一种云系统内部虚拟机的异常检测方法
【技术领域】
[0001] 本发明涉及网络技术领域,具体涉及一种云系统内部虚拟机的异常检测方法。
【背景技术】
[0002] 越来越多的公司和企业通过迀移其部分的信息技术基础设施到云服务供应商来 降低他们的成本,例如含有分布式存储基础设施的数据中心和其他类型的云计算系统的广 泛使用。云服务提供商使用Vmware、vSphere等商用虚拟化软件来建立各种不同类型的虚拟 基础设施,包括私有云和公有云系统,这些云系统的数据可能分布在数百个相互连接的计 算机,存储设备和其他物理机器上。
[0003] 在公有云系统或私有云系统中,企业是租用云服务提供商的计算资源和存储资 源,即云租户。当企业把他们的数据存放到云系统时,他们的数据己处于潜在的安全威胁之 中。例如,云服务提供商在云系统的某一台物理主机中为不同用户建有多个虚拟机,这多个 虚拟机只要有一个虚拟机异常(有病毒或被外部攻击),处于同一台物理云主机的其他虚拟 的数据就存在安全威胁;
[0004] 异常虚拟机的存在对于与之共享同一物理主机的其他虚拟机的正常运行构成很 大的威胁,它将阻碍云系统为正常虚拟机提供的服务。检测异常虚拟机的存在对云安全提 出了挑战,目前针对云系统内虚拟机的异常检测和处理方法比较少,并且现有的防御技术 也没有考虑到云系统内部虚拟机的活动动态变化情况,因此存在一定的局限性。
[0005] 保证云系统对正常虚拟机的可用性具有十分重要,它包括两方面的内容:一是正 常情况下为虚拟机的正常使用提供合理的资源分配服务;二是异常情况下云系统内其他正 常虚拟机的可用性,即通过检测方法检测出异常虚拟机并消除异常,保证其他虚拟机的正 常使用。
【发明内容】
[0006] 本发明提供的一种云系统内部虚拟机的异常检测方法,保障了云存储系统中异常 虚拟机判断的实时性和可靠性,减少了异常检测对整个系统性能的影响,确保云系统正常 虚拟机对用户的可用性。
[0007] 为了达到上述目的,本发明的技术方案是提供一种云系统内部虚拟机的异常检测 方法:
[0008] 通过虚拟机状态属性信息搜索模块搜集云系统内部的各虚拟机的状态属性信息, 实时传给隐半马尔可夫模型HsMM在线检测模块进行检测;
[0009] 所述隐半马尔可夫模型HsMM在线检测模块检测出行为异常的虚拟机,并将行为异 常的虚拟机的状态属性信息传给虚拟机异常检测和处理系统;
[0010] 所述虚拟机异常检测和处理系统对行为异常的虚拟机进行检测,对异常程度没有 达到所设异常指标的行为异常虚拟机,消除异常并向对应的云租户发出警告提示;对异常 程度达到所设异常指标的行为异常虚拟机,则向对应的云租户发出报警并关闭该虚拟机。
[0011] 所述云系统内部虚拟机的异常检测方法,包含以下过程:
[0012] 步骤1、虚拟机状态信息搜集模块搜集云系统内部各虚拟机在正常状态下的状态 属性值项;所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态;
[0013] 步骤2、将虚拟机在正常状态下的状态属性值项作为观测序列,训练隐半马尔可夫 模型HsMM并设计隐半马尔可夫模型HsMM在线检测算法;
[0014]步骤3、虚拟机状态信息搜集模块按事先设置的时间间隔,搜集各虚拟机在线工作 时的状态信息,并实时传给隐半马尔可夫模型HsMM在线检测模块;
[0015] 步骤4、隐半马尔可夫模型HsMM在线检测模炔基于步骤2中得到的相应算法,在线 检测各虚拟机的状态行为,计算其状态行为的或然概率和马氏距离,以此判断虚拟机的行 为异常情况;
[0016] 步骤5、将根据每个虚拟机在线行为计算得到的马氏距离与预设门限值Q比对,判 断虚拟机在线行为的马氏距离是否大于预设门限值Q:
[0017] 若是,则转到步骤6;若否,则转到步骤3;
[0018]步骤6、启动云系统异常检测和处理系统,对检测结果大于预设门限值Q的虚拟机 进行异常检测;
[0019] 步骤7、判断步骤6中异常检测的虚拟机的异常指标是否大于异常检测和处理的最 大门限值Emax:
[0020] 若异常指标大于等于Emax,则转步骤8;
[0021]若异常指标小于Emax,则异常检测和处理系统消除异常并向云租户发警告提示后 转步骤3;
[0022]步骤8、异常检测和处理系统向异常率大于Emax的虚拟机的云租户报警并关闭该虚 拟机。
[0023]本发明具有以下优点及效果:
[0024] 1、保障了云系统内异常虚拟机判断的实时性。通过轻量级的虚拟机状态信息搜集 软件实时搜集并传递虚拟机的状态信息,轻量级的隐半马尔可夫模型HsMM在线检测算法能 快速检测状态行为异常的虚拟机。其检测速度远远快于常用的虚拟机异常检测软件。因为 传统的异常检测方法是定期或发现有虚拟机异常后再检测。
[0025] 2、提高了云系统内部异常虚拟机判断的准确性。通过轻量级的隐半马尔可夫模型 在线软件检测出行为异常的虚拟机后,再启动由多种异构检测引擎组成的异常检测和处理 系统对行为异常的虚拟机进行检测,双重异常检测大大提高了云系统内部异常虚拟机判断 的准确性。
[0026] 3、充分保证了正常虚拟机的可用性。一方面使用轻量级的虚拟机状态信息搜集软 件和轻量级的隐半马尔可夫模型HsMM在线检测算法,对正常虚拟机的工作没有影响;另一 方面使用异常检测和处理系统只对行为异常的虚拟机进行检测,不会占用正常虚拟机的资 源和时间,所以本发明充分保证了正常虚拟机的可用性。
【附图说明】
[0027]为了更完全地理解本发明及其优点,现在结合附图参照一下描述,其中:
[0028]图1是本发明的一个整体流程图。
[0029] 图2是云系统结构图。
【具体实施方式】
[0030] 为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结 合图示与具体实施例,进一步阐述本发明提出的一种云系统内部虚拟机异常检测方法。
[0031] 图1所示是本发明提供的一种云系统内部虚拟机的异常检测方法的流程图;图2所 示是本发明中云系统的结构图。
[0032] 本发明所述的云系统,包括应用服务器集群和各种类型的存储设备。应用服务器 集群中安装有云操作系统、虚拟化软件、虚拟机状态属性信息搜集模块、隐半马尔可夫模型 HsMM在线检测模块、异常检测和处理系统,以及为云租户建立的虚拟机等。
[0033]所述的云操作系统是以云计算、云存储技术作为支撑的操作系统,是云计算后台 数据中心的整体管理运营系统,它是指构架于服务器、存储、网络等基础硬件资源和单机操 作系统、中间件、数据库等基础软件之上的、管理海量的基础硬件、软件资源的云平台综合 管理系统。
[0034] 所述的虚拟化软件是可以让一部主体服务器建立与执行一至多个虚拟化环境,如 VMware,Xen等虚拟化软件。
[0035] 所述的虚拟机状态信息搜集模块是通过调用云系统中的虚拟机状态信息搜集功 能而实现的轻量级软件模块;所述的轻量级软件模块是指运行时占用较少系统资源并对整 个系统影响很小的应用软件。
[0036] 所述的隐半马尔可夫模型HsMM在线检测模块,其内部包含有能检测虚拟机在线行 为异常的隐