МЕТОД ВИЯВЛЕННЯ АНОМАЛІЙ У KUBERNETES-КЛАСТЕРАХ З ВИКОРИСТАННЯМ LSTM AUTOENCODE

Анотація

Об’єктом дослідження є інформаційна технологія виявлення аномальної та потенційно шкідливої активності у контейнеризованих середовищах на базі платформи Kubernetes. Предметом дослідження є методи аналізу багатовимірних телеметричних даних Kubernetes-кластера та їх використання у поєднанні з алгоритмами глибокого навчання для побудови інтелектуальних систем виявлення вторгнень. У роботі розглядається задача формування комплексного датасету, що поєднує мережеві характеристики трафіку, метрики контейнерів та показники стану Kubernetes-кластера. Особливу увагу приділено попередній обробці даних, зокрема імпутації пропущених значень, стандартизації простору ознак та формуванню часових послідовностей, необхідних для моделювання динамічної поведінки системи. З урахуванням дисбалансу між кількістю прикладів нормальної роботи та атакувальних сценаріїв, а також обмеженості множини відомих типів атак, обґрунтовано доцільність застосування підходу виявлення аномалій на основі навчання виключно на даних нормальної поведінки. Для розв’язання поставленої задачі запропоновано використання LSTM Autoencoder, який дозволяє моделювати часові залежності телеметричних даних та виявляти відхилення від вивченої нормальної поведінки шляхом аналізу помилки реконструкції. Запропоновано формальний підхід до визначення порогу аномальності на основі оптимізації F1-міри, що забезпечує збалансоване співвідношення між повнотою виявлення атак та кількістю хибних спрацювань. У ході експериментального дослідження проведено оцінювання ефективності запропонованого підходу з використанням стандартних метрик якості класифікації, зокрема precision, recall та F1-score. Отримані результати свідчать про здатність моделі виявляти до 95% атакувальних сценаріїв за умов відсутності попередньої інформації про їх типи, що підтверджує придатність підходу для виявлення zero-day атак. Практична значущість роботи полягає у можливості застосування запропонованого методу для побудови стійких та адаптивних систем безпеки Kubernetes-кластерів, орієнтованих на аналіз поведінкових аномалій у реальному часі.