安全運營中心(SOC)分析師每天都會收到大量傳入的安全警報。為了確保其組織的持續安全,他們的任務是仔細檢查傳入的噪音,分揀出誤報,并找出可能是真正安全漏洞的指標。然而,警報的數量之多可能意味著泄露的重要早期指標被隱藏起來。更不用說流程本身,該流程通常是重復性的、耗時的且成本高昂。
我們能否構建工作流程來緩解這些問題,同時仍然保持良好的甚至更好的安全級別?
首先,我們研究了 NVIDIA Morpheus ,這是一種 GPU 加速的網絡安全 AI 框架,用于處理和分析高速數據流。特別是,我們關注 數字指紋 AI 工作流,該工作流支持在網絡上進行大規模異常檢測。
數字指紋工作流可以學習任何給定實體的正常行為特征,并將其表示為自動編碼器模型。當行為出現偏差時(例如,如果用戶顯示幾個新的地理位置),系統會生成與異常程度對應的 z 分數。
將生成式 AI 與 NVIDIA NIM 集成,以增強安全運營
傳統上,數字指紋等基于 AI 的網絡異常檢測管道的輸出是表格數據結構,其中包含異常分數和有關安全事件異常部分的其他元數據。
雖然此 Feed 信息量很大,但解釋可能很耗時。在本文中,我們將介紹如何使用生成式 AI 增強數字指紋工作流,以演示如何將這些輸出轉換為易于解釋和交互的可行見解。
使用默認的 Llama 3.1 模型,我們將這些分散的見解合成為可讀的報告,并為每個用戶生成一份報告。這個合成過程的目標是捕獲、分組和放置那些本來會被歸類為低優先級、無法手動查看的警報。自動化這個分診工作還可以減少響應警報的總時間。
在完成生成和預處理警報后,您可以使用用戶摘要報告通知安全 Co – Pilot。Co – Pilot 會接收來自人類 SOC 分析師的口頭查詢,并產生口頭響應。
Co – Pilot 流程的步驟如下:
- 將查詢轉錄為文本。
- 部署 LLM 代理,并授予此代理訪問用戶摘要報告的權限。您還授予人類 SOC 分析師通常使用的數據庫和工具(包括用戶目錄和網絡流量數據庫)的讀取權限。
- 智能體通過檢索增強生成(RAG)執行迭代推理。
- LLM 代理的最終響應轉換回音頻。
- 音頻指示虛擬形象的面部動畫。
NVIDIA NIM 微服務 (強調易于部署的容器化獨立模型) 是此代理流程的核心。
對于語音服務:
- 用于自動語音識別(ASR)的 Parakeet-CTC-1.1B NIM 微服務,可將語音查詢轉錄為文本。
- 用于 NVIDIA Riva 文本轉語音(TTS)的 FastPitch-HifiGAN NIM 微服務,可將 LLM 響應轉換回音頻。
- Llama 3.1 NIM 微服務為 LLM 智能體提供支持。
對于 RAG 的嵌入和檢索過程:
- 用于嵌入的 embed-qa-4 模型 的 NIM 微服務,來自 NVIDIA NeMo Retriever。
- 用于重新排名的 rerank-qa-mistral-4b 模型 ,也來自 NeMo Retriever。
- NVIDIA Audio2Face NIM 對數字人臉網格進行動畫處理,在本項目中,數字人臉是在 Unreal Engine 5.4 中渲染的默認 Metahuman 人臉。
由于通用 API 標準,由自行托管的 NIM 微服務提供支持的推理調用可以輕松替換為托管在 build.nvidia.com 上的基于云的端點,從而提供測試不同模型 API 端點的輕量級方法。
集成此完整架構的結果是一個智能安全 Co-Pilot,用于簡化 SOC 分析任務。接下來,我們將討論一個完整的場景,展示此工作流程節省了多少時間和重復性工作量。
Co-pilot:開啟?
假設您是一名一級安全運營中心(SOC)分析師,遇到一個警報,聲稱端點用戶 june@domain.com 顯示的出站網絡流量異常。
首先,您檢查內部網絡流量數據庫。您必須編寫一些嚴格的查詢語言規則來指定要搜索的參數,例如時間框架。
在構建和運行查詢時,您會看到一個重復出現的目標 URL。您將該 URL 輸入到惡意軟件檢測工具(例如 VirusTotal )。該 URL 歷史上屬于一個已知的惡意行為者,因此您可以得出結論,此警報為真陽性。
如您所見,SOC 分析師是眾多職業之一,需要處理大量儀表板和數據模式,從而導致可以從自動化中受益的重復性任務
這一系列活動可以通過向 RAG Co-pilot 提出口頭請求來完成:“您能為我提供有關用戶 june@domain.com 是否受到攻擊的更多見解嗎?”
由于 LLM 代理可以訪問人類分析師可能擁有的所有內部和外部數據,因此它可以自行推理執行調查的最合理路徑,然后收集此類調查所需的證據。
在網絡安全方面,由于網絡威脅可能會產生巨大的影響,我們希望盡可能降低風險。LLM 不會合成任何結論,而是向人類分析師提供其認為相關的證據。然后,SOC 分析師可以給出最終結論,或進一步詢問。要采取后續行動,您可能會問 LLM 代理:“您是否注意到其他用戶顯示了類似的妥協指標?”
我們的最終目標是提高 SOC 分析師的工作效率,使您能夠專注于檢測和減輕更復雜和更具創意性的網絡攻擊。自然語言查詢提供的自由意味著您不再需要構建嚴格的基于規則的搜索,也不再需要花費更多時間來解釋細粒度的數值數據。
同時, NVIDIA Riva NIM 微服務支持的無鍵盤語音交互可加快每次交互的速度。
Co-Pilot 的第二個目標是建立用戶信任。與完全由事件驅動的自動執行鏈相比,最終用戶可以控制并詢問 LLM 的每個推理步驟。添加 NVIDIA ACE Audio2Face NIM 微服務 可將交互轉化為直觀的對話式體驗,并在面部表情中添加一層通信。
作為展示可能藝術的例子,我們展示了用戶如何與數字智能體進行來回討論,就像團隊一起解決問題一樣(視頻 1)。這樣,我們就使用 AI 來改變安全運營中心。
未來,我們希望能夠更輕松地集成特定數據源,將當前的異步數據池轉變為實時事件驅動提取,以處理真實世界中的數據量。
通過與 NVIDIA 內部威脅運營團隊合作,我們正在努力找出工具(例如此工作流)可以為用戶帶來最大好處和直觀體驗。
開始使用 NVIDIA Morpheus
如本項目所示, Morpheus 數字指紋識別 以獨特的方式為最終用戶和設備的零信任異常檢測提供 100%的數據可見性。
此檢查清單和多步驟代理 RAG 工作流基于 Morpheus 安全漏洞分析 AI 工作流 提供的架構。該工作流最初創建的目的是自動篩查代碼版本中的常見漏洞和暴露。
其核心是為具有并行推理的迭代復雜推理提供參考架構,可輕松適應多個行業和用例,從 SOC Co-pilot 到可以在動態開放世界環境中導航的視覺可訪問性工具
使用 NVIDIA Morpheus 和其他 NVIDIA NIM 微服務構建強大的網絡安全工作流和復雜的代理工作流。
有關更多信息,請參閱以下資源:有關更多信息,請參閱以下資源:有關更多信息,請參閱以下資源:
- Morpheus 網絡安全
- 構建基于人工智能的網絡安全工作流 (以及更多 講師指導式培訓 和 自定進度課程 )
- NVIDIA API Catalog (用于測試和自行托管部署的 NVIDIA NIM 微服務)
- 數字人安全分析師 GitHub 庫
?
