本發(fā)明屬于網(wǎng)絡安全技術(shù)領(lǐng)域，尤其涉及一種通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的方法及裝置。

背景技術(shù)：

隨著IP網(wǎng)絡技術(shù)的不斷發(fā)展，基于IP網(wǎng)絡的智能監(jiān)控技術(shù)得到快速發(fā)展，基于IP網(wǎng)絡的視頻監(jiān)控已經(jīng)成為目前視頻監(jiān)控的主流。而隨著廣域網(wǎng)的視頻監(jiān)控業(yè)務的部署越來越多，安全問題也越來越突出，最常見的網(wǎng)絡攻擊方式就是滲透攻擊。

網(wǎng)絡滲透攻擊是對大型的網(wǎng)絡主機服務器群組采用的一種迂回漸進式的攻擊方法，通過長期而有計劃地逐步滲透攻擊進入網(wǎng)絡，最終完全控制整個網(wǎng)絡。網(wǎng)絡滲透攻擊之所以能夠成功，是因為網(wǎng)絡上總會有一些或大或小的安全缺陷或漏洞，攻擊者利用這些小缺陷一步一步地獲取更多信息，并利用新獲取的信息將這些缺陷擴大，最終導致整個網(wǎng)絡安全防線的失守，并掌控整個網(wǎng)絡的權(quán)限。

現(xiàn)有技術(shù)通過防火墻和服務器操作系統(tǒng)本身的安全功能來防止網(wǎng)絡攻擊，但是防火墻以及每種操作系統(tǒng)都有自己的漏洞和缺陷，黑客通過長期摸索和試探，可以發(fā)現(xiàn)并利用這些缺陷和漏洞來對服務器進行網(wǎng)絡滲透攻擊。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是提供一種通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的方法及裝置，以解決現(xiàn)有技術(shù)中無法通過防火墻和服務器操作系統(tǒng)的安全功能來防止網(wǎng)絡滲透攻擊的問題。

為了實現(xiàn)上述目的，本發(fā)明技術(shù)方案如下：

一種通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的方法，所述通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的方法，包括：

將實體服務器進行虛擬機異構(gòu)，生成多臺使用不同操作系統(tǒng)的虛擬服務器，并在每臺虛擬服務器上安裝對外提供服務的應用軟件；

根據(jù)預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務。

進一步地，所述根據(jù)預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，包括：

在沒有檢測到攻擊時，根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務；

在檢測到攻擊后，根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務；

其中，所述第一策略與第二策略中的每臺虛擬服務器每次對外提供服務的時間或虛擬服務器的切換順序不同。

進一步地，所述在沒有檢測到攻擊時，根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，包括：

根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序，控制虛擬服務器進行切換，在不同的時間調(diào)度不同的虛擬服務器來對外提供服務；

所述在檢測到攻擊后，根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，包括：

在檢測到服務器遭到攻擊后，立即切換對外提供服務的虛擬服務器；

在后續(xù)時間根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序，控制虛擬服務器進行切換，在不同的時間調(diào)度不同的虛擬服務器來對外提供服務；

所述第二策略中每臺虛擬服務器每次對外提供服務的時間小于第一策略中每臺虛擬服務器每次對外提供服務的時間，第二策略中虛擬服務器的切換順序與第一策略中虛擬服務器的切換順序不同。

進一步地，所述將實體服務器進行虛擬機異構(gòu)，生成多臺使用不同操作系統(tǒng)的虛擬服務器，包括：

在實體服務器上完成各個異構(gòu)操作系統(tǒng)的安裝，并將每個異構(gòu)操作系統(tǒng)保存為鏡像文件；

在實體服務器上通過虛擬化程序以不同的鏡像文件進行虛擬服務器安裝，并在虛擬服務器安裝完成后配置該虛擬服務器的IP地址和端口號；

配置所述虛擬服務器共享數(shù)據(jù)庫，在實體服務器上配置有一個統(tǒng)一的虛擬IP地址和端口號對外提供服務。

進一步地，根據(jù)權(quán)利要求1或2或3所述的通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的方法，其特征在于，所述調(diào)度虛擬服務器來對外提供服務，包括：

通知當前提供服務的虛擬服務器保存當前業(yè)務會話的ID和狀態(tài)信息到共享的數(shù)據(jù)庫；

調(diào)度用于接替當前虛擬服務器提供服務的虛擬服務器啟動，并從共享數(shù)據(jù)庫中讀取當前業(yè)務會話的ID和狀態(tài)信息，進行虛擬服務器的切換；

發(fā)送消息給切換前提供服務的虛擬服務器，使其通知客戶端以原來的會話ID進行重新連接；

切換后提供服務的虛擬服務器根據(jù)從共享數(shù)據(jù)庫中讀取的當前業(yè)務會話的ID和狀態(tài)信息對重新連接請求進行驗證，驗證通過后建立連接。

本發(fā)明還提出了一種通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的裝置，其特征在于，所述通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的裝置，包括：

虛擬機安裝模塊，用于將實體服務器進行虛擬機異構(gòu)，生成多臺使用不同操作系統(tǒng)的虛擬服務器，并在每臺虛擬服務器上安裝對外提供服務的應用軟件；

虛擬機調(diào)度模塊，用于根據(jù)預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務。

進一步地，所述虛擬機調(diào)度模塊根據(jù)預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，執(zhí)行如下操作：

在沒有檢測到攻擊時，根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務；

在檢測到攻擊后，根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務；

其中，所述第一策略與第二策略中的每臺虛擬服務器每次對外提供服務的時間或虛擬服務器的切換順序不同。

進一步地，所述虛擬機調(diào)度模塊在沒有檢測到攻擊時，根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，執(zhí)行如下操作：

根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序，控制虛擬服務器進行切換，在不同的時間調(diào)度不同的虛擬服務器來對外提供服務；

所述虛擬機調(diào)度模塊在檢測到攻擊后，根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，執(zhí)行如下操作：

在檢測到服務器遭到攻擊后，立即切換對外提供服務的虛擬服務器；

在后續(xù)時間根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序，控制虛擬服務器進行切換，在不同的時間調(diào)度不同的虛擬服務器來對外提供服務；

所述第二策略中每臺虛擬服務器每次對外提供服務的時間小于第一策略中每臺虛擬服務器每次對外提供服務的時間，第二策略中虛擬服務器的切換順序與第一策略中虛擬服務器的切換順序不同。

進一步地，所述虛擬機安裝模塊將實體服務器進行虛擬機異構(gòu)，生成多臺使用不同操作系統(tǒng)的虛擬服務器，執(zhí)行如下操作：

在實體服務器上完成各個異構(gòu)操作系統(tǒng)的安裝，并將每個異構(gòu)操作系統(tǒng)保存為鏡像文件；

在實體服務器上通過虛擬化程序以不同的鏡像文件進行虛擬服務器安裝，并在虛擬服務器安裝完成后配置該虛擬服務器的IP地址和端口號；

配置所述虛擬服務器共享數(shù)據(jù)庫，在實體服務器上配置有一個統(tǒng)一的虛擬IP地址和端口號對外提供服務。

進一步地，所述虛擬機調(diào)度模塊調(diào)度虛擬服務器來對外提供服務，執(zhí)行如下操作：

通知當前提供服務的虛擬服務器保存當前業(yè)務會話的ID和狀態(tài)信息到共享的數(shù)據(jù)庫；

調(diào)度用于接替當前虛擬服務器提供服務的虛擬服務器啟動，并從共享數(shù)據(jù)庫中讀取當前業(yè)務會話的ID和狀態(tài)信息，進行虛擬服務器的切換；

發(fā)送消息給切換前提供服務的虛擬服務器，使其通知客戶端以原來的會話ID進行重新連接；

切換后提供服務的虛擬服務器根據(jù)從共享數(shù)據(jù)庫中讀取的當前業(yè)務會話的ID和狀態(tài)信息對重新連接請求進行驗證，驗證通過后建立連接。

本發(fā)明提出了一種通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的方法及裝置，通過將實體服務器進行虛擬機異構(gòu)，生成多臺使用不同操作系統(tǒng)的虛擬服務器，按預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，對網(wǎng)絡滲透攻擊所需感知或匹配的網(wǎng)絡環(huán)境進行動態(tài)變換，切斷網(wǎng)絡滲透攻擊的先驗知識鏈，使網(wǎng)絡滲透攻擊的后續(xù)步驟無法進行，從而達到防止網(wǎng)絡滲透攻擊的目的，解決了現(xiàn)有技術(shù)中無法通過防火墻和服務器操作系統(tǒng)的安全功能來防止網(wǎng)絡滲透攻擊的問題，使黑客的滲透攻擊前后獲得的信息無法一致，讓其攻擊失敗。

附圖說明

圖1為本發(fā)明通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的方法流程圖；

圖2為本實施例視頻監(jiān)控系統(tǒng)的組網(wǎng)結(jié)構(gòu)圖；

圖3為本發(fā)明通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的裝置結(jié)構(gòu)示意圖。

具體實施方式

下面結(jié)合附圖和實施例對本發(fā)明技術(shù)方案做進一步詳細說明，以下實施例不構(gòu)成對本發(fā)明的限定。

本實施例一種通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的方法，如圖1所示，包括：

步驟S1、將實體服務器進行虛擬機異構(gòu)，生成多臺使用不同操作系統(tǒng)的虛擬服務器，并在每臺虛擬服務器上安裝對外提供服務的應用軟件。

網(wǎng)絡滲透攻擊都是針對特定的設(shè)備IP地址進行，并且需要具有一定攻擊步驟。攻擊者在實施滲透攻擊過程中，總體來說可以分為三個階段，分別是預攻擊階段、攻擊階段和后攻擊階段。

預攻擊階段是攻擊者對攻擊目標相關(guān)信息進行收集和整理的階段，也就是我們常說的黑客踩點。黑客通過多重方式進行信息收集，可以比較全面地了解被攻擊目標的信息，并分析可能存在的安全問題，方便在攻擊階段實現(xiàn)目的明確的攻擊測試，提高滲透攻擊的成功率。攻擊階段是攻擊者對攻擊目標滲透過程的核心階段，也是利用預攻擊階段收集到的信息實施攻擊的主要過程。通過預攻擊階段的信息收集和攻擊階段中滲透攻擊的實施，攻擊者往往可以獲取到目標環(huán)境的普通用戶權(quán)限，如獲取到網(wǎng)站的webshell或者獲取目標主機反彈的cmdshell。攻擊者會通過該普通用戶權(quán)限進一步收集目標系統(tǒng)信息，尋找可能存在的權(quán)限提升的機會，進而實現(xiàn)最高權(quán)限的獲取。后攻擊階段是攻擊者對攻擊戰(zhàn)果進一步擴大，以及盡可能隱藏自身痕跡的過程。攻擊者通過內(nèi)網(wǎng)滲透、嗅探攻擊、口令破解或者安裝特洛伊木馬或病毒等方式實現(xiàn)該過程，實現(xiàn)對目標環(huán)境中內(nèi)網(wǎng)敏感數(shù)據(jù)信息的獲取，并在目標環(huán)境中留下隱藏的后門，以方便日后獲取更多的數(shù)據(jù)信息。

針對滲透攻擊的特點，本實施例通過對提供網(wǎng)絡服務的服務器進行虛擬異構(gòu)生成多個使用不同操作系統(tǒng)的虛擬服務器，多個虛擬服務器通過一個統(tǒng)一的IP地址對外提供服務，并使用一個共享的數(shù)據(jù)庫，然后按預定的策略進行統(tǒng)一調(diào)度，在不同的時間段內(nèi)由不同的虛擬服務器對外提供服務，并在檢測到網(wǎng)絡攻擊時，加快虛擬服務器的輪換頻率或改變虛擬服務器輪換的順序，這種機制對網(wǎng)絡滲透攻擊所需感知或匹配的網(wǎng)絡環(huán)境進行動態(tài)變換，以切斷攻擊過程中的先驗知識鏈，阻止網(wǎng)絡滲透攻擊的繼續(xù)進行。

本實施例以視頻監(jiān)控系統(tǒng)中的視頻管理平臺為例進行說明，如圖2所示，視頻管理平臺由包括三臺實體服務器的服務器集群構(gòu)成，其中主服務器為整個視頻管理平臺服務器集群的管理服務器，實體服務器通過虛擬機異構(gòu)生成三臺虛擬服務器，三臺虛擬服務器通過統(tǒng)一的虛擬IP地址和端口號對外提供視頻監(jiān)控服務。

首先，在主服務器上配置每臺從服務器的IP地址以及SSH登錄的用戶名和密碼，從服務器注冊到主服務器中，主服務器獲取每臺從服務器的CPU、內(nèi)存、硬盤、網(wǎng)卡資源信息，并將獲取到的從服務器的資源信息保存在主服務器的數(shù)據(jù)庫中。

在主服務器上完成視頻監(jiān)控平臺程序所需的各個異構(gòu)操作系統(tǒng)的安裝，并將每個異構(gòu)操作系統(tǒng)保存為鏡像文件，例如，將Windows操作系統(tǒng)鏡像保存為Image0，將Centos操作系統(tǒng)鏡像保存為Image1，將Ubuntu操作系統(tǒng)鏡像保存為Image2。

然后，在主服務器上通過虛擬化程序(例如：KVM)啟動以Image0為模板鏡像的一個實例，進行虛擬服務器安裝，安裝完成后配置該虛擬服務器的IP地址為202.100.10.168，將該虛擬服務器保存為Instance00。在主服務器上發(fā)送命令給從服務器1進行虛擬服務器安裝，從服務器1接收到主服務器的命令后從主服務器下載模板鏡像文件Image1，并通過虛擬化程序KVM啟動Image1的一個實例，進行虛擬服務器安裝，安裝完成后配置該虛擬服務器的IP地址為202.100.10.178，將該虛擬服務器保存為Instance11。在主服務器上發(fā)送命令給從服務器2進行虛擬服務器安裝，從服務器2接收到主服務器的命令后從主服務器下載模板鏡像文件Image2，并通過虛擬化程序KVM啟動Image2的一個實例，進行虛擬服務器安裝，安裝完成后配置該虛擬服務器的IP地址為202.100.10.188，將該虛擬服務器保存為Instance22。

本實施例主服務器通過虛擬機異構(gòu)生成多個虛擬服務器后，在各個虛擬主機上安裝視頻監(jiān)控平臺軟件，并在各個虛擬服務器上配置不同的端口號來提供視頻監(jiān)控服務。具體為：在虛擬服務器Instance00上配置端口號5060來提供視頻監(jiān)控服務，在虛擬服務器Instance11上配置端口號25060來提供視頻監(jiān)控服務，在虛擬服務器Instance22上配置端口號35060來提供視頻監(jiān)控服務。

通過上述方法，本實施例通過虛擬化程序KVM進行虛擬機異構(gòu)，生成虛擬服務器Instance00、Instance11、Instance22，其中虛擬服務器Instance00為Windows操作系統(tǒng)，虛擬服務器Instance11為Centos操作系統(tǒng)，虛擬服務器Instance22為Ubuntu操作系統(tǒng)，并在每臺虛擬服務器上完成視頻監(jiān)控平臺軟件的安裝。

步驟S2、根據(jù)預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務。

本實施例在完成虛擬服務器及應用軟件安裝后，在主服務器上配置一個虛擬的IP地址202.100.10.100和端口號80對外統(tǒng)一提供視頻監(jiān)控服務。

本實施例在沒有檢測到攻擊時，根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序，在不同的時間將該虛擬IP地址和端口號映射到不同的虛擬服務器的IP地址和提供視頻服務的端口號，實現(xiàn)在不同的時間由不同的虛擬服務器對外提供視頻監(jiān)控服務。例如，第一策略為按虛擬服務器Instance00、Instance11、Instance22的順序輪流提供視頻監(jiān)控服務，每臺虛擬服務器每次提供服務的時間為一天，則主服務器首先將202.100.10.100和端口號80映射到202.100.10.168和端口號5060，由虛擬服務器Instance00對外提供視頻監(jiān)控服務，第二天將202.100.10.100和端口號80映射到202.100.10.178和端口號25060，切換到虛擬服務器Instance11對外提供視頻監(jiān)控服務，第三天將202.100.10.100和端口號80映射到202.100.10.188和端口號35060，切換到虛擬服務器Instance22對外提供視頻監(jiān)控服務，如此循環(huán)往復，由三臺虛擬服務器輪流對外提供視頻監(jiān)控服務。

需要說明的是，本實施例的多臺虛擬服務器采用共享的數(shù)據(jù)庫，主服務器在切換對外提供視頻監(jiān)控服務的虛擬服務器時，首先通知當前提供視頻監(jiān)控服務的虛擬服務器(例如，Instance00)保存當前業(yè)務會話的ID和狀態(tài)信息到共享的數(shù)據(jù)庫，然后調(diào)度用于接替當前虛擬服務器提供視頻監(jiān)控服務的虛擬服務器(例如，Instance11)啟動，并從共享數(shù)據(jù)庫中讀取當前業(yè)務會話的ID和狀態(tài)信息，然后發(fā)送消息給Instance00，讓其通知正在使用的客戶端(會話的發(fā)起者，例如視頻監(jiān)控客戶端)以原來的會話ID進行重新連接，Instance11接收到客戶端的重新連接請求后，根據(jù)從共享數(shù)據(jù)庫中讀取的當前業(yè)務會話的ID和狀態(tài)信息對重新連接請求進行驗證，驗證通過后建立連接。因此，在對外提供視頻監(jiān)控服務的虛擬服務器進行切換時，用戶的使用不受影響，并且用戶感知不到虛擬服務器的切換。

通過上述方法，本實施例在沒有檢測到攻擊時，主動對網(wǎng)絡滲透攻擊所需感知或匹配的網(wǎng)絡環(huán)境進行動態(tài)變換，預防可能發(fā)生的網(wǎng)絡滲透攻擊。

本實施例在檢測到服務器遭到攻擊后，首先按照第二策略馬上切換對外提供視頻監(jiān)控的虛擬服務器。由于此時處于網(wǎng)絡滲透攻擊的預攻擊階段，攻擊者可能已經(jīng)通過攻擊獲取服務器了的操作系統(tǒng)類型、服務器的實際IP地址及端口號、應用程序類型等信息，例如，當遭到網(wǎng)絡滲透攻擊時，提供視頻監(jiān)控服務的虛擬服務器為Instance00時，攻擊者獲取到操作系統(tǒng)類型為Windows系統(tǒng)，服務器的實際IP地址為202.100.10.168，端口號為5060，應用程序為IIS，而攻擊者利用這些信息進行后續(xù)攻擊時，主服務器將對外提供服務的虛擬服務器切換為Instance11，使操作系統(tǒng)類型變?yōu)镃entos系統(tǒng)，服務器的實際IP地址變?yōu)?02.100.10.178，端口號變?yōu)?5060，應用程序變?yōu)锳pache，導致攻擊者的后續(xù)攻擊無法進行。

然后，主服務器根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間，提高虛擬服務器切換的頻率，例如，將服務器切換的頻率由第一策略中每天切換一次提高到第二策略中的每30分鐘切換一次，加快對網(wǎng)絡滲透攻擊所需感知或匹配的網(wǎng)絡環(huán)境的動態(tài)變換，使網(wǎng)絡滲透攻擊的后續(xù)步驟無法完成。同時主服務器根據(jù)第二策略中虛擬服務器的切換順序，改變虛擬服務器的切換順序，例如，第一策略中虛擬服務器的切換順序為Instance00->Instance11->Instance22，第二策略中虛擬服務器的切換順序為Instance00->Instance22->Instance11，以進一步提高網(wǎng)絡滲透攻擊者進行后續(xù)攻擊的難度。

需要說明的是，本實施例除了采用上述優(yōu)選的方法外，還可以單獨采用上述第一策略或者第二策略來防止網(wǎng)絡滲透攻擊。第一策略與第二策略中的每臺虛擬服務器每次對外提供服務的時間或虛擬服務器的切換順序不同。

通過上述方法，本實施例按照預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，使網(wǎng)絡滲透攻擊的后續(xù)步驟無法完成，從而有效防止了網(wǎng)絡滲透攻擊，解決了現(xiàn)有技術(shù)中無法通過防火墻和服務器操作系統(tǒng)的安全功能來防止網(wǎng)絡滲透攻擊的問題。

如圖3所示，本實施例還提供了一種通過虛擬機異構(gòu)實現(xiàn)服務器防攻擊的裝置，本實施中的裝置可以通過軟件實現(xiàn)，例如安裝了該軟件的服務器，也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。該裝置包括：

虛擬機安裝模塊，用于將實體服務器進行虛擬機異構(gòu)，生成多臺使用不同操作系統(tǒng)的虛擬服務器，并在每臺虛擬服務器上安裝對外提供服務的應用軟件；

虛擬機調(diào)度模塊，用于根據(jù)預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務。

如上述方法對應地，本裝置中各模塊描述如下：

本實施例虛擬機調(diào)度模塊根據(jù)預定的運行策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，執(zhí)行如下操作：

在沒有檢測到攻擊時，根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務；

在檢測到攻擊后，根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務；

其中，所述第一策略與第二策略中的每臺虛擬服務器每次對外提供服務的時間或虛擬服務器的切換順序不同。

本實施例虛擬機調(diào)度模塊在沒有檢測到攻擊時，根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，執(zhí)行如下操作：

根據(jù)第一策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序，控制虛擬服務器進行切換，在不同的時間調(diào)度不同的虛擬服務器來對外提供服務；

本實施例虛擬機調(diào)度模塊在檢測到攻擊后，根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序調(diào)度虛擬服務器來對外提供服務，執(zhí)行如下操作：

在檢測到服務器遭到攻擊后，立即切換對外提供服務的虛擬服務器；

在后續(xù)時間根據(jù)第二策略中每臺虛擬服務器每次對外提供服務的時間以及虛擬服務器的切換順序，控制虛擬服務器進行切換，在不同的時間調(diào)度不同的虛擬服務器來對外提供服務；

所述第二策略中每臺虛擬服務器每次對外提供服務的時間小于第一策略中每臺虛擬服務器每次對外提供服務的時間，第二策略中虛擬服務器的切換順序與第一策略中虛擬服務器的切換順序不同。

本實施例虛擬機安裝模塊將實體服務器進行虛擬機異構(gòu)，生成多臺使用不同操作系統(tǒng)的虛擬服務器，執(zhí)行如下操作：

在實體服務器上完成各個異構(gòu)操作系統(tǒng)的安裝，并將每個異構(gòu)操作系統(tǒng)保存為鏡像文件；

在實體服務器上通過虛擬化程序以不同的鏡像文件進行虛擬服務器安裝，并在虛擬服務器安裝完成后配置該虛擬服務器的IP地址和端口號；

配置所述虛擬服務器共享數(shù)據(jù)庫，在實體服務器上配置有一個統(tǒng)一的虛擬IP地址和端口號對外提供服務。

本實施例虛擬機調(diào)度模塊調(diào)度虛擬服務器來對外提供服務，執(zhí)行如下操作：

通知當前提供服務的虛擬服務器保存當前業(yè)務會話的ID和狀態(tài)信息到共享的數(shù)據(jù)庫；

調(diào)度用于接替當前虛擬服務器提供服務的虛擬服務器啟動，并從共享數(shù)據(jù)庫中讀取當前業(yè)務會話的ID和狀態(tài)信息，進行虛擬服務器的切換；

發(fā)送消息給切換前提供服務的虛擬服務器，使其通知客戶端以原來的會話ID進行重新連接；

切換后提供服務的虛擬服務器根據(jù)從共享數(shù)據(jù)庫中讀取的當前業(yè)務會話的ID和狀態(tài)信息對重新連接請求進行驗證，驗證通過后建立連接。

以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其進行限制，在不背離本發(fā)明精神及其實質(zhì)的情況下，熟悉本領(lǐng)域的技術(shù)人員當可根據(jù)本發(fā)明作出各種相應的改變和變形，但這些相應的改變和變形都應屬于本發(fā)明所附的權(quán)利要求的保護范圍。