CN116723058A - 网络攻击检测和防护方法和装置 - Google Patents
网络攻击检测和防护方法和装置 Download PDFInfo
- Publication number
- CN116723058A CN116723058A CN202311000572.5A CN202311000572A CN116723058A CN 116723058 A CN116723058 A CN 116723058A CN 202311000572 A CN202311000572 A CN 202311000572A CN 116723058 A CN116723058 A CN 116723058A
- Authority
- CN
- China
- Prior art keywords
- data
- traffic
- malicious
- cpu
- malicious traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000001514 detection method Methods 0.000 title claims abstract description 21
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims abstract description 15
- 239000000284 extract Substances 0.000 claims abstract description 9
- 238000013527 convolutional neural network Methods 0.000 claims description 50
- 238000012546 transfer Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 8
- 238000003860 storage Methods 0.000 description 7
- 238000012549 training Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 5
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013139 quantization Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本公开提供一种网络攻击检测和防护方法和装置。该方法应用于智能网卡设备,智能网卡设备包括中央处理器CPU、人工智能AI引擎和交换模块,方法包括:CPU响应于接收到流量数据,提取流量数据的特征数据,并将提取的特征数据输入到AI引擎;AI引擎利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果;CPU获取识别结果,根据识别结果判断流量数据是否为恶意流量;响应于CPU判断流量数据为恶意流量,交换模块将流量数据丢弃。上述实施方式实现了从流量数据的源头对恶意流量进行检测和防护,提高了云服务的安全性和可靠性,降低了云服务商的成本。
Description
技术领域
本公开的实施例涉及网络安全领域,具体涉及一种网络攻击检测和防护方法和装置。
背景技术
随着信息技术的迅猛发展,网络规模和用户数量成指数级爆发,由此伴随而来的网络安全问题越来越严重,也成为网络云服务商必须面临并且解决的问题。
传统的,针对网络攻击的防护方法主要通过操作系统和交换机硬件实现。然而,利用操作系统的防护软件实现网络攻击防护的方法会使操作系统的性能下降,后期需要通过提升硬件性能来弥补操作系统性能的下降,这会导致云服务商的成本增加,而利用交换机硬件实现网络攻击防护的方法受限于交换机硬件的处理能力,云服务商必须通过提升交换机硬件的处理能力才能灵活处理各种网络攻击,这也会导致云服务商的成本增加。
因此,有必要提出一种新的网络攻击检测和防护方法,以解决上述至少一个技术问题。
发明内容
本公开的实施例提出了一种网络攻击检测和防护方法和装置。
第一方面,本公开提供了一种网络攻击检测和防护方法,应用于智能网卡设备,智能网卡设备包括中央处理器CPU、人工智能AI引擎和交换模块,包括:
CPU响应于接收到流量数据,提取流量数据的特征数据,并将提取的特征数据输入到AI引擎;
AI引擎利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果;
CPU获取识别结果,根据识别结果判断流量数据是否为恶意流量;
响应于CPU判断流量数据为恶意流量,交换模块将流量数据丢弃。
在一些可选的实施方式中,CPU响应于接收到流量数据之前,还包括:
CPU运行驱动程序,将恶意流量识别深度模型配置到AI引擎;
AI引擎加载恶意流量识别深度模型,并在加载成功后,向CPU上报表示加载成功的中断信号。
在一些可选的实施方式中,提取流量数据的特征数据,包括:
CPU运行特征数据提取软件,通过特征数据提取软件提取流量数据的特征数据。
在一些可选的实施方式中,恶意流量识别深度模型包括二分类卷积神经网络模型和八分类卷积神经网络模型,对特征数据进行识别,生成识别结果,包括:
通过二分类卷积神经网络模型对数据特征进行识别,生成包括流量数据是否为恶意流量的识别结果;
并且,在识别流量数据是恶意流量的情况下,通过八分类卷积神经网络模型确定恶意流量的攻击类型。
在一些可选的实施方式中,通过八分类卷积神经网络模型确定恶意流量为各个攻击类型的概率;
根据恶意流量为各个攻击类型的概率确定恶意流量的攻击类型。
在一些可选的实施方式中,根据恶意流量为各个攻击类型的概率确定恶意流量的攻击类型,包括:
将概率最高的攻击类型确定为恶意流量的攻击类型。
在一些可选的实施方式中,响应于CPU判断流量数据为恶意流量,交换模块将流量数据丢弃,包括:
响应于CPU判断流量数据为恶意流量,记录恶意流量的IP地址;
根据IP地址生成流表,将流表发送至交换模块;
交换模块根据流表将流量数据丢弃。
在一些可选的实施方式中,还包括:
响应于CPU判断流量数据不是恶意流量,交换模块将流量数据发送给主机。
在一些可选的实施方式中,攻击类型包括以下至少一种攻击类型:暴力破解攻击、分布式拒绝攻击、拒绝服务攻击、端口扫描攻击、文件传输协议-帕塔托攻击、安全外壳协议-帕塔托攻击、机器人攻击以及勒索软件攻击。
第二方面,本公开提供了一种智能网卡设备,其特征在于,所述智能网卡设备包括中央处理器CPU、人工智能AI引擎和交换模块,其中,
CPU,被配置成响应于接收到流量数据,提取流量数据的特征数据,并将提取的特征数据输入到AI引擎;
AI引擎,被配置成利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果;
CPU,进一步被配置成获取识别结果,根据识别结果判断流量数据是否为恶意流量;
交换模块,被配置成响应于CPU判断流量数据为恶意流量,将流量数据丢弃。
本公开的实施例提供的网络攻击检测和防护方法和装置,应用于智能网卡设备,智能网卡设备包括中央处理器CPU、人工智能AI引擎和交换模块,CPU响应于接收到流量数据,提取流量数据的特征数据,并将提取的特征数据输入到AI引擎,AI引擎利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果。CPU获取识别结果,根据识别结果判断流量数据是否为恶意流量,响应于CPU判断流量数据为恶意流量,交换模块将流量数据丢弃。本申请通过智能网卡的CPU提取流量数据的特征数据,AI引擎识别特征数据,CPU判断流量数据是否为恶意数据,交换模块对恶意数据进行丢弃,由于不需要依靠操作系统,可以保证操作系统的性能;由于不需要依赖交换机硬件,可以灵活的实现对各种网络攻击的防护;并且,实现了直接从流量数据的源头(智能网卡)对恶意流量进行检测和防护,从而使得整体的云环境更加难以攻击,提高了云服务的安全性和可靠性,降低了云服务商的成本。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显。附图仅用于示出具体实施方式的目的,而并不认为是对本发明的限制。在附图中:
图1是根据本公开的网络攻击检测和防护系统的一个实施例的系统架构图;
图2是根据本公开的网络攻击检测和防护方法的一个实施例的流程图;
图3是根据本公开的一种智能网卡设备示意图;
图4是根据本公开的一种AI引擎的框架示意图;
图5根据本公开的一种恶意流量识别深度模型的训练和量化过程流程图;
图6是根据本公开的一种网络攻击检测和防护装置结构示意图;
图7是根据本公开的一种恶意流量识别装置结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的网络攻击检测和防护方法和装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括智能网卡设备101和主机102,智能网卡设备101和主机102之间通过有线或者无线方式连接,以实现数据的交互。在一些情况下,本公开所提供的网络攻击检测和防护方法可以由智能网卡设备101执行,例如,“提取流量数据的特征数据”。本公开对此不做限定。
进一步的,系统架构100还可以包括服务器103和网络104,服务器103可以是提供各种服务的服务器,例如服务器103可以实现恶意流量识别深度模型的训练平台和量化平台,用以对恶意流量识别深度模型进行训练和量化。网络104用以在智能网卡设备101和服务器103之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
需要说明的是,服务器103可以是硬件,也可以是软件。当服务器103为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器103为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的智能网卡设备、主机、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的智能网卡设备、主机、网络和服务器。
继续参考图2,图2示出了根据本公开的网络攻击检测和防护方法的一个实施例的流程图200,图2所示的网络攻击检测和防护方法可应用于图1中所示的智能网卡设备。该流程200包括以下步骤:
步骤201,CPU响应于接收到流量数据,提取流量数据的特征数据,并将提取的特征数据输入到AI引擎。
在本实施例中,网络攻击检测和防护方法应用于智能网卡设备,智能网卡设备是一种允许网络连接的计算机硬件设备。
智能网卡设备包括中央处理器CPU、人工智能AI引擎和交换模块。如图3所示,为本公开的一种智能网卡设备示意图。
其中,CPU用于解释计算机指令以及处理计算机软件中的数据。示例性的,智能网卡设备中的CPU可以为一颗mips(单字长定点指令平均执行速度)架构的8核、主频800M的嵌入式CPU。
AI引擎利用恶意流量识别深度模型对特征数据进行识别。如图4所示,为本公开的一种AI引擎的框架示意图。
AI引擎由四个AIECore(AI引擎核)和一个MCU(微控制单元)组成,MCU负责和智能网卡设备的CPU之间进行通信,通过DDR(双倍速率同步动态随机存储器)来进行数据的交互。其中,AIECore时钟频率500MHz,AHB(高速总线)时钟频率200MHz,MCU时钟频率333 MHz。
交换模块用于将恶意流量进行丢弃以及将正常流量发送给主机。
构建和运行应用用于将恶意流量识别深度模型加载到AI引擎,以及将AI引擎输出的识别结果数据上报给CPU。
以太网接口是网络数据连接的端口,用于流量数据进入智能网卡设备。高速串行计算机扩展总线接口用于连接主机,当检测流量数据为正常数据时,通过高速串行计算机扩展总线接口将流量数据发送给主机。
特征数据提取软件用于提取流量数据的特征数据。
在本实施例中,流量数据为请求进入智能网卡设备的数据,CPU响应于接收到流量数据,提取流量数据的特征数据,特征数据为代表流表数据突出性质的数据,例如,提取区分正常流量数据和恶意流量数据具有明显作用的数据作为特征数据。在提取特征数据之后,将提取的特征数据输入到AI引擎。
在一些可选的实施方式中,提取流量数据的特征数据可以是在CPU上运行特征数据提取软件,通过特征数据提取软件提取流量数据的特征数据。
示例性的,流量数据通过以太网接口进入智能网卡设备,智能网卡设备的CPU接收到流量数据,然后在CPU上运行的特征数据提取软件提取流量数据的特征数据。
具体地,在特征数据提取软件中配置流量数据的首地址及长度,以及特征数据的首地址及长度,然后进行计算获得特征数据。
步骤202,AI引擎利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果。
在本实施例中,CPU运行驱动程序,将恶意流量识别深度模型配置到AI引擎,AI引擎加载恶意流量识别深度模型,并在加载成功后,向CPU上报表示加载成功的中断信号。
示例性的,可以通过AI引擎获取恶意流量识别深度模型及其权重,将恶意流量识别深度模型配置到指定的DDR中完成对恶意流量识别深度模型的加载,并在恶意流量识别深度模型加载完成后,AI引擎向CPU上报表示加载成功的中断信号。
需要说明的是,此处的加载只进行一次,后续对特征数据进行识别时,不需要进行再次配置。
在恶意流量识别深度模型加载成功之后,AI引擎利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果。其中,恶意流量识别深度模型用于根据特征数据识别流量数据是否为恶意数据以及流量数据为恶意数据时对应的攻击类型。
在本实施例中,恶意流量识别深度模型包括二分类卷积神经网络模型和八分类卷积神经网络模型,其中,二分类卷积神经网络模型用于确定流量数据的是否为恶意流量,八分类卷积神经网络模型用于确定恶意流量对应的攻击类型。
AI引擎利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果。具体地,AI引擎通过恶意流量识别深度模型对特征数据进行分类运算,通过分类运算确定流量数据是否为恶意流量以及当流量数据是恶意流量时,确定恶意流量的攻击类型。
在一些可选的实施方式中,通过二分类卷积神经网络模型对数据特征进行识别,获得流量数据是否为恶意流量,并且,在识别流量数据是恶意流量的情况下,通过八分类卷积神经网络模型确定恶意流量的攻击类型。
在一些可选的实施方式中,可以根据八分类卷积神经网络模型确定恶意流量为各个攻击类型的概率,根据恶意流量为各个攻击类型的概率确定所述恶意流量的攻击类型。例如,可以将攻击类型概率最高的攻击类型确定为恶意流量对应的攻击类型。
攻击类型包括以下至少一种攻击类型:暴力破解攻击、分布式拒绝攻击、拒绝服务攻击、端口扫描攻击、文件传输协议-帕塔托攻击、安全外壳协议-帕塔托攻击、机器人攻击以及勒索软件攻击。
在获得流量数据是否为恶意流量以及恶意流量的攻击类型之后,根据流量数据是否为恶意流量以及恶意流量的攻击类型生成识别结果,识别结果包括流量数据是否为恶意流量以及恶意流量的攻击类型。
例如,当确定流量数据不是恶意流量时,识别结果包括流量数据不是恶意流量的信息。当确定流量数据是恶意流量时,进一步确定恶意流量的攻击类型,识别结果包括恶意流量的攻击类型信息。
步骤203,CPU获取识别结果,根据识别结果判断流量数据是否为恶意流量。
在本实施例中,在AI引擎生成识别结果之后,CPU获取识别结果,然后根据识别结果判断流量数据是否为恶意流量。例如,CPU根据识别结果中的攻击类型信息判断流量数据为恶意流量。
步骤204,响应于CPU判断流量数据为恶意流量,交换模块将流量数据丢弃。
在本实施例中,当CPU判断流量数据为恶意流量时,交换模块用于将流量数据丢弃,使得在检测到流量数据为恶意流量时,直接从数据源头,即,智能网卡设备侧将流量数据丢弃。另外,CPU判断流量数据不是恶意流量时,交换模块将流量数据发送给主机进行下一步处理。
在一些可选的实施方式中,CPU判断流量数据为恶意流量,记录恶意流量的IP地址,根据恶意流量的IP地址生成流表,将流表发送至交换模块,交换模块根据流表将流量数据丢弃。其中,流表表示针对特定数据流的集合,负责数据包的查找与转发,流表中包括恶意流量的IP地址。交换模块可以通过查找流表的表项以及对应的恶意流量的IP地址将流量数据进行丢弃。
具体地,运行在CPU上的驱动程序判断流量数据为恶意流量时,记录恶意流量的IP地址,然后根据恶意流量的IP地址生成流表,再通过slow path(慢速路径)将流表发送给交换模块,交换模块在接收到流表后,通过fastpath(快速路径)完成对流表中数据流的报文解析、报文封装、报文修改、表项查找、流量管理等处理,将流表中的恶意流量进行丢弃。
以下内容对恶意流量识别深度模型的训练和量化过程进行简单介绍。
请继续参考图5,图5示出了根据本公开的恶意流量识别深度模型的训练和量化过程流程图500。图5所示的恶意流量识别深度模型的训练和量化过程可以由图1所示的服务器执行,在服务器完成对恶意流量识别深度模型的训练和量化之后,智能网卡设备的CPU可以运行驱动程序,将恶意流量识别深度模型配置到AI引擎,由AI引擎加载恶意流量识别深度模型。
该流程500包括以下步骤:
步骤501,获取网络数据集。
在本实施例中,网络数据集是用于训练恶意流量识别深度模型的数据。网络数据集可以为ISCX-IDS 2012和CIC-IDS-2017公开的数据集,ISCX-IDS 2012和CIC-IDS-2017为网络流量数据集,可以用于分析网络流量和检测网络攻击,CIC-IDS-2017基于配置文件的概念,对入侵的详细描述和应用程序、协议或较低级别的网络实体的建立抽象分布模型,对真实痕迹进行分析,产生HTTP(超文本传送协议)、SSH(安全外壳协议)等真实流量。ISCX-IDS 2012和CIC-IDS-2017包含暴力破解攻击、分布式拒绝攻击、拒绝服务攻击、端口扫描攻击、文件传输协议-帕塔托攻击、安全外壳协议-帕塔托攻击、机器人攻击以及勒索软件攻击等真实流量。
在本实施例中,可以通过网络数据集对恶意流量识别深度模型进行训练产生一个二分类卷积神经网络模型和一个分类卷积神经网络模型。
步骤502,将网络数据集中的网络流量数据输入至初始二分类卷积神经网络模型,通过初始二分类卷积神经网络模型输出网络流量数据是否为恶意流量。
在获得网络数据集后,将网络数据集中的网络流量数据输入至初始二分类卷积神经网络模型,初始二分类卷积神经网络模型用于判断网络流量数据是否为恶意流量,即,将网络流量数据分为正常流量和恶意流量。
步骤503,根据初始二分类卷积神经网络模型的输出结果调整第一参数至第一损失函数低于第一阈值获得二分类卷积神经网络模型。
第一损失函数为初始二分类卷积神经网络模型输出的预测值和真实值之间的差异程度,第一损失函数越小,表示初始二分类卷积神经网络模型预测的越准确。
在本实施例中,根据初始二分类卷积神经网络模型输出的预测结果调整初始二分类卷积神经网络模型的第一参数直到第一损失函数低于第一阈值获得二分类卷积神经网络模型。
步骤504,在网络流量数据是为恶意流量的情况下,将恶意流量输入至初始八分类卷积神经网络模型,通过初始八分类卷积神经网络模型输出恶意流量的攻击类型。
在本实施例中,在在网络流量数据是为恶意流量的情况下,将恶意流量输入至初始八分类卷积神经网络模型,初始八分类卷积神经网络模型用于判断网络流量数据的攻击类型。即,判断网络流量数据属于暴力破解攻击、分布式拒绝攻击、拒绝服务攻击、端口扫描攻击、文件传输协议-帕塔托攻击、安全外壳协议-帕塔托攻击、机器人攻击以及勒索软件攻击中的哪一个攻击类型。
步骤505,根据初始八分类卷积神经网络模型的输出结果调整第二参数至第二损失函数低于第二阈值获得八分类卷积神经网络模型。
第二损失函数为初始八分类卷积神经网络模型输出的预测值和真实值之间的差异程度,第二损失函数越小,表示初始八分类卷积神经网络模型预测的越准确。
在本实施例中,根据初始八分类卷积神经网络模型输出的预测结果调整初始八分类卷积神经网络模型的第二参数直到第二损失函数低于第二阈值获得八分类卷积神经网络模型。
步骤506,通过二分类卷积神经网络模型和八分类卷积神经网络模型获得恶意流量识别深度模型。
恶意流量识别深度模型包括二分类卷积神经网络模型和八分类卷积神经网络模型,在获得恶意流量识别深度模型之后,还可以将恶意流量识别深度模型进行量化。
示例性的,恶意流量识别深度模型可以是Keras(高级神经网络接口)模型。首先,将Keras 模型转换为Pb(是一种表示模型结构的二进制文件)模型,可以使用开源的keras_to_tensorflow工具将Keras 模型换为Pb模型。tensorflow是一个由谷歌开发的开源机器学习框架,keras模型是依赖tensorflow框架的,对于部署到生产环境来说非常不方便,转换为pb模型,Pb模型可以独立运行,任何语言都可以对Pb模型进行解析,同时方便部署。
将Keras模型转换为Pb模型之后,将Pb模型进行量化,RNE(可重构神经网络加速引擎)提供模型量化工具将pb模型量化并转换为量化后的caffe(快速特征嵌入的卷积架构)模型。在得到量化后的caffe(一种高效的深度学习框架)模型后,使用RNE编译器编译,最后在RNE的仿真器或者硬件上进行部署。
本公开的实施例提供的网络攻击检测和防护方法和装置,应用于智能网卡设备,智能网卡设备包括中央处理器CPU、人工智能AI引擎和交换模块,CPU响应于接收到流量数据,提取流量数据的特征数据,并将提取的特征数据输入到AI引擎,AI引擎利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果。CPU获取识别结果,根据识别结果判断流量数据是否为恶意流量,响应于CPU判断流量数据为恶意流量,交换模块将流量数据丢弃。本申请通过智能网卡的CPU提取流量数据的特征数据,AI引擎识别特征数据,CPU判断流量数据是否为恶意数据,交换模块对恶意数据进行丢弃,由于不需要依靠操作系统,可以保证操作系统的性能;由于不需要依赖交换机硬件,可以灵活的实现对各种网络攻击的防护;并且,实现了直接从流量数据的源头(智能网卡)对恶意流量进行检测和防护,从而使得整体的云环境更加难以攻击,提高了云服务的安全性和可靠性,降低了云服务商的成本。
进一步参考图6和图7,作为对上述各图所示方法的实现,本公开提供了一种智能网卡设备一个实施例,该智能网卡设备实施例与图2所示的方法实施例相对应。
本实施例的智能网卡设备,包括:中央处理器CPU、人工智能AI引擎和交换模块,其中,
CPU,被配置成响应于接收到流量数据,提取流量数据的特征数据,并将提取的特征数据输入到AI引擎;
AI引擎,被配置成利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果;
CPU,进一步被配置成获取识别结果,根据识别结果判断流量数据是否为恶意流量;
交换模块,被配置成响应于CPU判断流量数据为恶意流量,将流量数据丢弃。
如图6所示,本实施例提供一种网络攻击检测和防护装置,运行于智能网卡设备的CPU,该装置600包括:提取单元601、发送单元602、处理单元603、判断单元604、配置单元605以及接收单元606。
其中,提取单元601,用于响应于接收到流量数据,提取流量数据的特征数据。
发送单元602,用于将提取的特征数据输入到AI引擎,该特征数据被AI引擎用于:利用已加载的恶意流量识别深度模型,对特征数据进行识别,生成识别结果。
处理单元603,用于获取识别结果;
判断单元604,用于根据识别结果判断流量数据是否为恶意流量,若判断流量数据为恶意流量,指示交换模块将流量数据丢弃。
在一些可选的实施方式中,还包括:
配置单元605,用于将恶意流量识别深度模型配置到AI引擎。
接收单元606,用于接收AI引擎在成功加载恶意流量识别深度模型后,向CPU上报的表示加载成功的中断信号。
在一些可选的实施方式中,判断单元604,进一步被配置成:判断流量数据为恶意流量,记录恶意流量的IP地址。
发送单元602,还用于根据IP地址生成流表,将流表发送至交换模块,指示交换模块根据流表将流量数据丢弃
在一些可选的实施方式中,判断单元604,进一步被配置成:判断流量数据不是恶意流量,指示交换模块将流量数据发送给主机
如图7所示,本实施例提供一种恶意流量识别装置,运行于AI引擎,该装置被配置成利用已加载的恶意流量识别深度模型,对所述特征数据进行识别,生成识别结果。其中,恶意流量识别深度模型可以包括二分类卷积神经网络模型和八分类卷积神经网络模型。
在一些可选的实施方式中,该装置700包括:识别单元701、确定单元702和处理单元703。
识别单元701,用于通过二分类卷积神经网络模型对数据特征进行识别,获得流量数据是否为恶意流量。
确定单元702,用于在识别流量数据是恶意流量的情况下,通过八分类卷积神经网络模型确定恶意流量的攻击类型。
处理单元703,用于根据流量数据是否为恶意流量以及恶意流量的攻击类型生成识别结果。
在一些可选的实施方式中,确定单元702进一步被配置成:根据八分类卷积神经网络模型确定恶意流量为各个攻击类型的概率。根据恶意流量为各个攻击类型的概率确定恶意流量的攻击类型。
在一些可选的实施方式中,确定单元702进一步被配置成:将概率最高的攻击类型确定为所述恶意流量的攻击类型。
在一些可选的实施方式中,攻击类型包括以下至少一种攻击类型:暴力破解攻击、分布式拒绝攻击、拒绝服务攻击、端口扫描攻击、文件传输协议-帕塔托攻击、安全外壳协议-帕塔托攻击、机器人攻击以及勒索软件攻击。
需要说明的是,本公开的实施例提供的网络攻击检测和防护方法和装置中各单元的实现细节和技术效果可以参考本公开中其它实施例的说明,在此不再赘述。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体地例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备实现如图2所示的实施例及其可选实施方式示出的网络攻击检测和防护方法。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,提取单元还可以被描述为“用于提取特征数据的单元”。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种网络攻击检测和防护方法,其特征在于,应用于智能网卡设备,所述智能网卡设备包括中央处理器CPU、人工智能AI引擎和交换模块,所述方法包括:
所述CPU响应于接收到流量数据,提取所述流量数据的特征数据,并将提取的所述特征数据输入到所述AI引擎;
所述AI引擎利用已加载的恶意流量识别深度模型,对所述特征数据进行识别,生成识别结果;
所述CPU获取所述识别结果,根据所述识别结果判断所述流量数据是否为恶意流量;
响应于所述CPU判断所述流量数据为恶意流量,所述交换模块将所述流量数据丢弃。
2.根据权利要求1所述的方法,其特征在于,所述CPU响应于接收到流量数据之前,所述方法还包括:
所述CPU运行驱动程序,将所述恶意流量识别深度模型配置到所述AI引擎;
所述AI引擎加载所述恶意流量识别深度模型,并在加载成功后,向所述CPU上报表示加载成功的中断信号。
3.根据权利要求1所述的方法,其特征在于,所述提取所述流量数据的特征数据,包括:
所述CPU运行特征数据提取软件,通过所述特征数据提取软件提取所述流量数据的特征数据。
4.根据权利要求1所述的方法,其特征在于,所述恶意流量识别深度模型包括二分类卷积神经网络模型和八分类卷积神经网络模型,所述对所述特征数据进行识别,生成识别结果,包括:
通过所述二分类卷积神经网络模型对所述数据特征进行识别,获得所述流量数据是否为恶意流量;
并且,在识别所述流量数据是恶意流量的情况下,通过所述八分类卷积神经网络模型确定所述恶意流量的攻击类型;
根据所述流量数据是否为恶意流量以及所述恶意流量的攻击类型生成识别结果。
5.根据权利要求1所述的方法,其特征在于,通过所述八分类卷积神经网络模型确定所述恶意流量的攻击类型,包括:
根据所述八分类卷积神经网络模型确定所述恶意流量为各个攻击类型的概率;
根据所述恶意流量为各个攻击类型的概率确定所述恶意流量的攻击类型。
6.根据权利要求5所述的方法,其特征在于,所述根据所述恶意流量为各个攻击类型的概率确定所述恶意流量的攻击类型,包括:
将概率最高的攻击类型确定为所述恶意流量的攻击类型。
7.根据权利要求1所述的方法,其特征在于,所述响应于所述CPU判断所述流量数据为恶意流量,所述交换模块将所述流量数据丢弃,包括:
所述CPU判断所述流量数据为恶意流量,记录所述恶意流量的IP地址;
所述CPU根据所述IP地址生成流表,将所述流表发送至所述交换模块;
所述交换模块根据所述流表将所述流量数据丢弃。
8.根据权利要求1所述的方法,其特征在于,还包括:
所述CPU判断所述流量数据不是恶意流量,所述交换模块将所述流量数据发送给主机。
9.根据权利要求4所述的方法,其特征在于,所述攻击类型包括以下至少一种攻击类型:暴力破解攻击、分布式拒绝攻击、拒绝服务攻击、端口扫描攻击、文件传输协议-帕塔托攻击、安全外壳协议-帕塔托攻击、机器人攻击以及勒索软件攻击。
10.一种智能网卡设备,其特征在于,所述智能网卡设备包括中央处理器CPU、人工智能AI引擎和交换模块,其中,
所述CPU,被配置成响应于接收到流量数据,提取所述流量数据的特征数据,并将提取的所述特征数据输入到所述AI引擎;
所述AI引擎,被配置成利用已加载的恶意流量识别深度模型,对所述特征数据进行识别,生成识别结果;
所述CPU,进一步被配置成获取所述识别结果,根据所述识别结果判断所述流量数据是否为恶意流量;
所述交换模块,被配置成响应于所述CPU判断所述流量数据为恶意流量,将所述流量数据丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311000572.5A CN116723058B (zh) | 2023-08-10 | 2023-08-10 | 网络攻击检测和防护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311000572.5A CN116723058B (zh) | 2023-08-10 | 2023-08-10 | 网络攻击检测和防护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116723058A true CN116723058A (zh) | 2023-09-08 |
| CN116723058B CN116723058B (zh) | 2023-12-01 |
Family
ID=87866461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311000572.5A Active CN116723058B (zh) | 2023-08-10 | 2023-08-10 | 网络攻击检测和防护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116723058B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117579384A (zh) * | 2024-01-16 | 2024-02-20 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111695596A (zh) * | 2020-04-30 | 2020-09-22 | 华为技术有限公司 | 一种用于图像处理的神经网络以及相关设备 |
| CN112488003A (zh) * | 2020-12-03 | 2021-03-12 | 深圳市捷顺科技实业股份有限公司 | 一种人脸检测方法、模型创建方法、装置、设备及介质 |
| CN114661409A (zh) * | 2020-12-23 | 2022-06-24 | 英特尔公司 | 处理数据分组以进行逻辑和虚拟交换机加速的方法和设备 |
| CN115424340A (zh) * | 2022-08-23 | 2022-12-02 | 河南众诚信息科技股份有限公司 | 基于yolov5神经网络技术识别防护服的方法 |
| CN115473663A (zh) * | 2021-06-11 | 2022-12-13 | 迈络思科技有限公司 | 安全网络访问设备 |
| CN115484042A (zh) * | 2021-06-14 | 2022-12-16 | 迈络思科技有限公司 | 机器学习辅助的网络设备 |
| CN115576661A (zh) * | 2021-06-21 | 2023-01-06 | 华为技术有限公司 | 数据处理系统、方法和控制器 |
| CN115686836A (zh) * | 2022-10-17 | 2023-02-03 | 阿里巴巴(中国)有限公司 | 一种安装有加速器的卸载卡 |
| CN116126916A (zh) * | 2023-03-09 | 2023-05-16 | 南方电网数字电网集团信息通信科技有限公司 | 一种基于智能网卡的数据查询方法、装置及设备 |
| US20230188561A1 (en) * | 2021-12-14 | 2023-06-15 | Mellanox Technologies, Ltd. | Ai-supported network telemetry using data processing unit |
-
2023
- 2023-08-10 CN CN202311000572.5A patent/CN116723058B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111695596A (zh) * | 2020-04-30 | 2020-09-22 | 华为技术有限公司 | 一种用于图像处理的神经网络以及相关设备 |
| WO2021218471A1 (zh) * | 2020-04-30 | 2021-11-04 | 华为技术有限公司 | 一种用于图像处理的神经网络以及相关设备 |
| CN112488003A (zh) * | 2020-12-03 | 2021-03-12 | 深圳市捷顺科技实业股份有限公司 | 一种人脸检测方法、模型创建方法、装置、设备及介质 |
| CN114661409A (zh) * | 2020-12-23 | 2022-06-24 | 英特尔公司 | 处理数据分组以进行逻辑和虚拟交换机加速的方法和设备 |
| CN115473663A (zh) * | 2021-06-11 | 2022-12-13 | 迈络思科技有限公司 | 安全网络访问设备 |
| CN115484042A (zh) * | 2021-06-14 | 2022-12-16 | 迈络思科技有限公司 | 机器学习辅助的网络设备 |
| CN115576661A (zh) * | 2021-06-21 | 2023-01-06 | 华为技术有限公司 | 数据处理系统、方法和控制器 |
| US20230188561A1 (en) * | 2021-12-14 | 2023-06-15 | Mellanox Technologies, Ltd. | Ai-supported network telemetry using data processing unit |
| CN115424340A (zh) * | 2022-08-23 | 2022-12-02 | 河南众诚信息科技股份有限公司 | 基于yolov5神经网络技术识别防护服的方法 |
| CN115686836A (zh) * | 2022-10-17 | 2023-02-03 | 阿里巴巴(中国)有限公司 | 一种安装有加速器的卸载卡 |
| CN116126916A (zh) * | 2023-03-09 | 2023-05-16 | 南方电网数字电网集团信息通信科技有限公司 | 一种基于智能网卡的数据查询方法、装置及设备 |
Non-Patent Citations (2)
| Title |
|---|
| 傅博文;唐向宏;肖涛;: "Focal损失在图像情感分析上的应用研究", 计算机工程与应用, no. 10 * |
| 星融元: "一文了解dpu智能网卡", Retrieved from the Internet <URL:https://baijiahao.baidu.com/s?id=1737781520350610560&wfr=spider&for=pc> * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117579384A (zh) * | 2024-01-16 | 2024-02-20 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
| CN117579384B (zh) * | 2024-01-16 | 2024-03-29 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116723058B (zh) | 2023-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
| US20210258791A1 (en) | Method for http-based access point fingerprint and classification using machine learning | |
| Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN116723058B (zh) | 网络攻击检测和防护方法和装置 | |
| CN111488577B (zh) | 一种基于人工智能的模型建立方法和风险评估方法及装置 | |
| CN111931188B (zh) | 登陆场景下漏洞测试方法及系统 | |
| CN110046297B (zh) | 运维违规操作的识别方法、装置和存储介质 | |
| CN115039379A (zh) | 使用分类器层级确定设备属性的系统和方法 | |
| CN111431819A (zh) | 一种基于序列化的协议流特征的网络流量分类方法和装置 | |
| Khandait et al. | IoTHunter: IoT network traffic classification using device specific keywords | |
| CN112783602A (zh) | 一种敏感数据发现与检测的方法及系统 | |
| CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| Dong et al. | BotDetector: An extreme learning machine‐based Internet of Things botnet detection model | |
| CN115412370A (zh) | 车辆通信数据检测方法、装置、电子设备和可读介质 | |
| JP2019148882A (ja) | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム | |
| CN112788065B (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
| CN116828087B (zh) | 基于区块链连接的信息安全系统 | |
| CN113158195A (zh) | 一种基于poc脚本的分布式漏洞扫描方法及系统 | |
| CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和系统 | |
| CN116662184A (zh) | 一种基于Bert的工控协议模糊测试用例筛选方法及系统 | |
| KR20210059991A (ko) | IoT 악성행위 분석 방법 및 이를 수행하기 위한 컴퓨팅 장치 | |
| CN113688385B (zh) | 轻量级分布式入侵检测方法 | |
| CN112738808B (zh) | 无线网络中DDoS攻击检测方法、云服务器及移动终端 | |
| CN114765634B (zh) | 网络协议识别方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |