[发明专利]一种基于神经网络的容器挖矿异常检测方法及系统

权利要求书

1.一种基于神经网络的容器挖矿异常检测方法，其特征在于，包括以下步骤：

构建挖矿容器的运行环境，采集不同系统上多种挖矿容器的系统调用数据并进行预处理，得到系统调用序列；

对于不同的挖矿容器，对系统调用序列进行分析，统计不同长度子序列和对应频率之间的集合，按照频率大小排序，提取频率处于中间一定范围的子序列作为挖矿行为的核心范围数据，并将该范围内的子序列的最大值作为最大边界长度，利用该最大边界长度截取所述核心范围附近的数据，将核心范围数据和核心范围附近的数据共同组建为挖矿行为模式数据集，并将该最大边界长度作为实时采集时的采集粒度；

将挖矿行为模式数据集与已公开的或自行采集的系统调用数据集进行整合，形成一全量数据集；

利用所述全量数据集对基于神经网络的挖矿行为检测模型进行训练，提取容器系统调用序列中的特征，同时调整模型参数，提高模型判别精度；

将训练好的挖矿行为检测模型部署到云环境中，按照所述采集粒度实时采集容器挖矿行为数据，并进行异常行为的检测。

2.如权利要求1所述的方法，其特征在于，采用云环境所使用的容器引擎和系统环境，部署相应的系统调用采集工具，来构建挖矿容器的运行环境。

3.如权利要求1所述的方法，其特征在于，从官方仓库或私人仓库拉取容器镜像，或寻找挖矿程序自行搭建容器镜像。

4.如权利要求1所述的方法，其特征在于，预处理方法为：提取系统调用数据中的系统调用名称，根据所在系统的系统调用表，将系统调用名称处理为系统调用号。

5.如权利要求1所述的方法，其特征在于，利用定量分析法和滑动窗口法统计不同长度子序列和对应的频率；其中，定量分析法为固定序列的长度，统计其出现频率；滑动窗口法为设定一个固定大小的窗口来进行频率统计，若当前窗口已被统计过，则向前滑动一个窗口的距离进行下一次的频率统计。

6.如权利要求5所述的方法，其特征在于，利用定量分析法和滑动窗口法统计不同长度子序列和对应的频率的步骤包括：

首先固定子序列起点；

然后固定子序列的长度，利用滑动窗口法统计当前长度子序列Si的频率Pi，用元组记录其统计信息(Si,Pi)；若当前子序列频率不为1，则更改当前子序列的长度，保持起点不变，再统计频率，记录此时的统计信息(Sj,Pj)；重复该过程，直至出现频率为1时停止；

最后更改子序列的起始点，在当前起始点向后滑动1步，按照上述步骤继续统计，直至最后序列全部统计结束，得到子序列和对应频率之间的集合C＝{(Si,Pi),(Sj,Pj)…}。

7.如权利要求1所述的方法，其特征在于，通过建立不同系统间的映射表，来将挖矿行为模式数据集与已公开的或自行采集的系统调用数据集进行整合。

8.如权利要求1所述的方法，其特征在于，基于神经网络的挖矿行为检测模型，采用Attention机制对系统调用序列中的低频信息加强关注，采用CNN网络提取系统调用序列中的局部时序性信息，采用Bi-LSTM提取系统调用序列中的全局时序性信息，采用全连接层接收全局时序性信息并通过softmax分类器对容器行为进行判别分类。

9.如权利要求1所述的方法，其特征在于，将训练好的挖矿行为检测模型部署到云环境中时，采用容器形式或守护进程形式。

10.一种基于神经网络的容器挖矿异常检测系统，其特征在于，包括：

数据采集模块，包括挖矿容器和系统调用采集器，该数据采集模块负责构建挖矿容器的运行环境并运行挖矿容器，该系统调用采集器负责采集不同系统上多种挖矿容器的系统调用数据并进行预处理，得到系统调用序列；

数据处理模块，包括数据分析子模块和数据合并子模块，该数据分析子模块负责对不同挖矿容器采集到的系统调用序列进行分析，统计不同长度子序列和对应频率之间的集合，按照频率大小排序，提取频率处于中间一定范围的子序列作为挖矿行为的核心范围数据，并将该范围内的子序列的最大值作为最大边界长度，利用该最大边界长度截取所述核心范围附近的数据，将核心范围数据和核心范围附近的数据共同组建为挖矿行为模式数据集，并将该最大边界长度作为实时采集时的采集粒度；该数据合并子模块负责将挖矿行为模式数据集与已公开的或自行采集的系统调用数据集进行整合，形成一全量数据集；

异常检测模块，包括模型训练子模块、异常检测子模块和预警子模块，该模型训练子模块负责利用全量数据集对基于神经网络的挖矿行为检测模型进行训练，调整模型参数，提高模型判别精度；该异常检测子模块包括基于神经网络的挖矿行为检测模型，并负责按照采集粒度实时采集容器挖矿行为数据，并进行异常行为的检测；该预警子模块负责当检测到容器挖矿行为异常时进行预警。