Обнаружение атак и аномалий в контейнерных системах: подходы на основе сигнатур и правил

Обложка

Цитировать

Полный текст

Аннотация

В статье рассматривается одна из ключевых проблем контейнерных систем, связанная с обнаружением атак и аномалий. Описаны механизмы изоляции контейнерных систем и атаки на такие системы. Представлена классификация подходов к обнаружению атак и аномалий. Выполняется систематический анализ основных подходов к обнаружению атак и аномалий в контейнерных системах, а также методов их реализации. Детально исследуются традиционные подходы на основе сигнатур и правил, их особенности, преимущества и недостатки.

Об авторах

Игорь Витальевич Котенко

Санкт-Петербургский федеральный исследовательский центр Российской академии наук

Автор, ответственный за переписку.
Email: ivkote@comsec.spb.ru

доктор технических наук, профессор, заслуженный деятель науки Российской Федерации, главный научный сотрудник, руководитель лаборатории проблем компьютерной безопасности

Россия, Санкт-Петербург

Максим Владимирович Мельник

Санкт-Петербургский федеральный исследовательский центр Российской академии наук

Email: mkmxvh@gmail.com

аспирант

Россия, Санкт-Петербург

Список литературы

  1. Lee H., Kwon S., Lee J. H. Experimental analysis of security attacks for Docker Container Communications // Electronics. V. 12. No 4. P. 940.
  2. Jain V., Singh B., Khenwar M., Sharm M. Static vulnerability analysis of docker images // IOP Conference Series: Materials Science and Engineering. IOP Publishing. 2021. V. 1131. No 1. P. 012018.
  3. Nakata R., Otsuka A. Evaluation of vulnerability reproducibility in container-based Cyber Range // arXiv preprint arXiv:2010.16024. 2020.
  4. Котенко И.В., Паращук И.Б. Особенности оценки вредоносной активности в инфраструктуре Умного города на основе информационного гранулирования и нечетко-гранулярных вычислений // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. 2024. № 3. С. 56-64.
  5. Bhardwaj A. Sophisticated-Sinister-Stealth Attacks // Contemporary Challenges for Cyber Security and Data Privacy. IGI Global. 2023. P. 17-30.
  6. Котенко И.В., Хмыров С.С. Анализ моделей и методик, используемых для атрибуции нарушителей кибербезопасности при реализации целевых атак // Вопросы кибербезопасности. 2022. № 4 (50). С. 52-79.
  7. Котенко И.В. Искусственный интеллект для кибербезопасности: новая стадия противоборства в киберпространстве // Искусственный интеллект и принятие решений, 2024. № 1. С. 3-19.
  8. Котенко И.В., Дун Х. Обнаружение атак в Интернете вещей на основе многозадачного обучения и гибридных методов сэмплирования // Вопросы кибербезопасности. 2024. № 2 (60). С. 10-21.
  9. Левшун Д.С., Веснин Д.В., Котенко И.В. Прогнозирование категорий уязвимостей в конфигурациях устройств с помощью методов искусственного интеллекта // Вопросы кибербезопасности. 2024. № 3 (61). С. 33-39.
  10. Бусько Н.А., Федорченко Е.В., Котенко И.В. Автоматическое оценивание эксплоитов на основе методов глубокого обучения // Онтология проектирования. 2024. Т. 14. № 3 (53). С. 408-420.
  11. Ahmad Z., Khan A. S., Shiang C. W., Abdullah J., Ahmad F. Network intrusion detection system: A systematic study of machine learning and deep learning approaches // Transactions on Emerging Telecommunications Technologies. 2021. V. 32. No 1. P. e4150.
  12. Liu H., Lang B. Machine learning and deep learning methods for intrusion detection systems: A survey // Applied sciences. 2019. V. 9. No 20. P. 4396.
  13. Aktolga I. T., Kuru E. S., Sever Y., Angin P. AI-Driven Container Security Approaches for 5G and Beyond: A Survey // arXiv preprint arXiv:2302.13865. 2023.
  14. Soldani J., Brogi A. Anomaly detection and failure root cause analysis in (micro) service-based cloud applications: A survey // ACM Computing Surveys (CSUR). 2022. V. 55. No 3. P. 1-39.
  15. Samann F. E. F., Abdulazeez A. M., Askar S. Fog Computing Based on Machine Learning: A Review // International Journal of Interactive Mobile Technologies. 2021. V. 15. No 12.
  16. Malhotra R., Bansal A., Kessentini M. A Systematic Literature Review on Maintenance of Software Containers // ACM Computing Surveys. 2024. V. 56. No 8. P. 1-38.
  17. Rahaman M. S., Islam A., Cerny T., Hutton S. Static-Analysis-Based Solutions to Security Challenges in Cloud-Native Systems: Systematic Mapping Study // Sensors. 2023. V. 23. No 4. P. 1755.
  18. Reeves M., Tian D. J., Bianchi A., Celik Z. B. Towards improving container security by preventing runtime escapes // 2021 IEEE Secure Development Conference (SecDev). IEEE. 2021. P. 38-46.
  19. Flauzac O., Mauhourat F., Nolot F. A review of native container security for running applications // Procedia Computer Science. 2020. V. 175. P. 157-164.
  20. Alyas T., Ali S., Khan H. U., Samad A., Alissa K., Saleem M. Container Performance and Vulnerability Management for Container Security Using Docker Engine // Security and Communication Networks. 2022. V. 2022. No 1. P. 6819002.
  21. Hillion J. Void Processes: Minimising privilege by default on Linux. // ACM. 2022. V. 37. No 4. Article 111. P. 1-8.
  22. Zhan D., Tan K., Ye L., Yu H., Liu H. Container introspection: using external management containers to monitor containers in cloud computing // Computers, Materials & Continua. 2021. V. 69. No 3. P. 3783-3794.
  23. Suo K., Zhao Y., Chen W., Rao J. An analysis and empirical study of container networks // IEEE INFOCOM 2018-IEEE Conference on Computer Communications. IEEE. 2018. P. 189-197.
  24. Xiang Y., Deng B., Zhang H., Xu R., Mao M., Wang Y., Qi Z. Bindox: An Efficient and Secure Cross-System IPC Mechanism for Multi-Platform Containers // SEKE. 2023. P. 392-397.
  25. Stan I. M., Rosner D., Ciocîrlan Ş. D. Enforce a global security policy for user access to clustered container systems via user namespace sharing // 2020 19th RoEduNet Conference: Networking in Education and Research (RoEduNet). IEEE. 2020. P. 1-6.
  26. Gao X., Gu Z., Li Z., Jamjoom H., Wang C. Houdini's escape: Breaking the resource rein of linux control groups // Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 2019. P. 1073-1086.
  27. Sudhakar Kumar S. An emerging threat Fileless malware: a survey and research challenges // Cybersecurity. 2020. V. 3. No 1. P. 1.
  28. Yu M., Jiang J., Li G., Lou C., Liu, Y., Liu C., Huang W. Malicious documents detection for business process management based on multi-layer abstract model // Future Generation Computer Systems. 2019. V. 99. P. 517-526.
  29. Dang F., Li Z., Liu Y., Zhai E., Chen Q. A., Xu T., Chen Y., Yang J. Understanding fileless attacks on Linux-based IoT devices with Honeycloud // Proceedings of the 17th Annual International Conference on Mobile Systems, Applications, and Services. 2019. P. 482-493.
  30. Chittooparambil H. J., Shanmugam B., Azam S., Kannoorpatti K., Jonkman M., Samy G. N. A review of ransomware families and detection methods // Recent Trends in Data Science and Soft Computing. Proceedings of the 3rd International Conference of Reliable Information and Communication Technology (IRICT 2018). Springer International Publishing, 2019. P. 588-597.
  31. Kok S., Abdullah A., Jhanjhi N., Supramaniam M. Ransomware, threat and detection techniques: A review // International Journal of Computer Science and Network Security. 2019. V. 19. No 2. P. 136.
  32. Ahmed M. E., Kim H., Camtepe S., Nepal S. Peeler: Profiling kernel-level events to detect ransomware // Computer Security–ESORICS 22: 26th European Symposium on Research in Computer Security. Springer International Publishing, 2021. P. 240-260.
  33. Pastor A., Mozo A., Vakaruk S., Canavese D., López D. R., Regano L., Gómez-Canaval S., Lioy A. Detection of encrypted cryptomining malware connections with machine and deep learning // IEEE Access. 2020. V. 8. P. 158036-158055.
  34. Pope J., Raimondo F., Kumar V., McConville R., Piechocki R., Oikonomou G., Pasquier T., Luo B., Howarth D., Mavromatis I., Carnelli P., Sanchez-Mompo A., Spyridopoulos T., Khan A. Dataset: Container Escape Detection for Edge Devices. 2021.
  35. Lee W., Nadim M. Kernel-level rootkits features to train learning models against namespace attacks on containers // 2020 7th IEEE International Conference on Cyber Security and Cloud Computing (CSCloud)/2020 6th IEEE International Conference on Edge Computing and Scalable Cloud (EdgeCom). IEEE. 2020. P. 50-55.
  36. Chan S. Bespoke Sequence of Transformations for an Enhanced Entropic Wavelet Energy Spectrum Discernment for Higher Efficacy Detection of Metamorphic Malware // The Eighth International Conference on Cyber-Technologies and Cyber-Systems (CYBER 2023). 2023. P. 46-52.
  37. Barr-Smith F., Ugarte-Pedrero X., Graziano M., Spolaor R., Martinovic I. Survivalism: Systematic analysis of windows malware living-off-the-land // 2021 IEEE Symposium on Security and Privacy (SP). IEEE. 2021. P. 1557-1574.
  38. Gantikow H., Reich C., Knahl M., Clarke, N. Rule-based security monitoring of containerized environments // Cloud Computing and Services Science. 9th International Conference, CLOSER 2019. Springer International Publishing, 2020. P. 66-86.
  39. Kotenko I., Saenko I., Chechulin A., Vitkova L., Kolomeec M., Zelichenok I., Melnik M., Makrushin D., Petrevich N. Detection of Anomalies and Attacks in Container Systems: An Integrated Approach Based on Black and White Lists // International Conference on Intelligent Information Technologies for Industry. Cham: Springer International Publishing, 2022. P. 107-117.
  40. Wang H., Zhang G., Wang D., Deng J. KubeRM: a distributed rule-based security management system in cloud native environment // International Conference on Cloud Computing, Internet of Things, and Computer Applications (CICA 2022). SPIE. 2022. V. 12303. P. 109-117.

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».