CN111510517B - 一种网络动态优化分配方法、分配***及可读存储介质 - Google Patents

一种网络动态优化分配方法、分配***及可读存储介质 Download PDF

Info

Publication number
CN111510517B
CN111510517B CN202010606682.6A CN202010606682A CN111510517B CN 111510517 B CN111510517 B CN 111510517B CN 202010606682 A CN202010606682 A CN 202010606682A CN 111510517 B CN111510517 B CN 111510517B
Authority
CN
China
Prior art keywords
public network
client
elastic
gateway
network address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010606682.6A
Other languages
English (en)
Other versions
CN111510517A (zh
Inventor
臧云峰
安柯
徐蓉
李笳平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yovole Computer Network Co ltd
Shanghai Youfu Zhishu Yunchuang Digital Technology Co ltd
Original Assignee
Shanghai Yovole Computer Network Co ltd
Shanghai Youfu Zhishu Yunchuang Digital Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yovole Computer Network Co ltd, Shanghai Youfu Zhishu Yunchuang Digital Technology Co ltd filed Critical Shanghai Yovole Computer Network Co ltd
Priority to CN202010606682.6A priority Critical patent/CN111510517B/zh
Publication of CN111510517A publication Critical patent/CN111510517A/zh
Application granted granted Critical
Publication of CN111510517B publication Critical patent/CN111510517B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种网络动态优化分配方法、分配***及可读存储介质,所述分配方法包括:定义客户申请额外弹性公网地址额度的规则,并获取所述客户初始安全信用评分;依据客户类型、客户的运营商线路需求、客户的带宽需求及安全信用评分为客户分配对应的公网网关、运营商线路和弹性公网地址,并建立公网连接;客户连接公网后,监控客户的公网流量数据,并依据所述公网流量数据动态调整客户的安全信用评分及可访问弹性公网地址额度。本发明在优先满足优质客户公网访问的前提下,有效降低云计算公网访问整体安全风险。

Description

一种网络动态优化分配方法、分配***及可读存储介质
技术领域
本发明涉及云计算技术领域,特别是涉及一种网络动态优化分配方法、分配***及可读存储介质。
背景技术
互联网的高速发展,应用的增多导致了网络需求呈现爆发式增长,给传统的网络带来了巨大的挑战。软件定义网络(Software Defined Network,软件定义网络)应运而生,其数据层面与控制层面分离的思想使之成为解决传统网络的弊端的主流方案。软件定义网络控制器是基于如OpenFlow等协议的,允许服务器告诉交换机向哪里发送数据包。软件定义网络与以往网络的最大差别在于网络控制模式,将底层网络分成控制层与转发层。控制层采用集中式控制器来控管不同的网络设备,如此一来,网络更易于被控制与管理,并且让比特在转发层顺利传输。控制器通过安全通道与OpenFlow交换机进行通信,下发流表与控制原则来决定流量的流向,以此达到路由机制、封包分析、网络虚拟化等功能的实现。软件定义网络可针对不同的使用需求,建立服务层级协议,让使用者存取服务时,获得应有的保障。在公有云环境中,用户虚拟机通过绑定弹性公网地址访问互联网。弹性公网地址的地址段很多,线路种类很多,运营商也很多,还包括很多的海外地址需求。用户的类型也各不相同,有的是小众用户,有的是大用户,这些用户之间的需求也各不一样,在实际中,一般优质客户,对带宽和安全性要求比较高,自身的云资源安全性设置也比较高,不易受攻击,但是普通的公有云客户,有些安全意识薄弱,云资源安全设置不够,还有一些是恶意客户,导致绑定的弹性公网地址资源经常受攻击或者是攻击别人,如果所有客户网络都在同一个网关上,有安全风险的网络连接就会影响到其他客户的网络连接,尤其是优质客户的网络连接,从而提升云计算公网访问整体安全风险。
发明内容
本发明的目的在于提供一种网络动态优化分配方法、分配***及可读存储介质,本发明在优先满足优质客户公网访问的前提下,有效降低了云计算公网访问整体安全风险。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明提供一种网络动态优化分配方法,其至少包括以下步骤:
S1.管理平台将软件定义网络中的控制器拆分成业务控制器和数据控制器;
S2.通过管理平台定义客户申请额外弹性公网地址额度的规则,并获取所述客户初始安全信用评分;
S3.所述管理平台获取所述客户类型,并根据所述客户类型初始化创建各类公网网关;所述管理平台根据所述公网网关的类别为所述公网网关分配带宽、运营商线路和弹性公网地址池;
S4.所述客户发出云资源公网连接请求;
S5.所述业务控制器依据所述客户类型、所述客户的安全信用评分及所述客户剩余弹性公网地址额度判断是否满足所述客户云资源公网连接请求;若否,则不允许所述客户云资源公网连接请求,若是,则执行S6;
S6.所述业务控制器依据所述客户类型、所述客户的运营商线路需求、所述客户的带宽需求为所述客户分配对应的所述公网网关、所述运营商线路和所述弹性公网地址;
S7.所述业务控制器依据分配给所述客户的所述公网网关、所述运营商线路和所述弹性公网地址建立所述客户的云资源内网地址与所述弹性公网地址之间的映射,所述业务控制器将所述映射下发给所述数据控制器;
S8.所述数据控制器将所述映射下发到所述公网网关,将所述客户的所述云资源内网地址与所述弹性公网地址进行绑定,建立弹性公网连接;
S9.所述管理平台监控所述公网网关的所述带宽及所述弹性公网地址池的资源使用情况,依据所述资源使用情况,动态增加创建新的所述公网网关或添加新的所述弹性公网地址到所述弹性公网地址池;
S10.通过监控***持续监测所述客户的弹性公网连接流量是否出现异常,若否,则不处理,若是,则所述业务控制器将所述出现异常的客户的弹性公网连接从原公网网关迁移到易受攻击网关,所述管理平台相应调整所述客户的安全信用评分并自动警告所述客户进行整改;
S11.当所述客户符合所述弹性公网连接的迁回条件时,将所述客户的弹性公网连接由易受攻击网关迁回至原公网网关;
S12.通过人机用户***人为的对所述公网网关进行删除管理,并对所述弹性公网地址进行回收管理。
在本发明的一个实施例中,所述公网网关的类别包括VVIP网关、VIP网关、普通网关和易攻击网关。
在本发明的一个实施例中,在步骤S2中,所述客户申请额外弹性公网地址额度的规则为:
新建客户时,所述客户的初始安全信用评分为T1,初始预设可访问弹性公网地址额度是M1;
客户信用评分大于等于T1时,可访问弹性公网地址额度M1使用完时,可以多次申请增加可访问弹性公网地址额度;
客户信用评分大于等于T2,小于T1时,可访问弹性公网地址额度M1使用完后,只能申请一次增加可访问弹性公网地址额度;
客户信用评分大于等于T3,小于T2时,可访问弹性公网地址额度M1使用完后,不能申请增加可访问弹性公网地址额度;
客户信用评分小于等于0时,不能申请增加可访问弹性公网地址额度,并且即使可访问弹性公网地址额度M1没有使用完,也不允许所述客户的云资源内网地址绑定到弹性公网地址。
在本发明的一个实施例中,所述步骤S5还包括以下步骤:
H1.所述业务控制器判断所述客户的安全信用评分,如果所述客户的安全信用评分小于等于0,则不能满足所述客户云资源公网连接请求;
H2.如果所述客户的安全信用评分大于等于T3且小于T2时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户云资源公网连接请求,并提醒客户剩余弹性公网地址额度不足;
H3.如果所述客户的安全信用评分大于等于T2且小于T1时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户云资源公网连接请求,并提醒所述客户剩余弹性公网地址额度不足且提醒所述客户可申请一次增加可访问弹性公网地址额度;
H4.如果所述客户的安全信用评分大于等于T1时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户云资源公网连接请求,并提醒所述客户剩余弹性公网地址额度不足且提醒所述客户可申请多次增加可访问弹性公网地址额度。
在本发明的一个实施例中,在步骤S9中,若所述公网网关的平均使用带宽超过了所述公网网关总带宽的P1比例,则增加创建新的所述公网网关,并且所述管理平台为新的所述公网网关分配带宽、运营商线路和弹性公网地址池。
在本发明的一个实施例中,在步骤S9中,若所述公网网关已使用的弹性公网地址数量大于等于此公网网关上弹性公网地址池内弹性公网地址总量的P2比例,且所述公网网关已分配的带宽量小于带宽总量的P1比例,则在所述公网网关上添加新的弹性公网地址到所述弹性公网地址池。
在本发明的一个实施例中,在步骤S10中,所述弹性公网连接流量出现异常的判断方法包括:
R1、判断所述弹性公网连接是否被分布式拒绝服务攻击,判断所述弹性公网连接是否被分布式拒绝服务攻击包括以下步骤:
R1.1 预先根据不同的受防护的弹性公网连接设置最大忍受被攻击阈值,所述最大忍受被攻击阈值包括流量带宽阈值N1、每秒传输的包数阈值N2以及阻断持续时间阈值N3;
R1.2.判断所述遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值N1、每秒传输的包数阈值N2的范围内,若否,则认为当前弹性公网连接被所述分布式拒绝服务攻击;
R2、判断所述弹性公网连接的虚拟机是否被骇客远端操纵或所述弹性公网连接被计算机病毒攻击,判断所述弹性公网连接的虚拟机是否被骇客远端操纵或被计算机病毒攻击包括以下步骤:
R2.1.所述公网网关的弹性公网地址的正在运行流量带宽大于等于其绑定的带宽;
R2.2.所述弹性公网地址所绑定的云资源的中央处理器使用率大于等于P3比例;
R2.3.所述弹性公网地址对应的每秒传输的包数大于其前一小时平均值的P4倍或者此弹性公网地址在公网网关中建立的会话数大于公网网关设置的默认值P5;
R2.4.上述步骤R2.1至R2.3持续达到时间阈值N4后,则认为所述虚拟机被骇客远端操纵或所述弹性公网连接被计算机病毒攻击。
在本发明的一个实施例中,所述步骤S11还包括:所述出现异常的客户的弹性公网连接迁移到易受攻击网关后,若在时间阈值N5内未再次出现异常,则通过业务控制器自动将客户的弹性公网连接由易受攻击网关迁回至原公网网关;所述出现异常的客户的弹性公网连接迁移到易受攻击网关后,若未达到时间阈值N5,但客户的弹性公网连接已符合要求,则通过人机用户***人为的将客户的弹性公网连接由易受攻击网关迁回至原公网网关。
在本发明的一个实施例中,所述步骤S12还包括:当监控***监测到公网网关上已分配弹性公网地址数量为0并且已分配带宽的使用量为0时,则通过所述人机用户***人为删除所述公网网关;当监控***监测到公网网关上弹性公网地址使用量低于所述公网网关上分配的弹性公网地址总量的P6比例时,则通过所述人机用户***人为将弹性公网地址的分配量减少P7比例。
本发明还提供一种网络动态优化分配***,其包括:
管理平台,其用于将软件定义网络中的控制器拆分成业务控制器和数据控制器,所述管理平台获取客户初始安全信用评分,并根据所述客户初始安全信用评分确定所述客户可访问弹性公网地址额度;所述管理平台获取所述客户类型,并根据所述客户类型初始化创建各类公网网关;所述管理平台根据所述公网网关的类别为所述公网网关分配带宽、运营商线路和弹性公网地址池;所述管理平台监控所述公网网关的所述带宽及所述弹性公网地址池的资源使用情况,依据所述资源使用情况,动态增加创建新的所述公网网关或添加新的所述弹性公网地址到所述弹性公网地址池;
业务控制器,其与所述管理平台连接,所述业务控制器依据所述客户类型、所述客户的安全信用评分及所述客户剩余弹性公网地址额度判断是否满足所述客户云资源公网连接请求;所述业务控制器依据所述客户类型、所述客户的运营商线路需求、所述客户的带宽需求为所述客户分配对应的所述公网网关、所述运营商线路和所述弹性公网地址;所述业务控制器依据分配给所述客户的所述公网网关、所述运营商线路和所述弹性公网地址建立所述客户的云资源内网地址与所述弹性公网地址之间的映射;
数据控制器,其与所述业务控制器连接,所述数据控制器将所述映射下发到所述公网网关,将所述客户的所述云资源内网地址与所述弹性公网地址进行绑定,建立弹性公网连接;
监控***,其与所述管理平台及所述业务控制器连接,通过监控***持续监测所述客户的弹性公网连接流量是否出现异常,若存在异常,则所述业务控制器将所述出现异常的客户的弹性公网连接从原公网网关迁移到易受攻击网关, 所述管理平台相应调整所述客户的安全信用评分并自动警告所述客户进行整改。
在本发明的一个实施例中,所述分配***还包括人机用户***,所述人机用户***一端与所述管理平台连接,所述人机用户***的另一端与所述数据控制器连接,所述人机用户***用于对所述公网网关进行删除管理,所述人机用户***用于对所述弹性公网地址进行回收管理,所述人机用户***用于对所述易受攻击网关内的客户弹性公网连接人为的迁出所述易受攻击网关。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现本发明所述的一种网络动态优化分配方法。
本发明依据不同的客户类型、安全信用评分及其公网地址配额剩余额度,动态决策是否为客户按需分配对应的弹性公网地址,并依据客户公网连接流量历史检测数据,动态调整客户的安全信用评分及公网地址分配额度,在优先满足优质客户公网访问的前提下,有效降低云计算公网访问整体安全风险。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明一种网络动态优化分配方法的方法流程图;
图2为图1中步骤S5中的方法流程图;
图3为图1中步骤S10的方法流程图;
图4为图3中步骤R1的方法流程图;
图5为图3中步骤R2的方法流程图;
图6为本发明一种网络动态优化分配***的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在实际应用中,可以根据客观需要将客户划分为例如三个级别,分别为VVIP客户、VIP客户和普通客户,其中VVIP客户和VIP客户通常为优质客户,例如企业大客户,这些优质客户对网络带宽和网络安全性的要求比较高,这些优质客户自身的云资源安全性设置也比较高,不易受攻击,但是普通客户中就会存在一些安全意识薄弱,云资源安全设置不够的客户,其中还有一些是恶意客户,这些普通客户会导致绑定的弹性公网地址资源经常受攻击或者是经常攻击别人,如果所有这些级别的客户都在同一个公网网关上,存在问题的这些普通客户就会影响到其他客户,尤其是优质客户,本发明依据不同的客户类型、安全信用评分及其公网地址配额剩余额度,动态决策是否为客户按需分配对应的弹性公网地址,并依据客户公网连接流量历史检测数据,动态调整客户的安全信用评分及公网地址分配额度,在优先满足优质客户公网访问的前提下,有效降低云计算公网访问整体安全风险。
请参阅图1,本发明提供一种计算机可读存储设备,所述计算机可读存储设备上存储有计算机程序,本发明中存储设备通过处理器调用存储介质中存储的计算机程序,并执行如下网络动态优化分配方法,所述网络动态优化分配方法至少包括以下步骤:
S1.管理平台将软件定义网络中的控制器拆分成业务控制器和数据控制器;
S2.所述管理平台定义客户申请额外弹性公网地址额度的规则,并获取所述客户初始安全信用评分;
S3.所述管理平台获取所述客户类型,并根据所述客户类型初始化创建各类公网网关;所述管理平台根据所述公网网关的类别为所述公网网关分配带宽、运营商线路和弹性公网地址池;
S4.所述客户发出云资源公网连接请求;
S5.所述业务控制器依据所述客户类型、所述客户的安全信用评分及所述客户剩余弹性公网地址额度判断是否满足所述客户云资源公网连接请求;若否,则不允许所述客户云资源公网连接请求,若是,则执行S6;
S6.所述业务控制器依据所述客户类型、所述客户的运营商线路需求、所述客户的带宽需求为所述客户分配对应的所述公网网关、所述运营商线路和所述弹性公网地址;
S7.所述业务控制器依据分配给所述客户的所述公网网关、所述运营商线路和所述弹性公网地址建立所述客户的云资源内网地址与所述弹性公网地址之间的映射,所述业务控制器将所述映射下发给所述数据控制器;
S8.所述数据控制器将所述映射下发到所述公网网关,将所述客户的所述云资源内网地址与所述弹性公网地址进行绑定,建立弹性公网连接;
S9.所述管理平台监控所述公网网关的所述带宽及所述弹性公网地址池的资源使用情况,依据所述资源使用情况,动态增加创建新的所述公网网关或添加新的所述弹性公网地址到所述弹性公网地址池;
S10.通过监控***持续监测所述客户的弹性公网连接流量是否出现异常,若否,则不处理,若是,则所述业务控制器将所述出现异常的客户的弹性公网连接从原公网网关迁移到易受攻击网关,所述管理平台相应调整所述客户的安全信用评分并自动警告所述客户进行整改;
S11.当所述客户符合所述弹性公网连接的迁回条件时,将所述客户的弹性公网连接由易受攻击网关迁回至原公网网关;
S12.通过人机用户***人为的对所述公网网关进行删除管理,并对所述弹性公网地址进行回收管理。
请参阅图1及图6所示,在步骤S1中,将软件定义网络中的控制器拆分成业务控制器和数据控制器,其中业务控制器用于对客户的云资源公网连接进行决策,其中数据控制器对业务控制器的云资源公网连接决策进行执行。
请参阅图1,在步骤S2中,通过管理平台定义客户申请额外弹性公网地址额度的规则,并获取所述客户初始安全信用评分。所述客户申请额外弹性公网地址额度的规则为:新建客户时,所述客户的初始安全信用评分为T1,本实施例中,例如为100分,初始预设可访问弹性公网地址额度是M1,本实施例中,例如为10个;客户信用评分大于等于100分时,可访问弹性公网地址额度M1使用完时,可以多次申请增加可访问弹性公网地址额度,本实施例中申请次数例如为3次;客户信用评分大于等于T2,本实施例中,例如为80分,且小于100分时,可访问弹性公网地址额度M1使用完后,只能申请一次增加可访问弹性公网地址额度;客户信用评分大于等于T3,本实施例中,例如为60分,且小于80分时,可访问弹性公网地址额度M1使用完后,不能申请增加可访问弹性公网地址额度;客户信用评分小于等于0时,不能申请增加可访问弹性公网地址额度,并且即使可访问弹性公网地址额度M1没有使用完,也不允许所述客户的云资源内网地址绑定到弹性公网地址。
请参阅图1,在步骤S3中,所述管理平台获取所述客户类型,并根据所述客户类型初始化创建各类公网网关,所述管理平台根据所述公网网关的类别为所述公网网关分配带宽、运营商线路和弹性公网地址池。可以根据客观需要将待服务客户划分为例如三个类型,分别为VVIP客户、VIP客户和普通客户,其中VVIP客户和VIP客户可以为优质客户,管理平台获取所述客户类型,并根据所述客户类型初始化创建各类公网网关,例如可以创建VVIP网关、VIP网关、普通网关和易攻击网关,每一类别的公网网关都有可能包含多个,管理平台根据公网网关的类别为公网网关分配带宽、运营商线路和弹性公网地址池,其中运营商线路,例如包括边界网关线路、电信线路、联通线路或海外线路等,所述的运营商线路拥有很大的弹性公网地址池,它可以被分成多个部分,配置在不同的公网网关下,以此保证每一个公网网关下都有不同的运营商线路可供选择,具体的,边界网关线路、电信线路、联通线路或海外线路上都有很多弹性公网地址池,把每种类型的弹性公网地址池都切分成很多的小段,从切分的弹性公网地址池中拿出一些段分配到VVIP网关、VIP网关和普通网关上,易攻击网关不分配弹性公网地址池,更具体的,软件定义网络***中为所述公网网关分配带宽、运营商线路和弹性公网地址池的规则为:预设公网网关的初始总带宽例如是10G,初始化4个公网网关的带宽分别是VVIP网关的带宽为10G,VIP网关的带宽为10G,普通网关的带宽为10G,易攻击网关的带宽为5G,初始化运营商线路的弹性公网地址池分别是边界网关线路地址A个,电信地址B个,联通地址C个,海外线路地址D个。首先预分出每种类型的二分之一来分配给VVIP网关、VIP网关和普通网关使用,每个网关都有4种线路类型,即初始时,每种公网网关的各线路地址池是总量的六分之一,在本实施例中,当运营商线路的已分配在各公网网关上的弹性公网地址数量大于等于弹性公网地址总数的90%时,管理平台1发送增加运营商线路弹性公网地址池的消息给相关工作人员,经上级审批和采购对应运营商线路的弹性公网地址池后并更新现有运营商线路的弹性公网地址总数及相关弹性公网地址池信息。通过管理平台1记录上述这些信息,例如包括:公网网关类别,运营商线路类型,弹性公网地址总数,已分配在各公网网关上的弹性公网地址数量,已使用弹性公网地址数量,带宽总量,已分配带宽量等。
请参阅图1及图2,在步骤S4和步骤S5中,所述客户发出云资源公网连接请求,所述业务控制器依据所述客户类型、所述客户的安全信用评分及所述客户剩余弹性公网地址额度判断是否满足所述客户云资源公网连接请求;若否,则不允许所述客户云资源公网连接请求,若是,则执行S6。本实施例中,判断是否满足所述客户云资源公网连接请求的条件为:H1.所述业务控制器判断所述客户的安全信用评分,如果所述客户的安全信用评分小于等于0,则不能满足所述客户云资源公网连接请求;H2.如果所述客户的安全信用评分大于等于T3且小于T2时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户云资源公网连接请求,并提醒客户剩余弹性公网地址额度不足;H3.如果所述客户的安全信用评分大于等于T2且小于T1时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户云资源公网连接请求,并提醒所述客户剩余弹性公网地址额度不足且提醒所述客户可申请一次增加可访问弹性公网地址额度;H4.如果所述客户的安全信用评分大于等于T1时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户云资源公网连接请求,并提醒所述客户剩余弹性公网地址额度不足且提醒所述客户可申请多次增加可访问弹性公网地址额度。
请参阅图1,在步骤S6中,所述业务控制器依据所述客户类型、所述客户的运营商线路需求、所述客户的带宽需求为所述客户分配对应的所述公网网关、所述运营商线路和所述弹性公网地址。具体的,例如为VVIP客户、VIP客户或普通客户分别分配VVIP网关、VIP网关或者普通网关。分配公网网关时,要考虑待分配公网网关中的带宽是否足够,即待分配公网网关中剩余带宽大于客户的带宽需求。具体的,在一些实施例中,在分配带宽时,对于VVIP客户将按照百分之百连接时间内满足客户带宽需求分配带宽,对于VIP客户可以按照VIP客户的90%连接时间内满足客户带宽需求分配带宽,对于普通客户可以按照普通客户70%连接时间内满足客户带宽需求分配带宽。所述业务控制器2根据所述客户的运营商线路需求,在所述具有足够带宽的公网网关上为其匹配相应的运营商线路,本实施例中,例如客户想要通过电信运营商连接网络,则业务控制器2在具有足够带宽的相应公网网关上为其匹配电信运营商线路的弹性公网地址池。
请参阅图1,在步骤S7和步骤S8中,业务控制器2在选择到的运营商线路弹性公网地址池中随机选出未分配使用的弹性公网地址,所述业务控制器依据分配给所述客户的所述公网网关、所述运营商线路和所述弹性公网地址,建立所述客户的云资源内网地址与所述弹性公网地址之间的映射,所述业务控制器将所述映射下发给所述数据控制器,所述数据控制器将所述映射下发到所述公网网关,将所述客户的所述云资源内网地址与所述弹性公网地址进行绑定,实现客户的联网需求。
请参阅图1,在步骤S9中,所述管理平台监控所述公网网关的所述带宽及所述弹性公网地址池的资源使用情况,依据所述资源使用情况,动态增加创建新的所述公网网关或添加新的所述弹性公网地址到所述弹性公网地址池。在一些实施例中,若所述公网网关的平均使用带宽超过了所述公网网关总带宽的P1比例,例如80%,则增加创建新的所述公网网关,并且所述管理平台为新的所述公网网关分配带宽、运营商线路和弹性公网地址池。更具体的,以VVIP客户为例,首先判断与其对应的VVIP网关是否需要扩充,具体的判断方法为,当VVIP网关上已分配带宽量大于等于VVIP网关上带宽总量的例如80%,管理平台1发出增加创建同类型公网网关的消息给公网网关的运维人员,部署增加创建新的同类型公网网关,并且配置新的弹性公网地址池段,例如从各运营商线路弹性公网地址池中取出例如各六分之一给新的公网网关,同时发消息给管理平台1并新建增加网关配置记录,所述记录包括新的公网网关类型,运营商线路,弹性公网地址总数,已使用弹性公网地址数,带宽总量,已分配带宽量等。在一些实施例中,若所述公网网关已使用的弹性公网地址数量大于等于此公网网关上弹性公网地址池内弹性公网地址总量的P2比例,例如80%,且所述公网网关已分配的带宽量小于带宽总量的P1比例,例如80%,则在所述公网网关上添加新的弹性公网地址到所述弹性公网地址池。更具体的,当某个公网网关某个线路的已使用弹性公网地址数大于等于此公网网关线路分配的弹性公网地址数的例如80% 并且已分配的带宽总量小于带宽总量例如80%时,管理平台1发出增加已有公网网关线路弹性公网地址的消息给网关运维人员,并从此线路弹性公网地址总池中取出例如六分之一未使用的弹性公网地址配置在公网网关的线路上,同时发送消息给管理平台1更新已有的弹性公网地址数字段和相应弹性公网地址池记录,例如包括公网网关类型,运营商线路,弹性公网地址数,已使用弹性公网数,带宽总量及已分配带宽量。
请参阅图1、图3至图5,在步骤S10中,通过监控***持续监测所述客户的弹性公网连接流量是否出现异常,若否,则不处理,若是,则所述业务控制器将所述出现异常的客户的弹性公网连接从原公网网关迁移到易受攻击网关, 所述管理平台相应调整所述客户的安全信用评分并自动警告所述客户进行整改。这是为了将有危险的弹性公网连接与正常的弹性公网连接进行有效的隔离,从而杜绝正常的弹性公网连接受到危险的弹性公网连接的影响。所述安全信用的评分可以依据客户弹性公网连接流量是否存在异常来判断。在一些实施例中,监控***4对接分布式拒绝服务网络监控***4,当分布式拒绝服务网络监控***4监测到某个弹性公网地址被分布式拒绝服务攻击,发出报警,监控***4可以获取到此信息并且上报给管理平台1。请参阅图3及图4,具体的,所述弹性公网连接流量出现异常的判断方法包括:R1、判断所述弹性公网连接是否被分布式拒绝服务攻击,判断所述弹性公网连接是否被分布式拒绝服务攻击包括以下步骤:R1.1 预先根据不同的受防护的弹性公网连接设置最大忍受被攻击阈值,所述最大忍受被攻击阈值可以根据客户需要或者客户级别等来进行调整,所述最大忍受被攻击阈值包括流量带宽阈值N1,最大忍受被攻击阈值的流量带宽阈值N1可以但不限于为1024兆,每秒传输的包数阈值N2,每秒传输的包数阈值N2可以但不限于为95万pps、100万pps、105万pps、108万pps等,阻断持续时间阈值N3例如为5分钟;R1.2.判断所述遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值N1、每秒传输的包数阈值N2的范围内,若否,则认为当前弹性公网连接被所述分布式拒绝服务攻击。请参阅图3及图5,所述监控方法还包括:R2、判断所述弹性公网连接的虚拟机是否被骇客远端操纵或所述弹性公网连接被计算机病毒攻击,若是则认为所述弹性公网连接流量出现异常;判断所述弹性公网连接的虚拟机是否被骇客远端操纵或被计算机病毒攻击包括以下步骤:R2.1.所述公网网关的弹性公网地址的正在运行流量带宽大于等于其绑定的带宽;R2.2.所述弹性公网地址所绑定的云资源的中央处理器使用率大于等于P3比例,例如90%;R2.3.所述弹性公网地址对应的每秒传输的包数大于其前一小时平均值的P4倍,例如3倍,或者此弹性公网地址在公网网关中建立的会话数大于公网网关设置的默认值P5,例如5000;R2.4.上述步骤R2.1至R2.3持续达到时间阈值N4后,则认为所述虚拟机被骇客远端操纵或所述弹性公网连接被计算机病毒攻击。具体的,时间阈值N4例如为5分钟,当上述步骤R2.1至R2.3持续超过5分钟,则认为此弹性公网连接的虚拟机被骇客远端操纵或被计算机病毒攻击,并上报给管理平台1。这是因为,在一些实施例中,计算机被病毒攻击时,中央处理器使用率会突然增大,例如中央处理器的使用率会达到100%,此现象代表中央处理器存在异常,中央处理器的大部分计算时间被用于流量包的发送接收,导致连接线路的带宽被挤占,最终表现为连接线路带宽被耗尽。
请参阅图1,在步骤S10中,本实施例中,例如客户的安全信用评分降低,导致这一结果的依据是,一段时间内,用户被分布式拒绝服务攻击、用户计算机被病毒攻击或虚拟机被骇客远端操纵(例如成为虚拟货币挖矿机器),这些因素所导致的网络流量异常,由监控***4把这些信息反馈给管理平台1,管理平台1对客户的安全信用评分进行实时的更新,同时管理平台1还可以把客户的弹性公网连接从原有公网网关迁移到易攻击网关中,即原有公网网关弹性公网地址池中移除此弹性公网地址,易攻击网关加入此弹性公网地址,并且通知客户进行整改。
请参阅图1,在步骤S10中,更具体的,管理平台1接收到监控***4上报的异常弹性公网连接后,查询到此弹性公网地址对应的客户,客户对应的安全信用评分例如减10分,并且更新弹性公网连接和时间记录,更新的记录例如包括:客户名称、客户级别、客户的安全信用评分、弹性公网配额、已使用的弹性公网地址数量,发生异常的弹性公网地址、发生异常的时间,同时下发此弹性公网地址的绑定关系以及对应的迁出操作给业务控制器2,业务控制发现是迁出操作,再下发给数据控制器3,数据控制器3把对应的弹性公网连接从原有公网网关迁移到易攻击网关,成功后返回消息给管理平台1,管理平台1更新此弹性公网地址的绑定关系的迁移到易攻击网关字段为true。本发明的步骤S4至步骤S10为不断循环的过程,当步骤S10执行完毕后,将返回步骤S4等待客户发出新的云资源公网连接请求。
请参阅图1,在步骤S11中,在长期运行中,易攻击网关上就会积累一些弹性公网地址,如果在弹性公网连接被迁移到易攻击网关的时间阈值N5内,所述时间阈值N5例如为一个月,此弹性公网连接没有再被攻击,则此弹性公网连接移回原先的所属公网网关。在一些实施例中,所述出现异常的客户的弹性公网连接迁移到易受攻击网关后,若在时间阈值N5,例如一个月内未再次出现异常,则通过业务控制器2自动将客户的弹性公网连接由易受攻击网关迁回至原公网网关。在其他一些实施例中,所述出现异常的客户的弹性公网连接迁移到易受攻击网关后,若未达到时间阈值N5,例如一个月,但客户的弹性公网连接已符合要求,则通过人机用户***5人为的将客户的弹性公网连接由易受攻击网关迁回至原公网网关,具体的,管理平台1会监测客户名称,发生异常的弹性公网连接,发生异常的时间,当距离发生时间大于等于一个月时,且此弹性公网连接没有再发生异常时,更新客户信用评分例如加10分,并且下发此弹性公网地址的绑定关系以及对应的迁回操作给业务控制器2,业务控制器2发现是迁回操作,再下发给数据控制器3,数据控制器3把对应的弹性公网地址从易攻击网关迁移到原公网网关,成功后返回消息给管理平台1,管理平台1更新此弹性公网地址的绑定关系的迁移到易攻击网关字段为false,并且删除此前的异常记录。在其他一些实施例中,若在易攻击网关上的弹性公网地址,还没有达到一个月的锁定监测期,但是客户的整改很好,并且客户下的其他弹性公网连接没有发生异常现象,客户可以申请把此弹性公网连接迁移回原公网网关,在审批确认后,由运维人员通过人机用户***5完成迁回操作。运维人员通过人机用户***5从管理平台1获取到弹性公网地址、公网网关、运营商线路及迁移到易攻击网关之间的绑定关系,下发弹性公网地址迁回操作到数据控制器3,由数据控制器3把弹性公网地址迁移回原公网网关,然后返回消息给人机用户***5,人机用户***5发消息给管理平台1,管理平台1更新此弹性公网地址的绑定关系的迁移到易攻击网关字段为false,并且删除此前的异常记录。
请参阅图1,在步骤S12中,通过人机用户***人为的对所述公网网关进行删除管理,并对所述弹性公网地址进行回收管理。具体的,当监控***监测到公网网关上已分配弹性公网地址数量为0并且已分配带宽的使用量为0时,则通过所述人机用户***人为删除所述公网网关;当监控***监测到公网网关上弹性公网地址使用量低于所述公网网关上分配的弹性公网地址总量的P6比例,例如10%时,则通过所述人机用户***人为将弹性公网地址的分配量减少P7比例,例如50%。
请参阅图6所示,本发明还提供一种网络动态优化分配***,其包括:管理平台1、业务控制器2、数据控制器3、监控***4和人机用户***5。
请参阅图6所示,管理平台1,其用于将软件定义网络中的控制器拆分成业务控制器2和数据控制器3,所述管理平台1获取客户初始安全信用评分,并根据所述客户初始安全信用评分确定所述客户可访问弹性公网地址额度;所述管理平台1获取所述客户类型,并根据所述客户类型初始化创建各类公网网关;所述管理平台1根据所述公网网关的类别为所述公网网关分配带宽、运营商线路和弹性公网地址池;所述管理平台1监控所述公网网关的所述带宽及所述弹性公网地址池的资源使用情况,依据所述资源使用情况,动态增加创建新的所述公网网关或添加新的所述弹性公网地址到所述弹性公网地址池。业务控制器2,其与所述管理平台1连接,所述业务控制器2依据所述客户类型、所述客户的安全信用评分及所述客户剩余弹性公网地址额度判断是否满足所述客户云资源公网连接请求;所述业务控制器2依据所述客户类型、所述客户的运营商线路需求、所述客户的带宽需求为所述客户分配对应的所述公网网关、所述运营商线路和所述弹性公网地址;所述业务控制器2依据分配给所述客户的所述公网网关、所述运营商线路和所述弹性公网地址建立所述客户的云资源内网地址与所述弹性公网地址之间的映射。数据控制器3,其与所述业务控制器2连接,所述数据控制器3将所述映射下发到所述公网网关,将所述客户的所述云资源内网地址与所述弹性公网地址进行绑定,建立弹性公网连接。监控***4,其与所述管理平台1及所述业务控制器2连接,通过监控***4持续监测所述客户的公网连接流量是否出现异常,若存在异常,则所述业务控制器2将所述出现异常的客户的公网连接从原公网网关迁移到易受攻击网关, 所述管理平台1相应调整所述客户的安全信用评分并自动警告所述客户进行整改。具体的,管理平台1将软件定义网络中的控制器拆分成业务控制器2和数据控制器3,之后管理平台1获取客户初始安全信用评分,并根据所述客户初始安全信用评分确定所述客户可访问弹性公网地址额度,管理平台1再获取所述客户类型,并根据所述客户类型初始化创建各类公网网关;所述管理平台1根据所述公网网关的类别为所述公网网关分配带宽、运营商线路和弹性公网地址池,并等待客户发出云资源公网连接请求,当所述客户发出云资源公网连接请求后,所述业务控制器2依据所述客户类型、所述客户的安全信用评分及所述客户剩余弹性公网地址额度判断是否满足所述客户云资源公网连接请求,若满足,则所述业务控制器2依据所述客户类型、所述客户的运营商线路需求、所述客户的带宽需求为所述客户分配对应的所述公网网关、所述运营商线路和所述弹性公网地址,所述业务控制器2依据分配给所述客户的所述公网网关、所述运营商线路和所述弹性公网地址建立所述客户的云资源内网地址与所述弹性公网地址之间的映射,所述业务控制器2将所述映射下发给所述数据控制器3,所述数据控制器3将所述映射下发到所述公网网关,将所述客户的所述云资源内网地址与所述弹性公网地址进行绑定,所述管理平台1监控所述公网网关的所述带宽及所述弹性公网地址池的资源使用情况,依据所述资源使用情况,动态增加创建新的所述公网网关或添加新的所述弹性公网地址到所述弹性公网地址池,通过监控***4持续监测所述客户的公网连接流量是否出现异常,若否,则不处理,若是,则所述业务控制器2将所述出现异常的客户的公网连接从原公网网关迁移到易受攻击网关, 所述管理平台1相应调整所述客户的安全信用评分并自动警告所述客户进行整改。
请参阅图6所示,在一些实施例中,本发明的软件定义网络动态优化分配***还包括人机用户***5,其一端与所述管理平台1连接,其另一端与所述数据控制器3连接,当监控***监测到公网网关上已分配弹性公网地址数量为0并且已分配带宽的使用量为0时,则通过所述人机用户***人为删除所述公网网关;当监控***监测到公网网关上弹性公网地址使用量低于所述公网网关上分配的弹性公网地址总量的P6比例,例如10%时,则通过所述人机用户***人为将弹性公网地址的分配量减少P7比例,例如50%。所述人机用户***5还可以用于将所述易受攻击网关内的客户弹性公网地址人为的迁出所述易受攻击网关,并下发至所述数据控制器3,由数据控制器3执行弹性公网地址的迁出操作。具体的,若在易攻击网关上的弹性公网地址,还没有达到一个月的锁定监测期,但是客户的整改很好,已符合要求,并且客户下的其他弹性公网地址没有发生异常现象,客户可以申请把此弹性公网地址迁移回原公网网关,在审批确认后,由运维人员通过人机用户***5下发迁回操作。运维人员通过人机用户***5从管理平台1获取到弹性公网地址、公网网关、运营商线路及迁移到易攻击网关之间的绑定关系,下发弹性公网地址迁回操作到数据控制器3,由数据控制器3把弹性公网地址迁移回原公网网关,然后返回消息给人机用户***,人机用户***发消息给管理平台1,管理平台1更新此弹性公网地址的绑定关系的迁移到易攻击网关字段为false,并且删除此前的异常记录的数据。
以上公开的本发明选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (12)

1.一种网络动态优化分配方法,其特征在于,其至少包括以下步骤:
S1.管理平台将软件定义网络中的控制器拆分成业务控制器和数据控制器;
S2.通过管理平台定义客户申请额外弹性公网地址额度的规则,并获取所述客户的初始的安全信用评分;
S3.所述管理平台获取所述客户的客户类型,并根据所述客户类型初始化创建各类公网网关;所述管理平台根据所述公网网关的类别为所述公网网关分配带宽、运营商线路和弹性公网地址池;
S4.所述客户发出云资源公网连接请求;
S5.所述业务控制器依据所述客户类型、所述客户的安全信用评分及所述客户剩余弹性公网地址额度判断是否满足所述客户的云资源公网连接请求;若否,则不允许所述客户的云资源公网连接请求,若是,则执行S6;
S6.所述业务控制器依据所述客户类型、所述客户的运营商线路需求、所述客户的带宽需求为所述客户分配对应的所述公网网关、所述运营商线路和所述弹性公网地址;
S7.所述业务控制器依据分配给所述客户的所述公网网关、所述运营商线路和所述弹性公网地址建立所述客户的云资源内网地址与所述弹性公网地址之间的映射,所述业务控制器将所述映射下发给所述数据控制器;
S8.所述数据控制器将所述映射下发到所述公网网关,将所述客户的所述云资源内网地址与所述弹性公网地址进行绑定,建立弹性公网连接;
S9.所述管理平台监控所述公网网关的所述带宽及所述弹性公网地址池的资源使用情况,依据所述资源使用情况,动态增加创建新的所述公网网关或添加新的所述弹性公网地址到所述弹性公网地址池;
S10.通过监控***持续监测所述客户的弹性公网连接流量是否出现异常,若否,则不处理,若是,则所述业务控制器将所述出现异常的客户的弹性公网连接从原公网网关迁移到易受攻击网关,所述管理平台相应调整所述客户的安全信用评分并自动警告所述客户进行整改;
S11.当所述客户的弹性公网连接符合所述弹性公网连接的迁回条件时,将所述客户的弹性公网连接由所述易受攻击网关迁回至所述原公网网关;
S12.通过人机用户***人为的对已创建的各类所述公网网关进行删除管理,并对已创建的各类所述公网网关上的所述弹性公网地址进行回收管理。
2.根据权利要求1所述一种网络动态优化分配方法,其特征在于,所述公网网关的类别包括VVIP网关、VIP网关、普通网关和易攻击网关。
3.根据权利要求1所述一种网络动态优化分配方法,其特征在于,在步骤S2中,所述客户申请额外弹性公网地址额度的规则为:
新建客户时,所述客户的初始的安全信用评分为T1,初始预设可访问弹性公网地址额度是M1;
客户的安全信用评分大于等于T1时,可访问弹性公网地址额度M1使用完时,可以多次申请增加可访问弹性公网地址额度;
客户的安全信用评分大于等于T2,小于T1时,可访问弹性公网地址额度M1使用完后,只能申请一次增加可访问弹性公网地址额度;
客户的安全信用评分大于等于T3,小于T2时,可访问弹性公网地址额度M1使用完后,不能申请增加可访问弹性公网地址额度;
客户的安全信用评分小于等于0时,不能申请增加可访问弹性公网地址额度,并且即使可访问弹性公网地址额度M1没有使用完,也不允许所述客户的云资源内网地址绑定到弹性公网地址。
4.根据权利要求1所述一种网络动态优化分配方法,其特征在于,所述步骤S5还包括以下步骤:
H1.所述业务控制器判断所述客户的安全信用评分,如果所述客户的安全信用评分小于等于0,则不能满足所述客户的云资源公网连接请求;
H2.如果所述客户的安全信用评分大于等于T3且小于T2时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户的云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户的云资源公网连接请求,并提醒客户剩余弹性公网地址额度不足;
H3.如果所述客户的安全信用评分大于等于T2且小于T1时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户的云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户的云资源公网连接请求,并提醒所述客户剩余弹性公网地址额度不足且提醒所述客户可申请一次增加可访问弹性公网地址额度;
H4.如果所述客户的安全信用评分大于等于T1时,若所述客户剩余弹性公网地址额度大于等于可访问弹性公网地址额度,则允许所述客户的云资源公网连接请求,若所述客户剩余弹性公网地址额度小于可访问弹性公网地址额度,则不能满足所述客户的云资源公网连接请求,并提醒所述客户剩余弹性公网地址额度不足且提醒所述客户可申请多次增加可访问弹性公网地址额度。
5.根据权利要求1所述一种网络动态优化分配方法,其特征在于,在步骤S9中,若所述公网网关的平均使用带宽超过了所述公网网关的总带宽的P1比例,则增加创建新的所述公网网关,并且所述管理平台为新的所述公网网关分配带宽、运营商线路和弹性公网地址池。
6.根据权利要求1所述一种网络动态优化分配方法,其特征在于,在步骤S9中,若所述公网网关已使用的弹性公网地址数量大于等于此公网网关上弹性公网地址池内弹性公网地址总量的P2比例,且所述公网网关已分配的带宽量小于带宽总量的P1比例,则在所述公网网关上添加新的弹性公网地址到所述弹性公网地址池。
7.根据权利要求1所述一种网络动态优化分配方法,其特征在于,在步骤S10中,所述弹性公网连接流量出现异常的判断方法包括:
R1、判断所述弹性公网连接是否被分布式拒绝服务攻击,判断所述弹性公网连接是否被分布式拒绝服务攻击包括以下步骤:
R1.1 预先根据不同的受防护的弹性公网连接设置最大忍受被攻击阈值,所述最大忍受被攻击阈值包括流量带宽阈值N1及每秒传输的包数阈值N2;
R1.2.判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值N1、每秒传输的包数阈值N2的范围内,若否,则认为当前弹性公网连接被所述分布式拒绝服务攻击;
R2、判断所述弹性公网连接的虚拟机是否被骇客远端操纵或所述弹性公网连接被计算机病毒攻击,判断所述弹性公网连接的虚拟机是否被骇客远端操纵或被计算机病毒攻击包括以下步骤:
R2.1.所述公网网关的弹性公网地址的正在运行的流量带宽大于等于其绑定的带宽;
R2.2.所述弹性公网地址所绑定的云资源的中央处理器使用率大于等于P3比例;
R2.3.所述弹性公网地址对应的每秒传输的包数大于其前一小时平均值的P4倍或者此弹性公网地址在公网网关中建立的会话数大于公网网关设置的默认值P5;
R2.4.上述步骤R2.1至R2.3持续达到时间阈值N4后,则认为所述虚拟机被骇客远端操纵或所述弹性公网连接被计算机病毒攻击。
8.根据权利要求1所述一种网络动态优化分配方法,其特征在于,所述步骤S11还包括:
所述出现异常的客户的弹性公网连接迁移到易受攻击网关后,若在时间阈值N5内未再次出现异常,则通过业务控制器自动将客户的弹性公网连接由易受攻击网关迁回至原公网网关;
所述出现异常的客户的弹性公网连接迁移到易受攻击网关后,若未达到时间阈值N5,但客户的弹性公网连接已符合要求,则通过人机用户***人为的将客户的弹性公网连接由易受攻击网关迁回至原公网网关。
9.根据权利要求1所述一种网络动态优化分配方法,其特征在于,所述步骤S12还包括:
当监控***监测到公网网关上已分配弹性公网地址数量为0并且已分配带宽的使用量为0时,则通过所述人机用户***人为删除所述公网网关;当监控***监测到公网网关上弹性公网地址使用量低于所述公网网关上分配的弹性公网地址总量的P6比例时,则通过所述人机用户***人为将弹性公网地址的分配量减少P7比例。
10.一种网络动态优化分配***,其特征在于,其包括:
管理平台,其用于将软件定义网络中的控制器拆分成业务控制器和数据控制器,所述管理平台获取客户的初始的安全信用评分,并根据所述客户初始安全信用评分确定所述客户可访问弹性公网地址额度;所述管理平台获取所述客户的客户类型,并根据所述客户类型初始化创建各类公网网关;所述管理平台根据所述公网网关的类别为所述公网网关分配带宽、运营商线路和弹性公网地址池;所述管理平台监控所述公网网关的所述带宽及所述弹性公网地址池的资源使用情况,依据所述资源使用情况,动态增加创建新的所述公网网关或添加新的所述弹性公网地址到所述弹性公网地址池;
业务控制器,其与所述管理平台连接,所述业务控制器依据所述客户类型、所述客户的安全信用评分及所述客户剩余弹性公网地址额度判断是否满足所述客户的云资源公网连接请求;所述业务控制器依据所述客户类型、所述客户的运营商线路需求、所述客户的带宽需求为所述客户分配对应的所述公网网关、所述运营商线路和所述弹性公网地址;所述业务控制器依据分配给所述客户的所述公网网关、所述运营商线路和所述弹性公网地址建立所述客户的云资源内网地址与所述弹性公网地址之间的映射;
数据控制器,其与所述业务控制器连接,所述数据控制器将所述映射下发到所述公网网关,将所述客户的所述云资源内网地址与所述弹性公网地址进行绑定,建立弹性公网连接;
监控***,其与所述管理平台及所述业务控制器连接,通过监控***持续监测所述客户的弹性公网连接流量是否出现异常,若存在异常,则所述业务控制器将所述出现异常的客户的弹性公网连接从原公网网关迁移到易受攻击网关, 所述管理平台相应调整所述客户的安全信用评分并自动警告所述客户进行整改。
11.根据权利要求10所述一种网络动态优化分配***,其特征在于,所述分配***还包括人机用户***,所述人机用户***一端与所述管理平台连接,所述人机用户***的另一端与所述数据控制器连接,所述人机用户***用于对所述公网网关进行删除管理,所述人机用户***用于对所述弹性公网地址进行回收管理,所述人机用户***用于对所述易受攻击网关内的客户弹性公网连接人为的迁出所述易受攻击网关。
12.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9中任一项所述的一种网络动态优化分配方法。
CN202010606682.6A 2020-06-30 2020-06-30 一种网络动态优化分配方法、分配***及可读存储介质 Active CN111510517B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010606682.6A CN111510517B (zh) 2020-06-30 2020-06-30 一种网络动态优化分配方法、分配***及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010606682.6A CN111510517B (zh) 2020-06-30 2020-06-30 一种网络动态优化分配方法、分配***及可读存储介质

Publications (2)

Publication Number Publication Date
CN111510517A CN111510517A (zh) 2020-08-07
CN111510517B true CN111510517B (zh) 2020-09-15

Family

ID=71877229

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010606682.6A Active CN111510517B (zh) 2020-06-30 2020-06-30 一种网络动态优化分配方法、分配***及可读存储介质

Country Status (1)

Country Link
CN (1) CN111510517B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227686A (zh) * 2014-06-20 2016-01-06 中国电信股份有限公司 云主机域名的动态配置方法和***

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112016004286T5 (de) * 2015-09-23 2018-06-21 Google Llc Systeme und Verfahren zur Lastverteilung in einem verteilten Paketkernsystem eines durch Software definierten Netzes
CN106936857B (zh) * 2015-12-29 2020-05-19 中国电信股份有限公司 一种混合云的连接管理方法、sdn控制器及混合云***
CN110753072B (zh) * 2018-07-24 2022-06-03 阿里巴巴集团控股有限公司 负载均衡***、方法、装置及设备
CN110891033B (zh) * 2018-09-07 2023-05-05 阿里巴巴集团控股有限公司 网络资源处理方法、装置、网关、控制器及存储介质
CN109617932B (zh) * 2019-02-21 2021-07-06 北京百度网讯科技有限公司 用于处理数据的方法和装置
CN109743415B (zh) * 2019-02-27 2021-11-19 上海浪潮云计算服务有限公司 一种公有云网络弹性ip实现方法及***
CN111314283B (zh) * 2019-12-13 2023-01-24 网易(杭州)网络有限公司 防御攻击的方法和装置
CN111064793B (zh) * 2019-12-19 2023-04-21 紫光云技术有限公司 公有云平台下维护管理弹性公网ip地址池的方法及***

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227686A (zh) * 2014-06-20 2016-01-06 中国电信股份有限公司 云主机域名的动态配置方法和***

Also Published As

Publication number Publication date
CN111510517A (zh) 2020-08-07

Similar Documents

Publication Publication Date Title
EP3317804B1 (en) Automatically preventing and remediating network abuse
WO2021114582A1 (zh) 一种内生安全的用户接入认证管理***及方法
CN109743415B (zh) 一种公有云网络弹性ip实现方法及***
US20200348983A1 (en) Monitoring and optimizing interhost network traffic
US20170300353A1 (en) Method for Allocating Communication Path in Cloudified Network, Apparatus, and System
EP2685758B1 (en) Method, device and system for scheduling data flow
US20070043738A1 (en) Methods and systems for reputation based resource allocation for networking
WO2017088397A1 (zh) 用于CDN服务器群组的DDoS攻击防护方法及***
EP4068725A1 (en) Load balancing method and related device
WO2020038450A1 (zh) 带宽调整方法、装置、通信设备及计算机可读存储介质
WO2021098425A1 (zh) 配置业务的服务质量策略方法、装置和计算设备
CN103338240B (zh) 监控自动漂移的云服务器自动监控***及方法
CN111277628B (zh) 服务器配置方法、装置及业务服务器
CN104702684B (zh) 一种数据同步方法和装置
US9363199B1 (en) Bandwidth management for data services operating on a local network
CN116418876A (zh) 一种算力网络服务的迁移方法、***及云管理平台
EP2220568B1 (en) Methods and systems for providing efficient provisioning of data flows
US20190334968A1 (en) Bit rate reduction processing method for data file, and server
CN111510517B (zh) 一种网络动态优化分配方法、分配***及可读存储介质
CN107147585B (zh) 一种流量控制方法及装置
JP4309321B2 (ja) ネットワークシステムの運用管理方法及びストレージ装置
CN115933985A (zh) 一种分布式存储QoS控制方法及***
US20150351101A1 (en) Communication system, node, controller, communication method and program
CN113055427B (zh) 一种基于业务的服务器集群接入方法及装置
CN111294406B (zh) 软件定义网络控制器混合映射方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant