В операционной системе Нейтрино для обнаружения аномалий используется сервис
Управление
Для просмотра деталей по конкретному объекту используется команда
Обнаруженные аномалии можно изучить через
amon, который анализирует активность процессов. Этот сервис включает в себя основной демон amon, утилиту управления amonctl, графический интерфейс amongui и модуль ядра amon-operator-kernel-kernel.so. После запуска сервиса, он переходит в режим сбора данных, используя нейронную сеть для анализа. Изображение носит иллюстративный характер
Управление
amon осуществляется через утилиту amonctl, предоставляющую ряд параметров, таких как просмотр сводной информации, списка отслеживаемых объектов, списка аномалий и деталей по отдельным объектам и аномалиям. Вначале, система находится в режиме без данных, но после переключения в режим обучения (amonctl -L) и последующего режима анализа (amonctl -R), начинает выявлять отклонения в поведении. Для просмотра деталей по конкретному объекту используется команда
amonctl -o <object_id> -p, которая показывает параметры, на основе которых строится анализ, включая использование памяти, открытые каналы, дескрипторы файлов, время процессора, информацию о стеке потоков и подключенных библиотеках. Аномалии обнаруживаются при запуске новых, необученных процессов, например, калькулятора, что приводит к генерации оповещений. Обнаруженные аномалии можно изучить через
amonctl -A, а затем «запомнить» с помощью amonctl -l <alert_id>, что добавляет поведение в модель и предотвращает будущие срабатывания на аналогичные ситуации. Графический интерфейс amongui позволяет визуализировать данные, наблюдать за общим состоянием системы и историей отклонений, а также изучать детали по процессам и аномалиям. Модульность системы позволяет расширять её функциональность, разрабатывая собственные операторы данных и клиентские приложения.
