基于系统调用的Docker容器异常检测

随着虚拟化技术的爆炸式增长,Docker已占领了容器技术主流市场,但由于其轻量级的隔离方式导致安全问题频出.如阿里、京东、字节跳动等企业都开始采用Docker容器技术,容器安全与用户的财产安全紧密相关,而针对Docker容器安全的研究还存在较大欠缺,高效且安全的虚拟化解决方案需求也逐步增加.本文提出一种基于系统调用的Docker容器异常检测方案(Docker Anomaly Detection Based on System Call,DADBS),旨在通过分析系统调用序列,捕获容器运行时应用程序所发生的异常进程行为.DADBS通过跟踪容器内运行进程收集应用程序系统调用序列,结合系统调用级别及多级别TF-IDF量化评分筛选序列冗余信息,使用长短期记忆神经网络学习正常行为构建系统调用语言模型,最终采用余弦相似度偏差进行异常判断.经云环境下实验证明该模型在ADFA公开数据集上取得0.848的AUC值,且在Docker容器实际攻击场景都能够高效检测出进程异常行为.     

Docker可信镜像源检测模型

Docker镜像是Docker容器运行的基础,目前缺少完善的镜像安全检测方法,导致容器运行时易受到容器逃逸、拒绝服务攻击等各种安全威胁.为避免有毒镜像使用,本文提出一种Docker可信镜像源检测模型DTDIS(detect trusted Docker image source),该模型使用可信密码模块vTCM (virtual trusted cryptography module)构建镜像基准值数据库,检测本地镜像文件是否被篡改;使用父镜像漏洞数据库扩展Clair镜像扫描器避免重复扫描;结合文件度量信息、漏洞扫描信息判别Docker镜像源是否可信.经云环境下实验证明,该模型能够有效对Docker镜像进行安全评估,保证用户使用可信镜像.