IBM宣布将SysFlow资料格式开源，用于防范云端资料外洩

　　本周IBM研究院宣布将SysFlow资料格式开源，以用于防范云端资料外洩，宣称比传统网络流量分析准确率更高。

　　在所有黑入企业网络的事件中，与应用程式漏洞相关的达25%，而且这类攻击往往潜伏在网络上数百天，进而扩大企业资讯外洩的规模。这些数据显示，传统防御工具已不足以防范资料外洩。传统网络流量监控及系统误用的监控系统，无法透通显示特定应用的活动，跟不上不断演化的攻击、错误率高，让可疑事件的侦察好比大海捞针。

　　本周，IBM研究院在Flocon2020会议上，将自行研发用于云端应用及服务的监控技术SysFlow开源出来。

　　SysFow是一个监控系统行为的系统遥测资料格式和工具套件。它可将系统活动视觉化为一个以flow为中心、物件关联性的地图，可纪录应用程式和其环境的互动状况，有点类似NetFlow用于网络通讯的监控。但NetFlow只能汇集网络互动，SysFlow则可以将网络行为与流程及档案存取资讯之间建立连结，以提供更丰富的分析脉络。这个分析脉络有助于汇集主机和容器作业活动，深度分析攻击以减少误判，比传统网络流量分析侦测率更高。

　　虽然归集系统事件的遥测技术并不新，但IBM表示，现有监控技术归集了太细的系统资料，导致资料太庞大而只能运用简单的规则式(rule-based)分析。SysFlow可以规模顺序来减少资料归集率，可减少储存容量，并将事件转为利于监识应用所用的恶意行为资讯，进行威胁猎捕和监识分析。此外，SysFlow的开放序列化(serialization)格式和函式库，也方便和开源框架(如Spartk、scikit-learn)及自订的分析微服务整合。

　　IBM已经将SysFlow文件及专案开放于GitHub及Docker Hub等。