Apache Metron 晋升顶级项目

  • Dylan Raithel
  • Rays

2017 年 5 月 22 日

话题:大数据AI

Hortonworks 和 Apache宣布Metron 正式晋升为顶级项目。Metron是一种多功能的安全遥测数据捕获、流分析和威胁响应平台,代表了安全数据平台的最新发展水平。该项目最早可溯源至 Cisco 的开源大数据系统安全框架项目OpenSOC。Metron 提供的功能包括:日志的聚合、对网络包全面捕获的索引和存储、高级行为分析及数据浓缩,并可以将当前的威胁情报信息应用到安全遥测中。Metron 在同一平台中集成实现了所有的这些功能。

Metron 从概念上可划分为四个组件:数据捕获与摄取、实时数据处理、受保证的数据持久化和存储、用于驱动监控和风险报警服务的机器学习模型。

从核心上看 Metron 是Kappa架构。Kappa 是Lambda架构的一种变体,使用 Apache Kafka 作为统一的数据总线,并使用 Apache Strom 作为处理组件。Bro 插件提供了将Bro日志发送给 Kafka 的能力,这使得 Metron 可以捕获对深度探究数据包尤为有用的数据、借助 Kafka 的可靠性保证捕获并重建数据,以及与其他大数据生态系统进行集成。

数据捕获组件实现将遥测数据发布到 Metron 的消息总线上,进而持久化或经由 Storm 进行实时处理到HBase中。Metron 对被捕获的数据提供了多种方法建立搜索索引和进行实时与近实时处理。Metron 提供了数据接口,使得 HBase 可根据情况与 ElasticSearch、LuceneSolr进行接口。Metron 默认提供的系统管理和仪表盘接口是基于Kibana构建的。

Metron 具有一些不同于新兴数据流水线标准的特征。首先,Metron 是通过Stellar与一系列的数据转换功能和 API 进行集成的。Stellar 是一种威胁情报分离和场转换语言,通过 Metron 的 RESTful模型即服务(MaaS,Modeling-as-a-Service)功能进行部署和执行。MaaS 功能使用Yarn管理,设计实现为一种实时或近实时的威胁检测和响应机制。其次,数据浓缩工具集提供了管理和加载各种数据浓缩和威胁情报源到 Metron 的 HBase 数据接收器的功能。通过 MaaS 部署的机器学习模型,Metron 实现了对数据浓缩步骤的增强。最后一点,Metron 提供了一系列的分析工具。当实时和近实时的遥测数据进入数据总线以及在 HBase 中持久化时,分析工具实现了执行特性抽取和截取数据窗口的机制。

该 Apache 项目由Owen O'Malley领导,最早正是他负责将 OpenSOC 项目迁移为 Metron 项目。

查看英文原文: Apache Metron Graduates to Top-Level Project

大数据AI