Google推动Forseti新计划,要主动帮用户侦测云端异常活动

发布于2019-05-23 22:50:58

导读: Google开始了一项云端异常侦测新计划ForsetiIntelligentAgents,以增加Forseti云端安全工具集的能力。ForsetiIntelligentAgents目
导读: Google使用了Forseti的库存资料发展多面向方法,以主动侦测异常的资料点,可应用于防火墙或是异常执行个体侦测

Google开始了一项云端异常侦测新计划Forseti Intelligent Agents,以增加Forseti云端安全工具集的能力。Forseti Intelligent Agents目的是要利用常见的使用者行为模式,来辨识其他异常的资料点,找出隐私与安全性上的异常行为。

Google提到,他们要使用Forseti库存资料,实作出针对三个使用情境的应用,第一个是要检测快照之间的异常执行个体,第二个要能用来提醒使用者不寻常的防火墙规则,并提供预期行为的比较,第三个则是要能对异常行为提供潜在的补救措施。

Forseti是一个由社群驱动开发的开源工具集,旨在帮助使用者提高GCP云端环境的安全性,而Forseti Intelligent Agents是Google新启动的计划,以自动化识别异常资料,让安全专家免于麻烦且耗时的手动标记资料工作。

目前这项计划已经有了初步的进展,Google以侦测防火墙异常行为作为试验范例,他们采用了多面向的方法(下图),除了将防火墙资料输入至BigQuery表格中,准备、操作资料,接着建置和评估模型,与此同时,Google也加入了特征等级的单层决策树(Feature-level Decision Stump),这是把其中一个特征当作标签,其他的特征作为一般的特征来建置的决策树,Google利用这个单层决策树进行分组以及样本检测。

Google使用连接埠、IP协定和行为等属性作为训练扁平防火墙规则模型的资料,并使用k-means丛集、单层决策树以及低维度空间视觉化等技术进行分析。

综合以上的成果,Google对一个具有上千防火墙规则的组织进行扫描,发现了一些隐私与安全性的异常行为(下图)。Google在这个实验中是使用静态资料,但研究人员提到,要在系统中使用动态资料也没问题,在这个侦测防火墙异常行为的案例中,接下来Google还会使用防火墙规则的阶层位置以及网络相关元资料,继续增加其异常侦测的能力。

Forseti Intelligent Agents计划的能力,在于使用一些资料就能标记出异常资料,还能帮助产生可用于分析用的标记资料,目前只是Forseti Intelligent Agents的初期发展阶段,Google号召社群参与计划研究,提升Forseti开源工具集的功能,以进一步维护云端安全。