面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统

摘要

本发明涉及一种面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统，其中，任务调度方法包含：对任务请求进行资源需求分析，根据分析结果进行任务编号和分类，并根据任务划分类型交付至相应的任务代理；任务代理根据当前任务属性，利用最优化方法对任务进行资源编排和管理，确定任务执行先后顺序，将待处理任务转发至选取并部署的M个在线异构执行体；针对同一任务，在线异构执行体同时处理，通过裁决器对处理结果进行裁决并输出。本发明可以为任务动态分配多样化执行单元，确保在发生攻击、故障等意外事件时，系统可以容忍错误、屏蔽异常，保证任务的正常执行和云服务的正常提供，提高网络安全的可靠性，具有更加广阔的应用前景。

说明书

技术领域

本发明属于网络空间安全技术领域，特别涉及一种面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统。

背景技术

随着互联网、虚拟化、分布式计算、并行处理等技术的快速发展，IT界需要一种能够更充分利用网络上各种资源的计算模式，云计算由此产生。云计算平台统一管理的资源没有地域、种类和架构限制，其开放性和资源的可利用性是以往任何计算模式所无法比拟的。随着云计算技术的不断成熟，迁移到云基础设施的关键任务工作负载数量激增，这进一步加大了云平台故障所带来的损害。例如，2015年5月20日，苹果iCloud受到攻击，导致包括电子邮件在内的11项苹果服务遭遇了7个小时的中断，根据iCloud的系统状态页面显示，全球5亿iCloud用户中大约有40％受到了影响。

因此，云安全问题越来越引起云服务提供商的重视。但是云平台由于其特殊的多租户共存的服务模式，方便攻击者利用系统未知漏洞进行攻击，特别当云平台采用同质化的系统架构时，部分组件的损害会快速传染整个系统，直到瘫痪。并且云平台复杂的分布式系统结构，导致传统的安全手段，如漏洞扫描、病毒查杀、入侵检测等方法难以为云平台提供有效的保护。因此为了保证云平台中任务得到可靠、安全的执行，需要引入新的安全手段来解决。

发明内容

针对现有技术中的不足，本发明提供一种面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统，解决现有技术中云平台采用同质化的系统架构时部分组件损害快速传染整个系统瘫痪，及传统安全手段如漏洞扫描、病毒查杀、入侵检测等方法难以为云平台提供有效保护的情形，有效保证云平台中任务安全可靠地执行。

按照本发明所提供的设计方案，一种面向任务的拟态云构建方法，包含如下内容：基于基础硬件和虚拟化平台构建N个异构资源池，每个异构资源池内含有若干异构执行体，形成用于调控部署在线异构执行体的总资源池；对任务请求进行资源需求分析，管控平台通过资源需求分析结果从总资源池中动态选取并部署M个在线异构执行体，形成用于任务执行的在线异构执行体集。

上述的，所述的基础硬件包含不同CPU架构服务器，不同网络组件和不同存储组件；所述的虚拟化平台包含：通过不同虚拟化软件并采用不同虚拟机镜像库实例化成虚拟机来构建异构虚拟化平台。

优选的，CPU架构服务器包含：x86和/或MIPS和/或ARM的CPU架构服务器；虚拟化软件包含：KVM和/或XEN和/或LXC；虚拟机镜像库包含：Windows和/或Linux和/或Solaris。

上述的，管控平台通过资源需求分析结果从异构资源池中动态选取并部署M个在线异构执行体，包含：根据任务资源需求分析结果，在执行体生成阶段，通过总资源池在不同的异构资源池上选取在线异构执行体；在执行体运行阶段，根据预设执行周期或执行体安全状况，触发执行体轮换和/或迁移策略，对在线异构执行体进行调度。

一种基于拟态云的任务调度方法，包含如下内容：

对任务请求进行资源需求分析，根据分析结果进行任务编号和分类，并根据任务划分类型交付至相应的任务代理；

任务代理根据当前任务属性并利用最优化方法对任务进行资源编排和管理，确定任务执行先后顺序，将待处理任务转发至权利要求1选取并部署的M个在线异构执行体；

针对同一任务，M个在线异构执行体同时处理，并通过裁决器对处理结果进行裁决并输出。

上述的任务调度方法，任务代理根据当前任务属性并利用最优化方法对任务进行资源编排和管理，还包含：对任务执行过程中的运行状态监控、异常状态检测分析。

上述的任务调度方法，通过裁决器对处理结果进行裁决，包含：裁决器依据拟态判决规则对对任务执行结果进行比较和投票，确定最终输出。

上述的任务调度方法，裁决器采用多数一致原则进行裁决。

一种基于拟态云的任务调度装置，包含：任务需求分析模块，资源编排管理模块和裁决输出模块，其中，

任务需求分析模块，用于对任务请求进行资源需求分析，根据分析结果进行任务编号和分类，并根据任务划分类型交付至相应的任务代理；

资源编排管理模块，任务代理根据当前任务属性并利用最优化方法对任务进行资源编排和管理，确定任务执行先后顺序，将待处理任务转发至上述拟态云构建中选取并部署的M个在线异构执行体；

裁决输出模块，针对同一任务，M个在线异构执行体同时处理，并通过裁决器对处理结果进行裁决并输出。

上述的任务调度装置，所述的任务需求分析模块，包含：任务分类单元、需求预测单元、任务划分单元，其中，

任务分类单元，用于对任务请求进行资源需求分析，并对任务进行编号和分类；

需求预测单元，用于通过预测模型对任务请求的资源需求进行预测；

任务划分单元，用于根据预测结果，将任务进行划分至对应类型的任务代理，任务代理类型至少包含：计算类任务代理、存储类任务代理和网络类任务代理。

上述的任务调度装置，所述的资源编排管理模块，包含：资源编排单元，任务调度单元，运行监控单元，信息收集单元及异常分析单元，其中，

资源编排单元，基于任务分析结果，根据任务执行和安全需求，为其分配执行过程中所需资源；对任务执行过程进行动态管理，对其执行过程中所需资源进行动态编排，并根据资源需求与总资源池进行对接；

任务调度单元，任务代理根据任务属性利用最优化方法确定任务执行先后顺序及任务转发规则，根据任务转发规则，任务代理将待处理任务转发至M个在线异构执行体进行处理；

运行监控单元，实时监控任务队列及任务执行状态，并检测任务执行过程中的异常状态，将检测结果反馈至异常分析单元和信息收集单元；

信息收集单元，用于根据运行监控单元反馈的检测结果，收集相关日志信息，并反馈至异常分析单元；

异常分析单元，根据运行监控单元反馈的检测结果及信息收集单元反馈的日志信息进行异常分析，并上报至管理员，及时更换部分任务执行体或终止任务执行，释放资源。

一种基于拟态云的任务调度系统，包含：拟态云数据中心和与之向通信的任务调度平台，其中，

拟态云数据中心，基于异构基础硬件和虚拟化平台，及承载任务处理的随机化多样化的应用软件，构建异构冗余资源池，并根据上层任务需求生成多个在线异构执行体，构成在线异构执行体集，并根据执行体处理情况对在线异构执行体进行动态调度；

任务调度平台，对任务请求资源需求进行分析，分配给相应任务代理，在拟态云数据中心的基础上对任务进行资源编排和调度，根据任务的优先级进行任务动态调度，将待处理任务依据转发规则转发至在线异构执行体进行处理，每个在线异构执行体处理结果通过拟态裁决器裁决后进行输出。

上述的任务调度系统，所述的任务调度平台，还包含：监控管理模块，用于监控每个任务执行状态，对任务执行过程进行异常检测分析，并将监控及异常检测分析结果反馈至拟态云数据中心，拟态云数据中心根据反馈至的结果对在线异构执行体进行动态调度。

本发明的有益效果：

本发明利用拟态云多样化资源池的异构冗余特性，结合灵活的网络控制、全局化的任务管理、资源编排、监控和动态的调度，并进行拟态裁决输出，使得面临安全威胁时，能更好保证云数据中心中任务执行的鲁棒性和弹性，从而提升了云服务的安全性能，提高网络防御能力的主动性、变化性和随机性，保证网络安全的可靠性，对网络空间安全技术具有重要的指导意义。

附图说明：

图1为本发明的拟态云构建流程图；

图2为实施例中拟态云构建示意图；

图3为本发明的任务调度流程图；

图4为实施例中资源需求分析流程图；

图5为实施例中资源编排和管理流程图；

图6为实施例中待处理任务转发流程图；

图7为实施例中拟态裁决示意图；

图8为实施例中任务调度装置示意图；

图9为实施例中任务需求分析模块示意图；

图10为实施例中资源编排管理模块示意图；

图11为实施例中任务调度系统示意图。

具体实施方式：

下面结合附图和技术方案对本发明作进一步清楚、完整的说明，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

现有技术中云平台采用同质化的系统架构时部分组件损害快速传染整个系统瘫痪，及传统安全手段如漏洞扫描、病毒查杀、入侵检测等方法难以为云平台提供有效保护。

为解决上述现有技术中的不足，参见图1所示，本实施例提供一种面向任务的拟态云构建方法，包含如下内容：基于基础硬件和虚拟化平台构建N个异构资源池，每个异构资源池内含有若干异构执行体，形成用于调控部署在线异构执行体的总资源池；对任务请求进行资源需求分析，管控平台通过资源需求分析结果从总资源池中动态选取并部署M个在线异构执行体，形成用于任务执行的在线异构执行体集。

为保证云平台中任务得到可靠、安全的执行，另一个实施例中，所述的基础硬件包含不同CPU架构服务器，不同网络组件和不同存储组件；所述的虚拟化平台包含：通过不同虚拟化软件并采用不同虚拟机镜像库实例化成虚拟机来构建异构虚拟化平台。在多样化的基础硬件和虚拟化平台基础上，构建统一管理的异构资源池。

为满足多样化需求，优选的，CPU架构服务器包含：x86和/或MIPS和/或ARM的CPU架构服务器；虚拟化软件包含：KVM和/或XEN和/或LXC；虚拟机镜像库包含：Windows和/或Linux和/或Solaris。其多样性表现在：(1)多样化的物理设施，包括不同CPU架构(如x86、MIPS、ARM)的服务器，不同的网络组件和存储组件等；(2)多样化的虚拟化软件，如采用(KVM、XEN、LXC等)构建异构的虚拟化平台；(3)多样化的虚拟机，虚拟机是基本的任务执行单元，可采用系统多样化设计、多样化编译等技术构建多样化虚拟机镜像库(如Windows、Linux、Solaris等虚拟机镜像)，并实例化成虚拟机，增强虚拟机的异构性，降低漏洞和后门的可利用范围；可通过自搭建N个异构数据中心实现多样化虚拟机；(4)多样化的业务软件，采用多样化的编译技术生成多组功能相同但编程语言、算法设计不同的业务软件，业务软件可运行在虚拟机中或以容器的形式运行。

根据上层任务请求对资源的需求，需要对执行体进行动态管理，即执行体的动态生成、部署、轮换以及迁移，以满足任务执行环境的安全性。在另一个实施例中，参见图2所示，管控平台通过资源需求分析结果从异构资源池中动态选取并部署M个在线异构执行体，包含：根据任务资源需求分析结果，在执行体生成阶段，通过总资源池在不同的异构资源池上选取在线异构执行体；在执行体运行阶段，根据预设执行周期或执行体安全状况，触发执行体轮换和/或迁移策略，消除潜在威胁，对在线异构执行体进行调度。在执行体调度过程中，进行执行体状态的迁移，保持执行体间状态的一致性。

基于上述的拟态云构建，参见图3所示，本实施例提供一种基于拟态云的任务调度方法，包含如下内容：

对任务请求进行资源需求分析，根据分析结果进行任务编号和分类，并根据任务划分类型交付至相应的任务代理；

任务代理根据当前任务属性并利用最优化方法对任务进行资源编排和管理，确定任务执行先后顺序，将待处理任务转发至上述拟态云构建中选取并部署的M个在线异构执行体；

针对同一任务，M个在线异构执行体同时处理，并通过裁决器对处理结果进行裁决并输出。

对任务请求进行资源需求分析，参见图4所示，首先进行任务编号和分类，利用训练好的预测模型预测该任务的资源需求，如果预测的任务资源需求以消耗CPU资源为主，将该任务划分到计算类任务中，并交付给计算类任务代理，计算类任务代理根据具体任务的不同可细化为更多类型的代理，如web代理、邮件收发代理等；如果预测的任务资源需求以消耗磁盘空间为主，将该任务划分到存储类任务中，并交付给存储类任务代理；如果预测的任务资源需求以消耗网络带宽为主，将该任务划分到网络类任务中，并交付给网络类任务代理。

基于任务分析结果，参见图5所示，另一个实施例中，任务代理根据当前任务属性并利用最优化方法对任务进行资源编排和管理，还包含：对任务执行过程中的运行状态监控、异常状态检测分析。

任务属性包含当前资源负载状况、任务种类、任务来源及对资源需求情况等，参见图6所示，利用最优化方法指定最优任务调度策略，同时根据定义转发规则，将待处理任务转发至M个在线异构执行体进行处理。

为保证任务执行结果的正确性，参见图7所示，在一个实施例中，通过裁决器对处理结果进行裁决，包含：裁决器依据拟态判决规则对对任务执行结果进行比较和投票，确定最终输出。优选的，裁决器采用多数一致原则进行裁决，将裁决结果作为输出内容。

对应于上述的基于拟态云的任务方法实施例，本发明还提供一种基于拟态云的任务调度装置，参见图8所示，包含：任务需求分析模块301，资源编排管理模块302和裁决输出模块303，其中，

任务需求分析模块301，用于对任务请求进行资源需求分析，根据分析结果进行任务编号和分类，并根据任务划分类型交付至相应的任务代理；

资源编排管理模块302，任务代理根据当前任务属性并利用最优化方法对任务进行资源编排和管理，确定任务执行先后顺序，将待处理任务转发至权利要求1选取并部署的M个在线异构执行体；

裁决输出模块303，针对同一任务，M个在线异构执行体同时处理，并通过裁决器对处理结果进行裁决并输出。

上述的任务调度装置中，参见图9所示，所述的任务需求分析模块301，包含：任务分类单元3011、需求预测单元3012、任务划分单元3013，其中，

任务分类单元3011，用于对任务请求进行资源需求分析，并对任务进行编号和分类；

需求预测单元3012，用于通过预测模型对任务请求的资源需求进行预测；

任务划分单元3013，用于根据预测结果，将任务进行划分至对应类型的任务代理，任务代理类型至少包含：计算类任务代理、存储类任务代理和网络类任务代理。

上述的任务调度装置，如图10所示，所述的资源编排管理模块302，包含：资源编排单元3021，任务调度单元3022，运行监控单元3023，信息收集单元3024及异常分析单元3025，其中，

资源编排单元3021，基于任务分析结果，根据任务执行和安全需求，为其分配执行过程中所需资源；对任务执行过程进行动态管理，对其执行过程中所需资源进行动态编排，并根据资源需求与总资源池进行对接；

任务调度单元3022，任务代理根据任务属性利用最优化方法确定任务执行先后顺序及任务转发规则，根据任务转发规则，任务代理将待处理任务转发至M个在线异构执行体进行处理；

运行监控单元3023，实时监控任务队列及任务执行状态，并检测任务执行过程中的异常状态，将检测结果反馈至异常分析单元和信息收集单元；

信息收集单元3024，用于根据运行监控单元反馈的检测结果，收集相关日志信息，并反馈至异常分析单元；

异常分析单元3025，根据运行监控单元反馈的检测结果及信息收集单元反馈的日志信息进行异常分析，并上报至管理员，及时更换部分任务执行体或终止任务执行，释放资源。

相对应地，参见图11所示，一种基于拟态云的任务调度系统，包含：拟态云数据中心和与之向通信的任务调度平台，其中，

拟态云数据中心，基于异构基础硬件和虚拟化平台，及承载任务处理的随机生成的应用软件，构建异构冗余资源池，并根据上层任务需求生成多个在线异构执行体，构成在线异构执行体集，并根据执行体处理情况对在线异构执行体进行动态调度；

任务调度平台，对任务请求资源需求进行分析，分配给相应任务代理，根据拟态云数据中心的基础上对任务进行资源编排和调度，根据任务的优先级进行任务动态调度，将待处理任务依据转发规则转发至在线异构执行体进行处理，每个在线异构执行体处理结果通过拟态裁决器裁决后进行输出。

更进一步，所述的任务调度平台，还包含：监控管理模块，用于监控每个任务执行状态，对任务执行过程进行异常检测分析，并将监控及异常检测分析结果反馈至拟态云数据中心，拟态云数据中心根据反馈至的结果对在线异构执行体进行动态调度。

拟态云数据中心提供云平台基础设施，基于多样化基础硬件搭建。其包括计算、存储、网络等硬件的异构化基础硬件，多样化的虚拟机平台(含虚拟化软件和虚拟机)，同时具体承载任务处理的应用软件也是基于多样化随机化技术生成，据此构成了异构冗余的资源池(含多样化镜像)，基于资源池根据上层需求生成多个异构执行体构成在线执行体集合，并负责执行体的动态调度，该单元整体上作为拟态云数据中心提供基础设施服务。任务调度平台主要是分析、调度和管理任务，对到来的任务请求进行分析，并分配给不同的代理，同时在拟态云数据中心的资源池基础上为其进行资源编排，根据任务的优先级进行任务的动态调度并根据软件定义规则将任务相关流量转发至功能执行体进行处理，每个执行体处理后的结果经拟态裁决后进行输出，该模块还对每个任务的执行全过程进行管理和监控。本发明中实施例能够实现为任务动态分配多样化执行单元，确保在发生攻击、故障等意外事件时，系统可以容忍错误、屏蔽异常，最终保证任务的正常执行和云服务的正常提供。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。