DE102017222616A1 - Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom - Google Patents

Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom Download PDF

Info

Publication number
DE102017222616A1
DE102017222616A1 DE102017222616.1A DE102017222616A DE102017222616A1 DE 102017222616 A1 DE102017222616 A1 DE 102017222616A1 DE 102017222616 A DE102017222616 A DE 102017222616A DE 102017222616 A1 DE102017222616 A1 DE 102017222616A1
Authority
DE
Germany
Prior art keywords
data
values
rule
correlation
anomaly detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017222616.1A
Other languages
English (en)
Inventor
Antonio La Marca
Markus Hanselmann
Thilo Strauss
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017222616.1A priority Critical patent/DE102017222616A1/de
Priority to US16/179,195 priority patent/US10958675B2/en
Priority to CN201811517476.7A priority patent/CN110059904A/zh
Publication of DE102017222616A1 publication Critical patent/DE102017222616A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Abstract

Die Erfindung betrifft ein Verfahren zum Erstellen von Regeln für ein regelbasiertes Anomalieerkennungsverfahren zur Erkennung von Anomalien in einem Datenstrom aus Datenpaketen, wobei die Datenpakete ein Datensegment aus einem oder mehreren Datenabschnitten umfassen und den Datenpaketen ein Zeitstempel und eine Datenpaketart zugeordnet sind, mit folgenden Schritten:- Bereitstellen eines Referenzzeitsignals mit aufeinanderfolgenden Referenzzeitpunkten;- für mindestens zwei Datenabschnitte aus einem oder mehreren durch eine ausgewählte Datenpaketart bestimmten Datenpaketen in einem Datenstromausschnitt, Ermitteln jeweils einer Zeitreihe von aufeinanderfolgenden Werten des betreffenden Datenabschnitts, wobei die Werte der Zeitreihen den Werten des betreffenden Datenabschnitts entsprechen oder von diesen abhängen, wobei die Werte des betreffenden Datenabschnitts einem jeweiligen der Referenzzeitpunkte zugeordnet sind,- Durchführen eines Korrelationsverfahrens, um jeweils einen Korrelationswert für zwei verschiedenen Zeitreihen zu ermitteln;- Erstellen einer Regel für das regelbasiertes Anomalieerkennungsverfahren abhängig von den ermittelten Korrelationswerten.

Description

  • Technisches Gebiet
  • Die Erfindung betrifft Anomalieerkennungsverfahren zum Erkennen von AnomalieDaten in einem Datenstrom sowie Verfahren zum Erstellen von Regeln zur Erkennung von anomalen Datensegmenten in einem Datenstrom.
  • Technischer Hintergrund
  • In Systemen mit mehreren Steuergeräten können Daten zwischen den Steuergeräten über ein Netzwerk, wie beispielsweise einen seriellen Feldbus, ausgetauscht werden. Ein Beispiel für einen solchen Feldbus ist der CAN-Bus (CAN: Controller Area Network). Der CAN-Bus wird vorwiegend in Kraftfahrzeugen eingesetzt und ermöglicht eine paketgebundene Datenübertragung von einem Steuergerät zu einem oder mehreren weiteren angeschlossenen Steuergeräten.
  • Bei der Übertragung von Daten über den seriellen Feldbus können im realen Betrieb Abweichungen von einem Normalverhalten auftreten, die als Anomalie bezeichnet werden. Ursachen für derartige Abweichungen können defekte oder ausgefallene Teilsysteme bzw. Steuergeräte sein, die fehlerhafte oder keine Daten bereitstellen. Weiterhin können Systeme durch eine externe Quelle manipuliert werden, wobei über den Feldbus übertragene Datenpakete manipuliert oder neue Datenpakete eingeschleust werden. Bei einem ordnungsgemäß arbeitenden System werden zwischen Steuergeräten, die über das Bussystem miteinander verbunden sind, Datenpakete fehlerfrei übermittelt, wobei in der Regel die Datenpakete im Allgemeinen durch spezifische, sowohl stationäre als auch zeitliche Korrelationen voneinander abhängen.
  • Für die Betriebssicherheit von Fahrzeugsystemen ist es wesentlich, Anomalien frühzeitig zu erkennen, insbesondere Anomalien, die in Verbindung mit einer Manipulation des Fahrzeugsystems von außen auftreten. Dafür wird die Datenkommunikation durch ein Anomalieerkennungsverfahren überwacht.
  • Heutige Anomalieerkennungsverfahren sind oft regelbasiert. Regeln entsprechen Definitionen für Ereignisse, die ein mögliches anomales Verhalten darstellen können, und bestehen aus einer Liste von Abfragen, Überprüfungen und Folgerungen, anhand derer Datenabschnitte, Datenpakete oder Gruppen von Datenpaketen des über den Feldbus übertragenen Datenstroms überprüft werden. Diese Regeln werden dabei aus einer Kommunikations-Matrix manuell abgeleitet, so dass der Aufbau des Regelsystems nicht generalisierbar ist und für jeden Fahrzeugtyp separat vorgenommen werden muss. Das Erstellen der Regeln basierend auf der Kommunikations-Matrix erfolgt in der Regel entsprechend der Matrixspezifikation, d. h. auf Basis der Häufigkeit des Bereitstellens der Information bzw. der Art der übermittelten Informationen. In so aufgestellten Regeln werden physikalische Beziehungen zwischen den übertragenen Informationen nicht berücksichtigt bzw. nicht erfasst.
  • Offenbarung der Erfindung
  • Erfindungsgemäß sind ein Verfahren zum Erstellen von Regeln für ein regelbasiertes Anomalieerkennungsverfahren für einen über eine Kommunikationsverbindung übertragenen Datenstrom gemäß Anspruch 1 sowie ein Anomalieerkennungsverfahren und ein Anomalieerkennungssystem gemäß dem nebengeordneten Anspruch vorgesehen.
  • Weitere Ausgestaltungen sind in den abhängigen Ansprüchen angegeben.
  • Gemäß einem ersten Aspekt ist ein Verfahren zum Erstellen von mindestens einer Regel für ein regelbasiertes Anomalieerkennungsverfahren zur Erkennung von Anomalien in einem Datenstrom aus Datenpaketen vorgesehen, wobei die Datenpakete ein Datensegment aus einem oder mehreren Datenabschnitten umfassen und den Datenpaketen ein Zeitstempel und eine Datenpaketart zugeordnet sind, mit folgenden Schritten:
    • - Bereitstellen eines Referenzzeitsignals mit aufeinanderfolgenden Referenzzeitpunkten;
    • - für mindestens zwei Datenabschnitte aus einem oder mehreren durch eine ausgewählte Datenpaketart bestimmten Datenpaketen in einem Datenstromausschnitt, Ermitteln jeweils einer Zeitreihe von aufeinanderfolgenden Werten des betreffenden Datenabschnitts, wobei die Werte der Zeitreihen den Werten des betreffenden Datenabschnitts entsprechen oder von diesen abhängen, wobei die Werte des betreffenden Datenabschnitts einem jeweiligen der Referenzzeitpunkte zugeordnet sind;
    • - Durchführen eines Korrelationsverfahrens, um jeweils einen Korrelationswert für mindestens zwei verschiedenen Zeitreihen zu ermitteln; und
    • - Erstellen der mindestens einen Regel für das regelbasiertes Anomalieerkennungsverfahren abhängig von den ermittelten Korrelationswerten.
  • Eine Idee des obigen Verfahrens zur Erstellung von Regeln für ein regelbasiertes Anomalieerkennungsverfahren besteht darin, dass die Regeln durch eine Analyse eines Datenstromausschnitts automatisch erstellt werden können. Dazu werden Korrelationen zwischen Werten von Datenabschnitten in Datenpaketen ausgewertet, so dass Abhängigkeiten zwischen unterschiedlichen Datenabschnitten gleicher oder unterschiedlicher Quellen, aufgefunden werden können. Auf diese Weise können Regeln für das Anomalieerkennungsverfahren erstellt werden, die selbst bei Vorhandensein der Kommunikations-Matrix aus dieser nicht ohne weiteres abgeleitet werden können. Durch Aufstellen einer Korrelationsmatrix können positive wie negative Korrelationen erkannt werden. Daraus können automatisiert Regeln erstellt werden. Dies erweitert die Möglichkeiten für das Erstellen eines Regelsystems für ein Anomalieerkennungsverfahren.
  • Im Sinne dieser Erfindung entspricht der Begriff des Datenpakets einer Datenfolge, denen ein logischer Zusammenhang zugeordnet werden kann.
  • Weiterhin kann das Referenzzeitsignal durch die Zeitpunkte von Zeitstempeln von aufeinanderfolgenden Datenpakete mit einer ausgewählten identischen Datenpaketart oder durch einen synthetischen Zeitvektor, beispielsweise einen äquidistanten Zeitvektor mit vorgegebener Frequenz, vorgegeben sein.
  • Gemäß einer Ausführungsform können die Werte des betreffenden Datenabschnitts den Referenzzeitpunkten zugeordnet werden, indem für jeden der Referenzzeitpunkte aus den Zeitstempeln des Auftretens des Datenpakets mit dem betreffenden Datenabschnitt ein Zeitstempel mit zeitlichem Bezug ausgewählt wird, insbesondere derjenige Zeitstempel, der dem betreffenden Referenzzeitpunkt am nächsten liegt, und der Wert des betreffenden Datenabschnitts aus dem Datenpaket mit dem ausgewählten Zeitstempel der Zeitreihe hinzugefügt wird.
  • Es kann vorgesehen sein, dass die Werte der Zeitreihen über Interpolationsverfahren aus den Werten des betreffenden Datenabschnitts ermittelt werden, insbesondere Nearest Neighbor, Linear Mixed Neighbor, Previous Neighbor, Shape-Preserving Piecewise Cubic Interpolation.
  • Weiterhin können die Korrelationswerte mithilfe einer Pearson-Korrelation ermittelt werden.
  • Gemäß einer Ausführungsform kann die Regel für die Anomalieerkennung von den ermittelten Korrelationswerten abgeleitet werden, indem für diejenigen Datenabschnitte, für die der Korrelationswert in einem bestimmten Intervall liegt, insbesondere einen Betrag aufweist, der größer ist als eine vorgegebene Korrelationsschwelle, eine Regel erstellt wird, wobei die Regel vorgibt, dass eine zeitliche Änderung der Werte der betreffenden Datenabschnitte in zeitlich nacheinander übermittelten Datenpaketen gleichlaufend oder gegenläufig ist.
  • Es kann vorgesehen sein, dass die Regel für die Anomalieerkennung von den ermittelten Korrelationswerten abgeleitet wird, indem für mehrere Datenstromausschnitte Korrelationswerte zu jeweils zwei verschiedenen Datenabschnitten ermittelt werden, wobei die Regel vorgibt, dass eine Änderung der aus verschiedenen Datenstromausschnitten erhaltenen Korrelationswerte in einem bestimmten Intervall liegen, insbesondere betragsmäßig einen vorgegebenen Schwellenwert unterschreiten.
  • Insbesondere kann die Datenpaketart durch eine in dem Datenpaket enthaltene ID-Kennung bestimmt werden.
  • Es kann vorgesehen sein, dass die mindestens eine Regel mithilfe eines (Convolutional) Autoencoders, eines LSTMs (Long short-term memory), eines Generative Adversarial Networks (GANs) generiert wird.
  • Gemäß einem weiteren Aspekt ist ein Verfahren zur Anomalieerkennung vorgesehen, wobei Datenpakete eines Datenstroms entsprechend einer oder mehreren Regeln auf Anomalien überprüft werden, wobei mindestens eine der Regeln mit dem obigen Verfahren erstellt ist.
  • Gemäß einem weiteren Aspekt ist eine Vorrichtung zum Erstellen mindestens einer Regel für ein regelbasiertes Anomalieerkennungsverfahren zur Erkennung von Anomalien in einem Datenstrom aus Datenpaketen vorgesehen, wobei die Datenpakete ein Datensegment aus einem oder mehreren Datenabschnitten umfassen und den Datenpaketen ein Zeitstempel und eine Datenpaketart zugeordnet sind, wobei die Vorrichtung ausgebildet ist, um:
    • - Ein Referenzzeitsignal mit aufeinanderfolgenden Referenzzeitpunkten bereitzustellen;
    • - für mindestens zwei Datenabschnitte aus einem oder mehreren durch eine ausgewählte Datenpaketart bestimmten Datenpaketen in einem Datenstromausschnitt, jeweils eine Zeitreihe von aufeinanderfolgenden Werten des betreffenden Datenabschnitts zu ermitteln, wobei die Werte der Zeitreihen den Werten des betreffenden Datenabschnitts entsprechen oder von diesen abhängen, wobei die Werte des betreffenden Datenabschnitts einem jeweiligen der Referenzzeitpunkte zugeordnet sind,
    • - ein Korrelationsverfahren durchzuführen, um jeweils einen Korrelationswert für zwei verschiedene Zeitreihen zu ermitteln;
    • - mindestens eine Regel für das regelbasiertes Anomalieerkennungsverfahren abhängig von den ermittelten Korrelationswerten zu erstellen.
  • Gemäß einem weiteren Aspekt ist eine Vorrichtung zur Anomalieerkennung vorgesehen, die ausgebildet ist, um Datenpakete eines Datenstroms entsprechend einer oder mehreren Regeln auf Anomalien zu überprüfen, wobei mindestens eine der Regeln mit dem obigen Verfahren erstellt wird.
  • Figurenliste
  • Ausführungsformen werden nachfolgend anhand der beigefügten Zeichnungen näher erläutert. Es zeigen:
    • 1 eine schematische Darstellung eines Systems mit mehreren Steuergeräten, die über einen Kommunikationsbus miteinander verbunden sind;
    • 2 ein Flussdiagramm zur Veranschaulichung eines Verfahrens zur Erstellung von Regeln für ein Anomalieerkennungsverfahren basierend auf automatisch erstellten Regeln;
    • 3 ein Beispiel für einen Datenstromausschnitt;
    • 4 ein Beispiel für ausgewählte Datenpakete entsprechend einer Referenz-ID-Kennung;
    • 5 eine Darstellung zur Veranschaulichung des Vorgehens zur Erstellung einer Kommunikations-Matrix; und
    • 6 eine Darstellung einer Korrelationsmatrix.
  • Beschreibung von Ausführungsformen
  • 1 zeigt eine schematische Darstellung eines Gesamtsystems 1 mit mehreren Steuergeräten 2, die über einen Kommunikationsbus 3 (Kommunikationsverbindung) miteinander verbunden sind. Der Kommunikationsbus 3 kann einem Feldbus oder einem sonstigen Datenbus, wie z.B. einem CAN-Bus (Feldbus in Kraftfahrzeugen) entsprechen. Über den Kommunikationsbus 3 kann ein Datenstrom übertragen werden, der aus einer Abfolge von Daten, die logisch in aufeinanderfolgende Datenpakete aufgeteilt sind, besteht. Dabei wird ein Datenpaket von einem der Steuergeräte 2 zu mindestens einem weiteren der Steuergeräte 2 übertragen.
  • Mit dem Kommunikationsbus 3 ist ein Anomalieerkennungssystem 4 verbunden, das separat oder als Teil eines der Steuergeräte 2 ausgebildet sein kann. Das Anomalieerkennungssystem 4 liest die über den Kommunikationsbus 3 übertragenen Daten mit und führt eine Anomalieerkennung basierend auf vorgegebenen Regeln aus.
  • Die über den Kommunikationsbus 3 übertragenen Datenpakete P sind definiert durch bzw. enthalten einen Zeitstempel, d. h. dem Zeitpunkt, ab dem das betreffende Datenpaket P gesendet wird, einer Datenpaketart, die in den vorliegenden Ausführungsbeispielen als eine ID-Kennung angegeben wird, mit der die Quelle bzw. der Zweck des Datenpakets gekennzeichnet wird, und ein Datensegment S. Das Datensegment S kann jeweils ein oder mehrere Datenabschnitte B enthalten, die einer zu übertragenden Information entsprechen. Die Datenabschnitte B können jeweils einzelne Bits, Gruppen von Bits, ein oder mehrere Bytes umfassen.
  • Ein regelbasiertes Anomalieerkennungsverfahren wird ausgeführt, indem eine oder mehrere durch entsprechende Regeln vorgegebene Anomaliebedingungen bezüglich jedes der Datenabschnitte B überprüft werden. Ist mindestens eine Anomaliebedingung erfüllt, wird von einem nicht ordnungsgemäßen Datenpaket, d.h. einem Anomalie-Datenpakte, ausgegangen. Bisherige Regeln zur Anomalieerkennung stellen beispielsweise Abfragen für Datenpakete einer bestimmten ID-Kennung dar, so dass die Wertebereiche für die Datenabschnitte B der Datensegmente S definiert werden. Liegt beispielsweise ein Wert eines Datenabschnitts B außerhalb des vorbestimmten Bereiches, so wird eine Anomalie erkannt. Auch können Regeln zeitbasiert sein, wobei z.B. eine bestimmte Datenpaketart bzw. eine bestimmte ID-Kennung mindestens einmalig innerhalb eines vorbestimmten Zeitraums auftreten muss, andernfalls wird ebenfalls eine Anomalie erkannt. Ist keine Anomaliebedingung erfüllt, wird von einem unauffälligen, d.h. ordnungsgemäßen Datenpaket P ausgegangen.
  • Zur Erstellung bzw. Weiterbildung von Regeln für die Anomalieerkennung wird zusätzlich nachfolgendes Verfahren ausgeführt, das in Form eines Flussdiagramms in 2 veranschaulicht wird.
  • Das Verfahren basiert auf einem Ausschnitt eines Datenstroms, wie er beispielhaft in 3 dargestellt ist, mit einer Anzahl von Datenpaketen P mit verschiedenen ID-Kennungen ID.
  • In Schritt S1 wird ein Referenzzeitsignal t vorgegeben oder ermittelt, das Zeitpunkte definiert, auf die sich eine Untersuchung von Datenpaketen P beziehen sollen.
  • Zur Ermittlung eines Referenzzeitsignals t kann eine Referenz-ID ausgewählt werden, die insbesondere ein Datenpaket mit einer ID-Kennung ID ist, das eine zentrale Rolle bei der Kommunikation zwischen den Steuergeräten 2 spielt. Aus dem Datenstromausschnitt werden nun alle Datenpakete P mit dieser Referenz-ID-Kennung extrahiert, wie in 4 dargestellt. Die Zeitstempel t1, ..., tn dieser Datenpakete stellen das Referenzzeitsignal t = (t1, ..., tn) dar. Weiterhin kann das Referenzzeitsignal t kann auch unabhängig von einer vorgegebenen Referenz-ID-Kennung bereitgestellt werden, beispielsweise durch einen äquidistanten Zeitvektor mit vorgegebener Frequenz.
  • In einem nachfolgenden Schritt S2 wird eine Matrix M aufgebaut, wie es in 5 veranschaulicht ist. Die Spalten entsprechen den Zeitpunkten t1, ..., tn des Referenzzeitsignals t.
  • Weiterhin wird zum Aufbau der Matrix M für eine oder mehrere ausgewählte ID-Kennungen ID oder alle ID-Kennungen ID1..h (mit Anzahl h von betrachteten ID-Kennungen) jeweils ein zugehöriges Zeitsignal s = (s1, ..., sm) extrahiert, das die Zeitstempel des Auftretens des mit der jeweiligen ID-Kennung versehenen Datenpakets angibt.
  • Nachfolgend wird für jeden Referenzzeitpunkt ti=i...n des Referenzzeitsignals nun für jede der ausgewählten ID-Kennungen ID ein Zeitpunkt sk aus dem der ID-Kennung zugehörigen Zeitsignal s ausgewählt. Dies kann beispielsweise so erfolgen, dass zu jedem Referenzzeitpunkt ti=i...n ein Zeitpunkt sk ausgewählt wird, der dem betreffenden Referenzzeitpunkt am nächsten liegt, nämlich bestimmt durch k = arg min j = 1 m | t i s j | .
    Figure DE102017222616A1_0001
    Zur Auffindung des Zeitvergleichssignals können zusätzlich zu der oben genannten Beziehung auch eine oder mehrere Nebenbedingungen, wie z. B. der Zeitpunkt des Zeitstempels des Datenpakets soll zeitlich nach dem Referenzzeitpunkt liegen, berücksichtigt werden.
  • Nun werden jedem Datenabschnitt B1..z jedes der Datenpakete P der ausgewählten ID-Kennungen ID1..h, als separate Zeilen in die Matrix M berücksichtigt. Dazu werden die den jeweiligen Referenzzeitpunkten ti=1...n (Spalten) zugeordneten Werte der Datenabschnitte in die dem jeweiligen Referenzzeitpunkt ti=1...n zugeordneten Spalte eingefügt.
  • Auf diese Weise wird eine Matrix M aufgebaut, die die Werte der einzelnen Datenabschnitte B1..z jeder der ausgewählten ID-Kennungen ID1..n, die den aufeinanderfolgenden Zeitpunkten ti=1..n zugeordnet sind, enthalten. Anstelle der Werte können auch Angaben, die sich durch eine auf die Werte Rechenvorschrift ermittelt wird. Insbesondere können hier verschiedene Interpolationsmethoden, wie beispielsweise Nearest Neighbor, Linear Mixed Neighbor, Previous Neighbor, Shape-Preserving Piecewise Cubic Interpolation und dergleichen verwendet werden. Es ist selbstverständlich möglich, die Matrix anders aufzubauen. Z.B. hat die Reihenfolge der Zeilen keine gesonderte Relevanz oder die Matrix könnte auch mit Zeilen und Spalten vertauscht gebildet werden.
  • Ist die Matrix M erstellt, kann in Schritt S3 eine Korrelationsmatrix K berechnet werden. Dies kann beispielsweise mithilfe einer Pearson-Korrelation durchgeführt werden. Ein Korrelationskoeffizient nach Pearson stellt ein Maß für die Stärke einer linearen Korrelation zwischen zwei Größen dar.
  • Der Pearson-Korrelationskoeffizient kZa,Zbwischen zwei verschiedenen Zeilen Za, Zb der Korrelations-Matrix M kann anhand folgender Formel berechnet werden: k Z a , Z b = c o v ( Z a , Z b ) S q r t ( V a r ( Z a ) V a r ( Z b ) )
    Figure DE102017222616A1_0002
    Auch andere Verfahren zum Ermitteln von Korrelationskoeffizienten für Zeitreihen können angewendet werden, wie z.B. der Rangkorrelationskoeffizient nach Spearman.
  • Die Einträge kZa,Zb der Korrelationsmatrix K geben an, wie stark die verschiedenen Reihen der Datenabschnitte B miteinander korreliert sind. Die Werte von Korrelationskoeffizienten nahe 1 weisen auf eine große positive Korrelation hin, ein Wert in der Nähe von -1 auf eine stark negative Korrelation. Ein Korrelationskoeffizient vom Wert 0 gibt an, dass die entsprechenden Datenabschnitte B der gleichen oder verschiedener Datenpakete P unkorreliert sind.
  • In 6 ist eine graphische Visualisierung einer beispielhaften Korrelationsmatrix K dargestellt, wobei unterschiedliche Schraffuren unterschiedlichen Korrelationskoeffizienten entsprechen.
  • In einem Schritt S4 können aus der Korrelationsmatrix Regeln für die Anomalieerkennung abgeleitet werden.
  • So können beispielsweise vorgegebene Schwellwerte δ+ und δ- verwendet werden, so dass nur Korrelationen mit Korrelationskoeffizienten größer als 1 - δ+ bzw. kleiner als -1 + δ- zur Regelgenerierung berücksichtigt werden. Daraus kann beispielsweise eine Regel abgeleitet werden, die eine Form aufweisen kann:
    • „Wenn der Wert des x-ten Datenabschnitts der ID-Kennung IDw zunimmt, nimmt auch der Wert des y-ten Bytes der ID-Kennung IDv zu“
  • Dies entspricht dem Beispiel für Datenabschnitte, die stark positiv korreliert sind.
  • Des Weiteren können Regeln aufgestellt werden, die die Einhaltung des Korrelationskoeffizienten zumindest in einem definierten Toleranzbereich überprüfen. Hierzu kann beispielsweise ein Zeitfenster T definiert werden, in dem ein Datenausschnitt aus der Kommunikation über den Kommunikationsbus 3 erfasst wird und eine entsprechende Matrix MT' wie oben beschrieben aufgebaut wird, der ein entsprechendes Referenzzeitsignal tT zugrunde liegt. Zu M'T kann die entsprechende Korrelationsmatrix KT wie oben beschrieben ermittelt werden. Nun können die Korrelationsmatrizen M, MT' auf Abweichungen der Korrelationswerte k überprüft werden. Liegen keine Abweichungen außerhalb von definierten Toleranzen vor, so können Regeln definiert werden, die auf den Korrelationswerten zwischen zwei verschiedenen Datenabschnitten basieren. D. h., bei einer signifikanten Änderung einer Korrelation zwischen zwei Datenabschnitten von Datensegmente mit verschiedenen ID-Kennungen wird eine Anomalie festgestellt.
  • Alternativ können iterativ Zeitfenster T1, T2, T3, ... definiert werden und die zugehörigen Korrelationsmatrizen berechnet werden. Es ist im Regelfall davon auszugehen, dass die Änderungen der Korrelationskoeffizienten geringer als ein vorgegebener Toleranzbetrag sind. Durch das Auffinden einer Änderung von einem der Korrelationskoeffizienten, der den Toleranzbetrag übersteigt, kann auch in einem kontinuierlichen Vergleich zwischen den Korrelationsmatrizen nach sprunghaften Änderungen in den Korrelationswerten gesucht werden, um eine Anomalie aufzufinden.
  • Neben der Erstellung von neuen Regeln für eine regelbasierte Anomalieerkennung kann die Korrelationsmatrix als Vorverarbeitung für die Anomalieerkennung mithilfe eines Convolutional Neural Net genutzt werden.
  • So können mehrere Korrelationsmatrizen K(W1...c) für Datenstromausschnitte in verschiedenen Zeitfenstern W1...c dazu verwendet werden, um ein Convolutional Neural Net zu trainieren, wobei die zugehörigen Matrizen M' als „Bild“ interpretiert werden.
  • Es können verschiedene bekannte Verfahren zur Anomalieerkennung eingesetzt werden. Aus diesen lassen sich dann wiederum Regeln ableiten (wie z.B. bei den Autoencodern in der Form:
    • „Ist der Rekonstruktionsfehler größer als eine vorgegebene Schwelle, signalisiere eine Anomalie“.
  • Die Regeln werden also nicht direkt aus der Korrelationsmatrix, sondern indirekt aus dem nachgestellten Verfahren abgeleitet.
    • - Anomalieerkennung mit (Convolutional) Autoencodern: Autoencoder haben als Ein- und Ausgangsgröße dieselbe Dimension. Beim Training eines Autoencoders wird als Optimierungsziel der Rekonstruktionsfehler minimiert. Wird das System auf Normaldaten trainiert, ist davon auszugehen, dass Normaldaten gut rekonstruiert werden können, also einen geringen Rekonstruktionsfehler aufweisen, Anomalien hingegen nur schlecht rekonstruiert werden können und somit einen großen Rekonstruktionsfehler aufweisen. Liegt der Rekonstruktionsfehler bei einer Eingabe über/unter einer definierten Schwelle, wird eine Anomalie erkannt. Bei einem auf eine oder mehrere Korrelationsmatrizen trainierten Autoencoder kann also eine Anomalie anhand eines Rekonstruktionsfehlers ermittelt werden. Eine entsprechende Regel kann daher auf einen Schwellwertvergleich eines Rekonstruktionsfehlers für eine Korrelationsmatrix gerichtet sein.
    • - Anomalieerkennung mit LSTMs (Long short-term memory): LSTMs berücksichtigen im Training zeitliche Abhängigkeiten. Im Training können sie beispielsweise darauf konditioniert werden, zu einem Datenstromausschnitt eine nachfolgende Sequenz vorherzusagen. Wird ein solches System auf Normaldaten trainiert, ist davon auszugehen, dass das System für Normaldaten eine nachfolgende Sequenz gut vorhersagt und für Anomaliedaten nur eine schlechte Vorhersage macht. Ist die Abweichung von vorhergesagten Sequenzen zu den realen Daten größer/kleiner als eine vorgegebene Schwelle, wird dies als Anomalie erkannt.
    • - Anomalieerkennung mit Hilfe von Generative Adversarial Networks (GANs): GANs können dazu verwendet werden, um aus einem unüberwachten Lernproblem (nur Vorlage von Normaldaten) ein überwachtes Lernproblem zu erstellen, indem durch eine geschickte Wahl einer zu optimierenden Kostenfunktion der Generator des GANs darauf konditioniert wird, Anomalien zu erzeugen. Zeitgleich wird der Diskriminator daraufhin trainiert, Normaldaten von diesen Anomalien unterscheiden zu können. Trainiert man dieses System lange genug, ist der Diskriminator damit in der Lage, Anomaliedaten von echten Daten zu unterscheiden. Als Ausgabe des Diskriminators wird beispielsweise die Wahrscheinlichkeit für das Auftreten einer Anomalie angegeben. Im trainierten Zustand kann der Diskriminator dann beispielsweise mit Hilfe eines Schwellwertvergleichs als Anomalieerkennungssystem verwendet werden.

Claims (14)

  1. Verfahren zum Erstellen mindestens einer Regel für ein regelbasiertes Anomalieerkennungsverfahren zur Erkennung von Anomalien in einem Datenstrom aus Datenpaketen (P), wobei die Datenpakete (P) ein Datensegment (S) aus einem oder mehreren Datenabschnitten (B) umfassen und den Datenpaketen (P) ein Zeitstempel und eine Datenpaketart (ID) zugeordnet sind, mit folgenden Schritten: - Bereitstellen (S1) eines Referenzzeitsignals mit aufeinanderfolgenden Referenzzeitpunkten; - für mindestens zwei Datenabschnitte aus einem oder mehreren durch eine ausgewählte Datenpaketart bestimmten Datenpaketen in einem Datenstromausschnitt, Ermitteln (S2) jeweils einer Zeitreihe von aufeinanderfolgenden Werten des betreffenden Datenabschnitts, wobei die Werte der Zeitreihen den Werten des betreffenden Datenabschnitts entsprechen oder von diesen abhängen, wobei die Werte des betreffenden Datenabschnitts einem jeweiligen der Referenzzeitpunkte zugeordnet sind, - Durchführen (S3) eines Korrelationsverfahrens, um jeweils einen Korrelationswert für zwei verschiedene Zeitreihen zu ermitteln; - Erstellen der mindestens einen Regel für das regelbasiertes Anomalieerkennungsverfahren abhängig von den ermittelten Korrelationswerten.
  2. Verfahren nach Anspruch 1, wobei das Referenzzeitsignal durch die Zeitpunkte von Zeitstempeln von aufeinanderfolgenden Datenpakete (P) mit einer ausgewählten Datenpaketart (ID) oder durch Zeitpunkte eines äquidistanten Zeitvektors mit vorgegebener Frequenz vorgegeben ist.
  3. Verfahren nach Anspruch 1 oder 2, wobei die Werte des betreffenden Datenabschnitts (B) den Referenzzeitpunkten zugeordnet werden, indem für jeden der Referenzzeitpunkte aus den Zeitstempeln des Auftretens des Datenpakets (P) mit dem betreffenden Datenabschnitt (B) ein Zeitstempel mit zeitlichem Bezug ausgewählt wird, insbesondere derjenige Zeitstempel, der dem betreffenden Referenzzeitpunkt am nächsten liegt, und der Wert des betreffenden Datenabschnitts (B) aus dem Datenpaket (P) mit dem ausgewählten Zeitstempel der Zeitreihe hinzugefügt wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei die Werte der Zeitreihen über Interpolationsverfahren aus den Werten des betreffenden Datenabschnitts (B) ermittelt werden, insbesondere Nearest Neighbor, Linear Mixed Neighbor, Previous Neighbor, Shape-Preserving Piecewise Cubic Interpolation.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei die Korrelationswerte mithilfe einer Pearson-Korrelation ermittelt werden.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei die mindestens eine Regel für die Anomalieerkennung von den ermittelten Korrelationswerten abgeleitet wird, indem für diejenigen Datenabschnitte (B), für die der Korrelationswert in einem bestimmten Intervall liegt, insbesondere einen Betrag aufweist, der größer ist als eine vorgegebene Korrelationsschwelle, eine Regel erstellt wird, wobei die Regel vorgibt, dass eine zeitliche Änderung der Werte der betreffenden Datenabschnitte (B) in zeitlich nacheinander übermittelten Datenpaketen (P) gleichlaufend oder gegenläufig ist.
  7. Verfahren nach einem der Ansprüche 1 bis 6, wobei die mindestens eine Regel für die Anomalieerkennung von den ermittelten Korrelationswerten abgeleitet wird, indem für mehrere Datenstromausschnitte Korrelationswerte zu jeweils zwei verschiedenen Datenabschnitten (B) ermittelt werden, wobei die Regel vorgibt, dass eine Änderung der aus verschiedenen Datenstromausschnitten erhaltenen Korrelationswerte in einem bestimmten Intervall liegen, insbesondere betragsmäßig einen vorgegebenen Schwellenwert unterschreiten.
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei die Datenpaketart (ID) durch eine in dem Datenpaket (P) enthaltene ID-Kennung bestimmt wird.
  9. Verfahren nach einem der Ansprüche 1 bis 8, wobei die mindestens eine Regel mithilfe eines (Convolutional) Autoencoders, eines LSTMs (Long short-term memory), eines Generative Adversarial Networks (GANs) generiert wird.
  10. Verfahren zur Anomalieerkennung, wobei Datenpakete eines Datenstroms entsprechend einer oder mehreren Regeln auf Anomalien überprüft werden, wobei mindestens eine der Regeln mit dem Verfahren nach einem der Ansprüche 1 bis 9 erstellt wird.
  11. Vorrichtung zum Erstellen mindestens einer Regel für ein regelbasiertes Anomalieerkennungsverfahren zur Erkennung von Anomalien in einem Datenstrom aus Datenpaketen, wobei die Datenpakete ein Datensegment aus einem oder mehreren Datenabschnitten umfassen und den Datenpaketen ein Zeitstempel und eine Datenpaketart zugeordnet sind, wobei die Vorrichtung ausgebildet ist, um: - Ein Referenzzeitsignal mit aufeinanderfolgenden Referenzzeitpunkten bereitzustellen; - für mindestens zwei Datenabschnitte aus einem oder mehreren durch eine ausgewählte Datenpaketart bestimmten Datenpaketen in einem Datenstromausschnitt, jeweils eine Zeitreihe von aufeinanderfolgenden Werten des betreffenden Datenabschnitts zu ermitteln, wobei die Werte der Zeitreihen den Werten des betreffenden Datenabschnitts entsprechen oder von diesen abhängen, wobei die Werte des betreffenden Datenabschnitts einem jeweiligen der Referenzzeitpunkte zugeordnet sind, - ein Korrelationsverfahren durchzuführen, um jeweils einen Korrelationswert für zwei verschiedene Zeitreihen zu ermitteln; - mindestens eine Regel für das regelbasiertes Anomalieerkennungsverfahren abhängig von den ermittelten Korrelationswerten zu erstellen.
  12. Vorrichtung zur Anomalieerkennung, die ausgebildet ist, um Datenpakete eines Datenstroms entsprechend einer oder mehreren Regeln auf Anomalien zu überprüfen, wobei mindestens eine der Regeln mit dem Verfahren nach einem der Ansprüche 1 bis 9 erstellt wird.
  13. Computerprogramm, welches dazu eingerichtet ist, alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 10 auszuführen.
  14. Elektronisches Speichermedium, auf welchem ein Computerprogramm nach Anspruch 13 gespeichert ist.
DE102017222616.1A 2017-12-13 2017-12-13 Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom Pending DE102017222616A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102017222616.1A DE102017222616A1 (de) 2017-12-13 2017-12-13 Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom
US16/179,195 US10958675B2 (en) 2017-12-13 2018-11-02 Method for the automated creation of rules for a rule-based anomaly recognition in a data stream
CN201811517476.7A CN110059904A (zh) 2017-12-13 2018-12-12 自动制订在数据流中基于规则的异常识别的规则的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017222616.1A DE102017222616A1 (de) 2017-12-13 2017-12-13 Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom

Publications (1)

Publication Number Publication Date
DE102017222616A1 true DE102017222616A1 (de) 2019-06-13

Family

ID=66629783

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017222616.1A Pending DE102017222616A1 (de) 2017-12-13 2017-12-13 Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom

Country Status (3)

Country Link
US (1) US10958675B2 (de)
CN (1) CN110059904A (de)
DE (1) DE102017222616A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210097438A1 (en) * 2019-10-01 2021-04-01 Kabushiki Kaisha Toshiba Anomaly detection device, anomaly detection method, and anomaly detection program

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9584395B1 (en) * 2013-11-13 2017-02-28 Netflix, Inc. Adaptive metric collection, storage, and alert thresholds
US11423143B1 (en) 2017-12-21 2022-08-23 Exabeam, Inc. Anomaly detection based on processes executed within a network
US11575688B2 (en) * 2018-05-02 2023-02-07 Sri International Method of malware characterization and prediction
US11431741B1 (en) * 2018-05-16 2022-08-30 Exabeam, Inc. Detecting unmanaged and unauthorized assets in an information technology network with a recurrent neural network that identifies anomalously-named assets
US11182929B2 (en) 2019-02-25 2021-11-23 Center For Deep Learning In Electronics Manufacturing, Inc. Methods and systems for compressing shape data for electronic designs
US11263496B2 (en) 2019-02-25 2022-03-01 D2S, Inc. Methods and systems to classify features in electronic designs
US11410048B2 (en) * 2019-05-17 2022-08-09 Honda Motor Co., Ltd. Systems and methods for anomalous event detection
US11625366B1 (en) 2019-06-04 2023-04-11 Exabeam, Inc. System, method, and computer program for automatic parser creation
US11436473B2 (en) * 2019-09-11 2022-09-06 Intuit Inc. System and method for detecting anomalies utilizing a plurality of neural network models
CN113364601B (zh) * 2020-03-02 2022-06-10 北京新能源汽车股份有限公司 一种通信矩阵平台库的信号变更方法及装置
US20210287071A1 (en) * 2020-03-12 2021-09-16 Morgan State University Method and Apparatus for Augmented Data Anomaly Detection
US11675799B2 (en) 2020-05-05 2023-06-13 International Business Machines Corporation Anomaly detection system
US11243833B2 (en) * 2020-05-05 2022-02-08 International Business Machines Corporation Performance event troubleshooting system
US11956253B1 (en) 2020-06-15 2024-04-09 Exabeam, Inc. Ranking cybersecurity alerts from multiple sources using machine learning
US20210397638A1 (en) * 2020-06-23 2021-12-23 Samsung Electronics Co., Ltd. System and method for cyberbullying detection
US11552974B1 (en) * 2020-10-30 2023-01-10 Splunk Inc. Cybersecurity risk analysis and mitigation
CN113794696B (zh) * 2021-08-27 2023-04-28 北京航空航天大学杭州创新研究院 一种基于因果模型的网络安全信息处理方法和系统

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5102844B2 (ja) * 2006-12-19 2012-12-19 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク・フローを解析する装置および方法
US9256224B2 (en) * 2011-07-19 2016-02-09 GE Intelligent Platforms, Inc Method of sequential kernel regression modeling for forecasting and prognostics
DE102012222885A1 (de) * 2012-12-12 2014-06-12 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Zuweisen von Zeitstempeln zu empfangenen Datenpaketen
US9401923B2 (en) * 2013-10-23 2016-07-26 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
EP2892199B1 (de) * 2014-01-06 2018-08-22 Argus Cyber Security Ltd. Globales Automobil-Sicherheitssystem
DE102014207479A1 (de) * 2014-04-17 2015-10-22 Robert Bosch Gmbh Verfahren zum Klassifizieren eines Datensegments bezüglich dessen Weiterverarbeitung
US10083071B2 (en) * 2014-12-30 2018-09-25 Battelle Memorial Institute Temporal anomaly detection on automotive networks
EP3113529B1 (de) * 2015-06-29 2020-09-16 Argus Cyber Security Ltd. System und verfahren zur zeitbasierten anomaliedetektion in einem fahrzeuginternen kommunikationsnetz
TWI583152B (zh) * 2015-08-14 2017-05-11 緯創資通股份有限公司 適用於異質網路架構的異常預測方法及系統
NL2015680B1 (en) * 2015-10-29 2017-05-31 Opt/Net Consulting B V Anomaly detection in a data stream.
US10200262B1 (en) * 2016-07-08 2019-02-05 Splunk Inc. Continuous anomaly detection service
CN106778700A (zh) * 2017-01-22 2017-05-31 福州大学 一种基于変分编码器中国手语识别方法
US10375098B2 (en) * 2017-01-31 2019-08-06 Splunk Inc. Anomaly detection based on relationships between multiple time series
CN107358195B (zh) * 2017-07-11 2020-10-09 成都考拉悠然科技有限公司 基于重建误差的非特定异常事件检测及定位方法、计算机
CN107423758A (zh) * 2017-07-15 2017-12-01 西安电子科技大学 从趋势点中提取序列重要点的驾培作弊学时识别方法
US10484410B2 (en) * 2017-07-19 2019-11-19 Cisco Technology, Inc. Anomaly detection for micro-service communications
US10628252B2 (en) * 2017-11-17 2020-04-21 Google Llc Real-time anomaly detection and correlation of time-series data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210097438A1 (en) * 2019-10-01 2021-04-01 Kabushiki Kaisha Toshiba Anomaly detection device, anomaly detection method, and anomaly detection program

Also Published As

Publication number Publication date
CN110059904A (zh) 2019-07-26
US10958675B2 (en) 2021-03-23
US20190182280A1 (en) 2019-06-13

Similar Documents

Publication Publication Date Title
DE102017222616A1 (de) Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom
EP3662639B1 (de) Verfahren und vorrichtung zum ermitteln von anomalien in einem kommunikationsnetzwerk
DE102011108678B4 (de) Ereignisgesteuertes Datamining-Verfahren zum Verbessern von Fehlercodeeinstellungen und zum Isolieren von Fehlern
DE102017223751A1 (de) Verfahren und Vorrichtung zur Erkennung von Anomalien in einem Datenstrom eines Kommunikationsnetzwerks
DE10007308A1 (de) Verfahren und Vorrichtung zur Ermittlung der verbleibenden Betriebsdauer eines Produktes
DE102018201718A1 (de) Verfahren und Vorrichtung zur Erkennung einer Anomalie in einem Datenstrom in einem Kommunikationsnetzwerk
EP3684015A1 (de) Vorrichtung und verfahren zur klassifizierung von daten insbesondere für ein controller area netzwerk oder ein automotive ethernet netzwerk
EP3282399A1 (de) Verfahren zur verbesserten erkennung von prozessanomalien einer technischen anlage sowie entsprechendes diagnosesystem
DE102017210787A1 (de) Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk
DE102017204745A1 (de) Architektur und Vorrichtung für eine fortschrittliche Arbitration in integrierten Steuerungen
DE102005040142A1 (de) Verfahren zur Identifikation komplexer Diagnosesituationen im Kundendienst
DE102018132658A1 (de) Verfahren zur rechnergestützten Auswertung einer Messung einer elektrischen Größe in einem Hochvolt-Bordnetz eines vorgegebenen elektrisch angetriebenen Kraftfahrzeugs
DE102019205085A1 (de) Selbstüberwachung einer auf künstlicher Intelligenz basierenden Funktion
DE102020207449B4 (de) Verfahren, Computerprogramm und Vorrichtung zum Verarbeiten von Signalen
EP3796117B1 (de) Diagnoseverfahren und diagnosesystem für eine verfahrenstechnische anlage
EP3620923A1 (de) Watchdog zur überwachung eines prozessors
DE102018221684A1 (de) Vorrichtung und Verfahren zur Anomalieerkennung und zum Trainieren eines Modells für eine Anomalieerkennung
DE102016117571B3 (de) Watchdog mit Mustererkennung für wiederkehrende Lastsituationen und mit einem Empfangszeitraum gesteuerten Zwischenspeicher
EP3454154A1 (de) Automatisierte erkennung von statistischen abhängigkeiten zwischen prozessmeldungen
DE10315344B4 (de) Verfahren und Vorrichtung zur Erkennung fehlerhafter Komponenten in Fahrzeugen
EP2338248B1 (de) Verfahren zum betreiben eines kommunikationssystems mit mehreren knoten und kommunikationssystem dafür
DE102016117568B3 (de) Verfahren zum Betrieb eines Watchdog umfassend eine Mustererkennung für wiederkehrende Lastsituationen
DE102020107528A1 (de) System zur Fehler-Diagnose und/oder Fehler-Prognose in Kraftfahrzeugen
DE102016117569B3 (de) Watchdog mit Mustererkennung für wiederkehrende Lastsituationen und mit einem Empfangszeitraum gesteuerten Schieberegister
DE102016117567B3 (de) Watchdog mit Mustererkennung für wiederkehrende Lastsituationen mit einem empfangsgesteuerten Zwischenspeicher

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000