CN112905421B

CN112905421B - 基于注意力机制的lstm网络的容器异常行为检测方法

Info

Publication number: CN112905421B
Application number: CN202110288077.3A
Authority: CN
Inventors: 范源艺; 张增军; 蔡刚; 魏育成; 朱科键
Original assignee: Zhongke Jiudu Beijing Spatial Information Technology Co ltd
Current assignee: Zhongke Jiudu Beijing Spatial Information Technology Co ltd
Priority date: 2021-03-18
Filing date: 2021-03-18
Publication date: 2024-01-23
Anticipated expiration: 2041-03-18
Also published as: CN112905421A

Abstract

本发明公开了一种基于注意力机制的LSTM网络的容器异常行为检测方法，包括以下步骤：步骤一：监控数据的获取，从代理服务接收监视容器运行时的日志数据；步骤二：对容器日志进行解析；步骤三：提取用于异常分类模型的特征；步骤四：将步骤三中提取的数据作为输入构造带注意力机制的长短期记忆性网络的异常分类模型；步骤五：对容器进行异常检测。本方法采用的基于注意力机制的容器异常检测方法，属于基于主机的容器安全入侵检测技术，不仅能够有效提高容器异常检测效率，而且对特定容器恶意行为的入侵检测有显著效果。

Description

基于注意力机制的LSTM网络的容器异常行为检测方法

技术领域

本发明涉及一种应用于云计算容器入侵检测的方法，尤其涉及基于注意力机制的LSTM网络的容器异常行为检测方法，属于信息安全领域。

背景技术

云容器技术尤其在最近几年内发展十分迅速。介于传统分配计算资源的进程和虚拟机技术之间，新兴理念“容器”是一类轻量化且高度隔离的虚拟化进程，由于是在特定操作系统内核上直接分配存储资源，它可以允许更加便携的资源部署与快捷的应用执行。容器技术正在成为云计算中主流实现技术，而这类基于云计算的容器技术，不仅可以实现跨平台、更高的资源利用率、应用资源的积累，并正在实现标准化交付、应用微服务化、敏捷开发快速上线(DevOps)等实际功能，具有十分广阔的应用前景。而另一方面，处于发展初期的云容器在实际应用过程中存在着诸多问题，其中安全问题尤为急迫。最大的安全问题主要来源于容器本身独特的短暂性——超过50％的容器只有少于5分钟的寿命，其安全工具和程序需要相较于以往针对永久性应用程序的安全软件具备更高的可见性，因此目前还较为匮乏。再者，基底容器影像通常没有访问加密，默认设置为具有root权限(以方便使用者安装)，而这样不仅会引发在容器运行时的入侵攻击，更有可能在被入侵后进行特权提升，造成不可预计的后果。因此，容器的脆弱性，恶意攻击以及安全防御方案成为当下容器研究的热点。

传统的安全检测技术无论在安全检测体系架构还是在入侵检测算法上，许多研究机构和研究人员都取得了相当大的进展，呈现出多样化的发展，分布式检测系统取代了单机系统，融合了多种智能算法的综合方法取代了最初的匹配算法。通过与传统的安全检测技术相比，云环境独有的虚拟化、分布式和超大规模等待点为入侵检测提出了更高的要求和挑战。以前惯用的检测手段和方法面对当前更具伪装性和毁灭性的多种威胁逐渐变得无能为力。研究适应于云计算环境的有效安全防护成为云计算安全领域研究者亟需解决的一个问题。目前，围绕云计算入侵检测研究的工作还不是很多，迫切需要开展云计算入侵检测工作，以实现安全可信的云计算环境。

目前针对容器的异常检测有网络异常检测和主机异常检测两个方向。

其中，网络异常检测的方式通过对容器与外界的网络流量交互信息识别容器中的异常，比如容器中网络流量中的目的地址，网络协议类型、服务状态码和网络流量大小信息等。该方式的异常检测系统关注云主机与外部系统的交互，主要为了防止网络攻击对云主机的服务造成影响。比如通过云主机的网络流量信息识别异常，其采用KDDCUP数据集训练模型，完成异常识别的功能。

而主机异常检测的方式通过对容器的监控来识别容器中发生的异常或者通过序列信息发现容器的异常行为，前者该方式的异常检测系统一般位于运行容器的物理机中，通过对容器的资源性能指标进行监控，以方便准确快速的监控容器的运行情况，一旦超过某个既定阈值则被判定为异常。通常这种方式用来实施云平台环境的系统监测，但不能及时检测出容器的入侵行为。现有专利提出一种容器异常监测方法及监测系统，可以用来监测各个容器的资源情况。具体实现通过代理服务定期收集各个容器的运行状态信息，获取优先级最高的容器检测数据，利用孤立森林算法获取容器对资源的偏向程度权重特征，进而能够根据容器的资源偏向情况来动态调整容器异常检测过程中的权重系数，达到异常检测的目的。

对于采用序列信息的容器主机的异常检测方法来说，主要目的是能够检测出容器中由于遭受到恶意攻击等入侵行为。这些恶意行为通常可以通过容器日志或者容器进程的序列信息中体现出来。一个重要的表征是容器的系统调用特征选取的是否合适。传统的系统调用特征提取方法有两类。第一类是抽取系统调用子序列作为特征，一般有两种方法，固定长度的系统调用序列和变长的系统调用序列；第二类是使用系统调用序列的频率作为特征。

Abed等人提出使用系统调用来检测容器环境中的恶意应用程序，使用基于频率的方法，每个系统调用序列都被维护为一个n-gram，以考虑系统调用发生的比例，同时考虑系统调用发生的顺序。Siddharth Srinivasan提出了一种概率实时入侵检测n-gram入侵检测方法，使用strace实用程序获得实时的系统调用，系统调用的每个序列都以n-gram的形式维护，而不是考虑系统调用发生的比例，同时还要牢记系统调用发生的顺序。通过生成n个语法分析的系统调用，并继续计算这些n-gram出现的概率。这些计算的概率用于累积该次监视容器会话的总体相对n-gram概率。但存在有效序列被错误拆分不同子序列的可能，降低检测效率。

近年来，神经网络开始用于容器异常检测中，对比上述的传统方法的容器异常检测技术，基于深度学习算法的容器异常检测技术具有如下优点：1.不需要人工设计特征信息，采用神经网络可以自动提取容器系统调用序列特征，大大减少人工干预度；2.神经网络学习到的特征是最有效的特征信息，能够提高检测效率；3.尽管训练模型的时间较长，但是训练好的模型在推理时所需的时间较短，推广快。

然而，有关神经网络的容器异常检测技术的研究刚刚开始，现有专利提出了一种容器内进程异常行为检测方法与系统，该方案针对容器内进程异常问题，通过无代理服务采集进程序列信息，采用长短时记忆(LSTM)网络模型，有效的检出容器内进程的异常行为。

基于传统的容器异常检测技术的基本思路分为三个步骤，容器进程信息的提取，容器系统调用序列特征的提取，异常行为的检测。正如步骤所示，基于传统方法的容器进程行为的异常检测技术通常包含上述的三个步骤，基于传统方法容器进程行为的异常检测技术可以检测出容器异常行为，改进的思路通常在容器进程特征的提取上来实现，但对于任何进程特征不一致的行为，都有可能被系统判定为异常行为。且传统方法人工介入干预较多，适用于进程数目较少的容器环境，实际应用场景较少。

基于神经网络算法的容器异常检测技术的基本思路分为三个步骤，数据采集模块、数据建模模块和异常检测模块。通常使用系统调用序列来获取容器进程的行为特征，改进的思路通常可通过更换神经网络模型来实现。如图1所示。

但对于普通模型的神经网络容器异常检测技术而言，由于循环神经网络解码器-编码器的结构限制，无法提取变长序列的容器异常序列特征。如一系列长短期记忆网络(LSTM)学习将输入序列编码为固定长度的内部表征，而对于异常检测来说，定长序列的特征限制大大影响了容器异常检测效率。

发明内容

为了解决上述技术所存在的不足之处，本发明针对已有的深度学习网络模型，提供了基于注意力机制的LSTM网络的容器异常行为检测方法，通过在网络中增加注意力机制模块，形成基于LSTM注意力机制融合网络，有效解决了神经网络模型在容器异常检测中固定序列长度特征的问题，提高容器异常的检测性能，并能降低误报率。

为了解决以上技术问题，本发明采用的技术方案是：基于注意力机制的LSTM网络的容器异常行为检测方法，包括以下步骤：

步骤一：监控数据的获取，从代理服务接收监视容器运行时的日志数据；

步骤二：对容器日志进行解析；

步骤三：提取用于异常分类模型的特征；

步骤四：将步骤三中提取的数据作为输入构造带注意力机制的长短期记忆性网络的异常分类模型；

步骤五：对容器进行异常检测。

进一步地，步骤一的具体过程为：使用代理服务作为监视日志收集，代理服务用于从基于Docker的容器收集监视日志，还可用于监视给定容器的所有事件，也可根据需求设置自定义规则来定义容器中发生的特定事件，有助于后续容器的特定异常行为的智能检测。

进一步地，步骤二的具体过程为：获取容器的日志数据后进行日志解析，即将日志中的日志序列键和日志参数，将两者分离开，将日志解析成结构化；当读取新的日志条目之后，遍历日志对象列表，寻找该日志与所有日志对象的最大公共子序列，如果子序列的长度大于日志序列长度的一半，则认为该日志与日志序列键匹配。

进一步地，步骤三的具体过程为：将步骤二中解析完成后得到的结构化日志特征化为数字形式的特征向量，特征提取的过程就是字符串中转换为可量化的数字，从而构造矩阵作为特征向量，首先提取容器日志所有的参数列表进行参数预处理，由于标点符号和特殊字符不作为参数异常的评判标准，会影响字符的准确性，去除所有的标点符号和特殊字符；然后将所有的参数字符串进行去重，使用深度学习库的text.Tokenizer模块对字符串进行处理，使用分词器方法fit_on_texts方法学习出文本的字典，即对应的单词和数字的映射关系，统计参数值的词频等信息；再使用text.Tokenizer模块的texts_to_sequences函数将参数文本转化为数字，将不同长度的序列使用0补齐为同样长度。

进一步地，步骤四的具体过程为：在正常的日志信息特征提取后，输入神经网络模型进行训练，构建一个神经网络预测模型，并在LSTM块中加入注意力机制，重复的Attention-LSTM模块组成整个架构，即每一个Attention-LSTM模块都会记录一个状态，作为一个固定维度的向量，来自上一个时间步的Attention-LSTM模块的状态和其外部输入会一起作为下一个Attention-LSTM模块的输入，用来计算新的状态和输出，这种方式保证了日志序列中日志信息能够传递到下一个Attention-LSTM模块中，每个模块的注意力机制根据通过长短时记忆网络编码器对输入序列每一步的中间输出结果，将权重进行加权求和得到注意力权重，使序列的最终输出产生所需的标签，并随训练数据集中的输入一起输出。

进一步地，步骤四中引入注意力机制的具体算法为：先将编码器生成的源文本的隐层序列(h₁，...，h_n)和上一时间步的解码器隐层向量s_t-1进行匹配，计算隐层序列的权重分布(a_t1，...，a_tn)；之后将隐层序列h_i和对应的权重分布a_ti进行加权求和得到带注意力的语义向量c_t；解码器在每个时间步根据动态变化的语义向量逐个生成预测序列，输出为

其中，是解码器在t时刻真正的隐层的输出，也是下一个时刻t+1时刻的隐层输入之一，h_t是t时刻初始隐层输出，c_t是t时刻带注意力的语义向量，W_c是状态c时的参数矩阵。

进一步地，步骤四中注意力向量c_t的具体计算步骤如下：

I、根据输入日志序列查询和该日志序列键计算权重系数，即根据日志序列和每个日志序列键计算两者的相似性或者相关性，记为注意力得分e_ts；

e_ts＝s core(h_t，h_s)＝h_t ^TWh_s

其中，W为可学习的参数矩阵，h_s为其中编码器的一个隐层状态，h_t是在t时刻解码器隐层的输出；

II、引入Softmax的计算方式对步骤I中的原始分值进行归一化处理，即将原始计算分值整理成所有元素权重之和为1的概率分布，同时突出机制内更加重要元素的权重，也是该日志序列数值对应的权重系数；

III、进行加权求和得到注意力向量c_t，

c_t＝∑_sa_t(s)*V_i其中，v代表参数向量；s代表解码器隐层向量；

在训练过程中，每个输入和输出利用梯度下降法找到最小损失来更新这些参数权重；输入层使用日志编码为onehot向量形式，输出层利用将输出转换为一个概率分布函数，使用交叉熵计算理论输出序列和模型预测输出序列的损失值L，其定义式如下：

N表示训练样本的总数量；M表示样本类别的数量；y_ic为示性变量，表示类别c和样本i的真实类别相同时为1，否则为0；p_ic表示对于训练样本i属于类别c的预测概率。

进一步地，步骤五的具体过程为：读取容器实时采集的日志数据，将测试样本输入到上述异常分类模型中，当模型预测日志序列键和实际日志序列键出现较大差异超过既定阈值时，则判定该容器发生了异常，否则判定当前容器正常。

本发明采用了基于注意力机制的长短时记忆网络，将一系列数据经过处理后，送入长短时记忆网络提取特征，结合注意力机制生成注意力图，对序列数据进行加权，使得模型能够关注到应该关注的区域，模型根据学习到的特征的输出数据与真实数据进行比对是否超出阈值，从而实现对容器恶意行为的检测过程。

本发明基于LSTM-注意力机制的容器异常检测方法，引入注意力机制，可以提取容器异常行为的不定长序列特征，有很大的提升空间，能够有效提升容器运行时的异常检测率，并能降低误报率，扩大了容器入侵检测的应用场景。本方法采用的基于注意力机制的容器异常检测方法，属于基于主机的容器安全入侵检测技术，不仅能够有效提高容器异常检测效率，而且对特定容器恶意行为的入侵检测有显著效果。

与现有技术相比，本发明具有以下优点：

1)提高容器的异常分类的检测效率：采取增加了注意力机制的神经网络模型，优化了网络结构，提高容器行为异常的检测效率；

2)扩大容器云异常检测的适用性：适用于所有云计算环境中容器入侵异常检测的情景，如容器逃逸行为，容器非法资源占用行为等。

附图说明

图1为现有方法的神经网络容器异常检测系统的结构示意图。

图2为本发明的整体结构示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图2所示的一种基于注意力机制的LSTM网络的容器异常行为检测方法，包括以下步骤：

使用代理服务作为监视日志收集，代理服务用于从基于Docker(应用容器引擎)的容器收集监视日志，还可用于监视给定容器的所有事件，也可根据需求设置自定义规则来定义容器中发生的特定事件，有助于后续容器的特定异常行为的智能检测。

步骤二：对容器日志进行解析；获取容器的日志数据后进行日志解析，即将日志中的日志序列键(key)和日志参数(value)，将两者分离开，将日志解析成结构化；当读取新的日志条目之后，遍历日志对象列表，寻找该日志与所有日志对象的最大公共子序列，如果子序列的长度大于日志序列长度的一半，则认为该日志与日志序列键匹配。

步骤三：提取用于异常分类模型的特征；在容器日志解析完成后，得到系统的结构化日志，但此时日志仍然是字符串，无法直接作为深度学习模型的输入，所以将其特征化为数字形式的特征向量；

将步骤二中解析完成后得到的结构化日志特征化为数字形式的特征向量，特征提取的过程就是字符串中转换为可量化的数字，从而构造矩阵作为特征向量，首先提取容器日志所有的参数列表进行参数预处理，由于标点符号和特殊字符不作为参数异常的评判标准，会影响字符的准确性，去除所有的标点符号和特殊字符；然后将所有的参数字符串进行去重，使用深度学习库的text.Tokenizer模块对字符串进行处理，使用分词器方法fit_on_texts方法学习出文本的字典，即对应的单词和数字的映射关系，统计参数值的词频等信息；再使用text.Tokenizer模块的texts_to_sequences函数将参数文本转化为数字，将不同长度的序列使用0补齐为同样长度。

在正常的日志信息特征提取后，输入神经网络模型进行训练，构建一个神经网络预测模型，采用引入注意力机制的循环神经网络，结合注意力机制生成注意力向量，对文本数据进行加权。如图2所示，基于注意力机制的长短时记忆网络模型，与现有技术中用到的长短时记忆网络网络模型(LSTM)相比，保持了长短时记忆网络基本模型，但在LSTM块中加入注意力机制(Attention Mechanism)，重复的Attention-LSTM模块组成整个架构，即每一个Attention-LSTM模块都会记录一个状态，作为一个固定维度的向量，来自上一个时间步的Attention-LSTM模块的状态和其外部输入会一起作为下一个Attention-LSTM模块的输入，用来计算新的状态和输出，这种方式保证了日志序列中日志信息能够传递到下一个Attention-LSTM模块中，每个模块的注意力机制根据通过长短时记忆网络编码器对输入序列每一步的中间输出结果，将权重进行加权求和得到注意力权重，使序列的最终输出产生所需的标签，并随训练数据集中的输入一起输出。

其中引入注意力机制的具体算法为：先将编码器生成的源文本的隐层序列(h₁，...，h_n)和上一时间步的解码器隐层向量s_t-1进行匹配，计算隐层序列的权重分布(a_t1，...，a_tn)；之后将隐层序列h_i和对应的权重分布a_ti进行加权求和得到带注意力的语义向量c_t；解码器在每个时间步根据动态变化的语义向量逐个生成预测序列，输出为

其中，注意力向量c_t的具体计算步骤如下：

I、根据输入日志序列查询(Query)和该日志序列键(key)计算权重系数，即根据日志序列和每个日志序列键计算两者的相似性或者相关性，记为注意力得分e_ts；

e_ts＝s core(h_t，h_s)＝h_t ^TWh_s

III、进行加权求和得到注意力向量c_t，

c_t＝∑_sa_t(s)*V_i

其中，v代表参数向量；s代表解码器隐层向量；

在训练过程中，每个输入和输出利用梯度下降法找到最小损失来更新这些参数权重；输入层使用日志编码为onehot向量形式(One-Hot Encoding One-Hot编码)，输出层利用将输出转换为一个概率分布函数，使用交叉熵计算理论输出序列和模型预测输出序列的损失值L，其定义式如下：

步骤五：对容器进行异常检测。读取容器实时采集的日志数据，将测试样本输入到上述异常分类模型中，当模型预测日志序列键和实际日志序列键出现较大差异超过既定阈值时，则判定该容器发生了异常，否则判定当前容器正常。

对于普通模型的神经网络容器异常检测技术而言，编码器-解码器结构对所有的输入序列把源序列中的所有必要信息强制编码压缩成一个固定长度的内部向量，由于进程行为的多样性和复杂性，采用固定长度的系统调用序列特征来反应进程的行为是不合理的，这对容器的异常检测来说会大大降低准确率，影响检测效果。

而本专利提供的用于容器异常检测的神经网络模型，基于注意力机制的长短时记忆网络，针对现有的容器异常检测神经网络算法的固定长度序列特征问题，在网络的结构中添加了注意力机制模块，通过保持编码器对输入序列每一步的中间输出结果，然后训练模型学习如何选择性地关注输入，并将它们与输出序列中的项联系起来。换句话说，输出序列中的每一项都取决于输入序列中被选中的项，模型还能够展示在预测输出序列的时候，如何将注意力放在输入序列上。这会帮助我们理解和分析模型到底在关注什么，以及它在多大程度上关注特定的输入-输出对。这样模型可以更精准的检测容器的行为异常。

上述实施方式并非是对本发明的限制，本发明也并不仅限于上述举例，本技术领域的技术人员在本发明的技术方案范围内所做出的变化、改型、添加或替换，也均属于本发明的保护范围。

Claims

1.基于注意力机制的LSTM网络的容器异常行为检测方法，其特征在于：包括以下步骤：

步骤二：对容器日志进行解析；

步骤三：提取用于异常分类模型的特征；

具体过程为：在正常的日志信息特征提取后，输入神经网络模型进行训练，构建一个神经网络预测模型，并在LSTM块中加入注意力机制，重复的Attention-LSTM模块组成整个架构，即每一个Attention-LSTM模块都会记录一个状态，作为一个固定维度的向量，来自上一个时间步的Attention-LSTM模块的状态和其外部输入会一起作为下一个Attention-LSTM模块的输入，用来计算新的状态和输出，这种方式保证了日志序列中日志信息能够传递到下一个Attention-LSTM模块中，每个模块的注意力机制根据通过长短时记忆网络编码器对输入序列每一步的中间输出结果，将权重进行加权求和得到注意力权重，使序列的最终输出产生所需的标签，并随训练数据集中的输入一起输出；

引入注意力机制的具体算法为：先将编码器生成的源文本的隐层序列(h₁，...，h_n)和上一时间步的解码器隐层向量s_t-1进行匹配，计算隐层序列的权重分布(a_t1，...，a_tn)；之后将隐层序列h_i和对应的权重分布a_ti进行加权求和得到带注意力的语义向量c_t；解码器在每个时间步根据动态变化的语义向量逐个生成预测序列，输出为

其中，是解码器在t时刻真正的隐层的输出，也是下一个时刻t+1时刻的隐层输入之一，h_t是t时刻初始隐层输出，c_t是t时刻带注意力的语义向量，W_c是状态c时的参数矩阵；

步骤五：对容器进行异常检测。

2.根据权利要求1所述的基于注意力机制的LSTM网络的容器异常行为检测方法，其特征在于：所述步骤一的具体过程为：使用代理服务作为监视日志收集，代理服务用于从基于Docker的容器收集监视日志，还可用于监视给定容器的所有事件，也可根据需求设置自定义规则来定义容器中发生的特定事件，有助于后续容器的特定异常行为的智能检测。

3.根据权利要求1所述的基于注意力机制的LSTM网络的容器异常行为检测方法，其特征在于：所述步骤二的具体过程为：获取容器的日志数据后进行日志解析，即将日志中的日志序列键和日志参数，将两者分离开，将日志解析成结构化；当读取新的日志条目之后，遍历日志对象列表，寻找该日志与所有日志对象的最大公共子序列，如果子序列的长度大于日志序列长度的一半，则认为该日志与日志序列键匹配。

4.根据权利要求1所述的基于注意力机制的LSTM网络的容器异常行为检测方法，其特征在于：所述步骤三的具体过程为：将步骤二中解析完成后得到的结构化日志特征化为数字形式的特征向量，特征提取的过程就是字符串中转换为可量化的数字，从而构造矩阵作为特征向量，首先提取容器日志所有的参数列表进行参数预处理，由于标点符号和特殊字符不作为参数异常的评判标准，会影响字符的准确性，去除所有的标点符号和特殊字符；然后将所有的参数字符串进行去重，使用深度学习库的text.Tokenizer模块对字符串进行处理，使用分词器方法fit_on_texts方法学习出文本的字典，即对应的单词和数字的映射关系，统计参数值的词频信息；再使用text.Tokenizer模块的texts_to_sequences函数将参数文本转化为数字，将不同长度的序列使用0补齐为同样长度。

5.根据权利要求1所述的基于注意力机制的LSTM网络的容器异常行为检测方法，其特征在于：所述步骤四中注意力向量c_t的具体计算步骤如下：

e_ts＝score(h_t，h_s)＝h_t ^TWh_s

III、进行加权求和得到注意力向量c_t，

c_t＝∑_sa_t(s)*V_i

其中，v代表参数向量；s代表解码器隐层向量；

6.根据权利要求1所述的基于注意力机制的LSTM网络的容器异常行为检测方法，其特征在于：所述步骤五的具体过程为：读取容器实时采集的日志数据，将测试样本输入到上述异常分类模型中，当模型预测日志序列键和实际日志序列键出现较大差异超过既定阈值时，则判定该容器发生了异常，否则判定当前容器正常。