Полный текст статьи (PDF) XML (JATS 1.2)
Авторы / Authors
  • Вьюгов Станислав Георгиевич (Vyugov Stanislav G.) сотрудник Академии Федеральной службы охраны Российской Федерации, Орел, Россия
    Academy of the Federal Security Service of the Russian Federation     stas.viugov@yandex.ru
Ключевые слова
обнаружение вторженийаномальное обнаружениесистемные вызовыHIDSанализ поведения программкибербезопасностьмашинное обучениеграфовые модели
Keywords
intrusion detectionanomaly detectionsystem callsHIDSprogram behavior analysiscybersecuritymachine learninggraph-based models
Аннотация / Abstract
Русский

Цель исследования: систематизация и сравнительный анализ современных методов обнаружения атак в контейнерных средах на основе системных вызовов с выявлением их сильных сторон, ограничений и областей применимости.

Методы исследования: исследование основано на комплексном анализе существующих подходов к обнаружению атак в контейнерных средах, их систематизации и классификации по ключевым характеристикам: полноте используемой информации о системных вызовах, необходимости предварительного обучения и спектру обнаруживаемых угроз. Сравнительная оценка методов проведена на основе количественных метрик с использованием публичного набора данных LID-DS и результатов экспериментов на реальных микросервисных приложениях.

Результаты исследования: выполнена систематизация современных подходов к обнаружению аномалий в контейнерных средах по критериям полноты анализируемых данных, спектра обнаруживаемых угроз и операционных требований. Количественное сравнение на наборе LID-DS показало, что нейросетевой метод на основе двухэтапного автоэнкодера с механизмом внимания превосходит графовый метод, так как оказался единственным, обнаружившим все рассмотренные сценарии, включая CVE-2014-0160 и CVE-2020-13942. Выявлено, что PROCATCH при F1-score 0,999 для исполнительных атак принципиально не обнаруживает неисполняемые атаки (SQL-инъекции, утечки данных через уязвимости протоколов, эксплуатацию уязвимостей веб-приложений), а CHIDS не способен выявить аномалии, проявляющиеся исключительно в параметрах системных вызовов. На основе полученных результатов сформулированы практические рекомендации по выбору метода обнаружения атак в зависимости от требований к безопасности системы.

Научная новизна: заключается в систематизации и сравнительном анализе методов обнаружения вторжений в контейнерных средах по критериям полноты используемой информации, спектра обнаруживаемых угроз и операционных требований. Выявлении компромисса между простотой методов без обучения и полнотой обнаружения нейросетевых методов. Предложена классификация методов по типу анализируемых данных и уровню абстракции.

English

Purpose of the study: to systematize and conduct a comparative analysis of modern attack detection methods in containerized environments based on system calls, identifying their strengths, limitations, and areas of applicability.

Methods of research: the study is based on a comprehensive analysis of existing approaches to attack detection in containerized environments, including their systematization and classification according to key characteristics: completeness of system call information utilized, requirement for prior training, and the spectrum of detectable threats. A comparative evaluation was performed using quantitative metrics on the public LID-DS dataset, as well as experimental results obtained from real microservice-based applications.

Results: a systematic classification of modern detection approaches in containerized environments was performed based on the completeness of analyzed data, the range of detectable threats, and operational requirements. Quantitative comparison on the LID-DS dataset demonstrated that the neural network-based two-stage autoencoder method with an attention mechanism outperforms the graph-based method, as it was the only approach that successfully detected all considered attack scenarios, including CVE-2014-0160 and CVE-2020-13942. It was found that PROCATCH, despite achieving an F1-score of 0.999 for executable attacks, fundamentally fails to detect non-executable attacks (such as SQL injections, data exfiltration via protocol vulnerabilities, and exploitation of web application vulnerabilities). CHIDS was shown to be incapable of detecting anomalies manifested exclusively in system call parameters. Based on the obtained results, practical recommendations were formulated for selecting an attack detection method depending on system security requirements.

Scientific novelty: the novelty of this research lies in the systematization and comparative analysis of intrusion detection methods in containerized environments according to the completeness of utilized information, the spectrum of detectable threats, and operational requirements. A trade-off between the simplicity of training-free methods and the detection completeness of neural network–based approaches is identified. A classification of methods based on the type of analyzed data and the level of abstraction is proposed.

Финансирование / Funding

Источники финансирования не указаны.

No funding sources reported.

Идентификаторы / Identifiers
DOI10.21681/3034-4050-2026-2-58-69 УДК004.82 ЖурналТелекоммуникации и связь Год2026 Номер№2 (11) Страницы58–69 ISSNПИ №ФС77-88069
Список литературы / References
  1. CNCF Survey 2020.. 2020.
    CNCF Survey 2020.. 2020.
  2. Aqasizade, H., Ataie, E., Bastam, M.. Kubernetes in Action: Exploring the Performance of Kubernetes Distributions in the Cloud // Software – Practice and Experience. 2025. Т. 55. № 10. С. 1711–1725. DOI: 10.1002/spe.70000.
    Aqasizade, H., Ataie, E., Bastam, M.. Kubernetes in Action: Exploring the Performance of Kubernetes Distributions in the Cloud // Software – Practice and Experience. 2025. DOI: 10.1002/spe.70000.
  3. Котенко, И. В., Мельник, М. В.. Обнаружение аномалий в контейнерных системах: применение частотного анализа и гибридной нейронной сети // Программные продукты и системы. 2025. № 3. С. 426–437. DOI: 10.15827/0236-235X.151.426-437.
    Котенко, И. В., Мельник, М. В.. Obnaruzhenie anomalij v kontejnerny'x sistemax: primenenie chastotnogo analiza i gibridnoj nejronnoj seti // Programmny'e produkty' i sistemy'. 2025. DOI: 10.15827/0236-235X.151.426-437.
  4. Котенко, И. В., Мельник, М. В.. Обнаружение атак и аномалий в контейнерных системах: подходы на основе анализа аномалий и профилирования // Искусственный интеллект и принятие решений. 2025. № 2. С. 3–18. DOI: 10.14357/20718594250201.
    Котенко, И. В., Мельник, М. В.. Obnaruzhenie atak i anomalij v kontejnerny'x sistemax: podxody' na osnove analiza anomalij i profilirovaniya // Iskusstvenny'j intellekt i prinyatie reshenij. 2025. DOI: 10.14357/20718594250201.
  5. Kotenko I., Melnik M., Abramenko G.. Anomaly detection in container systems: using normal process histograms and an autoencoder // 2024 IEEE 25th International Conference of Young Professionals in Electron Devices and Materials (EDM 2024). 2024. С. 1930–1934. DOI: 10.1109/EDM61683.2024.10615118.
    Kotenko I., Melnik M., Abramenko G.. Anomaly detection in container systems: using normal process histograms and an autoencoder // 2024 IEEE 25th International Conference of Young Professionals in Electron Devices and Materials (EDM 2024). 2024. DOI: 10.1109/EDM61683.2024.10615118.
  6. Khairi, Asbat & Peter, Andreas & Continella, Andrea.. PROCATCH: Detecting Execution-Based Anomalies in Single-Instance Microservices.. 2025. С. 1–9. DOI: 10.1109/CNS66487.2025.11194959.
    Khairi, Asbat & Peter, Andreas & Continella, Andrea.. PROCATCH: Detecting Execution-Based Anomalies in Single-Instance Microservices.. 2025. DOI: 10.1109/CNS66487.2025.11194959.
  7. El Khairi A., Caselli M., Knierim C., Peter A., Continella A.. Contextualizing System Calls in Containers for Anomaly-Based Intrusion Detection // Proceedings of the 2022 Cloud Computing Security Workshop (CCSW '22). 2022. С. 9–21.
    El Khairi A., Caselli M., Knierim C., Peter A., Continella A.. Contextualizing System Calls in Containers for Anomaly-Based Intrusion Detection // Proceedings of the 2022 Cloud Computing Security Workshop (CCSW '22). 2022.
  8. Jain V., Singh B., Khenwar M., Sharm M.. Static vulnerability analysis of docker images // IOP Conference Series: Materials Science and Engineering. 2021. Т. 1131. № 1. С. 012018.
    Jain V., Singh B., Khenwar M., Sharm M.. Static vulnerability analysis of docker images // IOP Conference Series: Materials Science and Engineering. 2021.
  9. Nakata R., Otsuka A.. Evaluation of vulnerability reproducibility in container-based Cyber Range // arXiv preprint arXiv:2010.16024. 2020.
    Nakata R., Otsuka A.. Evaluation of vulnerability reproducibility in container-based Cyber Range // arXiv preprint arXiv:2010.16024. 2020.
  10. Guo P.. Intrusion Detection Based on Complete System Call Information // 2024 International Conference on Digital Society and Artificial Intelligence (DSAI 2024). 2024.
    Guo P.. Intrusion Detection Based on Complete System Call Information // 2024 International Conference on Digital Society and Artificial Intelligence (DSAI 2024). 2024.
  11. Ahmed M. E., Kim H., Camtepe S., Nepal S.. Peeler: Profiling kernel-level events to detect ransomware // Computer Security-ESORICS 22: 26th European Symposium on Research in Computer Security. 2021. С. 240–260.
    Ahmed M. E., Kim H., Camtepe S., Nepal S.. Peeler: Profiling kernel-level events to detect ransomware // Computer Security-ESORICS 22: 26th European Symposium on Research in Computer Security. 2021.
  12. Tien C. W., Huang T. Y., Tien C. W., Huang T. C., Kuo S. Y.. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches // Engineering reports. 2019. Т. 1. № 5. С. e12080.
    Tien C. W., Huang T. Y., Tien C. W., Huang T. C., Kuo S. Y.. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches // Engineering reports. 2019.
  13. Gantikow H., Zohner T., Reich C.. Container anomaly detection using neural networks analyzing system calls // 2020 28th Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP). 2020. С. 408–412.
    Gantikow H., Zohner T., Reich C.. Container anomaly detection using neural networks analyzing system calls // 2020 28th Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP). 2020.
  14. Kosinska J., Tobiasz M.. Detection of Cluster Anomalies With ML Techniques // IEEE Access. 2022. Т. 10. С. 110742–110753.
    Kosinska J., Tobiasz M.. Detection of Cluster Anomalies With ML Techniques // IEEE Access. 2022.
  15. Wang Y., Wang Q., Qin X., Chen X., Xin B., Yang R.. DockerWatch: a two-phase hybrid detection of malware using various static features in container cloud // Soft Computing. 2023. Т. 27. № 2. С. 1015–1031.
    Wang Y., Wang Q., Qin X., Chen X., Xin B., Yang R.. DockerWatch: a two-phase hybrid detection of malware using various static features in container cloud // Soft Computing. 2023.
  16. Chan K. Y., Abu-Salih B., Qaddoura R., Ala'M A. Z., Palade V., Pham D. S., Javier D. S., Muhammad K.. Deep neural networks in the cloud: Review, applications, challenges and research directions // Neurocomputing. 2023. С. 126327.
    Chan K. Y., Abu-Salih B., Qaddoura R., Ala'M A. Z., Palade V., Pham D. S., Javier D. S., Muhammad K.. Deep neural networks in the cloud: Review, applications, challenges and research directions // Neurocomputing. 2023.
  17. Grimmer M., Röhling M. M., Kreusel D., Ganz S.. A Modern and Sophisticated Host Based Intrusion Detection Data Set // IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung. 2019. С. 135–145.
    Grimmer M., Röhling M. M., Kreusel D., Ganz S.. A Modern and Sophisticated Host Based Intrusion Detection Data Set // IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung. 2019.
  18. Castanhel G. R., Heinrich T., Ceschin F., Maziero C.. Taking a peek: An evaluation of anomaly detection using system calls for containers // 2021 IEEE Symposium on Computers and Communications (ISCC). 2021. С. 1–6.
    Castanhel G. R., Heinrich T., Ceschin F., Maziero C.. Taking a peek: An evaluation of anomaly detection using system calls for containers // 2021 IEEE Symposium on Computers and Communications (ISCC). 2021.
  19. Karn R. R., Kudva P., Huang H., Suneja S., Elfadel I. M.. Cryptomining detection in container clouds using system calls and explainable machine learning // IEEE transactions on parallel and distributed systems. 2020. Т. 32. № 3. С. 674–691.
    Karn R. R., Kudva P., Huang H., Suneja S., Elfadel I. M.. Cryptomining detection in container clouds using system calls and explainable machine learning // IEEE transactions on parallel and distributed systems. 2020.
  20. Abubakar A. I., Chiroma H., Muaz S. A., Ila L. B.. A review of the advances in cyber security benchmark datasets for evaluating data-driven based intrusion detection systems // Procedia Computer Science. 2015. Т. 62. С. 221–227.
    Abubakar A. I., Chiroma H., Muaz S. A., Ila L. B.. A review of the advances in cyber security benchmark datasets for evaluating data-driven based intrusion detection systems // Procedia Computer Science. 2015.