CLUSTERED CONTAINER PROTECTION

One or more computer processors determine a runtime feature set for a first container, wherein the runtime feature set includes aggregated temporally collocated container behavior. The one or more computer processors cluster the first container with one or more peer containers or peer pods based on a shared container purpose, similar container behaviors, and similar container file structure. The one or more computer processors determine an additional runtime feature set for each peer container. The one or more computer processors calculate a variance between the first container and each peer container. The one or more computer processors, responsive to the calculated variance exceeding a variance threshold, identify the first container as anomalous. Un ou plusieurs processeurs informatiques déterminent un ensemble de caractéristiques d'exécution pour un premier conteneur, l'ensemble de caractéristiques d'exécution comportant un comportement de conteneur colocalisé temporellement agrégé. Le ou les processeurs informatiques mettent en grappe le premier conteneur avec un ou plusieurs conteneurs homologues ou modules homologues sur la base d'un but de conteneur partagé, de comportements de conteneur similaires, et d'une structure de fichier de conteneur similaire. Le ou les processeurs informatiques déterminent un ensemble de caractéristiques d'exécution supplémentaires pour chaque conteneur homologue. Le ou les processeurs informatiques calculent une variance entre le premier conteneur et chaque conteneur homologue. Le ou les processeurs informatiques, en réponse au dépassement d'un seuil par la variance calculée, identifient le premier conteneur comme anormal.