CN109840419A - 计算机装置及辨识其软件容器行为是否异常的方法 - Google Patents
计算机装置及辨识其软件容器行为是否异常的方法 Download PDFInfo
- Publication number
- CN109840419A CN109840419A CN201711247839.5A CN201711247839A CN109840419A CN 109840419 A CN109840419 A CN 109840419A CN 201711247839 A CN201711247839 A CN 201711247839A CN 109840419 A CN109840419 A CN 109840419A
- Authority
- CN
- China
- Prior art keywords
- software container
- behavior
- computer installation
- software
- bait
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000009434 installation Methods 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000002159 abnormal effect Effects 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 claims description 110
- 238000010276 construction Methods 0.000 claims description 19
- 230000003542 behavioural effect Effects 0.000 claims description 8
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 6
- 238000010801 machine learning Methods 0.000 claims description 4
- 239000004744 fabric Substances 0.000 abstract 1
- 230000006870 function Effects 0.000 description 20
- 230000009545 invasion Effects 0.000 description 10
- 230000008859 change Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2123—Dummy operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本揭露涉及一种计算机装置及辨识其软件容器行为是否异常的方法。该计算机装置侦测一软件容器在一时间区间内的软件容器行为,以及根据一软件容器行为辨识模块辨识该软件容器行为是否异常,借此判断是否受到入侵。另外,可透过在计算机装置内布建诱饵软件容器,来吸引第三方对诱饵软件容器进行攻击或入侵,以分散软件容器被攻击的风险,以及根据该诱饵软件容器的软件容器行为更新软件容器行为辨识模块。
Description
技术领域
本发明关于一种计算机装置及入侵检测方法。更具体而言,本发明关于一种计算机装置及辨识其软件容器行为是否异常的方法。
背景技术
软件容器(container)是一种共享操作系统的虚拟机技术。详言之,软件容器引擎可为每一个软件容器提供一个隔离环境,以让每一个软件容器都像是运行在单独的操作系统之上,但却能共享底层的资源。软件容器这项技术因具有轻量化、高扩展性及高度弹性等特性,近年来已被大量使用。
随着转软件容器的普及,第三方针对软件容器的攻击或入侵行为也逐渐频繁,这也引发各种有关软件容器安全性的问题。举例而言,第三方可能发动例如以下攻击或入侵行为:攻击或入侵主机,借以控制主机内的有软件容器的运作;以及攻击或入侵某一软件容器,并以该软件容器做为跳板来控制其他软件容器或主机的运作。有鉴于此,如何有效地侦测第三方针对软件容器的攻击或入侵行为,将是本发明所属技术领域中亟需被解决的一项技术问题。
发明内容
为了解决上述问题,本发明的某些实施例提供了一种计算机装置。该计算机装置可包含一储存器以及一与该储存器电性连接的处理器。该储存器可用以储存一软件容器行为辨识模块,而该处理器可用以侦测一软件容器在一时间区间内的软件容器行为,以及根据该软件容器行为辨识模块辨识该软件容器行为是否异常。
为了解决上述问题,本发明的某些实施例还提供了一种辨识软件容器行为是否异常的方法。该方法可包含以下步骤:由一计算机装置,侦测一软件容器在一时间区间内的软件容器行为;以及由该计算机装置,根据一软件容器行为辨识模块辨识该软件容器行为是否异常。
因软件容器在遭受到第三方的攻击或入侵行为时,通常其自身的软件容器行为也会变化,故在本发明的实施例中,借由辨识软件容器行为是否异常,将可有效地侦测出该软件容器是否已遭受到第三方的攻击或入侵。
发明内容并非为了限制本发明,而只是概括地叙述了本发明的核心概念、本发明可解决的技术问题、可采用的技术手段以及可达到的技术功效,以让本领域的技术人员对本发明的基本理解。根据检附的附图及以下的实施方式所提供的实施例,本领域的技术人员便可更加了解本发明。
附图说明
图1例示了在本发明的某些实施例中的一种计算机装置。
图2A例示了在本发明的某些实施例中,图1所示的计算机装置的一种软件容器状态。
图2B例示了在本发明的某些实施例中,图1所示的计算机装置如何在图2A所示的软件容器状态下辨识软件容器行为。
图3A例示了在本发明的某些实施例中,图1所示的计算机装置的另一种软件容器状态。
图3B例示了在本发明的某些实施例中,图1所示的计算机装置如何在图3A所示的软件容器状态下辨识软件容器行为。
图4例示了在本发明的某些个实施例中的一种辨识软件容器行为是否异常的方法。
符号说明
1:计算机装置
11:储存器
13:处理器
111:软件容器行为辨识模块
113:软件容器原始日志
2:软件容器状态
200:操作系统
202:源文件系统
220:软件容器引擎
240、240a:软件容器
260、260a:函数库
211、213、215:处理
3:软件容器状态
302:独立文件系统
340:诱饵软件容器
360:独立函数库
212、217、219:处理
4:辨识软件容器行为是否异常的方法
401、403:步骤
具体实施方式
以下将透过多个实施例来说明本发明,惟这些实施例并非用以限制本发明只能根据所述操作、环境、应用、结构、流程或步骤来实施。于附图中,与本发明非直接相关的元件皆已省略。于附图中,各元件之间的尺寸关系仅为了易于说明本发明,而非用以限制本发明的实际比例。除了特别说明之外,在以下内容中,相同(或相近)的元件符号可对应至相同(或相近)的元件。
图1例示了在本发明的某些实施例中的一种计算机装置1。图1所示内容仅是为了举例说明本发明的实施例,而非为了限制本发明。
参照图1,计算机装置1可包含一储存器11及一与储存器11电性连接的处理器13。除了储存器11及处理器13之外,于某些实施例中,计算机装置1还可包含其他元件,例如但不限于:输入元件、输出元件、联网元件等等。计算机装置1所包含的所有元件都相互连接,且任二个元间之间可以是直接连接(即,未经由其他功能元件而相互连接),也可以是间接连接(即,经由其他功能元件而相互连接)。计算机装置1可以是各种具有计算、储存、通讯、联网等功能的计算机,例如但不限于:桌面计算机、便携计算机、移动电话等等
处理器13可包含微处理器(microprocessor)或微控制器(microcontroller),用以在计算机装置1中执行各种运算程序。微处理器或微控制器是一种可程序化的特殊集成电路,其具有运算、储存、输出/输入等能力,且可接受并处理各种编码指令,借以进行各种逻辑运算与算术运算,并输出相应的运算结果。
储存器11可包含第一级存储器(又称主存储器或内部存储器),且处理器13可直接读取储存在第一级存储器内的指令集,并在需要时执行这些指令集。储存器11还可包含第二级存储器(又称外部存储器或辅助存储器),且此存储器可透过数据缓冲器将储存的数据传送至第一级存储器。举例而言,第二级存储器可以是但不限于:硬盘、光盘等。储存器11还可包含第三级存储器,亦即,可直接插入或自计算机拔除的储存装置,例如随身硬盘。
储存器11可用以储存一软件容器行为辨识模块111,而处理器13可用以侦测建构在计算机装置1内的每一个软件容器在一时间区间内(或每间隔一时间区间)的软件容器行为,以及根据该软件容器行为辨识模块辨识该软件容器行为是否异常,借此判断该软件容器是否受到攻击或入侵。
于某些实施例中,储存器11还可用以储存一软件容器原始日志(Raw Log)113,且软件容器原始日志113可用以记录每一个软件容器在计算机装置1内发生的所有事件的相关数据及其硬件信息。软件容器原始日志113所记录的事件类型可包括但不限于:写入(例如,事件型态是open或openat,且参数为write)、读取(例如,事件型态是open或openat,且参数为read)、存取数据库(例如,事件型态是sendto或recvfrom,且端口号为数据库默认值)、发出终止信号(例如,事件型态是kill)、等待(例如,事件型态是select或polling)、接收外部联机(例如,事件型态是accept)、存取存储器(例如,事件型态是brk、mmap或/munmap)、建立联机(例如,事件型态是connect)、产生新的线程(例如,事件型态是clone)、发生网络行为(例如,事件内容包含GET或POST、事件型态是sendto、且端口号是8080、80、8443或443)、创立目录(例如,事件型态是mkdir)、变换目录(例如,事件型态是chdir)、执行新的程序(例如,事件型态是exec)等等。软件容器原始日志113所记录的硬件信息的类别可包括但不限于:中央处理单元的使用率、存储器的使用量、硬盘的使用量、网络的使用量等等。
处理器13可根据软件容器原始日志113的内容来侦测每一个软件容器在一时间区间内(或每间隔一时间区间)的软件容器行为,并针对该软件容器行为计算一目标行为特征向量。举例而言,根据软件容器原始日志113的内容,处理器13可将每一个软件容器在一时间区间(例如但不限于:5秒、10秒、20秒、1分钟、5分钟、1小时、或3小时)所发生的所有事件界定为该软件容器的软件容器行为,且将这些事件的相关数据及/或其硬件信息组合成一目标行为特征向量。然后,处理器13可根据软件容器行为辨识模块111分类该目标行为特征向量。若该目标行为特征向量被分类为异常(相当于该软件容器行为是异常的),则处理器13将辨识该软件容器已受到攻击或入侵;而若该目标行为特征向量被分类为正常(相当于该软件容器行为是正常的),则处理器13将辨识该软件容器并未受到攻击或入侵。在辨识该软件容器受到攻击或入侵时,该处理器13可以透过各种输出元件(例如显示器、喇叭等等),借由影像或声音来通知计算机装置1的用户。
处理器13可借由一机器学习训练程序(例如但不限于:支持向量机(SVM)算法、判定树算法、深度学习算法等等),训练多个参考行为特征向量,以建立储存器11所储存的软件容器行为辨识模块111,其中该多个参考行为特征向量包含至少一正常行为特征向量与至少一异常行为特征向量。举例而言,正常行为特征向量可以是一或多个软件容器在没有受到攻击或入侵的情况下,被记载在软件容器原始日志113或外部计算机装置所储存的软件容器原始日志中的所有事件的相关数据的组合(例如:写入的次数为6、读取的次数为10及存取数据库的次数为8);而异常行为特征向量可以是一或多个软件容器在受到攻击或入侵的情况下,被记载在软件容器原始日志113或外部计算机装置所储存的软件容器原始日志中的所有事件的相关数据的组合(例如:写入的次数为25、读取的次数为75及存取数据库的次数为80)。在此范例中,因为软件容器受到缓冲区溢出(buffer overflow)攻击,使得异常行为特征向量中的写入次数、读取次数与存取数据库次数异常增加。于某些实施例中,储存器11所储存的软件容器行为辨识模块111也可是由一外部计算机装置所预先建构的。
图2A例示了在本发明的某些实施例中,计算机装置1的一种软件容器状态2,而图2B例示了在本发明的某些实施例中,计算机装置1如何在图2A所示的软件容器状态2下辨识软件容器行为。图2A-2B所示内容仅是为了举例说明本发明的实施例,而非为了限制本发明。
如图2A所示,处理器13可在一操作系统200上安装一软件容器引擎(containerengine)220,且可根据不同的需求,利用软件容器引擎220建构一或多个独立运作的软件容器240(包含软件容器240a)。根据不同的需求,处理器13可以建构多个相同属性/功能的软件容器240来加载应用程序,也可以建构多个不同属性/功能的软件容器240来加载应用程序。根据不同的需求,处理器13可以为每一个软件容器240指定一独立的函数库(Bins/Libs)260,例如指定一个函数库260a给软件容器240a,也可以为多个软件容器240指定同一函数库260,例如指定一个函数库260给多个软件容器240。每一个软件容器240都可存取位于操作系统200内的一源文件系统202。需说明者,如图2A所示的软件容器240的数目并非限制。另外,因本领域的技术人员已理解操作系统200、软件容器引擎220及软件容器240的基本运作,故于此不再赘言。
参照图2A-2B,针对每一个软件容器240(以软件容器240a为例),处理器13可进行以下处理:根据软件容器原始日志113的内容来侦测软件容器240a在一时间区间内(或每间隔一时间区间)的软件容器行为(标示为211);针对软件容器240a的该软件容器行为计算一目标行为特征向量(标示为213);以及根据软件容器行为辨识模块111分类该目标行为特征向量(标示为215),以辨识软件容器240a的软件容器行为是否异常。经由上述处理,处理器13可辨识软件容器240a是否受到攻击或入侵。
于某些实施方式中,计算机装置1与其他计算机装置可以经由各种网络连接到一中央控管中心,且由该中央控管中心来控管计算机装置1的上述运作。另外,当计算机装置1辨识出其软件容器发生异常时,可实时地通知该中央控管中心。
图3A例示了在本发明的某些实施例中,计算机装置1的另一种软件容器状态3,而图3B例示了在本发明的某些实施例中,计算机装置1如何在图3A所示的软件容器状态3下辨识软件容器行为。图3A-3B所示内容仅是为了举例说明本发明的实施例,而非为了限制本发明。
相较于图2A所示的软件容器状态2,在图3A所示的软件容器状态3中,计算机装置1除了建构了一或多个软件容器240之外,还额外建构一或多个相对应的诱饵软件容器340。详言之,每当处理器13建构了一个软件容器240,其将自动地建构一个相对应的诱饵软件容器340。举例而言,在建构了软件容器240a之后,处理器13可自动分析软件容器240a的属性/功能,并自动建构一个与软件容器240a相同属性/功能的诱饵软件容器340。然后,处理器13可透过一诱饵数据库(例如:通用漏洞与暴露数据库(Common Vulnerabilities andExposures,CVE))自动植入一或多个预设的诱饵至诱饵软件容器340及/或将假数据添加到一与源文件系统202隔离开来的独立文件系统302。
植入一或多个预设的诱饵至诱饵软件容器340有助于吸引第三方对其进行攻击或入侵,进而避免第三方对软件容器240a(即,要保护的软件容器)进行攻击或入侵。举例而言,处理器13可分析软件容器240a的函数库260a的版本,并经由该诱饵数据库寻找函数库260a过去存在漏洞的版本,然后将此存在漏洞的版本指定为诱饵软件容器340的独立函数库360,借此吸引第三方的攻击或入侵。由于独立函数库360与其他函数库(即,函数库260、260a)相互隔开,故第三方并无法借由独立函数库360的漏洞来攻击或入侵其他软件容器(即,软件容器240、240a)。
将假数据添加到诱饵软件容器340可存取的独立文件系统302也有助于吸引第三方对其进行攻击或入侵,进而避免第三方对软件容器240a(即,要保护的软件容器)进行攻击或入侵。由于诱饵软件容器340只能够存取位于操作系统200内的独立文件系统302,且独立文件系统302与源文件系统202相互隔开,故即使第三方攻击若入侵了诱饵软件容器340,其仍无法经由诱饵软件容器340来存取源文件系统202(即,要保护的文件系统)。
于某些实施例中,当处理器13侦测到来自诱饵软件容器340的软件容器行为时,还可针对软件容器行为计算一特定行为特征向量(属于异常行为特征向量),并根据该特定行为特征向量来更新软件容器行为辨识模块111,借以预防未来相同或相似的攻击或入侵行为。
参照图3A-3B,针对每一个软件容器(包含软件容器240、240a与诱饵软件容器340),处理器13可进行以下处理:根据软件容器原始日志113的内容来侦测该软件容器在一时间区间内(或每间隔一时间区间)的软件容器行为(标示为211);判断该软件容器是否是一诱饵软件容器(标示为212);若判断该软件容器不是一诱饵软件容器,则针对该软件容器的该软件容器行为计算一目标行为特征向量(标示为213),然后根据软件容器行为辨识模块111分类该目标行为特征向量(标示为215),以辨识该软件容器的该软件容器行为是否异常;以及若判断该软件容器是一诱饵软件容器,则针对该软件容器的该软件容器行为计算一特定行为特征向量(标示为217),并根据该特定行为特征向量来更新软件容器行为辨识模块111(标示为219)。
图4例示了在本发明的某些实施例中的一种辨识软件容器行为是否异常的方法。图4所示内容仅是为了举例说明本发明的实施例,而非为了限制本发明。
参照图4,一种辨识软件容器行为是否异常的方法4可以包含下步骤:由一计算机装置,侦测一软件容器在一时间区间内的软件容器行为(标示为401);以及由该计算机装置,根据一软件容器行为辨识模块辨识该软件容器行为是否异常(标示为403)。
于某些实施例中,除了步骤401与步骤403之外,方法4还可以包含以下步骤:由该计算机装置,根据一软件容器原始日志侦测该软件容器在该时间区间内的该软件容器行为;由该计算机装置,针对该软件容器行为计算一目标行为特征向量;以及由该计算机装置,根据该软件容器行为辨识模块分类该目标行为特征向量,以辨识该软件容器行为是否异常。
于某些实施例中,除了步骤401与步骤403之外,方法4还可以包含以下步骤:由该计算机装置,借由一机器学习训练程序,训练多个参考行为特征向量,以建立该软件容器行为辨识模块,其中该多个参考行为特征向量包含至少一正常行为特征向量与至少一异常行为特征向量。
于某些实施例中,除了步骤401与步骤403之外,方法4还可以包含以下步骤:由该计算机装置,在一独立的文件系统上建构与该软件容器相对应的一诱饵软件容器;以及由该计算机装置,在侦测到该诱饵软件容器的软件容器行为时,针对该软件容器行为计算一特定行为特征向量,并根据该特定行为特征向量更新该软件容器行为辨识模块。在这些实施例中,该计算机装置可以在建构该软件容器之后,自动地建构该诱饵软件容器。在这些实施例中,建构该诱饵软件容器的该步骤还包含以下步骤:由该计算机装置,分析该软件容器的属性,并根据该属性以及默认的诱饵建构该诱饵软件容器。
在某些实施例中,方法4的上述全部步骤可以由计算机装置1来执行。在某些实施例中,除了上述步骤之外,方法4还可以包含与计算机装置1的上述所有实施例相对应的其他步骤。因本领域的技术人员可根据上文针对计算机装置1的说明而了解方法4的这些其他步骤,于此不再赘述。
上述实施例只是举例来说明本发明,而非为了限制本发明。任何针对上述实施例进行修饰、改变、调整、整合而产生的其他实施例,只要是本领域的技术人员不难思及的,都已涵盖在本发明的保护范围内。本发明的保护范围以权利要求书为准。
Claims (12)
1.一种计算机装置,其特征在于,包含:
一储存器,用以储存一软件容器行为辨识模块;以及
一处理器,与该储存器电性连接,并用以侦测一软件容器在一时间区间内的软件容器行为,以及根据该软件容器行为辨识模块辨识该软件容器行为是否异常。
2.如权利要求1所述的计算机装置,其特征在于,该储存器还用以储存一软件容器原始日志,且该处理器还用以根据该软件容器原始日志侦测该软件容器在该时间区间内的该软件容器行为,针对该软件容器行为计算一目标行为特征向量,以及根据该软件容器行为辨识模块分类该目标行为特征向量,以辨识该软件容器行为是否异常。
3.如权利要求1所述的计算机装置,其特征在于,该处理器还用以借由一机器学习训练程序,训练多个参考行为特征向量,以建立该软件容器行为辨识模块,其中该多个参考行为特征向量包含至少一正常行为特征向量与至少一异常行为特征向量。
4.如权利要求1所述的计算机装置,其特征在于,该处理器还用以在一独立的文件系统上建构与该软件容器相对应的一诱饵软件容器,并在侦测到该诱饵软件容器的软件容器行为时,针对该软件容器行为计算一特定行为特征向量,并根据该特定行为特征向量更新该软件容器行为辨识模块。
5.如权利要求4所述的计算机装置,其特征在于,该处理器是在建构该软件容器之后,自动地建构该诱饵软件容器。
6.如权利要求4所述的计算机装置,其特征在于,该处理器还用以分析该软件容器的属性,并根据该属性以及默认的诱饵建构该诱饵软件容器。
7.一种辨识软件容器行为是否异常的方法,其特征在于,包含以下步骤:
由一计算机装置,侦测一软件容器在一时间区间内的软件容器行为;以及
由该计算机装置,根据一软件容器行为辨识模块辨识该软件容器行为是否异常。
8.如权利要求7所述的方法,其特征在于,还包含以下步骤:
由该计算机装置,根据一软件容器原始日志侦测该软件容器在该时间区间内的该软件容器行为;
由该计算机装置,针对该软件容器行为计算一目标行为特征向量;以及
由该计算机装置,根据该软件容器行为辨识模块分类该目标行为特征向量,以辨识该软件容器行为是否异常。
9.如权利要求7所述的方法,其特征在于,还包含以下步骤:
由该计算机装置,借由一机器学习训练程序,训练多个参考行为特征向量,以建立该软件容器行为辨识模块,其中该多个参考行为特征向量包含至少一正常行为特征向量与至少一异常行为特征向量。
10.如权利要求7所述的方法,其特征在于,还包含以下步骤:
由该计算机装置,在一独立的文件系统上建构与该软件容器相对应的一诱饵软件容器;以及
由该计算机装置,在侦测到该诱饵软件容器的软件容器行为时,针对该软件容器行为计算一特定行为特征向量,并根据该特定行为特征向量更新该软件容器行为辨识模块。
11.如权利要求10所述的方法,其特征在于,该计算机装置是在建构该软件容器之后,自动地建构该诱饵软件容器。
12.如权利要求10所述的方法,其特征在于,建构该诱饵软件容器的该步骤还包含以下步骤:由该计算机装置,分析该软件容器的属性,并根据该属性以及默认的诱饵建构该诱饵软件容器。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106141607A TWI677804B (zh) | 2017-11-29 | 2017-11-29 | 計算機裝置及辨識其軟體容器行為是否異常的方法 |
TW106141607 | 2017-11-29 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109840419A true CN109840419A (zh) | 2019-06-04 |
CN109840419B CN109840419B (zh) | 2022-08-09 |
Family
ID=66633286
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711247839.5A Active CN109840419B (zh) | 2017-11-29 | 2017-12-01 | 计算机装置及辨识其软件容器行为是否异常的方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10726124B2 (zh) |
CN (1) | CN109840419B (zh) |
TW (1) | TWI677804B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2697955C2 (ru) * | 2018-02-06 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | Система и способ обучения модели обнаружения вредоносных контейнеров |
TWI703467B (zh) * | 2019-08-29 | 2020-09-01 | 國立成功大學 | 具有高互動組合工控誘捕系統及其方法 |
CN111639314B (zh) * | 2020-05-15 | 2024-01-12 | 京东科技控股股份有限公司 | 容器登录系统、方法、服务器及存储介质 |
CN112350870A (zh) * | 2020-11-11 | 2021-02-09 | 杭州飞致云信息科技有限公司 | 容器集群系统的运维安全审计方法和装置 |
US20230036739A1 (en) * | 2021-07-28 | 2023-02-02 | Red Hat, Inc. | Secure container image builds |
CN116821898A (zh) * | 2023-06-30 | 2023-09-29 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
CN117742897B (zh) * | 2024-02-20 | 2024-04-26 | 国网四川省电力公司信息通信公司 | 一种基于容器镜像漏洞自动修复的实现方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080016570A1 (en) * | 2006-05-22 | 2008-01-17 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
US20100180344A1 (en) * | 2009-01-10 | 2010-07-15 | Kaspersky Labs ZAO | Systems and Methods For Malware Classification |
US20150295945A1 (en) * | 2014-04-14 | 2015-10-15 | Drexel University | Multi-Channel Change-Point Malware Detection |
US20160149950A1 (en) * | 2014-11-21 | 2016-05-26 | International Business Machines Corporation | Dynamic security sandboxing based on intruder intent |
US20170098071A1 (en) * | 2015-10-01 | 2017-04-06 | Twistlock, Ltd. | Runtime detection of vulnerabilities in software containers |
US9794287B1 (en) * | 2016-10-31 | 2017-10-17 | International Business Machines Corporation | Implementing cloud based malware container protection |
CN107330326A (zh) * | 2017-05-12 | 2017-11-07 | 中国科学院信息工程研究所 | 一种恶意木马检测处理方法及装置 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1892664A (zh) | 2005-06-30 | 2007-01-10 | 国际商业机器公司 | 控制对资源的访问的方法和系统 |
US9106697B2 (en) * | 2010-06-24 | 2015-08-11 | NeurallQ, Inc. | System and method for identifying unauthorized activities on a computer system using a data structure model |
CN102291392B (zh) * | 2011-07-22 | 2015-03-25 | 中国电力科学研究院 | 一种基于Bagging算法的复合式入侵检测方法 |
US9507935B2 (en) * | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
US10193924B2 (en) | 2014-09-17 | 2019-01-29 | Acalvio Technologies, Inc. | Network intrusion diversion using a software defined network |
US9411959B2 (en) * | 2014-09-30 | 2016-08-09 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
US20160359695A1 (en) * | 2015-06-04 | 2016-12-08 | Cisco Technology, Inc. | Network behavior data collection and analytics for anomaly detection |
US10586042B2 (en) | 2015-10-01 | 2020-03-10 | Twistlock, Ltd. | Profiling of container images and enforcing security policies respective thereof |
US20170308701A1 (en) | 2016-04-22 | 2017-10-26 | Qualcomm Incorporated | Methods and Systems for Intelligently Detecting Malware and Attacks on Client Computing Devices and Corporate Networks |
US20180309787A1 (en) * | 2016-07-31 | 2018-10-25 | Cymmetria, Inc. | Deploying deception campaigns using communication breadcrumbs |
US10587580B2 (en) * | 2016-10-26 | 2020-03-10 | Ping Identity Corporation | Methods and systems for API deception environment and API traffic control and security |
US10594712B2 (en) * | 2016-12-06 | 2020-03-17 | General Electric Company | Systems and methods for cyber-attack detection at sample speed |
-
2017
- 2017-11-29 TW TW106141607A patent/TWI677804B/zh active
- 2017-12-01 CN CN201711247839.5A patent/CN109840419B/zh active Active
- 2017-12-07 US US15/835,426 patent/US10726124B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080016570A1 (en) * | 2006-05-22 | 2008-01-17 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
US20100180344A1 (en) * | 2009-01-10 | 2010-07-15 | Kaspersky Labs ZAO | Systems and Methods For Malware Classification |
US20150295945A1 (en) * | 2014-04-14 | 2015-10-15 | Drexel University | Multi-Channel Change-Point Malware Detection |
US20160149950A1 (en) * | 2014-11-21 | 2016-05-26 | International Business Machines Corporation | Dynamic security sandboxing based on intruder intent |
US20170098071A1 (en) * | 2015-10-01 | 2017-04-06 | Twistlock, Ltd. | Runtime detection of vulnerabilities in software containers |
US9794287B1 (en) * | 2016-10-31 | 2017-10-17 | International Business Machines Corporation | Implementing cloud based malware container protection |
CN107330326A (zh) * | 2017-05-12 | 2017-11-07 | 中国科学院信息工程研究所 | 一种恶意木马检测处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
TWI677804B (zh) | 2019-11-21 |
US20190163901A1 (en) | 2019-05-30 |
TW201926107A (zh) | 2019-07-01 |
US10726124B2 (en) | 2020-07-28 |
CN109840419B (zh) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109840419A (zh) | 计算机装置及辨识其软件容器行为是否异常的方法 | |
CN106326738B (zh) | 计算机安全体系架构及相关的计算方法 | |
CN108133139B (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测系统 | |
KR102474048B1 (ko) | 개선된 멀웨어 보호를 위해 모바일 디바이스와의 페이크 사용자 상호작용들을 검출하기 위한 방법들 및 시스템들 | |
CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
JP6860070B2 (ja) | 分析装置、ログの分析方法及び分析プログラム | |
CN102088379B (zh) | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 | |
KR101789962B1 (ko) | 이동 디바이스에서 거동 분석 동작들을 수행함으로써 애플리케이션 상태들을 추론하기 위한 방법 및 시스템 | |
CN104272786B (zh) | 用于移动装置行为的自适应观测的系统、设备及方法 | |
CN103500308B (zh) | 用于对抗由恶意软件对仿真的检测的系统和方法 | |
US9823843B2 (en) | Memory hierarchy monitoring systems and methods | |
US9578049B2 (en) | Methods and systems for using causal analysis for boosted decision stumps to identify and respond to non-benign behaviors | |
WO2016209528A1 (en) | Methods and systems for automatic extraction of behavioral features from mobile applications | |
WO2017003593A1 (en) | Customized network traffic models to detect application anomalies | |
CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
EP3204883A1 (en) | Methods and systems for behavioral analysis of mobile device behaviors based on user persona information | |
CN108475217A (zh) | 用于审计虚拟机的系统及方法 | |
CN109862003A (zh) | 本地威胁情报库的生成方法、装置、系统及存储介质 | |
CN114328173B (zh) | 软件模糊测试方法和装置、电子设备及存储介质 | |
CA3085098A1 (en) | Image recognition reverse tuning test system | |
CN110276195A (zh) | 一种智能设备入侵检测方法、设备及存储介质 | |
CN109800569A (zh) | 程序鉴别方法及装置 | |
KR101308866B1 (ko) | 공개형 악성코드 관리 및 분석 시스템 | |
CN109543403B (zh) | 一种系统调用行为序列降维方法、系统、装置及存储介质 | |
CN109936528A (zh) | 监测方法、装置、设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |