CN104518913A - 一种基于人工免疫的云服务异常检测方法 - Google Patents
一种基于人工免疫的云服务异常检测方法 Download PDFInfo
- Publication number
- CN104518913A CN104518913A CN201410787313.6A CN201410787313A CN104518913A CN 104518913 A CN104518913 A CN 104518913A CN 201410787313 A CN201410787313 A CN 201410787313A CN 104518913 A CN104518913 A CN 104518913A
- Authority
- CN
- China
- Prior art keywords
- service
- time
- danger signal
- dangerous
- change
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Measuring And Recording Apparatus For Diagnosis (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种基于人工免疫的云服务异常检测方法,包括以下步骤:为系统中的每一个服务分配一个监控器(淋巴细胞)Si,读取该服务的服务起源日志;根据服务起源日志9元组,计算3个危险信号源随时间变化曲线,所述危险信号源包括调用次数,耗时和异常率,每个监控器实时监控服务的运行状态,进行危险信号表达;根据危险信号的表达和触发条件,进行危险信号的触发;针对发出危险信号的服务,计算危险程度,进行危险信号的判定。本发明借鉴人工免疫识别异常的生物学过程,设计云服务危险信号的产生、危险区域划分以及危险的判定、计算和演化,实现云服务的行为的异常检测,为云服务的安全管理、入侵检测、资源优化提供依据。
Description
技术领域
本发明涉及云服务技术领域,尤其涉及一种基于人工免疫的云服务异常检测方法。
背景技术
由于用户需求的多样性,导致云服务的多样性。云服务通过动态组合满足不同用户的需要,这就导致云服务调用频率、资源占用、耗时等出现不同的形态特征,难以用单一、静态的指标去检测异常。以调用频率为例,热门服务的调用频率可以达到成百上千次每秒,而冷门服务可能几个小时也没有1次调用,可以说每个服务存在不同的运行模式。云服务行为特征不是固定不变的,而是伴随用户行为演化。从服务的个体视角看,服务的运行频率、耗时等特征模式随着用户行为特征演化,从服务流程上看,服务的动态组合网络、服务执行路径及其相关特征也随着用户群体特征演化。
专利《一种云服务起源数据的捕获方法和装置》(公开号:104092755A)公开了云服务行为数据的捕获方法,但如何从捕获海量的云服务行为数据发现异常是一个挑战,由于服务行为的不确定性,不能通过一个简单的静态模型去描述,需要设计一个动态、自适应的方法去发现异常。另外,服务行为数据庞大,以1000个热门服务为例,如果平均每秒钟调用1次,则每天将产生近亿条行为记录数据。
本发明通过引入人工免疫识别异常的生物学方法,设计云服务危险信号的产生、危险区域划分以及危险的判定、计算和演化,实现云服务的行为的异常检测,为云服务的安全管理、入侵检测、资源优化提供依据。
发明内容
本发明要解决的技术问题在于针对现有技术中的缺陷,提供一种基于人工免疫的云服务异常检测方法。
本发明解决其技术问题所采用的技术方案是:一种基于人工免疫的云服务异常检测方法,包括以下步骤:
1)对捕获的云服务行为数据进行危险信号表达,具体包括:
1.1)为系统中的每一个服务分配一个监控器(淋巴细胞)Si,读取该服务的服务起源日志;
1.2)根据服务起源日志9元组,即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status),计算3个危险信号源随时间变化曲线,所述危险信号源包括调用次数,耗时和异常率,
其中调用次数-时间曲线通过(invokingService,time)计算,耗时时间曲线通过(invokingService,elapsed time,time)计算得到,异常率通过(invokingService,status,time)计算得到;
1.3)每个监控器实时监控服务的运行状态,进行危险信号表达;
1.4)根据危险信号的表达和触发条件,进行危险信号的触发;所述危险信号的触发条件具体为:
若为单个服务,触发有两个条件,一是如果调用次数、耗时和异常率任一数值大于阈值,则触发危险信号Di(type:count,elapsed time,exception),其中i为服务编号,type描述了危险型号的类型;所述危险型号的类型为:频率异常、耗时异常和状态异常;所述阈值根据系统正常时,调用次数、耗时和异常率的平均值动态设置;
二是计算调用次数、耗时和异常率3个指标的变化率,若超过设定变化阈值则触发危险信号;具体如下:记录每一个服务在某一时刻点T的耗时为t,频率f以及异常率w,再记录在下一时刻点T’时这三个变量的变化记为t’,f’,w’;通过变化率对危险信号进行计算;那么记△F(t)=F(t’)-F(t),△F(f)=F(f’)-F(f),△F(w)=F(w’)-F(w),以及时刻的变化△T=T’-T,进而求出在这短暂的时刻这三个变量的变化率分别为△F(t)/△T,△F(f)/△T,△F(w)/△T;对计算后的值与上一步骤中获取的阈值进行比较,如果大于此阈值则判断为危险信号,那么在第一步中为每个服务分配的监控器(淋巴细胞)Si将会报警并对这个异常进行处理。
危险信号的阈值分为两个部分,一个是为对应每个服务的调用次数、耗时和异常率的阈值,该阈值通过一个4元组进行存储,(serviceName,threshold_count,threshold_elapsed,threshold_exception)分别表示(服务名,调用次数阈值,耗时阈值,异常率阈值)该阈值不是全局统一值,而是针对每个服务进行设定,初始值来源于单位时间的平均值。危险信号另外一个阈值为变化率阈值,体现服务瞬时变化情况,变化率阈值的初始值可以根据实际需要由人工进行设定。
(1.5)危险信号的判定:针对发出危险信号的服务以及危险区域,计算危险程度,进行危险信号的判定,详细的步骤如下:
1.5.1借鉴细胞克隆增殖的过程,针对发出危险信号的服务及其区域,分配更多的计算资源,查询近期的所有服务起源日志,计算服务的特征变化;
1.5.2在具体计算服务的特征的时候,构建调用次数-时间Count-time,耗时-时间特征elapse-time曲线,通过夹角余弦的方式进行计算,小于设定的阈值时候,判断服务行为发生了较大的改变;
1.5.3当调用次数-时间Count-time,耗时-时间特征elapse-time曲线的行为特征都发生较大改变时候,判定产生了异常。
按上述方案,所述危险信号触发还包括危险区域的信号触发:
若当发现某个服务异常,可以通过查询服务依赖路径,获得危险区域;
如果该服务有多个依赖路径,可以根据耗时参数,采用贪心算法对执行路径的耗时进行排序,获得一个或多个危险区域。
按上述方案,所述查询服务依赖路径是以该服务为起点,通过遍历算法查询服务依赖路径。
按上述方案,为了有效的限制危险区域的范围,在查询过程中,可以定义依赖服务的路径的长度,可以设置路径的长度为数值3-5,或者根据实际情况进行调整。
本发明产生的有益效果是:本发明借鉴人工免疫识别异常的生物学过程,设计云服务危险信号的产生、危险区域划分以及危险的判定、计算和演化,实现云服务的行为的异常检测,为云服务的安全管理、入侵检测、资源优化提供依据。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例的方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,一种基于人工免疫的云服务异常检测方法,包括以下步骤:
1)对捕获的云服务行为数据进行危险信号表达,具体包括:
1.1)为系统中的每一个服务分配一个监控器(淋巴细胞)Si,读取该服务的服务起源日志;
1.2)根据服务起源日志9元组,即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status),计算3个危险信号源随时间变化曲线,所述危险信号源包括调用次数,耗时和异常率,
其中调用次数-时间曲线通过(invokingService,time)计算,耗时时间曲线通过(invokingService,elapsed time,time)计算得到,异常率通过(invokingService,status,time)计算得到;
1.3)每个监控器实时监控服务的运行状态,进行危险信号表达;
2)根据危险信号的表达和触发条件,进行危险信号的触发;所述危险信号的触发条件具体为:
若为单个服务,触发有两个条件,一是如果调用次数、耗时和异常率任一数值大于阈值,则触发危险信号Di(type:count,elapsed time,exception),其中i为服务编号,type描述了危险型号的类型;所述危险型号的类型为:频率异常、耗时异常和状态异常;所述阈值根据系统正常时,调用次数、耗时和异常率的平均值动态设置;
二是计算调用次数、耗时和异常率3个指标的变化率,若超过设定变化阈值则触发危险信号;具体如下:记录每一个服务在某一时刻点T的耗时为t,频率f以及异常率w,再记录在下一时刻点T’时这三个变量的变化记为t’,f’,w’;通过变化率对危险信号进行计算;那么记△F(t)=F(t’)-F(t),△F(f)=F(f’)-F(f),△F(w)=F(w’)-F(w),以及时刻的变化△T=T’-T,进而求出在这短暂的时刻这三个变量的变化率分别为△F(t)/△T,△F(f)/△T,△F(w)/△T;对计算后的值与上一步骤中获取的阈值进行比较,如果大于此阈值则判断为危险信号,那么在第一步中为每个服务分配的监控器(淋巴细胞)Si将会报警并对这个异常进行处理;
本发明危险信号触发还包括危险区域的信号触发。危险区域指的是在某个服务执行路径区间,发生了异常,例如,某条执行路径耗时很长,可能出现了系统瓶颈,危险区域把关注点从某个服务扩展到某个区域,可以是一条或者多条执行路径。具体的方式为:
基于执行路径的危险区域划分方法:
当发现某个服务Si异常,可以通过查询服务依赖路径,形成危险区域。以该服务为起点,将服务起源存储在图数据库中,通过图的遍历算法查询服务依赖路径。
为了有效的限制危险区域的范围,在查询过程中,可以定义依赖服务的路径的长度,可以设置为数值3-5,或者根据实际情况进行调整。
如果Si有多个依赖路径,可以根据耗时参数,采用贪心算法查找耗时最长的执行路径;
(3)危险信号的判定:针对发出危险信号的服务或危险区域,计算危险程度,进行危险信号的判定,详细的步骤如下:
3.1借鉴细胞克隆增殖的过程,针对发出危险信号的服务及其区域,分配更多的计算资源,查询近期的所有服务起源日志,计算服务的特征变化;
3.2在具体计算服务的特征的时候,构建调用次数-时间Count-time,耗时-时间特征elapse-time曲线,通过夹角余弦的方式进行计算,小于设定的阈值时候,判断服务行为发生了较大的改变;
3.3当调用次数-时间Count-time,耗时-时间特征elapse-time曲线的行为特征都发生较大改变时候,判定产生了异常。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (4)
1.一种基于人工免疫的云服务异常检测方法,包括以下步骤:
1)对捕获的云服务行为数据进行危险信号表达,具体包括:
1.1)为系统中的每一个服务分配一个监控器(淋巴细胞)Si,读取该服务的服务起源日志;
1.2)根据服务起源日志9元组,即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status),计算3个危险信号源随时间变化曲线,所述危险信号源包括调用次数,耗时和异常率,
其中调用次数-时间曲线通过(invokingService,time)计算,耗时时间曲线通过(invokingService,elapsed time,time)计算得到,异常率通过(invokingService,status,time)计算得到;
1.3)每个监控器实时监控服务的运行状态,进行危险信号表达;
2)根据危险信号的表达和触发条件,进行危险信号的触发;所述危险信号的触发条件具体为:
若为单个服务,触发有两个条件:
一是如果调用次数、耗时和异常率任一数值大于阈值,则触发危险信号Di(type:count,elapsed time,exception),其中i为服务编号,type描述了危险型号的类型;所述危险型号的类型为:频率异常、耗时异常和状态异常;所述阈值根据系统正常时,调用次数、耗时和异常率的平均值动态设置;
二是计算调用次数、耗时和异常率3个指标的变化率,若超过设定变化阈值则触发危险信号;具体如下:记录每一个服务在某一时刻点T的耗时为t,频率f以及异常率w,再记录在下一时刻点T’时这三个变量的变化记为t’,f’,w’;通过变化率对危险信号进行计算;那么记△F(t)=F(t’)-F(t),△F(f)=F(f’)-F(f),△F(w)=F(w’)-F(w),以及时刻的变化△T=T’-T,进而求出在这短暂的时刻这三个变量的变化率分别为△F(t)/△T,△F(f)/△T,△F(w)/△T;对计算后的值与上一步骤中获取的阈值进行比较,如果大于此阈值则判断为危险信号,那么在第一步中为每个服务分配的监控器(淋巴细胞)Si将会报警并对这个异常进行处理。
3)危险信号的判定:针对发出危险信号的服务,计算危险程度,进行危险信号的判定,详细的步骤如下:
3.1)借鉴细胞克隆增殖的过程,针对发出危险信号的服务及其区域,分配更多的计算资源,查询近期的所有服务起源日志,计算服务的特征变化;
3.2)在具体计算服务的特征的时候,构建调用次数-时间Count-time,耗时-时间特征elapse-time曲线,通过夹角余弦的方式进行计算,小于设定的阈值时候,判断服务行为发生了较大的改变;
3.3)当调用次数-时间Count-time,耗时-时间特征elapse-time曲线的行为特征都发生较大改变时候,判定产生了异常。
2.根据权利要求1所述的云服务异常检测方法,其特征在于,所述危险信号触发还包括危险区域的信号触发:
若当发现某个服务异常,可以通过查询服务依赖路径,获得危险区域;
如果该服务有多个依赖路径,可以根据耗时参数,采用贪心算法对执行路径的耗时进行排序,获得一个或多个危险区域。
3.根据权利要求2所述的云服务异常检测方法,其特征在于所述查询服务依赖路径是以该服务为起点,通过遍历算法查询服务依赖路径。
4.根据权利要求2所述的云服务异常检测方法,其特征在于为了有效的限制危险区域的范围,在查询过程中,可以定义依赖服务的路径的长度,设置路径的长度为数值3-5,或者根据实际情况进行调整。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410787313.6A CN104518913B (zh) | 2014-12-17 | 2014-12-17 | 一种基于人工免疫的云服务异常检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410787313.6A CN104518913B (zh) | 2014-12-17 | 2014-12-17 | 一种基于人工免疫的云服务异常检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104518913A true CN104518913A (zh) | 2015-04-15 |
| CN104518913B CN104518913B (zh) | 2018-02-16 |
Family
ID=52793681
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410787313.6A Active CN104518913B (zh) | 2014-12-17 | 2014-12-17 | 一种基于人工免疫的云服务异常检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104518913B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227343A (zh) * | 2015-08-21 | 2016-01-06 | 武汉科技大学 | 基于危险理论的分布式服务的异常检测模型与方法 |
| CN106411639A (zh) * | 2016-09-18 | 2017-02-15 | 合网络技术(北京)有限公司 | 访问数据的监控方法及系统 |
| CN106657005A (zh) * | 2016-11-16 | 2017-05-10 | 武汉科技大学 | 一种云服务的异常检测多层模型 |
| CN108040160A (zh) * | 2017-11-30 | 2018-05-15 | 努比亚技术有限公司 | 移动终端重启定位方法、移动终端及计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588358A (zh) * | 2009-07-02 | 2009-11-25 | 西安电子科技大学 | 基于危险理论和nsa的主机入侵检测系统及检测方法 |
| CN102467670A (zh) * | 2010-11-08 | 2012-05-23 | 清华大学 | 基于免疫的异常检测方法 |
-
2014
- 2014-12-17 CN CN201410787313.6A patent/CN104518913B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588358A (zh) * | 2009-07-02 | 2009-11-25 | 西安电子科技大学 | 基于危险理论和nsa的主机入侵检测系统及检测方法 |
| CN102467670A (zh) * | 2010-11-08 | 2012-05-23 | 清华大学 | 基于免疫的异常检测方法 |
Non-Patent Citations (4)
| Title |
|---|
| S GALLUCCI.ETC: "Danger signals: SOS to the immune system", 《CURRENT OPINION IN IMMUNOLOGY》 * |
| TAO LI.ETC: "ProvenanceLens: Service Provenance Management in the Cloud", 《 PROCEEDINGS OF THE 2014 INTERNATIONAL》 * |
| Y ZHUANG.ETC: "Information Security Risk Assessment Based on Artificial Immune Danger Theory", 《IEEE:ICCGI "09 PROCEEDINGS OF THE 2009 FOURTH INTERNATIONAL MULTI-CONFERENCE ON COMPUTING IN THE GLOBAL INFORMATION TECHNOLOGY》 * |
| 杨鹤等: "人工免疫系统中危险信号的云方法定义", 《计算机工程与应用》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227343A (zh) * | 2015-08-21 | 2016-01-06 | 武汉科技大学 | 基于危险理论的分布式服务的异常检测模型与方法 |
| CN105227343B (zh) * | 2015-08-21 | 2018-08-07 | 武汉科技大学 | 基于危险理论的分布式服务的异常检测模型与方法 |
| CN106411639A (zh) * | 2016-09-18 | 2017-02-15 | 合网络技术(北京)有限公司 | 访问数据的监控方法及系统 |
| CN106657005A (zh) * | 2016-11-16 | 2017-05-10 | 武汉科技大学 | 一种云服务的异常检测多层模型 |
| CN108040160A (zh) * | 2017-11-30 | 2018-05-15 | 努比亚技术有限公司 | 移动终端重启定位方法、移动终端及计算机可读存储介质 |
| CN108040160B (zh) * | 2017-11-30 | 2020-12-18 | 南京中诚签信息科技有限公司 | 移动终端重启定位方法、移动终端及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104518913B (zh) | 2018-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20140330960A1 (en) | Systems and Methods for Identifying Applications in Mobile Networks | |
| CN102340415B (zh) | 一种服务器集群系统的监控方法和一种服务器集群系统 | |
| KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
| CN104518913A (zh) | 一种基于人工免疫的云服务异常检测方法 | |
| CN102929773B (zh) | 信息采集方法和装置 | |
| KR101694285B1 (ko) | 질의 분할을 이용한 데이터 스트림 처리 장치 및 방법 | |
| CN109271793B (zh) | 物联网云平台设备类别识别方法及系统 | |
| US20180225158A1 (en) | Distributed event processing | |
| CN103973663A (zh) | 一种ddos攻击动态阈值异常流量检测方法及装置 | |
| CN108848072A (zh) | 一种基于相对熵的车载can总线异常检测方法 | |
| CN103236948A (zh) | 一种电信网告警方法及系统 | |
| CN101056199A (zh) | 一种点对多点接入网的上行突发性能监控方法 | |
| CN111641524A (zh) | 监控数据处理方法、装置、设备和存储介质 | |
| CN106533791A (zh) | 一种基于大数据平台的端到端业务质量优化装置及方法 | |
| CN110620687A (zh) | 多运营商的流量池管理系统 | |
| CN105243499A (zh) | 订单分配方法及系统 | |
| CN114500543B (zh) | 一种基于分布式的弹性边缘采集系统及其应用方法 | |
| CN106034047A (zh) | 数据处理方法及装置 | |
| CN104601369A (zh) | It运维报警方法、装置和系统 | |
| CN102013996B (zh) | 数据采集管理方法、采集管理系统及电信网络管理系统 | |
| CN108255710B (zh) | 一种脚本的异常检测方法及其终端 | |
| CN103618643B (zh) | 一种消息队列动态报警监控方法及装置 | |
| CN112838957B (zh) | 一种具备智能调度的流量预测系统 | |
| CN102722521A (zh) | 监控数据比对的方法及系统 | |
| CN110493044A (zh) | 一种可量化的态势感知的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211223 Address after: 430000 room C12, floor 3, building 2, Gufang, No. 41, Gaoxin Second Road, Donghu high tech Development Zone, Wuhan, Hubei Province Patentee after: Wuhan Weixing Technology Co.,Ltd. Address before: 430081 Peace Avenue 947 Qingshan District, Wuhan City, Hubei Province Patentee before: WUHAN University OF SCIENCE AND TECHNOLOGY Effective date of registration: 20211223 Address after: 430000 No. A4, 6 / F, building 4, Gufang, west of Guanggu 1st Road and north of Nanhu Avenue, Donghu New Technology Development Zone, Wuhan, Hubei Province Patentee after: Wuhan Jiaoyun Wisdom Information Technology Co.,Ltd. Address before: 430000 room C12, floor 3, building 2, Gufang, No. 41, Gaoxin Second Road, Donghu high tech Development Zone, Wuhan, Hubei Province Patentee before: Wuhan Weixing Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |