[发明专利]一种基于神经网络的容器挖矿异常检测方法及系统

说明书

本发明提出一种基于神经网络的容器挖矿异常检测方法及系统，属于容器入侵检测领域，通过构建挖矿容器的运行环境，采集挖矿容器的系统调用数据，对其中的系统调用序列进行分析，获得挖矿行为模式数据集，并与已公开的或自行采集的系统调用数据集进行整合形成一全量数据集，利用全量数据集训练基于神经网络的挖矿行为检测模型，利用训练好的模型进行挖矿容器的异常行为检测，能够解决现有容器挖矿数据缺失和异常检测精度低的不足的问题，实现云环境的安全防护。

技术领域

本发明设计一种基于神经网络的容器挖矿异常检测方法及系统，属于容器入侵检测领域。

背景技术

近年来，随着云计算的快速发展及“云原生”概念的普及，越来越多企业选择将应用和服务部署到轻量快捷的容器中，以完成迁移到云上，同时其部署规模处于一直增长的趋势。但容器是在软件层面实现隔离，安全保护性差；且共享宿主机内核，因此一旦容器中出现恶意行为，之后将会危害到集群中的所有容器及物理机，因此容器的异常检测变得至关重要，成为了学术界、工商业界的一大研究热点。

容器由两部分构成——镜像和容器运行时。镜像是一种分层结构，各个层保存着应用程序和库之间的关联关系，整体代表着应用程序未运行时的静止状态；容器运行时实质是镜像通过容器引擎与宿主机内核交互，实现应用程序的运行，指的是应用程序运行中的状态。目前对于容器的异常检测主要从这两部分开展。

从镜像方面的入侵检测，目前多采用静态扫描方式，如业界主流静态扫描工具Clair。其工作原理是扫描镜像层中的软件安装目录，将已安装的软件信息及版本信息与CVE漏洞数据库进行对比，判断镜像的威胁性。此种方法只能检测出重大的公开的软件漏洞的威胁，无法对未公开或人为制造的恶意操作进行检测。

另一种是从容器运行时进行检测，由于容器基于软件隔离且共享宿主机内核，因此其运行时的行为都需要与内核通过系统调用交互，来完成对硬件资源的操作。所以系统调用序列可以表征容器的行为，此种方式可以更细致捕捉到容器的行为，检测更为全面，可以弥补上述方式的不足。所以学术界和业界目前也是有着这方面的研究趋势，但目前此种检测方法有以下不足

1缺少容器挖矿行为数据

以往研究对于容器的异常检测，只关注了两种行为，正常行为和对容器造成攻击的异常行为。但随着近年来，容器逐渐成熟且规模逐渐扩展，发现了容器中存在着恶意传播的挖矿程序，其表现形式与正常行为无差别，但是却抢占其他容器资源、大量耗费着宿主机的资源，带来大量的资源、金钱损失。同时由于云环境中容器规模庞大，存在着各种高负载应用，所以很难辨别哪个容器为恶意挖矿容器。因此目前缺少容器挖矿行为的系统调用序列数据。

2现有检测方案精度低

对于容器异常行为的检测，以往研究主要有几种方式：1)基于规则，人为制定检测规则，因此其制定的范围有限；2)基于异常检测，利用正常行为建立基线来区别异常，但其偏离基线的阈值难以确定，同时误报率高；3)基于特征检测，利用n-gram分割异常序列，之后通过统计学习算法计算相似度，此方案只关注了序列的局部性，忽略了全局特征，精度较低；4)基于神经网络方法，目前多采用RNN模型，只关注了全局特征，忽略局部特征，精度较低。综上，以往研究的方案都只关注容器行为系统调用序列的某一部分特征，未对局部、全局等特征全面考虑，精度偏低。

因此如何分析提取挖矿容器的行为特征，设计一种合适的方案来检测容器中的挖矿异常，来保障云环境的安全，成为了目前亟待解决的技术问题。

发明内容

本发明所要解决的技术问题是针对现有容器挖矿数据缺失和异常检测精度低的不足，提出一种基于神经网络的容器挖矿异常检测方法及系统。本发明提供容器挖矿行为系统调用数据采集分析处理的整套方案，同时设计了基于神经网络的异常检测方案，完成挖矿行为的准确检测，从而实现云环境的安全防护。

本发明的技术方案为：

一种基于神经网络的容器挖矿异常检测方法，包括以下步骤：