CN113934587A - 通过人工神经网络预测分布式网络的健康状态的方法 - Google Patents

通过人工神经网络预测分布式网络的健康状态的方法 Download PDF

Info

Publication number
CN113934587A
CN113934587A CN202110727283.XA CN202110727283A CN113934587A CN 113934587 A CN113934587 A CN 113934587A CN 202110727283 A CN202110727283 A CN 202110727283A CN 113934587 A CN113934587 A CN 113934587A
Authority
CN
China
Prior art keywords
asset
actual
identified
health
assets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110727283.XA
Other languages
English (en)
Inventor
安德莉亚·卡尔卡诺
莫雷诺·卡露萝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Norzomi Networks Ltd
Original Assignee
Norzomi Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Norzomi Networks Ltd filed Critical Norzomi Networks Ltd
Publication of CN113934587A publication Critical patent/CN113934587A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3447Performance evaluation by modeling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Mathematical Physics (AREA)
  • Business, Economics & Management (AREA)
  • Biophysics (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Security & Cryptography (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Tourism & Hospitality (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • General Business, Economics & Management (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Educational Administration (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种用于通过人工神经网络来预测分布式网络的健康状态的方法,该方法包括识别分布式网络中的一个或多个站点、站点的一个或多个资产以及识别的资产之间的链路的阶段,包括评估每个识别的资产的实际健康状态的阶段,评估每个识别的站点的实际健康状态的阶段以及由人工神经网络根据基于包括实际资产健康状况等级、实际资产感染风险、实际资产感染因素、实际站点健康状况等级和实际站点感染风险的一组值的预测函数,预测每个识别的站点的后续健康状况的阶段。

Description

通过人工神经网络预测分布式网络的健康状态的方法
技术领域
本发明涉及分布式网络管理中的安全方法和安全系统的领域,具体涉及分布式网络。特别地,本发明涉及一种通过使用人工神经网络来预测分布式网络的健康状态的方法。
背景技术
站点代表一定数量的网络可达资产所在的物理位置。
资产是物理(或虚拟的,例如虚拟机)网络支持的设备,其物理地连接在站点的网络内。资产可以是计算机,平板,打印机,或能够在TCP/IP等网络中通信的任何其它类型的设备。
此外,资产可以与其他资产通信或具有与其他资产通信的可能性。在这种情况下,它们具有公共链路,该公共链路模拟了一个资产可以通过网络以某种协议与另一个资产进行通信的事实。计算机网络可以在资产之间具有几个部件,并且存在不同的设备类型(路由器,防火墙,应用防火墙等),它们可以禁止两个资产之间的所有或一些协议。为此,链路需要具有“从”和“到”资产以及协议。
由于联网软件的特性,一个或多个漏洞可能影响一个或多个资产,并且同样,通常遭受破坏其安全性的攻击。
在网络安全世界中,通常以静态方式评估给定资产或系统的安全姿态,通过查看其当前的健康状况,漏洞和安全措施来防止各种类型的中断。
评估系统漏洞的复杂方法是评估整个系统以及每个资产,CVSS类型的计分系统包括三个度量组:基础,时间和环境。基础组表示随时间且跨用户环境恒定的漏洞的固有质量,时间组反映随时间变化的漏洞的特征,而环境组表示对用户环境唯一的漏洞的特征。总之,基础度量产生得分,然后可以通过对时间和环境度量进行评分来修改该得分。
无论如何,在孤立地和静态地分析这些方面可以给出虚假的真实感,并且可以导致不正确的结论。
因此,希望有一种能够预测分布式网络中的站点的健康状态的方法。此外,希望有一种能够通过全面分析系统随时间的演变来更好地预测风险可以如何影响系统的健康状态的方法。最后,希望有一种能够防止与资产漏洞的变化有关的异常健康状态的方法。
同样,希望有一种能够通过全面分析系统随时间的演变来更好地预测风险可以如何影响系统的健康状态的装置。
发明内容
本发明的目的是提供一种通过能够最小化上述缺点的人工神经网络来预测分布式网络的健康状态的方法。
因此,根据本发明描述了一种用于通过人工神经网络来预测分布式网络的健康状态的方法,该方法包括在所述分布式网络中识别对象的阶段,包括以下步骤:
-由可操作地连接到所述分布式网络的计算机化数据处理单元识别所述分布式网络中的一个或多个站点;
-由所述计算机化数据处理单元识别每个识别的站点的一个或多个资产;
-由所述计算机化数据处理单元识别识别的资产之间的链路,其中链路由在所述分布式网络中交换的数据分组定义,所述数据分组具有与发送者资产相关的协议字段、与接收者资产相关的协议字段和允许在所述发送者资产和所述接收者资产之间通信的协议字段,并且其中对于每个所述链路,所述发送者资产和所述接收者资产定义节点,并且所述发送者资产和所述接收者资产之间的连接定义所述节点之间的所述链路,所述链路具有从所述发送者资产到所述接收者资产的方向;
-在可操作地连接到所述数据处理单元的永久类型的存储单元中存储所述分布式网络的所述识别的站点、所述识别的资产和所述识别的链路;
其中用于预测健康状态的所述方法还包括在实际迭代中评估每个所述识别的资产的实际健康状态的阶段,包括以下步骤:
-由所述计算机化数据处理单元根据范围从最差资产健康状态到最佳资产健康状态的一组预定义的资产健康状态值,来评估每个所述识别的资产的实际资产健康状态等级;
-由所述计算机化数据处理单元根据范围从最大资产感染风险到无资产感染风险的一组预定义的资产感染风险值,来评估每个所述识别的资产的实际资产感染风险;
-由所述计算机化数据处理单元操作的所述人工神经网络计算每个所述识别的资产的实际资产感染因素,作为所述资产的感染可以根据所述识别的链路扩散到其他资产的概率;
其中用于预测健康状态的所述方法还包括在所述实际迭代中评估每个所述识别的站点的所述实际健康状态的阶段,包括以下步骤:
-由所述计算机化数据处理单元将每个所述识别的站点的所述实际站点健康状态等级评估为等于所述站点中的所述资产的最小实际资产健康状态值;
-由所述计算机化数据处理单元将每个所述识别的站点的所述实际站点感染风险评估为等于所述站点中的所述资产的最大资产感染风险值;并且
其中,用于预测健康状态的所述方法还包括由所述计算机化数据处理单元操作的所述人工神经网络根据基于包括所述实际资产健康状态等级、所述实际资产感染风险、所述实际资产感染因素、所述实际站点健康状态等级和所述实际站点感染风险的一组预测值的预测函数,在后续迭代中预测每个所述识别的站点的后续健康状态的阶段。
因此,根据本发明的方法允许根据风险和健康状态来评估实际站点的网络,并提供关于它在不久的将来将如何表现的预测。通过使用人工神经网络,可以定义机器学习方法,其中预测基于实际状态下的学习事件。
在预定的学习时间间隔内执行评估每个所述识别的资产的所述实际健康状态的阶段和评估每个所述识别的站点的所述实际健康状态的阶段,
其中,每个所述识别的资产的所述实际资产健康状态等级、每个所述识别的资产的所述实际资产感染风险、每个所述识别的资产的所述实际资产感染因素、每个所述识别的站点的所述实际站点健康状态等级以及每个所述识别的站点的所述实际站点感染风险被存储在所述存储单元中。
预定的学习时间间隔定义了用于计算实际迭代的计划时间,因此可以在所述学习时间间隔内训练人工神经网络。
在预定的学习时间间隔内执行评估每个识别的资产的实际健康状态的阶段和评估每个识别的站点的实际健康状态的阶段,
其中每个所述识别的资产的所述实际资产健康状态等级、每个所述识别的资产的所述实际资产感染风险、每个所述识别的资产的所述实际资产感染因素、每个所述识别的站点的所述实际站点健康状态等级以及每个所述识别的站点的所述实际站点感染风险包括在所述预定学习时间间隔中的预定学习时刻定义的多个值。
以这种方式,在预定时刻评估对资产或站点的改变。
在预定的学习时间间隔内执行评估每个所述识别的资产的所述实际健康状态的阶段和评估每个所述识别的站点的所述实际健康状态的阶段,以及
其中每个所述识别的资产的所述实际资产健康状态等级、每个所述识别的资产的所述实际资产感染风险、每个所述识别的资产的所述实际资产感染因素、每个所述识别的站点的所述实际站点健康状态等级以及每个所述识别的站点的所述实际站点感染风险包括在所述预定学习时间间隔期间在改变时定义的多个值。
以这种方式,在资产或站点的改变发生时评估资产或站点的改变。
在预定的预测时间间隔内执行预测每个识别的站点的后续健康状态的阶段。
预定的预测时间间隔定义了用于计算下一次迭代的计划时间,因此,人工神经网络可以预测所述预测时间间隔内的健康状态。
在预定的学习时间间隔内执行评估每个所述识别的资产的所述实际健康状态的阶段和评估每个所述识别的站点的所述实际健康状态的阶段,
其中在预定的预测时间间隔内执行预测每个所述识别的站点的所述后续健康状态的阶段,
其中所述预测时间间隔等于学习时间间隔。
因此,预测范围对应于训练范围。
所述人工神经网络是用反向传播训练的前馈类型。
以这种方式,信息只在一个方向上从输入节点向前移动到输出节点。网络中没有循环或环路。将输出值与实际值进行比较以计算某一预定误差函数的值。然后通过网络反馈误差。使用该信息,该算法调整每个连接的权重,以便将误差函数的值减少一些小的量。
人工神经网络是3隐藏层网络,其在隐藏层中至少具有与一组预测值的数量一样多的神经元。
其其中不同的人工神经网络用于每个所述识别的站点。
通过定义这种数量的层和神经元,可以近似每种具有其自身人工神经网络的位置。
一组预测值还包括所述识别的站点中的每个所述识别的资产的老化频率值,
其中,对于每个所述资产,由所述计算机化数据处理单元通过在所述实际迭代中对所述实际资产感染因素应用预定衰减因素来计算用于所述下一迭代的所述老化频率值。
因此,老化频率允许随时间跟踪实体和事件的频率,并且可以被视为人工神经网络的突触。
由所述计算机化数据处理单元操作的所述人工神经网络为每个所述识别的资产计算所述感染因素,作为所述资产的实际资产漏洞因素和所述资产的实际资产扩散因素之间的最大值,所述资产的实际资产漏洞因素是漏洞影响所述资产的概率,所述资产的实际资产扩散因素是另一资产根据所述识别的链路攻击所述识别的资产的概率。
具体实施方式
本发明涉及一种利用人工神经网络预测分布式网络的健康状态的方法。
根据本发明的方法可用于物理或虚拟基础设施或自动化系统,特别是工业自动化系统,例如用于制造生产的工业过程,用于发电的工业过程,用于分配流体(水,油和气)的基础设施,用于发电和/或传输电力的基础设施,用于运输管理的基础设施。
在本发明中,术语“站点”是指一定数量的网络可达资产所在的物理位置。
在本发明中,术语“资产”是指物理地连接到站点的网络内的物理或虚拟网络支持的设备。资产可以是计算机,平板,打印机,或能够在TCP/IP等网络中通信的任何其它类型的设备。
在本发明中,术语“链路”是指一种模型,其表示在网络上的两个资源之间利用某种协议的通信。资产可以与其他资产通信或具有与其他资产通信的可能性。如果一个资产可以与另一个资产通信,则它们具有如上所述的公共链路。计算机网络可以在资产之间具有几个部件,并且存在不同的设备类型(路由器,防火墙,应用防火墙等),它们可以禁止两个资产之间的所有或一些协议。为此,链路需要具有“从”和“到”资产,以及协议,因为不能保证,如果asseta可以利用协议连接到assetb,则对于所述assetb到所述asseta可以发生相同的情况。表示链路也是有用的,因为可以创建资产的可达性图,该可达性图又可以用于理解感染如何在网络上传播。
因此,分布式网络可以连接多个站点,这些站点又可以被提供一个或多个资产。后者可以创建通过链路的互连网络,如上所述。
根据本发明的方法允许通过多个阶段并且通过利用由人工神经网络实现的预测功能来识别上述元件,以预测分布式网络的健康状态。特别地,本发明的范围是在两个后续迭代,即实际迭代和后续迭代上预测分布式网络的健康状态。
在本发明中,术语“实际迭代”是指在人工神经网络的学习阶段中仍在运行和使用的迭代。在这点上,术语“学习时间间隔”在本发明中是指根据用于人工神经网络的学习阶段的时间间隔。
在本发明中,术语“后续迭代”是指仍未运行且将在人工神经网络的预测阶段中使用的迭代。在这点上,术语“预测时间间隔”在本发明中是指根据用于人工神经网络的预测阶段的时间间隔。
由于网络软件的特性,一个或多个漏洞可能影响资产。
在本发明中,术语“漏洞”意味着给定硬件或软件产品(或其组合)在给定版本中可能具有的潜在安全问题。可以以几种不同的方式来利用给定的漏洞,并且这些漏洞中的一个漏洞是经由具有一个或多个协议的网络,其中这些协议首先用于感染资产或将感染扩散到更多的资产(第一个和第二个的协议可以是不同的)。重要的是要注意,这种表示考虑到可以以其它方式利用的漏洞的存在(例如,经由USB密钥传递恶意软件),但是在这种情况下,协议集将是空的。
在本发明中,术语“感染”意味着网络内某些恶意软件的出现,特别是影响一个(或多个)资产,这通常是由于某种形式的漏洞。感染的另一个特性是感染因素(I-因素),用概率P表示感染可以扩散到另一个资产,假定它也受到相同的漏洞的影响。
根据本发明的方法允许根据风险和健康状态来评估实际站点的网络,并提供关于它在不久的将来将如何表现的预测。通过使用人工神经网络,可以定义机器学习方法,其中预测是基于实际状态下的学习事件,如本文所述。
根据本发明的用于通过人工神经网络预测分布式网络的健康状态的方法包括三个主要阶段,特别是识别分布式网络中的对象的阶段,在实际迭代中评估每个所识别资产的实际健康状态的后续阶段,在实际迭代中评估每个所识别站点的实际健康状态的后续阶段,以及,最后,在后续迭代中并且通过人工神经网络预测每个识别的站点的后续健康状态的阶段。
该方法优选地通过使用一个或多个计算机化数据处理单元来执行,并且特别地,人工神经网络由一个或多个所述计算机化数据处理单元来操作。
识别分布式网络中的对象的阶段包括:第一步骤,由可操作地连接到分布式网络的计算机化数据处理单元识别分布式网络中的一个或多个站点;以及第二步骤,由计算机化数据处理单元识别每个所识别的站点的一个或多个资产。
因此,分布式网络可以包括一个或多个站点,这些站点又可以包括一个或多个资产。
识别分布式网络中的对象的阶段还包括由计算机化数据处理单元识别所识别的资产之间的链路的步骤,其中链路由在分布式网络中交换的数据分组定义,该数据分组具有与发送者资产相关的协议字段、与接收者资产相关的协议字段和允许在发送者资产和接收者资产之间通信的协议字段,并且其中对于每个链路,发送者资产和接收者资产定义了节点,并且发送者资产和接收者资产之间的连接定义了节点之间的链路,带有从发送者资产到接收者资产的方向。
最后,执行进一步的步骤,即在可操作地连接到数据处理单元的永久类型的存储单元中存储分布式网络的识别的站点,识别的资产和识别的链路。
因此,在分布式网络中识别对象的上述阶段允许考虑对象之间的所有连接来定义要预测的分布式网络的整个结构。特别地,这些是主要的实体和数据结构。在计算机网络中,这些实体根据几种事件随时间而演变,从而改变一个或多个所涉及的实体的状态。
一个站点的网络安全公告包括两个不同的值,这两个值是它的健康状态等级和它的感染风险。如针对站点所述的,资产本身还具有网络安全公告,其包括表示相同概念但集中于特定资产的健康状态等级和感染风险。在下文中,根据上述值,描述了影响网络安全姿势的演变的主要事件。
在本发明中,术语“健康状态等级”是指关于对象(即站点或资产)的健康状态的编码值。优选地,健康状态等级是在预定范围内选择的数,其允许表示从最差值到最佳值的健康的编码值。特别地,在本发明中,健康状态等级是在数字0和数字10之间的十进制数,其中数字0表示非常差(最差)的健康状态,而数字10表示良好(最好)的健康状态。差的健康状态意味着某种感染(通常是恶意软件)在一个或多个资产上的站点中是活跃的,或者由于网络安全问题而发生某种其他形式的功能退化。
因此,针对资产评估的健康状态等级被表示为资产健康状态等级,而针对站点的健康状态等级被表示为站点健康状态等级。此外,如上所述,考虑到迭代的类型,可以在实际迭代中将资产的健康状态等级评估为实际资产健康状态等级或资产的实际健康资产,并且在后续迭代中将资产的健康状态等级评估为后续资产健康状态等级或资产的后续健康资产。针对考虑实际迭代的站点,加以必要的修改,作为实际站点健康状态等级或站点的实际健康资产,以及在后续迭代中,作为后续的站点健康状态等级或站点的后续健康资产。
在本发明中,术语“感染风险”是指关于对象(即,站点或资产)被感染的风险的编码值。优选地,感染风险是在预定范围内选择的数字,其允许从最大值到最小值表达感染风险的编码值。特别地,在本发明中,感染风险是在数字0和数字10之间的十进制数,其中数字0表示没有被感染的风险(最佳),而数字10表示接近被感染的确定性(最差)。
在评估上述值的程度上,根据本发明的方法包括在实际迭代中评估每个所识别资产的实际健康状态的阶段。特别地,这种阶段包括由计算机化数据处理单元根据范围从最差资产健康状态到最佳资产健康状态的一组预定资产健康状态值来评估每个所识别资产的实际资产健康状态等级的步骤。执行由计算机化数据处理单元根据范围从最大资产感染风险到无资产感染风险的一组预定义的资产感染风险值来评估每个所识别资产的实际资产感染风险的另一步骤。最后,执行由计算机化数据处理单元操作的人工神经网络计算每个所识别资产的实际资产感染因素、作为资产感染可以根据被识别的链路传播到其它资产的概率的步骤。
考虑到为站点的每个资产评估或计算的值,根据本发明的方法包括在实际迭代中评估每个所识别站点的实际健康状态的阶段。特别地,这种阶段包括第一步骤,由计算机化数据处理单元将每个所识别站点的实际站点健康状态等级评估为等于站点中的资产的最小实际资产健康状态值,以及第二步骤,由计算机化数据处理单元将每个所识别站点的实际站点感染风险评估为等于站点中的资产的最大资产感染风险值。
高感染风险会在短时间内导致健康状态等级增加,而感染风险低的站点可能具有良好的健康状态等级。
基于上述范围,当感染影响资产时,对应的健康状态等级因感染的健康影响值(数字0和数字10之间的十进制数)而减小,其中数字10表示对资产健康状态等级的最大破坏。通过考虑它们的最大健康影响,健康影响源于用于感染的漏洞。
在本发明中,术语“漏洞”意味着对象不能承受不利环境的影响。漏洞的特征在于需要存在于资产上以便可获得风险因素的条件(例如,软件版本)的集合。
上述阶段,即评估每个识别的资产的实际健康状态的阶段和评估每个识别的站点的实际健康状态的阶段,允许人工神经网络设计的训练(或学习阶段)执行该方法,如下面更详细描述的。人工神经网络(ANN)是受生物神经网络启发的计算系统。这样的系统通过考虑实例来学习执行任务,通常不用任务特定的规则来编程。ANN基于称为人工神经元(或简称为神经元)的连接单元或节点的集合,其松散地模拟生物脑中的神经元。与生物脑中的突触一样,每个连接可以向其它神经元传输信号。接收信号的人工神经元然后对其进行处理,并可以向与其连接的神经元发出信号。通常,神经元聚集成层。不同的层可以对它们的输入执行不同的变换。信号从第一层(输入层)传播到最后一层(输出层),可能在穿过这些层多次之后。
在实施例中,本发明的人工神经网络是用反向传播训练的前馈类型。
前馈神经网络是一种人工神经网络,其中节点之间的连接不形成循环,其中信息仅在一个方向上移动,从输入节点向前,通过隐藏节点(如果有的话)并移动到输出节点。网络中没有循环或环路。将输出值与实际值进行比较以计算某一预定误差函数的值。然后通过网络反馈误差。使用该信息,该算法调整每个连接的权重,以便将误差函数的值减少一些小的量。
在实施例中,人工神经网络是3隐藏层网络,其在隐藏层中具有至少与一组预测值的数量一样多的神经元。特别地,要评估的站点的数量定义了要使用的人工神经网络的数量,其中不同的人工神经网络被用于每个所识别的站点。
通过定义这种数量的层和神经元,可以近似每种具有其自身人工神经网络的站点。
在利用反向传播的ANN多层中,将输出值与正确的答案进行比较,以计算某一预定误差函数的值。通过各种技术,误差然后通过网络被反馈。使用该信息,该算法调整每个连接的权重,以便将误差函数的值减少一些小的量。在将该过程重复足够大量的训练周期之后,网络通常将收敛到计算误差较小的某种状态,从而ANN已经学习了某种目标函数。
在一个实施例中,在预定的学习时间间隔内执行评估每个识别的资产的实际健康状态的阶段和评估每个识别的站点的实际健康状态的阶段,其中每个识别的资产的实际资产健康状态等级、每个识别的资产的实际资产感染风险、每个识别的资产的实际资产感染因素、每个识别的站点的实际站点健康状态等级和每个识别的站点的实际站点感染风险被存储在存储单元中。
预定的学习时间间隔定义了用于计算实际迭代的计划时间,因此可以在所述学习时间间隔内训练人工神经网络。
特别地,在预定的学习时间间隔内评估每个识别的资产的实际健康状态的阶段和评估每个识别的站点的实际健康状态的阶段,其中每个识别的资产的实际资产健康状态等级、每个识别的资产的实际资产感染风险、每个识别的资产的实际资产感染因素、每个识别的站点的实际站点健康状态等级和每个识别的站点的实际站点感染风险包括在预定的学习时间间隔中的预定学习时刻定义的多个值。
以这种方式,在预定时刻评估对资产或站点的改变。
作为上述特征的替代或与上述特征相结合,在预定的学习时间间隔内执行评估每个识别的资产的实际健康状态的阶段和评估每个识别的站点的实际健康状态的阶段,其中每个识别的资产的实际资产健康状态等级,每个识别的资产的实际资产感染风险,每个识别的资产的实际资产感染因素,每个识别的站点的实际站点健康状态等级和每个识别的站点的实际站点感染风险包括在预定学习时间间隔期间在改变时定义的多个值。
以这种方式,在资产或站点的改变发生时评估资产或站点的改变。
在一个实施例中,该组预测值还包括在所识别的站点中的每个所识别的资产的老化频率值,其中,由计算机化数据处理单元通过在实际迭代中对实际资产感染因素应用预定的衰减因素来为每个资产计算用于下一迭代的老化频率值。
因此,老化频率允许随时间跟踪实体和事件的频率,并且可以被视为人工神经网络的突触
老化频率允许随时间跟踪实体和事件的频率,可以被视为人工神经网络的突触。实际上,该数据结构是允许理解系统的当前和将来行为的学习和预测算法的基础。老化频率可用于跟踪单个对象的频率,或用于计算相关矩阵。在这两种情况下,主要思想是该数据结构表示给定事件的知识,该给定事件的重要性随着时间而降低。例如,当跟踪一个资产感染另一资产的概率时,我们可以将其表示为矩阵AgingFrequencyProbabilityofContagion(Asseti,Assetj),其值可以用一定数量(比方说,0.5)初始化。当迭代到老化频率的下一个周期时,用衰减因素来更新矩阵的每个值,该衰减因素通过衰减因素的值来降低所有概率。在衰减因素为0.01的情况下,在每次迭代时,调整AgingFrequencyProbabilityofContagion(Asseti,Assetj),因此在前一迭代为0.5的情况下,新值将为0.49。不同的老化频率结构(跟踪不同的对象)可以使用不同的衰减因素。
在学习阶段之后,用于预测健康状态的方法还包括以下阶段:在后续迭代中,通过由计算机化数据处理单元操作的人工神经网络,根据基于包括实际资产健康状态等级、实际资产感染风险、实际资产感染因素、实际站点健康状态等级和实际站点感染风险的一组预测值的预测函数,预测每个所识别的站点的后续健康状态。
优选地,通过由计算机化数据处理单元操作的人工神经网络为每个识别的资产计算感染因素,作为资产的实际资产漏洞因素和资产的实际资产扩散因素之间的最大值,资产的实际资产漏洞因素是漏洞影响资产的概率,资产的实际资产扩散因素是另一资产根据识别的链路攻击识别的资产的概率。
因此,预测函数使用机器学习方法,优选地具有用反向传播训练的前馈人工神经网络(ANN),其被用于建立模型以理解每个资产的所有考虑的因素(在它们之间和随着时间的过去)之间的关系。
考虑到要评估的一些事件,可以通过“连接”来定义事件,所述“连接”在每当资产与另一资产通信时利用给定的协议和应用来发生。当该事件发生时,相应地创建或更新链路。
另一事件可以由“攻击”来定义,所述攻击可以在给定时间由攻击者资产或外部攻击者在目标资产上发生,从而创建新的感染。攻击使用一个或多个漏洞。在创建感染时,在方法中触发这些更新:
-更新被感染资产的健康状态等级;
-更新老化频率
ο老化频率ProbabilityOfBeingExploited(漏洞)=1
具有给定漏洞的资产可能受到其影响的概率正在增加;
ο老化频率Asset(ProbabilityOfBeingAttacked)=1
要攻击的资产的概率很高。
此外,当在系统中安装新的软件时,可以发生事件“软件改变”,该新的软件是完全新的软件或者是已经安装的软件的升级。有时,软件的更新被称为“修补”。修补程序或一系列修补程序可能是由于从资产中去除感染的意愿。当安装或升级软件时,资产可能已经解决了一些漏洞,或者可能出现新的漏洞。资产的风险因素被更新:通过在影响它的漏洞中找到风险的最大值来计算它的风险。如果软件改变事件正在删除感染,则还会执行以下更新:
-如所述的更新被感染资产的健康状态等级;
-更新老化频率:
ο老化频率ProbabilityOfBeingExploited(漏洞)=0
如果该事件没有留下易受给定漏洞攻击的单个资产;
ο老化频率ProbabilityOfBeingExploited(资产)=0
如果该事件修复资产存在的所有漏洞。
最后,当被感染的资产将其感染扩散到另一个资产时,可能发生事件“传染”。该事件类似于攻击,但是它被不同地跟踪以便能够更好地预测系统的未来演进。在该方法中触发几个更新,与攻击类似但不同:
-如所述的更新被感染资产的健康状态等级;
-更新老化频率:
ο老化频率ProbabilityOfBeingExploited(漏洞)=1
具有给定漏洞的资产可能受到其影响的概率正在增加。
ο老化频率ProbabilityOfContagion(AssetX,AssetY)=1
提高了assetX可能感染assetY的概率
ο老化频率Asset(ProbabilityOfBeingAttacked)=1
要攻击的资产的概率很高。
本发明的方法允许计算站点的健康状态等级和感染风险(基于对相应资产的相同计算),并且这两个值随时间的计算允许跟踪和预测复杂的、地理上分布的和互连网络的网络安全姿势。
该方法的思想是理想的,在时间0(第一次迭代)开始的情况,当一切都在现场开始安装并且具有新的和安全的软件时,它具有一个理想的情况,其中所有资产具有值等于0的感染风险并且具有值等于10的健康状态等级。
从第二次迭代开始,这种初始和理想的情况被一些外部行为者感染的资产迅速恶化:这些事件被漏洞的存在和演化以及那些漏洞的攻击面有多大所驱动,例如,如果有任何防御措施来防止它们。
从第二次迭代开始,资产可能被其他受感染的资产污染。该流主要由正在进行的感染的I-因素和可以原位防止感染扩散的措施驱动。当然,在第二次迭代和以后,外部行为者感染流也保持活跃。
在一个实施例中,在预定的预测时间间隔内执行预测每个识别的站点的后续健康状态的阶段。特别地,预定的预测时间间隔定义了用于计算下一次迭代的计划时间,因此,人工神经网络可以预测所述预测时间间隔内的健康状态。
优选地,在预定的学习时间间隔内执行评估每个识别的资产的实际健康状态的阶段和评估每个识别的站点的实际健康状态的阶段,其中在预定的预测时间间隔内执行预测每个识别的站点的后续健康状态的阶段,并且其中预测时间间隔等于学习时间间隔。因此,预测范围对应于训练范围。
预测函数试图理解在后续的迭代中发生什么,在预定的预测时间间隔之后发生。函数的预测时间间隔可以被设置为例如24小时——该方法将尝试预测系统在下一个24小时内的状态,假定所有实体和数据结构都被更新为当前状态。重要的是要注意,如果预测时间间隔需要改变,则整个学习需要从头开始。
如已经描述的,预测函数使用机器学习方法,该方法具有用反向传播训练的前馈人工神经网络,该网络用于为每个资产建立模型以理解所有考虑的因素(它们之间和随时间变化)之间的关系,即:
fAsset_a(x)=y
其中“x”被称为资产的给定特征集的模式,并且“y”是估计的新健康状态等级。
优选地,“x”矢量是特征的模式,如本文所述:
-asseta的当前健康状态等级;
-asseta的老化频率ProbabilityOfBeingExploited(Asset_a)
-影响asseta的老化频率ProbabilityOfBeingExploited(漏洞)的最高“n”值;
-老化频率ProbabilityOfContagion(Asset_b,Asset_a)的最高“n”值,其中assetb是asseta的邻居,与之有链路;
-assetb上的I-因素活性感染的最高“n”值,其中assetb是asseta的邻居,与之有链路。
用于估计fAsset_a的人工神经网络是3隐藏层网络,其在隐藏层中的神经元数量至少与特征的数量相同,即3*n+2。
以这种方式训练该方法。在任何给定时间,对于asseta,我们使Xa具有最近的“m”个条目,以允许该方法随时间演变,并且不偏向过去的行为。
在第一次迭代(实际)中,记录用于观察行为的模式。该方法向可用模式Xa添加对(x,y),计算考虑先前健康状态等级的“x”的特征,并将“y”作为当前健康状态等级。
当已经进行了至少“z”次迭代(学习阶段),其中“z”是在学习阶段期间设置的参数时,该方法开始预测行为。对于每个asseta,它训练本身以估计fAsset_a分裂,采用随机的2/3的Xa,并使用余下的1/3来验证它的性能,使用某种形式的度量,如整体精度,没有详细描述。如果总预测精度高于预定数量,即0.9,这意味着在测试集上的预测误差小于10%,则资产的健康状态等级的预测值是fAsset_a(x)=y。在任何情况下,在每次迭代时,将(x,y)的实际观察值加到Xa上,以改进进一步迭代中的未来预测。
对于每个老化频率表,对于每个条目,将衰减因素应用于下一次迭代。
上述步骤允许预测每个资产的后续健康状态等级。站点的后续健康状态等级等于组成其的资产的最小预测健康状态等级。
上述方法允许具有算法的完整的、无监督的操作。在需要更复杂的资产到站点的组合功能的情况下,例如为了对大部分孤立的资产给予更小的权重,需要一些更多的步骤,并且需要人类专家来向系统提供知识以理解所需的聚集策略。
因此,根据本发明的方法允许根据风险和当前健康状态来计算关于站点的网络的状态的自动公告,并提供关于它在不久的将来将如何表现的预测。

Claims (10)

1.一种用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,所述方法包括在所述分布式网络中识别对象的阶段,包括以下步骤:
-由可操作地连接到所述分布式网络的计算机化数据处理单元识别所述分布式网络中的一个或多个站点;
-由所述计算机化数据处理单元识别每个识别的站点的一个或多个资产;
-由所述计算机化数据处理单元识别识别的资产之间的链路,其中链路由在所述分布式网络中交换的数据分组定义,所述数据分组具有与发送者资产相关的协议字段、与接收者资产相关的协议字段和允许在所述发送者资产和所述接收者资产之间通信的协议字段,并且其中对于每个所述链路,所述发送者资产和所述接收者资产定义节点,并且所述发送者资产和所述接收者资产之间的连接定义所述节点之间的所述链路,所述链路具有从所述发送者资产到所述接收者资产的方向;
-在可操作地连接到所述数据处理单元的永久类型的存储单元中存储所述分布式网络的所述识别的站点、所述识别的资产和所述识别的链路;
其中用于预测健康状态的所述方法还包括在实际迭代中评估每个所述识别的资产的实际健康状态的阶段,包括以下步骤:
-由所述计算机化数据处理单元根据范围从最差资产健康状态到最佳资产健康状态的一组预定义的资产健康状态值,来评估每个所述识别的资产的实际资产健康状态等级;
-由所述计算机化数据处理单元根据范围从最大资产感染风险到无资产感染风险的一组预定义的资产感染风险值,来评估每个所述识别的资产的实际资产感染风险;
-由所述计算机化数据处理单元操作的所述人工神经网络计算每个所述识别的资产的实际资产感染因素,作为所述资产的感染可以根据所述识别的链路扩散到其他资产的概率;
其中用于预测健康状态的所述方法还包括在所述实际迭代中评估每个所述识别的站点的所述实际健康状态的阶段,包括以下步骤:
-由所述计算机化数据处理单元将每个所述识别的站点的所述实际站点健康状态等级评估为等于所述站点中的所述资产的最小实际资产健康状态值;
-由所述计算机化数据处理单元将每个所述识别的站点的所述实际站点感染风险评估为等于所述站点中的所述资产的最大资产感染风险值;并且
其中,用于预测健康状态的所述方法还包括由所述计算机化数据处理单元操作的所述人工神经网络根据基于包括所述实际资产健康状态等级、所述实际资产感染风险、所述实际资产感染因素、所述实际站点健康状态等级和所述实际站点感染风险的一组预测值的预测函数,在后续迭代中预测每个所述识别的站点的后续健康状态的阶段。
2.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,在预定的学习时间间隔内执行评估每个所述识别的资产的所述实际健康状态的阶段和评估每个所述识别的站点的所述实际健康状态的阶段,以及
其中,每个所述识别的资产的所述实际资产健康状态等级、每个所述识别的资产的所述实际资产感染风险、每个所述识别的资产的所述实际资产感染因素、每个所述识别的站点的所述实际站点健康状态等级以及每个所述识别的站点的所述实际站点感染风险被存储在所述存储单元中。
3.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,在预定的学习时间间隔内执行评估每个所述识别的资产的所述实际健康状态的阶段和评估每个所述识别的站点的所述实际健康状态的阶段,以及
其中每个所述识别的资产的所述实际资产健康状态等级、每个所述识别的资产的所述实际资产感染风险、每个所述识别的资产的所述实际资产感染因素、每个所述识别的站点的所述实际站点健康状态等级以及每个所述识别的站点的所述实际站点感染风险包括在所述预定的学习时间间隔中的预定的学习时刻定义的多个值。
4.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,在预定的学习时间间隔内执行评估每个所述识别的资产的所述实际健康状态的阶段和评估每个所述识别的站点的所述实际健康状态的阶段,以及
其中每个所述识别的资产的所述实际资产健康状态等级、每个所述识别的资产的所述实际资产感染风险、每个所述识别的资产的所述实际资产感染因素、每个所述识别的站点的所述实际站点健康状态等级以及每个所述识别的站点的所述实际站点感染风险包括在所述预定的学习时间间隔期间在改变时定义的多个值。
5.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,在预定的预测时间间隔内执行预测每个所述识别的站点的后续健康状态的阶段。
6.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,在预定的学习时间间隔内执行评估每个所述识别的资产的所述实际健康状态的阶段和评估每个所述识别的站点的所述实际健康状态的阶段,
其中在预定的预测时间间隔内执行预测每个所述识别的站点的所述后续健康状态的阶段,并且
其中所述预测时间间隔等于学习时间间隔。
7.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,所述人工神经网络是用反向传播训练的前馈类型。
8.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,所述人工神经网络是3隐藏层网络,所述3隐藏层网络在隐藏层中具有至少与所述一组预测值的数量一样多的神经元,以及
其中不同的人工神经网络用于每个所述识别的站点。
9.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,所述一组预测值还包括所述识别的站点中的每个所述识别的资产的老化频率值,
其中,对于每个所述资产,由所述计算机化数据处理单元通过在所述实际迭代中对所述实际资产感染因素应用预定衰减因素来计算用于下一迭代的所述老化频率值。
10.根据权利要求1所述的用于通过人工神经网络来预测分布式网络的健康状态的方法,其特征在于,由所述计算机化数据处理单元操作的所述人工神经网络为每个所述识别的资产计算所述感染因素,作为所述资产的实际资产漏洞因素和所述资产的实际资产扩散因素之间的最大值,所述资产的实际资产漏洞因素是漏洞影响所述资产的概率,所述资产的实际资产扩散因素是另一资产根据所述识别的链路攻击所述识别的资产的概率。
CN202110727283.XA 2020-06-29 2021-06-29 通过人工神经网络预测分布式网络的健康状态的方法 Pending CN113934587A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/915,326 US11586921B2 (en) 2020-06-29 2020-06-29 Method for forecasting health status of distributed networks by artificial neural networks
US16/915,326 2020-06-29

Publications (1)

Publication Number Publication Date
CN113934587A true CN113934587A (zh) 2022-01-14

Family

ID=76695640

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110727283.XA Pending CN113934587A (zh) 2020-06-29 2021-06-29 通过人工神经网络预测分布式网络的健康状态的方法

Country Status (9)

Country Link
US (1) US11586921B2 (zh)
EP (1) EP3934202A1 (zh)
JP (1) JP2022013823A (zh)
CN (1) CN113934587A (zh)
AU (1) AU2021204299A1 (zh)
BR (1) BR102021012820A2 (zh)
CA (1) CA3123332A1 (zh)
MX (1) MX2021007883A (zh)
TW (1) TW202201930A (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11281806B2 (en) * 2018-12-03 2022-03-22 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11184385B2 (en) 2018-12-03 2021-11-23 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
CN115618353B (zh) * 2022-10-21 2024-01-23 北京珞安科技有限责任公司 一种工业生产安全的识别系统及方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115133A1 (en) * 2001-12-13 2003-06-19 Dun & Bradstreet, Inc. Higher risk score for identifying potential illegality in business-to-business relationships
US8359650B2 (en) * 2002-10-01 2013-01-22 Skybox Secutiry Inc. System, method and computer readable medium for evaluating potential attacks of worms
US8239498B2 (en) * 2005-10-28 2012-08-07 Bank Of America Corporation System and method for facilitating the implementation of changes to the configuration of resources in an enterprise
US20080134046A1 (en) * 2006-12-05 2008-06-05 Microsoft Corporation Aggregated computer health
US8595845B2 (en) * 2012-01-19 2013-11-26 Mcafee, Inc. Calculating quantitative asset risk
US9912683B2 (en) * 2013-04-10 2018-03-06 The United States Of America As Represented By The Secretary Of The Army Method and apparatus for determining a criticality surface of assets to enhance cyber defense
US9940467B2 (en) * 2016-06-10 2018-04-10 Optum, Inc. Systems and apparatuses for architecture assessment and policy enforcement
US11063836B2 (en) * 2017-03-21 2021-07-13 Cisco Technology, Inc. Mixing rule-based and machine learning-based indicators in network assurance systems
US10853739B2 (en) * 2017-06-09 2020-12-01 Sap Se Machine learning models for evaluating entities in a high-volume computer network
US11080639B2 (en) * 2018-05-29 2021-08-03 Visa International Service Association Intelligent diversification tool

Also Published As

Publication number Publication date
BR102021012820A2 (pt) 2022-01-11
JP2022013823A (ja) 2022-01-18
EP3934202A1 (en) 2022-01-05
US20210406675A1 (en) 2021-12-30
AU2021204299A1 (en) 2022-01-20
MX2021007883A (es) 2022-01-18
US11586921B2 (en) 2023-02-21
TW202201930A (zh) 2022-01-01
CA3123332A1 (en) 2021-12-29

Similar Documents

Publication Publication Date Title
Sethi et al. Attention based multi-agent intrusion detection systems using reinforcement learning
CN113934587A (zh) 通过人工神经网络预测分布式网络的健康状态的方法
US20230351027A1 (en) Intelligent adversary simulator
Zonouz et al. RRE: A game-theoretic intrusion response and recovery engine
KR102117696B1 (ko) 게임 이론을 이용한 보안 취약점 정량화 방법 및 장치
Jakóbik Stackelberg game modeling of cloud security defending strategy in the case of information leaks and corruption
Hammar et al. Intrusion prevention through optimal stopping
Cheskidov et al. Choosing the reinforcement learning method for modeling DdoS attacks
EP4009586A1 (en) A system and method for automatically neutralizing malware
Hammar et al. Learning near-optimal intrusion responses against dynamic attackers
Ravishankar et al. Time dependent network resource optimization in cyber–physical systems using game theory
Li et al. Robust moving target defense against unknown attacks: A meta-reinforcement learning approach
Bera et al. Deterring adversarial learning in penetration testing by exploiting domain adaptation theory
Alshawish et al. Risk mitigation in electric power systems: Where to start?
CN116248311A (zh) 基于深度强化学习的网络节点安全措施缓解部署优化方法及系统
Tekleselassie A deep learning approach for DDoS attack detection using supervised learning
Sulaiman et al. Quantitative analysis of worm transmission and insider risks in air-gapped networking using a novel machine learning approach
Gill et al. A systematic review on game-theoretic models and different types of security requirements in cloud environment: challenges and opportunities
Pashaei et al. Honeypot intrusion detection system using an adversarial reinforcement learning for industrial control networks
CN108377238B (zh) 基于攻防对抗的电力信息网络安全策略学习装置及方法
Mesadieu et al. Leveraging Deep Reinforcement Learning Technique for Intrusion Detection in SCADA Infrastructure
Singh et al. A generic scheme for cyber security in resource constraint network using incomplete information game
Colvett Modeling and simulation of cyberattacks to aid systems security engineers and cyber-physical designs to aid systems engineers
Moskal et al. CyberEvo: evolutionary search of knowledge-based behaviors in a cyber attack campaign
Xing et al. An Edge-Cloud Synergy Integrated Security Decision-Making Method for Industrial Cyber-Physical Systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40060910

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination