[发明专利]一种云计算环境下的虚拟机监控方法及监控系统

权利要求书

1.一种云计算环境下的虚拟机监控方法，其特征在于，包括：

建立隐蔽型攻击行为特征库；

获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；

根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序；

所述根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型包括：

S1，创建一个节点N；

S2，若训练集S中的样本都属于同一类别C，则返回N作为叶节点，以类C标记；

S3，若侯选属性集attribute_list为空，则返回N作为叶节点，并标记该节点中类别个数最多的类；

S4，将训练集S中的样本按照类别进行分组，设共分为C₁,C₂,...,C_m个类；

S5，在所有类中，获取attribute_list中任一属性A的取值，并根据获取的属性A的取值，确定属性A的均值；

S6，根据确定的属性A的均值，通过标准差确定属性A的权重Q；

S7，利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)；

S8，按照S5-S7确定attribute_list中所有属性的信息增益；

S9，从attribute_list中选择具有最大信息增益的属性作为测试属性test_attribute；

S10，利用test_attribute标记节点N；

S11，对test_attribute的每个值进行分支；

S12，设S_j是test_attribute取值为a_j的所有样本的集合，令S＝S_j，attribute_list＝attribute_list-test_attribute，其中，j＝1,2,...,ν，ν表示test_attribute具有ν个不同的值；

S13，返回执行S1，直至完成决策树的构建；

设训练集中共有n个属性A₁,A₂,...,A_n，它们所求得的标准差组成向量X＝(σ₁,σ₂,...,σ_n)，其中，σ_i为属性A_i的标准差，将向量X归一化得Q＝(Q₁,Q₂,...,Q_n)，则属性A_i的权重为Q_i；

所述利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)包括：

确定训练集S的信息熵E(S)；

利用基于属性权重的信息熵公式，确定侯选属性集中任一属性A的信息熵E(A,Q)；

通过公式Gain(A)＝E(S)-E(A,Q)，确定属性A的信息增益Gain(A)；

训练集S的信息熵表示为：

其中，m表示训练集S的类别总数，P_i是训练集中的样本属于C_i的概率，C_i表示第i类；

设一个属性A具有ν个不同的值，通过属性A将训练集S划分为ν个子集{S₁,S₂,...,S_j,...,S_ν}，j＝1,2,...,ν，则属性A的信息熵E(A,Q)表示为：

其中，S_ij为子集S_j中属于C_i类别的样本集；Q表示属性A的权重系数，P_ij表示子集S_j中样本属于类别C_i的概率。

2.根据权利要求1所述的云计算环境下的虚拟机监控方法，其特征在于，所述建立隐蔽型攻击行为特征库包括：

从准备、运行、通信三个阶段对隐蔽型攻击的行为进行分析；

提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。