Повышение безопасности Kubernetes с использованием машинного обучения: проактивный подход к обнаружению аномалий

Введение. Kubernetes — ключевая платформа для масштабируемого и эффективного развертывания микросервисов. С увеличением масштабируемости возрастает сложность выявления и своевременного обнаружения специфических типов атак в динамичных средах Kubernetes.

Метод. В работе предложен подход для повышения безопасности Kubernetes, позволяющий детектировать атаки типа «отказ в обслуживании» (Denial of Service, DoS), основанный на использовании методов машинного обучения. Подход базируется на данных, полученных от пользовательского агента мониторинга, осуществляющего сбор телеметрической информации из различных источников, включая реальные рабочие нагрузки, сценарии атак, имитацию взлома и перегрузку ресурсов в контейнерах и подах. Полученные данные размечаются и обрабатываются, включая нормализацию и временной анализ для создания полноценного набора данных.

Основные результаты. В ходе экспериментов протестированы различные классификаторы машинного обучения. Наиболее высокие показатели качества получены с использованием алгоритмов Random Forest и AdaBoost, дающие макро F1-оценки 0,9990 ± 0,0006 и 0,9990 ± 0,0003 соответственно. Разработанный подход позволяет эффективно отличать перегрузки ресурсов, вызванные атаками от естественных перегрузок, и обеспечивает точное выявление DoS-атак. Предложенная модель машинного обучения демонстрирует высокую точность в обнаружении инцидентов безопасности, существенно снижая количество ложных срабатываний.

Обсуждение. Полученные результаты показывают, что модели машинного обучения могут стать основой для создания проактивной системы безопасности Kubernetes, которая обеспечит надежную защиту от специфических векторов атак, сохраняя при этом стабильность системы. Полученные результаты могут быть полезны исследователям и специалистам в области кибербезопасности приложения Kubernetes.

1. Nobre J., Pires E.J., Reis A. Anomaly detection in microservice-based systems // Applied Sciences. 2023. V. 13. N 13. P. 7891. https://doi.org/10.3390/app13137891

2. De Lauretis L. From monolithic architecture to microservices architecture // Proc. of the 2019 IEEE International Symposium on Software Reliability Engineering Workshops (ISSREW). 2019. P. 93– 96. https://doi.org/10.1109/issrew.2019.00050

3. Darwesh G., Hammoud J., Vorobeva A.A. A novel approach to feature collection for anomaly detection in Kubernetes environment and agent for metrics collection from Kubernetes nodes // Научно-технический вестник информационных технологий механики и оптики. 2023. Т. 23. № 3. С. 538–546. https://doi.org/10.17586/2226-1494-2023-23-3-538-546

4. Ghadeer D., Jaafar H., Vorobeva A.A. Security in kubernetes: best practices and security analysis // Вестник УрФО. Безопасность в информационной сфере. 2022. № 2(44). С. 63–69.

5. Jacob S., Qiao Y., Ye Y., Lee B. Anomalous distributed traffic: Detecting cyber security attacks amongst microservices using graph convolutional networks // Computers & Security. 2022. V. 118. P. 102728. https://doi.org/10.1016/j.cose.2022.102728

6. Peralta-Garcia E., Quevedo-Monsalbe J., Tuesta-Monteza V., ArcilaDiaz J. Detecting structured query language injections in web microservices using machine learning // Informatics. 2024. V. 11. N 2. P. 15. https://doi.org/10.3390/informatics11020015

7. Vinayakumar R., Alazab M., Soman K.P., Poornachandran P., AlNemrat A., Venkatraman S. Deep learning approach for intelligent intrusion detection system // IEEE Access. 2019. V. 7. P. 41525– 41550. https://doi.org/10.1109/ACCESS.2019.2895334

8. Zhang L., Cushing R., de Laat C., Grosso P. A real-time intrusion detection system based on OC-SVM for containerized applications // Proc. of the 2021 IEEE 24th International Conference on Computational Science and Engineering (CSE). 2021. P. 138–145. https://doi.org/10.1109/cse53436.2021.00029

9. Raj P., Vanga S., Chaudhary A. Cloud-Native Computing: How to Design, Develop, and Secure Microservices and Event-Driven Applications. John Wiley & Sons, 2022. 352 p.

10. Torkura K.A., Sukmana M.I.H., Meinel C. Integrating continuous security assessments in microservices and cloud native applications // Proc. of the 10th International Conference on Utility and Cloud Computing, (UCC’17). 2017. P. 171–180. https://doi.org/10.1145/3147213.3147229

11. Abed A.S., Clancy C., Levy D.S. Intrusion detection system for applications using linux containers // Lecture Notes in Computer Science. 2015. V. 9331. P. 123–135. https://doi.org/10.1007/978-3-319-24858-5_8

12. Zou Z., Xie Y., Huang K., Xu G., Feng D., Long D. A docker container anomaly monitoring system based on optimized isolation forest // IEEE Transactions on Cloud Computing. 2022. V. 10. N 1. P. 134–145. https://doi.org/10.1109/tcc.2019.2935724

13. Srinivasan S., Kumar A., Mahajan M., Sitaram D., Gupta S. Probabilistic real-time intrusion detection system for docker containers // Communications in Computer and Information Science. 2019. V. 969. P. 336–347. https://doi.org/10.1007/978-981-13-5826-5_26

14. Cavalcanti M., Inacio P., Freire M. Performance evaluation of container-level anomaly-based intrusion detection systems for multitenant applications using machine learning algorithms // Proc. of the 16th International Conference on Availability, Reliability and Security (ARES’21). 2021. P. 1–9. https://doi.org/10.1145/3465481.3470066

15. Flora J., Gonçalves P., Antunes N. Using attack injection to evaluate intrusion detection effectiveness in container-based systems // Proc. of the IEEE 25th Pacific Rim International Symposium on Dependable Computing (PRDC). 2020. P. 60–69. https://doi.org/10.1109/prdc50213.2020.00017

16. Tunde-Onadele O., He J., Dai T., Gu X. A study on container vulnerability exploit detection // Proc. of the IEEE International Conference on Cloud Engineering (IC2E). 2019. P. 121–127. https://doi.org/10.1109/ic2e.2019.00026

17. Lin Y., Tunde-Onadele O., Gu X. CDL: Classified distributed learning for detecting security attacks in containerized applications // Proc. of the 36th Annual Computer Security Applications Conference (ACSAC’20). 2020. P. 179–188. https://doi.org/10.1145/3427228.3427236

18. Huang L., Ma D., Li S., Zhang X., Wang H. Text level graph neural network for text classification // Proc. of the 2019 Conference on Empirical Methods in Natural Language Processing and the 9th International Joint Conference on Natural Language Processing (EMNLP-IJCNLP). 2019. P. 3444–3450. https://doi.org/10.18653/v1/d19-1345

19. Haq M.S., Nguyen T.D., Tosun A.S., Vollmer F., Korkmaz T., Sadeghi A.-R. SoK: A comprehensive analysis and evaluation of docker container attack and defense mechanisms // Proc. of the IEEE Symposium on Security and Privacy (SP). 2024. P. 4573–4590. https://doi.org/10.1109/sp54263.2024.00268

20. Pedregosa F., Varoquaux G., Gramfort A., Michel V., Thirion B., Grisel O., Blondel M., Prettenhofer P., Weiss R., Dubourg V., Vanderplas J., Passos A., Cournapeau D., Brucher M., Perrot M., Duchesnay É. Scikit-learn: Machine learning in Python // Journal of Machine Learning Research. 2011. V. 12. P. 2825–2830.