IBM研究尝试室开源SysFlow以应对云威胁
|
至顶网收集与安详频道 01月13日 编译:IBM研究尝试室克日公布宣布开源安详器材包SysFlow,用于查找云和容器情形中的裂痕。SysFlow旨在办理收集掩护中的常见题目。当代安详监控器材可以高准确度地捕捉体系勾当,跟踪到单个变乱譬喻文件变动操纵等。 这很有效但也会发生大量“噪音”,更难以发明威胁。IBM研究职员Frederico Araujo和Teryl Taylor称在这种环境下探求裂痕无异于“大海捞针”。 SysFlow镌汰了安详团队必需筛选的信息量。该器材包可以从给定的体系中网络操纵数据,并将这些数据压缩到一个模子中,该模子可以表现体系的高级别举动而不是单个变乱(譬喻HTTP哀求),并且还可以泛起这种当地化变乱,可是SysFlow会将其与相干举动模式举办关联,而不是为了具体说明提供须要的上下文。 Araujo和Taylor在一篇博客文章中举例了一种示裂痕场景,功效证明该器材包长短常利便的。他们假设黑客发明白企业收集中存在裂痕的Node.js处事器,将恶意剧本下载到该处事器上,然后入侵了敏感的客户数据库。 两位研究职员表明说:“先辈的监督器材只能捕捉断开毗连的变乱流,但SysFlow可以毗连络统上每个进攻步调的实体。譬喻,突出表现的SysFlow跟踪环境可以准确地映射进攻杀死链的每一步:挟制node.js历程,然后与端口2345上的长途恶意软件处事器举办对话,以下载并执行恶意剧本。” SysFlow不只可以辅佐安详团队发明威胁,并且在这个进程中还能节减硬件资源。据IBM称,与传统器材对比,该器材包低落安详数据网络率是“数目级”的。 SysFlow具有内置的法则引擎,可自界说自动发明可疑变乱。除了裂痕之外,该器材包还可以发明违背礼貌的环境,譬喻将财政记录生涯在不适当的处所。当必要举办更高粒度的检测时,安详团队可以将他们的自界说威胁辨认算法编程到SysFlow中。 IBM以为,该平台可与其他开源器材一路行使。“SysFlow的开放序列化名目和库,支持与开放源代码框架(譬喻Spark、scikit-learn)和自界说说明微处事的集成,”Araujo和Taylor在博客中这样写道。 SysFlow可以或许将原始体系数据转换为高级别查察恶意举动环境,这个成果是其他办理方案也能提供的。今朝有几家安详掩护厂商(包罗最近方才得到融资的初创公司Cybereason)都提供了贸易化的观测器材,可以追踪进攻者进攻企业收集的路径。可是,IBM以开源的情势免费提供SysFlow,这一点将让SysFlow在安详器材生态体系中占有非凡的位置。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
