一种基于响应时间序列数据分析的虚拟机同驻检测方法技术

本发明专利技术公开了一种基于响应时间序列数据分析的虚拟机同驻检测方法，包括：步骤1：基于ON‑OFF干扰注入机制实时采集目标虚拟机的响应时间序列，然后分别提取目标虚拟机在干扰情况下和正常情况下的响应时间序列；步骤2)处理采集数据中的异常值；步骤3)同驻概率计算；步骤4)检测结果判定。本发明专利技术方法根据云计算平台多租户资源共享的特点，采集目标虚拟机在正常情况和干扰情况下的服务响应时间序列，通过定义云滴模型间的偏离度，计算检测虚拟机与目标虚拟机之间的同驻概率，以定量地描述检测虚拟机与目标虚拟机同驻的可能性；本发明专利技术保证了同驻检测结果的准确性和可靠性，具有很好的适应性和实用价值。

A method for simultaneous detection of virtual machines based on response time series data analysis

The invention discloses a virtual machine based on sequence data analysis of response time in the same detection method, comprising the following steps: Step 1: response time of ON OFF interference injection real-time acquisition mechanism of virtual machine based on the target sequence, and then extract the response time of the target virtual machine in case of interference and normal condition sequence respectively; step 2) treatment of abnormal value in acquisition data; step 3) calculated in the same probability; step 4) determining the detection result. The present invention features calculation method of multi tenant resource sharing platform based on cloud acquisition target virtual machine in normal circumstances and under the disturbance of the service response time sequence by the divergence between the definition of cloud model, the calculation between the virtual machine and the target detection of the virtual machine in the same probability to describe the virtual machine and virtual target detection the machine in the same possibility; the invention ensures the accuracy and reliability in the same test results, it has good adaptability and practical value.

【技术实现步骤摘要】

本专利技术涉及虚拟化安全
，具体涉及一种基于响应时间序列数据分析的虚拟机同驻检测方法。
技术介绍
云计算作为一种新型的网络计算模式，通过网络以按需、易扩展的方式为用户提供各种虚拟的IT资源和应用服务，支持用户在任意位置、使用多种终端进行访问。云计算不仅大大减轻了用户的计算和存储负担，降低了用户对各种IT基础设施的购置和管理维护成本，也使得企业用户可以根据需求的变化随时进行应用的快速重新部署和动态扩展。请参阅图1和图2所示，在云环境中，不同租户的虚拟机可能运行于同一台物理主机之上，即虚拟机同驻；同驻的虚拟机之间共享该物理主机的计算资源，例如CPU、内存以及网络资源等，并依赖于虚拟机监控器进行系统资源的分配与调度。由于特殊的应用需求或者计算需求，用户可能需要有目的的实现虚拟机同驻，包括其自身创建的多个虚拟机实例同驻，以及与合作用户的虚拟机实例同驻等。为了实现同驻，用户首先需要创建并运行多个虚拟机实例，然后利用虚拟机同驻检测方法逐一判断这些虚拟机是否和运行同驻检测算法的检测虚拟机同驻，并重复这一过程直至实现至少一个虚拟机和检测虚拟机同驻。可以看出，实现同驻过程中比较重要且关键的一步就是利用同驻检测方法判断虚拟机之间是否同驻，高效、准确的同驻检测方法有助于降低实现同驻的开销。根据同驻检测的基本原理不同，已有虚拟机同驻检测方法可以分为基于网络信息的同驻检测、基于资源干扰的同驻检测和基于隐蔽信道的同驻检测。基于网络信息的同驻检测方法，利用两个虚拟机的网络信息来判断它们之间是否同驻，例如，同驻的两个Xen虚拟机之间具有相同的第一跳IP地址，较短的网络包往返时间，以及数字上接近的内部IP地址。基于网络信息的同驻检测方法实现简单，检测效率较高，且不会对目标虚拟机的运行造成任何影响。然而，已有研究表明公有云平台已经修复了上述漏洞，上述利用网络信息进行虚拟机同驻检测的方法已经不再适用。基于资源干扰的虚拟机同驻检测，利用两个虚拟机竞争使用共享资源时是否相互干扰来判断它们是否同驻。例如，物理网卡的多路复用会带来网络包延时问题，Bates等基于此设计了一种同驻水印方法进行虚拟机同驻检测；Zhang等设计了HomeAlone工具，租户可利用HomeAlone来检测是否有其他租户的虚拟机与其同驻；余思等通过探测L1Cache负载特征变化并基于Cache负载特征匹配的方式推断两个虚拟机是否同驻。然而，已有研究表明上述方法在云环境中均已不再适用，例如，如果物理服务器具有两块以上网卡，同驻水印技术将无法有效检测同驻；HomeAlone技术只能用于验证租户虚拟机对于物理主机的独占使用，并不能用于判断两个虚拟机是否同驻；由于利用L1Cache，余思等提出的方法只能在两个虚拟机被分配到同一个CPU核心上运行(内核级同驻)时进行有效检测，当两个虚拟机被分配到同一个CPU的不同核心(CPU级同驻)或者不同CPU之上(宿主机级同驻)运行时，该方法不再适用。然而，随着硬件技术的发展，在公有云平台中已经很难观察到两个虚拟机被分配到同一内核之上运行的情况。基于隐蔽信道的虚拟机同驻检测基于两个虚拟机是否能够合谋操作同一宿主机的共享资源，来判断它们是否同驻。这种同驻检测方法虽然误检率低，检测结果比较准确；但是，存在一个致命的缺点，即只能应用于检测与被检测双方均为受控虚拟机((即目标虚拟机合作模式)的情况，并不能适用于现实应用场景中只有检测虚拟机受控的情况(即非目标虚拟机合作模式)。综上所述，已有虚拟机同驻检测方法并不能很好地解决虚拟机同驻检测问题。
技术实现思路
本专利技术的目的在于提供一种用于虚拟机同驻检测的方法，当目标虚拟机和检测虚拟机被分配到同一个CPU之上或者同一宿主机的不同CPU之上时，均可以在非目标虚拟机合作模式下进行同驻检测，且检测结果可以以概率的形式定量地描述检测虚拟机与目标虚拟机同驻的可能性大小，保证同驻检测结果的准确性和可靠性。为了实现上述目的，本专利技术采用的技术方案是：一种基于响应时间序列数据分析的虚拟机同驻检测方法，包括以下步骤：步骤1：基于ON-OFF干扰注入机制采集目标虚拟机的性能信息：1.1)在干扰情况下向目标虚拟机发送服务请求，测量并记录本次请求的响应时间；1.2)在基准情况下向目标虚拟机发送服务请求，测量并记录本次请求的响应时间；1.3)重复步骤1.1)-步骤1.2)N(N≥10)次，并将实时采集的数据形成数据集其中为第i次采集的目标虚拟机在干扰情况下的响应时间，为第i次采集的目标虚拟机在正常情况下的响应时间；1.4)根据RTS，得到目标虚拟机在干扰情况下的响应时间序列和正常情况下的响应时间序列步骤2：剔除采集数据中的异常值；步骤3：基于云滴模型计算同驻概率；步骤4：检测结果判定：将计算得到的同驻概率值P与设定的阈值η进行比较，如果该同驻概率值大于阈值，则检测虚拟机与目标虚拟机同驻；否则为不同驻。进一步的，步骤2)具体包括以下步骤：2.1)根据云滴模型的逆向云发生器，计算得到RTS+的云模型C+(Ex+,En+)和RTS-的云模型C-(Ex-,En-)；2.2)查表得到样本容量为N时的肖维勒系数ωN；2.3)响应时间序列RTS+中满足|ti+|>ωN·En+的测量值ti+将被检测为离群值，并通过剔除所有的离群值，得到数据集2.4)响应时间序列RTS-中满足|ti-|>ωN·En-的测量值ti-将被检测为离群值，并通过剔除所有的离群值，得到数据集进一步的，步骤3)具体包括以下步骤：3.1)根据云滴模型的逆向云发生器，计算得到RTS+′的云滴模型C+′(Ex+′,En+′)和RTS-′的云滴模型C-′(Ex-′,En-′)；3.2)计算云滴模型C-′(Ex-′,En-′)的期望Ex-′对于云滴模型C+′(Ex+′,En+′)的隶属度μ(Ex-′,C+′)；3.3)计算云滴模型C+′(Ex+′,En+′)的期望Ex+′对于云滴模型C-′(Ex-′,En-′)的隶属度μ(Ex+′,C-′)；3.4)计算云滴模型C-′(Ex-′,En-′)与云滴模型C+′(Ex+′,En+′)之间的偏离度δ(C-′,C+′)，其中，偏离度的定义为：3.5)计算检测虚拟机与目标虚拟机之间的同驻概率，其中，同驻概率的定义为：P＝1-δ(C-′,C+′)。进一步的，响应时间是指从检测虚拟机向目标虚拟机发送服务请求到检测虚拟机接收到目标虚拟机服务响应的间隔时间，单位为纳秒；在干扰情况下，检测虚拟机基于总线锁定来注入干扰，具体的：锁定的原子操作当操作数不能被缓存在处理器内部时将产生总线锁定，此时检测虚拟机所在物理主机上的其它内存访问操作将被阻塞，内存访问延迟增加，导致与检测虚拟机同驻的其它虚拟机的可用性降低。进一步的，步骤1中，干扰情况下为检测虚拟机注入干扰；基准情况为检测虚拟机不注入干扰。一种基于响应时间序列数据分析的虚拟机同驻检测方法，该方法包括以下步骤：步骤1：基于ON-OFF干扰注入机制实时采集目标虚拟机的响应时间序列，然后分别提取目标虚拟机在干扰情况下和正常情况下的响应时间序列；步骤2)处理采集数据中的异常值，对于步骤1中实时采集的目标虚拟机在干扰情况下和正常情况下的响应时间序列，分别检测并剔除其中存在的离群值；步骤3)本文档来自技高网...

【技术保护点】
一种基于响应时间序列数据分析的虚拟机同驻检测方法，其特征在于，包括以下步骤：步骤1：基于ON‑OFF干扰注入机制采集目标虚拟机的性能信息：1.1)在干扰情况下向目标虚拟机发送服务请求，测量并记录本次请求的响应时间；1.2)在基准情况下向目标虚拟机发送服务请求，测量并记录本次请求的响应时间；1.3)重复步骤1.1)‑步骤1.2)N次，并将实时采集的数据形成数据集其中为第i次采集的目标虚拟机在干扰情况下的响应时间，为第i次采集的目标虚拟机在正常情况下的响应时间；N≥10；1.4)根据RTS，得到目标虚拟机在干扰情况下的响应时间序列和正常情况下的响应时间序列步骤2：剔除采集数据中的异常值；步骤3：基于云滴模型计算同驻概率；步骤4：检测结果判定：将计算得到的同驻概率值P与设定的阈值η进行比较，如果该同驻概率值大于阈值，则检测虚拟机与目标虚拟机同驻；否则为不同驻。

【技术特征摘要】
1.一种基于响应时间序列数据分析的虚拟机同驻检测方法，其特征在于，包括以下步骤：步骤1：基于ON-OFF干扰注入机制采集目标虚拟机的性能信息：1.1)在干扰情况下向目标虚拟机发送服务请求，测量并记录本次请求的响应时间；1.2)在基准情况下向目标虚拟机发送服务请求，测量并记录本次请求的响应时间；1.3)重复步骤1.1)-步骤1.2)N次，并将实时采集的数据形成数据集其中为第i次采集的目标虚拟机在干扰情况下的响应时间，为第i次采集的目标虚拟机在正常情况下的响应时间；N≥10；1.4)根据RTS，得到目标虚拟机在干扰情况下的响应时间序列和正常情况下的响应时间序列步骤2：剔除采集数据中的异常值；步骤3：基于云滴模型计算同驻概率；步骤4：检测结果判定：将计算得到的同驻概率值P与设定的阈值η进行比较，如果该同驻概率值大于阈值，则检测虚拟机与目标虚拟机同驻；否则为不同驻。2.根据权利要求1所述的一种基于响应时间序列数据分析的虚拟机同驻检测方法，其特征在于，步骤2)具体包括以下步骤：2.1)根据云滴模型的逆向云发生器，计算得到RTS+的云模型C+(Ex+,En+)和RTS-的云模型C-(Ex-,En-)；2.2)查表得到样本容量为N时的肖维勒系数ωN；2.3)响应时间序列RTS+中满足|ti+|>ωN·En+的测量值ti+将被检测为离群值，并通过剔除所有的离群值，得到数据集P≤N；2.4)响应时间序列RTS-中满足|ti-|>ωN·En-的测量值ti-将被检测为离群值，并通过剔除所有的离群值，得到数据集Q≤N。3.根据权利要求1所述的一种基于响应时间序列数据分析的虚拟机同驻检测方法，其特征在于，步骤3)具体包括以下步骤：3.1)根据云滴模型的逆向云发生器，计算得到RTS+′的云滴模型C+′(Ex+′,En+′)和RTS-′的云滴模型C-′(Ex...

【专利技术属性】
技术研发人员：桂小林，梁鑫，安健，代兆胜，任德旺，张晨，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：陕西;61