本發明公開了一種云資源安全管控方法，包括以下步驟：獲取云計算平臺中各服務器的流量，并根據各服務器的流量將云計算平臺分成多個安全域，所述多個安全域之間隔離；從云計算平臺各服務器的安全資源中抽取部分資源并進行整合形成安全資源池；在各服務器中設置安全探針；當一個安全域的流量增幅異常時，將該安全域作為目標安全域，調取安全資源池中與該流量增幅匹配的安全資源對目標安全域進行安全服務。本發明還公開了一種云資源安全管控系統。本發明一種云資源安全管控方法及系統，滿足了安全域邊界流量變化時對安全防護能力的需求的變化，有效提高了整個系統的安全性，并且極大的縮短了復機時間，保證了系統的安全穩定運行。

技術領域

本發明涉及云計算技術領域，具體涉及一種云資源安全管控方法及系統。

背景技術

廣東移動應用了目前較為流行且主流的虛擬化及云計算技術構建了業務承載的云資源池，該資源池通過將物理服務器虛擬成若干虛擬主機為業務系統提供基礎設施的支撐服務，并且配合網絡和存儲的設計為業務系統提供了按需分配的計算資源，彈性遷移和擴展的靈活性以及高可用的冗余能力。利用云資源池形成的業務系統基礎設施無疑帶來了資源的更高效利用和更完整的可用性等優勢，但是云資源池的模式也引入了一些新的安全問題，包括對虛擬化對象的監控，虛擬化層的安全隱患，高度集中的資源調配可能帶來管理不當的隱患等，這都需要針對云資源池的安全監控防護有新的設計和考慮。

現有技術中，對于云計算平臺的安全問題多采用各個服務器只對自身安全進行資源調度，這就使得當單個服務器遭受入侵時，單個服務器安全資源不足，造成系統崩潰，威脅整個云計算平臺的安全。

發明內容

本發明所要解決的技術問題是對于云計算平臺的安全問題多采用各個服務器只對自身安全進行資源調度，這就使得當單個服務器遭受入侵時，單個服務器安全資源不足，造成系統崩潰，威脅整個云計算平臺的安全，目的在于提供一種云資源安全管控方法及系統，解決上述問題。

本發明通過下述技術方案實現：

一種云資源安全管控方法，包括以下步驟：S1：獲取云計算平臺中各服務器的流量，并根據各服務器的流量將云計算平臺分成多個安全域，所述多個安全域之間隔離；從云計算平臺各服務器的安全資源中抽取部分資源并進行整合形成安全資源池；在各服務器中設置安全探針；S2：當一個安全域的流量增幅異常時，將該安全域作為目標安全域，調取安全資源池中與該流量增幅匹配的安全資源對目標安全域進行安全服務；S3：根據安全探針對入侵源進行溯源，并執行封禁。

現有技術中，對于云計算平臺的安全問題多采用各個服務器只對自身安全進行資源調度，這就使得當單個服務器遭受入侵時，單個服務器安全資源不足，造成系統崩潰，威脅整個云計算平臺的安全。

本發明應用時，首先獲取云計算平臺中各服務器的流量，并根據各服務器的流量將云計算平臺分成多個安全域，并且將多個安全域之間進行隔離，通過這種手段可以方便對安全服務資源的調配，而對多個安全域之間進行隔離，可以保障當一個安全域被入侵后，入侵者只能獲得一個安全域的權限，此時通過調取其他安全域的安全資源可以對入侵進行清除；在各服務器中設置安全探針可以方便的實現對入侵進行溯源，并完成后續的封禁活動。

當一個安全域的流量增幅異常時，對流量進行統計：

定義在時刻t的變量，原始流量為S(t)，整體均值為k(t)，流量的差分值為w(t)，差分方差為var(t)，那么可以根據下式實現對統計量的計算：

w(t)＝S(t)-S(t-1)，t1

為了衡量t時刻流量大小，定義評價函數M(t)：

其中low*k(t)作為流量大的下限，high*k(t)作為可以接受的流量上限，判斷準則如下：