AnomalyHUNT: Detecting anomalies based on system traces in embedded linux devices

Kurzfassung

Aus dem Tracingsystem eines modernen Linux Betriebssystems können große Mengen an Events, die auf dem System stattfinden, ohne großen Aufwand extrahiert werden. Diese Daten umfassen vom Öffnen einer Datei durch ein Programm bis hin zum Aufbauen einer TCP-Verbindung viele Ereignisse, die sich während der Laufzeit eines Programms abspielen. Mit ftrace können diese Ereignisse zusammen mit einem Zeitstempel extrahiert werden. Das Tracing kann auf Prozesse, Geräte oder Dateien eingeschränkt werden, um die Datenmenge unter Kontrolle zu halten. Diese enorme Datenmenge kann zu Diagnosezwecken nicht ohne weiteres zum Hersteller des Systems übertragen werden, da die Bandbreite in den meisten Fällen nicht ausreicht. Es muss also selektiert werden, welche Daten gesendet werden sollen. Typischerweise sind die Daten, die zu außerordentlichen Zeitpunkten entstehen besonders wichtig für die Hersteller von Eingebetteten Systemen. Sie können dabei helfen, aufgetretene Fehler in der Zukunft vorherzusehen oder zu beheben. Wenn es gelingt eine Anomalieerkennung auf Daten, die auf einem normalen Linux ohne zusätzliche Infrastruktur aufgenommen werden können, zu realisieren, können diese außerordentlichen Zeitpunkte im Feld bestimmt werden. Diese Datenpunkte können dann für weitere Entwicklungsarbeiten oder Testszenarien genutzt werden. Außerdem kann so der Systemzustand begrenzt gemessen werden: Das System befindet sich in normaler Operation oder in einer Anomalie. Momentane Lösungen für das Monitoring von Systemen zur Laufzeit stützen sich vor allen auf von Menschen in Handarbeit entwickelte Modelle, deren Entwicklung typischerweise sehr zeitaufwendig ist. Durch das Ersetzen dieser Modelle durch ein Black-Box Modell, welches lernt was der normale Systemzustand ist, kann der Entwicklungsaufwand eines solchen Monitors wesentlich reduziert werden.