ПРИМЕНЕНИЕ ГИБРИДНОЙ НЕЙРОННОЙ СЕТИ AE-LSTM ДЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ В КОНТЕЙНЕРНЫХ СИСТЕМАХ
Аннотация
Популярность контейнерных систем привлекает внимание многих исследователей в области
информационных технологий. Технология контейнеризации позволяет сократить расходы вычис-
лительных ресурсов при разворачивании и поддержке сложных инфраструктурных решений.
Обеспечение безопасности контейнерных систем и контейнеризации в целом, а также примене-
ние злоумышленниками методов реализации "умных" атак на основе искусственного интеллекта,
является серьезной проблемой на пути безопасного и устойчивого функционирования контейнер-
ных систем. В статье предлагается подход к обнаружению не только ранее неизвестных отдель-
ных аномальных процессов, но и аномальных последовательностей процессов в контейнерных сис-
темах. Предлагаемый подход и его реализация на основе платформы Docker основываются на
трассировке системных вызовов, построении гистограмм выполняемых процессов и использова-
нии нейронной сети AE-LSTM. Процесс построения гистограмм базируется на учете количества
выполненных системных вызовов для каждого отдельного процесса. Это решение предоставляет
возможность не только идентифицировать любой процесс в системе, но и эффективно обнару-
живать аномальные последовательности процессов с высокой степенью точности. Созданные
последовательности используются в качестве входных данных для нейронной сети. После завер-
шения процесса обучения, нейронная сеть приобретает способность обнаруживать аномальные
последовательности, сравнивая заданный порог ошибки реконструкции с фактическим уровнем
ошибки входного вектора данных. Когда нейронная сеть сталкивается с новым входным векто-
ром данных, она вычисляет уровень ошибки реконструкции — разницу между ожидаемым и фак-
тическим значением. Если эта ошибка превышает заранее установленный порог, система сигна-
лизирует о наличии аномалии в последовательности. Эксперименты показывают, что предло-
женный подход демонстрирует достаточно высокую точность обнаружения аномальных про-
цессов при низком уровне ложноположительных результатов обнаружения. Такие результаты
подтверждают эффективность предложенного подхода. Затраты вычислительных ресурсов на
обучение модели нейронной сети находятся на достаточно низком уровне. Это позволяет исполь-
зовать менее мощные аппаратные средства без значительных потерь в производительности.
Разработанный прототип может быть обучен и внедрен в новую инфраструктуру в достаточно
сжатые сроки.
Литература
kiberprostranstve [Artificial Intelligence for Cybersecurity: A New Stage of Confrontation in Cyberspace],
Iskusstvennyy intellekt i prinyatie resheniy [Artificial Intelligence and Decision Making], 2024,
No. 1, pp. 3-19.
2. Priedhorsky R. Charliecloud is not affected by CVE-2024-21626 or related vulnerabilities, Los Alamos
National Laboratory (LANL), Los Alamos, NM (United States), 2024, No. LA-UR-24-21089.
3. Levshun D.S., Vesnin D.V., Kotenko I.V. Prognozirovanie kategoriy uyazvimostey v konfiguratsiyakh
ustroystv s pomoshch'yu metodov iskusstvennogo intellekta [Forecasting vulnerability categories in
device configurations using artificial intelligence methods], Voprosy kiberbezopasnosti [Cybersecurity
Issues], 2024, No. 3 (61), pp. 33-39.
4. Applebaum S., Gaber T., Ahmed A. Signature-based and machine-learning-based web application
firewalls: A short survey, Procedia Computer Science, 2021, Vol. 189, pp. 359-367.
5. Pang G., Shen C., Cao L., Hengel A.V D. Deep learning for anomaly detection: A review, ACM computing
surveys (CSUR), 2021, Vol. 54, No. 2, pp. 1-38.
6. Ahmed M.E., Kim H., Camtepe S., Nepal S. Peeler: Profiling kernel-level events to detect ransomware,
Computer Security–ESORICS 22: 26th European Symposium on Research in Computer Security,
Darmstadt, Germany, October 4–8, 2021, Proceedings, Part I 26, Springer International Publishing,
2021, pp. 240-260.
7. Liao S., Zhou C., Zhao Y., Zhang Z., Zhang C., Gao Y., Zhong, G. A comprehensive detection approach
of nmap: Principles, rules and experiments, 2020 international conference on cyber-enabled
distributed computing and knowledge discovery (CyberC), IEEE, 2020, pp. 64-71.
8. Snehi J., Bhandari A., Baggan V., Snehi M., Kaur H. AIDAAS: Incident handling and remediation
anomaly-based IDaaS for cloud service providers, 2021 10th International Conference on System
Modeling & Advancement in Research Trends (SMART), IEEE, 2021, pp. 356-360.
9. Gupta S., Muthiyan N., Kumar S., Nigam A., Dinesh D.A. A supervised deep learning framework for
proactive anomaly detection in cloud workloads, 2017 14th IEEE India Council International Conference
(INDICON), IEEE, 2017, pp. 1-6.
10. Kosińska J., Tobiasz M. Detection of Cluster Anomalies With ML Techniques, IEEE Access, 2022,
Vol. 10, pp. 110742-110753.
11. Karn R.R., Kudva, P., Huang H., Suneja S., Elfadel I.M. Cryptomining detection in container clouds
using system calls and explainable machine learning, IEEE transactions on parallel and distributed
systems, 2020, Vol. 32, No. 3, pp. 674-691.
12. Wang Y., Wang Q., Qin X., Chen X., Xin B., Yang R. DockerWatch: a two-phase hybrid detection of
malware using various static features in container cloud, Soft Computing, 2023, Vol. 27, No. 2,
pp. 1015-1031.
13. El Khairi A., Caselli M., Knierim C., Peter A., Continella A. Contextualizing system calls in containers
for anomaly-based intrusion detection, Proceedings of the 2022 on Cloud Computing Security Workshop,
2022, pp. 9-21.
14. Tien C.W., Huang T.Y., Tien C.W., Huang T.C., Kuo S.Y. KubAnomaly: Anomaly detection for the
Docker orchestration platform with neural network approaches, Engineering reports, 2019, Vol. 1,
No. 5, pp. e12080.
15. Kotenko I., Melnik M., Abramenko G. Anomaly detection in container systems: using normal process
histograms and an autoencoder, 2024 IEEE 25th International Conference of Young Professionals in
Electron Devices and Materials (EDM 2024), IEEE. 2024. pp. 1930-1934.
16. Castanhel G. R., Heinrich T., Ceschin F., Maziero C. Taking a peek: An evaluation of anomaly detection
using system calls for containers, 2021 IEEE Symposium on Computers and Communications
(ISCC), IEEE, 2021, pp. 1-6.
17. Cui P., Umphress D. Towards unsupervised introspection of containerized application, Proceedings of
the 2020 10th International Conference on Communication and Network Security, 2020, pp. 42-51.
18. Deri L., Sabella S., Mainardi S., Degano P., Zunino, R. Combining System Visibility and Security
Using eBPF, ITASEC, 2019, Vol. 2315, pp. 1-12.
19. Kotenko I., Saenko I., Chechulin A., Vitkova L., Kolomeec M., Zelichenok I., Melnik M., Makrushin D.,
Petrevich N. Detection of Anomalies and Attacks in Container Systems: An Integrated Approach
Based on Black and White Lists, International Conference on Intelligent Information Technologies for
Industry, Cham: Springer International Publishing, 2022, pp. 107-117.
20. Subhash P., Qayyum M., Likhitha Varsha C., Mehernadh K., Sruthi J., Nithin A. A Security Framework
for the Detection of Targeted Attacks Using Honeypot, International Conference on Computer
& Communication Technologies, Singapore: Springer Nature Singapore, 2023. pp. 183-192.
