系统内部虚拟机的异常检测方法,其特征在于, 所述虚拟机的状态属性值项,包括虚拟机的CPU利用率、GPU的利用率、I/0等待时间和 内存利用率,W及他们随时间的动态变化情况; 虚拟机处在第一状态到第四状态中任意一种状态时属于正常状态,处在第五状态或第 六状态时属于异常状态,其中: 第一状态时,虚拟机的CPU、GPU和内存的利用率低于30%,具有比正常I/O等待时间短 的第一 I/O等待时间. 第二状态时,虚拟机的CPU、GPU和内存的利用率有一种或多种高于30%但低于50%,其 余低于30%,并具有处于正常I/O等待时间的第二I/O等待时间; 第S状态时,虚拟机的CPU、GPU和内存的利用率有一种或多种高于50%但低于80%,其 余低于50%,并具有第二I/O等待时间; 第四状态时,虚拟机的CPU、GPU和内存的利用率有一种高于80%但低于90%,其余低于 80%,且变化正常,并具有比正常I/O等待时间长的第SI/0等待时间; 第五状态时,虚拟机的CPU、GPU和内存的利用率有一种或多种高于80%但低于90%,其 余低于80%,且变化异常,并具有第= 1/0等待时间或具有比第= 1/0等待时间长的第四I/O 等待时间; 第六状态时,虚拟机的CPU、GPU和内存的利用率有一种或多种高于90%,其余低于 80%,且变化异常,并具有第四I/O等待时间。4. 如权利要求2或3所述云系统内部虚拟机的异常检测方法,其特征在于, 所述隐半马尔可夫模型用^={5,31,4,8少}来表示,其各个参数定义如下: S为模型状态集合,S = {Si,S2,…,sg},其中sg( 1 < g < G)表示隐马尔可夫模型在第t个时 刻可能所处的状态,G为模型状态的总个数; ^为初始状态概率矩阵,31={而},而=口1'[91 = 38],1非含6,其中1:8相=1爪表示隐马尔 可夫模型在第1个时刻处于状态Sg的概率; A 为状态转移概率矩阵,A = {agi} ,agi = Pr [qt+1 = Si|qt = Sg],l <g,i <G,其中 2 Wgi = 1, qt表示隐马尔可夫模型在第t个时刻所处的状态,agi表示隐马尔可夫模型在第t个时刻从状 态Sg跳转到状态Si的概率; B 为观测值概率矩阵,B= Ibg(Vk)},bg(vk) =Pr[0t = Vk Iqt = Sg],1 非非,1 非 < G,其中 Ot表示隐马尔可夫模型在第t个时刻的观测量,bg(Vk)表示当隐马尔可夫模型在第t个时刻 处于状态Sg下,观巧慢Ot = Vk的概率; P为状态持续概率矩阵,P= {pg(d); 1 < d 卽,1 < g < G},pg(d)=P;r[Tt = d| Qt = Sg]表示 模型在第t个时刻处于状态Sg,且还将在状态Sg下持续d个时刻的概率,其中D表示状态持续 的最大时间。5. 如权利要求4所述云系统内部虚拟机的异常检测方法,其特征在于, 通过虚拟机在正常状态下的状态属性值项的观测序列,来训练隐半马尔可夫模型化MM 的过程,包括: 51、 计算出每个虚拟机的状态信息观测序列〇("仙卽)的前向变量沈它表示 虚拟机在前t个观测量of到达虚拟机状态信息捜集模块时,虚拟机在状态Sg持续停留d个时 刻的概率,其中1含t含V前向变量的定义式为: (巧,d)二与[(〇{)内,(恥,Tf)二(?, 6〇] (1) 其中,H为虚拟机状态观测值序列的总个数,T^3相应观测序列的长度; 52、 分别计算出每个正常虚拟机的观测序列相对于化MM的或然对数概率扣,1含h含H,在 线虚拟机的或然对数概率,W及所有正常虚拟机的观测序列相对于化MM的或然对数概 率Ph,运里的扣即为正常虚拟机的或然对数概率值构成的初始或然对数概率分布:53、 分别计算出正常虚拟机的初始或然对数概率分布扣的平均值ii和标准差0:巧) 拘 54、 求出每个虚拟机观测序列〇W(i卽邹)的后向变量(巧,的,它表示虚拟机的第 t个观测量Oit到达虚拟机状态信息捜集模块时,虚拟机在状态Sg持续停留d个时刻的情况 下,产生的概率,后向变量的定义式: Pt(h)(g,d)二 P,-[(0?;i)J(qt,Tt)二(SgiCi)] 口) 55、 根据前向变量巧,d)和后向变量爲切,过),分别求出状态跳转联合概率 0、状态持续联合槪率Cg, £〇、状态和观测值联合概率W:56、 给 HsMM 的模型参数赋初值,令 agi=l/(G-l),?=l/G,pg(d) = l/D,bg(vk) = l/(G-l),另外令状态自跳转概率agg=0,然后根据下式进行模型参数的更新;当ot=vk时,S(ot-Vk) = 1,否则S (Ot-Vk) =0;57、 判断第S2项中求到的扣是否趋向于一个稳定的值: 若是,则得到化MM的模型参数集A,模型训练结束;若否,重复W上第SI项到第S6项的过 程。6. 如权利要求5所述云系统内部虚拟机的异常检测方法,其特征在于, 通过简化的马氏距离来衡量正常虚拟机的初始或然对数概率分布和云系统中在线虚 拟机的或然对数概率之间的距离,简化的马氏距离为:(15) 其中,d的取值反映了云系统中虚拟机在线状态行为的异常程度;定义代表虚拟机正常 行为的预设口限值Q,当cK Q时,判断虚拟机的状态行为是正常的;当d〉Q时,判断该虚拟机 的状态行为异常,即可能出现病毒或遭受外部攻击。7. 如权利要求6所述云系统内部虚拟机的异常检测方法,其特征在于, 检测出行为异常的虚拟机后,启动云系统中异常检测和处理系统进行异常检测,根据 对第i个行为异常的虚拟机内部病毒检测结果和外部攻击检测结果进行评估,得出该虚拟 机行为异常的严重程度指数Ei,Ei = P1+P2; 其中,Pi是反映异常虚拟机内部病毒可处理的指标,如果异常虚拟机内部病毒可处理, Pi取值O;如果异常虚拟机内部病毒不可处理Pi取值1; P2是反映异常虚拟机外部攻击可处理的指标,如果异常虚拟机外部攻击可处理,P2取值 O;如果异常虚拟机外部攻击不可处理,P2取值1; 若虚拟机行为异常的严重程度指数EKEmax= 1,则消除异常后给行为异常的虚拟机的云 租户发警告提示;若虚拟机行为异常的严重程度指数Ei ^ Emax=I,则给行为异常的虚拟机 的云租户发报警并关闭该虚拟机。
【专利摘要】本发明涉及一种云系统内部虚拟机的异常检测方法,通过搜集云系统中正常虚拟机的状态信息来训练隐半马尔可夫模型HsMM,并设计相应算法来检测并计算云系统中各虚拟机在线时资源动态变化行为的或然概率和马氏距离。若对某一虚拟机在线检测结果的马氏距离大于预设门限值,说明该虚拟机的活动情况异常,则启动云系统内部的异常检测和处理系统对该虚拟机进行异常检测和处理。若检测到某虚拟机的异常率小于异常检测和处理的最大门限值时,消除异常后向该虚拟的云租户发警告提示;否则,向该虚拟机的云租户报警并关闭该虚拟机。本发明能实时检测云系统内部虚拟机的异常行为,占用系统资源少,能充分保证云系统内部虚拟机的高可用性和安全性。
【IPC分类】G06F9/455, G06F11/30, H04L29/08
【公开号】CN105511944
【申请号】CN201610008093
【发明人】韩德志, 毕坤, 谢柏林, 王军, 黄利利, 陈付梅
【申请人】上海海事大学
【公开日】2016年4月20日
【申请日】2016年1月7日