1.一种基于云边协同的容器安全管理方法,其特征在于,所述方法包括:
获取容器的系统调用数据,所述系统调用数据包括系统调用序列;
根据容器的类别,从所述系统调用数据中筛选出建模数据;
根据所述容器的安全状态和建模数据构建训练集;
根据基于规则的分类算法,云节点利用所述训练集进行训练,得到特征规则库;
将所述特征规则库下发到边缘节点;
边缘节点利用所述特征规则库对采集到的系统调用数据进行分析,获得容器的安全状态。
2.根据权利要求1所述的容器安全管理方法,其特征在于,建立正常容器分类规则的方法包括:
从建模数据中筛选出正常容器的系统调用序列,并建立正常建模数据集;
基于所述分类算法,利用所述正常建模数据集训练,得到正常特征规则库;
边缘节点利用正常特征库对采集到的系统调用数据进行分析,获得容器的安全状态。
3.根据权利要求1所述的容器安全管理方法,其特征在于,所述分类算法包括c4.5算法或ripper算法。
4.根据权利要求1所述的容器安全管理方法,其特征在于,还包括根据域值判断容器安全状态的方法;
获取一定时间内系统调用数据的分析结果,安全状态为异常的占比超过域值时,判断容器的安全状态为异常。
5.根据权利要求4所述的容器安全管理方法,其特征在于,还包括生成告警的方法:
判断边缘节点中的容器安全状态是否异常;
若是,生成告警信息,并将所述告警信息发送给云节点;
所述云节点根据告警信息,执行相应的安全措施。
6.根据权利要求1所述的容器安全管理方法,其特征在于,建模数据处理的方法包括:
获取一种容器类别的正常系统调用序列;
对所述系统调用序列进行预处理,并转换为数字序列,所述数字序列包括属性和属性值;
为所述数字序列打上正常的标签。
7.根据权利要求1所述的容器安全管理方法,其特征在于,分别为多种容器类别建立特征规则库;采用与容器类别相应的特征规则库对所述系统调用数据进行分析;
一种容器类别通过相同的容器镜像构建。
8.一种用于实现权利要求1-7任一项所述容器安全管理方法的系统,其特征在于,包括设置在云节点的云端组件和设置在边缘节点的边缘端组件,所述云端组件包括第一预处理模块、训练模块和第一传输模块,所述边缘组件包括第二采集模块、第二传输模块和检测模块,
所述第二采集模块用于获取容器的系统调用数据,所述系统调用数据包括系统调用序列;
所述第一预处理模块用于根据容器的类别,对所述系统调用数据进行预处理,构建训练集;
所述训练模块根据基于规则的分类算法,利用所述训练集进行训练,得到特征规则库;
所述第一传输模块和第二传输模块用于云边通信,所述云边通信包括将所述特征规则库从云节点下发到边缘节点以及边缘节点的告警信息上传到云节点;
所述检测模块利用所述特征规则库对采集到的系统调用数据进行分析,获得容器的安全状态。
9.根据权利要求7所述的系统,其特征在于,所述云端组件还包括存储模块和第一采集模块,所述存储模块用于保存特征规则库,所述第一采集模块用于从云端的容器管理平台中采集容器的系统调用数据;边缘端组件还包括第二预处理模块,第二预处理模块用于根据采集到的系统调用数据构建待测试数据集,所述检测模块对所述待测试数据集进行分析,获得容器的安全状态。
10.根据权利要求7所述的系统,其特征在于,边缘端组件还包括告警模块,云端组件还包括执行模块,所述告警模块用于判断容器安全状态是否异常;若是,生成告警信息,并通过第二传输模块将所述告警信息发送给云节点;
所述告警信息包括异常发生时间、异常事件和判定为异常的原因;
所述执行模块用于根据所述告警信息执行相应的安全措施。