默认值

稳定的行为是我们期望容器进程在按预期运行且未受到影响的情况下正常进行的操作。我们可以对收集到的任何数据采用同样的方法：访问和审计日志、度量和遥测、系统调用和网络活动。

大多数系统默认情况下都没有入侵检测功能，除非进行了配置。

威胁模型

入侵检测 可以检测到对 BCTL 系统的威胁。如果攻击者在容器中获取远程代码执行 (RCE)，他们可能会控制进程，改变其行为。可能表明系统被入侵的潜在非稳定行为包括

• 新的或不允许的系统调用（也许是 fork 或 exec 系统调用，以创建类似 bash 或 sh 的 shell）

• 任何意外的网络、文件系统、文件元数据或设备访问

• 应用程序的使用和顺序

• 无法解释的进程或文件

• 更改用户或身份设置

• 系统和内核配置事件

在与更广泛的系统交互时，流程的任何属性和行为也可能受到审查。

当然，您不希望对合法活动发出警报，因此需要授权预期行为。这要么是预先配置的规则和签名，要么是在非生产环境中观察流程时了解到的。

应识别这些威胁，并将其配置为向 IDS 系统发出警报。我们将在本章了解如何操作。

传统 IDS

在了解云本地 IDS 之前，让我们先来看看这些年来比较突出的其他几种入侵检测应用。

传统的入侵检测系统分为 基于网络的 IDS 或基于主机的 IDS（NIDS 或 HIDS），有些工具同时提供这两种功能。这些系统历来使用主机内核或网络适配器发出的信号，并不了解容器使用的 Linux 命名空间。

Linux auditd 系统调用事件，但这并不能很好地关联分布式系统中各节点的活动。它也被认为是重量级的（会产生大量日志），而且由于命名空间进程的 ID 跟踪 "复杂且不完整"，它无法按命名空间进行区分。

Suricata、Snort 和Zeek等工具根据规则和脚本引擎检查 网络流量，可以在同一主机上运行，也可以（因为它们往往是资源密集型的）在连接到被观察网络的专用硬件上运行。加密或隐写有效载荷可能会逃过此类 NIDS ...