中佑集團資安研發處協理林岳鋒

以人工智慧來學習IT人員在處理維運工作的智慧維運(Artificial Intelligence for IT Operations,AIOps),過去2年在國外掀起了一股新風潮,近日也開始吹向臺灣。以線上遊戲軟體開發起家的國內遊戲軟體系統開發商中佑集團,從去年開始試導入AIOps,並先用在自動化處理資安問題,甚至還進一步利用AIOps搭配流量清洗機制,成功對抗DDoS流量攻擊。中佑集團資安研發處協理林岳鋒日前在2019年臺灣資安大會上,也首度揭露了該公司導入AIOps技術自動化維運的最新應用成果。

AIOps是什麼?其實就是一套AI維運自動化平臺,可以用來學習IT人員在處理日常維運的邏輯思維及作業行為。AIOps之所以重要,甚至在美國、歐洲及日本相繼有不少大型企業導入,在於它利用大數據、機器學習(ML),及其他AI演算法,建立起一套IT維運邏輯規則,來學習IT人員在維運上的操作及判斷行為,用以取代傳統需要耗時又容易出錯的IT 維運任務和流程,以提升維運效率,讓IT人員更專注在其他重要的工作上,包括系統可用性和性能監控、事件關聯和分析,以及IT服務管理和自動化等。

為何開始採用AIOps?林岳鋒表示,中佑集團主要業務是開發全球性的遊戲系統,隨著業務逐年成長,IT架構變得龐大且複雜,他以游戲服務網域為例,光是IT部門每日要管理的遊戲網域多達上萬個,難以全部都靠人工來處理,因此,去年初時,他決定導入AIOps技術,將AI運用在自動化處理IT系統維運工作=,並透過持續整合、持續交付的方式,來優化IT基礎架構維運與流程。並先用於協助改善資安問題上。

用2TB維運數據訓練AI推論模型,用來緩解DDoS流量攻擊

 

遊戲產業長期以來一向是駭客鎖定攻擊的目標,中佑集團自己也不例外,為了防止各種網路威脅攻擊,該公司過去幾年陸續使用諸多資安產品或設備,強化對於企業內外部的資安防護,如IPS入侵預防系統等,但是由於各種資安威脅層出不窮,也造成中佑資安管理上的一大挑戰。

林岳鋒以IPS系統來說明,光是每天條列出所偵測到的大量事件,就超過了1千萬條Log記錄,管理人員必須逐一判斷這些事件,哪些是可疑的存取連線,或又有哪些是可放行的誤判事件,長久下來,逐漸成了IT與資安人員的沉重負擔。所以,林岳鋒決定先將AIOps用於資安問題處理自動化。

他解釋,過去要判斷一個問題事件是否屬於資安事件時,得要靠老練的IT維運人員或資安人員,搭配統計或製作圖表的視覺化呈現方式做判斷,才能找出有問題的異常流量或事件,相當費時。

為了用AIOps來自動判斷異常事件,中佑利用超過2TB的每日維運數據作為訓練資料,來建立預測推論模型。這些數據包括了系統Log、連線情況,或網路流量等,讓AI學習判斷如何找出問題連線,或可疑網路使用行為。

訓練出模型後,就可以派上用場,後續再將判斷結果通知管理者加以排除,或採取其他緩解攻擊措施。林岳鋒表示,使用AIOps自動判別資安事件的好處, 一來可以有效減輕資安人力的負擔,二來也能減少人為疏忽的情況。

有了第一個成果後,林岳鋒後來再將AIOps用在緩解DDoS流量攻擊上。他解釋,過去遭遇到DDoS攻擊時,會先由人判斷確定攻擊流量及類型後,再導到流量清洗中心(Clean Pipe),讓攻擊當下的流量經過清洗中心過濾後,再導回企業內部,以確保服務正常不中斷,但是,現在這個判斷與導入清洗作業流程,則改交由AI自動化處理完成。他表示,目前已經可以透過AIOps方式,來過濾掉將近9成惡意DDoS攻擊流量,不過仍有1成的漏網之魚,需再透過人工方式將DDoS攻擊排除。

另外,在IT維運監控上也有用到AIOps,林岳鋒表示,以往要判斷系統有無異常,監控方式多是事前設定固定閥值,一旦系統運作出現異常超過閥值臨界線,系統再警示逕行通報管理人員處理。但是基於AIOps的智慧監控,則是能更進一步做到預測性監控,可以根據分析不同時間點的數據找出可疑的蛛絲馬跡,在還沒發生異常事件前,就早一步加以排除。或是也能根據時間軸的不同,以及網站及App上線人數分布情況,來動態調整閥值大小,排除可能會誤判的正常事件,來減少警示誤報的情況。


Advertisement

更多 iThome相關內容