一種云原生系統(tǒng)的抗DDoS策略部署方法

本發(fā)明涉及網(wǎng)絡(luò)安全，更具體的說(shuō)涉及一種云原生系統(tǒng)的抗ddos策略部署方法。

背景技術(shù)：

1、ddos攻擊是當(dāng)前網(wǎng)絡(luò)攻擊中最重要的攻擊手段之一，其由dos攻擊演變而來(lái)，特點(diǎn)在于ddos攻擊能夠通過(guò)大量的請(qǐng)求迅速耗盡目標(biāo)系統(tǒng)的資源，導(dǎo)致其無(wú)法正常提供服務(wù)。這種攻擊方式可能會(huì)對(duì)企業(yè)、組織或個(gè)人造成嚴(yán)重的經(jīng)濟(jì)損失和聲譽(yù)損失。

2、隨著互聯(lián)網(wǎng)的普及和各種設(shè)備的連接增加，ddos攻擊的規(guī)模和頻率也在不斷增長(zhǎng)，給網(wǎng)絡(luò)安全帶來(lái)了更大的挑戰(zhàn)。

3、云網(wǎng)融合指云計(jì)算和通信網(wǎng)的結(jié)合，充分利用了云計(jì)算機(jī)和網(wǎng)絡(luò)各自的優(yōu)勢(shì)，云計(jì)算能夠根據(jù)需求動(dòng)態(tài)調(diào)整資源，網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)了數(shù)據(jù)的快速傳輸和更廣的覆蓋范圍，具備高靈活性和彈性。云網(wǎng)融合發(fā)展超算力向用戶端部署，實(shí)現(xiàn)云邊融合，通過(guò)中央云與邊緣云實(shí)現(xiàn)全網(wǎng)覆蓋，將云網(wǎng)能力發(fā)揮到極致。

4、云原生旨在利用云計(jì)算、容器化和微服務(wù)等技術(shù)，構(gòu)建高靈活性和易于管理的應(yīng)用程序，充分發(fā)揮云計(jì)算的潛力。云原生能夠根據(jù)需求部署應(yīng)用程序，應(yīng)用程序之間能夠靈活組合和聯(lián)動(dòng)，進(jìn)行自動(dòng)化管理，實(shí)現(xiàn)網(wǎng)絡(luò)功能的靈活部署，提高應(yīng)用程序的響應(yīng)速度和效率。

5、云網(wǎng)融合為各種云原生業(yè)務(wù)提供靈活充分的基礎(chǔ)條件。在云原生的基礎(chǔ)上，借助軟件化的理念，將傳統(tǒng)抗d抽象化為能力，突破現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的制約，實(shí)現(xiàn)系統(tǒng)功能的靈活組合和聯(lián)動(dòng)，具備調(diào)配、編排、擴(kuò)展和更新等新特性，解決傳統(tǒng)硬件部署僵化，成本高等問(wèn)題。

6、靈活部署指在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中能夠根據(jù)用戶需求，配置環(huán)境等，在任意時(shí)間，任意地點(diǎn)對(duì)服務(wù)或應(yīng)用進(jìn)行部署，并可以根據(jù)實(shí)際情況對(duì)服務(wù)或應(yīng)用進(jìn)行動(dòng)態(tài)調(diào)整，包括調(diào)整配置參數(shù)、改變部署位置、增加或減少資源等，使服務(wù)或應(yīng)用能夠適應(yīng)不同的環(huán)境和場(chǎng)景，包括不同的硬件平臺(tái)，操作系統(tǒng)，網(wǎng)絡(luò)環(huán)境等。

7、傳統(tǒng)抗d方法需要在物理網(wǎng)絡(luò)中部署相應(yīng)的硬件設(shè)備和軟件功能，導(dǎo)致傳統(tǒng)抗d系統(tǒng)缺乏靈活性和彈性，進(jìn)而延伸出無(wú)法按需部署，抗d策略難以互相兼容，部署成本高等問(wèn)題。目前，已經(jīng)存在可以將所有抗d功能抽象為能力的技術(shù)，其可以突破現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的制約；但是如何根據(jù)用戶需求，在云原生系統(tǒng)中的任意時(shí)間、任意地點(diǎn)部署抗d策略，且與當(dāng)前網(wǎng)絡(luò)環(huán)境相互兼容是亟需解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、為了克服上述現(xiàn)有技術(shù)中存在的缺陷和不足，本發(fā)明提供了一種云原生系統(tǒng)的抗ddos策略部署方法，本發(fā)明的發(fā)明目在于，基于現(xiàn)有將抗d策略抽象為能力的基礎(chǔ)上，如何根據(jù)用戶需求，在云原生系統(tǒng)中任意時(shí)間、任意地點(diǎn)部署抗d策略，以減少部署成本，使其與當(dāng)前網(wǎng)絡(luò)環(huán)境相互兼容。

2、為了解決上述現(xiàn)有技術(shù)中存在的問(wèn)題，本發(fā)明是通過(guò)下述技術(shù)方案實(shí)現(xiàn)的。

3、本發(fā)明提供了一種云原生系統(tǒng)的抗ddos策略部署方法，該方法包括以下步驟：

4、s1、使用云原生系統(tǒng)的用戶向云原生系統(tǒng)的控制中心發(fā)送抗d策略需求，控制中心對(duì)用戶的抗d策略需求進(jìn)行分析；具體的，

5、控制中心從用戶的抗d策略需求中確定用戶需求的關(guān)鍵屬性；再對(duì)用戶需求進(jìn)行風(fēng)險(xiǎn)評(píng)估；

6、s2、根據(jù)s1步驟控制中心根據(jù)用戶的抗d策略需求的分析結(jié)果，生成抗d策略，控制中心將抗d策略部署到用戶使用的云原生系統(tǒng)中；

7、所述抗d策略是控制中心通過(guò)對(duì)用戶需求的分析，對(duì)云原生系統(tǒng)當(dāng)前網(wǎng)絡(luò)狀態(tài)的感知，以及對(duì)未來(lái)攻擊的預(yù)測(cè)后，將能力抽象化并按照設(shè)定順序組合聯(lián)動(dòng)形成服務(wù)鏈下發(fā)部署至云原生系統(tǒng)而實(shí)現(xiàn)的；

8、所述能力是指，由傳統(tǒng)抗d功能抽象成的虛擬化組件；將傳統(tǒng)的抗d功能與硬件解耦，通過(guò)網(wǎng)絡(luò)編程在虛擬化的環(huán)境中實(shí)現(xiàn)網(wǎng)絡(luò)功能，使用管理和編排系統(tǒng)來(lái)配置、管理和優(yōu)化虛擬網(wǎng)絡(luò)功能，以容器的方式在云原生系統(tǒng)中的物理網(wǎng)絡(luò)的任意位置進(jìn)行部署。

9、進(jìn)一步優(yōu)選的，該方法還包括抗d策略部署后實(shí)時(shí)監(jiān)測(cè)步驟，即在抗d策略部署后，控制中心實(shí)時(shí)接收用戶反饋和網(wǎng)絡(luò)能力的使用情況，采用檢測(cè)算法，監(jiān)測(cè)抗d策略是否達(dá)到用戶預(yù)期，如果未達(dá)到用戶預(yù)期的效果，控制中心下發(fā)控制指令，對(duì)已經(jīng)部署的抗d策略進(jìn)行優(yōu)化。

10、更進(jìn)一步優(yōu)選的，所述對(duì)已經(jīng)部署的抗d策略進(jìn)行優(yōu)化，包括重新調(diào)整抗d策略的部署方式。

11、更進(jìn)一步優(yōu)選的，控制中心下發(fā)控制指令，對(duì)已經(jīng)部署的抗d策略進(jìn)行優(yōu)化，包括以下三個(gè)觸發(fā)條件中的任意一種或多種的組合；

12、觸發(fā)條件一是物理網(wǎng)絡(luò)中突發(fā)的硬件故障、網(wǎng)絡(luò)連接故障以及認(rèn)為的調(diào)整；

13、觸發(fā)條件二是用戶需求和抗d策略因部署問(wèn)題而未達(dá)到用戶預(yù)期效果；

14、觸發(fā)條件三是多個(gè)抗d策略同時(shí)部署時(shí)，進(jìn)行負(fù)載均衡。

15、更進(jìn)一步優(yōu)選的，所述負(fù)載均衡具體是指，在多個(gè)抗d策略同時(shí)部署時(shí)，通過(guò)靈活調(diào)度的形式保持物理網(wǎng)絡(luò)中每個(gè)位置的計(jì)算、存儲(chǔ)和通信壓力均衡。

16、更進(jìn)一步優(yōu)選的，所述靈活調(diào)度的形式，具體是指，物理網(wǎng)絡(luò)中，某一節(jié)點(diǎn)或者某一鏈路的資源耗盡，其他節(jié)點(diǎn)或者鏈路的資源足夠，則將資源耗盡的節(jié)點(diǎn)或鏈路的能力部署到資源足夠的節(jié)點(diǎn)或鏈路中。

17、進(jìn)一步優(yōu)選的，s1步驟中，控制中心從用戶的抗d策略需求中確定用戶需求的關(guān)鍵屬性，該關(guān)鍵屬性包括用戶對(duì)某種特定能力的需求、用戶對(duì)抗d的時(shí)間確定性的需求或用戶對(duì)某個(gè)特定資源的需求。

18、進(jìn)一步優(yōu)選的，s1步驟中，對(duì)用戶需求進(jìn)行風(fēng)險(xiǎn)評(píng)估，具體是指，采用概率分析法或?qū)＜蚁到y(tǒng)的風(fēng)險(xiǎn)評(píng)估方法，對(duì)當(dāng)前用戶面臨的ddos攻擊風(fēng)險(xiǎn)、遭受的攻擊類型和潛在的攻擊源進(jìn)行綜合評(píng)估。

19、進(jìn)一步優(yōu)選的，s2步驟中，生成抗d策略后，控制中心在云原生系統(tǒng)的物理網(wǎng)絡(luò)中選擇合適的位置進(jìn)行部署，以容器的方式部署服務(wù)鏈上的各個(gè)能力。

20、更進(jìn)一步優(yōu)選的，抗d策略的部署位置根據(jù)用戶需求的關(guān)鍵屬性和云原生系統(tǒng)的物理網(wǎng)絡(luò)實(shí)際情況確定，云原生系統(tǒng)的物理網(wǎng)絡(luò)的實(shí)際情況包括各個(gè)節(jié)點(diǎn)或鏈路的資源占用情況或鏈路帶寬。

21、與現(xiàn)有技術(shù)相比，本發(fā)明所帶來(lái)的有益的技術(shù)效果表現(xiàn)在：

22、1、本發(fā)明可以根據(jù)用戶需求，在云原生系統(tǒng)中任意時(shí)間、任意地點(diǎn)部署抗d策略，與現(xiàn)有抗d策略部署方式相比，減少了部署成本，且抗d策略是結(jié)合對(duì)云原生系統(tǒng)當(dāng)前網(wǎng)絡(luò)狀態(tài)的感知以及對(duì)未來(lái)攻擊的預(yù)測(cè)而生成的，使得生成的抗d策略可以與當(dāng)前云原生系統(tǒng)的網(wǎng)絡(luò)環(huán)境相互兼容。

23、2、本發(fā)明將傳統(tǒng)抗d功能抽象成虛擬化組件形成抗d的各種能力，然后以容器的方式在云原生系統(tǒng)的物理網(wǎng)絡(luò)的任意位置進(jìn)行部署，解決了當(dāng)前網(wǎng)絡(luò)中抗d策略部署成本高的問(wèn)題，也解決了當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)固化且抗d功能依賴硬件設(shè)備，難以靈活部署的問(wèn)題。本發(fā)明根據(jù)用戶需求、對(duì)云原生系統(tǒng)當(dāng)前網(wǎng)絡(luò)狀態(tài)的感知以及對(duì)未來(lái)攻擊的預(yù)測(cè)，將抽象化的能力按照設(shè)定順序組合聯(lián)動(dòng)形成服務(wù)鏈部署到云原生系統(tǒng)中，能夠?qū)崿F(xiàn)按需部署抗d策略，解決當(dāng)前抗d策略管理僵化、缺乏靈活性的問(wèn)題，通過(guò)抗d策略的靈活部署，能夠?qū)Σ呗赃M(jìn)行靈活調(diào)度。

技術(shù)特征：

1.一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于，該方法包括以下步驟：

2.如權(quán)利要求1所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：該方法還包括抗d策略部署后實(shí)時(shí)監(jiān)測(cè)步驟，即在抗d策略部署后，控制中心實(shí)時(shí)接收用戶反饋和網(wǎng)絡(luò)能力的使用情況，采用檢測(cè)算法，監(jiān)測(cè)抗d策略是否達(dá)到用戶預(yù)期，如果未達(dá)到用戶預(yù)期的效果，控制中心下發(fā)控制指令，對(duì)已經(jīng)部署的抗d策略進(jìn)行優(yōu)化。

3.如權(quán)利要求2所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：所述對(duì)已經(jīng)部署的抗d策略進(jìn)行優(yōu)化，包括重新調(diào)整抗d策略的部署方式。

4.如權(quán)利要求2所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：控制中心下發(fā)控制指令，對(duì)已經(jīng)部署的抗d策略進(jìn)行優(yōu)化，包括以下三個(gè)觸發(fā)條件中的任意一種或多種的組合；

5.如權(quán)利要求4所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：所述負(fù)載均衡具體是指，在多個(gè)抗d策略同時(shí)部署時(shí)，通過(guò)靈活調(diào)度的形式保持物理網(wǎng)絡(luò)中每個(gè)位置的計(jì)算、存儲(chǔ)和通信壓力均衡。

6.如權(quán)利要求5所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：所述靈活調(diào)度的形式，具體是指，物理網(wǎng)絡(luò)中，某一節(jié)點(diǎn)或者某一鏈路的資源耗盡，其他節(jié)點(diǎn)或者鏈路的資源足夠，則將資源耗盡的節(jié)點(diǎn)或鏈路的能力部署到資源足夠的節(jié)點(diǎn)或鏈路中。

7.如權(quán)利要求1-6任意一項(xiàng)所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：s1步驟中，控制中心從用戶的抗d策略需求中確定用戶需求的關(guān)鍵屬性，該關(guān)鍵屬性包括用戶對(duì)某種特定能力的需求、用戶對(duì)抗d的時(shí)間確定性的需求或用戶對(duì)某個(gè)特定資源的需求。

8.如權(quán)利要求1-6任意一項(xiàng)所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：s1步驟中，對(duì)用戶需求進(jìn)行風(fēng)險(xiǎn)評(píng)估，具體是指，采用概率分析法或?qū)＜蚁到y(tǒng)的風(fēng)險(xiǎn)評(píng)估方法，對(duì)當(dāng)前用戶面臨的ddos攻擊風(fēng)險(xiǎn)、遭受的攻擊類型和潛在的攻擊源進(jìn)行綜合評(píng)估。

9.如權(quán)利要求1-6任意一項(xiàng)所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：s2步驟中，生成抗d策略后，控制中心在云原生系統(tǒng)的物理網(wǎng)絡(luò)中選擇合適的位置進(jìn)行部署，以容器的方式部署服務(wù)鏈上的各個(gè)能力。

10.如權(quán)利要求1-6任意一項(xiàng)所述的一種云原生系統(tǒng)的抗ddos策略部署方法，其特征在于：抗d策略的部署位置根據(jù)用戶需求的關(guān)鍵屬性和云原生系統(tǒng)的物理網(wǎng)絡(luò)實(shí)際情況確定，云原生系統(tǒng)的物理網(wǎng)絡(luò)的實(shí)際情況包括各個(gè)節(jié)點(diǎn)或鏈路的資源占用情況或鏈路帶寬。

技術(shù)總結(jié)
本發(fā)明公開(kāi)了一種云原生系統(tǒng)的抗DDoS策略部署方法，涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明的方法具體為，使用云原生系統(tǒng)的用戶向云原生系統(tǒng)的控制中心發(fā)送抗D策略需求，控制中心對(duì)用戶的抗D策略需求進(jìn)行分析；根據(jù)S1步驟控制中心根據(jù)用戶的抗D策略需求的分析結(jié)果，生成抗D策略，控制中心將抗D策略部署到用戶使用的云原生系統(tǒng)中。本發(fā)明基于現(xiàn)有將抗D策略抽象為能力的基礎(chǔ)上，如何根據(jù)用戶需求，在云原生系統(tǒng)中任意時(shí)間、任意地點(diǎn)部署抗D策略，以減少部署成本，使其與當(dāng)前網(wǎng)絡(luò)環(huán)境相互兼容。

技術(shù)研發(fā)人員：吳俊銳,汪文勇,何止戈,羅昊然,胡水松,苗宇,李宇博,鄧軍,黃鸝聲,唐勇
受保護(hù)的技術(shù)使用者：電子科技大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/30