[发明专利]基于注意力机制的LSTM网络的容器异常行为检测方法

说明书

本发明公开了一种基于注意力机制的LSTM网络的容器异常行为检测方法，包括以下步骤：步骤一：监控数据的获取，从代理服务接收监视容器运行时的日志数据；步骤二：对容器日志进行解析；步骤三：提取用于异常分类模型的特征；步骤四：将步骤三中提取的数据作为输入构造带注意力机制的长短期记忆性网络的异常分类模型；步骤五：对容器进行异常检测。本方法采用的基于注意力机制的容器异常检测方法，属于基于主机的容器安全入侵检测技术，不仅能够有效提高容器异常检测效率，而且对特定容器恶意行为的入侵检测有显著效果。

技术领域

本发明涉及一种应用于云计算容器入侵检测的方法，尤其涉及基于注意力机制的LSTM网络的容器异常行为检测方法，属于信息安全领域。

背景技术

云容器技术尤其在最近几年内发展十分迅速。介于传统分配计算资源的进程和虚拟机技术之间，新兴理念“容器”是一类轻量化且高度隔离的虚拟化进程，由于是在特定操作系统内核上直接分配存储资源，它可以允许更加便携的资源部署与快捷的应用执行。容器技术正在成为云计算中主流实现技术，而这类基于云计算的容器技术，不仅可以实现跨平台、更高的资源利用率、应用资源的积累，并正在实现标准化交付、应用微服务化、敏捷开发快速上线(DevOps)等实际功能，具有十分广阔的应用前景。而另一方面，处于发展初期的云容器在实际应用过程中存在着诸多问题，其中安全问题尤为急迫。最大的安全问题主要来源于容器本身独特的短暂性——超过50％的容器只有少于5分钟的寿命，其安全工具和程序需要相较于以往针对永久性应用程序的安全软件具备更高的可见性，因此目前还较为匮乏。再者，基底容器影像通常没有访问加密，默认设置为具有root权限(以方便使用者安装)，而这样不仅会引发在容器运行时的入侵攻击，更有可能在被入侵后进行特权提升，造成不可预计的后果。因此，容器的脆弱性，恶意攻击以及安全防御方案成为当下容器研究的热点。

传统的安全检测技术无论在安全检测体系架构还是在入侵检测算法上，许多研究机构和研究人员都取得了相当大的进展，呈现出多样化的发展，分布式检测系统取代了单机系统，融合了多种智能算法的综合方法取代了最初的匹配算法。通过与传统的安全检测技术相比，云环境独有的虚拟化、分布式和超大规模等待点为入侵检测提出了更高的要求和挑战。以前惯用的检测手段和方法面对当前更具伪装性和毁灭性的多种威胁逐渐变得无能为力。研究适应于云计算环境的有效安全防护成为云计算安全领域研究者亟需解决的一个问题。目前，围绕云计算入侵检测研究的工作还不是很多，迫切需要开展云计算入侵检测工作，以实现安全可信的云计算环境。

目前针对容器的异常检测有网络异常检测和主机异常检测两个方向。

其中，网络异常检测的方式通过对容器与外界的网络流量交互信息识别容器中的异常，比如容器中网络流量中的目的地址，网络协议类型、服务状态码和网络流量大小信息等。该方式的异常检测系统关注云主机与外部系统的交互，主要为了防止网络攻击对云主机的服务造成影响。比如通过云主机的网络流量信息识别异常，其采用KDDCUP数据集训练模型，完成异常识别的功能。

而主机异常检测的方式通过对容器的监控来识别容器中发生的异常或者通过序列信息发现容器的异常行为，前者该方式的异常检测系统一般位于运行容器的物理机中，通过对容器的资源性能指标进行监控，以方便准确快速的监控容器的运行情况，一旦超过某个既定阈值则被判定为异常。通常这种方式用来实施云平台环境的系统监测，但不能及时检测出容器的入侵行为。现有专利提出一种容器异常监测方法及监测系统，可以用来监测各个容器的资源情况。具体实现通过代理服务定期收集各个容器的运行状态信息，获取优先级最高的容器检测数据，利用孤立森林算法获取容器对资源的偏向程度权重特征，进而能够根据容器的资源偏向情况来动态调整容器异常检测过程中的权重系数，达到异常检测的目的。