tis Телекоммуникации и связь Telecommunications and Communications 3034-4050 ФГБУ «16 ЦНИИИ» 10.21681/3034-4050-2026-2-58-69 004.82 СРАВНИТЕЛЬНЫЙ АНАЛИЗ СОВРЕМЕННЫХ МЕТОДОВ ОБНАРУЖЕНИЯ АНОМАЛИЙ В КОНТЕЙНЕРНЫХ СРЕДАХ НА ОСНОВЕ СИСТЕМНЫХ ВЫЗОВОВ ICOMPARATIVE ANALYSIS OF CURRENT METHODS FOR DETECTING ANOMALIES IN CONTAINER ENVIRONMENTS BASED ON SYSTEM CALLS Вьюгов Станислав Георгиевич Vyugov Stanislav G. сотрудник Академии Федеральной службы охраны Российской Федерации Орел Россия stas.viugov@yandex.ru 2026 2026 11 2 58 69 2026 https://telemil.ru/pages/archive/magazine11/ТиС_2_2026-58-69.pdf JATS XML Аннотация

<p class="section-text"><b>Цель исследования:</b> систематизация и сравнительный анализ современных методов обнаружения атак в контейнерных средах на основе системных вызовов с выявлением их сильных сторон, ограничений и областей применимости.</p><p class="section-text"><b>Методы исследования:</b> исследование основано на комплексном анализе существующих подходов к обнаружению атак в контейнерных средах, их систематизации и классификации по ключевым характеристикам: полноте используемой информации о системных вызовах, необходимости предварительного обучения и спектру обнаруживаемых угроз. Сравнительная оценка методов проведена на основе количественных метрик с использованием публичного набора данных LID-DS и результатов экспериментов на реальных микросервисных приложениях.</p><p class="section-text"><b>Результаты исследования:</b> выполнена систематизация современных подходов к обнаружению аномалий в контейнерных средах по критериям полноты анализируемых данных, спектра обнаруживаемых угроз и операционных требований. Количественное сравнение на наборе LID-DS показало, что нейросетевой метод на основе двухэтапного автоэнкодера с механизмом внимания превосходит графовый метод, так как оказался единственным, обнаружившим все рассмотренные сценарии, включая CVE-2014-0160 и CVE-2020-13942. Выявлено, что PROCATCH при F1-score 0,999 для исполнительных атак принципиально не обнаруживает неисполняемые атаки (SQL-инъекции, утечки данных через уязвимости протоколов, эксплуатацию уязвимостей веб-приложений), а CHIDS не способен выявить аномалии, проявляющиеся исключительно в параметрах системных вызовов. На основе полученных результатов сформулированы практические рекомендации по выбору метода обнаружения атак в зависимости от требований к безопасности системы.</p><p class="section-text"><b>Научная новизна:</b> заключается в систематизации и сравнительном анализе методов обнаружения вторжений в контейнерных средах по критериям полноты используемой информации, спектра обнаруживаемых угроз и операционных требований. Выявлении компромисса между простотой методов без обучения и полнотой обнаружения нейросетевых методов. Предложена классификация методов по типу анализируемых данных и уровню абстракции.</p>

 Abstract

<p class="section-text"><b>Purpose of the study:</b> to systematize and conduct a comparative analysis of modern attack detection methods in containerized environments based on system calls, identifying their strengths, limitations, and areas of applicability.</p><p class="section-text"><b>Methods of research:</b> the study is based on a comprehensive analysis of existing approaches to attack detection in containerized environments, including their systematization and classification according to key characteristics: completeness of system call information utilized, requirement for prior training, and the spectrum of detectable threats. A comparative evaluation was performed using quantitative metrics on the public LID-DS dataset, as well as experimental results obtained from real microservice-based applications.</p><p class="section-text"><b>Results:</b> a systematic classification of modern detection approaches in containerized environments was performed based on the completeness of analyzed data, the range of detectable threats, and operational requirements. Quantitative comparison on the LID-DS dataset demonstrated that the neural network-based two-stage autoencoder method with an attention mechanism outperforms the graph-based method, as it was the only approach that successfully detected all considered attack scenarios, including CVE-2014-0160 and CVE-2020-13942. It was found that PROCATCH, despite achieving an F1-score of 0.999 for executable attacks, fundamentally fails to detect non-executable attacks (such as SQL injections, data exfiltration via protocol vulnerabilities, and exploitation of web application vulnerabilities). CHIDS was shown to be incapable of detecting anomalies manifested exclusively in system call parameters. Based on the obtained results, practical recommendations were formulated for selecting an attack detection method depending on system security requirements.</p><p class="section-text"><b>Scientific novelty:</b> the novelty of this research lies in the systematization and comparative analysis of intrusion detection methods in containerized environments according to the completeness of utilized information, the spectrum of detectable threats, and operational requirements. A trade-off between the simplicity of training-free methods and the detection completeness of neural network–based approaches is identified. A classification of methods based on the type of analyzed data and the level of abstraction is proposed.</p>

 Ключевые слова обнаружение вторжений аномальное обнаружение системные вызовы HIDS анализ поведения программ кибербезопасность машинное обучение графовые модели Keywords intrusion detection anomaly detection system calls HIDS program behavior analysis cybersecurity machine learning graph-based models Источники финансирования не указаны. Список литературы / References CNCF Survey 2020. CNCF Survey 2020. 2020 Aqasizade, H., Ataie, E., Bastam, M. Kubernetes in Action: Exploring the Performance of Kubernetes Distributions in the Cloud Kubernetes in Action: Exploring the Performance of Kubernetes Distributions in the Cloud Software – Practice and Experience Software – Practice and Experience 2025 55 10 1711 1725 10.1002/spe.70000 Котенко, И. В., Мельник, М. В. Обнаружение аномалий в контейнерных системах: применение частотного анализа и гибридной нейронной сети Obnaruzhenie anomalij v kontejnerny'x sistemax: primenenie chastotnogo analiza i gibridnoj nejronnoj seti Программные продукты и системы Programmny'e produkty' i sistemy' 2025 3 426 437 10.15827/0236-235X.151.426-437 Котенко, И. В., Мельник, М. В. Обнаружение атак и аномалий в контейнерных системах: подходы на основе анализа аномалий и профилирования Obnaruzhenie atak i anomalij v kontejnerny'x sistemax: podxody' na osnove analiza anomalij i profilirovaniya Искусственный интеллект и принятие решений Iskusstvenny'j intellekt i prinyatie reshenij 2025 2 3 18 10.14357/20718594250201 Kotenko I., Melnik M., Abramenko G. Anomaly detection in container systems: using normal process histograms and an autoencoder Anomaly detection in container systems: using normal process histograms and an autoencoder 2024 IEEE 25th International Conference of Young Professionals in Electron Devices and Materials (EDM 2024) 2024 IEEE 25th International Conference of Young Professionals in Electron Devices and Materials (EDM 2024) 2024 1930 1934 10.1109/EDM61683.2024.10615118 Khairi, Asbat & Peter, Andreas & Continella, Andrea. PROCATCH: Detecting Execution-Based Anomalies in Single-Instance Microservices. PROCATCH: Detecting Execution-Based Anomalies in Single-Instance Microservices. 2025 1 9 10.1109/CNS66487.2025.11194959 El Khairi A., Caselli M., Knierim C., Peter A., Continella A. Contextualizing System Calls in Containers for Anomaly-Based Intrusion Detection Contextualizing System Calls in Containers for Anomaly-Based Intrusion Detection Proceedings of the 2022 Cloud Computing Security Workshop (CCSW '22) Proceedings of the 2022 Cloud Computing Security Workshop (CCSW '22) 2022 9 21 Jain V., Singh B., Khenwar M., Sharm M. Static vulnerability analysis of docker images Static vulnerability analysis of docker images IOP Conference Series: Materials Science and Engineering IOP Conference Series: Materials Science and Engineering 2021 1131 1 012018 Nakata R., Otsuka A. Evaluation of vulnerability reproducibility in container-based Cyber Range Evaluation of vulnerability reproducibility in container-based Cyber Range arXiv preprint arXiv:2010.16024 arXiv preprint arXiv:2010.16024 2020 Guo P. Intrusion Detection Based on Complete System Call Information Intrusion Detection Based on Complete System Call Information 2024 International Conference on Digital Society and Artificial Intelligence (DSAI 2024) 2024 International Conference on Digital Society and Artificial Intelligence (DSAI 2024) 2024 5 Ahmed M. E., Kim H., Camtepe S., Nepal S. Peeler: Profiling kernel-level events to detect ransomware Peeler: Profiling kernel-level events to detect ransomware Computer Security-ESORICS 22: 26th European Symposium on Research in Computer Security Computer Security-ESORICS 22: 26th European Symposium on Research in Computer Security 2021 240 260 Tien C. W., Huang T. Y., Tien C. W., Huang T. C., Kuo S. Y. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches Engineering reports Engineering reports 2019 1 5 e12080 Gantikow H., Zohner T., Reich C. Container anomaly detection using neural networks analyzing system calls Container anomaly detection using neural networks analyzing system calls 2020 28th Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP) 2020 28th Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP) 2020 408 412 Kosinska J., Tobiasz M. Detection of Cluster Anomalies With ML Techniques Detection of Cluster Anomalies With ML Techniques IEEE Access IEEE Access 2022 10 110742 110753 Wang Y., Wang Q., Qin X., Chen X., Xin B., Yang R. DockerWatch: a two-phase hybrid detection of malware using various static features in container cloud DockerWatch: a two-phase hybrid detection of malware using various static features in container cloud Soft Computing Soft Computing 2023 27 2 1015 1031 Chan K. Y., Abu-Salih B., Qaddoura R., Ala'M A. Z., Palade V., Pham D. S., Javier D. S., Muhammad K. Deep neural networks in the cloud: Review, applications, challenges and research directions Deep neural networks in the cloud: Review, applications, challenges and research directions Neurocomputing Neurocomputing 2023 126327 Grimmer M., Röhling M. M., Kreusel D., Ganz S. A Modern and Sophisticated Host Based Intrusion Detection Data Set A Modern and Sophisticated Host Based Intrusion Detection Data Set IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung 2019 135 145 Castanhel G. R., Heinrich T., Ceschin F., Maziero C. Taking a peek: An evaluation of anomaly detection using system calls for containers Taking a peek: An evaluation of anomaly detection using system calls for containers 2021 IEEE Symposium on Computers and Communications (ISCC) 2021 IEEE Symposium on Computers and Communications (ISCC) 2021 1 6 Karn R. R., Kudva P., Huang H., Suneja S., Elfadel I. M. Cryptomining detection in container clouds using system calls and explainable machine learning Cryptomining detection in container clouds using system calls and explainable machine learning IEEE transactions on parallel and distributed systems IEEE transactions on parallel and distributed systems 2020 32 3 674 691 Abubakar A. I., Chiroma H., Muaz S. A., Ila L. B. A review of the advances in cyber security benchmark datasets for evaluating data-driven based intrusion detection systems A review of the advances in cyber security benchmark datasets for evaluating data-driven based intrusion detection systems Procedia Computer Science Procedia Computer Science 2015 62 221 227