[发明专利]云端虚拟环境的异常检测和处理方法

说明书

本发明公开一种云端虚拟环境的应用层异常检测和处理方法，包含：云控制器实时检测虚拟机状态，若虚拟机为异常虚拟机，综合异常检测系统对异常虚拟机进行综合检测；若综合异常检测系统判断异常虚拟机综合检测的结果值小于预设门限值Q，则云控制器计算异常虚拟机的异常检测的平均对数似然概率值；若平均对数似然概率值大于，则异常虚拟机为高风险虚拟机，进行隔离；若平均对数似然概率值小于，则异常虚拟机为低风险虚拟机，消除其异常行为。本发明保障了云端虚拟机异常检测的可靠性。采用多重检测机制能够更加可靠的检测出异常的虚拟机，不会导致某些正常虚拟机的误检而影响正常虚拟机云租户的服务。

技术领域

本发明涉及一种云端虚拟环境的应用层异常检测和处理方法，具体涉及一种云端虚拟环境的异常检测和处理方法。

背景技术

当前，云计算服务的规模化、集约化、专业化彻底改变了信息资源大量分散于终端设备的格局。利用虚拟化技术组织分配和使用计算资源的模式，有利于合理配置资源，提高利用率，实现绿色计算。然而虚拟化技术本身存在很多安全问题，虚拟化的安全性分析和保护将变得更为重要。通过从多个方面对云安全技术进行分析，表明一种安全机制或几种安全机制来保护云环境安全是不够充分的，多重加强的安全技术机制或者控制手段才能准确的检测云端虚拟机异常，其优势在于：一方面明确了云端异常检测的范围；另一方面提高了云端虚拟化安全异常检测的准确性和可靠性。

多租户环境下，一个物理服务器上运行多台虚拟机，多台虚拟机同时为多个云租户提供服务。正常云租户在使用虚拟机时的用户行为具有一定的相似性，攻击云租户的行为是通过机器来完成的，显然异常云租户的行为和正常云租户的行为具有差异性。在云端，虚拟机的风险等级状态可以通过云租户行为序列描述。云租户使用虚拟机为其提供服务时，在虚拟机上有一系列的行为序列，而且该行为序列能够体现虚拟机的状态。因此，可以用隐马尔可夫模型(Hidden Markov Model，HMM)来刻画单个虚拟机的风险等级状态，更加高效地识别云端虚拟机异常。

现有的云端异常检测和处理系统，主要是针对各种网络层和运输层的攻击和处理以及针对各种病毒的检测和处理，只能针对部分应用层的攻击的检测和处理，缺少一种针对多数新型应用层攻击的异常检测和处理方法。

发明内容

本发明提供一种云端虚拟环境的异常检测和处理方法，保障了云端虚拟机能够为租户提供可靠的服务，提高了云端虚拟机异常判断的准确性，不仅能够有效的检测和处理云端虚拟机的各种网络层和运输层的攻击，还能够有效的检测和处理云端虚拟机的各种应用层的攻击。

为实现上述目的，本发明提供一种云端虚拟环境的应用层异常检测和处理方法，其特点是，该云端系统包含云控制器，以及连接云控制器的应用服务器集群和云存储设备；云控制器包含：接收用户请求和用户身份认证模块、综合安全策略模块、虚拟机状态监控模块；应用服务器集群包含：综合异常检测系统、HMM模型训练和在线异常检测模块、应用控制模块、虚拟机集群组；

该方法包含：

云控制器实时检测虚拟机状态，当判断虚拟机为异常虚拟机，综合异常检测系统对异常虚拟机进行综合检测；

若综合异常检测系统判断异常虚拟机综合检测的结果值小于预设门限值Q，则云控制器计算该异常虚拟机的异常检测的平均对数似然概率值；

若平均对数似然概率值大于HMM异常检测和处理的最大应用层异常极限值P_max，则该异常虚拟机为高风险虚拟机，并将高风险虚拟机进行隔离；若判断平均对数似然概率值小于P_max，则该异常虚拟机为低风险虚拟机，消除该低风险虚拟机应用层的异常行为。

上述云控制器实时检测虚拟机状态前，云控制器对云端的所有虚拟机进行初始化设置，虚拟机的物理或逻辑地址在云控制器中进行注册。