技术摘要：
本发明公开了一种云上Web应用应对虚拟主机层攻击的解决方法。本发明首先在云上创建异构的服务器，通过共享存储实现所有服务器的数据一致性；然后通过一定的流量转发策略实现服务器的动态变化，对攻击者则表现为难以观察和预测的动态变化目标，从而增加针对未知漏洞和后  全部
背景技术：
随着互联网的不断演进、攻击技术的不断进化，网络攻击呈现“隐蔽性、协同性、精 确性”等特点，网络安全处于“易攻难守”的态势。为了彻底改变传统的“封堵查杀”等被动应 对的防护模式，形成主动防御能力，内生安全防御技术应运而生。内生安全防御技术是指以 系统内部动态、异构、冗余、自愈结构为基础提出的一种主动防御技术，能够应对网络空间 中的各类未知威胁。由于采用综合性的防御手段，内生安全防御技术具有良好的可靠性与 普适性，近年来成为学术界与工业界的研究热点。 传统的云上Web应用的防御手段包括防火墙、IPS/IDS、WAF等，并在它们后面放置 一个Web服务器、文件服务器和数据库服务器等，这些服务器运行在虚拟主机上。这样的防 御措施存在三个缺陷：首先攻击者可以利用现有防御手段的漏洞进行攻击；其次，攻击者还 可以利用服务器本身的漏洞甚至虚拟机操作系统等的漏洞进行攻击；第三，受攻击的服务 器短时间内可能不能马上修复，导致业务长时间中断。 因此，现有的防御手段不能满足云上Web服务器的安全需求，亟需一种更加安全高 效的防御手段，提高攻击者的攻击成本，并且能使服务器在受到攻击后快速自愈。
技术实现要素：
本发明的目的在于针对现有技术的不足，提供一种云上Web应用应对虚拟主机层 攻击的解决方法。 本发明的目的是通过以下技术方案来实现的：一种云上Web应用应对虚拟主机层 攻击的解决方法，包括以下步骤： (1)搭建多个虚拟机，在每个虚拟机上安装的Web服务器和操作系统的组合不完全 相同，每个异构的虚拟机为一个执行体。 (2)通过共享存储的方式使步骤(1)搭建的所有执行体上的Web应用数据始终保持 一致； (3)再搭建一台虚拟机部署管理控制系统，包括管理模块、控制模块和表决模块 等。 Web应用接收到流量时，表决模块将所有执行体按照 的值进行排序，选取其中 值较小的M个执行体；其中，i＝1～N，N表示执行体个数，Vi表示执行体i当前正在处理的 请求数， 表示执行体i的计算能力，ti表示执行体i处理最近连续K个请求的时间；再 3 CN 111585952 A 说　明　书 2/4 页 从M个执行体中随机选择一个执行体上线作为流量转发的目的地，控制模块将流量分配给 选择的执行体处理；表决模块打开一个时长为T的时间窗口，在该时间窗口T内收集该执行 体当前正在处理流量Vi和处理最近连续K个请求的时间ti，用于动态更新当前计算能力Ci； Web应用接收新的流量时，打开新的时间窗口T，并把新流量分配给根据动态更新的 值重 新选择的执行体处理。 当表决模块检测到在线执行体异常时，判断其受到攻击为异常执行体，对其进行 下线处理，重新启动异常执行体对应的虚拟机，通过待用正常执行体的数据重新启动其Web 服务器并复原；同时Web应用重新进行流量转发，根据动态更新的 值从正常执行体中选择 一个新的执行体上线作为流量的目的地。 当控制模块检测到在线执行体的服务期限到期时，对其进行下线处理。 进一步地，所述Web服务器包括Apache、Nginx和IIS；所述操作系统包括Ubuntu、 Windows和Centos。 进一步地，所述步骤(2)具体为采用NFS共享文件系统作为所有执行体的后端存储 系统，保证数据的一致性。 进一步地，所述时间窗口T取1～5s。 进一步地，所述服务器期限在管理模块设置。 本发明的有益效果是：本发明一种云上Web应用应对虚拟主机层攻击的解决方法 实现动态异构冗余的服务器部署，能解决网络中已知和未知的攻击。本发明在云上创建异 构的服务器，通过共享存储实现所有服务器的数据一致性。本发明通过一定的流量转发策 略实现服务器的动态变化，对攻击者表现为难以观察和预测的动态变化目标，从而增加攻 击者对未知漏洞和后门的攻击难度和成本。最后通过受攻击服务器的下线和自愈，实现业 务不中断。 附图说明 图1是执行体构建图； 图2为流量转发方法的流程图； 图3为处理流量的时间窗口示意图； 图4为执行体下线和自愈的流程图。