首页 > 最新资讯 > 使用 AI 增强的网络安全解决方案强化勒索软件检测
使用 AI 增强的网络安全解决方案强化勒索软件检测

使用 AI 增强的网络安全解决方案强化勒索软件检测

2023-10-08 17:43

#人工智能 #深度学习


 

勒索软件攻击变得越来越普遍,越来越复杂,也越来越难以检测。例如,在 2022 年,一次破坏性的勒索软件攻击需要 233 天才被识别,91 天才被遏制,其总生命周期为 324 天。在如此长的时间内未被检测到可能会造成不可逆转的损害。更快、更智能的检测能力对于应对这些攻击至关重要。

使用 NVIDIA DPUGPU

进行勒索软件行为检测

由于敌人和恶意软件的发展速度比防御者更快,安全团队往往难以跟踪变化并维护已知威胁的签名。为了解决这一问题,我们需要将人工智能与高级安全监控相结合。开发者可以利用 NVIDIA BlueField DPU(数据处理器),支持 DOCA App Shield 的 NVIDIA DOCA SDK 和 NVIDIA Morpheus 网络安全人工智能框架等先进技术来构建解决方案,以更快地检测勒索软件攻击。

使用 BlueField DPU 进行入侵检测

BlueField DPU 非常适合实现一流的零信任安全性,并将该安全性扩展到基于主机的保护。借助内置隔离,这将创建一个独立于主机系统的信任域,并在主机系统中部署入侵检测系统(IDS)安全代理。如果主机受到攻击,DPU 上的安全控制代理与主机之间的隔离层可防止攻击在整个数据中心蔓延。

DOCA App Shield 是 NVIDIA DOCA 软件框架提供的库之一。它是一个用于主机监控的安全框架,使网络安全供应商能够创建 IDS 解决方案,快速识别对任何物理服务器或虚拟机的攻击。

DOCA App Shield 在 NVIDIA DPU 上作为一个带外(OOB)设备与主机 CPU 和操作系统分离的域中运行,并且是:

抵御对主机的攻击。

对主机应用程序的执行干扰最小。

DOCA App Shield 向开发安全应用程序的用户提供 API。为了检测来自 DPU Arm 处理器的恶意活动,它使用 DMA,而不涉及主机操作系统或 CPU。相反,反病毒或端点检测响应的标准代理在主机上运行,可以被攻击者或恶意软件发现或破坏。

图 1:NVIDIA BlueField-3 DPU 400 Gb/s 基础设施计算平台

适用于网络安全的 Morpheus 人工智能框架

 
Morpheus 是 NVIDIA AI Enterprise 软件产品系列的一部分,旨在构建复杂的 ML 和基于 AI 的流水线。它显著加速了人工智能流水线,以处理高数据量、分类数据并识别异常、漏洞、网络钓鱼、受感染的机器和许多其他安全问题。
 
Morpheus 可以使用 GPU 加速的服务器,如 NVIDIA EGX Enterprise Platform,也可以通过云端部署进行访问。

图 2:采用 BlueField DPU 遥测的 NVIDIA Morpheus

 

利用 AI 解决勒索软件问题

在 Morpheus 中的一个预训练的 AI 模型是勒索软件检测流水线,它利用 NVIDIA DOCA App-Shield 作为数据源。这为检测以前无法实时检测的勒索软件攻击带来了一个新的安全级别。

图 3:勒索软件检测 AI 流水线

BlueField DPU 内部

 
BlueField DPU 提供了新的 OS-Inspector 检测应用程序,以利用 DOCA App-Shield 主机监控功能,并能够从受监控的主机或虚拟机中不断收集操作系统属性。OS-Inspector 应用程序现在可以通过早期访问获得。

收集的操作系统属性包括进程、线程、库、句柄和 vad(有关完整的 API 列表,请参阅 App-Shield 编程指南)。

OS-Inspector 应用程序使用 DOCA 遥测服务,使用 Kafka 事件流平台将属性流式传输到 Morpheus 推理服务器。

Morpheus 推理框架内部

Morpheus 勒索软件检测 AI 流水线使用 GPU 加速度处理数据,并将数据传输到勒索软件检测人工智能模型。

这个基于树的模型根据服务器中的可疑属性来检测勒索软件攻击。它使用 N-gram 特征来捕捉属性随时间的变化,并检测任何可疑的异常情况。

当检测到攻击时,Morpheus 会生成一个推理事件,并向安全团队触发实时警报,以采取进一步的缓解措施。

图 4:勒索软件检测模型
 

FinSec 实验室用例

NVIDIA 合作伙伴 FinSec Innovation Lab 是 Mastercard 和 Enel X 的合资企业,在 NVIDIA GTC 2023 上展示了其对抗勒索软件攻击的解决方案。

FinSec 运行了一个 POC,该 POC 使用 BlueField DPU 和 Morpheus 网络安全 AI 框架来训练模型,在不到 12 秒的时间内检测到勒索软件攻击。这种实时响应使他们能够隔离虚拟机,并在受感染的服务器上保护 80% 的数据。

相关新闻