ИНТЕЛЛЕКТУАЛЬНОЕ ОБНАРУЖЕНИЕ АНОМАЛИЙ В КОНТЕЙНЕРИЗОВАННЫХ ПРИЛОЖЕНИЯХ: МЕТОДЫ, АРХИТЕКТУРА И ИНСТРУМЕНТЫ
Аннотация
Современные информационные системы всё чаще развёртываются в контейнерах Docker и управляются оркестратором Kubernetes. Подобная инфраструктура отличается высокой динамичностью: контейнеры создаются и завершаются за секунды, микросервисы постоянно масштабируются, а значительная доля сетевого обмена происходит внутри кластера. Эти свойства затрудняют применение классических систем обнаружения вторжений, основанных на фиксированных сигнатурах и статических правилах. Цель настоящего обзора – проанализировать научные подходы и практические инструменты, использующие интеллектуальные методы для обнаружения аномального поведения контейнеризованных приложений. В статье описана типовая многоуровневая архитектура решения. На базовом уровне собираются метрики ресурсов, журналы событий и события ядра с использованием систем Prometheus, cAdvisor и eBPF-трассировки. Данные нормализуются, агрегируются во временные ряды и преобразуются в векторы признаков. В качестве ядра обнаружения рассматриваются алгоритмы машинного обучения без учителя (Isolation Forest, Local Outlier Factor), обучения на норме (One-Class SVM) и глубокого обучения (автоэнкодеры, сети LSTM). Приведены результаты лабораторных испытаний: для сценария скрытого майнинга криптовалюты в кластере точность обнаружения достигала 99 %, а среднее время реагирования не превышало пяти секунд. Отдельно рассмотрены механизмы обратной связи и применение объяснимого искусственного интеллекта (XAI) для интерпретации причин срабатываний. Практическая часть обзора включает сравнение открытых и коммерческих платформ — Falco, Tracee, Sysdig Secure, Prisma Cloud, Calico IDS. Показано, как эти продукты сочетают сигнатурные и поведенческие методы, а также какова их вычислительная нагрузка в кластерах из сотен узлов. Сделан вывод, что наилучшие результаты достигаются при комбинировании eBPF-мониторинга с самоадаптивными ансамблями моделей и модулем объяснений. Такие решения позволяют выявлять как известные, так и новые типы атак, сокращая время обнаружения инцидента с десятков минут до нескольких секунд и тем самым повышая общую надежность облачных сервисов.
Ключевые слова
Полный текст:
PDFЛитература
1. Anemogiannis V., Apostu G.-A., Delcade I. Enhancing Kubernetes resilience through anomaly detection and prediction. arXiv preprint. 2024. arXiv:2503.14114. DOI: https://doi.org/10.48550/arXiv.2503.14114.
2. Haque M., Mirzoev T., Abdi H. Detecting cryptojacking containers using eBPF-based security runtime and machine learning. Electronics. 2023. 14 (6): 1208. DOI: https://doi.org/10.3390/electronics14061208.
3. Aly A., Hamad A.M., Al-Qutt M., Fayez M. Real-time multi-class threat detection and adaptive deception in Kubernetes environments. Scientific Reports. 2025. 15: 91606. DOI: https://doi.org/10.1038/s41598-025-91606-8.
4. Tekiner E., Acar A., Uluagac A.S., Kirda E., Selcuk A.A. SoK: Cryptojacking malware. Proc. IEEE EuroS&P 2021. Vienna, 6-10 Sep 2021, p. 120–139. DOI: https://doi.org/10.1109/EuroSP51992.2021.00016.
5. Guduru S. Automated vulnerability scanning & runtime protection for Docker/Kubernetes: integrating Trivy, Falco, and OPA. Journal of Scientific and Engineering Research. 2019. 6 (2): 216–220. DOI: https://doi.org/10.5281/zenodo.15234550.
6. He X., Zhao K., Chu X. AutoML: a survey of the state-of-the-art. Knowledge-Based Systems. 2021. 212: 106622. DOI: https://doi.org/10.1016/j.knosys.2020.106622.
7. Pimentel, M. A., Clifton, D. A., Clifton, L., & Tarassenko, L. (2014). A review of novelty detection. Signal Processing, 99, 215–249. DOI: https://doi.org/10.1016/j.sigpro.2013.12.026.
8. Theodoropoulos T., Rosa L., Benzaid C. et al. Security in cloud-native services: a survey. Journal of Cybersecurity & Privacy. 2023. 3 (4): 758–793. DOI: https://doi.org/10.3390/jcp3040034.
9. Agyemang M., Barker K., Alhajj R. A comprehensive survey of numeric and symbolic outlier mining techniques // Intelligent Data Analysis. 2006. 10 (6): 521–538. DOI: https://doi.org/10.3233/IDA-2006-10606.
10. Boukerche A., Zheng L., Alfandi O. Outlier detection: methods, models, and classification. ACM Computing Surveys. 2020. 53 (3): 50. DOI: https://doi.org/10.1145/3397191.
11. Chalapathy R., Chawla S. Deep learning for anomaly detection: a survey. arXiv preprint. 2019. arXiv:1901.03407.
12. Cao S., Dai Y., Li Z. A demonstration of AutoOD: a self-tuning anomaly detection system. Proc. VLDB Endowment. 2022. 15: 3706–3719. URL: https://www.vldb.org/pvldb/vol15/p3706-cao.pdf (дата обращения: 22.06.2025).
13. Sejr J.H., Schneider-Kamp A. Explainable outlier detection: what, for whom and why? Machine Learning with Applications. 2021. 6: 100172. DOI: https://doi.org/10.1016/j.mlwa.2021.100172.
14. Aggarwal C.C. Outlier analysis in: Data Mining. Springer, 2015. P. 237-263. DOI: https://doi.org/10.1007/978-3-319-53817-4_7.
15. Chandola V., Banerjee A., Kumar V. Anomaly detection: a survey. ACM Computing Surveys. 2009. 41 (3): 15. DOI: https://doi.org/10.1145/1541880.1541882.
16. Markou M., Singh S. Novelty detection: a review – part 1: statistical approaches. Signal Processing. 2003. 83 (12): 2481–2497. DOI: https://doi.org/10.1016/j.sigpro.2003.07.018.
17. Markou M., Singh S. Novelty detection: a review – part 2: neural network approaches. Signal Processing. 2003. 83 (12): 2499–2521. DOI: https://doi.org/10.1016/j.sigpro.2003.07.019.
18. Pang G., Shen C., Cao L., Van den Hengel A. Deep learning for anomaly detection: a review. ACM Computing Surveys. 2021. 54 (2): 38. DOI: https://doi.org/10.1145/3439950.
19. Patcha A., Park J.-M. An overview of anomaly detection techniques: existing solutions and latest technological trends. Computer Networks. 2007. 51 (12): 3448–3470. DOI: https://doi.org/10.1016/j.comnet.2006.11.001.
20. Zimek A., Schubert E., Kriegel H.-P. A survey on unsupervised outlier detection in high-dimensional numerical data. Statistical Analysis and Data Mining. 2012. 5 (5): 363–387. DOI: https://doi.org/10.1002/sam.11161.
21. Eldjou A., Amoura M.E., Soltane M. et al. Enhancing container runtime security: a case study in threat detection. in: Proc. TACC 2023. Aachen: CEUR-WS. 2023, p. 55–69. URL: http://ceur-ws.org/Vol-3611/paper6.pdf (дата обращения: 22.06.2025).
22. Baluta A., Koutsiamanis R., Kounev S. et al. Disambiguating performance anomalies from workload changes in cloud-native applications. Proc. ACM/SPEC ICPE. 2024, p. 1–12. DOI: https://doi.org/10.1145/3629526.3645046.
23. Feurer M., Klein A., Eggensperger K. et al. Efficient and robust automated machine learning. Advances in Neural Information Processing Systems. 2015. 28: 2755-2763. URL: https://proceedings.neurips.cc/paper/2015/file/11d0e6287202fced83f79975ec59a3a6-Paper.pdf (дата обращения: 22.06.2025).
24. Li Z., Zhu Y., van Leeuwen M. A survey on explainable anomaly detection. arXiv preprint. 2022. arXiv:2210.06959. DOI: https://doi.org/10.48550/arXiv.2210.06959.
25. Zeng Q., Kavousi M., Luo Y. et al. Full-stack vulnerability analysis of the cloud-native platform. Computers & Security. 2023. 129: 103173. DOI: https://doi.org/10.1016/j.cose.2023.103173.
26. Arif T., Jo B., Park J.-H. A comprehensive survey of privacy-enhancing and trust-centric cloud-native security techniques against cyber threats. Sensors. 2025. 25 (8): 2350. DOI: https://doi.org/10.3390/s25082350.
27. Mart O., Negru C., Pop F., Castiglione A. Observability in Kubernetes cluster: automatic anomalies detection using Prometheus. Proc. IEEE HPCC/SmartCity/DSS. 2020, p. 565–570. DOI: https://doi.org/10.1109/HPCC-SmartCity-DSS50907.2020.00071.
28. Park H., El Azzaoui A., Park J.-H. AIDS-based cyber-threat detection framework for secure cloud-native microservices. Electronics. 2025. 14 (2): 229. DOI: https://doi.org/10.3390/electronics14020229.
29. Doshi-Velez F., Kim B. Towards a rigorous science of interpretable machine learning. arXiv preprint. 2017. arXiv:1702.08608. DOI: https://doi.org/10.48550/arXiv.1702.08608.
30. Chippagiri S. Optimizing Kubernetes network performance: a study of container network interfaces and system-tuning profiles. European Journal of Theoretical and Applied Sciences. 2024. 2 (6): 651–668. DOI: https://doi.org/10.59324/ejtas.2024.2(6).58.
31. Sadiq A., Syed H.J., Ansari A.A. et al. Detection of denial-of-service attack in cloud-based Kubernetes using eBPF. Applied Sciences. 2023. 13 (8): 4700. DOI: https://doi.org/10.3390/app13084700.
32. Karn R.R., Kudva P., Huang H., Suneja S., Elfadel I.M. Cryptomining detection in container clouds using system calls and explainable machine learning. IEEE Transactions on Parallel and Distributed Systems. 2021. 32 (3): 674–691. DOI: https://doi.org/10.1109/TPDS.2020.3029088.
33. Chen K., Zhao Y., Guo J. et al. A container escape detection method based on a dependency graph. Electronics. 2024. 13 (23): 4773. DOI: https://doi.org/10.3390/electronics13234773.
34. Morić Z., Dakić V., Čavala T. Security hardening and compliance assessment of Kubernetes control plane and workloads. Journal of Cybersecurity & Privacy. 2025. 5 (2): 30. DOI: https://doi.org/10.3390/jcp5020030.
35. Iacovazzi A., Raza S. Ensemble of random and isolation forests for graph-based intrusion detection in containers. Proc. IEEE CSR 2022. Rhodes. 2022, p. 30–37. DOI: https://doi.org/10.1109/CSR54599.2022.9850360.
36. Du Q., Xie T., He Y. Anomaly detection and diagnosis for container-based microservices with performance monitoring. EasyChair Preprints. 2018, no. 468. DOI: https://doi.org/10.29007/43km.
37. Zhang X., Niyaz Q., Jahan F., Sun W. Early detection of host-based intrusions in Linux environment. Proc. IEEE EIT 2020. Chicago. 2020, p. 475–479. DOI: https://doi.org/10.1109/EIT48999.2020.9208264.
38. Barredo Arrieta A., Díaz-Rodríguez N., Del Ser J. et al. Explainable artificial intelligence (XAI): concepts, taxonomies, opportunities and challenges toward responsible AI. Information Fusion. 2020. 58: 82–115. DOI: https://doi.org/10.1016/j.inffus.2019.12.012.
39. Murdoch W.J., Singh C., Kumbier K., Abbasi-Asl R., Yu B. Definitions, methods, and applications in interpretable machine learning. PNAS. 2019. 116 (44): 22071–22080. DOI: https://doi.org/10.1073/pnas.1900654116.
40. Kosińska J., Tobiasz M. Detection of cluster anomalies with ML techniques. IEEE Access. 2022. 10: 110742–110753. DOI: https://doi.org/10.1109/ACCESS.2022.3216080.
41. Wang X., Lu X. A host-based anomaly-detection framework using XGBoost and LSTM for IoT devices. Wireless Communications and Mobile Computing. 2020. 2020: 8838571. DOI: https://doi.org/10.1155/2020/8838571.
42. Zheng T., Tang R., Chen X., Shen C. KubeFuzzer: automating RESTful API vulnerability detection in Kubernetes. Computers, Materials & Continua. 2024. 81 (1): 1595–1612. DOI: https://doi.org/10.32604/cmc.2024.055180.
43. Hoang D.K., Nguyen D.T., Vu D.L. IoT malware classification based on system calls. Proc. RIVF 2020. Ho Chi Minh City. 2020, p. 1–6. DOI: https://doi.org/10.1109/RIVF50885.2020.9307089.
44. Sekar A., Kulkarni S.G., Kuri J. Leveraging eBPF and AI for ransomware nose out. arXiv preprint. 2024. arXiv:2406.14020. DOI: https://doi.org/10.48550/arXiv.2406.14020.
45. Komosny D., Pechoucek M. et al. An anomaly-based detection system for monitoring Kubernetes API. IEEE Latin America Transactions. 2022. 20 (8): 1382–1389. DOI: https://doi.org/10.1109/TLA.2022.9895042.
46. Tien C.-W., Huang T.-Y., Tien C.-W. et al. KubAnomaly: anomaly detection for the Docker orchestration platform with neural network approaches. Engineering Reports. 2019. 1 (5): e12080. DOI: https://doi.org/10.1002/eng2.12080.
47. Lanka P., Gupta K., Varol C. Intelligent threat detection–AI-driven analysis of honeypot data to counter cyber threats. Electronics. 2024. 13 (13): 2465. DOI: https://doi.org/10.3390/electronics13132465.
48. Subba B., Biswas S., Karmakar S. Host-based intrusion detection system using frequency analysis of n-gram terms. Proc. TENCON 2017. Penang. 2017, p. 2006–2011. DOI: https://doi.org/10.1109/TENCON.2017.8228191.
49. Cai J., Zeng H., Liu F., Chen J. Intelligent dynamic multi-dimensional heterogeneous resource scheduling optimisation strategy based on Kubernetes. Mathematics. 2025. 13 (8): 1342. DOI: https://doi.org/10.3390/math13081342.
50. Ye J., Yan M., Wu S. et al. U-SCAD: an unsupervised method of system call-driven anomaly detection for containerized edge clouds. Future Internet. 2025. 17 (5): 218. DOI: https://doi.org/10.3390/fi17050218.
DOI: http://dx.doi.org/10.26583/bit.2025.4.11
Ссылки
- На текущий момент ссылки отсутствуют.
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.