虛擬機(jī)快照和分析的制作方法
【專利摘要】描述了用于捕捉和分析虛擬機(jī)快照的技術(shù)。一個(gè)或多個(gè)計(jì)算機(jī)可以在虛擬機(jī)正在執(zhí)行時(shí)自動(dòng)獲取這些虛擬機(jī)的快照以形成虛擬機(jī)快照池���。虛擬機(jī)快照隨后被讀取以獲取這些虛擬機(jī)快照的一組特征屬性��,這些特征屬性包括與運(yùn)行中客操作系統(tǒng)����、安裝在虛擬機(jī)上的軟件�����、有關(guān)虛擬機(jī)本身的元數(shù)據(jù)有關(guān)的信息以及其他信息���。在一個(gè)實(shí)施例中,使用機(jī)器學(xué)習(xí)算法來分析特征或?qū)傩砸宰詣?dòng)計(jì)算并存儲(chǔ)有關(guān)虛擬機(jī)的信息��。
【專利說明】虛擬機(jī)快照和分析
[0001]背景
[0002]現(xiàn)代計(jì)算仍有需要改善的地方。在機(jī)器內(nèi)和機(jī)器間這兩個(gè)層面上如何對計(jì)算機(jī)進(jìn)行設(shè)計(jì)和編程的不斷演變導(dǎo)致性能��、安全性����、可靠性、功耗�����、效率等等的新問題����。漸增的復(fù)雜性使得機(jī)器或軟件的漏洞或關(guān)鍵方面難以被標(biāo)識(shí)。已知分析靜態(tài)計(jì)算機(jī)組(例如�����,休眠機(jī)器的靜態(tài)文件)來了解個(gè)體機(jī)器以及機(jī)器組����。物理計(jì)算機(jī)(物理機(jī)器)已被自動(dòng)分析來標(biāo)識(shí)有故障的或表現(xiàn)良好的機(jī)器、程序性漏洞��、表現(xiàn)欠佳或正在經(jīng)歷錯(cuò)誤的機(jī)器等等之間共有的特征�。然而�����,迄今為止�,這樣的分析局限于物理機(jī)器����、日志文件、磁盤映像等的靜態(tài)狀態(tài)��。尚不可能把大組正在運(yùn)行的計(jì)算機(jī)作為一個(gè)整體來分析�。
[0003]然而,最近在諸如計(jì)算云�����、數(shù)據(jù)中心等的某些環(huán)境中�,操作系統(tǒng)及其上的軟件有時(shí)是運(yùn)行在虛擬機(jī)(VM)上的,這在下面詳細(xì)描述���。用虛擬機(jī)技術(shù),有可能捕捉和存儲(chǔ)正在運(yùn)行的“機(jī)器”的快照��,該快照包括機(jī)器的硬件狀態(tài)��、軟件狀態(tài)、操作系統(tǒng)狀態(tài)����、文件系統(tǒng)狀態(tài)、內(nèi)存狀態(tài)�����,等等��。這個(gè)捕捉到的“處于運(yùn)動(dòng)中”的機(jī)器的狀態(tài)擁有此前從未被認(rèn)為是可受分析的數(shù)據(jù)集體集合的信息�����。
[0004]下面討論和虛擬機(jī)快照集合分析有關(guān)的技術(shù)�����。
[0005]概述
[0006]以下概述僅是為了介紹在以下詳細(xì)描述中討論的某些概念而被包括的�����。本概述并不是全面的����,并且不旨在描繪所要求保護(hù)的主題的范圍�����,該范圍由所附的權(quán)利要求書來闡明���。
[0007]描述了用于捕捉和分析虛擬機(jī)快照的技術(shù)。一個(gè)或多個(gè)計(jì)算機(jī)可以在虛擬機(jī)正在執(zhí)行時(shí)自動(dòng)獲取這些虛擬機(jī)的快照以形成虛擬機(jī)快照池����。虛擬機(jī)快照隨后被讀取以獲取虛擬機(jī)快照的一組特征屬性,該特征屬性包括與運(yùn)行中的客操作系統(tǒng)���、安裝在虛擬機(jī)上的軟件���、有關(guān)虛擬機(jī)本身的元數(shù)據(jù)有關(guān)的信息以及其他信息。在一個(gè)實(shí)施例中����,使用機(jī)器學(xué)習(xí)算法來分析這些特征或?qū)傩砸宰詣?dòng)計(jì)算并存儲(chǔ)有關(guān)虛擬機(jī)的信息。
[0008]許多附帶特征將參考以下的詳細(xì)描述并結(jié)合附圖考慮以在下文解釋���。
[0009]附圖簡述
[0010]根據(jù)附圖閱讀以下詳細(xì)描述�,將更好地理解本發(fā)明����,其中在所附描述中使用相同的附圖標(biāo)記來指代相同的部分。
[0011]圖1示出示例虛擬化層�。
[0012]圖2示出關(guān)于虛擬機(jī)和虛擬機(jī)映像的虛擬化層的過程和交互。
[0013]圖3示出如何捕捉執(zhí)行中的虛擬機(jī)的快照����。
[0014]圖4示出用于捕捉虛擬機(jī)快照的系統(tǒng)。
[0015]圖5示出虛擬機(jī)快照的分層結(jié)構(gòu)����。
[0016]圖6示出用于捕捉虛擬機(jī)快照的過程。
[0017]圖7示出用于分析虛擬機(jī)快照的系統(tǒng)���。
[0018]圖8示出示例虛擬機(jī)快照特征池�。
[0019]圖9示出提取和分析快照特征的過程�。[0020]圖10示出分析工具的示例實(shí)施例。
[0021]圖11示出使用訓(xùn)練數(shù)據(jù)的機(jī)器學(xué)習(xí)實(shí)施例�。
[0022]圖12示出用于訓(xùn)練和使用受監(jiān)督的或半受監(jiān)督的學(xué)習(xí)機(jī)器的過程。
[0023]詳細(xì)描述
[0024]機(jī)器虛擬化
[0025]圖1示出示例虛擬化層100��。計(jì)算機(jī)102具有硬件104,該硬件104包括中央處理單元(CPU) 106���、存儲(chǔ)器108����、網(wǎng)絡(luò)接口 110、非易失性存儲(chǔ)112以及諸如總線�、顯示適配器等沒有示出的其他組件。虛擬化層100管理和促成虛擬機(jī)114的執(zhí)行���。盡管圖1中未示出��,每個(gè)虛擬機(jī)114通常具有相關(guān)聯(lián)的虛擬盤映像和客操作系統(tǒng)�。簡明起見��,虛擬機(jī)114的操作系統(tǒng)和可能的應(yīng)用軟件有時(shí)會(huì)被稱作“訪客”�,“訪客”存儲(chǔ)在與虛擬機(jī)114相關(guān)聯(lián)的虛擬盤映像中并且從與虛擬機(jī)114相關(guān)聯(lián)的虛擬盤映像執(zhí)行“訪客”。
[0026]虛擬化層100可以是任何種已知或未來的實(shí)現(xiàn)���,諸如Hyper-V服務(wù)器(TM)�、VMWareESX服務(wù)器(TM)���、Xen����、0racle VM (TM)等。虛擬化層的架構(gòu)可以是虛擬機(jī)監(jiān)視器(VMM)在主機(jī)操作系統(tǒng)上運(yùn)行的托管類型�,或者是管理程序等在計(jì)算機(jī)102的硬件104上直接運(yùn)行的裸金屬類型。如本文中所使用的��,術(shù)語“虛擬機(jī)”是指模擬任何特定的硬件架構(gòu)(例如�,x86)能夠運(yùn)行該硬件架構(gòu)的本機(jī)代碼的系統(tǒng)型虛擬機(jī)����;對于訪客而言,虛擬機(jī)與硬件機(jī)器可能是幾乎不可區(qū)分����。在本文中所討論的虛擬機(jī)不是諸如Java虛擬機(jī)的抽象化或進(jìn)程型(process-type)的虛擬機(jī)。
[0027]虛擬化層100執(zhí)行管理虛擬機(jī)114以及由其本身和虛擬機(jī)114 二者共享硬件104的基本功能�。可以使用各種技術(shù)中的任何一種把虛擬機(jī)114和硬件104隔離開�。在一個(gè)實(shí)施例中,虛擬化層可以提供與虛擬機(jī)114相對應(yīng)的不同的隔離環(huán)境(S卩���,分區(qū)或域)�����。虛擬化層100中的一些���,諸如共享虛擬設(shè)備驅(qū)動(dòng)程序�����、虛擬機(jī)內(nèi)通信設(shè)施和虛擬機(jī)管理API (應(yīng)用編程接口)���,可以運(yùn)行在一個(gè)特殊的特權(quán)分區(qū)或域中,從而允許緊湊且高效的管理程序���。在其它實(shí)施例中��,用于虛擬機(jī)管理和對硬件104的共同共享的功能可以駐留在單片金屬上(on-the-metal)管理程序中���。
[0028]圖2示出關(guān)于虛擬機(jī)114和虛擬機(jī)映像140的虛擬化層100的過程和交互。虛擬化層100可能根據(jù)相應(yīng)的虛擬機(jī)配置參數(shù)執(zhí)行啟動(dòng)并執(zhí)行虛擬機(jī)114的過程142�����。當(dāng)虛擬機(jī)(VM) 114被啟動(dòng)時(shí)�����,虛擬化層標(biāo)識(shí)相關(guān)聯(lián)的虛擬機(jī)映像140���。在實(shí)踐中��,任何虛擬機(jī)114可以使用任何虛擬機(jī)映像140����。虛擬機(jī)映像140可以是虛擬化層100的文件系統(tǒng)141上的經(jīng)特殊格式化的文件(如,VHD)��。虛擬化層100加載所標(biāo)識(shí)的虛擬機(jī)映像140��。啟動(dòng)的虛擬機(jī)114也許通過尋求主引導(dǎo)記錄或其他引導(dǎo)信息來安裝和讀取虛擬機(jī)映像140�����,并且引導(dǎo)開始執(zhí)行的客操作系統(tǒng)���。
[0029]虛擬化層100管理虛擬機(jī)114的執(zhí)行,處理對訪客的內(nèi)核的特定調(diào)用�、超級調(diào)用等,以及協(xié)調(diào)虛擬機(jī)114對底層硬件104的訪問����。隨著訪客及其軟件運(yùn)行,虛擬化層100可以維護(hù)虛擬盤映像140上的訪客的狀態(tài)��;當(dāng)訪客或由訪客運(yùn)行的應(yīng)用向“盤”寫數(shù)據(jù)時(shí),虛擬化層100把數(shù)據(jù)轉(zhuǎn)換成虛擬盤映像140的格式并寫入到該映像����。
[0030]虛擬化層100可以執(zhí)行用于關(guān)閉虛擬機(jī)114的過程144。當(dāng)接收到停止虛擬機(jī)114的指令時(shí)���,虛擬機(jī)114及其訪客的狀態(tài)被保存到虛擬盤映像140����,并且執(zhí)行中的虛擬機(jī)114的過程(或分區(qū))被刪除�����?����?梢员A籼摂M機(jī)114的說明用于虛擬機(jī)114的以后重啟��。[0031]虛擬機(jī)快照
[0032]圖3示出可如何捕捉執(zhí)行中的虛擬機(jī)114的快照�。虛擬機(jī)114具有在其上使用硬件104來執(zhí)行的客操作系統(tǒng)180。運(yùn)行中的虛擬機(jī)113提供存儲(chǔ)客操作系統(tǒng)180和安裝在客操作系統(tǒng)180上的任何應(yīng)用或其它軟件的虛擬盤存儲(chǔ)���。訪客180和應(yīng)用的總狀態(tài)182可以物理存在于由虛擬化層100管理的整個(gè)硬件104����。總之����,幾乎任何已知的物理機(jī)器的硬件或軟件的特征都可在虛擬機(jī)114上具有等同物。虛擬化層100包括執(zhí)行過程186以捕捉快照188的快照組件184���。當(dāng)虛擬機(jī)114正在運(yùn)行時(shí)��,接收捕捉虛擬機(jī)114的快照的指令���。例如�,虛擬化管理系統(tǒng)可以跨網(wǎng)絡(luò)傳送被虛擬化層100接收到的指令。在一些虛擬化實(shí)現(xiàn)中���,在捕捉快照之前可能需要進(jìn)行一些初步的準(zhǔn)備���。例如緩存可能需要刷新,文件系統(tǒng)或存儲(chǔ)系統(tǒng)可能需要被停頓���,客操作系統(tǒng)180的存儲(chǔ)頁面可能需要被存儲(chǔ)��,等等��。
[0033]可以用已知的技術(shù)或現(xiàn)有的虛擬化實(shí)現(xiàn)技術(shù)來執(zhí)行捕捉快照188�����。值得注意的是����,快照188可以包括在等同的運(yùn)行中物理機(jī)器上可用的任何信息。例如����,快照188可以包括虛擬機(jī)113的存儲(chǔ)器的副本,該副本可以包括執(zhí)行中過程190����、內(nèi)核數(shù)據(jù)結(jié)構(gòu)192或虛擬機(jī)113的虛擬化物理存儲(chǔ)器中的任何信息。此外�,快照188可以包括從虛擬機(jī)113使用的物理或虛擬設(shè)備捕捉的信息,該信息包括寄存器的值�、緩沖區(qū)的內(nèi)容等。在一些實(shí)現(xiàn)中�����,快照過程186也可以捕捉與虛擬機(jī)113的虛擬物理環(huán)境有關(guān)的信息,諸如虛擬CPU信息(虛擬核或CPU的數(shù)量)���、存儲(chǔ)器和存儲(chǔ)量����、虛擬設(shè)備���、虛擬網(wǎng)絡(luò)接口卡����、BIOS����、虛擬主機(jī)板、設(shè)備驅(qū)動(dòng)��,等等���。一些虛擬化實(shí)現(xiàn)可以將快照鏈接到虛擬機(jī)的盤映像,并且該快照可以包括與虛擬機(jī)的盤映像不同的執(zhí)行中的虛擬機(jī)的存儲(chǔ)塊�。總之���,快照188是持久對象��,諸如包含了所捕捉的虛擬機(jī)的工作狀態(tài)的文件�����。大多數(shù)虛擬化實(shí)現(xiàn)允許加載和執(zhí)行快照�����;正執(zhí)行快照的虛擬機(jī)(可能是不同于從其捕捉快照的原始虛擬機(jī)的虛擬機(jī))如同拍快照時(shí)的原始虛擬機(jī)那樣開始執(zhí)行�。換言之,執(zhí)行中的虛擬機(jī)的狀態(tài)可以被捕捉并且后來在同一個(gè)或一個(gè)新的虛擬機(jī)中繼續(xù)�。
[0034]圖4示出用于捕捉虛擬機(jī)快照的系統(tǒng)。在網(wǎng)絡(luò)210����、數(shù)據(jù)中心、計(jì)算云等中執(zhí)行不同的虛擬機(jī)114��?���?煺展芾砥?212例如通過經(jīng)由網(wǎng)絡(luò)210向正運(yùn)行虛擬機(jī)114的主機(jī)發(fā)送消息來觸發(fā)虛擬機(jī)114的快照捕捉?�?煺战M件184通過捕捉快照188來響應(yīng),快照188可被存儲(chǔ)在快照儲(chǔ)存卡214中��,包括與源虛擬機(jī)和捕捉時(shí)間有關(guān)的信息����。
[0035]快照管理器212可以是跨網(wǎng)絡(luò)管理虛擬機(jī)的虛擬機(jī)管理系統(tǒng)的一部分。在一個(gè)實(shí)施例中���,隨時(shí)間重復(fù)拍攝任何給定虛擬機(jī)的快照188���,從而可能形成虛擬機(jī)的順序快照鏈。例如�����,在圖4中��,VM-1具有在不同時(shí)間點(diǎn)捕捉的快照SS1����、SS2及其他快照�����。VM-1可以在任何時(shí)間從其快照之一重啟。例如��,在捕捉SS2之后��,可以把SSl加載到VM-1中����,并且VM-1會(huì)以捕捉SSl時(shí)它所具有的幾乎相同的狀態(tài)運(yùn)行。這可允許要被捕捉的虛擬機(jī)的樹或分層結(jié)構(gòu)的示例版本�����。
[0036]圖5示出虛擬機(jī)快照的分層結(jié)構(gòu)230��。如上所述�,有可能快照一虛擬機(jī)并隨后從該快照啟動(dòng)相同的或另一虛擬機(jī)示例。這允許使要獲取的快照鏈從相同的基礎(chǔ)虛擬機(jī)分叉開���。在圖5中���,虛擬機(jī)114具有在某時(shí)間點(diǎn)上拍的快照SS-1?��?煺誗S-2是在相同或之后時(shí)間拍的���。新虛擬機(jī)114A可以開始執(zhí)行快照SS-2����,并且之后拍虛擬機(jī)114A的快照�����,諸如SS-2.1���,隨后SS-2.2���,等等。類似地����,可以在另一新虛擬機(jī)上啟動(dòng)快照SS-2.1,并且可以對該虛擬機(jī)拍快照SS-2.1.1�,SS.2.1.2……等。隨時(shí)間形成分層結(jié)構(gòu)230�,可能其中每一虛擬機(jī)示例具有其鏈接到的其本身的虛擬機(jī)盤映像以及各自鏈接到其前導(dǎo)者的來自相同虛擬機(jī)的快照。將理解��,在某些情況下分層結(jié)構(gòu)可以是來自單個(gè)虛擬機(jī)的簡單捕捉序列(例如���,ss-l�,SSl.1�����,SS-1.2)���,或者是相同基礎(chǔ)虛擬機(jī)的各單個(gè)示例的單個(gè)快照(例如��,SS-1, SS-2,…SS-N)���。
[0037]圖6示出用于捕捉虛擬機(jī)快照的過程。在步驟232��,讀取快照配置文件�����。該配置指定實(shí)現(xiàn)細(xì)節(jié)�����,諸如在哪里存儲(chǔ)快照或者多久清除舊快照一次。該配置還可指定快照捕捉模式���,例如�����,捕捉頻率����、何時(shí)或在什么條件下(例如�,在5個(gè)前面的快照之后)分叉出新VM和快照分支、捕捉快照的條件(例如����,當(dāng)前高網(wǎng)絡(luò)飽和度的信號),等等����。在一個(gè)實(shí)施例中,所捕捉的快照可以與被認(rèn)為可能相關(guān)的主題或條件相關(guān)聯(lián)或者標(biāo)記有被認(rèn)為可能相關(guān)的主題或條件��,這可以促成構(gòu)建訓(xùn)練集合����。在步驟234��,重復(fù)評估該配置以確定快照條件是否存在�。在步驟236����,當(dāng)在步驟234確定快照條件存在時(shí)捕捉快照��?��?梢圆蹲脚c快照過程有關(guān)的元數(shù)據(jù)����,并且如所述的��,標(biāo)簽等可以與快照相關(guān)聯(lián)���。
[0038]虛擬機(jī)快照分析
[0039]圖7示出用于分析虛擬機(jī)快照的系統(tǒng)�?��?煺諆?chǔ)存庫214可能如基于網(wǎng)絡(luò)的快照管理器212所指示的存儲(chǔ)由一個(gè)或多個(gè)虛擬機(jī)114的一個(gè)或多個(gè)快照組件184捕捉的虛擬機(jī)快照����。虛擬機(jī)快照可以隨時(shí)間被捕捉成單個(gè)虛擬機(jī)114的序列,或者可以是一個(gè)或多個(gè)虛擬機(jī)的分層結(jié)構(gòu)230�,或其組合。機(jī)器學(xué)習(xí)領(lǐng)域的技術(shù)人員將理解在使用正式機(jī)器學(xué)習(xí)算法的實(shí)施例中�,具有足以產(chǎn)生可靠結(jié)果的大量快照可能是必須的。
[0040]快照被特征提取器250讀取��?����?梢愿鶕?jù)分析的特定目的��、分析算法的選擇等來選擇或查詢所存儲(chǔ)的虛擬機(jī)快照的子集��。特征提取器250訪問虛擬機(jī)快照�����、安裝/讀取其中的文件系統(tǒng)����、讀取所存儲(chǔ)的存儲(chǔ)器內(nèi)容、讀取配置(例如����,注冊表)設(shè)置和/或讀取與快照包括在一起的虛擬機(jī)有關(guān)的 元數(shù)據(jù)��,以標(biāo)識(shí)快照的一組預(yù)定義特征����。任何類型的特征可以被提取以供分析�。特征提取器250可以具有定義要被查尋及提取的特征的模板或定義文件,要被查尋及提取的特征為例如一組文件�����、虛擬機(jī)本身的一組屬性�、要被檢查的一組軟件包��,等等����。參考圖8更加詳細(xì)地討論特征提取及示例特征。
[0041]返回圖7�,特征提取器250以特征池252的形式輸出每一虛擬機(jī)映像的特征集合。特征池252把快照的特征與從其獲取這些特征的相應(yīng)快照相關(guān)聯(lián)��。特征池252允許虛擬機(jī)快照被分析工具254作為一組(例如���,用于群集分析或其他類型的機(jī)器學(xué)習(xí))來分析����。
[0042]分析工具254接收特征池252并且對特征池252執(zhí)行分析。分析可以采取寬范圍的形式�����。在一個(gè)或多個(gè)計(jì)算機(jī)上作為軟件來運(yùn)行的分析工具254可被編程有諸如決策樹或規(guī)則集合(獲取自規(guī)則數(shù)據(jù)庫)等專用于要執(zhí)行的特定分析(例如�,安全性或性能或特定軟件漏斗)的定制邏輯。分析工具254可以改為使用以下所述的統(tǒng)計(jì)建?��;驒C(jī)器學(xué)習(xí)技術(shù)來執(zhí)行分析����,其中分析結(jié)論不是來自硬編碼的邏輯�,而是作為整體來自取決于訓(xùn)練數(shù)據(jù)和/或特征池252的特征含義。
[0043]分析工具254輸出分析輸出256,該分析輸出256也可以米取多種多樣的形式����。自動(dòng)快照分析的目的是標(biāo)識(shí)或估計(jì)與正在分析的快照相對應(yīng)的虛擬機(jī)的屬性或特性。由此�����,分析輸出256可以是根據(jù)以下的快照排序:虛擬機(jī)具有定義的條件(例如,感染電腦病毒)的可能性�、或虛擬機(jī)具有特定特性(例如,在接下來的8天會(huì)經(jīng)歷故障)的可能性�、或虛擬機(jī)屬于特定類別(例如,表現(xiàn)不佳的機(jī)器)的可能性等�。分析輸出256還可以標(biāo)識(shí)虛擬機(jī)的統(tǒng)計(jì)特性、根據(jù)相似性分組的機(jī)器的群集以及其他���,而不分析相對于預(yù)定語義的快照����。
[0044]圖8示出示例虛擬機(jī)快照特征池�。特征池252A是形式為(快照#、特征����、值)的三元組的集合�;到與源虛擬機(jī)和/或快照有關(guān)的信息的鏈接被假設(shè),以允許結(jié)果與單獨(dú)的快照或虛擬機(jī)相關(guān)�����。特征不僅可以是從快照提取的特定值(例如�,注冊表設(shè)置、文件名��、存儲(chǔ)器量、版本號等)���,特征還可以是計(jì)算出的值����。例如��,特征可以表示在快照中存在的預(yù)定義集合內(nèi)的文件數(shù)����,或者被發(fā)現(xiàn)為真的條件數(shù)(例如,可能已經(jīng)發(fā)現(xiàn)10個(gè)病毒條件中的8個(gè))����。示例特征池252B可以是構(gòu)建特征池252A的另一種方式。
[0045]特征池252C是特征向量270的集合��。每個(gè)特征向量是按預(yù)定義次序排列的一組值����,其中每個(gè)值在與特征變量向量272中的特征變量相對應(yīng)的位置處。在使用機(jī)器學(xué)習(xí)的一些實(shí)施例中���,無需明確地定義特征變量���。再者���,特征向量中的特征僅僅是從快照中導(dǎo)出的值,包括其語義內(nèi)容和/或元數(shù)據(jù)�。例如,有可能在快照中讀取工作中存儲(chǔ)器的存儲(chǔ)副本�,并且解析對象,諸如打開文件的名稱�、編程對象、或在虛擬機(jī)被拍快照時(shí)可被看成已經(jīng)活動(dòng)的其他對象��。
[0046]圖9示出用于提取和分析快照特征的過程���。首先�,在步驟290�����,可以選擇一組虛擬機(jī)快照以供特征提取�����。如上所述��,定義的時(shí)間范圍����、虛擬機(jī)屬性(例如,擁有虛擬機(jī)的承租人)�����、隨機(jī)采樣或其他條件可被用來過濾快照�。在步驟292,從所選擇的快照提取特征�����。該特征可以選自指定特征名稱或特征位置等的說明����。在一個(gè)實(shí)施例中,可以用縮減要分析的特征空間的維數(shù)縮減過程來補(bǔ)充特征提取�����。例如��,如果某特征變量的值被發(fā)現(xiàn)幾乎跨所選擇的快照的集合一致,則該特征變量可能沒有分析值并可以被忽略���。存在可以用來選擇特征變量和/或縮減特征空間中的維數(shù)的已知技術(shù)在步驟294�,對特征池執(zhí)行分析�。這可以涉及對機(jī)器學(xué)習(xí)或人工智能、定制統(tǒng)計(jì)分析邏輯等的盲用��。
[0047]圖10示出分析工具254的示例實(shí)施例��。示例定制分析工具254A執(zhí)行把特征(特征值)與預(yù)定義的規(guī)則集合或決策樹進(jìn)行比較的步驟310���,并且步驟312通過對虛擬機(jī)快照排序或把某些快照標(biāo)記為滿足邏輯或足夠數(shù)目的條件來輸出結(jié)果����。示例統(tǒng)計(jì)分析工具254B可以應(yīng)用已知的統(tǒng)計(jì)分析算法�����。在步驟314處���,諸如特征計(jì)數(shù)、標(biāo)準(zhǔn)偏差值��、平均值等的計(jì)算可以被應(yīng)用到已知的統(tǒng)計(jì)算法來標(biāo)識(shí)足夠相似的、統(tǒng)計(jì)優(yōu)異(stand-outs)或異常等的快照�。貝葉斯分類器分析工具254C應(yīng)用貝葉斯概率算法。步驟318可以選擇要分析的特征(例如�,維度縮減),而步驟320應(yīng)用貝葉斯概率計(jì)算���。輸出可以是快照的秩或者概率���。
[0048]圖11示出使用訓(xùn)練數(shù)據(jù)的機(jī)器學(xué)習(xí)實(shí)施例。初始地形成一組訓(xùn)練數(shù)據(jù)340���。訓(xùn)練數(shù)據(jù)可以被自動(dòng)或手動(dòng)生成����。如所提及的���,可以根據(jù)與快照捕捉有關(guān)的信息來標(biāo)記訓(xùn)練樣本����,與快照捕捉有關(guān)的信息諸如是易崩潰(crash-prone)的虛擬機(jī)�、地理位置、表現(xiàn)欠佳的虛擬機(jī)��、可靠的或表現(xiàn)良好的虛擬機(jī)、染病毒的或未染病毒的機(jī)器����,等等。訓(xùn)練數(shù)據(jù)340被傳遞至學(xué)習(xí)機(jī)器342�����。學(xué)習(xí)機(jī)器342隨后根據(jù)訓(xùn)練數(shù)據(jù)340被訓(xùn)練�,從而有效形成要被應(yīng)用到各樣本的統(tǒng)計(jì)模型。在一個(gè)實(shí)施例中����,學(xué)習(xí)機(jī)器342可以是受監(jiān)督的學(xué)習(xí)機(jī)器,諸如用于分類樣本的支持向量機(jī)(SVM)�����。在另一個(gè)實(shí)施例中��,不使用訓(xùn)練數(shù)據(jù)并且不受監(jiān)督的學(xué)習(xí)算法(例如��,神經(jīng)網(wǎng)絡(luò))被用于學(xué)習(xí)機(jī)器342�,不受監(jiān)督的學(xué)習(xí)算法可以概括樣本快照、發(fā)現(xiàn)顯著特征���,等等�����。
[0049]圖12示出用于訓(xùn)練和使用受監(jiān)督的或半受監(jiān)督的學(xué)習(xí)機(jī)器的過程����。在步驟360處����,通過自動(dòng)或手動(dòng)標(biāo)記訓(xùn)練中的快照來生成訓(xùn)練數(shù)據(jù)。在步驟362處�,從經(jīng)標(biāo)記的快照提取特征;特征向量可以被給予從其導(dǎo)出該特征向量的快照的標(biāo)記���。在步驟364處��,用訓(xùn)練數(shù)據(jù)集合來訓(xùn)練學(xué)習(xí)機(jī)器366��。使用學(xué)習(xí)機(jī)器366來分析無標(biāo)記的快照始于步驟368�����,在步驟368處選擇要被分析的虛擬機(jī)快照��。在步驟370處����,以特征向量形式提取特征。在步驟372處���,特征向量372被傳遞至經(jīng)訓(xùn)練的學(xué)習(xí)機(jī)器366�,該學(xué)習(xí)機(jī)器366在步驟372處輸出結(jié)果����。該結(jié)果可以是以各個(gè)樣本快照的標(biāo)記為正確可能性指示的形式。
[0050]如早前所述����,可以使用許多形式的機(jī)器學(xué)習(xí)?����?梢允褂萌魏晤愋偷木€性分類器����。可以使用半受監(jiān)督的學(xué)習(xí)算法。如本文中所使用的��,“機(jī)器學(xué)習(xí)”指用于自動(dòng)學(xué)習(xí)的任何已知或未來的人工智能算法����,按照分類包括:受監(jiān)督的學(xué)習(xí)算法(例如,神經(jīng)網(wǎng)絡(luò)����、貝葉斯統(tǒng)計(jì)����、決策樹、學(xué)習(xí)自動(dòng)機(jī)�����、回歸分析�����、高斯過程回歸�����、歸納邏輯編程等);統(tǒng)計(jì)分類算法(例如��,線性分類器���、k-最接近鄰居��、增強(qiáng)算法(boosting)��、貝葉斯網(wǎng)絡(luò)���、隱馬爾科夫模型等);不受監(jiān)督的學(xué)習(xí)算法(例如���,數(shù)據(jù)聚類�����、期望最大化��、徑向基函數(shù)網(wǎng)絡(luò)等)���;關(guān)聯(lián)學(xué)習(xí)(例如,先驗(yàn)(a-priori)算法和頻繁模式生長(FP-growth)算法)���;分層聚類算法��;局部聚類算法����;和/或其他算法。
[0051]因?yàn)榭煺帐菑恼谶\(yùn)行的虛擬機(jī)拍的��,故而可以考慮運(yùn)行時(shí)狀態(tài)����。具體而言�,可以使用客操作系統(tǒng)的特征,包括與休眠物理計(jì)算機(jī)(或其映像)中沒發(fā)現(xiàn)的存儲(chǔ)器���、進(jìn)程���、線程、引導(dǎo)狀態(tài)�、及其他特征有關(guān)的特征,或者在靜態(tài)文件�����、日志文件等中發(fā)現(xiàn)的信息。
[0052]結(jié)論
[0053]以上討論的實(shí)施例和特征都可用儲(chǔ)存在易失性或非易失性計(jì)算機(jī)或設(shè)備可讀介質(zhì)中的信息的形式來實(shí)現(xiàn)����。這被認(rèn)為至少包括諸如光學(xué)存儲(chǔ)(例如,緊致盤只讀存儲(chǔ)器(CD-ROM))����、磁介質(zhì)、閃速只讀存儲(chǔ)器(ROM)或存儲(chǔ)數(shù)字信息的任何現(xiàn)有或未來手段等介質(zhì)�����。所存儲(chǔ)的信息可采用機(jī)器可執(zhí)行指令(例如�����,經(jīng)編譯的可執(zhí)行二進(jìn)制代碼)���、源代碼���、字節(jié)代碼或可用于允許或配置計(jì)算機(jī)設(shè)備來執(zhí)行上述各實(shí)施例的信息的任何其它形式。這還被認(rèn)為至少包括諸如隨機(jī)存取存儲(chǔ)器(RAM)和/或在程序的執(zhí)行以實(shí)現(xiàn)一實(shí)施例的期間存儲(chǔ)諸如中央處理單元(CPU)指令等信息的虛擬存儲(chǔ)器等易失性存儲(chǔ)器��,以及存儲(chǔ)允許程序或可執(zhí)行代碼被加載和執(zhí)行的信息的非易失性介質(zhì)���。實(shí)施例和特征可在任何類型的計(jì)算設(shè)備上執(zhí)行��,這些計(jì)算設(shè)備包括便攜設(shè)備�、工作站、服務(wù)器��、移動(dòng)無線設(shè)備等�。
【權(quán)利要求】
1.一種方法,包括: 訪問存儲(chǔ)的虛擬機(jī)快照�,所述虛擬機(jī)快照已捕捉自一個(gè)或多個(gè)執(zhí)行中虛擬機(jī);以及 自動(dòng)形成包括從所訪問的虛擬機(jī)快照獲取的特征的特征池�����;以及 對所述特征池執(zhí)行自動(dòng)分析以標(biāo)識(shí)所述虛擬機(jī)快照的中的一個(gè)或多個(gè)虛擬機(jī)快照的一個(gè)或多個(gè)特性�。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述自動(dòng)分析包括機(jī)器學(xué)習(xí)算法��。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述自動(dòng)分析使用用訓(xùn)練中快照的特征的訓(xùn)練數(shù)據(jù)集來訓(xùn)練的機(jī)器學(xué)習(xí)來執(zhí)行����。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述虛擬機(jī)快照包括在不同時(shí)間對在不同時(shí)間運(yùn)行的相同虛擬機(jī)拍攝的快照。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述虛擬機(jī)快照捕捉自包括父虛擬機(jī)和子虛擬機(jī)的虛擬機(jī)分層結(jié)構(gòu)�,每個(gè)子虛擬機(jī)通過復(fù)制相應(yīng)的父虛擬機(jī)并隨后以與所述父虛擬機(jī)不同的狀態(tài)運(yùn)行來產(chǎn)生�����。
6.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,所述虛擬機(jī)在多個(gè)計(jì)算機(jī)主機(jī)上運(yùn)行����,并且所述自動(dòng)分析執(zhí)行以下兩者之一: 分別計(jì)算與所述虛擬機(jī)對應(yīng)的概率����; 把所述虛擬機(jī)中的一個(gè)或多個(gè)虛擬機(jī)分類到一個(gè)或多個(gè)預(yù)定義的分類中��;或者 針對與預(yù)定義特性的相關(guān)性將所述虛擬機(jī)相對于彼此排序��,其中一個(gè)虛擬機(jī)的排序指示其與所述預(yù)定義特性的相對相關(guān)性���。
7.一種或多種存儲(chǔ)使一個(gè)或多個(gè)計(jì)算機(jī)執(zhí)行一種過程的信息的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述過程包括: 對多個(gè)虛擬機(jī)快照執(zhí)行特征提取以獲取所述虛擬機(jī)快照的一組特征值����,所述虛擬機(jī)快照已在一個(gè)或多個(gè)虛擬機(jī)的執(zhí)行期間被捕捉;以及 對所提取的特征執(zhí)行自動(dòng)推理以排序�、標(biāo)識(shí)、分類和/或計(jì)算與所述虛擬機(jī)快照相對應(yīng)的所述虛擬機(jī)的特性的概率����。
8.根據(jù)權(quán)利要求7所述的一種或多種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于�,所述特征提取包括形成所述虛擬機(jī)快照的特征向量�����,其中每個(gè)特征向量包括相應(yīng)的虛擬機(jī)快照的特征值�,每個(gè)特征向量的特征值與定義一個(gè)特征空間的同一組特征變量相對應(yīng)�。
9.根據(jù)權(quán)利要求7所述的一種或多種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)��,其特征在于��,每個(gè)虛擬機(jī)快照包括文件系統(tǒng)��,所述文件系統(tǒng)包含客操作系統(tǒng)和通過運(yùn)行客操作系統(tǒng)的內(nèi)核來管理的存儲(chǔ)器副本�。
10.根據(jù)權(quán)利要求9所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于����,所述特征提取包括以下各項(xiàng)中的至少一個(gè)或多個(gè):標(biāo)識(shí)文件系統(tǒng)中的文件,通過讀取所述存儲(chǔ)器副本來獲取特征值��,獲取所述虛擬機(jī)的硬件資源值��,獲取所述客操作系統(tǒng)的配置設(shè)置����,以及獲取與安裝在所述虛擬機(jī)上的軟件有關(guān)的信息。
【文檔編號】G06F9/44GK103608765SQ201280029544
【公開日】2014年2月26日 申請日期:2012年6月5日 優(yōu)先權(quán)日:2011年6月17日
【發(fā)明者】R·弗萊爾斯, G·亨特, S·巴拉克里什南 申請人:微軟公司