现货,NetApp兴奋地宣布我们的最新创新dota2雷竞技赞助 保护您的云环境:机器学习模型,检测异常事件。
事件日志:祝福和诅咒
事件日志,比如CloudTrail或活动日志,记录从云服务提供者的活动您的云账户通过Web控制台或通过脚本利用api。这些日志监控用户采取行动,角色,和云服务在您的帐户,用于识别潜在的安全威胁。然而,尽管他们的好处,事件日志本身可能不是适当的跟踪异常事件。
CloudTrail和活动日志的一个主要挑战是,他们产生一个非常大的数据量。成千上万的API调用从用户和应用程序,使每一分钟都是非常耗时和资源密集型的(如果不是完全不可能)手动检查这些日志并识别任何可疑的活动。这就像试图找到海里捞针。
此外,事件日志可以很复杂,很难理解。原子/独立事件几乎是有用的了解用户操作的范围,尤其是对于那些不熟悉云提供商的技术细节。这可以让它繁重的非技术用户发现潜在威胁指标,即使他们能够检查和分析这些日志的内容。
此外,事件日志只包含相关的信息调用的云服务。他们可能不提供一个完整的基础设施和资源。雷竞技rabet官网例如,事件日志没有记录不同资源之间的内部沟通或更改资料。雷竞技rabet官网执行的操作也不记录用户访问资源,但没有使调用通过服务或编程API访问(例如,Boto3)。雷竞技rabet官网
由于规模,它不是一个问题,可以通过添加更多的实际固定安全分析师。这是自动化和工具发挥作用的地方。自动化可以帮助减少噪音和协助安全分析师识别异常和加强他们的组织的安全态势。
人工智能:理解事件日志的复杂性
深度学习技术,如神经网络特别适合处理大量数据。这些算法可以识别模式的数据不需要费时的手工特色工程。他们还可以处理复杂和非结构化数据,如活动日志或CloudTrail事件。
我们的机器学习模型是基于检测异常事件autoencoder-decoder架构。从本质上说,该模型训练重建输入数据。编码器压缩输入到一个低维表示,也被称为潜在的空间,然后解码器使用这种表示方法来重建原始输入。
在现场安全,我们在一个庞大的数据集上训练我们的异常检测模型5000万多正常的事件。编码器组件是训练学习的压缩表示正常的事件序列(即。被称为上下文),而译码器组件是训练有素的重建下一个事件(鉴于这种上下文)从压缩表示。
这个深度学习模型分析新事件,识别任何偏离正常行为模式,学会了在培训阶段。输入事件被压缩成潜在的空间,然后由译码器组件重构。如果重建事件偏离实际的事件,这是标记为异常并报告给用户作为一个潜在的安全威胁,从而减少时间分析师识别和处理这一事件。
我们还实现了一个连续的学习机制在我们的模型中,使模型在适应新的模式和威胁出现时,防止衰减模型。模型的不断接触新的CloudTrail事件或活动日志,更新其理解正常的行为,可以发现新的异常。
最大的挑战在安全,不仅是对人工智能模型,是误报率。当安全分析师的时间是稀缺的,重要的是,他们专注于“真实”警报。我们测试了我们的模型的性能,我们可以调整我们的预测下一个事件有99.561%的准确度。
保护您的企业与AI-powered异常检测
根据IBM的研究,平均要花244天一个错误配置标识在云环境中,和违约的成本超过400万美元。尽快对安全警报做出反应是至关重要的保护组织,减少潜在的风险。现场安全有助于减少这一次行动。
看到现场的安全操作dota2雷竞技赞助 。
