Attack and Anomaly Detection in Containerized Systems: Signature and Rule-Based Approaches

Cover Page

Cite item

Full Text

Abstract

The article considers one of the key problems of container systems related to the detection of attacks and anomalies. The mechanisms of isolation of container systems and attacks on such systems are described. A classification of approaches to the detection of attacks and anomalies is presented. A systematic analysis of the main approaches to the detection of attacks and anomalies in container systems, as well as methods for their implementation, is performed. Traditional approaches based on signatures and rules, their features, advantages and disadvantages are considered in detail.

About the authors

Igor V. Kotenko

St. Petersburg Federal Research Center of the Russian Academy of Sciences

Author for correspondence.
Email: ivkote@comsec.spb.ru

Doctor of Technical Sciences, Professor, Honored Scientist of the Russian Federation, Chief Scientist and Head of Laboratory of Computer Security Problems

Russian Federation, St. Petersburg

Maxim V. Melnik

St. Petersburg Federal Research Center of the Russian Academy of Sciences

Email: mkmxvh@gmail.com

Postgraduate student

Russian Federation, St. Petersburg

References

  1. Lee H., Kwon S., Lee J. H. Experimental analysis of security attacks for Docker Container Communications // Electronics. V. 12. No 4. P. 940.
  2. Jain V., Singh B., Khenwar M., Sharm M. Static vulnerability analysis of docker images // IOP Conference Series: Materials Science and Engineering. IOP Publishing. 2021. V. 1131. No 1. P. 012018.
  3. Nakata R., Otsuka A. Evaluation of vulnerability reproducibility in container-based Cyber Range // arXiv preprint arXiv:2010.16024. 2020.
  4. Kotenko I.V., Parashchuk I.B. Osobennosti ocenki vredonosnoj aktivnosti v infrastrukture Umnogo goroda na osnove informacionnogo granulirovaniya i nechetko-granulyarnyh vychislenij [Peculiarities of assessing malicious activity in the Smart City infrastructure based on information granulation and fuzzy-granular computing] // Vestnik Astrahanskogo gosudarstvennogo tekhnicheskogo universiteta. Seriya: Upravlenie, vychislitel'naya tekhnika i informatika [Bulletin of the Astrakhan State Technical University. Series: Management, Computer Science and Information Technology]. 2024. No 3. P. 56-64.
  5. Bhardwaj A. Sophisticated-Sinister-Stealth Attacks // Contemporary Challenges for Cyber Security and Data Privacy. IGI Global. 2023. P. 17-30.
  6. Kotenko I.V., Hmyrov S.S. Analiz modelej i metodik, ispol'zuemyh dlya atribucii narushitelej kiberbezopasnosti pri realizacii celevyh atak [Analysis of models and methods used for attribution of cybersecurity violators when implementing targeted attacks] // Voprosy kiberbezopasnosti [Cybersecurity Issues]. 2022. No 4 (50). P. 52-79.
  7. Kotenko I.V. Iskusstvennyj intellekt dlya kiberbezopasnosti: novaya stadiya protivoborstva v kiberprostranstve [Artificial Intelligence for Cybersecurity: A New Stage of Confrontation in Cyberspace] // Iskusstvennyj intellekt i prinyatie reshenij [Artificial Intelligence and Decision Making]. 2024. No 1. P. 3-19.
  8. Kotenko I.V., Dun H. Obnaruzhenie atak v Internete veshchej na osnove mnogozadachnogo obucheniya i gibridnyh metodov semplirovaniya [Attack Detection in the Internet of Things Based on Multi-Task Learning and Hybrid Sampling Methods] // Voprosy kiberbezopasnosti [Cybersecurity Issues]. 2024. No 2 (60). P. 10-21.
  9. Levshun D.S., Vesnin D.V., Kotenko I.V. Prognozirovanie kategorij uyazvimostej v konfiguraciyah ustrojstv s pomoshch'yu metodov iskusstvennogo intellekta [Predicting vulnerability categories in device configurations using artificial intelligence methods] // Voprosy kiberbezopasnosti [Cybersecurity Issues]. 2024. No 3 (61). P. 33-39.
  10. Bus'ko N.A., Fedorchenko E.V., Kotenko I.V. Avtomaticheskoe ocenivanie eksploitov na osnove metodov glubokogo obucheniya [Automatic exploit evaluation based on deep learning methods] // Ontologiya proektirovaniya [Ontology of design]. 2024. V. 14. No 3 (53). P. 408-420.
  11. Ahmad Z., Khan A. S., Shiang C. W., Abdullah J., Ahmad F. Network intrusion detection system: A systematic study of machine learning and deep learning approaches // Transactions on Emerging Telecommunications Technologies. 2021. V. 32. No 1. P. e4150.
  12. Liu H., Lang B. Machine learning and deep learning methods for intrusion detection systems: A survey // Applied sciences. 2019. V. 9. No 20. P. 4396.
  13. Aktolga I. T., Kuru E. S., Sever Y., Angin P. AI-Driven Container Security Approaches for 5G and Beyond: A Survey // arXiv preprint arXiv:2302.13865. 2023.
  14. Soldani J., Brogi A. Anomaly detection and failure root cause analysis in (micro) service-based cloud applications: A survey // ACM Computing Surveys (CSUR). 2022. V. 55. No 3. P. 1-39.
  15. Samann F. E. F., Abdulazeez A. M., Askar S. Fog Computing Based on Machine Learning: A Review // International Journal of Interactive Mobile Technologies. 2021. V. 15. No 12.
  16. Malhotra R., Bansal A., Kessentini M. A Systematic Literature Review on Maintenance of Software Containers // ACM Computing Surveys. 2024. V. 56. No 8. P. 1-38.
  17. Rahaman M. S., Islam A., Cerny T., Hutton S. Static-Analysis-Based Solutions to Security Challenges in Cloud-Native Systems: Systematic Mapping Study // Sensors. 2023. V. 23. No 4. P. 1755.
  18. Reeves M., Tian D. J., Bianchi A., Celik Z. B. Towards improving container security by preventing runtime escapes // 2021 IEEE Secure Development Conference (SecDev). IEEE. 2021. P. 38-46.
  19. Flauzac O., Mauhourat F., Nolot F. A review of native container security for running applications // Procedia Computer Science. 2020. V. 175. P. 157-164.
  20. Alyas T., Ali S., Khan H. U., Samad A., Alissa K., Saleem M. Container Performance and Vulnerability Management for Container Security Using Docker Engine // Security and Communication Networks. 2022. V. 2022. No 1. P. 6819002.
  21. Hillion J. Void Processes: Minimising privilege by default on Linux. // ACM. 2022. V. 37. No 4. Article 111. P. 1-8.
  22. Zhan D., Tan K., Ye L., Yu H., Liu H. Container introspection: using external management containers to monitor containers in cloud computing // Computers, Materials & Continua. 2021. V. 69. No 3. P. 3783-3794.
  23. Suo K., Zhao Y., Chen W., Rao J. An analysis and empirical study of container networks // IEEE INFOCOM 2018-IEEE Conference on Computer Communications. IEEE. 2018. P. 189-197.
  24. Xiang Y., Deng B., Zhang H., Xu R., Mao M., Wang Y., Qi Z. Bindox: An Efficient and Secure Cross-System IPC Mechanism for Multi-Platform Containers // SEKE. 2023. P. 392-397.
  25. Stan I. M., Rosner D., Ciocîrlan Ş. D. Enforce a global security policy for user access to clustered container systems via user namespace sharing // 2020 19th RoEduNet Conference: Networking in Education and Research (RoEduNet). IEEE. 2020. P. 1-6.
  26. Gao X., Gu Z., Li Z., Jamjoom H., Wang C. Houdini's escape: Breaking the resource rein of linux control groups // Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 2019. P. 1073-1086.
  27. Sudhakar Kumar S. An emerging threat Fileless malware: a survey and research challenges // Cybersecurity. 2020. V. 3. No 1. P. 1.
  28. Yu M., Jiang J., Li G., Lou C., Liu, Y., Liu C., Huang W. Malicious documents detection for business process management based on multi-layer abstract model // Future Generation Computer Systems. 2019. V. 99. P. 517-526.
  29. Dang F., Li Z., Liu Y., Zhai E., Chen Q. A., Xu T., Chen Y., Yang J. Understanding fileless attacks on Linux-based IoT devices with Honeycloud // Proceedings of the 17th Annual International Conference on Mobile Systems, Applications, and Services. 2019. P. 482-493.
  30. Chittooparambil H. J., Shanmugam B., Azam S., Kannoorpatti K., Jonkman M., Samy G. N. A review of ransomware families and detection methods // Recent Trends in Data Science and Soft Computing. Proceedings of the 3rd International Conference of Reliable Information and Communication Technology (IRICT 2018). Springer International Publishing, 2019. P. 588-597.
  31. Kok S., Abdullah A., Jhanjhi N., Supramaniam M. Ransomware, threat and detection techniques: A review // International Journal of Computer Science and Network Security. 2019. V. 19. No 2. P. 136.
  32. Ahmed M. E., Kim H., Camtepe S., Nepal S. Peeler: Profiling kernel-level events to detect ransomware // Computer Security–ESORICS 22: 26th European Symposium on Research in Computer Security. Springer International Publishing, 2021. P. 240-260.
  33. Pastor A., Mozo A., Vakaruk S., Canavese D., López D. R., Regano L., Gómez-Canaval S., Lioy A. Detection of encrypted cryptomining malware connections with machine and deep learning // IEEE Access. 2020. V. 8. P. 158036158055.
  34. Pope J., Raimondo F., Kumar V., McConville R., Piechocki R., Oikonomou G., Pasquier T., Luo B., Howarth D., Mavromatis I., Carnelli P., Sanchez-Mompo A., Spyridopoulos T., Khan A. Dataset: Container Escape Detection for Edge Devices. 2021.
  35. Lee W., Nadim M. Kernel-level rootkits features to train learning models against namespace attacks on containers // 2020 7th IEEE International Conference on Cyber Security and Cloud Computing (CSCloud)/2020 6th IEEE International Conference on Edge Computing and Scalable Cloud (EdgeCom). IEEE. 2020. P. 50-55.
  36. Chan S. Bespoke Sequence of Transformations for an Enhanced Entropic Wavelet Energy Spectrum Discernment for Higher Efficacy Detection of Metamorphic Malware // The Eighth International Conference on Cyber-Technologies and Cyber-Systems (CYBER 2023). 2023. P. 46-52.
  37. Barr-Smith F., Ugarte-Pedrero X., Graziano M., Spolaor R., Martinovic I. Survivalism: Systematic analysis of windows malware living-off-the-land // 2021 IEEE Symposium on Security and Privacy (SP). IEEE. 2021. P. 1557-1574.
  38. Gantikow H., Reich C., Knahl M., Clarke, N. Rule-based security monitoring of containerized environments // Cloud Computing and Services Science. 9th International Conference, CLOSER 2019. Springer International Publishing, 2020. P. 66-86.
  39. Kotenko I., Saenko I., Chechulin A., Vitkova L., Kolomeec M., Zelichenok I., Melnik M., Makrushin D., Petrevich N. Detection of Anomalies and Attacks in Container Systems: An Integrated Approach Based on Black and White Lists // International Conference on Intelligent Information Technologies for Industry. Cham: Springer International Publishing, 2022. P. 107-117.
  40. Wang H., Zhang G., Wang D., Deng J. KubeRM: a distributed rule-based security management system in cloud native environment // International Conference on Cloud Computing, Internet of Things, and Computer Applications (CICA 2022). SPIE. 2022. V. 12303. P. 109-117.

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».