一种基于时域的云计算智能安全系统的制作方法

文档序号:15931008发布日期:2018-11-14 01:38阅读:167来源:国知局

本发明涉及云计算安全领域,尤其涉及一种基于时域的云计算智能安全系统。

背景技术

随着信息技术的不断发展,云计算成为一种继分布式计算、并行计算、网格计算等之后的新计算方式,可以为用户提供资源租用、服务外包、应用托管等服务,由于其简便、经济、易扩展性等优点迅速成为信息技术发展的热点。但在给用户带来方便的同时,也对用户的信息安全、资产安全和隐私安全造成了极大的挑战。目前,云计算安全已成为云计算发展过程中急需解决的问题,其关键性和紧迫性已不容忽视。

云计算虚拟环境中,在物理服务器内部存在多个虚拟机,每个虚拟机承载不同业务系统;同时,同一物理服务器内部的不同虚拟机间的流量可以通过内部的虚拟网络层直接通信,不再通过外部的物理防火墙,使得原有的物理安全边界在虚拟化环境下发生改变,因此原有的安全防护机制失效了。因此,开展云计算虚拟化安全管控的工作变得尤为紧迫和必要,从而保障云计算环境下,业务系统稳定、安全的运行。



技术实现要素:

发明目的:

针对开展云计算虚拟化安全管控的工作变得尤为紧迫和必要,从而保障云计算环境下,业务系统稳定、安全的运行的问题,本发明提供一种基于时域的云计算智能安全系统。

技术方案:

一种基于时域的云计算智能安全系统,包括:安全平台模块、行为分析模块、容灾模块、统计分析模块、反应模块,所述安全平台模块连接所述行为分析模块,所述行为分析模块分别连接所述容灾模块以及统计分析模块,所述反应模块连接所述统计分析模块,所述安全平台模块、行为分析模块、容灾模块以及统计分析模块分别设置有时域数据,所述安全平台模块容纳平台储存空间,所述安全平台模块将平台储存空间分割为若干分割空间,所述安全平台模块以时域为基准进行分割空间的时域调整时间点的计算,并根据时域点进行分割空间的时域转换,所述行为分析模块根据所述时域数据进行时域点计算,所述行为分析模块针对当前系统中的数据流进行数据流的对象识别以及内容识别,所述行为分析模块根据时域点计算结果以及数据流对象与内容的识别结果进行数据流导向的模拟以及对比,所述数据流导向的模拟结果为当前时域下该数据流导向的目标分割空间,所述数据流导向的对比为数据流实际导向以及模拟导向的对比,所述容灾模块根据对比结果进行数据容灾,所述统计分析模块分别以时域以及分割空间为划分条件进行系统数据流分析以及容灾情况分析,所述反应模块根据系统数据流分析以及容灾情况分析进行时域情况以及分割空间的情报反馈。

作为本发明的一种优选方式,所述安全平台模块设置通常状态以及行为状态,所述通常状态为对已识别数据流传输的导向,行为状态为对未识别数据流传输的导向。

作为本发明的一种优选方式,所述通常状态下所述分割空间之间数据流传输特征为连续性,所述行为状态下所述分割空间之间数据流传输特征为阻塞性。

作为本发明的一种优选方式,所述反馈模块根据当前容灾结果进行针对性的分割空间的暂时性转换,所述转换为随机转换,所述安全平台没模块根据所述暂时性转换进行时域转换的调整。

作为本发明的一种优选方式,所述安全系统还包括日志管理模块,所述日志管理模块分别连接所述行为分析模块以及容灾模块,所述日志管理模块根据所述识别模块在时域条件下获取的数据流信息以及所述容灾模块的数据容灾信息进行日志记录。

作为本发明的一种优选方式,所述日志管理模块具有识别功能,所述识别功能分为对象识别、内容识别以及时域识别,所述对象识别以及内容识别作用于在所述日志管理模块中体现的容灾模块对应的数据容灾,所述时域识别分别作用于所述日志管理模块本身、对象识别以及内容识别。

作为本发明的一种优选方式,所述日志管理模块根据所述时域识别得到的结果进行容灾模块的反馈,所述容灾模块根据所述反馈结果进行预容灾。

作为本发明的一种优选方式,所述日志管理模块根据日志内容向所述安全平台模块进行安全反馈,所述安全平台模块根据所述安全反馈进行分割空间的调整方式的计算模拟。

本发明实现以下有益效果:

能够明确的将安全平台模块划分割成大量空间,并对大量的分割空间进行阵列的排布以及调整,基于时域信息实现适应云计算动态化环境下的安全策略的动态配置,防御外部空间对分割空间的恶意攻击,保障云环境下系统安全。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并于说明书一起用于解释本公开的原理。

图1为系统框架图;

图2为系统工作步骤图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。

实施例一:

参考图为图1、图2。一种基于时域的云计算智能安全系统,包括:安全平台模块1、行为分析模块2、容灾模块3、统计分析模块4、反应模块5,所述安全平台模块1连接所述行为分析模块2,所述行为分析模块2分别连接所述容灾模块3以及统计分析模块4,所述反应模块5连接所述统计分析模块4,所述安全平台模块1、行为分析模块2、容灾模块3以及统计分析模块4分别设置有时域数据,所述安全平台模块1容纳平台储存空间,所述安全平台模块1将平台储存空间分割为若干分割空间,所述安全平台模块1以时域为基准进行分割空间的时域调整时间点的计算,并根据时域点进行分割空间的时域转换,所述行为分析模块2根据所述时域数据进行时域点计算,所述行为分析模块2针对当前系统中的数据流进行数据流的对象识别以及内容识别,所述行为分析模块2根据时域点计算结果以及数据流对象与内容的识别结果进行数据流导向的模拟以及对比,所述数据流导向的模拟结果为当前时域下该数据流导向的目标分割空间,所述数据流导向的对比为数据流实际导向以及模拟导向的对比,所述容灾模块3根据对比结果进行数据容灾,所述统计分析模块4分别以时域以及分割空间为划分条件进行系统数据流分析以及容灾情况分析,所述反应模块5根据系统数据流分析以及容灾情况分析进行时域情况以及分割空间的情报反馈。

作为本发明的一种优选方式,所述安全平台模块1设置通常状态以及行为状态,所述通常状态为对已识别数据流传输的导向,行为状态为对未识别数据流传输的导向。

作为本发明的一种优选方式,所述通常状态下所述分割空间之间数据流传输特征为连续性,所述行为状态下所述分割空间之间数据流传输特征为阻塞性。

作为本发明的一种优选方式,所述反馈模块根据当前容灾结果进行针对性的分割空间的暂时性转换,所述转换为随机转换,所述安全平台没模块根据所述暂时性转换进行时域转换的调整。

在具体实施过程中,平台储存空间用于暂时对进入系统的数据流进行储存和输送,安全平台模块1将平台储存空间分割成为大量的分割空间,各分割空间对于数据储存的空间大小一致,分割空间可看成ram,各分割空间之间通过防火墙进行隔离,安全平台模块1对各个分割空间进行数字编号,并且对各个分割空间所处的虚拟空间的位置进行数字编号,值得一提的是,分割空间的数字编号仅与分割空间关联且随分割空间在虚拟空间的转换而转换,分割空间所处的虚拟空间的位置的数字编号仅与虚拟空间被分割出的位置关联且分割出的位置在虚拟空间中的相对位置不变。设置于安全平台模块1的时域数据被随机分割为不同的时域点,安全平台模块1判断时域信号是否到达时域点,若是,则进行分割空间的转换,将分割空间的所处的虚拟空间的位置进行随机交换,在交换的过程中,安全平台模块1追踪分割空间的交换过程,并追踪分割空间的数字编号以及经过交换的分割空间所在的虚拟空间的位置的数字编号,当数据流需要从安全平台模块1中经过时,数据流的导向对象在数据流传输进安全平台模块1时会被行为分析模块2获取,在数据流的传输的过程中,行为分析模块2会实时截取数据流传输的导向对象,并对导向对象进行识别,上述识别的对象为分割空间,同时,行为分析模块2进行数据流的内容的识别。

在行为分析模块2的工作过程中,行为分析模块2的时域数据随着安全平台模块1的时域数据进行数据流传输时的时域节点的确认,每当到达时域节点时,行为分析模块2根据时域节点进行该时域节点下数据流传输的对象进行识别,即对数据流传输的目标分割空间进行识别,识别结果为目标分割空间的数字编号以及当前时域节点下分割空间所处的虚拟空间的位置的数字编号。与此同时,行为分析模块2根据数据流的内容以及整体对象进行数据流传输的过程的模拟,模拟结果为在相应的时域节点时数据流的对象,即数据流的目标分割空间的数字编号,由于分割空间转换的随机性,行为分析模块2不会进行分割空间在虚拟空间中所处位置的数字编号的模拟。行为分析模块2将数据流实时对象的模拟结果与数据流传输的实际结果进行对比,对比过程包括目标分割空间的数字编号的模拟结果与数据流传输的实际分割空间的数字编号的对比以及目标分割空间的数字编号的模拟结果与当前时域节点下分割空间所处的虚拟空间的位置的数字编号的对比,仅当所有对比结果都一致时,行为分析模块2判断数据流为安全数据流;当任意一个对比结果不一致时,行为分析模块2判断数据流为非安全数据流,此时,行为分析模块2对非安全数据各个时域节点下的目标分割空间进行容灾情况的分析以及模拟,容灾模块3进行数据容灾,容灾结果为安全平台模块1根据反应结果进行分割空间的转换,反应模块5根据容灾情况进行对安全平台的反馈,安全平台模块1根据反应结果进行分割空间的转换的记忆,避免多次进行相同的分割空间的转换。

对于数据流,安全平台模块1进行记忆,在新次数的数据流开始传输时,安全平台模块1判断当前数据流与记忆中数据流是否有一致性,若有,则判断进入通常状态,此时,分割空间之间的数据流传输不需经过分时域节点的模拟对比,并设定为连续性传输;若没有,则判断进入行为状态,此时,分割空间之间的数据流传输必须经过分时域节点的模拟对比,并设定为阻塞性传输。

实施例二:

参考图为图1、图2。针对实施例一,本实施例的不同点在于:

作为本发明的一种优选方式,所述安全系统还包括日志管理模块6,所述日志管理模块6分别连接所述行为分析模块2以及容灾模块3,所述日志管理模块6根据所述识别模块在时域条件下获取的数据流信息以及所述容灾模块3的数据容灾信息进行日志记录。

作为本发明的一种优选方式,所述日志管理模块6具有识别功能,所述识别功能分为对象识别、内容识别以及时域识别,所述对象识别以及内容识别作用于在所述日志管理模块6中体现的容灾模块3对应的数据容灾,所述时域识别分别作用于所述日志管理模块6本身、对象识别以及内容识别。

作为本发明的一种优选方式,所述日志管理模块6根据所述时域识别得到的结果进行容灾模块3的反馈,所述容灾模块3根据所述反馈结果进行预容灾。

作为本发明的一种优选方式,所述日志管理模块6根据日志内容向所述安全平台模块1进行安全反馈,所述安全平台模块1根据所述安全反馈进行分割空间的调整方式的计算模拟。

在具体实施过程中,上述过程都记录于日志管理模块6,同样的,日志管理模块6根据时域节点对时域的分割进行每个时域节点间以及每个时域节点时系统的日志记录。在容灾模块3进行数据容灾时,日志管理模块6会特别的进行对数据容灾的对象以及内容的识别,即对对应数据流的内容以及该数据流在各个时域节点处的目标分割空间的数字编号,并特别识别出容灾模块3针对该数据流进行数据容灾所处的时域节点,此时,日志管理模块6基于时域节点进行时域识别。日志管理模块6将基于时域识别得到的最终结果反馈至容灾模块3,容灾模块3根据反馈结果在识别到相类似的数据流时进行预容灾的准备。

上述实施例只为说明本发明的技术构思及特点,其目的是让熟悉该技术领域的技术人员能够了解本发明的内容并据以实施,并不能以此来限制本发明的保护范围。凡根据本发明精神实质所作出的等同变换或修饰,都应涵盖在本发明的保护范围之内。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1