本發(fā)明涉及云服務(wù)技術(shù)，尤其涉及一種云服務(wù)的異常檢測多層模型。

背景技術(shù)：

隨著云服務(wù)的廣泛使用，互聯(lián)網(wǎng)應(yīng)用聚集了海量的用戶，為了能及時響應(yīng)用戶的需求，大多數(shù)組織采用分布式服務(wù)來提高服務(wù)的并發(fā)處理能力，與此同時，服務(wù)之間就形成了復(fù)雜的組合及引用關(guān)系，并且它們之間的關(guān)系會隨著用戶行為的不同而變化，這都給云服務(wù)環(huán)境

下的服務(wù)異常檢測帶來了困難。傳統(tǒng)的服務(wù)異常檢測只是關(guān)注單個服務(wù)的行為，然而，服務(wù)間的行為是動態(tài)組合的，它們之間存在著依賴關(guān)系，并且它們之間的關(guān)系時刻都在發(fā)生變化，因此很難通過單一的服務(wù)狀態(tài)來檢測整個云服務(wù)的異常狀態(tài)。針對上述問題，本文仿生生物免疫過程，提出了一套云服務(wù)異常檢測多層模型。首先依據(jù)“危險源于失衡，失衡起因于變化”的思想，利用微分來描述海量服務(wù)行為數(shù)據(jù)的變化，進而發(fā)現(xiàn)異常源，其次借鑒危險理論的思想，將單個服務(wù)的異常擴展到某個區(qū)域，最后通過模擬校園管理系統(tǒng)進行實驗，對所提出的方法的可行性進行驗證。實驗結(jié)果表明在不同的服務(wù)行為作用下，利用本文的方法能夠自適應(yīng)的提取危險信號，捕獲異常源，通過綜合多種因素得到最準確的危險區(qū)域以及最優(yōu)的計算方法，解決了服務(wù)之間的不確定性問題，該危險區(qū)域根據(jù)用戶行為不斷的演化，并且自適應(yīng)調(diào)整，符合生物體中危險區(qū)域的特性，具有更強的特異性與自適應(yīng)性。

技術(shù)實現(xiàn)要素：

本發(fā)明要解決的技術(shù)問題在于針對現(xiàn)有技術(shù)中的缺陷，提供一種云服務(wù)的異常檢測多層模型。

本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是：一種云服務(wù)的異常檢測多層模型，包括：

響應(yīng)層，用于對捕獲的云服務(wù)行為數(shù)據(jù)進行危險信號表達，并根據(jù)危險信號的表達和觸發(fā)條件，進行危險信號的觸發(fā)；

免疫層，用于針對發(fā)出危險信號的服務(wù)，計算危險程度，進行危險信號的判定該服務(wù)是否為異常，并計算異常服務(wù)的危險區(qū)域；

所述響應(yīng)層中對捕獲的云服務(wù)行為數(shù)據(jù)進行危險信號表達與觸發(fā)，具體如下：

為系統(tǒng)中的每一個服務(wù)分配一個監(jiān)控器S_i,讀取該服務(wù)的服務(wù)起源日志；

根據(jù)服務(wù)起源日志9元組，即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status)，提取危險信號，所述危險信號包括服務(wù)的調(diào)用次數(shù)和服務(wù)的耗時；

當服務(wù)的調(diào)用次數(shù)的變化和服務(wù)的耗時的變化同時超過給定的閾值時，進行危險信號的觸發(fā)；

所述異常服務(wù)的危險區(qū)域計算為若當發(fā)現(xiàn)某個服務(wù)異常，可以通過查詢服務(wù)依賴路徑，獲得危險區(qū)域。

按上述方案，所述異常服務(wù)的危險區(qū)域計算采用基于云模型的隸屬度方法，具體如下：

步驟1.假設(shè)與S_i相連的服務(wù)有n個，把每個服務(wù)看成一個云滴，即有n個云滴，S_i與每個云滴的調(diào)用次數(shù)(耗時)看作是該云滴的確定度，記作T_i(i＝1,2,3....n)；

步驟2.采用下式計算服務(wù)調(diào)用次數(shù)(耗時)的均值；

其中，m表示服務(wù)的個數(shù)，Ni為單個服務(wù)的調(diào)用次數(shù)；

步驟3.采用步驟2中的公式得到服務(wù)S_i的期望值:

Ex＝X；

步驟4.根據(jù)下式計算服務(wù)Si的熵:

步驟5.三個數(shù)字特征值即可確定一個狀態(tài)云，所以記服務(wù)S_i的狀態(tài)云為S_i(Ex_i,En_i,He_i)；

步驟6.采用上述方法計算與S_i連接的服務(wù)S_j的狀態(tài)云S_j(Ex_j,En_j,He_j)；

步驟7.計算S_j相對于S_i的隸屬度:

若隸屬度小于某個閾值說明這兩個服務(wù)存在著較大的差異，那么判定S_i出現(xiàn)異常，查詢服務(wù)S_i依賴路徑，獲得以調(diào)用次數(shù)為指標的危險區(qū)域；

步驟8.將服務(wù)的調(diào)用次數(shù)替換為服務(wù)的耗時獲得以服務(wù)的耗時為指標的危險區(qū)域，最后將兩種危險區(qū)域疊加得到最終的危險區(qū)域。

按上述方案，所述異常服務(wù)的危險區(qū)域計算采用基于夾角余弦的親屬度方法。

按上述方案，所述異常服務(wù)的危險區(qū)域計算采用基于DCA的信號融合方法。

按上述方案，所述服務(wù)的調(diào)用次數(shù)的變化和服務(wù)的耗時的變化如下：記錄每一個服務(wù)在某一時刻點T的耗時為t，頻率f，再記錄在下一時刻點T’時這三個變量的變化記為t’,f’；通過變化率對危險信號進行計算；那么記△F(t)＝F(t’)-F(t),△F(f)＝F(f’)-F(f),以及時刻的變化△T＝T’-T，進而求出在這短暫的時刻這三個變量的變化率分別為△F(t)/△T,△F(f)/△T；對計算后的值與設(shè)定的閾值進行比較，如果大于此閾值則判斷為危險信號，那么在第一步中為每個服務(wù)分配的監(jiān)控器S_i將會報警并對這個異常進行處理，其中閾值根據(jù)系統(tǒng)正常時，調(diào)用次數(shù)、耗時的平均值動態(tài)設(shè)置。

本發(fā)明產(chǎn)生的有益效果是：本發(fā)明提出的云服務(wù)異常檢測模型，能夠有效的發(fā)現(xiàn)異常源并能檢測出與異常源相關(guān)的依賴路徑。本文在危險理論的基礎(chǔ)上，以“變化感知危險”作為出發(fā)點，對檢測模型的主要的模塊進行了詳細的分析和設(shè)計，能有效的發(fā)現(xiàn)異常并得到危險區(qū)域，最后將不同的方法計算出的危險區(qū)域進行比較，得到最優(yōu)的危險區(qū)域，該危險區(qū)域具有較強的自適應(yīng)性和特異性。

附圖說明

下面將結(jié)合附圖及實施例對本發(fā)明作進一步說明，附圖中：

圖1是本發(fā)明實施例的結(jié)構(gòu)示意圖；

圖2是本發(fā)明實施例的校園管理系統(tǒng)結(jié)構(gòu)圖；

圖3是本發(fā)明實施例的教師信息系統(tǒng)服務(wù)總調(diào)用次數(shù)示意圖；

圖4是本發(fā)明實施例的學生選課系統(tǒng)服務(wù)總調(diào)用次數(shù)示意圖；

圖5是本發(fā)明實施例的成績管理系統(tǒng)服務(wù)總調(diào)用次數(shù)示意圖；

圖6是本發(fā)明實施例的圖書管理系統(tǒng)服務(wù)總調(diào)用次數(shù)示意圖；

圖7是本發(fā)明實施例的學生選課系統(tǒng)服務(wù)之間的隸屬度示意圖；

圖8是本發(fā)明實施例的圖書管理系統(tǒng)服務(wù)之間的隸屬度示意圖；

圖9是本發(fā)明實施例的學生管理系統(tǒng)服務(wù)之間的親屬度示意圖；

圖10是本發(fā)明實施例的圖書管理系統(tǒng)服務(wù)之間的親屬度示意圖；

圖11是本發(fā)明實施例的學生選課系統(tǒng)服務(wù)之間的異常因子示意圖；

圖12是本發(fā)明實施例的圖書管理系統(tǒng)服務(wù)之間的異常因子示意圖；

圖13是本發(fā)明實施例的學生選課系統(tǒng)服務(wù)危險區(qū)域示意圖；

圖14是本發(fā)明實施例的圖書管理系統(tǒng)服務(wù)危險區(qū)域示意圖；

圖15是本發(fā)明實施例的三種方法計算危險區(qū)域的耗時示意圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合實施例，對本發(fā)明進行進一步詳細說明。應(yīng)當理解，此處所描述的具體實施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

如圖1所示，本發(fā)明提供了一種云服務(wù)的異常檢測多層模型，包括：

響應(yīng)層，用于對捕獲的云服務(wù)行為數(shù)據(jù)進行危險信號表達，并根據(jù)危險信號的表達和觸發(fā)條件，進行危險信號的觸發(fā)；

免疫層，用于針對發(fā)出危險信號的服務(wù)，計算危險程度，進行危險信號的判定該服務(wù)是否為異常，并計算異常服務(wù)的危險區(qū)域；

所述響應(yīng)層中對捕獲的云服務(wù)行為數(shù)據(jù)進行危險信號表達與觸發(fā)，具體如下：

為系統(tǒng)中的每一個服務(wù)分配一個監(jiān)控器S_i,讀取該服務(wù)的服務(wù)起源日志；

根據(jù)服務(wù)起源日志9元組，即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status)，提取危險信號，所述危險信號包括服務(wù)的調(diào)用次數(shù)和服務(wù)的耗時；

當服務(wù)的調(diào)用次數(shù)的變化和服務(wù)的耗時的變化同時超過給定的閾值時，進行危險信號的觸發(fā)；

關(guān)于服務(wù)的調(diào)用次數(shù)的變化和服務(wù)的耗時的變化：記錄每一個服務(wù)在某一時刻點T的耗時為t，頻率f，再記錄在下一時刻點T’時這三個變量的變化記為t’,f’；通過變化率對危險信號進行計算；那么記△F(t)＝F(t’)-F(t),△F(f)＝F(f’)-F(f),以及時刻的變化△T＝T’-T，進而求出在這短暫的時刻這三個變量的變化率分別為△F(t)/△T,△F(f)/△T；對計算后的值與設(shè)定的閾值進行比較，如果大于此閾值則判斷為危險信號，那么在第一步中為每個服務(wù)分配的監(jiān)控器S_i將會報警并對這個異常進行處理，其中閾值根據(jù)系統(tǒng)正常時，調(diào)用次數(shù)、耗時的平均值動態(tài)設(shè)置。

所述異常服務(wù)的危險區(qū)域計算為若當發(fā)現(xiàn)某個服務(wù)異常，可以通過查詢服務(wù)依賴路徑，獲得危險區(qū)域。

按上述方案，所述異常服務(wù)的危險區(qū)域計算采用基于云模型的隸屬度方法，具體如下：

步驟1.假設(shè)與S_i相連的服務(wù)有n個，把每個服務(wù)看成一個云滴，即有n個云滴，S_i與每個云滴的調(diào)用次數(shù)(耗時)看作是該云滴的確定度，記作T_i(i＝1,2,3....n)；

步驟2.采用下式計算服務(wù)調(diào)用次數(shù)(耗時)的均值；

其中，m表示服務(wù)的個數(shù)，Ni為單個服務(wù)的調(diào)用次數(shù)；

步驟3.采用步驟2中的公式得到服務(wù)S_i的期望值:

Ex＝X；

步驟4.根據(jù)下式計算服務(wù)Si的熵:

步驟5.三個數(shù)字特征值即可確定一個狀態(tài)云，所以記服務(wù)S_i的狀態(tài)云為S_i(Ex_i,En_i,He_i)；

步驟6.采用上述方法計算與S_i連接的服務(wù)S_j的狀態(tài)云S_j(Ex_j,En_j,He_j)；

步驟7.計算S_j相對于S_i的隸屬度:

若隸屬度小于某個閾值說明這兩個服務(wù)存在著較大的差異，那么判定S_i出現(xiàn)異常，查詢服務(wù)S_i依賴路徑，獲得以調(diào)用次數(shù)為指標的危險區(qū)域；

步驟8.將服務(wù)的調(diào)用次數(shù)替換為服務(wù)的耗時獲得以服務(wù)的耗時為指標的危險區(qū)域，最后將兩種危險區(qū)域疊加得到最終的危險區(qū)域。

上述異常服務(wù)的危險區(qū)域計算可采用基于夾角余弦的親屬度方法，具體如下：

步驟1、假設(shè)有服務(wù)Si(i＝1,2,3....n)，計算分別得到服務(wù)Si的平均調(diào)用次數(shù)(耗時)，記作P；

步驟2、通過以下可得兩個服務(wù)之間的相似度，其中，ds_ij表示服務(wù)S_i與服務(wù)S_j的相似度，P_i與P_j代表服務(wù)S_i與服務(wù)S_j的平均調(diào)用次數(shù)(平均耗時)，即由公式(3)可得，pi與pj分別表示服務(wù)S_i與服務(wù)S_j調(diào)用與之相連服務(wù)的次數(shù)(耗時)，i和j的取值根據(jù)具體的服務(wù)流程圖選取：

若親屬度越大，說明兩個服務(wù)越緊密，那么這兩個服務(wù)之間越不容易出現(xiàn)異常，反之這兩個服務(wù)存在著較大的差異，那么越容易出現(xiàn)異常,在計算危險區(qū)域時分別以服務(wù)的調(diào)用次數(shù)以及服務(wù)的耗時兩種指標計算危險區(qū)域，最后將兩種危險區(qū)域疊加得到最終的危險區(qū)域。

上述異常服務(wù)的危險區(qū)域計算采用基于DCA的信號融合方法，具體如下：

假設(shè)在時間段T發(fā)現(xiàn)了異常源S，服務(wù)S_i與服務(wù)S_j相連，S_i調(diào)用S_j的次數(shù)記作IS信號，S_i調(diào)用S_j的耗時記作ES信號(i,j＝1,2,3...)；

步驟1、收集服務(wù)S_i和服務(wù)S_j的IS信號和ES信號，并根據(jù)公式將它們的信號融合計算濃度C_ij，其中a和b代表權(quán)值：

步驟2.收集服務(wù)S_i的總調(diào)用次數(shù)看作是TIS信號和總耗時看作是TES信號，根據(jù)公式計算服務(wù)的Si總濃度C_i，其中a和b代表權(quán)值：

步驟3.根據(jù)以下公式以及C_ij和C_i的計算結(jié)果可以計算出服務(wù)Si的濃度異常因子k，然后確定兩個服務(wù)之間是否存在危險，最后輸出危險區(qū)域:

根據(jù)危險信號所占的比重計算濃度異常因子k，如果k接近1，這意味著這兩個服務(wù)會產(chǎn)生更高的風險,因此它應(yīng)該被納入危險區(qū)域。

一個具體實施例：

本實施例利用基于危險理論的多層模型來檢測服務(wù)的異常，進而計算出危險區(qū)域。服務(wù)的行為是隨著用戶的行為變化而變化的，所以先從變化入手，利用微分感知危險信號，捕獲危險信號并產(chǎn)生共刺激信號，從而發(fā)現(xiàn)異常源，然后以異常源作為研究點分析服務(wù)之間的關(guān)系，進而計算出危險區(qū)域。

本實施例的實驗的環(huán)境包括操作系統(tǒng)：Win7 32位，CPU：2.50GHz，RAM 4G。本實驗?zāi)M校園管理系統(tǒng)作為研究對象，該系統(tǒng)主要由四個子系統(tǒng)組成，如圖2所示，分別是教師信息管理系統(tǒng)、學生選課系統(tǒng)、成績管理系統(tǒng)、圖書管理系統(tǒng)，其中S1～S34為部署在各個子系統(tǒng)上的服務(wù)，服務(wù)之間相互調(diào)用，其中S0為用戶登入服務(wù)入口，其他服務(wù)具體內(nèi)容見表1所示。

校園管理系統(tǒng)各個子系統(tǒng)服務(wù)列表如下：

表1系統(tǒng)服務(wù)詳情列表

實驗設(shè)計及步驟

一、提取危險信號，捕獲異常源

1)實驗步驟

步驟1.模擬多用戶登入使用校園管理系統(tǒng)進行選課，并產(chǎn)生各個子系統(tǒng)中每個服務(wù)在一段時間序列內(nèi)的總調(diào)用次數(shù)，如圖3至圖6。若該服務(wù)為葉子節(jié)點，即沒有被服務(wù)調(diào)用，因此不產(chǎn)生總調(diào)用次數(shù)。

步驟2.采集系統(tǒng)中每一個服務(wù)的特征點，根據(jù)服務(wù)的總調(diào)用次數(shù)以及服務(wù)的總耗時構(gòu)造每個子系統(tǒng)中每個服務(wù)的特征三元組，觀察服務(wù)狀態(tài)的變化。

步驟3.將圖3至圖6中每個系統(tǒng)中每個服務(wù)構(gòu)造的特征三元組與歷史數(shù)據(jù)構(gòu)造的特征三元組做比較，通過正常情況下數(shù)據(jù)的計算，本文服務(wù)的總調(diào)用次數(shù)指標變化的閾值設(shè)置為0.8。

步驟4.重復(fù)步驟1到步驟3，采集服務(wù)的總耗時，并構(gòu)造的特征三元組，通過正常情況下數(shù)據(jù)的計算，服務(wù)的總耗時指標變化的閾值設(shè)置為0.85。

2)實驗結(jié)果及分析

根據(jù)圖3至圖6所示，比較后發(fā)現(xiàn)相對于其他服務(wù)，服務(wù)S3、S30的總調(diào)用次數(shù)以及總耗時的變化在T時間序段中所構(gòu)造的特征三元組大于歷史數(shù)據(jù)所構(gòu)造的特征三元組，說明它們的變化程度大，有潛在的危險。

因此，在T時間序列段中，我們記服務(wù)S3產(chǎn)生的危險信號為DS1＝{ds11,ds21}，其中ds11表示是根據(jù)服務(wù)總調(diào)次數(shù)計算出的危險信號，ds12表示是根據(jù)服務(wù)總耗時計算出的危險信號；記服務(wù)S30產(chǎn)生的危險信號為DS2＝{ds21,ds22}，其中ds21表示是根據(jù)服務(wù)總調(diào)次數(shù)計算出的危險信號，ds22表示是根據(jù)服務(wù)總耗時計算出的危險信號。根據(jù)3.1節(jié)中捕獲異常源的方法可知DS1與DS2在T時間序列段內(nèi)都產(chǎn)生了共刺激信號，觸發(fā)了危險，因此我們將服務(wù)S3以及服務(wù)S30標記為異常源，以服務(wù)S3、S30作為研究基礎(chǔ)，進而判斷服務(wù)之間的關(guān)系，計算危險區(qū)域。

二、計算危險區(qū)域

1)實驗步驟

步驟1.以S3和S30作為出發(fā)點，采集T時間段服務(wù)與服務(wù)之間的調(diào)用次數(shù)以及耗時。

方法1.基于云模型的隸屬度方法

步驟2.計算服務(wù)之間的隸屬度，如圖7、8所示，由于除了T時間段以外，其余時間點均為服務(wù)之間的調(diào)用次數(shù)以及耗時均為正常，因此任意選取一個時間點，計算它們的隸屬度大約在0.29左右波動，因此閾值設(shè)定為0.29。

方法2.基于夾角余弦的親屬度方法

步驟3.計算服務(wù)之間親屬度，如圖9、10所示，由于除了T時間段以外，其余時間點均為服務(wù)之間的調(diào)用次數(shù)以及耗時均為正常，因此任意選取一個時間點，計算它們的親屬度，大約在0.3左右波動，因此閾值設(shè)定為0.3。

方法3.基于DCA的信號融合方法

步驟4.將T時間段采集的服務(wù)調(diào)用次數(shù)以及耗時進行融合，并計算出服務(wù)之間的異常因子k，如圖11、12所示。在該方法中我們將a和b設(shè)置為是7和9，正常情況下計算出的異常因子k約為0.5，如果你傾向于觀察調(diào)用次數(shù)對服務(wù)的影響，您可以設(shè)置a比b大，相反，你可以設(shè)置b比a大。

2)實驗結(jié)果及分析

本節(jié)以捕獲的服務(wù)行為數(shù)據(jù)中服務(wù)的調(diào)用次數(shù)和服務(wù)的耗時作為研究點，驗證本文所提出的危險特征提取方法以及計算危險區(qū)域的方法的可行性和有效性。根據(jù)隸屬度和親屬度的大小，將兩種不同指標下的服務(wù)執(zhí)行路徑疊加，分別得到危險區(qū)域:學生選課系統(tǒng)根據(jù)方法一得到的危險區(qū)域：S3-S5，S3-S7，S7-S9三條路徑組成；學生選課系統(tǒng)根據(jù)方法二得到的危險區(qū)域：S3-S5，S3-S7，S7-S9三條路徑組成；圖書管理系統(tǒng)根據(jù)方法一得到的危險區(qū)域：S27-S28，S28-S30，S30-S33三條路徑組成；圖書管理系統(tǒng)根據(jù)方法二得到的危險區(qū)域：S27-S28，S27-S32，S28-S30，S30-S33四條路徑組成。根據(jù)圖13、14中異常因子的判定可知兩個子系統(tǒng)的危險區(qū)域分別是：學生選課系統(tǒng)的危險區(qū)域：S3-S5，S3-S7，S7-S9三條路徑組成；圖書管理系統(tǒng)的危險區(qū)域：S27-S28，S28-S30，S30-S33三條路徑組成。并將三種不同的方法計算出危險區(qū)域繪制于圖13、圖14中，圖13表示學生選課系統(tǒng)服務(wù)的危險區(qū)域，圖14表示圖書管理系統(tǒng)服務(wù)的危險區(qū)域。

根據(jù)圖13、圖14觀察可知，針對學生選課系統(tǒng)，三種方法計算出的危險區(qū)域一樣，因此學生選課系統(tǒng)的危險區(qū)域是由S3-S5，S3-S7，S7-S9三條路徑組成，針對圖書管理系統(tǒng)，方法二中根據(jù)耗時指標計算出的危險區(qū)域比起其他情況下計算出的危險區(qū)域大，但是根據(jù)查詢服務(wù)S32在T時間段的調(diào)用服務(wù)S34的次數(shù)以及耗時并不是很高，因此圖書管理系統(tǒng)的危險區(qū)域是由S27-S28，S28-S30,S30-S33三條路徑組成。

針對三種不同的方法計算出的危險區(qū)域都大致相近，然而，在云服務(wù)平臺下，如果服務(wù)數(shù)量越多，那么計算危險區(qū)域所耗費的時間也越長，同樣會給服務(wù)處理數(shù)據(jù)的能力帶來了巨大的影響。因此，本文通過圖15給出了三種方法計算危險區(qū)域的所耗用的時間。

根據(jù)危險區(qū)域的準確性來判斷，基于云模型的隸屬度方法和基于DCA的信號融合方法計算危險區(qū)域更加準確，根據(jù)三種方法的計算耗時來判斷，基于云模型的隸屬度方法速度要優(yōu)于其余兩種，并且基于DCA的信號融合方法在實際應(yīng)用過程中摻雜著大量的人工經(jīng)驗和定義，例如說對a和b的設(shè)值，同時對所解決問題的依賴性較強，導致缺乏多樣性、自適應(yīng)性和可移植性，與計算機免疫系統(tǒng)所追求的自適應(yīng)性和智能性相去甚遠。

綜上所述，基于云模型的隸屬度方法是一套不依賴于先驗知識、自適應(yīng)的計算危險區(qū)域的最佳方法。

應(yīng)當理解的是，對本領(lǐng)域普通技術(shù)人員來說，可以根據(jù)上述說明加以改進或變換，而所有這些改進和變換都應(yīng)屬于本發(fā)明所附權(quán)利要求的保護范圍。