>[0077] )
[0078] 其中G为模型状态的总个数,D为状态持续的最大时间,Η为虚拟机状态观测值序列 的总个数,?"为相应序列的长度。
[0079] S3、根据式(5)、(6)所示,分别计算出正常虚拟机的初始或然对数概率分布ΡΗ的平 均值μ和标准差〇:
[0080]
[0081]
[0082] S4、求出每个虚拟机观测序列0(h)(l<h^H)的后向变量它表示虚拟 机的第t个观测量of到达虚拟机状态信息搜集模块时,虚拟机在状态&持续停留d个时刻的 情况下,产生的概率,后向变量的定义式如式(7)所示:
[0083]
[0084] S5、由前向变量和后向变量我们可以得到状态跳转联合概 率状态持续联合概率,状态和观测值联合概率,它们的定 义式分别如式(8)、(9)、(10)所示:
[0085]
[0086]
[0087]
[0088] S6、训练Hs丽的模型参数:在训练模型参数之前,要给HsMM的模型参数赋初值,由 于模型参数A,P,B,π的初值对模型训练的影响比较小,所以可令agi = 1 / (G-1),Jig = 1 /G,pg (d) = l/D,bg(Vk) = 1/(G-1),另外令状态自跳转概率agg = 0,然后根据下式(11)-(14)进行 模型参数的更新,在公式(15)中,当〇t = vk时,3(〇t-vk) = l,否则3(〇t-vk)=0,
[0089]
[0090]
[0091]
[0092]
[0093] S7、判断第S2项中求到的PH是否趋向于一个稳定的值,若是,则得到Hs丽的模型参 数集λ,模型训练结束;否则的话,重复以上第S1项到第S6项的过程。
[0094] 根据模型训练得到了正常虚拟机的初始或然对数概率分布和在线虚拟机的或然 对数概率计算公式,就可以用简化的马氏距离来衡量正常虚拟机的初始或然对数概率分布 和云系统中在线虚拟机的或然对数概率之间的距离,简化的马氏距离如公式(15)所示:
[0095]
[0096] 公式(15)中d的取值反映了云系统中虚拟机在线状态行为的异常程度,这里可以 定义一个代表虚拟机正常行为的阈值Q,当cK Q时,可以判断虚拟机的状态行为是正常的; 当d>Q时,则可以判断该虚拟机的状态行为异常,即可能出现病毒或遭受外部攻击。所述的 马氏距离是由印度数学家马哈拉诺比斯(P.C.Mahalanobis)提出的一种计算具有相关性两 点之间距离的方法。
[0097]得到行为异常的虚拟机后,启动云系统中异常检测和处理系统进行异常检测,根 据对第i个异常虚拟机内部病毒检测结果和外部攻击检测结果进行评估,得出该虚拟机行 为异常的严重程度指数EhEiipi+p^pi是反映异常虚拟机内部病毒可处理的指标,如果异 常虚拟机内部病毒可处理, P1取值0,如果异常虚拟机内部病毒不可处理P1取值1; p2是反映 异常虚拟机外部攻击可处理的指标,如果异常虚拟机外部攻击可处理,p2取值0,如果异常 虚拟机外部攻击不可处理P2取值1。
[0098]若虚拟机行为异常的严重程度指数EXEmxiI,则消除异常后给异常虚拟机的云 租户发警告通知;虚拟机行为异常的严重程度指数Ei 2 Emax= 1则会给异常虚拟机的云租户 发报警并关闭该虚拟机。
[0099] 下面用一个实例来阐述本发明所述的方法。
[0100] 假设云系统设置有100台虚拟机,其中1台由于病毒引起虚拟机工作状态异常,另 两台由于外部攻击引起虚拟机工作状态异常。轻量级的虚拟机状态属性信息搜索模块搜集 各虚拟机的状态信息并传给隐半马尔可夫模型HsMM模块后,后者基于隐半马尔可夫模型 HsMM在线检测算法很快检测出这3台虚拟机的状态行为异常,并启动虚拟机异常检测和处 理模块对3台虚拟机进行异常检测和处理。
[0101] 轻量级的虚拟机状态属性信息搜索模块和隐半马尔可夫模型HsMM在线检测算法 工作对所有虚拟机几乎没有影响,在这里我们忽略其影响。我们还假设由病毒和外攻击引 起的虚拟机异常是可以消除而不需要关闭,并且每台虚拟机异常消除需要时间为10分钟, 贝1J3台虚拟机消除异常需要:3X 10 = 30分钟。
[0102] 传统的虚拟机异常消除方法是启动云系统的异常检测和处理系统对所有虚拟机 进行检测,则消除3台虚拟机异常需要的总时间为:100X10 = 1000分钟。
[0103] 另外,本发明只需要对3台异常虚拟机进行检测和消除异常,而传统的方法需要对 所有的虚拟机,包括实际正常和实际异常的虚拟机进行异常检测。异常检测和处理需要占 用虚拟机的资源和工作时间。
[0104] 从上面实例看,本发明与传统方法相比,可充分保证云系统虚拟机异常检测和处 理的实时性和准确性,并保证正常虚拟机的可用性。
[0105] 尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的 描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的 多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
【主权项】
1. 一种云系统内部虚拟机的异常检测方法,其特征在于, 通过虚拟机状态属性信息捜索模块捜集云系统内部的各虚拟机的状态属性信息,实时 传给隐半马尔可夫模型化MM在线检测模块进行检测; 所述隐半马尔可夫模型化MM在线检测模块检测出行为异常的虚拟机,并将行为异常的 虚拟机的状态属性信息传给虚拟机异常检测和处理系统; 所述虚拟机异常检测和处理系统对行为异常的虚拟机进行检测,对异常程度没有达到 所设异常指标的行为异常虚拟机,消除异常并向对应的云租户发出警告提示;对异常程度 达到所设异常指标的行为异常虚拟机,则向对应的云租户发出报警并关闭该虚拟机。2. 如权利要求1所述云系统内部虚拟机的异常检测方法,其特征在于,包含W下过程: 步骤1、虚拟机状态信息捜集模块捜集云系统内部各虚拟机在正常状态下的状态属性 值项;所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态; 步骤2、将虚拟机在正常状态下的状态属性值项作为观测序列,训练隐半马尔可夫模型 化MM并设计隐半马尔可夫模型化MM在线检测算法; 步骤3、虚拟机状态信息捜集模块按事先设置的时间间隔,捜集各虚拟机在线工作时的 状态信息,并实时传给隐半马尔可夫模型化MM在线检测模块; 步骤4、隐半马尔可夫模型化MM在线检测模炔基于步骤2中得到的相应算法,在线检测 各虚拟机的状态行为,计算其状态行为的或然概率和马氏距离,W此判断虚拟机的行为异 常情况; 步骤5、将根据每个虚拟机在线行为计算得到的马氏距离与预设口限值化k对,判断虚 拟机在线行为的马氏距离是否大于预设口限值Q: 若是,则转到步骤6;若否,则转到步骤3; 步骤6、启动云系统异常检测和处理系统,对检测结果大于预设口限值Q的虚拟机进行 异常检测; 步骤7、判断步骤6中异常检测的虚拟机的异常指标是否大于异常检测和处理的最大口 限值Emax: 若异常指标大于等于Emax,则转步骤8; 若异常指标小于Emax,则异常检测和处理系统消除异常并向云租户发警告提示后转步 骤3; 步骤8、异常检测和处理系统向异常率大于Emax的虚拟机的云租户报警并关闭该虚拟 机。3. 如权利要求2所述云