一般來(lái)說(shuō)，網(wǎng)絡(luò)安全可以分為：

· 控制/管理平面

· 數(shù)據(jù)平面

控制/管理平面包含用于配置數(shù)據(jù)平面以執(zhí)行安全策略的“智能”。在數(shù)據(jù)平面系統(tǒng)中，可以在線速數(shù)據(jù)包處理中強(qiáng)制執(zhí)行有限的安全規(guī)則。當(dāng)數(shù)據(jù)平面遇到配置的安全規(guī)則的任何異常時(shí)，它會(huì)將流量分叉到控制平面實(shí)體以進(jìn)行進(jìn)一步檢查?？刂?管理平面有望提供一個(gè)可信的屏蔽，允許數(shù)據(jù)平面實(shí)施內(nèi)聯(lián)安全。

總結(jié)了服務(wù)器環(huán)境中的網(wǎng)絡(luò)安全解決方案。服務(wù)器平臺(tái)控制平面的安全方面分布在當(dāng)今平臺(tái)中的 TPM、BMC 和信任根組件中。這些各種功能組件的分布增加了黑客的攻擊面。

在此模型中，使用基于網(wǎng)絡(luò)數(shù)據(jù)包標(biāo)頭的分析來(lái)檢測(cè)和捕獲惡意和可疑行為者。例如，可以通過(guò)在各種平臺(tái)/節(jié)點(diǎn)上執(zhí)行簡(jiǎn)化的靜態(tài)規(guī)則來(lái)檢測(cè)完全已知的惡意用戶，這表明所有來(lái)自 IP 地址 10.1.1.80 的流量都應(yīng)該被丟棄。然而，請(qǐng)注意，這種檢測(cè)不能使用傳統(tǒng)技術(shù)實(shí)時(shí)完成。

類似地，部分已知的規(guī)則在硬件表中配置，并使用硬件中的一個(gè)或多個(gè)內(nèi)容可尋址存儲(chǔ)器 (CAM) 來(lái)實(shí)施。例如，來(lái)自特定 IP 子網(wǎng)掩碼和 TCP 端口號(hào)的所有流量可能會(huì)受到硬件的進(jìn)一步操作。最后，可以使用檢測(cè)拒絕服務(wù) (DoS) 攻擊的基于硬件的流量監(jiān)管器來(lái)檢測(cè)基于流量的攻擊。

現(xiàn)有模型中的安全漏洞

該模型的最大差距是控制和管理平面中的規(guī)則執(zhí)行功能不是實(shí)時(shí)完成的。換句話說(shuō)，今天的控制平面元素?zé)o法提供任何實(shí)時(shí)惡意實(shí)體檢測(cè)或幫助在端到端網(wǎng)絡(luò)中分發(fā)該信息。這對(duì)于惡意行為者來(lái)說(shuō)尤其如此，他們的身份僅部分已知，并且他們的行為無(wú)法完全監(jiān)控。

因此，如果網(wǎng)絡(luò)上發(fā)生惡意活動(dòng)，只有在活動(dòng)造成的問(wèn)題出現(xiàn)后才能知道?？梢允褂没?AI 的威脅檢測(cè)技術(shù)來(lái)解決這一差距。

TCU 解決方案

Axiado 通過(guò)添加硬件加速來(lái)使用神經(jīng)網(wǎng)絡(luò)運(yùn)行行為分析來(lái)解決這一差距。這有助于控制平面根據(jù)其訪問(wèn)模式將一些網(wǎng)絡(luò)流量或終端站標(biāo)記為“可疑”或“惡意”。

展示了一個(gè)安全 AI 管道，其中包括數(shù)據(jù)包頭解析、網(wǎng)絡(luò)流分類和用于推理的 AI 加速引擎?？刂?管理平面實(shí)體以及平臺(tái)主機(jī)可以訪問(wèn)此安全 AI 管道，以獲取網(wǎng)絡(luò)流量異常，以進(jìn)行進(jìn)一步的行為分析。所有這些組件都是 Axiado TCU 的一部分，包括每秒 4 兆次操作 (TOPS) 的 AI 加速引擎。

Axiado TCU 能夠管理復(fù)雜的 AI 網(wǎng)絡(luò)模型。在用于檢測(cè)網(wǎng)絡(luò)入侵的 NSL-KDD 數(shù)據(jù)集中捕獲了網(wǎng)絡(luò)模型的簡(jiǎn)化版本。

該數(shù)據(jù)集涵蓋四種不同類型的攻擊：

· 拒絕服務(wù) (DoS)

· 探測(cè)

· 用戶到 root (U2R)

· 遠(yuǎn)程到本地 (R2L)

攻擊者使用 U2R 和 R2L 類型來(lái)提升他們?cè)诰W(wǎng)絡(luò)中的地位，并侵入連接到這些網(wǎng)絡(luò)的各種站點(diǎn)/平臺(tái)。

可以建立一個(gè)有效的神經(jīng)網(wǎng)絡(luò)來(lái)檢測(cè)所有四種攻擊類型，方法是利用：

· 來(lái)自數(shù)據(jù)包頭的內(nèi)在特征

· 從數(shù)據(jù)包有效負(fù)載派生的內(nèi)容特征

· 基于時(shí)間的特征從時(shí)間窗口內(nèi)的數(shù)據(jù)包中導(dǎo)出

· 基于主機(jī)的特征來(lái)自于進(jìn)出惡意行為者機(jī)器的數(shù)據(jù)包

例如，使用帶有 NSL-KDD 數(shù)據(jù)集的 Axiado TCU 進(jìn)行基準(zhǔn)測(cè)試，已在基本模型上運(yùn)行測(cè)試，僅使用文件 1-9(共 41 個(gè)文件)并達(dá)到優(yōu)于 90% 的準(zhǔn)確度。接下來(lái)，使用每個(gè)樣本的所有 41 個(gè) NSL-KDD 文件，我們達(dá)到了 98% 以上的準(zhǔn)確率。

安全遇上人工智能

當(dāng)今復(fù)雜網(wǎng)絡(luò)所需的安全級(jí)別要求能夠?qū)崟r(shí)檢測(cè)和管理網(wǎng)絡(luò)威脅。這些威脅可能包括故意破壞網(wǎng)絡(luò)、竊取數(shù)據(jù)或機(jī)密，以及以勒索為目的注入勒索軟件。

使用 AI 技術(shù)的行為異常檢測(cè)是有助于識(shí)別/檢測(cè)惡意網(wǎng)絡(luò)事務(wù)的關(guān)鍵組件。NIST 800-193 標(biāo)準(zhǔn)定義了信任根將如何保護(hù)、檢測(cè)和恢復(fù)平臺(tái)。Axiado 的 TCU 將這一標(biāo)準(zhǔn)提升到一個(gè)新的水平，因?yàn)槭褂脵C(jī)器學(xué)習(xí)可以實(shí)現(xiàn)運(yùn)行時(shí)保護(hù)、檢測(cè)和自動(dòng)恢復(fù)。

集成到 Axiado TCU 中的 AI 技術(shù)可用于檢測(cè)和隔離惡意用戶活動(dòng)。這使得 TCU 可以通過(guò)實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)上的惡意行為來(lái)大大降低攻擊的頻率和嚴(yán)重性，從而最大限度地減少其對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的負(fù)面影響。