云系统分布式拒绝服务攻击防护方法以及装置和系统的制作方法

专利名称：云系统分布式拒绝服务攻击防护方法以及装置和系统的制作方法
技术领域：
本发明涉及计算机技术领域，具体涉及云系统分布式拒绝服务攻击防护方法、云 计算系统内防护节点和云计算系统内防护系统。
背景技术：
分布式拒绝服务(DDOS，Distributed Denial of Service)攻击主要是指攻击者 利用主控主机做跳板(可能多级多层)，控制大量受感染而被控制的主机组成攻击网络来 对受害主机进行大规模的拒绝服务攻击。
DDOS攻击可以利用攻击网络对受害主机发起互联网(Internet)控制报文协议 (ICMP, Internet Control Message Protocol)洪水(Flood)、用户数据包协议(UDP, User Datagram Protocol) flood、同步(SYN，Synchronize) flood 等攻击，DDOS 攻击往往能把单 个攻击者的攻击以级数形式进行放大，从而对用户主机造成重大影响，甚至造成瘫痪，对网 络也会造成严重拥塞。
目前通过虚拟机软件，可以在一台物理计算机上模拟出一台或多台虚拟的计算 机，而这些虚拟机就像真正的计算机那样进行工作，虚拟机上可安装操作系统、安装应用程 序、访问网络资源等等。对于在虚拟机中运行的应用程序而言，虚拟机就像是在真正的计算 机中进行工作。
云计算系统(可简称云系统)可看成是在通用硬件上进行分布式计算、存储及管 理的一种集群系统，云系统可提供高吞吐量的数据访问，能够应用于大规模数据计算和存 储。
随着云系统技术的发展，一个云系统可能包括成千上万个虚拟机，使得云系统内 的各虚拟机的安全防护也日渐受到关注，有效防护云系统内各个虚拟机间的DDOS攻击的 显得尤为重要，但现有的DDOS防护机制主要针对不同云系统之间，云系统与云系统外的主 机之间、非云系统的各主机之间的DDOS攻击进行防护，并不适用于防护云系统内各个虚拟 机间的DDOS攻击。发明内容
本发明实施例提供一种云系统分布式拒绝服务攻击防护方法以及装置和系统，以 有效的防护云系统内各个虚拟机间的DDOS攻击。
为解决上述技术问题，本发明实施例提供以下技术方案
一种云系统分布式拒绝服务攻击防护方法，包括
云计算系统内的防护节点监测注入虚拟机的数据流量，其中，所述云计算系统包 括防护节点和多个虚拟机，各个虚拟机之间交互的数据流经过防护节点；
若监测到注入所述虚拟机的数据流量发生异常，提取待注入所述虚拟机的数据 流；
将提取的数据流发送给流量清洗装置进行流量清洗；
接收所述流量清洗装置进行流量清洗后的数据流；
向所述虚拟机注入清洗后的数据流。
一种云计算系统内的防护节点，云计算系统包括防护节点和多个虚拟机，各个虚 拟机之间交互的数据流经过防护节点，所述防护节点包括
监测模块，用于监测注入虚拟机的数据流量；
提取发送模块，用于在所述监测模块监测到注入所述虚拟机的数据流量发生异 常时，提取待注入所述虚拟机的数据流，将提取的数据流发送给流量清洗装置进行流量清 洗；
接收模块，用于接收所述流量清洗装置进行流量清洗后的数据流；
注入模块，用于向所述虚拟机注入所述接收模块接收的清洗后的数据流。
一种云计算系统的防护系统，云计算系统包括防护节点和多个虚拟机，各个虚拟 机之间交互的数据流经过防护节点，所述防护系统包括
云计算系统内防护节点，用于监测注入虚拟机的数据流量；若监测到注入所述虚 拟机的数据流量发生异常，提取待注入所述虚拟机的数据流，将提取的数据流发送给流量 清洗装置进行流量清洗；接收所述流量清洗装置进行流量清洗后的数据流；向所述虚拟机 注入清洗后的数据流。
流量清洗装置，用于对来自云计算系统内防护节点的待注入虚拟机的数据流进行 流量清洗，向所述云计算系统内防护节点发送进行流量清洗后的数据流。
由上可见，本发明实施例中在云计算系统内部署防护节点，由云计算系统内防护 节点来监测注入虚拟机的数据流量；若监测到注入该虚拟机的数据流量发生异常，提取待 注入该虚拟机的数据流发送给流量清洗装置进行流量清洗；并将流量清洗装置进行流量清 洗后的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS防 护，因而不仅可以防护外网对云计算系统内虚拟机的DDOS攻击，更可有效的防护云计算系 统内的各个虚拟机间的DDOS攻击，进而可全面提升云系统的安全性和可靠性。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可 以根据这些附图获得其他的附图。
图Ι-a是本发明实施例提供的一种Xen虚拟化环境示意图Ι-b是本发明实施例提供的一种Domain 0驱动结构示意图1-c是本发明实施例提供的一种Domain U驱动结构示意图Ι-d是本发明实施例提供的一种Domain 0进程守护Domain U示意图2是本发明实施例提供的一种DDOS攻击示意图3是本发明实施例一提供的一种云系统DDOS攻击防护方法流程图4是本发明实施例二提供的一种云系统DDOS攻击防护方法流程图5-a是本发明实施例三提供的一种云计算系统内的防护节点示意图5_b是本发明实施例三提供的另一种云计算系统内的防护节点示意图6是本发明实施例四提供的一种云计算系统内的防护系统示意图。
具体实施方式
本发明实施例提供一种云系统分布式拒绝服务攻击防护方法以及装置和云系统， 以有效的防护云系统内各个虚拟机间的DDOS攻击。
为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的 附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是 本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术 人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
为便于理解，下面先简单介绍一种虚拟系统运行模式。
参见图Ι-a，一个Xen虚拟化环境可包括如下相互配合的元素
Xen Hypervisor
Domain 0
Domain U PV 客户系统
Domain U HVM 客户系统
其中，Xen Hypervisor是一个介于硬件和操作系统之间的软件层，主要负责 在各虚拟机之间进行中央处理器(CPU，central processing unit)调度和内存分配 (partitioning)。Xen Hypervisor不仅抽象出硬件层，同时控制各虚拟机的运行，因为这些 虚拟机共享同一个处理环境。Xen Hypervisor—般不会处理网络、存储设备、视频以及其它 输入 / 输出(1/0，Input/Output)请求。
Domain O通常是一个修改过的Linux kernel (或其它内核)，Domain O可看成是 其它虚拟机的管理节点，Domain O通常是唯一运行在Xen Hypervisor之上的虚拟机，通常 拥有访问物理1/0资源的权限，同时和虚拟系统上运行的其它虚拟机进行交互。Domain O 需要在其它Domain启动之前启动。其中，Domain O中通常包含两个驱动(如图l_b所示) 网络支持驱动(Network Backend Driver)和块支持驱动(Block Backend Driver)，分别负 责处理来自Domain U的网络和本地磁盘请求。Network Backend Driver可直接和本地网 络硬件进行通信，以处理所有来自Domain U上客户操作系统的网络请求。Block Backend Driver可和本地存储设备进行通信，以处理来自Domain U的读写请求等。
Domain U是运行在Xen Hypervisor上虚拟机，其中，全虚拟化虚拟机被称为 "Domain U HVM Guests”，其上运行着不用修改内核的操作系统，如Windows等；半虚拟化 (paravirtualized)虚拟机被称之为"Domain U PV Guests”，其上运行着被修改过内核的 操作系统，例如Linux、Solaris, FreeBSD或其它操作系统等。
Domain U PV Guests也可包含两个驱动(如图l_c所示)半虚拟化网络驱动(PV Network Driver)和半虚拟化块驱动(PV Block Driver)。
Domain U HVM Guests虚拟机内没有半虚拟化驱动(PV Driver)，而是在Domain O里为每一个全虚拟化客户端(HVM Guest)启动一个特殊的守护进程Qemu-dm，由Qemu-dm 负责客户操作系统的网络和磁盘请求。
常见图1-d，Domain U HVM Guests可初始化为某类机器，并在Domain U上附加Xen虚拟固件来模拟BIOS。
对云系统的网络攻击可如图2所示，主要包括三种
云计算系统外外网攻击，主要是外部网络发起的攻击流量；
云计算系统内不同物理主机间的攻击，其主要是云计算系统内的不同物理主机间 发起的攻击流量；
云计算系统内同一物理主机的不同虚拟机间的攻击，主要是云计算系统内的相同 物理不同虚拟主机间发起的攻击。
本发明实施例主要针对云计算系统内同一物理主机以及不同物理主机的不同虚 拟机间的DDOS攻击的防护进行研究。
下面通过具体实施例进行详细介绍。
实施例一
本发明云系统分布式拒绝服务攻击防护方法的一个实施例，可包括云计算系统 内防护节点监测注入虚拟机的数据流量；若监测到注入该虚拟机的数据流量发生异常，提 取待注入该虚拟机的数据流，将提取的数据流发送给流量清洗装置进行流量清洗；接收该 流量清洗装置进行流量清洗后的数据流；向上述虚拟机注入该清洗后的数据流。
参见图3，具体步骤可以包括
310、云计算系统内防护节点监测注入虚拟机的数据流量；
其中，云计算系统包括防护节点和多个虚拟机，各个虚拟机之间交互的数据流经 过防护节点。
在一种应用场景下，云计算系统内的防护节点可为云计算系统内的虚拟机管理节 点(该云计算系统内虚拟机管理节点可管理一台或多台位于相同或不同云计算系统内物 理主机上的虚拟机)，也可以是部署在云计算系统内虚拟机管理节点和云计算系统内各个 虚拟机之间的装置。外网与云计算系统内各虚拟机间交互的数据流，以及云计算系统内各 个虚拟机间交互的数据流都经过该云计算系统内的防护节点，云计算系统内的防护节点可 以监测注入各个虚拟机的数据流。其中，注入某虚拟机的数据流可能来自外网，也可能来自 云计算系统内的其它虚拟机。
在实际应用中，云计算系统内防护节点例如可统计在预定时长(例如30秒、一分 钟或其它值)内注入虚拟机的数据流量大小；若统计出的在预定时长内注入某一虚拟机的 数据流量大小超过设定阈值(例如50MB、100MB或其它值)，则可确定注入该虚拟机的数据流量发生异常。
320、云计算系统内防护节点若监测到注入上述虚拟机的数据流量发生异常，则提 取待注入该虚拟机的数据流，将提取的数据流发送给流量清洗装置进行流量清洗；
在一种应用场景，云计算系统内防护节点若监测到注入上述虚拟机的数据流量发 生异常，云计算系统内防护节点可直接提取待注入该虚拟机的数据流，并直接将提取的数 据流发送给流量清洗装置进行流量清洗。或者，云计算系统内防护节点在监测到注入上述 虚拟机的数据流量发生异常后，可先向流量清洗装置发送指示请求流量清洗的流量清洗请 求；若接收来自该流量清洗装置的指示允许流量清洗的流量清洗响应(说明流量清洗装置 有足够的清洗资源，清洗资源可指空闲处理能力)，再提取待注入该虚拟机的数据流，并将 提取的数据流发送给流量清洗装置进行流量清洗；此外，若接收来自该流量清洗装置的指示不允许流量清洗的流量清洗响应(说明流量清洗装置可能暂时没有足够的清洗资源)， 则云计算系统内防护节点可再等待一定时长(例如2秒、5秒或其它值)后，再向流量清洗 装置发送指示请求流量清洗的流量清洗请求，并以此重复，直至流量清洗装置完成流量清 洗。特别的，如果有多台流量清洗装置可以供选择，则若当前请求流量清洗的流量清洗装置 暂无足够的清洗资源，云计算系统内防护节点可请求其它流量清洗装置来进行流量清洗。
在实际应用中，数据流量异常可能由UDP fiood、SYN flood、ICMP Flood或其它 DDOS攻击引起的，而发起该DDOS攻击的可能是外网，也可能是云计算系统内的其它虚拟 机。
流量清洗装置可以是独立设置的流量清洗板，亦可是其它部署架构，流量清洗装 置可选用SYN反弹、TCP代理、UDP限流、空连接检测、DNS TC反弹和/或现有的其它一种或 多种技术进行流量清洗。
330、云计算系统内防护节点接收上述流量清洗装置进行流量清洗后的数据流；
340、云计算系统内防护节点向上述虚拟机注入清洗后的数据流。
可以理解，云计算系统内防护节点将流量清洗装置进行流量清洗后的干净的数据 流回注到对应虚拟机中，因此该虚拟机可接收到干净的数据流，也就可以进行正常的响应 和处理。
由上可见，本实施例中在云计算系统内部署防护节点，由云计算系统内防护节点 来监测注入虚拟机的数据流量；若监测到注入该虚拟机的数据流量发生异常，提取待注入 该虚拟机的数据流发送给流量清洗装置进行流量清洗；并将流量清洗装置进行流量清洗后 的干净的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS 防护，因而不仅可防护外网对云计算系统内虚拟机的DDOS攻击，更可有效的防护云计算系 统内的各个虚拟机间的DDOS攻击，进而可全面提升云系统的安全性和可靠性。
实施例二
为便于更好的理解本发明实施例的技术方案，下面以云计算系统内虚拟机管理节 点对云计算系统内的某虚拟机Ai的DDOS攻击防护的过程为例，进行更详细的描述。
参见图4，具体可以包括
401、云计算系统内虚拟机管理节点监测注入虚拟机Ai的数据流量；
在一种应用场景，云计算系统内虚拟机管理节点可管理一台或多台位于相同或不 同云计算系统内物理主机上的虚拟机(其中包括虚拟机Ai)。
外网与云计算系统内各虚拟机间交互的数据流量，以及云计算系统内各个虚拟机 间交互的数据流量都经过该云计算系统内虚拟机管理节点，云计算系统内虚拟机管理节点 可监测注入各个虚拟机的数据流量。其中，注入某虚拟机的数据流量可能来自外网，也可能 来自云计算系统内的其它虚拟机。
其中，可如图Ι-a所示，若将Domain 0看作是云计算系统内虚拟机管理节点， Domain U则是其所管理的虚拟机。
在实际应用中，云系统内的虚拟机管理节点例如可以统计在预定时长(例如30 秒、1分钟或其它值)内注入虚拟机Ai的数据流量大小；若虚拟机Ai有网际协议地址(IP， Internet Protocol)、媒体访问控制(MAC，Media Access Control)地址或其它对外地址， 则云计算系统内虚拟机管理节点可基于数量流量的目的地址，生成监控表，对注入虚拟机Ai的数据流量进行监测，可利用监控表来记录统计信息。
402、云计算系统内虚拟机管理节点若监测到注入虚拟机Ai的数据流量异常，向 流量清洗装置发送指示请求流量清洗的流量清洗请求；
具体的，云计算系统内虚拟机管理节点若统计出在预定时长内注入虚拟机Ai的 数据流量超过设定阈值(例如50MB、100MB或其它值)，则可确定注入虚拟机Ai的数据流量 发生异常，此时启动流量清洗机制。其中，流量清洗请求中还可以携带虚拟机Ai的标识，流 量清洗装置可据此获知注入虚拟机Ai的数据流量异常。
403、流量清洗装置向云计算系统内虚拟机管理节点发送流量清洗响应；
在实际应用中，流量清洗装置可检测当前是否有足够的清洗资源(清洗资源可值 可指空闲处理能力)，若当前有足够的清洗资源，则可向云计算系统内虚拟机管理节点发送 指示允许流量清洗的流量清洗响应(其中仍可携带虚拟机Ai的标识)。
当然，若流量清洗装置检测到当前没有足够的清洗资源，则可向云计算系统内虚 拟机管理节点发送指示暂时不允许流量清洗的流量清洗响应(其中仍可携带虚拟机Ai的 标识)，则云计算系统内虚拟机管理节点可再等待一定时长(例如2秒、5秒或其它值)后， 再向流量清洗装置发送指示请求流量清洗的流量清洗请求，以此重复，直至流量清洗装置 完成流量清洗。特别的，如果有多台流量清洗装置可供选择，则若当前请求流量清洗的流量 清洗装置暂无足够的清洗资源，云计算系统内虚拟机管理节点可请求其它流量清洗装置来 进行流量清洗。
此处，以流量清洗装置当前有足够的清洗资源为虚拟机Ai提供流量清洗服务的 场景为例。
404、云计算系统内虚拟机管理节点接收来自流量清洗装置的指示允许流量清洗 的流量清洗响应，并提取待注入该虚拟机Ai的数据流，将提取的数据流发送给流量清洗装 置进行流量清洗；
在实际应用中，数据流量异常可能由UDP flood、SYN flood、ICMP Flood或其它 DDOS攻击引起的，而发起该DDOS攻击的可能是外网，也可能是云计算系统内的其它虚拟 机。
流量清洗装置可以是独立设置的流量清洗板，亦可是其它部署架构，流量清洗装 置可选用SYN反弹、TCP代理、UDP限流、空连接检测、DNS TC反弹和/或现有的其它一种或 多种技术对虚拟机Ai的异常流量进行流量清洗，以除去可疑流量。
举例来说，若流量清洗装置基于SYN反弹机制来进行流量清洗，则收到客户端到 目的服务器的SYN包，流量清洗装置可伪造其为目的服务器，和客户端进行通信，回应一个 特殊构造的确认序列号的SYN-ACK包，如果SYN包内的客户端源IP是真实的，则该客户端 会收到流量清洗装置发送过来的特殊的SYN-ACK包，同时其会构造一个原确认序列号的相 同的序列号的RST包，流量清洗装置根据包的信息进行判断，如果该序列号和初试构造的 SYN-ACK包的序列号相同，则认为是真实的，并把该IP加入白名单。然后该客户端会自动重 新发SYN包，流量清洗装置收到后查询到白名单，则可以直接转发。
若流量清洗装置基于TCP代理机制来进行流量清洗，则当客户端SYN包到达流量 清洗装置时，其SYN代理并不转发SYN包，而是以服务器的名义主动回复客户端SYN-ACK包 给客户，如果收到客户端的ACK包，表明这是正常的访问，此时流量清洗装置向服务器发送SYN包并完成三次握手，然后流量清洗装置代表客户端和服务端分别进行与服务端和客户 端进行通信，完成转发。
若流量清洗装置基于UDP限流机制来进行流量清洗，则当流量超过阈值时，流量 清洗装置对其流量进行限制，从而达到防护的目的。
若流量清洗装置基于空连接检测进行流量清洗，流量清洗装置可定时对防御防护 IP的TCP连接数目进行统计，一旦发现该统计数值超过阈值，则判断发生空连接攻击，则可 以对发起连接过多的源IP进行限制。
若流量清洗装置基于DNS TC反弹机制进行流量清洗，流量清洗装置可通过把DNS 的UDP通信方式转化为TCP通信方式来解决DNS的安全防范问题，大幅增强DNS安全防护 能力。DNS有一个特性，就是当客户端发出请求，如果DNS服务器准备应答时，发现数据量过 大，超过512字节，就会把DNS的报头的Flag字段中的TC标记至1，然后把512个截断的数 据返回给客户端，客户端的域名解析器收到这个报文后首先读取TC字段，知道该报文是截 断的，则采用TCP连接的方式主动向DNS的TCP端口进行连接，重新发出请求，进行信息交 换。
可以理解，本实施例流量清洗装置不限于使用上述流量清洗机制，当然还可以根 据需要采用其它流量清洗方式进行流量清洗，此处不再赘述。
405、流量清洗装置向云计算系统内虚拟机管理节点发送进行流量清洗后的数据流量；
406、云计算系统内虚拟机管理节点接收来自流量清洗装置的进行流量清洗后的 数据流，向虚拟机Ai注入该清洗后的数据流量。
可以理解，云计算系统内虚拟机管理节点将流量清洗装置进行流量清洗后的数据 流回注到虚拟机Ai中，因此虚拟机Ai可接收到清洗后的数据流，也就可以进行正常的响应 和处理，有效的防护了外网或云计算系统内其它虚拟机对虚拟机Ai的DDOS攻击。
由上可见，本实施例中由云计算系统内虚拟机管理节点来监测注入虚拟机的数据 流量；若监测到注入该虚拟机的数据流量发生异常，提取待注入该虚拟机的数据流发送给 流量清洗装置进行流量清洗；并将流量清洗装置进行流量清洗后的数据流回注到该虚拟 机。由于是利用部署在云计算系统内的防护节点进行DDOS防护，因而不仅可防护外网对云 计算系统内虚拟机的DDOS攻击，更可有效的防护云计算系统内的各个虚拟机间的DDOS攻 击，进而可全面提升云系统的安全性和可靠性。
为便于更好的实施本发明实施例的上述技术方案，下面还提供用于实施上述技术 方案的装置和系统。
实施例三
参见图5，本发明实施例提供的一种云计算系统内的防护节点500，其中云计算系 统包括防护节点和多个虚拟机，各个虚拟机之间交互的数据流经过防护节点，云计算系统 内防护节点500具体可以包括监测模块510、提取发送模块520、接收模块530和注入模块 540。
其中，监测模块510，用于监测注入虚拟机的数据流量；
在一种应用场景下，云计算系统内防护节点500可以是云计算系统内虚拟机管理 节点(该云计算系统内虚拟机管理节点可管理一台或多台位于相同或不同云计算系统内10物理主机上的虚拟机)，也可以是部署在云计算系统内虚拟机管理节点和云计算系统内各 个虚拟机之间的装置。外网与云计算系统内各虚拟机间交互的数据流，以及云计算系统内 各个虚拟机间交互的数据流都经过该云计算系统内防护节点500，云计算系统内防护节点 500可监测注入各个虚拟机的数据流。其中，注入某虚拟机的数据流可能来自外网，也可能 来自云计算系统内的其它虚拟机。
其中，监测模块510可具体用于，统计在预定时长(例如30秒、一分钟或其它值) 内注入上述虚拟机的数据流量大小；若统计出的预定时长内注入上述虚拟机的数据流量大 小超过设定阈值(例如50MB、100MB或其它值)，则确定注入上述虚拟机的数据流量发生异堂巾ο
提取发送模块520，用于在监测模块510监测到注入上述虚拟机的数据流量发生 异常时，提取待注入上述虚拟机的数据流，将提取的数据流发送给流量清洗装置进行流量 清洗；
接收模块530，用于接收上述流量清洗装置进行流量清洗后的数据流；
注入模块M0，用于向上述虚拟机注入接收模块530接收的清洗后的数据流。
参见图5-b，在一种应用场景下，云计算系统内防护节点500还可包括
请求模块550，用于在提取发送模块520提取待注入上述虚拟机的数据流之前，向 流量清洗装置发送指示请求流量清洗的流量清洗请求；
响应模块560，用于接收来自上述流量清洗装置的指示允许流量清洗的流量清洗 响应。
需要说明的是，本实施例的云计算系统内防护节点500可如上述方法实施例中的 云计算系统内虚拟机管理节点，可以用于配合实现上述方法实施例中的全部技术方案，其 各个功能模块的功能可以根据上述方法实施例中的方法具体实现，其具体实现过程可参照 上述实施例中的相关描述，此处不再赘述。
由上可见，本实施例中在云计算系统内部署防护节点，由云计算系统内防护节点 500来监测注入虚拟机的数据流量；若监测到注入该虚拟机的数据流量发生异常，提取待 注入该虚拟机的数据流发送给流量清洗装置进行流量清洗；并将流量清洗装置进行流量清 洗后的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS防 护，因而不仅可防护外网对云计算系统内虚拟机的DDOS攻击，更可有效的防护云计算系统 内的各个虚拟机间的DDOS攻击，进而可全面提升云系统的安全性和可靠性。
实施例四
参见图6，本发明实施例提供的一种云计算系统的防护系统，其中，云计算系统包 括防护节点和多个虚拟机，各个虚拟机之间交互的数据流经过防护节点，防护系统可包括 云计算系统内防护节点610和流量清洗装置620
其中，云计算系统内防护节点610，用于监测注入虚拟机的数据流量；若监测到注 入上述虚拟机的数据流量发生异常，提取待注入上述虚拟机的数据流，将提取的数据流发 送给流量清洗装置620进行流量清洗；接收流量清洗装置620进行流量清洗后的数据流； 向上述虚拟机注入流量清洗装置620进行流量清洗后的数据流。
流量清洗装置620，用于对来自云计算系统内防护节点610的待注入虚拟机的数 据流进行流量清洗，向云计算系统内防护节点610发送进行流量清洗后的数据流。11
在一种应用场景下，云计算系统内防护节点610可为云计算系统内虚拟机管理节 点(该云计算系统内虚拟机管理节点可管理一台或多台位于相同或不同云计算系统内物 理主机上的虚拟机)，也可以是部署在云计算系统内虚拟机管理节点和云计算系统内各个 虚拟机之间的装置。外网与云计算系统内各虚拟机间交互的数据流，以及云计算系统内各 个虚拟机间交互的数据流都经过云计算系统内防护节点610，云计算系统内防护节点610 可监测注入各个虚拟机的数据流。其中，注入某虚拟机的数据流可能来自外网，也可能来自 云计算系统内的其它虚拟机。
在实际应用中，云计算系统内防护节点610例如可统计在预定时长(例如30秒、 一分钟或其它值)内注入虚拟机的数据流量大小；若统计出的在预定时长内注入某一虚拟 机的数据流量大小超过设定阈值(例如50MB、100MB或其它值)，则可确定注入该虚拟机的数据流量发生异常。
在一种应用场景，云计算系统内防护节点610若监测到注入上述虚拟机的数据流 量发生异常，云计算系统内防护节点610可直接提取待注入该虚拟机的数据流，并直接将 提取的数据流量发送给流量清洗装置620进行流量清洗。或者，云计算系统内防护节点610 在监测到注入上述虚拟机的数据流量发生异常后，可先向流量清洗装置620发送指示请求 流量清洗的流量清洗请求；若接收来自该流量清洗装置620的指示允许流量清洗的流量清 洗响应(说明流量清洗装置620有足够的清洗资源)，再提取待注入该虚拟机的数据流，并 将提取的数据流发送给流量清洗装置620进行流量清洗；此外，若接收来自该流量清洗装 置620的指示不允许流量清洗的流量清洗响应(说明流量清洗装置620可能暂时没有足够 的清洗资源)，则云计算系统内防护节点610可再等待一定时长(例如2秒、5秒或其它值) 后，再向流量清洗装置620发送指示请求流量清洗的流量清洗请求，以此重复，直至流量清 洗装置620完成流量清洗。
特别的，如果有多台流量清洗装置可供选择，则若当前请求流量清洗的流量清洗 装置620暂无足够的清洗资源，云计算系统内防护节点610可请求其它流量清洗装置来进 行流量清洗。
在实际应用中，数据流量异常可能由UDP flood、SYN flood、ICMP Flood或其它 DDOS攻击引起的，而发起该DDOS攻击的可能是外网，也可能是云计算系统内的其它虚拟 机。
流量清洗装置620可为独立设置的流量清洗板，亦可是其它部署架构，流量清洗 装置620可选用SYN反弹、TCP代理、UDP限流、空连接检测、DNS TC反弹和/或现有的其它 一种或多种技术进行流量清洗。
需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列 的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为 依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知 悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明 所必须的。
在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部 分，可以参见其他实施例的相关描述。
综上，本发明实施例中在云计算系统内部署防护节点，由云计算系统内防护节点来监测注入虚拟机的数据流量；若监测到注入该虚拟机的数据流量发生异常，提取待注入 该虚拟机的数据流发送给流量清洗装置进行流量清洗；并将流量清洗装置进行流量清洗后 的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS防护，因 而不仅可防护外网对云计算系统内虚拟机的DDOS攻击，更可有效的防护云计算系统内的 各个虚拟机间的DDOS攻击，进而可全面提升云系统的安全性和可靠性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可 以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储 介质可以包括只读存储器、随机存储器、磁盘或光盘等。
以上对本发明实施例所提供的云系统分布式拒绝服务攻击防护方法以及装置和 系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以 上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般 技术人员，依据本发明的思想，在具体实施方式
及应用范围上均会有改变之处，综上，本说 明书内容不应理解为对本发明的限制。
权利要求
1.一种云系统分布式拒绝服务攻击防护方法，其特征在于，包括云计算系统内的防护节点监测注入虚拟机的数据流量，其中，所述云计算系统包括防 护节点和多个虚拟机，各个虚拟机之间交互的数据流经过防护节点；若监测到注入所述虚拟机的数据流量发生异常，提取待注入所述虚拟机的数据流； 将提取的数据流发送给流量清洗装置进行流量清洗； 接收所述流量清洗装置进行流量清洗后的数据流； 向所述虚拟机注入清洗后的数据流。
2.根据权利要求1所述的方法，其特征在于，所述云计算系统内防护节点包括云计算系统内虚拟机管理节点。
3.根据权利要求1或2所述的方法，其特征在于， 所述监测注入虚拟机的数据流量，包括统计在预定时长内注入所述虚拟机的数据流量大小；若统计出的预定时长内注入所述虚拟机的数据流量大小超过设定阈值，则确定注入所 述虚拟机的数据流量发生异常。
4.根据权利要求1或2所述的方法，其特征在于，所述提取待注入所述虚拟机的数据流 量，之前还包括向流量清洗装置发送指示请求流量清洗的流量清洗请求； 接收来自所述流量清洗装置的指示允许流量清洗的流量清洗响应。
5.一种云计算系统内的防护节点，其特征在于，云计算系统包括防护节点和多个虚拟 机，各个虚拟机之间交互的数据流经过防护节点，所述防护节点包括监测模块，用于监测注入虚拟机的数据流量；提取发送模块，用于在所述监测模块监测到注入所述虚拟机的数据流量发生异常时， 提取待注入所述虚拟机的数据流，将提取的数据流发送给流量清洗装置进行流量清洗； 接收模块，用于接收所述流量清洗装置进行流量清洗后的数据流； 注入模块，用于向所述虚拟机注入所述接收模块接收的清洗后的数据流。
6.根据权利要求1所述的防护节点，其特征在于， 所述防护节点包括云计算系统内虚拟机管理节点。
7.根据权利要求5或6所述的防护节点，其特征在于，所述监测模块具体用于，统计在预定时长内注入所述虚拟机的数据流量大小；若统计 出的预定时长内注入所述虚拟机的数据流量大小超过设定阈值，则确定注入所述虚拟机的 数据流量发生异常。
8.根据权利要求5或6所述的防护节点，其特征在于，还包括发送模块，用于在所述提取发送模块提取待注入所述虚拟机的数据流量之前，向流量 清洗装置发送指示请求流量清洗的流量清洗请求；接收模块，用于接收来自所述流量清洗装置的指示允许流量清洗的流量清洗响应。
9.一种云计算系统的防护系统，其特征在于，云计算系统包括防护节点和多个虚拟机， 各个虚拟机之间交互的数据流经过防护节点，所述防护系统包括云计算系统内防护节点，用于监测注入虚拟机的数据流量；若监测到注入所述虚拟机 的数据流量发生异常，提取待注入所述虚拟机的数据流，将提取的数据流发送给流量清洗装置进行流量清洗；接收所述流量清洗装置进行流量清洗后的数据流；向所述虚拟机注入 清洗后的数据流；流量清洗装置，用于对来自云计算系统内防护节点的待注入虚拟机的数据流进行流量 清洗，向所述云计算系统内防护节点发送进行流量清洗后的数据流。
10.根据权利要求9所述的防护系统，其特征在于， 所述云计算系统内防护节点包括云计算系统内虚拟机管理节点。
全文摘要
本发明实施例公开了一种云系统分布式拒绝服务攻击防护方法以及装置和系统，其中，一种云系统分布式拒绝服务攻击防护方法，包括云计算系统内的防护节点监测注入虚拟机的数据流量，其中，该云计算系统包括防护节点和多个虚拟机，各个虚拟机之间交互的数据流经过防护节点；若监测到注入该虚拟机的数据流量发生异常，提取待注入该虚拟机的数据流；将提取的数据流发送给流量清洗装置进行流量清洗；接收该流量清洗装置进行流量清洗后的数据流；向上述虚拟机注入清洗后的数据流。本发明实施例提供的方案，能够有效的防护云系统内各个虚拟机间的分布式拒绝服务攻击。
文档编号G06F21/00GK102043917SQ20101057722
公开日2011年5月4日 申请日期2010年12月7日 优先权日2010年12月7日
发明者蒋武 申请人:成都市华为赛门铁克科技有限公司