數據包的激流將涌入數據中心，其中包括源源不斷的物聯網 (IoT) 數據流，大規模進入虛擬網絡功能的蜂窩網絡流量，以及對 Web 應用程序的大量信息輸入。在信息瀑布的深處，隱藏著試圖蒙混過關的黑暗面：網絡攻擊。他們可能企圖干擾應用程序、竊取私有數據、將服務器納入僵尸網絡、感染數據中心客戶端、加密并勒索重要文件，甚至對物聯網造成物理損傷。他們總是伺機而動，尋找破綻，改變他們的偽裝，嘗試新型攻擊。 在我們的世界和這種蓄意破壞之間隔著一道防火墻，在長久以來搖搖欲墜的基礎之上構建了層層防御，總是在試圖追趕攻擊者的節奏（圖 1）。多年來，防火墻已經從輕量級的軟件包成長為多層級硬件強化的防御系統。他們已經整合了新的計算技術。通過觀察他們持續的戰斗，我們可以理解安全的含義，安全不僅僅發生在數據中心，同時還發生在物聯網的邊緣，包括邊緣計算和終端。 圖 1.并不是所有的安全措施都永久有效。 細說起源 防火墻的起源比人們想象的要簡單得多。他們的想法是要建立一個輕量級的軟件層，用于暗中檢查互聯網流量中的可疑內容。開始時，這可能很簡單，比如檢查 TCP 標頭中的端口號，確保它們在上下文環境中有意義。但是，攻擊者很快就學會了使用不可疑的端口號。 然后，防火墻在傳輸層下進行更深入的挖掘，從而檢查單個 IP 包的標頭，試圖找出可疑的源地址。這個任務并不簡單：IPv6 地址 128 位寬，防火墻的攔截地址列表可能會很長，地址會廣泛分散在整個空間中。而且 IP 包的標頭比 TCP 標頭出現的頻率更頻繁：通常每 20 個字節就出現一次。在一個 40 Gbps 的鏈接上，它只會給您 4 納秒以線速處理數據包。顯然，這無法將源地址與大型數據表中的每個條目進行比較。您需要某種硬件加速。 但是，即使您速度夠快，源地址檢查也無法保證安全。源地址可輕松進行偽裝，以使數據包看起來似乎來自于一個受信或至少不可疑的來源。如果攻擊者征用了僵尸網絡，惡意的數據包可能來自許多完全不知情的地址。 隨著地址篩選效率的降低，防火墻探索了兩種截然不同的更激進的策略：用檢測有效載荷替代檢測標頭，并在有效載荷抵達后監測其行為。 有效載荷檢測 隨著端口和地址篩選逐漸失去了對猛烈攻擊的有效性，防火墻開發人員將關注的范圍擴展到了數據包的數據部分。深度包檢測 (DPI) 由此誕生（圖 2）。 .圖 2.兩個不同的安全層依賴于檢測 IP 包標頭部分。 DPI 背后的原理很簡單。一旦發現攻擊，就可以識別簽名，包括奇怪的系統調用、代碼或具有攻擊專有特征的數據。理想情況下，這些碎片是攻擊發揮作用的必要條件。因此，您只需掃描每個包的數據部分以獲得已知簽名，并刪除包含匹配簽名的任何消息。 DPI 存在一些天生的計算問題。即便可以用簡單的字符串匹配來掃描包的有效載荷，種類繁多的已知攻擊也會使基于軟件的篩選變得無法實行。網絡處理器、FPGA、甚至圖形處理單元 (GPU) 等基于硬件的字符串匹配有助于達到線速水平。但是，要使這些加速器的更新速度足以應對新出現的威脅可能非常困難。 有一種簡單的方法可以讓攻擊者躲避字符串匹配。它們可以更改簽名中與功能無關的數據位，從而使字符串不再匹配。針對這種方法的對策是從字符串的精確匹配轉變為對正則表達式求值。正則表達式可以準確地描述哪些是攻擊發揮作用的必要數據，哪些是攻擊者可能用來掩飾簽名的數據。但是，線速正則表達式處理再次成為一個硬件任務。幸運的是，有一些產品能夠提供此類支持，包括上面的列表和專用的正則表達式處理器芯片。 遺憾的是，有一種讓人尷尬的簡單方法可以繞過正則表達式分析，只需確保惡意軟件中的簽名都位于包與包的過渡邊界上即可。現在沒有任何數據包包含簽名，也沒有任何 DPS 可以檢測到攻擊。 數據包和對象 原則上，正則表達式處理器可以保存從一個包移動到下一個包時的狀態，希望以這種方式檢測到被數據包邊界分割的簽名。但總體而言，防火墻開發人員和電子郵件網關開發人員正在轉向一個要求更高的解決方案：將完整消息集中在一個緩沖區，進行一次性檢查。為了與 DPI 進行區分，這種方法有時被稱為“深度內容檢測 (DCI)”。 由于能夠對完整的信息進行檢測，也就出現了各種各樣的可能性。您可以進行更復雜的正則表達式評估，以便嗅出可疑的簽名。您第一次可以將消息放在上下文中，將其視為具有意義的對象，而不是毫無意義的字符串。它是帶有鏈接或附件的電子郵件？一個圖像或視頻嗎？一組非結構化數據模塊，還是代碼模塊？一旦將其分類，您就可以將其與接收方期望的內容進行比較，并應用相應策略。是否有人向您的首席技術官發送可執行附件？這一行的文本是否以一個 SQL 字符串結尾？這條消息是否表現為加密信息？ 這種新發現的能力是有代價的。我們已經默默放棄了以線速進行流入流量檢測的概念。以打開數據包的方式來顯示其有效載荷帶來了新的延遲，并且對緩沖區的要求比數據包級檢查更大。而且，有效載荷可能需要發揮作用才能更容易理解。它可能被編碼或壓縮。也可能被加密。防火墻需要訪問算法和密鑰才能使有效載荷可讀，這個要求可能很難滿足，尤其是在公有云中。但 DCI 也帶來了新的可能性。一種可能性是能夠通過對代碼段進行靜態分析來評估其能力。這段代碼是否可以更改系統文件，或是否會將數據導出到未知的目的地？ 機器學習？ 另一種可能得到很多關注的可能性是，既然您正在研究整個對象，那么就可以應用機器學習技術。憑借在雜亂的非結構化數據中識別模式的能力，深度學習網絡 (DNN) 似乎至少是在信息中發現問題信號的理想方法，但它也有其局限性。DNN 需要訓練，專家們必須收集數以百萬計的樣本，通過標記來表明威脅存在與否，并將其逐一輸入網絡。這一過程需要人類專家工作很長時間，并且對準備 DNN 識別新威脅所需的時間設定了下限。 更糟糕的是，由于數據的概念漂移，經過訓練的網絡不太可能在沒有經過繼續訓練的情況下識別出新的威脅。當新的威脅出現時，人們不得不識別它的簽名，準備示例，對其添加標記，將其添加到訓練集，然后再次對網絡進行訓練。這個過程是否可能呈遞增趨勢，或者是否需要重復數以百萬計的輸入，仍然是一個懸而未決的問題。 一個潛在的解決方案是采用訓練方法完全不同的神經網絡：強化學習。正如英特爾安全架構師 Jason Martin 所解釋的那樣，“在獲得數百萬個標簽樣本、且數據分布不會頻繁變化的情況下，監督型學習網絡是成功的。”但在安全方面，卻不算成功。 “相比之下，強化學習更像是一個反饋回路：網絡吸收觀察結果，做出預測，根據預測做出反應，根據行為的結果獲得回報，然后根據回報調整權重。” 例如，一個安全網絡將因為傳遞無害信息或標記可疑信息而獲得正面反饋，因為誤報獲得負面反饋，因為放行真正的威脅而獲得非常負面的反饋。 Martin 說，強化學習仍然需要大量的訓練，但強化網絡無需灌輸訓練數據，而是“即使在部署之后仍然能自行探索。”這可能會讓這種網絡的部署遠遠早于監督型學習網絡被訓練完畢，并且能夠處理概念漂移，并且使強化學習網絡更快地應對新的威脅。 沙盒 人工神經網絡給防火墻帶來了一種全新的可能性：能夠在沒有精確匹配已知簽名或正則表達式的情況下識別一個對象。接下來出現的問題是如何處理那些可疑但又不確定是否危險的對象。答案會隨著上下文的不同而有所差異。在最保險的低風險情況下，將對象傳遞給接收任務并僅向用戶發出警告可能有效。在高度安全環境中，可能有必要摧毀可疑對象。但是在資源和延遲允許的情況下，還有另一種選擇：沙盒。 “我們可以把沙盒看作是一種特殊的虛擬化技術，”英特爾首席工程師 Ravi Sahita 說，“一種可以用于試驗一條信息會導致什么結果的引爆盒。”（圖 3） 圖 3.沙盒可創建出一個安全的人工環境，用于測試對象并了解它們的實際行為。 假設您有一個可疑的電子郵件附件。您可以創建一個電子郵件環境的實例，在這個環境中，系統調用的不是常規管理程序，而是一個安全監控程序，它將檢查這些調用中是否有不合理的請求。安全監控程序還可以監視不合理的讀取、寫入或提取行為。因此，如果沙盒中的對象嘗試了任何異常行為，監控程序就會觀察并進行標記。由于沙盒在邏輯上被虛擬化隔離（有時在設備中物理隔離）因此對象不會對實際系統造成損害。 當與強化學習組合使用時，沙盒可能特別有價值。網絡可以判斷可疑對象，將其轉移到沙盒中，然后從該對象的實際行為中獲得即時反饋，所有這些都不會對實際系統造成任何風險。這樣的策略可以采用流水線方式實現，這樣防火墻就能夠以很低的延遲迅速響應容易識別的威脅，而將可疑的對象傳遞到沙盒中進行進一步的分析。Martin 說，這種方法還可以在循環中加入人類專家，分析來自沙盒的結果，并可以根據需要對流水線的前端進行再訓練，以便識別新的威脅。 Sahita 指出，攻擊者仍然有備選方案。他們已經學會了延遲代碼的不良行為，等待超過沙盒中設定的對象隔離時間。一些攻擊者已經學會識別指紋，用于指示其對象位于沙盒中，而不是在真實的操作環境中，這使惡意軟件可以在被釋放到真實系統之前隱藏自身。 安全開發人員正在全力反擊。“理想情況下，沙盒應與終端相融合，”Sahita 說。這就意味著要構建系統調用監控，處理對生產監管程序的監聽，從而保證沒有可供檢測的明顯沙盒指紋,那么就無法對隔離對象附加延遲。但這需要額外的保護：建議您不僅要監控系統調用和內存引用，還要監控數據流，以確保對象不能以某種方式將自己與系統中其它特權代碼連接起來，否則就會失控。 這是英特爾控制流程執行技術 (Control Flow Enforcement Technology) 的關鍵所在，該技術監控返回堆棧和間接分支使用的寄存器，尋找試圖轉移程序流的嘗試。但 Sahita 表示，監視可能會更深入。 “您可以在運行時直接從現代化的英特爾 CPU 生成跟蹤數據，”他說。“您可以獲得大約 250MB/分鐘的控制流數據，您可以用 GPU 或 FPGA 實時評分。有趣的是，您可以解碼、注釋和分析代碼內容。” 有一種新的推測，這可能會成為另一種強化學習網絡的應用方式。在檢查跟蹤數據方面，它們可能比人類程序員速度更快、洞察力更敏銳。 邊緣情況如何? 這些措施構成了一個合理的數據中心安全路線圖。在郵件網關和應用程序環境中集成 DCI 等先進的防火墻功能和沙盒級保護可以顯著提高安全性，同時將延遲保持在網絡功能虛擬化和物聯網架構師的預想范圍內。但物聯網的另一端：邊緣計算節點和物聯網設備又如何呢？ 在那邊，防火墻和沙盒設備是無法想象的奢侈品。在目前的情況下，虛擬機監控程序并沒有考慮這個級別的安全性。加速神經網絡推理或強化學習的加速器幾乎不為人知，對于許多嵌入式處理器來說，通過分析進行實時追蹤相當于科幻故事。 查看數據中心可能會向我們展示物聯網終端面臨的威脅，以及應對這些威脅的已知方法。但是它不能告訴我們如何實現隨著這些應對方法而日益增長的內存要求和計算負載。我們可能會發現，必須重新審視網絡邊緣真正需要的資源級別。物聯網邊緣可能并不像我們所希望的那樣輕量化和節約能源。 本文轉載自 轉載地址： 聲明：本文為轉載文章，轉載此文目的在于傳遞更多信息，版權歸原作者所有，如涉及侵權，請聯系小編進行處理。 (mbbeetchina)