基于硬件加速的恶意流量检测与防护方法、装置及系统与流程

本技术涉及网络安全，尤其涉及一种基于硬件加速的恶意流量检测与防护方法、装置及系统。

背景技术：

1、随着互联网的迅速发展，网络成为社会和经济的重要基础设施，但同时也面临着越来越严重的网络安全威胁。网络攻击和恶意软件的数量和复杂度不断增加，给企业和用户带来了巨大的挑战。

2、目前，网络安全防护通常依赖于软件实现，通过在网络流量业务处理模块中采用多核多线程架构，利用多核处理器和操作系统提供的多线程支持，同时处理多个网络流量，以提高检测恶意流量的效率。

3、然而，该多核多线程架构属于软件实现范围，所有的数据处理和逻辑判断要通过cpu执行软件指令来完成，由于cpu的时钟频率和处理能力有限，导致其应对恶意流量的检测和防护的处理能力和响应速度仍然有限，无法应对高并发高吞吐的场景。

技术实现思路

1、有鉴于此，为解决上述技术问题，本技术提供一种基于硬件加速的恶意流量检测与防护方法、装置、系统、设备及介质。

2、具体地，本技术是通过如下技术方案实现的：

3、根据本技术实施例的第一方面，提供一种基于硬件加速的恶意流量检测与防护方法，应用于硬件加速设备，所述硬件加速设备至少包括第一引擎和第二引擎，所述方法包括：

4、获取网络链路上的第一网络流量；

5、根据可疑攻击流量过滤规则和所述第一网络流量的报头信息，利用所述第一引擎从所述第一网络流量中筛选出异常流量，并输入至所述第二引擎；所述可疑攻击流量过滤规则由cpu预先加载至所述硬件加速设备；

6、根据恶意流量的特征库，利用所述第二引擎对所述异常流量的数据信息进行特征匹配检测，识别出恶意流量；所述特征库由所述cpu预先加载至所述硬件加速设备；

7、对所述恶意流量进行安全响应与防护处理。

8、可选地，所述获取网络链路上的第一网络流量，包括：

9、确定连接至所述网络链路的网络接口，并建立与所述网络接口的连接；

10、通过所述网络接口，按照预设获取方式获取所述网络链路的链路网络流量；所述预设获取方式至少包括实时数据包捕获、流量镜像中的任一种；

11、对所述链路网络流量作初步过滤处理，得到所述第一网络流量；所述初步过滤处理至少包括针对协议类型的过滤处理。

12、可选地，所述利用所述第一引擎从所述第一网络流量中筛选出异常流量，包括：

13、根据所述第一网络流量的报头信息，确定出所述第一网络流量中每条第二网络流量的流量特征；

14、利用所述第一引擎，将所述第二网络流量的流量特征与所述可疑攻击流量过滤规则中的多条规则项进行匹配；

15、在所述流量特征与至少一个规则项匹配成功的情况下，将匹配成功的流量特征对应的第二网络流量确定为所述异常流量。

16、可选地，所述方法还包括：

17、根据预设的所述多条规则项与检测方向的对应关系，查询目标规则项对应的目标检测方向，作为所述异常流量的目标检测方向，并输出第一指示信息；

18、其中，所述检测方向包括恶意代码类的恶意流量检测、非恶意代码类的恶意流量检测；所述目标规则项是指所述异常流量的流量特征匹配成功的规则项；所述第一指示信息用于指示所述第二引擎对所述异常流量的数据信息进行针对所述目标检测方向的特征匹配检测。

19、可选地，所述方法还包括：

20、根据预设的所述多条规则项与内容检测方法的对应关系，查询所述目标规则项对应的目标内容检测方法，作为所述异常流量的目标内容检测方法，并输出第二指示信息；

21、其中，所述第二指示信息用于指示所述第二引擎采用所述目标内容检测方法对所述异常流量执行所述特征匹配检测。

22、可选地，所述第二引擎包括支持不同类型的内容检测方法的多个处理单元；所述利用所述第二引擎对所述异常流量的数据信息进行特征匹配检测，包括：

23、根据所述异常流量的第二指示信息，从所述多个处理单元中确定出匹配的目标处理单元；

24、利用所述目标处理单元对所述异常流量进行特征匹配检测。

25、可选地，所述对所述恶意流量进行安全响应与防护处理，包括：

26、根据所述第二引擎的检测结果，生成针对所述恶意流量的安全事件；

27、根据预设的不同类型流量与防护策略的对应关系，确定并执行针对所述恶意流量的防护策略。

28、可选地，所述方法还包括：

29、响应于接收到来自所述cpu的特征库更新指令，从所述cpu获取新的特征库；利用所述新的特征库更新存储于所述硬件加速设备中的特征库。

30、可选地，所述方法还包括：

31、响应于接收到来自所述cpu的处理逻辑更新指令，根据所述逻辑更新指令确定所述硬件加速设备中的待处理引擎；

32、将所述待处理引擎中的处理逻辑重写为获取到的新的处理逻辑。

33、根据本技术实施例的第二方面，提供一种基于硬件加速的恶意流量检测与防护装置，应用于硬件加速设备，所述硬件加速设备至少包括第一引擎和第二引擎，所述装置包括：

34、网络流量获取模块，用于获取网络链路上的第一网络流量；

35、报头过滤模块，用于根据可疑攻击流量过滤规则和所述第一网络流量的报头信息，利用所述第一引擎从所述第一网络流量中筛选出异常流量，并输入至所述第二引擎；所述可疑攻击流量过滤规则由cpu预先加载至所述硬件加速设备；

36、异常流量内容检测模块，用于根据恶意流量的特征库，利用所述第二引擎对所述异常流量的数据信息进行特征匹配检测，识别出恶意流量；所述特征库由所述cpu预先加载至所述硬件加速设备；

37、响应与防护处理模块，用于对所述恶意流量进行安全响应与防护处理。

38、可选地，所述网络流量获取模块具体用于：

39、确定连接至所述网络链路的网络接口，并建立与所述网络接口的连接；

40、通过所述网络接口，按照预设获取方式获取所述网络链路的链路网络流量；所述预设获取方式至少包括实时数据包捕获、流量镜像中的任一种；

41、对所述链路网络流量作初步过滤处理，得到所述第一网络流量；所述初步过滤处理至少包括针对协议类型的过滤处理。

42、可选地，所述报头过滤模块具体用于：

43、根据所述第一网络流量的报头信息，确定出所述第一网络流量中每条第二网络流量的流量特征；

44、利用所述第一引擎，将所述第二网络流量的流量特征与所述可疑攻击流量过滤规则中的多条规则项进行匹配；

45、在所述流量特征与至少一个规则项匹配成功的情况下，将匹配成功的流量特征对应的第二网络流量确定为所述异常流量。

46、可选地，所述装置还包括：

47、根据预设的所述多条规则项与检测方向的对应关系，查询目标规则项对应的目标检测方向，作为所述异常流量的目标检测方向，并输出第一指示信息；

48、其中，所述检测方向包括恶意代码类的恶意流量检测、非恶意代码类的恶意流量检测；所述目标规则项是指所述异常流量的流量特征匹配成功的规则项；所述第一指示信息用于指示所述第二引擎对所述异常流量的数据信息进行针对所述目标检测方向的特征匹配检测。

49、可选地，所述装置还包括：

50、根据预设的所述多条规则项与内容检测方法的对应关系，查询所述目标规则项对应的目标内容检测方法，作为所述异常流量的目标内容检测方法，并输出第二指示信息；

51、其中，所述第二指示信息用于指示所述第二引擎采用所述目标内容检测方法对所述异常流量执行所述特征匹配检测。

52、可选地，所述第二引擎包括支持不同类型的内容检测方法的多个处理单元；所述异常流量内容检测模块具体用于：

53、根据所述异常流量的第二指示信息，从所述多个处理单元中确定出匹配的目标处理单元；利用所述目标处理单元对所述异常流量进行特征匹配检测。

54、可选地，所述响应与防护处理模块具体用于：

55、根据所述第二引擎的检测结果，生成针对所述恶意流量的安全事件；

56、根据预设的不同类型流量与防护策略的对应关系，确定并执行针对所述恶意流量的防护策略。

57、可选地，所述装置还包括：

58、响应于接收到来自所述cpu的特征库更新指令，从所述cpu获取新的特征库；利用所述新的特征库更新存储于所述硬件加速设备中的特征库。

59、可选地，所述装置还包括：

60、响应于接收到来自所述cpu的处理逻辑更新指令，根据所述逻辑更新指令确定所述硬件加速设备中的待处理引擎；

61、将所述待处理引擎中的处理逻辑重写为获取到的新的处理逻辑。

62、根据本技术实施例的第三方面，提供一种基于硬件加速的恶意流量检测与防护系统，包括：

63、cpu，用于配置硬件加速设备；

64、硬件加速设备，至少包括第一引擎和第二引擎，用于：

65、获取网络链路上的第一网络流量；根据可疑攻击流量过滤规则和所述第一网络流量的报头信息，利用所述第一引擎从所述第一网络流量中筛选出异常流量，并输入至所述第二引擎；所述可疑攻击流量过滤规则由cpu预先加载至所述硬件加速设备；根据恶意流量的特征库，利用所述第二引擎对所述异常流量的数据信息进行特征匹配检测，识别出恶意流量；所述特征库由所述cpu预先加载至所述硬件加速设备；对所述恶意流量进行安全响应与防护处理。

66、根据本技术实施例的第四方面，提供一种电子设备，所述电子设备包括：存储器和处理器；所述存储器，用于存储计算机程序；所述处理器，用于通过调用所述计算机程序，执行上述基于硬件加速的恶意流量检测与防护方法。

67、根据本技术实施例的第五方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述基于硬件加速的恶意流量检测与防护方法。

68、本技术实施例提供的技术方案可以包括以下有益效果：

69、在上述本技术提供的技术方案中，通过cpu与硬件加速设备的交互，利用cpu配置硬件加速设备中的特定引擎的处理逻辑，并利用该特定引擎采用硬件加速技术，结合预先加载的可疑攻击流量过滤规则和恶意流量特征库，实现对网络流量的高效筛选和恶意流量的准确识别，降低了cpu的负载，并通过该硬件加速设备实现了对从网络流量中准确检测出恶意流量并作防护的全流程的硬件化加速处理，提高了恶意流量检测的处理能力和响应速度，从而提升了网络安全防护的性能和响应速度。