[发明专利]容器安全防护方法、装置、电子设备和存储介质

权利要求书

1.容器安全防护方法，其特征在于，包括：

获取进程数据，基于所述进程数据提取数据特征；

基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果；

根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果。

2.根据权利要求1所述的容器安全防护方法，其特征在于，所述获取进程数据，基于所述进程数据提取数据特征，具体包括：

获取所述进程数据的重复子序列；

确定第一阈值，将所述重复子序列中超过所述第一阈值的子序列作为预设行为特征；

基于所述预设行为特征获得正常行为数据集和测试行为数据集。

3.根据权利要求2所述的容器安全防护方法，其特征在于，所述数据特征的数据结构包括进程PID、进程调用信息列表、进程系统调用名称列表、进程特征列表和进程特征覆盖率。

4.根据权利要求1所述的容器安全防护方法，其特征在于，所述基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果，具体包括：

通过检索获得所述数据特征中的所有频繁项集，根据所述所有频繁项集产生所期望的强关联规则；

基于所述强关联规则对所述数据特征进行行为特征挖掘，确定第二阈值，得到所述异常行为判定结果。

5.根据权利要求4所述的容器安全防护方法，其特征在于，所述通过检索获得所述数据特征中的所有频繁项集，根据所述所有频繁项集产生所期望的强关联规则，具体包括：

生成所有单个项目项集列表，将所述单个项目项集列表作为候选1项集；

扫描计算候选k项集的支持度，将所述候选k项集中支持度低于预设最小支持度的数据集进行过滤，得到频繁k项集；

若所述频繁k项集为空，返回频繁k-1项集作为结果，否则基于所述频繁k项集生成候选k+1项集，重复进行迭代计算直到得到k＝k+1项集结果；

确定最小支持度阈值剔除所述所有频繁项集中的无意义项集，确定最小置信度阈值筛选所述所有频繁项集中不符合预设要求的规则，得到所述强关联规则。

6.根据权利要求4所述的容器安全防护方法，其特征在于，所述基于所述强关联规则对所述数据特征进行行为特征挖掘，确定第二阈值，得到所述异常行为判定结果，具体包括：

分别获取正常行为数据集的正常行为模式和测试行为数据集的测试行为模式；

计算所述正常行为模式和所述测试行为模式之间的余弦距离，得到余弦相似度；

若所述余弦相似度大于所述第二阈值，则将所述测试行为模式对应的测试行为数据集判定为异常容器行为。

7.根据权利要求1至6中任一权利要求所述的容器安全防护方法，其特征在于，所述根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果，之后还包括：

根据所述风险等级判定结果设定异常行为报警，并对所述异常行为进行处理。

8.容器安全防护装置，其特征在于，包括：

获取模块，用于获取进程数据，基于所述进程数据提取数据特征；

处理模块，用于基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果；

判定模块，用于根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果。

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述容器安全防护方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述容器安全防护方法的步骤。