AI代理重塑网络监控与安全，NetMoniAI项目初见成效

快速阅读: 德克萨斯理工大学团队开发的NetMoniAI项目，结合边缘监控与中心AI分析，提高网络监控速度和可扩展性，减少误报，增强SOC团队应对分布式攻击能力，但仍需克服实际部署挑战。

一项名为NetMoniAI的新研究项目展示了人工智能代理如何重塑网络监控与安全。该项目由德克萨斯理工大学的一个团队开发，结合了边缘分布式监控和中心AI驱动分析两大理念。尽管该工作仍处于研究阶段，但它让首席信息安全官（CISOs）得以窥见，如果代理型AI系统进入企业环境，将可能发生的变化。该项目是开源的，社区可以测试并进一步发展。

中央控制器架构采用分层设计进行检测和关联。系统围绕两个层次构建：在节点级别，轻量级代理安装在各个机器上，监控本地网络流量。这些代理寻找异常情况并向中央报告发现。它们可以利用语言模型帮助分类事件并生成人类可读的摘要。中央控制器位于顶层，收集代理报告，查找跨越整个网络的模式。如果某个节点发现异常，控制器可以检查其他节点是否也出现类似迹象。其目的是在保持本地代理独立行动的同时，提供整个环境中发生情况的概览。

初步结果显示了系统的速度和可扩展性。团队通过两种方式测试了框架：首先，在小型物理测试床上运行，网络条件可被人为降级。在此设置下，系统能够在大约五秒内检测异常并分类流量。其次，他们进行了多达50个节点的模拟测试，包括拒绝服务和侦察攻击场景。在这些测试中，本地代理发现了异常流量，而中央控制器将这些观察结果联系起来确认协同威胁。

对于CISOs而言，关键在于该设计在处理小规模和大规模场景时均未引入重大延迟。此外，系统还通过仪表板和聊天机器人提供了可解释性，能够解释系统所看到的情况。

混合监控为何可能改变SOC操作

网络监控长期以来面临权衡问题。包级检查提供详细信息但难以扩展；基于流的监控扩展性更好，但可能错过快速移动的威胁。大多数组织仍然依赖于集中日志分析和规则集，这些方法难以适应环境变化，且经常产生误报。NetMoniAI试图结合这些方法的优势，实现更高的自主性。如果这类系统进一步发展，可以帮助SOC团队减少冗余警报，发现难以通过孤立监控捕捉到的分布式攻击。它们还能以更自然的方式解释正在发生的事情，这对CISO向其他高管汇报至关重要。

WatchGuard的CISO Corey Nachreiner表示，混合监控在实践中可能会产生影响。“许多真实世界的攻击起初非常局部，影响一台服务器或工作站，然后扩大到影响更广泛的企业网络。基于AI的混合系统能够早期在初始受害系统上检测异常。中央代理随后可以关联来自扫描和后续攻击的额外异常，给防御者多次机会打断攻击链。”

然而，从实验室到企业的转变存在挑战。虽然研究前景光明，但该框架尚未在生产规模的企业网络中测试，其中涉及的流量量、政策限制和监管要求更加复杂。对大型语言模型的依赖引发了关于成本、延迟和准确性的疑问。还有更广泛的担忧，即安全团队愿意给予AI代理多大的自主权。

研究的共同作者Pallavi Zambare承认这些挑战。“将NetMoniAI从实验室测试和模拟转移到实际企业网络面临多个障碍。可扩展性、与现有SOC工具的集成、信任与解释性以及合规性都是在广泛部署前需要解决的问题。首批受益的可能是那些拥有分布式基础设施但人员有限的中型企业或托管服务提供商。”她还强调，该系统并非旨在取代人类决策。“分析师保留最终决定权，而框架提供结构化的报告、摘要和政策建议，加快了上下文和相关性的处理速度。这种人在回路的方法平衡了AI的规模与责任。”

代理型AI采用的前景与风险。

纳赫赖纳同意需要谨慎。“将代理型AI纳入其中将加快SOC的响应速度，但也意味着API和连接器等新基础设施可能成为潜在的攻击面。组织应迅速至少开展概念验证项目，但同时也必须密切关注AI代理如何连接到特权系统，并警惕支持技术中的漏洞。”

(以上内容均由Ai生成)