CN110825545A - 一种云服务平台异常检测方法与*** - Google Patents

Abstract

本发明公开了一种云服务平台异常检测方法与***，该方法包括以下步骤：1)实时采集云平台主机正常工作时的***度量数据，并根据***度量数据计算出***运行环境向量；2)利用正常的***运行环境向量，结合最大平均偏差算法MMD和支持向量数据描述算法SVDD训练以获取异常检测模型；3)在接收到新的主机***度量数据时，使用主机所在集群的超球面对主机***度量数据进行分类，从而检测主机异常。本发明结合MMD和SVDD两种算法训练以获取异常检测模型，有效解决了云服务平台中正常和异常样本极度不均衡的问题，使其能够检测云服务平台中未知的***异常，同时不再需要为每一台主机都构建异常检测模型，从而大大的降低了异常建模的时间和***资源消耗。

Description

一种云服务平台异常检测方法与***

技术领域

本发明涉及云计算安全技术，尤其涉及一种云服务平台异常检测方法与***。

背景技术

云服务平台是一个开放的公共平台，为大量用户提供各种不同的应用服务。这些应用服务的可靠性对其消费者而言至关重要。云服务平台中存在异常会使其可靠性受到质疑。由于规模和复杂性，云服务平台会产生大量的***异常，这些异常主要由云平台管理员操作错误、资源过度/欠配置、硬件/软件故障和网络攻击等引起的。因此，对云服务平台的***运行状态进行实时的异常检测具有十分重要的意义。

异常检测的基本原理是在***监测的基础上，将***、用户、进程或者网络的行为作为相应的轮廓模型，当***运行状态偏离正常轮廓模型时，即可判定为异常。目前，已有相关的异常检测方法及其对应的异常检测***。主要分为基于统计的异常检测算法和基于机器学习的异常检测算法。

基于统计的异常检测方法首先通过采用统计学***台主机的***性能数据的时间序列分布，或者可能不能很好地适应不断扩展的集群。

基于机器学***台收集的未标记数据应用K-means和DBSCAN生成聚类，并使用 new-Kyoto-2006+数据集对聚类结果进行标记。Elham Besharati等人使用三种不同分类器的组合：神经网络、决策树和线性区分来识别各种攻击，该方法具有很高的准确率，但是该方法需要为每一台主机构建一个神经网络和决策树模型，成本较大。

现存在的技术难点主要有：(1)云服务平台大部分时间处于正常运行状态，异常的数据样本远远少于正常的数据样本；(2)基于机器学***台。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种云服务平台异常检测方法与***。

本发明解决其技术问题所采用的技术方案是：一种云服务平台异常检测方法，包括以下步骤：

1)实时采集云平台主机正常工作时的***度量数据，并根据***度量数据计算出***运行环境向量；

2)利用正常的***运行环境向量，结合最大平均偏差算法MMD和支持向量数据描述算法SVDD(support vector domain description)训练以获取异常检测模型；

所述步骤2)中结合MMD和SVDD两种算法的训练获取异常检测模型的过程如下：

步骤2.1)使用MMD对***主机的正常运行环境向量进行聚类，从而将云平台主机按***运行环境相似性划分为多个集群；

步骤2.2)根据正常的***运行环境向量，使用SVDD为每一台主机集群构建一个超球面，用于描述每个主机正常运行时的数据分布情况，从而对异常数据进行检测；

3)在接收到新的主机***度量数据时，使用主机所在集群的超球面对主机***度量数据进行分类，从而检测主机异常。

按上述方案，所述步骤3)具体为：

步骤3.1)在接受到新的主机***度量数据时，根据***度量数据计算出***运行环境向量；

步骤3.2)根据主机所在的集群，选择该集群所对应的超球面作为异常检测模型；

步骤3.3)当主机***运行环境向量落在超球面内或者超球面上，则判定主机当前处于正常状态；

步骤3.4)当主机***运行环境向量落在超球面外，则判定主机当前处于异常状态。

按上述方案，所述步骤2.2)中超球面的构建过程如下：

2.2.1)考虑运行环境向量集，其中，N是集群中主机的数量，则超球面的构建过程可以用如下公式表示：

同时，上式满足如下约束：

(x_i-a)^T(x_i-a)≤R²+ξ_i,ξ_i≥0

其中，R是超球面的半径，a是超球面的中心，上式表明如果数据点在超球体内部或者表面的时候ξ_i＝0，否则ξ_i＞0，C是一个常数，如果C取的很大，模型训练的时候就会尽量偏向于找一个更大的圆从而尽量囊括更多的点，如果C比较小，就偏向于找一个小的圆；

2.2.2)设置常数C的大小，在构建过程中忽略距离原点超过设定值的样本点；

2.2.3)通过不断的拟合，最终计算得到超球面的半径和超球面的中心，拟合过程可以用如下公式表示：

按上述方案，所述步骤1)中***度量数据包括CPU、内存、磁盘、以及网络相关的***度量数据。

一种云服务平台异常检测***，包括：

采集模块，用于实时采集云平台主机正常工作时的***度量数据，并根据***度量数据计算出***运行环境向量；

模型构建模块，用于利用正常的***运行环境向量，结合最大平均偏差算法MMD和支持向量数据描述算法SVDD(support vector domain description) 训练以获取异常检测模型；

所述模型构建模块中结合MMD和SVDD两种算法的训练获取异常检测模型的过程如下：

1)使用MMD对***主机的正常运行环境向量进行聚类，从而将云平台主机按***运行环境相似性划分为多个集群；

2)根据正常的***运行环境向量，使用SVDD为每一台主机集群构建一个超球面，用于描述每个主机正常运行时的数据分布情况，从而对异常数据进行检测；

检测模块，用于在接收到新的主机***度量数据时，使用主机所在集群的超球面对主机***度量数据进行分类，从而检测主机异常。

按上述方案，所述检测模块具体为：

1)在接受到新的主机***度量数据时，根据***度量数据计算出***运行环境向量；

2)根据主机所在的集群，选择该集群所对应的超球面作为异常检测模型；

3)当主机***运行环境向量落在超球面内或者超球面上，则判定主机当前处于正常状态；

4)当主机***运行环境向量落在超球面外，则判定主机当前处于异常状态。

按上述方案，所述模型构建模块中超球面的构建过程如下：

1)考虑运行环境向量集，其中，N是集群中主机的数量，则超球面的构建过程可以用如下公式表示：

同时，上式满足如下约束：

(x_i-a)^T(x_i-a)≤R²+ξ_i,ξ_i≥0

其中，R是超球面的半径，a是超球面的中心，上式表明如果数据点在超球体内部或者表面的时候ξ_i＝0，否则ξ_i＞0，C是一个常数，如果C取的很大，模型训练的时候就会尽量偏向于找一个更大的圆从而尽量囊括更多的点，如果C比较小，就偏向于找一个小的圆。

2)设置常数C的大小，在构建过程中忽略距离原点超过设定值的样本点；

3)通过不断的拟合，最终计算得到超球面的半径和超球面的中心，拟合过程可以用如下公式表示：

按上述方案，所述采集模块中***度量数据包括CPU、内存、磁盘、以及网络相关的***度量数据。

本发明产生的有益效果是：

1.结合MMD和SVDD两种算法训练以获取异常检测模型，有效解决了云服务平台中正常和异常样本极度不均衡的问题，使其能够检测云服务平台中未知的***异常，同时不再需要为每一台主机都构建异常检测模型，从而大大的降低了异常建模的时间和***资源消耗。

2.通过构建的模型，对主机***度量数据进行分类，实现云服务平台主机的在线异常检测，及时发现云服务平台中***的异常行为，提高了云服务平台的可靠性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的方法流程图；

图2是本发明实施例的聚类过程的伪代码示意图；

图3是本发明实施例的超球面的构建过程流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，一种云服务平台异常检测方法，该方法包括：

步骤1：实时采集云平台主机的CPU/内存/磁盘/网络相关的***度量数据，并根据***度量数据计算出***运行环境向量，计算过程如下：

1)考虑CPU度量数据，通过CPU***时间(SYS)、CPU用户时间(USER)、 CPU磁盘IO等待时间(IO_WAIT)、CPU硬中断事件(IRQ)、CPU软中断事件 (SOFT_IRQ)、CPU空闲时间(IDLE)计算CPU的使用率Usage_cpu，计算公式如下：

2)考虑内存度量数据，通过总内存大小(TOTAL)、实际使用的内存大小 (ACTUAL)、缓存中的内存大小(CACHE+BUFFERS)计算内存使用率，计算公式如下：

3)考虑磁盘度量数据，通过磁盘读次数(READ_COUNT)、磁盘写次数 (WRITE_COUNT)和最大磁盘IO次数(MAX_IO_COUNT)计算磁盘IO频率，计算公式如下：

4)考虑网络度量数据，通过网络进站流量大小(IN_SIEZ)、网络出站流量大小(OUT_SIEZ)和网络带宽(MAX_SIZE)计算网络负载，计算公式如下：

5)根据上述计算结果获得***运行环境向量，***运行环境向量表示如下：

RE＝(Usage_cpu,Usage_mem,Freq_disk,Load_net)

步骤2：利用正常的***运行环境向量，结合MMD和SVDD两种算法训练以获取异常检测模型，使其不但能在异常样本缺失的情况下检测未知异常，还能同时检测多台具有相似运行环境的主机的异常，从而大大降低建模时间和***的资源消耗；

结合MMD和SVDD两种算法的训练过程如下：

步骤2.1：使用MMD对***主机的运行环境向量进行聚类，将具有相似运行环境的主机划分到一个簇中，而在不同运行环境簇的主机，它们的运行环境差异较大，聚类过程的伪代码如图2所示，聚类过程如下：

1)根据最小距离原则，从***运行环境向量集合中选择距离原点最近的点作为第一个聚类中心，距离的计算采用欧式距离；

2)从***运行环境向量集合中选择距离第一个点最远的点作为第二个聚类中心；

3)根据最小距离原则，将样本点划分到最近的聚类中心中，并更新聚类中心，如果样本点到所有聚类中心的距离都大于设定的阈值，则将该样本点作为新的聚类中心；

4)重复过程3)，直到所有样本点都划分完成。

步骤2.2：使用SVDD算法对每个簇中的数据样本进行训练，为每个簇构建一个超球面，这些超球面描述了各个簇中的主机在正常运行状态下的运行环境数据分布情况，超球面的构建过程如图3所示，构建过程描述如下：

1)考虑运行环境向量集，其中，N是集群中主机的数量，则超球面的构建过程可以用如下公式表示：

同时，上式满足如下约束：

(x_i-a)^T(x_i-a)≤R²+ξ_i,ξ_i≥0

其中，R是超球面的半径，a是超球面的中心，上式表明如果数据点在超球体内部或者表面的时候ξ_i＝0，否则ξ_i＞0，C是一个常数，如果C取的很大，模型训练的时候就会尽量偏向于找一个更大的圆从而尽量囊括更多的点，如果C比较小，就偏向于找一个小的圆。

2)设置常数C的大小，在构建过程中忽略距离原点超过设定值的样本点；

3)通过不断的拟合，最终计算得到超球面的半径和超球面的中心，拟合过程可以用如下公式表示：

步骤3：在接收到新的主机***度量数据时，使用主机所在集群的超球面对主机***度量数据进行分类，分类的公式如下：

其中，Ω表示超球面。当主机***运行环境向量落在超球面内或者超球面上，则判定主机当前处于正常状态；当主机***运行环境向量落在超球面外，则判定主机当前处于异常状态，并通过邮件进行告警。

本实施拟提出的一种云平台异常检测方法具有以下有益效果：

1)结合MMD和SVDD两种算法训练以获取异常检测模型，有效解决了云服务平台中正常和异常样本极度不均衡的问题，使其能够检测云服务平台中未知的***异常，同时不再需要为每一台主机都构建异常检测模型，从而大大的降低了异常建模的时间和***资源消耗。

2)通过构建的模型，对主机***度量数据进行分类，实现云服务平台主机的在线异常检测，及时发现云服务平台中***的异常行为，提高了云服务平台的可靠性。

本发明进一步提出一种云服务平台异常检测***，本发明提出的云服务平台异常检测***，包括采集模块、通信模块、建模模块和检测模块：

采集模块运行于云平台主机内，实时采集云服务平台主机的CPU/内存/磁盘 /网络相关的***资源度量数据，并将采集的数据提交给通信模块客户端子模块。

通信模块客户端子模块在获取到采集模块提交的数据后，对数据进行封装，在数据包头中加入本机Mac地址用于区分不同的主机***度量数据，并将封装后的数据包推送到Kafka消息队列的SYS_METRICS主题中。

通信模块服务端子模块定时从Kafka消息队列的SYS_METRICS主题中拉取并解析数据，将解析的数据按照一定的格式保存到数据库当中。

建模模块对正常情况下(即未受到任何攻击的***度量数据进行分析建模，生成异常检测模型)。具体步骤为：

步骤1：从HBase数据库中提取增量数据，并根据***度量数据计算出***运行环境向量；

步骤2：利用正常的***运行环境向量，结合MMD和SVDD两种算法训练以获取异常检测模型，使其不但能在异常样本缺失的情况下检测未知异常，还能同时检测多台具有相似运行环境的主机的异常，从而大大降低建模时间和***的资源消耗，建模过程如下：

步骤2.1：使用MMD对所有计算出的***运行环境向量进行聚类，从而将云服务平台主机按***运行环境相似性划分为多个集群；

步骤2.2：根据***正常的运行环境向量，使用SVDD为每一个主机集群构建一个超球面，用于描述主机正常运行时的数据分布情况。

检测模块，加载所有主机集群对应的超球面，当接受到新的主机***度量数据时，先根据主机***度量数据计算主机***运行环境向量；然后，根据主机所在的集群，选择该集群所对应的超球面对***度量数据进行分类；当主机***运行环境向量落在超球面内或者超球面上，则判定主机当前处于正常状态；当主机***运行环境向量落在超球面外，则判定主机当前处于异常状态，并通过邮件进行告警。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (8)

1.一种云服务平台异常检测方法，其特征在于，包括以下步骤：

1)实时采集云平台主机正常工作时的***度量数据，并根据正常和异常的***度量数据计算出***运行环境向量；

2)利用正常的***运行环境向量，结合最大平均偏差算法MMD和支持向量数据描述算法SVDD训练以获取异常检测模型；

所述步骤2)中结合MMD和SVDD两种算法的训练获取异常检测模型的过程如下：

步骤2.1)使用MMD对***主机的正常运行环境向量进行聚类，从而将云平台主机按***运行环境相似性划分为多个集群；

步骤2.2)根据正常的***运行环境向量，使用SVDD为每一台主机集群构建一个超球面，用于描述每个主机正常运行时的数据分布情况，从而对异常数据进行检测；

3)在接收到新的主机***度量数据时，使用主机所在集群的超球面对主机***度量数据进行分类，从而检测主机异常。

2.根据权利要求1所述的云服务平台异常检测方法，其特征在于，所述步骤3)具体为：

步骤3.1)在接受到新的主机***度量数据时，根据***度量数据计算出***运行环境向量；

步骤3.2)根据主机所在的集群，选择该集群所对应的超球面作为异常检测模型；

步骤3.3)当主机***运行环境向量落在超球面内或者超球面上，则判定主机当前处于正常状态；

步骤3.4)当主机***运行环境向量落在超球面外，则判定主机当前处于异常状态。

3.根据权利要求1所述的云服务平台异常检测方法，其特征在于，所述步骤2.2)中超球面的构建过程如下：

2.2.1)考虑运行环境向量集，其中，N是集群中主机的数量，则超球面的构建过程可以用如下公式表示：

同时，上式满足如下约束：

(x_i-a)^T(x_i-a)≤R²+ξ_i,ξ_i≥0

其中，R是超球面的半径，a是超球面的中心，上式表明如果数据点在超球体内部或者表面的时候ξ_i＝0，否则ξ_i＞0，C是一个常数；

2.2.2)设置常数C的大小，在构建过程中忽略距离原点超过设定值的样本点；

2.2.3)通过不断的拟合，最终计算得到超球面的半径和超球面的中心，拟合过程可以用如下公式表示：

4.根据权利要求1所述的云服务平台异常检测方法，其特征在于，所述步骤1)中***度量数据包括CPU、内存、磁盘、以及网络相关的***度量数据。

5.一种云服务平台异常检测***，其特征在于，包括：

采集模块，用于实时采集云平台主机正常工作时的***度量数据，并根据***度量数据计算出***运行环境向量；

模型构建模块，用于利用正常的***运行环境向量，结合最大平均偏差算法MMD和支持向量数据描述算法SVDD训练以获取异常检测模型；

所述模型构建模块中结合MMD和SVDD两种算法的训练获取异常检测模型的过程如下：

1)使用MMD对***主机的正常运行环境向量进行聚类，从而将云平台主机按***运行环境相似性划分为多个集群；

2)根据正常的***运行环境向量，使用SVDD为每一台主机集群构建一个超球面，用于描述每个主机正常运行时的数据分布情况，从而对异常数据进行检测；

检测模块，用于在接收到新的主机***度量数据时，使用主机所在集群的超球面对主机***度量数据进行分类，从而检测主机异常。

6.根据权利要求5所述的云服务平台异常检测***，其特征在于，所述检测模块具体为：

1)在接受到新的主机***度量数据时，根据***度量数据计算出***运行环境向量；

2)根据主机所在的集群，选择该集群所对应的超球面作为异常检测模型；

3)当主机***运行环境向量落在超球面内或者超球面上，则判定主机当前处于正常状态；

4)当主机***运行环境向量落在超球面外，则判定主机当前处于异常状态。

7.根据权利要求5所述的云服务平台异常检测***，其特征在于，所述模型构建模块中超球面的构建过程如下：

1)考虑运行环境向量集，其中，N是集群中主机的数量，则超球面的构建过程用如下公式表示：

同时，上式满足如下约束：

(x_i-a)^T(x_i-a)≤R²+ξ_i,ξ_i≥0

其中，R是超球面的半径，a是超球面的中心，上式表明如果数据点在超球体内部或者表面的时候ξ_i＝0，否则ξ_i＞0，C是一个常数；

2)设置常数C的大小，在构建过程中忽略距离原点超过设定值的样本点；

3)通过不断的拟合，最终计算得到超球面的半径和超球面的中心，拟合过程用如下公式表示：

8.根据权利要求5所述的云服务平台异常检测***，其特征在于，所述采集模块中***度量数据包括CPU、内存、磁盘、以及网络相关的***度量数据。

Images