Palo Alto Networks利用基于机器学习的自动化网络安全解决方案

news2024/11/20 20:37:22

“

Palo Alto Networks利用第三代英特尔至强可扩展处理器和部署在云中的英特尔软件，为其云端安全服务提供强有力的支持，从而提升机器学习和推断的性能。

面对恶意软件攻击的快速演变和难以捉摸的特性，企业网络安全团队面临着巨大的挑战。恶意软件的变异速度已经超过了人类的应对能力，每天都有数以千计的新变种出现。攻击者能够利用基于机器学习的自动化技术修改他们的攻击模式，创造新的恶意软件变种，从而规避基于规则的安全防护。

网络安全技术和服务供应商也在使用机器学习技术，以便提前预防这些自动生成的攻击，自动识别新的变种，快速创建新的签名，并在几分钟内将其推送到所有的安全设备上。另一个利用机器学习在安全领域的关键优势是能够检测和识别物联网传感器以验证其真实性。

Palo Alto Networks已经将机器学习功能集成到其云端安全服务中，这是一套由八个单独的安全服务组成的套件，这些服务共享数据，因此可以以各种组合方式部署，以在企业任何地方提供全面的网络安全服务。

虽然机器学习提供了对威胁的快速响应能力，但它在计算上非常密集，需要大量的CPU计算才能提供低延迟响应。机器学习使用AI推断来检测新的威胁并理解它们。由于推断是Palo Alto Networks的AI流程中最需要计算的部分，因此该公司与英特尔合作，使用英特尔技术来优化推断性能。Palo Alto Networks使用了第三代英特尔® Xeon® Scalable处理器和英特尔 ML 软件框架来实现期望的结果。这种合作的效果可以从稍后在本文中讨论的基准测试结果中看出，这些测试结果显示平均推断时间减少了近六倍。

Palo Alto Networks云端安全服务

Palo Alto Networks 提供一系列全面的，以云端交付的安全服务，这些服务通过自动协调智能并采取预防步骤，能实时抵御已知、未知和难以捉摸的威胁，为超过85,000的客户带来优质的服务。

这套解决方案旨在相互协作和增强，使得客户可以根据需要，选用特定的安全服务来强化现有的网络安全防御，或者部署全方位的网络安全系统。所有这些安全功能都遵循零信任模型，从而全方位支持网络安全计划。

该套云端交付的安全服务包括：

高级威胁防御：有效阻止已知的利用、恶意软件、恶意URL、间谍软件和C2攻击，同时利用业界领先的技术抵御零日攻击。
高级 WildFire：采用广泛的威胁情报和恶意软件防御引擎，自动快速识别已知、未知和高度难以捉摸的恶意软件，确保文件安全。
高级 URL 过滤：业界首次提供实时阻止已知和未知的URL威胁的功能，防止恶意URL，增强安全上网，防止网络攻击。
DNS 安全：通过增强威胁覆盖范围，阻止大量利用DNS进行C2和数据盗窃的恶意软件，且无需改变现有的网络基础设施。
企业 DLP：通过阻止违反策略的数据传输，降低数据泄露的风险，保持企业全面的合规性。
SaaS 安全：下一代云访问安全代理（CASB）被原生集成到 Palo Alto 的 SASE 中，提供了主动的 SaaS 可见性，全面防止配置错误，实时数据保护，从而确保最佳的安全性。
IoT 安全：全面保护所有设备，并实时落实零信任设备安全原则，这是业界对智能设备的最先进的安全解决方案。
AIOPs：针对下一代防火墙 (NGFW) 的 AIOps 改变了防火墙运营体验，允许安全团队主动增强安全态势并解决防火墙中断问题。

Palo Alto Networks 通过机器学习实现安全响应的自动化

Palo Alto Networks 的云端交付的安全服务，依赖于机器学习技术，以实现服务间的智能自动协作。这种网络效应在各个安全领域之间产生，从恶意软件防御到网络安全，进一步增强了对 DNS 攻击和侵入防御的能力。

英特尔技术在实现中的应用

Palo Alto Networks 的机器学习解决方案利用了英特尔的一系列先进技术，包括第三代英特尔 Xeon 可扩展处理器内置的功能和在 CPU 上运行的专用软件框架。第三代英特尔 Xeon 可扩展处理器具备以下特点：

英特尔 Deep Learning Boost：这是一组加速功能，专为用深度学习框架（如 PyTorch、TensorFlow、MXNet、PaddlePaddle、Caffe 和 OpenVINO™）构建的推理应用提供性能提升。
VNNI：VNNI 是英特尔 Deep Learning Boost 的核心，它是一种特殊的指令集，可以将多个单独的指令简化为一条指令。
英特尔高级矢量扩展 512 (Intel AVX-512)：这是一种 512位向量处理指令集，能够加速处理诸如 AI 推理等高负荷工作负载和任务的性能。

除 CPU 指令集之外，英特尔还提供了一系列优化的机器学习和网络框架的软件技术：

英特尔 oneAPI Deep Neural Network 库（oneDNN）：oneDNN 是一个开源的性能库，为跨平台深度学习应用程序的构建提供基础。这个库针对英特尔处理器、英特尔处理器图形和 Xe 架构图形进行了优化。
英特尔 Neural Compressor：这是一个开源的 Python 库，它运行在英特尔处理器和 GPU 上，为流行的网络压缩技术（如量化、剪枝和知识蒸馏）提供了统一的接口，跨多个深度学习框架。这个库可以在各种流行的深度学习框架（如 TensorFlow、PyTorch、MXNet 和 Open Neural Network Exchange (ONNX) 运行时）中使用。
Traffic Analytics Development Kit (TADK)：TADK 是一套优化的库和工具集，满足网络应用中常见的端到端 AI/ML 流水线需求。TADK 具有模块化设计，支持自定义扩展，并能够将客户特定的库集成在整个流水线中。TADK 还包括示例开源应用集成（如 NGINX、FD.io VPP、ModSecurity）以及以流量分类和 Web 应用防火墙用例为重点的示例训练模型。

以下基准测试数据展示了这些功能如何为 Palo Alto Networks 的云端安全服务提供性能提升。

性能数据

图1展示了在 Google Cloud Platform (GCP) 环境下对 Palo Alto Networks 的机器学习、C2 (MLC2) 攻击模型进行性能测试的结果。该测试环境（服务器和软件配置详见附录 A 和 B）包括使用最近两代的英特尔 Xeon Scalable 处理器的云实例。

Palo Alto Networks 的机器学习解决方案采用了内置在第三代英特尔 Xeon Scalable 处理器中的技术，支持多种数据类型。测试使用了 32 位单精度浮点格式（FP32），并在开启和关闭 oneDNN 的情况下进行，以及在开启 oneDNN 的 8 位整数（INT8）格式下进行。

图1的结果显示，通过应用 Intel oneDNN 和 Intel Neural Compressor，在 TensorFlow 下，平均推理时间得以显著提升。在 TensorFlow 2.7 下，将第三代英特尔 Xeon Scalable 处理器的 GCP n2-std-8 实例的 INT8 模型进行比较，平均推理时间快了六倍以上。

使用 oneDNN 进行性能调优并配合 Intel Neural Compressor 是非常直接的。Intel DL Boost 对观察到的性能改善起到了贡献，这是在第二代和第三代 Intel Xeon Scalable 处理器中标准且普遍可用的功能，无需额外的硬件加速器。

结论

对于期望自动化其恶意软件防御流程以应对高并不断增长的工作量的企业网络安全团队来说，机器学习技术无疑是一项福音。然而，机器学习推理需要消耗 CPU 周期，这可能会降低安全应用程序的响应速度，使得在网络安全中的机器学习技术应用受限。Palo Alto Networks 作为使用机器学习技术的领导者，与 Intel 合作，通过使用第三代英特尔 Xeon Scalable 处理器内置的技术和 Intel 的机器学习软件框架，实现了推理性能的最大化。