云原生發(fā)展趨勢(shì)

2013年P(guān)ivotal公司首次提出了云原生概念。而在2015年時(shí)，Pivotal公司在其所撰寫的書中第一次正式定義了云原生的五個(gè)因素：

• 符合云原生應(yīng)用12因素

• 面向微服務(wù)架構(gòu)

• 自服務(wù)敏捷架構(gòu)

• 基于API的協(xié)作

• 具有抗脆弱性

能滿足以上五個(gè)特性就屬于云原生應(yīng)用。

2015年云原生計(jì)算基金會(huì)（CNCF）成立，CNCF在成立之初便對(duì)云原生進(jìn)行了定義：

• 應(yīng)用容器化

• 面向微服務(wù)架構(gòu)

• 應(yīng)用支持容器的編排調(diào)度

只要滿足以上三個(gè)方向的特性，就屬于云原生的應(yīng)用。

2018年，隨著云原生技術(shù)的發(fā)展，CNCF根據(jù)最新的云原生基礎(chǔ)架構(gòu)設(shè)施，重新對(duì)云原生進(jìn)行了定義：

• 容器化

• 服務(wù)網(wǎng)格

• 微服務(wù)

• 不可變的基礎(chǔ)設(shè)施

• 聲明式的API

只要滿足以上五個(gè)方向的特性就屬于云原生應(yīng)用了。

隨著云原生技術(shù)的不斷變化，容器化使操作系統(tǒng)的功能與特性進(jìn)一步精簡(jiǎn)。為滿足云原生定義中不可變基礎(chǔ)設(shè)施的條件，云原生操作系統(tǒng)應(yīng)運(yùn)而生。其特點(diǎn)是高度精簡(jiǎn)的內(nèi)核，只保留容器相關(guān)的依賴庫(kù)，使用容器客戶端作為包管理器。

云原生操作系統(tǒng)的共同理念，是所有進(jìn)程必須運(yùn)行在容器中。操作系統(tǒng)的宿主機(jī)上不能安裝任何應(yīng)用程序，保證操作系統(tǒng)是完全不可變的，這就是所謂不可變的基礎(chǔ)設(shè)施，也是操作系統(tǒng)未來的發(fā)展趨勢(shì)。

早期的基礎(chǔ)架構(gòu)是運(yùn)行在物理機(jī)上的，而后隨著基礎(chǔ)設(shè)施的變化，應(yīng)用開始運(yùn)行在虛擬機(jī)之中。到了容器時(shí)代，所有的應(yīng)用都運(yùn)行在容器之中。在最新的流行趨勢(shì)里，目前國(guó)內(nèi)外也有一些云廠商在提供對(duì)應(yīng)的基礎(chǔ)設(shè)施架構(gòu)——Serverless無服務(wù)器技術(shù)。

在物理機(jī)時(shí)代，基礎(chǔ)設(shè)施通常以年為運(yùn)算單位的，當(dāng)物理機(jī)上架到機(jī)房后，其會(huì)以一年或者五年作為生命周期下架。隨后的虛擬機(jī)則是以月作為其運(yùn)算單位。到了容器時(shí)代，每次更新都需要重新構(gòu)建新的容器，因此容器的生命周期是以天為單位的。而在無服務(wù)器時(shí)代，函數(shù)虛擬化則會(huì)以分鐘為單位。

容器化出現(xiàn)后，容器技術(shù)標(biāo)準(zhǔn)化的進(jìn)程得到了加速。DevOps與容器相輔相成，應(yīng)用容器平臺(tái)，就需要演變成為DevOps開發(fā)模式以加速發(fā)布流程。容器化的便捷推廣了DevOps，而容器又依賴DevOps來加快迭代速度，這是目前開發(fā)模式的演變趨勢(shì)。

當(dāng)以容器為單位時(shí)，云原生、服務(wù)則為網(wǎng)絡(luò)邊界。在云原生領(lǐng)域中，并沒有IP的概念，所有云原生中的IP都是動(dòng)態(tài)的，我們無法在傳統(tǒng)的防火墻上配置對(duì)應(yīng)的IP地址。在云原生之中，容器的服務(wù)每天都會(huì)更新，每次更新IP地址都會(huì)是一個(gè)新的IP地址，原先配置的網(wǎng)絡(luò)策略均會(huì)失效。

物理機(jī)時(shí)代，物理機(jī)上架比較困難，因此通常會(huì)在一個(gè)物理機(jī)上跑多個(gè)應(yīng)用。而虛擬機(jī)時(shí)代，為了提高服務(wù)的可用性，則通常會(huì)將單個(gè)服務(wù)拆分到單個(gè)虛擬機(jī)之上。再到現(xiàn)在，隨著服務(wù)接口越來越多，越來越依賴于微服務(wù)化，則需要將接口演變成微服務(wù)架構(gòu)。

以微博為例，當(dāng)出現(xiàn)熱點(diǎn)事件時(shí)，物理機(jī)與虛擬機(jī)都需要以小時(shí)為單位的較長(zhǎng)時(shí)間構(gòu)建才能夠?qū)崿F(xiàn)業(yè)務(wù)恢復(fù)。而在容器化的場(chǎng)景下，容器啟動(dòng)以秒級(jí)為單位，啟動(dòng)速度遠(yuǎn)快于物理機(jī)與虛擬機(jī)場(chǎng)景。因此在微博演進(jìn)為容器架構(gòu)后，已經(jīng)很少再會(huì)因熱點(diǎn)事件而發(fā)生崩潰了。當(dāng)然這其中上K8S平臺(tái)的自愈能力與動(dòng)態(tài)擴(kuò)縮容也功不可沒。

早期容器運(yùn)行時(shí)使用Docker，因此當(dāng)時(shí)通常將容器與Docker劃等號(hào)。容器自身分四個(gè)模塊，Docker也分為四個(gè)接口。但由于Docker是一整套開發(fā)套件，而K8S在運(yùn)行時(shí)，只會(huì)用到runtime側(cè)。因此在運(yùn)行效率的需求下，K8S在1.20版本時(shí)，已逐漸不再對(duì)Docker Shim進(jìn)行支持，而是直接使用了Docker Containerd。

無論Containerd還是Docker，其對(duì)安全能力的支持的功能都并不十分完善。而Cri-o技術(shù)則可以滿足相對(duì)安全的需求，無需守護(hù)進(jìn)程，每一個(gè)Cri-o的進(jìn)程都可以擁有一個(gè)獨(dú)立的進(jìn)程，父進(jìn)程和子進(jìn)程，去進(jìn)行服務(wù)地運(yùn)行。未來容器領(lǐng)域的趨勢(shì)，是底層基礎(chǔ)設(shè)施安全，包括安全的技術(shù)容器化。

云原生安全風(fēng)險(xiǎn)

目前，云原生領(lǐng)域需要考慮的安全問題主要有以下五個(gè)：

• 鏡像安全

• 鏡像倉(cāng)庫(kù)安全

• 集群組件安全

• 容器網(wǎng)絡(luò)風(fēng)險(xiǎn)

• 微服務(wù)風(fēng)險(xiǎn)

其中鏡像安全風(fēng)險(xiǎn)是比較廣泛的。相較于基礎(chǔ)設(shè)施安全，云原生領(lǐng)域更加關(guān)注性能優(yōu)化與基礎(chǔ)設(shè)施容器化。這也導(dǎo)致目前DockerHub鏡像之中，51%存在高危漏洞、80%存在中低危漏洞。而在企業(yè)構(gòu)建鏡像時(shí)，90%的情況下，都需要從DockerHub上下載鏡像。

鏡像倉(cāng)庫(kù)方面，企業(yè)不可能將所有的研發(fā)的鏡像、業(yè)務(wù)鏡像上傳到一個(gè)公開的鏡像倉(cāng)庫(kù)中，源代碼需要存放在企業(yè)倉(cāng)庫(kù)。但企業(yè)倉(cāng)庫(kù)也同樣會(huì)存在安全漏洞的，這些漏洞被黑客利用后，會(huì)直接導(dǎo)致倉(cāng)庫(kù)中的鏡像被替換。當(dāng)從節(jié)點(diǎn)上去拉鏡像的時(shí)候，拉同一個(gè)鏡像可能拉到的是黑客帶有木馬病毒的鏡像，這也是非常危險(xiǎn)的。

關(guān)于集群組件的風(fēng)險(xiǎn)，目前Docker自身存在111個(gè)漏洞、K8S存在65個(gè)漏洞、Open Shift存在35個(gè)漏洞，其他容器運(yùn)行時(shí)例如Cri-o、Containerd與Kata Container，一共包含45個(gè)漏洞。集群組件漏洞相對(duì)較少，但也是同樣存在的。

當(dāng)黑客通過上述漏洞入侵到集群中后，會(huì)繼續(xù)訪問其他集群內(nèi)容器。物理防火墻，只能防護(hù)集群外流量，集群內(nèi)的流量K8S有overlay與underlay兩種網(wǎng)絡(luò)架構(gòu)。但無論是overlay還是underlay，傳統(tǒng)防火墻都無法防護(hù)集群內(nèi)的攻擊情況，這便是集群內(nèi)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

業(yè)務(wù)鏡像有漏洞還有可能引發(fā)另外一個(gè)問題，內(nèi)置式鏡像組件漏洞。若開發(fā)人員所引用的API或使用的一些開發(fā)框架存在漏洞，那么當(dāng)開發(fā)人員將開發(fā)組件打包到鏡像中時(shí)，就會(huì)出現(xiàn)這類問題。此前影響甚廣的Spring框架0 day漏洞，便是因?yàn)榛A(chǔ)設(shè)施漏洞，影響了國(guó)內(nèi)近90%的企業(yè)。這類風(fēng)險(xiǎn)通常是研發(fā)所引入的，也就是微服務(wù)的風(fēng)險(xiǎn)。

云原生安全架構(gòu)設(shè)計(jì)

以前的基礎(chǔ)設(shè)施，主要由防火墻與物理安全進(jìn)行維護(hù)。而容器的計(jì)算環(huán)境方面，容器運(yùn)行時(shí)安全、鏡像安全，需要專業(yè)的容器安全進(jìn)行防護(hù)。容器的應(yīng)用安全，則需要對(duì)應(yīng)的容器安全進(jìn)行微服務(wù)發(fā)現(xiàn)與Serverless防護(hù)。

云原生場(chǎng)景下，需要把研發(fā)安全體系納入云原生安全領(lǐng)域之中。這與傳統(tǒng)安全有所不同。研發(fā)人員必須參與到安全的建設(shè)體系之中，在研發(fā)過程中時(shí)刻關(guān)注云原生的數(shù)據(jù)安全，以及一些安全管理的權(quán)限。

在小佑目前的容器安全中有非常多的內(nèi)置策略與機(jī)器行為學(xué)習(xí)策略、處置策略與事件。其中一個(gè)特點(diǎn)功能便是編排文件審計(jì)?？梢灾苯訉?duì)接到開發(fā)人員的代碼倉(cāng)庫(kù)之中，從代碼倉(cāng)庫(kù)中讀取代碼倉(cāng)庫(kù)已存在的所有的Dockerfile文件、Yaml文件、編排文件。并通過Dockerfile文件推斷語法，以發(fā)現(xiàn)命令中所存在的問題。

審計(jì)完成后，若存在問題，則報(bào)告研發(fā)人員，并禁止構(gòu)建鏡像。若無安全問題，則直接進(jìn)行修改反饋，待修改完成后生成鏡像。此時(shí)還會(huì)將鏡像逆向?yàn)镈ockerfile，并對(duì)鏡像與Dockerfile文件進(jìn)行對(duì)比，若發(fā)現(xiàn)Dockerfile文件存在篡改，同樣會(huì)進(jìn)行警告。

此外，基于鏡像運(yùn)行的容器業(yè)務(wù)，也會(huì)進(jìn)行逆向，檢測(cè)容器所依賴的鏡像是否正確，鏡像中運(yùn)行的進(jìn)程是否與Dockerfile文件中打包的進(jìn)程名稱相同等。若發(fā)現(xiàn)有任何不統(tǒng)一均會(huì)會(huì)進(jìn)行告警，報(bào)告這個(gè)業(yè)務(wù)存在風(fēng)險(xiǎn)。

云原生是不可變的，不可變的基礎(chǔ)設(shè)施包含了底層操作系統(tǒng)與鏡像，因此鏡像也是不可變的。Dockerfile文件是什么樣的，鏡像構(gòu)建出來一定是對(duì)應(yīng)的。鏡像是什么樣子，運(yùn)行的容器則一定不會(huì)超出這個(gè)范圍。

另一個(gè)特點(diǎn)功能則是從從代碼倉(cāng)庫(kù)里面直接讀取Yaml編排文件。并對(duì)編排文件的權(quán)限limit，若發(fā)現(xiàn)編排文件中存在廢棄語法、錯(cuò)誤語法、高危命令等危險(xiǎn)參數(shù)，都會(huì)進(jìn)行告警。這樣做的目的是要把安全、運(yùn)維與研發(fā)聯(lián)動(dòng)起來。云原生安全一定是運(yùn)維人員、開發(fā)人員和安全人員聯(lián)動(dòng)才能處理，并不是安全部門一個(gè)部門的問題。

目前市面上有很多開源的鏡像的組件的掃描，鏡界容器安全防護(hù)平臺(tái)開源版本與商業(yè)版本最大的一個(gè)區(qū)別是自定義規(guī)則和漏洞庫(kù)。開源的漏洞庫(kù)是基于開源的CBE漏洞庫(kù)去實(shí)現(xiàn)的，支持中國(guó)的CNNVD漏洞庫(kù)。中國(guó)的CNNVD需要合作才能獲取，正常的開源廠商是拿不到CNNVD漏洞庫(kù)的。這是開源和商業(yè)最大的本質(zhì)的區(qū)別。

在商業(yè)版本中，漏洞的自定義功能，例如可信鏡像、基礎(chǔ)鏡像識(shí)別、主機(jī)鏡像掃描等功能，開源產(chǎn)品是不存在的。鏡像倉(cāng)庫(kù)存在安全風(fēng)險(xiǎn)，企業(yè)內(nèi)部建設(shè)安全能力時(shí)，必須對(duì)鏡像倉(cāng)庫(kù)自身的漏洞進(jìn)行掃描。而整個(gè)Harbor的安全漏洞小佑是參與維護(hù)的，因此在這方面我們有著一定的優(yōu)勢(shì)。

集群組件同樣存在風(fēng)險(xiǎn)的，為了發(fā)現(xiàn)集群組件的自身風(fēng)險(xiǎn)，首先需要做集群自身的組合，并基于漏洞庫(kù)和漏洞版本比對(duì)。同時(shí)，對(duì)于API接口漏洞與權(quán)限漏洞，它是版本比對(duì)不出來的，需要用一些POC檢查的方式將整個(gè)集群組件漏洞的風(fēng)險(xiǎn)檢查出來。

對(duì)整個(gè)集群自身組件的配置進(jìn)行掃描，可以掃描配置自身權(quán)限。最早期的K8S默認(rèn)是不開啟認(rèn)證權(quán)限，現(xiàn)在則默認(rèn)https。此外，例如審計(jì)日志是否開啟等功能，需要基于集群安全，配置合規(guī)檢查基線去進(jìn)行掃描。

在云原生微服務(wù)化的場(chǎng)景下，服務(wù)拆分會(huì)導(dǎo)致量級(jí)指數(shù)增長(zhǎng)，這時(shí)便需要安全軟件對(duì)微服務(wù)的自動(dòng)發(fā)現(xiàn)，并對(duì)服務(wù)的類型進(jìn)行識(shí)別，以便使用對(duì)應(yīng)的方式去對(duì)服務(wù)進(jìn)行自動(dòng)的漏洞掃描檢測(cè)。這是非常節(jié)省人力的一種方式。

容器運(yùn)行后的容器內(nèi)安全檢測(cè)，可以通過兩種模式進(jìn)行。一種是機(jī)器行為學(xué)習(xí)，通過把容器內(nèi)部所有的從鏡像開始學(xué)習(xí)，把容器的行為固化掉，同時(shí)對(duì)容器的文件讀寫、進(jìn)程起停和訪問調(diào)用進(jìn)行學(xué)習(xí)，抓出運(yùn)行的全部行為，并記錄到行為模型之中，然后將其總結(jié)為容器的行為模型。容器運(yùn)行的所有的流量，均認(rèn)為它是正常的流量，所有排出的均認(rèn)為是異常流量。

但學(xué)習(xí)需要時(shí)間，若學(xué)習(xí)過程中出遭遇攻擊或執(zhí)行命令，則結(jié)果會(huì)出現(xiàn)偏差。對(duì)此，可以內(nèi)置了攻擊模型的策略，當(dāng)發(fā)現(xiàn)有行為命中了內(nèi)置安全策略時(shí)，則直接就排除。這樣便能結(jié)合機(jī)器行為學(xué)習(xí)防御0 day漏洞，同時(shí)防范學(xué)習(xí)過程中出現(xiàn)攻擊行為這種情況。加之機(jī)器行為學(xué)習(xí)的黑名單內(nèi)置策略組合，便能夠?qū)崿F(xiàn)完美的機(jī)器運(yùn)行時(shí)安全檢測(cè)的閉環(huán)。這是目前容器安全運(yùn)行時(shí)的最佳實(shí)踐。

在云原生領(lǐng)域中，云原生的微隔離必須要實(shí)現(xiàn)以下功能：首先是訪問關(guān)系的可視化。由于云原生隔離天生滿足零信任的風(fēng)險(xiǎn)。K8S沒有IP概念，都是基于Label。而Label是研發(fā)人員、業(yè)務(wù)人員所打的標(biāo)簽，基于標(biāo)簽來動(dòng)態(tài)做微隔離。因此必須要基于學(xué)習(xí)關(guān)系，自動(dòng)生成容器的策略，并將策略進(jìn)行預(yù)演。

當(dāng)策略學(xué)習(xí)完成并確認(rèn)后后，便會(huì)進(jìn)入預(yù)演模式，此時(shí)可以設(shè)置預(yù)演時(shí)間。在一定時(shí)間內(nèi)，所有正常流量，并不會(huì)被阻斷。當(dāng)發(fā)現(xiàn)有流量被策略影響時(shí)，則會(huì)進(jìn)行警告。研發(fā)人員或者業(yè)務(wù)人員會(huì)人為判斷，若業(yè)務(wù)流量安全，則將機(jī)器行為學(xué)習(xí)模型進(jìn)行編輯，把其排除到模型之外。

一定時(shí)間后，若沒有發(fā)現(xiàn)任何其他流量，則學(xué)習(xí)完的策略完全不會(huì)影響正常的流量模式，并且可以防御所有的流量攻擊，這時(shí)點(diǎn)擊策略執(zhí)行，便可在不影響生產(chǎn)業(yè)務(wù)的情況下，將自動(dòng)學(xué)習(xí)到的策略應(yīng)用到生產(chǎn)環(huán)境之中。

最后比較關(guān)鍵的一點(diǎn)，在云原生領(lǐng)域中，云原生安全自身軟件的平臺(tái)須要符合三層架構(gòu)：第一層是管理層，管理平臺(tái)必須與任務(wù)中心解耦，這樣所有的集群才可以匯聚。

當(dāng)鏡像倉(cāng)庫(kù)的數(shù)據(jù)量過大時(shí)，則可以直接將掃描集成到倉(cāng)庫(kù)鏡像之中，掃描的同時(shí)直接讀存儲(chǔ)路徑，而不是靠網(wǎng)絡(luò)帶寬去拉鏡像。這樣能夠極大減少了網(wǎng)絡(luò)占用和磁盤IO的占用，直接進(jìn)行讀取。這是目前容器安全的最優(yōu)的架構(gòu)設(shè)計(jì)。

云原生安全最佳實(shí)踐

云原生環(huán)境下DevSecOps設(shè)計(jì)主要分為三個(gè)部分。第一部分是構(gòu)建環(huán)節(jié)。這里小佑科技提供了一個(gè)黃金鏡像倉(cāng)庫(kù)，其中是加固過的所有的技術(shù)鏡像。研發(fā)人員可以直接基于黃金鏡像倉(cāng)庫(kù)去拉取來構(gòu)建業(yè)務(wù)鏡像。

小佑與CNNVD有官方合作，其漏洞庫(kù)更新后會(huì)直接進(jìn)行同步。小佑也會(huì)根據(jù)每天的漏洞更新來實(shí)時(shí)的維護(hù)自身的黃金鏡像倉(cāng)庫(kù)。另外，小佑擁有自己的掃描器并有專業(yè)的安全研究人員會(huì)對(duì)最新的漏洞和0 day漏洞進(jìn)行研究。

推薦企業(yè)拆分兩個(gè)鏡像倉(cāng)庫(kù)，將生產(chǎn)鏡像倉(cāng)庫(kù)在集群中設(shè)置信任判斷。這樣可以有效防止黑客進(jìn)入集群，并直接拉一個(gè)自己的業(yè)務(wù)容器下來。用一個(gè)K8S接口去拉所有黑客自己的鏡像，能夠直接就進(jìn)行所有的滲透。這種情況下是可以完全避免的。

鏡像的掃描階段是做掃描配置、做業(yè)務(wù)研發(fā)的應(yīng)用層的掃描配置，如果發(fā)現(xiàn)漏洞，則阻止同步。在生產(chǎn)環(huán)境中，可以設(shè)置一個(gè)信任判斷，將所有條件集成到信任判斷之中，例如是否使用了企業(yè)自己的環(huán)境鏡像倉(cāng)庫(kù)，都可以在平臺(tái)上隨意配置。

集群自身的組件與微服務(wù)的漏洞的風(fēng)險(xiǎn)評(píng)估，也可以使用平臺(tái)上的一些功能實(shí)現(xiàn)。以鏡像漏洞掃描和分析為例，可以將鏡像分成拆出來，這樣就可以識(shí)別出來每一個(gè)鏡像依賴于誰做的。技術(shù)影響成分、軟件成分分析、源代碼掃描和開發(fā)安全掃描、應(yīng)用漏洞掃描等。

當(dāng)容器安全平臺(tái)檢測(cè)到攻擊事件后，會(huì)從事前、事中、事后做整體的安全防范。事前對(duì)整個(gè)集群進(jìn)行評(píng)估、加固，加固完成后將所有的行為學(xué)習(xí)啟動(dòng)。進(jìn)行到事中環(huán)節(jié)，進(jìn)行威脅檢查和0 day防御，所有的告警都會(huì)實(shí)時(shí)告警。

當(dāng)發(fā)現(xiàn)攻擊，首先阻止鏡像運(yùn)行，在研發(fā)階段可以阻止鏡像上傳，在倉(cāng)庫(kù)階段可以阻止鏡像下載，在生產(chǎn)環(huán)境可以阻止鏡像運(yùn)行。在容器運(yùn)行起來后的鏡像，可以自動(dòng)或者手動(dòng)執(zhí)行隔離策略。并設(shè)置規(guī)則進(jìn)行自動(dòng)的處理與手動(dòng)處理。

對(duì)于云原生的網(wǎng)絡(luò)安全規(guī)劃，由于不同集群間的網(wǎng)絡(luò)域是不同的，每個(gè)集群之間的物理網(wǎng)絡(luò)默認(rèn)情況下，K8S網(wǎng)絡(luò)插件就是overlay的網(wǎng)絡(luò)插件，因此網(wǎng)絡(luò)域天然會(huì)基于集群與集群之劃分網(wǎng)絡(luò)安全域。

云原生的微隔離必須支持IP的阻斷，既要兼容零信任的和Label的阻斷方式，又要支持IP的配置，這就是云原生的安全平臺(tái)的規(guī)劃方式。同時(shí)，也需要利用好傳統(tǒng)的安全防火墻，不只要上專用的云原生安全防火墻，還要去結(jié)合傳統(tǒng)防火墻進(jìn)行安全防護(hù)。

0day攻擊預(yù)防，可以基于五個(gè)維度進(jìn)行建模：

• 通過對(duì)容器內(nèi)行為進(jìn)行學(xué)習(xí)，建立安全模型

• 當(dāng)檢測(cè)到模型外的進(jìn)程、文件訪問、異常網(wǎng)絡(luò)連接和系統(tǒng)調(diào)用時(shí)，通過關(guān)聯(lián)分析產(chǎn)品風(fēng)險(xiǎn)事件列表

• 人響應(yīng)處理，及時(shí)阻斷異常行為或糾正錯(cuò)誤

• 在測(cè)試環(huán)境中生成模型，直接應(yīng)用于生產(chǎn)環(huán)境，無需重新學(xué)習(xí)

• 零漏洞，支持0 day風(fēng)險(xiǎn)

進(jìn)程的啟動(dòng)和停止，在一定的學(xué)習(xí)周期內(nèi)，進(jìn)程所讀寫的文件，都需要進(jìn)行學(xué)習(xí)。例如在學(xué)習(xí)周期后，突然對(duì)這樣數(shù)據(jù)庫(kù)嘗試著暴力破解，在短時(shí)間內(nèi)有大量的網(wǎng)絡(luò)錯(cuò)誤、驗(yàn)證錯(cuò)誤的攻擊行為，則直接認(rèn)為不符合學(xué)習(xí)規(guī)范。包括系統(tǒng)調(diào)用與配置。

前四個(gè)維度，都是學(xué)習(xí)已經(jīng)運(yùn)行的容器行為，最后則是學(xué)習(xí)未運(yùn)行之前的行為，并預(yù)判運(yùn)行前的狀態(tài)。這是學(xué)習(xí)的五個(gè)維度。并且學(xué)習(xí)是歷史容器和所有前面容器都會(huì)去記錄的，用以0 day攻擊的預(yù)防。