精华内容
下载资源
问答
  • 基于攻击视角完善信息安全弹性防御体系的思考.docx
  • 银行行业月报:弹性缺乏,防御配置.pdf
  • 银行行业月报:弹性缺乏,防御配置-20190904-中银国际-25页.pdf
  • 主动防御简述

    千次阅读 2020-06-29 13:01:20
    主动防御一、定义二、主动...主动防御是在入侵行为对计算机系统造成恶劣影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险的安全措施。 主动防御也是一种变相的攻击型安全措施


    主动防御可以指军事或网络安全领域中的防御战略。在网络安全领域,主动防御也称为 Active Cyber Defense,主动防御是与被动防御相对应的概念。

    图片来源IISL,如有侵犯,请联系我删除

    一、定义

    主动防御是在入侵行为对计算机系统造成恶劣影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险的安全措施。

    主动防御也是一种变相的攻击型安全措施(offensive security)。攻击型安全措施的重点是寻找入侵者,计算机系统在某些情况下会使他们丧失入侵能力或者破坏他们的入侵行动。

    二、主动防御和被动防御的比较

    被动防御是计算机在受到攻击后,受到攻击后,计算机系统采取的安全措施。例如,系统内部的安全审计工具(防火墙或者杀毒软件)扫描或监测出计算机系统内存在木马或者病毒文件,再将它们杀死或者永久删除。修复系统漏洞或者bug也是被动防御。被动防御也是大部分人口中默认的网络安全防御措施。
    被动防御技术主要有以下四种:

    1. 防火墙技术(传统防火墙)
    2. 传统入侵检测技术(IDS)
    3. 恶意代码扫描技术
    4. 网络监控技术

    主动防御和被动防御的区别在于,前者可以提前防范威胁,将潜在的威胁扼杀在摇篮里,后者是计算机在被入侵后被动的采取安全措施。举个简单的例子,对于大部分杀毒软件(以下简称杀软)而言,只能被动的查杀已知病毒。这里的被动的是指,先有新病毒,然后杀软安全厂商提取病毒的特征码后录入到自家的杀软数据库中,最后用户使用杀软对计算机进行查杀病毒。而主动防御是主动捕获流量的变化和程序行为,并对此分析,如果有疑似病毒行为的操作则立刻通知用户进行处理,进而达到将威胁扼杀到摇篮里的目的。

    主动防御弥补了传统“特征码查杀”技术对新病毒滞后性的特点。

    三、主动防御的方法

    主动防御主要是对整个计算机系统进行实时监控,能快速捕获网络流量的变化,对程序行为进行分析,禁止一切可疑行为,从而达到保护计算机系统安全的目的。同时主动防御系统也会收集可疑行为的连接计算机的方式(潜在入侵行为)以及其它有用信息(了解入侵者的信息等)。用户可以通过该信息利用一些“攻击”手段来对抗入侵者,使其入侵难以进行。
    主动防御技术主要有以下8种:

    1. 数据加密
    2. 访问控制
    3. 权限设置
    4. 漏洞扫描技术(网络安全扫描技术)
    5. 蜜罐技术
    6. 审计追踪技术
    7. 入侵防护技术(布防的新型入侵检测技术)(IPS)
    8. 防火墙与入侵检测联动技术

    四、主动防御的作用

    • 让入侵者的入侵速度变慢或入侵脱轨,使其无法继续入侵或者完成入侵行动,从而增加入侵者犯错的概率并暴露其存在(IP地址)或暴露他们的入侵媒介[3]。
    • 增加入侵成本。主动防御也可能意味着"非对称防御",通过增加入侵者攻击的成本和时间。
    • 可以检测和阻止内外威胁。不仅能检测和阻止互联网中(外部威胁)的入侵者对局域网的入侵行为,还能检测局域网中(内部威胁)的攻击行为,包括勒索软件,勒索和加密劫持等。
    • 收集取证入侵者犯罪行为。主动防御使系统能够提前主动检测和破坏入侵行动,收集和了解了入侵手法和威胁情报并记录到主动防御系统的数据库中,主动防御系统会做出对应防范策略,以防止类似事件再次发生。
    • 向入侵者发动反击。某些特殊场合,主动防御系统会向入侵者发动反击行为。这通常是为军事和执法部门保留的权利,这些部门有资源也有权限确认攻击来源并采取适当的行动。
      备注:个人的反击行为可能会触犯当地法律。建议不要私自采取反击行动。

    五、主动防御带来的隐患

    主要隐患在于主动防御的目的中的第5点——向入侵者发动反击。主动防御的特点之一是通过主动防御系统,被入侵者可以获得入侵者的大部分信息,包括入侵者的地址,入侵的媒介等。主动防御在破环入侵行为的同时,也可以根据收集的有效信息,对入侵者进行反击,从而击退入侵者。当主动防御系统对入侵者进行反击时,虽然是出于安全目的,但是本质上也等同于网络攻击。

    也就是说,这些防御方法是否合法,是否达成了社会性的共识是一个问题。换言之,作为安全策略(即反击行为),对入侵者反击的程度的底线在哪里,如果安全策略不合法,则被入侵者可能会被起诉为攻击者,有被认定为犯罪的风险。此外通过防御系统反击入侵行为,也可能会激怒入侵者,从而引发报复行为。

    目前没有法律明确定义了防守反击的度量是什么。什么样的情况下可以被认为是正当的安全策略。大家目前只能在模糊的边界来回徘徊。

    六、关于主动防御中防守反击的建议

    普通用户,包括个人,企业等在应用主动防御系统时,主要使用了主动防御作用中1-4点。在发现计算机系统被入侵的时候,主动防御系统会收集取证入侵者留下来的痕迹,这些痕迹可以作为法律关键证据,用来起诉入侵者。最典型的案例是,1994年,米特尼克向圣地牙哥超级电脑中心入侵,戏弄在此工作的日裔美籍电脑安全专家下村努,并盗走他电脑的文件,还使用会话劫持技术盗走他网站的流量。后来下村努设立“蜜罐”让米特尼克中计引诱他上钩,用“电子隐形化”技术进行跟踪,结果1995年米特尼克再次被逮捕。类似的像蜜罐技术和欺骗技术这些是主动防御中的合法行为。很多杀软安全厂商们会在互联网上设置各种类型的蜜罐,用来捕获互联网中的黑客入侵手法,新的病毒和木马。以此来完善他们的防病毒数据库。

    特殊用户,包括军方,政府安全部门等启用主动防御系统时,在使用主动防御作用中的1-4点的同时,也会利用主动防御的防守反击。以此来查找入侵者,并对其进行反入侵,破坏黑客们的入侵攻势,甚至通过技术手段反入侵到黑客的电脑中。对于这些特殊用户,他们的这种行为是合法的,军方和政府安全部门是以维护国家安全为目的,因此在法律中他们享有一些权限。或者说有特殊的法律支持他们的反击行为。

    七、主动防御在国内外的发展

    国内比较著名的主动防御厂商是一个名叫微点的反病毒软件公司。北京东方微点信息技术有限责任公司,简称东方微点,英文名Micropoint。据东方微点在其官网上的介绍,刘旭(东方微点创始人)与其团队“采用‘程序行为自主分析判定’技术,于2005年3月,研制成功微点主动防御软件”。微点主动防御软件是北京奥运会开闭幕式运营中心唯一使用的反病毒软件。微点官方声称其“主动防御”技术通过分析程序行为判断病毒,一改过去反病毒软件依据“特征码”判断病毒因而具有的“滞后性”,在防范病毒变种及未知病毒方面具有革命性优势。微点是国际上唯一一款不经升级即能防范“熊猫烧香”病毒的杀毒软件。东方微点的主防在国内称得上屈指可数,但是杀毒能力却一般。

    国外知名网络设备供应商思科公司的新一代安全产品中均加入了主动防御系统。根据思科在2019年2月发布的《2019年思科网络安全报告系列 • 威胁报告》[5],下面三种工具中均含有主动防御的功能。

    1. 恶意软件检测和保护技术(例如思科高级恶意软件防护 [AMP])可以跟踪未知的文件,阻止已知的恶意文件,并防止在终端和网络设备上执行恶意软件。
    2. 高级恶意软件检测和防护技术(例如面向终端的思科 AMP)可以防止在终端上执行恶意软件。它还可以帮助隔离、调查和修复受感染的终端,处理绕过最强防御措施的 1% 的攻击
    3. 思科下一代防火墙 (NGFW) 和思科下一代入侵防御系统 (NGIPS) 等网络安全解决方案可以检测试图通过互联网进入网络或在网络中移动的恶意文件。网络可视性和安全分析平台(例如思科 Stealthwatch)可以检测出可能表示恶意软件正在激活其负载的内部网络异常情况。最后,网络分段可以防止威胁在网络中横向移动,并遏制攻击的传播。

    其中AMP的构建基于无与伦比的安全情报和动态恶意软件分析。思科 Talos 安全情报和研究团队以及 AMP Threat Grid 威胁情报源代表了行业领先的实时威胁情报和大数据分析集合。此数据将从云推送至 AMP 客户端,以便您通过最新的威胁情报,主动防御各种威胁。用户将从以下优势中获益:

    • 每天150万个传入恶意软件样本;
    • 全球有160万个传感器;
    • 每天100TB的数据;
    • 130亿Web请求;
    • 工程师、技术人员和研究人员组成的全球团队;
    • 24小时运行;

    八、总结

    主动防御一词最早出现在军事用语,后来因为互联网的兴起,互联网安全也愈发受到关注。因为受到技术的原因,早期的互联网安全策略均为被动防御。21世纪初期,国内外防病毒软件厂商们纷纷在自家的杀毒软件中加入主动防御技术。随着大数据分析技术、云计算技术、SDN技术、安全情报收集的发展,信息系统安全检测技术对安全态势的分析越来越准确,对安全事件预警越来越及时精准,安全防御逐渐由被动防御向主动防御转变。

    一般的,主动防御技术不是单独存在的,它应用于现有的安全系统中。主动防御技术和传统被动防御技术相结合,形成了新一代的安全系统。例如思科公司的下一代防火墙NGFW——Firepower。

    与以往的被动安全策略相比,主动防御虽然被认为是有效的安全策略,但法律上或技术上仍存在问题。如果以主动防御的防守反击作用为突破口,用户承认采取过度的安全策略的话,反而有可能有被入侵者倒打一耙的风险。为了今后能有效地利用主动防御技术,不仅需要从技术角度出发,还需要慎重讨论,制定相关的法律规定。

    参考文献:
    [1]: 主动防御.
    [2]: 信息安全工程师笔记关于主动防御与被动防御、主动攻击与被动攻击的分析, 披着文科的技工.
    [3]: active defense.
    [4]: 2019 年思科网络安全报告系列 • 威胁报告.
    [5]: 思科高级恶意软件防护.
    [6]: アクティブディフェンスとは?メリットデメリットや今後の展望について徹底解説.

    展开全文
  • 2021-2025年中国PVC弹性地板行业调研及防御型战略咨询报告.pdf
  • 基于BETA分布(SCI)的防御信誉随时间变化攻击的弹性信任管理方案
  • 钢铁产业专题报告:钢铁股具备较好防御性,业绩未来向上弹性较大.pdf
  • An Elastic Heterogeneous Architecture for DNN Accelerator against Adversarial Attacks》(DNN Guard: DNN加速器防御对抗攻击的弹性异构体系结构)。 侯锐,中国科学院信息工程研究所研究员、博导,信息安全...


    与6位图灵奖得主和100多位专家

    共同探讨人工智能的下一个十年

    长按图片,内行盛会,首次免费注册


    计算机体系结构领域国际顶级会议每次往往仅录用几十篇论文,录用率在20%左右,难度极大。国内学者在顶会上开始发表论文,是最近十几年的事情。

    ASPLOS与HPCA是计算机体系结构领域的旗舰会议。其中ASPLOS综合了体系结构、编程语言、编译、操作系统等多个方向,HPCA则主要针对高性能体系结构设计。过去的三十多年里,它们推动了多项计算机系统技术的发展,RISC、RAID、大规模多处理器、Cluster架构网络存储、机器学习加速器等诸多计算机体系结构领域的重大技术突破,都最早发表在这两个会议之上。

    2020年4月12日上午,北京智源人工智能研究院和北京大学高能效计算与应用中心联合主办了“AI芯片体系架构和软件专题报告会”,五位学者结合在2020年计算机体系结构顶级会议(ASPLOS和HPCA)中发表的最新研究成果,针对AI芯片和体系结构领域的几个关键挑战:芯片加速、能耗和反对抗攻击等,详细介绍了他们的最新思考和解决方案。超过1900名观众在线观摩了学者们的报告。报告主题分别是:

    • 本次报告会主席、智源青年科学家和北京大学研究员梁云《FlexTensor: An Automatic Schedule Exploration and Optimization  Framework for Tensor Computation on Heterogeneous System》

    • 美国南加州大学PhD Candidate骆沁毅《Prague: High-Performance Heterogeneity-Aware Asynchronous Decentralized Training》

    • 清华大学交叉信息研究院助理教授高鸣宇《Interstellar: Using Halide's Scheduling Language to Analyze DNN Accelerators》

    • 智源青年科学家、中国科学院计算技术研究所副研究员陈晓明《Communication Lower Bound in Convolution Accelerators》

    • 中国科学院信息工程研究所研究员和信息安全国家重点实验室副主任侯锐《DNN Guard: An Elastic Heterogeneous Architecture for DNN Accelerator against Adversarial Attacks》

    本篇是此次活动演讲内容的第三篇文章,今天我们将介绍中国科学院信息工程研究所研究员和信息安全国家重点实验室副主任侯锐的《DNN Guard: An Elastic Heterogeneous Architecture for DNN Accelerator against Adversarial Attacks》(DNN Guard: DNN加速器防御对抗攻击的弹性异构体系结构)。

    侯锐,中国科学院信息工程研究所研究员、博导,信息安全国家重点实验室副主任。主要研究方向包括处理器芯片设计与安全、AI芯片安全与数据隐私,以及数据中心服务器等领域,长期从事国产自主可控的高性能处理器芯片的研制和开发,主持、参与了多款芯片的设计研发工作。

    本次报告中,侯锐带来了他与中科院、南加州大学同事们的合作成果——DNN Guard,该成果已经发表在ASPLOS 2020上。侯锐在报告中认为,深度神经网络(DNN)容易受到对抗样本的攻击,但现有的DNN加速器在对抗样本攻击检测中会出现成本、计算效率和信息安全性等诸多方面的问题。而且,现有的DNN加速器也无法为检测方法所需的特殊计算提供有效的支持。为了应对这些挑战,侯锐和他的同事们提出了一种弹性异构DNN加速器体系结构DNNGuard,它可以有效地协调原始DNN网络(目标网络)与检测算法或检测网络(对抗样本攻击的网络)同时执行,该体系结构将DNN加速器与CPU核心紧密地耦合在一个芯片中,以实现高效的数据传输和信息保护;此外,它还支持非DNN计算,并允许CPU核有效地支持神经网络的特殊层,并通过一种动态资源调度机制,可以减少片外通信量,提高资源利用率。

     整理:智源社区李泽远、罗丽

    一、 研究的背景与动机

     图1:深度学习安全性研究概况

    在进入DNNGuard的介绍之前,侯锐简单介绍了深度学习安全性领域近年来的发展状况。他总结到,目前有一类广泛使用、使用性强的攻击,叫对抗样本攻击。侯锐举了三个例子:图1中,把鸭子和噪声混合之后,人肉眼看到的还是鸭子,但是机器会把鸭子识别为马;穿灰色衬衫的人的图像进行翻转后,机器的识别就会失效;在语音领域,一段歌曲加入噪声之后会被自动驾驶的系统识别为打开车门或者刹车等类似的危险动作。简而言之,对抗样本攻击是很强的一类攻击。

    图2:对抗样本攻击检测方法

    目前主流的对抗样本攻击检测方法可划分为三大类别:

    第一类是用深度神经网络作为检测机制;

    第二类是使用传统的机器学习方法,比如决策树、随机森林等;

    第三类是将深度神经网络与机器学习方法相结合,即混合检测方法,这也是当前最新的一类。

    可以看到,对抗样本攻与防的问题层出不穷,但是到目前为止,尚未出现一个适合所有问题的检测方法。从趋势上来说,DNN和机器学习的有效结合以用于对抗样本攻击检测将是未来的一个大的趋势。

     

    图3:对抗样本攻击检测中存在的问题

     

    那么在真实的场景下,如何进行对抗样本的检测呢?目前大部分的算法是基于GPU的运算方法,但是越来越多的深度学习加速器是ASIC加速器。由于ASIC端还没有太多深入的工作,这也导致对抗样本检测存在较大问题。

    在检测领域,目前主要存在如下两大问题:

    第一个问题是成本和效率上的问题。无论是 GPU还是ASIC加速器,用两块显卡来做检测问题时,成本比较高昂。此外现在ASIC加速器大部分只支持几类神经网络,不是一个通用的机器学习的加速器或者通用的人工智能加速器。

    第二个问题是安全性问题。目标网络和检测网络二者必须是紧耦合的结构,不能是松耦合的。举个例子,检测网络与目标网络分别部署在同一个主机的两块显卡上时,若检测网络识别出危险需要目标网络进行防御,当数据通过操作系统传输到目标网络的显卡上时,中间的通信道路是不安全的,如果操作系统被攻陷或者用户被攻陷可能就会出现风险。所以目标网络和检测网络二者必须是紧耦合的结构。

     

    图4: 传统目标网络和检测网络工作原理

    上图是传统目标网络和检测网络工作原理图。目标网络进行逐层计算时,中间的某几层需要检测网络读取OF Map,获得中间数据后,检测网络开始运行。过程根据算法的不同,可能是目标网络运行几层,然后读取中间数据检测网络并开始运行,也有可能目标网络和检测网络可以同时运行。简而言之即是在目标网络运行过程中,或并行或串行将数据读取出来进行分析,最后检测网络则会判断输入的查询是否安全,如果查询被判定为噪声最终的结果将不会被输出。

    基于上面的应用场景,对硬件提出了三大方面的需求:

    1. 共享需求。硬件需要在两个网络之间支持高带宽的数据共享,主要是高带宽高效率地访问OF Map;

    2. 弹性需求。硬件设计时需要有一定的通用性,当不知道检测网络和目标网络所需资源时,可以弹性地对资源进行划分;

    3. CPU需求。ASIC的加速器都是PE,支持不了机器学习的算法,因此需要一个异构的体系架构来运行机器学习检测算法。

     图5: DNN 加速器设计目标与特性

    因此,现在需要重新考虑安全的AI DNN加速器。设计目标是开发一个能够高效地支持目标网络和检测机制同时运行的新的结构,且这个结构应该足够通用,并适应不同的检测算法。而这就是DNNGuard, 一种抵御对抗样本攻击的异构的、弹性深度神经网络加速器架构。

     

    二、 DNNGuard概览

     

    图6:DNNGuard结构图

    图6为DNNGuard结构图,灰色部分是传统经典的DNN加速器,黄色部分侧是新设计的部分。

    DNNGuard具有三大特性:

    1. 紧耦合。这是一个异构架构,DNN旁有一个小的CPU的核,用于运行传统的机器学习算法。在PE阵列上进行了动态划分,一部分运行检测网络,一部分运行目标网络;

    2. 任务集的数据通信和共享机制。目标网络和检测网络需要做高带宽的数据通信,如果在内存里进行是不高效的。我们希望有更高效的数据支持,更高效的硬件支持,能够充分利用本地数据,提供更高的并发支持,支持一些Corner Case的数据依赖关系;

    3. 任务级的同步。目标网络会让检测网络进行等待,或检测网络会让目标网络进行等待。

     

    三、DNNGuard微结构设计与实现

    在了解了DNNGuard的结构图及其特性后,侯锐介绍了DNNGuard在微结构设计中需要考虑的三个主要问题。 

    1. 如何进行弹性的片上缓存,怎样把片上缓存设计得可以高效地支持目标网络和检测网络的同时访问?

    侯锐认为,弹性Buffer是由一大堆SRAM Bank组成的,SRAM Bank通过资源配置将其划分为目标网络和检测网络,对于目标网络,通过Double Buffer的设计来增加并发性提高效率。为了进行访问,需要多个Bank来组成一个片上路由的网络。具体为,每个SRAM都有一个Bank ID具体去做路由和访问特定的地址,以此来实现动态划分。

     

    图7:弹性片上缓冲器

    在图7的目标网络中,2个NBIn_target和4个NBOut_target都是由Double Buffer组成的,每次都会产生不同的应用场景,但其核心方法是通过Bank ID和路由机制来实现动态划分。对于出现的Corner Case,比如中间数据Buffer放不下必须要写到片外时(尽管这种情况会比较少,但也是做硬件所需要考虑的),要在每个Buffer加上一个State寄存器去进行控制,比如在没有读完目标网络之前,检测网络不能再去写,所以需要利用full State状态位去控制目标网络。

    2. PE阵列怎样去做弹性划分?

     

    图8: 具有弹性PE结构的DNN加速器

    典型的PE阵列有累加器和乘加器,需要做一个Switch的单元动态划分,比如在图8中需要为Mac(地址表)单元上面加一个交换开关,选择来自多个地方的输入,包括累加时需要做输出的选择,即在多个地方写时,可以通过路由Logic(逻辑),也就是最开始编译设定的指令,来支持动态划分。

    3. CPU和PE之间如何进行通信?

     

    图9:事件队列通信机制

    在机器学习中,碰到PE阵列支持不了的算法时,需要通过哈希、SVM等将Event控制信号通过Event Queue(事件队列)传给CPU核,CPU核通过Completion Queue将信号传输Scheduler,实现二者之间的通信。其格式包括:任务的开始、暂停、继续、停止等等信号和类型。除此之外,因为CPU和PE之间要进行访问,尤其CPU要访问PE上面的Global Buffer(全局缓冲器),因为是在不同的地址空间,所以需要翻译地址的转换单元支持跨空间去读写。在此基础上需要扩展AI指令集。

    图10:AI 指令集的扩展

    为了支持CPU和PE之间高速的通信同步,指令集的扩展包括三个层面:控制层面、数据层面和配置层面。

    1. 控制层面:通过配置指令去配置目标网络和检测网络各占多少PE资源和缓存资源。

    2. 数据层面:提供Global Buffer到CPU的读写操作。

    3. 控制层面:包含一个Event_Dispatch命令,一个Sync同步命令和一个Polling_Check命令。目标网络在等待检测网络的执行时,需要不停地Polling_Check(轮询检查)状态位,所以会有不同的扩展指令集。

    再次回到DNNGuard的结构图中,目标网络和编译网络依照调度器指令发给检测网络阵列,如果检测网络之间可以通过片上缓存共享数据,检测网络通过CPU通道把共享数据发到Core上,通过ATU去访问,最后都是通过Scheduler内的控制器进行通信同步。目标网络和检测网络间控制流和数据流的展示如图11所示。

    图11:DNNGuard的运行示例

    下面来介绍软件站,DNNGuard的软件站是基于NVDIA-RA来进行扩展。如图所示,输入的是目标网络和检测网络,通过TensorFlow训练好,并通过Converter把数据图和依赖关系提取出来,送到Compiler 中,Compiler里加了一个分析模块Analytical model,该分析模块决定目标网络和检测网络各需要多少资源(需要通过静态划分而不是通过动态划分,动态划分会有各种各样的问题),分析模块通过参数,再通过弹性算法不停地模拟,外面外挂的模拟器可以检测目标网络和检测网络各需要多少资源,最终达到一个值,并给出合理的划分,如果有放不下资源,就需要进行同步通信。

     

     图12:软件站示意图

    四、DNNGuard的评估

    DNNGuard的评估是基于RISC-V核和NVDLA核,总体来说检测网络要比目标网络小很多。

    图13:DNNGuard体系结构的弹性NVDLA和RISC-V的应用

     

    评估实验一:在弹性DNN加速器上运行的目标网络和检测网络

    当两个网络同时在DNN和PE阵列上运行时,通过片外的DRAM通信,就是通过优化之后的方案on-chip buffer通信。

     

    图14:弹性NVDLA和SNVDLA的性能比较

    实验分析发现:

    (1)假定两个网络在硬件资源(PE 和on-chip buffer)相同的情况下,由于扩展的AI指令或弹性资源管理,ENVDLA的速度提高了1.42倍。对应的VGG性能提升1.61倍,因为片外带宽减少了36%;

    (2)扩展的AI指令集平均占2.3%。

     

    评估实验二:在弹性DNN加速器和CPU上运行的检测机制比较

    当检测网络在PE上运行又在CPU上运行,即采用混合方法时,实验分析如下:

     

    图15:紧密耦合的DNN加速器体系结构的性能改进

    与基于片上共享存储器的通信相比,基于片上缓冲区的通信的平均性能提升约为2.04倍,因为DRAM减小了92%。

     

    评估实验三:仅在CPU上运行的非DNN防御方法

     

    图16:CPU上非DNN防御的性能比较

     

    实验分析发现:

    检测任务是小型目标网络的性能瓶颈。当目标网络比较小时,检测网络实际上是一个可能的性能评级,因为目标网络太小时,检测网络要进行等待,因此会影响性能。

     

    评估实验四:敏感性分析

    结构设计是为了同时支持目标网络和检测网络有效运行,那么单纯运行目标网络其性能会不会也有提升?

     

    图17:敏感度分析实验图

    图17表明,实际上可以加速单个任务的执行,在提高PE资源后,单任务的网络性能会持续增长。但对On_Chip Buffer Size和DRAM带宽持续增加到一定阀值后,网络性能的增长效果并不大,所以这部分资源可以进行同时多线程运行检测或者是其它的任务,比如提高并发度。

     

    结语

    演讲最后,侯锐总结了他们关于DNNGuard的工作:主要聚焦于怎样在微结构设计的层面支持对抗样本攻击高效的检测,其要点是提供一个异构的、紧耦合的、弹性资源分配的方案,然后在RISC-V核和NVDLA核中进行评估。

     

    Q&A

     

    Q1:关于检测网络训练问题,能不能把检测网络的训练和目标网络的训练融合在一起?

    A1:可以,最新的算法就是这么做的,不再分检测网络和目标网络,就是一体化的,我们的Paper从做到录用再到发表的过程中,我们的算法一直是在变化的,有攻有防,不停地攻防博弈,最新的算法确实是一体化的。

     

    Q2:一体化的设计会对架构带来一些什么新的问题?

    A2:还有继续优化的空间,我们也在考虑这方面的工作,有进一步的进展再和大家分享。

     

    Q3:RISC-V是用SiFive的IP Core吗?

    A3:不是,我们还是用开源的,因为我们主要的研究方向是CPU的安全,我们基于RISC-V开发了一个新的版本,现在马上就要流片了,这个芯片上面我们做了一系列的安全机制。

     

    Q4:请问检测网络和目标网络的计算类型有什么差别?

    A4:目标网络是传统的纯粹DNN或者深度学习的内容,但是检测网络可能是DNN也可能是机器学习,还有可能是二者的混合,当传统的经典ASIC的算法无法支持时,就需要做一些改动。

     

    - 活动推荐 -

    展开全文
  • 华为云弹性云服务器有什么优势?弹性云服务器(Elastic Cloud Server)是一种可随时自助获取、可弹性伸缩的云服务器,可帮助您打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。什么是弹性...

    c394078e9e38727bd4406c5b7cd368d2.png

    华为云弹性云服务器有什么优势?

    弹性云服务器(Elastic Cloud Server)是一种可随时自助获取、可弹性伸缩的云服务器,可帮助您打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。

    什么是弹性云服务器?

    弹性云服务器(Elastic Cloud Server,ECS)是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后,您就可以像使用自己的本地PC或物理服务器一样,在云上使用弹性云服务器。

    弹性云服务器的开通是自助完成的,您只需要指定CPU、内存、操作系统、规格、登录鉴权方式即可,同时也可以根据您的需求随时调整弹性云服务器的规格,为您打造可靠、安全、灵活、高效的计算环境。

    为什么选择弹性云服务器?

    丰富的规格类型:提供多种类型的弹性云服务器,可满足不同的使用场景,每种类型的弹性云服务器包含多种规格,同时支持规格变更。

    丰富的镜像类型:可以灵活便捷的使用公共镜像、私有镜像或共享镜像申请弹性云服务器。

    丰富的磁盘种类:提供普通IO、高IO、通用型SSD、超高IO、极速型SSD性能的硬盘,满足不同业务场景需求。

    灵活的计费模式:支持包年/包月或按需计费模式购买云服务器,满足不同应用场景,根据业务波动随时购买和释放资源。

    数据可靠:基于分布式架构的,可弹性扩展的虚拟块存储服务;具有高数据可靠性,高I/O吞吐能力。

    安全防护:支持网络隔离,安全组规则保护,远离病毒攻击和木马威胁;Anti-DDoS流量清洗、Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。

    弹性易用:根据业务需求和策略,自动调整弹性计算资源,高效匹配业务要求。

    高效运维:提供控制台、远程终端和API等多种管理方式,给您完全管理权限。

    云端监控:实时采样监控指标,提供及时有效的资源信息监控告警,通知随时触发随时响应。

    负载均衡:弹性负载均衡将访问流量自动分发到多台云服务器,扩展应用系统对外的服务能力,实现更高水平的应用程序容错性能。

    弹性云服务器的优势

    弹性云服务器可以根据业务需求和伸缩策略,自动调整计算资源。您可以根据自身需要自定义服务器配置,灵活地选择所需的内存、CPU、带宽等配置,帮助您打造可靠、安全、灵活、高效的应用环境。

    华为云依托业内的基础设施,在全国设置多个云服务区,部署多个云计算中心资源池,能充分满足各个地区用户的上云需求。其次华为云根据市场和用户的需求不断对云服务器进行迭代升级和优化,以此来应对不同企业多种场景的应用,满足不同需求的企业上云。此外,华为云还采用了分层和纵深防御理念,从多方面保障了用户上云的安全性。

    在云服务器领域,华为云积累了多年技术和企业级服务的经验,在技术创新方面持续投入并与合作伙伴长期深入合作,升级软件技术,提升云服务器整体性能,围绕技术、服务,产业赋能和智能生态不断创新,将优质的产品和全面的服务呈现给客户。

    展开全文
  • 网络服务器配备纯SSD架构打造的高性能存储,旨在为用户提供优质、高效、弹性伸缩的云计算服务,下面小编给大家介绍一下高防服务器的种类。CDN是网站加速,可以服务器负载能力过低,带宽过少等带来的网站打开速度慢等...

    网络服务器配备纯SSD架构打造的高性能存储,旨在为用户提供优质、高效、弹性伸缩的云计算服务,下面小编给大家介绍一下高防服务器的种类。

    1d03b8693bc8fa186a9e7157c6e80e3b.png

    CDN是网站加速,可以服务器负载能力过低,带宽过少等带来的网站打开速度慢等问题。一个网站的服务器性能比较差,负载能力有限,优势面临突发流量,招架不住,直接导致服务器奔溃,网站打不开。高防服务器主要是指独立单个硬防防御50G以上的服务器,可为单个客户提供安全维护,总的来说是属于服务器的一种。根据各个IDC机房的环境不同,有提供硬防或者软防。

    ed462b25d931a1e05933df1208be7be8.png

    CDN防御是通过在现有的Internet中增加一层新的网络架构,将网站的内容发布到最接近用户的网络"边缘",使用户可以就近取得所需的内容,解决Internet网络拥挤的状况以及被同行DDOS攻击的困扰,提高用户访问网站的响应速度。从技术上全面解决由于网络带宽小、用户访问量大、节点分流不均等原因所造成的用户访问网站响应速度慢的问题。

    现在就给大家来具体的讲解一些知识。简单来说,就是能够帮助网站拒绝服务攻击,并且定时扫描现有的网络主节点,查找可能存在的安全漏洞的服务器类型,都可定义为高防服务器。

    高防服务器的防御方式,高防服务器采用单机防御或者集群防御,攻击直接打在源服务器上的。攻击可能会导致服务器的带宽 CPU 内存使用率跑到100%,甚至可能直接影响到源站,导致卡死或者网站打不开和访问不了等问题。

    CDN的防御方式,CDN采用多节点分布,能解决各地区不同网络用户访问速度,解决并发量减轻网站服务器的压力,并且隐藏源站ip,从而让攻击者找不到源站ip,无法直接攻击到源服务器,使攻击打到CDN的节点上。

    CDN每个节点都是单机防御,每个节点都有套餐防御的对应防御,除非是攻击超过套餐防御,不然网站是不会受到影响,可以为客户的网站得到安全保障。

    CDN跟高防服务器区别在哪呢?CDN是根据业务类型和攻击问题做出相对应的调整,而高防服务器是默认的防御机制。高防服务器也是现在企业用户常用的设备,但是和CDN防御两者需要哪个还是要根据用户自己的实际情况需求来选择,合适自己的那个才是好的。

    展开全文
  • ddos高防ip防御效果怎么样?ddos高防ip可以防御多大的ddos攻击? 1、防护多种DDoS类型攻击 ...DDoS防护阈值弹性调整,您可以随时升级到更高级别的防护,100G-TB级别的防御,整个过程服务无中断。 4、精准
  • DDoS攻击防御方案

    千次阅读 2014-12-25 11:19:11
    近期DDoS攻击事件较多(2014年DDoS攻击事件分析),大家都在思考一个问题,在面临DDoS攻击的时候,如何防御ddos攻击?绿盟科技安全+技术刊物特别邀请到绿盟科技在运营商方面的DDoS专家,给大家讲讲DDoS攻击防御方案...
  • 综合考虑SNOP的功能特性与运行边界,建立了面向配电网弹性提升的SNOP配置三层防御-攻击-防御优化模型,并提出了求解该模型的两阶段鲁棒优化方法——列约束生成(CCG)算法。以IEEE 33节点为例,对所述模型和求解算法...
  • 由于现在的云服务器一般都是弹性的,扩容带宽响应够及时,可以顶住大量的流量请求; 使用腾讯云的cnd存储,把网站的静态内容分发到多个服务器,用户就近访问,提高速度。这样请求分流,稀释流量。前提是网站必须可以...
  • 网络防御对欧盟的繁荣和安全都至关重要。 然而,它所面临的威胁空间范围广泛、相互关联、高度复杂且发展Swift。 欧盟目前的网络防御... 这将标志着朝着更有效和协作的方法来增强欧盟的网络安全和弹性迈出的关键一步。
  • 云技术:弹性计算ECS

    千次阅读 2013-10-23 21:27:03
    云盾为云服务器提供一站式安全增值服务,包括安全体检(网页漏洞检测、网页挂马检测)、安全管家(防DDoS攻击、端口安全检测、网站后门检测、异地登录提醒、主机密码暴力破解防御)等功能,适用于使用云服务器搭建的...
  • 游戏盾防御DDos攻击工作原理

    千次阅读 2020-01-16 13:47:15
    游戏盾的核心技术是弹性安全网络技术,简单地说,弹性安全网络将DDoS防御前置到网络边缘处。游戏盾提供了一个只能由SDK接入的并且免疫DDoS/CC攻击的弹性安全网络。SDK通过服务本地化代理接入游戏盾的弹性安全网络,...
  • ECS弹性计算服务

    2018-05-02 19:31:00
    弹性计算服务(ECS)为用户提供一个根据需求动态运行的虚拟服务器的环境。对于ECS提供的虚拟服务器,用户可以像使用一台物理机器一样进行各种操作。ECS允许用户根据自己的需要,租用多台虚拟服务器来完成各种任务。...
  • 弹性云服务器有什么用 网上经常听到弹性云主机,什么是弹性云主机呢?弹性云服务器有哪些优势,有哪些特点?弹性云服务器是云服务器的一种。弹性云服务器和云服务器的唯一区别是计费模式。 弹性云服务器用户根据...
  • 自适应安全架构依托持续性监测与回溯分析形成了集防御、监测、响应、预测为一体的安全防护体系,对于高级定向攻击具备智能与弹性安全防护能力。通过对自适应安全及软件定义安全框架进行研究,结合现有网络安全现状,...
  • 刚刚有几个客户说受到CC***,附带DDoS...底层网络的稳定性和可靠弹性是网络防护的重要组成部分。需要对其进行全方位的评估,以此来确保能承受多么复杂的DDoS***时不会受到任何影响。DDOS防御时需要考虑的关键因素:1...
  • 一种基于负载特征预测的容器云弹性伸缩策略 APT 应急响应 安全体系 系统安全 安全人才
  • 如何防御DDOS攻击

    2020-10-15 17:44:45
    云防护是当下DDoS防护的最佳思路当黑客手握数以百亿计的物联网僵尸武器,企业凭一己之力单兵作战的方式早已无力应对,拥有海量资源、弹性扩容、智能防护的云安全成为当前DDoS防护的最佳思路。云防护的优势不胜枚举...
  • 加高堤防是洪水防御的主要方式,也是洪水管理的主要措施,但是其在提高防洪安全、减小洪灾概率的同时,洪灾的潜在损失却越来越大,洪水风险越来越高。 面临洪水威胁的荷兰,随着防洪标准的不断提高,持续的加高堤防遇到...
  • 如何才能高效进行DDoS防御

    千次阅读 2019-08-06 15:55:31
    所以在这跟各位探讨一下,怎样才能高效进行DDoS防御呢?听说F5在DDoS防御上做得挺不错的,下面我为大家介绍一下。 DDoS攻击确实在全球范围内肆虐,影响面很广,破坏程度也非常大。在去年年底,国内多家银行的HTTP、...
  • 2016年9月8日,Ixia宣布为Ixia Security Fabric的重要组件ThreatARMOR添加可阻止恶意软件变异版本的全新特性—— Zero-Day Malware Immunity(零日变种恶意软件防御)。变种恶意软件往往会利用复杂混淆的技术躲避基于...
  • 摘要:云计算涉及的服务繁多,弹性计算服务、文件存储服务、关系数据库服务、Key/Value数据库服务等不胜枚举。本文将简要阐述弹性计算服务的安全问题,因为弹性计算是应用最为普遍的云服务,也是安全风险最高的...
  • DDoS***防御方案

    2014-12-25 10:48:11
    DDoS***防御方案近期DDoS***事件较多(2014年DDoS***事件分析),大家都在思考一个问题,在面临DDoS***的时候,如何防御ddos***?绿盟科技安全+技术刊物特别邀请到绿盟科技在运营商方面的DDoS专家,给大家讲讲DDoS**...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,369
精华内容 2,147
关键字:

弹性防御