容器安全防护方法、装置、电子设备和存储介质制造方法及图纸

本发明专利技术提供容器安全防护方法、装置、电子设备和存储介质，包括：获取进程数据，基于所述进程数据提取数据特征；基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果；根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果。本发明专利技术通过Apriori算法对容器行为进行建模，通过不断学习，可以有效发现新的容器异常行为，并利用Apriori算法建立的数据挖掘模型，能较精确的描述已知的容器异常行为，检测出单个容器的异常行为，检测效果良好，具有实际应用价值。值。值。

【技术实现步骤摘要】
容器安全防护方法、装置、电子设备和存储介质


[0001]本专利技术涉及网络安全
，尤其涉及容器安全防护方法、装置、电子设备和存储介质。

技术介绍

[0002]随着互联网时代的迅猛发展，互联网提供商为用户提供了越来越丰富多样的内容和服务，与此同时，也对互联网基础设施提出了越来越高的要求，在此背景下，云计算应运而生，伴随着云计算的迅猛发展，虚拟化技术得到了广泛的应用，虚拟化技术满足了云计算环境对密集计算、灵活扩展以及安全可靠的需求。当前主流的虚拟化技术可以分为两类，分别是基于虚拟机的虚拟化技术和基于容器的虚拟化技术，与传统虚拟化技术相比，容器具有较高的资源利用率和较快的响应速度，是目前最流行的操作系统虚拟化技术，已被广泛部署。然而由于目前对容器的安全研究和防护的不足，容器正面临着越来越多的攻击和威胁，如系统关键敏感信息泄漏、目录攻击、跨容器文件描述符传递不安全等，因此保护容器安全刻不容缓。
[0003]目前关于容器安全技术研究方法中，系统容器LXC/LXD主要使用Linux内核名字空间、Seccomp、AppArmor、减少特权capabilities和使用Cgroup限制资源等技术。Docker除了上述技术，还支持利用Yubilkey，对Dokcer Hub中的镜像进行安全扫描等。谷歌Kubernetes把etcd中数据的访问权限只赋予两种特定的组，即能对系统有完整的控制权的组，以及能对系统服务变更请求做出正确的授权和身份验证的组；同时限制Kube Proxy和Kubelet的权限使其只能访问对应角色所需的信息。CoreOS rkt依靠KVM容器隔离，支持用户名字空间、SELinux、TPM集成、镜像签名验证以及权限capabilities拆分等功能获得高安全。
[0004]总的来看，容器安全技术可分为四类：即强制访问控制(MAC)、Seccomp、拆分特权capabilities和使用用户名字空间user namespace等技术。不断出现新的容器安全漏洞表明目前的安全技术难以有效应对不断发展的攻击手段，具体表现在：1)静态的、确定的主机和容器安全配置难以有效应对新的安全漏洞威胁；2)在现有的技术水平下，无法准确的识别容器内的异常行为；3)强制访问控制主要使用SELinux和AppArmor，相对于容器这种轻量级的虚拟化技术来说，这两项强制访问技术过于重量，如果部署在容器内会消耗大量的资源，而且将可能导致DOS攻击。目前，这两项强制访问控制方案主要是部署在主机上，不能专门为某个容器加强安全防护。
[0005]因此，需要提出一种容器安全防护方法，能有效的检测容器中的异常行为，以此保证容器中多进程安全有效的运行。

技术实现思路

[0006]本专利技术提供容器安全防护方法、装置、电子设备和存储介质，用以解决现有技术中存在的缺陷。
[0007]第一方面，本专利技术提供容器安全防护方法，包括：
[0008]获取进程数据，基于所述进程数据提取数据特征；
[0009]基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果；
[0010]根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果。
[0011]在一个实施例中，所述获取进程数据，基于所述进程数据提取数据特征，具体包括：
[0012]获取所述进程数据的重复子序列；
[0013]确定第一阈值，将所述重复子序列中超过所述第一阈值的子序列作为预设行为特征；
[0014]基于所述预设行为特征获得正常行为数据集和测试行为数据集。
[0015]在一个实施例中，所述数据特征的数据结构包括进程PID、进程调用信息列表、进程系统调用名称列表、进程特征列表和进程特征覆盖率。
[0016]在一个实施例中，所述基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果，具体包括：
[0017]通过检索获得所述数据特征中的所有频繁项集，根据所述所有频繁项集产生所期望的强关联规则；
[0018]基于所述强关联规则对所述数据特征进行行为特征挖掘，确定第二阈值，得到所述异常行为判定结果。
[0019]在一个实施例中，所述通过检索获得所述数据特征中的所有频繁项集，根据所述所有频繁项集产生所期望的强关联规则，具体包括：
[0020]生成所有单个项目项集列表，将所述单个项目项集列表作为候选1项集；
[0021]扫描计算候选k项集的支持度，将所述候选k项集中支持度低于预设最小支持度的数据集进行过滤，得到频繁k项集；
[0022]若所述频繁k项集为空，返回频繁k
‑
1项集作为结果，否则基于所述频繁k项集生成候选k+1项集，重复进行迭代计算直到得到k＝k+1项集结果；
[0023]确定最小支持度阈值剔除所述所有频繁项集中的无意义项集，确定最小置信度阈值筛选所述所有频繁项集中不符合预设要求的规则，得到所述强关联规则。
[0024]在一个实施例中，所述基于所述强关联规则对所述数据特征进行行为特征挖掘，确定第二阈值，得到所述异常行为判定结果，具体包括：
[0025]分别获取正常行为数据集的正常行为模式和测试行为数据集的测试行为模式；
[0026]计算所述正常行为模式和所述测试行为模式之间的余弦距离，得到余弦相似度；
[0027]若所述余弦相似度大于所述第二阈值，则将所述测试行为模式对应的测试行为数据集判定为异常容器行为。
[0028]在一个实施例中，所述根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果，之后还包括：
[0029]根据所述风险等级判定结果设定异常行为报警，并对所述异常行为进行处理。
[0030]第二方面，本专利技术还提供容器安全防护装置，包括：
[0031]获取模块，用于获取进程数据，基于所述进程数据提取数据特征；
[0032]处理模块，用于基于Apriori算法对所述数据特征进行处理，获得异常行为判定结
果；
[0033]判定模块，用于根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果。
[0034]第三方面，本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述容器安全防护方法的步骤。
[0035]第四方面，本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述容器安全防护方法的步骤。
[0036]本专利技术提供的容器安全防护方法、装置、电子设备和存储介质，通过Apriori算法对容器行为进行建模，通过不断学习，可以有效发现新的容器异常行为，并利用Apriori算法建立的数据挖掘模型，能较精确的描述已知的容器异常行为，检测出单个容器的异常行为，检测效果良好，具有实际应用价值。
附图说明
[0037]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.容器安全防护方法，其特征在于，包括：获取进程数据，基于所述进程数据提取数据特征；基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果；根据正常行为与异常行为之间的距离获得所述异常行为判定结果对应的风险等级判定结果。2.根据权利要求1所述的容器安全防护方法，其特征在于，所述获取进程数据，基于所述进程数据提取数据特征，具体包括：获取所述进程数据的重复子序列；确定第一阈值，将所述重复子序列中超过所述第一阈值的子序列作为预设行为特征；基于所述预设行为特征获得正常行为数据集和测试行为数据集。3.根据权利要求2所述的容器安全防护方法，其特征在于，所述数据特征的数据结构包括进程PID、进程调用信息列表、进程系统调用名称列表、进程特征列表和进程特征覆盖率。4.根据权利要求1所述的容器安全防护方法，其特征在于，所述基于Apriori算法对所述数据特征进行处理，获得异常行为判定结果，具体包括：通过检索获得所述数据特征中的所有频繁项集，根据所述所有频繁项集产生所期望的强关联规则；基于所述强关联规则对所述数据特征进行行为特征挖掘，确定第二阈值，得到所述异常行为判定结果。5.根据权利要求4所述的容器安全防护方法，其特征在于，所述通过检索获得所述数据特征中的所有频繁项集，根据所述所有频繁项集产生所期望的强关联规则，具体包括：生成所有单个项目项集列表，将所述单个项目项集列表作为候选1项集；扫描计算候选k项集的支持度，将所述候选k项集中支持度低于预设最小支持度的数据集进行过滤，得到频繁k项集；若所述频繁k项集为空，返回频繁k
‑
1项集作为结果，否则基于所述频繁k项集生成候选k+1项集，重复进行迭代计...

【专利技术属性】
技术研发人员：吴祖康，徐志成，蒋小雨，陈若鹏，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：