【技术实现步骤摘要】
容器运行时异常行为检测、模型训练方法及相关装置
本申请涉及安全检测
,尤其涉及一种容器运行时异常行为检测方法、模型训练方法、装置及存储介质。
技术介绍
随着云计算领域的不断发展,容器化技术为用户提供了诸多便利。相比传统的虚拟机技术,容器直接使用宿主机(或称为主机)内核,比传统虚拟机有着更少的抽象层,使得容器在性能以及资源消耗上都有着传统虚拟机无法比拟的优势。然而,由于容器和主机处于隔离状态,常规的安全防护手段无法对容器内部的操作进行监控,导致容器的安全防护问题仍然没有得到有效解决。
技术实现思路
本申请提供了一种容器运行时异常行为检测方法、模型训练方法、装置及存储介质,通过容器的属性信息和系统调用序列信息,能够检测容器是否存在异常行为,提高了容器运行过程中的安全性。本申请的技术方案是这样实现的:第一方面,本申请实施例提供了一种容器运行时异常行为检测方法,该方法包括:获取待检测容器的属性信息,以及获取所述待检测容器在运行过程中的系统调用序列信息;基于预设行为检测模型对所...
【技术保护点】
1.一种容器运行时异常行为检测方法,其特征在于,所述方法包括:/n获取待检测容器的属性信息,以及获取所述待检测容器在运行过程中的系统调用序列信息;/n基于预设行为检测模型对所述属性信息和所述系统调用序列信息进行异常行为检测,得到检测结果;/n基于所述检测结果,确定所述待检测容器是否存在异常行为。/n
【技术特征摘要】
1.一种容器运行时异常行为检测方法,其特征在于,所述方法包括:
获取待检测容器的属性信息,以及获取所述待检测容器在运行过程中的系统调用序列信息;
基于预设行为检测模型对所述属性信息和所述系统调用序列信息进行异常行为检测,得到检测结果;
基于所述检测结果,确定所述待检测容器是否存在异常行为。
2.根据权利要求1所述的容器运行时异常行为检测方法,其特征在于,所述预设行为检测模型是利用样本数据集对预设神经网络模型进行训练后得到的;其中,所述样本数据集包括至少一个正常样本数据和一个异常样本数据,且所述样本数据集中的每一样本数据包括样本属性信息和样本系统调用序列信息。
3.根据权利要求1所述的容器运行时异常行为检测方法,其特征在于,所述获取待检测容器的属性信息,包括:
通过所述待检测容器的信息读取命令进行读取操作,得到所述待检测容器的属性信息。
4.根据权利要求1所述的容器运行时异常行为检测方法,其特征在于,所述获取所述待检测容器在运行过程中的系统调用序列信息,包括:
在所述待检测容器执行预设系统调用操作后,利用预设监控程序收集系统调用信息;
在收集到预设数量的系统调用信息后,将所述预设数量的系统调用信息进行时序组合,得到所述系统调用序列信息。
5.根据权利要求1所述的容器运行时异常行为检测方法,其特征在于,所述基于预设行为检测模型对所述属性信息和所述系统调用序列信息进行异常行为检测,得到检测结果,包括:
对所述属性信息和所述系统调用序列信息进行向量映射,得到目标输入向量;
将所述目标输入向量输入至所述预设行为检测模型,通过所述预设行为检测模型输出所述检测结果。
6.根据权利要求5所述的容器运行时异常行为检测方法,其特征在于,所述预设行为检测模型包括双向长短期记忆网络Bi-LSTM层、自注意力Attention层和分类层;所述将所述目标输入向量输入至所述预设行为检测模型,输出所述检测结果,包括:
通过所述Bi-LSTM层对所述目标输入向量进行特征提取,得到目标特征向量;
通过所述Attention层对所述目标特征向量进行加权求和操作,得到目标检测向量;
通过所述分类层对所述目标检测向量进行概率计算,得到所述检测结果。
7.根据权利要求1所述的容器运行时异常行为检测方法,其特征在于,所述异常行为包括以下至少一项:初始访问行为、执行行为、持久化行为、权限提升行为、防御逃逸行为、窃取凭证行为、探测行为、横向攻击行为和影响行为。
8.根据权利要求1所述的容器运行时异常行为检测方法,其特征在于,在所述基于所述检测结果,确定所述待检测容器是否存在异常行为之后,所述方法还包括:
当确定所述待检测容器存在异常行为时,生成告警提示信息;其中,所述告警提示信息用于提示用户对所述异常行为进行处理操作。
9.根据权利要求1-8任一项所述的容器运行时异常行为检测方法,其特征在于,
...
【专利技术属性】
技术研发人员:王翀,朱民,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。