[发明专利]一种容器内恶意软件静态检测系统及方法

说明书

本发明公开了一种容器内恶意软件静态检测系统及方法，包括以下步骤：步骤1：无代理提取容器内待检测软件；步骤2：提取API调用序列；步骤3：构建深度学习检测模型，深度学习检测模型Word2vec网络、LSTM网络和CNN网络；Word2vec网络将API调用序列向量化，LSTM网络提取不定长序列数据的语义特征输出定长语义向量，CNN网络提取定长语义向量的多维局部特征并进行分类，得到分类结果；步骤4：训练深度学习检测模型得到层级恶意软件检测模型；步骤5：将API调用序列输入层级恶意软件检测模型，得到检测结果；本发明分层抽取数据特征来应对插入或修改代码逻辑等混淆攻击，无需修改容器和主机操作系统，可保障容器云平台的可用性和租户的数据安全性。

技术领域

本发明涉及虚拟化安全技术领域，具体涉及一种容器内恶意软件静态检测系统及方法。

背景技术

容器作为一种轻量级的虚拟化工具，具有启动速度快、资源消耗少和运行环境一致等特点；然而由于容器技术实现的是操作系统级别的虚拟主机环境，其资源隔离性低和共享内核的特性给容器和云平台引入了新的安全风险；容器中的恶意软件能够通过容器或宿主机的漏洞实施攻击，攻击程序可以篡改容器自身的服务，突破隔离的限制直接攻击共驻容器，甚至可以逃逸至宿主机获得超级用户权限进而威胁整个云平台的安全，故检测容器中的恶意软件对于维护容器云平台可用性和租户数据安全性具有重要的现实意义。

目前，仅有少数检测工具实现了对容器的安全扫描，如Docker SecurityScanning、CoreOS Clair和Twistlock等，然而这类工具都只针对容器镜像中的已知CVE（Common Vulnerabilities and Exposures，公共漏洞和风险）漏洞，并不考虑容器系统内的未知恶意软件。为了提高恶意软件检测模型的泛化能力，多数研究都基于传统机器学习方法进行分类检测，但该方法受特征工程限制。

现有方法多针对Android和Windows软件，较少研究容器环境下恶意Linux软件检测，且在检测精度和复杂度等方面还存在诸多不足。

发明内容

本发明针对现有技术的不足提出了一种无需修改容器和主机操作系统，也不用任何关于容器内系统结构和相应服务的先验知识，可保障容器云平台的可用性和租户的数据安全性的容器内恶意软件静态检测系统及方法。

本发明采用的技术方案是：一种容器内恶意软件静态检测方法，包括以下步骤：

步骤1：无代理提取容器内待检测软件；

步骤2：提取步骤1得到待检测软件的API调用序列；

步骤3：构建深度学习检测模型，深度学习检测模型Word2vec网络、LSTM网络和CNN网络；Word2vec网络将API调用序列向量化，LSTM网络提取不定长序列数据的语义特征输出定长语义向量，CNN网络提取定长语义向量的多维局部特征并进行分类，得到分类结果；

步骤4：训练步骤3得到的深度学习检测模型得到层级恶意软件检测模型；

步骤5：将步骤2得到的API调用序列输入步骤4训练得到的层级恶意软件检测模型，得到检测结果。

进一步的，所述步骤1的提取过程如下：

S11：根据输入的容器镜像或容器的唯一标识，在主机用户层获取待检测容器源数据，从中筛选出Lowerdir和Upperdir路径；

S12：将Lowerdir和Upperdir按照层次关系进行格式拼接得到拼接Lowerdir，并新建一个空的Upperdir；

S13：根据Docker系统信息获取存储驱动类型，得到相应的文件系统类型，将拼接的Lowerdir和空的Upperdir联合挂载到一个处于待测容器外部的临时容器视角目录；