iT邦幫忙

2023 iThome 鐵人賽

DAY 29
0
Security

由淺入深,探索 NFV 與入侵偵測系統在其中的應用系列 第 30

[Day29] 入侵偵測系統與 AI 結合的應用及方法

  • 分享至 

  • xImage
  •  

看了好多入侵偵測系統(IDS)的產品,很多都有跟 AI 結合。
通常,傳統的入侵偵測系統依賴事先定義的規則和特徵,來偵測潛在的威脅,但這些方法往往無法應對新興且未知的威脅,因為它們無法預測未來的攻擊手法。
因此,IDS 跟 AI 結合已經算是現代資安領域的關鍵趨勢。


本篇大綱
一、IDS 與 AI 結合的優勢
二、知名的資安公司與他們的產品
三、該如何著手將 IDS 跟 AI 結合


一、IDS 與 AI 結合的優勢

透過機器學習和深度學習技術,IDS 可以自動學習和識別正常和異常的行為,而無需嚴格的手動設定。

AI系統可以自動學習系統的正常運行模式,有助於識別先前未知的入侵和新型攻擊,並在出現異常時發出警報;也因為不斷學習和適應新威脅,提高入侵偵測系統的效能,同時減少誤報
實時監控系統,並迅速回應潛在的安全威脅(異常網路流量、異常用戶行為)。
與 AI 結合還可以處理大規模數據,例如:來自多個感應器和設備的資訊,從而提供全面的風險評估。

二、知名的資安公司與他們的產品

這裡介紹三家知名的資安公司以及它們的 IDS 與 AI 的產品:

  1. Cisco

    • 主要產品:Cisco Firepower, Cisco Stealthwatch。
    • 描述:Cisco 是一家全球知名的網路安全公司。Cisco Firepower 是一個綜合性的威脅防護系統,結合了 IDS/IPS、先進的威脅偵測、防火牆等功能。它使用機器學習來識別和應對新興的威脅。Cisco Stealthwatch 是一個網路行為分析工具,利用 AI 來偵測異常活動和潛在的威脅,有助於保護網路免受未知的攻擊。
  2. Palo Alto Networks

    • 主要產品:Palo Alto Networks Next-Generation Firewall, Cortex XDR。
    • 描述:Palo Alto Networks 專注於下一代防火牆和威脅防護。Palo Alto Networks Next-Generation Firewall 集成了 IDS/IPS 功能,能夠偵測和阻止威脅。Cortex XDR(Extended Detection and Response)則是一個全方位的安全操作平台,利用機器學習來提供端點、網路和雲安全的綜合保護。
  3. IBM

    • 主要產品:IBM QRadar, IBM Watson for Cyber Security。
    • 描述:IBM 是一家全球性的科技和資安解決方案提供商。IBM QRadar 是一個安全資訊和事件管理(SIEM)系統,它整合了入侵偵測系統,以快速識別和回應威脅。IBM Watson for Cyber Security 則是一個基於人工智慧的解決方案,可以分析海量的安全數據,幫助安全專業人員快速識別和應對威脅。

這些公司的產品結合了 IDS 和 AI 技術,提供強大的安全性和威脅偵測功能,有助於保護組織的資訊和資訊系統免受各種威脅,讓個人用戶、企業客戶有多層次的安全保護。

三、該如何著手將 IDS 跟 AI 結合

因為 AI 能夠提供更強大的分析和識別能力,幫助識別更複雜和隱蔽的入侵威脅。
這裡簡單提點,如何將 IDS 與 AI 結合的步驟:

  1. 確定需求

    • 首先,確定具體安全需求,了解所需的入侵偵測功能,以及希望 AI 如何增強這些功能。
  2. 選擇合適的技術

    • 選擇適用的AI技術,例如機器學習、深度學習,以用於入侵偵測。考慮使用的工具和框架,例如:TensorFlow、PyTorch。
  3. 數據準備

    • 數據是AI的關鍵。準備大量包含正常行為和已知攻擊的範例的訓練數據。
  4. 模型設計

    • 開始設計 AI 模型,該模型可以分析和監視數據流,並識別異常行為。這可能需要合併現有的 IDS 技術和 AI 模型。
  5. 訓練模型

    • 使用訓練數據訓練 AI 模型。這是一個耗時的過程,需要調整參數以實現最佳性能。
  6. 整合入IDS

    • 將訓練有素的 AI 模型整合到 IDS中。這可以是現有 IDS 的一個擴展,或者是一個新的結合了 AI 的解決方案。
  7. 測試和調試

    • 在生產環境之前,仔細測試和調試自己的組合系統。測試對模型的性能進行評估,並檢查其是否可以正確識別攻擊。
  8. 持續監控和改進

    • 入侵威脅和攻擊不斷變化,所以需要不斷監控系統並進行改進。這包括更新 AI 模型以應對新威脅。
  9. 法規合規性

    • 確保系統符合相關法規要求,並了解自己的法律義務。

AI的結合使入侵偵測系統更加靈活、強大且自適應,有助於提高資安的整體效能,特別是在應對不斷變化的資安環境時。不過整合也是一個復雜的過程,需要多方面的技術知識,以來確保系統能夠在真實環境中應對威脅。
期待大家在深耕這塊都有心得啦!
/images/emoticon/emoticon07.gif


上一篇
[Day28] 透過資訊安全頂級研討會文章,進一步深思入侵偵測
下一篇
[Day30] NFV / 入侵偵測系統相關資源、開源工具
系列文
由淺入深,探索 NFV 與入侵偵測系統在其中的應用31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言