[发明专利]容器运行时异常行为检测、模型训练方法及相关装置

说明书

本申请实施例提供了一种容器运行时异常行为检测方法、模型训练方法、装置及存储介质，该容器运行时异常行为检测方法包括：获取待检测容器的属性信息，以及获取待检测容器在运行过程中的系统调用序列信息；基于预设行为检测模型对属性信息和系统调用序列信息进行异常行为检测，得到检测结果；基于检测结果，确定待检测容器是否存在异常行为。这样，通过容器的属性信息和系统调用序列信息，能够检测容器是否存在异常行为，从而弥补了无法采集到容器内部行为的缺陷，提高了容器运行过程中的安全性。

技术领域

本申请涉及安全检测技术领域，尤其涉及一种容器运行时异常行为检测方法、模型训练方法、装置及存储介质。

背景技术

随着云计算领域的不断发展，容器化技术为用户提供了诸多便利。相比传统的虚拟机技术，容器直接使用宿主机(或称为主机)内核，比传统虚拟机有着更少的抽象层，使得容器在性能以及资源消耗上都有着传统虚拟机无法比拟的优势。然而，由于容器和主机处于隔离状态，常规的安全防护手段无法对容器内部的操作进行监控，导致容器的安全防护问题仍然没有得到有效解决。

发明内容

本申请提供了一种容器运行时异常行为检测方法、模型训练方法、装置及存储介质，通过容器的属性信息和系统调用序列信息，能够检测容器是否存在异常行为，提高了容器运行过程中的安全性。

本申请的技术方案是这样实现的：

第一方面，本申请实施例提供了一种容器运行时异常行为检测方法，该方法包括：

获取待检测容器的属性信息，以及获取所述待检测容器在运行过程中的系统调用序列信息；

基于预设行为检测模型对所述属性信息和所述系统调用序列信息进行异常行为检测，得到检测结果；

基于所述检测结果，确定所述待检测容器是否存在异常行为。

在上述方案中，所述预设行为检测模型是利用样本数据集对预设神经网络模型进行训练后得到的；其中，所述样本数据集包括至少一个正常样本数据和一个异常样本数据，且所述样本数据集中的每一样本数据包括样本属性信息和样本系统调用序列信息。

在上述方案中，所述获取待检测容器的属性信息，包括：

通过所述待检测容器的信息读取命令进行读取操作，得到所述待检测容器的属性信息。

在上述方案中，所述获取所述待检测容器在运行过程中的系统调用序列信息，包括：

在所述待检测容器执行预设系统调用操作后，利用预设监控程序收集系统调用信息；

在收集到预设数量的系统调用信息后，将所述预设数量的系统调用信息进行时序组合，得到所述系统调用序列信息。

在上述方案中，所述基于预设行为检测模型对所述属性信息和所述系统调用序列信息进行异常行为检测，得到检测结果，包括：

对所述属性信息和所述系统调用序列信息进行向量映射，得到目标输入向量；

将所述目标输入向量输入至所述预设行为检测模型，通过所述预设行为检测模型输出所述检测结果。

在上述方案中，所述预设行为检测模型包括双向长短期记忆网络Bi-LSTM层、自注意力Attention层和分类层；所述将所述目标输入向量输入至所述预设行为检测模型，输出所述检测结果，包括：

通过所述Bi-LSTM层对所述目标输入向量进行特征提取，得到目标特征向量；

通过所述Attention层对所述目标特征向量进行加权求和操作，得到目标检测向量；

通过所述分类层对所述目标检测向量进行概率计算，得到所述检测结果。