[发明专利]一种云系统内部虚拟机的异常检测方法

说明书

本发明涉及一种云系统内部虚拟机的异常检测方法，通过搜集云系统中正常虚拟机的状态信息来训练隐半马尔可夫模型HsMM，并设计相应算法来检测并计算云系统中各虚拟机在线时资源动态变化行为的或然概率和马氏距离。若对某一虚拟机在线检测结果的马氏距离大于预设门限值，说明该虚拟机的活动情况异常，则启动云系统内部的异常检测和处理系统对该虚拟机进行异常检测和处理。若检测到某虚拟机的异常率小于异常检测和处理的最大门限值时，消除异常后向该虚拟的云租户发警告提示；否则，向该虚拟机的云租户报警并关闭该虚拟机。本发明能实时检测云系统内部虚拟机的异常行为，占用系统资源少，能充分保证云系统内部虚拟机的高可用性和安全性。

技术领域

本发明涉及网络技术领域，具体涉及一种云系统内部虚拟机的异常检测方法。

背景技术

越来越多的公司和企业通过迁移其部分的信息技术基础设施到云服务供应商来降低他们的成本，例如含有分布式存储基础设施的数据中心和其他类型的云计算系统的广泛使用。云服务提供商使用Vmware、vSphere等商用虚拟化软件来建立各种不同类型的虚拟基础设施，包括私有云和公有云系统，这些云系统的数据可能分布在数百个相互连接的计算机，存储设备和其他物理机器上。

在公有云系统或私有云系统中，企业是租用云服务提供商的计算资源和存储资源，即云租户。当企业把他们的数据存放到云系统时，他们的数据己处于潜在的安全威胁之中。例如，云服务提供商在云系统的某一台物理主机中为不同用户建有多个虚拟机，这多个虚拟机只要有一个虚拟机异常(有病毒或被外部攻击)，处于同一台物理云主机的其他虚拟的数据就存在安全威胁；

异常虚拟机的存在对于与之共享同一物理主机的其他虚拟机的正常运行构成很大的威胁，它将阻碍云系统为正常虚拟机提供的服务。检测异常虚拟机的存在对云安全提出了挑战，目前针对云系统内虚拟机的异常检测和处理方法比较少，并且现有的防御技术也没有考虑到云系统内部虚拟机的活动动态变化情况，因此存在一定的局限性。

保证云系统对正常虚拟机的可用性具有十分重要，它包括两方面的内容：一是正常情况下为虚拟机的正常使用提供合理的资源分配服务；二是异常情况下云系统内其他正常虚拟机的可用性，即通过检测方法检测出异常虚拟机并消除异常，保证其他虚拟机的正常使用。

发明内容

本发明提供的一种云系统内部虚拟机的异常检测方法，保障了云存储系统中异常虚拟机判断的实时性和可靠性，减少了异常检测对整个系统性能的影响，确保云系统正常虚拟机对用户的可用性。

为了达到上述目的，本发明的技术方案是提供一种云系统内部虚拟机的异常检测方法：

通过虚拟机状态属性信息搜索模块搜集云系统内部的各虚拟机的状态属性信息，实时传给隐半马尔可夫模型HsMM在线检测模块进行检测；

所述隐半马尔可夫模型HsMM在线检测模块检测出行为异常的虚拟机，并将行为异常的虚拟机的状态属性信息传给虚拟机异常检测和处理系统；

所述虚拟机异常检测和处理系统对行为异常的虚拟机进行检测，对异常程度没有达到所设异常指标的行为异常虚拟机，消除异常并向对应的云租户发出警告提示；对异常程度达到所设异常指标的行为异常虚拟机，则向对应的云租户发出报警并关闭该虚拟机。

所述云系统内部虚拟机的异常检测方法，包含以下过程：

步骤1、虚拟机状态属性信息搜索模块搜集云系统内部各虚拟机在正常状态下的状态属性值项；所述正常状态是指虚拟机内部没有病毒和外部没有各种攻击的状态；

步骤2、将虚拟机在正常状态下的状态属性值项作为观测序列，训练隐半马尔可夫模型HsMM并设计隐半马尔可夫模型HsMM在线检测算法；

步骤3、虚拟机状态属性信息搜索模块按事先设置的时间间隔，搜集各虚拟机在线工作时的状态信息，并实时传给隐半马尔可夫模型HsMM在线检测模块；