CN116264520A - 使用数据处理单元的人工智能支持的网络遥测 - Google Patents
使用数据处理单元的人工智能支持的网络遥测 Download PDFInfo
- Publication number
- CN116264520A CN116264520A CN202211378767.9A CN202211378767A CN116264520A CN 116264520 A CN116264520 A CN 116264520A CN 202211378767 A CN202211378767 A CN 202211378767A CN 116264520 A CN116264520 A CN 116264520A
- Authority
- CN
- China
- Prior art keywords
- packet
- dpu
- network
- machine learning
- attacks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及使用数据处理单元的人工智能支持的网络遥测。设备从本地网络接收分组。所述分组可以被导向云计算资源。设备确定该分组与新的分组流相关联。响应于确定该分组与新的分组流相关联,该设备将来自新的分组流的一个或更多个分组提供给机器学习模型用于分组检查。该设备接收来自机器学习模型的输出,并基于从机器学习模型接收的输出来路由新的分组流。该输出指示新的分组流是否与网络攻击相关联。
Description
技术领域
本公开涉及数据处理单元(DPU)、网络接口卡(NIC)和适配器中的遥测,并且在一些示例中,利用人工智能(AI)技术来执行与性能和流量统计相关联的监控操作。
背景技术
有些系统可能支持与拒绝服务(DDOS)攻击相关联的入侵检测系统(IDS)技术。在某些情况下,这种技术可以包括检查与DDOS相关的传入数据流量。这种对数据流量的检查可以是资源密集型的。
发明内容
所述技术涉及支持AI支持的遥测的改进方法、系统、设备和装置。一般来说,所述技术提供了AI支持的遥测,其减轻分布式DDOS对网络的影响。
提供了一种方法,其包括:从本地网络接收分组。在某些方面,分组被导向云计算资源;确定分组与新的分组流相关联;响应于确定分组与新的分组流相关联,将来自新的分组流的一个或更多个分组提供给机器学习模型用于分组检查;接收机器学习模型的输出;以及基于从机器学习模型接收到的输出路由新的分组流。在某些方面,该输出指示新的分组流是否与网络攻击相关联。
提供一种机器可读介质,其上存储有数据,如果该数据由一个或更多个处理器执行,则使一个或更多个处理器:检查被导向云计算资源的分组;确定该分组是否是与网络攻击相关的分组流的一部分;以及通知DPU分组流与网络攻击无关,从而使DPU能够经由以全线速运行的卸载路径处理分组流中的额外分组。
提供了一种系统,其包括:位于云计算资源和本地网络基础设施之间的DPU。在某些方面,DPU被配置为从本地网络基础设施接收被导向云计算资源的分组。该系统包括机器学习模型,该模型配置为检查分组并确定分组是否是与网络攻击相关的分组流的一部分。在某些方面,机器学习模型进一步被配置为通知DPU分组流与网络攻击不相关联,从而使DPU能够经由绕过机器学习模型的卸载路径来处理分组流中的额外分组。
示例可以包括以下特征之一,或它们的任何组合。
在本文所描述的方法、系统和机器可读介质的一些示例中,机器学习模型由层7(L7)处理器执行。
在本文所描述的方法、系统和机器可读介质的一些示例中,L7处理器可以包括GPU、DPU和中央处理单元(CPU)中的至少一个。
在本文所描述的方法、系统和机器可读介质的一些示例中,该分组可以包括新的分组流中的第一分组。
在本文所描述的方法、系统和机器可读介质的一些示例中,一个或更多个分组被加密,其中所述机器学习模型执行分组检查而不解密所述一个或更多个分组。
本文所描述的方法、系统和机器可读介质的一些示例可包括向实现攻击检测规则集的过滤逻辑提供分组。在某些方面,攻击检测规则集被配置为确定分组与新的分组流相关联。
在本文所描述的方法、系统和机器可读介质的一些示例中,过滤逻辑在比机器学习模型更低的协议栈层实现。
在本文所描述的方法、系统和机器可读介质的一些例子中,过滤逻辑在数据链路层、网络层和传输层中的至少一个中执行。在某些方面,机器学习模型在应用层中执行。
在本文描述的方法、系统和机器可读介质的一些示例中,路由新的分组流可包括经由卸载路径将与新的分组流相关联的所有分组导到云计算资源。
在本文所描述的方法、系统和机器可读介质的一些示例中,卸载路径以全线速承载与新的分组流相关联的分组。
本文描述的方法、系统和机器可读介质的一些示例可包括评估分组的报头以确定与分组相关联的加密和/或解密需要。
在本文所描述的方法、系统和机器可读介质的一些示例中,在NIC上设置的DPU处接收分组。
在本文描述的方法、系统和机器可读介质的一些示例中,确定分组与新的分组流相关联可包括确定分组是从以前没有向云计算资源发送分组的租户接收的。
在本文所描述的方法、系统和机器可读介质的一些示例中,云计算资源在多个租户之间共享。在某些方面,网络攻击可以包括DDoS攻击、加密者攻击、破坏的访问控制、安全错误配置、注入、网络钓鱼攻击、恶意软件攻击、勒索软件攻击、跨站点脚本(XSS)攻击、敏感数据暴露、信息泄露、加密劫持、欺诈电子邮件传输、僵尸网络、恶意内部攻击和社交档案工程攻击中的至少一个。
在本文描述的系统的一些例子中,机器学习模型由在应用层操作的GPU执行。
在本文描述的系统的一些示例中,卸载路径以全线速承载与新的分组流相关联的额外分组。
在本文描述的系统的一些示例中,响应于确定分组是从以前没有向云计算资源发送分组的租户接收的,将分组提供给机器学习模型。
在本文所描述的系统的一些示例中,DPU在数据链路层、网络层和传输层中的一个或更多个处进行操作。在某些方面,机器学习模型在应用层中执行。
附图说明
图1示出了根据本公开的各个方面的使用DPU支持AI支持的网络遥测的系统的示例。
图2A到2C示出了根据本公开的各方面的使用DPU支持AI支持的网络遥测的系统的示例。
图3示出了根据本公开的各方面的使用DPU支持AI支持的网络遥测的系统的示例。
图4示出了根据本公开的各方面的使用DPU支持AI支持的网络遥测的过程流的示例。
具体实施方式
随后的描述提供了本公开的示例方面,并不旨在限制权利要求的范围、适用性或配置。相反,随后的描述将为本领域中的技术人员提供实现所描述的示例的实现描述。据了解,可以在不偏离所附权利要求的精神和范围的情况下,对元件的功能和布置作出各种改变。将参考是理想配置的示意图来描述本公开的各个方面。
一些组织(例如,企业)可能会经由数字基础设施提供数字服务(例如,基于云的应用程序、云服务等)。在某些情况下,相对中小型组织(如中小企业(SME))可能没有数字基础设施的所有权。在一些其他情况下,如果一个组织确实拥有这样的数字基础设施,那么该组织可能无法为其提供有效的安全保护。
例如,网络安全方面的不良规划、预算和/或部署可能会使组织和/或数字基础设施面临各种网络风险(例如,DDoS攻击、加密者攻击、破坏的访问控制、安全错误配置、注入、网络钓鱼攻击、恶意软件攻击、勒索软件攻击、XSS攻击、敏感数据泄露、信息泄露、加密劫持、欺诈电子邮件传输、僵尸网络、恶意内部攻击、社交档案工程攻击等)。因此,例如,提供更高的数字自由、安全、隐私和对此类网络风险的认识,可以减轻可能导致的潜在业务损失。在某些情况下,与大型企业相比,网络安全解决方案效率较低的小型组织(如SME)更有可能成为网络攻击的目标。
本公开的各个方面包括支持为各种系统(例如,公司系统)、网络和敏感信息提供网络安全解决方案的技术。本文所描述的技术可支持保护组织免受恶意在线活动的影响,例如,无论行业类型、组织规模和/或业务规模如何。在一些示例中,本文所描述的技术可以应用于可以分配给安全解决方案的资源有限的小型组织(例如,SME)。本公开的各个方面可以支持向这样的小型组织提供本文所描述的网络安全解决方案,以及适当的推荐服务。在某些方面,本文所描述的技术可支持在网络安全管理方面的专业知识水平有限的小型组织和/或供应商相对更容易采用和使用(与其他安全技术相比)。
本公开的各个方面括指定和实施用于通过联网基础设施(例如,小型办公室联网基础设施)来支持网络安全管理的服务的示例。描述了可在可编程的联网基础设施上部署的(例如,与一些其他网络安全技术相比,相对容易部署的)示例服务(例如,网络安全管理虚拟网络功能(VNF)、网络服务(NS)等)。服务(例如,VNF、NS等)的非限制性示例可包括网络/网防火墙、IDS、入侵预防系统(IPS)、安全信息和事件管理(SIEM)系统、蜜罐等。一些示例方面包括实现软件定义的联网(SDN)和网络功能虚拟化(NFV)技术,以设计和开发基于软件的流管理解决方案和网络服务,利用这些功能的不断发展的实现。
在某些情况下,本公开的各个方面支持在市场上加入此类解决方案,其中服务(例如,网络安全管理服务、VNF、NS等)的存储库可用于部署在办公室基础设施(例如,小型办公室联网基础设施)上。在某些方面,这些服务可包括边缘网络安全管理服务。
本公开的示例方面支持遥测技术,其除了支持设备性能分析和流量统计之外,还支持安全方面(例如,安全流量)、改进的用户体验和减少延迟。在某些情况下,本文所描述的技术可应用于电信(例如,第四代(4G)电信网络、第五代(5G)电信网络等)和IoT丰富的环境。在某些方面,本文所述的技术可以被纳入以向非企业SME提供对遥测系统的访问,这可确保与SME相关的数据和操作的保护。
例如,本公开的各个方面支持DPU中的遥测,其中DPU位于云基础设施和本地网络基础设施之间。DPU可以是独立的,或被包含在更大的架构中。在一些实施例中,DPU可以包括NIC(例如,智能NIC),被包括在NIC中,或包括NIC子系统。SME可以通过本地网络基础设施和DPU,向云基础设施中包括的云计算资源(在此处也称为服务提供者)提出服务请求。DPU(和/或NIC)中包括的机器学习模型(在这里也称为AI模型)可以分析(例如,被提供)服务请求,确定服务请求是否为网络攻击。在某些方面,机器学习模型可以在DPU的处理器(例如,GPU、CPU等)处实现。
因此,例如,机器学习模型可以被提供实时流量(例如,实时分组流),并且机器学习模型可以确定分组流中包含的任何分组是否与网络攻击(例如,DDoS攻击、加密者攻击等)相关联。在示例中,如果机器学习模型确定与新分组流相关联的分组与网络攻击相关联,则DPU可以经由卸载路径(在此也称为被卸载路径)将与新分组流相关联的所有分组路由(引导)到云计算资源。经由卸载路径,路由的分组可以以全线速(在这里也称为峰值比特率、连接速度、有用比特率、信息速率或数字带宽容量)承载到云计算资源。
本文描述的技术可支持对检测网络攻击(例如,DDoS攻击)的改进,例如减少传入分组(或传入分组流)与网络攻击混淆的实例数量。其他示例优势包括对网络攻击的平衡早期检测(例如,接近100%早期检测或100%早期检测)、提高服务可用性(例如,接近100%服务可用性或100%服务可用性),以及通过利用DPU改进的网络可扩展性(例如,接近100%可扩展性或100%可扩展性)。
云基础设施和本地网络基础设施的各个方面可以通过可编程的联网基础设施来实现,其包括遥测。在一些例子中,可编程的联网基础设施可以通过SDN和NFV技术来实现。在某些方面,可编程的联网基础设施可支持基于软件的流管理(例如,对与不同的分组流相关联的分组的管理)。
可编程联网基础设施的示例方面可以在网络安全管理VNF和NS的存储库可用的市场环境中实现。在一个示例中,与可编程联网基础设施相关联的用户网络可以支持将与现场用户相关联的服务连接到云计算资源(例如,服务提供者)的服务。
本文所描述的技术支持能够防止服务请求被误认为网络攻击(例如,DDoS攻击)和/或减少整体网络攻击量的入侵检测。因此,例如,本文所描述的技术可以减少与第三方的实际服务请求相关联的延迟量。在某些情况下,这些技术可以减少与处理和通信服务请求相关联的瓶颈的可能性。这些技术可支持建立入侵检测系统,该系统考虑到新的流正在不断地建立,它们的配置文件彼此不同,我们需要保持合理的网络可用性。
参考与使用DPU的AI支持的网络遥测相关的装置图、系统图和流程图进一步示出和描述了本公开的各个方面。
图1示出了根据本公开的各方面的使用DPU支持AI支持的网络遥测的系统100的示例。
在一个示例中,系统100可以包括用户网络105(在此也称为现场用户网络、本地网络、办公室基础设施等)和(一个或更多个)云基础设施160(例如,云基础设施160-a、云基础设施160-b等,此处也称为数字基础设施)。在一个示例中,云基础设施160-a可以被称为服务/应用程序云基础设施。在某些方面,经由用户网络105和云基础设施160,组织(例如,企业)可以向连接到用户网络105的用户提供数字服务(例如,基于云的应用程序、云服务等)。在某些方面,数字服务可包括网络安全管理服务、VNF、NS等,如本文所述。在某些方面,数字服务可以部署在用户网络105上。
用户网络105可以包括DPU 115和本地联网基础设施110。在一个示例中,DPU 115可以经由由本地联网基础设施110支持的通信信道111连接到本地联网基础设施110。在某些方面,DPU 115可以是独立的,或被包括在另一个设备中。例如,DPU 115可以是(或被包括在)NIC中。在某些方面,NIC可以是能够支持加速联网功能的智能NIC。智能NIC在这里也可以称为智能服务器适配器(ISA)。
在示例中,DPU 115可以通过网络数据路径处理来支持性能提升。在某些方面,DPU115可以是片上系统(SOC)设备,其结合高性能和软件可编程多核CPU、高性能网络接口(例如网络接口135)以及灵活和可编程加速引擎(例如半导体加速引擎125、加速引擎130等)。例如,DPU 115提供高性能网络接口,其能够以线速或网络速度解析、处理和有效地传输数据。
DPU 115可以包括遥测组件120、加速引擎(例如,半导体加速引擎(125)、加速引擎(130))、网络接口135、GPU 140、CPU 141、可编程处理核心145、PCI快速(PCIe)交换机150和存储器155。
遥测组件120可以支持DPU 115和多个数据源(例如,云计算资源165、设备170等)之间的自动化通信过程。遥测组件120可以支持对与监控安全性、应用程序健康、质量和性能相关联的设备(例如,云基础设施160、云计算资源165、设备170等)和数据的监控。在某些情况下,遥测组件120可以支持对网络基础设施、存储基础设施以及总体带宽容量和消耗的监控。在某些方面,遥测组件120可以支持云监控(例如,关于诸如云可用性、互联网延迟、中断等的度量)和路由决策(例如,关于在本地联网基础设施110、DPU 115、云基础设施160、云计算资源165、设备170等中的任何一个上和之间路由数据)。
加速引擎(例如,半导体加速引擎125、加速引擎130)可以包括硬件组件或电子电路,其被设计成与在CPU 141上执行的软件程序相比以相对较高的效率执行功能。
网络接口135可以支持DPU 115和设备170之间的分组的通信(例如,发送、接收)(例如,通过通信信道111和本地联网基础设施110)。在某些方面,网络接口135可以支持DPU115和云计算资源165之间的分组通信(例如,通过通信信道161和云基础设施160)。在某些方面,网络接口135可以是网络接口卡(NIC)。
GPU 140可以支持处理计算密集型的工作负载(例如,人工智能、深度学习、数据科学等)。例如,GPU 140可以支持本文描述的确定分组(或对应的分组流)是否与网络攻击相关联、确定用于检测网络攻击的攻击检测规则集等方面。另外,或者替代地,CPU 141(和/或可编程核心145)可以实现本文描述的关于确定分组(或对应的分组流)是否与网络攻击关联、确定用于检测网络攻击的攻击检测规则集等的方面。
尽管可编程核心145被描述为特定类型的可编程处理核心,例如可编程高级简化指令集计算机(RISC)机器(ARM)核心,但应该理解的是,任何合适类型的处理核心或处理核心的集合可以被包括在可编程核心145中。可编程核心145可包括相同类型或不同类型的多个可编程处理核心。此外,顾名思义,可编程处理核心可以被可配置为在不偏离本公开的范围的情况下执行不同的处理任务。
PCIe交换机150可以支持在DPU 115中包含的总线(例如,PCIe总线)之间的切换。PCIe交换机150可以支持基于分组的通信协议和分组路由(例如,基于存储器地址、I/O地址、设备ID等)。另外,或者替代地,DPU 115可以包括用于在DPU 115中包括的总线之间切换的其他交换机类型(例如,PCI交换机)。
存储器155可以包括DPU 115的本地存储器。在某些方面,存储器155可以存储DPU115本地的指令和/或数据。存储器155可以包括一个或更多个计算机存储器设备。存储器155可以包括例如随机存取存储器(RAM)设备、只读存储器(ROM)设备、闪存设备、磁盘存储介质、光存储介质、固态存储设备、核心存储器、缓冲存储器设备、它们的组合等等。在一些示例中,存储器155可以对应于计算机可读的存储介质。在某些方面,存储器155可以在DPU115的内部或外部。
DPU 115的组件,例如遥测组件120、加速引擎(例如半导体加速引擎125、加速引擎130)、网络接口135、GPU 140、CPU 141、可编程核心145、PCIe交换机150和存储器155,可以通过DPU 115的系统总线(未示出)互连。系统总线例如可以是PCIe总线、PCI总线等。在某些方面,系统总线可以包括或是任何高速系统总线。
云基础设施160(例如,云基础设施160-a、云基础设施160-b等)可以通过服务器和/或数据库的任何组合来实现(未示出)。例如,云基础设施160可以提供云计算服务(此处也称为数字服务),例如基础设施即服务(IaaS)、平台即服务(Paas)、软件即服务(Saas)、存储即服务(STaaS)、安全即服务(SECaaS)、数据即服务(Daas)、桌面即服务(Daas)、测试环境即服务(TEaaS)和的应用程序编程接口(API)即服务(APIaaS)。
在一个示例中,用户可以经由设备170(在这里也称为客户端设备)连接到用户网络105,以访问提供云计算服务的云计算资源165。例如,设备170可以经由用户网络105和云基础设施160从云计算资源165访问云计算服务。
DPU 115、(一个或更多个)云基础设施160、云计算资源165和设备170的各个方面可以通过能够连接到无线或有线网络的任何电子设备来实现。在某些情况下,系统100可以包括任意数量的设备(例如,DPU 115、云计算资源165、设备170等)和/或服务器(例如,实现一个或更多个云计算资源165),并且设备和/或服务器中的每个可以与相应的实体相关联。
例如,系统100可以支持云计算资源1605和设备170之间的分组的通信,例如,经由用户网络105(例如,使用本地联网基础设施110、通信信道111和DPU 115)、通信信道161和通信信道171。在一些示例方面中,关于提供被导向云计算资源165的分组,数据分组可以流经通信通道171、本地联网基础设施110、通信信道111、遥测组件120、加速引擎130、网络接口135、通信信道161和云基础设施160。
用户网络105(例如,本地联网基础设施110、通信信道111)、通信信道161和通信信道171可以通过能够促进实体之间的机器至机器通信的任何通信网络(例如,任意数量的DPU115、云计算资源165、设备170等)来实现。例如,通信网络可以包括任何类型的已知通信介质或通信介质的集合,并且可以使用任何类型的协议来在端点之间传输消息、信号和/或数据。在某些方面,通信网络可以包括有线通信技术、无线通信技术或它们的任何组合。在一些例子中,通信网络可以支持非安全的通信信道和安全的通信信道。
在一些例子中,通信信道111和通信信道161可以是安全的通信信道,而通信信道171可以是非安全的通信信道。另外,或者替代地,通信信道111、通信信道161和通信信道171可以包括安全的通信信道和非安全的通信信道的任何组合。
互联网是由系统100支持的网络(例如,实现本地联网基础设施110、通信信道111、通信信道161和通信信道171中的任何一个的方面的通信网络)的示例,并且网络可以构成由位于多个位置的多个计算机、计算网络和其他设备(例如、DPU 115、云计算资源165、设备170等)组成的互联网协议(IP)网络。由系统100支持的网络的其他示例可包括但不限于标准普通旧电话系统(POTS)、综合服务数字网络(ISDN)、公共交换电话网络(PSTN)、局域网(LAN)、广域网(WAN)、无线LAN(WLAN)、会话发起协议(SIP)网络、互联网协议语音(VoIP)网络、蜂窝网络以及本领域已知的任何其他类型的分组交换或电路交换网络。在某些情况下,系统100可以包括网络或网络类型的任何组合。在某些方面,网络可以包括通信介质的任何组合,例如同轴电缆、铜电缆/线、光纤电缆或用于通信数据(例如,发送/接收数据)的天线。
系统100可支持入侵检测。例如,系统100可以支持关于改变网络模式的高带宽流量分析。根据本公开的示例方面,DPU 115可以支持高速分组处理(例如,线路速率),包括层2(L2)直到层4(L4)报头解析和操纵。在某些方面,DPU 115可以基于该信息实现针对DDoS逻辑的过滤逻辑。例如,DPU 115可以实现用于确定网络攻击(例如,DDoS攻击、加密者攻击等)的过滤逻辑。
图2A到图2C示出了根据本公开的各方面的使用DPU来支持AI支持的网络遥测的系统200的示例。本文所描述的系统200的各个方面可以支持层报头解析和操纵、用于分组检查的过滤逻辑和用于分组检查的机器学习模型。
系统200可以包括参照图1所描述的系统100的各个方面。例如,图2A和图2B示出了本地网络基础设施210、DPU 215和云基础设施260。本地网络基础设施210、DPU 215和云基础设施260可以包括本文参考图1所描述的类似元素的各个方面。图2C示出了本文描述的可以由DPU 215实现的方面。
系统200可以支持在本地网络基础设施210和DPU 215之间经由通信路径211的数据交换。通信路径211可以包括参照图1所描述的通信信道111的各个方面。
系统200可以支持DPU 215和云基础设施260之间经由通信路径216和卸载路径217的数据交换。例如,系统200可以支持DPU 215和云计算资源(例如,参考图1描述的云计算资源165)之间经由通信路径216、卸载路径217和云基础设施260的数据交换。通信路径216和卸载路径217可以包括参照图1所描述的通信信道161的各个方面。
DPU 215(或包括DPU 215的NIC)可以支持通信协议栈的分层架构。例如,DPU 215可以支持包括层230的协议栈。
层230-a(例如L2)是支持在端系统(例如连接节点)之间使用的较低级别寻址结构的数据链路层。例如,层230-a(例如,L2)可以支持所连接节点之间的节点到节点数据传输,其中数据被打包成帧。层230-a(例如,L2)可以是协议栈的最低层。
层230-b(例如,层3(L3))是负责从层230-a(例如,L2)(数据链路层)接收帧,并基于帧内包含的地址将帧传送到预期目的地的网络层。
层230-c(例如,L4)是支持管理数据分组(例如,分组220、分组222等)的传递和错误检查的传输层。层230-c(例如,L4)可支持调节数据的大小、排序和传输。
层230-d(例如,层5(L5),稍后在图2B中示出)是一个会话层,它支持终端设备(例如,参照图1所述的设备170和云计算资源165)之间的会话或连接的建立、管理和终止。在某些方面,层230-d(例如,L5)可以支持会话层服务,如认证和重新连接。
层230-e(例如,层6(L6),稍后在图2B中示出)是一个表示层,它支持在数据格式之间的转换,例如,基于由在层230-f(例如,L7)实现的应用程序所接受的语法和/或语义。在某些方面,层230-e(例如,L6)可以执行数据加密和解密。
层230-f(例如,L7)是支持实现最终用户应用程序(例如,浏览器应用程序、电子邮件应用程序、办公应用程序等)的应用程序层。在某些情况下,层230-f(例如,L7)可以是协议栈的最上层。
机器学习引擎235和机器学习模型237可在层230-f(例如,L7)处实现。机器学习引擎235和机器学习模型237可以由在层230-f(例如,L7)处的处理器(例如,L7处理器)执行。在某些方面,处理器(例如,L7处理器)可以被包括在DPU 215中或与DPU 215分开(例如,独立的)。在某些方面,L7处理器可包括集成在DPU 215中的GPU(例如,参考图1描述的GPU140)或与DPU 215分开的GPU(例如,独立的GPU)。在一些其它示例中,L7处理器可以包括CPU(例如,参照图1描述的CPU 141)。
例如,DPU 215的处理器(例如,GPU 140、CPU 141等)可以利用存储在DPU 115的存储器(例如,参考图1描述的存储器155)中的数据作为神经网络。神经网络在此也可以被称为机器学习网络。该神经网络可包括机器学习架构。在某些方面,神经网络可以是或包括人工神经网络(ANN)。在一些其他方面,神经网络可以是或包括任何机器学习网络,例如,深度学习网络、卷积神经网络等。存储在存储器中的一些元素可以被描述为或被称为指令或指令集,并且DPU 215的一些功能可以使用机器学习技术来实现。
存储器(例如,存储器155)可以被配置为除了临时存储用于处理器(例如,GPU140、CPU 141等)的数据外,还存储指令集、神经网络和其他数据结构(例如,本文所述),以执行各种类型的例程或函数。例如,存储器可以被配置为存储可由处理器(例如,GPU 140、CPU 141等)执行的程序指令(指令集),并提供本文所描述的机器学习引擎235的功能。存储器还可以被配置为存储可用或能够被存储器中存储的指令调用的数据或信息。可以存储在存储器中供其组件使用的数据的一个例子是机器学习模型237(在这里也称为数据模型或神经网络模型)和/或训练数据238(在这里也称为训练数据和反馈)。
机器学习引擎235可以包括单个或更多个引擎。DPU 215(例如,使用机器学习引擎235)可以利用一个或更多个机器学习模型237来识别和处理从其他设备(例如,参考图1描述的设备170、服务器、数据库等)获得的信息。在某些方面,DPU 215(例如,机器学习引擎235)可以基于在训练数据238中包含的学习信息来更新一个或更多个机器学习模型237。在某些方面,机器学习引擎235和机器学习模型237可以支持基于训练数据238的前向学习。机器学习引擎235可以访问和使用一个或更多个机器学习模型237。
机器学习模型237可以由机器学习引擎235基于训练数据238来建立和更新。机器学习模型237可以以任意数量的格式或形式提供。机器学习模型237的非限制性例子包括决策树、支持向量机(SVM)、最近邻和/或贝叶斯分类器。在某些方面,机器学习模型237可包括预测模型,如自回归模型。机器学习模型237的其他例子方面,例如生成(例如,构建、训练)和应用机器学习模型237,参照这里的图描述进行描述。
在某些方面,训练数据238可以包括与检测分组(例如,本文描述的分组220)或分组流(例如,本文描述的分组流221或分组流223)是否与网络攻击相关联的模式(例如,数据模式、签名、网络攻击签名)和/或元数据的任何组合。这里稍后将描述训练数据238的附加示例方面。
参考图2A,系统200可以支持L2和L4对分组220(例如,分组220-a至分组220-n中的任何一个)的解析和操纵。在某些方面,系统200可以支持对分组220(例如,分组220-a、分组220-b等)是否被认为是网络攻击(例如,DDoS攻击、加密者攻击等)的一部分的确定。如果分组220被认为是网络攻击的一部分,则系统200可以建立数字滤波器。在一些示例中,数字滤波器可以首先建立在协议栈的较低层(例如,层230-a(例如,L2))中,然后建立在协议栈的较高层(例如,层230-c(例如,(L4))中。
在一个示例中,DPU 215可以从本地网络基础设施210接收分组220-a。例如,分组220-a可以是包括分组220-a至分组220-n的分组流221中的第一分组。在一个示例中,DPU215可以确定分组220-a被导向与云基础设施260相关联的云计算资源(例如,参照图1描述的云计算资源165)。在某些方面,确定可以是基于用分组220-a指示的地址。
DPU 215可以确定分组220-a是否与新的分组流相关联。例如,DPU215可以确定分组220-a与(例如,参考图1描述的设备170的)通信设备和与云基础设施260相关联的云计算资源之间的新连接相关联。在一个示例中,如果DPU 215确定分组220-a来自以前没有向云计算资源发送分组的租户,则DPU 215可以确定分组220-a与新的分组流相关联(例如,确定分组流221是新的分组流)。
在确定分组220-a是否与新的分组流相关联的例子中(例如,确定分组流221是新的分组流),DPU 215可以将分组220-a提供给过滤逻辑225。在某些方面,过滤逻辑225可以在DPU 215的加速引擎(例如,参考图1描述的加速引擎130)处实现。在某些情况下,过滤逻辑225可以由DPU 215内的可配置硬件机器实现,并且可配置硬件机器可以能够“引导”本文所描述的分组或分组流。在一个示例中,可配置硬件机器是支持执行这种过滤而不会丢失分组的全线速机器。
过滤逻辑225可以实现被配置为确定分组220-a是否与新的分组流相关联的规则集。在某些方面,过滤逻辑225可以包括用于检测网络攻击(例如,DDoS攻击)的攻击检测规则集。在一个示例中,用于确定分组220-a是否与分组流221相关联的规则集和/或用于检测网络攻击的攻击检测规则集可以包括预先配置的规则集。
过滤逻辑225可以在层230-a(例如L2)、层230-b(例如L3)和层230-c(例如L4)处实现。在另一示例中,过滤逻辑225可以在层230-a(例如L2)、层230-b(例如L3)和层230-c(例如L4)的任意组合处实现。因此,例如,当分组220(例如,分组220-a、分组220-b等)到达DPU215时,分组220可以穿过层230-a(例如,L2)至层230-c(例如,L4)。
在某些方面,层230-a(例如,L2)至层230-c(例如,L4)的任何组合可以包括被配置为确定分组220(例如,分组220-a)是否与新的分组流相关联的规则集和用于检测分组220是否与网络攻击(例如,DDoS攻击、加密者攻击等)相关联的攻击检测规则集。例如,被配置为确定分组220(例如,分组220-a)是否与新的分组流相关联的规则集可以在层230-a(例如,L2)至层230-c(例如,L4)中的任一个处实现。在另一个例子中,攻击检测规则集可以在层230-a(例如L2)至层230-c(例如L4)中的任何一个处实现。
DPU 215可以识别分组流221(例如,如果被识别为新的分组流)是否符合与层230-a到层230-c相关联的任何攻击检测规则集。例如,DPU 215可以将分组流221的模式(例如,数据模式、签名、网络攻击签名等)与攻击检测规则集中包括的分组流的模式进行比较。攻击检测规则集可以包括与非恶意分组流对应的模式(例如数据模式、签名)和与恶意分组流对应的模式(例如网络攻击、DDoS攻击等)。在某些方面,签名可包括DDoS签名、DDoS攻击签名、加密者攻击签名等。
在一个示例中,基于该比较,DPU 215可以确定分组流221的模式与和非恶意分组流相关联的模式相匹配。因此,例如,DPU 215可以经由卸载路径217将与分组流221相关联的所有分组220导到云计算资源(例如,以全线速将所有数据分组220发送到云计算资源)。卸载路径217可以支持硬件中的卸载(例如,在DPU 215处)。在某些方面中,卸载一个分组220(或多个分组220)可以在本文中被称为卸载模式。
在一些替代方面,DPU 215可以经由通信路径216将与分组流221相关联的一些分组220导到云计算资源,并且DPU 215可以经由卸载路径217将剩余的分组220导到云计算资源。例如,DPU 215可以经由通信路径216将分组220-a发送到云计算资源(例如,以小于全线速的速度将分组220-a发送到云计算资源),并且DPU 215可以经由卸载路径217将分组220-b至分组220-n导到云计算资源(例如,以全线速将分组220-b至分组220-n发送到云计算资源)。
在另一个示例中,基于该比较,DPU 215可以确定分组流221的模式与和恶意分组流(例如,网络攻击、DDoS攻击等)相关联的模式相匹配。因此,例如,DPU 215可以制止将与分组流221相关联的分组220(例如,制止发送数据分组220)完全导到云计算资源。
在某些情况下,基于比较,DPU 215可以确定分组流221的模式与攻击检测规则集中包括的任何分组流的模式不匹配。例如,DPU 215可以确定分组流221的模式与攻击检测规则集中包括的和非恶意分组流相关联的模式不匹配,并且DPU 115可以确定分组流221的模式与攻击检测规则集中包括的和恶意分组流(例如,网络攻击、DDoS攻击等)相关联的模式不匹配。也就是说,例如,DPU 215可以识别分组流221不符合与层230-a到层230-c相关联的任何攻击检测规则集。
因此,例如,DPU 215可以将分组220中的一个或更多个(例如,分组220-a到分组220-n中的任何一个或全部)转发到层230-f(例如,L7)以进行分组检查。例如,DPU 215可以将来自分组流221的一个或更多个分组220提供给机器学习模型237(在层230-f(例如,L7)处实现)用于分组检查。使用机器学习模型237,DPU 215(例如,机器学习引擎235)可以检查分组220(例如,分组220-a、分组220-b等)以确定分组流221(例如,确定为新的分组流)是否与网络攻击(例如,DDoS攻击、加密者攻击等)相关联。
DPU 215(例如,机器学习引擎235,使用机器学习模型237)可使用与检测网络攻击相关联的规则数据库来提供增强的基于L7的网络攻击(例如,DDoS攻击、加密者攻击等)检测。例如,使用规则数据库,DPU 215(例如,机器学习引擎235,使用机器学习模型240)可以识别分组流221是否与网络攻击相关联。在某些情况下,DPU 215(例如,机器学习引擎235)可以提取对应于分组流221的模式。
在某些方面,规则数据库可以包括与层230-f(例如,L7)对应的用于特征提取的应用层相关规则。例如,应用层相关规则可包括用于L7特征提取的规则。
在某些方面,所提取的模式可以包括指示分组流221是否是恶意(例如,与网络攻击相关联)的特征(例如,签名)。提取的模式可以包括,例如,分组流221是否是要为其提取关联属性的新分组流的指示。在一个示例中,所提取的模式可包括诸如源(例如,设备170等)、目的地(例如,云计算资源165等)、应用程序标识符等的特征。在DPU 215(例如,机器学习引擎235)确定分组流221是恶意或非恶意的情况下,本文提供了所提取模式的示例。
在第一个示例中,DPU 215(例如,机器学习引擎235)可以识别出分组流221与网络攻击(例如,DDoS攻击、加密者攻击等)相关联,并且DPU 215(例如,机器学习引擎235)可以提取对应于分组流221的模式。在某些方面,该模式可包括指示分组流221与网络攻击相关联的特征。例如,该模式可包括签名(例如,DDoS签名、DDoS攻击签名、加密者攻击签名等),其指示分组流221与网络攻击相关联。因此,例如,DPU 215(例如,机器学习引擎235)可以识别分组流221是否包括网络攻击签名(例如,DDoS签名、DDoS攻击签名、加密者攻击签名等)以确定分组流221是否为网络攻击。在图2B中示出了在层230-f(例如,L7)处识别网络攻击签名的机器学习引擎235的一个示例。
在第二个例子中,DPU 215(例如,机器学习引擎235)可以识别出分组流221与网络攻击(例如,DDoS攻击、加密者攻击等)不相关联,并且DPU 215(例如,机器学习引擎235)可以提取对应于分组流221的模式。在某些方面,该模式可以包括指示分组流221不与网络攻击相关联的特征。例如,该模式可以包括指示分组流221不与网络攻击相关联的签名。
DPU 215(例如,机器学习引擎235)可以将提取的模式(例如,签名)转发到层230-a(例如,L2)至层230-c(例如,L4)。在一个示例中,DPU 215可以将提取的模式(例如,签名)添加到现有过滤器和在过滤逻辑225实现的攻击检测规则集,从而更新(例如,增加)在过滤逻辑225实现的攻击检测规则集的总数。在图2B的反馈236(例如,反馈236-a、反馈236-b、反馈236-c)处示出了将提取的模式(例如,签名)转发到层230-a(例如,L2)至层230-c(例如,L4)的示例。
在某些方面,DPU 215(例如,机器学习引擎235)可以生成并向过滤逻辑225提供额外的过滤逻辑。例如,DPU 215(例如,机器学习引擎235)可以向层230-a(例如L2)到层230-c(例如,L4)中的任何一个提供额外的过滤逻辑。在某些情况下,过滤逻辑可包括提取的模式、提取的网络攻击签名和/或生成的攻击检测规则集,如由机器学习引擎235确定的用于阻止传入分组(例如,与网络攻击相关联的分组)。图2C示出了使用机器学习引擎235(例如在层230-f(例如L7))来生成和提供过滤逻辑给过滤逻辑225(例如层230-a(例如L2)至层230-c(例如L4)中的任何一个)的DPU 215的示例。
因此,如果DPU 215接收到与后续的新分组流(例如,不同于分组流221)相关联的分组,则DPU 215可以利用更新数量的攻击检测规则集来确定后续的新分组流的模式是否与和恶意分组流(例如与第一例的分组流221相对应的模式)或非恶意分组流(例如与第二例的分组流221相对应的模式)相关联的模式匹配。
在一个示例中,DPU 215可以从本地网络基础设施210接收后续的分组222-a。例如,分组222-a可以是包括分组222-a至分组222-n的分组流223的第一分组。在一个示例中,DPU 215可以确定分组222-a被导向云基础设施260的云计算资源。
DPU 215可以确定分组222-a是否与新的分组流相关联。在一个示例中,DPU 215可以确定分组流223是新的分组流。响应于确定分组流223是新的分组流,DPU 215可以将分组222-a提供给过滤逻辑225。
这里关于上面的第一示例描述了示例方面,其中分组流221已被识别为与网络攻击(例如,DDoS攻击、加密者攻击等)相关联。如果DPU 215确定分组流223的模式与和分组流221相关联的模式相匹配,那么DPU 215还可以认为分组流223是恶意的(例如,网络攻击)。例如,使用层230-a(例如,L2)至层230-c(例如,L4),DPU 215可以确定分组流223的模式与更新的攻击检测规则集中包含的分组流221的模式相匹配。也就是说,例如,DPU 215可以确定分组流223的特征(例如模式、网络攻击签名)与分组流221的特征(例如模式、网络攻击签名)相匹配。因此,例如,DPU 215可以制止将与分组流223相关联的分组222(例如,制止发送分组222)完全导到云计算资源。
这里描述了关于上述第二示例的替代方面,其中分组流221已被识别为不与网络攻击相关联。如果DPU 215确定分组流223的模式与和分组流221相关联的模式相匹配,则DPU 215可以认为分组流223是非恶意的。例如,使用层230-a(例如,L2)到层230-c(例如,L4),DPU 215可以确定分组流223的模式(例如,特征、签名)与更新的攻击检测规则集中包括的分组流221的模式(例如,特征签名)相匹配。因此,例如,DPU 215可以经由卸载路径217将与分组流223相关联的分组222(例如,分组222-a至分组222-2-n,或者分组222-b至分组222-n)导到云计算资源。
因此,例如,系统200可以使用数据路径231、数据路径232和通信路径216(如图2A中所示)来支持处理未知的分组流(例如,具有攻击检测规则集中不包括的对应模式的分组流)的分组。系统200可以使用数据路径231结合通信路径216和卸载路径217(如图2A所示)来支持处理已知的分组流(例如,具有攻击检测规则集中包含的对应模式的分组流)的分组。
参照图2B和图2C,本文描述了系统200的支持关于加密、解密和连接跟踪的分组检查的各个方面。
每个分组220(例如,分组220-a、分组220-b等)可包括报头。报头可以指示分组220的源和目的地的地址以及与路由分组220相关联的字段。
在一个示例中,分组220(例如,分组220-a)可以包括指示与分组220的传送相关联的协议的报头。例如,报头可以是指示与分组220的传送相关联的L3协议的L3报头。在另一个示例中,报头可以是指示与分组220的传送相关联的L4协议的L4报头。
在某些方面,分组220可以是加密的分组。在一些其他方面,分组220可以是未加密的分组。在某些方面,分组220的报头(例如,L3报头、L4报头等)可以包括与分组220相关联的加密和/或解密需要的指示。DPU215可以评估报头(例如,L3报头、L4报头),以确定与分组220相关联的加密和/或解密需要。报头评估的示例可包括评估5元组,包括源IP地址(例如在IP报头中)、目的地IP地址(例如在IP报头中)、源端口(“sport”)(例如在TCP报头中)、目的地端口(“dport”)(例如在TCP报头中)以及后续协议(例如通信协议、数据传输协议等)。下面参照作为加密分组的分组220描述示例方面。
在示例中,如果报头是L3报头,则DPU 215可以在层230-b(例如,L3)处理分组220的解密,如图2B和图2C在解密240所示。在另一个示例中,如果报头是L4报头,则DPU 215可以在层230-c(例如,L4)处理分组220的解密,如图2C在解密241所示。另外,或者替代地,DPU215可以在层230-b(例如,L3)和/或在层230-c(例如,L4)实现分组加密。
在某些方面,如果报头是L4报头,则DPU 215可以在层230-c(例如,L4)处实现连接跟踪卸载,如在图2B的连接跟踪245所示。连接跟踪是指维护内存表中关于连接的状态信息的能力,例如源和目的地IP地址和端口号对(称为套接字对)、协议类型、连接状态和超时。在示例中,连接跟踪卸载可包括跟踪连接和存储关于连接状态的信息。例如,在连接跟踪245处,DPU 215(或包括DPU 215的NIC)可以实现连接跟踪卸载,使得DPU 215经由图2A所示的卸载路径217将已建立连接的流量(例如分组220和分组流221)路由到云基础设施260的云计算资源。
系统200可以支持过程平衡。例如,DPU 215可以平衡在层230-c(例如,L4)处实现的L4处理(例如,连接跟踪、解密等)。在一个示例中,DPU 215可以将来自层230-c(例如,L4)的一定百分比或全部的网络流量导(例如,发送)到机器学习引擎235以进行处理。在某些方面,机器学习引擎235可以是在层230-f(例如L7)处实现的专用模式机器引擎,能够处理预定义的网络攻击签名(例如DDoS签名等)并检查传入的数据(例如,定向的网络流量)。例如,机器学习引擎235可以通过确定与任何传入数据对应的模式(例如,签名)是否匹配预定义的网络攻击签名(例如,DDoS签名等)来检测传入数据中包含的网络攻击。
在图2C中所示的250处,DPU 215(例如,机器学习引擎235)可以生成如本文所述的过滤逻辑(例如,用于阻止与网络攻击相关联的传入分组)。在255处,DPU 215(例如,机器学习引擎235)可以提供或移动生成的滤波逻辑到过滤逻辑225。在一个示例中,DPU 215可以将过滤逻辑提供或移动到层230-a(例如L2)至层230-c(例如L4)中的任何一个。过滤逻辑可以包括过滤逻辑225的示例方面和本文中描述的攻击检测规则集。
在一些替代和/或附加方面中,对于分组220是加密分组的示例,DPU215(例如,机器学习引擎235,使用机器学习模型240)可以在不解密分组220的情况下执行分组检查。例如,DPU 215可以从分组220提取元数据,而不解密分组220。在示例中,DPU 215(例如,机器学习引擎235)可以将所提取的元数据提供给机器学习模型240。DPU 215(例如,使用机器学习模型240)可以分析提取的元数据,以确定分组220(以及相关联的分组流221)是否与网络攻击(例如,DDoS攻击、加密者攻击等)相关联。
DPU 215可以从加密分组(例如,分组220)提取的元数据的例子包括:分组大小、会话(例如,参照图1描述的诸如设备170的终端设备和云计算资源165之间的会话)中的分组数和普通报头。在某些方面,元数据的部分(例如,分组大小、分组数量和普通报头等)未被加密。在一个示例中,在TLS加密流量中,媒体访问控制(MAC)报头、虚拟局域网(VLAN)报头、IP报头和TCP报头是纯文本的,可以由DPU 215提取。在某些方面,DPU 215可以将提取的元数据添加到训练数据238。在一个示例中,可以使用提取的元数据进一步训练机器学习模型240。
因此,如参照图2A到图2C所描述的,系统200可以支持层230之间的连续反馈和实现。例如,系统200可以支持层230-a(例如,L2)、层230-b(例如,L3)、层230-c(例如,L4)和层230-f(例如,L7))之间的连续反馈和实现。
一旦数据被检查并做出决定,DPU 215将能够将结果传送到业务逻辑应用程序进行进一步分析。在一个示例中,DPU 215的角色可以包括收集关于在给定会话的层230-f(例如,L7)中运行的应用程序的信息。例如,DPU 215可以实施检查操作,其包括确定在层230-f(例如,L7)中的应用程序是什么。基于DPU 215的信息收集和/或检查的完成或最终确定,DPU215可以将相关的结果(例如,与应用相关联的应用标识符)传送给安全软件,以运行和/或提供其遥测服务。在一个示例中,DPU 215可以使用参考图1所描述的遥测组件120来提供遥测服务。
与某些系统相比,本文所描述的系统200的各个方面可以支持减少的处理开销。例如,在某些入侵检测系统中,每个单独的分组都与网络攻击有关(例如,DDoS攻击、加密者攻击等)。然而,检查每个单独的分组可能是资源密集型的。此外,这种技术对于网络攻击(例如,DDoS攻击等)旨在规避逐个分组的方法的情况可能无效。
根据本文描述的本公开的示例方面,系统200(例如,DPU 215)可以检查新分组流的分组(例如,分组流221的分组220-a),同时经由卸载路径217以全线速处理同一分组流的所有其他分组(例如,分组220-b到分组220-n)。因此,例如,与一些其他入侵检测系统相比,系统200(例如,DPU 215)可以检查相对较小百分比的流量(例如,约10%的流量),这可以减少处理开销并提供改进的数据吞吐量。
图3示出了根据本公开的各个方面的使用DPU支持AI支持的网络遥测的系统的示例。系统300可以包括设备305。设备305可以实现参照图1和2所描述的DPU 115、云计算资源165、设备170或DPU 215的各个方面。在某些情况下,设备305可以被称为计算资源。设备305可以执行本公开中描述的任何或全部操作。
设备305可以包括发射器310、接收器315、通信接口320、控制器320、存储器325、处理器340和通信接口360。在一些示例中,设备305的组件(例如,发射器310、接收器315、控制器320、存储器325、处理器340、通信接口360等)可以通过设备305中包含的系统总线(例如,控制总线、地址总线、数据总线、PCI总线、PCIe总线等)进行通信。
发射器310和接收器315可以支持向设备305发送和从设备305接收信号。在某些方面,发射器310和接收器315可以支持设备305内的信号的发送和接收。发射器310和接收器315可以被统称为收发器。天线可以电耦合到收发器。设备305还可以包括(未示出)多个发射器310、多个接收器315、多个收发器和/或多个天线。
控制器320可以位于与发射器310和/或接收器315相同的芯片(例如,ASIC芯片)上。在某些情况下,控制器320可位于与发射器310和/或接收器315不同的芯片上。在一些示例中,控制器320可以位于另一个设备305的芯片上。控制器320可以指示发射器310使用一个或更多个算法来编码和/或解码数据。在一些示例中,控制器320可以是已编程的微处理器或微控制器。在某些方面,控制器320可以包括一个或更多个CPU、存储器和可编程I/O外围设备。
存储器325可以是能够存储电子信息的任何电子元件。存储器325可以是,例如RAM、ROM、磁盘存储介质、光存储介质、RAM中的闪存设备、处理器中包含的板载存储器、EPROM存储器、EEPROM存储器、寄存器等等,包括它们的组合。
存储器325可以包括存储在其上的指令330(计算机可读代码)和数据335。指令330可以由处理器340执行,以实现本文所公开的方法。在某些方面,指令330的执行可涉及数据350的一个或更多个部分。在一些示例中,当处理器340执行指令330时,指令330和/或数据335的各个部分可以被加载到处理器340上。
处理器340可以对应于一个或更多个计算机处理设备。例如,处理器340可以包括硅芯片,例如现场可编程门阵列(FPGA)、ASIC、任何其他类型的集成电路(IC)芯片、IC芯片的集合,等等。在某些方面,处理器可以包括微处理器、CPU(例如参照图1描述的CPU 141)、GPU(例如参照图1描述的GPU 140)或被配置为执行存储在相应存储器(例如设备305的存储器325)中的指令集的多个微处理器。例如,在执行存储在存储器325中的指令集时,处理器340可以启用或执行设备305的一个或更多个功能。在一些示例中,可以在设备305中实现诸如ARM(例如,参照图1描述的可编程核心145)和数字信号处理器(DSP)355的处理器340的组合。
通信接口360可以支持用户和设备305之间的交互(例如,经由物理或虚拟接口)。
图4示出了根据本公开的各方面的使用DPU支持AI支持的网络遥测的过程流400的示例。在一些示例中,过程流400可以实现参照图1到图3所描述的DPU 115、DPU 215或设备305的各个方面。
在对过程流400的以下描述中,操作可以以与所示顺序不同的顺序执行,或者操作可以以不同的顺序或在不同的时间执行。某些操作也可以被排除在处理流400之外,或者其它操作可以被添加到处理流400中。
需要理解的是,当DPU 115被描述为执行过程流400的若干操作时,任何设备(例如,DPU 115的GPU 140、DPU 115的CPU 141、另一个DPU、包括不同的DPU的NIC等)可以执行如图所示的操作。在某些方面,DPU115设置在NIC上。
在405处,DPU 115可以从本地网络接收分组。在某些方面,分组被导向云计算资源。在某些方面,云计算资源在多个租户之间共享。
在410,DPU 115可以评估分组的报头,以确定与分组相关联的加密和/或解密需要。
在415,DPU 115可以确定分组与新的分组流相关联。在某些方面,该分组可以包括新的分组流中的第一分组。在某些方面,确定分组与新的分组流相关联可包括确定分组是从以前没有向云计算资源发送分组的租户接收到的。
在一个示例中,在420处,DPU 115可以向实现攻击检测规则集的过滤逻辑提供分组。在某些方面,攻击检测规则集被配置为确定分组与新的分组流相关联。
在425,响应于确定分组与新的分组流相关联,DPU 115可以将来自新分组流的一个或更多个分组提供给机器学习模型用于分组检查。在某些方面,机器学习模型可以由L7处理器执行。在某些方面,L7处理器可以包括GPU、DPU 115和CPU中的至少一个。
在某些方面,过滤逻辑(例如,参考420描述)可以在比机器学习模型更低的协议栈的层实现。例如,过滤逻辑可以在数据链路层、网络层和传输层中的至少一个中执行。在一个示例中,机器学习模型可以在应用层中执行。
在某些方面,一个或更多个分组被加密。在某些方面(未示出),机器学习模型可以执行参照425描述的分组检查,而不解密一个或更多个分组。
在430处,DPU 115可以接收来自机器学习模型的输出。在某些方面,输出指示新的分组流是否与网络攻击相关联。在某些方面,网络攻击可包括DDoS攻击、加密者攻击、破坏的访问控制、安全错误配置、注入、网络钓鱼攻击、恶意软件攻击、勒索软件攻击、XSS攻击、敏感数据暴露、信息泄露、加密劫持、欺诈电子邮件传输、僵尸网络、恶意内部攻击和社交档案工程攻击中的至少一个。
在435处,DPU 115可以基于从机器学习模型接收到的输出来路由新的分组流。在某些方面,路由新的分组流可包括经由卸载路径将与新的分组流相关联的所有分组导到云计算资源。在示例中,卸载路径以全线速承载与新的分组流相关联的分组。
本文中讨论的任何步骤、功能和操作都可以连续地和自动地执行。
已经关于DPU 105、DPU 215和装置305的示例描述了本公开的示例性装置、系统和方法。然而,为了避免不必要地混淆本公开,前面的描述省略了一些已知的结构和设备。该省略不应被解释为对所要求公开的范围的限制。具体的细节被阐述以提供对本公开的理解。然而,应当理解的是,本公开可以以超出本文所述的具体细节的多种方式来实践。
从本文的描述和出于计算效率的原因,可以理解,本文描述的设备和系统的组件可以布置在组件的分布式网络中的任何适当位置,而不影响设备和/或系统的操作。
除非另有定义,否则本文中使用的所有术语(包括技术和科学术语)与本公开所属领域的普通技术人员通常理解的含义相同。应进一步理解,术语(如那些在常用词典中定义的术语)应被解释为具有与其在相关技术和本公开的上下文中的含义一致的含义。
虽然已经就特定的事件序列讨论和说明了流程图,但应该理解的是,可以在不实质性影响所公开的例子、配置和方面的操作的情况下发生对该序列的更改、添加和省略。
出于说明和描述的目的,已经提出了本公开的前述讨论。上述内容并不旨在将公开限制为此处公开的形式。例如,在前面的详细描述中,为了使公开流线化,在一个或更多个示例、配置或方面中,公开的各种特征被组合在一起。本公开的示例、配置或方面的特征可以组合在除上述讨论的那些以外的替代示例、配置或方面中。这种公开方法不应被解释为反映要求保护的公开需要比每个权利要求中明确列举的更多特征的意图。相反,正如以下权利要求所反映的,创造性方面不在于单个上述公开的例子、配置或方面的全部特征。因此,以下权利要求被并入入本详细描述中,每个权利要求作为公开的单独优选示例单独存在。
其他变型在本公开的精神内。因此,尽管所公开的技术易于进行各种修改和替代构造,但是某些示出的其示例在附图中示出并且已经在上面进行了详细描述。然而,应理解,无意将公开内容限制为所公开的一种或更多种特定形式,而是相反,意图是涵盖落入如所附权利要求所定义的本公开内容的精神和范围内的所有修改、替代构造和等同物。
除非本文另有说明或显然与上下文矛盾,否则在描述所公开的示例的上下文中(特别是在以下权利要求的上下文中)使用术语“一”和“一个”和“该”以及类似指称,应被解释为涵盖单数和复数二者,而不是作为术语的定义。除非另有说明,否则术语“包括”、“具有”、“包含”和“含有”应被解释为开放式术语(意味着“包括但不限于”)。“连接”在未经修改并指的是物理连接时,应被解释为部分或全部地包含在内、附接到或连接在一起,即使有某些介入物。除非本文另外指出,否则本文中对数值范围的引用仅旨在用作单独指代落入该范围内的每个单独值的简写方法,并且每个单独值都被并入说明书中,就如同其在本文中被单独叙述一样。在至少一个示例中,除非另外指出或与上下文矛盾,否则术语“集”(例如“项目集”)或“子集”的使用应被解释为包括一个或更多个成员的非空集合。此外,除非另外指出或与上下文矛盾,否则术语对应集的“子集”不一定表示对应集的适当子集,而是子集和对应集可以相等。
除非另外明确指出或与上下文明显矛盾,否则诸如“A,B和C中的至少一个”或“A,B与C中的至少一个”形式的短语之类的连接语,在上下文中以另外的方式理解为通常用来表示项目(item)、术语(term)等可以是A或B或C,或是A和B和C的集的任何非空子集。例如,在具有三个成员的集的说明性示例中,连接短语“A,B和C中的至少一个”和“A,B与C中的至少一个”是指以下集的任何一个:{A},{B},{C},{A,B},{A,C},{B,C},{A,B,C}。因此,这种连接语言通常不旨在暗示某些示例要求A中的至少一个、B中的至少一个和C中的至少一个各自存在。另外,除非另有说明或与上下文矛盾,否则术语“多个”指示为复数的状态(例如,“多个项目”指示多个项目)。在至少一个示例中,多个项目的数量至少为两个,但当明确地或通过上下文这样指示时可以更多。此外,除非另有说明或从上下文以其他方式明确,否则短语“基于”是指“至少部分地基于”而不是“仅基于”。
除非本文另有说明或与上下文明显矛盾,否则本文所述的过程的操作可以按任何适当的顺序进行。在至少一个示例中,诸如本文描述的那些过程(或其变化和/或组合)的过程是在配置有可执行指令的一个或更多个计算机系统的控制下执行的,并且被实现为通过硬件或其组合在一个或更多个处理器上集体执行的代码(例如,可执行指令、一个或更多个计算机程序或一个或更多个应用程序)。在至少一个示例中,代码被存储在计算机可读的存储介质上,例如,以包含由一个或更多个处理器执行的多个指令的计算机程序的形式。在至少一个示例中,计算机可读存储介质是不包括瞬态信号(例如,传播瞬态电或电磁传输)但包括在瞬态信号的收发器内的非瞬态数据存储电路(例如,缓冲器、缓存和队列)的非暂时计算机可读存储介质。在至少一个示例中,代码(例如,可执行代码或源代码)存储在其上存储有可执行指令的一组一个或更多个非暂时性计算机可读存储介质(或存储可执行指令的其他存储器)上,当可执行指令由计算机系统的一个或更多个处理器执行(即,作为被执行的结果)时,使计算机系统执行本文所述的操作。在至少一个示例中,一组非暂时性计算机可读存储介质包括多个非暂时性计算机可读存储介质,并且多个非暂时性计算机可读存储介质中的一个或更多个单独的非暂时性存储介质缺少所有代码,而多个非暂时性计算机可读存储介质共同存储所有代码。在至少一个示例中,可执行指令被执行使得不同的指令由不同的处理器执行——例如,非暂时性计算机可读存储介质存储指令并且主中央处理单元(“CPU”)执行一些指令,同时图形处理单元(“GPU”)执行其他指令。在至少一个示例中,计算机系统的不同组件具有单独的处理器并且不同的处理器执行不同的指令子集。
因此,在至少一个示例中,计算机系统被配置为实现单独地或共同地执行本文所述的过程的操作的一个或更多个服务,并且这样的计算机系统被配置有能够执行操作的适用的硬件和/或软件。此外,实现本公开的至少一个示例的计算机系统是单个设备,并且在另一示例中是分布式计算机系统,其包括不同地操作的多个设备,使得分布式计算机系统执行本文所述的操作,并且使得单个设备不执行所有操作。
本文提供的任何和所有示例或示例性语言(例如,“诸如”)的使用仅旨在更好地阐明本公开的示例,并且不对公开的范围施加限制,除非另有要求。说明书中的任何语言都不应被解释为指示任何未要求保护的要素对于实践公开内容是必不可少的。
本文引用的所有参考文献,包括出版物、专利申请和专利,均通过引用并入本文,其程度就如同每个参考文献被单独且具体地指示为通过引用并入本文并且其全部内容在本文中阐述一样。
在说明书和权利要求中,可以使用术语“耦合”和“连接”以及它们的派生词。应当理解,这些术语可能不旨在作为彼此的同义词。相反,在特定示例中,“连接”或“耦合”可用于指示两个或更多个元素彼此直接或间接物理或电接触。“耦合”也可意味着两个或更多个元素彼此不直接接触,但仍彼此协作或交互。
除非另有明确说明,否则可以理解,在整个说明书中,诸如“处理”、“计算”、“运算”、“确定”等之类的术语,是指计算机或计算系统或类似的电子计算设备的动作和/或过程,其将计算系统的寄存器和/或存储器中的被表示为物理量(例如电子量)的数据操纵和/或转换为类似地被表示为计算系统的存储器、寄存器或其他此类信息存储、传输或显示设备中的物理量的其他数据。
以类似的方式,术语“处理器”可以指处理来自寄存器和/或存储器的电子数据并将该电子数据转换成可以存储在寄存器和/或存储器中的其他电子数据的任何设备或设备的一部分。作为非限制性示例,“处理器”可以是CPU或GPU。“计算平台”可以包括一个或更多个处理器。如本文所使用的,“软件”进程可以包括例如随时间执行工作的软件和/或硬件实体,诸如任务、线程和智能代理。同样,每个进程可以指代多个进程,以顺序地或并行地、连续地或间歇地执行指令。在至少一个示例中,术语“系统”和“方法”在本文中可以互换使用,只要系统可以体现一种或更多种方法,并且方法可以被认为是系统。
在本文档中,可以参考获得、获取、接收或将模拟或数字数据输入到子系统、计算机系统或计算机实现的机器中。在至少一个实施例中,可以通过各种方式来完成获得、获取、接收或输入模拟和数字数据的过程,诸如通过接收作为函数调用或对应用程序编程接口的调用的参数的数据。在至少一个实施例中,可以通过经由串行或并行接口传输数据来完成获得、获取、接收或输入模拟或数字数据的过程。在至少一个示例中,可以通过经由计算机网络将数据从提供实体传输到获取实体来完成获得、获取、接收或输入模拟或数字数据的过程。在至少一个示例中,也可以参考提供、输出、传送、发送或呈现模拟或数字数据。在各种示例中,提供、输出、传送、发送或呈现模拟或数字数据的过程可以通过将数据作为函数调用的输入或输出参数、应用程序编程接口或进程间通信机制的参数进行传输来实现。
虽然本文的描述阐述了所描述的技术的示例实现,但是其他架构可以用于实现所描述的功能,并且旨在落入本公开的范围内。此外,尽管出于描述的目的在上面定义了具体的职责分配,但是根据情况,可以以不同的方式分配和划分各种功能和职责。
此外,尽管已经用特定于结构特征和/或方法动作的语言描述了主题,但是应当理解,所附权利要求所要求保护的主题不必限于所描述的特定特征或动作。而是,公开了特定的特征和动作作为实现权利要求的示例性形式。
Claims (21)
1.一种方法,包括:
从本地网络接收分组,其中所述分组被导向云计算资源;
确定所述分组与新的分组流相关联;
响应于确定所述分组与所述新的分组流相关联,将来自所述新的分组流的一个或更多个分组提供给机器学习模型用于分组检查;
接收来自所述机器学习模型的输出,其中所述输出指示所述新的分组流是否与网络攻击相关联;以及
基于从所述机器学习模型接收的输出来路由所述新的分组流。
2.如权利要求1所述的方法,其中所述机器学习模型由层7L7处理器执行。
3.如权利要求2所述的方法,其中所述L7处理器包括图形处理单元GPU、数据处理单元DPU和中央处理单元CPU中的至少一个。
4.如权利要求1所述的方法,其中所述分组包括所述新的分组流中的第一分组。
5.如权利要求1所述的方法,其中所述一个或更多个分组被加密,并且其中所述机器学习模型执行分组检查而不解密所述一个或更多个分组。
6.如权利要求1所述的方法,进一步包括:
将所述分组提供给实现攻击检测规则集的过滤逻辑,其中所述攻击检测规则集被配置为确定所述分组与所述新的分组流相关联。
7.如权利要求6所述的方法,其中所述过滤逻辑在比所述机器学习模型更低的协议栈的层处实现。
8.如权利要求7所述的方法,其中所述过滤逻辑在数据链路层、网络层和传输层中的至少一个中执行,并且其中所述机器学习模型在应用层中执行。
9.如权利要求1所述的方法,其中路由所述新的分组流包括经由卸载路径将与所述新的分组流相关联的所有分组导到所述云计算资源。
10.如权利要求9所述的方法,其中所述卸载路径以全线速承载与所述新的分组流相关联的分组。
11.如权利要求1所述的方法,进一步包括:
评估所述分组的报头以确定与所述分组相关联的加密和/或解密需要。
12.如权利要求1所述的方法,其中所述分组在网络接口卡NIC上设置的数据处理单元DPU处被接收。
13.如权利要求1所述的方法,其中确定所述分组与所述新的分组流相关联包括:确定所述分组是从以前没有向所述云计算资源发送分组的租户接收的。
14.如权利要求1所述的方法,其中所述云计算资源在多个租户之间共享,并且其中所述网络攻击包括分布式拒绝服务DDoS攻击、加密者攻击、破坏的访问控制、安全错误配置、注入、网络钓鱼攻击、恶意软件攻击、勒索软件攻击、跨站点脚本XSS攻击、敏感数据暴露、信息泄露、加密劫持、欺诈电子邮件传输、僵尸网络、恶意内部攻击和社会档案工程攻击中的至少一个。
15.一种系统,包括:
位于云计算资源和本地网络基础设施之间的数据处理单元DPU,其中,所述DPU被配置为接收来自所述本地网络基础设施的被导向所述云计算资源的分组;以及
机器学习模型,其配置为检查所述分组并确定所述分组是否是与网络攻击相关联的分组流的一部分,其中所述机器学习模型进一步被配置为通知所述DPU所述分组流不与所述网络攻击相关联,从而使所述DPU能够经由绕过所述机器学习模型的卸载路径来处理所述分组流中的额外分组。
16.如权利要求15所述的系统,其中所述机器学习模型由在应用层操作的图形处理单元GPU执行。
17.如权利要求15所述的系统,其中所述卸载路径以全线速承载与所述新的分组流相关联的额外分组。
18.如权利要求15所述的系统,其中响应于确定所述分组是从以前没有向云计算资源发送分组的租户接收的,所述分组被提供给所述机器学习模型。
19.如权利要求18所述的系统,其中所述云计算资源在多个租户之间共享,并且其中网络攻击包括分布式拒绝服务DDoS攻击、加密者攻击、破坏的访问控制、安全错误配置、注入、网络钓鱼攻击、恶意软件攻击、勒索软件攻击、跨站点脚本XSS攻击、敏感数据暴露、信息泄露、加密劫持、欺诈电子邮件传输、僵尸网络、恶意内部攻击和社会档案工程攻击中的至少一个。
20.如权利要求15所述的系统,其中所述DPU在数据链路层、网络层和传输层中的一个或更多个处操作,并且其中所述机器学习模型在应用层中执行。
21.一种机器可读介质,其上存储有数据,如果所述数据由一个或更多个处理器执行,则使所述一个或更多个处理器:
检查被导向云计算资源的分组;
确定所述分组是否是与网络攻击相关联的分组流的一部分;以及
通知数据处理单元DPU所述分组流与所述网络攻击不相关联,从而使所述DPU能够经由以全线速运行的卸载路径来处理所述分组流中的额外分组。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/550,867 | 2021-12-14 | ||
US17/550,867 US20230188561A1 (en) | 2021-12-14 | 2021-12-14 | Ai-supported network telemetry using data processing unit |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116264520A true CN116264520A (zh) | 2023-06-16 |
Family
ID=84487502
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211378767.9A Pending CN116264520A (zh) | 2021-12-14 | 2022-11-04 | 使用数据处理单元的人工智能支持的网络遥测 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230188561A1 (zh) |
EP (1) | EP4199427A1 (zh) |
CN (1) | CN116264520A (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116723058B (zh) * | 2023-08-10 | 2023-12-01 | 井芯微电子技术(天津)有限公司 | 网络攻击检测和防护方法和装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170279685A1 (en) * | 2016-03-25 | 2017-09-28 | Cisco Technology, Inc. | Adjusting anomaly detection operations based on network resources |
US10931696B2 (en) * | 2018-07-13 | 2021-02-23 | Ribbon Communications Operating Company, Inc. | Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies |
US10264003B1 (en) * | 2018-02-07 | 2019-04-16 | Extrahop Networks, Inc. | Adaptive network monitoring with tuneable elastic granularity |
US11683343B2 (en) * | 2018-10-26 | 2023-06-20 | Netography, Inc. | Distributed network and security operations platform |
-
2021
- 2021-12-14 US US17/550,867 patent/US20230188561A1/en active Pending
-
2022
- 2022-11-04 CN CN202211378767.9A patent/CN116264520A/zh active Pending
- 2022-12-09 EP EP22212419.0A patent/EP4199427A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4199427A1 (en) | 2023-06-21 |
US20230188561A1 (en) | 2023-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11843605B2 (en) | Methods and systems for data traffic based adaptive security | |
US10348740B2 (en) | Systems and methods for threat analysis of computer data | |
US10623309B1 (en) | Rule processing of packets | |
Deri et al. | ndpi: Open-source high-speed deep packet inspection | |
US8782787B2 (en) | Distributed packet flow inspection and processing | |
US9544273B2 (en) | Network traffic processing system | |
US9356844B2 (en) | Efficient application recognition in network traffic | |
US10476629B2 (en) | Performing upper layer inspection of a flow based on a sampling rate | |
Tsikoudis et al. | LEoNIDS: A low-latency and energy-efficient network-level intrusion detection system | |
Csikor et al. | Tuple space explosion: A denial-of-service attack against a software packet classifier | |
EP4199427A1 (en) | Ai-supported network telemetry using data processing unit | |
EP2321934B1 (en) | System and device for distributed packet flow inspection and processing | |
CN106790310B (zh) | 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统 | |
Cho et al. | A sophisticated packet forwarding scheme with deep packet inspection in an openflow switch | |
Yi et al. | FlowShader: A generalized framework for GPU-accelerated VNF flow processing | |
Wang et al. | Tualatin: Towards network security service provision in cloud datacenters | |
US11218394B1 (en) | Dynamic modifications to directional capacity of networking device interfaces | |
CN106549815B (zh) | 用于网络中实时深度应用识别的设备和方法 | |
US11677668B1 (en) | Transparent application-layer/os deeper packet inspector | |
US11876691B2 (en) | End-to-end RDMA telemetry system | |
Cuong et al. | Hpofs: a high performance and secured openflow switch architecture for fpga. | |
Ajayan et al. | Hiper-ping: Data plane based high performance packet generation bypassing kernel on× 86 based commodity systems | |
Ros-Giralt et al. | Overcoming performance collapse for 100gbps cyber security | |
Bindhumadhava et al. | High-Speed TCP Session Tracking Using Multiprocessor Environments | |
Nurika | Genetic Algorithm Optimized Packet Filtering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |