基于微服务的拟态应用架构系统及其调度方法技术方案

本发明专利技术提供了一种基于微服务的拟态应用架构系统及其调度方法，包括：分发集群、表决集群、执行体集群、负反馈组件和集群注册组件；所述分发集群接受网关请求并转发至所述执行体群体，并且将判决数据发送给所述表决集群判决，执行体群体响应所述网关请求；所述表决集群将判决结果返回分发集群，同时发送判决结果至所述负反馈组件远程控制接口进行清洗处理，分发集群根据判决结果返回响应；集群注册组件按照应用服务名称形成服务集群并保存各服务的信息和状态，通过定时的健康检查服务，巡检注册服务的在线状态。本发明专利技术将各功能组件微服务化，并重新组合成动态冗余结构的各集群、负反馈组件和集群注册组件，实现具有弹性恢复能力的拟态防御结构。力的拟态防御结构。力的拟态防御结构。

【技术实现步骤摘要】
基于微服务的拟态应用架构系统及其调度方法


[0001]本专利技术涉及网络安全
，具体地，涉及一种基于微服务拟态应用架构系统及其调度方法

技术介绍

[0002]经典的拟态应用架构主要采用动态异构冗余结构，在应用节点上保持动态冗余，当应用节点发生异常时，主动清洗应用节点，从而保证应用的安全性，但是在分发和判决的关键节点上使用单一服务方式，存在单点故障可能，一旦系统漏洞破坏了服务节点，就会造成整个系统的安全体系失效，因此有必要在原有架构上增加分发和裁决冗余组件，并从启动时自动编排服务，加固拟态应用框架结构，提高系统的可靠性和安全性。
[0003]在实践应用中，由于拟态应用的架构中存在单点故障的可能性，为了防止系统漏洞突破关键节点，造成拟态应用失效。
[0004]专利文献CN111783079A公开了一种拟态防御装置、拟态防御方法和拟态防御架构，其中拟态防御装置包括输入模块、输出模块、代理模块和多个异构处理器模块，所述代理模块包括复制分发单元、判决单元和选择输出单元；复制分发单元，接收输入模块发送的外部数据并复制分发至多个异构处理器模块；每个异构处理器模块，均包括裁决器和多个异构虚拟机，异构虚拟机用于对外部数据进行处理，裁决器用于对多个异构虚拟机的处理结果进行裁决；选择输出单元，根据所述判决结果和以及预置选择策略选择一个异构处理器模块的裁决结果通过所述输出模块输出；所述判决单元，用于对多个异构处理器模块输出的裁决结果进行判决。
[0005]但是，专利文献CN111783079A是典型的拟态应用结构，在防护代理和判决模块方面是脆弱，首先是当代理模块遭到破坏后，会使异构处理器模块无法正确执行；其次当判决模块遭到攻击后，会使应用错误输出。并且该专利文献采用在虚拟机上调度服务的方法，虚拟机是基于操作系统的，需要开发额外的程序来管理进程，效率低。
[0006]专利文献CN114936083A公开一种基于微服务拟态web执行体高效调度的方法及装置。本专利技术将web模块组成拟态web执行体集的过程中，以web服务调用链组成结果的高随机性和高异构性作为目标，在传统拟态web系统执行体轮换过程中，不更换整个执行体，而是在web服务调用链某一web模块的生存时间到达时，随机选择能够维持差异值的web模块替换原有web模块。
[0007]但是，专利文献CN114936083A强调异构Web服务执行体差异的调度算法，是通过异构体的差异性来切换执行体的方法，并没有说明执行体的技术组织形态，如何在操作系统上实现执行体轮换操作，如进程的停止并装载新镜像运行。并且该专利只是拟态web执行体上采用微服务技术，不够全面。
[0008]专利文献CN115086447A公开了一种基于前后台呈现模式的拟态系统，包括：数据分流器，通过物理分流的方式，将发送至前台执行体的业务流复制一份到指令解析器；指令解析器，用于解析业务流中包含的指令信息，并将指令信息分别发送至后台执行体；前台执
行体，用于独立地向外提供业务服务功能；后台执行体池，用于接收指令解析器发送的指令信息，并模拟前台执行体指令处理结果；裁决器，接收前台执行体的处理结果，同时随机从后台执行体池中选择N个后台执行体的处理结果；对N+1份的执行体的处理结果进行一致性裁决；调度器，接收到裁决器发送的前台执行体异常信息后，将前台执行体进行下线清洗，同时从后台执行体池中随机选择一个异构执行体更换为前台执行体。
[0009]但是，专利文献CN115086447A虽然达到一种冗余备份的作用，强调业务的断续保持能力，但是该文献主要针对执行体实施前后台操作，且调度方式是前后台方式，从后台执行体池中随机选择一个异构执行体更换为前台执行体，灵活性低。

技术实现思路

[0010]针对现有技术中的缺陷，本专利技术的目的是提供一种基于微服务的拟态应用架构系统及其调度方法。
[0011]根据本专利技术提供的一种基于微服务的拟态应用架构系统，包括：分发集群、表决集群、执行体集群、负反馈组件和集群注册组件；
[0012]所述分发集群接受网关请求并转发至所述执行体群体，并且将判决数据发送给所述表决集群判决，执行体群体响应所述网关请求；
[0013]所述表决集群将判决结果返回分发集群，同时发送判决结果至所述负反馈组件远程控制接口进行清洗处理，分发集群根据判决结果返回响应；
[0014]所述集群注册组件按照应用服务名称形成服务集群并保存各服务的信息和状态，通过定时的健康检查服务，巡检注册服务的在线状态。
[0015]优选地，所述分发集群包含多个分发组件，各组件互为冗余备份，单个组件为容器形式；
[0016]所述表决集群包含多个裁决组件，各组件互为冗余备份，单个组件为容器形式；
[0017]所述执行体集群包含多个服务端应用程序，记为执行体组件。
[0018]优选地，所述分发组件将单一请求复制并转发到2N+1个冗余的后台应用服务，其中N表示原应用数量。
[0019]优选地，所述裁决组件将后台应用服务形成的输出信息进行比较，判断是否发生不一致现象。
[0020]优选地，执行体是涉及安全的服务端应用程序，采取冗余执行的方式，通过输出数据进行大数表决方式，检测执行体处理过程中是否发生攻击和漏洞的状况；
[0021]所述执行体集群采取2N+3冗余，多余的应用服务以休眠方式出现不参与服务，其中N表示原应用数量。
[0022]优选地，负反馈组件用于管理系统中每个服务节点，不参与应用服务；
[0023]根据裁决组件的判决结果清洗存在漏洞的执行体，同时根据分发组件和裁决组件的健康状态，判断是否发生异常，如是则进行切换，并通过容器的远程控制功能停止容器和删除容器并重新启动镜像，创建新容器启动分发服务和裁决服务。
[0024]优选地，集群注册组件包含多个注册组件，在内部网络中提供可用服务查询以及对系统中各服务节点的服务监控检查。
[0025]根据本专利技术提供的一种根据所述的基于微服务的拟态应用架构系统的调度方法
包括：
[0026]步骤1：网关接收外部请求并发送至分发组件；
[0027]步骤2：分发组件将所述请求复制并发送至执行体，以及判决数据发送至裁决组件进行判决，同时接收注册组件的健康检查并返回状态；
[0028]步骤3：所述执行体响应所述请求，所述裁决组件将判决结果返回分发组件并将所述判决结果发送至负反馈组件处理，同时接收注册组件的健康检查并返回状态；
[0029]步骤4：所述负反馈组件根据调度策略通过容器远程控制接口，对执行体容器实施清洗操作，恢复应用服务功能，同时巡查注册服务中分发组件和裁决组件的状态；
[0030]步骤5：根据巡查结果判断所述注册服务中分发组件和裁决组件是否存在异常，若是，则通过容器远程控制接口，对分发组件容器和裁决组件容器删除失效容器，利用镜像创建新容器，并提供分发服务和裁决服务；若否，则不对容器操作。
[0031]优选地，在所述系统本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于微服务的拟态应用架构系统，其特征在于，包括：分发集群、表决集群、执行体集群、负反馈组件和集群注册组件；所述分发集群接收网关请求并转发至所述执行体群体，并且将判决数据发送给所述表决集群判决，执行体群体响应所述网关请求；所述表决集群将判决结果返回分发集群，同时发送判决结果至所述负反馈组件远程控制接口进行清洗处理，分发集群根据判决结果返回响应；所述集群注册组件按照应用服务名称形成服务集群并保存各服务的信息和状态，通过定时的健康检查服务，巡检注册服务的在线状态。2.根据权利要求1所述的基于微服务的拟态应用架构系统，其特征在于，所述分发集群包含多个分发组件，各组件互为冗余备份，单个组件为容器形式；所述表决集群包含多个裁决组件，各组件互为冗余备份，单个组件为容器形式；所述执行体集群包含多个服务端应用程序，记为执行体组件。3.根据权利要求2所述的基于微服务的拟态应用架构系统，其特征在于，所述分发组件将单一请求复制并转发到2N+1个冗余的后台应用服务，其中N表示原应用数量。4.根据权利要求2所述的基于微服务的拟态应用架构系统，其特征在于，所述裁决组件将后台应用服务形成的输出信息进行比较，判断是否发生不一致现象。5.根据权利要求1所述的基于微服务的拟态应用架构系统，其特征在于，执行体是涉及安全的服务端应用程序，采取冗余执行的方式，通过输出数据进行大数表决方式，检测执行体处理过程中是否发生攻击和漏洞的状况；所述执行体集群可以采取2N+3冗余，多余的应用服务以休眠方式出现不参与服务，其中N表示原应用数量。6.根据权利要求1所述的基于微服务的拟态应用架构系统，其特征在于，负反馈组件用于管理系统中每个服务节点，不参与应用服务；根据裁决组件的判决结果清洗存在漏洞的执行体，同时根据分发组件和裁决组件的健康状态，判断是否发生异常，如是则进行切换，并通过容器的远程控制功能停止容器和删除容器并重新启动镜...

【专利技术属性】
技术研发人员：李翔，全水龙，吴玥，王昕瑶，彭咏，
申请(专利权)人：华东计算技术研究所中国电子科技集团公司第三十二研究所，
类型：发明
国别省市：