防火墙系统、恶意软件探测方法及装置与流程

本发明涉及智慧城市、网络安全，具体涉及一种防火墙系统、恶意软件探测方法及装置。

背景技术：

1、防火墙是一个硬件与软件结合的网络节点/实体。它基于网络参数的一组规则，屏蔽未经认证的网络数据，根据规则检查进出网络的数据流，检测并阻止恶意程序进入网络。现防火墙多采用基于npu架构的vpn防火墙硬件结构模型。随着互联网的繁荣，现阶段的恶意代码也呈现出快速发展的趋势，主要表现为变种数量多、传播速度快、影响范围广。在这样的形势下，传统的恶意代码检测方法已经无法满足人们对恶意代码检测的要求。

2、为了应对上面的问题，基于机器学习的恶意代码检测方法一直是学界研究的热点。基于机器学习的恶意代码检测往往表现出较高的准确率，并且一定程度上可以对未知的恶意代码实现自动化的分析。现有fpga做为服务器的硬件隔离及检测系统，多是单独做为数据包解析的加速卡或是单纯做为机器学习模型的加速卡，并没有对基于机器学习的恶意软件抵御有很好的处理。

技术实现思路

1、本发明提供一种防火墙系统，用以解决如何探测恶意软件的技术问题。

2、第一方面，本发明提供一种防火墙系统，包括：

3、网卡功能电路，用于接收数据报文；

4、解析加速电路，用于对所述数据报文进行解析；

5、特征匹配电路，用于在预设数据表特征信息中对解析后的数据报文进行特征匹配；

6、机器学习电路，用于根据匹配结果确定所述数据报文的行为是否符合恶意软件的特征；

7、其中，所述预设数据表特征信息存储在现场可编程门阵列fpga电路板上；

8、所述网卡功能电路、所述解析加速电路、所述特征匹配电路以及所述机器学习电路集成于所述fpga电路板上；

9、所述网卡功能电路、所述解析加速电路、所述特征匹配电路以及所述机器学习电路之间通过数据总线相连。

10、在一个实施例中，所述解析加速电路包括：

11、解析器，用于对数据报文进行解析；

12、分流器，用于对解析后的数据报文进行分流处理；

13、处理器，用于对分流处理后的数据报文进行解析，确定特征向量。

14、在一个实施例中，所述特征匹配电路包括：

15、高带宽存储器hbm，用于在预设数据表特征信息中对解析后的数据报文进行特征匹配。

16、在一个实施例中，所述防火墙系统，还包括：安全处理电路，用于对符合恶意软件的特征行为的数据报文进行安全处理。

17、第二方面，本发明提供一种恶意软件探测方法，包括：

18、对接入的数据报文进行解析，在解析后的数据报文在hbm流表中匹配不到相应信息的情况下，对所述解析后的数据报文进行分流处理；

19、对分流处理后的数据报文进行解析，确定特征向量；

20、根据所述特征向量，通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。

21、在一个实施例中，所述恶意软件探测方法，还包括：

22、将机器学习模型确定的结果，发送至状态机中；

23、收集所述状态机中的状态值，确定hbm流表的配置模块，并更新hbm流表。

24、在一个实施例中，所述对分流处理后的数据报文进行解析，确定特征向量，包括：

25、对分流处理后的数据报文进行解析，提取包头信息；

26、根据所述包头信息，确定特征向量。

27、第三方面，本发明提供一种恶意软件探测装置，包括：

28、解析模块，用于对接入的数据报文进行解析，在解析后的数据报文在hbm流表中匹配不到相应信息的情况下，对所述解析后的数据报文进行分流处理；

29、第一确定模块，用于对分流处理后的数据报文进行解析，确定特征向量；

30、第二确定模块，用于根据所述特征向量，通过机器学习模型确定数据报文的行为是否符合恶意软件的特征。

31、第四方面，本发明提供一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现第二方面所述恶意软件探测方法的步骤。

32、第五方面，本发明提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第二方面所述恶意软件探测方法的步骤。

33、本发明提供的防火墙系统，通过将网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路集成于同一fpga电路板上，从而实现了数据流从接入到检测的全栈功能，减少跨硬件的数据搬移开销，达到了很好的加速效果。

技术特征：

1.一种防火墙系统，其特征在于，包括：

2.根据权利要求1所述的防火墙系统，其特征在于，所述解析加速电路包括：

3.根据权利要求2所述的防火墙系统，其特征在于，所述特征匹配电路包括：

4.根据权利要求1-3中任一项所述的防火墙系统，其特征在于，还包括：安全处理电路，用于对符合恶意软件的特征行为的数据报文进行安全处理。

5.一种恶意软件探测方法，其特征在于，包括：

6.根据权利要求5所述的恶意软件探测方法，其特征在于，还包括：

7.根据权利要求6所述的恶意软件探测方法，其特征在于，所述对分流处理后的数据报文进行解析，确定特征向量，包括：

8.一种恶意软件探测装置，其特征在于，包括：

9.一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求5至7中任一项所述恶意软件探测方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求5至7中任一项所述恶意软件探测方法的步骤。

技术总结
本发明提供一种防火墙系统、恶意软件探测方法及装置。所述防火墙系统包括：网卡功能电路，用于接收数据报文；解析加速电路，用于对数据报文进行解析；特征匹配电路，用于在预设数据表特征信息中对解析后的数据报文进行特征匹配；机器学习电路，用于根据匹配结果确定数据报文的行为是否符合恶意软件的特征；其中，预设数据表特征信息存储在现场可编程门阵列FPGA电路板上；网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路集成于FPGA电路板上；网卡功能电路、解析加速电路、特征匹配电路以及机器学习电路之间通过数据总线相连。本发明提供的防火墙系统，可以实现数据流从接入到检测的全栈功能，达到很好的加速效果。

技术研发人员：张岩,丁良奎
受保护的技术使用者：中移系统集成有限公司
技术研发日：
技术公布日：2024/1/11