CN101141453B - 反病毒和防火墙系统 - Google Patents
反病毒和防火墙系统 Download PDFInfo
- Publication number
- CN101141453B CN101141453B CN2007101075838A CN200710107583A CN101141453B CN 101141453 B CN101141453 B CN 101141453B CN 2007101075838 A CN2007101075838 A CN 2007101075838A CN 200710107583 A CN200710107583 A CN 200710107583A CN 101141453 B CN101141453 B CN 101141453B
- Authority
- CN
- China
- Prior art keywords
- cpu card
- virus
- card
- control
- firewall system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Multi Processors (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Hardware Redundancy (AREA)
- Medicines Containing Material From Animals Or Micro-Organisms (AREA)
Abstract
本发明提供了一种用于执行病毒监测和扫描进程的反病毒系统,该反病毒和防火墙系统包括一个主CPU卡、多个从CPU卡和一个可编程逻辑。主CPU卡用于控制病毒监测和扫描进程并将其分为多个子进程。多个从CPU卡由主CPU卡在软件级和硬件级进行控制,每个从CPU卡均接收并处理一个子进程并将处理后的数据传回主CPU卡。可编程逻辑由主CPU卡控制用于监测多个从CPU卡并在硬件级控制从CPU卡。
Description
技术领域
本发明系关于一种反病毒和防火墙系统,具体为一种使用多个协处理器的反病毒和防火墙系统。
背景技术
随着因特网技术和应用的普及,每天有以百万计的用户连接到因特网进行电子商务交易或者搜索信息。用户与外部主机服务器之间的互动离不开数据传输,而传输的数据则可能含有各种计算机病毒。
为了对抗计算机病毒,用户和计算机网络的管理员使用了诸如反病毒程序和防火墙等各种工具,这些工具专门用于检测病毒和防止病毒感染计算机系统。许多传统的反病毒程序都能在接收容易染毒的计算机文件时执行病毒检查。反病毒产品常用一种称为“扫描”的方法来检测计算机中的病毒。扫描过程中,扫描器扫描可能的病毒寄主,看其中是否存在称为“特征(signature)”的特定代码串(patterns of code),这些“特征”表明存在某种已知病毒或病毒群。显然,用于阻挡病毒的反病毒系统的扫描速度对于网络速度有直接影响。
传统的反病毒系统使用单个的中央处理单元(CPU)来处理病毒扫描进程,病毒扫描进程负责控制和执行算术和逻辑运算,以获取病毒样本、进行病毒分析、生成合适的处理方法并将这些方法部署给最终用户。当需要检查的数据量很大时,传统反病毒系统的单个CPU就可能负载过重,从而影响其效率。为了获得更高的防火墙和反病毒性能,可以使用频率更高的CPU或者使用双核CPU。但是,执行反病毒功能时,CPU的速度又会降低,效率下降。
另外,为了防止计算机系统瘫痪,可以使用虚拟机来实现反病毒功能。虚拟机是使用处理器的硬件功能建立的一个受保护的存储空间,可以模拟硬件设备的功能。当前技术中,为了运行或执行虚拟机,需要使用软件解释性地执行一个程序,然后通过检查程序的状态来确定是否存在病毒。然而,使用CPU的存储器来运行虚拟机又会进一步降低其速度,使用基于软件的系统来进行反病毒操作也可能降低其性能。
在某些工业计算应用中,为了获得稳定可靠的通信,可以使用标准的Compact外围组件互连(CompactPCI)平台或其它的基于标准的工业底板的系统。CompactPCI是PCI规范用于工业计算机应用时的一种改进版。虽然CompactPCI适合用于小型的、高速的、数据传输发生在数个高速卡之间的工业计算应用,但是其成本较高。
因此,需要有一种优化的反病毒系统,这种系统至少可以克服上述的当前技术的缺点。具体来说,需要一种高效率、低成本的优化的反病毒系统。
发明内容
本发明提供了一种执行病毒监测和扫描进程的反病毒系统,该反病毒和防火墙系统包括一个主CPU卡、多个从CPU卡和一个可编程逻辑。主CPU卡用于控制病毒监测和扫描进程,并将其分成多个子进程。多个从CPU卡由主CPU卡在软件级和硬件级进行控制,每个从CPU卡均接收并处理一个子进程并将所得数据返回给主CPU卡。可编程逻辑由主CPU卡控制,用于对多个从CPU卡在硬件级进行监测和控制。
附图说明
附图中类似数字表示类似部件,结合附图,后文的具体实施方式将使得本发明的特性和优点显而易见。
图1为本发明的实施例之一提供的一种基于多个协处理器的反病毒和防火墙系统。
图2为本发明实施例之一提供的一种基于多个协处理器的工业PCI平台系统的详细框图。
具体实施方式
以下将对本发明的实施例进行详细说明。需要理解,虽然对本发明的描述是结合其实施例进行,本发明并不限于以下给出的实施例。相反,本发明的精神和发明范围由后附的权利要求书界定,本发明涵盖这一范围内的所有替代物、变体和等同物。
另外,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员将理解,没有这些具体细节,本发明同样可以实施。在另外的一些实例中,对于大家熟知的方案、手续、元件和电路未作详细描述,以便于凸现本发明之主旨。
参照图1,本发明的实施例之一提供了一种具有多个协处理器的反病毒和防火墙系统100。反病毒和防火墙系统100包括一个反病毒系统192和一个防火墙系统190,二者都由主CPU卡102控制。反病毒系统192还包括三个从CPU卡122、124和126,以及一个可编程逻辑106和一个以太网交换机108。防火墙系统190还包括一个防火墙卡104,防火墙卡104连接到局域网(LAN)144和广域网(WAN)146。
简便起见,图1中给出了三个从CPU卡。本领域技术人员显然理解,该反病毒和防火墙系统100可以包括三个以上的从CPU卡。
在反病毒系统192中,主CPU卡102,从CPU卡122、124和126,可编程逻辑106和以太网交换机108通过不同的总线或者除错诊断工具相连。在LAN144的用户访问WAN 146时,主CPU卡102,从CPU卡122、124和126这些处理器都用于执行反病毒策略,例如监测数据流量和扫描接收的文件。在本发明的一个实施例中,主CPU卡102是总控制器,通过以太网180和PCI总线140连接到从CPU卡122、124和126,该控制器用于在多个协处理器之间分担负载。换言之,主CPU卡102用于控制整个反病毒进程,将具体的监测或扫描进程分成多个子进程并将子进程分配给从CPU卡122、124和126。
如上已述,主CPU卡102通过以太网180和PCI总线140连接到从CPU卡122、124和126,以太网180和PCI总线140可用于多种情况。在本发明的一个实施例中,PCI总线140用作控制总线,负责在主CPU卡102和从CPU卡之间传输控制信息。当主CPU卡102执行反病毒进程时,主CPU卡102发送出控制信号给从CPU卡122、124和126使得从CPU卡准备接收数据包。同时,需要处理的数据包长度也通过PCI总线140发送给从CPU卡。从CPU卡122、124和126处理完数据后,主CPU卡102将发送控制信号给从CPU卡使其返回数据。
当PCI总线140作为控制总线在主CPU卡102和从CPU卡之间传输控制信息时,以太网180则作为数据总线传递正在处理的实际数据。主CPU卡102发出控制信号后,正在处理的数据将通过以太网180传输给从CPU卡122、124和126。从CPU卡122、124和126完成数据处理以后,主CPU卡102将接收到一个完成信号,随后主CPU卡102发送控制信号使得从CPU卡经由以太网180将处理完的数据传回主CPU卡。
以太网交换机108用于将以太网180的线连接在一起。除了保持反病毒系统的完整性和使得网络获得最佳性能和灵活性之外,在防御攻击、IP电话和宽带应用等高可用性应用中,以太网交换机108还可以提供更大的带宽、更佳的性能和可靠性。
本领域技术人员显然理解,在本发明的其它实施例中,可以使用各种其它标准的总线来代替PCI总线140和以太网180用作控制总线和数据总线。另外,在本发明的一个实施例中,可使用一种总线来传输控制信号和数据,换言之,控制信号和正在处理的数据由同一种类型的总线来负责传输。
另外,从CPU卡122、124和126用于处理病毒监测和扫描子进程时,从CPU卡122、124和126可自行运行这些子进程。或者,在本发明的另一实施例中,从CPU卡122、124和126可以通过PCI总线140将邻近的从CPU卡用作协处理器。
需要说明的是,本发明的一个实施例其发明精神是使用多个协处理器来处理反病毒任务以加快病毒监测和扫描的速度。相比当前技术中使用单个高频率处理器或者双核处理器的反病毒系统,本发明的实施例之一提供的使用多个协处理器的反病毒系统可以提高计算机系统的性能并降低成本。
在本发明的一个实施例中,反病毒系统192可以用作网关。由于网关中用于阻挡和扫描病毒的反病毒软件的扫描速度对于网络速度有直接影响,在本发明的一个实施例中,使用多个协处理器,线速可以从数个Mbps达到数百Mbps。
可编程逻辑106可用于监测和控制从CPU卡122、124和126,可通过PCI总线140连接到主CPU卡102。在本发明的一个实施例中,可编程逻辑106的控制部分是由现场可编程门阵列(FPGA)或者复杂可编程逻辑器件(CPLD)使用硬件描述语言来实现的。
在本发明的一个实施例中,可编程逻辑106包括一个In-Target Probe(ITP)除错诊断工具(图中未示出),该工具可以是
公司规范定义的ITP-700,但是并不限于该类型。ITP除错诊断工具有一个诊断端口170,该端口是ITP除错诊断工具的命令和控制接口。可编程逻辑106即是通过ITP除错诊断工具的ITP诊断端口170来控制从CPU卡122、124和126的。需要检查的目标程序或数据可发送给从CPU卡122、124和126,从CPU卡122、124和126可运行或执行目标程序。主CPU卡102可通过可编程逻辑106来控制从CPU卡122、124和126的处理状态,例如设定断点,观察和修改变量、存储器或寄存器等。
另外,ITP除错诊断工具是一种专门的联合测试工作组(JTAG)总线主控器,符合IEEE 1149-1规范,并通过一个仔细选择路线的专用(private)扫描链接入处理器和芯片的测试访问端口对象(TAP agents)。由于TAP接口允许查询和编辑从CPU卡122、124和126的寄存器,相比于仅仅使用PCI总线140来控制从CPU卡122、124和126,主CPU卡102使用可编程逻辑106可以使得控制更为可靠。换言之,主CPU卡102根据不同的控制级别使用以太网180和/或可编程逻辑106来控制从CPU卡122、124和126。
举例来说,从CPU卡122、124和126可用于运行或执行病毒检查进程,或者运行需要检查的目标程序。在这种情况下,如果运行的程序因为某些原因进入死锁状态,由于主CPU卡102通过PCI总线控制从CPU卡122、124和126时是软件级的控制,主CPU卡102既不能通过PCI总线140发送控制信息给从CPU卡122、124和126,也无法从从CPU卡122、124和126获取信息。然而,由于可编程逻辑106中含有ITP除错诊断工具,该工具可接入从CPU卡122、124和126并直接查询和修改从CPU卡122、124和126的寄存器,主CPU卡102对于从CPU卡122、124和126就获得了硬件级的控制,并可在上述情况下通过可编程逻辑106发送控制信号给从CPU卡122、124和126。
在本发明的一个实施例中,当可编程逻辑106工作时,将会监测从CPU卡122、124和126的状态。不论主CPU卡102是否发送控制信息给可编程逻辑106,可编程逻辑106都以预先设定的时间间隔获取从CPU卡的状态信息。如果从CPU卡122、124和126中的任何一个没有处于正常工作状态,主CPU卡102将发送控制信号给可编程逻辑106,例如命令进程重新开始,随后可编程逻辑106将通过ITP除错诊断工具直接对从CPU卡122、124和126进行硬件级的控制。当从CPU卡122、124和126工作于正常状态时,主CPU卡102同样可以通过可编程逻辑106控制从CPU卡122、124和126的反病毒进程,例如在反病毒程序中设定断点,或者修改从CPU卡122、124和126的存储器或者寄存器等。
本领域技术人员显然理解,可编程逻辑106中也可使用其它的除错诊断工具来代替
公司的ITP-700来直接控制从CPU卡122、124和126。
在本发明的一个实施例中,使用上述的反病毒系统192运行虚拟机来模拟计算机系统的性能以确定软件代码、程序或者数据中是否存在病毒。如上已述,当前技术中软件是用于解释性地执行程序,在该解释过程中,将首先在存储器中运行反病毒程序,该存储器被模拟成虚拟寄存器,然后再在处理器的真正的寄存器中运行反病毒程序。而在本实施例中,当反病毒系统192运行虚拟机时,反病毒程序将直接在从CPU卡122、124和126的寄存器中运行。本领域技术人员显然理解,通过CPU卡的寄存器运行反病毒程序比通过CPU的存储器运行反病毒程序快。
另外,如上已述,可编程逻辑106用于监测和控制从CPU卡122、124和126中的虚拟机的运行。在虚拟机的运行过程中,主CPU卡102可通过其它的控制进程或程序来察看软件代码或程序,例如设定断点,以避免作为虚拟机运行的反病毒系统192瘫痪。
相比于当前技术中使用软件模拟虚拟机,本发明的一个实施例中使用多个协处理器来实现反病毒系统并在CPU卡中模拟虚拟机,这种反病毒系统可提高性能并降低成本。
防火墙系统190是设计用于阻止WAN 146中未经授权的用户或者数据包访问LAN 144,其主CPU卡102作为控制器工作,并通过PCI总线140连接到防火墙卡104。所有由LAN 144发送或接收的消息都经由防火墙系统190传输。在保护隐秘信息时,防火墙系统190是第一道防线。
本领域技术人员显然理解,当前存在多种类型的防火墙技术,例如包过滤、应用网关、电路级网关、代理服务器等等。防火墙系统190可使用上述任何一种类型的技术或其组合。
因此,反病毒和防火墙系统100可使用防火墙系统190来阻止WAN 146中的数据包或未经授权的用户传输进入或访问LAN 144,同时可使用反病毒系统192来检查或检测程序和数据包。所有进入LAN 144或由其发出的数据都由反病毒和防火墙系统100执行检测。这样,LAN 144内部的用户或计算机系统就可受到保护而免于来自WAN 146的非法访问和病毒。
另外,在本发明的一个实施例中,反病毒和防火墙系统100也可作为普通的多协处理器计算机系统用于处理普通的任务。主CPU卡102可将目标任务分为数个子任务并分配给从CPU卡122、124和126。这样,反病毒系统192可用于其它应用。
图2为本发明的一个实施例提供的一种工业PCI平台200的详细框图。工业PCI平台200主要是设计用于工业/嵌入式计算机行业,同样也采用了与反病毒系统192类似的主从架构,以下将详细说明。
如图2所示,主CPU卡202与主PCI插槽212和透明PCI桥239相连并用作总控制器,与图1中的主CPU卡102类似,多个与外围PCI插槽222、224、226和228相连的CPU卡(图中未示出)作为从CPU卡,通过非透明PCI桥232、234、236和238连接到主CPU卡202。可编程逻辑206连接到主CPU卡202和外围PCI插槽222、224、226和228,用于控制从CPU卡,与图1中的可编程逻辑106类似。
在本发明的一个实施例中,主CPU卡202插入主PCI插槽212中,与透明PCI桥239合作作为控制和驱动从CPU卡的主CPU卡。主CPU卡202是一种用于扩展现有计算机系统的存储空间、计算速度、带宽或者嵌入式应用的板卡。由于CPU卡通过CPU速度、总线类型、内建应用和其它特性来区分,在本发明的一个实施例中,主CPU卡202为PCI卡,包括一个CPU、存储控制器和桥、显示终端、G-LAN1、G-LAN2、DDR以及输入/输出设备。本领域技术人员应该理解,图2示出的主CPU卡202所包括的器件是用作举例说明,而非限制。主CPU卡所包含的器件既可增加也可减少。
主PCI插槽212用于容纳主CPU卡202以允许其访问PCI总线。外围PCI插槽222、224、226和228用于接收从CPU卡以允许从CPU卡访问PCI总线。在本发明的一个实施例中,主CPU卡202和从CPU卡可通过金手指插入PCI插槽212、222、224、226和228。
主CPU卡202通过主PCI插槽212所能直接控制的PCI插槽数量有限。透明PCI桥239用于将非透明PCI插槽236和238连接到主PCI插槽212,这样主PCI插槽212就可通过透明PCI桥239控制更多的非透明PCI插槽(236和238)。透明PCI桥239用于扩展PCI总线,使得PCI规格的简单总线所允许的控制能力和物理距离得以提高。同时,透明PCI桥239对于主CPU卡202中运行的软件是不可见的。主CPU卡202插入主PCI插槽212,并与透明PCI桥239合作控制和驱动从CPU卡。
非透明PCI桥232、234、236和238用于将两个由不同的CPU卡管理的PCI总线连接到一起。以非透明PCI桥232为例,连接到非透明PCI桥232的PCI总线有两个。换言之,非透明PCI桥232通过一个由主CPU卡202管理的PCI总线连接到主PCI插槽212,通过另一个由从CPU卡(图中未示出)控制的PCI总线连接到从PCI插槽或者说外围PCI插槽222。非透明PCI桥232用于将主PCI插槽212和主CPU卡202连接到从PCI插槽222。通过平台中的非透明PCI桥,主CPU卡202可以与插入从PCI插槽或外围PCI插槽222、224、226和228的CPU卡进行通信。
外围PCI插槽222、224、226和228中都可插入一个CPU卡(图中未示出),该CPU卡与非透明PCI桥232、234、236和238(中的一个)合作作为一个从CPU卡工作。换言之,一个与外围PCI插槽222和非透明PCI桥232相连的CPU卡可作为一个从CPU卡工作。与之类似,第二个CPU卡与外围PCI插槽224和非透明PCI桥234相连作为第二个从CPU卡;第三个CPU卡与外围PCI插槽226和非透明PCI桥236相连作为第三个从CPU卡;第四个CPU卡与外围PCI插槽228和非透明PCI桥238相连作为第四个从CPU卡。
简单起见,图2给出了4个外围从CPU卡插槽和4个非透明PCI桥。本领域技术人员显然理解,工业PCI平台200可包括四个以上的外围从CPU卡插槽和从CPU卡。
如上已述,主CPU卡通过可编程逻辑206和PCI总线来监测和控制从CPU卡。与图1中的可编程逻辑106类似,可编程逻辑206也包括一个ITP除错诊断工具,其中含有一个诊断端口,可通过外围PCI插槽222、224、226和228直接控制从CPU卡。由于可以直接控制从CPU卡,工业PCI平台200的处理速度得以提高。相比CompactPCI,工业PCI平台200可以以较低的成本为工业计算应用提供同样稳定可靠的通信。
在本发明的一个实施例中,工业PCI平台200可用于工业反病毒应用,虚拟机同样可在该工业反病毒系统上运行,其工作原理与反病毒和防火墙系统100类似。
另外,在本发明的一个实施例中,工业PCI平台200可使用多个一般的CPU卡。举例来说,这种多协处理器计算机系统可用于形成一个与图1所示的反病毒和防火墙系统100类似的反病毒计算机系统。为了节约成本,该多协处理器计算机系统可使用普通的工业应用和普通的CPU卡来实现。
以上描述和附图仅为本发明的常用实施例,在不背离由后附权利要求书所界定的本发明的精神和发明范围的前提下可以有各种增补、修改和替换。本领域技术人员将理解,在不背离发明原则的前提下,本发明在实际应用中根据具体环境和工作要求可以在形式、结构、安排、比例、材料、要素、组件以及其它方面有所修改。在此披露之实施例完全是用于说明而非限制,本发明的范围由后附权利要求及其合法等同物界定,而不限于以上描述。
Claims (20)
1.一种用于执行病毒监测和扫描进程的反病毒和防火墙系统,其特征在于,
所述反病毒和防火墙系统包括:
一个主中央处理单元(CPU)卡,用于控制所述病毒监测和扫描进程并将该病毒监测和扫描进程分成多个子进程;
多个从CPU卡,通过以太网和PCI总线与所述主CPU卡相连接,由所述主CPU卡在软件级和硬件级进行控制,其中每个从CPU卡均接收并处理所述多个子进程中的一个;以及
一个可编程逻辑模块,由所述主CPU卡控制,用于以预先设定的时间间隔获取所述多个从CPU卡的状态信息,在所述多个从CPU卡工作于正常状态时,通过所述可编程逻辑模块中的除错诊断工具来监测和修改所述多个从CPU卡的多个寄存器和多个存储器以进行硬件级控制。
2.权利要求1之反病毒和防火墙系统,其特征在于,所述除错诊断工具被配置成通过修改所述多个存储器和所述多个寄存器,来控制所述多个从CPU卡的处理状态。
3.权利要求1之反病毒和防火墙系统,其特征在于,所述可编程逻辑模块包括一个控制部分,通过硬件描述语言实现。
4.权利要求1之反病毒和防火墙系统,其特征在于,所述的反病毒系统可在所述的主CPU卡和所述多个从CPU卡上运行一个虚拟机,用于执行所述的病毒监测和扫描进程。
5.权利要求1之反病毒和防火墙系统,其特征在于,还包括:
一个通信总线,其中所述的主CPU卡发送多个控制信号和所述的多个子进程给所述多个从CPU卡,以通过该通信总线在所述软件级控制所述的多个从CPU卡。
6.权利要求5之反病毒和防火墙系统,其特征在于,所述通信总线包括:
一个控制总线,用于在所述的主CPU卡和所述多个从CPU卡之间传输所述的多个控制信号;
一个数据总线,用于在所述的主CPU卡和所述多个从CPU卡之间传输所述的多个子进程。
7.权利要求6之反病毒和防火墙系统,其特征在于,所述的控制总线为外围组件互连(PCI)总线。
8.权利要求6之反病毒和防火墙系统,其特征在于,所述的数据总线为以太网。
9.权利要求1之反病毒和防火墙系统,其特征在于,所述的每个从CPU卡都能将所述多个从CPU卡中的另一个从CPU卡用作协处理器。
10.一种网关中的反病毒和防火墙系统,用于执行病毒监测和扫描进程以检测多个在局域网(LAN)和广域网(WAN)之间传输的数据包,其特征在于,所述反病毒和防火墙系统包括:
一个主CPU卡,用于控制所述的病毒监测和扫描进程并将该病毒监测和扫描进程分为多个子进程;
多个从CPU卡,通过以太网和PCI总线连接到所述主CPU卡并由所述主CPU卡控制,每个从CPU卡均接收并处理所述多个子进程中的一个;以及
一个可编程逻辑模块,由所述主CPU卡控制,用于以预先设定的时间间隔获取所述多个从CPU卡的状态信息,在所述多个从CPU卡工作于正常状态时,通过所述可编程逻辑模块中的除错诊断工具来监测和修改所述从CPU卡的多个寄存器和存储器,以对所述多个从CPU卡的硬件进行控制。
11.权利要求10之反病毒和防火墙系统,其特征在于,所述的可编程逻辑模块包括一个控制部分,用硬件描述语言实现。
12.权利要求10之反病毒和防火墙系统,其特征在于,所述反病毒和防火墙系统能够在所述的主CPU卡和所述多个从CPU卡上运行虚拟机以执行所述的病毒监测和扫描进程。
13.权利要求10之反病毒和防火墙系统,其特征在于,所述的每个从CPU卡都能将所述多个从CPU卡中的另一个从CPU卡用作协处理器。
14.权利要求10之反病毒和防火墙系统,其特征在于,还包括:
一个防火墙卡,由所述的主CPU卡控制,用于阻挡在所述的WAN和所述的LAN之间传输的非法数据包。
15.一种用于处理目标任务的工业PCI平台,其特征在于,包括:
一个PCI总线;
一个主PCI插槽,连接到所述PCI总线,用于容纳主CPU卡,主CPU卡用于控制所述目标任务并将其分成多个子进程;
多个从PCI插槽,通过以太网和所述PCI总线连接到所述主CPU卡,用于容纳多个从CPU卡,从CPU卡由所述主CPU卡通过所述PCI总线控制,其中每个从CPU卡均接收并处理所述多个子进程中的一个;
一个可编程逻辑模块,由所述主CPU卡控制,用于以预先设定的时间间隔获取所述多个从CPU卡的状态信息,在所述多个从CPU卡工作于正常状态时,通过所述可编程逻辑模块中的除错诊断工具来监测和修改所述多个从CPU卡的多个寄存器和存储器,以控制所述多个从CPU卡的硬件。
16.权利要求15之工业PCI平台,其特征在于,所述PCI总线还包括:
至少一个透明PCI桥,连接到所述的多个PCI插槽。
17.权利要求15之工业PCI平台,其特征在于,所述的PCI总线还包括:
多个非透明PCI桥,用于将所述的多个PCI插槽连接到所述的PCI总线。
18.权利要求15之工业PCI平台,其特征在于,所述的多个从CPU卡每个都能将所述的多个从CPU卡中的另一个从CPU卡用作协处理器。
19.权利要求15之工业PCI平台,其特征在于,所述的工业PCI平台用于在所述的主CPU卡和所述多个从CPU卡上运行一个虚拟机。
20.一种用于处理目标任务的多协处理器系统,其特征在于,包括:
一个主处理器,用于控制目标任务并将所述目标任务分为多个子进程;
多个从处理器,通过以太网和PCI总线连接到所述主处理器并由所述主处理器控制,每个从处理器接收并处理所述多个子进程中的一个并将处理后的数据送回主处理器;以及
一个可编程逻辑模块,由所述主处理器控制,用于以预先设定的时间间隔获取所述多个从CPU卡的状态信息,在所述多个从CPU卡工作于正常状态时,通过所述可编程逻辑模块中的除错诊断工具来监测和修改所述多个从处理器的多个寄存器和存储器以控制所述从处理器的硬件。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US80171406P | 2006-05-19 | 2006-05-19 | |
| US60/801,714 | 2006-05-19 | ||
| US11/804,494 | 2007-05-17 | ||
| US11/804,494 US8316439B2 (en) | 2006-05-19 | 2007-05-17 | Anti-virus and firewall system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101141453A CN101141453A (zh) | 2008-03-12 |
| CN101141453B true CN101141453B (zh) | 2013-04-03 |
Family
ID=38596929
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101075838A Active CN101141453B (zh) | 2006-05-19 | 2007-05-21 | 反病毒和防火墙系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8316439B2 (zh) |
| EP (1) | EP1865418B1 (zh) |
| CN (1) | CN101141453B (zh) |
| AT (1) | ATE528718T1 (zh) |
| HK (1) | HK1113039A1 (zh) |
| TW (1) | TW200823714A (zh) |
Families Citing this family (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080098113A1 (en) * | 2006-10-19 | 2008-04-24 | Gert Hansen | Stateful firewall clustering for processing-intensive network applications |
| JP5324908B2 (ja) * | 2008-08-22 | 2013-10-23 | パナソニック株式会社 | カードホストlsiを有するセット機器、およびカードホストlsi |
| US8966607B2 (en) * | 2009-07-15 | 2015-02-24 | Rockstar Consortium Us Lp | Device programmable network based packet filter |
| CN101662467B (zh) * | 2009-09-27 | 2012-08-22 | 成都市华为赛门铁克科技有限公司 | 扫描方法及装置 |
| US8429735B2 (en) * | 2010-01-26 | 2013-04-23 | Frampton E. Ellis | Method of using one or more secure private networks to actively configure the hardware of a computer or microchip |
| CN101877710B (zh) | 2010-07-13 | 2012-10-17 | 成都市华为赛门铁克科技有限公司 | 代理网关防病毒实现方法、预分类器和代理网关 |
| US8458791B2 (en) * | 2010-08-18 | 2013-06-04 | Southwest Research Institute | Hardware-implemented hypervisor for root-of-trust monitoring and control of computer system |
| CN102012801B (zh) * | 2010-11-17 | 2013-10-09 | 北京安天电子设备有限公司 | 反病毒虚拟机硬件加速系统 |
| US9191327B2 (en) * | 2011-02-10 | 2015-11-17 | Varmour Networks, Inc. | Distributed service processing of network gateways using virtual machines |
| US9529995B2 (en) | 2011-11-08 | 2016-12-27 | Varmour Networks, Inc. | Auto discovery of virtual machines |
| JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
| CN103281365B (zh) * | 2013-05-20 | 2016-12-28 | 深圳市京华科讯科技有限公司 | 分布式虚拟化架构 |
| CN103309725A (zh) * | 2013-05-20 | 2013-09-18 | 深圳市京华科讯科技有限公司 | 网络虚拟化处理方法 |
| US9262635B2 (en) * | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
| US10264025B2 (en) | 2016-06-24 | 2019-04-16 | Varmour Networks, Inc. | Security policy generation for virtualization, bare-metal server, and cloud computing environments |
| US10091238B2 (en) | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
| US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
| JP5799399B1 (ja) * | 2014-08-01 | 2015-10-28 | 株式会社応用電子 | 仮想通信システム |
| US9609026B2 (en) | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
| US10193929B2 (en) | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
| US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
| US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
| US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
| US9294442B1 (en) | 2015-03-30 | 2016-03-22 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
| US10009381B2 (en) | 2015-03-30 | 2018-06-26 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US10191758B2 (en) | 2015-12-09 | 2019-01-29 | Varmour Networks, Inc. | Directing data traffic between intra-server virtual machines |
| US9680852B1 (en) | 2016-01-29 | 2017-06-13 | Varmour Networks, Inc. | Recursive multi-layer examination for computer network security remediation |
| US9762599B2 (en) | 2016-01-29 | 2017-09-12 | Varmour Networks, Inc. | Multi-node affinity-based examination for computer network security remediation |
| US9521115B1 (en) | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
| US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
| US10755334B2 (en) | 2016-06-30 | 2020-08-25 | Varmour Networks, Inc. | Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors |
| US10223317B2 (en) | 2016-09-28 | 2019-03-05 | Amazon Technologies, Inc. | Configurable logic platform |
| US10795742B1 (en) * | 2016-09-28 | 2020-10-06 | Amazon Technologies, Inc. | Isolating unresponsive customer logic from a bus |
| CN108096831B (zh) * | 2016-11-25 | 2021-07-09 | 盛趣信息技术(上海)有限公司 | 网络游戏防加速控制系统及方法 |
| JP6891583B2 (ja) * | 2017-03-27 | 2021-06-18 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
| CN109246057B (zh) * | 2017-07-10 | 2021-01-08 | 东软集团股份有限公司 | 报文转发方法、装置、转发系统、存储介质及电子设备 |
| CN107885694B (zh) * | 2017-10-18 | 2018-10-23 | 广东高云半导体科技股份有限公司 | 一种支持系统级集成电路芯片 |
| CN108229167B (zh) * | 2017-12-29 | 2022-05-31 | 北京安云世纪科技有限公司 | 用于对多进程应用进行控制的方法、设备及移动终端 |
| US11340964B2 (en) * | 2019-05-24 | 2022-05-24 | International Business Machines Corporation | Systems and methods for efficient management of advanced functions in software defined storage systems |
| US11863580B2 (en) | 2019-05-31 | 2024-01-02 | Varmour Networks, Inc. | Modeling application dependencies to identify operational risk |
| US11711374B2 (en) | 2019-05-31 | 2023-07-25 | Varmour Networks, Inc. | Systems and methods for understanding identity and organizational access to applications within an enterprise environment |
| US11290494B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Reliability prediction for cloud security policies |
| US11575563B2 (en) | 2019-05-31 | 2023-02-07 | Varmour Networks, Inc. | Cloud security management |
| US11290493B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Template-driven intent-based security |
| US11310284B2 (en) | 2019-05-31 | 2022-04-19 | Varmour Networks, Inc. | Validation of cloud security policies |
| CN114556338A (zh) * | 2019-10-25 | 2022-05-27 | 惠普发展公司,有限责任合伙企业 | 恶意软件标识 |
| US11818152B2 (en) | 2020-12-23 | 2023-11-14 | Varmour Networks, Inc. | Modeling topic-based message-oriented middleware within a security system |
| US11876817B2 (en) | 2020-12-23 | 2024-01-16 | Varmour Networks, Inc. | Modeling queue-based message-oriented middleware relationships in a security system |
| US11777978B2 (en) | 2021-01-29 | 2023-10-03 | Varmour Networks, Inc. | Methods and systems for accurately assessing application access risk |
| CN113326220A (zh) * | 2021-06-09 | 2021-08-31 | 新华三技术有限公司 | 一种外设电子标签信息获取方法及设备 |
| US11734316B2 (en) | 2021-07-08 | 2023-08-22 | Varmour Networks, Inc. | Relationship-based search in a computing environment |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6928482B1 (en) * | 2000-06-29 | 2005-08-09 | Cisco Technology, Inc. | Method and apparatus for scalable process flow load balancing of a multiplicity of parallel packet processors in a digital communication network |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69031233T2 (de) | 1989-02-24 | 1997-12-04 | At & T Corp | Adaptive Arbeitsfolgeplanung für Mehrfachverarbeitungssysteme |
| US5349682A (en) * | 1992-01-31 | 1994-09-20 | Parallel Pcs, Inc. | Dynamic fault-tolerant parallel processing system for performing an application function with increased efficiency using heterogeneous processors |
| US5606668A (en) | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| WO1995033237A1 (en) | 1994-06-01 | 1995-12-07 | Quantum Leap Innovations Inc. | Computer virus trap |
| US5955299A (en) * | 1996-09-27 | 1999-09-21 | Incyte Pharmaceuticals, Inc. | snRNP Sm proteins |
| US6513057B1 (en) | 1996-10-28 | 2003-01-28 | Unisys Corporation | Heterogeneous symmetric multi-processing system |
| TW454145B (en) | 2000-02-08 | 2001-09-11 | Pro Team Comp Corp | A method for controlling and replacing priorities of system BIOS on the motherboard and solving its abnormality |
| US6748534B1 (en) * | 2000-03-31 | 2004-06-08 | Networks Associates, Inc. | System and method for partitioned distributed scanning of a large dataset for viruses and other malware |
| DK1297446T3 (da) | 2000-07-05 | 2006-01-30 | Ernst & Young Llp | Fremgangsmåde og apparat for tilvejebringelse af computertjenester |
| US7222150B1 (en) | 2000-08-15 | 2007-05-22 | Ikadega, Inc. | Network server card and method for handling requests received via a network interface |
| US7043757B2 (en) * | 2001-05-22 | 2006-05-09 | Mci, Llc | System and method for malicious code detection |
| DE10128475A1 (de) | 2001-06-12 | 2003-01-02 | Siemens Ag | Mehrprozessorsystem mit geteiltem Arbeitsspeicher |
| US6839808B2 (en) * | 2001-07-06 | 2005-01-04 | Juniper Networks, Inc. | Processing cluster having multiple compute engines and shared tier one caches |
| US7171690B2 (en) * | 2001-08-01 | 2007-01-30 | Mcafee, Inc. | Wireless malware scanning back-end system and method |
| CA2365729A1 (en) | 2001-12-20 | 2003-06-20 | Platform Computing (Barbados) Inc. | Topology aware scheduling for a multiprocessor system |
| EP1359509A1 (de) | 2002-04-29 | 2003-11-05 | Siemens Aktiengesellschaft | Mehrprozessorsystem |
| US7467406B2 (en) | 2002-08-23 | 2008-12-16 | Nxp B.V. | Embedded data set processing |
| WO2004019571A2 (en) | 2002-08-24 | 2004-03-04 | Cisco Technology, Inc. | Packet processing engine |
| US7043316B2 (en) * | 2003-02-14 | 2006-05-09 | Rockwell Automation Technologies Inc. | Location based programming and data management in an automated environment |
| US7386888B2 (en) * | 2003-08-29 | 2008-06-10 | Trend Micro, Inc. | Network isolation techniques suitable for virus protection |
| US7472288B1 (en) * | 2004-05-14 | 2008-12-30 | Trend Micro Incorporated | Protection of processes running in a computer system |
| US7805509B2 (en) * | 2004-06-04 | 2010-09-28 | Optier Ltd. | System and method for performance management in a multi-tier computing environment |
| US7441273B2 (en) * | 2004-09-27 | 2008-10-21 | Mcafee, Inc. | Virus scanner system and method with integrated spyware detection capabilities |
| US8619971B2 (en) * | 2005-04-01 | 2013-12-31 | Microsoft Corporation | Local secure service partitions for operating system security |
| US8201253B1 (en) * | 2005-07-15 | 2012-06-12 | Microsoft Corporation | Performing security functions when a process is created |
| US8275942B2 (en) * | 2005-12-22 | 2012-09-25 | Intel Corporation | Performance prioritization in multi-threaded processors |
| CN100437502C (zh) * | 2005-12-30 | 2008-11-26 | 联想(北京)有限公司 | 基于安全芯片的防病毒方法 |
| US8171552B1 (en) * | 2006-02-14 | 2012-05-01 | Trend Micro, Inc. | Simultaneous execution of multiple anti-virus programs |
| JP4745858B2 (ja) * | 2006-02-20 | 2011-08-10 | 富士通株式会社 | セキュリティ管理プログラム、およびセキュリティ管理方法 |
| US7854006B1 (en) * | 2006-03-31 | 2010-12-14 | Emc Corporation | Differential virus scan |
| US7870612B2 (en) * | 2006-09-11 | 2011-01-11 | Fujian Eastern Micropoint Info-Tech Co., Ltd | Antivirus protection system and method for computers |
| KR100897849B1 (ko) * | 2007-09-07 | 2009-05-15 | 한국전자통신연구원 | 비정상 프로세스 탐지 방법 및 장치 |
| KR101229160B1 (ko) * | 2008-12-05 | 2013-02-01 | 액텀 아이엔씨. | 착탈식 펌웨어를 갖는 시편 판독기 |
| US20110225649A1 (en) * | 2010-03-11 | 2011-09-15 | International Business Machines Corporation | Protecting Computer Systems From Malicious Software |
-
2007
- 2007-05-17 US US11/804,494 patent/US8316439B2/en active Active
- 2007-05-18 AT AT07009926T patent/ATE528718T1/de not_active IP Right Cessation
- 2007-05-18 EP EP07009926A patent/EP1865418B1/en active Active
- 2007-05-18 TW TW096117814A patent/TW200823714A/zh unknown
- 2007-05-21 CN CN2007101075838A patent/CN101141453B/zh active Active
-
2008
- 2008-07-28 HK HK08108314.4A patent/HK1113039A1/xx unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6928482B1 (en) * | 2000-06-29 | 2005-08-09 | Cisco Technology, Inc. | Method and apparatus for scalable process flow load balancing of a multiplicity of parallel packet processors in a digital communication network |
Also Published As
| Publication number | Publication date |
|---|---|
| HK1113039A1 (en) | 2008-09-19 |
| EP1865418B1 (en) | 2011-10-12 |
| TW200823714A (en) | 2008-06-01 |
| ATE528718T1 (de) | 2011-10-15 |
| EP1865418A3 (en) | 2008-09-17 |
| EP1865418A2 (en) | 2007-12-12 |
| US8316439B2 (en) | 2012-11-20 |
| US20070271612A1 (en) | 2007-11-22 |
| CN101141453A (zh) | 2008-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101141453B (zh) | 反病毒和防火墙系统 | |
| Krautter et al. | Mitigating electrical-level attacks towards secure multi-tenant FPGAs in the cloud | |
| Potkonjak et al. | Hardware Trojan horse detection using gate-level characterization | |
| Zonouz et al. | Detecting industrial control malware using automated PLC code analytics | |
| Benhani et al. | The security of ARM TrustZone in a FPGA-based SoC | |
| Basu et al. | Preempt: Preempting malware by examining embedded processor traces | |
| Fern et al. | Hiding hardware Trojan communication channels in partially specified SoC bus functionality | |
| Deng et al. | Novel design strategy toward a2 trojan detection based on built-in acceleration structure | |
| Meng et al. | SeVNoC: Security validation of system-on-chip designs with NoC fabrics | |
| Wang et al. | Security-aware task scheduling using untrusted components in high-level synthesis | |
| Rahman et al. | Efficient SoC security monitoring: quality attributes and potential solutions | |
| Wang et al. | Hardware trojan detection and high-precision localization in noc-based mpsoc using machine learning | |
| Bobda et al. | Hardware sandboxing: A novel defense paradigm against hardware trojans in systems on chip | |
| Khamitkar et al. | A survey on using machine learning to counter hardware trojan challenges | |
| US10133881B2 (en) | Method and circuit arrangement for protecting against scanning of an address space | |
| Salmani | Hardware trojan attacks and countermeasures | |
| Zhu et al. | Jintide: Utilizing low-cost reconfigurable external monitors to substantially enhance hardware security of large-scale CPU clusters | |
| Wolf et al. | Collaborative monitors for embedded system security | |
| Weaver et al. | Golden Reference Library Matching of Structural Checking for securing soft IPs | |
| AU2019255300B2 (en) | Anti-virus device for industrial control systems | |
| Sudusinghe et al. | Network-on-chip attack detection using machine learning | |
| Biswas et al. | Control Flow Integrity in IoT Devices with Performance Counters and DWT | |
| Kwiat et al. | Simulation for strategic hardware Trojans testing | |
| Ambrose et al. | Scalable performance monitoring of application specific multiprocessor Systems-on-Chip | |
| CN201965621U (zh) | 基于fpga的远程漏洞高速扫描器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1113039 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: O2 TECH. INTERNATIONAL LTD. Free format text: FORMER OWNER: O2 MICRO INC Effective date: 20101124 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: CALIFORNIA, USA TO: GRAND CAYMAN, CAYMAN ISLANDS, BRITAIN |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20101124 Address after: Grand Cayman British Cayman Islands Applicant after: O2 Tech. International Ltd. Address before: American California Applicant before: O2 Micro Inc |
|
| ASS | Succession or assignment of patent right |
Owner name: AIYOUKE SERVICE LTD. Free format text: FORMER OWNER: O2 TECH. INTERNATIONAL LTD. Effective date: 20120828 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20120828 Address after: Delaware Applicant after: O2Micro Inc. Address before: Grand Cayman British Cayman Islands Applicant before: O2 Tech. International Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1113039 Country of ref document: HK |