[发明专利]一种基于响应时间序列数据分析的虚拟机同驻检测方法

说明书

本发明公开了一种基于响应时间序列数据分析的虚拟机同驻检测方法，包括：步骤1：基于ON‑OFF干扰注入机制实时采集目标虚拟机的响应时间序列，然后分别提取目标虚拟机在干扰情况下和正常情况下的响应时间序列；步骤2)处理采集数据中的异常值；步骤3)同驻概率计算；步骤4)检测结果判定。本发明方法根据云计算平台多租户资源共享的特点，采集目标虚拟机在正常情况和干扰情况下的服务响应时间序列，通过定义云滴模型间的偏离度，计算检测虚拟机与目标虚拟机之间的同驻概率，以定量地描述检测虚拟机与目标虚拟机同驻的可能性；本发明保证了同驻检测结果的准确性和可靠性，具有很好的适应性和实用价值。

【技术领域】

本发明涉及虚拟化安全技术领域，具体涉及一种基于响应时间序列数据分析的虚拟机同驻检测方法。

【背景技术】

云计算作为一种新型的网络计算模式，通过网络以按需、易扩展的方式为用户提供各种虚拟的IT资源和应用服务，支持用户在任意位置、使用多种终端进行访问。云计算不仅大大减轻了用户的计算和存储负担，降低了用户对各种IT基础设施的购置和管理维护成本，也使得企业用户可以根据需求的变化随时进行应用的快速重新部署和动态扩展。

请参阅图1和图2所示，在云环境中，不同租户的虚拟机可能运行于同一台物理主机之上，即虚拟机同驻；同驻的虚拟机之间共享该物理主机的计算资源，例如CPU、内存以及网络资源等，并依赖于虚拟机监控器进行系统资源的分配与调度。由于特殊的应用需求或者计算需求，用户可能需要有目的的实现虚拟机同驻，包括其自身创建的多个虚拟机实例同驻，以及与合作用户的虚拟机实例同驻等。为了实现同驻，用户首先需要创建并运行多个虚拟机实例，然后利用虚拟机同驻检测方法逐一判断这些虚拟机是否和运行同驻检测算法的检测虚拟机同驻，并重复这一过程直至实现至少一个虚拟机和检测虚拟机同驻。可以看出，实现同驻过程中比较重要且关键的一步就是利用同驻检测方法判断虚拟机之间是否同驻，高效、准确的同驻检测方法有助于降低实现同驻的开销。

根据同驻检测的基本原理不同，已有虚拟机同驻检测方法可以分为基于网络信息的同驻检测、基于资源干扰的同驻检测和基于隐蔽信道的同驻检测。

基于网络信息的同驻检测方法，利用两个虚拟机的网络信息来判断它们之间是否同驻，例如，同驻的两个Xen虚拟机之间具有相同的第一跳IP地址，较短的网络包往返时间，以及数字上接近的内部IP地址。基于网络信息的同驻检测方法实现简单，检测效率较高，且不会对目标虚拟机的运行造成任何影响。然而，已有研究表明公有云平台已经修复了上述漏洞，上述利用网络信息进行虚拟机同驻检测的方法已经不再适用。

基于资源干扰的虚拟机同驻检测，利用两个虚拟机竞争使用共享资源时是否相互干扰来判断它们是否同驻。例如，物理网卡的多路复用会带来网络包延时问题，Bates等基于此设计了一种同驻水印方法进行虚拟机同驻检测；Zhang等设计了HomeAlone工具，租户可利用HomeAlone来检测是否有其他租户的虚拟机与其同驻；余思等通过探测L1Cache负载特征变化并基于Cache负载特征匹配的方式推断两个虚拟机是否同驻。然而，已有研究表明上述方法在云环境中均已不再适用，例如，如果物理服务器具有两块以上网卡，同驻水印技术将无法有效检测同驻；HomeAlone技术只能用于验证租户虚拟机对于物理主机的独占使用，并不能用于判断两个虚拟机是否同驻；由于利用L1Cache，余思等提出的方法只能在两个虚拟机被分配到同一个CPU核心上运行(内核级同驻)时进行有效检测，当两个虚拟机被分配到同一个CPU的不同核心(CPU级同驻)或者不同CPU之上(宿主机级同驻)运行时，该方法不再适用。然而，随着硬件技术的发展，在公有云平台中已经很难观察到两个虚拟机被分配到同一内核之上运行的情况。

基于隐蔽信道的虚拟机同驻检测基于两个虚拟机是否能够合谋操作同一宿主机的共享资源，来判断它们是否同驻。这种同驻检测方法虽然误检率低，检测结果比较准确；但是，存在一个致命的缺点，即只能应用于检测与被检测双方均为受控虚拟机((即目标虚拟机合作模式)的情况，并不能适用于现实应用场景中只有检测虚拟机受控的情况(即非目标虚拟机合作模式)。