本公开涉及使用数据处理单元的人工智能支持的网络遥测。设备从本地网络接收分组。所述分组可以被导向云计算资源。设备确定该分组与新的分组流相关联。响应于确定该分组与新的分组流相关联,该设备将来自新的分组流的一个或更多个分组提供给机器学习模型用于分组检查。该设备接收来自机器学习模型的输出,并基于从机器学习模型接收的输出来路由新的分组流。该输出指示新的分组流是否与网络攻击相关联。联。联。
【技术实现步骤摘要】
使用数据处理单元的人工智能支持的网络遥测
[0001]本公开涉及数据处理单元(DPU)、网络接口卡(NIC)和适配器中的遥测,并且在一些示例中,利用人工智能(AI)技术来执行与性能和流量统计相关联的监控操作。
技术介绍
[0002]有些系统可能支持与拒绝服务(DDOS)攻击相关联的入侵检测系统(IDS)技术。在某些情况下,这种技术可以包括检查与DDOS相关的传入数据流量。这种对数据流量的检查可以是资源密集型的。
技术实现思路
[0003]所述技术涉及支持AI支持的遥测的改进方法、系统、设备和装置。一般来说,所述技术提供了AI支持的遥测,其减轻分布式DDOS对网络的影响。
[0004]提供了一种方法,其包括:从本地网络接收分组。在某些方面,分组被导向云计算资源;确定分组与新的分组流相关联;响应于确定分组与新的分组流相关联,将来自新的分组流的一个或更多个分组提供给机器学习模型用于分组检查;接收机器学习模型的输出;以及基于从机器学习模型接收到的输出路由新的分组流。在某些方面,该输出指示新的分组流是否与网络攻击相关联。
[0005]提供一种机器可读介质,其上存储有数据,如果该数据由一个或更多个处理器执行,则使一个或更多个处理器:检查被导向云计算资源的分组;确定该分组是否是与网络攻击相关的分组流的一部分;以及通知DPU分组流与网络攻击无关,从而使DPU能够经由以全线速运行的卸载路径处理分组流中的额外分组。
[0006]提供了一种系统,其包括:位于云计算资源和本地网络基础设施之间的DPU。在某些方面,DPU被配置为从本地网络基础设施接收被导向云计算资源的分组。该系统包括机器学习模型,该模型配置为检查分组并确定分组是否是与网络攻击相关的分组流的一部分。在某些方面,机器学习模型进一步被配置为通知DPU分组流与网络攻击不相关联,从而使DPU能够经由绕过机器学习模型的卸载路径来处理分组流中的额外分组。
[0007]示例可以包括以下特征之一,或它们的任何组合。
[0008]在本文所描述的方法、系统和机器可读介质的一些示例中,机器学习模型由层7(L7)处理器执行。
[0009]在本文所描述的方法、系统和机器可读介质的一些示例中,L7处理器可以包括GPU、DPU和中央处理单元(CPU)中的至少一个。
[0010]在本文所描述的方法、系统和机器可读介质的一些示例中,该分组可以包括新的分组流中的第一分组。
[0011]在本文所描述的方法、系统和机器可读介质的一些示例中,一个或更多个分组被加密,其中所述机器学习模型执行分组检查而不解密所述一个或更多个分组。
[0012]本文所描述的方法、系统和机器可读介质的一些示例可包括向实现攻击检测规则
集的过滤逻辑提供分组。在某些方面,攻击检测规则集被配置为确定分组与新的分组流相关联。
[0013]在本文所描述的方法、系统和机器可读介质的一些示例中,过滤逻辑在比机器学习模型更低的协议栈层实现。
[0014]在本文所描述的方法、系统和机器可读介质的一些例子中,过滤逻辑在数据链路层、网络层和传输层中的至少一个中执行。在某些方面,机器学习模型在应用层中执行。
[0015]在本文描述的方法、系统和机器可读介质的一些示例中,路由新的分组流可包括经由卸载路径将与新的分组流相关联的所有分组导到云计算资源。
[0016]在本文所描述的方法、系统和机器可读介质的一些示例中,卸载路径以全线速承载与新的分组流相关联的分组。
[0017]本文描述的方法、系统和机器可读介质的一些示例可包括评估分组的报头以确定与分组相关联的加密和/或解密需要。
[0018]在本文所描述的方法、系统和机器可读介质的一些示例中,在NIC上设置的DPU处接收分组。
[0019]在本文描述的方法、系统和机器可读介质的一些示例中,确定分组与新的分组流相关联可包括确定分组是从以前没有向云计算资源发送分组的租户接收的。
[0020]在本文所描述的方法、系统和机器可读介质的一些示例中,云计算资源在多个租户之间共享。在某些方面,网络攻击可以包括DDoS攻击、加密者攻击、破坏的访问控制、安全错误配置、注入、网络钓鱼攻击、恶意软件攻击、勒索软件攻击、跨站点脚本(XSS)攻击、敏感数据暴露、信息泄露、加密劫持、欺诈电子邮件传输、僵尸网络、恶意内部攻击和社交档案工程攻击中的至少一个。
[0021]在本文描述的系统的一些例子中,机器学习模型由在应用层操作的GPU执行。
[0022]在本文描述的系统的一些示例中,卸载路径以全线速承载与新的分组流相关联的额外分组。
[0023]在本文描述的系统的一些示例中,响应于确定分组是从以前没有向云计算资源发送分组的租户接收的,将分组提供给机器学习模型。
[0024]在本文所描述的系统的一些示例中,DPU在数据链路层、网络层和传输层中的一个或更多个处进行操作。在某些方面,机器学习模型在应用层中执行。
附图说明
[0025]图1示出了根据本公开的各个方面的使用DPU支持AI支持的网络遥测的系统的示例。
[0026]图2A到2C示出了根据本公开的各方面的使用DPU支持AI支持的网络遥测的系统的示例。
[0027]图3示出了根据本公开的各方面的使用DPU支持AI支持的网络遥测的系统的示例。
[0028]图4示出了根据本公开的各方面的使用DPU支持AI支持的网络遥测的过程流的示例。
具体实施方式
[0029]随后的描述提供了本公开的示例方面,并不旨在限制权利要求的范围、适用性或配置。相反,随后的描述将为本领域中的技术人员提供实现所描述的示例的实现描述。据了解,可以在不偏离所附权利要求的精神和范围的情况下,对元件的功能和布置作出各种改变。将参考是理想配置的示意图来描述本公开的各个方面。
[0030]一些组织(例如,企业)可能会经由数字基础设施提供数字服务(例如,基于云的应用程序、云服务等)。在某些情况下,相对中小型组织(如中小企业(SME))可能没有数字基础设施的所有权。在一些其他情况下,如果一个组织确实拥有这样的数字基础设施,那么该组织可能无法为其提供有效的安全保护。
[0031]例如,网络安全方面的不良规划、预算和/或部署可能会使组织和/或数字基础设施面临各种网络风险(例如,DDoS攻击、加密者攻击、破坏的访问控制、安全错误配置、注入、网络钓鱼攻击、恶意软件攻击、勒索软件攻击、XSS攻击、敏感数据泄露、信息泄露、加密劫持、欺诈电子邮件传输、僵尸网络、恶意内部攻击、社交档案工程攻击等)。因此,例如,提供更高的数字自由、安全、隐私和对此类网络风险的认识,可以减轻可能导致的潜在业务损失。在某些情况下,与大型企业相比,网络安全解决方案效率较低的小型组织(如SME)更有可能成为网络攻击的目标。
[0032]本公开的各个方面包括支持为各种系统(例如,公司系统)、网络和敏感信息提供网络安全解决方案的技术。本文所描述的技术可支持保护组本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:从本地网络接收分组,其中所述分组被导向云计算资源;确定所述分组与新的分组流相关联;响应于确定所述分组与所述新的分组流相关联,将来自所述新的分组流的一个或更多个分组提供给机器学习模型用于分组检查;接收来自所述机器学习模型的输出,其中所述输出指示所述新的分组流是否与网络攻击相关联;以及基于从所述机器学习模型接收的输出来路由所述新的分组流。2.如权利要求1所述的方法,其中所述机器学习模型由层7L7处理器执行。3.如权利要求2所述的方法,其中所述L7处理器包括图形处理单元GPU、数据处理单元DPU和中央处理单元CPU中的至少一个。4.如权利要求1所述的方法,其中所述分组包括所述新的分组流中的第一分组。5.如权利要求1所述的方法,其中所述一个或更多个分组被加密,并且其中所述机器学习模型执行分组检查而不解密所述一个或更多个分组。6.如权利要求1所述的方法,进一步包括:将所述分组提供给实现攻击检测规则集的过滤逻辑,其中所述攻击检测规则集被配置为确定所述分组与所述新的分组流相关联。7.如权利要求6所述的方法,其中所述过滤逻辑在比所述机器学习模型更低的协议栈的层处实现。8.如权利要求7所述的方法,其中所述过滤逻辑在数据链路层、网络层和传输层中的至少一个中执行,并且其中所述机器学习模型在应用层中执行。9.如权利要求1所述的方法,其中路由所述新的分组流包括经由卸载路径将与所述新的分组流相关联的所有分组导到所述云计算资源。10.如权利要求9所述的方法,其中所述卸载路径以全线速承载与所述新的分组流相关联的分组。11.如权利要求1所述的方法,进一步包括:评估所述分组的报头以确定与所述分组相关联的加密和/或解密需要。12.如权利要求1所述的方法,其中所述分组在网络接口卡NIC上设置的数据处理单元DPU处被接收。13.如权利要求1所述的方法,其中确定所述分组与所述新的分组流相关联包括:确定所述分组是从以前没有向所述云计算资源发送分组的租户接收的。14.如权利要求1所述的方法,其中所述云计算资源在多个租户之间共享,并且其中所述网络攻击包括分布式拒绝服务DDoS攻击、...
【专利技术属性】
技术研发人员:D,
申请(专利权)人:迈络思科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。