一种服务资源的调度方法及装置制造方法及图纸

本申请公开了一种服务资源的调度方法及装置，涉及信息安全技术领域，用于在发生黑客攻击时，解决攻击流量内的正常用户不能正常使用租户的服务或者出现访问速度变慢的问题。该方法包括：域名系统服务器接收第一终端发送的域名解析请求，所述域名解析请求包括域名；根据所述第一终端的终端信誉值和IP地址资源池中每个虚拟IP地址的IP信誉值，从所述IP地址资源池包括的至少两个虚拟IP地址中，选择出一个虚拟IP地址；向所述第一终端发送域名解析响应，所述域名解析响应中携带选择出的虚拟IP地址。

A scheduling method and device of service resources

【技术实现步骤摘要】
一种服务资源的调度方法及装置
本申请实施例涉及信息安全
，尤其涉及一种服务资源的调度方法及装置。
技术介绍
基于云端的服务的一种实现方式是网络服务提供商租用网络基础设施提供商提供的服务器集群，这些服务器利用虚拟IP地址为用户提供服务。网络服务提供商可以被视为网络基础设施的“租户”。当用户访问网络服务提供商的域名时，该域名首先被解析为一个虚拟IP地址，用户再通过访问该虚拟IP地址享受网络服务。为了保证基于云端的服务的安全性，提出了基于云端的分布式拒绝服务(distributeddenialofservice，DDoS)攻击防御服务和云防火墙类产品。基于云端的DDoS攻击防御服务或云防火墙类产品通过多个网络安全设备对访问受保护服务器的流量进行安全检测，当一个网络安全设备出现故障或受到攻击时，可以进行切换，由其他网络安全设备执行安全检测的功能。一方面保证了受保护服务器的安全性，另一方面对用户来说，保证了服务可用性。基于云端的DDoS攻击防御服务或云防火墙类产品的一个重要特性是基于威胁的调度解析。每个网络安全设备分别具有一个虚拟IP地址，租户的域名被解析为其中一个网络安全设备的虚拟IP地址。当用户访问虚拟IP地址时，该虚拟IP地址对应的网络安全设备对来自于用户的报文进行威胁检测，如果报文无威胁，则将报文重定向到真实的受保护服务器上。基于威胁的调度解析是指在基于云端的DDoS攻击防御服务和云防火墙中，可以根据租户业务被攻击的状态，将租户域名随机地调度解析到其他可用的虚拟IP上。例如，在当前租户业务使用的虚拟IP地址被攻击时，基于云端的DDoS攻击防御服务和云防火墙停止将租户域名解析为被攻击的虚拟IP地址，并将域名解析为另一个可用的虚拟IP地址，通过另一个可用的虚拟IP地址为用户提供服务。也即是，通过将攻击检测和域名解析系统(domainnamesystem，DNS)解析相结合，或者将攻击检测和基于HTTP的DNS(HTTPDNS)解析相结合，有效地将不同程度的攻击分流到不同带宽大小的抗攻击的网络安全设备内，有效缓解攻击，清洗异常流量，保证业务不中断。比如，某一租户的域名为www.abc.com，域名www.abc.com对应的IP地址资源池中包括VIP1和VIP2，VIP1是网络安全设备1的IP地址，VIP2是网络安全设备2的IP地址。如图1所示，当用户发起向域名(www.abc.com)的访问请求时，DNS服务器查询域名www.abc.com的对应的虚拟IP地址为VIP1。将域名解析结果VIP1返回给用户，用户通过访问VIP1获得域名为www.abc.com提供的网页等服务。若黑客攻击VIP1，且VIP1对应的网络安全设备1判断攻击流量超过阈值，则网络安全设备1可上报攻击信息至调度模块。调度模块将VIP1的状态更新为不可用或被攻击中，并通过VIP1查询租户的域名，根据租户的域名查询IP地址资源池中可用的VIP为VIP2，从而通知DNS更新域名www.abc.com的解析地址为VIP2，以将攻击流量转移至VIP2对应的网络安全设备2中。上述根据网络安全设备上报的攻击信息进行调度的方法，在攻击发生后，将访问租户服务的流量切换到另一网络安全设备上，这些流量中同时包含来自于黑客的流量和来自于正常用户的流量，可能会影响正常用户的服务质量，导致正常用户不能正常使用租户的服务或者出现访问速度变慢的问题。
技术实现思路
本申请的实施例提供一种服务资源的调度方法及装置，能够缓解传统云端的DDoS攻击防御服务或云防火墙类产品在应对攻击而调度时，存在的正常用户不能正常使用租户的服务或者出现访问速度变慢的问题。第一方面，提供一种服务资源的调度方法，应用于包括终端、业务服务器、域名系统服务器和至少一个网络安全设备的网络中，该至少一个网络安全设备中的每个网络安全设备分别具有一个虚拟IP地址，在该域名系统服务器中该业务服务器所提供的业务的域名被映射为一个IP地址资源池，该IP地址资源池中包括至少两个该虚拟IP地址，该方法包括：该域名系统服务器接收第一终端发送的域名解析请求，该域名解析请求包括该域名；根据第一终端的终端信誉值和该IP地址资源池中每个虚拟IP地址的IP信誉值，从该IP地址资源池包括的至少两个虚拟IP地址中，选择出一个虚拟IP地址，一个终端的终端信誉值用于指示该终端的安全程度，一个虚拟IP地址的IP信誉值用于指示该虚拟IP地址的安全程度；向第一终端发送域名解析响应，该域名解析响应中携带选择出的虚拟IP地址。上述技术方案中，域名系统服务器通过该终端的终端信誉值和IP地址资源池中每个虚拟IP地址的IP信誉值，为该终端选择一个虚拟IP地址，以使该终端通过访问选择出的虚拟IP地址来享受网络服务。换句话说，选择不同的网络安全设备为不同终端提供访问同一网络服务时的安全保障，这样可以在发生黑客攻击时，仅有少量终端的流量被调度到其他网络安全设备，不会对大多数正常用户的访问流量也进行切换，从而保证多数正常用户能够正常使用租户的服务，且不会影响服务质量。在第一方面的一种可能的实现方式中，根据第一终端的终端信誉值和该IP地址资源池中每个虚拟IP地址的IP信誉值，从该IP地址资源池包括的至少两个虚拟IP地址中，选择出一个虚拟IP地址，包括：如果第一终端的终端信誉值大于或等于第一用户阈值，从该IP地址资源池中确定第一虚拟IP地址集合，第一虚拟IP地址集合中的每个虚拟IP地址的IP信誉值大于或等于第一服务阈值；从第一虚拟IP地址集合中选择一个虚拟IP地址。上述可能的实现方式中，域名系统服务器可以为安全程度较高的终端选择安全程度较高的虚拟IP地址，从而保证安全程度较高的终端可以享受更高质量的服务，进而提高了网络性能和用户体验。在第一方面的一种可能的实现方式中，该方法还包括：域名系统服务器接收第二终端发送的域名解析请求，第二终端发送的域名解析请求包括该域名；如果第二终端的终端信誉值小于第二用户阈值，从该IP地址资源池中确定第二虚拟IP地址集合，第二虚拟IP地址集合中的每个虚拟IP地址的IP信誉值小于第二服务阈值，其中，第一用户阈值大于或等于第二用户阈值，第一服务阈值大于或等于第二服务阈值；从第二虚拟IP地址集合中选择一个虚拟IP地址；向第二终端发送域名解析响应，该域名解析响应中携带从第二虚拟IP地址集合中选择出的虚拟IP地址。上述可能的实现方式中，域名系统服务器可以为安全程度较低的终端选择安全程度较低的虚拟IP地址，从而保证安全程度较低的终端享受较低质量的服务，以避免安全程度较低的终端对其他终端的访问造成影响，提高了网络性能。在第一方面的一种可能的实现方式中，该方法还包括：获取第一终端的终端信誉值和所述每个虚拟IP地址的IP信誉值。在第一方面的一种可能的实现方式中，获取第一终端的终端信誉值，包括：接收第一终端发送的第一终端的终端信誉值；或者，接收第一终端发送的终端设备参数，根据终端设备参数确定第一终端的终端信誉值。上述可能的实现方式中，提供了域名系统服务器获取终端信誉值几种方式，提高了获取终端信誉值的多本文档来自技高网...

【技术保护点】
1.一种服务资源的调度方法，其特征在于，应用于包括终端、业务服务器、域名系统服务器和至少一个网络安全设备的网络中，所述至少一个网络安全设备中的每个网络安全设备分别具有一个虚拟IP地址，在所述域名系统服务器中所述业务服务器所提供的业务的域名被映射为一个IP地址资源池，所述IP地址资源池中包括至少两个所述虚拟IP地址，所述方法包括：/n所述域名系统服务器接收第一终端发送的域名解析请求，所述域名解析请求包括所述域名；/n根据所述第一终端的终端信誉值和所述IP地址资源池中每个虚拟IP地址的IP信誉值，从所述IP地址资源池包括的至少两个虚拟IP地址中，选择出一个虚拟IP地址，一个终端的终端信誉值用于指示所述终端的安全程度，一个虚拟IP地址的IP信誉值用于指示所述虚拟IP地址的安全程度；/n向所述第一终端发送域名解析响应，所述域名解析响应中携带选择出的虚拟IP地址。/n

【技术特征摘要】
1.一种服务资源的调度方法，其特征在于，应用于包括终端、业务服务器、域名系统服务器和至少一个网络安全设备的网络中，所述至少一个网络安全设备中的每个网络安全设备分别具有一个虚拟IP地址，在所述域名系统服务器中所述业务服务器所提供的业务的域名被映射为一个IP地址资源池，所述IP地址资源池中包括至少两个所述虚拟IP地址，所述方法包括：
所述域名系统服务器接收第一终端发送的域名解析请求，所述域名解析请求包括所述域名；
根据所述第一终端的终端信誉值和所述IP地址资源池中每个虚拟IP地址的IP信誉值，从所述IP地址资源池包括的至少两个虚拟IP地址中，选择出一个虚拟IP地址，一个终端的终端信誉值用于指示所述终端的安全程度，一个虚拟IP地址的IP信誉值用于指示所述虚拟IP地址的安全程度；
向所述第一终端发送域名解析响应，所述域名解析响应中携带选择出的虚拟IP地址。


2.根据权利要求1所述的服务资源的调度方法，其特征在于，所述根据所述第一终端的终端信誉值和所述IP地址资源池中每个虚拟IP地址的IP信誉值，从所述IP地址资源池包括的至少两个虚拟IP地址中，选择出一个虚拟IP地址，包括：
如果所述第一终端的终端信誉值大于或等于第一用户阈值，从所述IP地址资源池中确定第一虚拟IP地址集合，所述第一虚拟IP地址集合中的每个虚拟IP地址的IP信誉值大于或等于第一服务阈值；
从所述第一虚拟IP地址集合中选择一个虚拟IP地址。


3.根据权利要求1或2所述的服务资源的调度方法，其特征在于，所述方法还包括：
所述域名系统服务器接收第二终端发送的域名解析请求，所述第二终端发送的所述域名解析请求包括所述域名；
如果所述第二终端的终端信誉值小于第二用户阈值，从所述IP地址资源池中确定第二虚拟IP地址集合，所述第二虚拟IP地址集合中的每个虚拟IP地址的IP信誉值小于第二服务阈值，其中，所述第一用户阈值大于或等于所述第二用户阈值，所述第一服务阈值大于或等于所述第二服务阈值；
从所述第二虚拟IP地址集合中选择一个虚拟IP地址；
向所述第二终端发送域名解析响应，所述域名解析响应中携带从第二虚拟IP地址集合中选择出的虚拟IP地址。


4.根据权利要求1-3任一项所述的服务资源的调度方法，其特征在于，所述方法还包括：
获取所述第一终端的终端信誉值和所述每个虚拟IP地址的IP信誉值。


5.根据权利要求4所述的服务资源的调度方法，其特征在于，获取所述第一终端的终端信誉值，包括：
接收所述第一终端发送的所述第一终端的终端信誉值；或者，
接收所述第一终端发送的终端设备参数，根据所述终端设备参数确定所述第一终端的终端信誉值。


6.根据权利要求5所述的服务资源的调度方法，其特征在于，所述第一终端的终端信誉值携带在所述第一终端发送的所述域名解析请求中，或者所述第一终端的终端设备参数携带在所述第一终端发送的所述域名解析请求中。


7.根据权利要求5或6所述的服务资源的调度方法，其特征在于，所述终端设备参数包括至少一个硬件指纹，所述根据所述终端设备参数确定所述第一终端的终端信誉值，包括：
查询所述至少一个硬件指纹中每个硬件指纹对应的预设信誉分，根据所述每个硬件指纹对应的预设信誉分确定所述第一终端的终端信誉值；
其中，所述至少一个硬件指纹包括以下的一个或多个：GPS指纹、蓝牙指纹、电池指纹、相机指纹、wifi模块指纹、温度传感器指纹、麦克风模块指纹。


8.根据权利要求7所述的服务资源的调度方法，其特征在于，所述终端设备参数还包括至少一个软件指纹，所述根据所述终端设备参数确定所述第一终端的终端信誉值，还包括：
查询所述至少一个软件指纹中每个软件指纹对应的预设信誉分，根据所述每个软件指纹对应的预设信誉分确定所述第一终端的终端信誉值；
其中，所述至少一个软件指纹包括以下的一个或者多个：国际移动设备识别码IMEI、通用唯一识别码UUID、网络类型、终端类型、操作系统类型、网络模式、电池温度、电量特性、SIM卡序列、手机号。


9.根据权利要求8所述的服务资源的调度方法，其特征在于，所述终端设备参数还包括至少一个恶意信息，所述根据所述终端设备参数确定所述第一终端的终端信誉值，还包括：
查询所述至少一个恶意信息中每个恶意信息对应的预设信誉分，根据所述每个恶意信息对应的预设信誉分确定所述第一终端的终端信誉值；
其中，所述至少一个恶意信息包括以下的一个或多个：CPU恶意信息、存储器中保存的文件对应的恶意信息、APIDEMOS恶意信息、DevTools恶意信息、应用权限恶意信息、异常端口信息、异常进程信息。


10.根据权利要求9所述的服务资源的调度方法，其特征在于，所述终端设备参数还包括连接次数和传输流量，所述根据所述终端设备参数确定所述第一终端的终端信誉值，还包括：
当所述连接次数和/或所述传输流量处于异常状态时，更新所述第一终端的终端信誉值。


11.根据权利要求4所述的服务资源的调度方法，其特征在于，获取所述每个虚拟IP地址的IP信誉值，包括：
接收所述至少一个网络安全设备中的一个网络安全设备发送的攻击信息，所述攻击信息包括被攻击的IP地址；
根据所述被攻击的IP地址，确定所述每个虚拟IP地址的IP信誉值。


12.根据权利要求11所述的服务资源的调度方法，其特征在于，所述攻击信息还包括攻击源的IP地址，所述方法还包括：
若所述攻击源的IP地址为所述第一终端的IP地址，更新所述第一终端的终端信誉值。


13.一种服务资源的调度方法，其特征在于，应用于包括终端、业务服务器、域名系统服务器和至少一个网络安全设备的网络中，所述至少一个网络安全设备中的每个网络安全设备分别具有一个虚拟IP地址，在所述域名系统服务器中所述业务服务器所提供的业务的域名被映射为一个IP地址资源池，所述IP地址资源池中包括至少两个所述虚拟IP地址，所述方法包括：
所述终端获取终端设备参数，所述终端设备参数用于确定所述终端的终端信誉值，所述终端信誉值用于指示所述终端的安全程度；
向所述域名系统服务器发送域名解析请求，所述域名解析请求包括所述域名；
接收所述域名系统服务器发送的域名解析响应，所述域名解析响应中携带所述IP地址资源池中的一个虚拟IP地址，所述域名解析响应中携带的所述虚拟IP地址是所述域名系统服务器根据所述终端的信誉值和所述IP地址资源池中每个虚拟IP地址的IP信誉值从所述IP地址资源池中选择出的，一个虚拟IP地址的IP信誉值用于指示所述虚拟IP地址的安全程度。


14.根据权利要求13所述的服务资源的调度方法，其特征在于，所述向所述域名系统服务器发送域名解析请求之前，所述方法包括：
向所述域名系统服务器发送所述终端设备参数；或者,
根据所述终端设备参数确定所述终端信誉值，并向所述域名系统服务器发送所述终端信誉值。


15.根据权利要求14所述的服务资源的调度方法，其特征在于，所述终端设备参数、或者所述终端信誉值携带在所述域名解析请求中。


16.根据权利要求14或15所述的服务资源的调度方法，其特征在于，所述终端设备参数包括至少一个硬件指纹，则所述根据所述终端设备参数确定所述终端信誉值，包括：
查询所述至少一个硬件指纹中每个硬件指纹对应的预设信誉分，根据所述每个硬件指纹对应的预设信誉分确定所述终端信誉值；
其中，所述至少一个硬件指纹包括以下的一个或多个：GPS指纹、蓝牙指纹、电池指纹、相机指纹、wifi模块指纹、温度传感器指纹、麦克风模块指纹。


17.根据权利要求16所述的服务资源的调度方法，其特征在于，所述终端设备参数还包括至少一个软件指纹，所述根据所述终端设备参数确定所述终端信誉值，还包括：
查询所述至少一个软件指纹中每个软件指纹对应的预设信誉分，根据所述每个软件指纹对应的预设信誉分确定所述终端信誉值；
其中，所述至少一个软件指纹包括以下的一个或者多个：国际移动设备识别码IMEI、通用唯一识别码UUID、网络类型、终端类型、操作系统类型、网络模式、电池温度、电量特性、SIM卡序列、手机号。


18.根据权利要求17所述的服务资源的调度方法，其特征在于，所述终端设备参数还包括至少一个恶意信息，所述根据所述终端设备参数确定所述终端信誉值，还包括：
查询所述至少一个恶意信息中每个恶意信息对应的预设信誉分，根据所述每个恶意信息对应的预设信誉分确定所述终端信誉值；
其中，所述至少一个恶意信息包括以下的一个或多个：CPU恶意信息、存储器中保存的文件对应的恶意信息、APIDEMOS恶意信息、DevTools恶意信息、应用权限恶意信息、异常端口信息、异常进程信息。


19.根据权利要求18所述的服务资源的调度方法，其特征在于，所述终端设备参数还包括连接次数和传输流量，所述根据所述终端设备参数确定所述终端信誉值，还包括：
当所述连接次数和/或所述传输流量处于异常状态...

【专利技术属性】
技术研发人员：王照旗，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44