[发明专利]容器安全防护方法、装置、电子设备和存储介质

说明书

本发明提供容器安全防护方法、装置、电子设备和存储介质，包括：获取进程数据，基于所述进程数据提取数据特征；基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果；根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果。本发明通过Apriori算法对容器行为进行建模，通过不断学习，可以有效发现新的容器异常行为，并利用Apriori算法建立的数据挖掘模型，能较精确的描述已知的容器异常行为，检测出单个容器的异常行为，检测效果良好，具有实际应用价值。

技术领域

本发明涉及网络安全技术领域，尤其涉及容器安全防护方法、装置、电子设备和存储介质。

背景技术

随着互联网时代的迅猛发展，互联网提供商为用户提供了越来越丰富多样的内容和服务，与此同时，也对互联网基础设施提出了越来越高的要求，在此背景下，云计算应运而生，伴随着云计算的迅猛发展，虚拟化技术得到了广泛的应用，虚拟化技术满足了云计算环境对密集计算、灵活扩展以及安全可靠的需求。当前主流的虚拟化技术可以分为两类，分别是基于虚拟机的虚拟化技术和基于容器的虚拟化技术，与传统虚拟化技术相比，容器具有较高的资源利用率和较快的响应速度，是目前最流行的操作系统虚拟化技术，已被广泛部署。然而由于目前对容器的安全研究和防护的不足，容器正面临着越来越多的攻击和威胁，如系统关键敏感信息泄漏、目录攻击、跨容器文件描述符传递不安全等，因此保护容器安全刻不容缓。

目前关于容器安全技术研究方法中，系统容器LXC/LXD主要使用Linux内核名字空间、Seccomp、AppArmor、减少特权capabilities和使用Cgroup限制资源等技术。Docker除了上述技术，还支持利用Yubilkey，对Dokcer Hub中的镜像进行安全扫描等。谷歌Kubernetes把etcd中数据的访问权限只赋予两种特定的组，即能对系统有完整的控制权的组，以及能对系统服务变更请求做出正确的授权和身份验证的组；同时限制Kube Proxy和Kubelet的权限使其只能访问对应角色所需的信息。CoreOS rkt依靠KVM容器隔离，支持用户名字空间、SELinux、TPM集成、镜像签名验证以及权限capabilities拆分等功能获得高安全。

总的来看，容器安全技术可分为四类：即强制访问控制(MAC)、Seccomp、拆分特权capabilities和使用用户名字空间user namespace等技术。不断出现新的容器安全漏洞表明目前的安全技术难以有效应对不断发展的攻击手段，具体表现在：1)静态的、确定的主机和容器安全配置难以有效应对新的安全漏洞威胁；2)在现有的技术水平下，无法准确的识别容器内的异常行为；3)强制访问控制主要使用SELinux和AppArmor，相对于容器这种轻量级的虚拟化技术来说，这两项强制访问技术过于重量，如果部署在容器内会消耗大量的资源，而且将可能导致DOS攻击。目前，这两项强制访问控制方案主要是部署在主机上，不能专门为某个容器加强安全防护。

因此，需要提出一种容器安全防护方法，能有效的检测容器中的异常行为，以此保证容器中多进程安全有效的运行。

发明内容

本发明提供容器安全防护方法、装置、电子设备和存储介质，用以解决现有技术中存在的缺陷。

第一方面，本发明提供容器安全防护方法，包括：

获取进程数据，基于所述进程数据提取数据特征；

基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果；

根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果。

在一个实施例中，所述获取进程数据，基于所述进程数据提取数据特征，具体包括：

获取所述进程数据的重复子序列；

确定第一阈值，将所述重复子序列中超过所述第一阈值的子序列作为预设行为特征；