發(fā)現(xiàn)和制止威脅的傳統(tǒng)方法已不再有效。一個原因是，隨著應(yīng)用程序和系統(tǒng)之間的互連不斷增加，攻擊者進(jìn)入系統(tǒng)并造成破壞的方式也越來越多。

將人工智能應(yīng)用于這個問題似乎是一個自然選擇，但從某種意義上說，這擴(kuò)大了數(shù)據(jù)問題。一個典型的用戶在工作時可能會與 100 個或更多的應(yīng)用程序交互，而應(yīng)用程序之間的集成意味著這 100 個應(yīng)用程序之間可能會有成千上萬的互連和共享權(quán)限。如果你有 10000 個用戶，你需要 10000 個模型作為開始。

好消息是 NVIDIA Morpheus 解決了這個問題。 NVIDIA 最近宣布了對 Morpheus 的更新，這是一個應(yīng)用于 網(wǎng)絡(luò)安全問題的數(shù)據(jù)科學(xué)的端到端工具。

問題概述

任何給定應(yīng)用的被破壞的憑據(jù)都會給攻擊者一個巨大的權(quán)限世界，隨著時間的推移，這些權(quán)限不會是明顯的或靜態(tài)的。在 2021 ， 61% 的攻擊的根源是受損的憑據(jù) 。

雖然大多數(shù)應(yīng)用程序和系統(tǒng)都會創(chuàng)建日志，但這些日志的種類、數(shù)量和速度意味著可能的大部分響應(yīng)是“在馬離開后關(guān)上牲口棚的門”。如果幸運的話，識別憑證違規(guī)和造成的損害可能需要數(shù)周時間，如果一般的話，則需要數(shù)月時間。

由于用戶數(shù)量超過“適度”或“非常適度”，傳統(tǒng)的基于規(guī)則的系統(tǒng)無法創(chuàng)建警告。當(dāng)用戶或系統(tǒng)開始做一些不尋常的事情時，一個知道另一個人或系統(tǒng)典型行為的人幾乎會立即注意到可疑的事情。

每個賬戶都有一個數(shù)字指紋：它在特定的時間序列中做或不做的一組典型的事情。這個問題不再僅僅通過定期重置的強(qiáng)密碼、一個規(guī)則表和定期從日志數(shù)據(jù)海洋中對日志進(jìn)行滴大小的抽查來解決。

問題在于理解每個用戶的日常工作。這是一個數(shù)據(jù)科學(xué)問題。

多種方法的模型集成

10000 個型號已經(jīng)夠嚇人的了。但如果我們致力于解決網(wǎng)絡(luò)安全問題，就像嚴(yán)重的數(shù)據(jù)科學(xué)問題一樣，一種模式是不夠的。在最關(guān)鍵的數(shù)據(jù)科學(xué)問題中，最先進(jìn)的技術(shù)是整合多個模型。

模型集成是指以某種方式組合模型，以提供比單個模型更好的預(yù)測。事實證明，“群體智慧”也是正確的，許多機(jī)器學(xué)習(xí)方法都試圖預(yù)測同樣的事情。

在識別惡意攻擊的數(shù)字指紋的案例中， Morpheus 采用了兩種不同的模型，并使用它們來提醒人類分析師可能存在的嚴(yán)重危險。一種方法只有幾年的歷史，另一種方法有幾百年的歷史：

因為攻擊試圖通過模仿給定帳戶的行為來隱藏其行為，所以自動編碼器測試給定用戶的行為作為平面快照的典型程度。

因為攻擊是暫時的，所以傅里葉變換用于理解隨時間變化的典型行為。

方法 1 ：自動編碼器

在使用 Morpheus 啟用的特定示例中，自動編碼器根據(jù) AWS CloudTrail 數(shù)據(jù)進(jìn)行訓(xùn)練。 CloudTrail 日志是可以轉(zhuǎn)換為表格數(shù)據(jù)的嵌套 JSON 對象。數(shù)據(jù)字段隨時間和用戶的不同而變化很大。這需要神經(jīng)網(wǎng)絡(luò)方法提供的靈活性和 Morpheus 平臺的一部分 RAPIDS 的預(yù)處理速度。 Morpheus 在此用例中部署的特定神經(jīng)網(wǎng)絡(luò)方法是自動編碼器。

圖 1 自動編碼器架構(gòu)。

從較高的層次上講，自動編碼器是一種神經(jīng)網(wǎng)絡(luò)，它試圖從給定的數(shù)據(jù)中提取噪聲，并以近似的形式重建該數(shù)據(jù)，而不產(chǎn)生噪聲，同時盡可能真實地反映實際數(shù)據(jù)。

例如，想象一張表面有劃痕的照片。一個好的自動編碼器可以在沒有劃痕的情況下再現(xiàn)底層圖片。一個訓(xùn)練有素的自動編碼器，一個熟悉其領(lǐng)域的自動編碼器，在重建給定數(shù)據(jù)時具有低的“損失”或誤差。

在本例中，您將獲取給定用戶的典型行為，去掉細(xì)微變化的“噪音”，然后復(fù)制該數(shù)字指紋。與任何統(tǒng)計問題一樣，每個編碼事件都有一個相關(guān)的丟失或錯誤。

要部署此解決方案，請更新 Morpheus 附帶的預(yù)訓(xùn)練模型，為每個用戶/服務(wù)和機(jī)器/服務(wù)交互提供一段典型的無攻擊數(shù)據(jù)。將這些模型移至 MueEUS 的英偉達(dá) Triton 推理服務(wù)器層。

令人驚訝的是，實際的自動編碼被丟棄，丟失的數(shù)字被保留。定義了一個用戶定義的閾值，用于標(biāo)記要由人工審核的帳戶。默認(rèn)選項是經(jīng)典的 Z 分?jǐn)?shù)：損失的四個標(biāo)準(zhǔn)差是否高于此用戶的平均損失？

圖 2 。現(xiàn)代企業(yè)的組合爆炸及其安全要求

方法 2 ：快速傅立葉變換

圖 3 Morpheus 框架捕獲的異?；顒拥膬蓚€時間點，如果不進(jìn)行 FFT 等時間序列分析，可能無法檢測到

快速傅立葉變換（ FFT ）提取數(shù)據(jù)噪聲下波的基本行為。傅立葉分析是在 1700 年代后期發(fā)展起來的，在金融、交通工程、經(jīng)濟(jì)學(xué)以及網(wǎng)絡(luò)安全等領(lǐng)域的應(yīng)用數(shù)學(xué)分析中仍然具有非常重要的價值。

一個給定的時間序列可以分解成不同的組成部分，顯示有規(guī)律的季節(jié)、每周和每小時的變化以及趨勢。分解一個時間序列可以讓分析師了解，盡管存在持續(xù)的振蕩，但隨著時間的推移，一些東西是否確實在增長。他們還可以了解網(wǎng)絡(luò)安全用例是否對時間序列感興趣，以及在正常的流量漲落之外是否有真正不尋常的事情發(fā)生。

機(jī)器應(yīng)用程序活動往往會隨著時間的推移而振蕩，攻擊者的活動可能很難在數(shù)據(jù)中的周期性噪音中檢測出來，而僅僅是一個體積警報。要在周期數(shù)據(jù)中發(fā)現(xiàn)細(xì)微的異常，可以使用 FFT 將數(shù)據(jù)從時域轉(zhuǎn)換到頻域。然后將信號重建回時域（使用 iFFT ），但僅使用前 90% 的頻率。原始信號和重構(gòu)信號之間的較大差異表示機(jī)器活動異常并可能受到惡意人類活動危害的時間。

Morpheus 通過了解給定用戶/服務(wù)和機(jī)器/服務(wù)系統(tǒng)交互的正常活動周期，應(yīng)用 FFTs 。在此之后， GPU 快速執(zhí)行分解，并對轉(zhuǎn)換后的數(shù)據(jù)應(yīng)用滾動 Z 分?jǐn)?shù)，以標(biāo)記異常的時段。作為參考， CuPy FFT 分解比通過 NumPy 進(jìn)行的類似運算快 120 倍。有關(guān)更多信息，請參閱 比較 Tensorflow 、 PyTorch 、 CuPy 、 PyFFTW 和 NumPy 的 FFT 速度測試 。

把它們放在一起

Morpheus 是幫助人類分析師的工具。這意味著，當(dāng)它向一個人發(fā)送正確數(shù)量的數(shù)據(jù)時，它是最有用的。

圖 4 NVIDIA Morpheus 工作流

回到前面的討論， Morpheus 使用了投票組合。這兩種模型最緊急標(biāo)記的數(shù)據(jù)被發(fā)送給人類安全團(tuán)隊。這使得網(wǎng)絡(luò)安全紅色團(tuán)隊的力量倍增，他們將寶貴的時間用于威脅的實時展開，而不是數(shù)周或數(shù)月后。

網(wǎng)絡(luò)安全數(shù)據(jù)問題就像從淤泥中提煉礦石：你從大量的零開始，當(dāng)你篩選、提煉和分析時，你得到了一些真正值得一看的東西。雖然我們不認(rèn)為系統(tǒng)入侵是黃金，但我們知道分析師的時代是黃金。

有效的防御需要情報工具來幫助跟蹤和確定優(yōu)先級。 Morpheus 部署的復(fù)雜方法的集成正是為了實現(xiàn)這一點。這意味著為部署 Morpheus 的企業(yè)降低了財務(wù)、聲譽(yù)和運營風(fēng)險。

試試看

Morpheus 附帶了代碼、數(shù)據(jù)和模型，讓您能夠了解用例如何工作，并了解 Morpheus 將如何為您的企業(yè)工作。使用前面的工作流，您觀察到 micro-F1 分?jǐn)?shù)為 1 。此外，在多個實驗中，你發(fā)現(xiàn)錯誤歸因率接近 0% （機(jī)器與人類相比）。

除了最先進(jìn)的數(shù)據(jù)科學(xué)和預(yù)建模型外， Morpheus 還被設(shè)計為網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)的平臺。它無縫地結(jié)合了一套 NVIDIA 和 Cyber Log Accelerator （ CLX ）技術(shù)，使部署變得簡單快捷。

請記住，這些模型，特別是 FFT 模型，不能完全冷啟動，必須提供一定數(shù)量的數(shù)據(jù)，代表正常的、無攻擊的 CloudTrail 日志流。

這僅僅是 Morpheus 可以做些什么來阻止困擾企業(yè)的黑客幽靈的開始。很容易想象，在不久的將來，為了獲得更高的預(yù)測精度，將同時部署更多的模型。

關(guān)于作者

Rachel Allen 是 NVIDIA Morpheus 團(tuán)隊的高級網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)家，她的重點是 GPU 加速機(jī)器學(xué)習(xí)方法的研究和應(yīng)用，以幫助解決信息安全挑戰(zhàn)。在加入 NVIDIA 之前， Rachel 是 Booz Allen Hamilton 的首席數(shù)據(jù)科學(xué)家，她在那里設(shè)計了各種先進(jìn)的威脅搜尋和網(wǎng)絡(luò)防御能力。她擁有弗吉尼亞大學(xué)認(rèn)知科學(xué)學(xué)士學(xué)位和神經(jīng)科學(xué)博士學(xué)位。

About Gorkem Batmaz

Gorkem Batmaz 是 NVIDIA RAPIDS-CLX 團(tuán)隊的高級數(shù)據(jù)科學(xué)家。他的重點是應(yīng)用 GPU 加速高性能分析來解決網(wǎng)絡(luò)安全挑戰(zhàn)。他開發(fā)了開源的基于 ML / NLP 的預(yù)測性維護(hù)、網(wǎng)絡(luò)釣魚 DGA 惡意軟件檢測、資產(chǎn)分類和周期性檢測解決方案。

審核編輯：郭婷