這很有用但也會產(chǎn)生大量“噪音”，更難以發(fā)現(xiàn)威脅。IBM研究人員Frederico Araujo和Teryl Taylor稱在這種情況下尋找漏洞無異于“大海撈針”。

　　SysFlow減少了安全團隊必須篩選的信息量。該工具包可以從給定的系統(tǒng)中收集操作數(shù)據(jù)，并將這些數(shù)據(jù)壓縮到一個模型中，該模型可以顯示系統(tǒng)的高級別行為而不是單個事件（例如HTTP請求），而且還可以呈現(xiàn)這種本地化事件，但是SysFlow會將其與相關行為模式進行關聯(lián)，而不是為了詳細分析提供必要的上下文。

　　Araujo和Taylor在一篇博客文章中舉例了一種示漏洞場景，結果證明該工具包是非常方便的。他們假設黑客發(fā)現(xiàn)了企業(yè)網(wǎng)絡中存在漏洞的Node.js服務器，將惡意腳本下載到該服務器上，然后入侵了敏感的客戶數(shù)據(jù)庫。

　　兩位研究人員解釋說：“先進的監(jiān)視工具只能捕獲斷開連接的事件流，但SysFlow可以連接系統(tǒng)上每個攻擊步驟的實體。例如，突出顯示的SysFlow跟蹤情況可以精確地映射攻擊殺死鏈的每一步：劫持node.js進程，然后與端口2345上的遠程惡意軟件服務器進行對話，以下載并執(zhí)行惡意腳本。”

　　SysFlow不僅可以幫助安全團隊發(fā)現(xiàn)威脅，而且在這個過程中還能節(jié)省硬件資源。據(jù)IBM稱，與傳統(tǒng)工具相比，該工具包降低安全數(shù)據(jù)收集率是“數(shù)量級”的。

　　SysFlow具有內(nèi)置的規(guī)則引擎，可自定義自動發(fā)現(xiàn)可疑事件。除了漏洞之外，該工具包還可以發(fā)現(xiàn)違反法規(guī)的情況，例如將財務記錄保存在不恰當?shù)牡胤�。當需要進行更高粒度的檢測時，安全團隊可以將他們的自定義威脅識別算法編程到SysFlow中。

　　IBM認為，該平臺可與其他開源工具一起使用。“SysFlow的開放序列化格式和庫，支持與開放源代碼框架（例如Spark、scikit-learn）和自定義分析微服務的集成，”Araujo和Taylor在博客中這樣寫道。

　　SysFlow能夠將原始系統(tǒng)數(shù)據(jù)轉換為高級別查看惡意行為情況，這個功能是其他解決方案也能提供的。目前有幾家安全保護廠商（包括最近剛剛獲得融資的初創(chuàng)公司Cyber??eason）都提供了商業(yè)化的調查工具，可以追蹤攻擊者攻擊企業(yè)網(wǎng)絡的路徑。但是，IBM以開源的形式免費提供SysFlow，這一點將讓SysFlow在安全工具生態(tài)系統(tǒng)中占據(jù)特殊的位置。