Nuestra publicación de weblog anterior, Diseño e implementación de la detección de falsificación de IA de Cisco, Parte 1: Del dispositivo al modelo de comportamiento, presentó un servicio híbrido en la nube/en las instalaciones que detecta ataques de suplantación de identidad utilizando modelos de tráfico de comportamiento de puntos finales. En esa publicación, discutimos la motivación y la necesidad de este servicio y el alcance de su operación. Luego brindamos una descripción normal de nuestro proceso de desarrollo y mantenimiento de Machine Studying. Esta publicación detallará la arquitectura world de Cisco AISD, el modo de operación y cómo TI incorpora los resultados en su flujo de trabajo de seguridad.
Dado que Cisco AISD es un producto de seguridad, minimizar la demora en la detección es de gran importancia. Con eso en mente, se diseñaron varias opciones de infraestructura en el servicio. La mayoría de los servicios de Cisco AI Analytics utilizan Spark como motor de procesamiento. Sin embargo, en Cisco AISD, usamos una función AWS Lambda en lugar de Spark porque el tiempo de calentamiento de una función Lambda suele ser más corto, lo que permite una generación de resultados más rápida y, por lo tanto, un retraso de detección más corto. Si bien esta elección de diseño scale back la capacidad computacional del proceso, eso no ha sido un problema gracias a una estrategia de almacenamiento en caché personalizada que scale back el procesamiento a solo datos nuevos en cada ejecución de Lambda.
Descripción normal de la arquitectura de detección de falsificación de IA world
Cisco AISD se implementa en un controlador de pink de Cisco DNA Heart mediante una arquitectura híbrida de un controlador native conectado a un servicio en la nube. El servicio consta de procesos locales y componentes basados en la nube.
Los componentes locales del controlador Cisco DNA Heart realizan varias funciones vitales. En la ruta de datos salientes, el servicio recibe y procesa continuamente datos sin procesar capturados de dispositivos de pink, anonimiza la PII del cliente y la exporta a procesos en la nube a través de un canal seguro. En la ruta de datos entrantes, recibe cualquier alerta de falsificación de punto closing nueva generada por los algoritmos de aprendizaje automático en la nube, elimina el anonimato de cualquier PII de cliente relevante y activa cualquier Cambios de Autorización (CoA) a través de Cisco Id Companies Engine (ISE) en los puntos finales afectados.
Los componentes de la nube realizan varias funciones clave centradas principalmente en procesar el gran volumen de datos que fluyen de todas las implementaciones locales y ejecutar la inferencia de Machine Studying. En explicit, el mecanismo de evaluación y detección tiene tres pasos:
- Apache Airflow es el orquestador y programador subyacente para iniciar funciones informáticas. Un Airflow DAG con frecuencia pone en cola las solicitudes de cómputo para cada cliente activo en un servicio de cola.
- A medida que se quita de la cola cada solicitud de cómputo, se invoca una función de cómputo sin servidor correspondiente. El uso de funciones sin servidor nos permite controlar los costos de cómputo a escala. Esta es una función de ejecución corta, intensiva en cómputo y de múltiples pasos altamente eficiente que realiza un paso ETL al leer datos de clientes anónimos sin procesar de grupos de datos y transformarlos en un conjunto de vectores de características de entrada que nuestro Aprendizaje automático utilizará para la inferencia. Modelos para la detección de suplantación de identidad. Esta función de cómputo aprovecha algunas de las arquitecturas comunes de función como servicio de los proveedores de la nube.
- Luego, esta función también realiza el paso de inferencia del modelo en los vectores de características producidos en el paso anterior, lo que finalmente conduce a la detección de intentos de suplantación de identidad, si están presentes. Si se detecta un intento de falsificación, los detalles del hallazgo se envían a una base de datos que los componentes locales de Cisco DNA Heart consultan y finalmente se presentan a los administradores para que tomen medidas.
La Figura 1 captura una vista de alto nivel de los componentes de Cisco AISD. Dos componentes, en explicit, son fundamentales para la funcionalidad de inferencia en la nube: el Programador y las funciones sin servidor.
El programador es un gráfico acíclico dirigido por flujo de aire (DAG) responsable de activar las ejecuciones de funciones sin servidor en los datos de clientes activos de Cisco AISD. El DAG se ejecuta a intervalos de alta frecuencia, empujando los eventos a una cola y activando las ejecuciones de la función de inferencia. Las ejecuciones de DAG preparan todos los metadatos para la función de cómputo. Esto incluye determinar clientes con flujos activos, agrupar lotes de cómputo en función del volumen de telemetría, optimizar el proceso de cómputo, and many others. La función de inferencia realiza operaciones ETL, inferencia de modelos, detección y almacenamiento de alertas de suplantación de identidad, si las hubiera. Este proceso intensivo en computación implementa gran parte de la inteligencia para la detección de suplantación de identidad. A medida que nuestros modelos de ML se vuelven a capacitar regularmente, esta arquitectura permite la implementación rápida, o la reversión, si es necesario, de modelos actualizados sin ningún cambio o impacto en el servicio.
Las ejecuciones de la función de inferencia tienen un tiempo de ejecución promedio estable de aproximadamente 9 segundos, como se muestra en la Figura 2, lo que, tal como está estipulado en el diseño, no introduce ningún retraso significativo en la detección de intentos de suplantación de identidad.
Detección de suplantación de identidad con IA de Cisco en acción
En esta serie de publicaciones de weblog, describimos los principios y procesos de diseño interno del servicio de detección de falsificación de IA de Cisco. Sin embargo, desde el punto de vista de un operador de pink, todos estos elementos internos son totalmente transparentes. Para comenzar a utilizar el sistema de detección de suplantación de identidad híbrido native/basado en la nube, los administradores de Cisco DNA Heart deben habilitar el servicio correspondiente y la exportación de datos en la nube en la Configuración del sistema de Cisco DNA Heart para AI Analytics, como se muestra en la Figura 3.
Una vez habilitado, el componente native en Cisco DNA Heart comienza a exportar datos relevantes a la nube que aloja el servicio de detección de suplantación de identidad. Los componentes de la nube inician automáticamente el proceso para programar las ejecuciones de la función de inferencia del modelo, evaluar los modelos de detección de falsificación de ML contra el tráfico entrante y generar alertas cuando se detectan intentos de falsificación en un punto closing del cliente. Cuando el sistema detecta suplantación de identidad, el Centro de ADN de Cisco en la pink del cliente recibe una alerta con información. En la Figura 4 se muestra un ejemplo de dicha detección. En la consola de Cisco DNA Heart, el operador de la pink puede establecer opciones para ejecutar acciones de contención predefinidas para los puntos finales marcados como falsificados: cerrar el puerto, abrir el puerto o volver a activarlo. -autenticar el puerto desde la memoria.
Compartir:
