[发明专利]容器运行时异常行为检测、模型训练方法及相关装置

权利要求书

1.一种容器运行时异常行为检测方法，其特征在于，所述方法包括：

获取待检测容器的属性信息，以及获取所述待检测容器在运行过程中的系统调用序列信息；

基于预设行为检测模型对所述属性信息和所述系统调用序列信息进行异常行为检测，得到检测结果；

基于所述检测结果，确定所述待检测容器是否存在异常行为。

2.根据权利要求1所述的容器运行时异常行为检测方法，其特征在于，所述预设行为检测模型是利用样本数据集对预设神经网络模型进行训练后得到的；其中，所述样本数据集包括至少一个正常样本数据和一个异常样本数据，且所述样本数据集中的每一样本数据包括样本属性信息和样本系统调用序列信息。

3.根据权利要求1所述的容器运行时异常行为检测方法，其特征在于，所述获取待检测容器的属性信息，包括：

通过所述待检测容器的信息读取命令进行读取操作，得到所述待检测容器的属性信息。

4.根据权利要求1所述的容器运行时异常行为检测方法，其特征在于，所述获取所述待检测容器在运行过程中的系统调用序列信息，包括：

在所述待检测容器执行预设系统调用操作后，利用预设监控程序收集系统调用信息；

在收集到预设数量的系统调用信息后，将所述预设数量的系统调用信息进行时序组合，得到所述系统调用序列信息。

5.根据权利要求1所述的容器运行时异常行为检测方法，其特征在于，所述基于预设行为检测模型对所述属性信息和所述系统调用序列信息进行异常行为检测，得到检测结果，包括：

对所述属性信息和所述系统调用序列信息进行向量映射，得到目标输入向量；

将所述目标输入向量输入至所述预设行为检测模型，通过所述预设行为检测模型输出所述检测结果。

6.根据权利要求5所述的容器运行时异常行为检测方法，其特征在于，所述预设行为检测模型包括双向长短期记忆网络Bi-LSTM层、自注意力Attention层和分类层；所述将所述目标输入向量输入至所述预设行为检测模型，输出所述检测结果，包括：

通过所述Bi-LSTM层对所述目标输入向量进行特征提取，得到目标特征向量；

通过所述Attention层对所述目标特征向量进行加权求和操作，得到目标检测向量；

通过所述分类层对所述目标检测向量进行概率计算，得到所述检测结果。

7.根据权利要求1所述的容器运行时异常行为检测方法，其特征在于，所述异常行为包括以下至少一项：初始访问行为、执行行为、持久化行为、权限提升行为、防御逃逸行为、窃取凭证行为、探测行为、横向攻击行为和影响行为。

8.根据权利要求1所述的容器运行时异常行为检测方法，其特征在于，在所述基于所述检测结果，确定所述待检测容器是否存在异常行为之后，所述方法还包括：

当确定所述待检测容器存在异常行为时，生成告警提示信息；其中，所述告警提示信息用于提示用户对所述异常行为进行处理操作。

9.根据权利要求1-8任一项所述的容器运行时异常行为检测方法，其特征在于，

所述属性信息包括以下至少一项：容器标识、容器名称、镜像目录、镜像标识、镜像标签和特权容器信息；

所述系统调用序列信息包括以下至少一项：系统调用名、系统调用时间和进程名。

10.一种模型训练方法，其特征在于，所述方法包括：

获取样本数据集；其中，所述样本数据集包括至少一个正常样本数据和一个异常样本数据，且所述样本数据集中的每一样本数据包括样本属性信息和样本系统调用序列信息；

利用所述样本数据集对预设神经网络模型进行训练，得到所述预设行为检测模型；其中，所述预设行为检测模型用于根据待检测容器的属性信息和所述待检测容器的系统调用序列信息判断所述待检测容器是否存在异常行为。