DE102023203206A1

DE102023203206A1 - Beschleunigte Datenübertragung zwischen Datenverarbeitungseinheit (DPU) und Grafikverarbeitungseinheit (GPU) zur Erfüllung von Echtzeit-Anforderungen an die Cybersicherheit

Info

Publication number: DE102023203206A1
Application number: DE102023203206.6A
Authority: DE
Inventors: Chen Rozenbaum; Shauli Arazi; Bartley RICHARDSON
Original assignee: Mellanox Technologies Ltd
Current assignee: Mellanox Technologies Ltd
Priority date: 2022-04-13
Filing date: 2023-04-06
Publication date: 2023-10-19
Also published as: US20230336574A1

Abstract

Es werden Vorrichtungen, Systeme und Techniken zum Erkennen, dass eine Host-Vorrichtung einem bösartigen Angriff auf ein Netzwerk ausgesetzt ist, unter Verwendung eines Erfassungssystems mit maschinellem Lernen (ML) beschrieben. Ein Computersystem enthält eine Grafikverarbeitungseinheit (GPU) und eine integrierte Schaltung mit einer Netzwerkschnittstelle und einer Hardware-Beschleunigungs-Engine. Der integrierte Schaltkreis hostet einen Hardware-beschleunigten Sicherheitsdienst, um Merkmale aus Netzwerkdaten und Metadaten von der Hardware-Beschleunigungs-Engine zu extrahieren, und sendet die extrahierten Merkmale an die GPU. Unter Verwendung des ML-Erfassungssystems bestimmt der Grafikprozessor anhand der extrahierten Merkmale, ob die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist. Die GPU kann eine Durchsetzungsregel an die integrierte Schaltung senden, die auf die Feststellung reagiert, dass die Host-Vorrichtung der bösartigen Netzwerkaktivität ausgesetzt ist.

Description

TECHNISCHES GEBIET
Mindestens eine Ausführungsform bezieht sich auf Verarbeitungsressourcen, die verwendet werden, um Operationen zur Erfassung, ob eine Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist, durchzuführen und zu erleichtern. Zum Beispiel bezieht sich mindestens eine Ausführungsform auf Prozessoren oder Computersysteme, die verwendet werden, um eine Datenverarbeitungseinheit (Data Processing Unit, DPU) und eine Grafikverarbeitungseinheit (Graphics Processing Unit, GPU) bereitzustellen und zu ermöglichen, unter Verwendung eines Erfassungssystems mit maschinellem Lernen (ML) basierend auf Merkmalen, die aus Netzwerkdaten und Metadaten der DPU extrahiert werden, zu bestimmen, ob eine Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist, gemäß verschiedenen hierin beschriebenen neuen Techniken.
HINTERGRUND
Netzwerksicherheit, die den Schutz eines Kommunikationsnetzwerks und der daran angeschlossenen Vorrichtungen vor verschiedenen Bedrohungen umfasst, ist nach wie vor ein schwieriges Problem. Es gibt viele verschiedene Arten möglicher Angriffe auf Netzwerke, die unter anderem verteilte Diensverweigerungsangriffe, Man-in-the-Middle-Angriffe, unbefugte Zugriffe und so weiter enthalten. Die Strategien und Taktiken, die von bösartigen Akteuren eingesetzt werden, entwickeln sich ständig weiter. Bestehende Techniken zum Schutz der Netzwerkkommunikation können verbessert werden.
KURZE ZUSAMMENFASSUNG
Die Erfindung ist durch die Ansprüche definiert. Zur Veranschaulichung der Erfindung werden hierin Aspekte und Ausführungsformen beschrieben, die in den Umfang der Ansprüche fallen können oder auch nicht.
Es werden Vorrichtungen, Systeme und Techniken zum Erkennen, dass eine Host-Vorrichtung einem bösartigen Angriff auf ein Netzwerk ausgesetzt ist, unter Verwendung eines Erfassungssystems mit maschinellem Lernen (ML) beschrieben. Ein Computersystem enthält eine Grafikverarbeitungseinheit (GPU) und eine integrierte Schaltung mit einer Netzwerkschnittstelle und einer Hardware-Beschleunigungs-Engine. Der integrierte Schaltkreis hostet einen Hardware-beschleunigten Sicherheitsdienst, um Merkmale aus Netzwerkdaten und Metadaten von der Hardware-Beschleunigungs-Engine zu extrahieren, und sendet die extrahierten Merkmale an die GPU. Unter Verwendung des ML-Erfassungssystems bestimmt der Grafikprozessor anhand der extrahierten Merkmale, ob die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist. Die GPU kann eine Durchsetzungsregel an die integrierte Schaltung senden, die auf die Feststellung reagiert, dass die Host-Vorrichtung der bösartigen Netzwerkaktivität ausgesetzt ist.
Jedes Merkmal eines Aspekts oder einer Ausführungsform kann in jeder geeigneten Kombination auf andere Aspekte oder Ausführungsformen angewendet werden. Insbesondere kann jedes Merkmal eines Verfahrensaspekts oder einer Ausführungsform auf einen Vorrichtungsaspekt oder eine Ausführungsform angewandt werden und umgekehrt.
KURZE BESCHREIBUNG DER ZEICHNUNGEN
Verschiedene Ausführungsformen gemäß der vorliegenden Offenbarung werden mit Bezug auf die Zeichnungen beschrieben. Dabei zeigt:

1A ist ein Blockdiagramm einer beispielhaften Systemarchitektur gemäß mindestens einer Ausführungsform.
1B ist ein Blockdiagramm einer beispielhaften Systemarchitektur gemäß mindestens einer Ausführungsform.
2 ist ein Flussdiagramm eines beispielhaften Verfahrens zur Erfassung eines bösartigen Netzwerkangriffs auf eine Host-Vorrichtung gemäß mindestens einer Ausführungsform.
3A ist ein Diagramm eines beispielhaften Klassifizierungsmodells gemäß mindestens einer Ausführungsform.
3B ist ein Blockdiagramm einer beispielhaften Systemarchitektur für das Ransomware-Erfassungssystem gemäß mindestens einer Ausführungsform.
3C ist ein Blockdiagramm einer beispielhaften Systemarchitektur für das Ransomware-Erfassungssystem gemäß mindestens einer Ausführungsform.
4 ist ein Blockdiagramm eines Computersystems mit einer DPU und einer GPU, die zwischen einer ersten Host-Vorrichtung und einer zweiten Host-Vorrichtung gekoppelt sind, gemäß mindestens einer Ausführungsform.
5 veranschaulicht einen Prozessablauf für die Erfassung bösartiger Netzwerkangriffe durch ein maschinelles Lernmodell gemäß mindestens einer Ausführungsform.

AUSFÜHRLICHE BESCHREIBUNG
Die Sicherheit von Rechenzentren umfasst ein breites Spektrum an Technologien und Lösungen zum Schutz eines Rechenzentrums vor externen und internen Bedrohungen oder Angriffen. Ein Rechenzentrum ist eine Einrichtung, die verschiedene Vorrichtungen wie Switches, Router, Load Balancer, Firewalls, Server, vernetzte Computer, Speicher, Netzwerkschnittstellenkarten (Network Interface Cards- NICs), DPUs, GPUs und andere Ressourcen als Teil der Informationstechnologie (IT)-Infrastruktur speichert. Für private Unternehmen, die auf die Cloud umsteigen, reduzieren Rechenzentren die Kosten für den Betrieb eigener zentraler Computernetzwerke und Server. Rechenzentren bieten Dienste wie Speicherung, Sicherung und Wiederherstellung, Datenmanagement, Vernetzung, Sicherheit, Orchestrierung oder ähnliches. Da in Rechenzentren sensible oder geschützte Informationen wie Kundendaten oder geistiges Eigentum gespeichert sind, müssen die Server ständig gesichert und vor bekannten und unbekannten Netzwerkangriffen, Malware, bösartigen Aktivitäten und dergleichen geschützt werden. Rechenzentren sind komplex und enthalten viele Arten von Vorrichtungen und Diensten. Zum Schutz von Vorrichtungen und Diensten können Sicherheitskomponenten und fortschrittliche Technologien eingesetzt werden.
Eine Art von Cybersicherheitsanforderung besteht darin, bösartige Angriffe auf Netzwerke zu verhindern, die in der heutigen vernetzten Welt ein großes Problem darstellen. Eine herkömmliche Lösung zur Erfassung von Netzwerkangriffen ist die signaturbasierte Erfassung. Die signaturbasierte Erfassung basiert auf Erfahrungen aus der Vergangenheit und umfangreichen Kenntnissen über jeden Angriff. Konventionelle signaturbasierte Erfassungssysteme werden der erhöhten Variabilität heutiger Cyberangriffe nicht gerecht und weisen mehrere Nachteile auf. Das herkömmliche System kann neue Angriffe nicht erfassen, da die signaturbasierte Erfassung für jeden neuen Angriff eine neue Signatur erfordert. Die Signaturen müssen ständig gepflegt und aktualisiert werden, um neue Angriffe zu unterstützen. Das konventionelle System kann sehr zeitaufwendig und teuer sein, da Sicherheitsexperten für die Erstellung, Prüfung und Verifizierung der Signaturen benötigt werden. Es kann auch zeitliche Einschränkungen für diese Lösungen geben, da zwischen dem entdeckten Angriff und einer für den Einsatz erstellten, getesteten und verifizierten Signatur eine große Zeitspanne liegen kann.
Aspekte und Ausführungsformen der vorliegenden Offenbarung beheben die obigen und andere Mängel, indem sie einen Hardware-beschleunigten Sicherheitsdienst auf einer Beschleunigungs-Hardware-Engine eines integrierten Schaltkreises (z. B. DPU) und eine Cybersicherheitsplattform mit einer oder mehreren beschleunigten maschinellen Lernpipelines auf einer GPU hosten, um zu bestimmen, ob die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist. Insbesondere kann die DPU Merkmalsdaten aus dem Netzwerkverkehr und Merkmalsdaten aus Registern der DPU extrahieren und die Merkmalsdaten an die beschleunigte maschinelle Lernpipeline streamen, um basierend auf den Merkmalsdaten zu bestimmen, ob eine Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist. Studien der jüngsten Netzwerkangriffe zeigen, dass die Verwendung von maschinellem Lernen für die Erfassung von Netzwerkangriffen durch Lernen der Muster des Netzwerkverhaltens die fortgeschrittenen Techniken verhindern kann, die von Angreifern in der heutigen vernetzten Welt verwendet werden. Maschinelles Lernen umfasst das Trainieren eines Computersystems - unter Verwendung von Trainingsdaten - um Merkmale in Daten zu identifizieren, die die Erfassung und Klassifizierung erleichtern können. Das Training kann überwacht oder unüberwacht erfolgen. Maschinelle Lernmodelle können verschiedene Rechenalgorithmen verwenden, wie z. B. Entscheidungsbaumalgorithmen (oder andere regelbasierte Algorithmen), künstliche neuronale Netzwerke oder ähnliches. Während einer Inferenzphase werden neue Daten in ein trainiertes maschinelles Lernmodell eingegeben, und das trainierte maschinelle Lernmodell kann Objekte von Interesse anhand von Merkmalen klassifizieren, die während des Trainings identifiziert wurden. Techniken zur Erfassung und Durchsetzung von Anomalien basierend auf DPU zur Netzwerkfilterung und -beschleunigung, GPU-basiertes Framework für KI, können Netzwerkschutz für Rechenzentren in der heutigen vernetzten Welt bieten. Darüber hinaus enthalten moderne Rechenzentren und Cloud-Infrastrukturen heterogene Computerkapazitäten, einschließlich ARM- und GPU-native Infrastrukturen. Obwohl sie auf unterschiedlichen Betriebssystemen ausgeführt werden und oft unterschiedliche Einsatzanforderungen aufweisen, können Aspekte der vorliegenden Offenlegung eine schnelle und genaue Koordination zwischen dem Sensor (z. B. DPU mit ARM-Kernen) und anderen Edge-basierten und zentralisierten beschleunigten Computerumgebungen (GPU-Kerne) ermöglichen.
Aspekte und Ausführungsformen der vorliegenden Offenbarung können einen Hardware-beschleunigten Sicherheitsdienst bereitstellen, der Merkmale aus Netzwerkdaten, die an eine Host-Vorrichtung gerichtet sind, und aus Daten, die in Registern der Hardware-Beschleunigungs-Engine gespeichert sind, extrahieren und die Merkmale an die Cybersicherheitsplattform senden kann, um zu bestimmen, ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist. Der Hardware-beschleunigte Sicherheitsdienst empfängt eine Durchsetzungsregel von der Cybersicherheitsplattform als Reaktion auf eine Bestimmung durch die Cybersicherheitsplattform, dass die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist. Der Hardware-beschleunigte Sicherheitsdienst führt eine Aktion, die der Durchsetzungsregel zugeordnet ist, auf den nachfolgenden Netzwerkverkehr aus, der an die Host-Vorrichtung gerichtet ist. Der Hardware-beschleunigte Sicherheitsdienst kann auf einer DPU arbeiten und ein agentenloses Hardware-Produkt sein, das die an die Host-Vorrichtung gerichteten Netzwerkdaten inspiziert. In mindestens einer Ausführungsform ist der Hardware-beschleunigte Sicherheitsdienst der NVIDIA DOCA. Alternativ können auch andere Hardware-beschleunigte Sicherheitsdienste verwendet werden. In einigen Fällen erkennt die Cybersicherheitsplattform bösartige Netzwerkaktivitäten während eines Angriffs und kann als Reaktion eine Durchsetzungsregel bereitstellen, um die Host-Vorrichtung vor dem Angriff zu schützen. Der integrierte Schaltkreis kann eine DPU sein. Die DPU kann ein programmierbares Rechenzentrum auf einem Chip sein. Der integrierte Schaltkreis kann eine Netzwerkschnittstelle enthalten, die operativ mit einer zentralen Verarbeitungseinheit (CPU) gekoppelt ist, um die Verarbeitung von Netzwerkdatenpfaden zu handhaben, und die CPU kann die Pfadinitialisierung und die Ausnahmeverarbeitung steuern.
Aspekte und Ausführungsformen der vorliegenden Offenbarung können einen ersten Agenten (z. B. NVIDIA DOCA Flussinspektor) des Hardware-beschleunigten Sicherheitsdienstes und einen zweiten Agenten (z. B. NVIDIA DOCA Telemetry Agent) bereitstellen. Der erste Agent kann die Hardware-Beschleunigungs-Engine (z. B. DPU-Hardware) nutzen, um den Netzwerkverkehr basierend auf vordefinierten Filtern unter Verwendung der Hardware-Fähigkeiten der Hardware-Beschleunigungs-Engine zu entlasten und zu filtern. Der zweite Agent kann Telemetriedaten aus eingebetteten Zählern (oder anderen Registern) auf der Beschleunigungs-Hardware-Engine extrahieren und die Telemetriedaten mit dem gefilterten Netzwerkverkehr an die Cybersicherheitsplattform weiterleiten. Der gefilterte Netzwerkverkehr kann aus strukturierten Daten bestehen, die mit den Zählermetadaten an die Cybersicherheitsplattform zur Analyse unter Verwendung beschleunigter Speicherzugriffsverfahrenn, wie hier beschrieben, gestreamt werden können. Die Cybersicherheitsplattform kann eine große Datenmenge auf der GPU verarbeiten, die mit der Beschleunigungs-Hardware-Engine gekoppelt ist, und sofortigen und dynamischen Schutz bieten, indem sie Durchsetzungsnetzwerkregeln zurück an die Beschleunigungs-Hardware-Engine (z. B. DPU) sendet. Die Cybersicherheitsplattform kann Bedrohungen oder Angriffe mithilfe von Anomalieerfassungsverfahren erfassen. Die Cybersicherheitsplattform kann die Ergebnisse an die beschleunigte Hardware-Engine (z. B. DPU-Hardware) zurückmelden, um die bösartige Aktivität oder andere Arten von Cyberangriffen durchzusetzen und zu blockieren. Dieses Feedback kann möglicherweise die gestreamten Daten, die an die Cybersicherheitsplattform gesendet werden, ändern oder anderweitig verändern, um die Feedback-Ergebnisse ferner zu verfeinern. Der auf der DPU gehostete Flussinspektor und Telemetrie-Agent und die auf der GPU gehostete Cybersicherheitsplattform können eine vollständige Lösung für die Filterung des Datenverkehrs, die Extraktion von Zählern und den Datenstrom an die GPU für die auf maschinellem Lernen basierende Erfassung von Anomalien bieten. Sobald die auf maschinellem Lernen basierende Anomalieerfassung einen Netzwerkangriff identifiziert, können Mitigationsregeln verwendet werden, um die DPU so zu konfigurieren, dass der Angriff sofort blockiert wird.
SYSTEMARCHITEKTUR
1A ist ein Blockdiagramm einer beispielhaften Systemarchitektur 100, gemäß mindestens einer Ausführungsform. Die Systemarchitektur 100 (hier auch als „System“ oder „Computersystem“ bezeichnet) enthält einen integrierten Schaltkreis, als DPU 102 bezeichnet, eine Host-Vorrichtung 104, ein Sicherheitsinformations- und Ereignisverwaltungssystem (Security Information and Event Management, SIEM) oder ein erweitertes Erfassungs- und Reaktionssystem (XDR) 106. Die Systemarchitektur 100 kann Teil eines Rechenzentrums sein und einen oder mehrere Datenspeicher, eine oder mehrere Server-Maschinen und andere Komponenten der Rechenzentrumsinfrastruktur enthalten. In Implementierungen kann das Netzwerk 108 ein öffentliches Netzwerk (z. B. das Internet), ein privates Netzwerk (z. B. ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetzwerk (WAN)), ein kabelgebundenes Netzwerk (z. B. ein Ethernet-Netzwerk), ein drahtloses Netzwerk (z. B. ein 802.11-Netzwerk oder ein Wi-Fi-Netzwerk), ein zellulares Netzwerk (z. B. ein Long Term Evolution (LTE)-Netzwerk), Router, Hubs, Switches, Server-Computer und/oder eine Kombination davon enthalten.
In mindestens einer Ausführungsform ist die DPU 102 als ein System on a Chip (SoC) integriert, das als eine Rechenzentrumsinfrastruktur auf einem Chip betrachtet wird. In mindestens einer Ausführungsform enthält die DPU 102 die DPU-Hardware 110 und ein Software-Framework mit Beschleunigungsbibliotheken 112. Die DPU-Hardware 110 kann eine CPU 114 (z. B. eine Single-Core- oder Multi-Core-CPU), einen oder mehrere Hardware-Beschleuniger 116, einen Speicher 118, eine oder mehrere Host-Schnittstellen 120 und eine oder mehrere Netzwerkschnittstellen 121 enthalten. Das Software-Framework und die Beschleunigungsbibliotheken 112 können einen oder mehrere Hardware-beschleunigte Dienste enthalten, darunter einen Hardware-beschleunigten Sicherheitsdienst 122 (z. B. NVIDIA DOCA), Hardware-beschleunigte Virtualisierungsdienste 124, Hardware-beschleunigte Netzwerkdienste 126, Hardware-beschleunigte Speicherdienste 128, Hardware-beschleunigte Dienste für künstliche Intelligenz/Maschinenlemen (KI/ML) 130 und Hardware-beschleunigte Verwaltungsdienste 132. In mindestens einer Ausführungsform ist die DPU 102 mit einer beschleunigten KI/ML-Pipeline 153 gekoppelt. In mindestens einer Ausführungsform kann die beschleunigte KI/ML-Pipeline 153 eine GPU sein, die mit der DPU 102 gekoppelt ist. In mindestens einer Ausführungsform kann die beschleunigte KI/ML-Pipeline 153 ein ML-Erfassungssystem 134 enthalten, das ein oder mehrere ML-Erfassungsmodelle enthält, die trainiert wurden, um zu bestimmen, ob eine Host-Vorrichtung 104 einem bösartigen Netzwerkangriff ausgesetzt ist. In mindestens einer Ausführungsform ist das ML-Erfassungssystem 134 die NVIDIA MORPHEUS Cybersicherheitsplattform. Die beschleunigte KI/ML-Pipeline 153 kann Vorverarbeitungsoperationen, Inferenzen, Nachverarbeitungsoperationen, Aktionen oder eine beliebige Kombination davon durchführen. Die beschleunigte KI/ML-Pipeline 153 kann eine Kombination aus Hardware und Software sein, beispielsweise die NVIDIA EXG-Plattform und Software zur Beschleunigung von KI/ML-Operationen auf der NVIDIA EXG-Plattform. Die beschleunigte KI/ML-Pipeline 153 kann beispielsweise Vorteile bei der Beschleunigung von Prozessen bis zum 60-fachen im Vergleich zu einer CPU bieten. Die beschleunigte KI/ML Pipeline 153 kann auch den Vorteil bieten, dass eine Vielzahl von Inferenzen parallel durchgeführt werden kann (z. B. bis zu Millionen von Inferenzen parallel). Weitere Details des ML-Erfassungssystems 134 werden im Folgenden mit Bezug auf 1B beschrieben. Die Host-Vorrichtung 104 kann einen physikalischen Host-Speicher 148 enthalten. Der physikalische Host-Speicher 148 kann eine oder mehrere flüchtige und/oder nichtflüchtige Speichervorrichtungen enthalten, die dafür konfiguriert sind, die Daten der Host-Vorrichtung 104 zu speichern. In mindestens einer Ausführungsform enthält das ML-Erfassungssystem 134 ein Netzwerkanomalie-Erfassungssystem 136 und andere Erfassungssysteme, wie beispielsweise ein Ransomware-Erfassungssystem, ein System zur Erfassung bösartiger URLs, ein DGA-Erfassungssystem und optional andere Malware-Erfassungssysteme.
In mindestens einer Ausführungsform enthält der Hardware-beschleunigte Sicherheitsdienst 122 eine Datenextraktionslogik 146 (z. B. DOCA Flussinspektor), die Netzwerkdaten 101 aus dem Netzwerkverkehr extrahiert, der über das Netzwerk 108 über eine oder mehrere Netzwerkschnittstelle(n) 121 empfangen wird. Die Netzwerkdaten 101 können über das Netzwerk 108 von einer zweiten Vorrichtung 142 empfangen werden. Die zweite Vorrichtung 142 kann der Initiator des bösartigen Angriffs auf das Netzwerk sein. In mindestens einer Ausführungsform empfängt der Hardware-beschleunigte Sicherheitsdienst 122 eine Kopie der Netzwerkdaten 101 (z. B. eine gespiegelte Kopie der Netzwerkdaten 101, die an die Host-Vorrichtung 104 gerichtet ist). Die Datenextraktionslogik 146 kann durch eine Konfigurationsdatei konfiguriert werden, die angibt, welche Art von Daten aus den Netzwerkdaten 101 extrahiert werden sollen. Die Konfigurationsdatei kann einen oder mehrere Filter spezifizieren, die spezifizierte Datentypen aus den Netzwerkdaten 101 für die Einbeziehung extrahieren oder von der Einbeziehung entfernen. Da die Netzwerkdaten eine Kopie sein können, kann der Netzwerkverkehr, der die Filterkriterien nicht erfüllt, verworfen oder entfernt werden. Der Netzwerkverkehr, der die Filterkriterien erfüllt, kann strukturiert und zur Analyse an die Cybersicherheitsplattform gestreamt werden. Die Extraktionslogik 146 kann eine Datenstruktur mit den extrahierten Daten erzeugen. Die Datenstruktur kann ein beliebiger Typ von Datenstruktur sein, wie z. B. ein Struct, eine Aufgabe, eine Nachricht oder ähnliches. Die Konfigurationsdatei kann beispielsweise festlegen, dass der gesamte HyperText-Transport-Protocol- (HTTP) Verkehr aus den Netzwerkdaten 101 extrahiert wird. Die Konfigurationsdatei kann festlegen, dass der gesamte Verkehr auf Port 80, Port 443 und/oder Port 22 aus den Netzwerkdaten 101 zur Analyse extrahiert werden soll. Ein großer Teil der Angriffe zielt auf diese drei Ports: SSH- 22/TCP, HTTPS-443/TCP, und HTTP-80/TCP.
In mindestens einer Ausführungsform enthält der Hardware-beschleunigte Sicherheitsdienst 122 einen Telemetrieagenten 138, der Metadaten 103 aus einem oder mehreren Registern 140 der DPU-Hardware 110 extrahiert. In mindestens einer Ausführungsform kann der Telemetrie-Agent 138 durch eine Konfigurationsdatei (dieselbe oder eine andere Konfigurationsdatei als die Extraktionslogik 146) konfiguriert oder programmiert werden, die angibt, welche Metadaten aus der Hardware der DPU extrahiert werden sollen, wie z. B. aus eingebetteten Zählern, Registern oder dergleichen. Die Konfigurationsdatei kann zum Beispiel angeben, welche Werte aus Zählern, Registern oder ähnlichem vom Telemetrieagenten extrahiert werden sollen, um mit den extrahierten Netzwerkdaten gestreamt zu werden. Einige Metadaten 103 können den Netzwerkdaten 101 zugeordnet oder auf sie bezogen werden. Einige Metadaten 103 können der zugrundeliegenden Hardware zugeordnet oder darauf bezogen sein und nicht auf den Netzwerkverkehr bezogen sein. In mindestens einer Ausführungsform kann der Telemetrie-Agent 138 auch die Datenstruktur mit den extrahierten Netzwerkdaten 101 und den extrahierten Metadaten 103 an die Cybersicherheitsplattform (z. B. beschleunigte KIZML-Pipeline(s) 153) senden.
In mindestens einer Ausführungsform kombiniert der Telemetrieagent 138 die extrahierten Netzwerkdaten 101 und die Metadaten 103 zu gestreamten Daten 105. Der Telemetrie-Agent 138 sendet die gestreamten Daten 105 an das ML-Detektionssystem 134, um zu bestimmen, ob die Host-Vorrichtung 104 dem bösartigen Netzwerkangriff ausgesetzt ist. Als Reaktion auf eine Bestimmung durch das ML-Erfassungssystem 134, dass die Host-Vorrichtung 104 dem bösartigen Netzwerkangriff ausgesetzt ist, sendet das ML-Erfassungssystem 134 eine Durchsetzungsregel 107 an die DPU 102. Der Hardware-beschleunigte Sicherheitsdienst 122 kann eine der Durchsetzungsregel 149 zugeordnete Aktion auf nachfolgenden Netzwerkverkehr durchführen, der von der zweiten Vorrichtung 142 an die Host-Vorrichtung 104 gerichtet ist. In mindestens einer Ausführungsform kann das ML-Erfassungssystem 134 eine Anzeige 109 der Klassifizierung durch das ML-Erfassungssystem 134 ausgeben. Die Anzeige 109 kann ein Hinweis auf einen bösartigen Angriff des Netzwerks (oder andere Netzwerkanomalien) auf die Host-Vorrichtung 104 sein. In mindestens einer Ausführungsform kann das ML-Erfassungssystem 134 den Hinweis 109 an den Hardware-beschleunigten Sicherheitsdienst 122 senden, und der Hardware-beschleunigte Sicherheitsdienst 122 kann einen Alarm 111 an das SIEM- oder XDR-System 106 senden. Die Warnmeldung 151 kann Informationen über den bösartigen Angriff aus dem Netzwerk enthalten. In mindestens einer Ausführungsform kann das ML-Erfassungssystem 134 den Hinweis 109 an das SIEM- oder XDR-System 106 senden, zusätzlich zu oder anstelle des Hinweises 109 an den Hardware-beschleunigten Sicherheitsdienst 122.
In mindestens einer Ausführungsform weist die Datenextraktionslogik 146 eine Merkmalsextraktionslogik auf, um ein oder mehrere Merkmale zu extrahieren und die extrahierten Merkmale anstelle der extrahierten Daten an das ML-Erfassungssystem 134 zu senden. Zum Beispiel kann die Datenextraktionslogik 146 HTTP-Daten extrahieren, und der Telemetrie-Agent 138 kann entsprechende Metadaten 103 aus den DPU-Hardwareregistern und - zählern extrahieren. Die Datenextraktionslogik 146 kann die Stream-Daten 105 generieren und an das ML-Erfassungssystem 134 senden. In einer anderen Ausführungsform enthält das ML-Erfassungssystem 134 eine Merkmalsextraktionslogik 144, um einen Satz von Merkmalen aus den gestreamten Daten 105 zu extrahieren. Die gestreamten Daten können rohe extrahierte Daten aus dem Hardware-beschleunigten Sicherheitsdienst 122 sein. In mindestens einer Ausführungsform werden die extrahierten Merkmale in ein Netzwerkanomalie-Erfassungssystem 136 eingegeben. In mindestens einer Ausführungsform enthält das Netzwerkanomalie-Erfassungssystem 136 ein Klassifizierungsmodell, das trainiert wurde, um die gestreamten Daten 105 als bösartig oder gutartig zu klassifizieren.
In mindestens einer Ausführungsform kann die Merkmalsextraktionslogik 144 einige Merkmale aus den Netzwerkdaten 101 in den gestreamten Daten 105 extrahieren und diese Merkmale in Tokens umwandeln. Die Merkmalsextraktionslogik 144 kann numerische Merkmale aus den Telemetriedaten (d.h. den Metadaten 103) in den gestreamten Daten extrahieren. Die Token und die numerischen Merkmale können zu einem Merkmalssatz kombiniert werden. In mindestens einer Ausführungsform enthält das Anomalieerfassungssystem 136 ein Klassifizierungsmodell, das darauf trainiert ist, die extrahierten Merkmale unter Verwendung des Merkmalssatzes als bösartig oder gutartig zu klassifizieren. In mindestens einer Ausführungsform enthält das Klassifizierungsmodell eine Einbettungsschicht, eine Lang-Kurz-Zeitspeicher- (Long Short-Term Memory, LSTM) Schicht und eine Schicht eines neuronalen Netzwerks (z. B. eine vollständig verbundene neuronale Netzwerkschicht). Die Einbettungsschicht empfängt die Token als eine Eingabesequenz von Token, die die Netzwerkdaten 101 darstellen, und erzeugt einen Eingabevektor basierend auf der Eingabesequenz von Token. Die LSTM-Schicht wird trainiert, um basierend auf dem Eingabevektor einen Ausgabevektor zu erzeugen. Die Schicht des neuronalen Netzwerks wird trainiert, um den Satz von Merkmalen als bösartig oder gutartig zu klassifizieren, indem der Ausgabevektor der LSTM-Schicht und die numerischen Merkmale der Telemetriedaten verwendet werden. Zusätzliche Details des binären Klassifizierungsmodells werden im Folgenden mit Bezug auf 3A beschrieben.
In mindestens einer Ausführungsform ist das binäre Klassifizierungsmodell ein faltungsneuronales Netzwerk (Convolutional Neural Network, CNN) mit einer Einbettungsschicht, um die Token als eine Eingabesequenz von Token zu empfangen, die die extrahierten Netzwerkdaten 101 repräsentieren, und einen Eingabevektor basierend auf der Eingabesequenz von Token und Werten aus den Metadaten 103 zu erzeugen. Das CNN wird trainiert, um die Netzwerkdaten 101 als bösartig oder gutartig zu klassifizieren, indem der Eingabevektor aus der Einbettungsschicht verwendet wird.
Es sollte beachtet werden, dass die DPU 102 im Gegensatz zu einer CPU oder GPU eine neue Klasse von programmierbaren Prozessoren ist, die drei Schlüsselelemente kombiniert, die zum Beispiel Folgendes enthalten: 1) eine dem Industriestandard entsprechende, hochleistungsfähige, softwareprogrammierbare CPU (Single-Core- oder Multi-Core-CPU), die eng mit den anderen SoC-Komponenten gekoppelt ist; 2) eine hochleistungsfähige Netzwerkschnittstelle, die in der Lage ist, Daten mit der Leitungsrate oder der Geschwindigkeit des restlichen Netzwerks zu analysieren, zu verarbeiten und effizient an GPUs und CPUs zu übertragen; und 3) einen reichhaltigen Satz flexibler und programmierbarer Beschleunigungs-Engines, die die Leistung von Anwendungen für KI und maschinelles Lernen, Sicherheit, Telekommunikation und Speicherung, unter anderem, entlasten und verbessern. Diese Fähigkeiten können eine isolierte, bare-metal, cloud-native Computing-Plattform für Cloud-Scale-Computing ermöglichen. In mindestens einer Ausführungsform kann die DPU 102 als eigenständiger eingebetteter Prozessor verwendet werden. In mindestens einer Ausführungsform kann die DPU 102 in eine Netzwerkschnittstellensteuerung (auch Smart Network Interface Card (SmartNIC) genannt) eingebaut werden, die als Server-Systemkomponente verwendet wird. Eine DPU-basierte Netzwerkschnittstellenkarte (Netzwerkadapter) kann Verarbeitungsaufgaben auslagern, die normalerweise von der CPU des Server-Systems erledigt werden. Mit Hilfe ihres Prozessors kann eine DPU-basierte SmartNIC eine beliebige Kombination von Ver-/Entschlüsselungs-, Firewall-, Transport Control Protocol/Internet Protocol- (TCP/IP) und HyperText Transport Protocol- (HTTP) Verarbeitung durchführen. SmartNICs können z. B. für Webserver mit hohem Datenverkehr eingesetzt werden.
In mindestens einer Ausführungsform kann die DPU 102 für moderne Cloud-Workloads und High-Performance-Computing traditioneller Unternehmen konfiguriert werden. In mindestens einer Ausführungsform kann die DPU 102 eine Reihe von softwaredefinierten Netzwerk-, Speicher-, Sicherheits- und Verwaltungsdiensten (z. B. 122-132) im Rechenzentrumsmaßstab mit der Fähigkeit zur Entlastung, Beschleunigung und Isolierung der Rechenzentrumsinfrastruktur bereitstellen. In mindestens einer Ausführungsform kann die DPU 102 mandantenfähige, cloud-native Umgebungen mit diesen Softwarediensten bereitstellen. In mindestens einer Ausführungsform kann die DPU 102 Rechenzentrumsdienste mit bis zu Hunderten von CPU-Kernen bereitstellen, wodurch wertvolle CPU-Zyklen für die Ausführung geschäftskritischer Anwendungen frei werden. In mindestens einer Ausführungsform kann die DPU 102 als eine neue Art von Prozessor betrachtet werden, der für die Verarbeitung von Rechenzentrumsinfrastruktur-Software ausgelegt ist, um die Computerlast von Virtualisierungs-, Netzwerk-, Speicher-, Sicherheits-, Cloud-nativen KI/ML-Diensten und anderen Verwaltungsdiensten (z. B. 122-132) zu entlasten und zu beschleunigen.
In mindestens einer Ausführungsform kann die DPU 102 Konnektivität mit paketbasierten Verbindungen (z. B. Ethernet), Switched-Fabric-Verbindungen (z. B. InfiniBand, Fibre Channels, Omni-Path) oder Ähnlichem enthalten. In mindestens einer Ausführungsform kann die DPU 102 ein Rechenzentrum bereitstellen, das beschleunigt, vollständig programmierbar und mit Sicherheit (z. B. Zero-Trust-Sicherheit) dafür konfiguriert ist, Datenverletzungen und Cyberangriffe zu verhindern. In mindestens einer Ausführungsform kann die DPU 102 einen Netzwerkadapter, eine Reihe von Prozessorkernen und Infrastruktur-Offload-Engines mit vollständiger Software-Programmierbarkeit enthalten. In mindestens einer Ausführungsform kann die DPU 102 am Rande eines Servers angeordnet sein, um flexible, sichere und leistungsstarke Cloud- und KI-Workloads bereitzustellen. In mindestens einer Ausführungsform kann die DPU 102 die Gesamtbetriebskosten senken und die Effizienz des Rechenzentrums erhöhen. In mindestens einer Ausführungsform kann die DPU 102 das Software-Framework und die Beschleunigungsbibliotheken 112 (z. B. NVIDIA DOCA™) bereitstellen, die es Entwicklern ermöglichen, schnell Anwendungen und Dienste für die DPU 102 zu erstellen, wie z. B. Sicherheitsdienste 122, Virtualisierungsdienste 124, Netzwerkdienste 126, Speicherdienste 128, KI/ML-Dienste 130 und Verwaltungsdienste 132. In mindestens einer Ausführungsform ist das ML-Erfassungssystem 134 in den KI/ML-Diensten 130 implementiert. In einer anderen Ausführungsform ist das ML-Erfassungssystem 134 auf einem oder mehreren Hardware-Beschleunigern 116 oder anderen Komponenten der DPU-Hardware 110 implementiert. In mindestens einer Ausführungsform machen es das Software-Framework und die Beschleunigungsbibliotheken 112 einfach, die Hardware-Beschleuniger der DPU 102 zu nutzen, um Leistung, Effizienz und Sicherheit des Rechenzentrums zu gewährleisten. In mindestens einer Ausführungsform ist das ML-Erfassungssystem 134 in einer GPU implementiert, die mit der DPU 102 gekoppelt ist. Die GPU kann die eine oder mehrere oben beschriebene beschleunigte KI/ML-Pipelines 153 enthalten.
In mindestens einer Ausführungsform kann die DPU 102 Netzwerkdienste 126 mit einem virtuellen Switch (vSwitch), einem virtuellen Router (vRouter), Netzwerkadressübersetzung (NAT), Lastausgleich und Netzwerkvirtualisierung (NFV) bereitstellen. In mindestens einer Ausführungsform kann die DPU 102 Speicherdienste 128 bereitstellen, die NVME™ over Fabrics- (NVMe-oF™) Technologie, elastische Speichervirtualisierung, Hyper-Converged-Infrastructure- (HCl) Verschlüsselung, Datenintegrität, Komprimierung, Datendeduplizierung oder Ähnliches enthalten. NVM Express™ ist eine offene logische Vorrichtungsschnittstellenspezifikation für den Zugriff auf nichtflüchtige Speichermedien, die über die PCI Express® (PCIe) Schnittstelle angeschlossen sind. NVMe-oF™ bietet eine effiziente Abbildung von NVMe-Befehlen auf verschiedene Netzwerk-Transportprotokolle, die es einem Computer (einem „Initiator“) ermöglicht, sehr effizient und mit minimaler Latenz auf Block-Level-Speichervorrichtungen zuzugreifen, die an einen anderen Computer (ein „Ziel“) angeschlossen sind. Der Begriff „Fabric“ ist eine Verallgemeinerung der spezifischeren Begriffe „Netzwerk“ und „Input/Output (I/O)-Kanal“. Er bezieht sich im Wesentlichen auf eine N:M-Verbindung von Elementen, oft in einem peripheren Kontext. Die NVMe-oF™-Technologie ermöglicht den Transport des NVMe-Befehlssatzes über eine Vielzahl von Verbindungsinfrastrukturen, die Netzwerke (z. B. Internet Protocol (IP)/Ethernet) und auch I/O-Kanäle (z. B. Fibre Channel) enthalten. In mindestens einer Ausführungsform kann die DPU 102 Hardware-beschleunigte Sicherheitsdienste 122 bereitstellen, die eine Next-Generation-Firewall (FGFW), Intrusion-Detection-Systeme (IDS), ein Intrusion-Prevention-System (IPS), eine Vertrauenswurzel (Root of Trust), Mikrosegmentierung, verteilte Diensverweigerungs- (Distributed Denial of Service, (DDoS) Präventionstechnologien und ML-Erfassung unter Verwendung der Datenextraktionslogik 146 und des ML-Erfassungssystems 134 nutzen. NGFW ist eine Vorrichtung für die Netzwerksicherheit, die über eine Stateful-Firewall hinausgehende Funktionen bietet, wie Anwendungsbewusstsein und Kontrolle, integrierte Intrusionsprävention und Cloud-gelieferte Bedrohungsintelligenz. In mindestens einer Ausführungsform kann die eine oder mehrere Netzwerkschnittstellen 121 eine Ethernet-Schnittstelle (Einzel- oder Dual-Ports) und eine InfiniBand-Schnittstelle (Einzel- oder Dual-Ports) enthalten. In mindestens einer Ausführungsform können die eine oder die mehreren Host-Schnittstellen 120 eine PCIe-Schnittstelle und einen PCIe-Switch enthalten. In mindestens einer Ausführungsform können die eine oder die mehreren Host-Schnittstellen 120 andere Speicherschnittstellen enthalten. In mindestens einer Ausführungsform kann die CPU 114 mehrere Kerne (z. B. bis zu 8 64-Bit-Kern-Pipelines) mit L2-Cache pro ein oder zwei Kernen und L3-Cache mit Eviction Policies-Unterstützung für Dual-Inline-Speichermodule (DIMM) mit doppelter Datenrate (DDR) (z. B. DDR4-DIMM-Unterstützung) und eine DDR4-DRAM-Steuerung enthalten. Der Speicher 118 kann ein integrierter DDR4-Speicher mit Fehlerkorrektur-Code- (Error Correction Code, ECC) Fehlerschutzunterstützung sein. In mindestens einer Ausführungsform kann die CPU 114 einen einzelnen Kern mit L2- und L3-Caches und einer DRAM Steuerung enthalten. In mindestens einer Ausführungsform kann der eine oder die mehreren Hardware-Beschleuniger 116 einen Sicherheitsbeschleuniger, einen Speicherbeschleuniger und einen Netzwerkbeschleuniger enthalten. In mindestens einer Ausführungsform wird das ML-Erfassungssystem 134 von dem Sicherheitsbeschleuniger gehostet. In mindestens einer Ausführungsform kann der Sicherheitsbeschleuniger Folgendes bereitstellen: ein sicheres Booten mit Hardware-Root-of-Trust, sichere Firmware-Updates, Cerberus-Konformität, Beschleunigung regulärer Ausdrücke (RegEx), IP-Sicherheit (IPsec)/Transport Layer Security (TLS) Data-in-Motion-Verschlüsselung, AES-GCM 128/256-Bit-Schlüssel für Data-at-Rest-Verschlüsselung (z. B. Advanced Encryption Standard (AES) mit Ciphertext Stealing (XTS) (z. B. AES-XTS 256/512), sicheren Hash-Algorithmus (SHA) 256-Bit-Hardware-Beschleunigung, einen Hardware-Beschleuniger für öffentliche Schlüssel (z. B. Rivest-Shamir-Adleman (RSA), Diffie-Hellman, Digital Signal Algorithm (DSA), ECC, Elliptic Curve Cryptography Digital Signal Algorithm (EC-DSA), Elliptic-curve Diffie-Hellman (EC-DH)), und True random number generator (TRNG). In mindestens einer Ausführungsform kann der Speicherbeschleuniger BlueField SNAP - NVMe™ und VirtIO-blk, NVMe-oF™-Beschleunigung, Kompressions- und Dekompressionsbeschleunigung sowie Datenhashing und Deduplizierung bieten. In mindestens einer Ausführungsform kann der Netzwerkbeschleuniger Folgendes bieten: Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) RoCE, Zero Touch RoCE, Stateless Offloads für TCP, IP und User Datagram Protocol (UDP), Large Receive Offload (LRO), Large Segment Offload (LSO), Prüfsumme, Total Sum of Squares (TSS), Residual Sum of Squares (RSS), HTTP Dynamic Streaming (HDS) und Virtual Local Area Network (VLAN) Insertion/Stripping, Single Root I/O Virtualization (SR-IOV), Virtual Ethernet Card (z. B. VirtIO-net), Multifunktionalität pro Port, VMware NetQueue-Unterstützung, Virtualisierungshierarchien und Ingress- und Egress-QoS-Stufen (z. B. 1K Ingress- und Egress-QoS-Stufen). In mindestens einer Ausführungsform kann die DPU 102 auch Boot-Optionen enthalten, einschließlich Secure Boot (RSA-authentifiziert), Remote Boot über Ethernet, Remote Boot über Internet Small Computer System Interface (iSCSI), Preboot Execution Environment (PXE) und Unified Extensible Firmware Interface (UEFI).
In mindestens einer Ausführungsform kann die DPU 102 Verwaltungsdienste bereitstellen, die Folgendes enthalten: einen 1 GbE-Out-of Band-Management-Port, Netzwerksteuerung-Sideband-Interface (NC-SI), Management Component Transport Protocol (MCTP) über System Management Bus (SMBus) und Monitoring Control Table (MCT) über PCIe, Platform Level Data Model (PLDM) für Monitor und Steuerung, PLDM für Firmware-Updates, Inter-Integrated Circuit (I2C)-Schnittstelle zur Steuerung und Konfiguration der Vorrichtung, Serial Peripheral Interface (SPI) Schnittstelle zum Flash, Embedded Multi-Media Card (eMMC)-Speichersteuerung, Universal Asynchronous Receiver/Transmitter (UART) und Universal Serial Bus (USB).
In mindestens einer Ausführungsform ist der Hardware-beschleunigte Sicherheitsdienst 122 ein adaptiver Cloud-Sicherheitsdienst, der Netzwerksichtbarkeit, Erfassung und Reaktion auf Cyberbedrohungen in Echtzeit bietet. In mindestens einer Ausführungsform fungiert der Hardware-beschleunigte Sicherheitsdienst 122 als Überwachungs- oder Telemetrieagent für die DPU 102 oder eine Cybersicherheitsplattform (z. B. 153 in 1B), wie die NVIDIA-Morpheus-Plattform, bei der es sich um eine KI-fähige, Cloud-native Cybersicherheitsplattform handelt. Die NVIDIA Morpheus-Plattform ist ein offenes Anwendungs-Framework, das es Cybersecurity-Entwicklern ermöglicht, KI/ML-Pipelines 153 zum Filtern, Verarbeiten und Klassifizieren großer Mengen von Echtzeitdaten zu erstellen, die es Kunden ermöglichen, Netzwerk- und Server-Telemetrie in großem Umfang kontinuierlich zu überprüfen. Die NVIDIA Morpheus-Plattform kann Datensicherheit für Rechenzentren bereitstellen, um dynamischen Schutz, Echtzeit-Telemetrie und adaptive Verteidigungsmaßnahmen zur Erfassung und Beseitigung von Cybersecurity-Bedrohungen zu ermöglichen.
Bisher wurde Benutzern, Vorrichtungen, Daten und Anwendungen innerhalb des Rechenzentrums implizit vertraut, und die Perimetersicherheit war ausreichend, um sie vor externen Bedrohungen zu schützen. In mindestens einer Ausführungsform kann die DPU 102 unter Verwendung des Hardware-beschleunigten Sicherheitsdienstes 122 den Sicherheitsperimeter mit einem Null-Vertrauensschutzmodell definieren, das erkennt, dass jedem und allem innerhalb und außerhalb des Netzwerks nicht vertraut werden kann. Der Hardware-beschleunigte Sicherheitsdienst 122 kann eine Netzwerkabschirmung mit Verschlüsselung, granularer Zugangskontrolle und Mikrosegmentierung auf jedem Host und für den gesamten Netzwerkverkehr ermöglichen. Der Hardware-beschleunigte Sicherheitsdienst 122 kann eine Isolierung bieten, indem er Sicherheitsagenten in einer vertrauenswürdigen Domäne einsetzt, die von der Host-Domäne getrennt ist. Wenn eine Host-Vorrichtung kompromittiert wird, verhindert diese Isolierung durch den Hardware-beschleunigten Sicherheitsdienst 122, dass die Malware von dem Hardware-beschleunigten Sicherheitsdienst 122 erfährt oder darauf zugreift, was dazu beiträgt, dass sich der Angriff nicht auf andere Server ausbreitet. In mindestens einer Ausführungsform kann der hier beschriebene Hardware-beschleunigte Sicherheitsdienst 122 eine Host-Überwachung bereitstellen, die es Anbietern von Cybersicherheitssystemen ermöglicht, beschleunigte Intrusion-Detection-System-Lösungen (IDS) zu erstellen, um einen Angriff auf eine beliebige physische oder virtuelle Engine zu erfassen. Der Hardware-beschleunigte Sicherheitsdienst 122 kann Daten über den Anwendungsstatus an das SIEM- oder XDR-System 106 weiterleiten. Der Hardware-beschleunigte Sicherheitsdienst 122 kann auch verbesserte forensische Untersuchungen und Reaktionen auf Vorfälle bieten.
Wie oben beschrieben, versuchen Angreifer, Lücken in Sicherheitskontrollmechanismen auszunutzen, um sich seitlich über Netzwerke von Rechenzentren zu anderen Servern und Vorrichtungen zu bewegen. Der hier beschriebene Hardware-beschleunigte Sicherheitsdienst 122 kann Sicherheitsteams in die Lage versetzen, ihre Anwendungsprozesse abzuschirmen, ihre Integrität kontinuierlich zu überprüfen und im Gegenzug bösartige Aktivitäten zu erfassen. Wenn ein Angreifer die Prozesse des Sicherheitssteuerungsmechanismus beendet, kann der hier beschriebene Hardware-beschleunigte Sicherheitsdienst 122 den Angriff abschwächen, indem er die kompromittierte Host-Vorrichtung isoliert und verhindert, dass die Malware auf vertrauliche Daten zugreift oder sich auf andere Ressourcen ausbreitet.
Üblicherweise laufen Sicherheitstools in der gleichen Host-Domäne wie die Malware. Stealthy Malware kann also Techniken anwenden, um sich vor der Host-Vorrichtung zu verbergen, so dass die Malware unbemerkt die Agenten und das Betriebssystem (OS) übernehmen und manipulieren kann. Wenn beispielsweise eine Antivirensoftware auf einer Host-Vorrichtung läuft, die weiter betrieben werden muss oder nicht ausgesetzt wird, überwacht der hier beschriebene Hardware-beschleunigte Sicherheitsdienst 122 aktiv den Prozess, um etwaige Anomalien, Malware oder Eindringlinge zu bestimmen, wie in den verschiedenen unten beschriebenen Ausführungsformen ausführlicher beschrieben. Die Malware läuft in der Host-Domäne und der Hardware-beschleunigte Sicherheitsdienst 122 läuft in einer anderen Domäne als die Host-Domäne.
Die Host-Vorrichtung 104 kann ein Desktop-Computer, ein Laptop-Computer, ein Smartphone, ein Tablet-Computer, ein Server oder jede andere geeignete Computervorrichtung sein, die in der Lage ist, die hier beschriebenen Techniken auszuführen. In einigen Ausführungsformen kann die Host-Vorrichtung 104 eine Computervorrichtung einer Cloud-Computing-Plattform sein. Zum Beispiel kann die Host-Vorrichtung 104 eine Server-Engine einer Cloud-Computing-Plattform oder eine Komponente der Server-Engine sein. In solchen Ausführungsformen kann die Host-Vorrichtung 104 über ein Netzwerk 108 mit einer oder mehreren Edge-Vorrichtungen (nicht dargestellt) verbunden sein. Eine Edge-Vorrichtung bezieht sich auf eine Computervorrichtung, die die Kommunikation zwischen Computervorrichtungen an der Grenze zweier Netzwerke ermöglicht. Beispielsweise kann eine Edge-Vorrichtung über das Netzwerk 108 mit der Host-Vorrichtung 104, einem oder mehreren Datenspeichern, einem oder mehreren Server-Computern und über ein anderes Netzwerk mit einer oder mehreren Endpunktvorrichtungen (nicht dargestellt) verbunden sein. In einem solchen Beispiel kann die Edge-Vorrichtung die Kommunikation zwischen der Host-Vorrichtung 104, einem oder mehreren Datenspeichern, einem oder mehreren Server-Computern und einer oder mehreren Client-Vorrichtungen ermöglichen. In anderen oder ähnlichen Ausführungsformen kann die Host-Vorrichtung 104 eine Edge-Vorrichtung oder eine Komponente einer Edge-Vorrichtung sein. Zum Beispiel kann die Host-Vorrichtung 104 die Kommunikation zwischen einem oder mehreren Datenspeichern, einem oder mehreren Server-Computern, die über das Netzwerk 108 mit der Host-Vorrichtung 104 verbunden sind, und einer oder mehreren Client-Vorrichtungen, die über ein anderes Netzwerk mit der Host-Vorrichtung 104 verbunden sind, ermöglichen.
In noch anderen oder ähnlichen Ausführungsformen kann die Host-Vorrichtung 104 eine Endpunktvorrichtung oder eine Komponente einer Endpunktvorrichtung sein. Zum Beispiel kann die Host-Vorrichtung 104 eine Vorrichtung oder eine Komponente von Vorrichtungen sein wie Fernsehern, Smartphones, Mobiltelefonen, Rechenzentrumsservern, Daten-DPUs, persönlichen digitalen Assistenten (PDAs), tragbaren Mediaplayern, Netbooks, Laptop-Computern, elektronischen Buchlesern, Tablet-Computern, Desktop-Computern, Set-Top-Boxen, Spielkonsolen, einer Computervorrichtung für autonome Fahrzeuge, einer Überwachungsvorrichtung und dergleichen sein. In solchen Ausführungsformen kann die Host-Vorrichtung 104 mit der DPU 102 über eine oder mehrere Netzwerkschnittstellen 121 über das Netzwerk 108 verbunden sein. In anderen oder ähnlichen Ausführungsformen kann die Host-Vorrichtung 104 über ein anderes Netzwerk mit einer Edge-Vorrichtung (nicht dargestellt) verbunden sein, und die Edge-Vorrichtung kann über das Netzwerk 108 mit der DPU 102 verbunden sein.
In mindestens einer Ausführungsform führt die Host-Vorrichtung 104 ein oder mehrere Computerprogramme aus. Bei einem oder mehreren Computerprogrammen kann es sich um jeden Prozess, jede Routine oder jeden Code handeln, der von der Host-Vorrichtung 104 ausgeführt wird, wie z. B. ein Host-Betriebssystem, eine Anwendung, ein Gast-Betriebssystem einer virtuellen Engine oder eine Gast-Anwendung, wie sie in einem Container ausgeführt wird. Die Host-Vorrichtung 104 kann eine oder mehrere CPUs mit einem oder mehreren Kernen, eine oder mehrere Multi-Core-CPUs, eine oder mehrere GPUs, einen oder mehrere Hardware-Beschleuniger oder ähnliches enthalten.
In mindestens einer Ausführungsform befinden sich ein oder mehrere Computerprogramme in einer ersten Computerdomäne (z. B. einer Host-Domäne), und der Hardware-beschleunigte Sicherheitsdienst 122 und das ML-Erfassungssystem 134 befinden sich in einer zweiten Computerdomäne (z. B. einer DPU-Domäne oder einer Infrastruktur-Domäne), die sich von der ersten Computerdomäne unterscheidet. In mindestens einer Ausführungsform wird die bösartige Aktivität durch Malware verursacht, und der Hardware-beschleunigte Sicherheitsdienst 122 ist eine Out-of-Band-Sicherheitssoftware in einer vertrauenswürdigen Domäne, die sich von der Malware unterscheidet und von ihr isoliert ist. Das heißt, die Malware kann sich in einer Host-Domäne befinden, und der Hardware-beschleunigte Sicherheitsdienst 122, der sich in der vertrauenswürdigen Domäne befindet, kann den physischen Speicher überwachen, um die Malware in der Host-Domäne zu erfassen. In mindestens einer Ausführungsform enthält die DPU 102 eine Steuerung für direkten Speicherzugriff (Direct Memory Access, DMA) (in 1A nicht dargestellt), die mit der Host-Schnittstelle 120 verbunden ist. Die DMA-Steuerung kann die Daten aus dem physikalischen Speicher 148 des Hosts über die Host-Schnittstelle 120 lesen. In mindestens einer Ausführungsform liest die DMA-Steuerung Daten aus dem physikalischen Host-Speicher 148 unter Verwendung der PCIe-Technologie. Alternativ können auch andere Technologien verwendet werden, um Daten aus dem physikalischen Host-Speicher 148 zu lesen.
Obwohl verschiedene oben beschriebene Ausführungsformen sich auf Ausführungsformen beziehen, bei denen der Hardware-beschleunigte Sicherheitsdienst 122 und das ML-Erfassungssystem 134 in separaten Computervorrichtungen, einschließlich der DPU 102 und der beschleunigten KI/MI-Pipelines 153 (z. B. auf einer mit der DPU gekoppelten GPU), implementiert sind, werden in anderen Ausführungsformen die Operationen auf einer einzigen DPU 102 durchgeführt. In anderen Ausführungsformen kann die DPU 102 ein beliebiges Computersystem oder eine beliebige Computervorrichtung sein, die in der Lage ist, die hierin beschriebenen Techniken auszuführen.
In mindestens einer Ausführungsform befindet sich die Host-Vorrichtung 104 in einer ersten Computerdomäne (z. B. einer Host-Domäne), und der Hardware-beschleunigte Sicherheitsdienst 122 und das ML-Erfassungssystem 134 befinden sich in einer zweiten Computerdomäne (z. B. der DPU-Domäne), die sich von der ersten Computerdomäne unterscheidet. In einer anderen Ausführungsform befindet sich die Host-Vorrichtung 104 in einer ersten Computerdomäne (z. B. einer Host-Domäne), der Hardware-beschleunigte Sicherheitsdienst 122 befindet sich in einer zweiten Computerdomäne (z. B. DPU-Domäne), und das ML-Erfassungssystem 134 befindet sich in einer dritten Computerdomäne, die sich von der ersten und zweiten Computerdomäne unterscheidet.
1B ist ein Blockdiagramm einer beispielhaften Systemarchitektur 180, gemäß mindestens einer Ausführungsform. Die Systemarchitektur 180 ähnelt der Systemarchitektur 100, wie durch ähnliche Referenznummern vermerkt, mit Ausnahme des im Folgenden aufgeführten. Die Systemarchitektur 180 enthält einen integrierten Schaltkreis, der mit DPU 102 und GPU 152 bezeichnet ist. Die GPU 152 kann eine Cybersicherheitsplattform beherbergen, wie die beschleunigte KI/ML-Pipeline 153. In mindestens einer Ausführungsform kann die beschleunigte KI/ML-Pipeline 153 Teil der NVIDIA MORPHEUS-Cybersicherheitsplattform sein. Wie oben beschrieben, ist die NVIDIA-Morpheus-Plattform eine KI-fähige, Cloud-native Cybersicherheitsplattform. Die NVIDIA Morpheus-Plattform ist ein offenes Anwendungs-Framework, das es Cybersecurity-Entwicklern ermöglicht, KI/ML-Pipelines zum Filtern, Verarbeiten und Klassifizieren großer Mengen von Echtzeitdaten zu erstellen, die es Kunden ermöglichen, Netzwerk- und Server-Telemetrie in großem Umfang kontinuierlich zu überprüfen. Die NVIDIA Morpheus-Plattform kann Datensicherheit für Rechenzentren bereitstellen, um dynamischen Schutz, Echtzeit-Telemetrie und adaptive Verteidigungsmaßnahmen zur Erfassung und Beseitigung von Cybersecurity-Bedrohungen zu ermöglichen. In mindestens einer Ausführungsform von 1B extrahiert die DPU 102 die Netzwerkdaten 101 und die Metadaten 103 von der DPU-Hardware 160 der DPU 102. Die Netzwerkdaten 101 können aus dem Netzwerkverkehr extrahiert werden, der von den Netzwerkschnittstellen der DPU-Hardware 160 empfangen wird. Die Metadaten 103 können aus einem oder mehreren Registern, Zählern oder dergleichen der DPU-Hardware 160 extrahiert werden.
In mindestens einer Ausführungsform enthält die DPU 102 einen Flussinspektor 162, der die Netzwerkdaten 101 extrahiert, und einen Telemetrieagenten 164, der die Metadaten 103 von der DPU-Hardware 160 extrahiert, wie oben beschrieben. Der Flussinspektor 162 kann durch eine Konfigurationsdatei konfiguriert werden, die angibt, welche Art von Daten aus den Netzwerkdaten 101 extrahiert werden sollen. Die Konfigurationsdatei kann einen oder mehrere Filter spezifizieren, die bestimmte Daten aus den Netzwerkdaten 101 zur Einbeziehung extrahieren oder aus der Einbeziehung entfernen. Der Flussinspektor 162 kann eine Datenstruktur mit den extrahierten Daten erzeugen. Die Datenstruktur kann ein beliebiger Typ von Datenstruktur sein, wie z. B. ein Struct, eine Aufgabe, eine Nachricht oder ähnliches. Zum Beispiel kann die Konfigurationsdatei festlegen, dass der gesamte HTTP-Verkehr aus den Netzwerkdaten 101 extrahiert wird. Die Konfigurationsdatei kann festlegen, dass der gesamte Verkehr auf Port 80, Port 443 und/oder Port 22 aus den Netzwerkdaten 101 zur Analyse durch die Cybersicherheitsplattform extrahiert werden soll. Der Flussinspektor 162 sendet strukturierte Daten 161 an den Telemetrie-Agenten 164. In mindestens einer Ausführungsform kann der Telemetrie-Agent 164 durch eine Konfigurationsdatei (dieselbe oder eine andere Konfigurationsdatei als der Flussinspektor 162) programmiert werden, die angibt, welche Metadaten 103 aus der DPU-Hardware 160 extrahiert werden sollen, beispielsweise aus eingebetteten Zählern, Registern oder dergleichen. Die Konfigurationsdatei kann zum Beispiel angeben, welche Werte aus Zählern, Registern oder ähnlichem vom Telemetrieagenten 164 extrahiert werden sollen, um mit den extrahierten Netzwerkdaten gestreamt zu werden. In mindestens einer Ausführungsform kombiniert der Telemetrie-Agent 164 die Metadaten 103 mit den strukturierten Daten 161 zu gestreamten strukturierten Daten 163. Der Telemetrie-Agent 164 sendet die gestreamten strukturierten Daten 163 an die GPU 152. In dieser Ausführungsform enthält die Cybersicherheitsplattform eine oder mehrere beschleunigte KI/MI-Pipelines 153, die auf der GPU-Hardware 160 eingesetzt werden. Die Cybersicherheitsplattform kann das Netzwerkanomalie-Erfassungssystem 136 implementieren.
In mindestens einer Ausführungsform enthält die DPU-Hardware 160 einen Datenpuffer zum Speichern der Netzwerkdaten 101. In mindestens einer Ausführungsform erstellt die DPU-Hardware 160 eine Kopie der Netzwerkdaten 101, so dass sie durch den Flussinspektor 162 gefiltert werden können, um die strukturierten Daten 161 zu extrahieren.
In mindestens einer Ausführungsform enthält ein Computersystem die DPU 150 und die GPU 152. Die DPU 150 enthält eine Netzwerkschnittstelle, eine Host-Schnittstelle, eine CPU und eine Beschleunigungs-Hardware-Engine. Die DPU 150 weist DPU-Hardware 160 auf, die eine Netzwerkschnittstelle, eine Hostschnittstelle, eine CPU und eine Beschleunigungs-Hardware-Engine enthält. Die DPU 150 weist auch DPU-Software auf, die einen Hardware-beschleunigten Sicherheitsdienst mit dem Flussinspektor 162 und dem Telemetrie-Agenten 164 enthält, um eine Host-Vorrichtung vor einem bösartigen Angriff aus dem Netzwerk zu schützen. Wie hier beschrieben, extrahiert der Hardware-beschleunigte Sicherheitsdienst einen Satz von Merkmalen aus ersten Daten im Netzwerkverkehr, die auf der Netzwerkschnittstelle empfangen werden, und zweiten Daten, die in einem oder mehreren Registern in der DPU-Hardware 160 gespeichert sind. Die GPU 152 oder eine andere beschleunigte Pipeline-Hardware ist mit der DPU 160 gekoppelt. Die GPU 152 bestimmt unter Verwendung eines ML-Erfassungssystems, ob die Host-Vorrichtung basierend auf dem Satz von Merkmalen einem bösartigen Netzwerkangriff ausgesetzt ist. Die GPU 152 sendet eine Durchsetzungsregel an die DPU 150 als Reaktion auf die Bestimmung, dass die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist.
In mindestens einer Ausführungsform kann der Hardware-beschleunigte Sicherheitsdienst (Flussinspektor 162 und Telemetrieagent 164) erste Merkmalsdaten aus dem Netzwerkverkehr und zweite Merkmalsdaten aus einem oder mehreren Registern in der DPU-Hardware 160 extrahieren. Der Hardware-beschleunigte Sicherheitsdienst (Flussinspektor 162 und Telemetrie-Agent 164) kann die ersten Merkmalsdaten und die zweiten Merkmalsdaten zu dem Satz von Merkmalen kombinieren. Der Hardware-beschleunigte Sicherheitsdienst kann den Satz von Merkmalen an die GPU 152 (z. B. beschleunigte Pipeline-Hardware 153) senden, um zu bestimmen, ob die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist. Als Reaktion auf eine Bestimmung durch die GPU 152 (z. B. oder beschleunigte Pipeline-Hardware 153), dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist, kann die GPU 152 (z. B. oder beschleunigte Pipeline-Hardware 153) die Durchsetzungsregel 107 an die DPU 150 senden. Die DPU 150 kann eine Aktion, die der Durchsetzungsregel 107 zugeordnet ist, auf den nachfolgenden Netzwerkverkehr, der an die Host-Vorrichtung gerichtet ist, durchführen.
In mindestens einer Ausführungsform befindet sich die Host-Vorrichtung in einer ersten Computerdomäne, und die DPU Software befindet sich in einer zweiten Computerdomäne, die sich von der ersten Computerdomäne unterscheidet. Das ML-Erfassungssystem kann sich in der zweiten Computerdomäne oder einer dritten Computerdomäne befinden, die sich von der ersten Computerdomäne und der zweiten Computerdomäne unterscheidet.
2 ist ein Flussdiagramm eines beispielhaften Verfahrens 200 zur Erfassung eines bösartigen Netzwerkangriffs auf eine Host-Vorrichtung gemäß mindestens einer Ausführungsform. In mindestens einer Ausführungsform kann das Verfahren 200 durch Verarbeitung der Logik der DPU 102 durchgeführt werden. In mindestens einer Ausführungsform kann das Verfahren 200 durch die Verarbeitung der Logik der DPU 102 und der Verarbeitungslogik der beschleunigten KI/ML-Pipeline 153 durchgeführt werden. Die Verarbeitungslogik kann eine Kombination aus Hardware, Firmware, Software oder einer beliebigen Kombination davon sein. Das Verfahren 200 kann von einer oder mehreren Datenverarbeitungseinheiten (z. B. DPUs, CPUs und/oder GPUs) durchgeführt werden, die eine oder mehrere Speichervorrichtungen enthalten (oder mit diesen kommunizieren). In mindestens einer Ausführungsform kann das Verfahren 200 durch mehrere Verarbeitungs-Threads ausgeführt werden, wobei jeder Thread eine oder mehrere individuelle Funktionen, Routinen, Unterprogramme oder Operationen des Verfahrens ausführt. In mindestens einer Ausführungsform können Verarbeitungs-Threads, die das Verfahren 200 implementieren, synchronisiert werden (z. B. unter Verwendung von Semaphoren, kritischen Abschnitten und/oder anderer Thread-Synchronisierungslogik). Alternativ können Verarbeitungs-Threads, die das Verfahren 200 implementieren, asynchron in Bezug auf einander ausgeführt werden. Verschiedene Operationen des Verfahrens 200 können anders als in der in 2 gezeigten Reihenfolge ausgeführt werden. Einige Operationen der Verfahren können gleichzeitig mit anderen Operationen ausgeführt werden. In mindestens einer Ausführungsform können ein oder mehrere der in 2 gezeigten Vorgänge nicht immer ausgeführt werden.
Unter Bezugnahme auf 2 extrahiert die Verarbeitungslogik erste Merkmale aus ersten Daten im Netzwerkverkehr, die auf einer Netzwerkschnittstelle empfangen werden (Block 202). Bei den ersten Daten handelt es sich um Netzwerkdaten, die an eine Host-Vorrichtung gerichtet sind. Die Verarbeitungslogik extrahiert zweite Merkmale aus zweiten Daten, die in einem oder mehreren Registern in einer Beschleunigungs-Hardware-Engine gespeichert sind (Block 204). Die Verarbeitungslogik bestimmt mit einem ML-Erfassungssystem basierend auf den ersten und zweiten Merkmalen, ob die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist (Block 206). Die Verarbeitungslogik führt eine Aktion aus, die einer Durchsetzungsregel für nachfolgenden Netzwerkverkehr zugeordnet ist, der von der zweiten Vorrichtung an die Host-Vorrichtung gerichtet ist, und zwar als Reaktion auf die Bestimmung, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist (Block 208).
In mindestens einer Ausführungsform extrahiert die Verarbeitungslogik erste Merkmalsdaten aus dem Netzwerkverkehr und zweite Merkmalsdaten aus dem einen oder mehreren Registern in der Beschleunigungs-Hardware-Engine. Die Verarbeitungslogik kombiniert die ersten Merkmalsdaten und die zweiten Merkmalsdaten zu einem Satz von Merkmalen. Die Verarbeitungslogik sendet den Satz von Merkmalen an eine beschleunigte Pipeline-Hardware. Die beschleunigte Pipeline-Hardware hostet das ML-Erfassungssystem. Die Verarbeitungslogik empfängt die Durchsetzungsregel von der beschleunigten Pipeline-Hardware als Reaktion auf eine Bestimmung durch die beschleunigte Pipeline-Hardware, dass die Host-Vorrichtung einem bösartigen Netzwerkangriff basierend auf der Vielzahl von Merkmalen ausgesetzt ist.
In mindestens einer Ausführungsform zerlegt die Verarbeitungslogik die ersten Merkmalsdaten in Tokens und extrahiert numerische Merkmale aus den zweiten Merkmalsdaten. Das ML-Erfassungssystem enthält ein Klassifizierungsmodell, das trainiert wurde, um die ersten und zweiten Merkmalsdaten basierend auf den Token und den numerischen Merkmalen als bösartig oder gutartig zu klassifizieren.
In einer anderen Ausführungsform enthält das Klassifizierungsmodell eine Einbettungsschicht, eine LSTM-Schicht und eine Schicht eines neuronalen Netzwerks. Die Einbettungsschicht kann die Token als eine Eingabesequenz von Token empfangen und einen Eingabevektor basierend auf der Eingabesequenz von Token erzeugen. Die LSTM-Schicht kann trainiert werden, um einen Ausgabevektor basierend auf dem Eingabevektor zu erzeugen. Die Schicht des neuronalen Netzwerks kann trainiert werden, um die ersten und zweiten Merkmalsdaten unter Verwendung des Ausgabevektors der LSTM-Schicht und der numerischen Merkmale der zweiten Merkmalsdaten als bösartig oder gutartig zu klassifizieren.
In mindestens einer Ausführungsform befindet sich die Host-Vorrichtung in einer ersten Computerdomäne, und die DPU und das ML-Erfassungssystem befinden sich in einer zweiten Computerdomäne, die sich von der ersten Computerdomäne unterscheidet. In mindestens einer Ausführungsform befindet sich die Host-Vorrichtung in einer ersten Computerdomäne, die DPU befindet sich in einer zweiten Computerdomäne, die sich von der ersten Computerdomäne unterscheidet, und das ML-Erfassungssystem befindet sich in einer dritten Computerdomäne, die sich von der ersten Computerdomäne und der zweiten Computerdomäne unterscheidet.
NETZWERKANOMALIE-ERFASSUNG
Wie oben beschrieben, wird eine Art von bösartiger Aktivität durch bösartige Angriffe auf das Netzwerk verursacht, z. B. durch Netzwerkverkehr auf bestimmten Ports. In mindestens einer Ausführungsform sind der Hardware-beschleunigte Sicherheitsdienst und die Cybersicherheitsplattform Teil eines aktiven Systems zur Erfassung von bösartigen Netzwerkangriffen auf eine Host-Vorrichtung, indem der Netzwerkverkehr ständig auf Anomalien überwacht wird, indem beschleunigte Hardware zur Merkmalsextraktion aus dem Netzwerkverkehr und beschleunigte Hardware zur Anomalieerfassung eingesetzt werden. Der Hardware-beschleunigte Sicherheitsdienst kann bestimmte Arten von Netzwerkdaten und Metadaten aus der zugrunde liegenden Beschleunigungs-Hardware- extrahieren und diese Informationen zur ML-basierten Anomalieerfassung an einen Grafikprozessor streamen. Der Hardware-beschleunigte Sicherheitsdienst ermöglicht eine Live-Netzwerkanalyse (oder Echtzeit-Datenanalyse) des Netzwerkverkehrs und bietet Mitigation oder Durchsetzung, um den als bösartig eingestuften Netzwerkverkehr sofort zu stoppen. In mindestens einer Ausführungsform kann eine DPU eine Kopie der Netzwerkdaten verarbeiten, Merkmale oder Hinweise aus den Netzwerkdaten extrahieren und Merkmale aus der DPU-Hardware selbst extrahieren, bevor sie an ein ML-Erfassungssystem auf beschleunigter Hardware, wie einer mit der DPU gekoppelten GPU, gesendet werden. Die DPU kann Echtzeitdaten mit Out-of-Band-Filterung unter Verwendung des Hardware-beschleunigten Sicherheitsdienstes sammeln. Die DPU kann ein System zur Erfassung von Netzwerkanomalien in die vom Hardware-beschleunigten Sicherheitsdienst gesammelten Echtzeitdaten integrieren, um bösartige Netzwerkaktivitäten im Netzwerkverkehr zu erfassen und als Reaktion darauf sofort Durchsetzungs-, Abmilderungs- oder Abhilfemaßnahmen zu ergreifen.
3A ist ein Blockdiagramm eines beispielhaften Netzwerkanomalie-Erfassungssystems 136 gemäß mindestens einer Ausführungsform. Das Netzwerkanomalie-Erfassungssystem 136 enthält eine Merkmalsextraktionslogik 144 und ein binäres Klassifizierungsmodell 300, das so trainiert wurde, dass es den Netzwerkverkehr anhand eines Satzes von Merkmalen als bösartig und gutartig klassifiziert. Die Merkmalsextraktionslogik 144 empfängt gestreamte strukturierte Daten 163 (oder gestreamte Daten 105), wie oben beschrieben, extrahiert erste Merkmalsdaten 301 aus den gestreamten strukturierten Daten 163 und extrahiert zweite Merkmalsdaten 303 (z. B. numerische Merkmale der Metadaten) aus einem oder mehreren Registern in der Beschleunigungs-Hardware-Engine. Für das binäre Klassifizierungsmodell 300 extrahiert die Merkmalsextraktionslogik 144 Merkmale und teilt die Merkmale in Token-Merkmale ein. Die Merkmalsextraktionslogik 144 kann die Token und numerischen Merkmale dem binären Klassifizierungsmodell 300 zur Verfügung stellen, das darauf trainiert ist, den Netzwerkverkehr anhand der Token und numerischen Merkmale als bösartig 309 oder gutartig 311 zu klassifizieren.
In mindestens einer Ausführungsform enthält das binäre Klassifizierungsmodell 300 eine Einbettungsschicht 302, eine LSTM-Schicht 304 und eine vollständig verbundene neuronale Netzwerkschicht 306. Die Einbettungsschicht 302 kann Token als eine Eingabesequenz von Token empfangen, die die extrahierten Netzwerkdaten darstellen. Die Einbettungsschicht 302 kann basierend auf der Eingabesequenz von Token einen Eingabevektor 305 erzeugen. Eingabevektor 305 kann die Wörtenretzwerkdaten in einem von der LSTM-Schicht 304 verwendeten Vektorraum repräsentieren. Die LSTM-Schicht 304 kann den Eingabevektor 305 empfangen und einen Ausgabevektor 307 basierend auf dem Eingabevektor 305 erzeugen. Die vollständig verbundene neuronale Netzwerkschicht 306 kann den Ausgabevektor 307 von der LSTM-Schicht 304 und numerische Merkmale (Metadaten) empfangen. Die vollständig verbundene neuronale Netzwerkschicht 306 wird trainiert, um die Netzwerkdaten und Metadaten als bösartig 309 oder gutartig 311 zu klassifizieren, indem der Ausgabevektor 307 von der LSTM-Schicht 5304 und die numerischen Merkmale der Metadaten verwendet werden. In mindestens einer Ausführungsform kann die vollständig verbundene neuronale Netzwerkschicht 306 einen Vertrauensgrad bestimmen, dass die Netzwerkaktivität der bösartigen Klasse entspricht. Der Vertrauensgrad kann eine prozentuale Vorhersage sein, dass die Aktivität bösartig ist. Wenn der Vertrauensgrad beispielsweise ein Vertrauensgradkriterium (z. B. einen Vertrauensschwellenwert) erfüllt, kann die vollständig verbundene neuronale Netzwerkschicht 306 die Netzwerkaktivität als bösartig klassifizieren 309.
In mindestens einer Ausführungsform kann das Netzwerkanomalie-Erfassungssystem 136 einen Hinweis auf eine bösartige Netzwerkaktivität 313 ausgeben, nachdem die Netzwerkaktivität als bösartig 309 klassifiziert wurde. Der Hinweis auf eine bösartige Netzwerkaktivität 313 kann den Vertrauensgrad angeben, dass die Netzwerkaktivität der bösartigen Klasse entspricht. Alternativ kann das Netzwerkanomalie-Erfassungssystem 136 einen Hinweis auf eine gutartige Netzwerkaktivität ausgeben, nachdem die Netzwerkaktivität als gutartig 311 klassifiziert wurde. Der Hinweis auf eine gutartige Netzwerkaktivität kann einen Vertrauensgrad angeben, dass die Netzwerkaktivität gutartig ist.
Wie oben beschrieben, können ML-Erfassungsmodelle, wie das binäre Klassifizierungsmodell 300, in einem Netzwerkanomalie-Erfassungssystem 136 eingesetzt werden, das sich in einer GPU 152 oder einer anderen Hardware-beschleunigten Hardware befindet, wie in 3B näher beschrieben, oder in einem Netzwerkanomalie-Erfassungssystem 136, das sich in einer beschleunigten KI/ML-Pipeline 153 befindet, wie in 3C näher beschrieben.
3B ist ein Blockdiagramm einer beispielhaften Systemarchitektur 320 für das Netzwerkanomalie-Erfassungssystem 136, gemäß mindestens einer Ausführungsform. In der Systemarchitektur 320 hostet die DPU 102 den Hardware-beschleunigten Sicherheitsdienst 122 und das Netzwerkanomalie-Erfassungssystem 136. Der Hardware-beschleunigte Sicherheitsdienst 122 extrahiert Merkmalsdaten 321, wie oben in Bezug auf 3A beschrieben, und sendet die Merkmalsdaten 321 an das Netzwerkanomalieerfassungssystem 136 oder stellt sie auf andere Weise zur Verfügung. Das Netzwerkanomalie-Erfassungssystem 136 klassifiziert unter Verwendung des binären Klassifizierungsmodells 300 die Netzwerkaktivität als bösartig oder gutartig und sendet eine Durchsetzungsregel 323 an den Hardware-beschleunigten Sicherheitsdienst 122, wie z. B. das sofortige Blockieren von nachfolgenden Netzwerkaktivitäten des Angreifers. In mindestens einer Ausführungsform kann das Netzwerkanomalie-Erfassungssystem 136 auch einen Hinweis auf eine bösartige Netzwerkaktivität 313 an das SIEM- oder XDR-System 106 ausgeben, um weitere Maßnahmen durch das SIEM- oder XDR-System 106 einzuleiten. Das SIEM- oder XDR-System 106 kann die Ergebnisse der Klassifizierung von Ransomware überwachen und anzeigen, beispielsweise auf einem Dashboard, das einem Benutzer oder Bediener des SIEM- oder XDR-Systems 106 angezeigt wird.
In einer anderen Ausführungsform können sich der Hardware-beschleunigte Sicherheitsdienst 122 und das System zur Erfassung von Netzwerkanomalien 136 auf einer Konvergenzkarte befinden, die sowohl DPU-Hardware als auch GPU-Hardware enthält. Die Konvergenzkarte kann ein einziger integrierter Schaltkreis mit der DPU- und GPU-Hardware sein. In einer anderen Ausführungsform kann die Konvergenzkarte mehrere integrierte Schaltungen enthalten, um die Funktionalität der DPU und der GPU, wie hierin beschrieben, zu implementieren.
In verschiedenen Ausführungsformen werden die Datenextraktion und die Datenanalyse durch beschleunigte Hardware durchgeführt. Die beschleunigte Hardware kann verwendet werden, um Merkmalsdaten aus dem Netzwerkverkehr zu extrahieren, und die beschleunigte Hardware kann verwendet werden, um ML-basierte Anomalieerfassung durchzuführen, wie hierin beschrieben. Die beschleunigte Hardware kann außerdem als Reaktion auf die Erfassung von Anomalien Durchsetzungsregeln bereitstellen, um die Host-Vorrichtung vor bösartigen Netzwerkaktivitäten zu schützen. Die beschleunigte Hardware kann die Daten in jedem Format strukturieren, das die Cybersicherheitsplattform empfangen kann. Die Struktur kann eine Nachricht, ein Struct oder dergleichen sein. Die Merkmalsdaten müssen nicht unbedingt in einem gängigen Format formatiert oder serialisiert werden, um an die Cybersicherheitsplattform gesendet zu werden. In anderen Ausführungsformen kann die beschleunigte Hardware ein gemeinsames Format verwenden oder die Daten serialisieren, um sie an die Cybersicherheitsplattform zu senden.
3C ist ein Blockdiagramm einer beispielhaften Systemarchitektur 340 für das Ransomware-Erfassungssystem gemäß mindestens einer Ausführungsform. In der Systemarchitektur 340 hostet die DPU 102 den Hardware-beschleunigten Sicherheitsdienst 122, und die beschleunigte KI/ML-Pipeline 153 hostet das Netzwerkanomalie-Erfassungssystem 136. Der Hardware-beschleunigte Sicherheitsdienst 122 extrahiert Merkmalsdaten 321, wie oben in Bezug auf 3A beschrieben, und sendet die Merkmalsdaten 321 an ein Herausgeber-Abonnementmerkmal 342 (z. B. Kafka) oder stellt sie anderweitig zur Verfügung. Das Herausgeber-Abonnementmerkmal 342 sendet die Merkmalsdaten 321 an das Netzwerkanomalie-Erfassungssystem 136 oder stellt sie auf andere Weise zur Verfügung. Das Netzwerkanomalie-Erfassungssystem 136 klassifiziert unter Verwendung des binären Klassifizierungsmodells 300 die Netzwerkaktivität als bösartig oder gutartig und sendet eine Durchsetzungsregel 343 an das Herausgeber-Abonnementmerkmal 342. Das Herausgeber-Abonnementmerkmal 342 kann die Durchsetzungsregel 343 an den Hardware-beschleunigten Sicherheitsdienst 122 senden. In mindestens einer Ausführungsform kann das Netzwerkanomalie-Erfassungssystem 136 einen Hinweis auf eine bösartige Netzwerkaktivität 313 an das SIEM- oder XDR-System 106 ausgeben, um weitere Maßnahmen durch das SIEM- oder XDR-System 106 einzuleiten.
4 ist ein Blockdiagramm eines Computersystems 400 mit einer DPU 402 und einer GPU 404, die zwischen einer ersten Host-Vorrichtung 406 und einer zweiten Host-Vorrichtung 408 gekoppelt sind, gemäß mindestens einer Ausführungsform. In mindestens einer Ausführungsform befinden sich das Computersystem 400 und die erste Host-Vorrichtung 406 in einem Rechenzentrum, und die zweite Host-Vorrichtung 408 ist ein bösartiger Host, der versucht, die erste Host-Vorrichtung 406 anzugreifen. In mindestens einer Ausführungsform enthält die GPU 404 ein Modell mit maschinellem Lernen (ML) 410, das potenziell bösartige Netzwerkaktivitäten zwischen der ersten Host-Vorrichtung 406 und der zweiten Host-Vorrichtung 408 identifiziert. Das Computersystem 400 kann eine Netzwerkvorrichtung, eine Infrastrukturvorrichtung oder dergleichen sein, die eine Netzwerkfunktion ausführt, wie die Funktionen, die von Hubs, Repeatern, Switches, Routern, Brücken, Gateways, Modems oder Netzwerkschnittstellen ausgeführt werden. Beispiele für Netzwerkvorrichtungen können, ohne darauf beschränkt beschränkt zu sein, Access Points, Router, Wi-Fi® Access Points, Wi-Fi® Router, Switches, Hubs, Bridges, Modems, DPUs, SmartNICs, aktive Kabel oder ähnliches enthalten. In mindestens einer Ausführungsform arbeitet das Computersystem 400 auf einer oder mehreren Schichten des OSI-Modells („Open Systems Interconnection“). Beispielsweise kann das Computersystem 400 in einigen Fällen einem Hub entsprechen, der Computervorrichtungen verbindet, die auf Ebene eins des OSI-Modells arbeiten. In einer anderen Ausführungsform ist das Computersystem 400 eine Brücke oder ein Switch, der Verkehr auf der OSI-Schicht zwei verarbeitet. In einer anderen Ausführungsform ist das Computersystem 400 ein Router, der auf der OSI-Schicht drei arbeitet. In einigen Ausführungsformen arbeitet das Computersystem 400 auf mehreren OSI-Ebenen.
In mindestens einer Ausführungsform umfasst der Betrieb des Computersystems 400 auf einer Schicht des OSI-Modells die Durchführung von Netzwerkfunktionen, die mit dieser Schicht zusammenhängen, und das Sammeln von Telemetriedaten 401, die für die Durchführung dieser Funktionen relevant sind. Diese Telemetriedaten 401 können Metriken, Protokolldaten oder andere Informationen umfassen, die Ereignisse, Zustände oder Operationen beschreiben, die dem Computersystem 400 und der Ausführung einer relevanten Funktion zugeordnet sind. Es ist zu beachten, dass in zumindest einigen Fällen und Ausführungsformen das Computersystem 400, das auf einer bestimmten Schicht des OSI-Modells arbeitet, Telemetriedaten 401, die für seinen Betrieb auf dieser Schicht relevant sind, effizienter sammeln kann als Vorrichtungen, die auf anderen Schichten arbeiten. Zusätzlich zum Sammeln von Telemetriedaten 401 sammelt und filtert die DPU 402 Netzwerkverkehr, um gefilterte Netzwerkdaten 403 zu erhalten. Bei den gefilterten Netzwerkdaten 403 kann es sich um HTTP-Verkehr handeln, beispielsweise um Netzwerkdaten auf einem bestimmten Port. Die gefilterten Netzwerkdaten 403 und die Telemetriedaten 401 können kombiniert und als Merkmalsdaten 405 an die GPU 404 zur Netzwerkanomalieerfassung gesendet werden. Die GPU 404 verwendet das ML-Modell 410, um den Netzwerkverkehr anhand der Merkmalsdaten 405 als bösartig zu identifizieren. Als Reaktion auf die Identifizierung von bösartigem Netzwerkverkehr sendet die GPU 404 eine Durchsetzungsregel 407 an die DPU 402, um die erste Host-Vorrichtung 406 vor dem bösartigen Netzwerkverkehr durch die zweite Host-Vorrichtung 408 zu schützen.
In mindestens einer Ausführungsform sammelt und verarbeitet das Computersystem 400 Telemetriedaten 401 und gefilterte Netzwerkdaten 403, die on-the-fly vom Computersystem 400 gesammelt werden. Solche Daten können zum Beispiel von einem anwendungsspezifischen integrierten Schaltkreis („ASIC“) gesammelt werden, der die Netzwerkfunktion der Vorrichtung ausführt. Die Telemetriedaten 401 können mit dieser Technik schnell aus den Registern oder anderen internen Speichern der Vorrichtung ausgelesen werden. Beispiele für Telemetriedaten können unter anderem Latenzhistogramme, Empfangszähler, Sendezähler, Metriken, die der Verkapselung oder Entkapselung zugeordnet sind, Warteschlangenbelegung, Warteschlangenlänge und Indikatoren für den Energieverbrauch enthalten. Es ist zu beachten, dass in einigen Fällen der Versuch, eine Vorrichtung zur Durchführung von Kryptowährungs-Mining, bösartigen oder anderen unerwünschten Nutzungsmustern zu verwenden, zu einem erhöhten Stromverbrauch durch das Computersystem 400 führen kann.
In mindestens einer Ausführungsform umfasst das Computersystem 400 eine Netzwerkkomponente, das ML-Modell 410 und eine Datenbank. Die Netzwerkkomponente kann Schaltkreise und andere Computereinrichtungen enthalten, wie z. B. Prozessoren, Speicher und prozessorausführbare Anweisungen, die dazu verwendet werden, eine oder mehrere netzwerkbezogene Funktionen des Computersystems 400 auszuführen, wie z. B. das Senden oder Empfangen von Daten. Diese Netzwerkfunktion kann das Senden oder Empfangen von Daten zwischen der ersten Host-Vorrichtung 406 und der zweiten Host-Vorrichtung 408 umfassen. In mindestens einer Ausführungsform wird die zweite Host-Vorrichtung 408 als Quell-Host betrachtet, und die erste Host-Vorrichtung 406 kann als Ziel-Host betrachtet werden. Ein Quell-Host kann eine Vorrichtung sein, wie beispielsweise eine Computervorrichtung, die Daten über ein Netzwerk überträgt. In ähnlicher Weise kann ein Ziel-Host eine Vorrichtung sein, wie z. B. eine Computervorrichtung, die über das Netzwerk gesendete Daten empfängt.
In mindestens einer Ausführungsform kann das ML-Modell 410 den Netzwerkverkehr analysieren und unerwünschte Daten- oder Netzwerkverkehrsmuster identifizieren. Das ML-Modell 410 kann eines oder mehrere aus einer Vielzahl von Verfahren, Techniken und Algorithmen des maschinellen Lernens implementieren. Diese können unter anderem überwachtes Lernen, unüberwachtes Lernen, Deep Learning und Reinforcement Learning enthalten. Ausführungsformen eines ML-Modells 410 können beispielsweise Algorithmen für Regression, Clustering, instanzbasierte Algorithmen, Regularisierungsalgorithmen, künstliche neuronale Netzwerke, konvolutionale neuronale Netzwerke, rekurrente neuronale Netzwerke, Netzwerke mit langem Kurzzeitgedächtnis, Entscheidungsbäume, Deep Belief-Netzwerke, Gradient Boosting, XGBoost, Support-Vektor-Maschinen, Bayessche Verfahren, Random Forests und so weiter implementieren. Es ist ersichtlich, dass diese Beispiele zur Veranschaulichung gedacht sind. Als solche sollten sie nicht in einer Weise ausgelegt werden, die mögliche Ausführungsformen auf solche beschränken würde, die nur die angegebenen spezifischen Beispiele enthalten.
In mindestens einer Ausführungsform wird das ML-Modell 410 trainiert, um unerwünschte Nutzung des Computersystems 400 zu identifizieren. Eine solche Nutzung kann die Verwendung des Computersystems 400 in einer Art und Weise umfassen, die einen Schaden verursacht oder ermöglicht, wie z. B. eine Beeinträchtigung des Betriebs eines Computers oder eines Netzwerks, eine schädliche Offenlegung von Informationen, eine schädliche Übertragung von Daten, usw. In mindestens einer Ausführungsform wird das ML-Modell 410 trainiert, um eine schädliche Nutzung des Computersystems 400 anhand eines Datensatzes von Beispielen zu identifizieren. Diese Beispiele können Netzwerktelemetrie, Netzwerkdatenpakete, Serien von Netzwerkdatenpaketen oder andere Informationen enthalten. In mindestens einer Ausführungsform sind diese Beispiele gekennzeichnet, um anzuzeigen, ob ein bestimmtes Beispiel unerwünschten Daten oder Verkehrsmustern zugeordnet ist oder nicht. Je nach maschinellem Lernmodell können verschiedene Techniken gelabelte oder nicht gelabelte Daten zum Trainieren des Modells verwenden.
In mindestens einer Ausführungsform enthält das Computersystem 400 eine Datenbank, in der Informationen in Bezug auf das ML-Modell 410 gespeichert werden können. Beispielsweise kann die Datenbank Datensätze, wie soeben beschrieben, verwalten, die zum Trainieren, Nachtrainieren oder Verfeinern des Trainings eines ML-Modells 410 verwendet werden. Zum Beispiel wird in mindestens einer Ausführungsform ein Satz von Beispieldatenmustern, die auf bösartige, nicht autorisierte oder anderweitig unerwünschte Muster des Netzwerkverkehrs hinweisen, in der Datenbank 112 verwaltet. Diese Daten können aktualisiert oder ergänzt werden, wenn neue Angriffsmuster entdeckt werden. Daher kann das Computersystem 400 Schaltkreise, prozessorausführbare Anweisungen oder andere Computereinrichtungen enthalten, um aktualisierte Daten zu empfangen und die Daten in der Datenbank zu speichern.
In mindestens einer Ausführungsform enthält das Computersystem 400 eine Schaltung, prozessorausführbare Anweisungen oder andere Computereinrichtungen zum Trainieren, Nachtrainieren oder Verfeinern des ML-Modells 410 unter Verwendung solcher aktualisierter Daten aus der Datenbank. Nachdem beispielsweise ein neues Angriffsmuster entdeckt wurde, kann die Datenbank als Reaktion auf eine Anforderung von einer externen Quelle, wie z. B. einen Befehl von einer Vorrichtung, die eine Verwaltungsfunktion ausführt, aktualisiert werden. Nach der Aktualisierung initiiert das Computersystem 400 ein Trainingsverfahren unter Verwendung der in der Datenbank gespeicherten Daten, um das Training des ML-Modells 410 zu trainieren, nachzutrainieren oder zu verfeinern. Das ML-Modell 410 kann dann verbesserte Fähigkeiten aufweisen, um Netzwerkmuster zu erfassen, die ähnliche Merkmale wie die des neuen Angriffsmusters widerspiegeln oder solche, die ähnliche Merkmale wie andere, zuvor bekannte Muster widerspiegeln, die einer unerwünschten Netzwerknutzung zugeordnet sind.
In mindestens einer Ausführungsform wird die Datenbank vom Computersystem 400 ausgelassen. In einigen Ausführungsformen wird eine externe Datenbank verwendet, und Trainingsmuster werden an das Computersystem 400 übertragen und von dem Computersystem 400 verwendet, um das Training des ML-Modells 410 zu trainieren, nachzutrainieren oder zu verfeinern. In anderen Ausführungsformen wird das Trainieren, das Nachtrainieren oder Verfeinern des ML-Modells 410 extern durchgeführt, und ein ML-Modell 410 wird aktualisiert, um das neue Training widerzuspiegeln. Zum Beispiel wird in mindestens einer Ausführungsform ein Satz von Gewichten oder anderen Parametern, wie die Gewichte oder Parameter, die in einem künstlichen neuronalen Netzwerk verwendet werden, an das Computersystem 400 übertragen und verwendet, um entsprechende Gewichte oder Parameter im ML-Modell 410 zu aktualisieren.
In mindestens einer Ausführungsform arbeitet das Computersystem 400 auf einer oder mehreren ausgewählten Schichten des OSI-Modells, sammelt Daten, die sich auf Netzwerkoperationen beziehen, die auf einer oder mehreren ausgewählten Schichten durchgeführt werden, und analysiert die Daten unter Verwendung eines ML-Modells 410, um ein verdächtiges oder nicht autorisiertes Muster des Netzwerkverkehrs zu identifizieren. Zum Beispiel könnte ein ML-Modell 410 basierend auf der Analyse von Daten aus den OSI-Schichten ableiten, dass ein beobachtetes Netzwerkverkehrsmuster ein Diensverweigerungs- (Denial-of-Service, „DoS“) Angriff oder eine andere bösartige Nutzung des Computersystems 400 zu sein scheint. Das Computersystem 400 kann dann eine Reaktion auf das erfasste Netzwerkverkehrsmuster einleiten. Durch die Durchführung der Analyse auf dem Computersystem 400 können Daten, die für eine bestimmte OSI-Schicht relevant sind, analysiert und eine unerwünschte Nutzung des Computersystems 400 schneller oder effizienter erfasst werden, als dies der Fall wäre, wenn die Analyse aus der Ferne durchgeführt würde. Dieser Ansatz kann in einigen Ausführungsformen auch einen Vorteil bieten, indem er die Analyse von Daten auf einer bestimmten OSI-Schicht ermöglicht, ohne dass eine Übertragung dieser Daten an eine andere Vorrichtung erforderlich ist, oder anderweitig eine schnellere Analyse der Daten und eine schnellere Reaktion auf diese Daten ermöglicht.
5 veranschaulicht einen beispielhaften Prozessablauf 500 für die Erfassung eines bösartigen Angriffs auf ein Netzwerk durch ein maschinelles Lernmodell, gemäß mindestens einer Ausführungsform. In dem Beispielprozessfluss 500 kann eine DPU 502 verschiedene Operationen durchführen, und eine GPU 504 kann verschiedene Operationen durchführen. Bei 506 sammelt die DPU 502 gefilterte Netzwerkdaten wie oben beschrieben. Die gefilterten Netzwerkdaten können von dem oben beschriebenen Hardware-beschleunigten Sicherheitsdienst, wie z. B. einem Flussinspektor, gesammelt werden. In 508 sammelt die DPU 502 Telemetriedaten, die den von der DPU 502 durchgeführten Netzwerkoperationen zugeordnet sind. In mindestens einer Ausführungsform werden die Telemetriedaten von einem Telemetrieagenten gesammelt. Diese gefilterten Netzwerk- und Telemetriedaten werden dann, in mindestens einer Ausführungsform, bei 510 an ein maschinelles Lernmodell auf der GPU 504 weitergeleitet. In mindestens einer Ausführungsform werden die gefilterten Netzwerkdaten und die Telemetriedaten verwendet, um ein Training des maschinellen Lernmodells bei 512 durchzuführen. Dies kann das Nachtrainieren oder Verfeinern eines trainierten Modells oder das Trainieren eines neuen oder zusätzlichen maschinellen Lernmodells enthalten. In mindestens einer Ausführungsform werden gefilterte Netzwerkdaten und die bei 206 und 208 gesammelten Telemetriedaten verwendet, um bei 514 eine Inferenz oder eine andere Analyse durchzuführen, die mit der Art des verwendeten Modells übereinstimmt, um einen potenziell bösartigen Netzwerkangriff zu identifizieren, der sich in unerwünschten Verkehrsmustern manifestiert. Wenn der bösartige Netzwerkangriff erfasst wird, erzeugt die GPU 504 bei 516 eine Durchsetzungsregel bei 518, um den Netzwerkverkehr für den gegebenen bösartigen Netzwerkangriff zu verhindern. Die Durchsetzungsregel wird bei 518 an die DPU 502 weitergeleitet. Die Durchsetzungsregel kann eine mildernde Maßnahme, eine vorbeugende Maßnahme, eine Abhilfemaßnahme oder ähnliches enthalten. Die Durchsetzungsregel kann verwendet werden, um zu verhindern, dass der Verkehr den Betrieb der DPU 502 oder einer Host-Vorrichtung, auf die der bösartige Netzwerkangriff gerichtet ist, stört. Zum Beispiel identifiziert in mindestens einer Ausführungsform das maschinelle Lernmodell bei 514 eine unerwünschte Nutzung der DPU 502 und kann ferner verwendet werden, um die Nutzungsmerkmale zu identifizieren, wie die Netzwerk-Ports, die der unerwünschten Nutzung zugeordnet sind. Die DPU 502 kann bestimmen, ob die Durchsetzungsregel von der GPU 504 bei 520 empfangen wird. Wenn die Durchsetzungsregel bei 520 empfangen wird, kann die DPU 502 die Durchsetzungsregel anwenden, um einen bösartigen Angriff des Netzwerks zu verhindern. Die DPU 502 kann eine oder mehrere Aktionen durchführen, um den bösartigen Netzwerkangriff zu entschärfen, zu verhindern oder zu beheben. Beispiele für mögliche Durchsetzungsmaßnahmen können Folgendes umfassen, ohne notwendigerweise darauf beschränkt zu sein: Senden einer Benachrichtigung, die die Schlussfolgerung beschreibt, Einschränken der Nutzung der Netzwerkvorrichtung, Herunterfahren der Netzwerkvorrichtung, Verlangsamen der Netzwerkvorrichtung, Anwenden restriktiver Maßnahmen auf den Verkehr, der einem Netzwerkverkehrsmuster zugeordnet ist, und so weiter. Es wird deutlich, dass diese Beispiele eher illustrativ als einschränkend sind. Wenn bei 520 keine Durchsetzungsregel empfangen wird, kann die DPU 502 bei 506 weiterhin gefilterte Netzwerkdaten sammeln.
Nachdem eine Bestimmung erfolgt ist, werden Informationen über die Bestimmung in mindestens einer Ausführungsform zurück zum Modelltraining bei 512 geleitet. Dies kann Informationen enthalten, die angeben, ob ein Netzwerkverkehrsmuster (oder andere Daten oder Bedingungen), das von dem maschinellen Lernmodell als unerwünscht eingestuft wurde, als unerwünscht oder als nicht unerwünscht bestätigt wird oder nicht. Diese Informationen können dann beim Modelltraining in 512 verwendet werden, um das Verständnis des Modells für potenziell bösartige oder anderweitig unerwünschte Netzwerkverkehrsmuster zu verfeinern und die Fähigkeit des Modells zu verbessern, unerwünschtes Verhalten zu erfassen und von Verhalten zu unterscheiden, das einer beabsichtigten Verwendung der DPU 502 entspricht.
Die Offenbarung der vorliegenden Anmeldung umfasst auch die folgenden nummerierten Klauseln:

Klausel 1. Computersystem, das Folgendes umfasst: eine Grafikverarbeitungseinheit (GPU), die eine Cybersicherheitsplattform mit einer oder mehreren beschleunigten maschinellen Lernpipelines umfasst, um zu bestimmen, ob eine Host-Vorrichtung einem bösartigen Angriff auf ein Netzwerk ausgesetzt ist; und eine integrierte Schaltung, die Folgendes umfasst: eine Netzwerkschnittstelle zum Empfangen von Netzwerkverkehr, der an eine Host-Vorrichtung gerichtet ist, von einer zweiten Vorrichtung; eine Beschleunigungs-Hardware-Engine, die operativ mit der Netzwerkschnittstelle und der GPU gekoppelt ist, wobei die Beschleunigungs-Hardware-Engine dazu dient, einen Hardware-beschleunigten Sicherheitsdienst für Folgendes zu hosten: Extrahieren erster Merkmalsdaten aus dem Netzwerkverkehr; Extrahieren zweiter Merkmalsdaten aus einem oder mehreren Registern in der Beschleunigungs-Hardware-Engine; Senden der ersten Merkmalsdaten und der zweiten Merkmalsdaten an die Cybersicherheitsplattform, um zu bestimmen, ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist; Empfangen einer Durchsetzungsregel von der Cybersicherheitsplattform als Reaktion auf eine Bestimmung durch die Cybersicherheitsplattform, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist; und Ausführen einer Aktion, die der Durchsetzungsregel zugeordnet ist, auf nachfolgenden Netzwerkverkehr, der von der zweiten Vorrichtung an die Host-Vorrichtung gerichtet ist.
Klausel 2. Computersystem nach Klausel 1, wobei die Cybersicherheitsplattform Folgendes ausführt: Empfangen der ersten Merkmalsdaten und der zweiten Merkmalsdaten von dem Hardware-beschleunigten Sicherheitsdienst; Bestimmen, ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist, unter Verwendung eines Klassifizierungsmodells, das trainiert wurde, um die ersten und zweiten Merkmalsdaten als bösartig oder gutartig zu klassifizieren; und Senden der Durchsetzungsregel an den Hardware-beschleunigten Sicherheitsdienst als Reaktion auf die Bestimmung, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist.
Klausel 3. Computersystem nach Klausel 2, wobei die Cybersicherheitsplattform eine Merkmalsextraktionslogik umfasst, um die ersten Merkmalsdaten in Token zu zerlegen und numerische Merkmale aus den zweiten Merkmalsdaten zu extrahieren, und wobei das Klassifizierungsmodell Folgendes umfasst: eine Einbettungsschicht, um die Token als eine Eingabesequenz von Token zu empfangen und einen Eingabevektor basierend auf der Eingabesequenz von Token zu erzeugen; eine Lang-Kurz-Zeitspeicher- (Long Short-Term Memory, LSTM) Schicht, die trainiert wird, um einen Ausgabevektor basierend auf dem Eingabevektor zu erzeugen; und eine Schicht eines neuronalen Netzwerks, die so trainiert ist, dass sie die ersten und zweiten Merkmalsdaten unter Verwendung des Ausgabevektors der LSTM-Schicht und der numerischen Merkmale der zweiten Merkmalsdaten als bösartig oder gutartig klassifiziert.
Klausel 4. Computersystem nach Klausel 1, wobei die integrierte Schaltung eine Datenverarbeitungseinheit (Data Processing Unit, DPU) ist, wobei die DPU eine programmierbare Rechenzentrumsinfrastruktur auf einem Chip ist.
Klausel 5. Computersystem nach Klausel 4, das ferner Folgendes umfasst: eine Host-Schnittstelle, die operativ mit der Host-Vorrichtung gekoppelt ist; und eine zentrale Verarbeitungseinheit (Central Processing Unit, CPU), die operativ mit der Beschleunigungs-Hardware-Engine und der GPU gekoppelt ist, wobei die Beschleunigungs-Hardware-Engine die Netzwerkdatenpfadverarbeitung handhabt, wobei die CPU die Pfadinitialisierung und die Ausnahmeverarbeitung steuern soll.
Klausel 6. Computersystem nach Klausel 1, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich der Hardware-beschleunigte Sicherheitsdienst und die Cybersicherheitsplattform in einer zweiten Computerdomäne befinden, die sich von der ersten Computerdomäne unterscheidet.
Klausel 7. Computersystem nach Klausel 1, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich der Hardware-beschleunigte Sicherheitsdienst in einer zweiten Computerdomäne befindet, die sich von der ersten Computerdomäne unterscheidet, und wobei sich die Cybersicherheitsplattform in einer dritten Computerdomäne befindet, die sich von der ersten Computerdomäne und der zweiten Computerdomäne unterscheidet.
Klausel 8. Computersystem, das Folgendes umfasst: eine Datenverarbeitungseinheit (DPU), die Folgendes umfasst: eine Netzwerkschnittstelle, eine Host-Schnittstelle, eine Zentraleinheit (CPU) und eine Hardware-Beschleunigungs-Engine, wobei die DPU einen Hardware-beschleunigten Sicherheitsdienst hostet, um eine Host-Vorrichtung vor einem bösartigen Netzwerkangriff zu schützen, wobei der Hardware-beschleunigte Sicherheitsdienst eine Vielzahl von Merkmalen aus ersten Daten im Netzwerkverkehr, die an der Netzwerkschnittstelle empfangen werden, und zweiten Daten, die in einem oder mehreren Registern in der Beschleunigungs-Hardware-Engine gespeichert sind, extrahieren soll; und beschleunigte Pipeline-Hardware, die mit der DPU gekoppelt ist, wobei die beschleunigte Pipeline-Hardware Folgendes ausführt: Bestimmen, unter Verwendung eines Erfassungssystems mit maschinellem Lernen (ML), ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist, basierend auf der Vielzahl von Merkmalen; und Senden einer Durchsetzungsregel an die DPU als Reaktion auf eine Bestimmung, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist.
Klausel 9. Computersystem nach Klausel 8, wobei die DPU eine programmierbare Rechenzentrumsinfrastruktur auf einem Chip ist.
Klausel 10. Computersystem nach Klausel 8, wobei die Netzwerkschnittstelle die Netzwerkdatenpfadverarbeitung abwickeln soll, wobei die CPU die Pfadinitialisierung und die Ausnahmeverarbeitung steuern soll.
Klausel 11. Computersystem nach Klausel 8, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich der Hardware-beschleunigte Sicherheitsdienst in einer zweiten Computerdomäne befindet, die sich von der ersten Computerdomäne unterscheidet, und wobei sich das ML-Erfassungssystem in der zweiten Computerdomäne oder einer dritten Computerdomäne befindet, die sich von der ersten Computerdomäne und der zweiten Computerdomäne unterscheidet.
Klausel 12. Computersystem nach Klausel 8, wobei der Hardware-beschleunigte Sicherheitsdienst Folgendes ausführt: Extrahieren erster Merkmalsdaten aus dem Netzwerkverkehr; Extrahieren zweiter Merkmalsdaten aus dem einen oder den mehreren Registern in der Beschleunigungs-Hardware-Engine; Kombinieren der ersten Merkmalsdaten und der zweiten Merkmalsdaten zu der Vielzahl von Merkmalen; Senden der Vielzahl von Merkmalen an die beschleunigte Pipeline-Hardware, um zu bestimmen, ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist; Empfangen der Durchsetzungsregel von der beschleunigten Pipeline-Hardware als Reaktion auf eine Bestimmung durch die beschleunigte Pipeline-Hardware, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist; und Ausführen einer Aktion, die der Durchsetzungsregel zugeordnet ist, bei nachfolgendem Netzwerkverkehr, der an die Host-Vorrichtung gerichtet ist.
Klausel 13. Computersystem nach Klausel 12, wobei die beschleunigte Pipeline-Hardware eine Merkmalsextraktionslogik umfasst, um die ersten Merkmalsdaten in Token zu zerlegen und numerische Merkmale aus den zweiten Merkmalsdaten zu extrahieren, und wobei das ML-Erfassungssystem ein Klassifizierungsmodell umfasst, das trainiert wurde, um die ersten und zweiten Merkmalsdaten als bösartig oder gutartig zu klassifizieren.
Klausel 14. Computersystem nach Klausel 13, wobei das Klassifizierungsmodell Folgendes umfasst: eine Einbettungsschicht, um die Token als eine Eingabesequenz von Token zu empfangen und einen Eingabevektor basierend auf der Eingabesequenz von Token zu erzeugen; eine Lang-Kurz-Zeitspeicher- (LSTM) Schicht, die trainiert wird, um einen Ausgabevektor basierend auf dem Eingabevektor zu erzeugen; und eine Schicht eines neuronalen Netzwerks, die so trainiert ist, dass sie die ersten und zweiten Merkmalsdaten unter Verwendung des Ausgabevektors der LSTM-Schicht und der numerischen Merkmale der zweiten Merkmalsdaten als bösartig oder gutartig klassifiziert.
Klausel 15. Verfahren, das Folgendes umfasst: Extrahieren einer Vielzahl von Merkmalen aus ersten Daten im Netzwerkverkehr, die auf einer Netzwerkschnittstelle der DPU empfangen werden, und zweiten Daten, die in einem oder mehreren Registern in einer Beschleunigungs-Hardware-Engine der DPU gespeichert sind, durch eine mit einer Host-Vorrichtung gekoppelte Datenverarbeitungseinheit (DPU), wobei die ersten Daten von einer zweiten Vorrichtung an die Host-Vorrichtung gerichtet werden; Bestimmen, unter Verwendung eines Erfassungssystems mit maschinellem Lernen (ML), ob die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist, basierend auf der Vielzahl von Merkmalen; und Durchführen, durch die DPU, einer Aktion, die einer Durchsetzungsregel für nachfolgenden Netzwerkverkehr zugeordnet ist, der von der zweiten Vorrichtung an die Host-Vorrichtung gerichtet ist, als Reaktion auf eine Bestimmung, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist.
Klausel 16. Verfahren nach Klausel 15, das ferner Folgendes umfasst: Extrahieren, durch die DPU, von ersten Merkmalsdaten aus dem Netzwerkverkehr; Extrahieren, durch die DPU, von zweiten Merkmalsdaten aus dem einen oder mehreren Registern in der Beschleunigungs-Hardware-Engine; Kombinieren, durch die DPU, der ersten Merkmalsdaten und der zweiten Merkmalsdaten in die Vielzahl von Merkmalen; Senden, durch die DPU, der Vielzahl von Merkmalen an eine beschleunigte Pipeline-Hardware, wobei das ML-Erfassungssystem von der beschleunigten Pipeline-Hardware gehostet wird; und Empfangen, durch die DPU, der Durchsetzungsregel von der beschleunigten Pipeline-Hardware als Reaktion auf eine Bestimmung durch die beschleunigte Pipeline-Hardware, dass die Host-Vorrichtung einem bösartigen Netzwerkangriff basierend auf der Vielzahl von Merkmalen ausgesetzt ist.
Klausel 17. Verfahren nach Klausel 16, das ferner das Tokenisieren der ersten Merkmalsdaten in Token und das Extrahieren numerischer Merkmale aus den zweiten Merkmalsdaten umfasst, wobei das ML-Erfassungssystem ein Klassifizierungsmodell umfasst, das trainiert wurde, die ersten und zweiten Merkmalsdaten basierend auf den Token und den numerischen Merkmalen als bösartig oder gutartig zu klassifizieren.
Klausel 18. Verfahren nach Klausel 17, wobei das Klassifizierungsmodell Folgendes umfasst: eine Einbettungsschicht, um die Token als eine Eingabesequenz von Token zu empfangen und einen Eingabevektor basierend auf der Eingabesequenz von Token zu erzeugen; eine Lang-Kurz-Zeitspeicher- (LSTM) Schicht, die trainiert wird, um einen Ausgabevektor basierend auf dem Eingabevektor zu erzeugen; und eine Schicht eines neuronalen Netzwerks, die so trainiert ist, dass sie die ersten und zweiten Merkmalsdaten unter Verwendung des Ausgabevektors der LSTM-Schicht und der numerischen Merkmale der zweiten Merkmalsdaten als bösartig oder gutartig klassifiziert.
Klausel 19. Verfahren nach Klausel 15, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich die DPU und das ML-Erfassungssystem in einer zweiten Computerdomäne befinden, die sich von der ersten Computerdomäne unterscheidet.
Klausel 20. Verfahren nach Klausel 15, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich die DPU in einer zweiten Computerdomäne befindet, die sich von der ersten Computerdomäne unterscheidet, und wobei sich das ML-Erfassungssystem in einer dritten Computerdomäne befindet, die sich von der ersten Computerdomäne und der zweiten Computerdomäne unterscheidet.

Andere Varianten sind im Sinne der vorliegenden Offenbarung. Während bei den offenbarten Techniken verschiedene Modifikationen und alternative Konstruktionen möglich sind, sind bestimmte illustrierte Ausführungsformen davon in den Zeichnungen gezeigt und oben im Detail beschrieben worden. Es sollte jedoch verstanden werden, dass es nicht die Absicht ist, die Offenbarung auf eine bestimmte Form oder bestimmte Formen zu beschränken, sondern im Gegenteil, die Absicht ist, alle Modifikationen, alternativen Konstruktionen und Äquivalente abzudecken, die in den Geist und den Umfang der Offenbarung fallen, wie in den beigefügten Ansprüchen definiert.
Die Verwendung der Begriffe „ein“, „eine“ und „der“, „die“, „das“ und ähnlicher Bezeichnungen im Zusammenhang mit der Beschreibung der offenbarten Ausführungsformen (insbesondere im Zusammenhang mit den folgenden Ansprüchen) ist so auszulegen, dass sie sowohl die Einzahl als auch die Vielzahl umfassen, sofern nicht anders angegeben oder durch den Kontext eindeutig widerlegt, und nicht als Definition eines Begriffs. Die Begriffe „umfassend“, „mit“, „einschließlich“ und „enthaltend“ sind als offene Begriffe zu verstehen (im Sinne von „einschließlich, aber nicht beschränkt auf“), sofern nicht anders angegeben. Der Begriff „verbunden“ ist, wenn er unverändert bleibt und sich auf physische Verlinkungen bezieht, als teilweise oder ganz in einem Teil enthalten, an ihm angebracht oder mit ihm assoziiert zu verstehen, auch wenn etwas dazwischen liegt. Die Erwähnung von Wertebereichen soll lediglich als Abkürzungsverfahren dienen, um sich auf jeden einzelnen Wert zu beziehen, der in den Bereich fällt, sofern hier nicht anders angegeben, und jeder einzelne Wert wird in die Beschreibung aufgenommen, als ob er hier einzeln aufgeführt wäre. Die Verwendung des Begriffs „Menge“ (z. B. „eine Menge von Gegenständen“) oder „Teilmenge“ ist, sofern nicht anders vermerkt oder durch den Kontext widerlegt, als eine nicht leere Sammlung zu verstehen, die ein oder mehrere Mitglieder umfasst. Ferner bezeichnet der Begriff „Teilmenge“ einer entsprechenden Menge, sofern nicht anders vermerkt oder durch den Kontext widerlegt, nicht notwendigerweise eine echte Teilmenge der entsprechenden Menge, sondern Teilmenge und entsprechende Menge können gleich sein.
Konjunktivische Ausdrücke, wie z. B. Sätze der Form „mindestens eines von A, B und C“ oder „mindestens eines von A, B, und C“, werden, sofern nicht ausdrücklich vermerkt oder anderweitig durch den Kontext eindeutig widerlegt, im Allgemeinen so verstanden, dass ein Element, ein Begriff usw. entweder A oder B oder C oder eine beliebige nicht leere Teilmenge einer Menge von A und B und C sein kann. In dem anschaulichen Beispiel für eine Menge mit drei Mitgliedern beziehen sich die konjunktivischen Ausdrücke „mindestens eines von A, B und C“ und „mindestens eines von A, B, und C“ auf eine der folgenden Mengen: {A}, {B}, {C}, {A, B}, {A, C}, {B, C}, {A, B, C}. Eine solche konjunktivische Formulierung soll also im Allgemeinen nicht bedeuten, dass bei bestimmten Ausführungsformen jeweils mindestens eines von A, mindestens eines von B und mindestens eines von C vorhanden sein muss. Darüber hinaus, sofern nicht anders vermerkt oder durch den Kontext widerlegt, bezeichnet der Begriff „Vielzahl“ einen Zustand der Pluralität (z. B. „eine Vielzahl von Gegenständen“ bezeichnet mehrere Gegenstände). Eine Vielzahl sind mindestens zwei Gegenstände, können aber auch mehr sein, wenn dies entweder ausdrücklich oder durch den Kontext angegeben wird. Wenn nicht anders angegeben oder es aus dem Kontext klar hervorgeht, bedeutet die Formulierung „basierend auf” „mindestens teilweise basierend auf“ und nicht „ausschließlich basierend auf“.
Die Operationen der hierin beschriebenen Prozesse können in jeder geeigneten Reihenfolge durchgeführt werden, sofern hierin nichts anderes angegeben ist oder sich aus dem Kontext nichts anderes ergibt. In mindestens einer Ausführungsform wird ein Prozess wie die hierin beschriebenen Prozesse (oder Variationen und/oder Kombinationen davon) unter der Kontrolle eines oder mehrerer Computersysteme durchgeführt, die mit ausführbaren Befehle konfiguriert und als Code implementiert sind (z. B. ausführbare Befehle, ein oder mehrere Computerprogramme oder eine oder mehrere Anwendungen), die gemeinsam auf einem oder mehreren Prozessoren, durch Hardware oder Kombinationen davon ausgeführt werden. In mindestens einer Ausführungsform ist der Code auf einem computerlesbaren Speichermedium gespeichert, z. B. in Form eines Computerprogramms, das eine Vielzahl von Anweisungen umfasst, die von einem oder mehreren Prozessoren ausgeführt werden können. In mindestens einer Ausführungsform ist ein computerlesbares Speichermedium ein nicht-flüchtiges computerlesbares Speichermedium, das flüchtige Signale (z. B. eine sich ausbreitende flüchtige elektrische oder elektromagnetische Übertragung) ausschließt, aber nicht-transitorische Datenspeicherschaltungen (z. B. Puffer, Cache und Warteschlangen) in Sendeempfängern für flüchtige Signale enthält. In mindestens einer Ausführungsform ist Code (z. B. ausführbarer Code oder Quellcode) auf einem Satz von einem oder mehreren nicht-flüchtigen, computerlesbaren Speichermedien gespeichert, auf denen ausführbare Befehle (oder ein anderer Arbeitsspeicher zum Speichern ausführbarer Befehle) gespeichert sind, die, wenn sie von einem oder mehreren Prozessoren eines Computersystems ausgeführt werden (d. h. als Ergebnis der Ausführung), ein Computersystem veranlassen, hierin beschriebene Operationen durchzuführen. Ein Satz nicht flüchtiger computerlesbarer Speichermedien umfasst in mindestens einer Ausführungsform mehrere nicht flüchtige computerlesbare Speichermedien, und einem oder mehreren einzelnen nicht flüchtigen Speichermedien mehrerer nicht flüchtiger computerlesbarer Speichermedien fehlt der gesamte Code, während mehrere nicht flüchtige computerlesbare Speichermedien gemeinsam den gesamten Code speichern. In mindestens einer Ausführungsform werden ausführbare Anweisungen so ausgeführt, dass verschiedene Anweisungen von verschiedenen Prozessoren ausgeführt werden - beispielsweise speichert ein nicht-flüchtiges computerlesbares Speichermedium Anweisungen, und eine Haupt-CPU führt einige der Anweisungen aus, während eine GPU andere Anweisungen ausführt. In mindestens einer Ausführungsform weisen verschiedene Komponenten eines Computersystems separate Prozessoren auf, und verschiedene Prozessoren führen verschiedene Teilmengen von Befehlen aus.
Dementsprechend sind in mindestens einer Ausführungsform Computersysteme so konfiguriert, dass sie einen oder mehrere Dienste implementieren, die einzeln oder gemeinsam Operationen der hierin beschriebenen Prozesse durchführen, und solche Computersysteme sind mit anwendbarer Hardware und/oder Software konfiguriert, die die Durchführung von Operationen ermöglichen. Ferner ist ein Computersystem, das mindestens eine Ausführungsform der vorliegenden Offenbarung implementiert, eine einzelne Vorrichtung, und in einer anderen Ausführungsform ist sie ein verteiltes Computersystem mit mehreren Vorrichtungen, die unterschiedlich arbeiten, so dass ein verteiltes Computersystem die hierin beschriebenen Operationen durchführt und so dass eine einzelne Vorrichtung nicht alle Operationen durchführt.
Die Verwendung von Beispielen oder beispielhaften Ausdrücken (z. B. „wie z. B.“) dient lediglich der besseren Veranschaulichung von Ausführungsformen der Offenbarung und stellt keine Einschränkung des Umfangs der Offenbarung dar, sofern nichts anderes behauptet wird. Keine Formulierung in der Beschreibung sollte so ausgelegt werden, dass sie ein nicht beanspruchtes Element als wesentlich für die Praxis der Offenbarung bezeichnet.
Alle hierin zitierten Referenzen, einschließlich Veröffentlichungen, Patentanmeldungen und Patente, werden hiermit durch Verweis in demselben Umfang einbezogen, als ob jede Referenz einzeln und ausdrücklich als durch Verweis einbezogen angegeben wäre und hier in ihrer Gesamtheit wiedergegeben würde.
Die Begriffe „gekoppelt“ und „verbunden“ sowie ihre Ableitungen können in der Beschreibung und den Ansprüchen verwendet werden. Es sollte verstanden werden, dass diese Begriffe nicht als Synonyme füreinander gedacht sind. Vielmehr kann in bestimmten Beispielen „verbunden“ oder „gekoppelt“ verwendet werden, um anzuzeigen, dass zwei oder mehr Elemente in direktem oder indirektem physikalischen oder elektrischen Kontakt miteinander stehen. „Gekoppelt“ kann auch bedeuten, dass zwei oder mehr Elemente nicht in direktem Kontakt zueinander stehen, aber dennoch miteinander kooperieren oder interagieren.
Sofern nicht ausdrücklich etwas anderes angegeben ist, beziehen sich Begriffe wie „Verarbeiten“, „Rechnen“, „Berechnen“, „Bestimmen“ oder dergleichen in der gesamten Beschreibung auf Aktionen und/oder Prozesse eines Computers oder eines Computersystems oder einer ähnlichen elektronischen Rechenvorrichtung, die Daten, die als physikalische , z. B. elektronische, Größen in den Registern und/oder Speichern des Rechensystems dargestellt werden, manipulieren und/oder in andere Daten umwandeln, die in ähnlicher Weise als physikalische Größen in den Speichern, Registern oder anderen derartigen Informationsspeicher, -übertragungs- oder -anzeigevorrichtungen des Rechensystems dargestellt werden.
In ähnlicher Weise kann sich der Begriff „Prozessor“ auf eine Vorrichtung oder einen Teil einer Vorrichtung beziehen, die elektronische Daten aus Registern und/oder Arbeitsspeichern verarbeitet und diese elektronischen Daten in andere elektronische Daten umwandelt, die in Registern und/oder Arbeitsspeichern gespeichert werden können. Als nicht einschränkende Beispiele kann ein „Prozessor“ eine CPU oder eine GPU sein. Eine „Datenverarbeitungsplattform“ kann einen oder mehrere Prozessoren umfassen. Der hier verwendete Begriff „Software“-Prozesse kann z. B. Software- und/oder Hardware-Einheiten umfassen, die im Laufe der Zeit Arbeit verrichten, wie z. B. Aufgaben, Threads und intelligente Agenten. Jeder Prozess kann sich auch auf mehrere Prozesse beziehen, um Anweisungen nacheinander oder parallel, kontinuierlich oder intermittierend auszuführen. Die Begriffe „System“ und „Verfahren“ werden hier insofern austauschbar verwendet, als ein System ein oder mehrere Verfahren verkörpern kann und Verfahren als ein System betrachtet werden können.
Im vorliegenden Dokument kann auf das Erhalten, Erfassen, Empfangen oder Eingeben von analogen oder digitalen Daten in ein Teilsystem, Computersystem oder eine computerimplementierte Maschine Bezug genommen werden. Das Beschaffen, Erfassen, Empfangen oder Eingeben von analogen und digitalen Daten kann auf verschiedene Weise erfolgen, beispielsweise durch Empfangen von Daten als Parameter eines Funktionsaufrufs oder eines Aufrufs einer Anwendungsprogrammierschnittstelle. In einigen Implementierungen kann der Prozess des Erhaltens, Erfassens, Empfangens oder Eingebens von analogen oder digitalen Daten durch Übertragen von Daten über eine serielle oder parallele Schnittstelle durchgeführt werden. In einer anderen Implementierung kann der Prozess des Erhaltens, Erfassens, Empfangens oder Eingebens von analogen oder digitalen Daten durch Übertragen von Daten über ein Computernetzwerk von der anbietenden Entität zur erwerbenden Entität durchgeführt werden. Es kann auch auf das Bereitstellen, Ausgeben, Übertragen, Senden oder Präsentieren von analogen oder digitalen Daten Bezug genommen werden. In verschiedenen Beispielen kann der Prozess des Bereitstellens, Ausgebens, Übertragens, Sendens oder Darstellens analoger oder digitaler Daten durch Übertragen von Daten als Eingabe- oder Ausgabeparameter eines Funktionsaufrufs, eines Parameters einer Anwendungsprogrammierschnittstelle oder eines Interprozess-Kommunikationsmechanismus durchgeführt werden.
Obwohl die obige Diskussion Beispielimplementierungen der beschriebenen Techniken darlegt, können andere Architekturen verwendet werden, um die beschriebene Funktionalität zu implementieren, und sie sollen innerhalb des Umfangs dieser Offenbarung liegen. Darüber hinaus, obwohl spezifische Verteilungen von Verantwortlichkeiten oben zu Diskussionszwecken definiert sind, können verschiedene Funktionen und Verantwortlichkeiten auf unterschiedliche Weise verteilt und aufgeteilt werden, abhängig von den Umständen.
Obwohl der Gegenstand in einer Sprache beschrieben wurde, die sich auf strukturelle Merkmale und/oder methodische Handlungen bezieht, ist zu verstehen, dass der in den beigefügten Ansprüchen beanspruchte Gegenstand nicht notwendigerweise auf die beschriebenen spezifischen Merkmale oder Handlungen beschränkt ist. Vielmehr werden bestimmte Merkmale und Handlungen als beispielhafte Ausführungsformen der Ansprüche offenbart.
Es versteht sich, dass die vorstehend beschriebenen Aspekte und Ausführungsformen nur beispielhaft sind und dass Änderungen im Detail im Rahmen der Ansprüche vorgenommen werden können.
Jede Vorrichtung, jedes Verfahren und jedes Merkmal, die in der Beschreibung und (optional) in den Ansprüchen und Zeichnungen offenbart werden, können unabhängig oder in jeder geeigneten Kombination bereitgestellt werden.
Die in den Ansprüchen verwendeten Bezugszahlen dienen nur der Veranschaulichung und haben keine einschränkende Wirkung auf den Umfang der Ansprüche.

Claims

Computersystem, das Folgendes umfasst: eine Grafikverarbeitungseinheit (GPU), die eine Cybersicherheitsplattform mit einer oder mehreren beschleunigten maschinellen Lernpipelines umfasst, um zu bestimmen, ob eine Host-Vorrichtung einem bösartigen Angriff auf ein Netzwerk ausgesetzt ist; und eine integrierte Schaltung, die Folgendes umfasst: eine Netzwerkschnittstelle zum Empfangen von Netzwerkverkehr, der an eine Host-Vorrichtung gerichtet ist, von einer zweiten Vorrichtung; eine Beschleunigungs-Hardware-Engine, die operativ mit der Netzwerkschnittstelle und der GPU gekoppelt ist, wobei die Beschleunigungs-Hardware-Engine dazu dient, einen Hardware-beschleunigten Sicherheitsdienst für Folgendes zu hosten: Extrahieren erster Merkmalsdaten aus dem Netzwerkverkehr; Extrahieren zweiter Merkmalsdaten aus einem oder mehreren Registern in der Beschleunigungs-Hardware-Engine; Senden der ersten Merkmalsdaten und der zweiten Merkmalsdaten an die Cybersicherheitsplattform, um zu bestimmen, ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist; Empfangen einer Durchsetzungsregel von der Cybersicherheitsplattform als Reaktion auf eine Bestimmung durch die Cybersicherheitsplattform, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist; und Ausführen einer Aktion, die der Durchsetzungsregel zugeordnet ist, auf nachfolgenden Netzwerkverkehr, der von der zweiten Vorrichtung an die Host-Vorrichtung gerichtet ist.
Computersystem nach Anspruch 1, wobei die Cybersicherheitsplattform Folgendes ausführt: Empfangen der ersten Merkmalsdaten und der zweiten Merkmalsdaten von dem Hardware-beschleunigten Sicherheitsdienst; Bestimmen, ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist, unter Verwendung eines Klassifizierungsmodells, das trainiert wurde, um die ersten und zweiten Merkmalsdaten als bösartig oder gutartig zu klassifizieren; und Senden der Durchsetzungsregel an den Hardware-beschleunigten Sicherheitsdienst als Reaktion auf die Bestimmung, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist.
Computersystem nach Anspruch 2, wobei die Cybersicherheitsplattform eine Merkmalsextraktionslogik umfasst, um die ersten Merkmalsdaten in Token zu zerlegen und numerische Merkmale aus den zweiten Merkmalsdaten zu extrahieren, und wobei das Klassifizierungsmodell Folgendes umfasst: eine Einbettungsschicht, um die Token als eine Eingabesequenz von Token zu empfangen und einen Eingabevektor basierend auf der Eingabesequenz von Token zu erzeugen; eine Lang-Kurz-Zeitspeicher- (LSTM) Schicht, die trainiert wird, um einen Ausgabevektor basierend auf dem Eingabevektor zu erzeugen; und eine Schicht eines neuronalen Netzwerks, die so trainiert ist, dass sie die ersten und zweiten Merkmalsdaten unter Verwendung des Ausgabevektors der LSTM-Schicht und der numerischen Merkmale der zweiten Merkmalsdaten als bösartig oder gutartig klassifiziert.
Computersystem nach einem der vorhergehenden Ansprüche, wobei die integrierte Schaltung eine Datenverarbeitungseinheit (Data Processing Unit, DPU) ist, wobei die DPU eine programmierbare Rechenzentrumsinfrastruktur auf einem Chip ist.
Computersystem nach Anspruch 4, das ferner Folgendes umfasst: eine Host-Schnittstelle, die operativ mit der Host-Vorrichtung gekoppelt ist; und eine zentrale Verarbeitungseinheit (Central Processing Unit, CPU), die operativ mit der Beschleunigungs-Hardware-Engine und der GPU gekoppelt ist, wobei die Beschleunigungs-Hardware-Engine die Netzwerkdatenpfadverarbeitung handhabt, wobei die CPU die Pfadinitialisierung und die Ausnahmeverarbeitung steuern soll.
Computersystem nach einem der vorhergehenden Ansprüche, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich der Hardware-beschleunigte Sicherheitsdienst und die Cybersicherheitsplattform in einer zweiten Computerdomäne befinden, die sich von der ersten Computerdomäne unterscheidet.
Computersystem nach einem der Ansprüche 1 bis 6, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich der Hardware-beschleunigte Sicherheitsdienst in einer zweiten Computerdomäne befindet, die sich von der ersten Computerdomäne unterscheidet, und wobei sich die Cybersicherheitsplattform in einer dritten Computerdomäne befindet, die sich von der ersten Computerdomäne und der zweiten Computerdomäne unterscheidet.
Computersystem, das Folgendes umfasst: eine Datenverarbeitungseinheit (DPU), die Folgendes umfasst: eine Netzwerkschnittstelle, eine Host-Schnittstelle, eine Zentraleinheit (CPU) und eine Hardware-Beschleunigungs-Engine, wobei die DPU einen Hardware-beschleunigten Sicherheitsdienst hostet, um eine Host-Vorrichtung vor einem bösartigen Netzwerkangriff zu schützen, wobei der Hardware-beschleunigte Sicherheitsdienst eine Vielzahl von Merkmalen aus ersten Daten im Netzwerkverkehr, die an der Netzwerkschnittstelle empfangen werden, und zweiten Daten, die in einem oder mehreren Registern in der Beschleunigungs-Hardware-Engine gespeichert sind, extrahieren soll; und beschleunigte Pipeline-Hardware, die mit der DPU gekoppelt ist, wobei die beschleunigte Pipeline-Hardware Folgendes ausführt: Bestimmen, unter Verwendung eines Erfassungssystems mit maschinellem Lernen (ML), ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist, basierend auf der Vielzahl von Merkmalen; und Senden einer Durchsetzungsregel an die DPU als Reaktion auf eine Bestimmung, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist.
Computersystem nach Anspruch 8, wobei die DPU eine programmierbare Rechenzentrumsinfrastruktur auf einem Chip ist.
Computersystem nach Anspruch 8 oder 9, wobei die Netzwerkschnittstelle die Netzwerkdatenpfadverarbeitung abwickeln soll, wobei die CPU die Pfadinitialisierung und die Ausnahmeverarbeitung steuern soll.
Computersystem nach Anspruch 8, 9 oder 10, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich der Hardware-beschleunigte Sicherheitsdienst in einer zweiten Computerdomäne befindet, die sich von der ersten Computerdomäne unterscheidet, und wobei sich das ML-Erfassungssystem in der zweiten Computerdomäne oder einer dritten Computerdomäne befindet, die sich von der ersten Computerdomäne und der zweiten Computerdomäne unterscheidet.
Computersystem nach Anspruch 8 bis 11, wobei der Hardware-beschleunigte Sicherheitsdienst Folgendes ausführt: Extrahieren erster Merkmalsdaten aus dem Netzwerkverkehr; Extrahieren zweiter Merkmalsdaten aus dem einen oder den mehreren Registern in der Beschleunigungs-Hardware-Engine; Kombinieren der ersten Merkmalsdaten und der zweiten Merkmalsdaten zu der Vielzahl von Merkmalen; Senden der Vielzahl von Merkmalen an die beschleunigte Pipeline-Hardware, um zu bestimmen, ob die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist; Empfangen der Durchsetzungsregel von der beschleunigten Pipeline-Hardware als Reaktion auf eine Bestimmung durch die beschleunigte Pipeline-Hardware, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist; und Ausführen einer Aktion, die der Durchsetzungsregel zugeordnet ist, bei nachfolgendem Netzwerkverkehr, der an die Host-Vorrichtung gerichtet ist.
Computersystem nach Anspruch 12, wobei die beschleunigte Pipeline-Hardware eine Merkmalsextraktionslogik umfasst, um die ersten Merkmalsdaten in Token zu zerlegen und numerische Merkmale aus den zweiten Merkmalsdaten zu extrahieren, und wobei das ML-Erfassungssystem ein Klassifizierungsmodell umfasst, das trainiert wurde, um die ersten und zweiten Merkmalsdaten als bösartig oder gutartig zu klassifizieren.
Computersystem nach Anspruch 13, wobei das Klassifizierungsmodell Folgendes umfasst: eine Einbettungsschicht, um die Token als eine Eingabesequenz von Token zu empfangen und einen Eingabevektor basierend auf der Eingabesequenz von Token zu erzeugen; eine Lang-Kurz-Zeitspeicher- (Long Short-Term Memory, LSTM) Schicht, die trainiert wird, um einen Ausgabevektor basierend auf dem Eingabevektor zu erzeugen; und eine Schicht eines neuronalen Netzwerks, die so trainiert ist, dass sie die ersten und zweiten Merkmalsdaten unter Verwendung des Ausgabevektors der LSTM-Schicht und der numerischen Merkmale der zweiten Merkmalsdaten als bösartig oder gutartig klassifiziert.
Verfahren, das Folgendes umfasst: Extrahieren einer Vielzahl von Merkmalen aus ersten Daten im Netzwerkverkehr, die auf einer Netzwerkschnittstelle der DPU empfangen werden, und zweiten Daten, die in einem oder mehreren Registern in einer Beschleunigungs-Hardware-Engine der DPU gespeichert sind, durch eine mit einer Host-Vorrichtung gekoppelte Datenverarbeitungseinheit (DPU), wobei die ersten Daten von einer zweiten Vorrichtung an die Host-Vorrichtung gerichtet werden; Bestimmen, unter Verwendung eines Erfassungssystems mit maschinellem Lernen (ML), ob die Host-Vorrichtung einem bösartigen Netzwerkangriff ausgesetzt ist, basierend auf der Vielzahl von Merkmalen; und Durchführen, durch die DPU, einer Aktion, die einer Durchsetzungsregel für nachfolgenden Netzwerkverkehr zugeordnet ist, der von der zweiten Vorrichtung an die Host-Vorrichtung gerichtet ist, als Reaktion auf eine Bestimmung, dass die Host-Vorrichtung dem bösartigen Netzwerkangriff ausgesetzt ist.
Verfahren nach Anspruch 15, das ferner Folgendes umfasst: Extrahieren, durch die DPU, von ersten Merkmalsdaten aus dem Netzwerkverkehr; Extrahieren, durch die DPU, von zweiten Merkmalsdaten aus dem einen oder mehreren Registern in der Beschleunigungs-Hardware-Engine; Kombinieren, durch die DPU, der ersten Merkmalsdaten und der zweiten Merkmalsdaten in die Vielzahl von Merkmalen; Senden, durch die DPU, der Vielzahl von Merkmalen an eine beschleunigte Pipeline-Hardware, wobei das ML-Erfassungssystem von der beschleunigten Pipeline-Hardware gehostet wird; und Empfangen, durch die DPU, der Durchsetzungsregel von der beschleunigten Pipeline-Hardware als Reaktion auf eine Bestimmung durch die beschleunigte Pipeline-Hardware, dass die Host-Vorrichtung einem bösartigen Netzwerkangriff basierend auf der Vielzahl von Merkmalen ausgesetzt ist.
Verfahren nach Anspruch 16, das ferner das Tokenisieren der ersten Merkmalsdaten in Token und das Extrahieren numerischer Merkmale aus den zweiten Merkmalsdaten umfasst, wobei das ML-Erfassungssystem ein Klassifizierungsmodell umfasst, das trainiert wurde, die ersten und zweiten Merkmalsdaten basierend auf den Token und den numerischen Merkmalen als bösartig oder gutartig zu klassifizieren.
Verfahren nach Anspruch 17, wobei das Klassifizierungsmodell Folgendes umfasst: eine Einbettungsschicht, um die Token als eine Eingabesequenz von Token zu empfangen und einen Eingabevektor basierend auf der Eingabesequenz von Token zu erzeugen; eine Lang-Kurz-Zeitspeicher- (LSTM) Schicht, die trainiert wird, um einen Ausgabevektor basierend auf dem Eingabevektor zu erzeugen; und eine Schicht eines neuronalen Netzwerks, die so trainiert ist, dass sie die ersten und zweiten Merkmalsdaten unter Verwendung des Ausgabevektors der LSTM-Schicht und der numerischen Merkmale der zweiten Merkmalsdaten als bösartig oder gutartig klassifiziert.
Verfahren nach Anspruch 15 bis 18, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich die DPU und das ML-Erfassungssystem in einer zweiten Computerdomäne befinden, die sich von der ersten Computerdomäne unterscheidet.
Verfahren nach einem der Ansprüche 15 bis 19, wobei sich die Host-Vorrichtung in einer ersten Computerdomäne befindet, wobei sich die DPU in einer zweiten Computerdomäne befindet, die sich von der ersten Computerdomäne unterscheidet, und wobei sich das ML-Erfassungssystem in einer dritten Computerdomäne befindet, die sich von der ersten Computerdomäne und der zweiten Computerdomäne unterscheidet.