[发明专利]一种云计算环境下的虚拟机监控方法及监控系统

说明书

本发明提供一种云计算环境下的虚拟机监控方法及监控系统，能够提高程序分类检测的精度。所述方法包括：建立隐蔽型攻击行为特征库；获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。本发明涉及云计算领域。

技术领域

本发明涉及云计算领域，特别是指一种云计算环境下的虚拟机监控方法及监控系统。

背景技术

云计算技术在日趋成熟的同时，其自身面临着越来越多的挑战，安全性问题是其中的一个重要方面。由于云计算中数据和应用的集中托管和网络化服务，使其成为高价值的攻击目标，受到大量来自网络的攻击威胁。虚拟机作为云平台的重要基本单元，且虚拟机内承载着大量的服务，成为了攻击的主要对象。而且云平台中，同一台服务器分布着大量的虚拟机，各虚拟机之间彼此连接，如果某个虚拟机被攻击，则攻击者极有可能以此虚拟机为跳板攻击其它虚拟机，其它的虚拟机被攻击的风险则大大增加。

因此虚拟机的安全对整个云平台的安全至关重要，为了保证整个云系统的安全，需要保证单个虚拟机的安全。虚拟机的安全防护离不开监控技术的支撑，通过对系统进行实时监控，在系统内各关键节点部署监控代理，根据获取的监控数据分析系统安全。随着云服务规模的越来越大，系统结构也越来越复杂，对监控的要求也不断提高。如果监控不能及时发现系统安全威胁，随着威胁在系统内的扩散，则可能会造成重大损失。如果系统监控能够及时发现安全威胁，则可及时进行处理，防止威胁蔓延。因此，监控性能的好坏对保障系统安全至关重要。

现有技术中，在利用决策树算法，例如，迭代二叉树3代(Iterative Dichotomiser3，ID3)算法，构建用于监控虚拟机的程序分类检测模型时，在选择分裂属性时存在取值偏向的缺点，会导致程序检测精度低。

发明内容

本发明要解决的技术问题是提供一种云计算环境下的虚拟机监控方法及监控系统，以解决现有技术所存在的决策树算法在选择分裂属性时的取值偏向，导致程序检测精度低的问题。

为解决上述技术问题，本发明实施例提供一种云计算环境下的虚拟机监控方法，包括：

建立隐蔽型攻击行为特征库；

获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；

根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。

进一步地，所述建立隐蔽型攻击行为特征库包括：

从准备、运行、通信三个阶段对隐蔽型攻击的行为进行分析；

提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。

进一步地，所述根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型包括：

S1，创建一个节点N；

S2，若训练集S中的样本都属于同一类别C，则返回N作为叶节点，以类C标记；

S3，若侯选属性集attribute_list为空，则返回N作为叶节点，并标记该节点中类别个数最多的类；

S4，将训练集S中的样本按照类别进行分组，设共分为C₁,C₂,...,C_m个类；

S5，在所有类中，获取attribute_list中任一属性A的取值，并根据获取的属性A的取值，确定属性A的均值；