CN111723370A - 一种容器恶意行为检测的方法和设备 - Google Patents
一种容器恶意行为检测的方法和设备 Download PDFInfo
- Publication number
- CN111723370A CN111723370A CN202010533592.9A CN202010533592A CN111723370A CN 111723370 A CN111723370 A CN 111723370A CN 202010533592 A CN202010533592 A CN 202010533592A CN 111723370 A CN111723370 A CN 111723370A
- Authority
- CN
- China
- Prior art keywords
- container
- behavior
- model
- library
- judgment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000006399 behavior Effects 0.000 claims abstract description 134
- 238000012549 training Methods 0.000 claims abstract description 29
- 238000013135 deep learning Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims abstract description 14
- 230000006870 function Effects 0.000 claims description 70
- 238000001514 detection method Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 230000000694 effects Effects 0.000 claims description 6
- 230000003542 behavioural effect Effects 0.000 claims 2
- 238000002372 labelling Methods 0.000 claims 2
- 230000009545 invasion Effects 0.000 abstract description 2
- 239000013598 vector Substances 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种容器恶意行为检测的方法和设备,该方法包括以下步骤:收集容器行为的样本集并建立容器的行为库;将行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型;响应于容器在主机上运行,获取容器的行为数据并使用判断模型进行判断;响应于判断容器的行为数据存在恶意行为,对容器进行处理。通过使用本发明的方案,能够有效的防御恶意软件的入侵,防止带有恶意行为的容器运行,提高云计算和微服务环境中容器的安全。
Description
技术领域
本领域涉及计算机领域,并且更具体地涉及一种容器恶意行为检测的方法和设备。
背景技术
随着当今信息技术的高速发展,基于容器的微服务架构的云计算平台给企业和个人带来了极大的便利性,但是人们在享受着互联网带来的工作和生活上的便利的同时,也时时刻刻受到计算机恶意软件的威胁,而计算机病毒已成为计算机安全的主要威胁之一。而信息技术的发展的同时,计算机恶意软件的技术也在同时发展,其向着高级化、规模化、复杂化、服务化的发展跨平台化的方向发展,云计算环境中的云主机成为其主要攻击对象。为应对计算机恶意软件的发展,基于行为的计算机病毒检测方法成为越来收到反病毒厂商的青睐,而随着深度学习,机器学习这类人工智能技术的发展,使得基于行为的计算机病毒检测方法也成为可能。
发明内容
有鉴于此,本发明实施例的目的在于提出一种容器恶意行为检测的方法和设备,通过使用本发明的方法,能够有效的防御恶意软件的入侵,防止带有恶意行为的容器运行,提高云计算和微服务环境中容器的安全。
基于上述目的,本发明的实施例的一个方面提供了一种容器恶意行为检测的方法,包括以下步骤:
收集容器行为的样本集并建立容器的行为库;
将行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型;
响应于容器在主机上运行,获取容器的行为数据并使用判断模型进行判断;
响应于判断容器的行为数据存在恶意行为,对容器进行处理。
根据本发明的一个实施例,收集容器行为的样本集并建立容器的行为库包括:
收集标记为恶意软件和非恶意软件的样本;
将样本在主机上运行,在主机上使用hook函数获取容器运行时的系统函数的调用信息,并根据容器的namespace区分容器调用的系统函数;
通过每个容器运行的样本对应的软件类别来标注容器的运行信息以组成容器的行为库。
根据本发明的一个实施例,将行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型包括:
将行为库中的每个容器运行时的函数调用信息、函数名和函数参数组依照时间顺序组成一个字符串;
分别使用TF_IDF模型、text cnn模型、cnn lstm模型、多视野lstm模型对字符串进行训练以得到相应的四种训练后的模型;
使用xgboost算法将四种训练后的模型进行结合以得到判断模型。
根据本发明的一个实施例,响应于容器在主机上运行,获取容器的行为数据并使用判断模型进行判断包括:
在主机上使用hook函数获取容器运行时的系统函数的调用信息;
每获取特定数量的调用信息后发送给判断模型进行判断。
根据本发明的一个实施例,响应于判断容器的行为数据存在恶意行为,对容器进行处理包括:将存在恶意行为的容器进行隔离和/或阻止运行。
本发明的实施例的另一个方面,还提供了一种容器恶意行为检测的设备,设备包括:
收集模块,收集模块配置为收集容器行为的样本集并建立容器的行为库;
训练模块,训练模块配置为将行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型;
判断模块,判断模块配置为响应于容器在主机上运行,获取容器的行为数据并使用判断模型进行判断;
处理模块,处理模块配置为响应于判断容器的行为数据存在恶意行为,对容器进行处理。
根据本发明的一个实施例,收集模块还配置为:
收集标记为恶意软件和非恶意软件的样本;
将样本在主机上运行,在主机上使用hook函数获取容器运行时的系统函数的调用信息,并根据容器的namespace区分容器调用的系统函数;
通过每个容器运行的样本对应的软件类别来标注容器的运行信息以组成容器的行为库。
根据本发明的一个实施例,训练模块还配置为:
将行为库中的每个容器运行时的函数调用信息、函数名和函数参数组依照时间顺序组成一个字符串;
分别使用TF_IDF模型、text cnn模型、cnn lstm模型、多视野lstm模型对字符串进行训练以得到相应的四种训练后的模型;
使用xgboost算法将四种训练后的模型进行结合以得到判断模型。
根据本发明的一个实施例,是判断模块还配置为:
在主机上使用hook函数获取容器运行时的系统函数的调用信息;
每获取特定数量的调用信息后发送给判断模型进行判断。
根据本发明的一个实施例,处理模块还配置为将存在恶意行为的容器进行隔离和/或阻止运行。
本发明具有以下有益技术效果:本发明实施例提供的容器恶意行为检测的方法,通过收集容器行为的样本集并建立容器的行为库;将行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型;响应于容器在主机上运行,获取容器的行为数据并使用判断模型进行判断;响应于判断容器的行为数据存在恶意行为,对容器进行处理的技术方案,能够有效的防御恶意软件的入侵,防止带有恶意行为的容器运行,提高云计算和微服务环境中容器的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为根据本发明一个实施例的容器恶意行为检测的方法的示意性流程图;
图2为根据本发明一个实施例的容器恶意行为检测的设备的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
基于上述目的,本发明的实施例的第一个方面,提出了一种容器恶意行为检测的方法的一个实施例。图1示出的是该方法的示意性流程图。
如图1中所示,该方法可以包括以下步骤:
S1收集容器行为的样本集并建立容器的行为库,通过预先运行带有正常软件(非恶意)的容器和恶意软件的容器获取容器行为样本集;
S2将行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型;
S3响应于容器在主机上运行,获取容器的行为数据并使用判断模型进行判断,将判断模型部署在容器运行的主机上,获取容器的系统调用信息,从而组成某个容器的行为数据;
S4响应于判断容器的行为数据存在恶意行为,对容器进行处理。
本发明提出技术方案,通过使用多种深度学习(CNN)模型,对恶意软件的进行训练,获得恶意软件判断模型,并通过容器运行时获取Linux系统函数调用的详细信息,通过判断模型来判断容器是否存在恶意行为。容器是行为库里利用现有的在微服务平台中正常软件和已发现的恶意软件样本,通过在容器隔离环境中运行,获取容器运行过程中的大量系统调用信息,并根据容器运行的是正常软件或恶意软件,将容器的运行行为分为正常和恶意两种。深度学习模块通过多种深度学习算法对容器行为样本库进行学习,获得行为断模型,能够通过输入容器在运行过程中的系统调用信息,通过行为判断模型,判断容器是否存在恶意行为。通过监控在微服务平台中正在运行的所有容器的系统调用信息获取容器运行时的数据。检测模块是使用数据收集模块收集的数据和深度学习模块得到的行为检测模块,进行容器的行为分析及判断,并对判断为具有恶意行为的容器进行阻止和隔离。
通过本发明的技术方案,能够有效的防御恶意软件的入侵,防止带有恶意行为的容器运行,提高云计算和微服务环境中容器的安全。
在本发明的一个优选实施例中,收集容器行为的样本集并建立容器的行为库包括:
收集标记为恶意软件和非恶意软件的样本;
将样本在主机上运行,在主机上使用hook函数获取容器运行时的系统函数的调用信息,并根据容器的namespace区分容器调用的系统函数;
通过每个容器运行的样本对应的软件类别来标注容器的运行信息以组成容器的行为库。
通过在容器中运行恶意软件和非恶意软件,抓取容器运行时的系统函数调用组成容器行为库。收集恶意软件样本和基于微服务的云环境下常用的正常软件样本;在云主机操作系统的系统函数上增加hook函数,此hook函数可获取系统函数的函数名、运行时间、函数参数列表、参数值、返回值信息;将收集的恶意软件样本和正常发软件样本在容器中运行,根据容器的实现原理,可以在主机上的hook函数获取容器的系统函数的调用信息,根据容器的namespace可以很容易的区分是哪个容器调用的系统函数;收集这些函数信息,获取每个容器的运行时系统函数的调用信息,并通过每个容器运行时运行的恶意软件还是正常软件以此来标注容器运行信息,组成容器行为库。
在本发明的一个优选实施例中,将行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型包括:
将行为库中的每个容器运行时的函数调用信息、函数名和函数参数组依照时间顺序组成一个字符串;
分别使用TF_IDF模型、text cnn模型、cnn lstm模型、多视野lstm模型对字符串进行训练以得到相应的四种训练后的模型;
使用xgboost算法将四种训练后的模型进行结合以得到判断模型。
以容器行为库为深度学习模块的样本库,通过多种学习算法训练,训练出不同的模型,将多个模型服务不同的权限,拟合成为一个最终判断模型,以提高模型判断的正确率。首先进行信息预处理,将每个容器运行时的函数调用信息、函数名和函数参数组依照时间顺序组成一个超长的字符串;使用TF_IDF模型训练,使用ng-gram的TF_IDF模型,提取连续的1-5的TF_IDF特征,组成样本的特征,使用xgboost进行简单分类,这样训练得到一个TF_IDF模型;使用text cnn模型训练,使用text cnn模型进行特征提取并分类,使用2,3,4,5四个不同的卷积核提取不同的视野信息,然后将其结果拼接在一起,输入到一个全连接层进行判断分类,得到一个text cnn模型;使用cnn lstm模型训练,为了获取序列的上下文信息,使用cnn+lstm的组合形式,使用cnn对预处理后的样本进行特征提取,降低序列的长度,然后使用lstm进行模型训练,这样做的好处是使得lstm的训练速度会有大量的提高,训练后获得一个cnn lstm模型;使用多视野lstm模型训练,利用text-cnn使用3,5,7三种卷积核对嵌入向量进行特征提取,获取不用的视野情况,每次提取完之后使用平均池化,获取连续序列的信息,以此获得三个相同大小的特征向量v1,v2,v3,使用Max_elements(v1,v2,v3),对每个位置的元素在三个向量里取最大值作为新的向量,最后三个重新构成一个新的向量,使用这个新的向量,利用lstm进行模型训练,获得一个多视野lstm模型;将上述训练后的四种模型结合起来,使用功能xgboost获取的一个判断模型,这会将不同的模型赋予不同的权重,可以更大限度的发挥多模型的判断能力,提高模型判断的正确率。
在本发明的一个优选实施例中,响应于容器在主机上运行,获取容器的行为数据并使用判断模型进行判断包括:
在主机上使用hook函数获取容器运行时的系统函数的调用信息;
每获取特定数量的调用信息后发送给判断模型进行判断。
在主机上使用hook函数获得容器运行时的行为信息,获取主机的系统调用信息,并以namespace对这些系统调用信息进行分组,也就是以容器进行分组,因此主机可以区分那个系统调用属于哪个容器;根据容器的系统调用,每收集500个发送给判断模型,以保证判断模型的准确性和监控模块的效率;将每500个系统调用信息为一组的数据,将归属于某个容器的所有系统函数调用的历史信息整合,如第一次收到容器a的500个系统调用信息,则将这500个输入判断模型,第二次收到容器a的500个信息,则将500+500=1000个函数调用信息输入到判断模型,当容器的行为数据超过500000条的时候,则删除最早的历史数据,保留最近的500000数据,一次来提高判断模型的效率,上面提到的数字仅是示例,可以根据实际情况自行设定,判断模型接受到数据后,判断容器运行时的行为是否存在恶意行为。
在本发明的一个优选实施例中,响应于判断容器的行为数据存在恶意行为,对容器进行处理包括将存在恶意行为的容器进行隔离和/或阻止运行。
通过本发明的技术方案,能够有效的防御恶意软件的入侵,防止带有恶意行为的容器运行,提高云计算和微服务环境中容器的安全。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,上述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中存储介质可为磁碟、光盘、只读存储器(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。
基于上述目的,本发明的实施例的第二个方面,提出了一种容器恶意行为检测的设备,如图2所示,设备200包括:
收集模块,收集模块配置为收集容器行为的样本集并建立容器的行为库;
训练模块,训练模块配置为将行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型;
判断模块,判断模块配置为响应于容器在主机上运行,获取容器的行为数据并使用判断模型进行判断;
处理模块,处理模块配置为响应于判断容器的行为数据存在恶意行为,对容器进行处理。
在本发明的一个优选实施例中,收集模块还配置为:
收集标记为恶意软件和非恶意软件的样本;
将样本在主机上运行,在主机上使用hook函数获取容器运行时的系统函数的调用信息,并根据容器的namespace区分容器调用的系统函数;
通过每个容器运行的样本对应的软件类别来标注容器的运行信息以组成容器的行为库。
在本发明的一个优选实施例中,训练模块还配置为:
将行为库中的每个容器运行时的函数调用信息、函数名和函数参数组依照时间顺序组成一个字符串;
分别使用TF_IDF模型、text cnn模型、cnn lstm模型、多视野lstm模型对字符串进行训练以得到相应的四种训练后的模型;
使用xgboost算法将四种训练后的模型进行结合以得到判断模型。
在本发明的一个优选实施例中,是判断模块还配置为:
在主机上使用hook函数获取容器运行时的系统函数的调用信息;
每获取特定数量的调用信息后发送给判断模型进行判断。
在本发明的一个优选实施例中,处理模块还配置为将存在恶意行为的容器进行隔离和/或阻止运行。
需要特别指出的是,上述系统的实施例采用了上述方法的实施例来具体说明各模块的工作过程,本领域技术人员能够很容易想到,将这些模块应用到上述方法的其他实施例中。
此外,上述方法步骤以及系统单元或模块也可以利用控制器以及用于存储使得控制器实现上述步骤或单元或模块功能的计算机程序的计算机可读存储介质实现。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
上述实施例,特别是任何“优选”实施例是实现的可能示例,并且仅为了清楚地理解本发明的原理而提出。可以在不脱离本文所描述的技术的精神和原理的情况下对上述实施例进行许多变化和修改。所有修改旨在被包括在本公开的范围内并且由所附权利要求保护。
Claims (10)
1.一种容器恶意行为检测的方法,其特征在于,包括以下步骤:
收集容器行为的样本集并建立容器的行为库;
将所述行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型;
响应于容器在主机上运行,获取所述容器的行为数据并使用所述判断模型进行判断;
响应于判断所述容器的行为数据存在恶意行为,对所述容器进行处理。
2.根据权利要求1所述的方法,其特征在于,收集容器行为的样本集并建立容器的行为库包括:
收集标记为恶意软件和非恶意软件的样本;
将所述样本在主机上运行,在所述主机上使用hook函数获取容器运行时的系统函数的调用信息,并根据所述容器的namespace区分所述容器调用的系统函数;
通过每个所述容器运行的所述样本对应的软件类别来标注所述容器的运行信息以组成所述容器的行为库。
3.根据权利要求1所述的方法,其特征在于,将所述行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型包括:
将所述行为库中的每个容器运行时的函数调用信息、函数名和函数参数组依照时间顺序组成一个字符串;
分别使用TF_IDF模型、text cnn模型、cnn lstm模型、多视野lstm模型对所述字符串进行训练以得到相应的四种训练后的模型;
使用xgboost算法将所述四种训练后的模型进行结合以得到所述判断模型。
4.根据权利要求1所述的方法,其特征在于,响应于容器在主机上运行,获取所述容器的行为数据并使用所述判断模型进行判断包括:
在所述主机上使用hook函数获取所述容器运行时的系统函数的调用信息;
每获取特定数量的所述调用信息后发送给所述判断模型进行判断。
5.根据权利要求1所述的方法,其特征在于,响应于判断所述容器的行为数据存在恶意行为,对所述容器进行处理包括:将存在恶意行为的所述容器进行隔离和/或阻止运行。
6.一种容器恶意行为检测的设备,其特征在于,所述设备包括:
收集模块,所述收集模块配置为收集容器行为的样本集并建立容器的行为库;
训练模块,所述训练模块配置为将所述行为库作为深度学习样本库,使用多个学习算法进行训练并组合以得到容器行为判断模型;
判断模块,所述判断模块配置为响应于容器在主机上运行,获取所述容器的行为数据并使用所述判断模型进行判断;
处理模块,所述处理模块配置为响应于判断所述容器的行为数据存在恶意行为,对所述容器进行处理。
7.根据权利要求6所述的设备,其特征在于,所述收集模块还配置为:
收集标记为恶意软件和非恶意软件的样本;
将所述样本在主机上运行,在所述主机上使用hook函数获取容器运行时的系统函数的调用信息,并根据所述容器的namespace区分所述容器调用的系统函数;
通过每个所述容器运行的所述样本对应的软件类别来标注所述容器的运行信息以组成所述容器的行为库。
8.根据权利要求6所述的设备,其特征在于,所述训练模块还配置为:
将所述行为库中的每个容器运行时的函数调用信息、函数名和函数参数组依照时间顺序组成一个字符串;
分别使用TF_IDF模型、text cnn模型、cnn lstm模型、多视野lstm模型对所述字符串进行训练以得到相应的四种训练后的模型;
使用xgboost算法将所述四种训练后的模型进行结合以得到所述判断模型。
9.根据权利要求6所述的设备,其特征在于,是判断模块还配置为:
在所述主机上使用hook函数获取所述容器运行时的系统函数的调用信息;
每获取特定数量的所述调用信息后发送给所述判断模型进行判断。
10.根据权利要求6所述的设备,其特征在于,所述处理模块还配置为将存在恶意行为的所述容器进行隔离和/或阻止运行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010533592.9A CN111723370A (zh) | 2020-06-12 | 2020-06-12 | 一种容器恶意行为检测的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010533592.9A CN111723370A (zh) | 2020-06-12 | 2020-06-12 | 一种容器恶意行为检测的方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111723370A true CN111723370A (zh) | 2020-09-29 |
Family
ID=72566555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010533592.9A Withdrawn CN111723370A (zh) | 2020-06-12 | 2020-06-12 | 一种容器恶意行为检测的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111723370A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116204892A (zh) * | 2023-05-05 | 2023-06-02 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
| US11829485B2 (en) | 2021-08-05 | 2023-11-28 | International Business Machines Corporation | Detecting security vulnerabilities in software containers |
-
2020
- 2020-06-12 CN CN202010533592.9A patent/CN111723370A/zh not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11829485B2 (en) | 2021-08-05 | 2023-11-28 | International Business Machines Corporation | Detecting security vulnerabilities in software containers |
| CN116204892A (zh) * | 2023-05-05 | 2023-06-02 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
| CN116204892B (zh) * | 2023-05-05 | 2023-08-08 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108833186B (zh) | 一种网络攻击预测方法及装置 | |
| CN109117634B (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN103927484B (zh) | 基于Qemu模拟器的恶意程序行为捕获方法 | |
| KR102093275B1 (ko) | 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법 | |
| CN104598824A (zh) | 一种恶意程序检测方法及其装置 | |
| CN111460446B (zh) | 基于模型的恶意文件检测方法及装置 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| US10621343B1 (en) | Generic and static detection of malware installation packages | |
| CN107688742B (zh) | 大规模快速移动应用app检测和分析方法 | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN103810428B (zh) | 一种宏病毒检测方法及装置 | |
| CN108399336B (zh) | 一种安卓应用恶意行为的检测方法及装置 | |
| CN111400707A (zh) | 一种文件宏病毒检测方法、装置、设备及存储介质 | |
| CN110837640A (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
| CN110287701A (zh) | 一种恶意文件检测方法、装置、系统及相关组件 | |
| CN110135166A (zh) | 一种针对业务逻辑漏洞攻击的检测方法及系统 | |
| CN113360912A (zh) | 恶意软件检测方法、装置、设备及存储介质 | |
| CN111723370A (zh) | 一种容器恶意行为检测的方法和设备 | |
| US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN114448693A (zh) | 结合rpa和ai的安全控制方法、装置、电子设备和介质 | |
| CN114090406A (zh) | 电力物联网设备行为安全检测方法、系统、设备及存储介质 | |
| CN115834221A (zh) | 一种网络安全智能分析方法、系统、设备和存储介质 | |
| CN116303290A (zh) | 一种office文档检测方法及装置、设备及介质 | |
| CN111049828B (zh) | 网络攻击检测及响应方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200929 |
|
| WW01 | Invention patent application withdrawn after publication |