CN114531297A - 一种面向边缘计算的容器安全风险评估方法 - Google Patents
一种面向边缘计算的容器安全风险评估方法 Download PDFInfo
- Publication number
- CN114531297A CN114531297A CN202210218836.3A CN202210218836A CN114531297A CN 114531297 A CN114531297 A CN 114531297A CN 202210218836 A CN202210218836 A CN 202210218836A CN 114531297 A CN114531297 A CN 114531297A
- Authority
- CN
- China
- Prior art keywords
- container
- attack
- risk assessment
- behavior
- defense
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及信息安全技术领域,公开了一种面向边缘计算的容器安全风险评估方法,包括:步骤S1.在边缘计算风险评估过程中收集各个容器的系统资源使用情况;步骤S2.根据系统资源使用信息获取系统中的弱点集合,建立攻防知识库,存储系统的漏洞;步骤S3.计算恶意攻击者以及系统防御的成本效益,得到各种攻击和防御策略下自身的利益和代价值,制定相应的最优攻击和防御策略,构建基于微分博弈的容器风险评估模型;步骤S4.根据上层构建的博弈模型确定容器状态,计算容器安全风险值。本发明用于针对边缘计算中容器存储、计算资源有限的特点,对容器在遭遇镜像攻击、内部攻击时的攻防过程进行分析,基于博弈理论实现面向边缘计算的容器安全风险评估。
Description
技术领域
本发明涉及信息安全技术领域,具体地说,是一种面向边缘计算的容器安全风险评估方法,用于针对边缘计算中容器存储、计算资源有限的特点,对容器在遭遇镜像攻击、内部攻击时的攻防过程进行分析,基于博弈理论实现面向边缘计算的容器安全风险评估。
背景技术
随着信息数据的不断增随着信息数据的不断增长以及物联技术的深入发展,智能终端的数量急剧增长,各种物联终端所产生的边缘侧异构数据成几何式增长趋势。与云中心高性能服务器相比,边缘计算的基础设施主要为大量资源受限的异构设备,可能无法提供足够的资源,运行完整的虚拟机,容器技术应运而生,同时也面临更多安全问题。容器技术在安全性上继承了边缘计算的常见安全问题,还面临着诸如镜像攻击、内部攻击、隔离性弱等问题。提供科学可靠的容器安全风险评估方法至关重要,博弈论为攻击者和系统入侵检测系统的策略制约与决策提供了理论研究基础和分析方法。
发明内容
本发明的目的在于提供一种面向边缘计算的容器安全风险评估方法,用于针对边缘计算中容器存储、计算资源有限的特点,对容器在遭遇镜像攻击、内部攻击时的攻防过程进行分析,基于博弈理论实现面向边缘计算的容器安全风险评估。
本发明通过下述技术方案实现:一种面向边缘计算的容器安全风险评估方法,包括以下步骤:
步骤S1.在边缘计算风险评估过程中收集各个容器的系统资源使用情况;
步骤S2.根据系统资源使用信息获取系统中的弱点集合,建立攻防知识库,存储系统的漏洞;
步骤S3.计算恶意攻击者以及系统防御的成本效益,得到各种攻击和防御策略下自身的利益和代价值,制定相应的最优攻击和防御策略,构建基于微分博弈的容器风险评估模型;
步骤S4.根据上层构建的博弈模型确定容器状态,计算容器安全风险值。
为了更好地实现本发明,进一步地,步骤S2中系统的漏洞包括恶意攻击者采取的攻击行为以及相应的恢复措施和开销。
为了更好地实现本发明,进一步地,步骤S3中基于微分博弈的容器风险评估模型包括:
参与者集合和行为集合;
参与者集合包括容器IDS和恶意攻击者;
行为集合包括防御行为、不防御行为、攻击行为和不攻击行为。
为了更好地实现本发明,进一步地,步骤S3还包括:
容器风险评估模型的参与者由恶意攻击者和容器IDS构成;
根据恶意攻击者的攻击行为和容器IDS的防御行为共同组成博弈参与者的行为集;
恶意攻击者的行为包括攻击行为和不攻击行为;
容器IDS的行为包括防御行为和不防御行为;
定义容器的安全值,便于后续进行决策。
为了更好地实现本发明,进一步地,容器的安全值的计算方法包括:
根据某一类攻击本身所固有的危害程度预估对攻击的危害度,云计算系统的机密性、完整性、可用性和云计算系统受到攻击时,攻击者对系统的机密性、完整性、可用性三个安全属性的损害系数计算出容器的安全价值。
为了更好地实现本发明,进一步地,计算由恶意攻击造成的资源安全价值损失值。
为了更好地实现本发明,进一步地,步骤S4包括:
根据上层构建的博弈模型确定容器状态,当成功检测到攻击行为时,对于遭受攻击的容器,通过追溯技术对攻击者进行的惩罚,并用惩罚函数表示。
为了更好地实现本发明,进一步地,当遭受到恶意攻击时,参与者都会相同的获取或损失资源的经济价值,根据监控发现恶意攻击行为的概率,来计算参与者的收益期望。
为了更好地实现本发明,进一步地,步骤S4中进行风险计算的方法包括:
根据博弈双方的微分博弈模型和微分博弈理论计算参与者的总体支付函数。
本发明与现有技术相比,具有以下优点及有益效果:
本发明针对边缘计算中容器存储、计算资源有限的特点,分析容器在遭遇镜像攻击、内部攻击时的攻防过程,在充分考虑恶意镜像的潜伏、攻击等状态条件下,分析了容器入侵检测系统与恶意镜像之间复杂的动态交互过程,建立边缘计算容器动态博弈的容器风险评估模型。基于动态博弈理论,求解了该模型的纳什均衡解,分析了安全防御和恶意攻击者之间的相互博弈过程。通过求解模型的反馈纳什均衡解,计算出各参与者各自的最佳防御、攻击策略,进而获得了系统的安全风险值,实现边缘计算容器的安全风险评估。
附图说明
本发明结合下面附图和实施例做进一步说明,本发明所有构思创新应视为所公开内容和本发明保护范围。
图1为本发明所提供的一种面向边缘计算的容器安全风险评估方法的流程图。
具体实施方式
为了更清楚地说明本发明实施例的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,应当理解,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例,因此不应被看作是对保护范围的限定。基于本发明中的实施例,本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“设置”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;也可以是直接相连,也可以是通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1:
本实施例的一种面向边缘计算的容器安全风险评估方法,如图1所示,包括以下步骤:
步骤S1.在边缘计算风险评估过程中收集各个容器的系统资源使用情况;
步骤S2.根据系统资源使用信息获取系统中的弱点集合,建立攻防知识库,存储系统的漏洞;
步骤S3.计算恶意攻击者以及系统防御的成本效益,得到各种攻击和防御策略下自身的利益和代价值,制定相应的最优攻击和防御策略,构建基于微分博弈的容器风险评估模型;
步骤S4.根据上层构建的博弈模型确定容器状态,计算容器安全风险值。
在本实施例中,首先进行容器状态信息收集。在边缘计算风险评估过程中,首先需要得到各个容器的系统资源使用情况,得出系统中可能的弱点集合。之后建立攻防知识库。用于存储系统的漏洞,恶意攻击者可能采取的攻击行为以及相应的恢复措施、开销等。再其次建博弈模型。计算恶意攻击者以及系统防御的成本效益,得到各种攻击/防御策略下自身的利益和代价值,制定相应的最优攻击/防御策略;最后进行风险计算。根据上层构建的博弈模型,确定容器安全状态,通过计算威胁可能带来的攻击概率,计算节点的风险值。
实施例2:
本实施例在实施例1的基础上做进一步优化,系统的漏洞包括恶意攻击者采取的攻击行为以及相应的恢复措施和开销。参与者包括容器IDS和恶意攻击者。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例3:
本实施例在上述实施例1或2的基础上做进一步优化,在本实施例中,基于微分博弈的容器风险评估模型包括:
参与者集合和行为集合;
容器风险评估模型的参与者集合由恶意攻击者和容器IDS构成;
博弈参与者的行为集由恶意攻击者的攻击行为和容器IDS的防御行为共同组成;
其中恶意攻击者的行为包括攻击行为和不攻击行为,容器IDS的行为包括防御行为和不防御行为;所以行为集合包括防御行为、不防御行为、攻击行为和不攻击行为。
对容器的安全价值进行定义。
本实施例的其他部分与上述实施例1-2任一项相同,故不再赘述。
实施例4:
本实施例在上述实施例1-3任一项基础上做进一步优化,在本实施例中,容器的安全值的计算方法包括:
根据某一类攻击本身所固有的危害程度预估对攻击的危害度,云计算系统的机密性、完整性、可用性和云计算系统受到攻击时,攻击者对系统的机密性、完整性、可用性三个安全属性的损害系数计算出容器的安全价值。
本实施例的其他部分与上述实施例1-3任一项相同,故不再赘述。
实施例5:
本实施例在上述实施例1-4任一项基础上做进一步优化,由恶意攻击造成的资源安全价值损失,如用户数据的丢失或信息被篡改等,其值的大小来源于恶意攻击造成的资源安全价值损失值。
本实施例的其他部分与上述实施例1-4任一项相同,故不再赘述。
实施例6:
本实施例在上述实施例1-5任一项基础上做进一步优化,根据上层构建的博弈模型确定容器状态,当成功检测到攻击行为时,对于遭受攻击的容器,通过追溯技术对攻击者进行的惩罚,并用惩罚函数表示,其中,惩罚函数中还包括防御者对攻击者的惩罚系数。
本实施例的其他部分与上述实施例1-5任一项相同,故不再赘述。
实施例7:
本实施例在上述实施例1-6任一项基础上做进一步优化,在本实施例中,当遭受到恶意攻击时,参与者都会相同的获取或损失资源的经济价值,根据监控发现恶意攻击行为的概率来计算参与者的收益期望。
具体实现过程如下:面对一次成功的恶意攻击,参与者都会相同的获取/损失资源的经济价值。在某一时刻并监控并发现恶意攻击行为的概率,该时刻的恶意攻击检测能力。容器的防御者检测攻击的收益期望取决于监控并发现恶意攻击行为的概率。
本实施例的其他部分与上述实施例1-6任一项相同,故不再赘述。
实施例8:
本实施例在上述实施例1-7任一项基础上做进一步优化,本实施例根据博弈双方的微分博弈模型和微分博弈理论计算参与者的总体支付函数。
具体实现过程如下:定义恶意攻击者j发动攻击时的能量消耗,监控网络资源的能量消耗,发生错误检测的消耗、攻击时的单位开销、发生错误检测时的单位开销;从而计算防御者和攻击者在时间上的资源消耗率。
本实施例的其他部分与上述实施例1-7任一项相同,故不再赘述。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (9)
1.一种面向边缘计算的容器安全风险评估方法,其特征在于,包括以下步骤:
步骤S1.在边缘计算风险评估过程中收集各个容器的系统资源使用情况;
步骤S2.根据系统资源使用信息获取系统中的弱点集合,建立攻防知识库,存储系统的漏洞;
步骤S3.计算恶意攻击者以及系统防御的成本效益,得到各种攻击和防御策略下自身的利益和代价值,制定相应的最优攻击和防御策略,构建基于微分博弈的容器风险评估模型;
步骤S4.根据上层构建的博弈模型确定容器状态,计算容器安全风险值。
2.根据权利要求1所述的一种面向边缘计算的容器安全风险评估方法,其特征在于,所述步骤S2中系统的漏洞包括恶意攻击者采取的攻击行为以及相应的恢复措施和开销。
3.根据权利要求1所述的一种面向边缘计算的容器安全风险评估方法,其特征在于,所述步骤S3中基于微分博弈的容器风险评估模型包括:
参与者集合和行为集合;
参与者集合包括容器IDS和恶意攻击者;
行为集合包括防御行为、不防御行为、攻击行为和不攻击行为。
4.根据权利要求1所述的一种面向边缘计算的容器安全风险评估方法,其特征在于,所述步骤S3还包括:
容器风险评估模型的参与者由恶意攻击者和容器IDS构成;
根据恶意攻击者的攻击行为和容器IDS的防御行为共同组成博弈参与者的行为集;
恶意攻击者的行为包括攻击行为和不攻击行为;
容器IDS的行为包括防御行为和不防御行为;
定义容器的安全值,便于后续进行决策。
5.根据权利要求4所述的一种面向边缘计算的容器安全风险评估方法,其特征在于,容器的安全值的计算方法包括:
根据某一类攻击本身所固有的危害程度预估对攻击的危害度,云计算系统的机密性、完整性、可用性和云计算系统受到攻击时,攻击者对系统的机密性、完整性、可用性三个安全属性的损害系数计算出容器的安全价值。
6.根据权利要求5所述的一种面向边缘计算的容器安全风险评估方法,其特征在于,还包括: 计算由恶意攻击造成的资源安全价值损失值。
7.根据权利要求1所述的一种面向边缘计算的容器安全风险评估方法,其特征在于,所述步骤S4包括:
根据上层构建的博弈模型确定容器状态,当成功检测到攻击行为时,对于遭受攻击的容器,通过追溯技术对攻击者进行惩罚,并用惩罚函数表示。
8.根据权利要求7所述的一种面向边缘计算的容器安全风险评估方法,其特征在于,包括: 当遭受到恶意攻击时,参与者都会同样获取或损失资源的经济价值,根据监控发现恶意攻击行为的概率来计算参与者的收益期望。
9.根据权利要求1所述的一种面向边缘计算的容器安全风险评估方法,其特征在于,所述步骤S4中进行风险计算的方法包括: 根据博弈双方的微分博弈模型和微分博弈理论计算参与者的总体支付函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210218836.3A CN114531297A (zh) | 2022-03-08 | 2022-03-08 | 一种面向边缘计算的容器安全风险评估方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210218836.3A CN114531297A (zh) | 2022-03-08 | 2022-03-08 | 一种面向边缘计算的容器安全风险评估方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114531297A true CN114531297A (zh) | 2022-05-24 |
Family
ID=81625946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210218836.3A Pending CN114531297A (zh) | 2022-03-08 | 2022-03-08 | 一种面向边缘计算的容器安全风险评估方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114531297A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117319054A (zh) * | 2023-08-11 | 2023-12-29 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及系统 |
| CN117744095A (zh) * | 2024-01-29 | 2024-03-22 | 珠海錾芯半导体有限公司 | 软硬件系统安全定量评估以及优化方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109241730A (zh) * | 2018-09-03 | 2019-01-18 | 杭州安恒信息技术股份有限公司 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
| WO2019091789A1 (en) * | 2017-11-09 | 2019-05-16 | British Telecommunications Public Limited Company | Vulnerability assessment of containerised installation |
| CN110278198A (zh) * | 2019-06-04 | 2019-09-24 | 西安邮电大学 | 基于博弈论的网络中资产的安全风险评估方法 |
| CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
| CN112819300A (zh) * | 2021-01-21 | 2021-05-18 | 南京邮电大学 | 网络攻击下基于随机博弈网的配电网风险评估方法 |
| CN112882797A (zh) * | 2021-02-26 | 2021-06-01 | 南京邮电大学 | 一种基于机器学习的容器安全检测方法 |
| CN113992386A (zh) * | 2021-10-25 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种防御能力的评估方法、装置、存储介质及电子设备 |
-
2022
- 2022-03-08 CN CN202210218836.3A patent/CN114531297A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019091789A1 (en) * | 2017-11-09 | 2019-05-16 | British Telecommunications Public Limited Company | Vulnerability assessment of containerised installation |
| CN109241730A (zh) * | 2018-09-03 | 2019-01-18 | 杭州安恒信息技术股份有限公司 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
| CN110278198A (zh) * | 2019-06-04 | 2019-09-24 | 西安邮电大学 | 基于博弈论的网络中资产的安全风险评估方法 |
| CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
| CN112819300A (zh) * | 2021-01-21 | 2021-05-18 | 南京邮电大学 | 网络攻击下基于随机博弈网的配电网风险评估方法 |
| CN112882797A (zh) * | 2021-02-26 | 2021-06-01 | 南京邮电大学 | 一种基于机器学习的容器安全检测方法 |
| CN113992386A (zh) * | 2021-10-25 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种防御能力的评估方法、装置、存储介质及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| KAI LI,DAWEI YANG,LIANG BAI,TIANJUN WANG: "security risk assessment method of edge computing container based dynamic game", 《IEEE》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117319054A (zh) * | 2023-08-11 | 2023-12-29 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及系统 |
| CN117319054B (zh) * | 2023-08-11 | 2024-05-17 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及系统 |
| CN117744095A (zh) * | 2024-01-29 | 2024-03-22 | 珠海錾芯半导体有限公司 | 软硬件系统安全定量评估以及优化方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Banerjee et al. | A blockchain future for internet of things security: a position paper | |
| CN101420442B (zh) | 基于博弈理论的网络安全风险评估系统 | |
| Xiao et al. | Secure mobile crowdsensing based on deep learning | |
| CN114531297A (zh) | 一种面向边缘计算的容器安全风险评估方法 | |
| Xiao et al. | SCA: Sybil-based collusion attacks of IIoT data poisoning in federated learning | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| Ahmed et al. | Detecting Computer Intrusions Using Behavioral Biometrics. | |
| Iliev et al. | Some new approaches for modelling large-scale worm spreading on the internet. II | |
| CN103136476A (zh) | 移动智能终端恶意软件分析系统 | |
| Atefi et al. | A hybrid intrusion detection system based on different machine learning algorithms | |
| Stiawan et al. | Ping flood attack pattern recognition using a K-means algorithm in an Internet of Things (IoT) network | |
| Srilatha et al. | DDoSNet: A deep learning model for detecting network attacks in cloud computing | |
| Dostálek | Multi-factor authentication modeling | |
| Sánchez et al. | Studying the robustness of anti-adversarial federated learning models detecting cyberattacks in iot spectrum sensors | |
| Muhati et al. | Asynchronous advantage actor-critic (a3c) learning for cognitive network security | |
| Jithish et al. | A game‐theoretic approach for ensuring trustworthiness in cyber‐physical systems with applications to multiloop UAV control | |
| Chen et al. | Dynamic threshold strategy optimization for security protection in Internet of Things: An adversarial deep learning‐based game‐theoretical approach | |
| CN116248308A (zh) | 一种基于零信任和边缘智能的物联网持续认证方法 | |
| Al-Taleb et al. | Cyber threat intelligence for secure smart city | |
| Sagar et al. | Wireless Sensor Network-based Intrusion Detection Technique using Deep Learning Approach of CNN-GRU | |
| Alshammari et al. | Scalable and robust intrusion detection system to secure the iot environments using software defined networks (SDN) enabled architecture | |
| Guan et al. | A Bayesian Improved Defense Model for Deceptive Attack in Honeypot-Enabled Networks | |
| Huang | Application of computer data mining technology based on AKN algorithm in denial of service attack defense detection | |
| CN111107035B (zh) | 基于行为辨识的安全态势感知与防护方法及装置 | |
| Huang et al. | Ethereum Phishing Fraud Detection Based on Heterogeneous Transaction Subnets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |