CN110022291B - 用于识别通信网络的数据流中的异常的方法和设备 - Google Patents

用于识别通信网络的数据流中的异常的方法和设备 Download PDF

Info

Publication number
CN110022291B
CN110022291B CN201811570227.4A CN201811570227A CN110022291B CN 110022291 B CN110022291 B CN 110022291B CN 201811570227 A CN201811570227 A CN 201811570227A CN 110022291 B CN110022291 B CN 110022291B
Authority
CN
China
Prior art keywords
distribution
data packets
encoder
determined
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811570227.4A
Other languages
English (en)
Other versions
CN110022291A (zh
Inventor
A.拉马尔卡
M.汉泽尔曼
T.施特劳斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN110022291A publication Critical patent/CN110022291A/zh
Application granted granted Critical
Publication of CN110022291B publication Critical patent/CN110022291B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0847Transmission error
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Optimization (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Biophysics (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种用于自动识别通信网络(3)中的数据流中的异常的方法,其具有以下步骤:‑提供经训练的变分自编码器(10),所述变分自编码器根据符合规定的数据包在预给定潜变量的通过参考分布参数说明的参考分布的情况下受训练;‑根据施加到经训练的变分自编码器(10)上的输入变量向量(x)来确定(S3)一个或多个分布参数,所述输入变量向量通过一个或多个数据包(P)来确定;‑根据所述一个或多个分布参数来将所述一个或多个数据包(P)识别(S4)为异常数据包。

Description

用于识别通信网络的数据流中的异常的方法和设备
技术领域
本发明涉及用于识别数据流中的错误或数据流的纂改的异常识别方法。本发明尤其涉及在使用机器学习方法的情况下识别异常的方法。
背景技术
在通信网络中,数据通常分组地传输。因此,可以通过串行现场总线或基于以太网的通信网络来进行在机动车中通过通信网络的数据传输。在此的示例是CAN总线(CAN:Controller Area Network:控制器局域网络)或者汽车以太网,它们主要应用在机动车中。在CAN网络中以及在其他分组网络中的通信通常以彼此相继的数据包的形式进行,所述数据包分别通过ID标识来辨识并且具有以下数据段:在所述数据段中包含分配给所述ID-标识的有用数据。
在攻击识别系统(IDS:Intrusion Detection System)的领域中,在汽车领域中存在用于识别通过通信网络的通信中的异常的不同方法。这样的异常可以涉及以下数据包:所述数据包包含例如基于有错误的网络部件引起的有错误的数据或者例如通过从外部注入数据包而引起的经纂改的数据。特别重要的是,尤其在系统的所不期望的从外部的侵入和纂改方面识别这样的异常。
用于识别数据流中的异常的一种本身已知的可能性在于,根据规则、即基于规则检查所传输的数据包中的每一个。在此,创建查询的、检查的和结论的列表,异常识别方法根据该列表识别网络通信的数据流中的有错误的或经纂改的数据包,所谓的异常数据包。这些规则是具有公差的,其中,根据经验或以其他方式确定公差范围。如果公差范围过窄,则可能出现以下情况:尽管不存在异常仍识别出数据流中的异常。
由出版文献 US 2015/5191135 A已知一种系统,其中,通过网络通信的事先的数据分析来学习决策树。基于到达的网络信息——其用作决策树的输入,借助当前的网络数据遍历所学习的决策树,并且输出是否已经确定异常。
由出版文献 US 2015/113638 A已知一种系统,该系统提出基于学习算法的异常识别。在此,学习具有已知的元信息、诸如CAN-ID、周期时间等等的数据流,并且为了识别车辆网络中的已知的攻击,将当前的网络消息与已经已知的通知和模式进行比较,所述通知和模式表明错误或纂改。
在出版文献 WO 2014/061021 A1中同样提出,借助机器学习方法通过不同的网络信息识别异常或已知的攻击模式。
用于识别数据流中的异常的替代的可能性使用机器学习方法,诸如神经网络、自编码器和类似的。将机器学习方法用于异常识别的优点在于,不必手动地生成用于数据包的检查规则。
此外,用于异常识别的机器学习方法也能够识别网络行为的动态变化,而不会将所述动态变化错误地分类为异常。但是,目前为止困难的是,进行网络行为的动态变化的正确估计,因为并非每个变化都会导致识别出异常。因此,通过例如特别的行驶状况、如完全制动或在提高的转速下的行驶引起的总系统的动态变化可能作用于机动车的网络通信,而不应识别出异常。
发明内容
根据本发明,设置一种根据权利要求1的用于自动识别通信网络的数据流中的异常的方法以及根据并列权利要求的一种相应的设备和一种网络系统。
另外的构型在从属权利要求中说明。
根据第一方面,是一种用于自动识别通信网络中的数据流中的异常的方法,所述方法具有以下步骤:
- 提供经训练的变分自编码器,所述变分自编码器根据符合规定的数据包和/或其特征在预给定潜变量的通过一个或多个参考分布参数说明的参考分布的情况下受训练;
- 根据施加到经训练的变分自编码器上的输入变量向量来确定一个或多个分布参数,所述输入变量向量通过一个或多个数据包来确定;
- 根据所述一个或多个分布参数来将所述一个或多个数据包识别为异常数据包。
上述方法利用变分自编码器来对网络数据在自编码器的潜空间中的参考分布进行建模。在自编码器的探测运行中导致参考分布的偏差的数据包可以根据偏差的高度来被识别为异常。
将变分自编码器用于这样的异常识别方法不要求预给定异常探测规则并且仅仅通过预给定符合规定的用于训练变分自编码器的数据流而可应用。尤其在具有类似的数据包的循环通信的数据流的情况下,诸如在串行的现场总线系统——诸如在机动车中的CAN-或CANFD-数据总线中,上述探测方法的应用是特别适合的。
此外可以规定,借助不同于欧式距离度量提供的误差度量来执行通过分布参数说明的参考分布和通过参考分布参数说明的参考分布之间的偏差,诸如KL(Kullback-Leibler)散度。
此外可以规定,如果根据所述一个或多个分布参数将一个或多个数据包确定为符合规定的数据包,则基于所述一个或多个数据包再训练所述变分自编码器。以此方式可以适配变分自编码器,使得可以相应于所述通信网络的正常行为持续再调准所述变分自编码器。
此外,可以借助无异常数据流的数据包训练所述变分自编码器,使得一方面,在相应的输入变量向量 x和所产生的输出变量向量x‘之间的重构误差尽可能小,并且另一方面,所述潜变量z在所述潜空间中的分布尽可能相应于预给定的参考分布,其中,尤其应尽可能最小化在通过所述一个或多个分布参数实现的分布和所述预给定的参考分布之间的分布偏差。
尤其可以将在所述变分自编码器的训练期间应被最小化的分布偏差作为所实现的分布与所述预给定的参考分布之间的区别的度量来求取,其中,将所述分布偏差尤其作为KL散度来求取。
根据一种实施方式,可以根据相应的施加的数据包的所述潜变量的分布与所述预给定的参考分布之间的偏差度量的高度来将所述数据包识别为异常数据包。
尤其可以将所述偏差度量作为所述潜变量的分布与所述预给定的参考分布之间的KL散度来求取,或者,作为说明对于所述数据包出现的分布的分布参数与说明参考分布的参考分布参数之间的区别的度量来确定。
此外可以规定,借助阈值比较来检查所述偏差度量,以便将作为所述输入变量向量施加的数据包识别为异常数据包。
也可以根据网络状态改变说明参考分布的一个或多个参考分布参数。
此外可以规定,由多个分布参数、尤其通过求平均或经加权的求平均来确定说明所述参考分布的一个或多个参考分布参数,所述多个分布参数由最后施加的数据包得出,其中尤其,对于求平均考虑的数据包通过其数目或时间区段来预给定。
根据一种实施方式,当借助异常值识别方法确定由所涉及的数据包(P)得出的一个或多个分布参数关于由时间上相邻的数据包得出的所述一个或多个分布参数偏离大于预先确定的度量的时候,可以将数据包(P)识别为异常数据包。
此外,可以以聚类变量补充由所施加的数据包确定的输入变量向量,以便对所述输入变量向量的类型进行分类。
根据一种实施方式,所述参考分布可以相应于可通过所述一个或多个分布参数来参数化的分布,并且每个潜变量可通过所述分布参数来确定,所述参考分布相应于高斯分布,并且对于所述潜变量中的每一个通过平均值和方差值来确定所述参考分布。
附图说明
下面根据附图详细阐述实施方式。其中:
图1示出具有通信总线和异常识别装置的网络系统的示意图;
图2示出变分自编码器的示意图;
图3示出由彼此相继的数据包组成的数据流的一个示例;以及
图4示出用于说明用于应用变分自编码器来在通信网络的数据流中进行异常识别的方法的流程图。
具体实施方式
图1示出具有多个网络部件2的总系统 1的示意图,所述多个网络部件通过通信总线 3相互连接。这些网络部件2可以包括控制装置、传感器和促动器。通信总线 3可以相应于现场总线或其余的数据总线,诸如CAN总线(机动车中的现场总线)。通过通信总线 3可以传输数据流,所述数据流由数据包序列组成。在此,数据包从所述网络部件2中的一个传输至所述网络部件2中的至少一个另外的网络部件。
异常识别系统 4与通信总线 3连接,所述异常识别系统可以单独地或者作为所述网络部件2中的一个网络部件2的一部分来构造。异常识别系统 4也一并读取通过通信总线3传输的数据并且基于预给定的规则来实施异常识别方法。异常识别系统 4可以单独地实施或者是所述网络部件2的一部分。
变分自编码器10是异常识别系统 4中在此描述的异常识别方法的核心。变分自编码器示例性地在图2中示出。该变分自编码器具有编码器部分 11和解码器部分12。编码器部分 11和解码器部分12分别构造为具有神经元N的神经网络。神经元N分别实施神经元功能,所述神经元功能例如通过将激活功能应用到具有偏差值的经加权的输入的乘积的和上来定义。
编码器部分 11将输入变量向量 x映射到潜空间中的代表z (潜变量)上。潜空间具有相比输入变量向量 x更低的维度。编码器部分 11具有输入层 11E、一个或多个中间层11Z和输出层 11A,所述输出层相应于潜空间或者是潜空间。
解码器部分12将潜空间的代表z映射到输出变量向量x'中。潜空间具有相比输入变量向量x‘更低的维度。除了输入层 12E之外,解码器部分12还可以具有一个或多个中间层12Z和输出层 12A,所述输入层相应于潜空间或是潜空间,所述输出层具有编码器部分11的输入层 11E的维度。
变分自编码器10在其架构方面基本上相应于常规的自编码器,其中,编码器部分11在概率方面受训练并且因此可以以qΘ(z|x)来表示,其中,Θ表示神经网络的参数。对于以上训练方案附加地,假设潜变量z在潜空间中的先验分布,并且该参考分布以p(z)来表示。
在训练变分自编码器10时例如借助反向传播方法训练变分自编码器,使得一方面,在输入变量向量 x 和输出变量向量x‘之间的重构误差尽可能小。另一方面,执行训练,使得潜变量 z在潜空间中的分布尽可能相应于预给定的参考分布。该参考分布通过参考分布参数来预给定,所述参考分布参数以编码的方式说明参考分布。潜变量 z的分布通过分布参数来预给定,所述分布参数以编码的方式说明分布。在训练变分自编码器10时通过以自身已知的方式通过预给定约束条件来实现:潜变量 z在潜空间中的分布尽可能相应于预给定的参考分布, 使得在所实现的分布和预给定的参考分布之间的偏差度量应该尽可能小。
所产生的分布参数以相应编码的形式表示潜变量 z的受训练的分布。分布参数表征潜变量 z在潜空间中的分布。例如可以通过预给定平均值和方差来预给定高斯分布作为参考分布,关于所述参考分布,潜变量 z中的每一个在潜空间中的分布应具有尽可能小的距离度量。然而,也能够实现其他的参考分布,所述其他的参考分布可以通过分别预给定的一个或多个分布参数来表征。
对于在图2中示出的变分自编码器10,编码器部分11的倒数第二层、也即最后的中间层11Z在此相应于参考分布层,所述参考分布层对于潜空间中的潜变量 z中的每一个都经编码地包含所述一个或多个分布参数。
如在图3中示例性地说明的那样,通过通信总线 3传输的数据包 P通过ID-标识的时间戳和数据段 S来定义或者所述数据包 P包含时间戳和数据段 S,所述时间戳即以下时刻:从该时刻起发送所涉及的数据包 P,数据包P的源和/或目标以所述ID-标识来表示。数据段 S可以分别包含一个或多个数据区段 B,所述一个或多个数据区段相应于待传输的信息。数据区段 B可以分别包括各个比特、比特组、一个或多个字节。
以作为参考的、符合规定的数据流以及预给定的参考分布训练变分自编码器10。在此,输入变量向量由数据流的数据包P生成并且可以分别相应于一个、多个数据包P或数据包P的一部分或者由它们生成。
此外,可以考虑数据流中的数据包P的所有或仅仅一部分用于训练。尤其对于训练可以仅仅选择相同类型的数据包P,所述相同类型的数据包众所周知地具有相同类型的或类似类型的内容,例如具有一个或多个相同的ID-标识的数据包。该训练可以基于所考虑的各个数据包的内容以及也根据传输特征、诸如在数据流内数据包的重复率或时间上的出现来执行。
在图4中示出用于说明用于在通信网络中进行数据流的异常识别的方法的流程图。为此,在步骤S1中,施加输入变量向量到先前训练的变分自编码器10上,其中,输入变量向量由一个或多个当前的数据包或数据包的一部分构成。
在步骤S2中,由编码器部分 11读取分布参数。分布参数可以相应于直接在输出层11A之前的中间层 11Z的神经元N的内容或者由其导出。
在步骤S3中,通过分布参数说明的当前分布与基于训练并且通过参考分布参数说明的参考分布的比较,求取偏差度量。偏差度量优选地相应于用于评估两个分布之间的偏差的度量并且尤其可以作为KL散度来确定。
在步骤S4中可以借助阈值比较来检查偏差度量。如果超出阈值(两者择一:是),则在步骤S5中用信号通知异常并且执行相应的措施。否则(两者择一:否),可以在步骤S6中使用潜变量 z,以便基于符合规定的数据包来再训练变分自编码器。以此方式可以适配变分自编码器,使得可以相应于所述通信网络的正常行为持续再调准所述变分自编码器。对于变分自编码器的再训练,也可以在实施再次的训练之前收集多个符合规定的数据包。接着,跳回到步骤S1。
通过对于进一步的检查而匹配变分自编码器10,进行在时间上的自适应匹配,使得可以捕捉动态的网络行为,并且在时间上出现的本身正常的变化不导致异常的错误识别(错误识别)。步骤S6是可选的,使得也可以规定,使变分自编码器10不改变。
替代地或附加地,可以根据网络状态来改变参考分布。例如可以在网络状态、诸如网络部件的启动、持续运行或关机的情况下进行分别与此相匹配的预给定的参考分布(以相应的参考分布参数的预给定的形式)。为此,必须对于每个网络状态对于预给定的参考分布中的每一个训练变分自编码器10。
此外,在步骤S4中可以规定,由多个分布参数例如通过求平均、经加权的求平均或类似的来确定所述比较所基于的分布参数,所述多个分布参数由最后施加的数据包/输入变量向量得出。对于求平均所考虑的数据包/输入变量向量可以通过其数目或时间区段来预给定。
在现在传送的所考虑的另外的数据包/输入变量向量的情况下,将相应的分布参数与由求平均得出的分布参数进行比较。分布参数与参考分布参数的偏差可以借助KL散度或其他的合适的距离度量,例如欧式距离来求取。通过阈值比较,又可以在超出分布参数与参考分布参数之间的预给定的偏差的情况下识别出异常。
替代地,在另一种实施方式中,可以借助异常值识别方法来确定分布参数的偏差。因此,例如可以将所谓的DBSCAN-方法应用到对于彼此相继的重要相关的输入变量向量求取的分布参数上,以便求取分布参数行列中的异常值。如果存在异常值,则对于分配给所涉及的输入变量向量的数据包识别出异常。在最后描述的方法中,一直根据最新的分布参数来更新对于异常值识别方法重要相关的分布参数,使得仅仅考虑位于预先确定的过去的时间段之内的或对于确定数目的所传送的数据包内的数据包,以便因此能够实现在时间上的自适应匹配。由此同样可以考虑动态的网络行为,使得网络行为的在时间上的变化并非必然导致异常识别。
经常,潜变量的分布显著取决于数据包的/输入变量向量的类型。因此,涉及各个类型的数据包/输入变量向量的分类分布,所述分类分布当所有类型的数据包/输入变量向量的所有分布在潜空间中被建模时将难以区分。为了不必对于每个单个类型的数据包/输入变量向量训练自身的变分自编码器,可以使用变分自编码器的扩展形式。为此,将聚类变量 c添加至输入变量向量 x,所述聚类变量对数据包/输入变量向量的类型进行分类。借助数据包/输入变量向量的类型的附加信息,可以以q(z|X, c)形式非常简单地对潜空间中的分布进行聚类。

Claims (13)

1.一种用于自动识别通信网络中的数据流中的异常的方法,所述方法具有以下步骤:
-提供经训练的变分自编码器(10),所述变分自编码器是根据符合规定的数据包在预给定潜变量的通过参考分布参数说明的参考分布的情况下经受训练的;
-根据施加到经训练的变分自编码器(10)上的输入变量向量(x)来确定(S3)一个或多个分布参数,所述输入变量向量通过一个或多个数据包(P)来确定;
-根据所述一个或多个分布参数来将所述一个或多个数据包(P)识别(S4)为异常数据包;
其中,借助无异常数据流的数据包(P)训练所述变分自编码器(10),使得一方面,在相应的输入变量向量(x)和所产生的输出变量向量(x‘)之间的重构误差是小的,并且另一方面,所述潜变量(z)在潜空间中的分布相应于预给定的参考分布,其中,应最小化在通过所述一个或多个分布参数确定的分布和所述预给定的参考分布之间的分布偏差。
2.根据权利要求1所述的方法,其中,将在所述变分自编码器(10)的训练期间应被最小化的分布偏差作为所确定的分布与所述预给定的参考分布之间的区别的度量来求取,其中,将所述分布偏差作为KL散度来求取。
3.根据权利要求1或2所述的方法,其中,根据在相应的施加的数据包(P)的所述潜变量的分布与所述预给定的参考分布之间的偏差度量的高度来将所述数据包(P)识别为异常数据包。
4.根据权利要求3所述的方法,其中,将所述偏差度量作为所述潜变量的分布与所述预给定的参考分布之间的KL散度来求取,或者,作为说明对于所述数据包出现的分布的分布参数与说明所述参考分布的参考分布参数之间的区别的度量来确定。
5.根据权利要求3所述的方法,其中,借助阈值比较来检查所述偏差度量,以便将通过所述输入变量向量(x)表示的数据包中的一个或多个识别为异常数据包。
6.根据权利要求3所述的方法,其中,在将一个或多个数据包(P)识别为符合规定的数据包的情况下,基于所述一个或多个数据包(P)再训练所述变分自编码器(10),以便相应于所述通信网络的正常行为持续再调准所述变分自编码器(10)。
7.根据权利要求3所述的方法,其中,根据网络状态改变说明所述参考分布的一个或多个参考分布参数。
8.根据权利要求3所述的方法,其中,由多个分布参数通过求平均或经加权的求平均来确定说明所述参考分布的一个或多个参考分布参数,所述多个分布参数由最后施加的数据包(P)得出,其中,对于求平均考虑的数据包(P)通过其数目或时间区段来预给定。
9.根据权利要求1或2所述的方法,其中,当借助异常值识别方法确定由所涉及的数据包(P)得出的一个或多个分布参数关于由时间上相邻的数据包(P)得出的所述一个或多个分布参数偏离大于预先确定的度量的时候,将数据包(P)识别为异常数据包。
10.根据权利要求1或2所述的方法,其中,以聚类变量c补充由所施加的数据包(P)确定的输入变量向量(x),以便对所述输入变量向量(x)的类型进行分类。
11.根据权利要求1或2所述的方法,其中,所述参考分布相应于可通过所述一个或多个分布参数来参数化的分布,并且每个潜变量可通过所述分布参数来确定,其中,所述参考分布相应于高斯分布,并且,对于所述潜变量中的每一个通过平均值和方差值来确定所述参考分布。
12.一种用于自动识别通信网络(3)中的数据流中的异常的设备,其中所述设备包括用于实施根据权利要求1至11中任一项所述的方法的所有步骤的装置。
13.一种电子存储介质,在所述电子存储介质上存储有计算机程序,所述计算机程序被设置为当其在计算机或计算设备上执行时用于实施根据权利要求1至11中任一项所述的方法的所有步骤。
CN201811570227.4A 2017-12-22 2018-12-21 用于识别通信网络的数据流中的异常的方法和设备 Active CN110022291B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017223751.1A DE102017223751A1 (de) 2017-12-22 2017-12-22 Verfahren und Vorrichtung zur Erkennung von Anomalien in einem Datenstrom eines Kommunikationsnetzwerks
DE102017223751.1 2017-12-22

Publications (2)

Publication Number Publication Date
CN110022291A CN110022291A (zh) 2019-07-16
CN110022291B true CN110022291B (zh) 2023-05-09

Family

ID=66768070

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811570227.4A Active CN110022291B (zh) 2017-12-22 2018-12-21 用于识别通信网络的数据流中的异常的方法和设备

Country Status (3)

Country Link
US (1) US20190199743A1 (zh)
CN (1) CN110022291B (zh)
DE (1) DE102017223751A1 (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7183904B2 (ja) * 2019-03-26 2022-12-06 日本電信電話株式会社 評価装置、評価方法、および、評価プログラム
JP2021015425A (ja) * 2019-07-11 2021-02-12 富士通株式会社 学習方法、学習プログラム及び学習装置
DE102019217071A1 (de) * 2019-11-06 2021-05-06 Robert Bosch Gmbh Verfahren zum Ermitteln einer unzulässigen Abweichung des Systemverhaltens einer technischen Einrichtung von einem Normwertebereich
DE102019217073A1 (de) * 2019-11-06 2021-05-06 Robert Bosch Gmbh Verfahren zum Ermitteln einer unzulässigen Abweichung des Systemverhaltens einer technischen Einrichtung von einem Normwertebereich
DE102019217055A1 (de) * 2019-11-06 2021-05-06 Robert Bosch Gmbh Verfahren zum Ermitteln einer unzulässigen Abweichung des Systemverhaltens einer technischen Einrichtung von einem Normwertebereich
CN110856201B (zh) * 2019-11-11 2022-02-11 重庆邮电大学 一种基于Kullback-Leibler散度的WiFi异常链路检测方法
CN110909826A (zh) * 2019-12-10 2020-03-24 新奥数能科技有限公司 一种能源设备的诊断监测方法、装置及电子设备
EP3840319A1 (en) * 2019-12-16 2021-06-23 Robert Bosch GmbH Anomaly detector, anomaly detection network, method for detecting an abnormal activity, model determination unit, system, and method for determining an anomaly detection model
CN111314331B (zh) * 2020-02-05 2020-11-03 北京中科研究院 一种基于条件变分自编码器的未知网络攻击检测方法
CN111740998A (zh) * 2020-03-06 2020-10-02 广东技术师范大学 一种基于堆叠自编码器的网络入侵检测方法
EP3893069A1 (de) * 2020-04-06 2021-10-13 Siemens Aktiengesellschaft Stationäre ursachenanalyse bei technischen anlagen
US20210383253A1 (en) 2020-06-08 2021-12-09 SK Hynix Inc. Novelty detector
US20230254709A1 (en) * 2020-07-09 2023-08-10 Telefonaktiebolaget Lm Ericsson (Publ) First node, third node, fourth node and methods performed thereby, for handling parameters to configure a node in a communications network
US11564101B2 (en) * 2020-07-31 2023-01-24 Beijing Voyager Technology Co., Ltd. Method and system for handling network intrusion
US11552974B1 (en) 2020-10-30 2023-01-10 Splunk Inc. Cybersecurity risk analysis and mitigation
US11843623B2 (en) * 2021-03-16 2023-12-12 Mitsubishi Electric Research Laboratories, Inc. Apparatus and method for anomaly detection
CN113822371A (zh) * 2021-09-30 2021-12-21 支付宝(杭州)信息技术有限公司 训练分组模型,以及对时序数据进行分组的方法和装置
US20230179616A1 (en) * 2021-12-08 2023-06-08 L3Harris Technologies, Inc. Systems and methods of network security anomaly detection
CN114301719B (zh) * 2022-03-10 2022-05-13 中国人民解放军国防科技大学 一种基于变分自编码器的恶意更新检测方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107123151A (zh) * 2017-04-28 2017-09-01 深圳市唯特视科技有限公司 一种基于变分自动编码器和生成对抗网络的图像转化方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2909065B1 (en) 2012-10-17 2020-08-26 Tower-Sec Ltd. A device for detection and prevention of an attack on a vehicle
US9401923B2 (en) 2013-10-23 2016-07-26 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
US20150191151A1 (en) 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Detective watchman
US20160098633A1 (en) * 2014-10-02 2016-04-07 Nec Laboratories America, Inc. Deep learning model for structured outputs with high-order interaction
CN106778700A (zh) * 2017-01-22 2017-05-31 福州大学 一种基于変分编码器中国手语识别方法
CN107358195B (zh) * 2017-07-11 2020-10-09 成都考拉悠然科技有限公司 基于重建误差的非特定异常事件检测及定位方法、计算机

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107123151A (zh) * 2017-04-28 2017-09-01 深圳市唯特视科技有限公司 一种基于变分自动编码器和生成对抗网络的图像转化方法

Also Published As

Publication number Publication date
US20190199743A1 (en) 2019-06-27
CN110022291A (zh) 2019-07-16
DE102017223751A1 (de) 2019-06-27

Similar Documents

Publication Publication Date Title
CN110022291B (zh) 用于识别通信网络的数据流中的异常的方法和设备
US10739736B2 (en) Apparatus and method for event detection and duration determination
US11665178B2 (en) Methods and arrangements for message time series intrusion detection for in-vehicle network security
Lin et al. Retracted: An Evolutionary Deep Learning Anomaly Detection Framework for In-Vehicle Networks-CAN Bus
CN114585983B (zh) 用于检测设备的异常运行状态的方法、装置和系统
CN110120935B (zh) 用于在通信网络中识别数据流中的异常的方法和设备
JP7044117B2 (ja) モデル学習装置、モデル学習方法、及びプログラム
US11803732B2 (en) Device and method for classifying data in particular for a controller area network or an automotive ethernet network
Taylor et al. Probing the limits of anomaly detectors for automobiles with a cyberattack framework
JP7215131B2 (ja) 判定装置、判定プログラム、判定方法及びニューラルネットワークモデルの生成方法
CN112367303B (zh) 分布式自学习异常流量协同检测方法及系统
CN111970229A (zh) 一种针对多种攻击方式的can总线数据异常检测方法
CN111949496B (zh) 一种数据检测方法及装置
Francia et al. Applied machine learning to vehicle security
AU2022263458B2 (en) Method and apparatus for identifying properties of a vehicle
CN113923014A (zh) 一种基于k近邻法的车载总线网络异常检测方法
KR20220014339A (ko) 차량 도난 감지 장치
CN116457783A (zh) 异常检测方法、异常检测装置以及程序
WO2020231334A1 (en) Modelling and black-box security testing of cyber-physical systems
Niggemann et al. Fighting the Modeling Bottleneck-Learning Models for Production Plants.
US20210064969A1 (en) Method for detecting a deterioration in a network
Karray et al. Prediction-based intrusion detection system for in-vehicle networks using supervised learning and outlier-detection
Eziama Emergency Evaluation in Connected and Automated Vehicles
Pöyhönen et al. Cyber security of vehicle CAN bus
CN111010325A (zh) 用于基于规则的异常识别的装置和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant