勒索軟件攻擊變得越來越普遍，越來越復(fù)雜，也越來越難以檢測。例如，在 2022 年，一次破壞性的勒索軟件攻擊需要 233 天才被識別，91 天才被遏制，其總生命周期為 324 天。在如此長的時間內(nèi)未被檢測到可能會造成不可逆轉(zhuǎn)的損害。更快、更智能的檢測能力對于應(yīng)對這些攻擊至關(guān)重要。

使用 NVIDIA DPU 和 GPU

進行勒索軟件行為檢測

由于敵人和惡意軟件的發(fā)展速度比防御者更快，安全團隊往往難以跟蹤變化并維護已知威脅的簽名。為了解決這一問題，我們需要將人工智能與高級安全監(jiān)控相結(jié)合。開發(fā)者可以利用 NVIDIA BlueField DPU（數(shù)據(jù)處理器），支持 DOCA App Shield 的 NVIDIA DOCA SDK 和 NVIDIA Morpheus 網(wǎng)絡(luò)安全人工智能框架等先進技術(shù)來構(gòu)建解決方案，以更快地檢測勒索軟件攻擊。

使用 BlueField DPU 進行入侵檢測

BlueField DPU 非常適合實現(xiàn)一流的零信任安全性，并將該安全性擴展到基于主機的保護。借助內(nèi)置隔離，這將創(chuàng)建一個獨立于主機系統(tǒng)的信任域，并在主機系統(tǒng)中部署入侵檢測系統(tǒng)（IDS）安全代理。如果主機受到攻擊，DPU 上的安全控制代理與主機之間的隔離層可防止攻擊在整個數(shù)據(jù)中心蔓延。

DOCA App Shield 是 NVIDIA DOCA 軟件框架提供的庫之一。它是一個用于主機監(jiān)控的安全框架，使網(wǎng)絡(luò)安全供應(yīng)商能夠創(chuàng)建 IDS 解決方案，快速識別對任何物理服務(wù)器或虛擬機的攻擊。

DOCA App Shield 在 NVIDIA DPU 上作為一個帶外（OOB）設(shè)備與主機 CPU 和操作系統(tǒng)分離的域中運行，并且是：

1. 抵御對主機的攻擊。

2. 對主機應(yīng)用程序的執(zhí)行干擾最小。

DOCA App Shield 向開發(fā)安全應(yīng)用程序的用戶提供 API。為了檢測來自 DPU Arm 處理器的惡意活動，它使用 DMA，而不涉及主機操作系統(tǒng)或 CPU。相反，反病毒或端點檢測響應(yīng)的標(biāo)準(zhǔn)代理在主機上運行，可以被攻擊者或惡意軟件發(fā)現(xiàn)或破壞。

圖 1：NVIDIA BlueField-3 DPU 400 Gb/s 基礎(chǔ)設(shè)施計算平臺

適用于網(wǎng)絡(luò)安全的 Morpheus 人工智能框架

Morpheus 是 NVIDIA AI Enterprise 軟件產(chǎn)品系列的一部分，旨在構(gòu)建復(fù)雜的 ML 和基于 AI 的流水線。它顯著加速了人工智能流水線，以處理高數(shù)據(jù)量、分類數(shù)據(jù)并識別異常、漏洞、網(wǎng)絡(luò)釣魚、受感染的機器和許多其他安全問題。 Morpheus 可以使用 GPU 加速的服務(wù)器，如 NVIDIA EGX Enterprise Platform，也可以通過云端部署進行訪問。

圖 2：采用 BlueField DPU 遙測的 NVIDIA Morpheus

利用 AI 解決勒索軟件問題

在 Morpheus 中的一個預(yù)訓(xùn)練的 AI 模型是勒索軟件檢測流水線，它利用 NVIDIA DOCA App-Shield 作為數(shù)據(jù)源。這為檢測以前無法實時檢測的勒索軟件攻擊帶來了一個新的安全級別。

圖 3：勒索軟件檢測 AI 流水線

BlueField DPU 內(nèi)部

BlueField DPU 提供了新的 OS-Inspector 檢測應(yīng)用程序，以利用 DOCA App-Shield 主機監(jiān)控功能，并能夠從受監(jiān)控的主機或虛擬機中不斷收集操作系統(tǒng)屬性。OS-Inspector 應(yīng)用程序現(xiàn)在可以通過早期訪問獲得。

收集的操作系統(tǒng)屬性包括進程、線程、庫、句柄和 vad（有關(guān)完整的 API 列表，請參閱 App-Shield 編程指南）。

OS-Inspector 應(yīng)用程序使用 DOCA 遙測服務(wù)，使用 Kafka 事件流平臺將屬性流式傳輸?shù)?Morpheus 推理服務(wù)器。

Morpheus 推理框架內(nèi)部

Morpheus 勒索軟件檢測 AI 流水線使用 GPU 加速度處理數(shù)據(jù)，并將數(shù)據(jù)傳輸?shù)嚼账鬈浖z測人工智能模型。

這個基于樹的模型根據(jù)服務(wù)器中的可疑屬性來檢測勒索軟件攻擊。它使用 N-gram 特征來捕捉屬性隨時間的變化，并檢測任何可疑的異常情況。

當(dāng)檢測到攻擊時，Morpheus 會生成一個推理事件，并向安全團隊觸發(fā)實時警報，以采取進一步的緩解措施。

圖 4：勒索軟件檢測模型

FinSec 實驗室用例

NVIDIA 合作伙伴 FinSec Innovation Lab 是 Mastercard 和 Enel X 的合資企業(yè)，在 NVIDIA GTC 2023 上展示了其對抗勒索軟件攻擊的解決方案。

FinSec 運行了一個 POC，該 POC 使用 BlueField DPU 和 Morpheus 網(wǎng)絡(luò)安全 AI 框架來訓(xùn)練模型，在不到 12 秒的時間內(nèi)檢測到勒索軟件攻擊。這種實時響應(yīng)使他們能夠隔離虛擬機，并在受感染的服務(wù)器上保護 80% 的數(shù)據(jù)。

了解更多信息

運行 DOCA App Shield 的 BlueField DPU 可實現(xiàn) OOB 主機監(jiān)控。與 Morpheus 一起，開發(fā)者可以快速構(gòu)建人工智能模型，以更好的抵御網(wǎng)絡(luò)攻擊。OS-Inspector 應(yīng)用程序現(xiàn)在可以通過早期訪問獲得。

掃描下方二維碼，立即訪問 DOCA。

掃描下方二維碼，查看更多有關(guān) NVIDIA Morpheus 的信息。

?

更多精彩內(nèi)容 使用 NVIDIA DOCA 2.2 加速數(shù)據(jù)中心工作負載和 AI 應(yīng)用程序
利用 NVIDIA DOCA Flow 實現(xiàn) DPU 加速數(shù)據(jù)包轉(zhuǎn)向邏輯
使用 NVIDIA DOCA GPUNetIO 實現(xiàn)實時網(wǎng)絡(luò)處理功能