發(fā)現(xiàn)和制止威脅的傳統(tǒng)方法已不再有效。一個(gè)原因是，隨著應(yīng)用程序和系統(tǒng)之間的互連不斷增加，攻擊者進(jìn)入系統(tǒng)并造成破壞的方式也越來越多。

將人工智能應(yīng)用于這個(gè)問題似乎是一個(gè)自然選擇，但從某種意義上說，這擴(kuò)大了數(shù)據(jù)問題。一個(gè)典型的用戶在工作時(shí)可能會(huì)與 100 個(gè)或更多的應(yīng)用程序交互，而應(yīng)用程序之間的集成意味著這 100 個(gè)應(yīng)用程序之間可能會(huì)有成千上萬的互連和共享權(quán)限。如果你有 10000 個(gè)用戶，你需要 10000 個(gè)模型作為開始。

好消息是 NVIDIA Morpheus 解決了這個(gè)問題。 NVIDIA 最近宣布了對 Morpheus 的更新，這是一個(gè)應(yīng)用于 網(wǎng)絡(luò)安全問題的數(shù)據(jù)科學(xué)的端到端工具。

問題概述

任何給定應(yīng)用的被破壞的憑據(jù)都會(huì)給攻擊者一個(gè)巨大的權(quán)限世界，隨著時(shí)間的推移，這些權(quán)限不會(huì)是明顯的或靜態(tài)的。在 2021 ， 61% 的攻擊的根源是受損的憑據(jù) 。

雖然大多數(shù)應(yīng)用程序和系統(tǒng)都會(huì)創(chuàng)建日志，但這些日志的種類、數(shù)量和速度意味著可能的大部分響應(yīng)是“在馬離開后關(guān)上牲口棚的門”。如果幸運(yùn)的話，識別憑證違規(guī)和造成的損害可能需要數(shù)周時(shí)間，如果一般的話，則需要數(shù)月時(shí)間。

由于用戶數(shù)量超過“適度”或“非常適度”，傳統(tǒng)的基于規(guī)則的系統(tǒng)無法創(chuàng)建警告。當(dāng)用戶或系統(tǒng)開始做一些不尋常的事情時(shí)，一個(gè)知道另一個(gè)人或系統(tǒng)典型行為的人幾乎會(huì)立即注意到可疑的事情。

每個(gè)賬戶都有一個(gè)數(shù)字指紋：它在特定的時(shí)間序列中做或不做的一組典型的事情。這個(gè)問題不再僅僅通過定期重置的強(qiáng)密碼、一個(gè)規(guī)則表和定期從日志數(shù)據(jù)海洋中對日志進(jìn)行滴大小的抽查來解決。

問題在于理解每個(gè)用戶的日常工作。這是一個(gè)數(shù)據(jù)科學(xué)問題。

多種方法的模型集成

10000 個(gè)型號已經(jīng)夠嚇人的了。但如果我們致力于解決網(wǎng)絡(luò)安全問題，就像嚴(yán)重的數(shù)據(jù)科學(xué)問題一樣，一種模式是不夠的。在最關(guān)鍵的數(shù)據(jù)科學(xué)問題中，最先進(jìn)的技術(shù)是整合多個(gè)模型。

模型集成是指以某種方式組合模型，以提供比單個(gè)模型更好的預(yù)測。事實(shí)證明，“群體智慧”也是正確的，許多機(jī)器學(xué)習(xí)方法都試圖預(yù)測同樣的事情。

在識別惡意攻擊的數(shù)字指紋的案例中， Morpheus 采用了兩種不同的模型，并使用它們來提醒人類分析師可能存在的嚴(yán)重危險(xiǎn)。一種方法只有幾年的歷史，另一種方法有幾百年的歷史：

因?yàn)楣粼噲D通過模仿給定帳戶的行為來隱藏其行為，所以自動(dòng)編碼器測試給定用戶的行為作為平面快照的典型程度。

因?yàn)楣羰菚簳r(shí)的，所以傅里葉變換用于理解隨時(shí)間變化的典型行為。

方法 1 ：自動(dòng)編碼器

在使用 Morpheus 啟用的特定示例中，自動(dòng)編碼器根據(jù) AWS CloudTrail 數(shù)據(jù)進(jìn)行訓(xùn)練。 CloudTrail 日志是可以轉(zhuǎn)換為表格數(shù)據(jù)的嵌套 JSON 對象。數(shù)據(jù)字段隨時(shí)間和用戶的不同而變化很大。這需要神經(jīng)網(wǎng)絡(luò)方法提供的靈活性和 Morpheus 平臺的一部分 RAPIDS 的預(yù)處理速度。 Morpheus 在此用例中部署的特定神經(jīng)網(wǎng)絡(luò)方法是自動(dòng)編碼器。

圖 1 自動(dòng)編碼器架構(gòu)。

從較高的層次上講，自動(dòng)編碼器是一種神經(jīng)網(wǎng)絡(luò)，它試圖從給定的數(shù)據(jù)中提取噪聲，并以近似的形式重建該數(shù)據(jù)，而不產(chǎn)生噪聲，同時(shí)盡可能真實(shí)地反映實(shí)際數(shù)據(jù)。

例如，想象一張表面有劃痕的照片。一個(gè)好的自動(dòng)編碼器可以在沒有劃痕的情況下再現(xiàn)底層圖片。一個(gè)訓(xùn)練有素的自動(dòng)編碼器，一個(gè)熟悉其領(lǐng)域的自動(dòng)編碼器，在重建給定數(shù)據(jù)時(shí)具有低的“損失”或誤差。

在本例中，您將獲取給定用戶的典型行為，去掉細(xì)微變化的“噪音”，然后復(fù)制該數(shù)字指紋。與任何統(tǒng)計(jì)問題一樣，每個(gè)編碼事件都有一個(gè)相關(guān)的丟失或錯(cuò)誤。

要部署此解決方案，請更新 Morpheus 附帶的預(yù)訓(xùn)練模型，為每個(gè)用戶/服務(wù)和機(jī)器/服務(wù)交互提供一段典型的無攻擊數(shù)據(jù)。將這些模型移至 MueEUS 的英偉達(dá) Triton 推理服務(wù)器層。

令人驚訝的是，實(shí)際的自動(dòng)編碼被丟棄，丟失的數(shù)字被保留。定義了一個(gè)用戶定義的閾值，用于標(biāo)記要由人工審核的帳戶。默認(rèn)選項(xiàng)是經(jīng)典的 Z 分?jǐn)?shù)：損失的四個(gè)標(biāo)準(zhǔn)差是否高于此用戶的平均損失？

圖 2 ?，F(xiàn)代企業(yè)的組合爆炸及其安全要求

方法 2 ：快速傅立葉變換

圖 3 Morpheus 框架捕獲的異?；顒?dòng)的兩個(gè)時(shí)間點(diǎn)，如果不進(jìn)行 FFT 等時(shí)間序列分析，可能無法檢測到

快速傅立葉變換（ FFT ）提取數(shù)據(jù)噪聲下波的基本行為。傅立葉分析是在 1700 年代后期發(fā)展起來的，在金融、交通工程、經(jīng)濟(jì)學(xué)以及網(wǎng)絡(luò)安全等領(lǐng)域的應(yīng)用數(shù)學(xué)分析中仍然具有非常重要的價(jià)值。

一個(gè)給定的時(shí)間序列可以分解成不同的組成部分，顯示有規(guī)律的季節(jié)、每周和每小時(shí)的變化以及趨勢。分解一個(gè)時(shí)間序列可以讓分析師了解，盡管存在持續(xù)的振蕩，但隨著時(shí)間的推移，一些東西是否確實(shí)在增長。他們還可以了解網(wǎng)絡(luò)安全用例是否對時(shí)間序列感興趣，以及在正常的流量漲落之外是否有真正不尋常的事情發(fā)生。

機(jī)器應(yīng)用程序活動(dòng)往往會(huì)隨著時(shí)間的推移而振蕩，攻擊者的活動(dòng)可能很難在數(shù)據(jù)中的周期性噪音中檢測出來，而僅僅是一個(gè)體積警報(bào)。要在周期數(shù)據(jù)中發(fā)現(xiàn)細(xì)微的異常，可以使用 FFT 將數(shù)據(jù)從時(shí)域轉(zhuǎn)換到頻域。然后將信號重建回時(shí)域（使用 iFFT ），但僅使用前 90% 的頻率。原始信號和重構(gòu)信號之間的較大差異表示機(jī)器活動(dòng)異常并可能受到惡意人類活動(dòng)危害的時(shí)間。

Morpheus 通過了解給定用戶/服務(wù)和機(jī)器/服務(wù)系統(tǒng)交互的正?；顒?dòng)周期，應(yīng)用 FFTs 。在此之后， GPU 快速執(zhí)行分解，并對轉(zhuǎn)換后的數(shù)據(jù)應(yīng)用滾動(dòng) Z 分?jǐn)?shù)，以標(biāo)記異常的時(shí)段。作為參考， CuPy FFT 分解比通過 NumPy 進(jìn)行的類似運(yùn)算快 120 倍。有關(guān)更多信息，請參閱 比較 Tensorflow 、 PyTorch 、 CuPy 、 PyFFTW 和 NumPy 的 FFT 速度測試 。

把它們放在一起

Morpheus 是幫助人類分析師的工具。這意味著，當(dāng)它向一個(gè)人發(fā)送正確數(shù)量的數(shù)據(jù)時(shí)，它是最有用的。

圖 4 NVIDIA Morpheus 工作流

回到前面的討論， Morpheus 使用了投票組合。這兩種模型最緊急標(biāo)記的數(shù)據(jù)被發(fā)送給人類安全團(tuán)隊(duì)。這使得網(wǎng)絡(luò)安全紅色團(tuán)隊(duì)的力量倍增，他們將寶貴的時(shí)間用于威脅的實(shí)時(shí)展開，而不是數(shù)周或數(shù)月后。

網(wǎng)絡(luò)安全數(shù)據(jù)問題就像從淤泥中提煉礦石：你從大量的零開始，當(dāng)你篩選、提煉和分析時(shí)，你得到了一些真正值得一看的東西。雖然我們不認(rèn)為系統(tǒng)入侵是黃金，但我們知道分析師的時(shí)代是黃金。

有效的防御需要情報(bào)工具來幫助跟蹤和確定優(yōu)先級。 Morpheus 部署的復(fù)雜方法的集成正是為了實(shí)現(xiàn)這一點(diǎn)。這意味著為部署 Morpheus 的企業(yè)降低了財(cái)務(wù)、聲譽(yù)和運(yùn)營風(fēng)險(xiǎn)。

試試看

Morpheus 附帶了代碼、數(shù)據(jù)和模型，讓您能夠了解用例如何工作，并了解 Morpheus 將如何為您的企業(yè)工作。使用前面的工作流，您觀察到 micro-F1 分?jǐn)?shù)為 1 。此外，在多個(gè)實(shí)驗(yàn)中，你發(fā)現(xiàn)錯(cuò)誤歸因率接近 0% （機(jī)器與人類相比）。

除了最先進(jìn)的數(shù)據(jù)科學(xué)和預(yù)建模型外， Morpheus 還被設(shè)計(jì)為網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)的平臺。它無縫地結(jié)合了一套 NVIDIA 和 Cyber Log Accelerator （ CLX ）技術(shù)，使部署變得簡單快捷。

請記住，這些模型，特別是 FFT 模型，不能完全冷啟動(dòng)，必須提供一定數(shù)量的數(shù)據(jù)，代表正常的、無攻擊的 CloudTrail 日志流。

這僅僅是 Morpheus 可以做些什么來阻止困擾企業(yè)的黑客幽靈的開始。很容易想象，在不久的將來，為了獲得更高的預(yù)測精度，將同時(shí)部署更多的模型。

關(guān)于作者

Rachel Allen 是 NVIDIA Morpheus 團(tuán)隊(duì)的高級網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)家，她的重點(diǎn)是 GPU 加速機(jī)器學(xué)習(xí)方法的研究和應(yīng)用，以幫助解決信息安全挑戰(zhàn)。在加入 NVIDIA 之前， Rachel 是 Booz Allen Hamilton 的首席數(shù)據(jù)科學(xué)家，她在那里設(shè)計(jì)了各種先進(jìn)的威脅搜尋和網(wǎng)絡(luò)防御能力。她擁有弗吉尼亞大學(xué)認(rèn)知科學(xué)學(xué)士學(xué)位和神經(jīng)科學(xué)博士學(xué)位。

About Gorkem Batmaz

Gorkem Batmaz 是 NVIDIA RAPIDS-CLX 團(tuán)隊(duì)的高級數(shù)據(jù)科學(xué)家。他的重點(diǎn)是應(yīng)用 GPU 加速高性能分析來解決網(wǎng)絡(luò)安全挑戰(zhàn)。他開發(fā)了開源的基于 ML / NLP 的預(yù)測性維護(hù)、網(wǎng)絡(luò)釣魚 DGA 惡意軟件檢測、資產(chǎn)分類和周期性檢測解決方案。

審核編輯：郭婷