Google开始了一项云计算异常侦测新计划Forseti Intelligent Agents,以增加Forseti云计算安全工具集的能力。Forseti Intelligent Agents目的是要利用常见的用户行为模式,来识别其他异常的数据点,找出隐私与安全性上的异常行为。
Google提到,他们要使用Forseti库存数据,实例出针对三个使用场景的应用,第一个是要检测快照之间的异常执行实例,第二个要能用来提醒用户不寻常的防火墙规则,并提供预期行为的比较,第三个则是要能对异常行为提供潜在的补救措施。
Forseti是一个由社群驱动开发的开源工具集,旨在帮助用户提高GCP云计算环境的安全性,而Forseti Intelligent Agents是Google新启动的计划,以自动化识别异常数据,让安全专家免于麻烦且耗时的手动标记数据工作。
目前这项计划已经有了初步的进展,Google以侦测防火墙异常行为作为试验范例,他们采用了多面向的方法(下图),除了将防火墙数据输入至BigQuery表格中,准备、操作数据,接着构建和评估模型,与此同时,Google也加入了特征等级的单层决策树(Feature-level Decision Stump),这是把其中一个特征当作标签,其他的特征作为一般的特征来构建的决策树,Google利用这个单层决策树进行分组以及样本检测。
Google使用连接端口、IP协议和行为等属性作为训练扁平防火墙规则模型的数据,并使用k-means集群、单层决策树以及低维度空间可视化等技术进行分析。
综合以上的成果,Google对一个具有上千防火墙规则的组织进行扫描,发现了一些隐私与安全性的异常行为(下图)。Google在这个实验中是使用静态数据,但研究人员提到,要在系统中使用动态数据也没问题,在这个侦测防火墙异常行为的案例中,接下来Google还会使用防火墙规则的阶层位置以及网络相关元数据,继续增加其异常侦测的能力。
Forseti Intelligent Agents计划的能力,在于使用一些数据就能标记出异常数据,还能帮助产生可用于分析用的标记数据,目前只是Forseti Intelligent Agents的初期发展阶段,Google号召社群参与计划研究,提升Forseti开源工具集的功能,以进一步维护云计算安全。