[发明专利]基于拟态防御的安全云服务构建方法及装置

说明书

技术领域

本发明属于网络空间安全技术领域，尤其涉及基于拟态防御的安全云服务构建方法及装置。

背景技术

云计算提供了一种按需使用并付费的低成本IT基础设施。随着云计算发展，兴起了一种新的以提供云服务为核心的商业模式，并得到了广泛应用，如微软的Windows Azure、阿里云和亚马逊的Amazon EC2（Elastic Compute Cloud）等。云计算有很多优点，如易扩展、高可用、随时取用等，对于中小企业，可以不必投入大量的资金进行基础设施建设，只需花少量的资金就可以得到想要的服务，并且可以快速的实现部署。

公有云无论是从成本还是使用的便捷性方面都有着无可比拟的优势，包括可将应用部署到公有云上运行，对外提供服务。这是当前很多企业将业务迁移到云上的重要原因。因此，随着云计算技术的快速发展，很多服务迁移到了云上，云计算与我们的生活联系的越来越紧密。但是，云计算同时也面临着非常严重的安全问题，如漏洞利用攻击问题。云计算由于使用了虚拟化技术，相比于传统的计算技术具有更大的攻击面，攻击者可以通过合法地租用虚拟机对其所在云进行各种攻击，如共存攻击、逃逸攻击等，攻击者可以利用虚拟化漏洞攻击虚拟化平台、获取宿主机的管理权限并窃取其他租户信息或篡改云服务等。

同时，云内环境的单一性、同质性、漏洞与后门存在的普遍性放大了这一威胁，当前公有云提供商为了管理和开发的便利，大多采用单一架构。这种情况使更加集中的大规模云数据中心成了攻击的放大器。当前的云防御手段难以保证云服务的可靠运行，如防火墙、入侵检测等严重依赖于先验知识，无法彻底解决云中基于未知或未打补丁的漏洞进行攻击的问题；同时难以相信多租户环境下的单一云提供商的安全承诺及其可靠性，单一云提供商带来的安全威胁对一些关键服务的运行是致命的，同时对于租赁云提供商相应资源的服务提供商而言，云提供商不保证应用本身的安全性。这些安全问题需要新的安全手段为建立安全可靠的云服务提供依据，以确保云服务的可用性、可信性、安全性和可靠性，而不能完全依赖云提供商。

发明内容

本发明的目的在于克服上述的不足，提供了一种基于拟态防御的安全云服务构建方法及装置，以解决依赖单一云服务带来的安全问题，提高云服务的安全性和可靠性，保证对访问请求的正确响应。

为了实现上述目的，本发明采用以下技术方案：

基于拟态防御的安全云服务构建方法，包括以下步骤：

步骤1：搭建云服务执行体资源池；

步骤2：将访问请求转发至在线的云服务执行体，在线的云服务执行体对访问请求进行处理，并返回处理结果；

步骤3：根据拟态裁决准则对处理结果进行拟态裁决，将拟态裁决后的结果作为最终响应进行输出；

步骤4：根据拟态裁决情况对云服务执行体进行动态调度。

优选地，所述步骤1包括：

步骤1.1：申请云主机；

步骤1.2：在云主机上安装云业务应用软件；

步骤1.3：对云主机及云服务进行安全配置。

优选地，在所述步骤2之前还包括：输入对云服务的访问请求。

优选地，所述步骤2包括：

步骤2.1：接收对云服务的访问请求；

步骤2.2：对访问请求建立队列，并进行标记、编号；

步骤2.3：将访问请求转发至在线的云服务执行体进行处理；

步骤2.4：返回处理结果。

优选地，在所述步骤3之前还包括：

将处理结果保持同步并建立处理结果缓存队列；

对处理结果的非语义部分进行处理，屏蔽语法的不一致。

优选地，所述拟态裁决包括：比较处理结果并进行投票表决，将多数投票表决一致的处理结果作为最终响应返回给用户，所述拟态裁决准则决定投票表决一致的处理结果的个数。

优选地，所述步骤4包括：

步骤4.1：根据拟态裁决情况，从执行体资源池中重新选择在线云服务执行体进行调度；

步骤4.2：对离线的云服务执行体进行操作，包括：漏洞修复、数据更新；

步骤4.3：根据在线云服务执行体数量的变化，调整拟态裁决准则。

基于上述的基于拟态防御的安全云服务构建方法的基于拟态防御的安全云服务构建装置，包括：

搭建模块，用于搭建云服务执行体资源池；

转发处理模块，用于将访问请求转发至在线的云服务执行体，在线的云服务执行体对访问请求进行处理，并返回处理结果；