基于AI的网络安全可更快检测威胁

陆英

连接的用户和设备数量不断增加，导致整个网络上产生了大量数据，根据IDC预测，数据每年呈指数级增长，预计到2025年，全球将产生179.6 ZB的数据。这相当于每天平均产生493 EB的数据。所有这些数据和网络流量带来了网络安全挑战，企业正在产生的数据超过了他们所能收集和分析的数据量，而且绝大多数数据都未得到利用。

如果不利用这些数据，企业就无法构建健壮且丰富的模型，并检测其环境中的异常偏差。无法检查这些数据会导致未被发现的安全漏洞、较长的修复时间，并导致公司遭受巨大的财务损失。

2021年，每周的网络攻击企图惊人地增长了50 %，网络安全团队必须找到更好的方法，从而保护这些庞大的网络、数据和设备。

为了解决网络安全数据问题，安全团队可能会实施智能采样（smart sampling）或智能过滤（smart filtering），他们要么分析数据子集，要么过滤掉被认为无关紧要的数据。通常采用这些方法是因为分析网络中的所有数据成本高昂且极具挑战性。

公司可能没有基础设施来处理或及时处理如此大规模的数据。事实上，平均需要277天来识别和控制一个漏洞。为了提供针对网络威胁的有效保护，快速分析所有数据会产生更好的结果。NVIDIA Morpheus GPU加速网络安全AI框架首次实现了实时检查所有网络流量的能力，从而以前所未有的规模解决网络安全数据问题。

使用Morpheus可以构建优化的AI流程（Pipeline）来过滤、处理和分类这些大量实时数据，使网络安全分析师能够更快地检测和修复威胁。

新的可视化功能有助于更快地查明威胁

NVIDIA Morpheus的新版本为网络安全数据提供了可视化，使网络安全分析师能够更有效地检测和修复威胁。此前，网络安全分析师会检查大量原始数据，可能每周分析数10万个事件来寻找异常情况。

Morpheus包括几个预构建的端到端工作流，用于解决不同的网络安全用例。数字指纹（Digital fingerprinting）是预构建的工作流之一，旨在分析网络中每个人和机器的行为，以检测异常行为。Morpheus数字指纹预训练模型实现了高达100 %的数据可见性，并为企业数据中心的每个用户、服务、帐户和机器提供唯一的指纹。当用户和机器活动发生变化时，它使用无监督学习来进行标记。

数字指纹工作流程包括精细可调的可解释性，提供突出显示异常的度量，以及确定何时应标记某些事件的阈值。二者都可以根据环境进行定制。

数字指纹还包括一个新的可视化工具，它可以向安全分析师提供关于偏离正常行为的洞察，包括偏离的方式以及与偏离相关的内容。分析师不仅会收到问题警报，还可以快速地了解细节，并确定一系列可操作的后续步骤。这使组织在数据分析方面有了数量级的改进，有可能将针对特定攻击模式的检测威胁时间从几周减少到几分钟。

NVIDIA Morpheus已经对数据进行了分析和优先级排序，因此很容易看出何时发现了异常。在可视化中，数据的组织方式是使重要的数据位于顶部，颜色表示异常分值，深色较好浅色较差。安全分析师可以轻松识别异常，因为它具有优先级，并且易于发现。安全分析师可以选择一个浅色六边形，并快速查看与事件相关的数据。

借助NVIDIA Morpheus，AI可执行大量数据过滤和缩减，在网络传播过程中呈现关键行为异常。它可以为安全分析师提供更多关于個别事件的背景信息，并将这些点与其他可能发生的不良事件联系起来。

Morpheus有助于保护敏感信息的安全

Morpheus包含的另一个预构建工作流是敏感信息检测，以帮助查找和分类泄露的凭据、密钥、密码、信用卡号、银行账号等。

Morpheus的敏感信息检测工作流包括一个基于可视化图形的解释程序，使安全分析师能够更容易地发现有泄漏的敏感数据。在敏感信息检测的可视化中，可以看到网络的表示，其中点是服务器，线是服务器之间流动的数据包。

部署Morpheus后，AI推理将在整个网络中启用。敏感信息检测模型经过培训以识别敏感信息，例如AWS凭据、GitHub凭据、私钥和密码。如果在数据包中观察到其中任何一个，则显示为红线。

Morpheus中的AI模型搜索每个数据包，在遇到敏感数据时不断标记。这不是使用模式匹配，而是使用经过训练的深度神经网络来概括和识别静态规则集之外的模式。

注意所有单独的行，可以看到，人类很快就会被所有传入的数据淹没。使用Morpheus中的可视化功能，可以立即看到代表泄漏敏感信息的线条。将鼠标悬停在其中一条红线上会显示有关凭证的信息，从而更容易进行分类和修复。

借助Morpheus，网络安全应用程序可集成和收集信息，以实现自动事件管理和行动优先化。为了加快恢复速度，可以使用原始服务器、目标服务器、公开的凭据甚至原始数据。

多进程管道线的支持实现新的网络安全工作流

多进程管道线使Morpheus能够支持新的网络安全工作流，可以智能地进行批处理以减少延迟。例如，具有深度学习和机器学习的网络安全工作流可能使用相同的数据，但具有不同的派生功能。集成必须结合在一起，但机器学习比深度学习快得多。Morpheus现在可以在多条管道线中动态批处理，以优化端到端时间并极力减少延迟。

实现新的基于人工智能的网络安全解决方案

使用Morpheus，网络安全从业者可以访问预构建的AI工作流，如数字指纹、敏感信息检测等。

Morpheus使网络安全开发者和ISV能够构建基于AI的解决方案。它包括开发人员工具包和微调脚本，便于将Morpheus集成到现有模型中。NVIDIA还与领先的系统集成商合作，使任何组织都能利用基AI的网络安全。

普及基于人工智能的网络安全

Morpheus使企业能够更轻松地开发基于AI的网络安全工具，更好地保护数据中心。系统集成商和网络安全供应商正在使用Morpheus构建更先进、性能更高的网络安全解决方案，以供各个行业的组织使用。

Best Buy

Best Buy在NVIDIA DGX上部署了Morpheus，以提高钓鱼网站的检测能力并加速主动响应。他们为钓鱼检测用例部署了Morpheus，使他们能够将可疑消息检测提高15 %。

Booz Allen Hamilton

Booz Allen Hamilton能够更好地支持事件响应团队，特别是负责在战术边缘搜寻威胁的团队。他们已经开发了一个高度定制的、由GPU加速的Cyber Precog平台，该平台集成了经过优化的网络工具、AI模型和模块化流程，以便实现快速部署能力。

Cyber Precog使用NVIDIA Morpheus框架构建，提供了一套初始的核心功能，以及灵活的软件结构，用于开发、测试和部署新的GPU加速分析，以进行事件响应。

在事件响应期间，运营人员可能必须在无法导出数据的情况下评估断开的边缘网络上的数据，因此他们可以随身携带一个不折不扣的flyaway Kit来安全地访问网络数据。

与基于CPU的解决方案相比，使用NVIDIA GPU和 Morpheus，Cyber Precog在数据接收和流程方面的速度提高了300倍，训练速度提高了32倍，推理速度提高了24倍。Booz-Allen基准测试表明，单个NVIDIA GPU加速服务器可替代135个CPU专用服务器节点，为网络运营人员提供快速决策。

CyberPoint

CyberPoint專注于在一系列网络安全用例中实现零信任，用于不同组织的数十个任务合作伙伴和网络，这使得分析极具挑战性。提供基于AI的解决方案来识别威胁实体和恶意行为对于安全运营中心分析师来说至关重要，使他们能够专注于突出的威胁。

NVIDIA Morpheus建立了用户行为模型，帮助分析师识别实时数据中的威胁。他们在Morpheus中开发了自己的阶段，以适应其用例，利用图形神经网络和自然语言处理模型，并将其与Graphistry集成，以提供用户和设备的360°视图。

通过使用Morpheus，CyberPoint的网络安全工作流加快了17倍。

IntelliGenesis

IntelliGenesis有一个基于NVIDIA Morpheus的flyaway kit，其与环境无关，可在边缘进行即时检测和修复。他们已经建立了一个企业解决方案来大规模进行基于AI的实时威胁检测。它可以定制，但足够简单，可以让任何级别的数据科学家或领域专家使用。使用Morpheus和GPU加速，可立即看到性能呈指数级增长。

Splunk

Splunk为Splunk SPL创建了一个Copilot，使用户能够用简单的英语来描述想要实现的目标，并获得建议的查询执行。Splunk团队在.conf22上谈到了这一点，值得注意的是，听众中有许多机器学习工程师，反馈非常积极，表明我们现在只触及了NLP可以实现的表面。

乍一看，这似乎不像是一个网络安全项目。然而，在实现这一点时，他们能够识别敏感信息泄漏，这是Morpheus能够从数据中灵活获取洞察的一个很好的例子。使用Morpheus，Splunk实现了5～10倍的流程加速。

Worldwide Technology

Worldwide Technology（WWT）正在将Morpheus和NVIDIA融合加速器用于其AI定义网络（AIDN）解决方案。AIDN扩展了现有的IT监控基础设施，以便随着时间的推移观察和关联遥测、系统和应用程序数据点，以构建可操作的洞察力并向网络运营人员发出警报。然后，将警报用作脚本化操作的事件触发器，允许AIDN协助运营人员完成重复性任务，例如提交工单。