串聯GPU、DPU與軟體網路遙測技術,Nvidia跨入AI資安領域,推出專屬應用框架Morpheus

Nvidia在發展各種通用與特定產業專屬的GPU加速與AI應用框架之後,今年GTC大會正式宣布要針對AI資安分析需求,推出專用的應用框架軟體,當中運用他們既有的EGX軟硬體整合平臺,提供機器學習推論的處理,也能搭配DPU兼具CPU運算與網路封包擷取的架構,從中直接收取整個網路的封包資訊,讓AI資安分析的數據來源更完整,並能借重GPU來加快機器學習的處理速度,進而做到更徹底的網路威脅異常偵測、資料外洩偵測,進而達到縮短鑑識與矯正時間。

經過多年以來的發展,GPU大廠Nvidia已陸續發展出多種針對不同產業與場域的應用軟體框架,像是:Clara是用於醫療照護,Isaac是用於製造業機器人與自動化,Metropolis是用於智慧城市,Aerial用於5G通訊,Maxine用於視訊會議服務;有些應用軟體框架可以支援多種產業,像是支援對話式AI的Jarvis,以及提供推薦系統功能的Merlin,能用於零售業與電子商務。

而在今年4月舉行的GTC大會期間,Nvidia除了繼續強化上述應用軟體框架,出乎眾人意料之外,他們宣布將跨入網路安全與量子運算領域。

不過,Nvidia在這兩個新的應用所採取的作法,以及利基點,根據他們的發展策略來看,的確有其合理性──針對網路安全防護的應用場景,Nvidia將推出AI應用軟體框架Morpheus(與電影駭客任務人類反抗軍領袖莫菲斯同名),提供最佳化的AI處理流程與預先完成訓練的AI相關功能,能處理整個資料中心網路環境所有IP位址流量的檢測作業;而在全世界都在關注的量子運算應用上,Nvidia將推出軟體開發套件cuQuantum SDK,能運用GPU加速量子電路的模擬,讓研究人員能夠設計出更理想的量子電腦。

融合Nvidia、Mellanox、Cumulus技術,開拓新的企業應用路線

運用機器學習、人工智慧技術來解決各行各業的資料分析難題,早已是當代企業IT的顯學,資訊安全當然也不例外,許多這領域的主要廠商與新創公司,都在積極發展相關的產品功能特色,或是後臺的自動化資料分析與預測服務,然而,該如何妥善、快速建置具備高效能的AI資安應用基礎架構,卻往往被視為各家廠商的業務機密,而無法運用一套共通、標準的框架來進行規畫與維運。

而在Nvidia即將推出的Morpheus應用軟體框架當中,預計會提供一套具備AI加速能力的完整解決方案套餐,讓網路安全廠商能夠以此來偵測、預防所面臨的各種資安威脅。

Morpheus是由哪些技術所組合而成?Nvidia透露,這是一套雲端原生的網路安全應用框架,當中採用了機器學習的技術,能夠針對企業面臨的資安威脅與異常行為,執行一套涵蓋資料擷取、辨識(推論與驗證),以及採取行動的流程,可協助處理難以識別的各種惡意活動,像是敏感資料外洩、網路釣魚、惡意軟體。

而這樣的架構,會運用幾個Nvidia本身,以及併購其他公司而得來的軟硬體技術。

Nvidia GPU、AI軟體框架、資料分析與處理的軟體開發套件

首先,是Nvidia自家的AI軟體堆疊(雲端容器登錄服務、GPU加速程式庫),以及EGX平臺(整合運算架構、通用GPU與I/O加速軟體、單板電腦、GPU伺服器),企業可運用上述環境,做到巨量網路安全資料的即時推論處理。而Morpheus在此採用的作法,類似於他們用於智慧城市與零售場域的應用軟體框架Metropolis。

在Nvidia AI軟體堆疊當中,Morpheus會仰賴多種軟體框架與伺服器,像是資料科學分析框架RAPIDS,以及延伸的應用程式介面CLX(Cyber Log Accelerators)、串流資料處理程式庫cuStreamz,還有推論伺服器Triton Inference Server,以及推論軟體開發套件TensorRT。

其中的RAPIDS與cuStreamz,可加快資料注入、前處理,以及後處理;CLX包含網路安全專屬的原型(primitives),這裡將提供一些範例,讓開發人員知道該如何訓練新模型,以及準備訓練的資料;Triton與TensorRT則負責推論處理,尤其是Triton,可支援動態與參差不齊的批次處理作業。

除此之外,Morpheus在這裡還會使用訊息發布與訂閱(pub/sub)的模式(Nivida現已改為Kafka),將資料傳送至推論處理流程,以及從中回傳結果。

對於未來使用的預先訓練資料模型(pre-trained models),Nvidia也表示,Morpheus將整合MLFlow軟體框架,能讓用戶在面對多種資料模型時,更容易去管理、更新與追蹤。

而在整個處理流程當中,即便這套架構提供的推論速度夠快,Nvidia仍會持續調校資料模型,以便提高吞吐量,找出瓶頸、進行改善,並且產生機器學習訓練的指令碼,讓大家都能組建自定的資料模型。

在資料吞吐量的效能上,Nvidia也公布他們的測試數據,單純在PyTorch裡面執行,推論速度是每秒40個,若改用Morpheus,則可達到每秒5019個,效能增長幅度達到125倍以上。

此外,在一開始使用Morpheus時,用戶就能夠直接配備多種預先訓練模型(pre-trained models)。

Mellanox SmartNIC/DPU

第二個部分,則是源自於2020年4月併購Mellanox而來的BlueField DPU,主要的任務是以SmartNIC的角色來直接收取網路遙測(network telemetry)資料。在DPU當中,可執行遙測代理程式(Telemetry Agent),以便將相關資料轉送至Morpheus。

結合這項技術之後,Morpheus能將網路環境當中的每一臺運算節點,轉換為提升網路防禦力的邊緣感測器,對於企業而言,能以最高連線速度來分析每一個封包,且不需為了分析而另行複製流量相關資料。

相較之下,若採用傳統的AI資安工具,針對整體網路流量資料的取樣分析比例,通常只能達到接近5%,而因為採用的資料模型不完整,將影響威脅偵測演算法的成效。

             

在應用案例類型上,Morpheus可支援敏感資料外洩偵測、網路釣魚偵測、異常行為剖析,這些可能都需要完整的封包資料分析,但資料串流的接收與處理都需要多次進行,而在Morpheus的框架之下,可以發起相關的動作,從網路介面(NIC)獲得原始的推論處理結果,並且能做到持續、即時、可變化的回饋,將這些成果回送至網路介面,然後以此來修改控管政策、改寫執行規則、調整敏感度。

Cumulus NetQ

關於資料進出Morpheus處理流程的部分,Nvidia表示,有種作法是在BlueField執行的遙測代理程式NetQ,而這套搭配的軟體,出自Nvidia在2020年5月併購的Cumulus Networks。

NetQ Telemetry原為Cumulus Networks的產品,能在網路交換器上執行NetQ 代理程式(Telemetry Agent),然後將遙測資料送到NetQ Server(Telemetry Aggregator),但這樣的概念也能應用到DPU,並整合到DOCA架構

基本上,若用戶將代理程式安裝、執行在交換器與伺服器,NetQ接著就能收集整個網路的遙測資料,而在Morpheus的架構下,代理程式是執行在BlueField當中,之後將這些資料置入Kafka,再進行推論處理、收集結果。

BestBuy開始採用Morpheus,多家網路安全、資安新創與系統平臺廠商也將與Nvidia合作

在Nvidia發表Morpheus之際,他們也宣布多家廠商將在硬體、軟體與網路安全解決方案當中,運用這套框架來調校與整合資料中心安全應用。在率先採用的企業案例上,消費電子零售商Best Buy也宣布導入的消息,他們表示,在持續不斷變化的網路威脅態勢下,對於異常行為與活動的偵測,要做到隨需適應的程度,而Morpheus可提供一套具有彈性與擴充性的平臺,讓他們具備調適的能力,而在今年的GTC大會,他們也介紹自己如何運用Morpheus,像是:以自然語言處理的方式來解析事件記錄(搭配cyBERT),偵測採用網域產生演算法(Domain Generation Algorithm,DGA)的惡意網路活動,另外,他們還能以此來建構動態網路地圖(Dynamic network map construction),以及執行異常偵測。

以網路安全廠商而言,有雲端安全業者Cloudflare,網站應用程式安全防護廠商F5,網路防火牆廠商Fortinet,以及資安新創公司Guardicore、ARIA Cybersecurity Solutions,目前已明確表態支持的業者,還包括:管理與資訊科技顧問公司博思艾倫漢密爾頓控股(Booz Allen Hamilton),以及專攻事件記錄分析與搜尋的應用軟體廠商Splunk。

而在混合雲平臺的部分,市面上,一些系統廠商,像是本身可基於Linux、OpenStack與Kubernetes等開原碼軟體而提供專屬版本的Canonical、Red Hat,以及VMware,也都將在這方面應用與Nvidia展開相關的合作計畫。

2021-04-16 iThome 李宗翰
https://www.ithome.com.tw/news/143891