Google推动Forseti新计画要主动帮用户侦测云端异常活动

Google开始了一项云端异常侦测新计画Forseti Intelligent Agents，以增加Forseti云端安全工具集的能力。Forseti Intelligent Agents目的是要利用常见的使用者行为模式，来辨识其他异常的资料点，找出隐私与安全性上的异常行为。

Google提到，他们要使用Forseti库存资料，实作出针对三个使用情境的应用，第一个是要检测快照之间的异常执行个体，第二个要能用来提醒使用者不寻常的防火墙规则，并提供预期行为的比较，第三个则是要能对异常行为提供潜在的补救措施。

Forseti是一个由社群驱动开发的开源工具集，旨在帮助使用者提高GCP云端环境的安全性，而Forseti Intelligent Agents是Google新启动的计画，以自动化识别异常资料，让安全专家免于麻烦且耗时的手动标记资料工作。

目前这项计画已经有了初步的进展，Google以侦测防火墙异常行为作为试验範例，他们採用了多面向的方法（下图），除了将防火墙资料输入至BigQuery表格中，準备、操作资料，接着建置和评估模型，与此同时，Google也加入了特徵等级的单层决策树（Feature-level Decision Stump），这是把其中一个特徵当作标籤，其他的特徵作为一般的特徵来建置的决策树，Google利用这个单层决策树进行分组以及样本检测。

Google使用连接埠、IP协定和行为等属性作为训练扁平防火墙规则模型的资料，并使用k-means丛集、单层决策树以及低维度空间视觉化等技术进行分析。

综合以上的成果，Google对一个具有上千防火墙规则的组织进行扫描，发现了一些隐私与安全性的异常行为（下图）。Google在这个实验中是使用静态资料，但研究人员提到，要在系统中使用动态资料也没问题，在这个侦测防火墙异常行为的案例中，接下来Google还会使用防火墻规则的阶层位置以及网路相关元资料，继续增加其异常侦测的能力。

Forseti Intelligent Agents计画的能力，在于使用一些资料就能标记出异常资料，还能帮助产生可用于分析用的标记资料，目前只是Forseti Intelligent Agents的初期发展阶段，Google号召社群参与计画研究，提升Forseti开源工具集的功能，以进一步维护云端安全。