一种云服务安全防护方法及系统

1.本发明属于云服务及网络安全技术领域，具体涉及一种云服务安全防护方法及系统。


背景技术：

2.随着互联网和信息技术的发展以及大数据时代的到来，云计算取得了快速的发展，云计算平台为大数据提供了海量存储和分布式计算的能力。越来越多的关键任务被迁移到云端，云服务虽然大大地降低了存储、算力等方面的成本，但是云服务潜在的安全问题逐渐凸显，随之也产生了云安全问题，较为普遍的有ddos泛洪攻击和流量攻击。ddos泛洪攻击有很多类型，如ntp flood，利用大流量导致被攻击云主机网络带宽拥塞，又如syn flood泛洪攻击，通过消耗服务器的连接池资源导致无法对外提供正常服务；流量攻击可为突如其来的流量高峰冲击。ddos泛洪攻击和流量攻击能够针对目标云服务器进行恶意网络攻击，导致云服务平台无法正常提供稳定的服务，甚至使得云服务器瘫痪。


技术实现要素：

3.本发明的目的在于解决现有技术中泛洪攻击和流量攻击的技术问题，提供一种服务安全防护方法及系统，对于泛洪攻击和流量攻击能够进行有效的安全防护，从而提高云服务器的稳定性和可靠性。
4.为了实现上述目的，本发明采用如下技术方案：一种云服务安全防护方法，包括以下步骤：步骤1，构建安全防护信息；安全防护信息包括用户的源地址、用户群的源地址、泛洪攻击策略、黑白灰名单策略和改进令牌桶算法；步骤2，对业务请求进行区别处理；云服务器接收业务请求时，查询发出业务请求的用户的源地址或者用户群的源地址作为业务请求的源地址；黑白灰名单策略中设置黑名单、白名单和灰名单，各名单内配置相应的源地址列表；如果业务请求的源地址在黑名单中，拒绝服务业务请求；如果业务请求的源地址在灰名单中，进入步骤3；如果业务请求的源地址在白名单中，进入步骤5；步骤3，对灰名单中的业务请求进行限流处理；泛洪攻击策略中设置攻击限制阈值；解析业务请求的请求报文，根据请求报文判断业务请求是否为泛洪攻击；如果业务请求不是泛洪攻击，进入步骤4；如果业务请求是泛洪攻击，超过攻击限制阈值，拒绝服务业务请求；如果业务请求是泛洪攻击，低于攻击限制阈值，进入步骤4；
步骤4，对灰名单中不是泛洪攻击以及低于攻击限制阈值的业务请求进行限速处理；黑白灰名单策略中设置流量限制阈值；获取云服务平台的整体负荷；如果负荷超过设定值，拒绝服务业务请求；如果负荷低于设定值，业务请求的速度超过流量限制阈值，拒绝服务业务请求；如果负荷低于设定值，业务请求的速度低于流量限制阈值，定义业务请求为类白名单业务请求，进入步骤5；步骤5，对白名单中的业务请求和类白名单业务请求进行限流处理；改进令牌桶算法中设置令牌桶，设置令牌桶中令牌产生速率及最大令牌数，根据产生速率向令牌桶中存放令牌，当令牌桶中当前令牌数等于令牌桶中最大令牌数时，之后产生的令牌丢弃处理；计算业务请求需要消耗的令牌数和令牌桶中当前令牌数；如果令牌桶中当前令牌数足够抵扣需要消耗的令牌数，业务请求正常执行，并抵扣令牌桶中相应的令牌数。
5.本发明中源地址可以为ip地址+端口或ip地址段；黑名单中的源地址列表由被标识为不可信的源地址构成，需要阻塞来自黑名单标识源的业务，拒绝服务，在构建时可由ddos泛洪攻击或用户配置生成；灰名单中的源地址列表由未被标识是否可信的源地址构成，在构建时可由普通用户的源地址构成，允许一般的业务，限速较低；白名单中的源地址列表由被标识为可信的源地址构成，在构建时可由vip重要客户的源地址构成，允许业务的速率较高，在构建白名单时，允许总资源量不得超过云服务器整体的资源总量；通常vip重要客户的等级高于普通用户，本发明黑白灰名单策略根据不同用户的等级将其划分之不同的名单中；泛洪攻击指的是在设定时间间隔内攻击的次数，攻击限制阈值为在设定时间间隔内攻击次数的最大值；令牌为根据流量折算的计量单位；利用泛洪攻击策略和令牌桶算法分别针对泛洪攻击和流量攻击进行防护，配合使用黑白灰名单策略，将用户和用户群进行划分，对不同名单内的用户和用户群采用差异化服务，实现区别处理，同时，根据黑白灰名单策略结合云服务平台的整体负荷的情况对令牌桶算法的处理对象进一步分流，根据云服务器整体的实时处理能力和资源情况处理业务请求，可提高泛洪攻击策略和令牌桶算法的防护效率和防护效果，从而本发明对泛洪攻击和流量攻击能够进行有效的安全防护，提高了云服务器的稳定性和可靠性。
6.对本发明技术方案的进一步限定，步骤1中，安全防护信息还包括用户等级、用户群等级和业务等级；用户等级对应于用户的源地址的等级，用户群等级对应于用户群的源地址的等级，业务等级对应于业务请求的请求报文的等级，在用户等级、用户群等级和业务等级中分别设置高优先级用户、高优先级用户群和高等级任务。本发明中对于用户、用户群和业务进行等级划分，并特别设置高优先级用户、高优先级用户群和高等级任务，从而可以将高优先级用户、高优先级用户群和高等级任务与其他等级较低的用户、用户群和业务区别对待。
7.对本发明技术方案的进一步限定，步骤5中，如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数；对于用户等级是高优先级用户、用户群等级是高优先级用户群以及业务等级是高等级任务对应的业务请求，正常执行，并抵扣令牌桶中相应的令牌数；对于用户等
级不是高优先级用户、用户群等级不是高优先级用户群以及业务等级不是高等级任务对应的业务请求，拒绝服务业务请求。等级较低的用户、用户群和业务代表低等级用户和重要性低的任务，高优先级用户、高优先级用户群和高等级任务代表高等级用户和关键业务，本发明中选择性地优先服务高等级用户和关键业务，并对等级较低的用户、用户群和业务拒绝服务，从而可以保障高等级用户和关键业务的可靠处理。
8.对本发明技术方案的进一步限定，步骤5中，改进令牌桶算法中还设置记账桶，在记账桶中预存放多个令牌，在抵扣时优先抵扣令牌桶中的令牌；如果令牌桶中当前令牌数足够抵扣需要消耗的令牌数，业务请求正常执行，并抵扣令牌桶中相应的令牌数；如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数，令牌桶和记账桶中当前令牌总数足够抵扣需要消耗的令牌数，从记账桶中预借令牌，以需要消耗的令牌数与令牌桶中当前令牌数的差值作为预借令牌数，业务请求正常执行，并抵扣令牌桶中当前令牌数和记账桶中预借令牌数；如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数，令牌桶和记账桶中当前令牌总数不够抵扣需要消耗的令牌数，对于用户等级是高优先级用户、用户群等级是高优先级用户群以及业务等级是高等级任务对应的业务请求，正常执行，并抵扣令牌桶中当前令牌数和记账桶中预借令牌数；对于用户等级不是高优先级用户、用户群等级不是高优先级用户群以及业务等级不是高等级任务对应的业务请求，拒绝服务业务请求；若令牌桶中没有令牌，新产生的令牌需要先补偿记账桶内，将预借令牌数补偿完后，再产生的令牌存放在令牌桶中。本发明改进令牌桶算法中设置记账桶，将记账桶作为存放令牌的备用桶，受到瞬时大流量冲击时，令牌桶中当前令牌数不够抵扣，可以向记账桶预借令牌，从而可以应对流量冲击，且在进行流量控制的同时，可以进一步保障高等级用户和关键业务的可靠处理；在记账桶中预存放的令牌总数为记账桶中最大令牌数，预借令牌后需要对记账桶进行补偿，如果记账桶中当前令牌数小于记账桶中最大令牌数，令牌桶中新产生的令牌补偿到记账桶中，当记账桶中当前令牌数等于记账桶中最大令牌数时，令牌桶中新产生的令牌存放在令牌桶内。改进令牌桶算法进行流量控制，提出通过记账桶预借令牌的策略，在进行流量控制的同时，优先保障高优先级用户或用户群组以及高等级核关键业务不受冲击；对本发明技术方案的进一步限定，步骤2中，如果业务请求的源地址不在黑名单、白名单和灰名单中，业务请求为非配置，将业务请求的源地址作为一条新纪录插入灰名单的源地址列表中，进入步骤3。本发明中如果业务请求经初步识别不属于黑名单、白名单和灰名单，则这个业务请求未被标识，存在潜在的风险冲击，而灰名单中一般配置未被标识是否可信的源地址，因此初步将非配置的业务请求引入灰名单中，从而本发明灰名单中的源地址列表支持动态调整。
9.对本发明技术方案的进一步限定，步骤3中，如果业务请求是泛洪攻击，超过攻击限制阈值，且业务请求为非配置，拒绝服务业务请求，对业务请求进行名单切换处理。本发明对处于灰名单中的非配置业务请求进行进一步识别，当非配置业务请求是泛洪攻击且超过攻击限制阈值，表示其存在风险冲击，是不可信的源地址，而灰名单中一般配置未被标识是否可信的源地址，因此需要进行名单切换处理将其移出灰名单；如果业务请求是泛洪攻击，低于攻击限制阈值，且业务请求为非配置，进入步骤4；从而本发明名单中的源地址列表支持动态调整，能够动态智能化地识别潜在的风险冲击，进行动态调整和转化后可提供更为合理的差异化服务，兼顾云服务平台整体的稳定性和业务可靠性。
10.对本发明技术方案的进一步限定，步骤3中如果业务请求不是泛洪攻击，且业务请求为非配置，进入步骤4。本发明对处于灰名单中的非配置业务请求进行进一步识别，当非配置业务请求不是泛洪攻击，表示其不存在风险冲击，可以进入步骤4进行限速处理，从而本发明能够动态智能化地识别是否潜在的风险冲击。
11.对本发明技术方案的进一步限定，步骤4中，如果负荷低于设定值，业务请求的速度超过流量限制阈值，且业务请求为非配置，拒绝服务业务请求，对业务请求进行名单切换处理。本发明对于对处于灰名单中的非配置业务请求进行更进一步的识别，在负荷低于设定值的情况下，当非配置业务请求超速时，表示其存在风险冲击，是不可信的源地址，而灰名单中一般配置未被标识是否可信的源地址，因此需要进行名单切换处理将其移出灰名单；如果负荷超过设定值，且业务请求为非配置，拒绝服务业务请求；如果负荷低于设定值，业务请求的速度低于流量限制阈值，且业务请求为非配置，定义业务请求为类白名单业务请求，进入步骤5；从而本发明名单中的源地址列表支持动态调整，能够动态智能化地识别潜在的风险冲击，进行动态调整和转化后可提供更为合理的差异化服务，兼顾云服务平台整体的稳定性和业务可靠性。
12.对本发明技术方案的进一步限定，进行名单切换处理具体为，对业务请求进行降级黑名单处理，将业务请求的源地址存放在黑名单的源地址列表中；对降级后的业务请求进行升级灰名单处理，在设定的老化时间内，业务请求低于攻击限制阈值，则黑名单老化，将业务请求的源地址存放在灰名单的源地址列表中。本发明中对业务请求进行黑名单和灰名单切换处理，进行动态调整和转化后可提供更为合理的差异化服务，兼顾云服务平台整体的稳定性和业务可靠性。
13.一种云服务安全防护系统，包括防火墙模块，防火墙模块设置在互联网和云服务器之间，在防火墙模块配置以上所述的云服务安全防护方法。本发明中利用以上云服务安全防护方法配置防火墙模块构成云服务安全防护系统，对于泛洪攻击和流量攻击能够进行有效的安全防护，从而提高云服务器的稳定性和可靠性。
14.本发明有益效果是：1）本发明对于泛洪攻击和流量攻击能够进行有效的安全防护，从而提高云服务器的稳定性和可靠性。
15.2）本发明用泛洪攻击策略和改进令牌桶算法分别针对泛洪攻击和流量攻击进行防护，配合使用黑白灰名单策略，将用户和用户群根据等级进行划分，对不同名单内的用户和用户群采用差异化服务，实现区别处理，同时，根据黑白灰名单策略结合云服务平台的整体负荷的情况进一步划分改进令牌桶算法的处理对象，根据云服务器整体的实时处理能力和资源情况处理业务请求，可提高泛洪攻击策略和令牌桶算法的防护效率和防护效果。
附图说明
16.图1为本发明方法流程图。
17.图2为本发明改进令牌桶算法流程图。
18.图3为本发明黑白灰名单策略流程图。
19.图4为本发明系统结构示意图。
具体实施方式
20.下面将结合附图和具体实施例对本发明做进一步详细说明。
21.实施例1如图1-3所示，一种云服务安全防护方法，包括以下步骤：步骤1，构建安全防护信息；安全防护信息包括用户的源地址、用户群的源地址、泛洪攻击策略、黑白灰名单策略和改进令牌桶算法；步骤2，对业务请求进行区别处理；云服务器接收业务请求时，查询发出业务请求的用户的源地址或者用户群的源地址作为业务请求的源地址；黑白灰名单策略中设置黑名单、白名单和灰名单，各名单内配置相应的源地址列表；如果业务请求的源地址在黑名单中，拒绝服务业务请求；如果业务请求的源地址在灰名单中，进入步骤3；如果业务请求的源地址在白名单中，进入步骤5；步骤3，对灰名单中的业务请求进行限流处理；泛洪攻击策略中设置攻击限制阈值；解析业务请求的请求报文，根据请求报文判断业务请求是否为泛洪攻击；如果业务请求不是泛洪攻击，进入步骤4；如果业务请求是泛洪攻击，超过攻击限制阈值，拒绝服务业务请求；如果业务请求是泛洪攻击，低于攻击限制阈值，进入步骤4；步骤4，对灰名单中不是泛洪攻击以及低于攻击限制阈值的业务请求进行限速处理；黑白灰名单策略中设置流量限制阈值；获取云服务平台的整体负荷；如果负荷超过设定值，拒绝服务业务请求；如果负荷低于设定值，业务请求的速度超过流量限制阈值，拒绝服务业务请求；如果负荷低于设定值，业务请求的速度低于流量限制阈值，定义业务请求为类白名单业务请求，进入步骤5；步骤5，对白名单中的业务请求和类白名单业务请求进行限流处理；改进令牌桶算法中设置令牌桶，设置令牌桶中令牌产生速率及最大令牌数，根据产生速率向令牌桶中存放令牌，当令牌桶中当前令牌数等于令牌桶中最大令牌数时，之后产生的令牌丢弃处理；计算业务请求需要消耗的令牌数和令牌桶中当前令牌数；如果令牌桶中当前令牌数足够抵扣需要消耗的令牌数，业务请求正常执行，并抵扣令牌桶中相应的令牌数。
22.本实施例步骤1中，安全防护信息还包括用户等级、用户群等级和业务等级；用户等级对应于用户的源地址的等级，用户群等级对应于用户群的源地址的等级，业务等级对应于业务请求的请求报文的等级，在用户等级、用户群等级和业务等级中分别设置高优先级用户、高优先级用户群和高等级任务。
23.本实施例步骤5中，如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数；对于用
户等级是高优先级用户、用户群等级是高优先级用户群以及业务等级是高等级任务对应的业务请求，正常执行，并抵扣令牌桶中相应的令牌数；对于用户等级不是高优先级用户、用户群等级不是高优先级用户群以及业务等级不是高等级任务对应的业务请求，拒绝服务业务请求。
24.本实施例步骤5中，改进令牌桶算法中还设置记账桶，在记账桶中预存放多个令牌，在抵扣时优先抵扣令牌桶中的令牌；如果令牌桶中当前令牌数足够抵扣需要消耗的令牌数，业务请求正常执行，并抵扣令牌桶中相应的令牌数；如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数，令牌桶和记账桶中当前令牌总数足够抵扣需要消耗的令牌数，从记账桶中预借令牌，以需要消耗的令牌数与令牌桶中当前令牌数的差值作为预借令牌数，业务请求正常执行，并抵扣令牌桶中当前令牌数和记账桶中预借令牌数；如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数，令牌桶和记账桶中当前令牌总数不够抵扣需要消耗的令牌数，对于用户等级是高优先级用户、用户群等级是高优先级用户群以及业务等级是高等级任务对应的业务请求，正常执行，并抵扣令牌桶中当前令牌数和记账桶中预借令牌数；对于用户等级不是高优先级用户、用户群等级不是高优先级用户群以及业务等级不是高等级任务对应的业务请求，拒绝服务业务请求；若令牌桶中没有令牌，新产生的令牌需要先补偿记账桶内，将预借令牌数补偿完后，再产生的令牌存放在令牌桶中。
25.本实施例步骤2中，如果业务请求的源地址不在黑名单、白名单和灰名单中，业务请求为非配置，将业务请求的源地址作为一条新纪录插入灰名单的源地址列表中，进入步骤3。
26.本实施例步骤3中，如果业务请求是泛洪攻击，超过攻击限制阈值，且业务请求为非配置，拒绝服务业务请求，对业务请求进行名单切换处理。实施时，如果业务请求是泛洪攻击，低于攻击限制阈值，且业务请求为非配置，进入步骤4。
27.本实施例步骤3中，如果业务请求不是泛洪攻击，且业务请求为非配置，进入步骤4。
28.本实施例步骤4中，如果负荷低于设定值，业务请求的速度超过流量限制阈值，且业务请求为非配置，拒绝服务业务请求，对业务请求进行名单切换处理。实施时，如果负荷超过设定值，且业务请求为非配置，拒绝服务业务请求；如果负荷低于设定值，业务请求的速度低于流量限制阈值，且业务请求为非配置，定义业务请求为类白名单业务请求，进入步骤5。
29.本实施例中，进行名单切换处理具体为，对业务请求进行降级黑名单处理，将业务请求的源地址存放在黑名单的源地址列表中；对降级后的业务请求进行升级灰名单处理，在设定的老化时间内，业务请求低于攻击限制阈值，则黑名单老化，将业务请求的源地址存放在灰名单的源地址列表中。实施时，老化时间设定为十分钟。
30.本实施例步骤1中，通过web界面或linux命令行方式添加用户的源地址，用户的源地址以用户名或用户ip地址+端口方式构建，用户群组的源地址以用户组名称或ip地址或ip地址段方式构建，构建后以xml文件形式保存，云服务器重启时可以通过xml加载配置；表1
表1中，ddos-configration表示ddos配置，通过用户组、用户名、ip地址、ip地址段、ip地址+端口等形式进行配置。例如：ip-addr 10.10.10.13 ddos-attack-times 5 interval-time 60，含义为来自源地址为10.10.10.13对于云服务的ddos攻击60秒内5次；表1中black-list和white-list中分别表示黑名单和白名单，black-list和white-list下的信息分别为黑名单和白名单的源地址列表。flow-limit中配置流量限制阈值，可以基于单个源地址或用户群组配置，没有配置则使用默认配置执行。
31.图1中，超过泛洪攻击限制指的是超过攻击限制阈值；负荷过重指的是负荷超过设定值；黑白灰名单流量策略指的是设置流量限制阈值；是否超速指的是是否超过流量限制阈值；根据流逝时间生成令牌指的是根据设定的产生速率生成令牌；令牌数是否满足当前业务指的是令牌桶中当前令牌数是否足够抵扣需要消耗的令牌数；将剩余令牌存放令牌桶指的是令牌桶中当前令牌数足够抵扣需要消耗的令牌数，在进行抵扣后，令牌桶中剩余的令牌仍存放在令牌桶中；令牌桶清空，记账桶计入不足令牌数，指的是令牌桶中当前令牌数不够抵扣需要消耗的令牌数，从记账桶中预借令牌，预借的令牌数作为不足令牌数记入记账桶，之后需要从令牌桶中补偿；修改令牌桶中的令牌数指的是根据抵扣的令牌数减少相应的令牌数。
32.图2中，泛洪攻击过滤指的是步骤5之前的步骤；正常业务请求指的是白名单中的业务请求和类白名单业务请求；业务通过指的是业务正常执行。
33.图3中，修改配置相互转化指的是在步骤1构建安全防护信息时对各名单中的源地址列表进行调整。
34.实施例2一种云服务安全防护系统，包括防火墙模块，防火墙模块设置在互联网和云服务器之间，在防火墙模块配置实施例1所述的云服务安全防护方法。如图4所示，为本实施例所提供的系统的整体部署架构图。
35.图4中，在防火墙模块配置实施例1所述的云服务安全防护方法，可使得防火墙模块具备泛洪攻击防范和流量控制的功能，从而对恶意攻击进行过滤，还能够对低优先级的用户或用户群以及低等级任务进行流量限制。对于图4中列举的攻击请求：扫描窥探攻击、畸形保温攻击、特殊报文攻击和爬虫，本实施例都可以在防火墙模块对其进行防范，保证服务器的安全。

技术特征：
1.一种云服务安全防护方法，其特征在于：包括以下步骤：步骤1，构建安全防护信息；安全防护信息包括用户的源地址、用户群的源地址、泛洪攻击策略、黑白灰名单策略和改进令牌桶算法；步骤2，对业务请求进行区别处理；云服务器接收业务请求时，查询发出业务请求的用户的源地址或者用户群的源地址作为业务请求的源地址；黑白灰名单策略中设置黑名单、白名单和灰名单，各名单内配置相应的源地址列表；如果业务请求的源地址在黑名单中，拒绝服务业务请求；如果业务请求的源地址在灰名单中，进入步骤3；如果业务请求的源地址在白名单中，进入步骤5；步骤3，对灰名单中的业务请求进行限流处理；泛洪攻击策略中设置攻击限制阈值；解析业务请求的请求报文，根据请求报文判断业务请求是否为泛洪攻击；如果业务请求不是泛洪攻击，进入步骤4；如果业务请求是泛洪攻击，超过攻击限制阈值，拒绝服务业务请求；如果业务请求是泛洪攻击，低于攻击限制阈值，进入步骤4；步骤4，对灰名单中不是泛洪攻击以及低于攻击限制阈值的业务请求进行限速处理；黑白灰名单策略中设置流量限制阈值；获取云服务平台的整体负荷；如果负荷超过设定值，拒绝服务业务请求；如果负荷低于设定值，业务请求的速度超过流量限制阈值，拒绝服务业务请求；如果负荷低于设定值，业务请求的速度低于流量限制阈值，定义业务请求为类白名单业务请求，进入步骤5；步骤5，对白名单中的业务请求和类白名单业务请求进行限流处理；改进令牌桶算法中设置令牌桶，设置令牌桶中令牌产生速率及最大令牌数，根据产生速率向令牌桶中存放令牌，当令牌桶中当前令牌数等于令牌桶中最大令牌数时，之后产生的令牌丢弃处理；计算业务请求需要消耗的令牌数和令牌桶中当前令牌数；如果令牌桶中当前令牌数足够抵扣需要消耗的令牌数，业务请求正常执行，并抵扣令牌桶中相应的令牌数。2.根据权利要求1所述的一种云服务器安全防护方法，其特征在于：步骤1中，安全防护信息还包括用户等级、用户群等级和业务等级；用户等级对应于用户的源地址的等级，用户群等级对应于用户群的源地址的等级，业务等级对应于业务请求的请求报文的等级，在用户等级、用户群等级和业务等级中分别设置高优先级用户、高优先级用户群和高等级任务。3.根据权利要求2所述的一种云服务器安全防护方法，其特征在于：步骤5中，如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数；对于用户等级是高优先级用户、用户群等级是高优先级用户群以及业务等级是高等级任务对应的业务请求，正常执行，并抵扣令牌桶中相应的令牌数；对于用户等级不是高优先级用户、用户群等级不是高优先级用户群以及业务等级不是
高等级任务对应的业务请求，拒绝服务业务请求。4.根据权利要求2所述的一种云服务器安全防护方法，其特征在于：步骤5中，改进令牌桶算法中还设置记账桶，在记账桶中预存放多个令牌，在抵扣时优先抵扣令牌桶中的令牌；如果令牌桶中当前令牌数足够抵扣需要消耗的令牌数，业务请求正常执行，并抵扣令牌桶中相应的令牌数；如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数，令牌桶和记账桶中当前令牌总数足够抵扣需要消耗的令牌数，从记账桶中预借令牌，以需要消耗的令牌数与令牌桶中当前令牌数的差值作为预借令牌数，业务请求正常执行，并抵扣令牌桶中当前令牌数和记账桶中预借令牌数；如果令牌桶中当前令牌数不够抵扣需要消耗的令牌数，令牌桶和记账桶中当前令牌总数不够抵扣需要消耗的令牌数，对于用户等级是高优先级用户、用户群等级是高优先级用户群以及业务等级是高等级任务对应的业务请求，正常执行，并抵扣令牌桶中当前令牌数和记账桶中预借令牌数；对于用户等级不是高优先级用户、用户群等级不是高优先级用户群以及业务等级不是高等级任务对应的业务请求，拒绝服务业务请求；若令牌桶中没有令牌，新产生的令牌需要先补偿记账桶内，将预借令牌数补偿完后，再产生的令牌存放在令牌桶中。5.根据权利要求1所述的一种云服务器安全防护方法，其特征在于：步骤2中，如果业务请求的源地址不在黑名单、白名单和灰名单中，业务请求为非配置，将业务请求的源地址作为一条新纪录插入灰名单的源地址列表中，进入步骤3。6.根据权利要求5所述的一种云服务器安全防护方法，其特征在于：步骤3中，如果业务请求是泛洪攻击，超过攻击限制阈值，且业务请求为非配置，拒绝服务业务请求，对业务请求进行名单切换处理。7.根据权利要求5所述的一种云服务器安全防护方法，其特征在于：步骤3中，如果业务请求不是泛洪攻击，且业务请求为非配置，进入步骤4。8.根据权利要求7所述的一种云服务器安全防护方法，其特征在于：步骤4中，如果负荷低于设定值，业务请求的速度超过流量限制阈值，且业务请求为非配置，拒绝服务业务请求，对业务请求进行名单切换处理。9.根据权利要求6或8所述的一种云服务器安全防护方法，其特征在于：进行名单切换处理具体为，对业务请求进行降级黑名单处理，将业务请求的源地址存放在黑名单的源地址列表中；对降级后的业务请求进行升级灰名单处理，在设定的老化时间内，业务请求低于攻击限制阈值，则黑名单老化，将业务请求的源地址存放在灰名单的源地址列表中。10.一种云服务安全防护系统，其特征在于：包括防火墙模块，防火墙模块设置在互联网和云服务器之间，在防火墙模块配置权利要求1至9任一项所述的云服务安全防护方法。

技术总结
本发明提供了一种云服务安全防护方法，包括步骤：构建安全防护信息、对业务请求进行区别处理、对灰名单中的业务请求进行限流处理、对灰名单中不是泛洪攻击以及低于攻击限制阈值的业务请求进行限速处理和对白名单中的业务请求和类白名单业务请求进行限流处理；同时提供了一种云服务安全防护方法，在防火墙模块配置云服务安全防护方法，并将防火墙模块设置在互联网和云服务器之间；本发明对于泛洪攻击和流量攻击能够进行有效的安全防护，从而提高云服务器的稳定性和可靠性。云服务器的稳定性和可靠性。云服务器的稳定性和可靠性。


技术研发人员：许良武 刘亚军 曹阳 叶传标
受保护的技术使用者：三江学院
技术研发日：2022.03.15
技术公布日：2022/5/25