勒索软件攻击变得越来越流行,越来越复杂,也越来越难以检测。例如,在 2022 年,勒索软件攻击 的识别耗时 233 天,控制耗时 91 天,总生命周期为 324 天。在这么长的时间内未被发现可能会造成不可逆转的损害。更快、更智能的检测能力对于解决这些攻击至关重要。
NVIDIA DPU 和 GPU 的勒索软件行为检测
由于敌人和恶意软件的发展速度比防御者快,安全团队往往难以跟踪变化并维护已知威胁的签名。为了解决这一问题,我们需要将人工智能与高级安全监控相结合。开发人员可以利用先进的技术,如 NVIDIA BlueField 数据处理器 (DPUs),NVIDIA DOCA SDK 的 DOCA App Shield,以及 NVIDIA Morpheus 网络安全人工智能框架,更快地构建检测勒索软件攻击的解决方案。
使用 BlueField DPU 进行入侵检测
BlueField DPU 非常适合实现一流的零信任安全性,并将该安全性扩展到包括基于主机的保护。通过内置隔离,这将创建一个独立于主机系统的信任域,在主机系统中部署入侵检测系统(IDS)安全代理。如果主机受到攻击, DPU 上的安全控制代理与主机之间的隔离层可防止攻击在整个数据中心蔓延。
DOCA App Shield 是随 NVIDIA DOCA 软件框架 一起提供的。这是一个用于主机监控的安全框架,使网络安全供应商能够创建 IDS 解决方案,快速识别对任何物理服务器或虚拟机的攻击。
DOCA App Shield 作为带外(OOB)设备在 NVIDIA DPU 上运行,位于与主机 CPU 和操作系统分离的域中,并且是:
- 抵御对主机的攻击。
- 对主机应用程序的执行中断最小。
DOCA App Shield 向开发安全应用程序的用户公开 API。为了检测来自 DPU Arm 处理器的恶意活动,它使用 DMA,而不涉及主机操作系统或 CPU 。相反,反病毒或端点检测响应的标准代理在主机上运行,可以看到或 被攻击者或恶意软件破坏。
〔Morpheus〕网络安全的人工智能框架
Morpheus 是 NVIDIA AI Enterprise 软件产品系列的一部分,旨在构建复杂的 ML 和基于 AI 的管道。它大大加快了人工智能管道的速度,以处理高数据量、分类数据、识别异常、漏洞、网络钓鱼、受损机器和许多其他安全问题。
Morpheus 可以使用 GPU 加速的服务器,如 NVIDIA EGX Enterprise Platform,也可以通过 cloud deployment 进行。
用 AI 解决勒索软件问题
在 Morpheus 中,预训练的 AI 模型之一是 ransomware detection pipeline,它利用 NVIDIA DOCA 应用程序作为数据源。这为检测勒索软件攻击带来了一个新的安全级别,以前无法实时检测到这些攻击。
内部 BlueField DPU
BlueField DPU 提供了新的操作系统检查器应用程序,以利用 DOCA 应用程序屏蔽主机监控功能,并能够从受监控的主机或虚拟机中不断收集操作系统属性。操作系统检查器应用程序现在可以通过早期访问获得。如需了解更多信息,请联系我们。
收集的操作系统属性包括进程、线程、库、句柄和 vad(有关完整的 API 列表,请参阅 App-Shield 编程指南)。
操作系统检查器应用程序然后使用 DOCA 遥测服务,使用 Kafka 事件流平台将属性流式传输到 Morpheus 推理服务器。
Morpheus 推理框架内部
Morpheus 勒索软件检测 AI 管道使用 GPU 加速度处理数据,并将数据馈送到勒索软件检测人工智能模型。
这个基于树的模型根据服务器中的可疑属性检测勒索软件攻击。它使用 N-gram 特征来捕捉属性随时间的变化,并检测任何可疑的异常。
当检测到攻击时, Morpheus 会生成一个推断事件,并向安全团队触发实时警报,以采取进一步的缓解措施。
FinSec 实验室用例
NVIDIA 的合作伙伴 FinSec 创新实验室是万事达和 Enel X 的合资企业,将在NVIDIA GTC 2023上展示。
FinSec 运行了一个 POC,该 POC 使用 BlueField DPU 和 Morpheus 网络安全 AI 框架来训练一个在不到 12 秒内检测到勒索软件攻击的模型。这种实时响应使他们能够隔离虚拟机,并将 80%的数据保存在受感染的服务器上。
了解更多信息
BlueField DPU 运行 DOCA App Shield 可实现 OOB 主机监控。与 Morpheus 一起,开发人员可以快速构建人工智能模型,以抵御网络攻击,比以往任何时候都更好。操作系统检查器应用程序现在可以通过早期访问获得。如需了解更多信息,请联系我们。
