Cybersecurity / Fraud Detection

NVIDIA Morpheus를 사용하여 보안 운영 센터의 경보 분류 및 LLM 에이전트 가속화

Reading Time: 4 minutes

보안관제센터(SOC) 분석가들은 매일 엄청난 양의 보안 경고를 수신합니다. 조직의 지속적인 안전을 보장하기 위해 이들은 수신되는 노이즈 속에서 오탐을 가려내고 실제 보안 침해의 지표가 될 수 있는 것을 찾아내야 하는 임무를 맡고 있습니다. 하지만 알림의 양이 너무 많으면 침해의 중요한 초기 지표가 묻힐 수 있습니다. 반복적이고 시간이 많이 걸리며 비용이 많이 드는 프로세스는 물론이고요.

이러한 문제를 완화하는 동시에 양호하거나 더 나은 수준의 보안을 유지하는 워크플로우를 구축할 수 있을까요?

이 시도는 고속 데이터 스트림을 처리하고 분석하기 위한 GPU 가속 사이버 보안 AI 프레임워크인 NVIDIA Morpheus를 살펴보는 것으로 시작됩니다. 특히 네트워크에서 대규모 이상 징후를 탐지할 수 있는 디지털 핑거프린팅 AI 워크플로우에 초점을 맞춥니다.

디지털 핑거프린팅 워크플로우에서는 특정 엔티티의 정상적인 행동 프로필을 학습하여 이를 자동 인코더 모델로 표현합니다. 사용자가 여러 개의 새로운 지리적 위치를 표시하는 등 행동이 비정상적인 경우, 이상 정도에 해당하는 z-점수가 생성됩니다.

보안 운영을 강화하기 위한 NVIDIA NIM과 생성형 AI의 통합

전통적으로 디지털 핑거프린팅과 같은 AI 기반 사이버 이상 징후 탐지 파이프라인의 출력은 이상 징후 점수와 보안 이벤트의 어떤 부분이 이상 징후인지에 대한 추가 메타데이터가 포함된 표 형식의 데이터 구조입니다.

이 피드는 매우 유익한 정보이지만 해석하는 데 시간이 많이 걸릴 수 있습니다. 이 글에서는 생성형 AI로 디지털 핑거프린팅 워크플로우를 보강하여 이러한 결과물을 해석하고 상호 작용하기 쉬운 실행 가능한 인사이트로 전환하는 방법을 설명합니다.

기본 Llama 3.1 모델을 사용하여 이러한 흩어져 있는 인사이트를 가독성 있는 보고서로 합성하여 사용자당 하나의 보고서를 생성했습니다. 이 종합 프로세스의 목표는 수동으로 검토하기에는 우선순위가 너무 낮은 것으로 분류되었을 경고를 포착하고, 그룹화하고, 배치하는 것입니다. 이 분류 작업을 자동화하면 알림에 대응하는 데 걸리는 전체 시간도 단축됩니다.

알림 생성 및 사전 처리가 완료되면 사용자 요약 보고서를 사용하여 보안 코파일럿에게 알릴 수 있습니다. 코파일럿은 인간 SOC 분석가로부터 구두 쿼리를 받아 음성 응답을 생성합니다.

다음은 코파일럿 프로세스의 단계입니다:

쿼리를 텍스트로 변환합니다.
LLM 에이전트를 배포하고 이 에이전트에게 사용자 요약 보고서에 대한 액세스 권한을 부여합니다. 또한 사용자 디렉터리와 네트워크 트래픽 데이터베이스를 포함하여 기존에 인간 SOC 분석가가 사용하던 데이터베이스와 도구에 대한 읽기 액세스 권한을 부여합니다.
에이전트는 검색 증강 생성(RAG)을 통해 반복 추론을 수행합니다.
LLM 에이전트의 최종 응답은 다시 오디오로 변환됩니다.
오디오는 아바타 얼굴의 애니메이션에 지시를 내립니다.

배포의 용이성을 강조하는 컨테이너화된 독립형 모델인 NVIDIA NIM 마이크로서비스가 이 에이전트 프로세스의 핵심입니다.

음성 서비스의 경우:

  • 음성 쿼리를 텍스트로 변환하는 자동 음성 인식(ASR)을 위한 Parakeet-CTC-1.1B NIM 마이크로서비스.
  • LLM 응답을 다시 오디오로 변환하기 위한 NVIDIA Riva의 텍스트 음성 변환(TTS)용 FastPitch-HifiGAN NIM 마이크로서비스.
  • Llama 3.1 NIM 마이크로서비스는 LLM 에이전트를 구동합니다.

RAG의 임베딩 및 검색 프로세스의 경우:

자체 호스팅된 NIM 마이크로서비스로 구동되는 추론 호출은 공통 API 표준으로 인해 build.nvidia.com에서 호스팅되는 클라우드 기반 엔드포인트로 쉽게 교체할 수 있어 다양한 모델 API 엔드포인트를 테스트하는 경량화 방법을 제공합니다.

그림 1. 보안 분석가 코파일럿 전체 참조 아키텍처

이 전체 아키텍처를 통합한 결과 SOC 분석가 작업을 간소화하기 위한 스마트 보안 코파일럿이 탄생했습니다. 다음에서는 이 워크플로우가 얼마나 많은 시간과 반복적인 노동력을 절약하는지 보여주는 전체 시나리오에 대해 설명합니다.

코파일럿

여러분이 레벨 1 SOC 분석가로서 엔드포인트 사용자 june@domain.com 가 비정상적인 양의 아웃바운드 네트워크 트래픽을 표시하고 있다는 알림을 받는다고 가정해 보겠습니다.

먼저 네트워크 트래픽의 내부 데이터베이스를 확인합니다. 시간 프레임과 같이 검색할 매개 변수를 지정하기 위해 몇 가지 엄격한 쿼리 언어 규칙을 작성해야 합니다.

쿼리를 작성하고 실행하면 하나의 반복되는 대상 URL이 표시됩니다. 이 URL을 VirusTotal과 같은 멀웨어 탐지 도구에 입력합니다. 이 URL은 역사적으로 알려진 악성 행위자의 것이므로 이 경고는 실제 양성으로 결론을 내립니다.

보시다시피 SOC 분석가는 수많은 대시보드와 데이터 양식을 다루어야 하는 많은 직종 중 하나이며, 자동화의 이점을 누릴 수 있는 반복적인 작업을 수행합니다.

이러한 일련의 이벤트는 RAG 코파일럿에게 “june@domain.com 사용자가 유출되었는지 여부에 대한 추가 인사이트를 제공할 수 있나요?”라는 구두 요청으로 완료할 수 있습니다.

LLM 에이전트는 인간 분석가가 가지고 있는 모든 내부 및 외부 데이터에 액세스할 수 있기 때문에 조사를 수행하는 가장 논리적인 경로를 스스로 추론한 다음 조사에 필요한 증거를 수집할 수 있습니다.

사이버 보안과 관련해서는 사이버 위협이 미칠 수 있는 영향이 크기 때문에 가능한 한 위험을 완화하고자 합니다. LLM은 결론을 종합하지 않고 관련 증거라고 생각되는 것을 인간 분석가에게 제시합니다. 그러면 SOC 분석가가 최종 결론을 내리거나 추가 문의를 할 수 있습니다. 후속 조치로 LLM 에이전트에게 “비슷한 침해 징후를 보이는 다른 사용자를 발견하셨나요?”와 같은 질문을 할 수 있습니다.

저희의 궁극적인 목표는 SOC 분석가의 생산성을 높여 더 복잡하고 창의적인 사이버 공격을 탐지하고 완화하는 데 집중할 수 있도록 하는 것입니다. 자연어 쿼리가 제공하는 자유로움은 더 이상 딱딱한 규칙 기반 검색을 구성하거나 세분화된 수치 데이터를 해석하는 데 추가 시간을 들일 필요가 없다는 것을 의미합니다.

한편, 키보드 없이 음성으로 상호 작용할 수 있는 NVIDIA Riva NIM 마이크로서비스는 모든 상호 작용의 속도를 높여줍니다.

코파일럿의 두 번째 목표는 사용자 신뢰를 구축하는 것입니다. 완전한 이벤트 중심의 자동 실행 체인과 비교하여 최종 사용자는 LLM의 추론의 각 단계를 제어하고 문의할 수 있습니다. NVIDIA ACE Audio2Face NIM 마이크로서비스를 추가하면 상호 작용이 직관적인 대화 환경으로 전환되어 얼굴 표정에 커뮤니케이션 계층이 추가됩니다.

가능성의 예술을 보여주는 사례로, 사용자가 마치 팀에서 함께 문제를 해결하는 것처럼 디지털 에이전트와 주고받는 토론에 참여할 수 있는 방법을 보여줍니다(비디오 1). 이러한 방식으로 보안 운영 센터를 혁신하기 위해 AI를 사용하고 있습니다.

비디오 1. NVIDIA Morpheus 보안 경보 분류 LLM 에이전트

향후에는 특정 데이터 소스를 더 쉽게 통합하여 현재 비동기식 데이터 풀을 실제 볼륨을 처리할 수 있는 라이브 이벤트 중심 수집으로 전환하는 작업을 진행할 예정입니다.

NVIDIA 내부 위협 운영팀과 협력하여 이러한 워크플로우와 같은 도구가 사용자에게 가장 유용하고 직관적인 기능을 제공할 수 있는 부분을 정확히 파악하기 위해 노력하고 있습니다.

NVIDIA Morpheus 시작하기

이 프로젝트에서 볼 수 있듯이 Morpheus 디지털 핑거프린팅은 최종 사용자와 디바이스에서 제로 트러스트 이상 징후 탐지를 위한 100% 데이터 가시성을 독보적으로 제공합니다.

이 체크리스트와 다단계 에이전트 RAG 워크플로우가 제공하는 아키텍처는 NVIDIA Morpheus 보안 취약성 분석 AI 워크플로우를 기반으로 합니다. 이 워크플로우의 원래 목적은 코드 릴리스에서 일반적인 취약점 및 노출에 대한 스크리닝을 자동화하기 위해 만들어졌습니다.

핵심은 병렬화된 추론을 통해 반복적인 복잡한 추론을 위한 참조 아키텍처를 제공하며, SOC 코파일럿부터 동적인 오픈월드 환경을 탐색할 수 있는 비전 접근성 도구에 이르기까지 여러 산업과 사용 사례에 쉽게 적용할 수 있습니다.

다른 NVIDIA NIM 마이크로서비스와 함께 NVIDIA Morpheus를 사용하여 강력한 사이버 보안 파이프라인과 복잡한 에이전트 워크플로우를 구축하세요.

자세한 내용은 다음 리소스를 참조하세요:

관련 리소스

Discuss (0)

Tags