一种检测Docker容器异常的DiForest算法

信息安全研究 ›› 2025, Vol. 11 ›› Issue (12): 1156-.

• 技术应用 • 上一篇

一种检测Docker容器异常的DiForest算法

异常检测；孤立森林算法；Docker容器；特征加权选择；日志异常检测

1(西安外事学院工学院西安710077)
2(曲阜师范大学网络空间安全学院山东曲阜273165)

出版日期:2025-12-12 发布日期:2025-12-04
通讯作者: 孔德泓硕士.主要研究方向为云计算、大数据. 1989779440@qq.com
作者简介:谢兆贤博士，教授.主要研究方向为云计算、软件工程、智能制造. george_hsieh@qq.com 孔德泓硕士.主要研究方向为云计算、大数据. 1989779440@qq.com 徐凤雅硕士.主要研究方向为计算机视觉、大数据. 822215180@qq.com 杨晴晴硕士.主要研究方向为云计算、大数据. 2849228136@qq.com

基金资助:

西安外事学院高层次人才启动基金项目(XAIU202411)；2024年度国际商务交流与外语研究课题资助项目(CUC2024LXYK0025)

A DiForest Algorithm for Detecting Abnormal Docker Container

anomaly detection; isolation forest algorithm; Docker container; featureweighted selection; log anomaly detection

1(College of Engineering, Xi’an International University, Xi’an 710077)
2(School of Cyber Science and Engineering, Qufu Normal University, Qufu, Shandong 273165)

Online:2025-12-12 Published:2025-12-04

摘要/Abstract

摘要： 针对孤立森林(isolation forest, iForest)算法存在异常检测的准确性差、资源消耗量大、时间和空间复杂度高等问题，在既有的基础上采用特征加权选择，通过建立孤立树路径长度标准差的方式，提出一种新型的孤立森林(deviationenhanced isolation forest, DiForest)算法，应用于Docker容器异常检测.实验通过模拟CPU、内存、磁盘IO和URL访问超限4类异常情况，对iForest和DiForest这2个异常检测算法进行比较和分析.实验结果表明，DiForest算法在进行异常检测时，容器内部的平均运行内存为30.6MB，小于iForest算法检测指标值的6.67%.网络吞吐量为110Mbps，大于iForest算法异常检测指标值的13.3%.与此同时，日志异常检测实验模拟URL访问超限的结果显示，DiForest算法访问请求的成功率为82.9%，比iForest算法访问请求的成功率高31.8%.因此DiForest算法不仅能够减少容器异常时的资源消耗，还能够提高异常日志检测的准确性.

关键词: 异常检测, 孤立森林算法, Docker容器, 特征加权选择, 日志异常检测

Abstract: With the problems of anomaly detection for poor accuracy, high resource consumption, and high time complexity of the isolation forest (iForest) algorithm, this paper proposed a novel DiForest algorithm which applies the featureweighted selection and the standard deviation of the isolation tree path lengths for anomaly detection of Docker container. The experiment simulates four types, CPU, memory, disk IO, and URL access overruns. The experimental results show that DiForest algorithm performs anomaly detection. The average running memory in the container is 30.6 MB, which is about 6.67% smaller than the average running memory of iForest algorithm for anomaly detection. The network throughput for DiForest algorithm is 110Mbps, which is about 13.3% higher than the network throughput for iForest algorithm. Meanwhile, the log anomaly detection experiments for URL access overruns show that the DiForest algorithm accesses requests with a success rate of 82.9%. It is 31.8% higher than the success rate of the iForest algorithm in the state of handling URL access overruns. Therefore, DiForest algorithm not only reduces the resource consumption when the container is abnormal, but also improves the accuracy of abnormality log detection.

Key words: anomaly detection, isolation forest algorithm, Docker container, featureweighted selection, log anomaly detection

中图分类号:

TP311.1

谢兆贤, 孔德泓, 徐凤雅, 杨晴晴, . 一种检测Docker容器异常的DiForest算法[J]. 信息安全研究, 2025, 11(12): 1156-.

参考文献

［1］Rajyashree R, Senthilkumar M, Saravanan G, et al. An empirical investigation of docker sockets for privilege escalation and defensive strategies［J］.  Procedia Computer Science, 2024, 233: 660669［2］Shanthi K, Marurhi R. Machine learning approach for anomalybased intrusion detection systems using isolation forest model and support vector machine［C］ Proc of the 5th Int Conf on Inventive Research in Computing Applications (ICIRCA). Piscataway, NJ: IEEE, 2023: 136139［3］Wang Yulong, Wang Qixu, Qin Xue, et al. Dockerwatch: A twophase hybrid detection of malware using various static features in container cloud［J］.  Soft Computing, 2023, 27(2): 10151031［4］张光华, 王子昱, 蔡明伟. 基于不平衡数据的物联网异常流量检测［J］.  信息安全研究, 2024, 10(11): 10121019［5］Zheng Jiayi, Wang Zijian. System log anomaly detection based on spiking neural network trained with backpropagation［C］ Proc of the 3rd Int Conf on Intelligent Communications and Computing (ICC). Piscataway, NJ: IEEE, 2023: 4855［6］Samir A, Pahl C. A controller architecture for anomaly detection, root cause analysis and selfadaptation for cluster architectures［C］ Proc of the 11th Int Conf on Adaptive and SelfAdaptive Systems and Applications. Cambridge, UK: Elsevier, 2019: 7583［7］Berroukham A, Housni K, Lahraichi M, et al. Detection and localization of anomalous objects in video sequences using vision transformers and unet model［J］.  Signal, Image and Video Processing, 2024, 18: 63796390［8］Songa A, Karri G. An integrated SDN framework for early detection of DDoS attacks in cloud computing［J］.  Journal of Cloud Computing, 2024,13(1): 6486［9］Buschjger S, Honysz P, Morik K. Randomized outlier detection with trees［J］.  International Journal of Data Science and Analytics, 2022, 13(2): 91104［10］Lu Siyang, Han Ningning, Wei Xiang, et al. SSDLog: A semisupervised dual branch model for log anomaly detection［J］.  World Wide Web, 2023, 26(5): 31373153［11］Zou Zhuping, Xie Yulai, Huang Kai, et al. A docker container anomaly monitoring system based on optimized isolation forest［J］.  IEEE Trans on Cloud Computing, 2019, 10(1): 134145［12］Chang C. Targettoanomaly conversion for hyperspectral anomaly detection［J］.  IEEE Trans on Geoscience and Remote Sensing, 2022, 60(1): 128［13］林发鑫, 张健. 虚拟化平台异常行为检测系统的设计与实现［J］. 信息网络安全, 2022, 22(11): 6267［14］Wang Yue, Zhang Chengze, Yu Jianjun, et al. Towards massive log anomaly detection based on an enhanced multidimensional timedomain LSTM［C］ Proc of the 9th IEEE Int Conf on Big Data Computing Service and Applications (BigDataService). Piscataway, NJ: IEEE, 2023: 197204

[1]	. 基于机器学习的网络未知攻击检测方法研究综述[J]. 信息安全研究, 2025, 11(9): 807-.
[2]	李琛, 林维, 许力, . 基于TCNGAN的时序流量异常检测[J]. 信息安全研究, 2025, 11(10): 907-.
[3]	江洁, 顾宁伦, 乔峤, . API网关流量异常检测方法及系统研究[J]. 信息安全研究, 2025, 11(10): 917-.
[4]	李为, 袁泽坤, 吴克河, 程瑞, . 基于注意力机制和多尺度卷积神经网络的容器异常检测[J]. 信息安全研究, 2025, 11(1): 35-.
[5]	刘文龙, 文斌, 马梦帅, 杜宛蓉, 魏晓寻, . 多种深度学习融合的网络流量异常检测模型[J]. 信息安全研究, 2024, 10(E2): 54-.
[6]	唐双林, 侍国亮, 周志洪, . 基于深度学习的智能网联汽车时序数据异常检测方法研究[J]. 信息安全研究, 2024, 10(E1): 227-.
[7]	程显淘, . 针对联邦学习的恶意客户端检测及防御方法[J]. 信息安全研究, 2024, 10(2): 163-.
[8]	陈万志, 赵林, 王天元, . 融合二次特征提取和自蒸馏的流量异常检测方法[J]. 信息安全研究, 2024, 10(12): 1082-.
[9]	陈虹, 卢健波, 金海波, 武聪, 程明佳, . 基于改进鸽群算法和金字塔卷积的流量异常检测[J]. 信息安全研究, 2024, 10(12): 1107-.
[10]	金志刚, 林亮成, 陈旭阳, . 行为异常检测技术在零信任访问控制中的应用[J]. 信息安全研究, 2024, 10(10): 921-.
[11]	范敏, 李艳霞, 吴文娟, 陈亘, 王鹤, . 基于E-HST算法的HTTP异常流量检测系统及应用[J]. 信息安全研究, 2023, 9(E1): 20-.
[12]	王耀辉, 王可, 宫良一, 付豫豪, 王跃达, 李婧, . 基于异构图的恶意域名检测方法研究[J]. 信息安全研究, 2023, 9(E1): 38-.
[13]	王志强, 王姿旖, 王庆德, 徐华福, . 基于LightGBM的区块链异常交易检测技术研究[J]. 信息安全研究, 2023, 9(9): 877-.
[14]	王志强, 王姿旖, 倪安发, . 基于Stacking集成学习的区块链异常交易检测技术研究[J]. 信息安全研究, 2023, 9(2): 98-.
[15]	胥柯, 张新有, 栗晓晗. Docker容器逃逸防护技术研究[J]. 信息安全研究, 2022, 8(8): 768-.

一种检测Docker容器异常的DiForest算法

A DiForest Algorithm for Detecting Abnormal Docker Container

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics