CN111262826B - 识别网络通信行为偏差的方法及智能交换机、装置和系统 - Google Patents
识别网络通信行为偏差的方法及智能交换机、装置和系统 Download PDFInfo
- Publication number
- CN111262826B CN111262826B CN201911214063.6A CN201911214063A CN111262826B CN 111262826 B CN111262826 B CN 111262826B CN 201911214063 A CN201911214063 A CN 201911214063A CN 111262826 B CN111262826 B CN 111262826B
- Authority
- CN
- China
- Prior art keywords
- communication
- security
- network
- switch
- metadata
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/06—Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons
- G06N3/061—Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons using biological neurons, e.g. biological neurons connected to an integrated circuit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Neurology (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及用于识别网络通信行为偏差的方法及智能交换机、装置和系统。特别地,使用网络的通信行为的模型关于网络的安全行为来监测和评估通信的特征。对于通过网络的交换机进行的每个通信,借助于通信行为的模型,从相应通信的通信元数据中导出至多三个安全值。对于每个通信,检查相应的至多三个安全值是否满足相应的预定阈值。在安全值中的至少一者不满足相应的预定阈值的情况下,生成安全警告。
Description
技术领域
本发明涉及一种用于识别网络的通信行为中的偏差的方法以及智能交换机、装置和系统。特别地,使用网络的通信行为的模型关于网络的安全行为来监测和评估通信的特征。
背景技术
自动化技术曾经具有简单的结构。自动化单元的控制器控制自动化单元的功能单元。在较大的自动化站点中,多个自动化单元通过工业网络相互通信连接。然而,如今,大多数自动化单元(从智能家居中的简单家用电器到工业制造工厂)都不是孤立的,而是横向连接到其他实体,尤其是通过互联网。在数字化不断发展的过程中,尤其是在物联网(IoT)趋势中,几乎每个最新的自动化单元都可连接到互联网。随着信息技术(IT)世界和自动化(AT)世界之间通过互联网的相互联系日益增多,以前IT世界特有的问题也在AT世界中产生越来越大的影响。尤其是,一旦自动化单元不再关闭而是连接到互联网并因此受到来自外部的攻击时,安全问题就变得与自动化单元相关。
所述的安全问题是多种多样的。在大多数情况下,恶意软件(例如,像Stuxnet这样的计算机蠕虫)被引入到像互联网的网络中以对网络的端点(例如自动化单元)执行操纵。但是,还引入了用于从端点(自动化单元等)获取技术情报(工艺、方法、配方、生产的特征因素,例如批量、产量、效率等)的间谍软件。此外,用于阻止或延迟通信的“拒绝服务”攻击被用于损害例如自动化单元或单元中的生产。
已知的对策是使用防病毒软件,在端点上加固装置并控制终端端口。防病毒软件基于已知的病毒模式分析软件的签名或监测程序的行为。为了控制网关,使用了防火墙、flite、代理等,尤其是与某些网络体系结构结合使用,以避免一次感染具有多个端点的大型网络。
然而,每个已知的对策要么特定于安全问题的类型,要么确实需要关于恶意软件/间谍软件(签名)的信息,以能够保护端点和/或网络。
发明内容
本发明的目的是通过提供根据本发明的方法以及根据本发明的交换机、装置和系统来克服或至少减轻这些问题。
根据本发明的第一方面,一种识别网络(特别是自动化网络)的通信行为中的偏差的方法,包括以下步骤:
-收集在网络的交换机中的通信元数据,其中,通信元数据包括关于交换机上的每个通信的特征的数据。
-借助于网络的通信行为的模型,针对交换机上的每个通信,从各个通信的通信元数据中导出至多三个安全值。
-对于每个通信,检查是否相应的至多三个安全值满足相应的预定阈值。
-在安全值中的至少一者不满足相应的预定阈值的情况下,生成安全警告。
上述步骤的全部或部分可以并行执行。
根据本发明的第二方面,一种用于识别网络(尤其是自动化网络)的通信行为中的偏差的智能交换机被布置并配置为用于实施和执行根据本发明的第一方面的方法。智能交换机包括元数据模块、网络的通信行为的模型和安全模块。元数据模块被布置并配置为收集智能交换机中的通信元数据。通信元数据包括关于智能交换机上的每个通信的特征的数据。通信行为的模型可通信地耦合到元数据模块。通信行为的模型被布置并配置为用于针对智能交换机上的每个通信从相应通信的通信元数据中导出至多三个安全值。安全模块通信地耦合到通信行为的模型。安全模块被布置并配置为用于针对每个通信检查是否相应的至多三个安全值满足相应的预定阈值。安全模块还被布置并配置为在安全值中的至少一者不满足相应的预定阈值的情况下生成安全警告。
根据本发明的第三方面,一种用于识别网络(尤其是自动化网络)的通信行为中的偏差的装置被布置并配置为用于实施和执行根据本发明的第一方面的方法。该装置可通信地连接到网络的交换机。该装置包括网络通信行为的模型和安全模块。通信行为的模型被布置并配置为用于针对交换机上的每个通信从由交换机获取的相应通信的通信元数据中导出至多三个安全值。通信元数据包括关于交换机上每个通信的特征的数据。安全模块通信地耦合到通信行为的模型。安全模块被布置并配置为用于针对每个通信检查是否相应的至多三个安全值满足相应的预定阈值。安全模块还被布置并配置为在安全值中的至少一者不满足相应的预定阈值的情况下生成安全警告。
根据本发明的第四方面,网络(特别是自动化网络)被布置并配置用于识别网络的通信行为中的偏差。该网络包括至少两个网络单元、根据本发明的第二方面的智能交换机或常规交换机以及根据本发明的第三方面的装置。至少两个网络单元通过网络通信地连接。根据本发明的第三方面的装置可通信地连接或耦合至常规交换机。根据本发明的第二方面的智能交换机或常规交换机位于网络中至少两个网络单元的中心连接点。
本发明尤其适用于用于自动化单元的工业网络(自动化网络)。该网络可具有环形拓扑或星形拓扑。
在本发明的上下文中,术语“可通信地连接”是指网络的两个实体能够直接地或者通过网络中的一个或多个其他实体(例如,交换机)彼此通信。在本发明的上下文中(通信地)耦合是指网络的两个实体能够通过直接连接(在它们之间没有任何其他实体)直接彼此通信。
在本发明的上下文中,通信是至少一个消息从发送方到接收方的传输(发送和接收)。特别地,在基于包的或分组交换网络中,以至少一个包的形式实现至少一个消息的发送和接收(传输),该至少一个包包括作为数据的至少一个消息的至少一部分并且可选地包括报头和/或脚注或其他任何元数据。
优选地,从其获取元数据的各个(智能)交换机位于网络的中心连接点。中心连接点可以为网络中网络的所有实体(例如,网络单元或其他单元)之间的所有连接在一起的点,使得网络中的所有通信都在该一个连接点上进行,并因此在相应的(智能)交换机上进行。在那种情况下,所有数据在从发送方到接收方的途中(例如,从一个网络单元到另一个网络单元)穿越相应的(智能)交换机。
在本发明的上下文中,通信元数据包括关于单个通信的特征的数据。通信元数据包含至少10个表征相应单个通信的值。通信元数据的值可以包括延时、传送速率、波特率、包的大小、通信的持续时间、滞后时间,传输时间等。特别地,通信元数据可以包括以下值:
-包数量,其给出通信中发送的总包数的,
-当前包计数[pkts/s][每秒包],其给出了通信中每个时间单位(秒)发送的包的当前计数,
-平均包计数[pkts/s],其给出了通信中每个时间单位(秒)发送的平均包计数,
-最小包计数[pkts/s],其给出了通信中每个时间单位(秒)发送的最小包计数,
-最大包计数[pkts/s],其给出了通信中每个时间单位(秒)发送的最大包计数,
-当前数据计数[kbps][每秒千比特],其给出了通信中每个时间单位(秒)发送的当前数据计数,
-平均数据计数[kbps],其给出了通信中每个时间单位(秒)发送的平均数据计数,
-最小数据计数[kbps],其给出了通信中每个时间单位(秒)发送的最小数据计数,
-最大数据计数[kbps],其给出了通信中每个时间单位(秒)发送的最大数据计数,
关于在其上运行或由其转发的通信来监测网络的(智能)交换机。在(智能)交换机中,每个单个通信的通信元数据被收集和存储。因此,(智能)交换机上的每个通信通过各个通信的通信元数据所包括的像延时、传输速率、波特率、包的大小、通信的持续时间、滞后时间、传输时间等的值来表征。
(智能)交换机上的所有通信元数据都提供给网络的通信模型,该模型基于通信元数据导出至多三个安全值。可以通过根据本发明的第三方面的装置或通信行为的模型从交换机或者从智能交换机的元数据模块中获取通信元数据。
网络的通信行为的模型可以从通信元数据中仅选择与网络安全评估相关或有助于评估网络安全的值。可以通过用相应的权重对值进行加权,以增加或减少其对网络安全评估的影响,来实现所述的值的选择。基于通信元数据的所有或选定/加权的值,通信行为的模型针对(智能)交换机上的每个通信导出至多三个安全值。这些安全值类似于网络的当前通信行为。至多三个安全值仅考虑通信元数据的安全相关数据来描述交换机上的通信。导出的至多三个安全值可基于从(智能)交换机上的通信导出的通信行为,指示网络的当前安全状态。
将导出的至多三个安全值与相应的阈值进行比较。可以定义上限和/或下限或多个间隔,每个间隔具有上限和下限以作为每个安全值的阈值。可以在网络的通信行为的模型的生成期间自动导出阈值。
每当(智能)交换机上的通信或其导出安全值不符合阈值时,都会生成安全警告。安全警告可以在显示器上或通过扬声器(例如,网络管理员)发布,或作为消息(电子邮件、通知、SMS、推送消息等)发送给用户。用户可以基于安全警告来决定是否必须启动对策,例如封闭受影响的网络单元或整个网络。此外,安全警告也可以用于自动触发对策(例如,封闭受影响的网络单元或整个网络)。
本发明借助于受过训练的ANN使用对通信元数据的分析,使得能够检测到通信中与正常工作网络的通信的任何偏差。因此,基于对受监控(智能)交换机上网络中的通信的作用和影响,甚至可以检测到新的和未知的安全问题,例如新的恶意软件或间谍软件。
根据本发明的改进,在导出的步骤中针对每个通信导出两个安全值或三个安全值。两个安全值或三个安全值定义二维(2D)域或三维(3D)域中各个通信的安全点。
通信行为的模型被布置并配置为从通信元数据中导出两个或三个安全值。通过通信行为的模型关于安全相关方面来分析表征(智能)交换机上每个通信的值,并将其组合为两个或三个安全值。这两个安全值定义了2D安全点(例如,在笛卡尔坐标中)。这三个安全点定义了3D安全点(例如,在笛卡尔坐标中)。
一方面,导出两个或三个安全值会降低复杂性,其中基于二个或三个安全值的2D或3D安全点对于用户(人类)而言是更可想象和可理解的,而多维的安全点则更好。另一方面,元数据的值不会转换太多(转换为一个单安全值),从而就保留了来自原始通信元数据的足够量的信息。因此,提供了网络的安全状态的可理解且精确的指示。
根据本发明的改进,该方法还包括以下步骤:
-基于阈值,伸展2D域中的2D包络或3D域中的3D包络。
2D包络定义2D域中的阈值区域。3D包络定义3D域中的阈值空间。在阈值区域和阈值空间中,相应的安全点满足所有相应的阈值。在检查的步骤中,对于每个通信,检查安全点是否位于2D包络或3D包络之内,或是位于2D包络或3D包络之内和之上,或是位于2D包络或3D包络之内和之上和与其预定距离内。
伸展的步骤可以与其余步骤并行执行。
2D/3D包络使得能够对(智能)交换机上的通信的2D/3D安全点进行简单的几何检查,而不必进行与两个或三个阈值的多次比较。此外,可以确定2D/3D安全点到2D/3D包络的距离,并将其用于相应通信的进一步安全分析(距离越大,与正常通信行为的偏差越大,这可能是更严重的安全问题所导致)。
根据本发明的改进,该方法还包括以下步骤:
-在显示器上显示安全点和包络。
显示的步骤可以与其余步骤并行执行。
通信的2D/3D安全点和相应的2D/3D包络被显示给用户。显示器可以为监视器或打印输出(例如从打印机),或者特别是对于3D安全点和3D包络而言,可以为虚拟现实头戴设备/3D-眼镜。可以向用户显示所有通信的2D/3D安全点或仅最近通信的当前2D/3D安全点(例如,最近100个或最近1000个)。
安全状态的这种图形表示对于人类用户而言是易于理解的,使得基于所显示的安全点在出现安全问题的情况下,他们就可以快速决定适当的对策。
根据本发明的改进,在生成的步骤中,在安全值中的至少一者在预定义数量的通信和/或预定义持续时间内不满足相应预定阈值的情况下,则生成安全警告。
由于网络是一个动态系统,在正常运行期间并非总是以相同的方式运行(因为来自环境/噪声的影响),因此并非所有关于正常通信行为(所有安全值/点在相应阈值/包络内)的偏离都是由于安全问题所造成。因此,仅当等于或大于预定义数量的通信量的安全值/点偏离以阈值/包络为特征的正常通信行为时,才会发出安全警告。可替代地或附加地,如果在预定义持续时间内的全部或部分通信偏离正常通信行为,则发出安全警告。因此,仅安全值中的一者可能不足以满足多次通信,或者安全值的任一者也可能不足以满足多次通信。同样,仅当一种特定的通信(例如,从一个特定的发送方到一个特定的接收方)或通信的类型(例如,从互联网传入的消息、控制器发送的控制信号等)的行为不像正常的行为时,可发出安全警告。
在一实施方式中,安全值可能不足以连续多次满足或在预定义时间间隔内多次满足或在每个不能满足的安全值之间具有预定义最大时间跨度多次满足。
预定义数量的通信和/或预定义持续时间使得能够避免发出错误的安全警告。
根据本发明的改进,在导出的步骤中,利用确定通信元数据的有效数据的数据清理功能对通信元数据进行预处理。仅将确定的有效数据提供给通信行为的模型,用于导出至多三个安全变量。
在将通信元数据馈送到通信行为的模型之前,可以执行先前数据的清理。在数据清理中,错误、不完整、不合逻辑和/或意外的、关于通信元数据的单个通信的特征的值被自动清除。因此,仅考虑通信元数据的干净且因此有效的值(这些值包括关于在(智能)交换机上的通信的有效信息),并且通过通信行为的模型将这些值用于导出至多三个安全值。
数据清理功能确保基于安全值/点评估网络的当前通信行为,这些安全值/点专门从通信元数据的有效数据/值中导出。因此,提高了网络当前通信行为的可靠性。
根据本发明的改进,通过前向特征选择算法和/或后向特征选择算法从训练通信元数据中导出通信行为的模型,用于导出至多三个安全值。至多三个安全值仅考虑通信元数据的安全相关数据来描述交换机上的通信。
训练通信元数据为来自网络通信的通信元数据,该通信元数据被提供用来导出相应网络的通信行为的模型。前向特征选择算法和/或后向特征选择算法被用于从通信元数据确定安全相关数据。所使用的算法(前向/后向)可以为基于试错法的蛮力算法,也可以为基于优化函数的基于高斯的算法。前向/后向特征选择算法可以借助于“notebook”方法(如Jupiter Notebook或Apache Zeppelin Web应用)来支持。
前向/后向选择算法提供了一种鲁棒模型,该模型可被用于以最少的计算量来导出至多三个安全值。
根据本发明的改进,前向特征选择算法和/或后向特征选择算法为支持向量机(SVM)、鲁棒协方差或隔离森林算法。
SVM、鲁棒协方差和隔离森林算法为用于导出通信行为的模型的鲁棒算法。
根据本发明的进一步的改进,通信行为的模型基于人工神经元网络(ANN)。用训练通信元数据对ANN进行训练,用于导出至多三个安全值。至多三个安全值仅考虑通信元数据的安全相关数据来描述交换机上的通信。
对ANN进行培训,以便仅考虑与网络安全评估相关或有贡献的通信元数据的值。这可以通过调整ANN的权重来实现,使得仅考虑通信元数据的所述相关数据/值来导出至多三个安全值。经训练的ANN甚至考虑了与网络安全相关或对网络安全有贡献的通信元数据的多个值的复杂相关性。
即使在具有复杂体系结构和许多相关性的网络中,ANN也提供可靠的安全值/点。
根据本发明的进一步的改进,通过分析算法从训练通信元数据中导出通信行为的模型,用于导出至多三个安全值。该至多三个安全值仅考虑通信元数据的安全相关数据来描述交换机上的通信。
通过分析导出的通信行为的模型特别精确,并且在导出至多三个安全值时也不需要大量计算。
根据本发明的改进,利用数据清理功能对训练通信元数据进行预处理,该数据清理功能确定训练通信元数据的有效训练数据。仅将确定的有效训练数据用于导出通信行为的模型。
在处理训练通信元数据以生成通信行为的模型(特征选择算法或ANN或分析算法)之前,可以执行先前数据的清理。在数据清理中,错误的、不完整的、不合逻辑的和/或意外的、关于训练通信元数据的单个通信的特征的训练值被自动清除。因此,仅考虑训练通信元数据的干净且因此有效的值(这些值包括关于(智能)交换机上的通信的有效信息),并且将这些值用于导出通信行为的模型。
数据清理功能确保网络的通信行为的模型基于训练通信元数据的有效训练数据/值。因此,提高了通信行为的模型的可靠性。此外,在通信行为的模型基于ANN的情况下,使用有效的训练数据/值进行的训练会因为考虑较少的训练值/数据,从而使ANN的复杂性降低。
根据本发明的改进,通信行为的模型从常规工作的网络中的通信的训练通信元数据中导出。
当网络处于正常工作状态时,网络中的通信会在不存在安全问题的情况下提供关于网络的常规通信行为的信息。网络的常规通信的这些训练通信元数据(针对其导出通信行为的模型)使得能够导出能够辨别具有相应网络的常规通信行为的常规工作状态与可能由安全问题(间谍软件、恶意软件等)引起的非常规工作状态的通信行为的模型(特征选择算法/ANN/分析算法)。特别地,当基于在常规工作的网络中的通信的训练通信元数据来导出模型时,可以基于在常规工作网络中的常规通信行为来导出阈值。因此,可以基于相应的常规工作网络中的通信的训练通信元数据来自动导出安全值的预定阈值。
利用在常规工作的网络中的通信的训练通信元数据,可以导出相应网络的通信行为的鲁棒模型。另外,可以自动导出阈值。
根据本发明的改进,通信行为的模型从网络中与对该网络的已知攻击相关的通信的训练通信元数据中导出。
当网络受到已知攻击或已知安全问题(恶意软件、间谍软件等)的攻击并因此处于非常规工作状态下时,网络中的通信提供关于网络的非常规通信行为的信息(当存在已知安全问题时)。这些网络的非常规通信的训练通信元数据(针对其导出通信行为的模型)使得能够导出能够识别引起非常规工作状态的安全问题或安全问题类别的通信行为的模型(特征选择算法/ANN/分析算法)。此外,当用网络中的通信的通信元数据训练ANN时(该通信与对该网络的已知攻击(例如,由恶意软件或间谍软件等引起的通信)相关),可以基于处于已知安全问题攻击下的网络的行为进一步完善(限制/设限)安全值的阈值。
因此,导出的通信行为的模型能够直接识别引起相应网络的非常规通信行为的任何已知安全问题(如果受到当前安全问题攻击的来自相应网络的通信元数据已被用于导出经使用的通信行为的模型)。另外,阈值可以被自动完善。
根据本发明的改进,通信行为的模型从实际存在的和/或当前运行的网络中的通信的训练通信元数据中导出。
现有网络(例如,具有通过工业网络连接的多个自动化单元的现有制造工厂)可以利用根据本发明的第二方面的智能交换机或利用根据本发明的第三方面的常规交换机和装置进行扩展,其中,该智能交换机/装置包括现有网络的通信行为的模型,仅在工作时该模型才从现有网络中的通信的通信元数据读出来。
因此,可以扩展现有网络,使它们能够认出通信行为中的偏差,从而发现安全问题,而无需或仅需要最小限度的现有网络停机时间。此外,由此导出的通信行为的模型正好适合于现有网络。
根据本发明的改进,通信行为的模型从网络的数字孪生中的通信的训练通信元数据中导出。
可以基于在网络的数字孪生(数字模型)中模拟的通信导出网络的通信行为的模型。在仅对网络的相关实体(并非全部)进行建模的数字孪生中,使用模拟(常规和/或非常规)通信的通信元数据来导出真实网络的通信行为的模型。
例如,在布置自动化单元或制造工厂之后并且在建立自动化单元/制造工厂(甚至在真实世界中建立真实的自动化单元/制造工厂之前)并将其连接到互联网之前,可以生成(尚不存在的)真实网络的通信行为的模型。因此,一旦使用了自动化单元/制造工厂的相应真实网络,就可以借助于根据本发明的任何方面来观察安全性。因此,在自动化单元/制造工厂的设置与启动之间不存在安全漏洞。
根据本发明的改进,根据本发明的第三方面的装置为可联接至交换机的边缘装置。
即使在运行期间,也可以对边缘装置(例如单独的计算机)进行改造,并将其连接到现有网络的现有交换机。因此,根据本发明的第二方面,现有的交换机不必被智能交换机替换。此外,单独的边缘装置具有用于运行ANN的足够计算能力,从而不会由于附加计算任务而使现有交换机过载。
随后通过在附图中示出的示例性实施方式进一步详细地说明本发明及其技术领域。该示例性实施方式仅有助于更好地理解本发明,并且在任何情况下均不应解释为对本发明范围的限制。特别地,如果没有明确地进行不同描述的话,有可能提取附图中描述的主题的各方面,并将其与本说明书或附图中的其他部件和发现相结合。相同的附图标记指代相同的对象,从而可以补充地使用来自其他附图的说明。
附图说明
图1示出了根据本发明第一方面的方法的示意性流程图。
图2示出了包括根据本发明第四方面的网络的系统的示意图,该网络具有根据本发明第二方面的智能交换机。
图3示出了包括根据本发明第四方面的网络的系统的示意图,该网络具有常规交换机和根据本发明第二方面的装置的实施方式。
图4示出了包括根据本发明第四方面的网络的系统的示意图,该网络具有常规交换机和根据本发明第三方面的装置的另一实施方式。
图5示出了包括根据本发明第四方面的网络的系统的示意图,该网络具有常规交换机和根据本发明第三方面的装置的又一实施方式。
图6示出了根据本发明第二方面的智能交换机的示意图。
图7示出了根据本发明第三方面的装置的示意图。
具体实施方式
在图1中,示意性地描绘了根据本发明第一方面的识别网络的通信行为中的偏差的方法的流程图。在收集1的步骤中,收集通信元数据。在导出2的步骤中,导出三个安全值。在检查3的步骤中,检查安全值。在生成4的步骤中,生成安全警告。此外,在可选的伸展5的步骤中,基于阈值,伸展三维(3D)包络,并且在可选的显示6的步骤中,显示3D安全点和3D包络。
收集1可为网络中的通信元数据的收集或从网络的交换机中获取通信元数据。每个通信包括从发送方向接收方发送至少一个消息,在接收方处接收该消息以用于进一步处理。该消息可以通过至少一个包来发送,其中该包包括消息的至少一部分的数据以及可选地包括报头和/或脚注和/或其他元数据。当在交换机上发送至少一个消息或包时,生成通信元数据。通信元数据包括关于交换机上每个通信的特征的数据:
-包数量,其给出通信中发送的总包数量,
-当前包计数[pkts/s][每秒包],其给出了通信中每个时间单位(秒)发送的包的当前计数,
-平均包计数[pkts/s],其给出了通信中每个时间单位(秒)发送的平均包计数,
-最小包计数[pkts/s],其给出了通信中每个时间单位(秒)发送的最小包计数,
-最大包计数[pkts/s],其给出了通信中每个时间单位(秒)发送的最大包计数,
-当前数据计数[kbps][每秒千比特],其给出了通信中每个时间单位(秒)发送的当前数据计数,
-平均数据计数[kbps],其给出了通信中每个时间单位(秒)发送的平均数据计数,
-最小数据计数[kbps],其给出了通信中每个时间单位(秒)发送的最小数据计数,
-最大数据计数[kbps],其给出了通信中每个时间单位(秒)发送的最大数据计数。
在针对交换机上的每个通信的导出2中,从各个通信的通信元数据中导出三个安全值。各个通信的每组三个安全值在3D笛卡尔坐标中定义各个通信的安全点。导出2借助于网络的通信行为的模型来实现。可以从网络中的交换机上的通信的训练通信元数据中导出通信行为的模型。在常规工作和/或受到已知安全问题的攻击并因此非常规地工作的情况下,在网络中或在网络的模拟数字孪生网络中收集训练通信元数据。可以借助于前向特征选择算法和/或后向特征选择算法(例如支持向量机、鲁棒协方差或隔离森林算法)来导出该模型,用于仅考虑通信元数据的安全相关数据来导出描述交换机上的通信的至多三个安全值。可替代地,可以借助于分析算法来导出模型,用于仅考虑通信元数据的安全有关数据来导出描述交换机上的通信的至多三个安全值。进一步可替代地,该模型可以基于人工神经元网络(ANN),该人工神经元网络用训练通信元数据进行训练,用于仅考虑通信元数据的安全相关数据来导出描述交换机上的通信的至多三个安全值。
在可选的伸展5中,在3D域中伸展3D包络。3D包络在3D笛卡尔坐标中定义一个空间,在该空间中,相应的安全点均满足所有相应的阈值。在模型的导出或ANN的训练期间自动地确定预定阈值。网络的常规通信行为由3D包络(或者由阈值)描述。
在针对每个通信的检查3期间,检查各个安全点是否位于3D包络之内或之上(或者三个安全值是否满足相应的预定阈值)。如果安全点位于3D包络之外,则网络中的相应通信为非常规通信,该非常规通信可能由网络所感染了的恶意软件或间谍软件等安全问题引起。
如果至少一个安全点位于3D包络之外(或者至少一个安全值不满足相应的预定阈值),则会生成安全警告。为了避免由于来自外部的网络干扰引起的与安全问题无关的虚假警报,可以将生成4限制为连续的和/或在预定义持续时间内的预定义数量通信不满足由3D包络定义的常规通信标准(预定阈值)的情况。安全警告可以显示在监视器上,也可以通过扬声器播放,也可以作为消息转发给网络管理员等用户。
交换机上所有的或预定义数量的最近通信的3D安全点以及3D包络可以在监视器上或借助于虚拟现实头戴设备/3D-眼镜显示给用户。
在生成安全警告的情况下,可以自动启动对策。诸如封闭相应的网络单元或整个网络的这种对策是众所周知的,因此不再进一步讨论。
在图2中,示意性地描绘了包括根据本发明第四方面的网络21的系统20,该网络具有根据本发明第二方面的、用于识别网络21的通信行为中的偏差的智能交换机11。系统20为自动化单元。网络21包括三个网络单元22.1、22.2,其中一个网络单元为控制单元22.1,其余两个网络单元22.2为常规网络单元22.2。网络单元22.2分别属于自动化单元20的相应自动化单元。控制单元22.1和两个网络单元22.2通过智能交换机11通信连接。每个网络单元22.2包括交换机23。网络单元22.2的诸如控制器24和自动化装置(传感器、动作器等)25的网络实体通过相应的交换机23可通信地连接,该交换机将相应的网络单元22.2与网络21可通信地连接。控制单元22.1还包括将控制单元22.1连接到网络21的交换机23。此外,控制单元22.1包括至少一个计算机26(例如,控制终端或PC等)。一台计算机26可以具有到互联网的连接27,恶意软件、间谍软件和其他安全问题可以通过该连接感染并攻击网络21。
智能交换机11被布置并配置用于实现和执行图1的方法。至此,智能交换机11包括元数据模块、网络21的通信行为的模型和安全模块。元数据模块可通信地连接到通信行为的模型,该通信行为的模型可通信地连接到安全模块。元数据模块被布置并配置为根据图1的方法实现和执行收集1。通信行为的模型被布置并配置为实现和执行图1的方法的导出2。安全模块被布置并配置用于实现和执行图1的方法的生成4以及可选的伸展5。显示可以由具有对应的监视器或VR头戴设备/3D-眼镜的一个计算机26执行。
在网络21被诸如蠕虫的恶意软件从互联网攻击的情况下,网络21的常规通信行为改变为非常规通信行为。这种非常规的通信行为类似于相应的通信元数据,该通信元数据通过智能交换机11的通信行为的模型被转换成相应的非常规安全点。非常规的安全点位于3D包络之外,因此智能交换机11的安全模块会生成安全警告。可选地,智能交换机11可以响应于基于智能交换机11上的非常规通信检测到的安全问题而自动启动对策。
在图3至图5中,示意性地描绘了系统20,系统包括根据本发明第四方面的网络21,网络具有常规交换机28和根据本发明第二方面的用于识别网络21的通信行为的偏差的装置12。图3至图5中描绘的实施方式相对于常规交换机28具有装置12的不同布置。在下文中,仅讨论与图2的系统20和网络21的区别。在图3至图5中,常规交换机28将两个网络单元22.2和控制单元22.1彼此连接。在图3中,装置12通信地耦合到常规交换机12。在图4中,装置12位于控制单元22.1中,并且通过控制单元22.1的交换机23可通信地连接至常规交换机28。在图5中,装置12位于一个网络单元22.2中,并且通过相应的网络单元22.2的交换机23通信地连接到常规交换机28。
装置12被布置并配置用于实现和执行图1的方法。至此,装置12包括网络21的通信行为的模型和安全模块。通信行为的模型可通信地连接到安全模块。装置12从交换机28获取通信元数据用于通信行为的模型。通信行为的模型被布置并配置为实现和执行图1的方法的导出2。安全模块被布置并配置用于实现和执行图1的方法的生成4以及可选的伸展5。
在图6中,示意性地描绘了根据本发明第二方面的智能交换机11。智能交换机11在相应控制/网络单元的对应交换机23处连接到控制单元和网络单元。智能交换机11包括元数据模块13、网络21的通信行为的模型14和安全模块15。元数据模块13可通信地连接到通信行为的模型14,通信行为的模型14可通信地连接到安全模块15。
由元数据模块13关于上述通信特征评估穿越智能交换机11的从一个控制/网络单元的交换机23到另一控制/网络单元的交换机23的消息。生成并(临时)存储智能交换机11上的每个通信的通信元数据。智能交换机11上的每个通信的通信元数据从元数据模块13转发到通信行为的模型14,或者由通信行为的模型14从元数据模块13获取。通信行为的模型14导出三个安全值,并为智能交换机11上的每个通信生成对应的3D安全点。每个3D安全点被转发到安全模块15或由安全模块获取。安全模块15检查安全点是否位于3D笛卡尔坐标中的包络(空间)之内或之上。在一个或若干安全点位于包络外部而不满足伸展包络的阈值的情况下,安全模块15会如上所述生成安全警告。
在图7中,示意性地描绘了根据本发明第三方面的装置12。下面仅描述与智能交换机的区别。装置12连接到网络21的常规交换机28。常规交换机28在相应控制/网络单元的对应交换机23处连接到控制单元和网络单元。装置12包括网络21的通信行为的模型14和安全模块15。常规交换机28可通信地连接到装置12的通信行为的模型14,该通信行为的模型可通信地连接到安全模块15。
由常规交换机28关于通信的上述特征(例如在常规交换机28的元数据模块中)评估穿越常规交换机28的从一个控制/网络单元的交换机到另一控制/网络单元的交换机的消息。生成并(临时)存储常规交换机28上的每个通信的通信元数据。常规交换机28上的每个通信的通信元数据被转发到装置12的通信行为的模型14,或者由装置12的通信行为的模型14从常规交换机28(从常规交换机28的元数据模块)中获取。
尽管本文已经示出和描述了特定的实施方式,但是本领域的普通技术人员将理解,存在各种替代和/或等效的实现方式。应理解,一个或多个示例性实施方式仅为示例,并且无意以任何方式限制范围、适用性或配置。相反,前述概述和详细描述将为本领域技术人员提供用于实施至少一个示例性实施方式的便利路线图,应当理解,可以在不脱离所附权利要求书及其合法等效物中所阐明的范围的情况下,对示例性实施方式中描述的元件的功能和布置进行各种改变。通常,本申请旨在涵盖本文讨论的具体实施方式的任何改动或变型。
在前述详细描述中,出于简化本公开的目的,在一个或多个示例中将各种特征组合在一起。应理解,以上描述旨在为说明性的而非限制性的。意图涵盖可能包括在本发明的范围内的所有替代、修改和等效物。在回顾以上说明书之后,许多其他示例对于本领域技术人员将是显而易见的。
前述说明书中使用的特定术语用于提供对本发明的透彻理解。然而,根据本文提供的说明书,对于本领域的技术人员将显而易见的是,不需要具体细节即可实施本发明。因此,已经出于说明和描述的目的给出了对本发明的具体实施方式的前述描述。它们不旨在穷举或者将本发明限制到所公开的确切形式;显然可以根据上述教导进行许多修改和变化。选择和描述这些实施方式是为了最好地解释本发明的原理及其实际应用,从而使得本领域的其他技术人员能够最好地利用本发明和具有适合于预期特定用途的各种修改的各种实施方式。在整个说明书中,术语“包括(including)”和“其中(in which)”分别用作相应术语“包括(comprising)”和“其中(wherein)”的纯英语等同物。此外,术语“第一”、“第二”和“第三”等仅用作标签,并不旨在对其对象施加数字要求或确定其重要性的特定等级。在本说明书和权利要求书的上下文中,连词“或”应理解为包括(“和/或”)而不是唯一的(“...或...”)。
Claims (19)
1.一种识别网络(21)的通信行为中的偏差的方法,包括以下步骤:
收集(1)在所述网络(21)的交换机(11、28)中的通信元数据,其中,所述通信元数据包括关于在所述交换机(11、28)上的每个通信的特征的数据;
借助于所述网络(21)的通信行为的模型(14),针对所述交换机(11、28)上的每个通信,从各个通信的通信元数据中导出(2)两个安全值或三个安全值,其中,所述模型从所述通信元数据中选择有助于评估所述网络的安全的值;
基于所述安全值的阈值,拉伸(5)2D域中的2D包络或3D域中的3D包络,所述包络定义相应安全点都满足所有相应阈值的、所述2D域中的区域或所述3D域中的空间;
针对每个通信,检查(3)是否相应的至多三个安全值满足相应的预定阈值,其中,针对每个通信检查所述安全点是否位于所述包络之内、或位于所述包络之上、或在与所述包络间隔预定距离内;以及
在所述安全值中的至少一者不满足相应的预定阈值的情况下,生成(4)安全警告。
2.根据权利要求1所述的方法,还包括以下步骤:在显示器上显示(6)所述安全点和所述包络。
3.根据权利要求1或2所述的方法,其中,在生成(4)的步骤中,在所述安全值中的至少一者在预定义数量的通信和/或预定义持续时间内不满足相应的预定阈值的情况下,生成所述安全警告。
4.根据权利要求1或2所述的方法,其中,在导出(2)的步骤中,利用数据清理功能对所述通信元数据进行预处理,所述数据清理功能确定所述通信元数据的有效数据,并且其中,仅将确定的有效数据提供给所述通信行为的模型(14),用于导出至多三个安全变量。
5.根据权利要求1或2所述的方法,其中,通过前向特征选择算法和/或后向特征选择算法从训练通信元数据中导出所述通信行为的模型(14),用于仅考虑通信元数据的安全相关数据来导出描述所述交换机(11、28)上的通信的至多三个安全值。
6.根据权利要求5所述的方法,其中,所述前向特征选择算法和/或所述后向特征选择算法为支持向量机、鲁棒协方差或隔离森林算法。
7.根据权利要求1或2所述的方法,其中,所述通信行为的模型(14)基于人工神经元网络ANN,所述ANN用训练通信元数据进行训练,用于仅考虑通信元数据的安全相关数据来导出描述所述交换机(11、28)上的通信的至多三个安全值。
8.根据权利要求1或2所述的方法,其中,通过分析算法从训练通信元数据中导出所述通信行为的模型(14),用于仅考虑通信元数据的安全相关数据来导出描述所述交换机(11、28)上的通信的至多三个安全值。
9.根据权利要求5所述的方法,其中,利用数据清理功能对所述训练通信元数据进行预处理,所述数据清理功能确定所述训练通信元数据的有效训练数据,以及其中,仅将确定的有效训练数据用于导出所述通信行为的模型(14)。
10.根据权利要求5所述的方法,其中,所述通信行为的模型(14)从常规工作的网络(21)中的通信的训练通信元数据中导出。
11.根据权利要求5所述的方法,其中,所述通信行为的模型(14)从网络(21)中与所述网络(21)上已知攻击相关的通信的训练通信元数据中导出。
12.根据权利要求5所述的方法,其中,所述通信行为的模型(14)从实际存在和/或当前运行的网络(21)中的通信的训练通信元数据中导出。
13.根据权利要求5所述的方法,其中,所述通信行为的模型(14)从所述网络(21)的数字孪生中的通信的训练通信元数据中导出。
14.一种用于识别网络(21)的通信行为中的偏差的智能交换机(11),其被布置并配置用于实现和执行根据权利要求1所述的方法,所述智能交换机包括:
元数据模块(13),其被布置并配置为收集(1)所述智能交换机(11)中的通信元数据,其中,所述通信元数据包括关于所述智能交换机(11)上的每个通信的特征的数据;
所述网络(21)的通信行为的模型(14),其可通信地耦合到所述元数据模块(13),并且被布置并配置为针对所述智能交换机(11)上的每个通信,从各个通信的通信元数据中导出(2)两个安全值或三个安全值,其中,所述模型从所述通信元数据中选择有助于评估所述网络的安全的值;以及
安全模块(15),其可通信地耦合到所述通信行为的模型(14),并且被布置并配置为基于所述安全值的阈值,伸展(5)2D域中的2D包络或3D域中的3D包络,所述包络定义相应安全点都满足所有相应阈值的、所述2D域中的区域或所述3D域中的空间,用于针对每个通信,检查(3)相应的至多三个安全值是否满足相应的预定阈值,其中,对于每个通信,检查所述安全点是否位于所述包络之内、或位于所述包络之上、或在与所述包络间隔预定距离内,并用于在所述安全值的至少一者不满足相应的预定阈值的情况下,生成(4)安全警告。
15.根据权利要求14所述的智能交换机(11),其中,所述智能交换机(11)被布置并配置为用于实施和执行根据权利要求2至13中任一项所述的方法。
16.一种用于识别网络(21)的通信行为中的偏差的装置(12),其被布置并配置用于实现和执行根据权利要求1所述的方法,并且可通信地连接到所述网络(21)的交换机(28),所述装置包括:
所述网络(21)的通信行为的模型(14),其被布置并配置用于针对所述交换机(28)上的每个通信,从由所述交换机(28)获取的相应通信的通信元数据中导出(2)两个安全值或三个安全值,其中,所述通信元数据包括关于所述交换机(28)上的每个通信的特征的数据,其中,所述模型从所述通信元数据中选择有助于评估所述网络的安全的值;以及
安全模块(15),其可通信地耦合到所述通信行为的模型(14),并且被布置并配置为基于所述安全值的阈值,伸展(5)2D域中的2D包络或3D域中的3D包络,所述包络定义相应安全点都满足所有相应阈值的、所述2D域中的区域或所述3D域中的空间,用于针对每个通信,检查(3)相应的至多三个安全值是否满足相应的预定阈值,其中,对于每个通信,检查所述安全点是否位于所述包络之内、或位于所述包络之上、或在与所述包络间隔预定距离之内,并用于在所述安全值的至少一者不满足相应的预定阈值的情况下,生成(4)安全警告。
17.根据权利要求16所述的装置(12),其中,所述装置(12)被布置并配置为用于实施和执行根据权利要求2至13中任一项所述的方法。
18.根据权利要求16或17所述的装置(12),其中,所述装置(12)为可耦合至所述交换机(28)的边缘装置。
19.一种被布置并配置用于识别网络(21)的通信行为中的偏差的系统(20),包括:
网络(21);
通过所述网络(21)通信连接的至少两个网络单元(22.1、22.2);以及
根据权利要求14或15所述的智能交换机(11);或
交换机(28)和根据权利要求16至18中任一项所述的装置(12),所述装置通信地连接或耦合到所述交换机(28),
其中,所述智能交换机(11)或交换机(28)位于所述网络(21)中的所述至少两个网络单元(22.1、22.2)的中心连接点处。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP18209769.1 | 2018-12-03 | ||
EP18209769.1A EP3663948B1 (en) | 2018-12-03 | 2018-12-03 | Recognizing deviations in security behaviour of automation units |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111262826A CN111262826A (zh) | 2020-06-09 |
CN111262826B true CN111262826B (zh) | 2022-11-29 |
Family
ID=64661061
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911214063.6A Active CN111262826B (zh) | 2018-12-03 | 2019-12-02 | 识别网络通信行为偏差的方法及智能交换机、装置和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11777967B2 (zh) |
EP (1) | EP3663948B1 (zh) |
CN (1) | CN111262826B (zh) |
ES (1) | ES2913434T3 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113489728A (zh) * | 2021-07-08 | 2021-10-08 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网的安全评估系统及方法 |
CN116055216A (zh) * | 2023-03-06 | 2023-05-02 | 睿至科技集团有限公司 | 一种基于物联网的安全检测方法及系统 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007523402A (ja) * | 2004-01-13 | 2007-08-16 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 内部個別要素を用いるメッシュモデル |
US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
US9043267B2 (en) * | 2007-07-30 | 2015-05-26 | Hewlett-Packard Development Company, L.P. | Methods and systems for managing a data mining model |
WO2009045218A1 (en) * | 2007-10-04 | 2009-04-09 | Donovan John J | A video surveillance, storage, and alerting system having network management, hierarchical data storage, video tip processing, and vehicle plate analysis |
US8577705B1 (en) * | 2008-12-30 | 2013-11-05 | Videomining Corporation | Method and system for rating the role of a product category in the performance of a store area |
KR20120057066A (ko) * | 2010-11-26 | 2012-06-05 | 한국전자통신연구원 | 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치 |
CN103248607B (zh) * | 2012-02-02 | 2016-04-27 | 哈尔滨安天科技股份有限公司 | 基于IPv4和IPv6的拒绝服务攻击检测方法及系统 |
US10055434B2 (en) * | 2013-10-16 | 2018-08-21 | University Of Tennessee Research Foundation | Method and apparatus for providing random selection and long-term potentiation and depression in an artificial network |
US9705914B2 (en) * | 2014-07-23 | 2017-07-11 | Cisco Technology, Inc. | Signature creation for unknown attacks |
US9245057B1 (en) * | 2014-10-09 | 2016-01-26 | Splunk Inc. | Presenting a graphical visualization along a time-based graph lane using key performance indicators derived from machine data |
US10148680B1 (en) * | 2015-06-15 | 2018-12-04 | ThetaRay Ltd. | System and method for anomaly detection in dynamically evolving data using hybrid decomposition |
US9888024B2 (en) * | 2015-09-30 | 2018-02-06 | Symantec Corporation | Detection of security incidents with low confidence security events |
AU2017277280A1 (en) * | 2016-06-06 | 2018-12-20 | Intertrust Technologies Corporation | Anomaly detection systems and methods |
US20170357940A1 (en) * | 2016-06-08 | 2017-12-14 | Customer Analytics, LLC | Method and system for dynamic inventory control |
DE102016221378A1 (de) * | 2016-10-31 | 2018-05-03 | Robert Bosch Gmbh | Verfahren zum Übertragen von Daten |
US20180211176A1 (en) * | 2017-01-20 | 2018-07-26 | Alchemy IoT | Blended IoT Device Health Index |
WO2018141432A1 (en) * | 2017-01-31 | 2018-08-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and attack detection function for detection of a distributed attack in a wireless network |
US11055383B2 (en) * | 2017-11-08 | 2021-07-06 | Coupa Software Incorporated | Automatically identifying risk in contract negotiations using graphical time curves of contract history and divergence |
US20190042743A1 (en) * | 2017-12-15 | 2019-02-07 | Intel Corporation | Malware detection and classification using artificial neural network |
CN108304516A (zh) * | 2018-01-23 | 2018-07-20 | 维沃移动通信有限公司 | 一种网络内容预加载方法及移动终端 |
US20190310592A1 (en) * | 2018-04-09 | 2019-10-10 | Diveplane Corporation | Computer based reasoning and artificial intelligence systems |
-
2018
- 2018-12-03 ES ES18209769T patent/ES2913434T3/es active Active
- 2018-12-03 EP EP18209769.1A patent/EP3663948B1/en active Active
-
2019
- 2019-12-02 CN CN201911214063.6A patent/CN111262826B/zh active Active
- 2019-12-03 US US16/701,816 patent/US11777967B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11777967B2 (en) | 2023-10-03 |
US20200177610A1 (en) | 2020-06-04 |
EP3663948B1 (en) | 2022-02-23 |
EP3663948A1 (en) | 2020-06-10 |
CN111262826A (zh) | 2020-06-09 |
ES2913434T3 (es) | 2022-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lu et al. | Clustering botnet communication traffic based on n-gram feature selection | |
Maglaras et al. | Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems | |
US11038906B1 (en) | Network threat validation and monitoring | |
Karami | An anomaly-based intrusion detection system in presence of benign outliers with visualization capabilities | |
AU2015403433B2 (en) | System and method for high speed threat intelligence management using unsupervised machine learning and prioritization algorithms | |
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
EP2612481B1 (en) | Method and system for classifying traffic | |
US11095670B2 (en) | Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane | |
CN111262826B (zh) | 识别网络通信行为偏差的方法及智能交换机、装置和系统 | |
KR100615080B1 (ko) | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 | |
Andropov et al. | Network anomaly detection using artificial neural networks | |
Cerroni et al. | Decentralized detection of network attacks through P2P data clustering of SNMP data | |
EP3286650B1 (en) | Network security analysis for smart appliances | |
CN102801719B (zh) | 基于主机流量功率谱相似性度量的僵尸网络检测方法 | |
Linda et al. | Towards resilient critical infrastructures: Application of Type-2 Fuzzy Logic in embedded network security cyber sensor | |
JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
Najafimehr et al. | DDoS attacks and machine‐learning‐based detection methods: A survey and taxonomy | |
TWI704782B (zh) | 骨幹網路異常流量偵測方法和系統 | |
Yong et al. | Understanding botnet: From mathematical modelling to integrated detection and mitigation framework | |
El-Alfy et al. | Detecting cyber-attacks on wireless mobile networks using multicriterion fuzzy classifier with genetic attribute selection | |
Shinde et al. | Early dos attack detection using smoothened time-series andwavelet analysis | |
Nguyen-An et al. | Entropy-based IoT devices identification | |
Kumar et al. | A network-based framework for mobile threat detection | |
CN101882997A (zh) | 一种基于nba的网络安全评估方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |