TCU 使用网络 AI 实时管理控制平面安全第二部分

[导读]控制/管理平面包含用于配置数据平面以执行安全策略的“智能”。在数据平面系统中，可以在线速数据包处理中强制执行有限的安全规则。当数据平面遇到配置的安全规则的任何异常时，它会将流量分叉到控制平面实体以进行进一步检查。控制/管理平面有望提供一个可信的屏蔽，允许数据平面实施内联安全。

一般来说，网络安全可以分为：

· 控制/管理平面

· 数据平面

控制/管理平面包含用于配置数据平面以执行安全策略的“智能”。在数据平面系统中，可以在线速数据包处理中强制执行有限的安全规则。当数据平面遇到配置的安全规则的任何异常时，它会将流量分叉到控制平面实体以进行进一步检查。控制/管理平面有望提供一个可信的屏蔽，允许数据平面实施内联安全。

总结了服务器环境中的网络安全解决方案。服务器平台控制平面的安全方面分布在当今平台中的 TPM、BMC 和信任根组件中。这些各种功能组件的分布增加了黑客的攻击面。

在此模型中，使用基于网络数据包标头的分析来检测和捕获恶意和可疑行为者。例如，可以通过在各种平台/节点上执行简化的静态规则来检测完全已知的恶意用户，这表明所有来自 IP 地址 10.1.1.80 的流量都应该被丢弃。然而，请注意，这种检测不能使用传统技术实时完成。

类似地，部分已知的规则在硬件表中配置，并使用硬件中的一个或多个内容可寻址存储器 (CAM) 来实施。例如，来自特定 IP 子网掩码和 TCP 端口号的所有流量可能会受到硬件的进一步操作。最后，可以使用检测拒绝服务 (DoS) 攻击的基于硬件的流量监管器来检测基于流量的攻击。

现有模型中的安全漏洞

该模型的最大差距是控制和管理平面中的规则执行功能不是实时完成的。换句话说，今天的控制平面元素无法提供任何实时恶意实体检测或帮助在端到端网络中分发该信息。这对于恶意行为者来说尤其如此，他们的身份仅部分已知，并且他们的行为无法完全监控。

因此，如果网络上发生恶意活动，只有在活动造成的问题出现后才能知道。可以使用基于 AI 的威胁检测技术来解决这一差距。

TCU 解决方案

Axiado 通过添加硬件加速来使用神经网络运行行为分析来解决这一差距。这有助于控制平面根据其访问模式将一些网络流量或终端站标记为“可疑”或“恶意”。

展示了一个安全 AI 管道，其中包括数据包头解析、网络流分类和用于推理的 AI 加速引擎。控制/管理平面实体以及平台主机可以访问此安全 AI 管道，以获取网络流量异常，以进行进一步的行为分析。所有这些组件都是 Axiado TCU 的一部分，包括每秒 4 兆次操作 (TOPS) 的 AI 加速引擎。

Axiado TCU 能够管理复杂的 AI 网络模型。在用于检测网络入侵的 NSL-KDD 数据集中捕获了网络模型的简化版本。

该数据集涵盖四种不同类型的攻击：

· 拒绝服务 (DoS)

· 探测

· 用户到 root (U2R)

· 远程到本地 (R2L)

攻击者使用 U2R 和 R2L 类型来提升他们在网络中的地位，并侵入连接到这些网络的各种站点/平台。

可以建立一个有效的神经网络来检测所有四种攻击类型，方法是利用：

· 来自数据包头的内在特征

· 从数据包有效负载派生的内容特征

· 基于时间的特征从时间窗口内的数据包中导出

· 基于主机的特征来自于进出恶意行为者机器的数据包