本發(fā)明屬于網(wǎng)絡(luò)信息安全
技術(shù)領(lǐng)域：
，尤其涉及一種基于虛擬機服務(wù)跳變的網(wǎng)絡(luò)安全防御方法。
背景技術(shù)：
：隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。網(wǎng)絡(luò)安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權(quán)者訪問，這是人們提到的網(wǎng)絡(luò)安全性時最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進行事務(wù)處理之前先確認對方的身份。反拒認主要與簽名有關(guān)。保密和完整性通過使用注冊過的郵件和文件鎖來。以上傳統(tǒng)的防護方式，主要通過訪問控制、特征防御等被動的防御方式來進行防御。但是互聯(lián)網(wǎng)上攻擊攻擊方式層出不窮，被動的防御方式是不可能完全防御來自互聯(lián)網(wǎng)的攻擊。技術(shù)實現(xiàn)要素：鑒于上述問題，本發(fā)明的目的在于提供一種基于虛擬機服務(wù)跳變的網(wǎng)絡(luò)安全防御方法，旨在解決現(xiàn)有網(wǎng)絡(luò)安全防御方法不可能完全防御來自互聯(lián)網(wǎng)的攻擊的技術(shù)問題。本發(fā)明采用如下技術(shù)方案：所述基于虛擬機服務(wù)跳變的網(wǎng)絡(luò)安全防御方法包括下述步驟：創(chuàng)建并管理服務(wù)；對于當前服務(wù)，從跳變序列中提取一個跳變元組，并將當前跳變元組指針指向下一個跳變元組，所述跳變元組包括跳變元組編號、跳變超時時間、虛擬機類型、服務(wù)實例編號；按照跳變元組提取服務(wù)實例信息，所述服務(wù)實例信息包括服務(wù)IP地址、服務(wù)端口號；按照跳變超時時間和跳變速度因子設(shè)置跳變計時器；根據(jù)跳變元組服務(wù)實例信息，通過服務(wù)實例的IP地址和端號重新修改對應(yīng)的服務(wù)代理配置文件，重新加載服務(wù)代理配置文件后生效；當客戶端有請求發(fā)出時，處理客戶端的請求，此期間跳變元組的虛擬機類型作為當前對外類型，直到跳變計時器超時，重新提取跳變元組。進一步的，按照跳變元組中的跳變超時時間除以跳變因子后的時間長度設(shè)置跳變計時器。進一步的，所述創(chuàng)建并管理服務(wù)步驟具體包括：當需要創(chuàng)建服務(wù)時，剛開始為關(guān)閉狀態(tài)Closed，當接收到創(chuàng)建服務(wù)消息后進入服務(wù)初始化狀態(tài)ServiceInit，創(chuàng)建的服務(wù)保存在服務(wù)列表serviceList中，當接收到創(chuàng)建服務(wù)實例消息后進入實例初始化狀態(tài)InstanceInit，當接收到跳變序列后進入暫停狀態(tài)Stopped，Stopped狀態(tài)服務(wù)接收到啟動服務(wù)消息后會進入運行狀態(tài)Running，服務(wù)開始運行，同時服務(wù)跳變也開始執(zhí)行。進一步的，當接收到創(chuàng)建服務(wù)消息后，還要先進行消息解析，創(chuàng)建服務(wù)消息中包含該服務(wù)名稱和服務(wù)端口號，接收到創(chuàng)建服務(wù)消息后會首先檢查此服務(wù)名稱是否已經(jīng)在服務(wù)列表中存在，如果存在，立即返回失敗，說明為該服務(wù)已經(jīng)存在；若不存在，則進入服務(wù)初始化狀態(tài)ServiceInit，創(chuàng)建的服務(wù)保存在服務(wù)列表serviceList中，當接收到創(chuàng)建服務(wù)實例消息后進入實例初始化狀態(tài)InstanceInit，當接收到跳變序列后進入暫停狀態(tài)Stopped，Stopped狀態(tài)服務(wù)接收到啟動服務(wù)消息后會進入運行狀態(tài)Running，此時創(chuàng)建的服務(wù)保存在服務(wù)列表serviceList中，最后回復(fù)創(chuàng)建服務(wù)成功，服務(wù)開始運行。進一步的，在所述創(chuàng)建并管理服務(wù)步驟中，當接收到刪除服務(wù)消息DeleteService后，進行消息解析，刪除服務(wù)消息中包含該服務(wù)名稱，接收到該消息后會首先檢查該服務(wù)名稱是否在服務(wù)列表中存在，如果不存在，則立即回復(fù)失敗，說明為該服務(wù)不存在；然后檢查該服務(wù)狀態(tài)是否為Running狀態(tài)，若是Running狀態(tài)，直接回復(fù)請停止服務(wù)后再刪除；若檢查通過，清除該服務(wù)對應(yīng)的服務(wù)實例和跳變序列，清除服務(wù)列表中對應(yīng)該服務(wù)信息，最后回復(fù)刪除服務(wù)成功。進一步的，在所述創(chuàng)建并管理服務(wù)步驟中，當接收到查詢服務(wù)消息GetServices后，將服務(wù)列表中的所有服務(wù)信息，包括服務(wù)名稱、端口號封裝為查詢結(jié)果消息并返回。進一步的，所述接收到啟動服務(wù)消息后會進入運行狀態(tài)Running，服務(wù)開始運行，同時服務(wù)跳變也開始執(zhí)行步驟具體包括：當接收到啟動服務(wù)消息StartService后，啟動服務(wù)消息中包含啟動服務(wù)名稱，若該服務(wù)名稱在服務(wù)列表serviceList中不存在，直接回復(fù)啟動服務(wù)失敗，若該服務(wù)狀態(tài)不是Stopped狀態(tài)，則回復(fù)服務(wù)還沒有就緒；若檢查通過，則進行服務(wù)代理配置并加載，啟動跳變流程，將該服務(wù)狀態(tài)修改為Running狀態(tài)，最后返回服務(wù)啟動完成。進一步的，對于處于運行狀態(tài)Running的服務(wù)，當接收到停止服務(wù)消息StopService時，停止服務(wù)消息中包含停止服務(wù)名稱，首先檢查該服務(wù)服務(wù)列表serviceList中是否存在，若存在則停止該服務(wù)對應(yīng)的跳變流程和清除服務(wù)代理配置，停止該服務(wù)的代理，最后返回服務(wù)關(guān)閉成功。本發(fā)明的有益效果是：本發(fā)明可以選擇提供服務(wù)的虛擬機，通過不斷變化的虛擬機類型和每種虛擬機類型的服務(wù)時間，讓攻擊者無法獲知何時采用何種虛擬機類型服務(wù)，進而無法利用某個操作系統(tǒng)或系統(tǒng)軟件的漏洞對服務(wù)端進行攻擊。附圖說明圖1是本發(fā)明實施例提供的基于虛擬機服務(wù)跳變的網(wǎng)絡(luò)安全防御方法的流程圖；圖2是服務(wù)狀態(tài)遷移示意圖。具體實施方式為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進行進一步詳細說明。應(yīng)當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。為了說明本發(fā)明所述的技術(shù)方案，下面通過具體實施例來進行說明。圖1示出了本發(fā)明實施例提供的基于虛擬機服務(wù)跳變的網(wǎng)絡(luò)安全防御方法的流程，為了便于說明僅示出了與本發(fā)明實施例相關(guān)的部分。本實施例提供的基于虛擬機服務(wù)跳變的網(wǎng)絡(luò)安全防御方法包括下述步驟：步驟S1、創(chuàng)建并管理服務(wù)。創(chuàng)建的服務(wù)保存在服務(wù)列表serviceList中，每個服務(wù)具有一個服務(wù)狀態(tài)，服務(wù)狀態(tài)包括關(guān)閉狀態(tài)Closed、服務(wù)初始化狀態(tài)ServiceInit、實例初始化狀態(tài)InstanceInit、暫停狀態(tài)Stopped和運行狀態(tài)Running。服務(wù)狀態(tài)遷移如圖2所示，針對一個服務(wù)，剛開始為Closed狀態(tài)，當接收到創(chuàng)建服務(wù)的消息后進入ServiceInit狀態(tài)，當接收到創(chuàng)建服務(wù)實例消息后進入InstanceInit狀態(tài)，接收跳變序列后進入Stopped狀態(tài)。Stopped狀態(tài)服務(wù)接收到啟動服務(wù)消息會進入Running狀態(tài)，此時服務(wù)開始運行，同時服務(wù)跳變也開始執(zhí)行。另外，處于Running狀態(tài)的服務(wù)可以通過停止服務(wù)消息，將其狀態(tài)變?yōu)镾topped狀態(tài)，服務(wù)和跳變也相應(yīng)停止。ServiceInit、InstanceInit和Stopped狀態(tài)都可以接收和處理刪除服務(wù)消息，服務(wù)刪除后相應(yīng)的服務(wù)實例列表和跳變序列也同時被刪除，服務(wù)狀態(tài)就會恢復(fù)為Closed狀態(tài)。若Running狀態(tài)收到刪除服務(wù)消息，則服務(wù)狀態(tài)不變，所以服務(wù)應(yīng)當先停止再刪除。服務(wù)(Service)是指一個Web應(yīng)用，位于客戶端和服務(wù)器之間的服務(wù)跳變代理設(shè)備同時支持代理多個Web應(yīng)用，不同的Web應(yīng)用通過端口號區(qū)分。服務(wù)的成員變量包括：服務(wù)名稱(serviceName)、服務(wù)端口號(port)、對應(yīng)的跳變序列(hoppingTupleList)、服務(wù)當前狀態(tài)(serviceState)、當前跳變元組ID(currentTupleId)、跳變計時器(hoppingTimer)、跳變速率調(diào)節(jié)因子(hoppingSepeedFactor)。步驟S2、對于當前服務(wù)，從跳變序列中提取一個跳變元組，并將當前跳變元組指針指向下一個跳變元組。跳變序列是由一系列跳變元組組成(HoppingTuple類)，跳變元組其成員包括：跳變元組編號(tupleId)、跳變超時時間(timeLength)、虛擬機類型(Virtualtype)、服務(wù)實例編號(instanceId)，通過服務(wù)實例編號instanceId可以查找到對應(yīng)的服務(wù)實例信息。跳變序列有多個跳變元組，通過跳變元組編號予以區(qū)分，根據(jù)服務(wù)的當前跳變元組ID(currentTupleId)提取對應(yīng)的跳變元組，然后將指針指向當前跳變序列的下一個跳變元組，以后續(xù)實現(xiàn)遍歷跳變序列。步驟S3、按照跳變元組提取服務(wù)實例信息。服務(wù)實例(ServiceInstance類)對應(yīng)一個啟動了某個Web應(yīng)用服務(wù)的虛擬機實例，服務(wù)實例信息包括服務(wù)IP地址(ipAddress)、服務(wù)端口號(port)。通過該IP地址和端口，即可以訪問其提供的Web應(yīng)用服務(wù)。步驟S4、按照跳變超時時間和跳變速度因子設(shè)置跳變計時器。具體的，根據(jù)跳變元組中的跳變超時時間除以跳變因子后的時間長度設(shè)置跳變計時器，如果跳變因子為1，則跳變計時器的時間設(shè)置就是所述跳變超時時間。步驟S5、根據(jù)跳變元組服務(wù)實例信息，通過服務(wù)實例的IP地址和端號重新修改對應(yīng)的服務(wù)代理配置文件，重新加載服務(wù)代理配置文件后生效。對于創(chuàng)建的服務(wù)，需用通過服務(wù)代理提供接口，將服務(wù)轉(zhuǎn)化為服務(wù)代理配置文件，服務(wù)代理配置通過加載配置文件按照服務(wù)和服務(wù)實例信息提供代理服務(wù)。此后，所有連接請求都會轉(zhuǎn)給新的服務(wù)實例處理。步驟S6、當客戶端有請求發(fā)出時，處理客戶端的請求，此期間跳變元組的虛擬機類型作為當前對外類型，直到跳變計時器超時，重新提取跳變元組。虛擬機類型包括操作系統(tǒng)和應(yīng)用服務(wù)器的類型，比如下表1所示：TomcatIISNginxApacheWindows2008Y(1)Y(6)Y(9)Y(14)WindowsXPY(2)Y(7)Y(10)Y(15)Windows7Y(3)Y(8)Y(11)Y(16)Centos6.5Y(4)NY(12)Y(17)Ubuntu14.04Y(5)NY(13)Y(18)中標麒麟Y(19)NY(20)Y(21)表1應(yīng)用服務(wù)器的類型有多種，比如Tomcat、IIS、Nginx、Apache等，服務(wù)器的操作系統(tǒng)也可支持多種，比如Windows2008、WindowsXP、Windows7、Centos6.5、Ubuntu14.04、中標麒麟等，表中標注Y后方的括號表示支持的的多種組合，比如Y(6)表示采用Windows2008操作系統(tǒng)的IIS服務(wù)器，且包括6種組合類型。表中N表示不支持。當客戶端需要向服務(wù)端發(fā)出訪問請求時，直接處理客戶端請求，首先根據(jù)日志配置選擇是否將該消息記錄在日志文件中，接著通過查詢白名單檢查該客戶IP是否具有訪問該服務(wù)的權(quán)限，然后對該請求進行速率控制，防止惡意用戶的使用過多的系統(tǒng)資源，最后代理該客戶端將該請求發(fā)送給對應(yīng)服務(wù)的Web服務(wù)器處理。在整個過程產(chǎn)生了服務(wù)代理，在跳變計時器的每個統(tǒng)計周期(即虛擬機類型的服務(wù)時間內(nèi))，跳變元組中的虛擬機類型作為對外顯示的類型，因此通過不斷變化的虛擬機類型和每種虛擬機類型的服務(wù)時間，讓攻擊者無法獲知何時采用何種虛擬機類型服務(wù)，進而無法利用某個操作系統(tǒng)或系統(tǒng)軟件的漏洞對服務(wù)端進行攻擊，客戶端的請求也就非常隱蔽，無法被攻擊者破解。另外，本發(fā)明中，在客戶端和服務(wù)器之間，通過代理訪問的方式，服務(wù)代理配置直接通過加載配置文件實現(xiàn)，屏蔽后臺的動態(tài)服務(wù)切換對客戶端訪問的影響。當跳變計時器超時后，由于在步驟S2中，當前跳變元組指針已經(jīng)指向下一個跳變元組，因此根據(jù)指針即可讀取到下一個新的跳變元組，進而實現(xiàn)虛擬機類型和服務(wù)器時間不間斷跳變，增加了網(wǎng)絡(luò)安全性。上述步驟S1中，結(jié)合圖2所述，當接收到創(chuàng)建服務(wù)消息后，還要先進行消息解析，創(chuàng)建服務(wù)消息中包含該服務(wù)名稱和服務(wù)端口號，接收到創(chuàng)建服務(wù)消息后會首先檢查此服務(wù)名稱是否已經(jīng)在服務(wù)列表中存在，如果存在，立即返回失敗，說明為該服務(wù)已經(jīng)存在；若不存在，則進入服務(wù)初始化狀態(tài)ServiceInit，創(chuàng)建的服務(wù)保存在服務(wù)列表serviceList中，當接收到創(chuàng)建服務(wù)實例消息后進入實例初始化狀態(tài)InstanceInit，當接收到跳變序列后進入暫停狀態(tài)Stopped，Stopped狀態(tài)服務(wù)接收到啟動服務(wù)消息后會進入運行狀態(tài)Running，此時創(chuàng)建的服務(wù)保存在服務(wù)列表serviceList中，最后回復(fù)創(chuàng)建服務(wù)成功，服務(wù)開始運行。當接收到刪除服務(wù)消息DeleteService后，進行消息解析，刪除服務(wù)消息中包含該服務(wù)名稱，接收到該消息后會首先檢查該服務(wù)名稱是否在服務(wù)列表中存在，如果不存在，則立即回復(fù)失敗，說明為該服務(wù)不存在；然后檢查該服務(wù)狀態(tài)是否為Running狀態(tài)，若是Running狀態(tài)，直接回復(fù)請停止服務(wù)后再刪除；若檢查通過，清除該服務(wù)對應(yīng)的服務(wù)實例和跳變序列，清除服務(wù)列表中對應(yīng)該服務(wù)信息，最后回復(fù)刪除服務(wù)成功。當接收到查詢服務(wù)消息GetServices后，將服務(wù)列表中的所有服務(wù)信息，包括服務(wù)名稱、端口號封裝為查詢結(jié)果消息并返回。當接收到啟動服務(wù)消息StartService后，啟動服務(wù)消息中包含啟動服務(wù)名稱，若該服務(wù)名稱在服務(wù)列表serviceList中不存在，直接回復(fù)啟動服務(wù)失敗，若該服務(wù)狀態(tài)不是Stopped狀態(tài)，則回復(fù)服務(wù)還沒有就緒；若檢查通過，則進行服務(wù)代理配置并加載，啟動跳變流程，將該服務(wù)狀態(tài)修改為Running狀態(tài)，最后返回服務(wù)啟動完成。對于處于運行狀態(tài)Running的服務(wù)，當接收到停止服務(wù)消息StopService時，停止服務(wù)消息中包含停止服務(wù)名稱，首先檢查該服務(wù)服務(wù)列表serviceList中是否存在，若存在則停止該服務(wù)對應(yīng)的跳變流程和清除服務(wù)代理配置，停止該服務(wù)的代理，最后返回服務(wù)關(guān)閉成功。以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。當前第1頁1 2 3