CN112882797A - 一种基于机器学习的容器安全检测方法 - Google Patents

一种基于机器学习的容器安全检测方法 Download PDF

Info

Publication number
CN112882797A
CN112882797A CN202110218973.2A CN202110218973A CN112882797A CN 112882797 A CN112882797 A CN 112882797A CN 202110218973 A CN202110218973 A CN 202110218973A CN 112882797 A CN112882797 A CN 112882797A
Authority
CN
China
Prior art keywords
vulnerability
container
feature
mirror image
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110218973.2A
Other languages
English (en)
Inventor
季一木
杨卫东
刘尚东
刘强
王汝传
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202110218973.2A priority Critical patent/CN112882797A/zh
Publication of CN112882797A publication Critical patent/CN112882797A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于机器学习的容器安全检测方法,首先通过脚本收集本地镜像信息及运行中容器信息;通过工具Anchore扫描镜像漏洞信息;使用CVSS评估漏洞严重性得分;根据镜像所有漏洞评分结果实现镜像安全性评估;之后通过工具Strace收集运行中容器产生的系统调用;结合系统调用表生成系统调用映射文件;紧接着结合滑动窗口方法将系统调用映射文件特征化;使用优化后的机器学习方法TF‑IDF计算特征文件中每个词的TF‑IDF值;使用特征进行训练或检测;更新本地数据,提高入侵检测率。本发明融合了容器镜像的漏洞检测与评估和运行中容器的入侵检测,实现了容器从镜像下载到运行结束整个生命周期的安全检测。

Description

一种基于机器学习的容器安全检测方法
技术领域
本发明涉及一种基于机器学习的容器安全检测方法,主要用于Docker镜像的漏洞检测与评估以及运行中Docker容器的入侵检测,为Docker容器提供从镜像拉取到容器运行结束时的安全检测,属于容器技术。
背景技术
容器技术是轻量级虚拟化技术的一种,它通过将一组进程和资源(如内存、CPU、磁盘等)与主机和任何其他容器进行分组和隔离的方式,提供一个轻量级的虚拟环境。Docker技术是容器技术中的佼佼者,它的出现有效解决了应用运行环境和配置问题,为持续集成和持续部署打下坚实基础。容器技术在为我们提供便利的同时,也引入了新的安全问题。由于容器自身实现依赖于系统内核的特性,使得它与虚拟机相比暴露了更多的可攻击面,安全性较低。以Docker技术为例,其核心技术主要有Docker引擎、Docker容器和Docker仓库三个部分;Docker引擎为整个Docker提供支持,是Docker运行时服务的提供者,包含了多种安全技术,比如名称空间、资源控制组等;Docker容器是运行用户程序的核心,为用户程序提供了独立的运行环境;Docker仓库是存放用户镜像的地方,方便用户上传下载镜像;其中Docker引擎和Docker仓库是Docker安全隐患的重灾区。
Docker引擎的安全问题主要存在于Docker文件系统、进程和容器与宿主机之间的隔离。Docker使用Mount名称空间以隔离文件系统挂载点的方式来实现相互隔离的文件系统,由于容器中root用户具有几乎等同于宿主机root用户的特点,如果用户创建容器时“rwmount”了宿主机的某个文件系统且在容器内具有root权限,那么用户就可以通过容器获得宿主机的root权限,造成宿主机中敏感信息的泄露。另外,Docker使用PID名称空间技术实现进程间的隔离。在系统内核中PID信息是以树的形式维护,并且节点间具有子节点不可获取父节点信息的特点,使得如果终止容器进程树中根节点进程,容器内所有进程都会被终止,留下拒绝服务(DoS,Deny of Service)的隐患。最后,由于默认情况下Docker不会限制资源的使用,使得恶意用户可以通过DoS攻击耗尽主机IO带宽、磁盘空间等,从而引起宿主机的拒绝服务。
Docker仓库的安全问题主要是指仓库中镜像的安全。使用容器的过程中,用户通常选择从仓库中直接下载镜像,很少会对下载的镜像进行检查,这就使得恶意用户可以通过上传存在漏洞的镜像实现对使用者容器及宿主机的攻击。另外,Docker官方并没有对拉回的镜像做正确的校验,使得镜像在传输过程中可能被替换一些数据,即存在中间人攻击的可能性。
发明内容
发明目的:为了解决Docker容器技术面临的安全问题,本发明提供一种基于机器学习的容器安全检测方法,通过对Docker镜像漏洞检测评估和对运行中Docker容器的入侵检测,提高Docker容器的安全性。
技术方案:为实现上述目的,本发明采用的技术方案为:
一种基于机器学习的容器安全检测方法,包括如下步骤:
步骤1:获取主机中的容器镜像信息和容器运行信息,生成初始检测对象文件;
步骤2:读取步骤1获取的容器镜像信息,使用镜像扫描工具Anchore扫描容器镜像信息,获取容器镜像信息中包含的漏洞信息;
步骤3:使用通用漏洞评分系统(Common Vulnerability Scoring System,简称CVSS)获取漏洞信息中各漏洞的危险性评分和危险等级;
步骤4:根据各漏洞的危险性评分和危险等级,计算平均危险性评分和各危险等级漏洞的占比,实现容器镜像危险性评估;
步骤5:读取步骤1获取的容器运行信息,先通过脚本获取运行中容器的进程信息,再使用strace工具跟踪各进程,获取运行中容器的系统调用信息;
步骤6:结合系统调用表,将系统调用信息中的系统调用名称替换为对应的系统调用号,生成对应的系统调用映射文件;
步骤7:使用大小为n的滑动窗口对系统调用映射文件进行特征提取,每个窗口提取一个特征,所有特征共同构成系统调用映射文件对应的特征文件;n为正整数;实际实验过程中,当我们将n取值为6时能够获得更好的实现效果;
步骤8:根据特征的IDF值,使用机器学习中的词频-逆文档频率(Term Frequency-Inverse Document Frequency,简称TF-IDF)方法计算每个特征文件中每个特征的TF-IDF值,在计算过程中记录每个特征在所属特征文件中出现的总次数以及在所有特征文件中出现的总次数;TF-IDF值表示词频-逆文档频率值,IDF值表示逆文档频率值;
步骤9:重复步骤5-9,进入训练阶段或入侵检测阶段;在训练阶段,已知特征文件及其类型,将TF-IDF值最大的m个特征作为代表该特征文件的m个词,生成类型和词相对应的调用库;在入侵检测阶段,已知特征文件,将TF-IDF值最大的m个特征作为代表该特征文件的m个词,基于训练阶段得到的调用库,判断这m个词在各个类别上的数量,将数量最大的类别作为该特征文件的类型;m为正整数;实际实验过程中,当我们将m取值为特征文件中特征数量的10%时能够获得更好的实现效果;
步骤10:在训练阶段或入侵检测阶段结束后,初步将对应两个以上类型的词视为预备停用词,计算预备停用词在所属各个类型上的IDF值,根据IDF值将预备停用词作为停用词存储在停用词列表中,或作为与某一类型相对应的词存储在调用表中。
具体的,所述步骤3中,使用通用漏洞评分系统获取漏洞信息中各漏洞的危险性评分和危险等级的过程中,先参照设定的漏洞白名单筛除不能参加危险性评分的漏洞,再筛选出本地漏洞库中包含的、且更新时间在规定时间范围内的漏洞,从本地漏洞库中直接获取该漏洞的危险性评分和危险等级,最后使用通用漏洞评分系统获取剩余漏洞的危险性评分和危险等级,并将结果同步到本地漏洞库。
具体的,所述步骤4中,若平均危险性评分大于0.5,则认为容器镜像危险;实际使用中用户也可以根据总危险性评分、各危险等级漏洞的占比等灵活配置评估策略。
具体的,所述步骤7中,使用大小为n的滑动窗口对系统调用映射文件进行特征提取,每个窗口包含n个系统调用号及其排序,将该有序的n个系统调用号的组合作为一个特征,以保证每个特征的有序性。
具体的,所述步骤10中,在训练阶段或入侵检测阶段结束后,对停用词列表进行更新,在更新过程中,先计算新增的预备停用词在所属各个类型上的IDF值,若该预备停用词在类型A上的IDF值远大于该预备停用词在其他任何类别上的IDF值(即该预备停用词在类型A上的IDF值至少是该预备停用词在其他任何一个类别上的IDF值的q倍,试验中我们将q值取为大于等于100的正整数),将该预备停用词的IDF值取为其在类型A上的IDF值,并将该预备停用词作为与类型A相对应的词存储在调用表中,否则,将该预备停用词作为停用词存储在停用词列表中。
本发明方法有两个非常重要的创新点:一、在主机上通过软件层面对主机中使用的Docker镜像进行漏洞检测及评估,帮助用户选择安全可靠的Docker镜像,减少镜像漏洞带来的安全风险;二、从Docker容器宿主机中收集Docker容器运行时产生的系统调用并结合基于主机系统调用序列和基于主机系统调用频率的优点,采用滑动窗口和优化后的机器学习方法TF-IDF结合的方式,提取正常操作和入侵操作产生系统调用的特征作为分类时的标准,对Docker容器运行时产生的系统调用进行分类,实现及时发现容器中的入侵行为,减少外部攻击带来的危害,保证了Docker容器和容器宿主主机的安全。
有益效果:本发明提供的基于机器学习的容器安全检测方法,与现有技术相比具有如下优势:1、我们将Docker镜像检测与评估和运行时Docker容器的入侵检测相结合,保障Docker容器从镜像下载直至运行结束时整个生命周期中的安全;2、我们所提方法有效解决了镜像传输过程中面临的中间人攻击问题,Docker镜像检测与评估技术通常用于Docker远程仓库中,在镜像上传和下载时检测镜像的安全性,然而,镜像在传输过程中可能被替换一些数据,即存在中间人攻击的可能性;3、与现有容器入侵检测方法相比,我们的方法在容器入侵检测阶段有更高的入侵检测率和较低的误报率。
附图说明
图1为获取本地镜像信息流程示意图;
图2为Docker容器运行时系统调用信息采集流程示意图;
图3为Docker镜像漏洞检测与评估流程示意图;
图4为Docker容器入侵检测流程示意图;
图5为系统调用映射文件特征化过程示意图。
具体实施方式
下面结合附图对本发明作更进一步的说明。
如图1~5所示为一种基于机器学习的容器安全检测方法,首先,在用户从Docker仓库拉取镜像到本地时,该方法利用镜像漏洞扫描工具扫描用户拉取镜像中的漏洞信息,通过对比通用漏洞信息库得到漏洞详细信息,之后通过漏洞评估系统得到漏洞风险评分,最后收集镜像中所有漏洞评分及信息,对镜像整体安全性进行评估,若镜像评估结果为不安全,则提醒或删除存在安全风险的镜像,否则,用户可以正常下载镜像并允许使用镜像。当用户通过镜像创建容器后,该方法进入容器入侵检测阶段,利用不同攻击行为之间系统调用频率不同的特点,收集容器运行时产生的系统调用,结合滑动窗口和TF-IDF算法提取系统调用特征,并通过对比特征相似度进行分类,从而实现对入侵行为的检测。下面结合附图对该方法的具体步骤进行说明。
步骤一:获取主机中的容器镜像信息和容器运行信息
通过脚本执行Docker命令获取容器镜像信息,按照需求去除无用信息,仅保留镜像名和标签,紧接着我们将镜像名和标签进行拼接并与本地镜像库文件进行比较,判断是否存在,如果不存在,则将其存储到本地镜像文件库,本次采集结束。同样,我们也通过脚本执行Docker命令获取运行中容器的容器ID。
步骤二:镜像漏洞扫描
通过工具Anchore对Docker镜像进行静态分析,提取出每个镜像层中安装的所有软件包版本信息和操作系统作为元数据,之后将收集的Docker镜像元数据与软件包漏洞信息进行比较,获取镜像中已知的不安全漏洞信息。
步骤三:镜像漏洞评估
镜像漏洞评估阶段主要目的是对镜像漏洞检测阶段获取的漏洞进行评估,为每个漏洞进行评分。我们使用CVSS对所有漏洞进行评估,在评估的过程中,我们参照用户设置的漏洞白名单,筛除不参与镜像评估的漏洞,并且在对每个漏洞进行评估之前,我们首先会对比本地漏洞库,查找本地漏洞库中是否包含该漏洞信息,如果包含且该漏洞数据更新时间在规定时间内,则从本地库中直接获取评分结果,否则使用CVSS对漏洞进行评分,并将结果同步到本地漏洞库。
步骤四:镜像安全性评估
得到镜像中每个漏洞的信息和评分后,我们会统计镜像中漏洞总数量、各个危险等级漏洞所占漏洞比例以及漏洞评分总和。默认情况下,我们将漏洞平均得分是否大于0.5作为镜像是否安全的评判标准,实际使用中用户可以配置自己的评估策略。另外,在镜像评估结束后,我们会将漏洞信息、漏洞评分和镜像整体评估结果存储在本地CVE库中。
步骤五:收集运行容器系统调用信息
通过脚本执行Linux strace命令跟踪本地Docker容器进程,收集容器运行时产生的系统调用信息。
步骤六:简化系统调用信息
删除系统调用信息中参数信息,仅保留系统调用名称,并结合系统调用表,生成对应的系统调用映射文件。
步骤七:系统调用映射文件特征化
基于主机系统调用的入侵检测系统可以分为两类,一类是基于主机系统调用序列,其思路是在训练阶段将固定长度且有序的系统调用信息作为特征存入数据库,当系统运行产生新的系统调用时,比对数据库中是否存在,不存在则判为异常。另一种是基于主机系统调用频率,其思路是在训练时,统计特定步长中各个系统调用出现的频率并将其作为判断异常的特征存入数据库,在系统运行时,计算每个步长内系统调用的频率并与数据库中的数据匹配,匹配不上时声明异常。两者虽然都可以检测到系统的入侵行为,但是都存在着检测准确度低和效率不高的问题。基于主机系统调用序列的方法在检测时可以保证系统调用的有序性,保证了系统调用相同但顺序不同的序列不会匹配到数据库中同一记录,这也使得该方法数据存储容量的大小随着序列长度的增加呈指数型增长,并且训练时不一定能列出容器的所有的操作,所以该方法不适合检测运行大程序的容器,只能针对某一特定功能的容器进行监测。相比基于主机系统调用序列的方法,基于系统调用频率的方法在增加序列长度时对存储空间的需求不会出现指数型增长,但是其无法对具有相同系统调用和调用频率的序列进行准确分类,导致检测的准确度降低,由于正常和异常调用序列具有相同的系统调用和调用频率这种特殊情况并不常见,所以这种方法可用于容器的入侵检测,在非特殊情况下有着较高的检测准确度。
结合基于主机系统调用序列和基于主机系统调用频率的优缺点,我们设计了一种基于滑动窗口和TF-IDF的特征提取方法。在系统调用映射文件中使用大小为6的滑动窗口,每个窗口内系统调用的组合视为一个特征,保证了每个特征内部系统调用的有序性。每个系统调用映射文件在特征化处理之后,都会得到一个相应的特征文件,每个特征文件中包含多个特征。在使用滑动窗口提取特征的同时,使用TF-IDF算法记录每个特征在所属特征文件中的出现以及在所有特征文件中的出现,用于入侵检测方法的训练阶段和入侵检测阶段。我们将每个特征作为一个TF-IDF算法中的一个词。
步骤八:特征统计
得到特征文件后,统计每个特征在所属特征文件中出现的总次数以及在所有特征文件中出现的总次数,计算得出特征的词频和IDF值,供入侵检测阶段使用。
步骤九:入侵检测
在训练阶段,已知特征文件及其类型,将TF-IDF值最大的m个特征作为代表该特征文件的m个词,生成类型和词相对应的调用库;在入侵检测阶段,已知特征文件,将TF-IDF值最大的m个特征作为代表该特征文件的m个词,基于训练阶段得到的调用库,判断这m个词在各个类别上的数量,将数量最大的类别作为该特征文件的类型。
在训练或入侵检测时,我们会根据特征提取阶段得到的IDF值以及每个词在各类型特征文件中出现次数和各类型特征文件的总数对IDF值进行二次计算,解决某个词在多个类型的特征文件中出现但具有分类意义场景下IDF特征分类不准确的问题。IDF值的二次计算是对在多类型特征文件中出现的词进行IDF值的重新计算,计算这个词在各个类型中的IDF值,如果结果相近则不做更新,如果在某个类型的IDF的值远高于其他类型的IDF值,则将该IDF值赋值给那个词,计算推导如下,假设有两中类型特征文件,特征文件总数分别为m和n,每种类型的特征文件中包含词t的特征文件数量为a和b,带入IDF值的计算公式,若存在log(m/(1+a))>>log(n/(1+b)),则将词t的IDF值取值为IDFt=log(m/(1+a))。
步骤十:数据更新
数据更新是为了提高入侵检测的准确性和降低误报率,在每次检测后都对调用库和停用词列表进行更新。更新不会对整个停用词列表进行操作,仅处理停用词列表中包含的待分类文件中的词,并在更新之后清空待分类文件中的内容,减小计算量,加快执行速度。另外,在更新过程中,我们会计算停用词列表中那些发生了变化的词在各类中新的IDF值,并根据在各类中IDF值的大小,将词存入相对应的系统调用库中。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (5)

1.一种基于机器学习的容器安全检测方法,其特征在于:包括如下步骤:
步骤1:获取主机中的容器镜像信息和容器运行信息,生成初始检测对象文件;
步骤2:读取步骤1获取的容器镜像信息,使用镜像扫描工具Anchore扫描容器镜像信息,获取容器镜像信息中包含的漏洞信息;
步骤3:使用通用漏洞评分系统获取漏洞信息中各漏洞的危险性评分和危险等级;
步骤4:根据各漏洞的危险性评分和危险等级,计算平均危险性评分和各危险等级漏洞的占比,实现容器镜像危险性评估;
步骤5:读取步骤1获取的容器运行信息,先通过脚本获取运行中容器的进程信息,再使用strace工具跟踪各进程,获取运行中容器的系统调用信息;
步骤6:结合系统调用表,将系统调用信息中的系统调用名称替换为对应的系统调用号,生成对应的系统调用映射文件;
步骤7:使用大小为n的滑动窗口对系统调用映射文件进行特征提取,每个窗口提取一个特征,所有特征共同构成系统调用映射文件对应的特征文件;n为正整数;
步骤8:根据特征的IDF值,使用机器学习中的词频-逆文档频率方法计算每个特征文件中每个特征的TF-IDF值,在计算过程中记录每个特征在所属特征文件中出现的总次数以及在所有特征文件中出现的总次数;TF-IDF值表示词频-逆文档频率值,IDF值表示逆文档频率值;
步骤9:重复步骤5-9,进入训练阶段或入侵检测阶段;在训练阶段,已知特征文件及其类型,将TF-IDF值最大的m个特征作为代表该特征文件的m个词,生成类型和词相对应的调用库;在入侵检测阶段,已知特征文件,将TF-IDF值最大的m个特征作为代表该特征文件的m个词,基于训练阶段得到的调用库,判断这m个词在各个类别上的数量,将数量最大的类别作为该特征文件的类型;m为正整数;
步骤10:在训练阶段或入侵检测阶段结束后,将对应两个以上类型的词视为预备停用词。
2.根据权利要求1所述的基于机器学习的容器安全检测方法,其特征在于:所述步骤3中,使用通用漏洞评分系统获取漏洞信息中各漏洞的危险性评分和危险等级的过程中,先参照设定的漏洞白名单筛除不能参加危险性评分的漏洞,再筛选出本地漏洞库中包含的、且更新时间在规定时间范围内的漏洞,从本地漏洞库中直接获取该漏洞的危险性评分和危险等级,最后使用通用漏洞评分系统获取剩余漏洞的危险性评分和危险等级,并将结果同步到本地漏洞库。
3.根据权利要求1所述的基于机器学习的容器安全检测方法,其特征在于:所述步骤4中,若平均危险性评分大于0.5,则认为容器镜像危险。
4.根据权利要求1所述的基于机器学习的容器安全检测方法,其特征在于:所述步骤7中,使用大小为n的滑动窗口对系统调用映射文件进行特征提取,每个窗口包含n个系统调用号及其排序,将该有序的n个系统调用号的组合作为一个特征。
5.根据权利要求1所述的基于机器学习的容器安全检测方法,其特征在于:所述步骤10中,在训练阶段或入侵检测阶段结束后,对停用词列表进行更新,在更新过程中,先计算新增的预备停用词在所属各个类型上的IDF值,若该预备停用词在类型A上的IDF值远大于该预备停用词在其他任何类别上的IDF值,将该预备停用词的IDF值取为其在类型A上的IDF值,并将该预备停用词作为与类型A相对应的词存储在调用表中,否则,将该预备停用词作为停用词存储在停用词列表中。
CN202110218973.2A 2021-02-26 2021-02-26 一种基于机器学习的容器安全检测方法 Withdrawn CN112882797A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110218973.2A CN112882797A (zh) 2021-02-26 2021-02-26 一种基于机器学习的容器安全检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110218973.2A CN112882797A (zh) 2021-02-26 2021-02-26 一种基于机器学习的容器安全检测方法

Publications (1)

Publication Number Publication Date
CN112882797A true CN112882797A (zh) 2021-06-01

Family

ID=76054768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110218973.2A Withdrawn CN112882797A (zh) 2021-02-26 2021-02-26 一种基于机器学习的容器安全检测方法

Country Status (1)

Country Link
CN (1) CN112882797A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113419816A (zh) * 2021-06-16 2021-09-21 国网安徽省电力有限公司信息通信分公司 一种容器镜像动态风险检测方法
CN114531297A (zh) * 2022-03-08 2022-05-24 四川中电启明星信息技术有限公司 一种面向边缘计算的容器安全风险评估方法
CN117932072A (zh) * 2024-03-20 2024-04-26 华南理工大学 一种基于特征向量稀疏性的文本分类方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113419816A (zh) * 2021-06-16 2021-09-21 国网安徽省电力有限公司信息通信分公司 一种容器镜像动态风险检测方法
CN114531297A (zh) * 2022-03-08 2022-05-24 四川中电启明星信息技术有限公司 一种面向边缘计算的容器安全风险评估方法
CN117932072A (zh) * 2024-03-20 2024-04-26 华南理工大学 一种基于特征向量稀疏性的文本分类方法
CN117932072B (zh) * 2024-03-20 2024-06-25 华南理工大学 一种基于特征向量稀疏性的文本分类方法

Similar Documents

Publication Publication Date Title
US9998484B1 (en) Classifying potentially malicious and benign software modules through similarity analysis
CN112882797A (zh) 一种基于机器学习的容器安全检测方法
EP3968198A1 (en) Method and system for searching for similar malicious programs on the basis of dynamic analysis results
US8214905B1 (en) System and method for dynamically allocating computing resources for processing security information
RU2536664C2 (ru) Система и способ автоматической модификации антивирусной базы данных
CN103679031B (zh) 一种文件病毒免疫的方法和装置
Singh et al. Dynamic behavior analysis of android applications for malware detection
US8209758B1 (en) System and method for classifying users of antivirus software based on their level of expertise in the field of computer security
US8214904B1 (en) System and method for detecting computer security threats based on verdicts of computer users
CN109933984B (zh) 一种最佳聚类结果筛选方法、装置和电子设备
CN110213207B (zh) 一种基于日志分析的网络安全防御方法及设备
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN107547490B (zh) 一种扫描器识别方法、装置及系统
EP2784715A1 (en) System and method for adaptive modification of antivirus databases
CN111221625A (zh) 文件检测方法、装置及设备
CN116107846B (zh) 一种基于EBPF的Linux系统事件监控方法及装置
JP2017142744A (ja) 情報処理装置、ウィルス検出方法及びプログラム
US20230418943A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
EP2584488B1 (en) System and method for detecting computer security threats based on verdicts of computer users
CN109800569A (zh) 程序鉴别方法及装置
CN110765261A (zh) 潜在专利纠纷的监控方法、装置、服务器和存储介质
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置
US11308212B1 (en) Adjudicating files by classifying directories based on collected telemetry data
Vahedi et al. Cloud based malware detection through behavioral entropy

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20210601

WW01 Invention patent application withdrawn after publication