基于检测域划分的虚拟机异常检测算法

摘要：虚拟机的正常运行是支撑云平台服务的重要条件，由于云平台下虚拟机存在数量规模大、运行环境随时间动态变化的特点，管理系统难以针对每个虚拟机进行训练数据采集以及统计模型的训练。为了提高在上述环境下异常检测系统的实时性和识别能力，提出基于改进k中心点聚类算法的检测域划分机制，在聚类迭代更新步骤上进行优化，以提升检测域划分的速度，并通过检测域策略的应用来提高虚拟机异常检测的效率和准确率。实验及分析表明，改进的聚类算法拥有更低的时间复杂度，采用检测域划分机制的检测方法在虚拟机异常检测中拥有更高的效率和准确率。

关键词：异常检测；云平台；大规模虚拟机；k中心点；检测域

中图分类号：TP302.8 文献标志码：A

0引言

随着云计算近年来的发展，虚拟化在大规模数据中心管理和解决方案交付方面发挥着巨大的作用，是支撑云计算伟大构想的最重要的技术基石。

虚拟化改变了传统的操作系统和硬件的关系，对平台的可靠性提出了新的挑战[1]。虚拟机的管理系统担负着及时发现虚拟机异常状况、维护平台正常运行的职责，是保障云平台正常运行的重要环节，随着规模的不断扩大，虚拟机间的资源竞争、共享会导致平台的稳定性大大下降，虚拟机的异常行为检测就显得格外重要。

虚拟机的异常行为可能由系统误操作、软硬件故障、资源供应过量或不足导致等情况导致。随着数据中心规模的扩张，系统软件、应用趋向于复杂，针对每个虚拟机进行训练数据采集以及统计模型或者异常识别器的训练所带来的巨大开销是无法接受的，异常检测必须在没有充足学习数据的情况下进行，所以传统的基于分类和统计的异常检测技术并不能很好地适应云环境下面向虚拟机的异常检测应用需求。

在云环境下虚拟机系统性能指标受到多种与其运行环境相关因素的影响，而这些影响因素主要分为由虚拟机的资源配置情况和自身的系统负载情况反映的内部因素，和由部署虚拟机的物理主机的配置而决定的外部因素。

在虚拟机运行环境相关的因素取不同值的情况下，虚拟机的系统性能指标值通常是不同的。显然由不同运行环境所造成的虚拟机间系统性能指标值偏离会与故障所引起的偏离产生混淆，影响异常检测的准确率，造成异常的误报。因此，为了提高异常检测准确率，减少误报率，本文在云环境下针对虚拟机进行异常状态检测时将采用上下文异常检测（contextual anomaly detection）方法[2]。

本文将采用基于kmedoids聚类的方法来实现基于运行环境相似性的虚拟机分类。与kmeans算法相比，kmedoids算法不容易受到噪声数据的影响，能得到更好的聚类效果[3]。但为了进一步提高聚类质量和效率，本文改进了kmedoids算法中初始化中心点的选择和中心点替换策略。

1相关研究

针对云数据中心这样的大规模集群环境，对其中虚拟机进行异常检测是实现故障监控、提高可靠性和安全性，从而提高服务质量的必要手段[4]。

文献[5]提出云环境下基于熵的异常测试机制，该机制通过生成性能指标分布的熵时间序列，并通过识别异常和正常熵来实现对性能指标中存在的异常进行检测，与传统的基于阈值的检测方法相比能有效改善异常检测系统准确率和误报率这两个方面的性能。

文献[6]提出一种针对云数据中心的硬件服务器的自调整失效检测机制，该机制采用基于心跳信息的检测方法，并根据特定用户对服务质量的不同需求动态调整与基于心跳检测方法中的相关参数，如心跳信息达到时间和心跳时间间隔等，使得检测器在针对特定用户服务质量需求时能提供相匹配的失效检测服务。

文献[7]针对云环境提出了一种自进化的异常检测框架。在该框架下，被检测对象的一条待检测状态信息在被异常识别器判定为异常或者非异常后，判定结果会被核实，并根据核实结果给该状态信息重新标记为正常和异常标签，而重新标记后的状态信息用于对异常识别器的迭代训练。通过上述机制，可以不断改善异常识别器的检测性能，有效地提高云数据中心的可靠性。

4结语

本文针对云平台中虚拟机规模大的特性，提出一种基于检测域划分的虚拟机异常检测策略，将云平台中的虚拟机按其相似性进行检测域的划分，然后在分别对划分的检测域进行建模，有效地避免了传统方法中因为虚拟机的个数太多而造成样本训练速度慢的缺点。实验结果表明本文提出的检测域划分方法在提高异常检测的准确率和检测速度方面有着明显的改善。

参考文献：

[1]

GOLDBERG R P. Survey of virtual machine research[J]. Computer， 1974， 7（9）：34-45.

[2]

VARUN C， ARINDAM B， VIPIN K. Anomaly detection： a survey[J]. ACM Computing Surveys， 2009， 41（3）：14-35.

[3]

PARK H， JUN C. A simple and fast algorithm for Kmedoids clustering [J]. Expert Systems with Applications， 2009， 36（2）：3336-3341.

[4]

BIVENS A， PALAGIRI C， SMITH R， et al. Networkbased intrusion detection using neural networks[C]// Proceedings of the 2002 Intelligent Engineering Systems Through Artificial Neural Networks. New York： ASME Press， 2002： 579-584.

[5]

JAIN A K， DUBES R C. Algorithms for Clustering Data [M]. Upper Saddle River： Prentice Hall， 1988：45-57.

[6]

WANG C W， TALWAR V， SCHWAN K， et al. Online detection of utility cloud anomalies using metric distributions [C]// Proceedings of the 2010 IEEE/IFIP Network Operations and Management Symposium. Piscataway， NJ： IEEE， 2010：96-103.

[7]

XIONG N X， ATHANASIOS V V， WU J， et al. A selftuning failure detection scheme for cloud computing service [C]// Proceedings of the 2012 IEEE 26th International Parallel and Distributed Processing Symposium. Piscataway， NJ： IEEE， 2012：668-679.

[8]

周真.云平台下运行环境感知的虚拟机异常检测策略及算法研究[D].重庆：重庆大学， 2015：14-50.（ZHOU Z. Research on anomaly detection strategy and algorithms aware of running environment for virtual machines in the cloud platform [D]. Chongqing： Chongqing University， 2015： 14-50.）

[9]

刘俊， 陈蜀宇， 周真， 等.一种自适应的虚拟机异常检测算法[C]// 第十六届全国容错计算学术会议. 上海： 同济大学出版社， 2015：12-18.（LIU J， CHEN S， ZHOU Z， et al. A selfadaptability virtual machine abnormal detection algorithm[C]// Proceedings of the 16th Chinese Fault Tolerant Computing Conference. Shanghai： Tongji University Press， 2015：12-18.）

[10]

PANNU H S， LIU J G， SONG F. A selfevolving anomaly detection framework for developing highly dependable utility clouds [C]// Proceedings of the 2012 IEEE Global Communications Conference. Piscataway， NJ： IEEE， 2012： 1605-1610.

[11]

WARRENDER C， FORREST S， PEARLMUTTER B. Detecting intrusions using system calls： alternate data models [C]// Proceedings of the 1999 IEEE Symposium on Security and Privacy. Washington， DC： IEEE Computer Society， 1999： 133-145.

[12]

CHAWLA S， SUN P. Slom： a new measure for local spatial outliers [J]. Knowledge and Information Systems， 2006， 9（4）： 412-429.

[13]

KOHONEN T. SelfOrganizing Maps [M]. Berlin： Springer， 1997：24-47.

Background

This work is partially supported by the National Natural Science Foundation of China （61272399， 61572090）.

WU Tianshu， born in 1989， Ph. D. candidate. His research interests include cloud computing， distributed computing， data mining.

CHEN Shuyu， born in 1963， supervisor， professor. His research interests include distributed computing， operating system， embedded system.

Zhang Hancui， born in 1990， Ph. D. candidate. Her research interests include distributed computing， stream control， cloud computing.

ZHOU Zhen， born in 1983， Ph. D. His research interests include virtualization technology， cloud computing， anomaly detection.