CN111447173A - 对控制器局域网或者汽车以太网的数据分类的设备和方法 - Google Patents

对控制器局域网或者汽车以太网的数据分类的设备和方法 Download PDF

Info

Publication number
CN111447173A
CN111447173A CN202010047739.3A CN202010047739A CN111447173A CN 111447173 A CN111447173 A CN 111447173A CN 202010047739 A CN202010047739 A CN 202010047739A CN 111447173 A CN111447173 A CN 111447173A
Authority
CN
China
Prior art keywords
input
input variable
prediction
message
neural network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010047739.3A
Other languages
English (en)
Inventor
M.汉泽尔曼
H.乌尔默
K.多尔曼
T.施特劳斯
A.容京格
J.S.布希纳
S.博布莱斯特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN111447173A publication Critical patent/CN111447173A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及对控制器局域网或者汽车以太网络的数据分类的设备和方法。用于对尤其是用于控制器局域网或者汽车以太网的数据进行分类的设备和计算机实施的方法,其中接收(502)来自通信网络的多个消息,其中针对人工神经网络的多个输入模型中的分配给预先给定的消息类型的输入模型的输入变量,选出(504)具有所述预先给定的消息类型的消息,其中根据所述消息来确定(506)该输入变量,其中在人工神经网络的输出区域中输出预测,所述预测可用于根据所述输入变量对消息进行分类,或者输出输入变量的重构,所述重构可用于(510)根据该输入变量对消息进行分类。

Description

对控制器局域网或者汽车以太网的数据分类的设备和方法
技术领域
本发明涉及一种用于对尤其是用于控制器局域网(Controller Area Netzwerk)或者汽车以太网(automotive Ethernet Netzwerk)的数据进行分类的设备和方法。
背景技术
在车辆中,在控制设备之间经由控制器局域网或者以太网来交换数据。
值得期望的是,可靠地识别出在经由这样的网络交换的数据中的异常。
发明内容
在许多车辆中,安装(verbaut)尤其是根据标准族ISO 11898的控制器局域网。该网络在下文中称作CAN。CAN是串行现场总线***,该串行现场总线***允许微控制器、尤其是控制设备经由车辆中的CAN总线进行通信。在CAN总线上的数据业务(Datenverkehr)在此原则上可细分成两组:
正常行为:
正常行为描述了如在正常运行时(也就是在没有差错、故障、外部操纵或者诸如此类的情况下)发生的这种类型的数据。在正确工作的***中,只有无差错的数据出现,并且各个数据一般而言都通过特定的(不仅是固定的而且是在时间上的)相互关系而彼此有关。
异常:
出于各种原因,在实际运行中,在CAN的数据中会出现与正常行为的偏差,所述偏差在下文中称作异常。对此的原因例如可能是如下性质:
(i)CAN或者车辆的有缺陷的或者整个出故障的子***提供了错的数据或者甚至没有提供数据,
(ii)CAN或者车辆的组件已损坏,
(iii)该***曾受外部源、例如黑客攻击操纵,这在下文中称作入侵(Intrusion)。
对于尤其是根据来自IEEE 802.3标准族的标准之一的汽车以太网,在下文中进行同一细分,所述汽车以太网附加地或者替代CAN被采用。
对于尤其是车辆的安全运行,非常重要的是,识别出在这样的数据中的这种异常。这些数据以消息经由网络来发送。这些消息细分成所使用的通信类型的多个消息类型。例如在CAN中,给每个CAN ID都分配有一个消息类型。
利用机器学习方法(Machine Learning Method)、尤其是人工神经网络例如借助深度学习(Deep Learning)来监控网络业务是大的挑战,因为数据中的大的可变性占支配地位。这样,在CAN中例如并不预先限定,带有何种CAN ID的何种消息互相跟随。发送具有CAN ID的消息的顺序并不仅仅与其循环时间有关,而是与许多其他因素有关,如例如与所属的控制设备在车辆的起动过程中变成发送就绪的时间点有关,与具有CAN ID的消息当前是否以较高的优先级被发送有关,或者也与CAN总线的传输速率有关。这导致数据流的时间上的历程(Verlauf)高度动态和复杂。除了时间上的可变性之外,在包含这些消息的数据本身中也给出高可变性。这样,具有不同的CAN ID的消息包括不同多个信号。
当尤其是考察汽车以太网时,数据可变性变得还更显著,在所述汽车以太网中,必须应对不同的协议类型,所述协议类型就其而言在数据结构上可能偏差极大。
为了将人工神经网络用于网络数据,由此基本上产生两个问题:一方面,时间上的可变性使得采用递归人工神经网络有问题,所述递归人工神经网络特别适合于与尤其是在时间上有序的数据一起采用,因为对于这样的网络,学会具有不同的CAN ID的消息的时间上的流程是非常困难的问题,因为该时间上的流程在不同的状况下虽然总是有效的但是可能会非常不同地结构化。另一方面,人工神经网络在每次输入数据时都预期同一数据结构。
在一方面,规定了一种用于对尤其是用于控制器局域网或者汽车以太网的数据进行分类的计算机实施的方法,其中接收来自通信网络的多个消息,其中针对人工神经网络的多个输入模型中的分配给预先给定的消息类型的输入模型的输入变量,选出具有该预先给定的消息类型的消息,其中根据所述消息来确定该输入变量,其中在人工神经网络的输出区域中输出预测,所述预测可用于根据所述输入变量对消息进行分类,或者输出输入变量的重构,所述重构可用于根据该输入变量对消息进行分类。通过该人工神经网络的特别地为所监控的通信网络中的网络业务而设置的架构,不仅解决了时间上的可变性的问题,而且解决了数据特定的可变性的问题。代替限制于仅仅选出所接收到的消息中的训练人工神经网络总共所针对的几个消息,这样根据消息的消息类型将该消息分配给针对该消息类型详细说明的输入模型。尤其是用于该输入模型的人工神经网络经此可以保持得比较小。这尤其是对于在嵌入式设备(Embedded Device)上的采用是令人感兴趣的。借助神经网络架构,可以建立和/或配置改进的入侵检测***(Intrusion Detection System)。入侵检测***在下文中用IDS标明。所介绍的方法在这种情况下可以未受监控地来训练,也就是说,为了训练,只须存在足够多的正常数据,但是不存在异常或者入侵。尽管如此,经训练的***接着能够检测到新的和之前不知道的异常。与基于规则的IDS相比,得到如下优点:该***自动地借助训练数据可以学会网络业务的可能潜在的关系。由此,使攻击者明显难以或者不可能成功攻击该***,因为该攻击者(为了欺骗IDS)也会必须在攻击中映射该***的函数关系(funktionale Zusammenhaenge)。例如,无论何时在网络中发送相关的消息类型,该消息类型都通过人工神经网络传播。这使得能够,在每个时间步长都计算预测,并且因此尽快地识别出异常。
有利地规定了,人工神经网络训练成,根据通信网络中的网络业务的至少一部分来使得能够判定:通信网络以相对于其他可能的状态更高的概率处于多个可能的状态中的何种状态中。这使得能够高效地分类到多个可能的状态中的一个状态中。例如,在该方法中使用神经网络,该神经网络使得能够从网络业务出发来判定:网络处于这些状态中的何种状态中。这种分类问题在该神经网络架构中通过如下方式容易地学习:输出区域与分类问题适配,并且在训练中拟设(ansetzen)合适的损失函数。具有该神经网络架构的该方法不仅适合于IDS,而且适合于许多其他应用,所述其他应用可以在应对网络业务时被拟设。例如,预先性维护(Preemptive Maintenance)是用于具有该网络架构的方法的可能的应用领域。
有利地规定了,根据多个预先给定的网络类型,多个消息作为多个输入模型的输入变量而被选出,其中消息类型明确地分配给多个输入模型中的一个输入模型,其中多个输入模型的输出聚集为针对该输出区域的输入。这使得能够根据消息类型进行选择性数据预处理(Daten-Preprocessing)。
有利地规定了,多个输入模型的状态被聚集,尤其是通过将这些状态级联到向量上来聚集。该聚集是特别高效的。
有利地规定了,针对第一时间步长选出第一输入变量,其中根据第一输入变量确定第二输入变量的预测,其中根据第二输入变量与该预测的比较的结果,当该结果满足限定异常的标准时,识别出异常。尤其是可以规定,除了第一输入变量和第二输入变量之外,其他变量一起进入计算是否存在异常,所述其他变量如例如之前的对预测与相应的第二输入变量的比较。由此,与基于规则的IDS无关地,可靠地可识别出异常。
有利地规定了,该结果根据预测与第二输入变量的偏差的度量来限定,其中该标准通过偏差的阈值来限定,其中当偏差的度量超过阈值时,识别出异常。这提高了异常识别的稳健性(Robustheit)。
相对应的用于对通信网络中的数据进行分类的设备包括人工神经网络,所述数据尤其是用于控制器局域网或者汽车以太网的数据,其中人工神经网络包括针对输入变量的输入模型并且包括输出区域,其中该设备包括选出装置,该选出装置构造为,针对输入变量选出来自通信网络的具有预先给定的消息类型的消息,并且其中输出区域构造为输出预测,该预测可用于根据输入变量对消息进行分类,或者输出输入变量的重构,所述重构可用于根据该输入变量对消息进行分类。该设备特别为通信网络中的网络业务而设置。人工神经网络经此可以保持得比较小。该设备尤其是构建用于在嵌入式设备上的采用。
有利地规定了,该设备的人工神经网络训练成,根据在通信网络中的网络业务的至少一部分来使得能够判定:通信网络以相对于其他可能的状态更高的概率处于多个可能的状态中的何种状态中。这使得能够多样化地采用该设备。
优选地规定了,该设备包括多个输入模型,其中在多个输入模型与输出区域之间布置有尤其是构造为人工神经网络的聚集部分,该聚集部分构造为,将多个输入模型的输出聚集为针对该输出区域的输入。该设备由此提供了多方面的接口,用于在不同的输入模型中的多种消息类型的数据预处理,所述输入模型的输出共同被用于分类。
优选地规定了,聚集部分构造为,聚集多个输入模型的状态,尤其是通过将这些状态级联到向量上来聚集。尤其是在具有有限的计算资源的嵌入式设备中,这是对输入模型的信息特别高效的联合。
优选地规定了,选出装置构造为,针对第一时间步长选出第一输入变量,其中输出区域构造为,根据第一输入变量确定针对第二输入变量的预测,其中比较装置构造为,根据第二输入变量与预测的比较的结果,当该结果满足限定异常的标准时,识别出异常。由此,该设备特别高效地识别出异常。
优选地规定了,根据预测与第二输入变量的偏差的度量来限定结果,其中通过偏差的阈值来限定该标准,其中该设备构造为,当偏差的度量超过阈值时,识别出异常。该度量也可以与其他变量有关。由此,异常识别通过该设备变得特别稳健。
具有训练数据的用于人工神经网络的训练方法规定,针对人工神经网络的多个输入模型中的分配给预先给定的消息类型的输入模型的第一输入变量,选出具有该预先给定的消息类型的消息,所述人工神经网络用于对尤其是用于控制器局域网或者汽车以太网的数据进行分类,所述训练数据包括不同消息类型的多个消息,其中根据消息来确定第一输入变量,其中在人工神经网络的输出区域中输出预测,所述预测可用于根据第一输入变量对消息进行分类,其中从训练数据中确定第二输入变量,其中根据第二输入变量和预测来确定误差度量,并且其中执行反向传播(Backpropagation)步骤,其中人工神经网络的参数按照优化策略根据误差度量来确定,或者输出输入变量的重构,所述重构可用于根据所述输入变量对消息进行分类,其中根据第一输入变量和重构来确定误差度量,并且其中执行反向传播步骤,其中根据误差度量按照优化策略来确定人工神经网络的参数。该机器学习拟设工作在大量的消息、例如CAN信号上。尤其是不需要限制于预先选择几个消息、例如来自Trace(示踪)的CAN信号。
优选地规定了,根据多个预先给定的消息类型,选出多个消息作为针对多个输入模型的输入变量,其中一个消息类型明确地分配给多个输入模型中的一个输入模型,其中多个输入模型的输出被聚集为针对输出区域的输入。机器学习拟设利用明确地分配给确定的消息类型的输入模型来工作。
优选地规定了,聚集多个输入模型的状态,尤其是通过将这些状态级联到向量或者张量(Tensor)上来聚集。这使得能够在训练中特别高效地计算预测。
优选地规定了,针对第一时间步长选出第一输入变量,其中根据第一输入变量来确定针对第二时间步长的第二输入变量的预测,其中根据针对第二时间步长的第二输入变量和预测,确定误差度量。由此,人工神经网络特别高效地鉴于消息与预测的偏差而得到训练。
替选地可以规定,多个输入模型在多个时间步长期间聚集数据,并且尤其是在输出区域中进行评价步骤(Auswertungsschritt)之前预处理所述数据,其中确定预测。例如,当只有有限资源可供使用时,并且当仅仅极少要执行聚集和输出部分的比较昂贵的、也就是耗费计算时间的或者耗费计算资源的步骤时,那么该替选方案可能是令人感兴趣的。
优选地规定了,针对第一时间步长选出第一输入变量,其中根据第一输入变量,确定针对第一时间步长的第一输入变量的重构。由此,人工神经网络鉴于消息与重构的偏差而特别高效地得到训练。
替选地可以规定,多个输入模型在多个时间步长期间聚集数据,并且尤其是在输出区域中进行评价步骤之前预处理所述数据,其中确定重构。例如,当只有有限资源可供使用时,那么该替选方案可能是令人感兴趣的。
优选地规定了,未受监控地、尤其是仅仅借助数据进行训练,所述数据限定了通信网络的正常行为。从该训练中得到的入侵检测***仅仅通过如下数据来配置:所述数据描述了正常行为。与正常行为的偏差由该入侵检测***分类为攻击,由此该***能够也检测到未知的攻击(Attack)。
附图说明
其他的有利的构建方案从下列描述和附图中得到。在附图中:
图1示出了用于对数据进行分类的设备的多个部分的示意图,
图2示出了通信网络的多个部分的示意图,
图3示出了流程图和神经网络架构的示意图,
图4示出了CAN Trace的示意图,
图5示出了用于对数据进行分类的方法的示意图,
图6示出了训练方法的示意图。
具体实施方式
在图1中示意性地示出了用于对数据进行分类的设备100。
该设备100在该实例中是嵌入式设备。该设备100包括处理器102、工作存储器104、用于通信网络108的接口106和非易失性存储器110。它们构造为经由总线112或者另一数据线路进行通信。
图2示意性地示出了通信网络108的多个部分,在该通信网络108中,设备100和多个控制设备202布置在数据线路204处。数据线路204在该实例中是CAN总线,但是也可以附加地包括汽车以太网连接,或者替选地可以是汽车以太网连接。
在图3中描绘了流程图和神经网络架构的示意图。该示意图从CAN出发,可是也可相对应地应用于汽车以太网。设备100构造用于对通信网络108中的、尤其是针对CAN或者汽车以太网的数据进行分类。
设备100要包括用于来自通信网络108的一个或者多个消息的输入302。在该实例中,在该输入处提供CAN Trace。
CAN Trace包含不同消息类型的多个消息,所述消息类型可依据其CAN ID来区分。示例性的CAN Trace在图4中示出。
在图4中,示意性地示出了CAN Trace的记录。在图4中所示出的记录包含CAN-Trace的重要的可是不是所有可能的内容。包括消息的数据在图4中布置成行。尤其是,在每个在图4中用时间戳(Timestamp)标明的时间点,传送消息、也就是CAN帧的在图4中用ID标明的标记、即CAN ID,在该时间点接收该消息。此外,发送所谓的有效载荷(Payload),该有效载荷在该实例中由八个字节构成,所述字节十六进制地编码。在图4中用DLC标明的数据长度码(Data Length Code)说明消息多长。
在图4中,规定要从其CAN ID识别出的消息类型A、B、C。
设备100包括选出装置304,该选出装置304构造为,依据其消息类型来识别出消息,并且将该消息分配给在下文中所描述的数据预处理。选出装置304构造为,针对第一输入变量vX选出来自通信网络108的具有预先给定的消息类型X的消息。
对于每个CAN ID,在该实例中,在有效载荷的八个字节中可以编码不同多个信号。从数据库CAN文件(被称作DBC文件(DBC-File))中可提取,哪些比特以何种方式被联合成这些信号。在数据预处理的情况下,例如从有效载荷中提取信号的子集或者所有信号,必要时进行归一化或者以另外的方式继续处理。除了这些信号之外,也可以从CAN帧中提取其他信息。例如,时间戳适合于被变换为神经网络的输入变量,或者其上发送该消息的总线的标记适合于被变换为神经网络的输入变量。同样可能的是,将这些字节直接用作输入变量。
在其中存在分类数据、如例如媒体访问控制地址(被称作MAC地址,Media AccessControll Adresse)的另外的网络类型的情况下,这些分类数据例如经由“单热编码(1-Hot-Encoding)”或者合适的另外的编码而被预处理。
对于每个CAN ID或者一般对于通信网络108的每种被传输的消息类型,由此限定了数据预处理步骤,以致在每个时间步长t(在该时间步长处观察消息类型X)针对消息类型X都建立输入向量vX(t),所述输入向量vX(t)由数值构成并且所述输入向量vX(t)的维度在每个出现X的时间步长都是同样的。
新时间步长t+1例如跟在时间步长t之后,在该时间步长t时,在通信网络108上总是接收到新消息。如果已经存在其中包含多个消息的CAN-Trace,则时间戳说明了在通信网络108上曾以其来接收消息的顺序。
对于每种消息类型X,都使用单独的输入模型。该拟设解决了高数据可变性的问题。可选地,可以仅仅考察所有出现的消息类型X的子集。
在下文中,N标明所有相关的消息类型X的集合,而n标明其元素的数目。
设备100包括人工神经网络306。人工神经网络306包括输入区域I、可选的聚集部分A和输出区域O。
在下文中,描述了关于示例性的模型的网络架构的概述。
在该实例中,针对所有X∈N,使用输入模型IX。只有当在网络业务中在时间步长t观察到消息类型X时,vX(t)才作为输入被馈入到输入模型IX中。该拟设解决了网络数据的高的时间上的可变性的问题。
如果IX例如经由递归神经网络结构来实现,则经此能够实现的是,网络的内部状态始终只有当相应的ID也真实出现时才经历更新(Update)。
为了进行异常识别规定了,整个网络M在每个时间步长t都能够为所有X∈N做出针对vX (t+1)的预测vX’(t+1)。
替选地,可以有利的是,只针对值的子集做出预测。网络架构由此可以问题特定地(problemspezifisch)来适配。
针对所述预测,人工神经网络构建为使得可能的是,使用所有输入网络IX的输出。这具有如下优点:为了预测可以使用所有内部状态,由此也将函数相关性涌入到预测中。
在时间步长t+1检查,实际上已发送哪些消息类型X。
如果该情况是X∈N,则将预测vX’ (t+1) 与实际值vX(t+1)进行比较。
在预测vX’ (t+1)与实际值vX (t+1)之间的偏差进入误差度量中。误差度量在该实例中被用于计算异常分数。
人工神经网络306在输入区域I中包括至少一个输入模型IX。该输入模型IX分配给第一输入变量vX。第一输入变量vX在该实例中是通信网络108中的包含要进行分类的数据的消息。第一输入变量vX在该实例中将消息的数据编码为向量。
在该实例中,规定了多个消息类型、多个输入变量vX1、 ...、 vXn和多个输入模型IX1、...、IXn。在该实例中,这些输入模型由选出装置304根据其消息类型明确地被分配给不同的输入变量。
输入模型IX的当前状态sX在该实例中作为输入sX被递交给可选的聚集部分A。更确切而言,向聚集部分A递交多个所述输入模型IX1、 ...、IXn 的多个当前状态sX1、 ...、sXn。从多个状态sX1、 ...、sXn中,通过聚集部分A产生输出a作为输出区域O的输入。输出a在该实例中是如下向量:所述向量通过级联多个当前状态sX1、...、sXn来产生。
也可以规定,聚集部分A在需要时、必要时经由神经网络结构继续处理多个当前状态sX1、...、sXn
代替聚集也可以规定,使用多个当前状态sX1、...、sXn直接作为输出区域O的输入。
人工神经网络306在输出区域O中包括至少一个输出模型OY。输出模型OY的任务是,在每个时间点t,确定针对vY(t + 1)的预测vY‘ (t+1),以便如果在时间点t+1出现消息类型Y则将所述预测vY‘ (t+1)与vY(t+1)进行比较。在该实例中,对于多个输入变量vX1、...、vXn分别存在一个输出模型OX1、...、OXn。在该实例中,给该第一输入变量vX明确地分配有输出模型OX。更确切而言,给多个输入变量vX1、...、vXn明确地分配有多个输出模型OX1、...、OXn
输出区域O构造为,根据第一输入变量vX输出用于对消息进行分类的预测vX’。输出区域O依据聚集部分A提供的数据来提供针对后续时间步长的预测。
输出模型OY在时间点t是针对在输入变量vX(t)之后的第二输入变量vX(t+1)的预测vY’(t+1)。
在评价时间步长t时,不仅在评价阶段中而且在训练阶段中规定输入的正向传播。
在最简单的实施形式中,输入区域I的多个输入模型IX1、...、IXn实现为递归神经网络,例如经由长短期记忆网络(LSTM,Long short-term memoris)、门控循环单元(GRU,Gated recurrent units)、Vanilla递归神经网络(RNN)或者也经由时间连续RNN(TimeContinuous RNN)来实现。
原则上,这里鉴于网络架构的构建给出了所有自由度。例如,可以使用深度人工神经网络,并且针对各种消息类型在需要时也可以使用每个类型的不同架构。这里,可以动用网络架构的宽的多样性。作为输入,输入模型IX获得如下形式的输入变量vX:所述形式可按照输入模型IX的规范来处理,以便产生输出sX
输出sX的维度针对每个输入模型IX可自由地预先给定。在时间步长t中,存储输入模型IX的输出sX。在针对输入模型IX使用简单的LSTM的情况下,这是所谓的“隐状态(HiddenState)”,所述“隐状态”在文献中大多数用ht来标明。
在该实例中,也用sX来标明输入模型IX的当前状态。在输入模型IX在时间步长t并且在出现消息X时已更新了状态sX=sX(vX (t))之后,所有X∈N的聚集部分A聚集当前状态sX
可选地,可以通过如下方式进行继续处理:例如,这样聚集的数据被输送给人工神经网络。聚集部分A的输出a例如是向量或者张量,所述向量或者张量在该实例中在任何时间点都具有同样的维度。与在当前时间步长t出现何种消息类型和何时要最后一次出现另外的消息类型无关地,输出a、也就是向量或者张量因此包含关于各个消息类型的所有当前状态的信息。
输出区域O的任务是,在时间步长t,针对每个X∈N创建尤其是针对所有之前确定的相关的变量的预测vX’(t+1),所述预测vX’(t+1)说明,该模型期望什么,即在时间步长t+1要出现消息类型X。
为了实现这一点,又可以拟设多个不同的网络架构。为了达到尽可能苗条的人工神经网络架构,例如针对每个X∈N都使用自己的输出模型OX。在最简单的情况下,这可以实现为尤其是深度人工神经网络的全连接(Fully Connected)。神经网络架构这里也可以根据需要并且必要时对于每种消息类型单独地来构造。
作为输入,输出模型OX获得聚集部分A的输出a。作为输出,输出模型OX在该实例中生成向量oX=vX’(t+1),所述向量oX=vX’(t+1)具有与vX(t)同样的结构。
细分成多个输出模型OX1、...、OXn只是输出区域O的多种可能的实现方案中的一种实现方案。该细分具有如下优点:一方面,该细分的尽可能少的参数够用,而另一方面由此也使得能够进行快速评价。例如,完全一样可设想的是,将输出a馈入到唯一的神经网络中,并且生成输出区域O的所想要的输出。
在一方面,设备100包括比较装置308。比较装置308构造为,根据第二输入变量vX(t+1)与预测vX’(t+1)的比较的结果,当该结果满足限定异常的标准时,识别出异常。其他参数、尤其是上述的偏差也可涌入到对标准的计算中。
在该实例中,选出装置304构造为,针对第一时间步长t选出第一输入变量vX。输出区域O在该实例中构造为,根据第一输入变量vX确定针对第二输入变量vY(t+1)的预测vY’(t+1)。如果在具有消息类型X的消息之后是具有消息类型Y的消息,则在该实例中借助第一输入变量vX确定针对具有消息类型Y的消息的预测、也就是针对第二输入变量vY(t+1)的预测vY‘。比较装置308在该实例中构造为,根据第二输入变量vY(t+1)与预测vY’(t+1)的比较的结果,当该结果满足限定异常的标准时,识别出异常。该结果例如根据针对预测vY’(t+1)与第二输入变量vY(t+1)的偏差的度量来限定。该标准例如通过偏差的阈值来限定。当偏差的度量超过阈值时,在该实例中识别出异常。
在另一方面,人工神经网络306可以训练成,根据在通信网络108中的网络业务的至少一部分来判定,通信网络108以相对于其他可能的状态更高的概率处于多个可能的状态中的何种状态中。在该情况下,输出区域的预测涉及这些状态。
在非易失性存储器110上存储有指令,在通过处理器102实施所述指令时,运行在下文中依据图5所描述的用于对数据进行分类的方法,和/或运行依据图6所描述的用于训练人工神经网络306的方法。
在下文中描述了一种用于进行测评(Evaluierung)的方法。如果存在经训练的模型,则该模型被用作IDS。在每个时间步长运行测评可以概略地叙述如下:
• 在当前时间步长t,接收消息类型X的消息。
• 生成输入变量vX(t)。
• 计算状态sX=IX(vX(t))。
• 实施聚集,这在该实例中导致简单地级联到向量a=(sX1, ..., sXn) 上(如果N={X1, ..., Xn})。
• 针对i∈{1, ... n},计算所有预测oXi=OXi(a)=vXi’(t+1)。
• 在时间步长t+1接收到消息(在该实例中,这应是Y),并且计算vY (t+1)。
• 确定异常分数f=f (f(t); oY; vY(t + 1); θ(t)),其中θ(t) 可以是一起进入异常分数中的其他参数。
视IDS的应用情况而定,为了节约资源,有意义的可以是,不是针对i ∈ {1, ...n}计算所有预测oXi = OXi(a) = vXi’(t + 1) 。
代替于此地,在时间步长t可以等待直至:出现时间步长t+1,并且因此在该时间点出现该消息类型,以致仅需评价目标变量。
该模型是可使用的,以便借助输出oX在每个时间步长计算异常分数f。示例性地,在下文中呈现了两种拟设。异常分数可以问题特定地来拟设。
第一方法规定,以合适的范数(Norm)只考察当前预测误差eX(t+1) = || vX(t+1)– oX||。这意味着:将来自网络业务的实值、也就是输入变量vX(t+1)与预测oX进行比较。
与此相比更合适的第二方法规定,针对每个Xi ∈ N,以起始值0来实例化误差存储器E。每次当在网络业务中出现消息类型Xi的消息时,都用当前的误差值eXi来重新写入所属的误差存储器E(i)。
误差值E(i)的可选地经加权的和用作异常分数f。
当各种数据通道可以不同程度得好地被建模时,附加地可以将统计学拟设一起包括到对异常分数f的计算中。这样,例如可能的是,基于正常数据学会个别误差的分布,或估计所属分布的参数。在计算异常分数f时,例如可以探讨(eingehen),关于所计算的误差分布,当前所观察的误差是多大概率。
在图5中,示出了用于对尤其是用于控制器局域网或者汽车以太网的数据进行分类的计算机实施的方法的步骤。一方面,该方法可以在用于进行测评的方法中予以采用。另一方面,由此也可以执行另外的分类。
在步骤502中,接收来自通信网络108的多个消息。例如,消息如在CAN Trace中所示出的那样来建立。消息不必在馈入到网络之前被收集—人工神经网络例如始终在相关的消息类型出现在消息历程(Nachrichtenverlauf)中时才被配备有新的输入变量。
在步骤504中,针对人工神经网络306的输入模型IX的输入变量vX,选出多个消息中的具有预先给定的消息类型X(例如CAN ID A)的消息,所述输入模型IX分配给该预先给定的消息类型X。更确切而言,针对第一时间步长t选出第一输入变量vX。在该实例中,选择分配给CAN ID A的输入模型IX
在步骤506中,根据消息来确定输入变量vX。例如,从具有CAN ID A的消息的数据的至少一部分中产生向量。
在该实例中,针对消息类型Xi的多个消息实施步骤504至506。来自CAN-Trace的多个消息根据多个预先给定的网络类型Xi作为用于多个输入模型IX1、...、IXn的输入变量而被选出,其中确定的消息类型的消息针对明确地分配给该消息类型的输入模型作为输入变量被选出。
在可选的步骤508中,输出(例如多个输入模型IX1、...、IXn的状态sX1、...、sXn)被聚集为针对输出区域O的输入sX1、...、sXn。在该实例中,对于输出a,状态sX1、...、sXn被聚集为多个输入模型IX1、...、IXn的输出。聚集尤其是通过将所述状态sX级联到向量或者张量上来进行,所述向量或者张量在该实例中是输出a。对此附加地或者替选地,可以规定之前所描述的聚集,尤其是也可规定继续处理。
在步骤510中,在人工神经网络的输出区域O中,根据输入变量vX(t)输出用于对消息进行分类的预测vY’(t+1)。更确切而言,根据第一输入变量vX,确定针对第二输入变量vY(t+1)的预测vY’(t+1)。在该实例中,针对多个消息类型Xi,从多个输出模型OX1、...、OXn中产生预测。
替选地或者附加地,人工神经网络训练成,根据通信网络中的网络业务的至少一部分来判定:通信网络108以相对于其他可能的状态更高的概率处于多个可能的状态中的何种状态中。在该情况下,在步骤510中,在输出区域O中确定通信网络108的状态。
在步骤512中,根据第二输入变量vY(t+1)与预测vY’(t+1)的比较的结果,当该结果满足限定异常的标准时,识别出异常。
例如,根据预测vY’(t+1)与第二输入变量vY(t+1)的偏差的度量来限定该结果,其中通过偏差的阈值来限定标准。在该情况下,当偏差的度量超过阈值时,识别出异常。
在下文中,描述用于这种人工神经网络的训练方法。为了简便起见,以如下情况为出发点:多个输入模型IX1、...、IXn通过简单的LSTM实现,聚集区域A简单地将各个状态sX1、...、sXn级联,并且多个输出模型OX1、...、OXn中的每个都通过人工神经网络的简单的全连接实现。
在下文中所描述的训练过程可以非常容易地转用到可能的变型方案。示意性地,训练可以如在图6中所示出的那样具有如下流程:
• 在步骤602中,将当前损失L设为L=0。
• 在步骤604中,在预先给定的数目的时期期间迭代,或者迭代直至达到尤其是基于验证数据的预先给定的误差度量。
在步骤606中,选择k个时间步长的接下来的训练数据段T。
可选地,将多个输入模型IX1、...、IXn的所有输入模型的所有隐状态复位。
在步骤608中检验,是否已使用来自训练数据段T的所有训练数据。如果还存在来自训练数据段T的训练数据,则实施步骤610。要不然,实施步骤604。
在步骤610中检查,在T的当前时间步长t中是否出现具有消息类型X的消息。如果情况如此,则从训练数据中确定第一输入变量vX(t)。
在步骤612中,计算sX=IX(vX(t))。
在步骤614中,实施聚集。如果N = {X1; ...;Xn},则这在该实例中导致简单地级联到向量a=(sX1, ...; sXn)t上。
在步骤616中检查,在时间步长t+1的消息类型是否是Y。这在训练中可以容易地依据CAN-Trace来检查。如果消息类型是Y,则计算oY=OY(a)=vY’(t+1)。
在步骤618中,从训练数据中确定第二输入变量vY(t+1)。
在步骤620中,确定误差度量F=F(vY(t+1);oY)。针对误差度量F,例如可以选择均方误差(Mean Squared Error),但是误差度量可以对于每种消息类型都单独地并且问题特定地来拟设。所计算的误差值被合计(aufaddieren)到当前损失L上。
在步骤622中检验,是否达到预先给定的数目的步长。如果情况如此,则执行反向传播步骤,人工神经网络的参数按照优化策略被更新,并且设当前损失L=0。
紧接着,实施步骤608。
训练过程的变型方案规定,多个输入模型IX1、...、IXn在多个时间步长期间聚集数据,并且可选地在进行评价步骤之前预处理所述数据。
在变型方案中,通过多个输出模型OX1、...、OXn来预测多个时间步长。
在训练过程的变型方案中,也可以进行批量优化(Batchoptimierung)。尤其是,为此,在进行反向传播步骤之前,可以关于多个训练数据步长对梯度求平均,所述梯度为了计算模型参数的适配而被计算。
视所考察的问题而言可以规定,仅仅在输入区域I中、但是不在输出区域O中使用消息类型中的一些消息类型,或者相反。
可选地,所介绍的网络架构以及所介绍的用于训练和测评的方案可以容易地以如下形式来适配:不是计算预测误差,而是计算重构误差。在这种情况下,在每个时间步长t,代替预测vY‘(t+1),尝试重构所有可能的输入vX(t)。输入变量的重构可用于根据该输入变量对消息进行分类。该重构在下文中用wX(t)来标明。在真正的输入vX(t)与重构wX(t)之间的偏差在该实例中用于:训练神经网络,并且在测评阶段中识别出异常。
类似于步骤616,被输出的输入变量vX(t)的重构wX(t)可用于根据所述输入变量vX(t)来对所述消息进行分类。为此,类似于步骤620,根据第一输入变量vX(t)和重构wx(t)来确定误差度量F=F(vX(t);wx(t)。反向传播步骤类似于步骤618来执行,其中人工神经网络的参数按照优化策略根据误差度量F来确定。其余步骤602至614和622例如如针对预测所描述的那样进行。
这里所介绍的用于测评和训练的方案为此相对应地被适配。尤其是,网络架构通过如下方式根据自编码器(Autoencoder)拟设来适配:产生仅仅一个唯一的输出模型,所述输出模型以级联为向量的方式输出所有重构。尤其是,对此在输出模型中使用如下层:所述层的维小于输出O的维。
优选地规定了,未受监控地、尤其是仅仅借助如下数据进行训练:所述数据限定了通信网络108的正常行为。入侵检测***仅仅通过描述正常行为的数据来配置。
在用于分类的方法中,与正常行为的偏差被分类为攻击。由此,该***能够也检测到未知的攻击。

Claims (25)

1.一种用于对尤其是用于控制器局域网或者汽车以太网的数据进行分类的计算机实施的方法,其特征在于,接收(502)来自通信网络的多个消息,其中针对人工神经网络的多个输入模型(IX1,...,IXn)中的分配给预先给定的消息类型(X)的输入模型(IX)的输入变量(vX),选出(504)具有所述预先给定的消息类型(X)的消息,其中根据所述消息来确定(506)所述输入变量(vX),其中在所述人工神经网络的输出区域(O)中,输出预测(vX’(t+1)),所述预测(vX’(t+1))能够用于根据所述输入变量(vX(t))对所述消息进行分类,或者输出输入变量(vX(t))的重构,所述重构能够用于根据所述输入变量(vX(t))对所述消息进行分类。
2.根据权利要求1所述的计算机实施的方法,其特征在于,所述人工神经网络训练成,根据所述通信网络中的网络业务的至少一部分来使得能够判定:所述通信网络以相对于其他可能的状态更高的概率处于多个可能的状态中的何种状态中。
3.根据上述权利要求中任一项所述的计算机实施的方法,其特征在于,根据多个预先给定的网络类型(X),多个消息作为针对多个输入模型(Ix)的输入变量被选出(504),其中消息类型(X)明确地分配给所述多个输入模型(IX)中的一个,其中所述多个输入模型(Ix)的输出被聚集(508)为所述输出区域(O)的输入。
4.根据权利要求3所述的计算机实施的方法,其特征在于,所述多个输入模型(Ix)实现为递归人工神经网络。
5.根据权利要求3或者4所述的计算机实施的方法,其特征在于,所述多个输入模型(Ix)的状态(sX)被聚集,尤其是通过将所述状态(sX)级联到向量或者张量(a)上来聚集。
6.根据上述权利要求中任一项所述的计算机实施的方法,其特征在于,针对第一时间步长(t)选出(504)第一输入变量(vX),其中根据所述第一输入变量(vX)确定(510)针对第二输入变量(vY(t+1))的预测(vY’(t+1)),其中根据所述第二输入变量(vY(t+1))与所述预测(vY’(t+1))的比较(512)的结果,当所述结果满足限定异常的标准时,识别出(512)异常。
7.根据权利要求6所述的计算机实施的方法,其特征在于,根据针对所述预测(vY’(t+1))与所述第二输入变量(vY(t+1))的偏差的度量,限定所述结果,其中通过所述偏差的阈值来限定所述标准,其中当所述偏差的所述度量超过所述阈值时,识别出(512)异常。
8.一种用于对通信网络中的尤其是用于控制器局域网或者汽车以太网的数据进行分类的设备,其特征在于,所述设备包括人工神经网络,其中所述人工神经网络包括针对输入变量(vX)的输入模型(IX)并且包括输出区域(O),其中所述设备包括选出装置(304),所述选出装置(304)构造为,针对所述输入变量(vX)选出来自所述通信网络的具有预先给定的消息类型(X)的消息,并且其中所述输出区域(O)构造为,输出预测(vX’(t+1)),所述预测(vX’(t+1))能够用于根据所述输入变量(vX(t))对所述消息进行分类,或者输出输入变量(vX(t))的重构,所述重构能够用于根据所述输入变量(vX(t))对所述消息进行分类。
9.根据权利要求8所述的设备,其特征在于,所述人工神经网络训练成,根据所述通信网络中的网络业务的至少一部分来使得能够判定:所述通信网络以相对于其他可能的状态更高的概率处于多个可能的状态中的何种状态中。
10.根据权利要求8或者9所述的设备,其特征在于,所述设备包括多个输入模型(Ix),其中在所述多个输入模型(Ix)与所述输出区域(O)之间布置有尤其是构造为人工神经网络的聚集部分(A),所述聚集部分(A)构造为将所述多个输入模型(Ix)的输出聚集为所述输出区域(O)的输入。
11.根据权利要求10所述的设备,其特征在于,所述多个输入模型(Ix)实现为递归人工神经网络。
12.根据权利要求10或者11所述的设备,其特征在于,所述聚集部分(A)构造为,聚集所述多个输入模型(Ix)的状态(sX),尤其是通过将所述状态(sX)级联到向量(a)上来聚集。
13.根据权利要求8至12中任一项所述的设备,其特征在于,所述选出装置(304)构造为,针对第一时间步长(t)选出第一输入变量(vX),其中所述输出区域(O)构造为,根据所述第一输入变量(vX)来确定针对第二输入变量(vY(t+1))的预测(vY’(t+1)),其中比较装置(308)构造为,根据所述第二输入变量(vY(t+1))与所述预测(vY’(t+1))的比较的结果,当所述结果满足限定异常的标准时,识别出异常。
14.根据权利要求13所述的设备,其特征在于,根据针对所述预测(vY’(t+1))与所述第二输入变量(vY(t+1))的偏差的度量,限定所述结果,其中通过所述偏差的阈值来限定所述标准,其中所述设备构造为,当所述偏差的所述度量超过所述阈值时,识别出异常。
15.一种用于人工神经网络的训练方法,所述人工神经网络用于对尤其是用于控制器局域网或者汽车以太网的数据进行分类,所述训练方法具有训练数据,所述训练数据包括不同的消息类型的多个消息,其特征在于,针对所述人工神经网络的多个输入模型(IX1,...,IXn)中的分配给预先给定的消息类型(X)的输入模型(IX)的第一输入变量(vX),选出(610)具有所述预先给定的消息类型(X)的消息,其中根据所述消息来确定(610)所述第一输入变量(vX),其中在所述人工神经网络的输出区域(O)中,输出预测(vY’(t+1)),所述预测(vY’(t+1))能够用于(616)根据所述第一输入变量(vX(t))对所述消息进行分类,其中从所述训练数据中确定(618)第二输入变量(vX (t + 1)),其中根据所述第二输入变量(vX (t+ 1))和所述预测(vX’(t+1))来确定(620)误差度量(F = F(vX (t + 1); vX’(t+1)),并且其中执行(618)反向传播步骤,其中所述人工神经网络的参数按照优化策略根据所述误差度量来确定,或者输出输入变量(vX(t))的重构(wX(t)),所述重构(wX(t))能够用于(616)根据所述输入变量(vX(t))对所述消息进行分类,其中根据所述第一输入变量(vX(t))和所述重构(wx(t))来确定(620)误差度量(F=F(vX(t);wx(t)),并且其中执行(618)反向传播步骤,其中所述人工神经网络的参数按照所述优化策略根据所述误差度量来确定。
16.根据权利要求15所述的训练方法,其特征在于,根据多个预先给定的网络类型(X),多个消息作为针对多个输入模型(Ix)的输入变量而被选出,其中消息类型(X)明确地分配给所述多个输入模型(IX)中的一个,其中所述多个输入模型(IX)的输出被聚集(614)为所述输出区域(O)的输入。
17.根据权利要求16所述的训练方法,其特征在于,所述多个输入模型(Ix)实现为递归人工神经网络。
18.根据权利要求16或者17所述的训练方法,其特征在于,所述多个输入模型(IX)的状态(sX)被聚集,尤其是通过将所述状态(sX)级联到向量或者张量(a)上来聚集。
19.根据权利要求15至18中任一项所述的训练方法,其特征在于,针对第一时间步长(t)选出所述第一输入变量(vX),其中根据所述第一输入变量(vX),确定针对第二时间步长(t+1)的所述第二输入变量(vY(t+1))的所述预测(vY’(t+1)),其中根据针对所述第二时间步长(t+1)的所述第二输入变量(vY(t+1))和所述预测(vY’(t+1)),确定所述误差度量(F =F(vY (t + 1); vY’(t+1))。
20.根据权利要求15至19中任一项所述的训练方法,其特征在于,多个输入模型(IX1,...,IXn)在多个时间步长期间聚集数据,并且尤其是在所述输出区域(O)中进行评价步骤之前预处理所述数据,其中确定所述预测(vY’(t+1))。
21.根据权利要求15至18中任一项所述的训练方法,其特征在于,针对第一时间步长(t)选出所述第一输入变量(vX),其中根据所述第一输入变量(vX),确定针对所述第一时间步长(t)的所述第一输入变量(vX(t))的所述重构(wX(t))。
22.根据权利要求15至19中任一项所述的训练方法,其特征在于,多个输入模型(IX1、...、IXn)在多个时间步长期间聚集数据,并且尤其是在所述输出区域(O)中进行评价步骤之前预处理所述数据,其中确定所述重构(wX(t))。
23.根据权利要求15至22中任一项所述的训练方法,其特征在于,未受监控地、尤其是仅仅借助如下数据进行所述训练:所述数据限定了所述通信网络(108)的正常行为。
24.一种计算机程序,其特征在于计算机可读的指令,在通过计算机实施所述计算机可读的指令时,运行根据权利要求1至7和/或15至23中任一项所述的方法。
25.一种计算机程序产品,其特征在于计算机可读的存储器,在所述计算机可读的存储器上存储有根据权利要求24所述的计算机程序。
CN202010047739.3A 2019-01-17 2020-01-16 对控制器局域网或者汽车以太网的数据分类的设备和方法 Pending CN111447173A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019200565.9A DE102019200565A1 (de) 2019-01-17 2019-01-17 Vorrichtung und Verfahren zur Klassifizierung von Daten insbesondere für ein Controller Area Netzwerk oder ein automotive Ethernet Netzwerk.
DE102019200565.9 2019-01-17

Publications (1)

Publication Number Publication Date
CN111447173A true CN111447173A (zh) 2020-07-24

Family

ID=69147532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010047739.3A Pending CN111447173A (zh) 2019-01-17 2020-01-16 对控制器局域网或者汽车以太网的数据分类的设备和方法

Country Status (4)

Country Link
US (1) US11803732B2 (zh)
EP (1) EP3684015B1 (zh)
CN (1) CN111447173A (zh)
DE (1) DE102019200565A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018109835A1 (de) * 2018-04-24 2019-10-24 Albert-Ludwigs-Universität Freiburg Verfahren und Vorrichtung zum Ermitteln einer Netzkonfiguration eines neuronalen Netzes
JP6988723B2 (ja) * 2018-07-17 2022-01-05 株式会社オートネットワーク技術研究所 車載通信装置、通信プログラム及びメッセージ送信方法
US10957307B2 (en) * 2019-03-28 2021-03-23 Microsoft Technology Licensing, Llc Modular language model adaptation
US11137989B1 (en) * 2021-03-17 2021-10-05 Relyance, Inc. Constructing a data flow graph for a computing system of an organization
CN116319036B (zh) * 2023-03-27 2024-05-24 哈尔滨工业大学(威海) 基于卷积循环神经网络的异常网络请求识别模型生成方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101399672A (zh) * 2008-10-17 2009-04-01 章毅 一种多神经网络融合的入侵检测方法
AU2015207873A1 (en) * 2005-11-15 2015-08-20 Bernadette Garner Method for training neural networks
US20180262327A1 (en) * 2017-03-08 2018-09-13 Robert Bosch Gmbh Methods for Minimizing Side Channel Leakage for Group Key Agreement for Controller Area Network
CN109033169A (zh) * 2018-06-21 2018-12-18 东南大学 基于多级权重转换和卷积神经网络的移动流量分类方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096498B2 (en) * 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
US7725934B2 (en) * 2004-12-07 2010-05-25 Cisco Technology, Inc. Network and application attack protection based on application layer message inspection
JP2006323538A (ja) * 2005-05-17 2006-11-30 Yokogawa Electric Corp 異常監視システムおよび異常監視方法
US20200067861A1 (en) * 2014-12-09 2020-02-27 ZapFraud, Inc. Scam evaluation system
DE102017208547A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
US10679129B2 (en) * 2017-09-28 2020-06-09 D5Ai Llc Stochastic categorical autoencoder network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2015207873A1 (en) * 2005-11-15 2015-08-20 Bernadette Garner Method for training neural networks
CN101399672A (zh) * 2008-10-17 2009-04-01 章毅 一种多神经网络融合的入侵检测方法
US20180262327A1 (en) * 2017-03-08 2018-09-13 Robert Bosch Gmbh Methods for Minimizing Side Channel Leakage for Group Key Agreement for Controller Area Network
CN109033169A (zh) * 2018-06-21 2018-12-18 东南大学 基于多级权重转换和卷积神经网络的移动流量分类方法

Also Published As

Publication number Publication date
EP3684015A1 (de) 2020-07-22
US20200234101A1 (en) 2020-07-23
DE102019200565A1 (de) 2020-07-23
US11803732B2 (en) 2023-10-31
EP3684015B1 (de) 2024-01-03

Similar Documents

Publication Publication Date Title
CN111447173A (zh) 对控制器局域网或者汽车以太网的数据分类的设备和方法
Al-Jarrah et al. Intrusion detection systems for intra-vehicle networks: A review
US20190199743A1 (en) Method and device for recognizing anomalies in a data stream of a communication network
CN111294341B (zh) 基于自编码器和递归神经网络的车载***入侵检测方法
US11928006B2 (en) System and method for labeling bits of controller area network (CAN) messages
CN109067773B (zh) 一种基于神经网络的车载can网络入侵检测方法及***
Lin et al. Retracted: An Evolutionary Deep Learning Anomaly Detection Framework for In-Vehicle Networks-CAN Bus
CN109581871B (zh) 免疫对抗样本的工业控制***入侵检测方法
CN114585983B (zh) 用于检测设备的异常运行状态的方法、装置和***
Vodenčarević et al. Identifying behavior models for process plants
CN110120935B (zh) 用于在通信网络中识别数据流中的异常的方法和设备
CN112202726B (zh) 一种基于上下文感知的***异常检测方法
Thiruloga et al. TENET: Temporal CNN with attention for anomaly detection in automotive cyber-physical systems
CN113079167B (zh) 一种基于深度强化学习的车联网入侵检测方法及***
WO2020208639A2 (en) A system and method for detection of anomalous controller area network (can) messages
Desta et al. MLIDS: Handling raw high-dimensional CAN bus data using long short-term memory networks for intrusion detection in in-vehicle networks
Nguyen et al. Transformer-based attention network for in-vehicle intrusion detection
CN115412279A (zh) 用于防止对车辆的网络攻击的方法及相应装置
Francia et al. Applied machine learning to vehicle security
Kang et al. A transfer learning based abnormal can bus message detection system
Sahni et al. Aided selection of sampling methods for imbalanced data classification
CN116450137A (zh) 一种***异常的检测方法、装置、存储介质及电子设备
US8364630B1 (en) System and method for controlling network centric operation with Bayesian probability models of complex hypothesis spaces
Kukkala et al. AI for cybersecurity in distributed automotive IoT systems
CN114368390A (zh) 用于检验基于ki的信息处理***的方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination