擬機的數(shù)據(jù)流量大小超過設(shè)定閾值����,則確定注入所述虛擬機的 數(shù)據(jù)流量發(fā)生異常��。
8.根據(jù)權(quán)利要求5或6所述的防護(hù)節(jié)點�,其特征在于,還包括發(fā)送模塊��,用于在所述提取發(fā)送模塊提取待注入所述虛擬機的數(shù)據(jù)流量之前���,向流量 清洗裝置發(fā)送指示請求流量清洗的流量清洗請求���;接收模塊,用于接收來自所述流量清洗裝置的指示允許流量清洗的流量清洗響應(yīng)�。
9.一種云計算系統(tǒng)的防護(hù)系統(tǒng)���,其特征在于�,云計算系統(tǒng)包括防護(hù)節(jié)點和多個虛擬機, 各個虛擬機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點�,所述防護(hù)系統(tǒng)包括云計算系統(tǒng)內(nèi)防護(hù)節(jié)點,用于監(jiān)測注入虛擬機的數(shù)據(jù)流量�����;若監(jiān)測到注入所述虛擬機 的數(shù)據(jù)流量發(fā)生異常�,提取待注入所述虛擬機的數(shù)據(jù)流,將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗���;接收所述流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流���;向所述虛擬機注入 清洗后的數(shù)據(jù)流;流量清洗裝置�����,用于對來自云計算系統(tǒng)內(nèi)防護(hù)節(jié)點的待注入虛擬機的數(shù)據(jù)流進(jìn)行流量 清洗���,向所述云計算系統(tǒng)內(nèi)防護(hù)節(jié)點發(fā)送進(jìn)行流量清洗后的數(shù)據(jù)流����。
10.根據(jù)權(quán)利要求9所述的防護(hù)系統(tǒng)���,其特征在于�����, 所述云計算系統(tǒng)內(nèi)防護(hù)節(jié)點包括云計算系統(tǒng)內(nèi)虛擬機管理節(jié)點����。
全文摘要
本發(fā)明實施例公開了一種云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法以及裝置和系統(tǒng),其中�,一種云系統(tǒng)分布式拒絕服務(wù)攻擊防護(hù)方法,包括云計算系統(tǒng)內(nèi)的防護(hù)節(jié)點監(jiān)測注入虛擬機的數(shù)據(jù)流量�����,其中�,該云計算系統(tǒng)包括防護(hù)節(jié)點和多個虛擬機,各個虛擬機之間交互的數(shù)據(jù)流經(jīng)過防護(hù)節(jié)點��;若監(jiān)測到注入該虛擬機的數(shù)據(jù)流量發(fā)生異常����,提取待注入該虛擬機的數(shù)據(jù)流;將提取的數(shù)據(jù)流發(fā)送給流量清洗裝置進(jìn)行流量清洗����;接收該流量清洗裝置進(jìn)行流量清洗后的數(shù)據(jù)流;向上述虛擬機注入清洗后的數(shù)據(jù)流�。本發(fā)明實施例提供的方案,能夠有效的防護(hù)云系統(tǒng)內(nèi)各個虛擬機間的分布式拒絕服務(wù)攻擊�。
文檔編號G06F21/00GK102043917SQ20101057722
公開日2011年5月4日 申請日期2010年12月7日 優(yōu)先權(quán)日2010年12月7日
發(fā)明者蔣武 申請人:成都市華為賽門鐵克科技有限公司