[发明专利]一种服务资源的调度方法及装置

说明书

本申请公开了一种服务资源的调度方法及装置，涉及信息安全技术领域，用于在发生黑客攻击时，解决攻击流量内的正常用户不能正常使用租户的服务或者出现访问速度变慢的问题。该方法包括：域名系统服务器接收第一终端发送的域名解析请求，所述域名解析请求包括域名；根据所述第一终端的终端信誉值和IP地址资源池中每个虚拟IP地址的IP信誉值，从所述IP地址资源池包括的至少两个虚拟IP地址中，选择出一个虚拟IP地址；向所述第一终端发送域名解析响应，所述域名解析响应中携带选择出的虚拟IP地址。

技术领域

本申请实施例涉及信息安全技术领域，尤其涉及一种服务资源的调度方法及装置。

背景技术

基于云端的服务的一种实现方式是网络服务提供商租用网络基础设施提供商提供的服务器集群，这些服务器利用虚拟IP地址为用户提供服务。网络服务提供商可以被视为网络基础设施的“租户”。当用户访问网络服务提供商的域名时，该域名首先被解析为一个虚拟IP地址，用户再通过访问该虚拟IP地址享受网络服务。

为了保证基于云端的服务的安全性，提出了基于云端的分布式拒绝服务(distributed denial of service，DDoS)攻击防御服务和云防火墙类产品。基于云端的DDoS攻击防御服务或云防火墙类产品通过多个网络安全设备对访问受保护服务器的流量进行安全检测，当一个网络安全设备出现故障或受到攻击时，可以进行切换，由其他网络安全设备执行安全检测的功能。一方面保证了受保护服务器的安全性，另一方面对用户来说，保证了服务可用性。

基于云端的DDoS攻击防御服务或云防火墙类产品的一个重要特性是基于威胁的调度解析。每个网络安全设备分别具有一个虚拟IP地址，租户的域名被解析为其中一个网络安全设备的虚拟IP地址。当用户访问虚拟IP地址时，该虚拟IP地址对应的网络安全设备对来自于用户的报文进行威胁检测，如果报文无威胁，则将报文重定向到真实的受保护服务器上。基于威胁的调度解析是指在基于云端的DDoS攻击防御服务和云防火墙中，可以根据租户业务被攻击的状态，将租户域名随机地调度解析到其他可用的虚拟IP上。例如，在当前租户业务使用的虚拟IP地址被攻击时，基于云端的DDoS攻击防御服务和云防火墙停止将租户域名解析为被攻击的虚拟IP地址，并将域名解析为另一个可用的虚拟IP地址，通过另一个可用的虚拟IP地址为用户提供服务。也即是，通过将攻击检测和域名解析系统(domainname system，DNS)解析相结合，或者将攻击检测和基于HTTP的DNS(HTTPDNS)解析相结合，有效地将不同程度的攻击分流到不同带宽大小的抗攻击的网络安全设备内，有效缓解攻击，清洗异常流量，保证业务不中断。

比如，某一租户的域名为www.abc.com，域名www.abc.com对应的IP地址资源池中包括VIP1和VIP2，VIP1是网络安全设备1的IP地址，VIP2是网络安全设备2的IP地址。如图1所示，当用户发起向域名(www.abc.com)的访问请求时，DNS服务器查询域名www.abc.com的对应的虚拟IP地址为VIP1。将域名解析结果VIP1返回给用户，用户通过访问VIP1获得域名为www.abc.com提供的网页等服务。若黑客攻击VIP1，且VIP1对应的网络安全设备1判断攻击流量超过阈值，则网络安全设备1可上报攻击信息至调度模块。调度模块将VIP1的状态更新为不可用或被攻击中，并通过VIP1查询租户的域名，根据租户的域名查询IP地址资源池中可用的VIP为VIP2，从而通知DNS更新域名www.abc.com的解析地址为VIP2，以将攻击流量转移至VIP2对应的网络安全设备2中。

上述根据网络安全设备上报的攻击信息进行调度的方法，在攻击发生后，将访问租户服务的流量切换到另一网络安全设备上，这些流量中同时包含来自于黑客的流量和来自于正常用户的流量，可能会影响正常用户的服务质量，导致正常用户不能正常使用租户的服务或者出现访问速度变慢的问题。

发明内容

本申请的实施例提供一种服务资源的调度方法及装置，能够缓解传统云端的DDoS攻击防御服务或云防火墙类产品在应对攻击而调度时，存在的正常用户不能正常使用租户的服务或者出现访问速度变慢的问题。