IBM开源云端系统遥测资料格式SysFlow

本周IBM研究院宣布将SysFlow资料格式开源，以用于防範云端资料外洩，宣称比传统网路流量分析準确率更高。

在所有骇入企业网路的事件中，与应用程式漏洞相关的达25%，而且这类攻击往往潜伏在网路上数百天，进而扩大企业资讯外洩的规模。这些数据显示，传统防御工具已不足以防範资料外洩。传统网路流量监控及系统误用的监控系统，无法透通显示特定应用的活动，跟不上不断演化的攻击、错误率高，让可疑事件的侦察好比大海捞针。

本周，IBM研究院在Flocon2020会议上，将自行研发用于云端应用及服务的监控技术SysFlow开源出来。

SysFow是一个监控系统行为的系统遥测资料格式和工具套件。它可将系统活动视觉化为一个以flow为中心、物件关联性的地图，可纪录应用程式和其环境的互动状况，有点类似NetFlow用于网路通讯的监控。但NetFlow只能蒐集网路互动，SysFlow则可以将网路行为与流程及档案存取资讯之间建立连结，以提供更丰富的分析脉络。这个分析脉络有助于蒐集主机和容器作业活动，深度分析攻击狙杀鍊（kill chain）以减少误判，比传统网路流量分析侦测率更高。

虽然蒐集系统事件的遥测技术并不新，但IBM表示，现有监控技术蒐集了太细的系统呼叫资料，导致资料太庞大而只能运用简单的规则式（rule-based）分析。SysFlow可以规模顺序来减少资料蒐集率，可减少储存容量，并将事件转为利于鉴识应用所用的恶意行为资讯，进行威胁猎捕和鉴识分析。此外，SysFlow的开放序列化（serialization）格式和函式库，也方便和开源框架（如Spartk、scikit-learn）及自订的分析微服务整合。

IBM已经将SysFlow文件及专案开放于GitHub及Docker Hub等。