[发明专利]云端虚拟环境的异常检测和处理方法

摘要

本发明公开一种云端虚拟环境的应用层异常检测和处理方法，包含：云控制器实时检测虚拟机状态，若虚拟机为异常虚拟机，综合异常检测系统对异常虚拟机进行综合检测；若综合异常检测系统判断异常虚拟机综合检测的结果值小于预设门限值Q，则云控制器计算异常虚拟机的异常检测的平均对数似然概率值；若平均对数似然概率值大于，则异常虚拟机为高风险虚拟机，进行隔离；若平均对数似然概率值小于，则异常虚拟机为低风险虚拟机，消除其异常行为。本发明保障了云端虚拟机异常检测的可靠性。采用多重检测机制能够更加可靠的检测出异常的虚拟机，不会导致某些正常虚拟机的误检而影响正常虚拟机云租户的服务。

主权项

1.一种云端虚拟环境的应用层异常检测和处理方法，其特征在于，云端系统包含云控制器，以及连接云控制器的应用服务器集群和云存储设备；云控制器包含：接收用户请求和用户身份认证模块、综合安全策略模块、虚拟机状态监控模块；应用服务器集群包含：综合异常检测系统、HMM模型训练和在线异常检测模块、应用控制模块、虚拟机集群组；该方法包含：云控制器实时检测虚拟机状态，当判断虚拟机为异常虚拟机，综合异常检测系统对异常虚拟机进行综合检测；若综合异常检测系统判断异常虚拟机综合检测的结果值小于预设门限值Q，则云控制器计算该异常虚拟机的异常检测的平均对数似然概率值；若平均对数似然概率值大于HMM异常检测和处理的最大应用层异常极限值Pmax，则该异常虚拟机为高风险虚拟机，并将高风险虚拟机进行隔离；若判断平均对数似然概率值小于Pmax，则该异常虚拟机为低风险虚拟机，消除该低风险虚拟机应用层的异常行为；所述HMM模型是描述一个含有隐含未知参数的马尔可夫过程的统计模型，使用λ＝{A,B,π,N,M}来描述，其中，N为隐马尔科夫模型状态数，M为观测值数目，A为状态转移概率矩阵，B为当前状态下观测值的概率分布，π为初始状态概率分布；N取值空间为S＝(S1,S2,...,SN)；M取值范围为V＝{V1,V2,...,VM}；A用A＝(aij)表示，其中，式(1)的含义为在当前时刻t时处于状态Si，在t+1时刻转移到状态Sj的概率；B用B＝{bj(k)}表示，其中bj(k)＝P(Vk|qt＝Sj)其含义：表示在时刻t处于状态Sj，观测值Vk出现的概率；π用π＝{π_i}表示，其中其含义是表示在初始时刻处于状态S_i的概率；在HMM模型λ确定的情况下，时刻t且当前状态为Si时观测序列为{O1,O2,...,Ot}的概率取为前向变量αt(i)，其计算公式为：其中，初始变量α1(i)＝πibi(O1)，且1≤i≤N；HMM模型λ与当前状态qt＝Si确定的情况下，观测序列为{Ot+1,Ot+2,...,OT}的概率取为后向变量βt(i)，其计算公式为：其中，初始变量βT(i)＝1,且1≤i≤N；为了进行HMM模型训练，需要以下变量ξt(i,j)表示HMM模型λ与观测序列O确定的情况下，t时刻的状态为Si，t+1时刻的状态处于Sj的概率；变量γt(i)表示HMM模型λ与观测序列O确定的情况下，t时刻状态为Si的概率，ξt(i,j)和γt(i)的计算公式如下：其中则模型优化的参数的计算公式如下：HMM模型λ与观测序列的条件概率计算公式如下：所述HMM模型的训练过程包含：首先给定初始值：A＝1/(N‑1)，B＝1/(N‑1)，π＝1/N，根据式(4)和(5)的计算，再根据式(9)得到P(O|λ)的值，进行多次迭代，比较每次P(O|λ)值，最后得出最优的模型参数值及相应的P(O|λ)阀值Pmax。