CN110915189A - 用于确定通信网络中的异常的方法和设备 - Google Patents
用于确定通信网络中的异常的方法和设备 Download PDFInfo
- Publication number
- CN110915189A CN110915189A CN201880049735.XA CN201880049735A CN110915189A CN 110915189 A CN110915189 A CN 110915189A CN 201880049735 A CN201880049735 A CN 201880049735A CN 110915189 A CN110915189 A CN 110915189A
- Authority
- CN
- China
- Prior art keywords
- discriminator
- data
- generator
- phase
- trained
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0627—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time by acting on the notification or alarm source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Medical Informatics (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
用于确定在尤其机动车的通信网络中是否存在异常的方法,其中在第一阶段中鉴别器(1100)被训练,以便识别经由所述通信网络传送的消息(N)是否指明所述异常的存在,其中在训练时正常数据(n)和由生成器(1200)产生的人工数据(f)作为输入变量(x)被输送给所述鉴别器(1100),并且所述鉴别器(1100)被训练,以便识别出,当正常数据(n)被输送给所述鉴别器时不存在异常,并且当人工数据(f)被输送给所述鉴别器时存在异常,其中在第二阶段中所述生成器(1200)被训练,以便产生人工数据(f),使得当所述人工数据被输送给所述鉴别器(1100)时,所述人工数据由所述鉴别器以尽可能大的概率分类为正常数据(n),其中在第三阶段中经由所述通信网络接收的消息(N)的内容作为输入变量(x)被输送给所述鉴别器(1200),根据所述输入变量(x)确定输出变量(y)并且根据所述输出变量(y)判定是否存在所述异常。
Description
技术领域
本发明涉及用于确定在通信网络中是否存在异常的方法和设备、计算机程序和机器可读的存储介质。
背景技术
在DE 10 2009 026 995 A1中描述了一种用于运行总线系统、尤其CAN总线的方法。多个站可以连接到该总线系统上。所传输的消息具有标识符,其中确定的标识符(例如IDENT2)总是只允许由唯一的站使用。所述站中的每个站将所传输的消息的标识符与由其自己使用的标识符(例如IDENT2)比较。在一致时,产生出错报告。
发明内容
具有独立权利要求1的特征的方法与此相对地具有如下优点:通信网络中的异常的简单且更有效的识别是可能的。有利的改进方案是从属权利要求的主题。
目前的机器、设备和系统的重要方面在于其内部的以及外部的数据交换。在设备之内,数据例如在各个组件之间交换,以便实现所期望的共同作用(例如在机动车中的控制设备之间)。外部的数据交换例如可以在相同类型的独立设备之间进行(例如在一起在同一交通中移动的多个车辆之间或在联网的住宅之内彼此通信的家用设备之间)。
在进行通信的系统和设备的实际组合中,数据通信在此原则上可以被划分成两组:第一组、即“正常行为”描述如在正常运行中(即没有错误、故障、外部操纵等等)出现的数据通信的类型。在正确工作的系统中于是仅出现无错误的数据并且各个数据一般而言通过特定的(不仅固定的而且时间上可变的)相关性彼此相关。
第二组“异常”描述偏离“正常行为”的数据通信的类型。出于不同原因,在实际运行中在数据中可能出现与正常行为的偏离。其原因例如可能是如下种类:
(i)有缺陷的或完全发生故障的传感器提供错误的数据或完全不提供数据,
(ii)组件损坏,
(iii)该系统被外部源(例如黑客攻击)操纵了。
非常重要的是,识别出这种异常,因为例如可能的是,经由这种攻击接管对机动车的控制。
可能的是,基于规则地实施用于探测异常的方法。在此情况下,为了选择可能的非正常的行为,创建查询、检查和推论的列表,该系统根据该列表行事。
另一可能的方案使用一组示例数据,所述示例数据包含在此涉及正常状态还是异常状态的附加信息。合适的系统、诸如神经网络于是可以根据该标签来训练(受监控的学习),以便以后能够识别出相似状态。
基于规则的或基于贴上标签的数据的训练的方法的困难在此情况下是,可能的异常的方式和方法在该异常发生之前应是已知的。仅(黑客)攻击系统以便操纵该系统的行为的特殊情况表明:这种假设与大的耗费相联系。
该方法的优点是,可以独立地识别出通信网络的数据通信中的异常,其中不需要预先知道异常的类型和异常的实现。异常识别因此仅仅基于对相应的系统的正常行为的认识。
该方法基于不受监控的学习方案,即为了配置、即训练,仅仅需要反映该系统的正常行为的数据。为了训练,既不需要包含攻击的数据,也不需要特殊的领域知识,即该方法与所基于的数据的物理或技术含义无关。因此,该系统可以特别简单地被推广到其他领域。
此外,该方法可以特别简单地被扩展到通信网络中的其他通信用户。
此外,该方法提供如下优点:例如通过“独热编码”,同样可以考虑分类数据。该方法不仅可以“在线”应用而且可以“离线”应用,即该方法可以在安装在机动车中的控制设备上运行,或也可以在机动车之外的诊断系统上、例如在外部计算机上运行。
在第一方面中,本发明因此涉及一种用于确定在尤其机动车的通信网络中是否存在异常、尤其例如黑客攻击的方法,其中在第一阶段中训练鉴别器,以便识别经由通信网络传送的消息是否指明异常的存在,
其中在训练时正常数据和由生成器产生的人工数据作为输入变量被输送给鉴别器,并且鉴别器被训练,以便识别出:当正常数据被输送给鉴别器时不存在异常,并且当人工数据被输送给鉴别器时存在异常,
其中在第二阶段中生成器被训练,以便产生人工数据,当人工数据被输送给鉴别器时,所述人工数据由该鉴别器以尽可能大的概率分类为正常数据(这意味着:当由生成器产生的人工数据被输送给鉴别器时,鉴别器可以尽可能差地识别出:存在异常),
其中在第三阶段中经由通信网络接收的消息的内容作为输入变量被输送给鉴别器,根据输入变量确定输出变量并且根据输出变量判定是否存在异常。
鉴别器的或生成器的训练、即受监控的或不受监控的学习(英语:supervisedlearning(监督学习)或unsupervised learning(非监督学习))在此情况下如通常那样意味着,表征相应的系统的参数借助该系统的当前的输入和输出行为来适配,以便实现:使训练所基于的成本函数最小化,该成本函数包含该系统的所期望的行为。为此,尤其可以使用反向传播。
基本思想因此在于,让生成器和鉴别器相互竞争,以便由此逐步改善两者。生成器和鉴别器具有不同的任务:生成器根据任意分布可能基于的噪声产生人工数据,所述人工数据例如可以被解释为在通信网络将(例如被黑客)攻击时将得出的数据。鉴别器具有如下任务:在人工数据与正常数据之间进行区分并且例如被配置,使得其结果可以被解释为存在正常数据的概率。生成器和鉴别器在此情况下同时被训练并且相互竞争。生成器学习生成数据,所述数据变得与正常数据越来越相似,而鉴别器在将人工数据与正常数据区分开方面变得越来越好。
生成器因此担任攻击者的角色,该攻击者在训练时连续地尝试总是找到新的攻击策略,鉴别器并不将所述新的攻击策略识别为这样的攻击策略。相反地,鉴别器通过特殊的训练策略被调节以将新的攻击或异常识别为这样的攻击或异常。
在一种有利的改进方案中,可以规定,在第一阶段中对鉴别器的训练和在第二阶段中对生成器的训练在执行第三阶段之前交替地多次重复地执行。即,训练鉴别器和训练生成器的这两个步骤在批次运行中交替地以批次运行(Batchläufen)执行,使得生成器和鉴别器能够尽可能好地相互学习。
如果鉴别器充分被训练,则该鉴别器例如可以被用于探测异常或攻击,因为该鉴别器能够可靠地将正常数据与异常数据区分开。鉴别器对未看见的数据的预测可以被解释为存在异常或攻击的概率。
这可以通过如下方式实现:在训练鉴别器时从原始不受监控的学习问题中产生受监控的学习问题。为此,不仅正常数据而且人工数据被输送给鉴别器并且在学习时考虑如下信息:输入数据中的哪些输入数据是正常数据并且哪些输入数据不是正常数据(即针对输入数据生成标签)。根据鉴别器的输出和相关的标签可以通过反向传播适配鉴别器的参数,使得更好地预测正确的标签。
为了训练生成器,考虑由生成器和鉴别器构成的总系统。在此情况下,生成器的人工生成的数据被输送给鉴别器。鉴别器的输出变量可以表征,该鉴别器在何种程度上将数据视为人工的。这可以借助梯度信息从鉴别器反向传播到生成器,由此已知,必须如何适配生成器的参数,以便设计对鉴别器的更好的攻击策略。在该步骤中,仅仅适配生成器的参数。
两个步骤可以如所描述的那样迭代地重复,以便不仅逐步地改善鉴别器而且逐步地改善生成器。
在一种改进方案中可以规定,将随机变量输送给生成器并且生成器根据随机变量产生人工数据。
“随机变量”在此情况下不仅仅可以表示:随机变量一次性地(伪)随机地选择,而是在产生人工数据之前分别事先生成新的随机变量。随机变量在此情况下可以基于任意分布,尤其随机变量可以利用(伪)随机数生成器生成,使得随机变量对应于白噪声。
优选地,在第一阶段中鉴别器交替地利用批次来训练,所述批次仅包括正常数据或仅包括人工数据。批次运行的这种划分实现更稳定的训练。
不言而喻地也可能的是,批次混合地包括正常数据和人工数据。
尤其可能的是,在第一阶段开始时鉴别器首先利用至少一个批次训练,所述批次仅包括正常数据。
换言之,预先调节鉴别器。尤其,为了预先调节也可能的是,鉴别器利用多个批次运行来训练,所述批次运行仅仅包括正常数据。通过预先调节,鉴别器的训练可以是特别有效的。
可能的是,鉴别器和/或生成器被实施为机器学习系统,尤其被实施为(必要时深度)神经网络。然而,这并不是必要的。不仅对于鉴别器而言而且对于生成器而言可能的是,使用任意的可参数化的和可微分的函数。
深度神经网络在此情况下包括至少两个层和尤其能够模仿复杂的和非线性的函数。可以设想神经网络的极大不同的表现形式。可能的类型包括前馈、递归卷积、反卷积、LSTM或这些类型的组合。
在其他方面中,本发明涉及计算机程序,该计算机程序被设立用于当所述计算机程序在计算机上被执行时执行上述方法之一,涉及机器可读的存储介质,在该存储介质上存储该计算机程序(其中该存储介质不言而喻地可以在空间上分布式地布置,例如在并行执行时分布在多个计算机上),并且涉及设备,尤其监控单元,其被设立用于执行所述方法之一(例如通过·上述计算机程序)。
附图说明
随后参考所附的附图更详细地解释本发明的实施方式。在附图中:
图1示意性地示出机动车中的通信网络;
图2示意性地示出监控单元中的信号流;
图3示出用于训练鉴别器和生成器的系统的示例性结构;
图4以流程图示出检测异常的方法的一种实施方式;
图5以流程图示出用于训练鉴别器和生成器的方法的一种实施方式。
具体实施方式
图1示出机动车100中的示例性的通信网络。该通信网络在该示例中通过CAN总线300给定,通信用户110、120和130经由CAN总线能够通过交换消息来彼此通信。监控单元200同样连接到CAN总线300上并且同样可以接收所述通信用户110、120、130彼此发送的消息和必要时甚至将消息传送到CAN总线300上,以便在识别出的异常的情况下引入对策,所述消息。
不言而喻地,本发明并不限于CAN总线。代替于此,本发明也可以被应用于机动车中,在所述机动车中存在另一总线、尤其现场总线或多个总线系统的组合。
监控单元200具有计算机210,该计算机具有机器可读的存储介质220。在该机器可读的存储介质220上可以存储计算机程序,该计算机程序包括指令,所述指令当其由计算机210执行时执行根据本发明的方法、尤其在图6中图示的方法。不言而喻地也可能的是,该方法的部分或整个方法以硬件实施。
图2图示在监控单元200之内的信号流。所述监控单元200已经由CAN总线300接收的消息N被输送给输入块1000。输入块从所述消息中提取输入变量x、例如消息N的有用数据内容(英语“payload(有效载荷)”)和/或元数据。该输入变量被输送给鉴别器1100,所述鉴别器由此确定输出变量y。输出变量y可以量化在通信网络中存在异常的概率。鉴别器1100通过参数P参数化,所述参数由第一参数存储器1110提供。
输出变量y示例性地被输送给监控块1300,该监控块据此确定出错信号F。出错信号F表征:在通信网络值中、即在通信用户110、120、130之间经由CAN总线300的通信中或在监控单元200中是否存在异常。例如,出错信号F可以是二进制编码的信号,例如“0”=“不存在异常”,“1”=存在异常。当输出信号y的值超过可预先给定的阈值时,出错信号F例如可以被置于值“1”。
出错信号F可选地被输送给控制装置1400,该控制装置由此确定控制变量A,所述控制变量经由CAN总线300被传送给通信网络的通信用户110、120、130中的一个或多个。
例如可能的是,机动车100被转变到受保护的状态中。如果机动车100是可自主驾驶的机动车100,则可以要求驾驶员再次接管对自主驾驶的机动车100的控制。替代地或附加地可能的是,经由CAN总线300的通信被限于必要的消息。
如果出错消息F已经包含关于异常的原因是什么的特定信息,控制变量A可以引入诸如从经由CAN总线的数据通信中切断通信用户110、120、130之一的特定的对策。
图3图示根据一种实施方式的用于训练鉴别器1100的设备400的结构。该设备400可以被实施为计算机程序并且在监控单元200的机器可读的存储介质220上实施。但是所述设备也可以在单独的设备中实施,例如被实施为在PC上运行的计算机程序。
经由开关1150可以选择,哪些数据作为输入数据被输送给生成器1100。在第一开关位置A中正常数据n作为输入数据x被输送给生成器1100,所述正常数据由块1101生成,例如其方式是,从文件中读出所述正常数据。
在第二开关位置B中,人工数据f被输送给鉴别器1100,所述人工数据由生成器1200产生。生成器1200根据随机变量r产生人工数据f,所述随机变量由块1201输送给所述生成器。块1201例如可以包括伪随机数生成器,或(例如以HW实施的)随机数生成器。
鉴别器1100通过第一参数P参数化,所述第一参数由第一参数存储器1110提供。生成器1200通过第二参数Q参数化,所述第二参数由第二参数存储器1210提供。第一参数存储器1110和/或第二参数存储器1210例如可以是机器可读的存储介质中的专用的存储区域。
鉴别器1100和/或生成器1200分别可以通过神经网络来实现,例如通过多个全连接层(fully-connected layer)的串联来实现。
生成器1100产生输出变量y并且将该输出变量输送给块1500。可选地将开关1150的位置传送给块1500。
块1500确定新的参数P’、Q’,所述新的参数被传送给第一参数存储器1110和/或第二参数存储器1120。新的第一参数P’在第一参数存储器1110中代替当前的第一参数P和/或新的第二参数Q’在第二参数存储器1120中代替当前的第二参数Q。
图4以流程图图示如可以在图2中所示出的监控单元200中运行的方法的一种实施方式。
首先,经由CAN总线300接收(2000)消息N并且由输入块1000提取(2100)输入变量x。然后,鉴别器1100根据输入变量x和第一参数P确定(2200)(标量)输出变量y。
即,鉴别器1100实现通常非线性的数学关系d
y=d(x, P)(公式1)。
函数d例如可以如所描述的那样通过神经网络来给定。
现在,比较(2300):输出变量y的值是否超过可预先给定的阈值。如果情况并非如此(2400),则判定:不存在异常,并且出错变量F被置于值“0”。然而,如果情况如此(2500),则判定:存在异常,并且出错变量F被置于值“1”,这引起:引入(2600)对策,例如其方式是:机动车100被转变到安全模式中。因此,该方法结束。
图5以流程图图示如可以由用于训练鉴别器1100的设备400运行的方法的一种实施方式。
首先,正常数据n由块1101生成(3000),例如从文件读出。然后,生成(3100)随机变量r,例如(在所述随机变量事先由真正的随机数生成器生成了之后)同样从文件读出。随机变量r被输送给生成器1200,所述生成器根据随机变量r和第二参数Q产生(3200)人工数据f。
即,生成器1200实现通常非线性的数学关系g
f=g(r, Q)(公式2)。
函数g例如可以如所描述的那样通过神经网络来给定。
现在,以受监控的方式训练(3300)鉴别器1100:通过选择开关位置A、B,交替地将成批的正常数据n或人工数据f作为输入变量x输送给鉴别器1100,并且如在公式1中所描述的那样确定输出变量y。
因此,开关位置A、B的选择根据输入变量x是正常数据n还是人工数据f使输入变量x获得标签。因此,不言而喻地也可能的是,将混合的批次输送给鉴别器,所述批次不仅包含正常数据n而且包含人工变量f。
通过梯度下降方法,现在优化与所确定的输出变量y、开关位置A、B并且与第一参数P相关的成本函数k(y;P)(英语:loss function(损耗函数)),例如(当鉴别器1100通过神经网络给定时)借助反向传播。成本函数k在此被选择,使得鉴别器1100越频繁地在人工数据f被输送给了其时已判定异常的存在并且在正常数据n被输送给了其时已判定异常的不存在,所述成本函数采取的值就越小。这在实施例中可以通过如下方式进行:成本函数k被实现,使得将鉴别器1100的输出值y与输入数据x的每个训练点的真实标签A、B进行比较。不仅鉴于(auf)人工数据而且鉴于正常数据,该偏差都应该是小的。
因此,在每次训练迭代中确定新的参数值P*,这些参数值例如通过数值迭代方法来近似如下等式的解
第一参数值P通过新的参数值P*来代替。
然后训练(3400)生成器1200。重新生成随机变量r(可选地也可以采用上面在步骤3100中已经生成的随机变量r),输送给生成器1200,并且然后根据当前的第二参数值Q生成人工数据f。开关1150被保持在第二开关位置B中并且人工数据f被输送给鉴别器1100。鉴别器1100根据当前的第一参数值P重新确定输出变量y。块1500现在通过梯度下降方法确定与输出变量y、与第一参数P和第二参数Q相关的成本函数,优化相关的第二成本函数m(y; P,Q)。
如果鉴别器1100被配置为使得输出变量y被解释为输入变量x是正常数据n的概率,则第二成本函数m(y; P, Q)可以配置为使得第二成本函数说明涉及正常数据n的概率多大。成本函数m(y; P, Q)然后可以被最小化,例如通过反向传播(当鉴别器1100和生成器1200是神经网络时)。
由此可以实现,鉴别器1100将由生成器1200生成的人工数据f更有可能视为正常数据n。
因此,在每次训练迭代中确定新的第二参数值Q*,其例如通过数值迭代方法来近似如下等式的解
第二参数值Q通过新的第二参数值Q*来确定。
优选地,该方法分支回到步骤3000并且重复地执行步骤3000至3400,例如可预先给定的重复次数或直至满足第一参数值P和/或第二参数值Q的收敛准则。
因此,该方法结束。
不言而喻地,可以设想训练方法的变化,以便优化和/或稳定训练。例如可以规定,以规则的间隔、例如在可预先给定的迭代次数之后,与生成器1200相比,以更多批次训练鉴别器1100。可以设想进一步的改进。
Claims (11)
1.一种用于确定在尤其机动车(100)的通信网络中是否存在异常的方法,其中在第一阶段中鉴别器(1100)被训练,以便识别经由所述通信网络传送的消息(N)是否指明所述异常的存在,
其中在训练时正常数据(n)和由生成器(1200)产生的人工数据(f)作为输入变量(x)被输送给所述鉴别器(1100),并且所述鉴别器(1100)被训练,以便识别出,当正常数据(n)被输送给所述鉴别器时不存在异常,并且当人工数据(f)被输送给所述鉴别器时存在异常,
其中在第二阶段中所述生成器(1200)被训练,以便产生人工数据(f),使得当所述人工数据被输送给所述鉴别器(1100)时,所述人工数据由所述鉴别器以尽可能大的概率分类为正常数据(n),
其中在第三阶段中经由所述通信网络接收的消息(N)的内容作为输入变量(x)被输送给所述鉴别器(1100),根据所述输入变量(x)确定输出变量(y)并且根据所述输出变量(y)判定是否存在所述异常。
2.根据权利要求1所述的方法,其中在所述第一阶段中所述鉴别器(1100)的训练和在所述第二阶段中所述生成器(1200)的训练在执行所述第三阶段之前交替地多次重复地执行。
3.根据权利要求1或2所述的方法,其中在所述第二阶段中训练由生成器(1200)和鉴别器(1100)构成的总系统,其中仅仅适配表征所述生成器(1200)的参数(Q)。
4.根据权利要求1至3中任一项所述的方法,其中随机变量(r)被输送给所述生成器(1200),并且所述生成器根据所述随机变量(r)产生所述人工数据(f)。
5.根据权利要求1至4中任一项所述的方法,其中在所述第一阶段中所述鉴别器(1100)利用混合的批次来训练,所述批次不仅包括正常数据(n)而且包括人工数据(f)。
6.根据权利要求1至4中任一项所述的方法,其中在所述第一阶段中所述鉴别器(1100)交替地利用如下批次来训练,所述批次仅包括正常数据(n)或仅包括人工数据(f)。
7.根据权利要求6所述的方法,其中在所述第一阶段的第一次遍历开始时所述鉴别器(1100)首先利用至少一个批次来训练,所述批次仅包括正常数据(n)。
8.根据上述权利要求中任一项所述的方法,其中所述鉴别器(1100)和/或所述生成器(1200)被实施为机器学习系统,尤其被实施为深度神经网络。
9.一种计算机程序,所述计算机程序被设立用于执行根据上述权利要求中任一项所述的方法。
10.一种机器可读的存储介质(220),在所述存储介质上存储有根据权利要求9所述的计算机程序。
11.一种监控单元(200),所述监控单元包括鉴别器(1100)和生成器(1200),所述监控单元被设立用于执行根据权利要求1至8中任一项所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017213119.5A DE102017213119A1 (de) | 2017-07-31 | 2017-07-31 | Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk |
DE102017213119.5 | 2017-07-31 | ||
PCT/EP2018/069884 WO2019025217A1 (de) | 2017-07-31 | 2018-07-23 | Verfahren und vorrichtung zum ermitteln von anomalien in einem kommunikationsnetzwerk |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110915189A true CN110915189A (zh) | 2020-03-24 |
CN110915189B CN110915189B (zh) | 2022-08-30 |
Family
ID=62986119
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880049735.XA Active CN110915189B (zh) | 2017-07-31 | 2018-07-23 | 用于确定通信网络中的异常的方法和设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11057279B2 (zh) |
EP (1) | EP3662639B1 (zh) |
CN (1) | CN110915189B (zh) |
DE (1) | DE102017213119A1 (zh) |
WO (1) | WO2019025217A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017213771A1 (de) | 2017-08-08 | 2019-02-14 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk |
DE102018209407A1 (de) | 2018-06-13 | 2019-12-19 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk |
DE102018215945A1 (de) | 2018-09-19 | 2020-03-19 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Anomalie-Erkennung in einem Fahrzeug |
DE102019206720B4 (de) * | 2019-05-09 | 2021-08-26 | Volkswagen Aktiengesellschaft | Überwachung eines KI-Moduls einer Fahrfunktion eines Fahrzeugs |
EP3893069A1 (de) * | 2020-04-06 | 2021-10-13 | Siemens Aktiengesellschaft | Stationäre ursachenanalyse bei technischen anlagen |
CN111641535B (zh) * | 2020-05-28 | 2021-10-29 | 中国工商银行股份有限公司 | 网络监控方法、装置、电子设备和介质 |
DE102020116054A1 (de) | 2020-06-18 | 2021-12-23 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Vorrichtung, Computerprogramm und computerlesbares Speichermedium zum Ermitteln eines neuronalen Netzes und zum Betreiben eines Fahrzeuges |
CN113159100B (zh) * | 2021-02-19 | 2023-03-31 | 湖南第一师范学院 | 电路故障诊断方法、装置、电子设备和存储介质 |
DE102022205672B3 (de) | 2022-06-02 | 2023-09-21 | Zf Friedrichshafen Ag | Schutz vor Cybersecurity-Attacken auf Getriebesteuergeräte |
CN115099371B (zh) * | 2022-08-24 | 2022-11-29 | 广东粤港澳大湾区硬科技创新研究院 | 一种lstm异常检测方法、装置、设备及存储介质 |
CN117278305A (zh) * | 2023-10-13 | 2023-12-22 | 北方工业大学 | 一种面向数据共享的分布式gan攻击和防御方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101118434A (zh) * | 2006-08-03 | 2008-02-06 | 松下电工株式会社 | 异常监控设备 |
US20150134578A1 (en) * | 2013-11-14 | 2015-05-14 | Denso Corporation | Discriminator, discrimination program, and discrimination method |
US20160188876A1 (en) * | 2014-12-30 | 2016-06-30 | Battelle Memorial Institute | Anomaly detection for vehicular networks for intrusion and malfunction detection |
US20170126711A1 (en) * | 2015-10-30 | 2017-05-04 | Hyundai Motor Company | In-vehicle network attack detection method and apparatus |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009026995A1 (de) | 2009-06-17 | 2011-03-31 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses |
US9563854B2 (en) | 2014-01-06 | 2017-02-07 | Cisco Technology, Inc. | Distributed model training |
KR20160095856A (ko) * | 2015-02-04 | 2016-08-12 | 한국전자통신연구원 | 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법 |
US9824243B2 (en) | 2015-09-11 | 2017-11-21 | Nxp Usa, Inc. | Model-based runtime detection of insecure behavior for system on chip with security requirements |
WO2018228672A1 (en) * | 2017-06-13 | 2018-12-20 | Huawei Technologies Co., Ltd. | A method, an apparatus and a system for detecting alarm data |
-
2017
- 2017-07-31 DE DE102017213119.5A patent/DE102017213119A1/de active Pending
-
2018
- 2018-07-23 WO PCT/EP2018/069884 patent/WO2019025217A1/de unknown
- 2018-07-23 US US16/633,635 patent/US11057279B2/en active Active
- 2018-07-23 CN CN201880049735.XA patent/CN110915189B/zh active Active
- 2018-07-23 EP EP18743800.7A patent/EP3662639B1/de active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101118434A (zh) * | 2006-08-03 | 2008-02-06 | 松下电工株式会社 | 异常监控设备 |
US20150134578A1 (en) * | 2013-11-14 | 2015-05-14 | Denso Corporation | Discriminator, discrimination program, and discrimination method |
US20160188876A1 (en) * | 2014-12-30 | 2016-06-30 | Battelle Memorial Institute | Anomaly detection for vehicular networks for intrusion and malfunction detection |
US20170126711A1 (en) * | 2015-10-30 | 2017-05-04 | Hyundai Motor Company | In-vehicle network attack detection method and apparatus |
Also Published As
Publication number | Publication date |
---|---|
US20200236005A1 (en) | 2020-07-23 |
CN110915189B (zh) | 2022-08-30 |
EP3662639B1 (de) | 2024-03-27 |
DE102017213119A1 (de) | 2019-01-31 |
US11057279B2 (en) | 2021-07-06 |
WO2019025217A1 (de) | 2019-02-07 |
EP3662639A1 (de) | 2020-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110915189B (zh) | 用于确定通信网络中的异常的方法和设备 | |
Zhang et al. | Deep learning based attack detection for cyber-physical system cybersecurity: A survey | |
He et al. | Secure control of multiagent systems against malicious attacks: A brief survey | |
Giraldo et al. | A survey of physics-based attack detection in cyber-physical systems | |
US11475124B2 (en) | Anomaly forecasting and early warning generation | |
Kukkala et al. | Latte: L stm self-att ention based anomaly detection in e mbedded automotive platforms | |
US11343266B2 (en) | Self-certified security for assured cyber-physical systems | |
Zhang et al. | A hybrid approach toward efficient and accurate intrusion detection for in-vehicle networks | |
Kodali et al. | Coupled factorial hidden Markov models (CFHMM) for diagnosing multiple and coupled faults | |
Bernieri et al. | A novel architecture for cyber-physical security in industrial control networks | |
WO2022015246A1 (en) | Method and system for characterising a programmable logic controller (plc) and/or attack detection in a networked control system | |
Monzer et al. | Model based rules generation for Intrusion Detection System for industrial systems | |
Starke et al. | Cross‐layered distributed data‐driven framework for enhanced smart grid cyber‐physical security | |
Balaji et al. | NeuroCAN: Contextual anomaly detection in controller area networks | |
Serpanos | Secure and resilient industrial control systems | |
Wang et al. | Vulnerability of deep learning model based anomaly detection in vehicle network | |
Chougule et al. | SCAN-GAN: Generative Adversarial Network Based Synthetic Data Generation Technique for Controller Area Network | |
Huang et al. | Learning-based switched reliable control of cyber-physical systems with intermittent communication faults | |
Nakamura et al. | In-vehicle network attack detection across vehicle models: A supervised-unsupervised hybrid approach | |
Faramondi et al. | A hybrid behavior-and Bayesian network-based framework for cyber–physical anomaly detection | |
Ding | A note on diagnosis and performance degradation detection in automatic control systems towards functional safety and cyber security | |
Aliyari | Securing industrial infrastructure against cyber-attacks using machine learning and artificial intelligence at the age of industry 4.0 | |
Biron | A resilient control approach to secure cyber physical systems (CPS) with an application on connected vehicles | |
Sauter et al. | Fault detection and isolation in networked control systems with access constraints and packet dropouts | |
Park et al. | MENDEL: Time series anomaly detection using transfer learning for industrial control systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |