[发明专利]一种基于虚拟化平台的虚拟机异常行为检测方法

权利要求书

1.一种基于虚拟化平台的虚拟机异常行为检测方法，其特征在于：所述的基于虚拟化平台的虚拟机异常行为检测方法包括按顺序进行的下列步骤：

1)从虚拟机平台中的虚拟机管理器层获取客户虚拟机的内存转储文件；

2)使用图像的方法描述上述内存转储文件中数据的特征，并获得包含上述特征的灰度图像；

3)将客户虚拟机正常运行下包含内存转储文件中特征的灰度图像与存在异常行为时包含内存转储文件中特征的灰度图像输入卷积神经网络模型进行训练，得到训练后的卷积神经网络模型；

4)利用上述训练后的卷积神经网络模型检测客户虚拟机是否存在异常行为。

2.根据权利要求1所述的基于虚拟化平台的虚拟机异常行为检测方法，其特征在于：在步骤1)中，所述的从虚拟机平台中的虚拟机管理器层获取客户虚拟机的内存转储文件的方法是：

1.1)搭建Xen虚拟机平台，并在该平台上运行客户虚拟机；

1.2)使用LibVMI的dump-memory插件从Xen虚拟机平台中的虚拟机管理器层获取上述客户虚拟机的内存转储文件。

3.根据权利要求1所述的基于虚拟化平台的虚拟机异常行为检测方法，其特征在于：在步骤2)中，所述的使用图像的方法描述上述内存转储文件中数据的特征，并获得包含上述特征的灰度图像的方法是：

2.1)根据实际需求在内存转储文件中选定部分数据，数据量大小与数据位置均可指定，按照顺序从上述选定的部分数据中分多次读取数据，每次读取1024字节的数据并作为一组初始序列，然后将每组初始序列经过分词、加权和合并在内的处理而提取出高维度的特征向量，从而获得每组初始序列对应的SimHash值；

2.2)针对上述每组初始序列中1024字节的数据，将每一个字节转换成一个ASCII字符，由此形成一个由1024个ASCII字符构成的字符串，然后将相邻8个字符作为一组子串，计算每个子串在该字符串中出现的次数并据此分配权重；之后使用MD5算法计算每个子串的哈希值，由此获得64位(bit)哈希序列S1，S2，…Sn；对于每一个哈希序列S，生成与其相对应的向量T，其中哈希序列S的每一位Si对应向量T的每个元素Ti；首先将向量T的每个元素初始化为0，然后判断哈希序列S中每一位的值是1还是0，如果是1则向量T的对应位置的元素加上子串的权值，如果是0则向量T的对应位置的元素减去该子串的权值，得到新序列T1，T2，…Tn；

2.3)对于上述新序列T1，T2，…Tn，将其按位累加得到序列P；判断序列P的每一位，小于0时将该位置0，反之则置1，得到的结果即为上述1024长度的字符串的SimHash值；此时获得的SimHash值是64位，然后按照顺序将每4位转换成一个十六进制数字，得到两个8位十六进制数；

2.4)对上述十六进制数的每一位，按照大于7设置为1，小于等于7设置为0的规则生成一个二进制序列，并将这个二进制序列转化成取值范围为0-255的十进制数；至此得到了两个十进制数；

2.5)将这两个十进制数按照生成的先后顺序分别作为二维图像的水平和垂直坐标并映射到初始为黑色、大小为256×256的灰度图像上；其后生成的坐标点如果有重合，将对应的坐标点灰度值增加16；若某一个坐标点的灰度值已经达到255，则该坐标点的灰度值不再增加；

2.6)将内存转储文件中选定的部分数据对应的每一个初始序列所映射的坐标点的状态进行叠加，得到包含该内存转储文件中选定的部分数据特征的灰度图像。

4.根据权利要求1所述的基于虚拟化平台的虚拟机异常行为检测方法，其特征在于：在步骤3)中，所述的将客户虚拟机正常运行下包含内存转储文件中特征的灰度图像与存在异常行为时包含内存转储文件中特征的灰度图像输入卷积神经网络模型进行训练，得到训练后的卷积神经网络模型的方法是：

分别获取客户虚拟机正常运行下包含内存转储文件中特征的灰度图像与存在异常行为时包含内存转储文件中特征的灰度图像，标定上述灰度图像所属的类别，然后输入卷积神经网络模型进行训练；使用的机器学习模型为Inception v3，批处理参数batch size设置为16，起始学习率为0.01，模型初始化函数为tf.glorot_normal()函数。

5.根据权利要求1所述的基于虚拟化平台的虚拟机异常行为检测方法，其特征在于：在步骤4)中，所述利用上述训练后的卷积神经网络模型检测客户虚拟机是否存在异常行为的方法是：

将待检测的客户虚拟机生成的灰度图像输入上述训练后的卷积神经网络模型中，对待检测的客户虚拟机生成的灰度图像进行检测判断，模型返回结果则为针对图像对应的虚拟机是否存在异常行为的判断。