TWI677804B - 計算機裝置及辨識其軟體容器行為是否異常的方法 - Google Patents

計算機裝置及辨識其軟體容器行為是否異常的方法 Download PDF

Info

Publication number
TWI677804B
TWI677804B TW106141607A TW106141607A TWI677804B TW I677804 B TWI677804 B TW I677804B TW 106141607 A TW106141607 A TW 106141607A TW 106141607 A TW106141607 A TW 106141607A TW I677804 B TWI677804 B TW I677804B
Authority
TW
Taiwan
Prior art keywords
software container
behavior
computer device
software
container
Prior art date
Application number
TW106141607A
Other languages
English (en)
Other versions
TW201926107A (zh
Inventor
田家瑋
Chia Wei Tien
黃咨詠
Tse Yung Huang
田謹維
Chin Wei Tien
Original Assignee
財團法人資訊工業策進會
Institute For Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會, Institute For Information Industry filed Critical 財團法人資訊工業策進會
Priority to TW106141607A priority Critical patent/TWI677804B/zh
Priority to CN201711247839.5A priority patent/CN109840419B/zh
Priority to US15/835,426 priority patent/US10726124B2/en
Publication of TW201926107A publication Critical patent/TW201926107A/zh
Application granted granted Critical
Publication of TWI677804B publication Critical patent/TWI677804B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2123Dummy operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本揭露涉及一種計算機裝置及辨識其軟體容器行為是否異常的方法。該計算機裝置偵測一軟體容器在一時間區間內的軟體容器行為,以及根據一軟體容器行為辨識模組辨識該軟體容器行為是否異常,藉此判斷是否受到入侵。另外,可透過在計算機裝置內布建誘餌軟體容器,來吸引第三方對誘餌軟體容器進行攻擊或入侵,以分散軟體容器被攻擊的風險,以及根據該誘餌軟體容器的軟體容器行為更新軟體容器行為辨識模組。

Description

計算機裝置及辨識其軟體容器行為是否異常的方法
本發明關於一種計算機裝置及入侵偵測方法。更具體而言,本發明關於一種計算機裝置及辨識其軟體容器行為是否異常的方法。
軟體容器(container)是一種共享作業系統的虛擬機器技術。詳言之,軟體容器引擎可為每一個軟體容器提供一個隔離環境,以讓每一個軟體容器都像是運行在單獨的作業系統之上,但卻能共用底層的資源。軟體容器這項技術因具有輕量化、高擴展性及高度彈性等特性,近年來已被大量使用。
隨著轉軟體容器的普及,第三方針對軟體容器的攻擊或入侵行為也逐漸頻繁,這也引發各種有關軟體容器安全性的問題。舉例而言,第三方可能發動例如以下攻擊或入侵行為:攻擊或入侵主機,藉以控制主機內的有軟體容器的運作;以及攻擊或入侵某一軟體容器,並以該軟體容器做為跳板來控制其他軟體容器或主機的運作。有鑑於此,如何有效地偵測第三方針對軟體容器的攻擊或入侵行為,將是本發明所屬技術領域中亟需被解決的一項技術問題。
為了解決上述問題,本發明的某些實施例提供了一種計算機裝置。該計算機裝置可包含一儲存器以及一與該儲存器電性連接的處理器。該儲存器可用以儲存一軟體容器行為辨識模組,而該處理器可用以偵測一軟體容器在一時間區間內的軟體容器行為,以及根據該軟體容器行為辨識模組辨識該軟體容器行為是否異常。
為了解決上述問題,本發明的某些實施例還提供了一種辨識軟體容器行為是否異常的方法。該方法可包含以下步驟:由一計算機裝置,偵測一軟體容器在一時間區間內的軟體容器行為;以及由該計算機裝置,根據一軟體容器行為辨識模組辨識該軟體容器行為是否異常。
因軟體容器在遭受到第三方的攻擊或入侵行為時,通常其自身的軟體容器行為也會變化,故在本發明的實施例中,藉由辨識軟體容器行為是否異常,將可有效地偵測出該軟體容器是否已遭受到第三方的攻擊或入侵。
發明內容並非為了限制本發明,而只是概括地敘述了本發明的核心概念、本發明可解決的技術問題、可採用的技術手段以及可達到的技術功效,以讓本發明所屬技術領域中具有通常知識者對本發明的基本理解。根據檢附的圖式及以下的實施方式所提供的實施例,本發明所屬技術領域中具有通常知識者便可更加瞭解本發明。
1‧‧‧計算機裝置
11‧‧‧儲存器
13‧‧‧處理器
111‧‧‧軟體容器行為辨識模組
113‧‧‧軟體容器原始日誌
2‧‧‧軟體容器狀態
200‧‧‧作業系統
202‧‧‧原始檔案系統
220‧‧‧軟體容器引擎
240、240a‧‧‧軟體容器
260、260a‧‧‧函式庫
211、213、215‧‧‧處理
3‧‧‧軟體容器狀態
302‧‧‧獨立檔案系統
340‧‧‧誘餌軟體容器
360‧‧‧獨立函式庫
212、217、219‧‧‧處理
4‧‧‧辨識軟體容器行為是否異常的方法
401、403‧‧‧步驟
第1圖例示了在本發明的某些實施例中的一種計算機裝置。
第2A圖例示了在本發明的某些實施例中,第1圖所示的計算機裝置的一種軟體容器狀態。
第2B圖例示了在本發明的某些實施例中,第1圖所示的計算機裝置如何在第2A圖所示的軟體容器狀態下辨識軟體容器行為。
第3A圖例示了在本發明的某些實施例中,第1圖所示的計算機裝置的另一種軟體容器狀態。
第3B圖例示了在本發明的某些實施例中,第1圖所示的計算機裝置如何在第3A圖所示的軟體容器狀態下辨識軟體容器行為。
第4圖例示了在本發明的某些個實施例中的一種辨識軟體容器行為是否異常的方法。
以下將透過多個實施例來說明本發明,惟這些實施例並非用以限制本發明只能根據所述操作、環境、應用、結構、流程或步驟來實施。於圖式中,與本發明非直接相關的元件皆已省略。於圖式中,各元件之間的尺寸關係僅為了易於說明本發明,而非用以限制本發明的實際比例。除了特別說明之外,在以下內容中,相同(或相近)的元件符號可對應至相同(或相近)的元件。
第1圖例示了在本發明的某些實施例中的一種計算機裝置1。第1圖所示內容僅是為了舉例說明本發明的實施例,而非為了限制本發明。
參照第1圖,計算機裝置1可包含一儲存器11及一與儲存器11電性連接的處理器13。除了儲存器11及處理器13之外,於某些實施例中,計算機裝置1還可包含其他元件,例如但不限於:輸入元件、輸出元件、聯網元件等等。計算機裝置1所包含的所有元件都相互連接,且任二個元間之間可以是直接連接(即,未經由其他功能元件而相互連接),也可以是間接連 接(即,經由其他功能元件而相互連接)。計算機裝置1可以是各種具有計算、儲存、通訊、聯網等功能的計算機,例如但不限於:桌上型電腦、可攜式電腦、行動電話等等
處理器13可包含微處理器(microprocessor)或微控制器(microcontroller),用以在計算機裝置1中執行各種運算程序。微處理器或微控制器是一種可程式化的特殊積體電路,其具有運算、儲存、輸出/輸入等能力,且可接受並處理各種編碼指令,藉以進行各種邏輯運算與算術運算,並輸出相應的運算結果。
儲存器11可包含第一級記憶體(又稱主記憶體或內部記憶體),且處理器13可直接讀取儲存在第一級記憶體內的指令集,並在需要時執行這些指令集。儲存器11還可包含第二級記憶體(又稱外部記憶體或輔助記憶體),且此記憶體可透過資料緩衝器將儲存的資料傳送至第一級記憶體。舉例而言,第二級記憶體可以是但不限於:硬碟、光碟等。儲存器11還可包含第三級記憶體,亦即,可直接插入或自電腦拔除的儲存裝置,例如隨身硬碟。
儲存器11可用以儲存一軟體容器行為辨識模組111,而處理器13可用以偵測建構在計算機裝置1內的每一個軟體容器在一時間區間內(或每間隔一時間區間)的軟體容器行為,以及根據該軟體容器行為辨識模組辨識該軟體容器行為是否異常,藉此判斷該軟體容器是否受到攻擊或入侵。
於某些實施例中,儲存器11還可用以儲存一軟體容器原始日誌(Raw Log)113,且軟體容器原始日誌113可用以記錄每一個軟體容器在 計算機裝置1內發生的所有事件的相關數據及其硬體資訊。軟體容器原始日誌113所記錄的事件類型可包括但不限於:寫入(例如,事件型態是open或openat,且參數為write)、讀取(例如,事件型態是open或openat,且參數為read)、存取資料庫(例如,事件型態是sendto或recvfrom,且埠號為資料庫預設值)、發出終止訊號(例如,事件型態是kill)、等待(例如,事件型態是select或polling)、接收外部連線(例如,事件型態是accept)、存取記憶體(例如,事件型態是brk、mmap或/munmap)、建立連線(例如,事件型態是connect)、產生新的執行緒(例如,事件型態是clone)、發生網路行為(例如,事件內容包含GET或POST、事件型態是sendto、且埠號是8080、80、8443或443)、創立目錄(例如,事件型態是mkdir)、變換目錄(例如,事件型態是chdir)、執行新的程式(例如,事件型態是exec)等等。軟體容器原始日誌113所記錄的硬體資訊的類別可包括但不限於:中央處理單元的使用率、記憶體的使用量、硬碟的使用量、網路的使用量等等。
處理器13可根據軟體容器原始日誌113的內容來偵測每一個軟體容器在一時間區間內(或每間隔一時間區間)的軟體容器行為,並針對該軟體容器行為計算一目標行為特徵向量。舉例而言,根據軟體容器原始日誌113的內容,處理器13可將每一個軟體容器在一時間區間(例如但不限於:5秒、10秒、20秒、1分鐘、5分鐘、1小時、或3小時)所發生的所有事件界定為該軟體容器的軟體容器行為,且將這些事件的相關數據及/或其硬體資訊組合成一目標行為特徵向量。然後,處理器13可根據軟體容器行為辨識模組111分類該目標行為特徵向量。若該目標行為特徵向量被分類為異常(相當於該軟體容器行為是異常的),則處理器13將辨識該軟體容器已受到 攻擊或入侵;而若該目標行為特徵向量被分類為正常(相當於該軟體容器行為是正常的),則處理器13將辨識該軟體容器並未受到攻擊或入侵。在辨識該軟體容器受到攻擊或入侵時,該處理器13可以透過各種輸出元件(例如顯示器、喇叭等等),藉由影像或聲音來通知計算機裝置1的使用者。
處理器13可藉由一機器學習訓練程序(例如但不限於:支持向量機(SVM)演算法、決策樹演算法、深度學習演算法等等),訓練多個參考行為特徵向量,以建立儲存器11所儲存的軟體容器行為辨識模組111,其中該多個參考行為特徵向量包含至少一正常行為特徵向量與至少一異常行為特徵向量。舉例而言,正常行為特徵向量可以是一或多個軟體容器在沒有受到攻擊或入侵的情況下,被記載在軟體容器原始日誌113或外部計算機裝置所儲存的軟體容器原始日誌中的所有事件的相關數據的組合(例如:寫入的次數為6、讀取的次數為10及存取資料庫的次數為8);而異常行為特徵向量可以是一或多個軟體容器在受到攻擊或入侵的情況下,被記載在軟體容器原始日誌113或外部計算機裝置所儲存的軟體容器原始日誌中的所有事件的相關數據的組合(例如:寫入的次數為25、讀取的次數為75及存取資料庫的次數為80)。在此範例中,因為軟體容器受到緩衝區溢位(buffer overflow)攻擊,使得異常行為特徵向量中的寫入次數、讀取次數與存取資料庫次數異常增加。於某些實施例中,儲存器11所儲存的軟體容器行為辨識模組111也可是由一外部計算機裝置所預先建構的。
第2A圖例示了在本發明的某些實施例中,計算機裝置1的一種軟體容器狀態2,而第2B圖例示了在本發明的某些實施例中,計算機裝置1如何在第2A圖所示的軟體容器狀態2下辨識軟體容器行為。第2A-2B圖所 示內容僅是為了舉例說明本發明的實施例,而非為了限制本發明。
如第2A圖所示,處理器13可在一作業系統200上安裝一軟體容器引擎(container engine)220,且可根據不同的需求,利用軟體容器引擎220建構一或多個獨立運作的軟體容器240(包含軟體容器240a)。根據不同的需求,處理器13可以建構多個相同屬性/功能的軟體容器240來載入應用程式,也可以建構多個不同屬性/功能的軟體容器240來載入應用程式。根據不同的需求,處理器13可以為每一個軟體容器240指定一獨立的函式庫(Bins/Libs)260,例如指定一個函式庫260a給軟體容器240a,也可以為多個軟體容器240指定同一函式庫260,例如指定一個函式庫260給多個軟體容器240。每一個軟體容器240都可存取位於作業系統200內的一原始檔案系統202。需說明者,如第2A圖所示的軟體容器240之數目並非限制。另外,因本發明所屬技術領域中具有通常知識者已理解作業系統200、軟體容器引擎220及軟體容器240的基本運作,故於此不再贅言。
參照第2A-2B圖,針對每一個軟體容器240(以軟體容器240a為例),處理器13可進行以下處理:根據軟體容器原始日誌113的內容來偵測軟體容器240a在一時間區間內(或每間隔一時間區間)的軟體容器行為(標示為211);針對軟體容器240a的該軟體容器行為計算一目標行為特徵向量(標示為213);以及根據軟體容器行為辨識模組111分類該目標行為特徵向量(標示為215),以辨識軟體容器240a的軟體容器行為是否異常。經由上述處理,處理器13可辨識軟體容器240a是否受到攻擊或入侵。
於某些實施方式中,計算機裝置1與其他計算機裝置可以經由各種網路連接到一中央控管中心,且由該中央控管中心來控管計算機裝 置1的上述運作。另外,當計算機裝置1辨識出其軟體容器發生異常時,可即時地通知該中央控管中心。
第3A圖例示了在本發明的某些實施例中,計算機裝置1的另一種軟體容器狀態3,而第3B圖例示了在本發明的某些實施例中,計算機裝置1如何在第3A圖所示的軟體容器狀態3下辨識軟體容器行為。第3A-3B圖所示內容僅是為了舉例說明本發明的實施例,而非為了限制本發明。
相較於第2A圖所示的軟體容器狀態2,在第3A圖所示的軟體容器狀態3中,計算機裝置1除了建構了一或多個軟體容器240之外,還額外建構一或多個相對應的誘餌軟體容器340。詳言之,每當處理器13建構了一個軟體容器240,其將自動地建構一個相對應的誘餌軟體容器340。舉例而言,在建構了軟體容器240a之後,處理器13可自動分析軟體容器240a的屬性/功能,並自動建構一個與軟體容器240a相同屬性/功能的誘餌軟體容器340。然後,處理器13可透過一誘餌資料庫(例如:通用漏洞與暴露資料庫(Common Vulnerabilities and Exposures,CVE))自動植入一或多個預設的誘餌至誘餌軟體容器340及/或將假資料添加到一與原始檔案系統202隔離開來的獨立檔案系統302。
植入一或多個預設的誘餌至誘餌軟體容器340有助於吸引第三方對其進行攻擊或入侵,進而避免第三方對軟體容器240a(即,要保護的軟體容器)進行攻擊或入侵。舉例而言,處理器13可分析軟體容器240a的函式庫260a的版本,並經由該誘餌資料庫尋找函式庫260a過去存在漏洞的版本,然後將此存在漏洞的版本指定為誘餌軟體容器340的獨立函式庫360,藉此吸引第三方的攻擊或入侵。由於獨立函式庫360與其他函式庫(即,函式 庫260、260a)相互隔開,故第三方並無法藉由獨立函式庫360的漏洞來攻擊或入侵其他軟體容器(即,軟體容器240、240a)。
將假資料添加到誘餌軟體容器340可存取的獨立檔案系統302也有助於吸引第三方對其進行攻擊或入侵,進而避免第三方對軟體容器240a(即,要保護的軟體容器)進行攻擊或入侵。由於誘餌軟體容器340只能夠存取位於作業系統200內的獨立檔案系統302,且獨立檔案系統302與原始檔案系統202相互隔開,故即使第三方攻擊若入侵了誘餌軟體容器340,其仍無法經由誘餌軟體容器340來存取原始檔案系統202(即,要保護的檔案系統)。
於某些實施例中,當處理器13偵測到來自誘餌軟體容器340的軟體容器行為時,還可針對軟體容器行為計算一特定行為特徵向量(屬於異常行為特徵向量),並根據該特定行為特徵向量來更新軟體容器行為辨識模組111,藉以預防未來相同或相似的攻擊或入侵行為。
參照第3A-3B圖,針對每一個軟體容器(包含軟體容器240、240a與誘餌軟體容器340),處理器13可進行以下處理:根據軟體容器原始日誌113的內容來偵測該軟體容器在一時間區間內(或每間隔一時間區間)的軟體容器行為(標示為211);判斷該軟體容器是否是一誘餌軟體容器(標示為212);若判斷該軟體容器不是一誘餌軟體容器,則針對該軟體容器的該軟體容器行為計算一目標行為特徵向量(標示為213),然後根據軟體容器行為辨識模組111分類該目標行為特徵向量(標示為215),以辨識該軟體容器的該軟體容器行為是否異常;以及若判斷該軟體容器是一誘餌軟體容器,則針對該軟體容器的該軟體容器行為計算一特定行為特徵向量(標示為217),並 根據該特定行為特徵向量來更新軟體容器行為辨識模組111(標示為219)。
第4圖例示了在本發明的某些實施例中的一種辨識軟體容器行為是否異常的方法。第4圖所示內容僅是為了舉例說明本發明的實施例,而非為了限制本發明。
參照第4圖,一種辨識軟體容器行為是否異常的方法4可以包含下步驟:由一計算機裝置,偵測一軟體容器在一時間區間內的軟體容器行為(標示為401);以及由該計算機裝置,根據一軟體容器行為辨識模組辨識該軟體容器行為是否異常(標示為403)。
於某些實施例中,除了步驟401與步驟403之外,方法4還可以包含以下步驟:由該計算機裝置,根據一軟體容器原始日誌偵測該軟體容器在該時間區間內的該軟體容器行為;由該計算機裝置,針對該軟體容器行為計算一目標行為特徵向量;以及由該計算機裝置,根據該軟體容器行為辨識模組分類該目標行為特徵向量,以辨識該軟體容器行為是否異常。
於某些實施例中,除了步驟401與步驟403之外,方法4還可以包含以下步驟:由該計算機裝置,藉由一機器學習訓練程序,訓練多個參考行為特徵向量,以建立該軟體容器行為辨識模組,其中該多個參考行為特徵向量包含至少一正常行為特徵向量與至少一異常行為特徵向量。
於某些實施例中,除了步驟401與步驟403之外,方法4還可以包含以下步驟:由該計算機裝置,在一獨立的檔案系統上建構與該軟體容器相對應的一誘餌軟體容器;以及由該計算機裝置,在偵測到該誘餌軟體容器的軟體容器行為時,針對該軟體容器行為計算一特定行為特徵向量,並根據該特定行為特徵向量更新該軟體容器行為辨識模組。在這些實施例中,該 計算機裝置可以在建構該軟體容器之後,自動地建構該誘餌軟體容器。在這些實施例中,建構該誘餌軟體容器的該步驟還包含以下步驟:由該計算機裝置,分析該軟體容器的屬性,並根據該屬性以及預設的誘餌建構該誘餌軟體容器。
在某些實施例中,方法4的上述全部步驟可以由計算機裝置1來執行。在某些實施例中,除了上述步驟之外,方法4還可以包含與計算機裝置1的上述所有實施例相對應的其他步驟。因本發明所屬技術領域中具有通常知識者可根據上文針對計算機裝置1的說明而瞭解方法4的這些其他步驟,於此不再贅述。
上述實施例只是舉例來說明本發明,而非為了限制本發明。任何針對上述實施例進行修飾、改變、調整、整合而產生的其他實施例,只要是本發明所屬技術領域中具有通常知識者不難思及的,都已涵蓋在本發明的保護範圍內。本發明的保護範圍以申請專利範圍為準。

Claims (10)

  1. 一種計算機裝置,包含:一儲存器,用以儲存一軟體容器行為辨識模組;以及一處理器,與該儲存器電性連接,並用以偵測一軟體容器在一時間區間內的軟體容器行為,以及根據該軟體容器行為辨識模組辨識該軟體容器行為是否異常;其中,該處理器還用以在一獨立的檔案系統上建構與該軟體容器相對應的一誘餌軟體容器,並在偵測到該誘餌軟體容器的軟體容器行為時,針對該軟體容器行為計算一特定行為特徵向量,並根據該特定行為特徵向量更新該軟體容器行為辨識模組。
  2. 如請求項1所述的計算機裝置,其中該儲存器還用以儲存一軟體容器原始日誌,且該處理器還用以根據該軟體容器原始日誌偵測該軟體容器在該時間區間內的該軟體容器行為,針對該軟體容器行為計算一目標行為特徵向量,以及根據該軟體容器行為辨識模組分類該目標行為特徵向量,以辨識該軟體容器行為是否異常。
  3. 如請求項1所述的計算機裝置,其中該處理器還用以藉由一機器學習訓練程序,訓練多個參考行為特徵向量,以建立該軟體容器行為辨識模組,其中該多個參考行為特徵向量包含至少一正常行為特徵向量與至少一異常行為特徵向量。
  4. 如請求項1所述的計算機裝置,其中該處理器是在建構該軟體容器之後,自動地建構該誘餌軟體容器。
  5. 如請求項1所述的計算機裝置,其中該處理器還用以分析該軟體容器的屬性,並根據該屬性以及預設的誘餌建構該誘餌軟體容器。
  6. 一種辨識軟體容器行為是否異常的方法,包含以下步驟:由一計算機裝置,偵測一軟體容器在一時間區間內的軟體容器行為;由該計算機裝置,根據一軟體容器行為辨識模組辨識該軟體容器行為是否異常;由該計算機裝置,在一獨立的檔案系統上建構與該軟體容器相對應的一誘餌軟體容器;以及由該計算機裝置,在偵測到該誘餌軟體容器的軟體容器行為時,針對該軟體容器行為計算一特定行為特徵向量,並根據該特定行為特徵向量更新該軟體容器行為辨識模組。
  7. 如請求項6所述的方法,還包含以下步驟:由該計算機裝置,根據一軟體容器原始日誌偵測該軟體容器在該時間區間內的該軟體容器行為;由該計算機裝置,針對該軟體容器行為計算一目標行為特徵向量;以及由該計算機裝置,根據該軟體容器行為辨識模組分類該目標行為特徵向量,以辨識該軟體容器行為是否異常。
  8. 如請求項6所述的方法,還包含以下步驟:由該計算機裝置,藉由一機器學習訓練程序,訓練多個參考行為特徵向量,以建立該軟體容器行為辨識模組,其中該多個參考行為特徵向量包含至少一正常行為特徵向量與至少一異常行為特徵向量。
  9. 如請求項6所述的方法,其中該計算機裝置是在建構該軟體容器之後,自動地建構該誘餌軟體容器。
  10. 如請求項6所述的方法,其中建構該誘餌軟體容器的該步驟還包含以下步驟:由該計算機裝置,分析該軟體容器的屬性,並根據該屬性以及預設的誘餌建構該誘餌軟體容器。
TW106141607A 2017-11-29 2017-11-29 計算機裝置及辨識其軟體容器行為是否異常的方法 TWI677804B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW106141607A TWI677804B (zh) 2017-11-29 2017-11-29 計算機裝置及辨識其軟體容器行為是否異常的方法
CN201711247839.5A CN109840419B (zh) 2017-11-29 2017-12-01 计算机装置及辨识其软件容器行为是否异常的方法
US15/835,426 US10726124B2 (en) 2017-11-29 2017-12-07 Computer device and method of identifying whether container behavior thereof is abnormal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106141607A TWI677804B (zh) 2017-11-29 2017-11-29 計算機裝置及辨識其軟體容器行為是否異常的方法

Publications (2)

Publication Number Publication Date
TW201926107A TW201926107A (zh) 2019-07-01
TWI677804B true TWI677804B (zh) 2019-11-21

Family

ID=66633286

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106141607A TWI677804B (zh) 2017-11-29 2017-11-29 計算機裝置及辨識其軟體容器行為是否異常的方法

Country Status (3)

Country Link
US (1) US10726124B2 (zh)
CN (1) CN109840419B (zh)
TW (1) TWI677804B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2697955C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обучения модели обнаружения вредоносных контейнеров
TWI703467B (zh) * 2019-08-29 2020-09-01 國立成功大學 具有高互動組合工控誘捕系統及其方法
CN111639314B (zh) * 2020-05-15 2024-01-12 京东科技控股股份有限公司 容器登录系统、方法、服务器及存储介质
CN112350870A (zh) * 2020-11-11 2021-02-09 杭州飞致云信息科技有限公司 容器集群系统的运维安全审计方法和装置
US20230036739A1 (en) * 2021-07-28 2023-02-02 Red Hat, Inc. Secure container image builds
CN116821898A (zh) * 2023-06-30 2023-09-29 北京火山引擎科技有限公司 容器环境的入侵检测方法、设备及存储介质
CN117742897B (zh) * 2024-02-20 2024-04-26 国网四川省电力公司信息通信公司 一种基于容器镜像漏洞自动修复的实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200710673A (en) * 2005-06-30 2007-03-16 Ibm Method, system and computer program for controlling access to resources in web applications
CN102291392A (zh) * 2011-07-22 2011-12-21 中国电力科学研究院 一种基于Bagging算法的复合式入侵检测方法
TW201738798A (zh) * 2016-04-22 2017-11-01 高通公司 用於智慧偵測在客戶端計算設備和企業網路上的惡意軟體和攻擊的方法和系統

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140373144A9 (en) * 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
US8635694B2 (en) * 2009-01-10 2014-01-21 Kaspersky Lab Zao Systems and methods for malware classification
US9106697B2 (en) * 2010-06-24 2015-08-11 NeurallQ, Inc. System and method for identifying unauthorized activities on a computer system using a data structure model
US9507935B2 (en) * 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9853997B2 (en) * 2014-04-14 2017-12-26 Drexel University Multi-channel change-point malware detection
US10193924B2 (en) 2014-09-17 2019-01-29 Acalvio Technologies, Inc. Network intrusion diversion using a software defined network
US9411959B2 (en) * 2014-09-30 2016-08-09 Juniper Networks, Inc. Identifying an evasive malicious object based on a behavior delta
US9535731B2 (en) * 2014-11-21 2017-01-03 International Business Machines Corporation Dynamic security sandboxing based on intruder intent
US20160359695A1 (en) * 2015-06-04 2016-12-08 Cisco Technology, Inc. Network behavior data collection and analytics for anomaly detection
US10915628B2 (en) * 2015-10-01 2021-02-09 Twistlock, Ltd. Runtime detection of vulnerabilities in an application layer of software containers
US10586042B2 (en) 2015-10-01 2020-03-10 Twistlock, Ltd. Profiling of container images and enforcing security policies respective thereof
WO2018025157A1 (en) * 2016-07-31 2018-02-08 Cymmetria, Inc. Deploying deception campaigns using communication breadcrumbs
US10681012B2 (en) * 2016-10-26 2020-06-09 Ping Identity Corporation Methods and systems for deep learning based API traffic security
US9794287B1 (en) * 2016-10-31 2017-10-17 International Business Machines Corporation Implementing cloud based malware container protection
US10594712B2 (en) * 2016-12-06 2020-03-17 General Electric Company Systems and methods for cyber-attack detection at sample speed
CN107330326A (zh) * 2017-05-12 2017-11-07 中国科学院信息工程研究所 一种恶意木马检测处理方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200710673A (en) * 2005-06-30 2007-03-16 Ibm Method, system and computer program for controlling access to resources in web applications
CN102291392A (zh) * 2011-07-22 2011-12-21 中国电力科学研究院 一种基于Bagging算法的复合式入侵检测方法
TW201738798A (zh) * 2016-04-22 2017-11-01 高通公司 用於智慧偵測在客戶端計算設備和企業網路上的惡意軟體和攻擊的方法和系統

Also Published As

Publication number Publication date
US10726124B2 (en) 2020-07-28
US20190163901A1 (en) 2019-05-30
TW201926107A (zh) 2019-07-01
CN109840419A (zh) 2019-06-04
CN109840419B (zh) 2022-08-09

Similar Documents

Publication Publication Date Title
TWI677804B (zh) 計算機裝置及辨識其軟體容器行為是否異常的方法
Feizollah et al. A review on feature selection in mobile malware detection
JP6560368B2 (ja) ユーザ行為に基づく悪意のあるダウンロードリスクを判定するためのシステム及び方法
CN106682495B (zh) 安全防护方法及安全防护装置
US9710752B2 (en) Methods and systems for aggregated multi-application behavioral analysis of mobile device behaviors
US20160379136A1 (en) Methods and Systems for Automatic Extraction of Behavioral Features from Mobile Applications
US11409862B2 (en) Intrusion detection and prevention for unknown software vulnerabilities using live patching
US20150373036A1 (en) Methods and Systems for Side Channel Analysis Detection and Protection
US11882134B2 (en) Stateful rule generation for behavior based threat detection
US20160232352A1 (en) Methods and Systems for Detecting Fake User Interactions with a Mobile Device for Improved Malware Protection
US11012449B2 (en) Methods and cloud-based systems for detecting malwares by servers
CN107851155A (zh) 用于跨越多个软件实体跟踪恶意行为的系统及方法
US10216934B2 (en) Inferential exploit attempt detection
Mirsky et al. Anomaly detection for smartphone data streams
CN110647744A (zh) 使用特定于对象的文件系统视图识别和提取关键危害取证指标
KR102403629B1 (ko) 행동 위협 탐지를 위한 시스템 및 방법
Apvrille et al. Identifying unknown android malware with feature extractions and classification techniques
US11314859B1 (en) Cyber-security system and method for detecting escalation of privileges within an access token
US11599638B2 (en) Game engine-based computer security
US10278074B1 (en) Systems and methods for categorizing mobile devices as rooted
KR101988747B1 (ko) 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치
Aljebreen Towards intelligent intrusion detection systems for cloud computing
ES2949033T3 (es) Sistemas y métodos para la detección de amenazas de comportamiento
US11403395B1 (en) Method of using a dynamic rule engine with an application
US11886585B1 (en) System and method for identifying and mitigating cyberattacks through malicious position-independent code execution