CN116015696A - 防火墙系统、恶意软件探测方法及装置 - Google Patents
防火墙系统、恶意软件探测方法及装置 Download PDFInfo
- Publication number
- CN116015696A CN116015696A CN202111223410.9A CN202111223410A CN116015696A CN 116015696 A CN116015696 A CN 116015696A CN 202111223410 A CN202111223410 A CN 202111223410A CN 116015696 A CN116015696 A CN 116015696A
- Authority
- CN
- China
- Prior art keywords
- data message
- circuit
- machine learning
- data
- analyzing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000010801 machine learning Methods 0.000 claims abstract description 48
- 238000001514 detection method Methods 0.000 claims abstract description 33
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 30
- 230000006399 behavior Effects 0.000 claims abstract description 20
- 230000001133 acceleration Effects 0.000 claims abstract description 11
- 238000012545 processing Methods 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 abstract description 19
- 230000000694 effects Effects 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012821 model calculation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防火墙系统、恶意软件探测方法及装置。所述防火墙系统包括:网卡功能电路,用于接收数据报文;解析加速电路,用于对数据报文进行解析;特征匹配电路,用于在预设数据表特征信息中对解析后的数据报文进行特征匹配;机器学习电路,用于根据匹配结果确定数据报文的行为是否符合恶意软件的特征;其中,预设数据表特征信息存储在现场可编程门阵列FPGA电路板上;网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路集成于FPGA电路板上;网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路之间通过数据总线相连。本发明提供的防火墙系统,可以实现数据流从接入到检测的全栈功能,达到很好的加速效果。
Description
技术领域
本发明涉及智慧城市、网络安全技术领域,具体涉及一种防火墙系统、恶意软件探测方法及装置。
背景技术
防火墙是一个硬件与软件结合的网络节点/实体。它基于网络参数的一组规则,屏蔽未经认证的网络数据,根据规则检查进出网络的数据流,检测并阻止恶意程序进入网络。现防火墙多采用基于NPU架构的VPN防火墙硬件结构模型。随着互联网的繁荣,现阶段的恶意代码也呈现出快速发展的趋势,主要表现为变种数量多、传播速度快、影响范围广。在这样的形势下,传统的恶意代码检测方法已经无法满足人们对恶意代码检测的要求。
为了应对上面的问题,基于机器学习的恶意代码检测方法一直是学界研究的热点。基于机器学习的恶意代码检测往往表现出较高的准确率,并且一定程度上可以对未知的恶意代码实现自动化的分析。现有FPGA做为服务器的硬件隔离及检测系统,多是单独做为数据包解析的加速卡或是单纯做为机器学习模型的加速卡,并没有对基于机器学习的恶意软件抵御有很好的处理。
发明内容
本发明提供一种防火墙系统,用以解决如何探测恶意软件的技术问题。
第一方面,本发明提供一种防火墙系统,包括:
网卡功能电路,用于接收数据报文;
解析加速电路,用于对所述数据报文进行解析;
特征匹配电路,用于在预设数据表特征信息中对解析后的数据报文进行特征匹配;
机器学习电路,用于根据匹配结果确定所述数据报文的行为是否符合恶意软件的特征;
其中,所述预设数据表特征信息存储在现场可编程门阵列FPGA电路板上;
所述网卡功能电路、所述解析加速电路、所述特征匹配电路以及所述机器学习电路集成于所述FPGA电路板上;
所述网卡功能电路、所述解析加速电路、所述特征匹配电路以及所述机器学习电路之间通过数据总线相连。
在一个实施例中,所述解析加速电路包括:
解析器,用于对数据报文进行解析;
分流器,用于对解析后的数据报文进行分流处理;
处理器,用于对分流处理后的数据报文进行解析,确定特征向量。
在一个实施例中,所述特征匹配电路包括:
高带宽存储器HBM,用于在预设数据表特征信息中对解析后的数据报文进行特征匹配。
在一个实施例中,所述防火墙系统,还包括:安全处理电路,用于对符合恶意软件的特征行为的数据报文进行安全处理。
第二方面,本发明提供一种恶意软件探测方法,包括:
对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对所述解析后的数据报文进行分流处理;
对分流处理后的数据报文进行解析,确定特征向量;
根据所述特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
在一个实施例中,所述恶意软件探测方法,还包括:
将机器学习模型确定的结果,发送至状态机中;
收集所述状态机中的状态值,确定HBM流表的配置模块,并更新HBM流表。
在一个实施例中,所述对分流处理后的数据报文进行解析,确定特征向量,包括:
对分流处理后的数据报文进行解析,提取包头信息;
根据所述包头信息,确定特征向量。
第三方面,本发明提供一种恶意软件探测装置,包括:
解析模块,用于对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对所述解析后的数据报文进行分流处理;
第一确定模块,用于对分流处理后的数据报文进行解析,确定特征向量;
第二确定模块,用于根据所述特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
第四方面,本发明提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第二方面所述恶意软件探测方法的步骤。
第五方面,本发明提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第二方面所述恶意软件探测方法的步骤。
本发明提供的防火墙系统,通过将网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路集成于同一FPGA电路板上,从而实现了数据流从接入到检测的全栈功能,减少跨硬件的数据搬移开销,达到了很好的加速效果。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的防火墙系统的结构示意图;
图2是应用本发明提供的防火墙系统的架构示意图;
图3是本发明提供的恶意软件探测方法的流程示意图;
图4是应用本发明提供的恶意软件探测方法的流程示意图;
图5是本发明提供的恶意软件探测装置的结构示意图;
图6是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明提供的防火墙系统的结构示意图。参照图1,本发明提供的防火墙系统可以包括:
网卡功能电路110,用于接收数据报文;
解析加速电路120,用于对数据报文进行解析;
特征匹配电路130,用于在预设数据表特征信息中对解析后的数据报文进行特征匹配;
机器学习电路140,用于根据匹配结果确定数据报文的行为是否符合恶意软件的特征;
其中,预设数据表特征信息存储在现场可编程门阵列FPGA电路板上;
网卡功能电路110、解析加速电路120、特征匹配电路130以及机器学习电路140集成于FPGA电路板上;
网卡功能电路110、解析加速电路120、特征匹配电路130以及机器学习电路140之间通过数据总线相连。
具体地,FPGA(Field Programmable Gate Array),属于专用集成电路中的一种半定制电路,是可编程的逻辑列阵。其有延时低、功耗低、可重新编程的优点。FPGA能耗更低、价格灵活,更加适合边缘设备。网卡功能电路用于接收数据报文,解析加速电路用于对数据报文进行解析,特征匹配电路用于在预设数据表特征信息中对解析后的数据报文进行查找与特征匹配,预设数据表特征信息存储在FPGA电路板上,机器学习电路用于根据匹配结果确定数据报文的行为是否符合恶意软件的特征。通过将网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路集成于同一FPGA电路板上,网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路之间可通过高速数据总线相连,实现了数据流从接入到检测的全栈功能。
本发明提供的防火墙系统,为边缘计算节点东西向网络提供了基于机器学习的具有恶意软件抵御功能的FPGA防火墙,通过将网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路集成于同一FPGA电路板上,实现了数据流从接入到检测的全栈功能,减少跨硬件的数据搬移开销,达到了很好的加速效果。
在一个实施例中,解析加速电路包括:
解析器,用于对数据报文进行解析;
分流器,用于对解析后的数据报文进行分流处理;
处理器,用于对分流处理后的数据报文进行解析,确定特征向量。
具体地,解析器对接入的数据报文进行解析,分流器对解析后的数据报文进行分流处理,流分类可以帮助实现高性能的网络数据分析,提高线速处理能力,提高线速处理能力即网络设备交换转发能力的一个标准。
例如,对接入的数据报文,通过P4解析器进行解析,再由分流器做分流处理,实现高性能的网络数据分析。TLS处理器对报文进一步解析,确定特征向量。
本发明提供的防火墙系统,通过各解析器合作完成数据报文的特征提取,采用通过包解析到的报文送到TLS处理器取得特征向量,为机器学习恶意软件检测提供了良好的前置基础条件。
在一个实施例中,特征匹配电路包括:
高带宽存储器HBM,用于在预设数据表特征信息中对解析后的数据报文进行特征匹配。
具体地,高带宽存储器HBM是一种CPU/GPU内存芯片(即“RAM”),其实就是将很多个双倍数据速率(Double Data Rate,DDR)芯片堆叠在一起后和GPU封装在一起,实现大容量,高位宽的DDR组合阵列。HBM堆栈没有以物理方式与CPU或GPU集成,而是通过中介层紧凑而快速地连接,HBM具备的特性几乎和芯片集成的RAM一样,因此,具有更高速,更高带宽。内置HBM存储具有充足的带宽来实现各种查表功能,本发明将数据表特征信息存储在FPGA板上并基于此器件来做特征查找与匹配,若匹配到相应信息记录则可直接确定是否包含恶意软件。
本发明提供的防火墙系统,HBM具有充足的带宽来实现各种查表功能,通过HBM器件进行特征查找与匹配,确定解析后的数据报文是否包含恶意软件。
在一个实施例中,本发明提供的防火墙系统还包括:安全处理电路,用于对符合恶意软件的特征行为的数据报文进行安全处理。
具体地,若检测出恶意软件特征,则进行拦截操作,并将数据报文发送到安全处理器进一步安全处理。
本发明提供的防火墙系统,通过安全处理电路对检测出恶意软件特征的数据报文进行安全处理,阻止恶意程序进入网络。
图2是应用本发明提供的防火墙系统的架构示意图。参照图2,从左到右其架构组成具体为:
左边是网络侧,提供两个100GE的端口与网络互连。这两个100GE端口可以都连接到交换节点,提供200GE的总带宽,也可以一个连接到外网一个连接到内网(MAC:第二层物理地址,即是一个端口地址)。
然后数据报文与P4解析器进行解析,再由分流器做分流处理。
TLS处理器对报文进一步解析,提取包头信息得到特征向量。
内部逻辑实现了包含标准的NIC网卡功能,及机器学习模块。
数据可以通过负载均衡以及DMA通道经PCIe端口送往CPU。
内置HBM存储具有充足的带宽来实现各种查表功能,本发明将数据表特征信息存储在FPGA板上并基于此器件来做特征查找与匹配。
若检测出恶意软件特征,通过双100GMAC安全处理通道将数据发送到安全处理器进一步安全处理。
本发明提供的基于FPGA的机器学习防火墙架构,各部件间有充足的带宽,各解析器合作完成数据报文的特征提取,HBM流表支撑机器学习的成果匹配,实现了数据流从接入到检测的全栈功能,减少跨硬件的数据搬移开销,为机器学习恶意软件检测提供了良好的前置基础条件。
图3是本发明提供的恶意软件探测方法的流程示意图。参照图3,本发明提供的恶意软件探测方法可以包括:
S310、对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对解析后的数据报文进行分流处理;
S320、对分流处理后的数据报文进行解析,确定特征向量;
S330、根据特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
需要说明的是,本发明提供的恶意软件探测方法的执行主体可以是电子设备、电子设备中的部件、集成电路、或芯片。该电子设备可以是移动电子设备,也可以为非移动电子设备。示例性的,移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本或者个人数字助理(personal digital assistant,PDA)等,非移动电子设备可以为服务器、网络附属存储器(Network Attached Storage,NAS)、个人计算机(personal computer,PC)、电视机(television,TV)、柜员机或者自助机等,本发明不作具体限定。
具体地,在步骤S310中,对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对解析后的数据报文进行分流处理。对接入的数据报文,进行常规的L2/L3/L4数据包解析操作。解析后,判断能否从HBM流表中匹配到相应信息。若匹配到相应信息记录则可直接确定是否包含恶意软件。在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,将数据报文进行分流处理。
在步骤S320中,对分流处理后的数据报文进行解析,确定特征向量。将分流处理后的数据报文送到TLS处理器当中进一步解析。TLS处理器包含用P4语言实现的包解析功能,从数据报文提取包头信息,得到特征向量。
在步骤S330中,根据特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。将特征向量送到恶意软件探测器模块中进行解析,这个模块包含了查找系数模块及相关的神经网络算法和经过训练的模型参数,查找系数即机器学习模型的超参数。通过机器学习模型的计算,根据与学习数据集的相似性对从机器模型输出的数据进行分类,就可以得出结论,当前报文的行为是不是符合恶意软件的特征。
本发明提供的恶意软件探测方法,基于FPGA的防火墙架构设计了FPGA机器学习恶意软件探测方法,能够解决占用边缘计算节点有限的CPU资源的技术问题,实现数据流从接入到检测的全栈功能,达到了很好的加速,减少数据搬移开销与CPU资源占用的技术效果。
在一个实施例中,本发明提供的恶意软件探测方法,还包括:
将机器学习模型确定的结果,发送至状态机中;
收集所述状态机中的状态值,确定HBM流表的配置模块,并更新HBM流表。
具体地,经过机器学习模型分析后得到的结果返回处理器的状态机中,收集TLS中的状态值进行统计,统计的结果影响流表的配置模块,比如增加一条新的规则或者对某类特定任务进行限速,或者对某特定端口进行限制,这些规则最终会被下发到HBM流表中执行,更新HBM流表,从而对后续的业务流发挥作用。
本发明提供的恶意软件探测方法,通过根据机器学习模型确定的结果更新HBM流表,从而对后续的业务流发挥作用,提高恶意软件检测的准确率。
在一个实施例中,对分流处理后的数据报文进行解析,确定特征向量,包括:
对分流处理后的数据报文进行解析,提取包头信息;
根据所述包头信息,确定特征向量。
具体地,TLS处理器包含用P4语言实现的包解析功能,对分流处理后的数据报文进行解析,从数据报文提取包头信息,得到特征向量。
本发明提供的恶意软件探测方法,通过各解析器合作完成数据报文的特征提取,采用通过包解析到的报文送到TLS处理器取得特征向量,为机器学习恶意软件检测提供了良好的前置基础条件。
例如,图4是应用本发明提供的恶意软件探测方法的流程示意图,参考图4,应用本发明提供的恶意软件探测方法的流程具体可以包括:
数据从网络侧接口接入Pkt处理器,进行常规的L2/L3/L4数据包解析操作。解析后,判断能否从HBM流表中匹配到相应信息。若匹配到相应信息记录则可直接确定是否包含恶意软件,若不能则送到下一步处理。
数据报文通过1024比特位宽的流总线送到TLS处理器当中进一步解析。TLS处理器包含用P4语言实现的包解析功能,从数据报文提取包头信息,得到特征向量。
TLS将得到的特征向量送到恶意软件探测器模块中进行解析。这个模块包含了查找系数模块及相关的神经网络算法和经过训练的模型参数。查找系数即机器学习模型的超参数。通过机器学习模型的计算,根据与学习数据集的相似性对从机器模型输出的新数据进行分类,就可以得出结论,当前报文的行为是不是符合恶意软件的特征。
经过机器学习模型分析后得到的结果通过单比特总线返回TLS处理器中状态机中。
控制软件会收集TLS中的状态值进行统计,统计的结果会通过API影响流表的配置模块。比如增加一条新的规则或者对某类特定任务进行限速,或者对某特定端口进行限制。
这些规则最终会被下发到HBM流表中执行,更新HBM流表,从而对后续的业务流发挥作用。
pkt处理器在HBM流表中进行流查匹配找操作,若为恶意软件,则进行拦截操作并送到安全处理器中处理。若非恶意软件则正常报送。
通过应用本发明提供的恶意软件探测方法,采用通过包解析到的报文送到TLS处理器取得特征向量,通过机器模型计算,结论反馈状态机,再通过控制软件更新流表的方案,达到恶意软件检测的效果。能够解决占用边缘计算节点有限的CPU资源的技术问题,实现数据流从接入到检测的全栈功能,达到了很好的加速,减少数据搬移开销与CPU资源占用的技术效果。
下面对本发明提供的恶意软件探测装置进行描述,下文描述的恶意软件探测装置与上文描述的恶意软件探测方法可相互对应参照。
图5为本发明提供的恶意软件探测装置的结构示意图,如图5所示,该装置可以包括:
解析模块510,用于对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对解析后的数据报文进行分流处理;
第一确定模块520,用于对分流处理后的数据报文进行解析,确定特征向量;
第二确定模块530,用于根据特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
本发明提供的恶意软件探测装置,能够解决占用边缘计算节点有限的CPU资源的技术问题,实现数据流从接入到检测的全栈功能,达到了很好的加速,减少数据搬移开销与CPU资源占用的技术效果。
在一个实施例中,本发明提供的恶意软件探测装置还包括:
发送模块,用于将机器学习模型确定的结果,发送至状态机中;
更新模块,用于收集所述状态机中的状态值,确定HBM流表的配置模块,并更新HBM流表。
在一个实施例中,第一确定模块520具体用于:
对分流处理后的数据报文进行解析,提取包头信息;
根据所述包头信息,确定特征向量。
本发明还提供一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述各方法所提供的恶意软件探测方法的步骤。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communication Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的计算机程序,以执行上述各实施例提供的恶意软件探测方法的步骤,例如包括:
对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对解析后的数据报文进行分流处理;
对分流处理后的数据报文进行解析,确定特征向量;
根据特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,计算机能够执行上述各实施例提供的恶意软件探测方法的步骤,例如包括:
对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对解析后的数据报文进行分流处理;
对分流处理后的数据报文进行解析,确定特征向量;
根据特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
另一方面,本申请实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,计算机程序用于使处理器执行上述各实施例提供的恶意软件探测方法的步骤,例如包括:
对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对解析后的数据报文进行分流处理;
对分流处理后的数据报文进行解析,确定特征向量;
根据特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种防火墙系统,其特征在于,包括:
网卡功能电路,用于接收数据报文;
解析加速电路,用于对所述数据报文进行解析;
特征匹配电路,用于在预设数据表特征信息中对解析后的数据报文进行特征匹配;
机器学习电路,用于根据匹配结果确定所述数据报文的行为是否符合恶意软件的特征;
其中,所述预设数据表特征信息存储在现场可编程门阵列FPGA电路板上;
所述网卡功能电路、所述解析加速电路、所述特征匹配电路以及所述机器学习电路集成于所述FPGA电路板上;
所述网卡功能电路、所述解析加速电路、所述特征匹配电路以及所述机器学习电路之间通过数据总线相连。
2.根据权利要求1所述的防火墙系统,其特征在于,所述解析加速电路包括:
解析器,用于对数据报文进行解析;
分流器,用于对解析后的数据报文进行分流处理;
处理器,用于对分流处理后的数据报文进行解析,确定特征向量。
3.根据权利要求2所述的防火墙系统,其特征在于,所述特征匹配电路包括:
高带宽存储器HBM,用于在预设数据表特征信息中对解析后的数据报文进行特征匹配。
4.根据权利要求1-3中任一项所述的防火墙系统,其特征在于,还包括:安全处理电路,用于对符合恶意软件的特征行为的数据报文进行安全处理。
5.一种恶意软件探测方法,其特征在于,包括:
对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对所述解析后的数据报文进行分流处理;
对分流处理后的数据报文进行解析,确定特征向量;
根据所述特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
6.根据权利要求5所述的恶意软件探测方法,其特征在于,还包括:
将机器学习模型确定的结果,发送至状态机中;
收集所述状态机中的状态值,确定HBM流表的配置模块,并更新HBM流表。
7.根据权利要求6所述的恶意软件探测方法,其特征在于,所述对分流处理后的数据报文进行解析,确定特征向量,包括:
对分流处理后的数据报文进行解析,提取包头信息;
根据所述包头信息,确定特征向量。
8.一种恶意软件探测装置,其特征在于,包括:
解析模块,用于对接入的数据报文进行解析,在解析后的数据报文在HBM流表中匹配不到相应信息的情况下,对所述解析后的数据报文进行分流处理;
第一确定模块,用于对分流处理后的数据报文进行解析,确定特征向量;
第二确定模块,用于根据所述特征向量,通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求5至7中任一项所述恶意软件探测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5至7中任一项所述恶意软件探测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111223410.9A CN116015696A (zh) | 2021-10-20 | 2021-10-20 | 防火墙系统、恶意软件探测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111223410.9A CN116015696A (zh) | 2021-10-20 | 2021-10-20 | 防火墙系统、恶意软件探测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116015696A true CN116015696A (zh) | 2023-04-25 |
Family
ID=86032190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111223410.9A Pending CN116015696A (zh) | 2021-10-20 | 2021-10-20 | 防火墙系统、恶意软件探测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116015696A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116566682A (zh) * | 2023-05-16 | 2023-08-08 | 赛姆科技(广东)有限公司 | 一种分布式信息网络安全防护方法、系统及其可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106501695A (zh) * | 2017-01-06 | 2017-03-15 | 云南电网有限责任公司电力科学研究院 | 一种高压电缆局部放电信号采集处理系统及方法 |
CN109495517A (zh) * | 2019-01-10 | 2019-03-19 | 紫光股份有限公司 | 一种基于现场可编程门阵列的防火墙装置 |
CN109558366A (zh) * | 2018-11-15 | 2019-04-02 | 浙江国利网安科技有限公司 | 一种基于多处理器架构的防火墙 |
CN112861127A (zh) * | 2021-01-21 | 2021-05-28 | 卓望数码技术(深圳)有限公司 | 基于机器学习的恶意软件检测方法、装置、存储介质 |
CN113132331A (zh) * | 2019-12-31 | 2021-07-16 | 奇安信科技集团股份有限公司 | 异常报文检测方法、装置、电子设备和介质 |
CN113497798A (zh) * | 2020-04-08 | 2021-10-12 | 北京中科网威信息技术有限公司 | 一种用于防火墙的基于fpga的数据转发方法 |
-
2021
- 2021-10-20 CN CN202111223410.9A patent/CN116015696A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106501695A (zh) * | 2017-01-06 | 2017-03-15 | 云南电网有限责任公司电力科学研究院 | 一种高压电缆局部放电信号采集处理系统及方法 |
CN109558366A (zh) * | 2018-11-15 | 2019-04-02 | 浙江国利网安科技有限公司 | 一种基于多处理器架构的防火墙 |
CN109495517A (zh) * | 2019-01-10 | 2019-03-19 | 紫光股份有限公司 | 一种基于现场可编程门阵列的防火墙装置 |
CN113132331A (zh) * | 2019-12-31 | 2021-07-16 | 奇安信科技集团股份有限公司 | 异常报文检测方法、装置、电子设备和介质 |
CN113497798A (zh) * | 2020-04-08 | 2021-10-12 | 北京中科网威信息技术有限公司 | 一种用于防火墙的基于fpga的数据转发方法 |
CN112861127A (zh) * | 2021-01-21 | 2021-05-28 | 卓望数码技术(深圳)有限公司 | 基于机器学习的恶意软件检测方法、装置、存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116566682A (zh) * | 2023-05-16 | 2023-08-08 | 赛姆科技(广东)有限公司 | 一种分布式信息网络安全防护方法、系统及其可读存储介质 |
CN116566682B (zh) * | 2023-05-16 | 2023-12-08 | 赛姆科技(广东)有限公司 | 一种分布式信息网络安全防护方法、系统及其可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111181932B (zh) | Ddos攻击检测与防御方法、装置、终端设备及存储介质 | |
CN108737333B (zh) | 一种数据检测方法以及装置 | |
US20180115471A1 (en) | Network infrastructure device to implement pre-filter rules | |
CN101414939B (zh) | 一种基于动态深度包检测的互联网应用识别方法 | |
CN109314664B (zh) | 僵尸主控机发现设备和方法 | |
CN115398860A (zh) | 一种会话检测方法、装置、检测设备及计算机存储介质 | |
US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
CN106992965A (zh) | 一种基于网络行为的木马检测方法 | |
WO2024007615A1 (zh) | 模型训练方法、装置及相关设备 | |
CN115473841B (zh) | 网络路径的确定方法、装置及存储介质 | |
US11606258B2 (en) | Determining network topology based on packet traffic | |
CN104702564A (zh) | 一种网络共享用户识别方法及装置 | |
US20180278716A1 (en) | User data sharing method and device | |
CN116015696A (zh) | 防火墙系统、恶意软件探测方法及装置 | |
CN117354052B (zh) | 一种基于数据识别的网络入侵防护系统 | |
EP3637686B1 (en) | Method for acquiring standard configuration template of network device, and computation device | |
CN110417748A (zh) | 一种攻击检测方法及装置 | |
CN113453096A (zh) | 一种无源光网络pon口流量的预测方法及装置 | |
Niu et al. | Using XGBoost to discover infected hosts based on HTTP traffic | |
Li et al. | FusionTC: Encrypted App Traffic Classification Using Decision‐Level Multimodal Fusion Learning of Flow Sequence | |
CN110198294B (zh) | 安全攻击检测方法及装置 | |
CN103200193B (zh) | 网络设备中的会话创建方法及会话创建装置 | |
US10298606B2 (en) | Apparatus, system, and method for accelerating security inspections using inline pattern matching | |
CN115567436A (zh) | 组播报文的处理方法、系统、计算机设备和可读存储介质 | |
CN112364285B (zh) | 基于ueba建立异常侦测模型的方法、装置及相关产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |