半马尔可夫模型HsMM在线检测算法。
[0037] 所述的异常检测和处理系统,是由不同厂家生产的异构检测引擎组成,能高效检 测行为异常虚拟机的内部病毒和外部攻击,包括开源的和非开源的检测引擎。
[0038]本发明中的虚拟机异常检测和处理过程,包括:
[0039] (1)虚拟机状态属性信息搜索模块搜集各虚拟机的状态属性信息,实时传给隐半 马尔可夫模型HsMM在线检测模块;
[0040] (2)隐半马尔可夫模型HsMM在线检测模炔基于相应的算法,快速检测出行为异常 的虚拟机,并将相关信息传给虚拟机异常检测和处理系统;
[0041] (3)虚拟机异常检测和处理系统对行为异常的虚拟机进行检测,对异常较轻的虚 拟机消除异常并向对应的云租户发警报信息,对严重异常的虚拟机发出报警并关闭。
[0042]从上面的处理过程可知,本发明采用双重异常检测大大提高了云系统内部异常虚 拟机异常判断的准确性,同时充分保证了正常虚拟机的高可用性。
[0043]如图1所示,本发明所述云系统内部虚拟机的异常检测方法,包含以下步骤:
[0044]步骤1、虚拟机状态信息搜集模块搜集云系统内部各虚拟机在正常状态下的状态 信息。
[0045] 所述的正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态。
[0046] 所述虚拟机的状态信息,是由能反映虚拟机工作正常或异常的属性值项组成,包 括虚拟机的CPU利用率、GPU的利用率、I/0等待时间和内存利用率等,以及他们随时间的动 态变化情况。
[0047]步骤2、用虚拟机在正常状态下的状态属性值项作为观测序列,训练隐半马尔可夫 模型HsMM并设计隐半马尔可夫模型HsMM在线检测算法(下文详述)。
[0048]步骤3、虚拟机状态信息搜集模块按事先设置的时间间隔,搜集云系统内部各虚拟 机在线工作时的状态信息,并实时传给隐半马尔可夫模型HsMM在线检测模块。
[0049] 步骤4、隐半马尔可夫模型HsMM在线检测模炔基于步骤2中得到的相应算法,在线 检测云系统各虚拟机的状态行为,计算其状态行为的或然概率和马氏距离,以此判断虚拟 机的行为异常情况。
[0050] 所述虚拟机的行为异常情况,是指虚拟机的CPU利用率、GPU的利用率、I/O等待时 间以及内存利用率等性能指标变化出现异常,或出现虚拟机资源耗尽或性能逐步恶化的情 况。
[0051] 步骤5、将根据每个虚拟机在线行为计算的马氏距离与预设门限值Q比对,判断虚 拟机在线行为的马氏距离是否大于预设门限值Q:若是,则转到步骤6;若否,则转到步骤3。 所述的预设门限值Q为云系统虚拟机行为异常检测结果被接受的最低标准。
[0052]步骤6、启动云系统异常检测和处理系统,对检测结果大于门限Q的虚拟机进行异 常检测。所述的异常检测是对行为异常的虚拟机进行全面的内部病毒检测和外部攻击检 测。
[0053]步骤7、判断步骤6中得到的虚拟机异常指标是否大于异常检测和处理的最大门限 值Emax:若大于等于Emax,则转步骤8;若小于Emax,则异常检测和处理系统消除异常并向云租 户发警告提示后转步骤3。所述的异常检测和处理的最大门限值E max是异常检测和处理系统 能处理的最大异常指标。
[0054]步骤8、异常检测和处理系统向异常率大于Emax的虚拟机的云租户报警并关闭该虚 拟机。
[0055]以下对训练隐半马尔可夫模型HsMM,得到隐半马尔可夫模型HsMM在线算法的过程 进行说明。
[0056]所述的隐半马尔可夫模型用1={5,31,,8^}来表示,其各个参数定义如下:
[0057] S为模型状态集合,5={81,82,"_,别},其中知(1^^)表示隐马尔可夫模型在第 t个时刻可能所处的状态,G为模型状态(State)的总个数;
[0058] π为初始状态概率矩阵,JT={jig},Jig = P;r[qi = Sg],l <g<G,其中 Σ8%=1。%表示 隐马尔可夫模型在第1个时刻处于状态sg的概率;
[0059] A 为状态转移概率矩阵,A= {agi},agi = Pr[qt+i = Si |qt = sg],l<g,i<Gj*2 iagl = l,qt表示隐马尔可夫模型在第t个时刻所处的状态,agl表示隐马尔可夫模型在第t个 时刻从状态S g跳转到状态Si的概率;
[0060] B为观测值概率矩阵,B= {bg(vk)},bg(vk) =Pr[0t = Vk|qt = sg],l《k《K,l《g<G, 其中〇t表示隐马尔可夫模型在第t个时刻的观测量,bg( Vk)表示当隐马尔可夫模型在第t个 时刻处于状态88下,观测量0t = Vk的概率;
[0061] P为状态持续概率矩阵,P={pg(d);l <d<D,l <g<G},pg(d)=Pr[T:t = d|qt = Sg] 表示模型在第t个时刻处于状态&,且还将在状态&下持续d个时刻的概率,其中D表示状态 持续的最大时间。
[0062]其中,云系统内部的各虚拟机的属性值状态包括:
[0063]状态①:各虚拟机的CPU、GPU和内存的利用率低于30%,1/0等待时间较短;
[0064]状态②:各虚拟机的CPU、GPU和内存的利用率有一种或多种高于30%但低于50%, 其余低于30%,I/O等待时间正常;
[0065]状态③:各虚拟机的CPU、GPU和内存的利用率有一种或多种高于50%但低于80%, 其余低于50%,I/O等待时间正常;
[0066]状态④:各虚拟机的CPU、GPU和内存的利用率有一种高于80%但低于90%,其余低 于80%,并且变化正常,I/O等待时间较长;
[0067]状态⑤:各虚拟机的CPU、GPU和内存的利用率有一种或多种高于80%但低于90%, 其余低于80%,并且变化出现异常,I/O等待时间较长或超长;
[0068]状态⑥:各虚拟机的CPU、GHJ和内存的利用率有一种或多种高于90%,其余低于 80%,并且变化异常,I/O等待时间超长;
[0069]所述的状态①②③④属于正常状态,状态⑤⑥属于异常状态。
[0070] 本发明中用虚拟机正常状态下的属性值状态观测序列来训练隐半马尔可夫模型 Hs丽的过程,包括:
[0071] S1、计算出每个虚拟机的状态信息观测序列0(h)(l < h < H)的前向变量 它表示虚拟机在前t个观测量〇?到达虚拟机状态信息搜集模块时,虚拟机在状 态Sg持续停留d个时刻的概率,其中Τ'前向变量的定义式如(1)所示:
[0072]
(1)
[0073] 其中,Η为虚拟机状态观测值序列的总个数,浐为相应观测序列的长度。
[0074] S2、根据公式(2)计算出每个正常虚拟机的观测序列相对于HsMM的或然对数概率 Ph,1 < h < Η;同理,可以根据公式(3)求出在线虚拟机的或然对数概率IV;在此基础上可以 根据公式(4)计算出所有正常虚拟机的观测序列相对于HsMM的或然对数概率ΡΗ,这里的ΡΗ即 为正常虚拟机的或然对数概率值构成的初始或然对数概率分布,
[0075] |
[0076]