CN110197066A - 一种云计算环境下的虚拟机监控方法及监控系统 - Google Patents

Abstract

本发明提供一种云计算环境下的虚拟机监控方法及监控系统，能够提高程序分类检测的精度。所述方法包括：建立隐蔽型攻击行为特征库；获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。本发明涉及云计算领域。

Description

一种云计算环境下的虚拟机监控方法及监控系统

技术领域

本发明涉及云计算领域，特别是指一种云计算环境下的虚拟机监控方法及监控系统。

背景技术

云计算技术在日趋成熟的同时，其自身面临着越来越多的挑战，安全性问题是其中的一个重要方面。由于云计算中数据和应用的集中托管和网络化服务，使其成为高价值的攻击目标，受到大量来自网络的攻击威胁。虚拟机作为云平台的重要基本单元，且虚拟机内承载着大量的服务，成为了攻击的主要对象。而且云平台中，同一台服务器分布着大量的虚拟机，各虚拟机之间彼此连接，如果某个虚拟机被攻击，则攻击者极有可能以此虚拟机为跳板攻击其它虚拟机，其它的虚拟机被攻击的风险则大大增加。

因此虚拟机的安全对整个云平台的安全至关重要，为了保证整个云系统的安全，需要保证单个虚拟机的安全。虚拟机的安全防护离不开监控技术的支撑，通过对系统进行实时监控，在系统内各关键节点部署监控代理，根据获取的监控数据分析系统安全。随着云服务规模的越来越大，系统结构也越来越复杂，对监控的要求也不断提高。如果监控不能及时发现系统安全威胁，随着威胁在系统内的扩散，则可能会造成重大损失。如果系统监控能够及时发现安全威胁，则可及时进行处理，防止威胁蔓延。因此，监控性能的好坏对保障系统安全至关重要。

现有技术中，在利用决策树算法，例如，迭代二叉树3代(Iterative Dichotomiser3，ID3)算法，构建用于监控虚拟机的程序分类检测模型时，在选择分裂属性时存在取值偏向的缺点，会导致程序检测精度低。

发明内容

本发明要解决的技术问题是提供一种云计算环境下的虚拟机监控方法及监控系统，以解决现有技术所存在的决策树算法在选择分裂属性时的取值偏向，导致程序检测精度低的问题。

为解决上述技术问题，本发明实施例提供一种云计算环境下的虚拟机监控方法，包括：

建立隐蔽型攻击行为特征库；

获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；

根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。

进一步地，所述建立隐蔽型攻击行为特征库包括：

从准备、运行、通信三个阶段对隐蔽型攻击的行为进行分析；

提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。

进一步地，所述根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型包括：

S1，创建一个节点N；

S2，若训练集S中的样本都属于同一类别C，则返回N作为叶节点，以类C标记；

S3，若侯选属性集attribute_list为空，则返回N作为叶节点，并标记该节点中类别个数最多的类；

S4，将训练集S中的样本按照类别进行分组，设共分为C₁,C₂,...,C_m个类；

S5，在所有类中，获取attribute_list中任一属性A的取值，并根据获取的属性A的取值，确定属性A的均值；

S6，根据确定的属性A的均值，通过标准差确定属性A的权重Q；

S7，利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)；

S8，按照S5-S7确定attribute_list中所有属性的信息增益；

S9，从attribute_list中选择具有最大信息增益的属性作为测试属性test_attribute；

S10，利用test_attribute标记节点N；

S11，对test_attribute的每个值进行分支；

S12，设S_j是test_attribute取值为a_j的所有样本的集合，令S＝S_j，attribute_list＝attribute_list-test_attribute，其中，j＝1,2,...,ν，ν表示test_attribute具有ν个不同的值；

S13，返回执行S1，直至完成决策树的构建。

进一步地，所述利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)包括：

确定训练集S的信息熵E(S)；

利用基于属性权重的信息熵公式，确定侯选属性集中任一属性A的信息熵E(A,Q)；

通过公式Gain(A)＝E(S)-E(A,Q)，确定属性A的信息增益Gain(A)。

进一步地，训练集S的信息熵表示为：

其中，m表示训练集S的类别总数，P_i是训练集中的样本属于C_i的概率，C_i表示第i类；

设一个属性A具有ν个不同的值，通过属性A将训练集S划分为ν个子集{S₁,S₂,...,S_j,...,S_ν}，j＝1,2,...,ν，则属性A的信息熵E(A,Q)表示为：

其中，S_ij为子集S_j中属于C_i类别的样本集；Q表示属性A的权重系数，P_ij表示子集S_j中样本属于类别C_i的概率。

本发明实施例还提供一种云计算环境下的虚拟机监控系统，包括：

建立模块，用于建立隐蔽型攻击行为特征库；

获取模块，用于获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；

构建模块，用于根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。

进一步地，所述建立模块包括：

分析单元，用于从准备、运行、通信三个阶段对隐蔽型攻击的行为进行分析；

建立单元，用于提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。

进一步地，所述构建模块包括：

分组单元，用于创建一个节点N；若训练集S中的样本都属于同一类别C，则返回N作为叶节点，以类C标记；若侯选属性集attribute_list为空，则返回N作为叶节点，并标记该节点中类别个数最多的类；将训练集S中的样本按照类别进行分组，设共分为C₁,C₂,...,C_m个类；

确定单元，用于在所有类中，获取attribute_list中任一属性A的取值，并根据获取的属性A的取值，确定属性A的均值；根据确定的属性A的均值，通过标准差确定属性A的权重Q；利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)；

调用单元，用于调用确定单元，确定attribute_list中所有属性的信息增益；

分支单元，用于从attribute_list中选择具有最大信息增益的属性作为测试属性test_attribute；利用test_attribute标记节点N；对test_attribute的每个值进行分支；设S_j是test_attribute取值为a_j的所有样本的集合，令S＝S_j，attribute_list＝attribute_list-test_attribute，其中，j＝1,2,...,ν，ν表示test_attribute具有ν个不同的值；返回执行分组单元，直至完成决策树的构建。

进一步地，所述利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)包括：

确定训练集S的信息熵E(S)；

利用基于属性权重的信息熵公式，确定侯选属性集中任一属性A的信息熵E(A,Q)；

通过公式Gain(A)＝E(S)-E(A,Q)，确定属性A的信息增益Gain(A)。

进一步地，训练集S的信息熵表示为：

其中，m表示训练集S的类别总数，P_i是训练集中的样本属于C_i的概率，C_i表示第i类；

设一个属性A具有ν个不同的值，通过属性A将训练集S划分为ν个子集{S₁,S₂,...,S_j,...,S_ν}，j＝1,2,...,ν，则属性A的信息熵E(A,Q)表示为：

其中，S_ij为子集S_j中属于C_i类别的样本集；Q表示属性A的权重系数，P_ij表示子集S_j中样本属于类别C_i的概率。

本发明的上述技术方案的有益效果如下：

上述方案中，建立隐蔽型攻击行为特征库；获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，这样，通过构建的基于属性权重的程序分类检测模型对虚拟机程序进行分类检测，能够避免决策树算法在选择分裂属性时的取值偏向，从而提高程序分类检测的精度。

附图说明

图1为本发明实施例提供的云计算环境下的虚拟机监控方法的流程示意图；

图2为本发明实施例提供的云计算环境下的虚拟机监控方法的原理示意图；

图3为本发明实施例提供的云计算环境下的虚拟机监控系统的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明针对现有的决策树算法在选择分裂属性时的取值偏向，导致程序检测精度低的问题，提供一种云计算环境下的虚拟机监控方法及监控系统。

实施例一

如图1所示，本发明实施例提供的云计算环境下的虚拟机监控方法，包括：

S101，建立隐蔽型攻击行为特征库；

S102，获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；

S103，根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。

本发明实施例所述的云计算环境下的虚拟机监控方法，建立隐蔽型攻击行为特征库；获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，这样，通过构建的基于属性权重的程序分类检测模型对虚拟机程序进行分类检测，能够避免决策树算法在选择分裂属性时的取值偏向，从而提高程序分类检测的精度。

在前述云计算环境下的虚拟机监控方法的具体实施方式中，进一步地，所述建立隐蔽型攻击行为特征库包括：

从准备、运行、通信三个阶段对隐蔽型攻击的行为进行分析；

提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。

本实施例中的隐蔽型攻击具有很强的隐蔽性，在云平台上来欺骗用户和隐藏自己的活动，甚至对攻击痕迹进行清除。隐蔽型攻击一般会先对目标进行侦查和了解，制作定向的攻击工具，如带有恶意代码的pdf文件，通过邮件、网站(挂马)和U盘等输送到目标虚拟机系统，再针对系统漏洞触发攻击工具运行，窃取用户信息或者篡改信息。这种攻击一般不具备强烈的破坏性，而是隐藏在系统中默默潜伏。

本实施例中，针对某些隐蔽型的攻击，例如，高级持续性威胁(AdvancedPersistent Threat，APT)、暗鼠攻击等，对其特有的行为进行分析归纳，从准备、运行、通信这三个阶段对隐蔽型攻击的行为进行分析，对其与不同于预设的合法程序的行为特征归纳处理，提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。

本实施例中，获取多个异常程序和多个合法程序组成训练集S，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集(attribute_list)，其中，样本为异常程序或合法程序；根据获取的训练集及侯选属性集，引入权重系数，利用基于属性权重的决策树算法(例如，ID3算法)，构建程序分类检测模型，能够避免决策树算法在选择分裂属性时的取值偏向，以提高程序分类检测的精度。

本实施例中，决策树中ID3算法主要针对属性选择问题，是决策树中最具影响和最典型的算法。其核心思想是：在决策树各级节点上选择属性时，用信息增益(informationgain)作为属性的分支标准，计算各属性的信息增益，然后选取信息增益最大的属性作为节点，自顶向下生成决策树，所述决策树为程序分类检测模型。

本实施例中，利用基于属性权重的ID3算法，构建程序分类检测模型时，其输入为：侯选属性的训练集、训练集和训练集中每个样本对应的类标号训练集；输出为：决策树。

本实施例中，利用基于属性权重的ID3算法，构建程序分类检测模型具体可以包括以下步骤：

S1，创建一个节点N；

S2，若训练集S中的样本都属于同一类别C，则返回N作为叶节点，以类C标记；

S3，若侯选属性集attribute_list为空，则返回N作为叶节点，并标记该节点中类别个数最多的类；

S4，将训练集S中的样本按照类别进行分组，设共分为C₁,C₂,...,C_m个类；

S5，在所有类中，获取attribute_list中任一属性A的取值，并根据获取的属性A的取值，确定属性A的均值；

S6，根据确定的属性A的均值，通过标准差确定属性A的权重Q；

S7，利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)；

S8，按照S5-S7确定attribute_list中所有属性的信息增益；

S9，从attribute_list中选择具有最大信息增益的属性作为测试属性test_attribute；

S10，利用test_attribute标记节点N；

S11，对test_attribute的每个值进行分支；

S12，设S_j是test_attribute取值为a_j的所有样本的集合，令S＝S_j，attribute_list＝attribute_list-test_attribute，其中，j＝1,2,...,ν，ν表示test_attribute具有ν个不同的值；

S13，返回执行S1，直至完成决策树的构建。

本实施例中，通过步骤S1-S13，根据训练集的样本，可以建立一个用于程序判定的程序分类检测模型。但在使用该程序分类检测模型进行判定之前，还需要通过验证集测试该程序分类检测模型的性能，因为在实际应用中，训练样本中如果有噪声或者训练样本个数太少，都可能使得生成的程序分类检测模型精度降低，产生错误判断，如图2所示。在这种情况下，就需要考虑采用不同的结构重新进行训练，比如使用更大的训练集。只有在多次训练和调整后，使得程序分类检测模型达到理想或者可接受的准确率，才能将其真正应用于隐蔽型攻击的程序异常判定。

在前述云计算环境下的虚拟机监控方法的具体实施方式中，进一步地，所述利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)包括：

确定训练集S的信息熵E(S)；

利用基于属性权重的信息熵公式，确定侯选属性集中任一属性A的信息熵E(A,Q)；

通过公式Gain(A)＝E(S)-E(A,Q)，确定属性A的信息增益Gain(A)。

本实施例中，对于一个包含s个样本的训练集S，其类别属性包含有m个不同值，这就对应了m个不同的类别C_i(i∈{1,2,...,m})。假定C_i中的样本个数为S_i，则训练集S的信息熵为：

其中，m表示训练集S的类别总数，P_i是训练集中的样本属于C_i的概率，C_i表示第i类，即P_i＝S_i/S。

本实施例中的程序分类检测问题是一个决策树分类问题(只有2种类别：异常和合法)：把用于训练的程序的不同行为特征作为测试属性，根据ID3算法构建一个决策树，用决策树的规则对新的未知程序进行归类。因为每种属性只有2个可能取值：有和没有该行为，用于行为分析的决策树是一棵二叉树。

假设训练集S中有a个异常程序和b个合法程序，同时选取了k个行为特征组成样本的侯选属性集(这里的a、b、k均为正整数)，则样本总数S＝a+b，类别属性m＝2(对应异常程序和合法程序2类，这里用C₁表示合法程序，C₂表示异常程序)，那么C₁中的样本个数S₁＝b，C₂中的样本个数S₂＝a，则训练集S的信息熵为：

其中，P₁＝S₁/S＝b/(a+b),P₂＝S₂/S＝a/(a+b)。

本实施例中，设一个属性A具有ν个不同的值，则属性A可以把训练集S划分为ν个子集{S₁,S₂,...,S_ν}，其中S_j(j＝1,2,...,ν)包含了训练集S中属性A取a_j值的样本。如果选择属性A作为测试属性，设S_ij为子集S_j中属于C_i类别的样本集。设每个属性只有2个不同值：具有和不具有该行为(分别用1和0表示)，则每个属性又把训练集S划分为2个子集：S₁和S₂，其中，S₁包含属性取1的样本，S₂包含属性取0的样本。

本实施例中，为了克服ID3算法在选择分裂属性时的取值偏向的缺点，在传统ID3算法的基础上引入了属性的权重系数Q，来优化参数，设属性A的权重系数为Q，则属性A的信息熵E(A,Q)表示为：

其中，|S_1j|+|S_2j|+...+|S_mj|/|S|是第j个子集的权，也等于子集中样本个数除以S中的样本总数；P_ij＝S_ij/|S_j|是子集S_j中样本属于类别C_i的概率；其中，信息熵E(A,Q)越小，子集划分的纯度越高。

本实施例中，属性A的信息增益可以表示为：

Gain(A)＝E(S)-E(A,Q)

本实施例中，设训练集中共有n个属性A₁,A₂,...,A_n，它们所求得的标准差组成向量X＝(σ₁,σ₂,...,σ_n)，其中，σ_i为属性A_i的标准差，将向量X归一化得Q＝(Q₁,Q₂,...,Q_n)，则属性A_i的权重为Q_i。

由信息论知识可知，一个系统越是“混乱”信息熵就越高，所以属性A的标准差越大，系统的信息熵就越高，即系统的不确定性越大，则分裂属性A后的系统的不确定性就越小，则属性A的信息增益就越大，即它对分类就越重要，所以它的权重系数就越大。

本实施例中，按照计算属性A的信息增益的方法，可以计算其他k-1个属性的信息增益，比较信息增益大小，选择具有最大信息增益的属性进行分支。

实施例二

本发明还提供一种云计算环境下的虚拟机监控系统的具体实施方式，由于本发明提供的云计算环境下的虚拟机监控系统与前述云计算环境下的虚拟机监控方法的具体实施方式相对应，该云计算环境下的虚拟机监控系统可以通过执行上述方法具体实施方式中的流程步骤来实现本发明的目的，因此上述云计算环境下的虚拟机监控方法具体实施方式中的解释说明，也适用于本发明提供的云计算环境下的虚拟机监控系统的具体实施方式，在本发明以下的具体实施方式中将不再赘述。

如图3所示，本发明实施例还提供一种云计算环境下的虚拟机监控系统，包括：

建立模块11，用于建立隐蔽型攻击行为特征库；

获取模块12，用于获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；

构建模块13，用于根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。

本发明实施例所述的云计算环境下的虚拟机监控系统，建立隐蔽型攻击行为特征库；获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，这样，通过构建的基于属性权重的程序分类检测模型对虚拟机程序进行分类检测，能够避免决策树算法在选择分裂属性时的取值偏向，从而提高程序分类检测的精度。

在前述云计算环境下的虚拟机监控系统的具体实施方式中，进一步地，所述建立模块包括：

分析单元，用于从准备、运行、通信三个阶段对隐蔽型攻击的行为进行分析；

建立单元，用于提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。

在前述云计算环境下的虚拟机监控系统的具体实施方式中，进一步地，所述构建模块包括：

分组单元，用于创建一个节点N；若训练集S中的样本都属于同一类别C，则返回N作为叶节点，以类C标记；若侯选属性集attribute_list为空，则返回N作为叶节点，并标记该节点中类别个数最多的类；将训练集S中的样本按照类别进行分组，设共分为C₁,C₂,...,C_m个类；

确定单元，用于在所有类中，获取attribute_list中任一属性A的取值，并根据获取的属性A的取值，确定属性A的均值；根据确定的属性A的均值，通过标准差确定属性A的权重Q；利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)；

调用单元，用于调用确定单元，确定attribute_list中所有属性的信息增益；

分支单元，用于从attribute_list中选择具有最大信息增益的属性作为测试属性test_attribute；利用test_attribute标记节点N；对test_attribute的每个值进行分支；设S_j是test_attribute取值为a_j的所有样本的集合，令S＝S_j，attribute_list＝attribute_list-test_attribute，其中，j＝1,2,...,ν，ν表示test_attribute具有ν个不同的值；返回执行分组单元，直至完成决策树的构建。

在前述云计算环境下的虚拟机监控系统的具体实施方式中，进一步地，所述利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)包括：

确定训练集S的信息熵E(S)；

利用基于属性权重的信息熵公式，确定侯选属性集中任一属性A的信息熵E(A,Q)；

通过公式Gain(A)＝E(S)-E(A,Q)，确定属性A的信息增益Gain(A)。

在前述云计算环境下的虚拟机监控系统的具体实施方式中，进一步地，训练集S的信息熵表示为：

其中，m表示训练集S的类别总数，P_i是训练集中的样本属于C_i的概率，C_i表示第i类；

设一个属性A具有ν个不同的值，通过属性A将训练集S划分为ν个子集{S₁,S₂,...,S_j,...,S_ν}，j＝1,2,...,ν，则属性A的信息熵E(A,Q)表示为：

其中，S_ij为子集S_j中属于C_i类别的样本集；Q表示属性A的权重系数，P_ij表示子集S_j中样本属于类别C_i的概率。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种云计算环境下的虚拟机监控方法，其特征在于，包括：

建立隐蔽型攻击行为特征库；

获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；

根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。

2.根据权利要求1所述的云计算环境下的虚拟机监控方法，其特征在于，所述建立隐蔽型攻击行为特征库包括：

从准备、运行、通信三个阶段对隐蔽型攻击的行为进行分析；

提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。

3.根据权利要求1所述的云计算环境下的虚拟机监控方法，其特征在于，所述根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型包括：

S1，创建一个节点N；

S2，若训练集S中的样本都属于同一类别C，则返回N作为叶节点，以类C标记；

S3，若侯选属性集attribute_list为空，则返回N作为叶节点，并标记该节点中类别个数最多的类；

S4，将训练集S中的样本按照类别进行分组，设共分为C₁,C₂,...,C_m个类；

S5，在所有类中，获取attribute_list中任一属性A的取值，并根据获取的属性A的取值，确定属性A的均值；

S6，根据确定的属性A的均值，通过标准差确定属性A的权重Q；

S7，利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)；

S8，按照S5-S7确定attribute_list中所有属性的信息增益；

S9，从attribute_list中选择具有最大信息增益的属性作为测试属性test_attribute；

S10，利用test_attribute标记节点N；

S11，对test_attribute的每个值进行分支；

S12，设S_j是test_attribute取值为a_j的所有样本的集合，令S＝S_j，attribute_list＝attribute_list-test_attribute，其中，j＝1,2,...,ν，ν表示test_attribute具有ν个不同的值；

S13，返回执行S1，直至完成决策树的构建。

4.根据权利要求3所述的云计算环境下的虚拟机监控方法，其特征在于，所述利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)包括：

确定训练集S的信息熵E(S)；

利用基于属性权重的信息熵公式，确定侯选属性集中任一属性A的信息熵E(A,Q)；

通过公式Gain(A)＝E(S)-E(A,Q)，确定属性A的信息增益Gain(A)。

5.根据权利要求4所述的云计算环境下的虚拟机监控方法，其特征在于，训练集S的信息熵表示为：

其中，m表示训练集S的类别总数，P_i是训练集中的样本属于C_i的概率，C_i表示第i类；

设一个属性A具有ν个不同的值，通过属性A将训练集S划分为ν个子集{S₁,S₂,...,S_j,...,S_ν}，j＝1,2,...,ν，则属性A的信息熵E(A,Q)表示为：

其中，S_ij为子集S_j中属于C_i类别的样本集；Q表示属性A的权重系数，P_ij表示子集S_j中样本属于类别C_i的概率。

6.一种云计算环境下的虚拟机监控系统，其特征在于，包括：

建立模块，用于建立隐蔽型攻击行为特征库；

获取模块，用于获取训练集，并从建立的特征库中选取若干个行为特征作为训练集中样本的侯选属性集，其中，训练集包括：异常程序和合法程序；

构建模块，用于根据获取的训练集及侯选属性集，利用基于属性权重的决策树算法，构建程序分类检测模型，其中，所述程序分类检测模型，用于监控虚拟机程序。

7.根据权利要求6所述的云计算环境下的虚拟机监控系统，其特征在于，所述建立模块包括：

分析单元，用于从准备、运行、通信三个阶段对隐蔽型攻击的行为进行分析；

建立单元，用于提取出不同于预设的合法程序的行为特征，建立隐蔽型攻击行为特征库。

8.根据权利要求6所述的云计算环境下的虚拟机监控系统，其特征在于，所述构建模块包括：

分组单元，用于创建一个节点N；若训练集S中的样本都属于同一类别C，则返回N作为叶节点，以类C标记；若侯选属性集attribute_list为空，则返回N作为叶节点，并标记该节点中类别个数最多的类；将训练集S中的样本按照类别进行分组，设共分为C₁,C₂,...,C_m个类；

确定单元，用于在所有类中，获取attribute_list中任一属性A的取值，并根据获取的属性A的取值，确定属性A的均值；根据确定的属性A的均值，通过标准差确定属性A的权重Q；利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)；

调用单元，用于调用确定单元，确定attribute_list中所有属性的信息增益；

分支单元，用于从attribute_list中选择具有最大信息增益的属性作为测试属性test_attribute；利用test_attribute标记节点N；对test_attribute的每个值进行分支；设S_j是test_attribute取值为a_j的所有样本的集合，令S＝S_j，attribute_list＝attribute_list-test_attribute，其中，j＝1,2,...,ν，ν表示test_attribute具有ν个不同的值；返回执行分组单元，直至完成决策树的构建。

9.根据权利要求8所述的云计算环境下的虚拟机监控系统，其特征在于，所述利用基于属性权重的信息熵公式，确定attribute_list中属性A的信息增益Gain(A)包括：

确定训练集S的信息熵E(S)；

利用基于属性权重的信息熵公式，确定侯选属性集中任一属性A的信息熵E(A,Q)；

通过公式Gain(A)＝E(S)-E(A,Q)，确定属性A的信息增益Gain(A)。

10.根据权利要求9所述的云计算环境下的虚拟机监控系统，其特征在于，训练集S的信息熵表示为：

其中，m表示训练集S的类别总数，P_i是训练集中的样本属于C_i的概率，C_i表示第i类；

设一个属性A具有ν个不同的值，通过属性A将训练集S划分为ν个子集{S₁,S₂,...,S_j,...,S_ν}，j＝1,2,...,ν，则属性A的信息熵E(A,Q)表示为：

其中，S_ij为子集S_j中属于C_i类别的样本集；Q表示属性A的权重系数，P_ij表示子集S_j中样本属于类别C_i的概率。