本發明公開了一種基于云邊協同的容器安全管理方法和系統，屬于容器安全技術領域，根據容器類別篩選建模數據，基于規則的分類算法，構建特征規則庫，邊緣節點通過特征規則庫對采用到的系統調用序列進行檢測，以實時獲得容器的安全狀態；特征規則庫包含了安全狀態的規則，因此對于不符合安全狀態規則的系統調用可以判定為異常，可以檢測已知和未知的異常狀態，提高泛化性；在云節點進行訓練，邊緣節點執行檢測分析，解決邊緣節點計算資源有限的問題，實現一次訓練，同種容器處處可用的效果。

技術領域

本發明涉及容器安全技術領域，具體涉及一種基于云邊協同的容器安全管理方法和系統。

背景技術

云邊協同的計算場景中，邊緣節點遠離云中心的管理，被惡意入侵的可能性增加，而且邊緣節點資源受限，更傾向于使用輕量級容器技術，容器共享底層操作系統，隔離性更差，安全威脅更加嚴重。一般來說，容器的攻擊模型主要有三種：①遠程攻擊容器；②容器攻擊主機；③容器攻擊容器。也就是說，攻擊可能發生在容器集群的外部或者內部。

在基于runC的容器模型下，以Docker容器為例，通過監控宿主機進程或資源的常規手段，難以確切知道運行于該宿主機上的各個容器內部運行了的應用，也難以知道是否有某個Docker容器是否已經被入侵，即其內部正在執行一些異常的操作，例如：SQL注入攻擊、執行非法命令、下載和執行惡意代碼、往外傳輸敏感數據等等。

在現有的容器安全管理中，不論是Docker還是Kubernetes默認是通過容器的以下幾個主要特性來預防可能產生的容器安全問題：AppArmor/SELinux：其本質是阻止對容器內某些文件系統路徑的訪問；Seccomp：其本質是過濾了容器對某些系統調用指令的運行，例如，Docker內部默認禁用操作系統300多個系統調用指令中的44個。

但是這些文件系統的過濾和禁止系統調用的方法，存在一定的缺陷性：一方面對正常應用造成了干擾，另一方面入侵應用易繞開過濾或禁用。

發明內容

針對現有技術中存在的上述技術問題，本發明提供一種基于云邊協同的容器安全管理方法和系統，通過構建系統調用規則庫對容器的系統調用進行監控，以實時檢測容器的安全性。

本發明公開了一種基于云邊協同的容器安全管理方法，所述方法包括：獲取容器的系統調用數據，所述系統調用數據包括系統調用序列；根據容器的類別，從所述系統調用數據中篩選出建模數據；根據所述容器的安全狀態和建模數據構建訓練集；根據基于規則的分類算法，云節點利用所述訓練集進行訓練，得到特征規則庫；將所述特征規則庫下發到邊緣節點；邊緣節點利用所述特征規則庫對采集到的系統調用數據進行分析，獲得容器的安全狀態。

優選的，建立正常容器分類規則的方法包括：

從建模數據中篩選出正常容器的系統調用序列，并建立正常建模數據集；

基于所述分類算法，利用所述正常建模數據集訓練，得到正常特征規則庫；

邊緣節點利用正常特征庫對采集到的系統調用數據進行分析，獲得容器的安全狀態。

優選的，所述分類算法包括C4.5算法或RIPPER算法。

優選的，本發明的方法還包括根據域值判斷容器安全狀態的方法；

獲取一定時間內系統調用數據的分析結果，安全狀態為異常的占比超過域值時，判斷容器的安全狀態為異常。

優選的，本發明的方法還包括生成告警的方法：

判斷邊緣節點中的容器安全狀態是否異常；

若是，生成告警信息，并將所述告警信息發送給云節點；

所述云節點根據告警信息，執行相應的安全措施。

優選的，建模數據處理的方法包括：