CN110580210A

CN110580210A - 一种服务器功耗攻击的检测方法

Info

Publication number: CN110580210A
Application number: CN201910699957.2A
Authority: CN
Inventors: 蒋从锋; 胡海周; 黄杰; 胡海杰; 李尤慧子; 仇烨亮; 樊甜甜; 殷昱煜; 贾刚勇; 张纪林
Original assignee: Hangzhou Electronic Science and Technology University
Current assignee: Hangzhou Dianzi University; Hangzhou Electronic Science and Technology University
Priority date: 2019-07-31
Filing date: 2019-07-31
Publication date: 2019-12-17

Abstract

本发明涉及大型数据中心内部服务器功耗攻击的检测方法。本发明主要分为两部分。第一部分用于监视和学习数据中心中的可接受行为和不可接受行为，这一部分包含一个TU的独立计算核心，用来优化并执行OC‑SVM。OC‑SVM识别测试数据属于可接受行为还是不可接受行为，进而检测出集群异常行为和HyperAttack；第二部分用于抢占Hypervisor的控制，防止HyperAttack升级。这部分通过AGENT实现。本发明能够有效地识别到数据中心的功耗攻击，并利用AGENT组件抢夺节点控制权，进而有效缓解服务拒绝、功耗过载、数据中心断电等情形，显著提高数据中心的性能和服务质量。

Description

一种服务器功耗攻击的检测方法

技术领域

本发明涉及一种检测方法，具体是一种大型数据中心内部功耗攻击的检测方法。

背景技术

随着云计算的日益成熟，数据中心的规模也跟着扩大。然而，随着数据中心部署的服务器数量的增加，数据中心的功耗分配和制冷系统早已达到瓶颈。由于功耗设备的升级费用昂贵，功耗过载成了当下数据中心解决电力供应问题的主流方式。其原因是功耗过载能在相同电力设施的情况下，极大地增加系统资源利用率。在数据中心处于良性负载下时，功耗过载的方式卓有成效，因为服务器极少同时处于功耗峰值点，这种情况允许数据中心超量部署(超过数据中心功效限定下可容纳的服务器数)，且不需要升级功耗设备。

但是，功耗过载会使数据中心在面对恶意负载时显得非常脆弱，这些恶意负载能在多台服务器上同时产生功耗峰值，导致服务器电路系统短路甚至造成数据中心的断电(这种恶意负载造成的数据中心功耗问题被称为功耗攻击)。以往的恶意负载大多数指的是在虚拟机上不可信的应用程序，并通过该应用程序来增加功耗，诱导电力达到峰值并实现电力过载，从而破坏公共应用程序，导致不必要的断电。

目前针对虚拟机的功耗攻击中，往往以虚拟机管理器(Hypervisor)为核心，既能操控VM(虚拟机)管理算法对VM调度产生影响(软件级攻击)，也能操作底层计算、网络和存储硬件的电源状态(硬件级攻击)，还可能攻击冷却系统来削弱数据中心制冷能力(攻击基础设施)。通常，功耗攻击者不需要高级权限，可作为一个常规用户发起功耗攻击。功耗攻击的最终目标是使功耗设施停止运转并中止服务器上运行的服务，使云服务提供商和服务所有者遭受经济损失。因此，在数据中心中采用功耗过载这种方式会出现危险情况并影响系统可用性。目前功耗攻击主要会造成三种后果：1、导致服务拒绝，影响用户的使用。2、导致非预期停电。3、过载产生的热量，提高了服务器的温度，降低系统性能和可靠性。

在资源复用与过量分配的数据中心，有效检测功耗攻击是保证数据中心安全稳定运行和服务可靠性的重要前提。

发明内容

针对现有技术的不足，本发明提供了一种服务器功耗攻击的检测方法。

本发明包含三部分的内容：基于Hypervisor的功耗攻击威胁模型、基于机器学习的功耗攻击检测方法和基于抢占控制权的功耗攻击解决方案。

(1)HyperAttack

一个被破坏的虚拟监控器(Hypervisor)可以隐蔽地实施比任何外部应用程序都强大得多的攻击。Hypervisor用来处理大部分数据中心电源管理，并直接访问到达的应用程序和底层硬件。因此，通过对VM管理和硬件资源管理的智能操作，可以在最少违反服务级别协议的情况下，将功耗大幅度增加。

(2)基于机器学习的功耗攻击检测方法

本发明利用实时监控来获取数据中心的各种指标，例如吞吐量、任务等待时间、执行时间、任务分布、系统功耗等。运行OC-SVM(one class support vector machine)对收集来的数据集进行分类，区分为合法和异常行为两类。

(3)抢占控制权的组件

本发明基于AGENT组件(Hypervisor之下的一个轻量级软件层)来监控并汇报系统性能指标。同时，当使用SVM(支持向量机)算法预测到数据中心出现功耗攻击的时候，可以利用AGENT组件，接管数据中心的控制，直到数据中心达到安全指标为止。

本发明方法的具体步骤是：

步骤1.各节点上的Hypervisor模块分别使用AGENT组件来收集吞吐量、任务等待时间、执行时间、任务分布、系统功耗、CPU利用率等评价指标。

步骤2.将各节点收集到的数据发送到组件TU(Tactical Unit)上。

步骤3.TU汇总所有节点上的资源使用和系统功耗指标，并应用机器学习算法OC-SVM来对数据中心获取到的重要数据进行分类。

步骤4.提取合适的特征作为分类依据，OC-SVM分类函数将确定样本位于超平面的哪一侧，以识别异常行为。

步骤5.数据中心重要指标的急剧增加将被标记为Hyper Attack升级，。

步骤6.当机器学习算法预测到功耗攻击时，AGENT将抢占Hypervisor控制和管理数据中心的功能。

步骤7.根据客户虚拟机的性能表现，决定是否周期性循环步骤1至步骤6。

本发明的有益效果：通过本发明提供的功耗攻击检测方法，能够有效地识别到数据中心的功耗攻击，并利用AGENT组件抢夺节点控制权，进而有效缓解服务拒绝、功耗过载、数据中心断电等情形，显著提高数据中心的性能和服务质量。

附图说明

图1是数据中心普遍使用的制冷系统详解图。

图2是模拟数据中心攻击者服务器状态转移图。

图3是本发明的系统架构图。

图4是OC-SVM方法。

具体实施方式

以下结合附图对本发明作进一步说明，请参阅图1。图1给出了机房中的热空气流动示意图。其中实心的箭头为热气流，空心的箭头为冷气流。①为空调所制造的冷空气，②为给服务器降温后所形成的热空气，③为热气流的再循环，④为将冷通道封闭的舱门。冷/热通道封闭系统是基于冷热空气分离有序流动的原理，冷空气由高架地板下吹出，进入密闭的冷池通道，机柜前端的设备吸入冷气，通过给设备降温后，形成热空气由机柜后端排出至热通道。热通道的气体迅速返回到空调回风口。热回风与冷量完全隔离。因此提高内部的冷气利用率，带走更多设备产生热量，降低设备温度。这种设计方案大多是依靠给空调设置固定的温度来对机房进行温度调节的，温度设置过低，将会导致电力的浪费，温度设置的过高，无法降低整个数据中心的温度。而当数据中心遭受到功耗攻击时，将产生大量热量，此时空调的温度将不一定适宜，有可能导致服务器宕机，数据中心停电，甚至火灾。

请参阅图2，为了进行功耗攻击的检测，本发明提出了服务器遭受功耗攻击后的状态转移图。包括服务器的四种状态和五种状态转移条件。四种状态分别是正常运行状态、峰值功耗状态、功耗攻击状态、功耗下降状态。现对其中的术语进行解释，P_est表示预估的总用户功耗，P_th是功耗攻击的门槛参数(又称作阈值，发起功耗攻击的必要条件)，Twait是超过阈值的时间(用户功耗峰值具有间歇性，只有持续的超过阈值，才可以被认定为开始了功耗攻击)，Tattack是遭受到功耗攻击所持续的时间，Thold表示从攻击结束到服务器恢复到正常状态的时间。条件1表示实时用户功耗未超过门槛参数，服务器进入正常运行状态；条件2为实时总功耗超过门槛参数，满足条件2，服务器进行峰值功耗状态；条件3为Twait时延已过且用户功耗依然超过额定值的情况，同时满足条件2和条件3，服务器进入功耗攻击状态；条件4为Tattack时间已经过去，服务器进入功耗下降状态，逐渐恢复正常；条件5表示经过Thold时间后，服务器恢复到正常运行状态。

请参阅图3，如图所示，功耗攻击解决方案主要分为两部分。第一部分用于监视和学习数据中心中的可接受行为和不可接受行为，这一部分包含一个称为TU(TacticalUnit)的独立计算核心，用来优化并执行OC-SVM。OC-SVM识别测试数据属于可接受行为还是不可接受行为，进而检测出集群异常行为和HyperAttack；第二部分用于抢占Hypervisor的控制，防止HyperAttack升级。这部分通过在Hypervisor和hardware中间架设一个中间层实现，这个中间层被称为AGENT。首先，AGENT监视Hypervisor的电源管理决策和硬件响应，并向TU提供所需的特征数据；其次，当TU预测HyperAttack升级时，AGENT将抢占Hypervisor控制和管理数据中心的功能。

请参阅图4，采用OC-SVM来捕获和分类数据中心的重要数据，基于libSVM库构建学习环境，选取合适的特征。数据的处理和分析如图4所示，主要步骤如下：

(1)特征缩放

处理和格式化从数据中心管理节点收集的数据中心各类监控数据，并将其提供给libSVM工具，在该工具中，数据被缩放到-1到1之间的值。

(2)训练

TU有n个数据点，对应合法数据中心的重要数据，OC-SVM创建数据集的模型，将数据映射到一个特征空间，并建立一个超平面，该超平面将特征空间划分为两个断开连接的区域。一个区域使用代表合法数据中心重要数据的数据点集群填充，而另一个区域使用与受攻击的数据中心对应的数据点填充。OC-SVM交叉验证缩放后的数据，通过识别所需的调优参数生成训练模型。

(3)分析

OC-SVM分类函数将确定样本位于超平面的哪一侧，以识别异常行为。此外，还将经常监视数据中心的一些重要数据，例如计算化和功耗。在共享一个配电网络的物理节点之间，数据中心重要指标的急剧增加将被标记为Hyper Attack升级。基于仿真器的测试数据被正确格式化并提供给OC-SVM工具进行分类。

本发明的实施过程适用于当下的中大型数据中心。所述数据中心包括数量繁多的服务器，在每台服务器上都有用于虚拟化的管理软件即虚拟机监控器Hypervisor，在每个Hypervisor上都运行有至少一个的用于监控系统性能的软件。

其实施方式为：通过在Hypervisor层中增加新的功能代码，用于监控Hypervisor之上的虚拟机的功耗情况。在本发明的设计中，这部分新增加的代码被称为AGENT组件，它除了监控的作用之外，还具有抢占Hypervisor控制权的作用，当数据中心遭遇功耗攻击时，AGENT组件将会抢夺控制权，进而减缓功耗攻击所产生的影响。

在本发明中，为数据中心分配了一个独立的高性能核心TU，以执行机器学习算法。根据数据中心所有者的安全需求，TU可以放置在独立的安全网络上，也可以完全禁止远程访问，以防止网络攻击。TU与数据中心的唯一通信点是通过AGENT。它访问AGENT采集的特征，并将其反馈给学习算法，用于检测数据中心的重要异常。TU将这些异常记录下来，以便进一步分析。但是，在检测到功耗攻击时，它首先命令AGENT从Hypervisor夺取控制权，以防止断电，然后通知管理员。

相关特征的选择和优化是保证SVM精度和计算效率的关键。为了减轻功耗攻击带来的威胁，确定了可以从AGENT中收集的三个明显的特征：(1)每台主机的CPU利用率，(2)每台主机的功耗，以及(3)数据中心的总功耗。然而，由于数据中心有数百个物理主机，考虑到每个主机的计算利用率和耗电量，将导致巨大的计算开销。因此，为了优化特征集，将数据中心所有的物理主机划分为不同的集群，并考虑每个集群的平均利用率。为了弥补准确率的损失，考虑了第四个特征：(4)每个集群中空闲主机的数量。

本发明提出的服务器功耗攻击检测方法，其实施步骤如下：

步骤1：将数据中心分为若干个集群，分别收集各集群的性能指标统计信息发送到TU。

步骤2：各节点上的AGENT组件，统计收集节点层面的性能指标，并将该指标发送到TU。

步骤3：特征选取和特征缩放，将缩放后的特征输入到OC-SVM算法中。

步骤4：OC-SVM算法会将输入的数据进行分类，借此来识别是否为具有异常行为的数据。

步骤5：对数据中心中产生异常行为的服务器进行检测，判断其是否满足所定义的功耗攻击形式。

步骤6：如果数据中心监测到有功耗攻击产生，则TU发送通知给节点上的AGENT组件，利用其来接管对节点的控制，进而缓解功耗攻击产生的影响。

下面分别对上述实施步骤进行详细说明。

(1)步骤1

将数据中心分为若干个集群，以降低以单服务器节点为单位的巨大计算开销。以集群为单位进行模拟后，再对可疑区域分区检测，直至精确定位到具体的服务器机柜。

(2)步骤2

AGENT是Hypervisor之下的一个轻量级软件层，充当Hypervisor和硬件资源之间的接口。AGENT的角色是监视Hypervisor的电源管理决策以及硬件响应，并向TU提供所需的数据。此外，当TU预测功耗攻击时，它将能够抢占Hypervisor控制。在复杂的数据中心设置中，监视和控制硬件和第三方软件之间的关键接口是验证恶意实体存在的重要手段。AGENT获取Hypervisor和硬件之间通信的数据，监控并记录节点上的CPU使用率、系统功耗等指标，并将这些指标发送给TU。

(3)步骤3

从AGENT中可以收集到数据中心三个主要特征，(1)每台主机的计算利用率，(2)每台主机的功耗，以及(3)数据中心的总功耗。考虑到每个主机的计算利用率和耗电量，将导致巨大的计算开销。因此将物理主机进行集群，并考虑每个集群的平均利用率。为了弥补准确率的损失，考虑了第四个特征:(4)每个集群中空闲主机的数量。

输入的这四个特征的数值范围差异较大，而OC-SVM算法是根据距离数据的距离进行划分的。因此，特征之间的数值范围差异将会影响最终分类的结果。为了避免这种影响，需要对收集到的特征进行特征缩放。在本发明中，使用了min-max方法来进行数据缩放，min-max标准化方法是对原始数据进行线性变换。设minA和maxA分别为属性A的最小值和最大值，将A的一个原始值x通过min-max标准化映射成在区间[0,1]中的值x’，其公式为:

将缩放后的特征输入到OC-SVM算法当中，求解最后的异常识别结果。

(4)步骤4

通过上述步骤，已经可以得到经过缩放后的特征数据。传统的分类学习算法需要两个数据样本(这里指的是正常样本和恶意样本)。而单类算法只需要一个样本。在复杂的数据中心环境中，由于攻击建模和仿真的局限性，获取所有恶意行为的集合训练数据是不现实的。因此，输入到OC-SVM算法中的样本都是正常样本。

与二分类的SVM的优化函数略有不同，单类的SVM的优化目标如下所示：

s.t.(w^T·φ(x_i))≥ρ-ξ_i,i＝1,…,n

ξ_i>0,i＝1,…,n

其中ξ_i表示松弛变量，v类似于二分类SVM中的C，v参数的选取对最终的结果有重要影响。同时：

v为异常值所占总量的比例设置了一个上限。

v为支持向量所占总量的比例设置了一个下限。

采用Lagrange技术并且采用dot-product calculation，确定函数变为：

(5)步骤5

在数据中心正常运行时，攻击者会在数据中心过载情况下以某种方式频繁运行高工耗负载(以附图2中的形式为例)。主机以该形式为基准，判断该负载是否符合功耗攻击的模式，确定是否将该服务归为攻击者。将步骤4中所得的异常行为服务器集合作为输入，通过分析单一服务器的负载运行模式，判定该服务器上是否发生了功耗攻击。

(6)步骤6

当TU组件通过OC-SVM算法预测到有功耗攻击产生时，TU向AGENT组件发出通知，AGENT将抢占Hypervisor控制和管理数据中心的功能。AGENT会将所有的运行恶意负载的VM调度到备用主机上，直到Hypervisor安全为止。算法2描述了将具有功耗攻击的恶意负载调度迁移到备用主机的过程。

Claims

1.一种服务器功耗攻击的检测方法，应用于数据中心，所述数据中心包括数量繁多的服务器，在每台服务器上都有虚拟机监控器Hypervisor，在每个虚拟机监控Hypervisor上都运行有至少一个用于监控系统性能的软件，每个服务器在数据中心中称为一个节点；

其特征在于该方法包括以下步骤：

步骤1.各节点上的Hypervisor分别使用AGENT组件来收集各种评价指标，包括吞吐量、任务等待时间、执行时间、任务分布、系统功耗和CPU利用率，所述的AGENT组件架设在虚拟机监控器Hypervisor和硬件之间；

步骤2.将各节点收集到的数据发送到组件TU上，所述的组件TU为一个独立于数据中心的实时运行机器学习算法的组件；

步骤3.TU组件汇总所有节点上的资源使用和系统功耗指标，并应用机器学习算法OC-SVM来对数据中心获取到的重要数据进行分类；

步骤4.提取合适的特征作为分类依据，OC-SVM分类函数将确定样本位于超平面的哪一侧，以识别异常行为；

步骤5.数据中心重要指标的急剧增加将被标记为功耗攻击；

步骤6.当机器学习算法预测到功耗攻击时，AGENT组件将抢占Hypervisor控制和管理数据中心的功能；

2.根据权利要求1所述的一种服务器功耗攻击的检测方法，其特征在于：将数据中心分为若干个集群，以降低以单服务器节点为单位的巨大计算开销；以集群为单位进行模拟后，再对可疑区域分区检测，直至精确定位到具体的服务器机柜。

3.根据权利要求2所述的一种服务器功耗攻击的检测方法，其特征在于：从AGENT组件中收集到数据中心四个主要特征：(1)每台主机的计算利用率，(2)每台主机的功耗，(3)数据中心的总功耗和(4)每个集群中空闲主机的数量。

4.根据权利要求3所述的一种服务器功耗攻击的检测方法，其特征在于：四个主要特征输入应用机器学习算法OC-SVM前使用min-max方法对收集到的特征进行缩放处理。