本周IBM研究院宣佈將SysFlow資料格式開源,以用於防範雲端資料外洩,宣稱比傳統網路流量分析準確率更高。

在所有駭入企業網路的事件中,與應用程式漏洞相關的達25%,而且這類攻擊往往潛伏在網路上數百天,進而擴大企業資訊外洩的規模。這些數據顯示,傳統防禦工具已不足以防範資料外洩。傳統網路流量監控及系統誤用的監控系統,無法透通顯示特定應用的活動,跟不上不斷演化的攻擊、錯誤率高,讓可疑事件的偵察好比大海撈針。

本周,IBM研究院在Flocon2020會議上,將自行研發用於雲端應用及服務的監控技術SysFlow開源出來。

SysFow是一個監控系統行為的系統遙測資料格式和工具套件。它可將系統活動視覺化為一個以flow為中心、物件關聯性的地圖,可紀錄應用程式和其環境的互動狀況,有點類似NetFlow用於網路通訊的監控。但NetFlow只能蒐集網路互動,SysFlow則可以將網路行為與流程及檔案存取資訊之間建立連結,以提供更豐富的分析脈絡。這個分析脈絡有助於蒐集主機和容器作業活動,深度分析攻擊狙殺鍊(kill chain)以減少誤判,比傳統網路流量分析偵測率更高。

雖然蒐集系統事件的遙測技術並不新,但IBM表示,現有監控技術蒐集了太細的系統呼叫資料,導致資料太龐大而只能運用簡單的規則式(rule-based)分析。SysFlow可以規模順序來減少資料蒐集率,可減少儲存容量,並將事件轉為利於鑑識應用所用的惡意行為資訊,進行威脅獵捕和鑑識分析。此外,SysFlow的開放序列化(serialization)格式和函式庫,也方便和開源框架(如Spartk、scikit-learn)及自訂的分析微服務整合。

IBM已經將SysFlow文件及專案開放於GitHubDocker Hub等。


Advertisement

更多 iThome相關內容