ПОВЕДІНКОВЕ ПРОФІЛЮВАННЯ КОНТЕЙНЕРІВ ДЛЯ ВИЯВЛЕННЯ КІБЕРАТАК НА ОСНОВІ СИСТЕМНИХ ВИКЛИКІВ

Анотація

У статті досліджується можливість виявлення кібератак у контейнеризувати середовищах на основі поведінкового профілювання робочих навантажень. Для збору телеметрії системних викликів використано інструмент Falco з eBPF-движком, що дозволяє фіксувати події виконання процесів, мережеві з’єднання та файлові операції у контейнерах у режимі, наближеному до реального часу. Запропоновано підхід до формування поведінкових профілів контейнерів із використанням часової агрегації подій та rule-based класифікації. Проведено експериментальні дослідження для сценаріїв нормальної роботи сервісу та типових атак, зокрема інтерактивної оболонки, зворотної оболонки та емуляції криптомонета. Оцінку якості виявлення здійснено за метриками Precision та Recall. Отримані результати демонструють принципову придатність підходу, а також виявляють обмеження простих порогових правил, що обґрунтовує необхідність подальших досліджень.