CN113536306A - 处理健康信息以确定是否发生异常 - Google Patents
处理健康信息以确定是否发生异常 Download PDFInfo
- Publication number
- CN113536306A CN113536306A CN202110398293.3A CN202110398293A CN113536306A CN 113536306 A CN113536306 A CN 113536306A CN 202110398293 A CN202110398293 A CN 202110398293A CN 113536306 A CN113536306 A CN 113536306A
- Authority
- CN
- China
- Prior art keywords
- management controller
- health information
- deep learning
- learning model
- processing element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0709—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/86—Event-based monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2218/00—Aspects of pattern recognition specially adapted for signal processing
- G06F2218/12—Classification; Matching
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Quality & Reliability (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本文公开的示例涉及根据深度学习模型处理计算设备的健康信息,以确定是否已经发生异常。多个计算设备可以是系统的一部分。计算设备之一包括主机处理元件、与主机处理元件分离的管理控制器以及深度学习模型,该深度学习模型包括经训练来识别计算设备的异常行为的参数。管理控制器可以从计算设备的多个组件接收健康信息,并根据深度学习模型处理健康信息,以确定是否发生异常。
Description
背景技术
信息技术公司和制造商面临着例如通过提供具有高可用性和/或安全性的计算设备向消费者提供质量和价值的挑战。高可用性是一种旨在确保一定水平的操作性能的特性,例如比不具有高可用性特性的系统更长的正常运行时间。系统可能会感染恶意软件或出现其他对消费者有害的异常情况。
附图说明
以下参考附图进行详细描述,其中:
图1是根据一个示例的具有管理控制器的计算设备的框图,该管理控制器能够根据深度学习模型来处理与该计算设备相关联的健康信息,以确定是否已经发生异常;
图2是根据一个示例的能够更新和使用深度学习模型来确定是否已经发生异常的系统的框图;
图3是根据一个示例的使用管理控制器和深度学习模型来确定计算设备处是否已经发生异常的方法的流程图;
图4是根据一个示例的能够确定计算设备上是否已经发生异常的管理控制器的框图;
图5是根据一个示例的用于响应于确定计算设备上存在异常而采取行动的方法的流程图;
图6是根据一个示例的用于响应于确定计算设备上存在异常而采取管理员行动的方法的流程图;和
图7是根据一个示例的能够更新和/或管理深度学习模型以识别异常的分析平台的框图。
在所有附图中,相同的附图标记可以表示相似但不一定相同的元件。附加到一些参考数字的索引数字“N”可以被理解为仅仅表示多个,并且对于具有这样的索引数字“N”的每个参考数字不一定代表相同的数量。此外,这里使用的没有索引数字的参考数字(其中这种参考数字在别处用索引数字指代)可以是对相应的多个元件的统称或单独的统称。在另一个示例中,可以使用索引数字“I”、“M”等来代替索引数字N。
在所有附图中,相同的附图标记表示相似但不一定相同的元件。附图不一定按比例绘制,一些部分的尺寸可能被放大以更清楚地说明所示的示例。此外,附图提供了与说明书一致的示例和/或实现;然而,说明书不限于附图中提供的示例和/或实现。
具体实施方式
在本公开中,除非上下文清楚地指示相反的情况,术语“一种(a或an)”或“该”的使用也旨在包括复数形式。此外,当在本公开中使用时,术语“包括(includes或including)”、“包含(comprises或comprising)”、或“具有(have或having)”指定了所述元件的存在,但是不排除其他元件的存在或添加。
信息技术公司和制造商面临着例如通过提供具有高可用性和/或安全性的计算设备向消费者提供质量和价值的挑战。高可用性是一种旨在确保一定水平的操作性能的特性,例如比不具有高可用性特性的系统更长的正常运行时间。此外,系统可能会感染恶意软件或出现其他对消费者有害的异常情况。
现代网络安全实践对外部威胁(如分布式拒绝服务攻击)有很好的装备。然而,网络面临的一个挑战是物理入侵,其中恶意软件能够穿透物理边界,从内部扩散到整个网络。不管是出于什么目的,也不管公司的程序如何,这些物理入侵可能是有针对性的,也可能是偶然的,例如,通用串行总线(USB)闪存驱动器能够进入最安全的网络边界。如果USB闪存驱动器上存在恶意软件,它会感染计算设备,然后该计算设备会感染网络中的其他设备。
网络系统上的计算设备的管理控制器(例如,基板管理控制器)可以利用带外定位来直接与主机网络、处理器、存储装置(storage)、存储器(memory)、电源设备等连接。因此,管理控制器具有计算设备的设备配置、状态和性能度量的可信视图。本文描述的监控技术可以通过实时检测行为异常来增强系统安全性。当异常发生时,可以采取措施,例如,警告主管、批准的纠正措施、更新模型以包含允许的异常等。
在一些示例中,管理控制器可以通过直接通道,例如(外围组件互连)PCIexpress、USB、通道接口驱动器等来监控设备,以确保数据不受损害。这些数据点可以根据期望的阈值或智能构建的模型进行测量,以确定威胁是否有效以及是否需要响应。在一些示例中,威胁响应可以是警报、平息威胁的反应性尝试、减轻显著威胁或感知的脆弱性的预先(preemptive)努力等。
对于特定的工作负荷,可以使用机器学习来创建智能创建的模型。可以训练一组计算设备的模型,该组计算设备预期在指定的工作负荷上工作。在一些示例中,可以在训练组中使用工作负荷的基准负荷来创建模型。在基准测试期间,被监控的每个计算设备的管理控制器可以从相应计算设备的组件获取健康信息。健康信息之后可被发送到分析平台。分析平台可以从多个计算设备获取大量健康信息,以创建计算设备在工作负荷期间的正常操作的深度学习模型。
深度学习模型可以在管理控制器的生产环境中实现。在一些示例中,计算设备可以由计算设备上的管理控制器使用深度学习模型来监控。如果管理控制器检测到异常,它可以执行行动。该行动可以是报告行动,例如向管理员通知问题。在其他示例中,该行动可以包括向相关管理网络上的其他管理控制器警告异常或基于异常的诊断。在进一步的示例中,检测到异常的管理控制器或相关联的管理控制器可以在其计算设备上执行行动,例如隔离网络流量、隔离等。
深度学习模型的示例包括使用循环神经网络(RNN)来处理系统事件,以确定健康信息中收集的哪些事件是正常工作负荷使用的一部分。可以使用先前的日志来训练将在该领域使用的深度学习网络。来自生产工作负荷的反馈可用于强化和更新模型。
在一个示例中,计算设备可以包括服务器。管理控制器诸如基板管理控制器(BMC)可用于根据深度学习模型对传入的健康信息进行分析。BMC为计算设备提供所谓的“无人值守(lights-out)”功能。无人值守功能可以允许用户诸如系统管理员在计算设备上执行管理操作,即使操作系统没有安装在计算设备上或者在计算设备上不起作用。此外,在一个示例中,BMC可以在辅助电源上运行,因此计算设备不需要被通电到开启状态,在该开启状态下,计算设备的控制在引导(boot)之后被移交给操作系统。作为示例,BMC可以提供所谓的管理和所谓的“带外”服务,例如远程控制台访问、远程重启和电源管理功能、对系统日志的访问等。如此处所使用的,BMC具有对计算设备的子系统的管理能力,并且与执行计算设备的主操作系统的处理器分离。BMC可以包括诸如网络接口和/或串行接口的接口,管理员可以使用该接口与BMC远程通信。
如上所述,BMC可以访问系统日志和健康信息。在一个示例中,系统组件诸如硬件设备和/或在硬件之上执行的软件可以被配置为向BMC提供事件信息。
图1是根据一个示例的具有管理控制器的计算设备的框图,该管理控制器能够根据深度学习模型来处理与该计算设备相关联的健康信息,以确定是否已经发生异常。图2是根据一个示例的能够更新和使用深度学习模型来确定是否已经发生异常的系统的框图。
在图1的示例中,计算设备102包括组件110、深度学习模型112、管理控制器116和主机处理元件130。在图2的示例中,计算系统200包括多个计算设备102a、102b–102n,一个或多个计算设备可以包括组件110、深度学习模型112、管理控制器116、健康信息214、健康信息参数反馈216、主机处理元件130、存储器232、输入/输出234等。此外,计算系统200可以进一步包括分析平台250。在某些示例中,分析平台250和一个或多个计算设备102可以经由网络连接。在一些示例中,该连接可以经由将一个或多个管理控制器116相互连接和/或连接到管理节点的管理网络。在其他示例中,可以使用其他网络,例如生产网络来连接一个或多个计算设备102。在一些示例中,生产网络可以与管理网络分开。
生产或测试环境中的管理控制器116可以与计算设备102的组件110通信,以生成健康信息214。管理控制器116可以使用一条或多条总线来与组件通信以接收健康信息。健康信息214的示例可以包括与诸如一个或多个中央处理单元、存储器等芯片相关联的温度、日志信息、会话计数器、用户行动信息、网络分组计数器、功耗、错误信息、安装在计算设备上的固件或软件的记录、处理工作负荷信息、外围设备配置信息、外围设备传感器信息等。在一些示例中,健康信息214可以存储在与管理控制器116相关联的存储器中。在一个示例中,安装在主机处理元件130上执行的操作系统上的软件可以例如使用驱动器和总线经由接口与管理控制器116通信。此外,在一些示例中,可以向管理控制器116提供关于在主机处理元件130上执行的软件、存在于一个或多个总线上的组件110(例如,PCIe总线、网络接口控制器、非易失性存储器主控制器等)的信息。在一些示例中,信息可以经由用于管理的总线来传送,例如,诸如I2C的串行通信、系统管理总线、控制器局域网(CAN)总线等。在其他示例中,可以通过管理网络以配置的形式从主机或管理平台接收输入。
在一些示例中,健康信息214可以作为日志或其他数据结构存储在永久存储器或易失性存储器中。可能存在不同的存储和接收条件。例如,管理控制器116可以比来自温度传感器的信息更少地接收关于安装在计算设备102上的软件的信息。
如上所述,深度学习模型112可以基于与系统200相关联的特定工作负荷。训练模型可以包括使用基准工作负荷。在一个或多个计算设备上的基准工作负荷期间,相关联的管理控制器116可以从测试环境中的相应系统的组件访问数据,并产生健康数据。健康数据可以被提供给可以生成模型的分析平台。在一些示例中,使用基准工作负荷的训练可以认为是针对特定工作负荷的深度学习模型的预训练。该深度学习模型可以基于来自计算设备的额外反馈来进一步更新。
可以使用各种深度学习模型。深度学习模型的示例包括长短期记忆(LSTM)、卷积神经网络、循环(recurrent)神经网络、神经历史压缩器、递归(recursive)神经网络、门控循环单元(GRU)等。循环神经网络的一个优点是包含反馈。用于深度学习模型的参数可以基于来自计算设备102或这里讨论的其他设备的反馈来更新。
在一个示例模型中,可以将健康信息处理为字符。在示例模型中,字符可以表示组件提供的寄存器或与其他系统日志相关联的信息。在一个示例中,每个字符可以被认为是一个输入向量。事件的分数可以随着每个字符的处理而更新。在处理过程中,这些分数可以认为是隐藏的。更新后的分数可以和下一个字符一起作为输入向量。处理可以继续,直到一个字符代表事件的结束。不同类型的健康信息事件可以区别对待。例如,温度信息可以处理代表温度的字符或多个字符,而固件的版本号可以作为单独的事件信息进行不同的处理。
在长短期记忆(LSTM)模型中,字符可以被特殊字符分解并作为一个组(例如,代表与事件相关联的信息的组)。例如,第一字符可以标识事件,第二、第三和第四字符可以包括日志寄存器信息,并且特殊字符(第五字符)可以指示关于事件的信息结束。在本示例中,这五个字符是要一起处理的。虽然描述了LSTM模型,但是也可以使用其他方法,例如门控循环单元。
输入事件可以来源于任何软件实体、现场可替换单元、组件110等。在一个示例中,深度神经网络(DNN)在消耗输入向量时做出即时预测。可以采用完全连接的架构,其最后一级是预测是否发生异常的输出。
在一些示例中,分数可用于对每个事件或一组事件代表计算设备102正常操作的异常的概率进行排名。
当深度学习模型112用于生产模式时,管理控制器116可以根据深度学习模型112处理其各自的健康信息214,以基于深度学习模型112确定是否已经发生异常。
在一个示例中,管理控制器116确定存在异常。管理控制器116可以对异常进行分类。在一些示例中,在模型生成期间,模型可以包括基于与异常相关联的参数的类型的分类。此外,在一些示例中,可以监督一些训练,例如,具有异常行为的特定工作负荷可以用作用于训练的工作负荷的一部分,并且可以与异常行为相关联。在一个示例中,训练模型可以包括指示已知异常正在工作负荷的时间框架内发生的信息。在一些示例中,管理控制器116可以响应于基于相关分类的异常已经发生的确定而采取行动。
在一个示例中,分类与发送警报的行动相关联。在这个示例中,警报被发送到诸如分析平台250的管理或分析平台。该警报可以指示存在异常以及与该异常相关联的特定标准。
此外,在一些示例中,该行动可以包括对管理员反馈的请求。例如,可以要求管理员确认异常是否是一个问题。在一个示例中,管理员可以指示异常不是问题,而是与工作负荷变化一致。这种情况的一个示例是当维护事件发生时,例如固件包的更新、软件的更新、新硬件的添加等。这种情况的另一个示例是正在发生额外活动时,例如,黑色星期五或零售服务器工作负荷上的销售事件或增加流式服务器工作负荷或零售工作负荷的在家事件。
在一个示例中,分析平台接收响应于该行动的管理员响应。管理员响应可以包括工作负荷已变化的指示。响应于工作负荷的变化,深度学习模型可以由分析平台250更新。在一个示例中,深度学习模型的更新包括在行动发生之后来自多个计算设备102a、102b、102n的健康信息参数反馈。
健康信息参数反馈216可以由管理控制器116生成。在一些示例中,健康信息参数反馈216可以被收集、存储,然后批量发送。在一个示例中,健康信息参数反馈216可以包括在一段时间内收集的健康信息214的集合。在另一个示例中,可以对健康信息参数反馈216进行预处理。这可以包括,例如,计算特定事件发生的次数,对数据执行转换以帮助其由分析平台250分析,减少发送到分析平台的数据量,重新缩放数据,标准化数据等。每个计算设备102可以生成由分析平台250接收的健康信息参数反馈的一部分。每个部分可以与相应的计算设备102相关联。
分析平台250从计算设备102接收健康信息参数反馈。分析平台250可以基于先前使用的深度学习模型和健康信息参数反馈,使用与模型训练期间类似的方法来更新深度学习模型。基于针对异常的管理员响应,可以认为反馈是有效的。可以将更新的深度学习模型提供回计算设备102a和/或其他计算设备102b-102n。
计算设备102a或诸如计算设备102b的另一类似计算设备可以接收更新的深度学习模型。计算设备102可以使用更新的深度学习模型来确定是否存在异常。在该示例中,计算设备102之一从其相应的组件110检索附加健康信息214。根据更新的深度学习模型来处理附加健康信息214。在一个示例中,管理控制器116可以确定第二异常已经发生。响应于该确定,可以采取另一个行动。
可以响应于异常的检测而采取的行动的其他示例包括隔离、软件或固件组件的更新、与其他计算设备的其他管理控制器的通信、预先行动等。
在隔离的一个示例中,管理控制器116可以通过隔离计算设备102来隔离计算设备102(例如通过关闭I/O 234)。在另一示例中,管理控制器116可以与主机应用或操作系统通信,以在隔离或关闭计算设备102之前将工作负荷转移到另一计算设备。
在一个示例中,另一计算设备102n可以采取预先行动。在这个示例中,管理控制器116可以向其他计算设备(例如计算设备102n)的其他管理控制器提供(例如,通过通知)有关该异常的信息。计算设备102n的管理控制器可以接收关于异常的通知。管理控制器可以在计算设备102n上执行另一个行动,以预先避免异常。
在一个示例中,另一个行动(或第一计算设备的行动)可以包括不允许与异常相关联的特定用户发送信息。在另一个示例中,该行动可以包括关闭网络端口。在进一步的行动中,管理控制器116可以请求在主机处理元件130上执行的代理执行补救行动。例如,可以向代理提供恶意或异常进程的特征,代理可以终止该进程和类似的进程。可以采取其他类似的行动来阻止具有类似特征的进程运行。进一步的行动可以包括停止实体访问/使用存储器或网络端口的权利。
在更新软件或固件组件的一个示例中,管理控制器116可以检测异常。异常可以分类为与固件或软件组件相关。异常可以是计算设备102与组中的其他计算设备相比具有不同的固件或软件版本。在一个示例中,可以设置组件用于更新。更新可以作为下一次计划维护时间的一部分进行,也可以动态进行。例如,这取决于更新组件的要求。在一些示例中,计算设备102a-102n中的每一个可以是与计算设备102a相同的模型。在其他示例中,可以使用不同的模型,但架构相同。在其他示例中,该组计算设备102可以具有异构组成。深度学习模型的特征对于这些分组中的每一个可以是不同的。
此外,在某些示例中,可以将健康信息214的一些或全部提供给分析平台250以更新深度学习模型。这可以周期性地执行,例如,在一个时间段内(例如,在每天的低工作流程部分)收集健康信息214。分析平台250可以理所当然地处理健康信息214,并将更新的深度学习模型112发送到计算设备以供使用。
在一个示例用例中,一名员工带着一个看似没问题的通用串行总线(USB)闪存驱动器。一旦插入计算设备,恶意软件就会自动安装并开始传播到生产网络上的其他系统。员工计算设备上的恶意软件能够侵入操作系统软件,修改行为度量,计算设备报告没有异常发生。
然后,恶意软件找到其到配备有运行该特征的管理控制器116的服务器的路径,其中常规监控已经建立了健康的行为模型。例如,网络接口卡可以获取健康信息,并对发送/接收利用率、字节、数据包、错误和队列状态执行度量,以得出有形的行为度量。
虽然在主机处理元件130上执行的操作系统(OS)可能通过软件操作而被欺骗,但是硬件设备不能被修改。管理控制器116能够将网络、处理器、存储装置、存储器和电源活动的大规模转移表征为异常行为。例如,恶意软件导致系统处理器达到100%利用率,电源报告电流消耗急剧增加。将这些指标与已建立的行为模型进行比较,确定攻击正在进行,并触发已配置的响应机制。
可将策略用于分类和实施响应。配置策略的示例可以包括从管理控制器116发送给管理员的详细说明该问题的优先级消息。在另一示例中,管理控制器116将受感染的计算设备102与网络上的其他系统隔离。在另一个示例中,受感染系统的管理控制器116向邻近的管理控制器116系统广播威胁已被确认的消息,并为即将到来的威胁做准备。
如果恶意软件攻击旨在轰击主机网络带宽,则管理控制器116可以被配置为通过其专用网络端口发送和接收消息。该接口与生产网络的子系统分离,并且在主机处理元件130上执行的操作系统或其他软件受到危害时不会被感染。这允许管理控制器116为网络管理员修复系统提供不受危害的接口。
在一些示例中,管理控制器可以包括BMC。管理控制器116可以用于为计算设备102实现服务。管理控制器116可以使用与用于执行高级操作系统的主机处理元件130分离的处理器来实现。管理控制器116可以为计算设备提供所谓的“无人值守”功能。无人值守功能可以允许用户诸如系统管理员在计算设备102上执行管理操作,即使操作系统没有安装在计算设备上或者在计算设备上不起作用。此外,在一个示例中,管理控制器116可以在辅助电源上运行,因此计算设备102不需要被通电到开启状态,在该开启状态下,计算设备102的控制在引导之后被移交给操作系统。作为示例,管理控制器116可以提供所谓的“带外”服务,例如远程控制台访问、远程重启和电源管理功能、监控系统健康、访问系统日志等。如这里所使用的,管理控制器116具有对计算设备102的子系统的管理能力,并且与执行计算设备(例如,一个服务器或一组服务器)的主操作系统的处理器或主机处理元件130分离。
如上所述,在一些情况下,管理控制器116可以实现计算设备102的无人值守管理,这提供了远程管理访问(例如,系统控制台访问),而不管计算设备102是否通电、主网络子系统硬件是否正在运行、或者OS是否正在运行或甚至是否安装。管理控制器116可以包括诸如网络接口和/或串行接口的接口,管理员可以使用该接口来与管理控制器116远程通信。如此处所使用的,“带外”服务是由管理控制器116经由专用管理信道(例如,网络接口或串行接口)提供的服务并且无论计算设备102是否处于通电状态都可用。
在一些示例中,管理控制器116可以被包括作为外壳的一部分。在其他示例中,管理控制器116可以被包括在一个或多个服务器中(例如,作为服务器的管理子系统的一部分)或通过接口(例如,外围接口)连接。在一些示例中,与管理控制器116相关联的传感器可以测量内部物理变量,例如湿度、温度、电源电压、通信参数、风扇速度、操作系统功能等。管理控制器116还能够重启设备或对设备进行电力循环。如上所述,管理控制器116允许设备的远程管理,因此,可以使用管理控制器116向中央站发出通知,并且可以通过管理控制器116实现密码或其他用户输入。
在一些示例中,一个或多个组件110可以与固件相关联。固件引擎可以使用可由处理器和/或逻辑执行的指令来实现。在一些示例中,固件可以与作为相应组件110的一部分的一个或多个控制器相关联。
在一些示例中,固件引擎可以实现为平台固件。平台固件可以包括诸如基本输入/输出系统(BIOS)或统一可扩展固件接口(UEFI)之类的接口,以允许其被连接。平台固件可以位于计算设备102的主机处理元件130(例如,中央处理器)启动的地址空间。在一些示例中,平台固件可以负责计算设备102的通电自检。在其他示例中,平台固件可以负责引导过程以及在计算设备102上加载什么操作系统(如果有的话)。此外,平台固件可能能够初始化计算设备102的各种组件,例如外围设备、存储器设备232、存储器控制器设置、存储控制器设置、总线速度、视频卡信息等。在一些示例中,平台固件还能够在计算设备102执行时执行各种低级功能。此外,在一些示例中,平台固件能够例如经由高级配置和电源接口(ACPI)与在CPU上执行的更高级别的操作系统通信。
主机处理元件130,例如一个或多个中央处理单元(CPU)或适于检索和执行指令的微处理器和/或电子电路,可以被配置为执行本文描述的任何主机进程的功能。在某些场景下,指令和/或其他信息,例如健康信息,可以包括在存储器232或其他存储器中。输入/输出接口234可以另外由计算设备102提供。例如,输入设备(如键盘、传感器、触摸接口、鼠标、麦克风等)可以用于从计算设备102周围的环境接收输入。此外,输出设备诸如显示器可以用于向用户呈现信息。输出设备的示例包括扬声器、显示设备、放大器等。此外,在某些示例中,一些组件可以被用来实现本文描述的其他组件的功能。输入/输出设备诸如网络通信设备或无线设备之类的通信设备也可以被认为是能够使用输入/输出接口234的设备。
通信网络可以用于分析平台250和计算设备102之间的通信。例如,管理网络可以用于管理控制器和分析平台250之间的通信。在其他示例中,通信网络可以用于将计算设备的一个或多个I/O连接到其他设备(例如,经由互联网或其他网络)。
通信网络可以使用有线通信、无线通信或其组合。此外,通信网络可以包括多个子通信网络,例如数据网络、无线网络、电话网络等。这种网络可以包括例如公共数据网络,例如互联网、局域网(LAN)、广域网(WAN)、城域网(MAN)、电缆网络、光纤网络、它们的组合等。在某些示例中,无线网络可以包括蜂窝网络、卫星通信、无线LAN等。此外,通信网络可以是设备之间的直接网络链接的形式。可以利用各种通信结构和基础设施来实现通信网络。
设备可以通过通信协议或多种协议相互通信并与接入通信网络的其他组件通信。协议可以是定义通信网络节点如何与其他节点交互的一组规则。此外,网络节点之间的通信可以通过交换离散的数据包或发送消息来实现。分组可以包括与协议相关联的报头信息(例如,关于要联系的网络节点的位置的信息)以及有效载荷信息。
图3是根据一个示例的使用管理控制器和深度学习模型来确定计算设备处是否已经发生异常的方法的流程图。图4是根据一个示例的能够确定计算设备上是否已经发生异常的管理控制器的框图。尽管方法300显示为使用管理控制器400来实现,但是也可以使用其他控制器诸如管理控制器116。
处理元件410可以是一个或多个中央处理单元(CPU)、一个或多个基于半导体的微处理器、一个或多个图形处理单元(GPU)、适于检索和执行存储在机器可读存储介质420中的指令的其他硬件设备或其组合。处理元件410可以是物理设备。此外,在一个示例中,处理元件410可以包括芯片上的多个核,包括跨多个芯片的多个核,或者其组合。处理元件410可以获取、解码和执行指令422、424、426,以实现本文描述的过程。作为检索和执行指令的替代或补充,处理元件410可以包括至少一个集成电路(IC)、其他控制逻辑、其他电子电路或其组合,其包括用于执行指令422、424、426的功能的多个电子组件。
机器可读存储介质420可以是包含或存储可执行指令的任何电子、磁、光或其他物理存储设备。因此,机器可读存储介质可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器、光盘只读存储器(CD-ROM)等。这样,机器可读存储介质可以是非暂时性的。如本文中详细描述的,机器可读存储介质420可以用一系列可执行指令编码,用于处理健康信息以确定是否已经发生异常。
如上进一步所述,管理控制器400可以是计算设备的一部分。计算设备可以是系统中的多个计算设备之一。管理控制器400可以与计算设备的主机处理元件分离。此外,管理控制器400可以访问根据特定工作负荷训练的深度学习模型,以基于健康信息确定是否存在异常行为。深度学习模型可以针对特定的工作负荷进行预先训练,并且可以作为一个持续的过程进行更新。
在302,处理元件410可以执行健康指令422,以从计算设备的组件接收健康信息。管理控制器400可以使用一条或多条总线来与计算设备的组件通信,以接收健康信息。健康信息的示例可以包括与例如一个或多个中央处理单元、存储器等芯片相关联的温度、日志信息、会话计数器、网络分组计数器、功耗、错误信息、安装在计算设备上的固件或软件的记录、处理工作负荷信息、外围设备配置信息、外围设备传感器信息等。在一些示例中,健康信息可以存储在管理控制器400可访问的存储器中。
在一个示例中,安装在主机处理元件上执行的操作系统上的软件可以例如使用驱动器和总线经由接口与管理控制器400通信。此外,在一些示例中,可以向管理控制器400提供关于在主机处理元件上执行的软件、存在于一个或多个总线上的组件(例如,PCIe总线、网络接口控制器、非易失性存储器主控制器等)的信息。在一些示例中,信息可以经由用于管理的总线来传送,例如,诸如I2C的串行通信、系统管理总线、控制器局域网(CAN)总线等。在其他示例中,可以通过管理网络以配置的形式从主机或管理平台接收输入。
在304,处理元件410可以执行分析指令424来处理健康信息304。该处理可以根据所使用的深度学习模型的类型,例如,使用LSTM模型、GRU模型、深度神经网络模型、卷积神经网络模型、循环神经网络模型等。在306,分析指令424可以由处理元件410执行,以确定是否已经发生异常。这也可以基于所使用的深度学习模型。如果发生异常,处理元件410可以执行行动指令426,以响应于所确定的异常来执行行动。
图5是根据一个示例的用于响应于确定计算设备上存在异常而采取行动的方法的流程图。尽管方法500示为使用管理控制器400来实现,但是也可以使用诸如管理控制器116的其他控制器。
在502,管理控制器400确定存在异常。如上所述,该确定可以基于如上所述的健康信息的处理。
在504,管理控制器400可以对异常进行分类。如上所述,在一些示例中,在模型生成期间,模型可以包括基于与异常相关联的参数的类型的分类。此外,在一些示例中,可以监督一些训练,例如,具有异常行为的特定工作负荷可以用作用于训练的工作负荷的一部分,并且可以与异常行为相关联。在一个示例中,训练模型可以包括指示已知异常或异常类型正在工作负荷的时间框架内发生的信息。
在一些示例中,在506,管理控制器400可以响应于基于相关分类的异常已经发生的确定而采取行动。处理元件410可以执行行动指令426来执行该行动。在一个示例中,分类与发送警报的行动相关联。在这个示例中,警报被发送到管理或分析平台,例如分析平台250或700。该警报可以指示存在异常以及与该异常相关联的特定标准。
此外,在一些示例中,该行动可以包括对管理员反馈的请求。例如,可以要求管理员确认异常是否是一个问题。在一个示例中,管理员可以指示该异常不是问题,而是与工作负荷变化一致。这种情况的一个示例是当维护事件发生时,例如固件包的更新、软件的更新、新硬件的添加等。这种情况的另一个示例是正在发生额外活动时,例如,黑色星期五或零售服务器工作负荷上的销售事件或增加流式服务器工作负荷或零售工作负荷的在家事件。
在其他示例中,该行动可以包括向相关管理网络上的其他管理控制器警告异常或基于异常的诊断。在进一步的示例中,检测到异常的管理控制器或相关联的管理控制器可以在其计算设备上执行行动,例如隔离网络流量、隔离、更新软件或固件组件、与其他计算设备的其他管理控制器通信、预先行动等。
此外,在一些示例中,可以执行分析指令424来处理健康信息,以生成可以发送到分析平台的健康信息参数反馈的一部分。
此外,管理控制器400可以从分析平台接收更新的深度学习模型。如上所述,这可以基于从多个计算设备接收的健康信息参数反馈来更新。其他计算设备可以基于来自管理控制器的健康信息对更新的模型起作用(例如,通过使用关于新健康信息的更新模型来检测另一个异常)。
图6是根据一个示例的用于响应于确定计算设备上存在异常而采取管理员行动的方法的流程图。图7是根据一个示例的能够更新和/或管理深度学习模型以识别异常的分析平台的框图。尽管方法600被示为使用分析平台700来实现,但是也可以使用诸如分析平台250的其他设备。
处理元件710可以是一个或多个中央处理单元(CPU)、一个或多个基于半导体的微处理器、一个或多个图形处理单元(GPU)、适于检索和执行存储在机器可读存储介质720中的指令的其他硬件设备或其组合。处理元件710可以是物理设备。此外,在一个示例中,处理元件710可以包括芯片上的多个核,包括跨多个芯片的多个核,跨多个设备的多个核,或其组合。处理元件710可以提取、解码和执行指令722、724来实现方法600。作为检索和执行指令的替代或补充,处理元件710可以包括至少一个集成电路、其他控制逻辑、其他电子电路或其组合,其包括用于执行指令722、724的功能的多个电子组件。
机器可读存储介质720可以是包含或存储可执行指令的任何电子、磁、光或其他物理存储设备。因此,机器可读存储介质可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器、光盘只读存储器(CD-ROM)等。这样,机器可读存储介质可以是非暂时性的。如本文详细描述的,机器可读存储介质720可以用一系列用于执行行动的可执行指令来编码。
在一些示例中,分析平台700可以被实现为在物理处理元件上执行的软件。在一个示例中,分析平台700可以实现为使用在计算设备上执行的虚拟机来执行的软件。
在一个示例中,分析平台700从计算设备接收健康信息参数反馈。分析平台700可以基于先前使用的深度学习模型和健康信息参数反馈,使用与模型训练期间类似的方法来更新深度学习模型。
在一个示例中,分析平台从管理控制器接收异常的通知(602)。行动指令724可以由处理元件710执行,以响应于接收到通知而执行行动。在一个示例中,该行动可以包括请求管理员响应。在604,处理元件710可以执行行动指令724以接收来自管理员的响应(604)。如上所述,这种响应的一个示例可以包括管理员预期异常发生并且模型应该被更新。
可以在606执行管理员行动。在一个示例中,管理员行动包括更新模型。分析平台700可以从多个计算设备接收健康信息参数反馈,并以与上述方法一致的方式更新将由执行模型指令722使用的深度学习模型。例如,更新可以响应更新的工作负荷。更新后的深度学习模型可以提供给管理控制器使用。
也可以执行其他管理员行动。例如,通知可以向管理员指示需要更新。管理员可以选择执行更新。在一些示例中,这可以在没有管理员交互的情况下执行。
虽然上面已经示出和描述了某些实施方式,但是可以在形式和细节上进行各种改变。例如,已经关于一个实现和/或过程描述的一些特征可以与其他实现相关。换言之,关于一个实现描述的过程、特征、组件和/或属性在其他实现中可能是有用的。此外,应当理解,本文描述的系统和方法可以包括所描述的不同实现的组件和/或特征的各种组合和/或子组合。因此,参考一个或多个实现描述的特征可以与本文描述的其他实现相结合。
Claims (20)
1.一种计算系统,包括:
多个计算设备;
所述多个计算设备中的一个计算设备包括:
主机处理元件;
与所述主机处理元件分离的管理控制器,其中所述管理控制器由与所述处理元件分离的电源轨供电;
深度学习模型,其包括经训练来识别所述一个计算设备的异常行为的参数,
其中所述管理控制器用于执行指令以:
从所述一个计算设备的多个组件接收健康信息;以及
根据所述深度学习模型处理所述健康信息,以确定是否已经发生异常。
2.根据权利要求1所述的计算系统,其中所述深度学习模型基于针对与所述多个计算设备相关联的特定工作负荷的预先训练的深度学习模型。
3.根据权利要求1所述的计算系统,进一步包括:
分析平台,其包括存储在计算机可读介质上的指令,所述指令当由另一处理元件执行时使得所述另一处理元件:
从多个计算设备接收健康信息参数反馈;
基于所述深度学习模型和所述健康信息参数反馈来更新更新的深度学习模型;以及
向所述一个计算设备提供所述更新的深度学习模型。
4.根据权利要求3所述的计算系统,其中,所述一个计算设备的所述管理控制器进一步用于:
处理所述健康信息以生成所述健康信息参数反馈的一部分;并将所述健康信息参数反馈的所述一部分发送给所述分析平台。
5.根据权利要求4所述的计算系统,进一步包括:
所述多个计算设备中之一的第二个计算设备,包括:
第二主机处理元件;
与所述第二主机处理元件分离的第二管理控制器,其中所述第二管理控制器由与所述第二处理元件分离的电源轨供电;
其中所述第二管理控制器用于执行指令以:
接收所述更新的深度学习模型;
从所述第二个计算设备的多个组件中检索第二健康信息;
根据所述更新的深度学习模型处理所述第二健康信息,以确定已经发生第二异常。
6.根据权利要求1所述的计算系统,其中所述管理控制器进一步用于:
确定所述异常存在;
确定所述异常的分类;以及
响应于基于所述分类的所述异常的确定而采取行动。
7.根据权利要求6所述的计算系统,进一步包括:
分析平台,其包括存储在计算机可读介质上的指令,所述指令当由另一处理元件执行时使得所述另一处理元件:
接收响应于所述行动的管理员响应;以及
使得分析平台基于所述管理员响应更新所述深度学习模型,其中所述深度学习模型的更新包括在所述行动发生之后来自多个计算设备的健康信息参数反馈。
8.根据权利要求6所述的计算系统,其中所述行动包括将所述一个计算设备与所述多个计算设备中的其他计算设备隔离。
9.根据权利要求6所述的计算系统,其中所述行动包括将固件组件更新到由所述多个计算设备中的其他计算设备使用的版本。
10.根据权利要求9所述的计算系统,其中所述多个计算设备中的所述其他计算设备与所述一个计算设备具有相同的模型。
11.根据权利要求6所述的计算系统,其中所述行动包括发送关于包括所述分类的所述异常的通知。
12.根据权利要求11所述的计算系统,进一步包括:
所述多个计算设备中之一的第二个计算设备,包括:
第二主机处理元件;
与所述第二主机处理元件分离的第二管理控制器,其中所述第二管理控制器由与所述第二处理元件分离的电源轨供电;
其中所述第二管理控制器用于执行指令以:
接收关于所述异常的所述通知;
在所述第二个计算设备上执行另一个行动以预先避免所述异常。
13.一种方法,包括:
由管理控制器从多个计算设备中的一个计算设备的多个组件接收健康信息,
其中所述一个计算设备包括:
主机处理元件;
与所述主机处理元件分离的所述管理控制器,其中所述管理控制器由与所述处理元件分离的电源轨供电;和
深度学习模型,其包括经训练来识别所述一个计算设备的异常行为的参数,
由所述管理控制器根据所述深度学习模型处理所述健康信息,以确定是否已经发生异常。
14.根据权利要求13所述的方法,其中所述深度学习模型基于针对与所述多个计算设备相关联的特定工作负荷的预先训练的深度学习模型。
15.根据权利要求13所述的方法,进一步包括:
在分析平台从多个计算设备接收健康信息参数反馈,
由所述分析平台基于所述深度学习模型和所述健康信息参数反馈来更新更新的深度学习模型;以及
向所述一个计算设备提供所述更新的深度学习模型。
16.根据权利要求15所述的方法,进一步包括:
由所述管理控制器处理所述健康信息以生成所述健康信息参数反馈的一部分;并将所述健康信息参数反馈的所述一部分发送给所述分析平台。
17.根据权利要求16所述的方法,进一步包括:
在所述多个计算设备中的第二个计算设备的第二管理控制器处接收所述更新的深度学习模型,其中所述多个计算设备中的所述第二个计算设备包括第二主机处理元件和与所述第二主机处理元件分离的所述第二管理控制器,其中所述第二管理控制器由与所述第二处理元件分离的电源轨供电;
从所述第二个计算设备的多个组件中检索第二健康信息;以及
根据所述更新的深度学习模型处理所述第二健康信息,以确定已经发生第二异常。
18.一种存储指令的非暂时性机器可读存储介质,所述指令如果由设备的管理控制器的物理处理元件执行,则使得所述管理控制器:
从多个计算设备中的一个计算设备的多个组件接收健康信息,其中所述设备是所述多个计算设备中的所述一个计算设备,其中所述一个计算设备包括:
主机处理元件,其中所述管理控制器与所述主机处理元件分离,其中所述管理控制器由与所述处理元件分离的电源轨供电;和
深度学习模型,其包括经训练来识别所述一个计算设备的异常行为的参数,
根据所述深度学习模型处理所述健康信息,以确定是否已经发生异常。
19.根据权利要求18所述的非暂时性机器可读存储介质,进一步包括指令,所述指令如果由所述物理处理元件执行,则使得所述管理控制器:
生成健康信息参数反馈;
将所述健康信息参数反馈发送给分析平台;
基于所述健康信息参数反馈和来自所述多个计算设备中的另一计算设备的另一健康信息参数反馈,从所述分析平台接收更新的深度学习模型;
基于所述更新的深度学习模型和从所述多个组件收集的附加健康信息,确定存在另一异常;
确定其他异常的分类;以及
响应于基于所述分类的所述其他异常的确定而采取行动。
20.根据权利要求18所述的非暂时性机器可读存储介质,其中所述深度学习模型基于针对与所述多个计算设备相关联的特定工作负荷的预先训练的深度学习模型。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/848,373 | 2020-04-14 | ||
| US16/848,373 US11652831B2 (en) | 2020-04-14 | 2020-04-14 | Process health information to determine whether an anomaly occurred |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113536306A true CN113536306A (zh) | 2021-10-22 |
Family
ID=77851724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110398293.3A Pending CN113536306A (zh) | 2020-04-14 | 2021-04-14 | 处理健康信息以确定是否发生异常 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11652831B2 (zh) |
| CN (1) | CN113536306A (zh) |
| DE (1) | DE102021105413A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11797353B2 (en) * | 2020-10-29 | 2023-10-24 | EMC IP Holding Company LLC | Method and system for performing workloads in a data cluster |
| CN117806900B (zh) * | 2023-07-28 | 2024-05-07 | 苏州浪潮智能科技有限公司 | 服务器管理方法、装置、电子设备及存储介质 |
Family Cites Families (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8204717B2 (en) * | 2009-04-01 | 2012-06-19 | Honeywell International Inc. | Cloud computing as a basis for equipment health monitoring service |
| US20120053925A1 (en) * | 2010-08-31 | 2012-03-01 | Steven Geffin | Method and System for Computer Power and Resource Consumption Modeling |
| US9177246B2 (en) * | 2012-06-01 | 2015-11-03 | Qualcomm Technologies Inc. | Intelligent modular robotic apparatus and methods |
| US8832465B2 (en) * | 2012-09-25 | 2014-09-09 | Apple Inc. | Security enclave processor for a system on a chip |
| US10373065B2 (en) * | 2013-03-08 | 2019-08-06 | Oracle International Corporation | Generating database cluster health alerts using machine learning |
| US9319426B2 (en) * | 2013-06-18 | 2016-04-19 | Dell Products, Lp | System and method for operating malicious marker detection software on management controller of protected system |
| US9386034B2 (en) * | 2013-12-17 | 2016-07-05 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
| WO2015174777A1 (ko) * | 2014-05-15 | 2015-11-19 | 삼성전자 주식회사 | 단말 장치, 클라우드 장치, 단말 장치의 구동방법, 데이터 협업처리 방법 및 컴퓨터 판독가능 기록매체 |
| JP6327026B2 (ja) * | 2014-07-10 | 2018-05-23 | 富士通株式会社 | 情報処理装置、情報処理方法およびプログラム |
| US9979606B2 (en) * | 2015-03-04 | 2018-05-22 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
| US10142204B2 (en) * | 2015-07-27 | 2018-11-27 | Datagrid Systems, Inc. | Techniques for evaluating server system reliability, vulnerability and component compatibility using crowdsourced server and vulnerability data |
| US9824243B2 (en) * | 2015-09-11 | 2017-11-21 | Nxp Usa, Inc. | Model-based runtime detection of insecure behavior for system on chip with security requirements |
| US10552727B2 (en) * | 2015-12-15 | 2020-02-04 | Deep Instinct Ltd. | Methods and systems for data traffic analysis |
| EP3187201B2 (en) * | 2015-12-30 | 2022-07-20 | Paul Hartmann AG | Portable medical device |
| JP6518795B2 (ja) * | 2016-01-15 | 2019-05-22 | 株式会社日立製作所 | 計算機システム及びその制御方法 |
| US10275955B2 (en) * | 2016-03-25 | 2019-04-30 | Qualcomm Incorporated | Methods and systems for utilizing information collected from multiple sensors to protect a vehicle from malware and attacks |
| US11328206B2 (en) * | 2016-06-16 | 2022-05-10 | SRI Inlernational | Systems and methods for optimizing operations of computing devices using deep neural networks |
| GB2556636A (en) * | 2016-11-21 | 2018-06-06 | The Sec Dep For Foreign And Commonwealth Affairs | Method and device for filtering packets |
| US20180198812A1 (en) * | 2017-01-11 | 2018-07-12 | Qualcomm Incorporated | Context-Based Detection of Anomalous Behavior in Network Traffic Patterns |
| US10762563B2 (en) * | 2017-03-10 | 2020-09-01 | Cerebri AI Inc. | Monitoring and controlling continuous stochastic processes based on events in time series data |
| US10686833B2 (en) * | 2017-03-31 | 2020-06-16 | Samsung Electronics Co., Ltd. | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-of-based computer storage array |
| US10587635B2 (en) * | 2017-03-31 | 2020-03-10 | The Boeing Company | On-board networked anomaly detection (ONAD) modules |
| US10579459B2 (en) * | 2017-04-21 | 2020-03-03 | Hewlett Packard Enterprise Development Lp | Log events for root cause error diagnosis |
| US10956575B2 (en) | 2017-11-20 | 2021-03-23 | Hewlett Packard Enterprise Development Lp | Determine malware using firmware |
| US10853160B2 (en) * | 2018-05-04 | 2020-12-01 | Vmware, Inc. | Methods and systems to manage alerts in a distributed computing system |
| FR3081578B1 (fr) * | 2018-05-25 | 2022-08-12 | Hoomano | Dispositif et methode de mesure d’une caracteristique d’une interaction entre un utilisateur et un dispositif d’interaction |
| US10944776B2 (en) * | 2018-07-13 | 2021-03-09 | Ribbon Communications Operating Company, Inc. | Key performance indicator anomaly detection in telephony networks |
| US11816436B2 (en) * | 2018-07-24 | 2023-11-14 | MachEye, Inc. | Automated summarization of extracted insight data |
| US11184373B2 (en) * | 2018-08-09 | 2021-11-23 | Mcafee, Llc | Cryptojacking detection |
| CN109445688B (zh) * | 2018-09-29 | 2022-04-15 | 上海百功半导体有限公司 | 一种存储控制方法、存储控制器、存储设备及存储系统 |
| US11423327B2 (en) * | 2018-10-10 | 2022-08-23 | Oracle International Corporation | Out of band server utilization estimation and server workload characterization for datacenter resource optimization and forecasting |
| US11443166B2 (en) * | 2018-10-29 | 2022-09-13 | Oracle International Corporation | Datacenter level utilization prediction without operating system involvement |
| US11544585B2 (en) * | 2018-11-13 | 2023-01-03 | Disney Enterprises, Inc. | Analyzing viewer behavior in real time |
| US20200366690A1 (en) * | 2019-05-16 | 2020-11-19 | Nec Laboratories America, Inc. | Adaptive neural networks for node classification in dynamic networks |
| US10691528B1 (en) * | 2019-07-23 | 2020-06-23 | Core Scientific, Inc. | Automatic repair of computing devices in a data center |
| US11586194B2 (en) * | 2019-08-12 | 2023-02-21 | Micron Technology, Inc. | Storage and access of neural network models of automotive predictive maintenance |
| US11748626B2 (en) * | 2019-08-12 | 2023-09-05 | Micron Technology, Inc. | Storage devices with neural network accelerators for automotive predictive maintenance |
| US11436076B2 (en) * | 2019-09-05 | 2022-09-06 | Micron Technology, Inc. | Predictive management of failing portions in a data storage device |
| US20210073066A1 (en) * | 2019-09-05 | 2021-03-11 | Micron Technology, Inc. | Temperature based Optimization of Data Storage Operations |
| US11902318B2 (en) * | 2019-10-10 | 2024-02-13 | Alliance For Sustainable Energy, Llc | Network visualization, intrusion detection, and network healing |
| US11250648B2 (en) * | 2019-12-18 | 2022-02-15 | Micron Technology, Inc. | Predictive maintenance of automotive transmission |
| US11709625B2 (en) * | 2020-02-14 | 2023-07-25 | Micron Technology, Inc. | Optimization of power usage of data storage devices |
| US11501239B2 (en) * | 2020-03-18 | 2022-11-15 | International Business Machines Corporation | Metric specific machine learning model improvement through metric specific outlier removal |
-
2020
- 2020-04-14 US US16/848,373 patent/US11652831B2/en active Active
-
2021
- 2021-03-05 DE DE102021105413.3A patent/DE102021105413A1/de active Pending
- 2021-04-14 CN CN202110398293.3A patent/CN113536306A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US11652831B2 (en) | 2023-05-16 |
| DE102021105413A1 (de) | 2021-10-14 |
| US20210320936A1 (en) | 2021-10-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
| US20240054234A1 (en) | Methods and systems for hardware and firmware security monitoring | |
| Kulah et al. | SpyDetector: An approach for detecting side-channel attacks at runtime | |
| US11531766B2 (en) | Systems and methods for attributing security vulnerabilities to a configuration of a client device | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US9176759B1 (en) | Monitoring and automatically managing applications | |
| US20180276383A1 (en) | Automatic detection of software that performs unauthorized privilege escalation | |
| US10997289B2 (en) | Identifying malicious executing code of an enclave | |
| WO2013184099A1 (en) | Cross-user correlation for detecting server-side multi-target intrusion | |
| US20190042739A1 (en) | Technologies for cache side channel attack detection and mitigation | |
| CN106716953A (zh) | 控制系统中的网络安全风险的动态量化 | |
| Uemura et al. | Availability analysis of an intrusion tolerant distributed server system with preventive maintenance | |
| CN113536306A (zh) | 处理健康信息以确定是否发生异常 | |
| US11989298B2 (en) | Methods and apparatus to validate and restore machine configurations | |
| US11997124B2 (en) | Out-of-band management security analysis and monitoring | |
| US20200106794A1 (en) | Iot and pos anti-malware strategy | |
| Medwed et al. | Cyber resilience for self-monitoring IoT devices | |
| US20210382988A1 (en) | Robust monitoring of computer systems and/or control systems | |
| US11822651B2 (en) | Adversarial resilient malware detector randomization method and devices | |
| US11709723B2 (en) | Cloud service framework | |
| US20220391507A1 (en) | Malware identification | |
| WO2021217239A1 (en) | Endpoint security using an action prediction model | |
| US11645075B1 (en) | Program flow classification | |
| KR102230438B1 (ko) | 대시보드를 활용한 취약 자산 실시간 점검 시스템 및 방법 | |
| US20210266240A1 (en) | Embedded intrusion detection system on a chipset or device for use in connected hardware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |