DE112020005071B4 - Verfahren für eine datenschutzgerechte anomalie-erkennung im iot - Google Patents

Verfahren für eine datenschutzgerechte anomalie-erkennung im iot Download PDF

Info

Publication number
DE112020005071B4
DE112020005071B4 DE112020005071.8T DE112020005071T DE112020005071B4 DE 112020005071 B4 DE112020005071 B4 DE 112020005071B4 DE 112020005071 T DE112020005071 T DE 112020005071T DE 112020005071 B4 DE112020005071 B4 DE 112020005071B4
Authority
DE
Germany
Prior art keywords
message
messages
model
entity
time window
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112020005071.8T
Other languages
English (en)
Other versions
DE112020005071T5 (de
Inventor
Omri Soceanu
Lev Greenberg
Ehud Aharoni
Allon Adir
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112020005071T5 publication Critical patent/DE112020005071T5/de
Application granted granted Critical
Publication of DE112020005071B4 publication Critical patent/DE112020005071B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Alarm Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Verfahren, das in einem Computer umgesetzt wird, der einen Prozessor, einen durch den Prozessor zugänglichen Arbeitsspeicher und Computerprogrammanweisungen aufweist, die in dem Arbeitsspeicher gespeichert und durch den Prozessor ausführbar sind, wobei das Verfahren aufweist:Sammeln einer Mehrzahl von Nachrichten zu und von mindestens einer Einheit auf dem Computersystem;Extrahieren von Metadaten-Merkmalen aus der gesammelten Mehrzahl von Nachrichten auf dem Computersystem, wobei die extrahierten Metadaten-Merkmale mindestens eines von einer ID der mindestens einen jeder Nachricht zugehörigen Einheit, einer Nachrichtengröße jeder Nachricht, einer Datenübertragungsrichtung jeder Nachricht und einer Datenübertragungszeit jeder Nachricht aufweisen;Generieren eines Zeitfensters auf dem Computersystem, wobei eine Größe des Zeitfensters auf Grundlage einer Häufigkeit einer Datenübertragung der Mehrzahl von Nachrichten ausgewählt wird, und um zu ermöglichen, dass eine nützliche Anzahl von Nachrichten in einem einzelnen Zeitfenster gesammelt werden;Bestimmen von zusätzlichen Merkmalen auf Grundlage der extrahierten Metadaten-Merkmale, die während des Zeitfensters vorhanden sind, auf dem Computersystem, wobei die zusätzlichen Merkmale mindestens eines von zeitlichen Aspekten mit Intervallen oder Häufigkeiten, mit denen eine Einheit Nachrichten sendet, und durchschnittliche Zeiträume oder Häufigkeiten von Nachrichten, zeitliche Hierarchien mit mindestens einem Wochentag, einer Tageszeit und einem Anteil einer Stunde, und Abfolgen von Nachrichten mit mindestens Mustern von Nachrichtenlänge, Nachrichtentyp, Einheiten-IDs von spezifischen Einheiten, Einheitentyp und Einheitenklasse aufweisen, wobei ein Bestimmen von extrahierten Metadaten-Merkmalen, die während des Zeitfensters vorhanden sind, mindestens ein Zählen einer Anzahl von Nachrichten zu und von der mindestens einen Einheit während des Zeitfensters und ein Generieren eines Histogramms von verschiedenen Nachrichtengrößen während des Zeitfensters aufweist;Erkennen von Verhaltensmustern der mindestens einen Einheit auf dem Computersystem auf Grundlage der gesammelten Mehrzahl von Nachrichten;Clustering der bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster auf dem Computersystem, die während des Zeitfensters vorhanden sind, wobei das Clustering mindestens ein K-Means-Clustering und hierarchisches Clustering aufweist;Erstellen eines Gemischte-Normalverteilungs-Modells von Nachrichtenmustern auf dem Computersystem, wobei das Erstellen eines Gemischte-Normalverteilungs-Modells zur Unterstützung der Erkennung von mindestens einer Anomalie mindestens aufweist:Erstellen eines Modells von Histogrammen von historischen Nachrichtengrößen der mindestens einen Einheit und ihres Clusters auf dem Computersystem, wobei das Modell eine gemischte Normalverteilung hat, und Erkennen einer Anomalie, wenn eine Größe einer Nachricht von der gemischten Normalverteilung des Modells abweicht;Erstellen eines Modells von historischen Nachrichtenzählungen der mindestens einen Einheit und ihres Clusters auf dem Computersystem, wobei das Modell eine Normalverteilung hat, und Erkennen einer Anomalie, wenn eine Nachrichtenzählung der mindestens einen Einheit von der Normalverteilung des Modells abweicht; undErkennen von mindestens einer Anomalie oder einem Anomalietyp durch Verwenden der in Clustern gruppierten bestimmten zusätzlichen Merkmale, des Modells und der erkannten Verhaltensmuster auf dem Computersystem.

Description

  • HINTERGRUND
  • Die vorliegende Erfindung betrifft Techniken zum Erkennen von Cyber-Sicherheitsereignissen in einem IoT-Datenverkehr, die eine verbesserte Erkennungsgenauigkeit und Wahrung von Datenschutz bereitstellen.
  • Da immer mehr Einheiten des Internet ofThings (loT) mit dem Web verbunden werden, wird die Anforderung, Cyber-Sicherheitsereignisse zu erkennen, immer bedeutender. Ein Netzwerkdatenverkehr durch loT-Einheiten besitzt bestimmte einzigartige Merkmale. Die Nutzung dieser Merkmale ermöglicht es Verteidigungselementen, anormale Abweichungen zu erkennen. Zum Beispiel können einige herkömmliche Techniken Anomalien in Daten erkennen, die von Sensoren durch Verwenden der Daten und des Kontexts der Daten generiert werden. Herkömmliche Techniken können die Daten filtern, statistische Analysen an den Daten durchführen und Kopfdatenfelder aus Paketen analysieren, die die Daten transportieren. Derartige herkömmliche Techniken lassen jedoch immer noch Spielraum für Verbesserungen in Bezug auf die Genauigkeit einer Erkennung sowie der Wahrung von Datenschutz.
  • Dementsprechend besteht ein Bedarf an Techniken zum Erkennen von Cyber-Sicherheitsereignissen in einem IoT-Datenverkehr, die eine verbesserte Erkennungsgenauigkeit und Wahrung von Datenschutz bereitstellen.
  • Die US 10 375 100 B2 offenbart ein Verfahren, das eine Identifizierung von Anomalien in einem Netzwerk ermöglicht. Das Verfahren kann von einem Netzwerkknoten durchgeführt werden, der einen oder mehrere Prozessoren und einen nichtflüchtigen Speicher umfasst, und kann eine Erzeugung eines charakteristischen Indikators, der einen Gerätetyp auf der Grundlage von Kommunikationen charakterisiert, die mit einem ersten Gerät des Gerätetyps zusammenhängen; eine Bestimmung eines Leistungsindikators, der eine Leistung der ersten Vorrichtung anzeigt, auf der Grundlage von Kommunikationen, die mit der ersten Vorrichtung zusammenhängen; und ein Synthetisieren eines Anomalieindikators als Funktion des Leistungsindikators in Bezug auf den charakteristischen Indikator umfassen.
  • Die US 2018 / 0 357 556 A1 offenbart Verfahren, Software und Systeme, einschließlich eines Verfahrens zur Erkennung von Anomalien durch maschinelles Lernen für einen Satz von Vermögenswerten wie z.B. Internet-of-Things- (loT-) Geräten. Vermögenswerte werden unter Verwendung einer Analyse zur Erkennung von Anomalien und eines Satzes von Regeln zur Erkennung von Anomalien analysiert. Jedem Vermögenswert sind korrelierte Datensätze zugeordnet, die Merkmale des jeweiligen Vermögenswerts und Merkmale von nicht-vermögenswertspezifischen Signalen umfassen. Jede Regel zur Erkennung von Anomalien ist mit Bedingungen verknüpft, die auf eine potenzielle Anomalie hindeuten. Mindestens eine Teilmenge der Vermögenswerte wird zur Darstellung in einer Benutzeroberfläche bereitgestellt. Für jeden Vermögenswert wird auf der Grundlage der Analyse zur Erkennung von Anomalien ein potenziell anomaler oder nicht anomaler Zustand identifiziert. Ein Benutzer gibt eine Eingabe ein, die mindestens einen Vermögenswert als anomal oder nicht-anomal identifiziert. Auf der Grundlage der empfangenen Eingaben wird mindestens eine Regel zur Erkennung von Anomalien geändert, die angewendet wurde, um die Anlage als anomal zu identifizieren. Die geänderte Regel wird für zukünftige Analysen gespeichert.
  • Die US 2010 / 0 034 102 A1 offenbart ein System und Verfahren zur Erstellung von Profilen für aggregierten Netzwerkdatenverkehr auf Subnetzebene. Das System ermöglicht es einem Benutzer, eine Sammlung von Merkmalen zu definieren, die zusammen das Verhalten des aggregierten Datenverkehrs auf Subnetzebene charakterisieren. Vorzugsweise umfassen die Merkmale ein tägliches Verkehrsaufkommen, ein tageszeitliches Verhalten, eine räumliche Verkehrsverteilung, ein Verkehrsgleichgewicht in Flussrichtung und eine Verkehrsverteilung nach Art der Anwendung. Das System wendet dann Techniken des maschinellen Lernens an, um die Teilnetze anhand der einzelnen Merkmale in eine Reihe von Clustern einzuteilen, indem es jedem Netz einen Zugehörigkeitswahrscheinlichkeitsvektor zuweist, so dass für jedes Netz Panoramaprofile anhand aller kombinierten Merkmale erstellt werden können. Diese Zugehörigkeitswahrscheinlichkeitsvektoren können optional zur Erkennung von Netzwerkanomalien oder zur Vorhersage des zukünftigen Netzwerkverkehrs verwendet werden.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Ausführungsformen können Techniken zum Erkennen von Cyber-Sicherheitsereignissen in einem IoT-Datenverkehr bereitstellen, die eine verbesserte Erkennungsgenauigkeit und Wahrung von Datenschutz bereitstellen. Ausführungsformen können zeitliche Hierarchien wie zum Beispiel Wochentag, Tageszeit und Anteil einer Stunde verwenden, um Metadaten-Informationen zu modellieren und Einheiten mit ähnlichem Verhalten in Clustern zu gruppieren. Ausführungsformen können eingeschränkte, diskrete Nachrichtengrößen verwenden, um eine eng gefasste Verhaltensmodellierung zu ermöglichen. Ausführungsformen können die relativ kleine Anzahl von verschiedenen Nachrichtengrößen identifizieren (die jeweils von einer Verteilung von Nachrichtengrößen mit geringer Varianz umgeben sind), um eine genauere Anomalie-Erkennung bereitzustellen, im Gegensatz zu einer Gaußschen Verteilung von Nachrichtengrößen mit starker Varianz. Die sehr aufgabenspezifische Natur dieser Einheiten ermöglicht es Verteidigungselementen (defenders) auch, verschiedene Abfolgen zu identifizieren, bei denen jede Abweichung als eine Anomalie zählen kann.
  • Zum Beispiel kann ein Verfahren in einer Ausführungsform in einem Computer umgesetzt werden, der einen Prozessor, einen durch den Prozessor zugänglichen Arbeitsspeicher und Computerprogrammanweisungen aufweist, die in dem Arbeitsspeicher gespeichert und durch den Prozessor ausführbar sind, wobei das Verfahren ein Sammeln einer Mehrzahl von Nachrichten zu und von mindestens einer Einheit auf dem Computersystem, ein Extrahieren von Metadaten-Merkmalen aus der gesammelten Mehrzahl von Nachrichten auf dem Computersystem, ein Generieren eines Zeitfensters auf dem Computersystem, ein Bestimmen von zusätzlichen Merkmalen auf Grundlage der extrahierten Metadaten-Merkmale auf dem Computersystem, die während des Zeitfensters vorhanden sind, ein Erkennen von Verhaltensmustern der mindestens einen Einheit auf Grundlage der gesammelten Mehrzahl von Nachrichten auf dem Computersystem, ein Clustering der bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster auf dem Computersystem, die während des Zeitfensters vorhanden sind, und ein Erkennen von mindestens einer Anomalie oder einem Anomalietyp durch Verwenden der in Clustern gruppierten bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster auf dem Computersystem aufweisen kann.
  • In Ausführungsformen können die extrahierten Metadaten-Merkmale mindestens eines einer ID von der mindestens einen jeder Nachricht zugehörigen Einheit, einer Nachrichtengröße jeder Nachricht, einer Datenübertragungsrichtung jeder Nachricht und Datenübertragungszeit aufweisen, und die zusätzlichen Merkmale weisen mindestens eines von zeitlichen Aspekten auf, einschließlich mindestens eines von Intervallen oder Häufigkeiten, mit denen eine Einheit Nachrichten sendet, und durchschnittliche Zeiträume oder Häufigkeiten von Nachrichten, zeitliche Hierarchien mit mindestens einem Wochentag, einer Tageszeit und einem Anteil einer Stunde, Abfolgen von Nachrichten mit mindestens Mustern von Nachrichtenlänge, Nachrichtentyp, Einheiten-IDs von spezifischen Einheiten, Einheitentyp und Einheitenklasse auf. Eine Größe des Zeitfensters kann auf Grundlage einer Häufigkeit einer Datenübertragung der mindestens einen Nachricht ausgewählt werden, und um zu ermöglichen, dass große Nachrichten in einem einzelnen Zeitfenster gesammelt werden. Das Verfahren kann ferner ein Sammeln einer Mehrzahl von Nachrichten zu und von einer Mehrzahl von Einheiten auf dem Computersystem, ein Erkennen von Verhaltensmustern von mindestens einem Einheitentyp auf dem Computersystem auf Grundlage der gesammelten Mehrzahl von Nachrichten, und ein Erkennen von mindestens einer Anomalie durch Verwenden der erkannten Verhaltensmuster des mindestens einen Einheitentyps aufweisen. Ein Bestimmen von extrahierten Metadaten-Merkmalen, die während des Zeitfensters vorhanden sind, kann mindestens ein Zählen einer Anzahl von Nachrichten zu und von der mindestens einen Einheit während des Zeitfensters und ein Generieren eines Histogramms von verschiedenen Nachrichtengrößen während des Zeitfensters aufweisen. Das Clustering weist mindestens ein K-Means-Clustering und ein hierarchisches Clustering auf. Das Erkennen von mindestens einer Anomalie kann mindestens ein Erstellen eines Modells von Histogrammen von historischen Nachrichtengrößen der mindestens einen Einheit und ihres Clusters auf dem Computersystem, wobei das Modell eine gemischte Normalverteilung hat, und ein Erkennen einer Anomalie, wenn eine Größe einer Nachricht von der gemischten Normalverteilung des Modells abweicht, ein Erstellen eines Modells von historischen Nachrichtenzählungen der mindestens einen Einheit und ihres Clusters auf dem Computersystem, wobei das Modell eine Normalverteilung hat, und ein Erkennen einer Anomalie, wenn eine Nachrichtenzählung der mindestens einen Einheit von einer Normalverteilung des Modells abweicht, und ein Erstellen eines Abfolgemodells von Metadaten-Merkmalen auf dem Computersystem auf Grundlage von historischen Nachrichtengrößenabfolgen von der mindestens einen Einheit und ihres Clusters, und Erkennen einer Anomalie auf Grundlage einer Abfolge von Nachrichten der mindestens einen Einheit aufweisen.
  • In einer Ausführungsform kann ein System einen Prozessor, einen durch den Prozessor zugänglichen Arbeitsspeicher und Computerprogrammanweisungen aufweisen, die in dem Arbeitsspeicher gespeichert und durch den Prozessor ausführbar sind, um ein Sammeln einer Mehrzahl von Nachrichten zu und von mindestens einer Einheit, ein Extrahieren von Metadaten-Merkmalen aus der gesammelten Mehrzahl von Nachrichten, ein Generieren eines Zeitfensters, ein Bestimmen von zusätzlichen Merkmalen auf Grundlage der extrahierten Metadaten-Merkmale, die während des Zeitfensters vorhanden sind, ein Erkennen von Verhaltensmustern der mindestens einen Einheit auf Grundlage der gesammelten Mehrzahl von Nachrichten, ein Clustering der bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster, die während des Zeitfensters vorhanden sind, und ein Erkennen von mindestens einer Anomalie oder einem Anomalietyp durch Verwenden der in Clustern gruppierten bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster durchzuführen.
  • In einer Ausführungsform kann ein Computerprogrammprodukt ein nicht flüchtiges, durch einen Computer lesbares Speichermedium mit darauf verkörperten Programmanweisungen aufweisen, wobei die Programmanweisungen durch einen Computer ausführbar sind, um den Computer zu veranlassen, ein Verfahren durchzuführen, das ein Sammeln einer Mehrzahl von Nachrichten zu und von mindestens einer Einheit auf dem Computersystem, ein Extrahieren von Metadaten-Merkmalen aus der gesammelten Mehrzahl von Nachrichten auf dem Computersystem, ein Generieren eines Zeitfensters auf dem Computersystem, ein Bestimmen von zusätzlichen Merkmalen auf Grundlage der extrahierten Metadaten-Merkmale auf dem Computersystem, die während des Zeitfensters vorhanden sind, ein Erkennen von Verhaltensmustern der mindestens einen Einheit auf Grundlage der gesammelten Mehrzahl von Nachrichten auf dem Computersystem, ein Clustering der bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster auf dem Computersystem, die während des Zeitfensters vorhanden sind, und ein Erkennen von mindestens einer Anomalie oder einem Anomalietyp durch Verwenden der in Clustern gruppierten bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster auf dem Computersystem aufweisen kann.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die Details der vorliegenden Erfindung, sowohl in Bezug auf ihre Struktur als auch die Betriebsweise, werden unter Bezugnahme auf die begleitenden Zeichnungen verständlich, in denen gleiche Bezugszeichen und Bezeichnungen auf ähnliche Elemente verweisen.
    • 1 veranschaulicht eine beispielhafte Darstellung eines Internet-of-Things-(loT) Systems, in dem Ausführungsformen der vorliegenden Systeme und Verfahren umgesetzt werden können.
    • 2 ist ein beispielhafter Ablaufplan eines Prozesses zur IoT-Anomalie-Erkennung gemäß Ausführungsformen der gegenwärtigen Techniken.
    • 3 ist eine beispielhafte Veranschaulichung eines IoT-Nachrichtenstroms gemäß Ausführungsformen der vorliegenden Systeme und Verfahren.
    • 4 ist ein beispielhaftes Blockschaubild eines Computersystems, in dem Prozesse umgesetzt werden können, die an den hierin beschriebenen Ausführungsformen beteiligt sind.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Ausführungsformen können Techniken zum Erkennen von Cyber-Sicherheitsereignissen in einem IoT-Datenverkehr bereitstellen, die eine verbesserte Erkennungsgenauigkeit und Wahrung von Datenschutz bereitstellen. Ausführungsformen können zeitliche Hierarchien wie zum Beispiel Wochentag, Tageszeit und Anteil einer Stunde verwenden, um Metadaten-Informationen zu modellieren und Einheiten mit ähnlichem Verhalten in Clustern zu gruppieren. Ausführungsformen können eingeschränkte, diskrete Nachrichtengrößen verwenden, um eine eng gefasste Verhaltensmodellierung zu ermöglichen. Ausführungsformen können die relativ kleine Anzahl von verschiedenen Nachrichtengrößen identifizieren (die jeweils von einer Verteilung von Nachrichtengrößen mit geringer Varianz umgeben sind), um eine genauere Anomalie-Erkennung im Gegensatz zu einer Gaußschen Verteilung von Nachrichtengrößen mit starker Varianz bereitzustellen. Die sehr aufgabenspezifische Natur dieser Einheiten ermöglicht Verteidigungselementen auch, verschiedene Abfolgen zu identifizieren, bei denen jede Abweichung als eine Anomalie zählen kann.
  • Ein beispielhaftes Blockschaubild eines Systems des Internet of Things (loT) 100 wird in 1 gezeigt. In diesem Beispiel wird eine Mehrzahl von loT-Einheiten 104A bis 104L im Datenaustausch über das Internet 102 verbunden. Die loT-Einheiten 104A bis 104L können Einheiten wie zum Beispiel Fahrzeuge 104A, Musik- und andere Audio-Einheiten 104B, Kameras 104C, Telefone, Smartphones, Tablets und andere Datenübertragungs- und Datenverarbeitungseinheiten 104D, Uhren und andere Zeitmesseinheiten 104E, Werkzeuge 104F, medizinische Geräte 104G, Haushaltsgeräte 104H, Gesundheitseinrichtungen 1041, Wettersensoren 104J, andere Sensoren 104K und andere Einheit 104L umfassen. Die IoT-Einheiten 104A bis 104L tauschen Daten mit allen über das Internet verbundenen Einheiten 106 aus, die im Datenaustausch mit dem Internet 102 verbunden sind, einschließlich anderen loT-Einheiten, Client-Computersystemen, Server-Computersystemen, der Cloud usw. Ein Cybersicherheits-Überwachungssystem 108 kann Datenübertragungsverkehr zu und von den loT-Einheiten 104A bis 104L überwachen und Cybersicherheits-Ereignisse erkennen und darauf reagieren. Zum Beispiel kann das Cybersicherheits-Überwachungssystem 108 Cybersicherheits-Ereignisse auf Grundlage von Datenverkehrsanomalien erkennen.
  • Ausführungsformen können eine Erkennung einer loT-Anomalie auf Grundlage aller nicht privaten Teile jeder Nachricht bereitstellen, wie zum Beispiel Metadaten und/oder alle anderen nicht privaten Teile der Kommunikationsnachrichten zu und von den IoT-Einheiten 104A bis 104L. In Ausführungsformen können die Nachrichten jedes öffentliche oder proprietäre, standardmäßige oder benutzerdefinierte Protokoll oder Format nutzen. Zum Beispiel können Nachrichten das Constrained Application Protocol von IETF, ZeroMQ, MQTT usw. nutzen.
  • In Ausführungsformen können direkt gesammelte Merkmale wie nichtprivate Teile von Nachrichten, zum Beispiel die Metadaten der loT-Nachrichten gesammelt werden. Derartige Metadaten können zum Beispiel Datum und/oder Uhrzeit einer Datenübertragung einer Nachricht, eine Nachrichtengröße oder -länge, eine ID der loT-Einheit, einen Einheitentyp wie zum Beispiel eine Kamera, einen Sensor usw., eine Datenübertragungsrichtung usw. umfassen. In dem Fall einer privaten Einheiten-ID kann ein Hash-Wert der privaten ID oder eine andere eindeutige, aber anonyme ID generiert werden. Damit werden private Informationen privat gehalten, aber eine eindeutige Identifizierung jeder Einheit wird durch Verwenden des nichtprivaten Hash-Werts oder einer anderen Kennung ermöglicht. Zusätzliche Merkmale können aus den gesammelten Merkmalen bestimmt oder berechnet werden. Zum Beispiel zeitliche Aspekte, wie beispielsweise Intervalle oder Häufigkeiten, mit denen eine Einheit Nachrichten sendet, durchschnittliche Zeiträume oder Häufigkeiten von Nachrichten, Abfolgen von Nachrichten wie zum Beispiel Muster von Nachrichtenlänge, Nachrichtentyp, Einheiten-IDs (im Hash-Format) von spezifischen Einheiten, Einheitentyp, Einheitenklasse usw. Ausführungsformen können eine Anzahl von Verfahren zum Erkennen von Anomalien auf Grundlage dieser Merkmale bereitstellen.
  • In der Regel können IoT-Kommunikationsnachrichten spezifische und eindeutige Verhaltensmuster aufweisen, die aus bestimmten Prozessen oder Merkmalen der loT-Einheit stammen können. Ein derartiges Verhalten von loT-Einheiten unterscheidet sich in der Regel von dem Verhalten, das Kommunikationsnachrichten von Nicht-loT-Einheiten aufweisen. Ausführungsformen können ein Erkennen einer loT-Anomalie auf Grundlage dieser IoT-Verhaltensmuster und/oder von Abweichungen von derartigen Mustern bereitstellen. Zum Beispiel können Nachrichten von typischen loT-Einheiten sehr regelmäßige Muster von Merkmalen zweiter Ebene aufweisen. Zum Beispiel können loT-Einheiten Nachrichten mit bestimmten zeitlichen Aspekten, wie zum Beispiel regelmäßige Zeitintervalle oder Häufigkeiten oder durchschnittliche Intervalle oder Häufigkeiten, bestimmte Muster von Nachrichtenlänge, bestimmte Abfolgen von Nachrichten auf Grundlage von Merkmalen wie beispielsweise Nachrichtentyp, Einheiten-ID (im Hash-Format), Einheitentyp usw. übertragen. In Ausführungsformen können Verhaltensmuster von Einheiten erkannt und/oder geschult werden, und Abweichungen von derartigen Mustern können eine Anomalie angeben.
  • In Ausführungsformen können loT-Nachrichten auf jede Art und Weise gesammelt werden, beispielsweise Überwachen von Netzwerkdatenverkehr an verschiedenen Punkten in dem Netzwerk, zum Beispiel an Netzwerk-Routern, Hubs, Gateways usw. sowie an Ursprungs- oder Zielpunkten von Netzwerkdatenverkehr.
  • Es ist anzumerken, dass der größte Teil der Verarbeitung, die mit Einheiten-Clustern durchgeführt werden kann, auch mit Einheitentypen erfolgen kann. Beides sind Gruppierungen von Einheiten. Die Einheiten in dem Cluster können unter Verwenden von Analysen durch Überwachen ihres üblichen Verhaltens zusammengestellt werden, wogegen ein Zusammenstellen nach Einheitentyp einfach durch Berücksichtigung des bestimmten Typs erfolgen kann- Da die Einheit anonym sein kann (da ihre private ID im Hash-Format vorliegen kann), kann der Einheitentyp verwendet werden, der nicht privat ist, und außerdem können Cluster automatisch auf Grundlage eines Analysierens von nicht privaten Metadaten erstellt werden, wie hierin beschrieben.
  • Ein beispielhafter Ablaufplan eines Prozesses 200 einer IoT-Anomalie-Erkennung wird in 2 gezeigt. Er sollte am besten in Verbindung mit 3 betrachtet werden, die eine beispielhafte Veranschaulichung eines IoT-Nachrichtenstroms 300 ist. Der Prozess 200 kann im Schritt 202 beginnen, in dem eine oder mehrere loT-Nachrichten 302A bis 302X gesammelt werden können, und Metadaten-Merkmale wie eine Einheiten-Hash-ID 304, eine Nachrichtengröße 306, eine Datenübertragungsrichtung 308 und eine Datenübertragungszeit 310 extrahiert werden können. In Ausführungsformen können die Sammlung und Extraktion durch den Eigentümer der Daten erfolgen, um sicherzustellen, dass keine privaten Daten offengelegt werden. Während zum Beispiel die Extraktion der Nachrichtengröße 306, der Datenübertragungsrichtung 308 und der Datenübertragungszeit 310 unkompliziert sein kann, kann für die Sammlung der Einheiten-Hash-ID 304 eine Reihe von Techniken verwendet werden, wie zum Beispiel eine reversible Verschlüsselung auf Schlüsselgrundlage der Einheiten-ID und Lookup-Tabellen von ID-Hash-Codes. In einem Schritt 204, nachdem die Metadaten-Merkmale extrahiert wurden, kann eine Anzahl von Merkmalen auf Grundlage eines Zeitfensters zweiter Ebene 312 für jede loT-Einheit berechnet oder generiert werden. Die Größe des Zeitfensters 312 kann abhängig von der Häufigkeit der Datenübertragung ausgewählt werden, um zu ermöglichen, dass eine ausreichend große Anzahl von Nachrichten in dem Zeitfenster gesammelt werden kann. Für verschiedene Merkmale können verschiedene Zeitfenster ausgewählt werden.
  • In Ausführungsformen kann ein grundlegendes berechnetes oder generiertes Zeitfenster-Merkmal die Gesamtanzahl von Nachrichten in dem Zeitfenster 312, die durchschnittliche Anzahl von Nachrichten in jedem Zeitfenster 312 sein. Zum Beispiel kann die Anzahl von Nachrichten gezählt werden, die eine loT-Einheit in jedem 10-Minuten-Fenster sendet/empfängt. In Ausführungsformen können aggregierte Merkmale ein komplexeres berechnetes oder generiertes Zeitfenster-Merkmal sein, wie beispielsweise ein Histogramm von verschiedenen Nachrichtengrößen im Zeitfenster 312. Zum Beispiel kann die Anzahl von Nachrichten, die eine loT-Einheit in jedem 10-Minuten-Fenster sendet/empfängt, für jede beobachtete Nachrichtengröße gezählt werden. Es ist anzumerken, dass es sich bei dem 10-Minuten-Zeitfenster nur um ein Beispiel handelt. Ausführungsformen können Zeitfenster jeder Länge verwenden, die notwendig ist, um eine nützliche Anzahl von Nachrichten während des Zeitfensters zu erkennen. Zum Beispiel können null oder nur ein paar Nachrichten pro Zeitfenster einen geringeren Nutzen haben, während hunderte oder tausende von Nachrichten pro Zeitfenster den Nutzen überschreiten können. In Ausführungsformen können Zeitfenster ausgewählt werden, um zum Beispiel 10 bis 100 Nachrichten pro Zeitfenster zu erkennen. Dies ist jedoch nur ein Beispiel. Das tatsächliche Zeitfenster kann zum Erkennen jeder gewünschten Anzahl von Nachrichten ausgewählt werden.
  • Ein Modell für das historische Verhalten jeder Einheit kann zum Beispiel durch Verfolgen von Nachrichtenzeitpunkten, Größen, Abfolgemustern usw. generiert werden. In Ausführungsformen kann jede Einheit durch ihre tatsächliche Einheiten-ID identifiziert werden, während in Ausführungsformen, in denen die tatsächliche Einheiten-ID privat gehalten werden muss, jede Einheit durch anonymisierte Informationen identifiziert werden kann, die jede Einheit eindeutig identifizieren. Zum Beispiel kann eine Einheit durch Verwenden eines Hash-Tags identifiziert werden, der durch ein Durchlaufen der Einheiten-ID durch eine Hash-Funktion generiert wird.
  • In einem Schritt 206 können die loT-Einheiten in Clustern gruppiert werden, um Gruppen von ähnlichen Einheiten zu erkennen. Ausführungsformen können einen Verlauf von berechneten oder generierten Zeitfenster-Merkmalen sammeln, der lang genug ist, um Gruppen von loT-Einheiten zu finden, die sich ähnlich verhalten. Zum Beispiel kann eine Gesamtanzahl von Nachrichten für eine Woche oder einen Monat gesammelt werden, und ein Clustering-Algorithmus wie beispielweise ein K-Means- oder hierarchisches Clustering (hierarchische Cluster-Analyse) kann angewendet werden, um Gruppen von loT-Einheiten zu finden, die sich ähnlich verhalten. Zum Beispiel können sich ähnliche Typen von Einheiten, wie beispielweise Kameras usw. ähnlich verhalten und somit in Clustern gruppiert werden.
  • Dementsprechend können in Ausführungsformen Verhaltensmuster einzelner Einheiten verwendet werden, um Verhaltensanomalien für diese Einheit zu erkennen. Ferner können in Ausführungsformen aggregierte/in Clustern gruppierte Einheitenverhaltensmuster für Gruppen von Einheiten verwendet werden, um Verhaltensanomalien für eine oder mehrere Einheiten in einem Cluster zu erkennen.
  • In einem Schritt 208 können Anomalien durch Verwenden der gesammelten und in Clustern gruppierten Nachrichten-Metadaten erkannt werden. Modelle können erstellt werden, indem die Daten zum Modellieren des Verhaltens von einzelnen Einheiten, Typen von Einheiten und/oder Clustern von Einheiten verwendet werden. Derartige Modelle können dann verwendet werden, um Anomalien im Verhalten von einzelnen Einheiten, Typen von Einheiten und/oder Clustern von Einheiten zu erkennen. Zum Beispiel kann für ein bestimmtes Verhaltensmodell einer einzelnen Einheit ein anormales Verhalten der Einheit auf Grundlage einer Abweichung von dem modellierten Verhalten erkannt werden. Bei einem Verhaltensmodell eines bestimmten Einheitentyps, wie beispielsweise eine Kamera usw., kann anormales Verhalten von einer oder mehreren Einheiten auf Grundlage einer Abweichung von dem modellierten Verhalten erkannt werden. Desgleichen kann zum Beispiel für ein bestimmtes Verhaltensmodell eines Clusters von Einheiten ein anormales Verhalten von einer oder mehreren Einheiten oder des ganzen Clusters auf Grundlage einer Abweichung von dem modellierten Verhalten erkannt werden. Ausführungsformen können Anomalie-Erkennungstechniken verwenden wie zum Beispiel:
  • Anomalien auf Grundlage von Nachrichtengrößen-Histogrammen - dazu kann ein Modell aus Histogrammen von historischen Nachrichtengrößen der loT-Einheit, des Einheitentyps und/oder ihres Clusters erstellt werden. In der Regel ist die Verteilung einer multimodalen gemischten Normalverteilung ähnlich, wobei die Anzahl der häufigsten Nachrichtengrößen Intervalle sind. In der Regel umfassen Histogramme häufige Punkte, die durch Bereiche ohne Punkte getrennt sind. Dementsprechend kann die sich daraus ergebende Verteilung eine gemischte Normalverteilung sein, die eine Mischung von dichten Punkten ist. In Ausführungsformen kann eine Anomalie erkannt werden, wenn sich die spezifische Nachrichtengröße weit entfernt von den häufigen Intervallen befindet, zum Beispiel mehr als 3 sigma.
  • Anomalien auf Grundlage von Nachrichtenzählung - dazu kann ein Modell aus historischen Zählungen der loT-Einheit und ihres Clusters erstellt werden. Ausführungsformen können sowohl ein einfaches Modell, wie beispielweise eine geschätzte mittlere und standardmäßige Abweichung von historischem Verhalten, als auch eine komplexere Modellierung anwenden, die auf zeitlichen Hierarchien wie Wochentag, Uhrzeit und Anteil einer Stunde usw. beruht. In Ausführungsformen kann eine Anomalie erkannt werden, wenn eine Nachrichtenzählung der loT-Einheit weit entfernt von den häufigen Intervallen liegt. In Ausführungsformen können komplexere Zeitreihentechniken für eine Anomalie-Erkennung angewendet werden, wobei die Modelle auf dem Zählsignal der IoT-Einheit und ihres Clusters geschult werden können.
  • Anomalien auf Grundlage von Nachrichtenabfolgen - dazu kann ein Modell durch Verwenden von Merkmalen der ersten Ebene erstellt werden, um ein Abfolgemodell von loT-Einheiten zu erstellen. Das Modell kann auf den historischen NachrichtengrößenAbfolgen der loT-Einheit und ihres Clusters geschult werden. Hier können verschiedene Techniken auf Abfolge-Grundlage verwendet werden, wie beispielsweise Verfahren auf Markov-Grundlage und Deep-Learning-Verfahren wie beispielweise Long Short-Term Memory (LSTM).
  • Ein beispielhaftes Blockschaubild eines Computersystems 400, in dem Prozesse umgesetzt werden können, die an den hierin beschriebenen Ausführungsformen beteiligt sind, wird in 4 gezeigt. Das Computersystem 400 kann durch Verwenden von einem oder mehreren programmierten Universal-Computersystemen umgesetzt werden, wie zum Beispiel eingebettete Prozessoren, Systeme auf einem Chip, Personal Computer, Workstations, Server-Systeme und Minicomputer oder Mainframe-Computer, oder in verteilten vernetzten Datenverarbeitungsumgebungen. Das Computersystem 400 kann einen oder mehrere Prozessoren (CPUs) 402A bis 402N, eine Eingabe/Ausgabe-Schaltung 404, einen Netzwerkadapter 406 und einen Arbeitsspeicher 408 umfassen. Die CPUs 402A bis 402N führen Programmanweisungen aus, um die Merkmale der vorliegenden Datenübertragungssysteme und -verfahren auszuführen. In der Regel sind die CPUs 402A bis 402N ein oder mehrere Mikroprozessoren, wie zum Beispiel ein CORE®-Prozessor von INTEL. 4 veranschaulicht eine Ausführungsform, in der das Computersystem 400 als ein einzelnes Mehrprozessor-Computersystem umgesetzt ist, in dem mehrere Prozessoren 402A bis 402N Systemressourcen gemeinsam nutzen, wie zum Beispiel den Arbeitsspeicher 408, die Eingabe/Ausgabe-Schaltung 404 und den Netzwerkadapter 406. Die vorliegenden Datenübertragungssysteme und -verfahren umfassen auch Ausführungsformen, in denen das Computersystem 400 als eine Mehrzahl von vernetzten Computersystemen umgesetzt ist, die Einzelprozessor-Computersysteme, Mehrprozessor-Computersysteme oder eine Mischung von diesen sein können.
  • Die Eingabe/Ausgabe-Schaltung 404 stellt die Fähigkeit bereit, Daten in das Computersystem 400 einzugeben oder aus diesem auszugeben. Zum Beispiel kann die Eingabe/Ausgabe-Schaltung Eingabeeinheiten umfassen, wie zum Beispiel Tastaturen, Mäuse, Touch-Pads, Trackballs, Scanner, Analog-Digital-Wandler usw., Ausgabeeinheiten wie Video-Adapter, Monitore, Drucker usw., und Eingabe/Ausgabe-Einheiten wie beispielsweise Modems usw. Der Netzwerkadapter 406 bildet eine Schnittstellenverbindung der Einheit 400 mit einem Netzwerk 410. Das Netzwerk 410 kann jedes öffentliche oder proprietäre LAN oder WAN sein, einschließlich des Internets, es ist aber nicht darauf beschränkt.
  • Der Arbeitsspeicher 408 speichert Programmanweisungen, die von der CPU 402 durchgeführt werden, und Daten, die von dieser verwendet und verarbeitet werden, um die Merkmale des Computersystems 400 auszuführen. Der Arbeitsspeicher 408 kann zum Beispiel elektronische Arbeitsspeichereinheiten, wie beispielweise einen Direktzugriffsspeicher (RAM), einen Nur-Lese-Speicher (ROM), einen programmierbaren Nur-Lese-Speicher (PROM), einen elektrisch löschbaren programmierbaren Nur-Lese-Speicher (EEPROM), einen Flash-Speicher usw., und elektro-mechanischen Arbeitsspeicher umfassen, wie zum Beispiel Magnetplattenlaufwerke, Bandlaufwerke, optische Plattenlaufwerke usw., die eine Integrated-Drive-Electronics- (IDE) Schnittstelle oder eine Variation oder Erweiterung davon verwenden können, wie Enhanced IDE (EIDE) oder Ultra-Direct Memory Access (UDMA), oder eine Schnittstelle auf Grundlage eines Small Computer System Interface (SCSI) oder eine Variation oder eine Erweiterung davon, wie beispielsweise Fast-SCSI, Wide-SCSI, Fast Wide SCSI usw. oder Serial Advanced Technology Attachment (SATA) oder eine Variation oder Erweiterung davon, oder eine Fiber Channel Arbitrated Loop- (FC-AL) Schnittstelle.
  • Die Inhalte des Arbeitsspeichers 408 können abhängig von der Funktion variieren, für deren Durchführung das Computersystem 400 programmiert ist. In dem in 4 gezeigten Beispiel werden beispielhafte Arbeitsspeicherinhalte gezeigt, die Routinen und Daten für Ausführungsformen der oben beschriebenen Prozesse darstellen. Einem Fachmann sollte jedoch klar sein, dass diese Routinen zusammen mit den Arbeitsspeicherinhalten, die diesen Routinen zugehörig sind, möglicherweise nicht in einem System oder einer Einheit enthalten sind, sondern auf Grundlage wohlbekannter Konstruktionsüberlegungen auf eine Mehrzahl von Systemen oder Einheiten verteilt sein können. Die vorliegenden Systeme und Verfahren können sämtliche derartigen Anordnungen umfassen,
  • In dem in 4 gezeigten Beispiel kann der Arbeitsspeicher Routinen zur Nachrichtensammlung 412, Zeitfenster-Routinen 414, Clustering-Routinen 416, Routinen zur Anomalie-Erkennung 418 und ein Betriebssystem 420 umfassen. Die Routinen zur Nachrichtensammlung 412 können Software-Routinen zum Sammeln von loT-Nachrichten umfassen, wie oben beschrieben. Die Zeitfenster-Routinen 414 können Software-Routinen zum Generieren von Zeitfenster-Merkmalen umfassen, wie oben beschrieben. Die Clustering-Routinen 416 können Software-Routinen zum Generieren von Clustern von IoT-Einheiten umfassen, um Gruppen von ähnlichen Einheiten zu erkennen, wie oben beschrieben. Die Routinen zur Anomalie-Erkennung 418 können Software-Routinen zum Erkennen von Anomalien durch Verwenden der gesammelten und zu Clustern gruppierten Nachrichten-Metadaten umfassen, wie oben beschrieben. Das Betriebssystem 420 kann eine Gesamtsystem-Funktionalität bereitstellen.
  • Wie in 4 gezeigt, können die vorliegenden Datenübertragungssysteme und - verfahren eine Umsetzung auf einem System oder auf Systemen, das bzw. die Mehrprozessor-, Multitasking-, Multi-Prozess- und/oder Multi-Thread-Datenverarbeitung bereitstellen kann bzw. können, sowie eine Umsetzung auf Systemen umfassen, die nur Einzelprozessor-, Einzel-Thread-Datenverarbeitung bereitstellen. Eine Mehr-Prozessor-Datenverarbeitung umfasst ein Durchführen einer Datenverarbeitung durch Verwenden von mehr als einem Prozessor. Eine Multitasking-Datenverarbeitung umfasst ein Durchführen einer Datenverarbeitung durch Verwenden von mehr als einer Betriebssystem-Aufgabe. Eine Aufgabe ist ein Betriebssystemkonzept, das auf die Kombination eines gerade ausgeführten Programms und von Buchführungsinformationen verweist, die von dem Betriebssystem verwendet werden. Wann immer ein Programm ausgeführt wird, erstellt das Betriebssystem eine neue Aufgabe dafür. Die Aufgabe ist insofern wie eine Hülle für das Programm, als sie das Programm mit einer Aufgabennummer identifiziert und weitere Buchführungsinformationen daran anhängt. Viele Betriebssysteme, einschließlich Linux, UNIX®, OS/2® und Windows® können gleichzeitig viele Aufgaben ausführen und werden als Multitasking-Betriebssysteme bezeichnet. Multitasking ist die Fähigkeit eines Betriebssystems, gleichzeitig mehr als eine Programmdatei auszuführen. Jede Programmdatei wird in ihrem eigenen Adressraum ausgeführt, was bedeutet, dass die Programmdateien keinerlei Möglichkeit haben, irgendeinen Teil ihres Arbeitsspeichers gemeinsam zu nutzen. Dies hat Vorteile, da es jedem Programm unmöglich ist, die Ausführung irgendeines der anderen Programme zu beeinträchtigen, die auf dem System ausgeführt werden. Die Programme haben jedoch keinerlei Möglichkeit, irgendwelche Informationen auszutauschen, es sei denn über das Betriebssystem (oder durch Lesen von Dateien, die auf dem Dateisystem gespeichert sind). Die Mehrprozess-Datenverarbeitung ist der Multitasking-Datenverarbeitung ähnlich, da die Begriffe Aufgabe und Prozess oft austauschbar verwendet werden, obwohl einige Betriebssysteme eine Unterscheidung zwischen den beiden treffen.
  • Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt auf jeder möglichen technischen Detailintegrationsebene handeln. Das Computerprogrammprodukt kann ein durch einen Computer lesbares Speichermedium (oder -medien) enthalten, auf dem durch einen Computer lesbare Programmanweisungen gespeichert sind, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen. Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch eine Einheit zum Ausführen von Anweisungen beibehalten und speichern kann.
  • Das durch einen Computer lesbare Speichermedium kann zum Beispiel eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiter-Speichereinheit oder jede geeignete Kombination aus dem Vorgenannten sein, es ist aber nicht darauf beschränkt. Zu einer nicht erschöpfenden Liste von spezifischeren Beispielen des durch einen Computer lesbaren Speichermediums gehören die Folgenden: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein tragbarer CD-ROM, eine DVD, ein Speicher-Stick, eine Diskette, eine mechanisch codierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination des Vorgenannten. Ein durch einen Computer lesbares Speichermedium soll, wie hierin verwendet, nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder andere Übertragungsmedien ausbreiten (z.B. durch ein Lichtwellenleiterkabel geleitete Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
  • Hierin beschriebene durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetzwerk und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Leitwegrechner, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
  • Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten, Konfigurationsdaten für integrierte Schaltungen oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben sind, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. In dem letzteren Szenario kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch jeden Typ von Netzwerk verbunden werden, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetzwerk (WAN), oder die Verbindung kann zu einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwendung eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, feldprogrammierbare Gatter-Anordnungen (FPGA, field programmable gate arrays) oder programmierbare Logikanordnungen (PLA, programmable logic arrays) die computerlesbaren Programmanweisungen ausführen, indem sie Zustandsinformationen der computerlesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Erfindung durchzuführen.
  • Aspekte der vorliegenden Erfindung werden hierin unter Bezugnahme auf Veranschaulichungen von Ablaufplänen und/oder Blockschaubildern von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es sollte klar sein, dass jeder Block der Ablaufplanveranschaulichungen und/oder der Blockschaubilder und Kombinationen von Blöcken in den Ablaufplanveranschaulichungen und/oder den Blockschaubildern mittels durch einen Computer lesbare Programmanweisungen umgesetzt werden können.
  • Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, sodass die über den Prozessor des Computers bzw. eine andere programmierbare Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zur Umsetzung der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaubilder angegebenen Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, sodass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt aufweist, darunter Anweisungen, die Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaubilder angegebenen Funktion/Schritts umsetzen.
  • Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Arbeitsschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen durch einen Computer umgesetzten Prozess zu erzeugen, sodass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaubilder angegebenen Funktionen/Schritte umsetzen.
  • Die Ablaufpläne und Blockschaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Ausführungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Ablaufplänen oder den Blockschaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zum Umsetzen der bestimmten logischen Funktion(en) aufweisen. In einigen alternativen Umsetzungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt auftreten. Zum Beispiel können zwei nacheinander gezeigte Blöcke tatsächlich im Wesentlichen parallel ausgeführt werden, oder die Blöcke können manchmal in der umgekehrten Reihenfolge ausgeführt werden, was von der beteiligten Funktionalität abhängt. Es ist ferner anzumerken, dass jeder Block der Blockschaubilder und/oder der Ablaufplandarstellungen sowie Kombinationen von Blöcken in den Blockschaubildern und/oder der Ablaufplandarstellung durch spezielle auf Hardware beruhende Systeme umgesetzt werden können, welche die angegebenen Funktionen oder Handlungen durchführen oder Kombinationen aus Spezial-Hardware und Computeranweisungen ausführen.
  • Obwohl bestimmte Ausführungsformen der vorliegenden Erfindung beschrieben worden sind, sollte dem Fachmann klar sein, dass es andere Ausführungsformen gibt, die den beschriebenen Ausführungsformen gleichwertig sind. Dementsprechend sollte klar sein, dass die Erfindung nicht durch die spezifischen veranschaulichten Ausführungsformen, sondern nur durch den Schutzumfang der Ansprüche im Anhang begrenzt werden soll.

Claims (15)

  1. Verfahren, das in einem Computer umgesetzt wird, der einen Prozessor, einen durch den Prozessor zugänglichen Arbeitsspeicher und Computerprogrammanweisungen aufweist, die in dem Arbeitsspeicher gespeichert und durch den Prozessor ausführbar sind, wobei das Verfahren aufweist: Sammeln einer Mehrzahl von Nachrichten zu und von mindestens einer Einheit auf dem Computersystem; Extrahieren von Metadaten-Merkmalen aus der gesammelten Mehrzahl von Nachrichten auf dem Computersystem, wobei die extrahierten Metadaten-Merkmale mindestens eines von einer ID der mindestens einen jeder Nachricht zugehörigen Einheit, einer Nachrichtengröße jeder Nachricht, einer Datenübertragungsrichtung jeder Nachricht und einer Datenübertragungszeit jeder Nachricht aufweisen; Generieren eines Zeitfensters auf dem Computersystem, wobei eine Größe des Zeitfensters auf Grundlage einer Häufigkeit einer Datenübertragung der Mehrzahl von Nachrichten ausgewählt wird, und um zu ermöglichen, dass eine nützliche Anzahl von Nachrichten in einem einzelnen Zeitfenster gesammelt werden; Bestimmen von zusätzlichen Merkmalen auf Grundlage der extrahierten Metadaten-Merkmale, die während des Zeitfensters vorhanden sind, auf dem Computersystem, wobei die zusätzlichen Merkmale mindestens eines von zeitlichen Aspekten mit Intervallen oder Häufigkeiten, mit denen eine Einheit Nachrichten sendet, und durchschnittliche Zeiträume oder Häufigkeiten von Nachrichten, zeitliche Hierarchien mit mindestens einem Wochentag, einer Tageszeit und einem Anteil einer Stunde, und Abfolgen von Nachrichten mit mindestens Mustern von Nachrichtenlänge, Nachrichtentyp, Einheiten-IDs von spezifischen Einheiten, Einheitentyp und Einheitenklasse aufweisen, wobei ein Bestimmen von extrahierten Metadaten-Merkmalen, die während des Zeitfensters vorhanden sind, mindestens ein Zählen einer Anzahl von Nachrichten zu und von der mindestens einen Einheit während des Zeitfensters und ein Generieren eines Histogramms von verschiedenen Nachrichtengrößen während des Zeitfensters aufweist; Erkennen von Verhaltensmustern der mindestens einen Einheit auf dem Computersystem auf Grundlage der gesammelten Mehrzahl von Nachrichten; Clustering der bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster auf dem Computersystem, die während des Zeitfensters vorhanden sind, wobei das Clustering mindestens ein K-Means-Clustering und hierarchisches Clustering aufweist; Erstellen eines Gemischte-Normalverteilungs-Modells von Nachrichtenmustern auf dem Computersystem, wobei das Erstellen eines Gemischte-Normalverteilungs-Modells zur Unterstützung der Erkennung von mindestens einer Anomalie mindestens aufweist: Erstellen eines Modells von Histogrammen von historischen Nachrichtengrößen der mindestens einen Einheit und ihres Clusters auf dem Computersystem, wobei das Modell eine gemischte Normalverteilung hat, und Erkennen einer Anomalie, wenn eine Größe einer Nachricht von der gemischten Normalverteilung des Modells abweicht; Erstellen eines Modells von historischen Nachrichtenzählungen der mindestens einen Einheit und ihres Clusters auf dem Computersystem, wobei das Modell eine Normalverteilung hat, und Erkennen einer Anomalie, wenn eine Nachrichtenzählung der mindestens einen Einheit von der Normalverteilung des Modells abweicht; und Erkennen von mindestens einer Anomalie oder einem Anomalietyp durch Verwenden der in Clustern gruppierten bestimmten zusätzlichen Merkmale, des Modells und der erkannten Verhaltensmuster auf dem Computersystem.
  2. Verfahren nach Anspruch 1, das ferner aufweist: Sammeln einer Mehrzahl von Nachrichten zu und von einer Mehrzahl von Einheiten auf dem Computersystem; Erkennen von Verhaltensmustern von mindestens einem Einheitentyp auf dem Computersystem auf Grundlage der gesammelten Mehrzahl von Nachrichten; und Erkennen von mindestens einer Anomalie auf dem Computersystem durch Verwenden der erkannten Verhaltensmuster des mindestens einen Einheitentyps.
  3. Verfahren nach Anspruch 1, wobei jeder jeder Nachricht zugehörigen Einheit eine eindeutige, aber anonyme Kennung anstelle der Einheiten-ID zugeordnet wird.
  4. Verfahren nach Anspruch 3, wobei die eindeutige, aber anonyme Kennung durch eine Hash-Funktion der Einheiten-ID ermittelt wird.
  5. Verfahren nach Anspruch 1, wobei das Modell von historischen Nachrichtengrößen oder das Modell von historischen Nachrichtenzählungen ein Deep-Learning-Modell umfasst, das auf historischen Daten der mindestens einen Einheit und ihres Clusters trainiert wurde, und wobei die historischen Daten mindestens eines von Nachrichtengrößen und Nachrichtenabfolgen umfassen.
  6. System, das einen Prozessor, einen durch den Prozessor zugänglichen Arbeitsspeicher und Computerprogrammanweisungen aufweist, die in dem Arbeitsspeicher gespeichert und durch den Prozessor ausführbar sind zum Durchführen von: Sammeln einer Mehrzahl von Nachrichten zu und von mindestens einer Einheit; Extrahieren von Metadaten-Merkmalen aus der gesammelten Mehrzahl von Nachrichten, wobei die extrahierten Metadaten-Merkmale mindestens eines von einer ID der mindestens einen jeder Nachricht zugehörigen Einheit, einer Nachrichtengröße jeder Nachricht, einer Datenübertragungsrichtung jeder Nachricht und einer Datenübertragungszeit jeder Nachricht aufweisen; Generieren eines Zeitfensters, wobei eine Größe des Zeitfensters auf Grundlage einer Häufigkeit einer Datenübertragung der Mehrzahl von Nachrichten ausgewählt wird, und um zu ermöglichen, dass eine nützliche Anzahl von Nachrichten in einem einzelnen Zeitfenster gesammelt werden; Bestimmen von zusätzlichen Merkmalen auf Grundlage der extrahierten Metadaten-Merkmale, die während des Zeitfensters vorhanden sind, wobei die zusätzlichen Merkmale mindestens eines von zeitlichen Aspekten mit Intervallen oder Häufigkeiten, mit denen eine Einheit Nachrichten sendet, und durchschnittliche Zeiträume oder Häufigkeiten von Nachrichten, zeitliche Hierarchien mit mindestens einem Wochentag, einer Tageszeit und einem Anteil einer Stunde, und Abfolgen von Nachrichten mit mindestens Mustern von Nachrichtenlänge, Nachrichtentyp, Einheiten-IDs von spezifischen Einheiten, Einheitentyp und Einheitenklasse aufweisen, wobei ein Bestimmen von extrahierten Metadaten-Merkmalen, die während des Zeitfensters vorhanden sind, mindestens ein Zählen einer Anzahl von Nachrichten zu und von der mindestens einen Einheit während des Zeitfensters und ein Generieren eines Histogramms von verschiedenen Nachrichtengrößen während des Zeitfensters aufweist; Erkennen von Verhaltensmustern der mindestens einen Einheit auf Grundlage der gesammelten Mehrzahl von Nachrichten; Clustering der bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster, die während des Zeitfensters vorhanden sind, wobei das Clustering mindestens ein K-Means-Clustering und hierarchisches Clustering aufweist; Erstellen eines Gemischte-Normalverteilungs-Modells von Nachrichtenmustern, wobei das Erstellen eines Gemischte-Normalverteilungs-Modells zur Unterstützung der Erkennung von mindestens einer Anomalie mindestens aufweist: Erstellen eines Modells von Histogrammen von historischen Nachrichtengrößen der mindestens einen Einheit und ihres Clusters, wobei das Modell eine gemischte Normalverteilung hat, und Erkennen einer Anomalie, wenn eine Größe einer Nachricht von der gemischten Normalverteilung des Modells abweicht; Erstellen eines Modells von historischen Nachrichtenzählungen der mindestens einen Einheit und ihres Clusters, wobei das Modell eine Normalverteilung hat, und Erkennen einer Anomalie, wenn eine Nachrichtenzählung der mindestens einen Einheit von der Normalverteilung des Modells abweicht; und Erkennen von mindestens einer Anomalie oder einem Anomalietyp durch Verwenden der in Clustern gruppierten bestimmten zusätzlichen Merkmale, des Modells und der erkannten Verhaltensmuster.
  7. System nach Anspruch 6, das ferner aufweist: Sammeln einer Mehrzahl von Nachrichten zu und von einer Mehrzahl von Einheiten; Erkennen von Verhaltensmustern von mindestens einem Einheitentyp auf Grundlage der gesammelten Mehrzahl von Nachrichten; und Erkennen von mindestens einer Anomalie durch Verwenden der erkannten Verhaltensmuster des mindestens einen Einheitentyps.
  8. System nach Anspruch 6, wobei jeder jeder Nachricht zugehörigen Einheit eine eindeutige, aber anonyme Kennung anstelle der Einheiten-ID zugeordnet wird.
  9. System nach Anspruch 8, wobei die eindeutige, aber anonyme Kennung durch eine Hash-Funktion der Einheiten-ID ermittelt wird.
  10. System nach Anspruch 6, wobei das Modell von historischen Nachrichtengrößen oder das Modell von historischen Nachrichtenzählungen ein Deep-Learning-Modell umfasst, das auf historischen Daten der mindestens einen Einheit und ihres Clusters trainiert wurde, und wobei die historischen Daten mindestens eines von Nachrichtengrößen und Nachrichtenabfolgen umfassen.
  11. Computerprogrammprodukt, das ein nicht flüchtiges, durch einen Computer lesbares Speichermedium mit darauf verkörperten Programmanweisungen aufweist, wobei die Programmanweisungen durch einen Computer ausführbar sind, um den Computer zu veranlassen, ein Verfahren durchzuführen, das aufweist: Sammeln einer Mehrzahl von Nachrichten zu und von mindestens einer Einheit; Extrahieren von Metadaten-Merkmalen aus der gesammelten Mehrzahl von Nachrichten, wobei die extrahierten Metadaten-Merkmale mindestens eines von einer ID der mindestens einen jeder Nachricht zugehörigen Einheit, einer Nachrichtengröße jeder Nachricht, einer Datenübertragungsrichtung jeder Nachricht und einer Datenübertragungszeit jeder Nachricht aufweisen; Generieren eines Zeitfensters, wobei eine Größe des Zeitfensters auf Grundlage einer Häufigkeit einer Datenübertragung der Mehrzahl von Nachrichten ausgewählt wird, und um zu ermöglichen, dass eine nützliche Anzahl von Nachrichten in einem einzelnen Zeitfenster gesammelt werden; Bestimmen von zusätzlichen Merkmalen auf Grundlage der extrahierten Metadaten-Merkmale, die während des Zeitfensters vorhanden sind,, wobei die zusätzlichen Merkmale mindestens eines von zeitlichen Aspekten mit Intervallen oder Häufigkeiten, mit denen eine Einheit Nachrichten sendet, und durchschnittliche Zeiträume oder Häufigkeiten von Nachrichten, zeitliche Hierarchien mit mindestens einem Wochentag, einer Tageszeit und einem Anteil einer Stunde, und Abfolgen von Nachrichten mit mindestens Mustern von Nachrichtenlänge, Nachrichtentyp, Einheiten-IDs von spezifischen Einheiten, Einheitentyp und Einheitenklasse aufweisen, wobei ein Bestimmen von extrahierten Metadaten-Merkmalen, die während des Zeitfensters vorhanden sind, mindestens ein Zählen einer Anzahl von Nachrichten zu und von der mindestens einen Einheit während des Zeitfensters und ein Generieren eines Histogramms von verschiedenen Nachrichtengrößen während des Zeitfensters aufweist; Erkennen von Verhaltensmustern der mindestens einen Einheit auf Grundlage der gesammelten Mehrzahl von Nachrichten; Clustering der bestimmten zusätzlichen Merkmale und der erkannten Verhaltensmuster, die während des Zeitfensters vorhanden sind, wobei das Clustering mindestens ein K-Means-Clustering und hierarchisches Clustering aufweist; Erstellen eines Gemischte-Normalverteilungs-Modells von Nachrichtenmustern, wobei das Erstellen eines Gemischte-Normalverteilungs-Modells zur Unterstützung der Erkennung von mindestens einer Anomalie mindestens aufweist: Erstellen eines Modells von Histogrammen von historischen Nachrichtengrößen der mindestens einen Einheit und ihres Clusters, wobei das Modell eine gemischte Normalverteilung hat, und Erkennen einer Anomalie, wenn eine Größe einer Nachricht von der gemischten Normalverteilung des Modells abweicht; Erstellen eines Modells von historischen Nachrichtenzählungen der mindestens einen Einheit und ihres Clusters, wobei das Modell eine Normalverteilung hat, und Erkennen einer Anomalie, wenn eine Nachrichtenzählung der mindestens einen Einheit von der Normalverteilung des Modells abweicht; und Erkennen von mindestens einer Anomalie oder einem Anomalietyp durch Verwenden der in Clustern gruppierten bestimmten zusätzlichen Merkmale, des Modells und der erkannten Verhaltensmuster.
  12. Computerprogrammprodukt nach Anspruch 11, das ferner aufweist: Sammeln einer Mehrzahl von Nachrichten zu und von einer Mehrzahl von Einheiten; Erkennen von Verhaltensmustern von mindestens einem Einheitentyp auf Grundlage der gesammelten Mehrzahl von Nachrichten; und Erkennen von mindestens einer Anomalie durch Verwenden der erkannten Verhaltensmuster des mindestens einen Einheitentyps.
  13. Computerprogrammprodukt nach Anspruch 11, wobei jeder jeder Nachricht zugehörigen Einheit eine eindeutige, aber anonyme Kennung anstelle der Einheiten-ID zugeordnet wird.
  14. Computerprogrammprodukt nach Anspruch 13, wobei die eindeutige, aber anonyme Kennung durch eine Hash-Funktion der Einheiten-ID ermittelt wird.
  15. Computerprogrammprodukt nach Anspruch 11, wobei das Modell von historischen Nachrichtengrößen oder das Modell von historischen Nachrichtenzählungen ein Deep-Learning-Modell umfasst, das auf historischen Daten der mindestens einen Einheit und ihres Clusters trainiert wurde, und wobei die historischen Daten mindestens eines von Nachrichtengrößen und Nachrichtenabfolgen umfassen.
DE112020005071.8T 2019-11-26 2020-11-04 Verfahren für eine datenschutzgerechte anomalie-erkennung im iot Active DE112020005071B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/695,251 US11349859B2 (en) 2019-11-26 2019-11-26 Method for privacy preserving anomaly detection in IoT
US16/695,251 2019-11-26
PCT/IB2020/060342 WO2021105799A1 (en) 2019-11-26 2020-11-04 Method for privacy preserving anomaly detection in iot

Publications (2)

Publication Number Publication Date
DE112020005071T5 DE112020005071T5 (de) 2022-07-21
DE112020005071B4 true DE112020005071B4 (de) 2024-03-28

Family

ID=75975198

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020005071.8T Active DE112020005071B4 (de) 2019-11-26 2020-11-04 Verfahren für eine datenschutzgerechte anomalie-erkennung im iot

Country Status (6)

Country Link
US (1) US11349859B2 (de)
JP (1) JP7483004B2 (de)
CN (1) CN114731290B (de)
DE (1) DE112020005071B4 (de)
GB (1) GB2605899A (de)
WO (1) WO2021105799A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220046406A1 (en) * 2020-08-07 2022-02-10 Nokia Technologies Oy Problem mitigation in subscriber profile management
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks
US20230267197A1 (en) * 2022-02-18 2023-08-24 Halcyon Tech, Inc. Ransomware Countermeasures
US20240020613A1 (en) * 2022-07-14 2024-01-18 International Business Machines Corporation Fully unsupervised pipeline for clustering anomalies detected in computerized systems
CN115150196B (zh) * 2022-09-01 2022-11-18 北京金睛云华科技有限公司 正态分布下基于密文数据的异常检测方法、装置和设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100034102A1 (en) 2008-08-05 2010-02-11 At&T Intellectual Property I, Lp Measurement-Based Validation of a Simple Model for Panoramic Profiling of Subnet-Level Network Data Traffic
US20180357556A1 (en) 2017-06-08 2018-12-13 Sap Se Machine learning anomaly detection
US10375100B2 (en) 2017-10-27 2019-08-06 Cisco Technology, Inc. Identifying anomalies in a network

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105094305B (zh) * 2014-05-22 2018-05-18 华为技术有限公司 识别用户行为的方法、用户设备及行为识别服务器
WO2016118979A2 (en) 2015-01-23 2016-07-28 C3, Inc. Systems, methods, and devices for an enterprise internet-of-things application development platform
US10291506B2 (en) * 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US10936600B2 (en) * 2015-10-23 2021-03-02 Oracle International Corporation Sensor time series data: functional segmentation for effective machine learning
US10929765B2 (en) 2016-12-15 2021-02-23 Nec Corporation Content-level anomaly detection for heterogeneous logs
CN106713341A (zh) * 2017-01-04 2017-05-24 成都四方伟业软件股份有限公司 一种基于大数据的网络安全预警方法与系统
CN107360239A (zh) * 2017-07-25 2017-11-17 郑州云海信息技术有限公司 一种客户端连接状态检测方法及系统
CN108063698B (zh) * 2017-12-15 2020-05-12 东软集团股份有限公司 设备异常检测方法和装置、及存储介质
US10673882B2 (en) * 2018-01-15 2020-06-02 International Business Machines Corporation Network flow control of internet of things (IoT) devices
CN109347834B (zh) * 2018-10-24 2021-03-16 广东工业大学 物联网边缘计算环境中异常数据的检测方法、装置及设备
CN109818793A (zh) * 2019-01-30 2019-05-28 基本立子(北京)科技发展有限公司 针对物联网的设备类型识别及网络入侵检测方法
US20200304393A1 (en) * 2019-03-19 2020-09-24 Hewlett Packard Enterprise Development Lp Network traffic trends visibility
CN110189232A (zh) * 2019-05-14 2019-08-30 三峡大学 基于孤立森林算法的用电信息采集数据异常分析方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100034102A1 (en) 2008-08-05 2010-02-11 At&T Intellectual Property I, Lp Measurement-Based Validation of a Simple Model for Panoramic Profiling of Subnet-Level Network Data Traffic
US20180357556A1 (en) 2017-06-08 2018-12-13 Sap Se Machine learning anomaly detection
US10375100B2 (en) 2017-10-27 2019-08-06 Cisco Technology, Inc. Identifying anomalies in a network

Also Published As

Publication number Publication date
DE112020005071T5 (de) 2022-07-21
JP2023502485A (ja) 2023-01-24
US20210160264A1 (en) 2021-05-27
GB2605899A (en) 2022-10-19
CN114731290B (zh) 2023-01-06
JP7483004B2 (ja) 2024-05-14
CN114731290A (zh) 2022-07-08
WO2021105799A1 (en) 2021-06-03
US11349859B2 (en) 2022-05-31
GB202208753D0 (en) 2022-07-27

Similar Documents

Publication Publication Date Title
DE112020005071B4 (de) Verfahren für eine datenschutzgerechte anomalie-erkennung im iot
DE112017000937B4 (de) Persistente Datenflusserkennungen, die verteilte Anwendungen ermöglichen
US10885461B2 (en) Unsupervised method for classifying seasonal patterns
DE112013001446B4 (de) Erkennen von transparenten Einheiten zum Abfangen von Datenübertragungen in Netzwerken
DE112012000797B4 (de) Mehrfach-Modellierungsparadigma für eine Vorhersageanalytik
DE112019002178T5 (de) Verfahren und System zum Rückverfolgen der Qualität vorgefertigter Komponenten während der gesamten Lebensdauer basierend auf einer Blockkette
DE112012003193T5 (de) Verbeesertes Captcha-Programm unter Verwendung von Bildfolgen
DE102021109767A1 (de) Systeme und methoden zur vorausschauenden sicherheit
DE112021003747T5 (de) Erkennen von anomalien in einer netzwerktopologie
DE102013201664B4 (de) Vorausschauendes Zwischenspeichern bei Telekommunikationstürmen unter Verwendung der Weitergabe der Kennung von Elementen von Daten mit hohem Bedarf auf einer geographischen Ebene
DE112018001290T5 (de) Verfahren zum Schätzen der Löschbarkeit von Datenobjekten
DE112020004572T5 (de) Identifizierung von teilereignissen in einem ereignissturm in einer operationsverwaltung
DE102016205013A1 (de) Fingerabdruckerstellung und Vergleichen von Protokolldatenströmen
DE112020002552T5 (de) System und verfahren für eine siem-regel-sortierung und bedingte ausführung
DE112017006993T5 (de) System und Verfahren zum Erfassen einer Netztopologie
DE112020002798T5 (de) Kognitives kontrollieren von datenübermittlung
DE102020201885A1 (de) Technologien für beschleunigtes hierarchisches schlüssel-caching in edge-systemen
DE102022109007A1 (de) ZUWEISUNG VON AUSREIßERBEZOGENEN KLASSIFIZIERUNGEN ZU VERKEHRSSTRÖMEN ÜBER MEHRERE ZEITFENSTER HINWEG
DE112020002155T5 (de) Einwilligung zu gemeinsamen personenbezogenen informationen
AT520746B1 (de) Verfahren zur Erkennung von anormalen Betriebszuständen
DE102016122390A1 (de) Identifizierung und Entfernung von virtuellen Zombie-Maschinen
DE102016204594A1 (de) Abgleichen von datenquellen ohne tags mit datenanalyseanwendungen ohne tags
DE112021002291T5 (de) Verringern von ressourcenkosten bei visueller erkennung
DE112015003759B4 (de) Bearbeiten mehrerer Zähler auf der Grundlage einer einzigen Zugangsprüfung
DE112020004688T5 (de) Debuggen und erstellen von profilen von maschinenlernmodelltraining

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R018 Grant decision by examination section/examining division