数据存储产业服务平台

当SoC、APM遭遇人工智能

时间应该是打磨人类记忆最好的办法,随着时间飘逝,AlphaGO所引发人工智能、机器学习的轰动效果逐步消退,可以说,如果只是会下围棋,那么AlphaGO其实也没有更多意义。阿里云小i让机器学会音乐,并成功预测《我是歌手》竞赛排名,并展示了预测交通拥堵的能力。但在我看来,用人工智能治理、疏导交通这才是神奇之处,至少目前看来,还没有看到小i表现出这方面的能力。

人工智能还能够有让人眼前一亮的应用吗?当我接触到一家称为华青融天的新三板上市企业之后,我找到一个不错的答案。

从SoC和APM说起

SoC、APM,冷冰冰的技术字眼,很多人一时很难说清楚它们是什么?原因很简单,作为IT信息系统管理保障技术,很多人接触不到。

“从技术的角度,要保障IT信息系统的安全和高效,现有的技术手段,如SoC(Security Operations Center,信息安全运营中心)、APM(Application Performance Management,应用性能管理)还是差强人意的。”华青融天CTO王勇接受记者采访时说。

王勇指出,主要的原因还在于没有更多新的技术突破,以SoC为例,现有方法主要还是关联分析。所谓基于规则的分析,IF A then B,规则就是如此,其中,规则是怎么来的,都是基于已经发生的事情,或者已知安全经验。

“但是能做到关联分析就不错了,因为它可以解决部分问题,尽管然有些问题解决不了”。王勇说。以所谓0 Day攻击为例,黑客所使用的方法,并没有被发现过,已经有了对策的,就不称为0 Day攻击了。SoC作为防守方,0 Day是未知行为,用基于规则的手段,肯定是无能为力。

目前市场上有很多安全厂商号称可以抵御未知行为的攻击,其效果如何,就是仁者见仁,智者见智了。

山峰其实就在那里

“我为什么要登山,因为山就在那里”这是登山者经典格言,对比到SoC、APM同样适用,因为黑客行为数据其实都隐藏在SoC、APM所捕捉数据中。多说一句,SoC、APM借助网络探针捕捉IT信息系统的数据,包括安全和网络性能的相关数据。黑客行为就隐匿在其中,所考验的是运营者发现问题的能力。

“事件和数据都在那里,看你有什么方法分析出来。2015年安全大会主题是可视化。有人将可视化只理解为图形展现,实际这不完整。从事件里发现你看不到的东西,这才是真正的可视化。”王勇说。

目前华青融天两个主要产品EZSonar和EZAccur,就是典型的APM/NPM、安全管理分析平台,服务于多家金融等行业用户,其中,最著名的当属招商银行。“从我们服务招商银行的情况看,他们一个系统有20多节点,每个节点每15秒产生20~30指标参数,总共600多个数据,这些数据的关系是什么?”王勇说,“用简单统计方法是无法描述系统行为的,无法知道系统异常及根源,人工智能技术的兴起,为SoC、APM应用带来新的机会。“

机器学习带来突破

尽管机器学习刚刚开始,但实际上,机器学习、深度学习有几十、上百种算法,其模型、方法、算法相对都是公开的。利用这些公开的算法,华青融天开始将其付诸SoC、APM的应用实践。

bcd2d5e47db58f8450d9e74309cf0c351

“我们得先知道自己面临的问题是什么问题,如何把问题抽象出来,哪些模型解决问题管用,哪些不管用,为此,我们进行了大量的尝试和研究,从而积累了丰富的经验,并取得很好的应用效果。”王勇说。

以网银应用为例,如今,黑客的手段更加隐蔽,如撞库攻击,过去采用的方法是不停尝试,很容易识别;但如今,黑客会尝试低频率撞库攻击,时间间隔长,并不断变换IP地址,如此就非常难以识别。

王勇表示:利用机器学习的技术,我们让机器学习来抓取特征,机器抓来的特征会有100~200个,结合这些特征历史变化,同时,通过专业人员将涉及正常业务行为的特征区分出来,从而缩小了分析问题的范围,从中仔细区分隐藏安全行为以及故障苗头,就会有新的发现。

从实际效果看,透过与招商银行业务人员的紧密合作,华青融天EZSonar、EZAccur新的机器学习、人工智能技术屡有斩获,鉴于保密考虑,没有办法进行更多介绍,但可以肯定的是,这个方向的确带来了突破。

小结

相信很快,机器学习,人工智能就会成为SoC、APM厂商的新宠,因为技术思路、思想没有更多的秘密,但最终发挥作用的将是经验和技术积累。有些事情,人暂时做不好的,其实可以交给机器,也许就会带来意外的惊喜,但最终发挥作用的其实还是人。

 

未经允许不得转载:存储在线-存储专业媒体 » 当SoC、APM遭遇人工智能