CN110120935A - 用于在通信网络中识别数据流中的异常的方法和设备 - Google Patents
用于在通信网络中识别数据流中的异常的方法和设备 Download PDFInfo
- Publication number
- CN110120935A CN110120935A CN201910108492.9A CN201910108492A CN110120935A CN 110120935 A CN110120935 A CN 110120935A CN 201910108492 A CN201910108492 A CN 201910108492A CN 110120935 A CN110120935 A CN 110120935A
- Authority
- CN
- China
- Prior art keywords
- data
- data grouping
- prediction
- grouping
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 32
- 230000005540 biological transmission Effects 0.000 claims description 22
- 230000002547 anomalous effect Effects 0.000 claims description 13
- 230000003068 static effect Effects 0.000 claims description 10
- 238000013528 artificial neural network Methods 0.000 claims description 5
- 238000010801 machine learning Methods 0.000 claims description 4
- 230000003134 recirculating effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims 2
- 238000012544 monitoring process Methods 0.000 abstract description 2
- 230000006855 networking Effects 0.000 description 8
- 230000005856 abnormality Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000003066 decision tree Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012163 sequencing technique Methods 0.000 description 3
- 230000002950 deficient Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000002045 lasting effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Databases & Information Systems (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于在通信网络中识别数据流中的异常的方法,其中所述数据流具有数据分组(P),所述方法具有以下步骤:监视(S1)经由通信总线(3)的网络通信,以检测所述数据流的数据分组;根据已检测的数据分组(P),基于所提供的预测模型预测(S2)至少一个未来数据分组,和根据至少一个预测的数据分组来确定(S3)是否存在异常。
Description
技术领域
本发明涉及用于监视数据流以识别异常、即有错误或受到操纵的数据的攻击识别方法。
背景技术
在具有多个控制设备的系统中,可以在控制设备之间经由通信网络(例如串行现场总线)交换数据。这种现场总线的示例是CAN总线(CAN:控制器区域网络)。CAN总线主要用在机动车辆中,并允许从一个控制设备向一个或多个其他连接的控制设备进行受制于分组的数据传输。
在经由通信网络传输数据时,在实际操作中可能出现与正常行为的偏差,这些偏差被称为异常。这种偏差的原因可能是有缺陷或故障的子系统或控制设备提供有错误的数据或不提供数据。此外,系统可能被外部源操纵,其中经由通信网络传输的数据分组受到操纵或被注入新的数据分组。在系统按规定工作的情况下,在经由总线系统彼此连接的控制设备之间没有错误地传送数据分组,其中通常数据分组一般通过特定的、既固定又暂时的相关性而彼此依赖。
为了车辆系统的操作安全性,重要的是及早识别异常,特别是与从外部操纵车辆系统相关联而出现的异常。为此通过异常识别方法监视数据通信。
一种本身已知的识别这种数据流中的异常的可能性在于,根据静态规则检查每个传输的数据分组。从而例如可以检查循环传输的网络消息的循环时间是否存在异常,其方式是定义具有相应消息的额定循环时间的规则。如果实际循环时间与额定循环时间有偏差,则该规则遭到违反并且识别到异常。
虽然原则上由此可以识别到异常,但是针对数据流中其他错误和/或操纵的识别率是不足的,因为只能通过预定的规则以高的成本检查动态依赖。此外,随着网络架构复杂性的增加,对于足够的识别准确度来说所需要的必要规则的数量也在剧烈增长。
从文献US 2015/5191135 A中已知一种系统,在该系统中通过网络通信的事先数据分析来学习决策树。基于用作决策树的输入的进入的网络信息,用当前的网络数据遍历经过学习的决策树,并输出是否确定存在异常。
从文献US 2015/113638 A中已知一种系统,该系统建议基于学习算法来识别异常。在此情况下学习具有已知元信息(例如CAN-ID、循环时间等)的数据流量,并且为了识别车辆网络中的已知攻击将当前网络消息与已经知道的消息和模式进行比较,所述已经知道的消息和模式指示错误或操纵。
文献WO 2014/061021 A1同样建议借助于机器学习方法通过各种网络信息来识别异常或已知的攻击模式。
发明内容
根据本发明,提出了根据权利要求1的一种用于在通信网络中识别数据流中的异常的方法,以及根据并列权利要求的一种用于识别异常的设备和一种网络系统。
其他构造在从属权利要求中加以说明。
根据第一方面,提出了一种用于在通信网络中识别数据流中的异常的方法,其中该数据流具有数据分组,所述方法包括以下步骤:
-监视通信网络中的网络通信,以检测数据流的数据分组;
-根据已检测的数据分组,基于所提供的预测模型预测至少一个未来数据分组,和
-根据至少一个预测的数据分组确定是否存在异常。
上述方法的思想在于,基于已经经由网络组件之间的通信网络传输的数据分组来预测未来要预期的数据分组。预测的数据分组然后被用来检查一个或多个后续数据分组是否存在异常。在现有技术中描述的方法到目前为止仅使用当前或已经观察到的网络数据来检测传输的数据分组中的异常。
异常表示不同于正常行为的数据流量。在实际操作中,出于各种原因可能在网络通信中出现与正常行为的偏差。从而有缺陷的传感器可能提供错误数据或甚至不提供数据,网络组件可能被损坏,使得所涉及的网络组件的网络通信受损,或通信网络的通信被外部源(例如被黑客攻击)操纵。
通过根据对未来数据分组的预测来检查未来数据分组,特别是实现了关于防御机制的实现的扩展功能性以及对异常的改进识别。实质上,上述方法在于,预测的数据分组被用于检测异常并通过比较预测的数据分组与新接收的数据分组来识别偏差并得出异常的结论。
从而特别是不需要存在异常的示例数据以从中推导出用于异常识别的通用规则。由于采用上述方法根据网络通信的正常行为来执行数据分组的预测,因此异常识别基于允许在不知道异常情况的情况下实现异常识别的法则。因此,也可以识别到不能通过目前用于异常识别的常见规则来加以识别的异常。
特别地,这里提出的基于预测的数据分组的方法适合于补充目前基于规则的异常识别方法,从而可以提高用于识别异常的检测准确度。
此外,基于所提供的预测模型,可以从已检测的数据分组中预测多个未来数据分组。这还允许基于未来数据分组的序列改进异常识别。
可以规定,如果预测的数据分组不同于传输的数据分组,则识别到异常。
特别地,如果数据分组的时间戳和/或对应的数据片段彼此不同和/或循环网络消息的数据分组之间的时间间隔彼此偏差超过预定持续时间,则可以确定预测的数据分组和传输的数据分组之间存在偏差。
根据一种实施方式,如果预测的数据分组违反用于检查数据分组的预定静态规则,则可以识别到异常。从而例如如果预测的数据分组违反基于已接收到的数据分组的静态规则,则可以识别到异常。
此外,如果预测的数据分组被识别为异常数据分组,则可以将防御数据分组注入通信总线中。
可以规定,在通过预测预测的数据分组而给定的时间点将防御数据分组注入通信连接中。
此外,预测模型可以由神经网络、高斯过程模型、递归网络、LSTM模型(LSTM:长短期记忆网络)、HMM模型(HMM:隐马尔可夫模型)、Seq2Seq编码器和/或自动编码器提供,并借助于机器学习方法和经由通信网络进行无异常通信的时间段来加以训练。
根据另一方面,一种用于识别通信总线上的数据流中的异常的设备,特别是异常识别系统,其中该数据流具有数据分组,其中该设备被构造为:
-监视通信网络中的网络通信,以检测数据流的数据分组;
-根据已检测的数据分组基于所提供的预测模型预测至少一个未来数据分组,并且
-根据至少一个预测的数据分组来确定是否存在异常。
附图说明
下面将根据附图详细解释实施方式。
图1示出通信系统的示意图,该通信系统具有用于传输数据流的数据分组的通信总线;
图2示出由连续的数据分组组成的数据流的示例;和
图3示出图示用于实时地识别数据流的数据分组的异常的方法的流程图。
具体实施方式
图1示出了具有多个网络组件2的整个系统1的示意图,这些网络组件2经由通信总线3形式的通信网络彼此连接。网络组件2可以包括控制设备、传感器和致动器。通信总线3可以对应于现场总线或其他数据总线,例如CAN总线(机动车中的现场总线)。经由通信总线3,可以传输由数据分组的序列组成的数据流。在这种情况下,数据分组从网络组件2之一被传输到网络组件2中的至少另一个。
连接到通信总线3的是异常识别系统4,该异常识别系统可以单独构造或作为网络组件2之一的部件构造。异常识别系统4读取经由通信总线3传输的数据,并基于预定的规则执行异常识别。
如图2中示例性图示的,经由通信总线3传输的数据分组P由时间戳、用于表征数据分组P的源和/或目的地的ID标识符以及数据段S定义或包含时间戳、用于表征数据分组P的源和/或目的地的ID标识符以及数据段S,其中时间戳即发送所涉及的数据分组P开始的时间点。数据段S可以各自包含一个或多个数据片段B,所述数据片段对应于要传输的信息。数据片段B可以各自包括单独的比特、比特组、一个或多个字节。
执行基于规则的异常识别方法,其方式是针对每个数据分组P来检查通过规则预定的异常条件。目前的异常识别规则例如是针对确定ID标识符的数据分组P的查询,从而定义数据段S的数据片段B的值范围。从而可以预定以下规则:如果例如数据片段B的值在预定范围之外则识别到异常。规则也可以是基于时间的,其中例如确定的ID标识符必须在预定时间段/时间窗口内至少出现一次,否则同样识别到异常。如果不满足异常条件,则假定数据分组P是不引人注意的。
在下文中,作为目前异常识别方法的替代或补充,建议借助于数据分组P的预测来识别网络通信中的异常。下面将根据图3的流程图更详细地解释这种异常识别方法。
在步骤S1中,监视经由通信总线3的当前通信。在这种情况下,在异常识别系统4中检测和存储所发送的数据分组P的数据和信息。数据分组P的信息可以包括通过数据分组P传输的信息,如ID标识符ID、数据分组P的数据片段B和/或数据片段B中的数据的解释,特别是在它们是传感器值或物理变量的情况下。
此外,对于每个数据分组P,可以收集源或目的地地址、协议信息(例如关于报头数据片段中的数据占用的信息,关于相应协议的状态信息等)以及时间测量(如数据分组P之间的延迟时间和差异时间以及数据分组P的时间戳)。经由通信总线3中的通信所收集的信息取决于相应的网络系统1和所使用的通信协议,因此可以变化。在CAN总线的情况下,可以检测以下形式的数据。这些数据被设置为时间顺序信息,以便将时间顺序信息用作预测方法的输入向量:
在步骤S2中,作为预测方法的基础,使用从先前的时间点到当前观察的时间点t0的数据,以便预测在未来时间点t1的后续数据分组。也就是说,该预测允许预言在未来时间点t1的后续数据分组。对接下来要传输的数据分组P的预测说明可以例如包括预测的数据分组的时间戳、预测的数据分组的ID标识符、预测的数据分组的目的地地址和/或源地址、预测的数据分组的数据片段B的值或预测的数据分组的协议状态。
所述预测是基于可训练的预测模型进行的,将借助于机器学习方法、基于高斯过程模型、神经网络等在经由通信网络3的无异常通信的时间段的基础上来训练该预测模型。特别地,可以借助于RNN(递归神经网络)和LSTM(长短期记忆网络)以及自动编码器和/或借助于其他硬件加速器的使用(例如GPU或用于操作神经网络的专用部件)来执行预测。
在一个或多个先前预测的数据分组的假设下,还可以使用预测方法来预测其他的未来数据分组。由此,通过预测方法已预测的时间点t1…n的数据分组可以再次被用作预测方法的输入值,以预测具有时间戳tn+1的数据分组。
上述预测方法的基础是:预测经由通信总线的通信的正常情况。位于已接收到的数据分组P中异常因此对预测的数据分组有影响。因此,这样预测的数据分组P可以在步骤S3中用在异常识别方法中。这可以通过多种方式进行。
如果该预测基于已接收到的数据分组P进行,所述已接收到的数据分组包含先前未由异常识别方法识别到的异常,则对后续的预测的数据分组产生有错误的预言。例如,这个错误可以用于通过借助于静态规则的检查确定是否满足循环网络消息的额定频率和/或确定的数据分组额定序列。如果根据预定的静态规则对预测的数据分组的检查得出否定的结论,则假设存在异常。从而存在以下可能性:在必要时同样应用的静态规则在传输异常数据分组的情况下可以检测到异常之前,借助于预测的数据分组中的后续错误来识别先前未识别到的异常。
通过将预测的数据分组与实际传输的数据分组进行比较,特别是分别在这些数据分组的传输之后直接进行,存在将预测的数据分组用于异常识别的另一种(替代或附加的)可能性。从而可以例如确定是否以及在哪些通信时间段中出现异常。
例如,如果例如通过预测每下一个数据分组的时间戳而识别到时间顺序的显著偏差或者识别到确定时间段内的数据分组频率存在偏差,则可以确定异常。在这种情况下,将预测的数据分组与后续出现的数据分组进行比较。由此,通过将关于数据分组的所有可用的信息(例如ID标识符ID、时间戳和数据片段B)进行比较,可以获得预测的数据分组与实际接收到的数据分组之间的偏差,所述偏差表明可能的错误或可能的操纵。
替代地或附加地,如果识别到预测的数据分组与当前传输的数据分组之间的偏差,则可以确定异常。如果数据分组的时间戳和/或对应的数据片段B彼此不同和/或循环网络消息的数据分组之间的时间间隔彼此偏差超过预定持续时间,则存在偏差。特别是,
-如果重复的数据分组(具有相同的ID标识符)的循环时间彼此不同,
-如果预测的数据分组的循环时间与实际传输的对应数据分组的循环时间彼此不同,和/或
-如果预测的数据分组的数据长度(在CAN情况下是DLC)与实际传输的数据分组的数据长度不同,
则存在偏差。
识别异常的另一种(替代或附加的)可能性在于,使用预定的静态规则来检查预测的数据分组。从而例如当预测的数据分组违反基于已接收到的数据分组的静态规则时,可以识别到异常。例如,静态规则可以预先规定,“在CAN-ID1之后始终跟随CAN-ID2”。如果预测或预言在具有CAN-ID1的传输数据分组之后具有CAN-ID3的数据分组以高概率出现,则可以判断存在对该静态规则的违反,即存在异常,虽然所涉及的数据分组尚未传输。
在另一变型中,可以将预测组件用于基于预测的数据分组来确定后续状态,例如通信协议或状态机的后续状态。如果可以例如以(马尔科夫)链/状态机的形式对状态切换或状态(例如通信协议或状态机的状态切换或状态)建模,则这对于检测网络系统上的攻击模式或对于操作系统上的异常识别是特别有用的。通过使用预测的数据,可以计算或预测并给定可能的后续状态转变。于是,可以基于一个或多个预测的状态转变进行与实际进行的状态切换(例如,通信协议的状态切换)的平衡,以确定偏差或异常。
通过从分析中来预测数据分组和/或结果,可以在怀疑有异常的情况下采取措施。特别是在步骤S4中,询问是否识别到异常。如果是这种情况(替代:是),则可以在步骤S5中用信号通知异常。否则返回到步骤S1。
在识别到异常的情况下,可以规定防御措施,所述防御措施使用预测的数据分组来执行防御措施。防御措施特别是可以基于:在通信总线3中注入防御消息,该防御消息必须在异常数据分组之前或同一时间点发送。这样的防御数据分组应该在异常数据分组之前到达潜在攻击者的接收器或目的地控制设备,由此防御才会成功。为此有必要根据传输的异常数据分组的历史确定每下一个异常数据分组出现的时间点。借助于该预测可以预言被操纵的数据分组何时被发送,如果被操纵的数据分组是循环发送的数据分组并且该数据分组先前被识别为受到操纵或遭到泄漏的话。如果例如识别到被操纵的异常数据分组,则对经由通信总线的后续通信进行预测。如果在预测的数据分组内发现先前识别的异常数据分组,则可以通过由接下来被操纵的数据分组的时间点和ID标识符组成的信息直接在异常分组之前发送防御数据分组。
Claims (11)
1.用于在通信网络中识别数据流中的异常的方法,其中所述数据流具有数据分组(P),所述方法具有以下步骤:
监视(S1)经由通信总线(3)的网络通信,以检测所述数据流的数据分组;
根据已检测的数据分组(P),基于所提供的预测模型预测(S2)至少一个未来数据分组,和
根据至少一个预测的数据分组来确定(S3)是否存在异常。
2.根据权利要求1所述的方法,其中,基于所提供的预测模型从已检测的数据分组中预测多个未来数据分组。
3.根据权利要求1或2所述的方法,其中,如果预测的数据分组与传输的数据分组不同,则识别到异常。
4.根据权利要求3所述的方法,其中,如果所述数据分组(P)的时间戳和/或对应的数据片段(B)彼此不同和/或循环网络消息的数据分组(P)之间的时间间隔彼此偏差超过预定的持续时间,则确定所述预测的数据分组和所述传输的数据分组之间存在偏差。
5.根据权利要求1至4中任一项所述的方法,其中,如果预测的数据分组违反用于检查数据分组(P)的预定静态规则,则识别到异常。
6.根据权利要求5所述的方法,其中,如果预测的数据分组被识别为异常数据分组,则将防御数据分组注入所述通信网络中。
7.根据权利要求6所述的方法,其中,在通过预测所述预测的数据分组而给定的时间点将所述防御数据分组注入所述通信网络中。
8.根据权利要求1至7中任一项所述的方法,其中,所述预测模型由神经网络、高斯过程模型和/或自动编码器提供,并且借助于机器学习方法和经由所述通信网络进行无异常通信的时间段来加以训练。
9.用于识别通信总线(3)上的数据流中的异常的设备,特别是异常识别系统(4),其中所述数据流具有数据分组(P),其中所述设备被构造为:
监视通信网络(3)中的网络通信,以检测所述数据流的数据分组(P);
根据已检测的数据分组(P)基于所提供的预测模型预测至少一个未来数据分组,以及
根据至少一个预测的数据分组来确定是否存在异常。
10.计算机程序,其被设计用于执行根据权利要求1至8任一项所述的方法的所有步骤。
11.电子存储介质,其上存储有根据权利要求10所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102018201718.2 | 2018-02-05 | ||
| DE102018201718.2A DE102018201718A1 (de) | 2018-02-05 | 2018-02-05 | Verfahren und Vorrichtung zur Erkennung einer Anomalie in einem Datenstrom in einem Kommunikationsnetzwerk |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110120935A true CN110120935A (zh) | 2019-08-13 |
| CN110120935B CN110120935B (zh) | 2023-11-21 |
Family
ID=67308832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910108492.9A Active CN110120935B (zh) | 2018-02-05 | 2019-02-03 | 用于在通信网络中识别数据流中的异常的方法和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110120935B (zh) |
| DE (1) | DE102018201718A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995769A (zh) * | 2020-02-27 | 2020-04-10 | 上海飞旗网络技术股份有限公司 | 深度数据包检测方法、装置及可读存储介质 |
| CN112532643A (zh) * | 2020-12-07 | 2021-03-19 | 长春工程学院 | 基于深度学习的流量异常检测方法、系统、终端及介质 |
| CN115632887A (zh) * | 2022-12-21 | 2023-01-20 | 国网数字科技控股有限公司 | 一种区块链网络异常数据检测方法、装置及设备 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018122002A1 (de) * | 2018-09-10 | 2020-03-12 | Endress+Hauser SE+Co. KG | Verfahren zur vorausschauenden Überwachung der Datenübertragung auf zumindest einer Kommunikationsverbindung zwischen zwei Feldgeräten |
| DE102020128285B4 (de) * | 2020-10-28 | 2024-06-13 | Audi Aktiengesellschaft | Verfahren zum Überwachen eines Datenverkehrs zwischen Steuergeräten eines Kraftfahrzeugs sowie entsprechend ausgestattetes Kraftfahrzeug |
| DE102020128284A1 (de) * | 2020-10-28 | 2022-04-28 | Audi Aktiengesellschaft | Verfahren zum Überwachen eines Datennetzwerks in einem Kraftfahrzeug sowie Switchvorrichtung und Kraftfahrzeug |
| EP4170978A1 (de) * | 2021-10-22 | 2023-04-26 | Audi AG | Verfahren zum überwachen eines datenverkehrs zwischen steuergeräten eines kraftfahrzeugs sowie entsprechend ausgestattetes kraftfahrzeug |
| EP4170977A1 (de) * | 2021-10-22 | 2023-04-26 | Audi AG | Verfahren zum überwachen eines datennetzwerks in einem kraftfahrzeug sowie switchvorrichtung und kraftfahrzeug |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
| US8339974B1 (en) * | 2005-06-22 | 2012-12-25 | Sprint Communications Company L.P. | Method and system for detecting and mitigating RTP-based denial of service attacks |
| CN104486324A (zh) * | 2014-12-10 | 2015-04-01 | 北京百度网讯科技有限公司 | 识别网络攻击的方法及系统 |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
| CN107409075A (zh) * | 2015-03-24 | 2017-11-28 | 华为技术有限公司 | 用于网络时间序列数据的自适应的基于异常检测的预测器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DD17800A (zh) | ||||
| EP2909065B1 (en) | 2012-10-17 | 2020-08-26 | Tower-Sec Ltd. | A device for detection and prevention of an attack on a vehicle |
| US9401923B2 (en) | 2013-10-23 | 2016-07-26 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
| EP3358800B1 (en) | 2014-01-06 | 2021-10-20 | Argus Cyber Security Ltd | Bus watchman |
-
2018
- 2018-02-05 DE DE102018201718.2A patent/DE102018201718A1/de active Pending
-
2019
- 2019-02-03 CN CN201910108492.9A patent/CN110120935B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8339974B1 (en) * | 2005-06-22 | 2012-12-25 | Sprint Communications Company L.P. | Method and system for detecting and mitigating RTP-based denial of service attacks |
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
| CN104486324A (zh) * | 2014-12-10 | 2015-04-01 | 北京百度网讯科技有限公司 | 识别网络攻击的方法及系统 |
| CN107409075A (zh) * | 2015-03-24 | 2017-11-28 | 华为技术有限公司 | 用于网络时间序列数据的自适应的基于异常检测的预测器 |
| CN106302495A (zh) * | 2016-08-25 | 2017-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种ACK Flood攻击的防护方法及中间防护装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995769A (zh) * | 2020-02-27 | 2020-04-10 | 上海飞旗网络技术股份有限公司 | 深度数据包检测方法、装置及可读存储介质 |
| CN112532643A (zh) * | 2020-12-07 | 2021-03-19 | 长春工程学院 | 基于深度学习的流量异常检测方法、系统、终端及介质 |
| CN112532643B (zh) * | 2020-12-07 | 2024-02-20 | 长春工程学院 | 基于深度学习的流量异常检测方法、系统、终端及介质 |
| CN115632887A (zh) * | 2022-12-21 | 2023-01-20 | 国网数字科技控股有限公司 | 一种区块链网络异常数据检测方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102018201718A1 (de) | 2019-08-08 |
| CN110120935B (zh) | 2023-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110120935A (zh) | 用于在通信网络中识别数据流中的异常的方法和设备 | |
| KR102601578B1 (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
| US20190199743A1 (en) | Method and device for recognizing anomalies in a data stream of a communication network | |
| CN106506556B (zh) | 一种网络流量异常检测方法及装置 | |
| CN113281998B (zh) | 基于生成对抗网络的多点fdi攻击检测方法 | |
| CN112202726B (zh) | 一种基于上下文感知的系统异常检测方法 | |
| CN109067773A (zh) | 一种基于神经网络的车载can网络入侵检测方法及系统 | |
| US11803732B2 (en) | Device and method for classifying data in particular for a controller area network or an automotive ethernet network | |
| US20210326677A1 (en) | Determination device, determination program, determination method and method of generating neural network model | |
| CN112202817B (zh) | 一种基于多事件关联与机器学习的攻击行为检测方法 | |
| CN111970229B (zh) | 一种针对多种攻击方式的can总线数据异常检测方法 | |
| Castellanos et al. | A modular hybrid learning approach for black-box security testing of CPS | |
| CN113811894B (zh) | 对车辆的驾驶功能的ki模块的监测 | |
| CN113315781A (zh) | 基于hmm模型的异常数据检测方法 | |
| CN115412279A (zh) | 用于防止对车辆的网络攻击的方法及相应装置 | |
| CN109344610A (zh) | 序列攻击的检测方法及装置 | |
| US20240119357A1 (en) | Analysis device, analysis method, and non-transitory computer-readable medium having program stored thereon | |
| CN116034326A (zh) | 用于异常检测的监测设备和方法 | |
| US12050680B2 (en) | Anomaly detection apparatus, anomaly detection method, and non-transitory storage medium | |
| Skaperas et al. | A Link-Quality Anomaly Detection Framework for Software-Defined Wireless Mesh Networks | |
| Barboni et al. | Model-based detection of cyber-attacks in networked MPC-based control systems | |
| CN105516164A (zh) | 基于分形与自适应融合的P2P botnet检测方法 | |
| CN108965234A (zh) | 用于保护网络防止网络攻击的方法 | |
| US20190187675A1 (en) | Diagnosis System and Electronic Control Device | |
| CN115427977A (zh) | 用于确定神经网络和用于运行车辆的方法、装置、计算机程序和计算机可读的存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |