ПРИМЕНЕНИЕ ГИБРИДНОЙ НЕЙРОННОЙ СЕТИ AE-LSTM ДЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ В КОНТЕЙНЕРНЫХ СИСТЕМАХ
Аннотация
Популярность контейнерных систем привлекает внимание многих исследователей в области информационных технологий. Технология контейнеризации позволяет сократить расходы вычис- лительных ресурсов при разворачивании и поддержке сложных инфраструктурных решений. Обеспечение безопасности контейнерных систем и контейнеризации в целом, а также примене- ние злоумышленниками методов реализации "умных" атак на основе искусственного интеллекта, является серьезной проблемой на пути безопасного и устойчивого функционирования контейнер- ных систем. В статье предлагается подход к обнаружению не только ранее неизвестных отдель- ных аномальных процессов, но и аномальных последовательностей процессов в контейнерных сис- темах. Предлагаемый подход и его реализация на основе платформы Docker основываются на трассировке системных вызовов, построении гистограмм выполняемых процессов и использова- нии нейронной сети AE-LSTM. Процесс построения гистограмм базируется на учете количества выполненных системных вызовов для каждого отдельного процесса. Это решение предоставляет возможность не только идентифицировать любой процесс в системе, но и эффективно обнару- живать аномальные последовательности процессов с высокой степенью точности. Созданные последовательности используются в качестве входных данных для нейронной сети. После завер- шения процесса обучения, нейронная сеть приобретает способность обнаруживать аномальные последовательности, сравнивая заданный порог ошибки реконструкции с фактическим уровнем ошибки входного вектора данных. Когда нейронная сеть сталкивается с новым входным векто- ром данных, она вычисляет уровень ошибки реконструкции — разницу между ожидаемым и фак- тическим значением. Если эта ошибка превышает заранее установленный порог, система сигна- лизирует о наличии аномалии в последовательности. Эксперименты показывают, что предло- женный подход демонстрирует достаточно высокую точность обнаружения аномальных про- цессов при низком уровне ложноположительных результатов обнаружения. Такие результаты подтверждают эффективность предложенного подхода. Затраты вычислительных ресурсов на обучение модели нейронной сети находятся на достаточно низком уровне. Это позволяет исполь- зовать менее мощные аппаратные средства без значительных потерь в производительности. Разработанный прототип может быть обучен и внедрен в новую инфраструктуру в достаточно сжатые сроки.
