安全运营中心(SOC)分析师每天都会收到大量传入的安全警报。为了确保其组织的持续安全,他们的任务是仔细检查传入的噪音,分拣出误报,并找出可能是真正安全漏洞的指标。然而,警报的数量之多可能意味着泄露的重要早期指标被隐藏起来。更不用说流程本身,该流程通常是重复性的、耗时的且成本高昂。
我们能否构建工作流程来缓解这些问题,同时仍然保持良好的甚至更好的安全级别?
首先,我们研究了 NVIDIA Morpheus ,这是一种 GPU 加速的网络安全 AI 框架,用于处理和分析高速数据流。特别是,我们关注 数字指纹 AI 工作流,该工作流支持在网络上进行大规模异常检测。
数字指纹工作流可以学习任何给定实体的正常行为特征,并将其表示为自动编码器模型。当行为出现偏差时(例如,如果用户显示几个新的地理位置),系统会生成与异常程度对应的 z 分数。
将生成式 AI 与 NVIDIA NIM 集成,以增强安全运营
传统上,数字指纹等基于 AI 的网络异常检测管道的输出是表格数据结构,其中包含异常分数和有关安全事件异常部分的其他元数据。
虽然此 Feed 信息量很大,但解释可能很耗时。在本文中,我们将介绍如何使用生成式 AI 增强数字指纹工作流,以演示如何将这些输出转换为易于解释和交互的可行见解。
使用默认的 Llama 3.1 模型,我们将这些分散的见解合成为可读的报告,并为每个用户生成一份报告。这个合成过程的目标是捕获、分组和放置那些本来会被归类为低优先级、无法手动查看的警报。自动化这个分诊工作还可以减少响应警报的总时间。
在完成生成和预处理警报后,您可以使用用户摘要报告通知安全 Co-Pilot。Co-Pilot 会接收来自人类 SOC 分析师的口头查询,并产生口头响应。
Co-Pilot 流程的步骤如下:
- 将查询转录为文本。
- 部署 LLM 代理,并授予此代理访问用户摘要报告的权限。您还授予人类 SOC 分析师通常使用的数据库和工具(包括用户目录和网络流量数据库)的读取权限。
- 智能体通过检索增强生成(RAG)执行迭代推理。
- LLM 代理的最终响应转换回音频。
- 音频指示虚拟形象的面部动画。
NVIDIA NIM 微服务 (强调易于部署的容器化独立模型) 是此代理流程的核心。
对于语音服务:
- 用于自动语音识别(ASR)的 Parakeet-CTC-1.1B NIM 微服务,可将语音查询转录为文本。
- 用于 NVIDIA Riva 文本转语音(TTS)的 FastPitch-HifiGAN NIM 微服务,可将 LLM 响应转换回音频。
- Llama 3.1 NIM 微服务为 LLM 智能体提供支持。
对于 RAG 的嵌入和检索过程:
- 用于嵌入的 embed-qa-4 模型 的 NIM 微服务,来自 NVIDIA NeMo Retriever。
- 用于重新排名的 rerank-qa-mistral-4b 模型 ,也来自 NeMo Retriever。
- NVIDIA Audio2Face NIM 对数字人脸网格进行动画处理,在本项目中,数字人脸是在 Unreal Engine 5.4 中渲染的默认 Metahuman 人脸。
由于通用 API 标准,由自行托管的 NIM 微服务提供支持的推理调用可以轻松替换为托管在 build.nvidia.com 上的基于云的端点,从而提供测试不同模型 API 端点的轻量级方法。
集成此完整架构的结果是一个智能安全 Co-Pilot,用于简化 SOC 分析任务。接下来,我们将讨论一个完整的场景,展示此工作流程节省了多少时间和重复性工作量。
Co-pilot:开启
假设您是一名一级安全运营中心(SOC)分析师,遇到一个警报,声称端点用户 june@domain.com 显示的出站网络流量异常。
首先,您检查内部网络流量数据库。您必须编写一些严格的查询语言规则来指定要搜索的参数,例如时间框架。
在构建和运行查询时,您会看到一个重复出现的目标 URL。您将该 URL 输入到恶意软件检测工具(例如 VirusTotal )。该 URL 历史上属于一个已知的恶意行为者,因此您可以得出结论,此警报为真阳性。
如您所见,SOC 分析师是众多职业之一,需要处理大量仪表板和数据模式,从而导致可以从自动化中受益的重复性任务
这一系列活动可以通过向 RAG Co-pilot 提出口头请求来完成:“您能为我提供有关用户 june@domain.com 是否受到攻击的更多见解吗?”
由于 LLM 代理可以访问人类分析师可能拥有的所有内部和外部数据,因此它可以自行推理执行调查的最合理路径,然后收集此类调查所需的证据。
在网络安全方面,由于网络威胁可能会产生巨大的影响,我们希望尽可能降低风险。LLM 不会合成任何结论,而是向人类分析师提供其认为相关的证据。然后,SOC 分析师可以给出最终结论,或进一步询问。要采取后续行动,您可能会问 LLM 代理:“您是否注意到其他用户显示了类似的妥协指标?”
我们的最终目标是提高 SOC 分析师的工作效率,使您能够专注于检测和减轻更复杂和更具创意性的网络攻击。自然语言查询提供的自由意味着您不再需要构建严格的基于规则的搜索,也不再需要花费更多时间来解释细粒度的数值数据。
同时, NVIDIA Riva NIM 微服务支持的无键盘语音交互可加快每次交互的速度。
Co-Pilot 的第二个目标是建立用户信任。与完全由事件驱动的自动执行链相比,最终用户可以控制并询问 LLM 的每个推理步骤。添加 NVIDIA ACE Audio2Face NIM 微服务 可将交互转化为直观的对话式体验,并在面部表情中添加一层通信。
作为展示可能艺术的例子,我们展示了用户如何与数字智能体进行来回讨论,就像团队一起解决问题一样(视频 1)。这样,我们就使用 AI 来改变安全运营中心。
未来,我们希望能够更轻松地集成特定数据源,将当前的异步数据池转变为实时事件驱动提取,以处理真实世界中的数据量。
通过与 NVIDIA 内部威胁运营团队合作,我们正在努力找出工具(例如此工作流)可以为用户带来最大好处和直观体验。
开始使用 NVIDIA Morpheus
如本项目所示, Morpheus 数字指纹识别 以独特的方式为最终用户和设备的零信任异常检测提供 100%的数据可见性。
此检查清单和多步骤代理 RAG 工作流基于 Morpheus 安全漏洞分析 AI 工作流 提供的架构。该工作流最初创建的目的是自动筛查代码版本中的常见漏洞和暴露。
其核心是为具有并行推理的迭代复杂推理提供参考架构,可轻松适应多个行业和用例,从 SOC Co-pilot 到可以在动态开放世界环境中导航的视觉可访问性工具
使用 NVIDIA Morpheus 和其他 NVIDIA NIM 微服务构建强大的网络安全工作流和复杂的代理工作流。
有关更多信息,请参阅以下资源:有关更多信息,请参阅以下资源:有关更多信息,请参阅以下资源:
- Morpheus 网络安全
- 构建基于人工智能的网络安全工作流 (以及更多 讲师指导式培训 和 自定进度课程 )
- NVIDIA API Catalog (用于测试和自行托管部署的 NVIDIA NIM 微服务)
- 数字人安全分析师 GitHub 库