這很有用但也會(huì )產(chǎn)生大量“噪音”，更難以發(fā)現威脅。IBM研究人員Frederico Araujo和Teryl Taylor稱(chēng)在這種情況下尋找漏洞無(wú)異于“大海撈針”。

　　SysFlow減少了安全團隊必須篩選的信息量。該工具包可以從給定的系統中收集操作數據，并將這些數據壓縮到一個(gè)模型中，該模型可以顯示系統的高級別行為而不是單個(gè)事件（例如HTTP請求），而且還可以呈現這種本地化事件，但是SysFlow會(huì )將其與相關(guān)行為模式進(jìn)行關(guān)聯(lián)，而不是為了詳細分析提供必要的上下文。

　　Araujo和Taylor在一篇博客文章中舉例了一種示漏洞場(chǎng)景，結果證明該工具包是非常方便的。他們假設黑客發(fā)現了企業(yè)網(wǎng)絡(luò )中存在漏洞的Node.js服務(wù)器，將惡意腳本下載到該服務(wù)器上，然后入侵了敏感的客戶(hù)數據庫。

　　兩位研究人員解釋說(shuō)：“先進(jìn)的監視工具只能捕獲斷開(kāi)連接的事件流，但SysFlow可以連接系統上每個(gè)攻擊步驟的實(shí)體。例如，突出顯示的SysFlow跟蹤情況可以精確地映射攻擊殺死鏈的每一步：劫持node.js進(jìn)程，然后與端口2345上的遠程惡意軟件服務(wù)器進(jìn)行對話(huà)，以下載并執行惡意腳本。”

　　SysFlow不僅可以幫助安全團隊發(fā)現威脅，而且在這個(gè)過(guò)程中還能節省硬件資源。據IBM稱(chēng)，與傳統工具相比，該工具包降低安全數據收集率是“數量級”的。

　　SysFlow具有內置的規則引擎，可自定義自動(dòng)發(fā)現可疑事件。除了漏洞之外，該工具包還可以發(fā)現違反法規的情況，例如將財務(wù)記錄保存在不恰當的地方。當需要進(jìn)行更高粒度的檢測時(shí)，安全團隊可以將他們的自定義威脅識別算法編程到SysFlow中。

　　IBM認為，該平臺可與其他開(kāi)源工具一起使用。“SysFlow的開(kāi)放序列化格式和庫，支持與開(kāi)放源代碼框架（例如Spark、scikit-learn）和自定義分析微服務(wù)的集成，”Araujo和Taylor在博客中這樣寫(xiě)道。

　　SysFlow能夠將原始系統數據轉換為高級別查看惡意行為情況，這個(gè)功能是其他解決方案也能提供的。目前有幾家安全保護廠(chǎng)商（包括最近剛剛獲得融資的初創(chuàng )公司Cyber??eason）都提供了商業(yè)化的調查工具，可以追蹤攻擊者攻擊企業(yè)網(wǎng)絡(luò )的路徑。但是，IBM以開(kāi)源的形式免費提供SysFlow，這一點(diǎn)將讓SysFlow在安全工具生態(tài)系統中占據特殊的位置。