| 主权项 |
一种基于人工免疫的云服务异常检测方法,包括以下步骤:1)对捕获的云服务行为数据进行危险信号表达,具体包括:1.1)为系统中的每一个服务分配一个监控器(淋巴细胞)Si,读取该服务的服务起源日志;1.2)根据服务起源日志9元组,即BasicProv(token,InvokingService,ServiceInvoked,location,elapsed time,timestamp,input,output,status),计算3个危险信号源随时间变化曲线,所述危险信号源包括调用次数,耗时和异常率,其中调用次数‑时间曲线通过(invokingService,time)计算,耗时时间曲线通过(invokingService,elapsed time,time)计算得到,异常率通过(invokingService,status,time)计算得到;1.3)每个监控器实时监控服务的运行状态,进行危险信号表达;2)根据危险信号的表达和触发条件,进行危险信号的触发;所述危险信号的触发条件具体为:若为单个服务,触发有两个条件:一是如果调用次数、耗时和异常率任一数值大于阈值,则触发危险信号Di(type:count,elapsed time,exception),其中i为服务编号,type描述了危险型号的类型;所述危险型号的类型为:频率异常、耗时异常和状态异常;所述阈值根据系统正常时,调用次数、耗时和异常率的平均值动态设置;二是计算调用次数、耗时和异常率3个指标的变化率,若超过设定变化阈值则触发危险信号;具体如下:记录每一个服务在某一时刻点T的耗时为t,频率f以及异常率w,再记录在下一时刻点T’时这三个变量的变化记为t’,f’,w’;通过变化率对危险信号进行计算;那么记△F(t)=F(t’)‑F(t),△F(f)=F(f’)‑F(f),△F(w)=F(w’)‑F(w),以及时刻的变化△T=T’‑T,进而求出在这短暂的时刻这三个变量的变化率分别为△F(t)/△T,△F(f)/△T,△F(w)/△T;对计算后的值与上一步骤中获取的阈值进行比较,如果大于此阈值则判断为危险信号,那么在第一步中为每个服务分配的监控器(淋巴细胞)Si将会报警并对这个异常进行处理。3)危险信号的判定:针对发出危险信号的服务,计算危险程度,进行危险信号的判定,详细的步骤如下:3.1)借鉴细胞克隆增殖的过程,针对发出危险信号的服务及其区域,分配更多的计算资源,查询近期的所有服务起源日志,计算服务的特征变化;3.2)在具体计算服务的特征的时候,构建调用次数‑时间Count‑time,耗时‑时间特征elapse‑time曲线,通过夹角余弦的方式进行计算,小于设定的阈值时候,判断服务行为发生了较大的改变;3.3)当调用次数‑时间Count‑time,耗时‑时间特征elapse‑time曲线的行为特征都发生较大改变时候,判定产生了异常。 |
