【技术实现步骤摘要】
数据处理单元的存储器中的恶意域生成算法DGA检测
[0001]相关申请
[0002]本申请要求2022年2月14日提交的美国临时申请第63/309,849号的权益,该申请的全部内容通过引用被合并于此。本申请与同时提交的标题为“使用机器学习检测模型在数据处理单元的存储器中的恶意活动检测(MALICIOUS ACTIVITY DETECTION IN MEMORY OF A DATA PROCESSING UNIT USING MACHINE LEARNING DETECTION MODELS)”的共同未决美国申请、同时提交的标题为“使用机器学习检测模型在数据处理单元的存储器中的勒索软件检测(RANSOMWARE DETECTION IN MEMORY OF A DATA PROCESSING UNIT USING MACHINE LEARNING DETECTION MODELS)”的共同未决美国申请、同时提交的标题为“使用机器学习检测模型在数据处理单元的存储器中的恶意统一资源定位符(URL)检测(MALICIOUS UNIFORM RESOURCE LOCATOR(URL)DETECTION IN MEMORY OF A DATA PROCESSING UNIT USING MACHINE LEARNING DETECTION MODELS)”的共同未决美国申请相关。
[0003]至少一个实施例涉及用于执行和促进用于检测一个或更多个计算机程序是否受到恶意活动的操作的处理资源。例如,根据本文描述的各种新型技术,至少一个 ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:由数据处理单元DPU获得存储在主机设备的物理存储器中的数据的快照,所述数据与由所述主机设备执行的一个或更多个计算机程序相关联;使用机器学习ML检测系统从所述快照中提取一组特征,其中所述一组特征包括一个或更多个候选统一资源定位符URL中的域字符;使用所述ML检测系统利用所述一组特征将所述一个或更多个候选URL分类为具有域生成算法DGA域或非DGA域;以及响应于所述一个或更多个候选URL被分类为具有所述DGA域而输出DGA恶意软件的指示。2.根据权利要求1所述的方法,进一步包括:使用所述ML检测系统利用所述一组特征在一组DGA恶意软件族之间对所述DGA恶意软件的DGA族进行分类;以及输出所述DGA恶意软件的所述DGA族的指示。3.根据权利要求2所述的方法,其中所述ML检测系统包括两阶段分类模型,其包括:二元分类模型,其被训练为在第一阶段将所述一个或更多个候选URL分类为具有DGA域或非DGA域;以及多类分类模型,其被训练为在第二阶段将所述DGA域的所述DGA族在所述一组DGA恶意软件族中进行分类。4.根据权利要求2所述的方法,其中所述ML检测系统包括两阶段分类模型,其包括:二元分类模型,其被训练为将所述一个或更多个候选URL中的域字符令牌化为令牌,并在第一阶段使用所述令牌将所述一个或更多个候选URL分类为具有所述DGA域或所述非DGA域;以及多类分类模型,其被训练为在第二阶段使用所述令牌将所述DGA域的所述DGA族在所述一组DGA恶意软件族中进行分类。5.根据权利要求4所述的方法,其中:所述二元分类模型包括具有嵌入层的卷积神经网络CNN,用于将所述一个或更多个候选URL的所述域字符令牌化为令牌,所述CNN使用所述域字符的所述令牌作为所述一组特征;以及所述多类分类模型包括具有所述嵌入层的所述CNN的孪生网络,所述孪生网络使用所述域字符的所述令牌作为所述一组特征。6.根据权利要求2所述的方法,进一步包括:从所述快照中提取一个或更多个候选URL,所述快照表示在时间点处的所述数据,其中所述提取包括从所述一个或更多个候选URL中提取所述一组特征,其中所述ML检测系统包括两阶段分类模型,所述两阶段分类模型包括:二元分类模型,其被训练为在第一阶段使用所述一组特征将所述一个或更多个候选URL分类为具有DGA域或非DGA域;以及多类分类模型,其被训练为在第二阶段使用所述一组特征将所述DGA域的DGA族在一组DGA族之间进行分类。7.根据权利要求6所述的方法,进一步包括:将所述一个或更多个候选URL中的所述域
字符令牌化为令牌,并且其中:所述二元分类模型包括具有嵌入层的卷积神经网络CNN,以接收所述令牌作为表示所述一个或更多个候选URL中的所述域字符的令牌的输入序列,并基于所述令牌的输入序列生成输入向量,并且所述CNN被训练为在所述第一阶段使用来自所述嵌入层的所述输入向量将所述一个或更多个候选URL分类为具有所述DGA域或所述非DGA域;以及所述多类分类模型包括具有所述嵌入层的所述CNN的孪生网络,所述孪生网络被训练为在所述第二阶段使用来自所述嵌入层的所述输入向量对所述DGA族进行分类。8.一种集成电路,包括:主机接口,其可操作地耦合至与主机设备相关联的物理存储器;中央处理单元CPU,其可操作地耦合至所述主机接口;以及加速硬件引擎,其可操作地耦合至所述主机接口和所述CPU,其中所述CPU和所述加速硬件引擎用于托管硬件加速的安全服务,以保护由所述主机设备执行的一个或更多个计算机程序,其中所述硬件加速的安全服务用于:获得存储在所述物理存储器中的数据的快照,所述数据与所述一个或更多个计算机程序相关联;使用机器学习ML检测系统从所述快照中提取一组特征,其中所述一组特征包括一个或更多个候选统一资源定位符URL中的域字符;使用所述ML检测系统利用所述一组特征将所述一个或更多个候选URL分类为具有域生成算法DGA域或非DGA域;以及响应于所述一个或更多个候选URL被分类为具有所述DGA域而输出DGA恶意软件的指示。9.根据权利要求8所述的集成电路,其中所述集成电路是数据处理单元DPU,其中所述DPU是片上可编程数据中心基础设施。10.根据权利要求8所述的集成电路,进一步包括网络接口,其可操作地耦合至所述CPU,用于负责网络数据路径处理,其中所述CPU用于控制路径初始化和异常处理。11.根据权利要求8所述的集成电路,其中所述一个或更多个计算机程序包括至少一个主机操作系统OS、应用程序、访客操作系统或访客应用程序。12.根据权利要求8所述的集成电路,其中:所述硬件加速的安全服务用于:获得存储在所述物理存储器中的所述数据的快照,所述快照表示在时间点处的所述数据;以及从所述快照中提取一个或更多个候选URL;所述ML检测系统包括:特征提取逻辑,用于从所述一个或更多个候选URL中提取一组特征,所述一组特征包括所述一个或更多个候选URL的域字符;以及两阶段分类模型,其包括:二元分类模型,其被训练为在第一阶段使用所述一组特征将所述一个或更多个...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。