随着虚拟化技术的爆炸式增长,Docker已占领了容器技术主流市场,但由于其轻量级的隔离方式导致安全问题频出.如阿里、京东、字节跳动等企业都开始采用Docker容器技术,容器安全与用户的财产安全紧密相关,而针对Docker容器安全的研究还存在较大欠缺,高效且安全的虚拟化解决方案需求也逐步增加.本文提出一种基于系统调用的Docker容器异常检测方案(Docker Anomaly Detection Based on System Call,DADBS),旨在通过分析系统调用序列,捕获容器运行时应用程序所发生的异常进程行为.DADBS通过跟踪容器内运行进程收集应用程序系统调用序列,结合系统调用级别及多级别TF-IDF量化评分筛选序列冗余信息,使用长短期记忆神经网络学习正常行为构建系统调用语言模型,最终采用余弦相似度偏差进行异常判断.经云环境下实验证明该模型在ADFA公开数据集上取得0.848的AUC值,且在Docker容器实际攻击场景都能够高效检测出进程异常行为.
展开▼
