ПРИМЕНЕНИЕ ГИБРИДНОЙ НЕЙРОННОЙ СЕТИ AE-LSTM ДЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ В КОНТЕЙНЕРНЫХ СИСТЕМАХ

Аннотация

Популярность контейнерных систем привлекает внимание многих исследователей в области
информационных технологий. Технология контейнеризации позволяет сократить расходы вычис-
лительных ресурсов при разворачивании и поддержке сложных инфраструктурных решений.
Обеспечение безопасности контейнерных систем и контейнеризации в целом, а также примене-
ние злоумышленниками методов реализации "умных" атак на основе искусственного интеллекта,
является серьезной проблемой на пути безопасного и устойчивого функционирования контейнер-
ных систем. В статье предлагается подход к обнаружению не только ранее неизвестных отдель-
ных аномальных процессов, но и аномальных последовательностей процессов в контейнерных сис-
темах. Предлагаемый подход и его реализация на основе платформы Docker основываются на
трассировке системных вызовов, построении гистограмм выполняемых процессов и использова-
нии нейронной сети AE-LSTM. Процесс построения гистограмм базируется на учете количества
выполненных системных вызовов для каждого отдельного процесса. Это решение предоставляет
возможность не только идентифицировать любой процесс в системе, но и эффективно обнару-
живать аномальные последовательности процессов с высокой степенью точности. Созданные
последовательности используются в качестве входных данных для нейронной сети. После завер-
шения процесса обучения, нейронная сеть приобретает способность обнаруживать аномальные
последовательности, сравнивая заданный порог ошибки реконструкции с фактическим уровнем
ошибки входного вектора данных. Когда нейронная сеть сталкивается с новым входным векто-
ром данных, она вычисляет уровень ошибки реконструкции — разницу между ожидаемым и фак-
тическим значением. Если эта ошибка превышает заранее установленный порог, система сигна-
лизирует о наличии аномалии в последовательности. Эксперименты показывают, что предло-
женный подход демонстрирует достаточно высокую точность обнаружения аномальных про-
цессов при низком уровне ложноположительных результатов обнаружения. Такие результаты
подтверждают эффективность предложенного подхода. Затраты вычислительных ресурсов на
обучение модели нейронной сети находятся на достаточно низком уровне. Это позволяет исполь-
зовать менее мощные аппаратные средства без значительных потерь в производительности.
Разработанный прототип может быть обучен и внедрен в новую инфраструктуру в достаточно
сжатые сроки.