本发明专利技术涉及到信息安全、大数据、机器学习及微处理器设计领域,为实现从硬件的角度提升反病毒引擎的计算效率并进一步节省计算资源,从根本上大大减少了软件反病毒引擎带来的性能开销。由于引入了机器学习加大数据的概念,此硬件反病毒引擎还可能检测出未知的恶意软件,进一步提升了此硬件反病毒引擎方案的健壮性。本发明专利技术采用的技术方案是,基于微体系结构级别的硬件反病毒装置,是在处理器的流水线的最后一级设置的一个恶意软件检测单元MDU(Malware Detection Unit)模块,MDU模块包括三个子模块。本发明专利技术主要应用于微处理器设计场合。
【技术实现步骤摘要】
本专利技术涉及到信息安全、大数据、机器学习及微处理器设计领域,特别涉及一种基于微体系结构级别的硬件反病毒引擎方案。
技术介绍
传统的软件反病毒引擎只是使用简单的签名验证方法来识别恶意软件,这种方法是将待检测的软件通过哈希算法生成一个校验码与病毒库中校验码进行匹配,这就需要病毒库存储所有已经出现过的恶意软件和病毒的校验码,因此需要很大的存储空间开销,存储空间面临严峻的挑战。即使有足够的存储空间来存储这些病毒软件的校验码,病毒软件的制作者还是有其他方法来躲避静态签名验证的检查,恶意软件制作者们开始使用代码混淆技术,例如打包技术,加密技术和代码变形技术等等来躲避签名验证技术的检查。病毒软件制作者和反病毒引擎开发者之间是一场持久的战争,为了应对病毒软件制作者的挑战,反病毒引擎开发者们又开发出一种基于行为的检测技术来替代静态的签名验证技术,该技术能有效的检测出逃避静态签名验证技术检测的病毒软件。基于行为的检测技术特点是关注恶意软件与操作系统的交互,例如软件运行过程中使用了哪些文件、系统调用、调用了哪些功能函数和内存地址变化等,因为不管怎么打包或者对代码进行加密,恶意软件为了实现攻击目的,它与操作系统的交互是不会改变的,利用这些恶意软件行为信息,可以构建一个分类器模型来区分正常软件和恶意软件,这些模型通常是使用机器学习的方法从大量的数据集中训练得来的。尽管基于行为的动态检测技术相对于基于签名的静态检测技术表现出良好的优势,但是由于对效率需求的标准和处理器的要求让它带来了更多的性能开销代价。因为这种性能开销的代价,使得这种检测技术不能应用于终端机,只有恶意软件检测厂商使用这种技术来分析恶意软件,这些技术都是用软件来实现的,例如百度公司根据不同种类恶意软件的特点,建立了一种混合型的恶意软件检测模型应用在他们的产品上。
技术实现思路
为克服现有技术的不足,本专利技术旨在针对软件反病毒引擎计算资源开销大的问题而设计的一种新的基于微体系结构级别的硬件反病毒引擎方案。在不影响反病毒引擎准确率的前提下,从硬件的角度提升反病毒引擎的计算效率并进一步节省计算资源,从根本上大大减少了软件反病毒引擎带来的性能开销。由于引入了机器学习加大数据的概念,此硬件反病毒引擎还可能检测出未知的恶意软件,进一步提升了此硬件反病毒引擎方案的健壮性。本专利技术采用的技术方案是,基于微体系结构级别的硬件反病毒装置,是在处理器的流水线的最后一级设置的一个恶意软件检测单元MDU(MalwareDetectionUnit)模块,MDU模块包括三个子模块:微体系结构特征收集模块,机器学习算法硬件实现的预测模块和硬件实现的检测模块;微体系结构特征收集模块是一组寄存器,通过配置寄存器收集微体系结构级别的性能事件;所述特征收集模块的配置是固化在硬件中的,不能被系同级别的软件读写、控制和配置;机器学习算法硬件实现的预测模块是机器学习算法实现的硬件分类器,用于根据微体系结构特征收集模块收集的特征数据做出判断,将输入的特征数据分类,给出预测结果;硬件实现的检测模块,用于使用统计学方法对所述预测结果进行分析,给出决策。机器学习算法是逻辑回归,决策树,支持向量机和人工神经网络中的一种。工作的流程如下:微体系结构特征收集模块收集特征数据,每运行10K条指令后将数据发送给机器学习算法硬件实现的预测模块,机器学习算法硬件实现的预测模块对发送来的特征向量数据进行一次分类预测运算,预测的结果发送给硬件实现的检测模块,硬件实现的检测模块结合最近几次的预测结果给出决策,决策的结果返回给处理器流水线。本专利技术的特点及有益效果是:本专利技术提出了一种硬件反病毒引擎方案设计,不同于软件反病毒引擎,我们的设计方案是基于微体系结构级别的硬件模块,可以有效的解决软件反病毒引擎计算资源开销大的问题。我们的硬件反病毒引擎可以应用在不同的领域,手机的SOC设计中,例如ARM处理器可以包含我们这个IP模块,提供低功耗设计的方案,保证手机病毒的检测和防御;普通PC机上例如Intel处理器加入此硬件模块,在底层硬件上先对运行的程序有一个初步的判断,然后将决策的结果反馈上层软件反病毒引擎,硬件层引入反病毒的概念,加快了病毒的检测,及早地在硬件底层终止恶意软件的运行,另外也减轻了上层软件反病毒引擎的计算负担;云计算系统中也可以引入硬件反病毒引擎方案,当硬件反病毒引擎检测到某一用户虚拟机受到恶意软件攻击,系统应将此用户的虚拟机与其他的虚拟机隔离,防止该虚拟机对其他用户造成影响。硬件反病毒引擎方案是一种先进的设计,将会给计算机系统带来更高的可靠性和更好的安全保证。附图说明:图1恶意软件检测单元(MalwareDetectionUnit)总体架构图。图2DecisionTree(决策树)模型实现的PredictionUnit(预测单元)。图3LogisticRegression(逻辑回归)模型实现的PredictionUnit(预测单元)。图4EWMA(ExponentiallyWeightedMoving-Average,指数加权平均值)模型实现的DecisionUnit(决策单元)。图中,Pipeline-流水线MDU(malwaredetectionunit)-恶意软件检测单元FeatureCollection-特征收集Predictionunit-预测单元Decisionunit-决策单元DecisionTree-决策树Malware-恶意软件Normal-正常的软件LogisticRegression-逻辑回归Threshold-阈值EWMA(ExponentiallyWeightedMoving-Average)-指数加权平均值。具体实施方式本专利技术设计了一种基于微体系结构级别的硬件反病毒引擎方案。设计借鉴了微体系结构特征参数采集寄存器(hardwareperformancecounters,硬件性能计数器)实现,设计包括三个硬件部分,1)微体系结构特征收集的硬件模块,2)机器学习算法硬件实现的预测模块,3)硬件实现的检测模块。由于采用的是微体系结构级别的特征进行恶意软件分析,对于上层恶意软件程序制作者来说,很难通过软件设计来逃避微体系结构级别的分析。在硬件上设计反病毒引擎的优势是可以减少资源的开销,并且可以尽可能早的在微体系结构层发现软件的恶意意图,从而阻止恶意软件对上层操作系统的危害。本专利技术旨在针对软件反病毒引擎计算资源开销大的问题而设计的一种新的基于微体系结构级别的硬件反病毒引擎方案。在不影响反病毒引擎准确率的前提下,从硬件的角度提升反病毒引擎的计算效率并进一步节省计算资源,从根本上大大减少了软件反病毒引擎带来的性能开销。由于引入了机器学习加大数据的概念,此硬件反病毒引擎还可能检测出未知的恶意软件,进一步提升了此硬件反病毒引擎方案的健壮性。本专利技术设计的是一种高效安全基于微体系结构级别硬件反病毒引擎方案,本硬件设计包括三个模块1)微体系结构级别特征收集模块,2)分类和预测模块,3)决策模块。本专利技术用于输入的特征数据是微体系结构级别的性能事件,微体系结构级别的性能事件是软件在运行过程中在硬件层产生的微体系结构级别的行为,例如cache命中率,分支预测和内存读写产生的一些性能特征等等。通过收集,处理和分析这些数据有助于我本文档来自技高网...
【技术保护点】
一种基于微体系结构级别的硬件反病毒装置,其特征是,在处理器的流水线的最后一级设置的一个恶意软件检测单元MDU(Malware Detection Unit)模块,MDU模块包括三个子模块:微体系结构特征收集模块,机器学习算法硬件实现的预测模块和硬件实现的检测模块;微体系结构特征收集模块是一组寄存器,通过配置寄存器收集微体系结构级别的性能事件;所述特征收集模块的配置是固化在硬件中的,不能被系同级别的软件读写、控制和配置;机器学习算法硬件实现的预测模块是机器学习算法实现的硬件分类器,用于根据微体系结构特征收集模块收集的特征数据做出判断,将输入的特征数据分类,给出预测结果;硬件实现的检测模块,用于使用统计学方法对所述预测结果进行分析,给出决策。
【技术特征摘要】
1.一种基于微体系结构级别的硬件反病毒装置,其特征是,在处理器的流水线的最后一级设置的一个恶意软件检测单元MDU(MalwareDetectionUnit)模块,MDU模块包括三个子模块:微体系结构特征收集模块,机器学习算法硬件实现的预测模块和硬件实现的检测模块;微体系结构特征收集模块是一组寄存器,通过配置寄存器收集微体系结构级别的性能事件;所述特征收集模块的配置是固化在硬件中的,不能被系同级别的软件读写、控制和配置;机器学习算法硬件实现的预测模块是机器学习算法实现的硬件分类器,用于根据微体系结构特征收集模块收集的特征数据做出判断,将输入的特征数据分类,给出预测结果;硬...
【专利技术属性】
技术研发人员:郭炜,魏继增,彭会成,
申请(专利权)人:天津大学,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。