-
Technisches Gebiet
-
Die Erfindung betrifft Anomalieerkennungsverfahren zum Erkennen von AnomalieDaten in einem Datenstrom sowie Verfahren zum Erstellen von Regeln zur Erkennung von anomalen Datensegmenten in einem Datenstrom.
-
Technischer Hintergrund
-
In Systemen mit mehreren Steuergeräten können Daten zwischen den Steuergeräten über ein Netzwerk, wie beispielsweise einen seriellen Feldbus, ausgetauscht werden. Ein Beispiel für einen solchen Feldbus ist der CAN-Bus (CAN: Controller Area Network). Der CAN-Bus wird vorwiegend in Kraftfahrzeugen eingesetzt und ermöglicht eine paketgebundene Datenübertragung von einem Steuergerät zu einem oder mehreren weiteren angeschlossenen Steuergeräten.
-
Bei der Übertragung von Daten über den seriellen Feldbus können im realen Betrieb Abweichungen von einem Normalverhalten auftreten, die als Anomalie bezeichnet werden. Ursachen für derartige Abweichungen können defekte oder ausgefallene Teilsysteme bzw. Steuergeräte sein, die fehlerhafte oder keine Daten bereitstellen. Weiterhin können Systeme durch eine externe Quelle manipuliert werden, wobei über den Feldbus übertragene Datenpakete manipuliert oder neue Datenpakete eingeschleust werden. Bei einem ordnungsgemäß arbeitenden System werden zwischen Steuergeräten, die über das Bussystem miteinander verbunden sind, Datenpakete fehlerfrei übermittelt, wobei in der Regel die Datenpakete im Allgemeinen durch spezifische, sowohl stationäre als auch zeitliche Korrelationen voneinander abhängen.
-
Für die Betriebssicherheit von Fahrzeugsystemen ist es wesentlich, Anomalien frühzeitig zu erkennen, insbesondere Anomalien, die in Verbindung mit einer Manipulation des Fahrzeugsystems von außen auftreten. Dafür wird die Datenkommunikation durch ein Anomalieerkennungsverfahren überwacht.
-
Heutige Anomalieerkennungsverfahren sind oft regelbasiert. Regeln entsprechen Definitionen für Ereignisse, die ein mögliches anomales Verhalten darstellen können, und bestehen aus einer Liste von Abfragen, Überprüfungen und Folgerungen, anhand derer Datenabschnitte, Datenpakete oder Gruppen von Datenpaketen des über den Feldbus übertragenen Datenstroms überprüft werden. Diese Regeln werden dabei aus einer Kommunikations-Matrix manuell abgeleitet, so dass der Aufbau des Regelsystems nicht generalisierbar ist und für jeden Fahrzeugtyp separat vorgenommen werden muss. Das Erstellen der Regeln basierend auf der Kommunikations-Matrix erfolgt in der Regel entsprechend der Matrixspezifikation, d. h. auf Basis der Häufigkeit des Bereitstellens der Information bzw. der Art der übermittelten Informationen. In so aufgestellten Regeln werden physikalische Beziehungen zwischen den übertragenen Informationen nicht berücksichtigt bzw. nicht erfasst.
-
Offenbarung der Erfindung
-
Erfindungsgemäß sind ein Verfahren zum Erstellen von Regeln für ein regelbasiertes Anomalieerkennungsverfahren für einen über eine Kommunikationsverbindung übertragenen Datenstrom gemäß Anspruch 1 sowie ein Anomalieerkennungsverfahren und ein Anomalieerkennungssystem gemäß dem nebengeordneten Anspruch vorgesehen.
-
Weitere Ausgestaltungen sind in den abhängigen Ansprüchen angegeben.
-
Gemäß einem ersten Aspekt ist ein Verfahren zum Erstellen von mindestens einer Regel für ein regelbasiertes Anomalieerkennungsverfahren zur Erkennung von Anomalien in einem Datenstrom aus Datenpaketen vorgesehen, wobei die Datenpakete ein Datensegment aus einem oder mehreren Datenabschnitten umfassen und den Datenpaketen ein Zeitstempel und eine Datenpaketart zugeordnet sind, mit folgenden Schritten:
- - Bereitstellen eines Referenzzeitsignals mit aufeinanderfolgenden Referenzzeitpunkten;
- - für mindestens zwei Datenabschnitte aus einem oder mehreren durch eine ausgewählte Datenpaketart bestimmten Datenpaketen in einem Datenstromausschnitt, Ermitteln jeweils einer Zeitreihe von aufeinanderfolgenden Werten des betreffenden Datenabschnitts, wobei die Werte der Zeitreihen den Werten des betreffenden Datenabschnitts entsprechen oder von diesen abhängen, wobei die Werte des betreffenden Datenabschnitts einem jeweiligen der Referenzzeitpunkte zugeordnet sind;
- - Durchführen eines Korrelationsverfahrens, um jeweils einen Korrelationswert für mindestens zwei verschiedenen Zeitreihen zu ermitteln; und
- - Erstellen der mindestens einen Regel für das regelbasiertes Anomalieerkennungsverfahren abhängig von den ermittelten Korrelationswerten.
-
Eine Idee des obigen Verfahrens zur Erstellung von Regeln für ein regelbasiertes Anomalieerkennungsverfahren besteht darin, dass die Regeln durch eine Analyse eines Datenstromausschnitts automatisch erstellt werden können. Dazu werden Korrelationen zwischen Werten von Datenabschnitten in Datenpaketen ausgewertet, so dass Abhängigkeiten zwischen unterschiedlichen Datenabschnitten gleicher oder unterschiedlicher Quellen, aufgefunden werden können. Auf diese Weise können Regeln für das Anomalieerkennungsverfahren erstellt werden, die selbst bei Vorhandensein der Kommunikations-Matrix aus dieser nicht ohne weiteres abgeleitet werden können. Durch Aufstellen einer Korrelationsmatrix können positive wie negative Korrelationen erkannt werden. Daraus können automatisiert Regeln erstellt werden. Dies erweitert die Möglichkeiten für das Erstellen eines Regelsystems für ein Anomalieerkennungsverfahren.
-
Im Sinne dieser Erfindung entspricht der Begriff des Datenpakets einer Datenfolge, denen ein logischer Zusammenhang zugeordnet werden kann.
-
Weiterhin kann das Referenzzeitsignal durch die Zeitpunkte von Zeitstempeln von aufeinanderfolgenden Datenpakete mit einer ausgewählten identischen Datenpaketart oder durch einen synthetischen Zeitvektor, beispielsweise einen äquidistanten Zeitvektor mit vorgegebener Frequenz, vorgegeben sein.
-
Gemäß einer Ausführungsform können die Werte des betreffenden Datenabschnitts den Referenzzeitpunkten zugeordnet werden, indem für jeden der Referenzzeitpunkte aus den Zeitstempeln des Auftretens des Datenpakets mit dem betreffenden Datenabschnitt ein Zeitstempel mit zeitlichem Bezug ausgewählt wird, insbesondere derjenige Zeitstempel, der dem betreffenden Referenzzeitpunkt am nächsten liegt, und der Wert des betreffenden Datenabschnitts aus dem Datenpaket mit dem ausgewählten Zeitstempel der Zeitreihe hinzugefügt wird.
-
Es kann vorgesehen sein, dass die Werte der Zeitreihen über Interpolationsverfahren aus den Werten des betreffenden Datenabschnitts ermittelt werden, insbesondere Nearest Neighbor, Linear Mixed Neighbor, Previous Neighbor, Shape-Preserving Piecewise Cubic Interpolation.
-
Weiterhin können die Korrelationswerte mithilfe einer Pearson-Korrelation ermittelt werden.
-
Gemäß einer Ausführungsform kann die Regel für die Anomalieerkennung von den ermittelten Korrelationswerten abgeleitet werden, indem für diejenigen Datenabschnitte, für die der Korrelationswert in einem bestimmten Intervall liegt, insbesondere einen Betrag aufweist, der größer ist als eine vorgegebene Korrelationsschwelle, eine Regel erstellt wird, wobei die Regel vorgibt, dass eine zeitliche Änderung der Werte der betreffenden Datenabschnitte in zeitlich nacheinander übermittelten Datenpaketen gleichlaufend oder gegenläufig ist.
-
Es kann vorgesehen sein, dass die Regel für die Anomalieerkennung von den ermittelten Korrelationswerten abgeleitet wird, indem für mehrere Datenstromausschnitte Korrelationswerte zu jeweils zwei verschiedenen Datenabschnitten ermittelt werden, wobei die Regel vorgibt, dass eine Änderung der aus verschiedenen Datenstromausschnitten erhaltenen Korrelationswerte in einem bestimmten Intervall liegen, insbesondere betragsmäßig einen vorgegebenen Schwellenwert unterschreiten.
-
Insbesondere kann die Datenpaketart durch eine in dem Datenpaket enthaltene ID-Kennung bestimmt werden.
-
Es kann vorgesehen sein, dass die mindestens eine Regel mithilfe eines (Convolutional) Autoencoders, eines LSTMs (Long short-term memory), eines Generative Adversarial Networks (GANs) generiert wird.
-
Gemäß einem weiteren Aspekt ist ein Verfahren zur Anomalieerkennung vorgesehen, wobei Datenpakete eines Datenstroms entsprechend einer oder mehreren Regeln auf Anomalien überprüft werden, wobei mindestens eine der Regeln mit dem obigen Verfahren erstellt ist.
-
Gemäß einem weiteren Aspekt ist eine Vorrichtung zum Erstellen mindestens einer Regel für ein regelbasiertes Anomalieerkennungsverfahren zur Erkennung von Anomalien in einem Datenstrom aus Datenpaketen vorgesehen, wobei die Datenpakete ein Datensegment aus einem oder mehreren Datenabschnitten umfassen und den Datenpaketen ein Zeitstempel und eine Datenpaketart zugeordnet sind, wobei die Vorrichtung ausgebildet ist, um:
- - Ein Referenzzeitsignal mit aufeinanderfolgenden Referenzzeitpunkten bereitzustellen;
- - für mindestens zwei Datenabschnitte aus einem oder mehreren durch eine ausgewählte Datenpaketart bestimmten Datenpaketen in einem Datenstromausschnitt, jeweils eine Zeitreihe von aufeinanderfolgenden Werten des betreffenden Datenabschnitts zu ermitteln, wobei die Werte der Zeitreihen den Werten des betreffenden Datenabschnitts entsprechen oder von diesen abhängen, wobei die Werte des betreffenden Datenabschnitts einem jeweiligen der Referenzzeitpunkte zugeordnet sind,
- - ein Korrelationsverfahren durchzuführen, um jeweils einen Korrelationswert für zwei verschiedene Zeitreihen zu ermitteln;
- - mindestens eine Regel für das regelbasiertes Anomalieerkennungsverfahren abhängig von den ermittelten Korrelationswerten zu erstellen.
-
Gemäß einem weiteren Aspekt ist eine Vorrichtung zur Anomalieerkennung vorgesehen, die ausgebildet ist, um Datenpakete eines Datenstroms entsprechend einer oder mehreren Regeln auf Anomalien zu überprüfen, wobei mindestens eine der Regeln mit dem obigen Verfahren erstellt wird.
-
Figurenliste
-
Ausführungsformen werden nachfolgend anhand der beigefügten Zeichnungen näher erläutert. Es zeigen:
- 1 eine schematische Darstellung eines Systems mit mehreren Steuergeräten, die über einen Kommunikationsbus miteinander verbunden sind;
- 2 ein Flussdiagramm zur Veranschaulichung eines Verfahrens zur Erstellung von Regeln für ein Anomalieerkennungsverfahren basierend auf automatisch erstellten Regeln;
- 3 ein Beispiel für einen Datenstromausschnitt;
- 4 ein Beispiel für ausgewählte Datenpakete entsprechend einer Referenz-ID-Kennung;
- 5 eine Darstellung zur Veranschaulichung des Vorgehens zur Erstellung einer Kommunikations-Matrix; und
- 6 eine Darstellung einer Korrelationsmatrix.
-
Beschreibung von Ausführungsformen
-
1 zeigt eine schematische Darstellung eines Gesamtsystems 1 mit mehreren Steuergeräten 2, die über einen Kommunikationsbus 3 (Kommunikationsverbindung) miteinander verbunden sind. Der Kommunikationsbus 3 kann einem Feldbus oder einem sonstigen Datenbus, wie z.B. einem CAN-Bus (Feldbus in Kraftfahrzeugen) entsprechen. Über den Kommunikationsbus 3 kann ein Datenstrom übertragen werden, der aus einer Abfolge von Daten, die logisch in aufeinanderfolgende Datenpakete aufgeteilt sind, besteht. Dabei wird ein Datenpaket von einem der Steuergeräte 2 zu mindestens einem weiteren der Steuergeräte 2 übertragen.
-
Mit dem Kommunikationsbus 3 ist ein Anomalieerkennungssystem 4 verbunden, das separat oder als Teil eines der Steuergeräte 2 ausgebildet sein kann. Das Anomalieerkennungssystem 4 liest die über den Kommunikationsbus 3 übertragenen Daten mit und führt eine Anomalieerkennung basierend auf vorgegebenen Regeln aus.
-
Die über den Kommunikationsbus 3 übertragenen Datenpakete P sind definiert durch bzw. enthalten einen Zeitstempel, d. h. dem Zeitpunkt, ab dem das betreffende Datenpaket P gesendet wird, einer Datenpaketart, die in den vorliegenden Ausführungsbeispielen als eine ID-Kennung angegeben wird, mit der die Quelle bzw. der Zweck des Datenpakets gekennzeichnet wird, und ein Datensegment S. Das Datensegment S kann jeweils ein oder mehrere Datenabschnitte B enthalten, die einer zu übertragenden Information entsprechen. Die Datenabschnitte B können jeweils einzelne Bits, Gruppen von Bits, ein oder mehrere Bytes umfassen.
-
Ein regelbasiertes Anomalieerkennungsverfahren wird ausgeführt, indem eine oder mehrere durch entsprechende Regeln vorgegebene Anomaliebedingungen bezüglich jedes der Datenabschnitte B überprüft werden. Ist mindestens eine Anomaliebedingung erfüllt, wird von einem nicht ordnungsgemäßen Datenpaket, d.h. einem Anomalie-Datenpakte, ausgegangen. Bisherige Regeln zur Anomalieerkennung stellen beispielsweise Abfragen für Datenpakete einer bestimmten ID-Kennung dar, so dass die Wertebereiche für die Datenabschnitte B der Datensegmente S definiert werden. Liegt beispielsweise ein Wert eines Datenabschnitts B außerhalb des vorbestimmten Bereiches, so wird eine Anomalie erkannt. Auch können Regeln zeitbasiert sein, wobei z.B. eine bestimmte Datenpaketart bzw. eine bestimmte ID-Kennung mindestens einmalig innerhalb eines vorbestimmten Zeitraums auftreten muss, andernfalls wird ebenfalls eine Anomalie erkannt. Ist keine Anomaliebedingung erfüllt, wird von einem unauffälligen, d.h. ordnungsgemäßen Datenpaket P ausgegangen.
-
Zur Erstellung bzw. Weiterbildung von Regeln für die Anomalieerkennung wird zusätzlich nachfolgendes Verfahren ausgeführt, das in Form eines Flussdiagramms in 2 veranschaulicht wird.
-
Das Verfahren basiert auf einem Ausschnitt eines Datenstroms, wie er beispielhaft in 3 dargestellt ist, mit einer Anzahl von Datenpaketen P mit verschiedenen ID-Kennungen ID.
-
In Schritt S1 wird ein Referenzzeitsignal t vorgegeben oder ermittelt, das Zeitpunkte definiert, auf die sich eine Untersuchung von Datenpaketen P beziehen sollen.
-
Zur Ermittlung eines Referenzzeitsignals t kann eine Referenz-ID ausgewählt werden, die insbesondere ein Datenpaket mit einer ID-Kennung ID ist, das eine zentrale Rolle bei der Kommunikation zwischen den Steuergeräten 2 spielt. Aus dem Datenstromausschnitt werden nun alle Datenpakete P mit dieser Referenz-ID-Kennung extrahiert, wie in 4 dargestellt. Die Zeitstempel t1, ..., tn dieser Datenpakete stellen das Referenzzeitsignal t = (t1, ..., tn) dar. Weiterhin kann das Referenzzeitsignal t kann auch unabhängig von einer vorgegebenen Referenz-ID-Kennung bereitgestellt werden, beispielsweise durch einen äquidistanten Zeitvektor mit vorgegebener Frequenz.
-
In einem nachfolgenden Schritt S2 wird eine Matrix M aufgebaut, wie es in 5 veranschaulicht ist. Die Spalten entsprechen den Zeitpunkten t1, ..., tn des Referenzzeitsignals t.
-
Weiterhin wird zum Aufbau der Matrix M für eine oder mehrere ausgewählte ID-Kennungen ID oder alle ID-Kennungen ID1..h (mit Anzahl h von betrachteten ID-Kennungen) jeweils ein zugehöriges Zeitsignal s = (s1, ..., sm) extrahiert, das die Zeitstempel des Auftretens des mit der jeweiligen ID-Kennung versehenen Datenpakets angibt.
-
Nachfolgend wird für jeden Referenzzeitpunkt t
i=i...n des Referenzzeitsignals nun für jede der ausgewählten ID-Kennungen ID ein Zeitpunkt s
k aus dem der ID-Kennung zugehörigen Zeitsignal
s ausgewählt. Dies kann beispielsweise so erfolgen, dass zu jedem Referenzzeitpunkt t
i=i...n ein Zeitpunkt
sk ausgewählt wird, der dem betreffenden Referenzzeitpunkt am nächsten liegt, nämlich bestimmt durch
Zur Auffindung des Zeitvergleichssignals können zusätzlich zu der oben genannten Beziehung auch eine oder mehrere Nebenbedingungen, wie z. B. der Zeitpunkt des Zeitstempels des Datenpakets soll zeitlich nach dem Referenzzeitpunkt liegen, berücksichtigt werden.
-
Nun werden jedem Datenabschnitt B1..z jedes der Datenpakete P der ausgewählten ID-Kennungen ID1..h, als separate Zeilen in die Matrix M berücksichtigt. Dazu werden die den jeweiligen Referenzzeitpunkten ti=1...n (Spalten) zugeordneten Werte der Datenabschnitte in die dem jeweiligen Referenzzeitpunkt ti=1...n zugeordneten Spalte eingefügt.
-
Auf diese Weise wird eine Matrix M aufgebaut, die die Werte der einzelnen Datenabschnitte B1..z jeder der ausgewählten ID-Kennungen ID1..n, die den aufeinanderfolgenden Zeitpunkten ti=1..n zugeordnet sind, enthalten. Anstelle der Werte können auch Angaben, die sich durch eine auf die Werte Rechenvorschrift ermittelt wird. Insbesondere können hier verschiedene Interpolationsmethoden, wie beispielsweise Nearest Neighbor, Linear Mixed Neighbor, Previous Neighbor, Shape-Preserving Piecewise Cubic Interpolation und dergleichen verwendet werden. Es ist selbstverständlich möglich, die Matrix anders aufzubauen. Z.B. hat die Reihenfolge der Zeilen keine gesonderte Relevanz oder die Matrix könnte auch mit Zeilen und Spalten vertauscht gebildet werden.
-
Ist die Matrix M erstellt, kann in Schritt S3 eine Korrelationsmatrix K berechnet werden. Dies kann beispielsweise mithilfe einer Pearson-Korrelation durchgeführt werden. Ein Korrelationskoeffizient nach Pearson stellt ein Maß für die Stärke einer linearen Korrelation zwischen zwei Größen dar.
-
Der Pearson-Korrelationskoeffizient k
Za,Zbwischen zwei verschiedenen Zeilen Za, Zb der Korrelations-Matrix
M kann anhand folgender Formel berechnet werden:
Auch andere Verfahren zum Ermitteln von Korrelationskoeffizienten für Zeitreihen können angewendet werden, wie z.B. der Rangkorrelationskoeffizient nach Spearman.
-
Die Einträge kZa,Zb der Korrelationsmatrix K geben an, wie stark die verschiedenen Reihen der Datenabschnitte B miteinander korreliert sind. Die Werte von Korrelationskoeffizienten nahe 1 weisen auf eine große positive Korrelation hin, ein Wert in der Nähe von -1 auf eine stark negative Korrelation. Ein Korrelationskoeffizient vom Wert 0 gibt an, dass die entsprechenden Datenabschnitte B der gleichen oder verschiedener Datenpakete P unkorreliert sind.
-
In 6 ist eine graphische Visualisierung einer beispielhaften Korrelationsmatrix K dargestellt, wobei unterschiedliche Schraffuren unterschiedlichen Korrelationskoeffizienten entsprechen.
-
In einem Schritt S4 können aus der Korrelationsmatrix Regeln für die Anomalieerkennung abgeleitet werden.
-
So können beispielsweise vorgegebene Schwellwerte δ+ und δ- verwendet werden, so dass nur Korrelationen mit Korrelationskoeffizienten größer als 1 - δ+ bzw. kleiner als -1 + δ- zur Regelgenerierung berücksichtigt werden. Daraus kann beispielsweise eine Regel abgeleitet werden, die eine Form aufweisen kann:
- „Wenn der Wert des x-ten Datenabschnitts der ID-Kennung IDw zunimmt, nimmt auch der Wert des y-ten Bytes der ID-Kennung IDv zu“
-
Dies entspricht dem Beispiel für Datenabschnitte, die stark positiv korreliert sind.
-
Des Weiteren können Regeln aufgestellt werden, die die Einhaltung des Korrelationskoeffizienten zumindest in einem definierten Toleranzbereich überprüfen. Hierzu kann beispielsweise ein Zeitfenster T definiert werden, in dem ein Datenausschnitt aus der Kommunikation über den Kommunikationsbus 3 erfasst wird und eine entsprechende Matrix MT' wie oben beschrieben aufgebaut wird, der ein entsprechendes Referenzzeitsignal tT zugrunde liegt. Zu M'T kann die entsprechende Korrelationsmatrix KT wie oben beschrieben ermittelt werden. Nun können die Korrelationsmatrizen M, MT' auf Abweichungen der Korrelationswerte k überprüft werden. Liegen keine Abweichungen außerhalb von definierten Toleranzen vor, so können Regeln definiert werden, die auf den Korrelationswerten zwischen zwei verschiedenen Datenabschnitten basieren. D. h., bei einer signifikanten Änderung einer Korrelation zwischen zwei Datenabschnitten von Datensegmente mit verschiedenen ID-Kennungen wird eine Anomalie festgestellt.
-
Alternativ können iterativ Zeitfenster T1, T2, T3, ... definiert werden und die zugehörigen Korrelationsmatrizen berechnet werden. Es ist im Regelfall davon auszugehen, dass die Änderungen der Korrelationskoeffizienten geringer als ein vorgegebener Toleranzbetrag sind. Durch das Auffinden einer Änderung von einem der Korrelationskoeffizienten, der den Toleranzbetrag übersteigt, kann auch in einem kontinuierlichen Vergleich zwischen den Korrelationsmatrizen nach sprunghaften Änderungen in den Korrelationswerten gesucht werden, um eine Anomalie aufzufinden.
-
Neben der Erstellung von neuen Regeln für eine regelbasierte Anomalieerkennung kann die Korrelationsmatrix als Vorverarbeitung für die Anomalieerkennung mithilfe eines Convolutional Neural Net genutzt werden.
-
So können mehrere Korrelationsmatrizen K(W1...c) für Datenstromausschnitte in verschiedenen Zeitfenstern W1...c dazu verwendet werden, um ein Convolutional Neural Net zu trainieren, wobei die zugehörigen Matrizen M' als „Bild“ interpretiert werden.
-
Es können verschiedene bekannte Verfahren zur Anomalieerkennung eingesetzt werden. Aus diesen lassen sich dann wiederum Regeln ableiten (wie z.B. bei den Autoencodern in der Form:
- „Ist der Rekonstruktionsfehler größer als eine vorgegebene Schwelle, signalisiere eine Anomalie“.
-
Die Regeln werden also nicht direkt aus der Korrelationsmatrix, sondern indirekt aus dem nachgestellten Verfahren abgeleitet.
- - Anomalieerkennung mit (Convolutional) Autoencodern: Autoencoder haben als Ein- und Ausgangsgröße dieselbe Dimension. Beim Training eines Autoencoders wird als Optimierungsziel der Rekonstruktionsfehler minimiert. Wird das System auf Normaldaten trainiert, ist davon auszugehen, dass Normaldaten gut rekonstruiert werden können, also einen geringen Rekonstruktionsfehler aufweisen, Anomalien hingegen nur schlecht rekonstruiert werden können und somit einen großen Rekonstruktionsfehler aufweisen. Liegt der Rekonstruktionsfehler bei einer Eingabe über/unter einer definierten Schwelle, wird eine Anomalie erkannt. Bei einem auf eine oder mehrere Korrelationsmatrizen trainierten Autoencoder kann also eine Anomalie anhand eines Rekonstruktionsfehlers ermittelt werden. Eine entsprechende Regel kann daher auf einen Schwellwertvergleich eines Rekonstruktionsfehlers für eine Korrelationsmatrix gerichtet sein.
- - Anomalieerkennung mit LSTMs (Long short-term memory): LSTMs berücksichtigen im Training zeitliche Abhängigkeiten. Im Training können sie beispielsweise darauf konditioniert werden, zu einem Datenstromausschnitt eine nachfolgende Sequenz vorherzusagen. Wird ein solches System auf Normaldaten trainiert, ist davon auszugehen, dass das System für Normaldaten eine nachfolgende Sequenz gut vorhersagt und für Anomaliedaten nur eine schlechte Vorhersage macht. Ist die Abweichung von vorhergesagten Sequenzen zu den realen Daten größer/kleiner als eine vorgegebene Schwelle, wird dies als Anomalie erkannt.
- - Anomalieerkennung mit Hilfe von Generative Adversarial Networks (GANs): GANs können dazu verwendet werden, um aus einem unüberwachten Lernproblem (nur Vorlage von Normaldaten) ein überwachtes Lernproblem zu erstellen, indem durch eine geschickte Wahl einer zu optimierenden Kostenfunktion der Generator des GANs darauf konditioniert wird, Anomalien zu erzeugen. Zeitgleich wird der Diskriminator daraufhin trainiert, Normaldaten von diesen Anomalien unterscheiden zu können. Trainiert man dieses System lange genug, ist der Diskriminator damit in der Lage, Anomaliedaten von echten Daten zu unterscheiden. Als Ausgabe des Diskriminators wird beispielsweise die Wahrscheinlichkeit für das Auftreten einer Anomalie angegeben. Im trainierten Zustand kann der Diskriminator dann beispielsweise mit Hilfe eines Schwellwertvergleichs als Anomalieerkennungssystem verwendet werden.