CN106657005A - 一种云服务的异常检测多层模型 - Google Patents

Abstract

本发明提供了一种云服务的异常检测多层模型，包括：响应层，用于对捕获的云服务行为数据进行危险信号表达，并根据危险信号的表达和触发条件，进行危险信号的触发；免疫层，用于针对发出危险信号的服务，计算危险程度，进行危险信号的判定该服务是否为异常，并计算异常服务的危险区域。本发明提出的云服务异常检测模型，能够有效的发现异常源并能检测出与异常源相关的依赖路径。本文在危险理论的基础上，以“变化感知危险”作为出发点，对检测模型的主要的模块进行了详细的分析和设计，能有效的发现异常并得到危险区域，最后将不同的方法计算出的危险区域进行比较，得到最优的危险区域，该危险区域具有较强的自适应性和特异性。

Description

一种云服务的异常检测多层模型

技术领域

本发明涉及云服务技术，尤其涉及一种云服务的异常检测多层模型。

背景技术

随着云服务的广泛使用，互联网应用聚集了海量的用户，为了能及时响应用户的需求，大多数组织采用分布式服务来提高服务的并发处理能力，与此同时，服务之间就形成了复杂的组合及引用关系，并且它们之间的关系会随着用户行为的不同而变化，这都给云服务环境

下的服务异常检测带来了困难。传统的服务异常检测只是关注单个服务的行为，然而，服务间的行为是动态组合的，它们之间存在着依赖关系，并且它们之间的关系时刻都在发生变化，因此很难通过单一的服务状态来检测整个云服务的异常状态。针对上述问题，本文仿生生物免疫过程，提出了一套云服务异常检测多层模型。首先依据“危险源于失衡，失衡起因于变化”的思想，利用微分来描述海量服务行为数据的变化，进而发现异常源，其次借鉴危险理论的思想，将单个服务的异常扩展到某个区域，最后通过模拟校园管理系统进行实验，对所提出的方法的可行性进行验证。实验结果表明在不同的服务行为作用下，利用本文的方法能够自适应的提取危险信号，捕获异常源，通过综合多种因素得到最准确的危险区域以及最优的计算方法，解决了服务之间的不确定性问题，该危险区域根据用户行为不断的演化，并且自适应调整，符合生物体中危险区域的特性，具有更强的特异性与自适应性。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种云服务的异常检测多层模型。

本发明解决其技术问题所采用的技术方案是：一种云服务的异常检测多层模型，包括：

响应层，用于对捕获的云服务行为数据进行危险信号表达，并根据危险信号的表达和触发条件，进行危险信号的触发；

免疫层，用于针对发出危险信号的服务，计算危险程度，进行危险信号的判定该服务是否为异常，并计算异常服务的危险区域；

所述响应层中对捕获的云服务行为数据进行危险信号表达与触发，具体如下：

为系统中的每一个服务分配一个监控器S_i,读取该服务的服务起源日志；

根据服务起源日志9元组，即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status)，提取危险信号，所述危险信号包括服务的调用次数和服务的耗时；

当服务的调用次数的变化和服务的耗时的变化同时超过给定的阈值时，进行危险信号的触发；

所述异常服务的危险区域计算为若当发现某个服务异常，可以通过查询服务依赖路径，获得危险区域。

按上述方案，所述异常服务的危险区域计算采用基于云模型的隶属度方法，具体如下：

步骤1.假设与S_i相连的服务有n个，把每个服务看成一个云滴，即有n个云滴，S_i与每个云滴的调用次数(耗时)看作是该云滴的确定度，记作T_i(i＝1,2,3....n)；

步骤2.采用下式计算服务调用次数(耗时)的均值；

其中，m表示服务的个数，Ni为单个服务的调用次数；

步骤3.采用步骤2中的公式得到服务S_i的期望值:

Ex＝X；

步骤4.根据下式计算服务Si的熵:

步骤5.三个数字特征值即可确定一个状态云，所以记服务S_i的状态云为S_i(Ex_i,En_i,He_i)；

步骤6.采用上述方法计算与S_i连接的服务S_j的状态云S_j(Ex_j,En_j,He_j)；

步骤7.计算S_j相对于S_i的隶属度:

若隶属度小于某个阈值说明这两个服务存在着较大的差异，那么判定S_i出现异常，查询服务S_i依赖路径，获得以调用次数为指标的危险区域；

步骤8.将服务的调用次数替换为服务的耗时获得以服务的耗时为指标的危险区域，最后将两种危险区域叠加得到最终的危险区域。

按上述方案，所述异常服务的危险区域计算采用基于夹角余弦的亲属度方法。

按上述方案，所述异常服务的危险区域计算采用基于DCA的信号融合方法。

按上述方案，所述服务的调用次数的变化和服务的耗时的变化如下：记录每一个服务在某一时刻点T的耗时为t，频率f，再记录在下一时刻点T’时这三个变量的变化记为t’,f’；通过变化率对危险信号进行计算；那么记△F(t)＝F(t’)-F(t),△F(f)＝F(f’)-F(f),以及时刻的变化△T＝T’-T，进而求出在这短暂的时刻这三个变量的变化率分别为△F(t)/△T,△F(f)/△T；对计算后的值与设定的阈值进行比较，如果大于此阈值则判断为危险信号，那么在第一步中为每个服务分配的监控器S_i将会报警并对这个异常进行处理，其中阈值根据系统正常时，调用次数、耗时的平均值动态设置。

本发明产生的有益效果是：本发明提出的云服务异常检测模型，能够有效的发现异常源并能检测出与异常源相关的依赖路径。本文在危险理论的基础上，以“变化感知危险”作为出发点，对检测模型的主要的模块进行了详细的分析和设计，能有效的发现异常并得到危险区域，最后将不同的方法计算出的危险区域进行比较，得到最优的危险区域，该危险区域具有较强的自适应性和特异性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的结构示意图；

图2是本发明实施例的校园管理系统结构图；

图3是本发明实施例的教师信息系统服务总调用次数示意图；

图4是本发明实施例的学生选课系统服务总调用次数示意图；

图5是本发明实施例的成绩管理系统服务总调用次数示意图；

图6是本发明实施例的图书管理系统服务总调用次数示意图；

图7是本发明实施例的学生选课系统服务之间的隶属度示意图；

图8是本发明实施例的图书管理系统服务之间的隶属度示意图；

图9是本发明实施例的学生管理系统服务之间的亲属度示意图；

图10是本发明实施例的图书管理系统服务之间的亲属度示意图；

图11是本发明实施例的学生选课系统服务之间的异常因子示意图；

图12是本发明实施例的图书管理系统服务之间的异常因子示意图；

图13是本发明实施例的学生选课系统服务危险区域示意图；

图14是本发明实施例的图书管理系统服务危险区域示意图；

图15是本发明实施例的三种方法计算危险区域的耗时示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明提供了一种云服务的异常检测多层模型，包括：

响应层，用于对捕获的云服务行为数据进行危险信号表达，并根据危险信号的表达和触发条件，进行危险信号的触发；

免疫层，用于针对发出危险信号的服务，计算危险程度，进行危险信号的判定该服务是否为异常，并计算异常服务的危险区域；

所述响应层中对捕获的云服务行为数据进行危险信号表达与触发，具体如下：

为系统中的每一个服务分配一个监控器S_i,读取该服务的服务起源日志；

根据服务起源日志9元组，即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status)，提取危险信号，所述危险信号包括服务的调用次数和服务的耗时；

当服务的调用次数的变化和服务的耗时的变化同时超过给定的阈值时，进行危险信号的触发；

关于服务的调用次数的变化和服务的耗时的变化：记录每一个服务在某一时刻点T的耗时为t，频率f，再记录在下一时刻点T’时这三个变量的变化记为t’,f’；通过变化率对危险信号进行计算；那么记△F(t)＝F(t’)-F(t),△F(f)＝F(f’)-F(f),以及时刻的变化△T＝T’-T，进而求出在这短暂的时刻这三个变量的变化率分别为△F(t)/△T,△F(f)/△T；对计算后的值与设定的阈值进行比较，如果大于此阈值则判断为危险信号，那么在第一步中为每个服务分配的监控器S_i将会报警并对这个异常进行处理，其中阈值根据系统正常时，调用次数、耗时的平均值动态设置。

所述异常服务的危险区域计算为若当发现某个服务异常，可以通过查询服务依赖路径，获得危险区域。

按上述方案，所述异常服务的危险区域计算采用基于云模型的隶属度方法，具体如下：

步骤1.假设与S_i相连的服务有n个，把每个服务看成一个云滴，即有n个云滴，S_i与每个云滴的调用次数(耗时)看作是该云滴的确定度，记作T_i(i＝1,2,3....n)；

步骤2.采用下式计算服务调用次数(耗时)的均值；

其中，m表示服务的个数，Ni为单个服务的调用次数；

步骤3.采用步骤2中的公式得到服务S_i的期望值:

Ex＝X；

步骤4.根据下式计算服务Si的熵:

步骤5.三个数字特征值即可确定一个状态云，所以记服务S_i的状态云为S_i(Ex_i,En_i,He_i)；

步骤6.采用上述方法计算与S_i连接的服务S_j的状态云S_j(Ex_j,En_j,He_j)；

步骤7.计算S_j相对于S_i的隶属度:

若隶属度小于某个阈值说明这两个服务存在着较大的差异，那么判定S_i出现异常，查询服务S_i依赖路径，获得以调用次数为指标的危险区域；

步骤8.将服务的调用次数替换为服务的耗时获得以服务的耗时为指标的危险区域，最后将两种危险区域叠加得到最终的危险区域。

上述异常服务的危险区域计算可采用基于夹角余弦的亲属度方法，具体如下：

步骤1、假设有服务Si(i＝1,2,3....n)，计算分别得到服务Si的平均调用次数(耗时)，记作P；

步骤2、通过以下可得两个服务之间的相似度，其中，ds_ij表示服务S_i与服务S_j的相似度，P_i与P_j代表服务S_i与服务S_j的平均调用次数(平均耗时)，即由公式(3)可得，pi与pj分别表示服务S_i与服务S_j调用与之相连服务的次数(耗时)，i和j的取值根据具体的服务流程图选取：

若亲属度越大，说明两个服务越紧密，那么这两个服务之间越不容易出现异常，反之这两个服务存在着较大的差异，那么越容易出现异常,在计算危险区域时分别以服务的调用次数以及服务的耗时两种指标计算危险区域，最后将两种危险区域叠加得到最终的危险区域。

上述异常服务的危险区域计算采用基于DCA的信号融合方法，具体如下：

假设在时间段T发现了异常源S，服务S_i与服务S_j相连，S_i调用S_j的次数记作IS信号，S_i调用S_j的耗时记作ES信号(i,j＝1,2,3...)；

步骤1、收集服务S_i和服务S_j的IS信号和ES信号，并根据公式将它们的信号融合计算浓度C_ij，其中a和b代表权值：

步骤2.收集服务S_i的总调用次数看作是TIS信号和总耗时看作是TES信号，根据公式计算服务的Si总浓度C_i，其中a和b代表权值：

步骤3.根据以下公式以及C_ij和C_i的计算结果可以计算出服务Si的浓度异常因子k，然后确定两个服务之间是否存在危险，最后输出危险区域:

根据危险信号所占的比重计算浓度异常因子k，如果k接近1，这意味着这两个服务会产生更高的风险,因此它应该被纳入危险区域。

一个具体实施例：

本实施例利用基于危险理论的多层模型来检测服务的异常，进而计算出危险区域。服务的行为是随着用户的行为变化而变化的，所以先从变化入手，利用微分感知危险信号，捕获危险信号并产生共刺激信号，从而发现异常源，然后以异常源作为研究点分析服务之间的关系，进而计算出危险区域。

本实施例的实验的环境包括操作系统：Win7 32位，CPU：2.50GHz，RAM 4G。本实验模拟校园管理系统作为研究对象，该系统主要由四个子系统组成，如图2所示，分别是教师信息管理系统、学生选课系统、成绩管理系统、图书管理系统，其中S1～S34为部署在各个子系统上的服务，服务之间相互调用，其中S0为用户登入服务入口，其他服务具体内容见表1所示。

校园管理系统各个子系统服务列表如下：

表1系统服务详情列表

实验设计及步骤

一、提取危险信号，捕获异常源

1)实验步骤

步骤1.模拟多用户登入使用校园管理系统进行选课，并产生各个子系统中每个服务在一段时间序列内的总调用次数，如图3至图6。若该服务为叶子节点，即没有被服务调用，因此不产生总调用次数。

步骤2.采集系统中每一个服务的特征点，根据服务的总调用次数以及服务的总耗时构造每个子系统中每个服务的特征三元组，观察服务状态的变化。

步骤3.将图3至图6中每个系统中每个服务构造的特征三元组与历史数据构造的特征三元组做比较，通过正常情况下数据的计算，本文服务的总调用次数指标变化的阈值设置为0.8。

步骤4.重复步骤1到步骤3，采集服务的总耗时，并构造的特征三元组，通过正常情况下数据的计算，服务的总耗时指标变化的阈值设置为0.85。

2)实验结果及分析

根据图3至图6所示，比较后发现相对于其他服务，服务S3、S30的总调用次数以及总耗时的变化在T时间序段中所构造的特征三元组大于历史数据所构造的特征三元组，说明它们的变化程度大，有潜在的危险。

因此，在T时间序列段中，我们记服务S3产生的危险信号为DS1＝{ds11,ds21}，其中ds11表示是根据服务总调次数计算出的危险信号，ds12表示是根据服务总耗时计算出的危险信号；记服务S30产生的危险信号为DS2＝{ds21,ds22}，其中ds21表示是根据服务总调次数计算出的危险信号，ds22表示是根据服务总耗时计算出的危险信号。根据3.1节中捕获异常源的方法可知DS1与DS2在T时间序列段内都产生了共刺激信号，触发了危险，因此我们将服务S3以及服务S30标记为异常源，以服务S3、S30作为研究基础，进而判断服务之间的关系，计算危险区域。

二、计算危险区域

1)实验步骤

步骤1.以S3和S30作为出发点，采集T时间段服务与服务之间的调用次数以及耗时。

方法1.基于云模型的隶属度方法

步骤2.计算服务之间的隶属度，如图7、8所示，由于除了T时间段以外，其余时间点均为服务之间的调用次数以及耗时均为正常，因此任意选取一个时间点，计算它们的隶属度大约在0.29左右波动，因此阈值设定为0.29。

方法2.基于夹角余弦的亲属度方法

步骤3.计算服务之间亲属度，如图9、10所示，由于除了T时间段以外，其余时间点均为服务之间的调用次数以及耗时均为正常，因此任意选取一个时间点，计算它们的亲属度，大约在0.3左右波动，因此阈值设定为0.3。

方法3.基于DCA的信号融合方法

步骤4.将T时间段采集的服务调用次数以及耗时进行融合，并计算出服务之间的异常因子k，如图11、12所示。在该方法中我们将a和b设置为是7和9，正常情况下计算出的异常因子k约为0.5，如果你倾向于观察调用次数对服务的影响，您可以设置a比b大，相反，你可以设置b比a大。

2)实验结果及分析

本节以捕获的服务行为数据中服务的调用次数和服务的耗时作为研究点，验证本文所提出的危险特征提取方法以及计算危险区域的方法的可行性和有效性。根据隶属度和亲属度的大小，将两种不同指标下的服务执行路径叠加，分别得到危险区域:学生选课系统根据方法一得到的危险区域：S3-S5，S3-S7，S7-S9三条路径组成；学生选课系统根据方法二得到的危险区域：S3-S5，S3-S7，S7-S9三条路径组成；图书管理系统根据方法一得到的危险区域：S27-S28，S28-S30，S30-S33三条路径组成；图书管理系统根据方法二得到的危险区域：S27-S28，S27-S32，S28-S30，S30-S33四条路径组成。根据图13、14中异常因子的判定可知两个子系统的危险区域分别是：学生选课系统的危险区域：S3-S5，S3-S7，S7-S9三条路径组成；图书管理系统的危险区域：S27-S28，S28-S30，S30-S33三条路径组成。并将三种不同的方法计算出危险区域绘制于图13、图14中，图13表示学生选课系统服务的危险区域，图14表示图书管理系统服务的危险区域。

根据图13、图14观察可知，针对学生选课系统，三种方法计算出的危险区域一样，因此学生选课系统的危险区域是由S3-S5，S3-S7，S7-S9三条路径组成，针对图书管理系统，方法二中根据耗时指标计算出的危险区域比起其他情况下计算出的危险区域大，但是根据查询服务S32在T时间段的调用服务S34的次数以及耗时并不是很高，因此图书管理系统的危险区域是由S27-S28，S28-S30,S30-S33三条路径组成。

针对三种不同的方法计算出的危险区域都大致相近，然而，在云服务平台下，如果服务数量越多，那么计算危险区域所耗费的时间也越长，同样会给服务处理数据的能力带来了巨大的影响。因此，本文通过图15给出了三种方法计算危险区域的所耗用的时间。

根据危险区域的准确性来判断，基于云模型的隶属度方法和基于DCA的信号融合方法计算危险区域更加准确，根据三种方法的计算耗时来判断，基于云模型的隶属度方法速度要优于其余两种，并且基于DCA的信号融合方法在实际应用过程中掺杂着大量的人工经验和定义，例如说对a和b的设值，同时对所解决问题的依赖性较强，导致缺乏多样性、自适应性和可移植性，与计算机免疫系统所追求的自适应性和智能性相去甚远。

综上所述，基于云模型的隶属度方法是一套不依赖于先验知识、自适应的计算危险区域的最佳方法。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (5)

1.一种云服务的异常检测多层模型，其特征在于，包括：

响应层，用于对捕获的云服务行为数据进行危险信号表达，并根据危险信号的表达和触发条件，进行危险信号的触发；

免疫层，用于针对发出危险信号的服务，计算危险程度，进行危险信号的判定该服务是否为异常，并计算异常服务的危险区域；

所述响应层中对捕获的云服务行为数据进行危险信号表达与触发，具体如下：

为系统中的每一个服务分配一个监控器S_i,读取该服务的服务起源日志；

根据服务起源日志9元组，即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status)，提取危险信号，所述危险信号包括服务的调用次数和服务的耗时；

当服务的调用次数的变化和服务的耗时的变化同时超过给定的阈值时，进行危险信号的触发；

所述异常服务的危险区域计算为若当发现某个服务异常，可以通过查询服务依赖路径，获得危险区域。

2.根据权利要求1所述的云服务的异常检测多层模型，其特征在于，所述异常服务的危险区域计算采用基于云模型的隶属度方法，具体如下：

步骤1.假设与S_i相连的服务有n个，把每个服务看成一个云滴，即有n个云滴，S_i与每个云滴的调用次数看作是该云滴的确定度，记作T_i(i＝1,2,3....n)；

步骤2.采用下式计算服务调用次数的均值；

$X=\frac{1}{m}\underset{i=1}{\overset{m}{\Σ}}{N}_i$

其中，m表示服务的个数，Ni为单个服务的调用次数；

步骤3.采用步骤2中的公式得到服务S_i的期望值:

Ex＝X；

步骤4.根据下式计算服务Si的熵:

$E_n=\sqrt{\frac{\mathrm{\π}}{2}}\×\frac{1}{m}\underset{i=1}{\overset{m}{\Σ}}|N_i-X|;$

步骤5.三个数字特征值即可确定一个状态云，所以记服务S_i的状态云为S_i(Ex_i,En_i,He_i)；

步骤6.采用上述方法计算与S_i连接的服务S_j的状态云S_j(Ex_j,En_j,He_j)；

步骤7.计算S_j相对于S_i的隶属度:

$\mathrm{\μ}=e^{-\frac{{(Ex-Exi)}^2}{2{\left(En\right)}^2}};$

若隶属度小于某个阈值说明这两个服务存在着较大的差异，那么判定S_i出现异常，查询服务S_i依赖路径，获得以调用次数为指标的危险区域；

步骤8.将服务的调用次数替换为服务的耗时,按上述方法计算获得以服务的耗时为指标的危险区域，最后将两种危险区域叠加得到最终的危险区域。

3.根据权利要求1所述的云服务的异常检测多层模型，其特征在于，所述异常服务的危险区域计算采用基于夹角余弦的亲属度方法。

4.根据权利要求1所述的云服务的异常检测多层模型，其特征在于，所述异常服务的危险区域计算采用基于DCA的信号融合方法。

5.根据权利要求1所述的云服务的异常检测多层模型，其特征在于，所述服务的调用次数的变化和服务的耗时的变化如下：记录每一个服务在某一时刻点T的耗时为t，频率f，再记录在下一时刻点T’时这三个变量的变化记为t’,f’；通过变化率对危险信号进行计算；那么记△F(t)＝F(t’)-F(t),△F(f)＝F(f’)-F(f),以及时刻的变化△T＝T’-T，进而求出在这短暂的时刻这三个变量的变化率分别为△F(t)/△T,△F(f)/△T；对计算后的值与设定的阈值进行比较，如果大于此阈值则判断为危险信号，那么在第一步中为每个服务分配的监控器S_i将会报警并对这个异常进行处理，其中阈值根据系统正常时，调用次数、耗时的平均值动态设置。