Введение: бесфайловые атаки позволяют использовать память для исполнения вредоносного кода без сохранения на диск. Это существенно усложняет их обнаружение и делает традиционные методы защиты неэффективными, особенно в динамических контейнерных средах. Контейнерные системы, например Docker и Kubernetes, по сравнению с виртуальными машинами имеют меньший объем контролируемых данных, что упрощает анализ событий и построение графов активности. Цель: разработать метод обнаружения бесфайловых атак в контейнеризированной инфраструктуре, устойчивый к шуму и эвазивным техникам при неполном мониторинге, обеспечивающий раннюю сигнализацию до достижения критических ресурсов. Результаты: предложен риск-центричный метод, который основан на гетерогенном графе и графе системных вызовов. Выделяются зоны риска вокруг событий, зафиксированных с помощью расширенного фильтра пакетов eBPF, после чего формируется математическая модель зон риска с охраняемым замыканием и вычислением потенциала риска на основе поглощающих случайных блужданий. В модели дополнительно учитываются контексты контейнеров и временные параметры, что дает возможность уменьшить количество ложноположительных срабатываний. Метод позволяет локализовать зоны риска и стабильно работает при потере части событий. Эксперименты проводились на кластере Kubernetes (v1.32) под управлением Ubuntu 24.04 с использованием Tetragon (eBPF) и Falco для контроля качества. Собрано 580 эпизодов поведения контейнеров, включая атакующие и фоновые сценарии, на основе которых формировались гетерогенные графы исполнения и системных вызовов. Предложенный метод превосходит статические правила, n-gram-модели системных вызовов и глобальные графовые методы по метрикам AUROC и AUPRC, демонстрируя повышенную устойчивость к эвазивным техникам. Практическая значимость: разработанный метод подходит для работы с существующими сенсорами и политиками контейнерной безопасности и позволяет администраторам получать интерпретируемые зоны риска и показатели вероятности атаки. Обсуждение: представленная математическая модель и практическая реализация подтверждают применимость риск-центричного анализа для практического обнаружения актуальных бесфайловых угроз в современных контейнерных средах; метод масштабируем, параметризуем и не требует модификации приложений.