Google開始了一項雲端異常偵測新計畫Forseti Intelligent Agents,以增加Forseti雲端安全工具集的能力。Forseti Intelligent Agents目的是要利用常見的使用者行為模式,來辨識其他異常的資料點,找出隱私與安全性上的異常行為。

Google提到,他們要使用Forseti庫存資料,實作出針對三個使用情境的應用,第一個是要檢測快照之間的異常執行個體,第二個要能用來提醒使用者不尋常的防火牆規則,並提供預期行為的比較,第三個則是要能對異常行為提供潛在的補救措施。

Forseti是一個由社群驅動開發的開源工具集,旨在幫助使用者提高GCP雲端環境的安全性,而Forseti Intelligent Agents是Google新啟動的計畫,以自動化識別異常資料,讓安全專家免於麻煩且耗時的手動標記資料工作。

目前這項計畫已經有了初步的進展,Google以偵測防火牆異常行為作為試驗範例,他們採用了多面向的方法(下圖),除了將防火牆資料輸入至BigQuery表格中,準備、操作資料,接著建置和評估模型,與此同時,Google也加入了特徵等級的單層決策樹(Feature-level Decision Stump),這是把其中一個特徵當作標籤,其他的特徵作為一般的特徵來建置的決策樹,Google利用這個單層決策樹進行分組以及樣本檢測。

Google使用連接埠、IP協定和行為等屬性作為訓練扁平防火牆規則模型的資料,並使用k-means叢集、單層決策樹以及低維度空間視覺化等技術進行分析。

綜合以上的成果,Google對一個具有上千防火牆規則的組織進行掃描,發現了一些隱私與安全性的異常行為(下圖)。Google在這個實驗中是使用靜態資料,但研究人員提到,要在系統中使用動態資料也沒問題,在這個偵測防火牆異常行為的案例中,接下來Google還會使用防火墻規則的階層位置以及網路相關元資料,繼續增加其異常偵測的能力。

Forseti Intelligent Agents計畫的能力,在於使用一些資料就能標記出異常資料,還能幫助產生可用於分析用的標記資料,目前只是Forseti Intelligent Agents的初期發展階段,Google號召社群參與計畫研究,提升Forseti開源工具集的功能,以進一步維護雲端安全。


Advertisement

更多 iThome相關內容