[发明专利]一种云系统内部虚拟机的异常检测方法有效
申请号: | 201610008093.1 | 申请日: | 2016-01-07 |
公开(公告)号: | CN105511944B | 公开(公告)日: | 2018-09-28 |
发明(设计)人: | 韩德志;毕坤;谢柏林;王军;黄利利;陈付梅 | 申请(专利权)人: | 上海海事大学 |
主分类号: | G06F9/455 | 分类号: | G06F9/455;G06F11/30;H04L29/08 |
代理公司: | 上海信好专利代理事务所(普通合伙) 31249 | 代理人: | 包姝晴;尹兵 |
地址: | 201306 上海市*** | 国省代码: | 上海;31 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 系统 内部 虚拟机 异常 检测 方法 | ||
1.一种云系统内部虚拟机的异常检测方法,其特征在于,
通过虚拟机状态属性信息搜索模块搜集云系统内部的各虚拟机的状态属性信息,实时传给隐半马尔可夫模型HsMM在线检测模块进行检测;
所述隐半马尔可夫模型HsMM在线检测模块检测出行为异常的虚拟机,并将行为异常的虚拟机的状态属性信息传给虚拟机异常检测和处理系统;
所述虚拟机异常检测和处理系统对行为异常的虚拟机进行检测,对异常程度没有达到所设异常指标的行为异常虚拟机,消除异常并向对应的云租户发出警告提示;对异常程度达到所设异常指标的行为异常虚拟机,则向对应的云租户发出报警并关闭该虚拟机。
2.如权利要求1所述云系统内部虚拟机的异常检测方法,其特征在于,包含以下过程:
步骤1、虚拟机状态属性信息搜索模块搜集云系统内部各虚拟机在正常状态下的状态属性值项;所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态;
步骤2、将虚拟机在正常状态下的状态属性值项作为观测序列,训练隐半马尔可夫模型HsMM并设计隐半马尔可夫模型HsMM在线检测算法;
步骤3、虚拟机状态属性信息搜索模块按事先设置的时间间隔,搜集各虚拟机在线工作时的状态信息,并实时传给隐半马尔可夫模型HsMM在线检测模块;
步骤4、隐半马尔可夫模型HsMM在线检测模块基于步骤2中得到的相应算法,在线检测各虚拟机的状态行为,计算其状态行为的或然概率和马氏距离,以此判断虚拟机的行为异常情况;
步骤5、将根据每个虚拟机在线行为计算得到的马氏距离与预设门限值Q比对,判断虚拟机在线行为的马氏距离是否大于预设门限值Q:
若是,则转到步骤6;若否,则转到步骤3;
步骤6、启动虚拟机异常检测和处理系统,对检测结果大于预设门限值Q的虚拟机进行异常检测;
步骤7、判断步骤6中异常检测的虚拟机的异常指标是否大于异常检测和处理的最大门限值Emax:
若异常指标大于等于Emax,则转步骤8;
若异常指标小于Emax,则异常检测和处理系统消除异常并向云租户发警告提示后转步骤3;
步骤8、异常检测和处理系统向异常率大于Emax的虚拟机的云租户报警并关闭该虚拟机。
3.如权利要求2所述云系统内部虚拟机的异常检测方法,其特征在于,
所述虚拟机的状态属性值项,包括虚拟机的CPU利用率、GPU的利用率、I/O等待时间和内存利用率,以及他们随时间的动态变化情况;
虚拟机处在第一状态到第四状态中任意一种状态时属于正常状态,处在第五状态或第六状态时属于异常状态,其中:
第一状态时,虚拟机的CPU、GPU和内存的利用率低于30%,具有比正常I/O等待时间短的第一I/O等待时间;
第二状态时,虚拟机的CPU、GPU和内存的利用率有一种或多种高于30%但低于50%,其余低于30%,并具有处于正常I/O等待时间的第二I/O等待时间;
第三状态时,虚拟机的CPU、GPU和内存的利用率有一种或多种高于50%但低于80%,其余低于50%,并具有第二I/O等待时间;
第四状态时,虚拟机的CPU、GPU和内存的利用率有一种高于80%但低于90%,其余低于80%,且变化正常,并具有比正常I/O等待时间长的第三I/O等待时间;
第五状态时,虚拟机的CPU、GPU和内存的利用率有一种或多种高于80%但低于90%,其余低于80%,且变化异常,并具有第三I/O等待时间或具有比第三I/O等待时间长的第四I/O等待时间;
第六状态时,虚拟机的CPU、GPU和内存的利用率有一种或多种高于90%,其余低于80%,且变化异常,并具有第四I/O等待时间。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海海事大学,未经上海海事大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201610008093.1/1.html,转载请声明来源钻瓜专利网。