【技术实现步骤摘要】
数据处理单元的存储器中的勒索软件检测
[0001]相关申请
[0002]本申请要求2022年2月14日提交的美国临时申请第63/309,849号的权益,该申请的全部内容通过引用被合并于此。本申请与同时提交的标题为“使用机器学习检测模型在数据处理单元的存储器中的恶意活动检测(MALICIOUS ACTIVITY DETECTION IN MEMORY OF A DATA PROCESSING UNIT USING MACHINE LEARNING DETECTION MODELS)”的共同未决美国申请、同时提交的标题为“使用机器学习检测模型在数据处理单元的存储器中的恶意统一资源定位符(URL)检测(MALICIOUS UNIFORM RESOURCE LOCATOR(URL)DETECTION IN MEMORY OF A DATA PROCESSING UNIT USING MACHINE LEARNING DETECTION MODELS)”的共同未决美国申请,以及同时提交的标题为“使用机器学习检测模型在数据处理单元的存储器中的恶意域生成算法(DGA)检测(MALICIOUS DOMAIN GENERATION ALGORITHM(DGA)DETECTION IN MEMORY OF A DATA PROCESSING UNIT USING MACHINE LEARNING DETECTION MODELS)”的共同未决美国申请相关。
[0003]至少一个实施例涉及用于执行和促进用于检测一个或更多个计算机程序是否受 ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:由数据处理单元DPU获得存储在主机设备的物理存储器中的数据的一系列快照,所述数据与由所述主机设备执行的一个或更多个计算机程序相关联;使用机器学习ML检测系统,从所述一系列快照中的每个快照中提取一组特征,每个快照表示在时间点处的所述数据;使用所述ML检测系统利用所述一组特征将所述一个或更多个计算机程序的进程分类为勒索软件或非勒索软件;以及响应于所述进程被分类为勒索软件而输出勒索软件的指示。2.根据权利要求1所述的方法,其中所述ML检测系统包括随机森林分类模型,其中所述随机森林分类模型是基于时间序列的模型,其被训练为使用所述一系列快照中的不同数量的快照的级联将进程分类为勒索软件或非勒索软件。3.根据权利要求2所述的方法,其中所述一系列快照中的不同数量的快照的级联包括:第一数量的快照,其在第一时间量内获得;第二数量的快照,其在大于所述第一时间量的第二时间量内获得,所述第二数量的快照包括所述第一数量的快照;以及第三数量的快照,其在大于所述第二时间量的第三时间量内获得,所述第三数量的快照包括所述第二数量的快照。4.根据权利要求1所述的方法,其中所述ML检测系统包括基于时间的分类模型,其被训练为使用不同的时间量内的不同的特征集将进程分类为勒索软件或非勒索软件。5.根据权利要求4所述的方法,其中所述不同的特征集包括:第一组快照,其表示在第一时段内存储在所述物理存储器中的数据;以及第二组快照,其表示在大于所述第一时段的第二时段内存储在所述物理存储器中的数据。6.根据权利要求5所述的方法,其中所述不同的特征集进一步包括:第三组快照,其表示在大于所述第二时段的第三时段内存储在所述物理存储器中的数据。7.一种集成电路,包括:主机接口,可操作地耦合至与主机设备相关联的物理存储器;中央处理单元CPU,可操作地耦合至所述主机接口;以及加速硬件引擎,可操作地耦合至所述主机接口和所述CPU,其中所述CPU和所述加速硬件引擎用于托管硬件加速的安全服务,以保护由所述主机设备执行的一个或更多个计算机程序,其中所述硬件加速的安全服务用于:获得存储在所述主机设备的所述物理存储器中的数据的一系列快照,所述数据与所述一个或更多个计算机程序相关联;使用机器学习ML检测系统,从所述一系列快照中的每个快照中提取一组特征,每个快照表示在时间点处的所述数据;使用所述ML检测系统利用所述一组特征将所述一个或更多个计算机程序的进程分类为勒索软件或非勒索软件;以及响应于所述进程被分类为勒索软件而输出勒索软件的指示。8.根据权利要求7所述的集成电路,其中所述集成电路是数据处理单元DPU,其中所述
DPU是片上可编程数据中心基础设施。9.根据权利要求7所述的集成电路,进一步包括网络接口,其可操作地耦合至所述CPU,用于负责网络数据路径处理,其中所述CPU用于控制路径初始化和异常处理。10.根据权利要求7所述的集成电路,其中所述一个或更多个计算机程序包括至少一个主机操作系统OS、应用程序、访客操作系统或访客应用程序。11.根据权利要求7所述的集成电路,其中:所述硬件加速的安全服务用于获得存储在所述物理存储器中的所述数据的一系列快照,每个快照表示在时间点处的所述数据;所述ML检测系统包括:特征提取逻辑,用于从所述一系列快照中的每个快照中提取来自不同存储器插件的一组特征;以及随机森林分类模型,其中所述随机森林分类模型是基于时间序列的模型,其被训练为使用所述一系列快照中的不同数量的快照的级联将进程分类为勒索软件或非勒索软件。12.根据权利要求11所述的集成电路,其中所述一系列快照中的不同数量的快照的级联包括:第一数量的快照,其在第一时间量内获得;第二数量的快照,其在大于所述第一时间量的第二时间量内获得,所述第二数量的快照包括所述第一数量的快照;以及第三数量的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。