容器的异常检测方法及装置制造方法及图纸

本发明专利技术提供一种容器的异常检测方法及装置，涉及计算机技术领域。所述方法包括：根据历史容器的基本信息以及历史容器的运行信息，获取历史容器正常运行期间的正常行为特征；根据正常行为特征，建立正常行为特征的正常行为规则库；确定目标容器的目标行为特征与正常行为规则库中对应特征之间的距离；根据距离的大小，确定目标容器是否异常。本发明专利技术提供的容器的异常检测方法及装置，通过获取容器正常运行时的正常行为特征，建立正常行为规则库作为基准，用于对容器运行时的目标行为特征的判断，根据目标行为特征与正常行为规则库中对应特征之间的差异确定容器是否异常，实现了对容器异常的判断以及容器运行的监控。异常的判断以及容器运行的监控。异常的判断以及容器运行的监控。

【技术实现步骤摘要】
容器的异常检测方法及装置


[0001]本专利技术涉及计算机
，具体涉及一种容器的异常检测方法及装置。

技术介绍

[0002]现有技术中往往采用容器技术实现对计算机系统资源的虚拟化。
[0003]现有技术中通过容器实现虚拟化的过程中，由于容器与主机之间存在一定的隔离性，因此主机无法感知到容器内部的具体操作，导致无法有效的检测到容器内部的操作行为。与此同时，在容器环境中存在安全问题，包括容器应用、容器之间、容器与主机的安全等。容器及其内部程序可能在运行时被主机或外部攻击者利用漏洞恶意篡改，攻击者可能获得对正在运行的容器的特权访问权，通过修改服务配置和二进制文件、启动恶意脚本或启动新进程来发起攻击。
[0004]因此，如何提出一种方法，能够实现对容器内部的操作行为进行异常检测，提升容器运行的安全性，具有十分重要的意义。

技术实现思路

[0005]本专利技术提供一种容器的异常检测方法及装置，用以解决现有技术中无法实现对容器内部的操作行为进行异常检测的技术问题。
[0006]第一方面，本专利技术提供一种容器的异常检测方法，包括：
[0007]根据历史容器的基本信息以及历史容器的运行信息，获取历史容器正常运行期间的正常行为特征；
[0008]根据所述正常行为特征，建立所述正常行为特征的正常行为规则库；
[0009]确定目标容器的目标行为特征与所述正常行为规则库中对应特征之间的距离；
[0010]根据所述距离的大小，确定所述目标容器是否异常。
[0011]在一个实施例中，根据历史容器的基本信息以及历史容器的运行信息，获取历史容器正常运行期间的正常行为特征，包括：
[0012]根据历史容器的基本信息，确定历史容器正常运行时的基础运行特征；
[0013]根据历史容器的运行信息，获取历史容器正常运行时的调用序列，确定所述调用序列中调用次数大于预设次数阈值的正常调用序列，并确定所述正常调用序列的正常调用特征；
[0014]将所述基础运行特征以及所述正常调用特征作为历史容器正常运行期间的正常行为特征。
[0015]在一个实施例中，根据所述正常行为特征，建立所述正常行为特征的正常行为规则库，包括：
[0016]根据H
‑
mine频繁项集挖掘算法，对所述正常行为特征进行挖掘，获取各正常行为特征的频繁模式集；
[0017]根据所述各正常行为特征的频繁模式集，建立所述正常行为特征的正常行为规则
库。
[0018]在一个实施例中，根据所述距离的大小，确定所述目标容器是否异常，包括：
[0019]在所述距离大于预设距离阈值的情况下，确定所述目标容器异常。
[0020]在一个实施例中，确定所述目标容器异常之后，还包括：
[0021]根据所述距离的大小，设置所述目标容器的异常等级；
[0022]根据所述异常等级，对所述目标容器进行异常处理。
[0023]在一个实施例中，设置所述目标容器的异常等级之后，还包括：
[0024]根据所述目标容器的异常等级，设置所述异常等级对应的报警级别，并根据所述报警级别，触发所述报警级别对应的报警响应。
[0025]第二方面，本专利技术还提供一种容器的异常检测装置，包括：
[0026]正常行为特征确定模块，用于根据历史容器的基本信息以及历史容器的运行信息，获取历史容器正常运行期间的正常行为特征；
[0027]正常行为规则库确定模块，用于根据所述正常行为特征，建立所述正常行为特征的正常行为规则库；
[0028]异常检测模块，用于确定目标容器的目标行为特征与所述正常行为规则库中对应特征之间的距离；
[0029]异常确定模块，用于根据所述距离的大小，确定所述目标容器是否异常。
[0030]第三方面，本专利技术还提供一种电子设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述任一种的容器的异常检测方法。
[0031]第四方面，本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述任一种的容器的异常检测方法。
[0032]第五方面，本专利技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现上述任一种的容器的异常检测方法。
[0033]本专利技术提供的容器的异常检测方法、装置、电子设备及存储介质，通过获取容器正常运行时的正常行为特征，建立正常行为特征的正常行为规则库。将正常行为规则库作为基准，用于对容器运行时的目标行为特征的判断，根据目标行为特征与正常行为规则库中对应特征之间的差异确定容器是否异常，实现了对容器异常的判断以及容器运行的监控。
附图说明
[0034]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0035]图1为本专利技术提供的容器的异常检测方法的流程示意图；
[0036]图2为本专利技术提供的H
‑
mine算法流程示意图；
[0037]图3为应用本专利技术提供的容器的异常检测方法的流程示意图；
[0038]图4为应用本专利技术提供的容器的异常检测方法的系统结构示意图；
[0039]图5为本专利技术提供的容器的异常检测装置的结构示意图；
[0040]图6为本专利技术提供的电子设备的结构示意图。
具体实施方式
[0041]为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0042]图1为本专利技术提供的容器的异常检测方法的流程示意图。参照图1，本专利技术提供的容器的异常检测方法可以包括：
[0043]步骤110、根据历史容器的基本信息以及历史容器的运行信息，获取历史容器正常运行期间的正常行为特征；
[0044]步骤120、根据所述正常行为特征，建立所述正常行为特征的正常行为规则库；
[0045]步骤130、确定目标容器的目标行为特征与所述正常行为规则库中对应特征之间的距离；
[0046]步骤140、根据所述距离的大小，确定所述目标容器是否异常。
[0047]本专利技术提供的容器的异常检测方法的执行主体可以是电子设备、电子设备中的部件、集成电路、或芯片。该电子设备可以是移动电子设备，也可以为非移动电子设备。示例性的，移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra
‑...

【技术保护点】

【技术特征摘要】
1.一种容器的异常检测方法，其特征在于，包括：根据历史容器的基本信息以及历史容器的运行信息，获取历史容器正常运行期间的正常行为特征；根据所述正常行为特征，建立所述正常行为特征的正常行为规则库；确定目标容器的目标行为特征与所述正常行为规则库中对应特征之间的距离；根据所述距离的大小，确定所述目标容器是否异常。2.根据权利要求1所述的容器的异常检测方法，其特征在于，所述根据历史容器的基本信息以及历史容器的运行信息，获取历史容器正常运行期间的正常行为特征，包括：根据历史容器的基本信息，确定历史容器正常运行时的基础运行特征；根据历史容器的运行信息，获取历史容器正常运行时的调用序列，确定所述调用序列中调用次数大于预设次数阈值的正常调用序列，并确定所述正常调用序列的正常调用特征；将所述基础运行特征以及所述正常调用特征作为历史容器正常运行期间的正常行为特征。3.根据权利要求1所述的容器的异常检测方法，其特征在于，所述根据所述正常行为特征，建立所述正常行为特征的正常行为规则库，包括：根据H
‑
mine频繁项集挖掘算法，对所述正常行为特征进行挖掘，获取各正常行为特征的频繁模式集；根据所述各正常行为特征的频繁模式集，建立所述正常行为特征的正常行为规则库。4.根据权利要求1所述的容器的异常检测方法，其特征在于，所述根据所述距离的大小，确定所述目标容器是否异常，包括：在所述距离大于预设距离阈值的情况下，确定所述目标容器异常。5.根据权利要求4所...

【专利技术属性】
技术研发人员：王永智，王建宏，刘利明，尤佳劲，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：