基於分布式Agent的雲資源可信數據獲取與分析方法
2023-10-10 17:35:34 3
專利名稱:基於分布式Agent的雲資源可信數據獲取與分析方法
技術領域:
本發明屬於分布式計算領域,具體涉及集成多種技術,如雲計算技術、分布式代理(Agent)技術、網絡監控技術等,實現面向雲資源可信度評估的一種數據獲取與分析方法。
背景技術:
雲計算是分布式處理、並行處理和網格計算的發展,或者說是這些計算機科學概念的商業實現。雲計算同時也是計算機資源公共化在商業模型上一個重要革新。通過雲計算,用戶將從繁重,複雜,易錯的計算機資源管理中解放出來,而只需關注業務邏輯。這種業務邏輯與計算資源的分離將大大地降低企業信息化的複雜度。更重要的是,雲計算帶來的服務整合與按需供給將大大提高當前計算資源的利用率,降低服務的能耗量,並且有效屏弊計算資源的出錯問題。
為什麼用戶可把最敏感的數據交給雲服務中心去管理?就是建立在大眾用戶對雲計算服務信任的基礎之上的,因此,可信問題是雲計算賴以生存的基石。在雲計算環境裡,由於虛擬化技術的使用,雲服務提供商的資源和用戶的管理方式是開放的,完全分布式的。由於商業利潤的驅使,雲服務(資源)會存在一些欺詐行為,影響雲平臺上運行的應用程式。另外由於完全開放的計算環境,在沒有權威的管理中心可以監管的情況下,會存在一些自私的服務提供商,提供一些不實資源信息,擾亂整個雲系統的運行。同時,面向用戶的多樣性需求,用戶申請的服務有可能需要多個雲資源之間進行協作,而進行協作的前提也是雲資源彼此之間具有良好的可信關係。由以上分析可以看出,可信管理作為一種有效的網絡安全新技術,也是實現雲計算資源安全的一個核心技術。並且隨著雲計算的不斷普及,可信問題的重要性呈現逐步上升趨勢,已成為制約其發展的重要因素。本專利提出一種通過分布式Agent技術來監測和分析雲計算資源可信數據的新方法,通過動態監控和分析雲計算資源相關的可信數據,可以發現雲計算環境中的潛在惡意行為,防患於未然。
發明內容
本發明提出通過分布式Agent技術來監測和分析各種雲資源可信性相關的上下文的變化,監測的重點是與難點是雲資源的行為上下文,雲資源行為是雲計算應用環境中帶來安全隱患的主要原因,通過對雲資源行為的監測,可以發現雲計算環境中的潛在惡意行為,防患於未然。本發明通過分布式Agent對雲資源的服務行為進行監控,監控到的上下文數據作為資源可信性評估與預測的證據,而可信性評估的結果可以作為雲計算平臺進行資源調度與分配的憑證。為達到上述目的,如圖I所示,本發明的技術方案共分為兩個層次,計算代理層和監控代理層。本發明技術方案分為如下幾個基本的執行步驟
步驟一代理管理器啟動多個分布式的Agent來對不同的雲資源的服務數據進行動態監控;具體的監測對象包括內存和中央處理器(CPU)的使用率、網絡埠、網絡流量、日誌、應用程式的調度過程、進程和系統調用等;步驟二 監控到的上下文數據放入存放原始數據的存儲設備之中;步驟三計算代理層通過上下文事件服務模塊,調用監控到的原始數據,並進行數據的預處理,並將與處理後的數據存入相關的存儲設備,管理行為上下文的代理管理器根據事件的緊急程度,可以直接觸發上下文事件服務模塊,實時的進行可信度的重新評估;步驟四雲計算平臺的可信評估模塊根據預處理後的數據來對雲資源的信任度進行評估及預測。在評估與預測的過程中,可信評估模塊使用上下文信息資料庫中的信息,這些信息是通過網絡監控模塊對雲資源進行實時監控而收集到的;步驟五根據可信評估模塊的計算可信性評估結果,進行雲計算資源的任務調度 和分配。本發明有以下一些技術特徵(I)步驟I所述的代理管理器封裝了 Agent的數據訪問和控制功能接口,根據分布式Agent的功能不同,劃歸不同的代理管理器管理。同時代理管理器將Agent產生的數據轉入上下文監控資料庫中;(2)步驟2所述的原始的上下文監控資料庫,主要用來存放多個代理監控到的雲計算資源的服務數據,這些數據其表現形式為在一定範圍內的具體值(物理量綱值)或者百分比數據,例如平均無故障時間和掃描重要埠次數,都是一個在某一範圍內的具體值,平均無故障時間是沿正向遞增的,即越大越好,掃描重要埠次數是沿正向遞減的,即越小越好;(3)步驟3所述計算代理CA,主要用來做數據預處理。由於行為監測數據的表示多樣性,為了便於融合計算,需要把數據表示進行規範化等預處理,即把它們全部表示為在
區間沿正向遞增的無量綱值,這樣不僅便於數值融合計算而且也與網絡實體信任度測值的範圍和方向相一致。(4)步驟4所述的可信評估模塊,是整個可信管理中間件的核心模塊之一,在資源可信度評估與預測的過程中,可信評估模塊使用預處理後上下文信息資料庫中的信息,這樣可以大大加快整個系統的運行速度,進而提高可信度管理系統的運行效率。(5)步驟5所述的雲計算資源的任務調度和分配,主要是一種基於可信度評估的動態資源調度策略,該策略區別於傳統的靜態資源調度策略,具有更好的實時性。
圖I為基於分布式Agent的雲資源可信性數據監控與分析系統的邏輯框架圖。
圖2主要的監控參數。
具體實施例方式為使本發明的目的、技術方案及優點更加清楚明白,以下參照附圖並舉實例對本發明做進一步詳細地說明。I.系統基本層次結構和功能模塊劃分
本發明的技術方案共分為兩個層次,計算代理層和監控代理層。監控代理層主要負責採集雲資源和雲用戶交互過程中的常用行為參數,例如,網絡帶寬利用率、內存和CPU利用率和應用行為隱患(包括埠、系統調用等可能潛在的入侵行為和惡意行為)等。監控代理層由各種監控代理MA(Monitoring-AgentS)、代理管理器和原始的上下文監控資料庫構成。計算代理層主要進行數據的預處理計算。計算代理層主要由計算代理(CA,Calculating Agents)、預處理後的上下文資料庫、上下文事件服務和信任評估上下文訪問接口組成。2.監控代理層的主要監控參數監控代理層主要負責採集雲資源和雲用戶交互過程中的常用行為參數(或者稱為指標),這些參數主要包括CPU利用率、IP傳輸效率、內存利用率、帶寬利用率、平均吞吐量、資源共享率、作業成功執行率、誤碼率、IP丟包率、連結建立成功率、平均無故障時間、站點自防禦能力、非法連結次數、掃描重要埠次數和嘗試越權次數等。主要的監控參數見附圖2。3.計算代理層數據的預處理方法通過監控代理層的Agent獲得的原始上下文數據,其表現形式為在一定範圍內的具體值(物理量綱值)或者百分比數據,例如平均無故障時間和掃描重要埠次數,都是一個在某一範圍內的具體值,平均無故障時間是沿正向遞增的,即越大越好,掃描重要埠次數是沿正向遞減的,即越小越好。由於行為監測數據的表示多樣性,為了便於融合計算,需要把數據表示進行規範化等預處理,即把它們全部表示為在
區間沿正向遞增的無量綱值,這樣不僅便於數值融合計算而且也與雲資源可信度的測量值的範圍和方向相一致。預處理我們採用數據規範化的方法。具體方法為將分布式Agent獲得的監控數據按照時間進行排列,則在某個時間點η共有η組需要處理的監控數據,這η組數據中的每一組數據稱為一個監控樣本。這樣,在時間點η,就會有待處理的η個樣本X = (X1, X2---, χη}每個樣本的屬性集合表示為\ = Ixjl, xJ2,…,XiJ,可用矩陣表示為
權利要求
1.基於分布式Agent的雲資源可信數據獲取與分析方法,其特徵在於,在計算雲資源的總體可信度時,採用分布式Agent技術,對雲計算的服務過程進行動態監控,並將監控到的上下文數據,作為可信度評估的而重要依據,這樣可以使得評估結果具有更好的動態性和實時性,從而評估結果更加可觀、可信。
2.根據權利要求I所述的方法,其特徵在於,實現方案共分為兩個層次,計算代理層和監控代理層。監控代理層負責原始數據的監控,計算代理層負責數據的預處理,從而兩個層之間可以並行工作,大大提高系統的執行效率。
3.根據權利要求I所述的方法,其特徵在於,監控代理層主要負責採集雲資源和雲用戶交互過程中的常用行為參數,這些參數主要包括CPU利用率、IP傳輸效率、內存利用率、帶寬利用率、平均吞吐量、資源共享率、作業成功執行率、誤碼率、IP丟包率、連結建立成功率、平均無故障時間、站點自防禦能力、非法連結次數、掃描重要埠次數和嘗試越權次數坐寸O
4.根據權利要求I所述的方法,其特徵在於,計算代理層主要進行數據的預處理計算。計算代理層主要由計算代理(CA)、預處理後的上下文資料庫、上下文事件服務和信任評估上下文訪問接口組成。
5.根據權利要求I所述的方法,其特徵在於,預處理我們採用數據規範化的方法,通過規範化的預處理所有的監控數據都可以轉換為[O,I]範圍的正向遞增值,每個監控數據的值越大,該證據對雲計算資源的可信度評估的貢獻也越大。
6.根據權利要求I所述的方法,其特徵在於,當有一個用戶向雲計算服務提供者提出資源需求時,雲計算的資源管理者可以採用基於可信度的雲計算資源的任務調度和分配方法。
全文摘要
本發明提出了一種基於分布式Agent的雲資源可信數據獲取與分析方法,在計算雲資源的總體可信度時,採用分布式Agent技術對雲計算的服務過程進行動態監控,並將監控到的上下文數據,作為可信度評估的而重要依據,這樣可以使得評估結果具有更好的動態性和實時性,從而評估結果更加可觀、可信。在實現方案上共分為兩個層次,計算代理層和監控代理層。監控代理層負責原始數據的監控,計算代理層負責數據的預處理,從而兩個層之間可以並行工作,大大提高系統的執行效率。
文檔編號H04L29/08GK102891864SQ20111020042
公開日2013年1月23日 申請日期2011年7月18日 優先權日2011年7月18日
發明者李小勇, 陳誠 申請人:北京郵電大學