DE102022108862A1 - Plattform für datenschutzgerechtes dezentrales lernen und die überwachung von netzwerkereignissen - Google Patents

Plattform für datenschutzgerechtes dezentrales lernen und die überwachung von netzwerkereignissen Download PDF

Info

Publication number
DE102022108862A1
DE102022108862A1 DE102022108862.6A DE102022108862A DE102022108862A1 DE 102022108862 A1 DE102022108862 A1 DE 102022108862A1 DE 102022108862 A DE102022108862 A DE 102022108862A DE 102022108862 A1 DE102022108862 A1 DE 102022108862A1
Authority
DE
Germany
Prior art keywords
network
model
flow
label
classified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022108862.6A
Other languages
English (en)
Inventor
Madhusoodhana Chari Sesha
Krishna Prasad Lingadahalli SHASTRY
Sathyanarayanan Manamohan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of DE102022108862A1 publication Critical patent/DE102022108862A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Es werden Systeme und Verfahren zur Implementierung der Mustererkennung als erster Schritt zur Verbesserung der Sicherheit eines Computernetzwerks bereitgestellt. Die Mustererkennung kann ein maschinelles Lernmodell (ML) zur Vorhersage von Netzwerktupel-Parametern verwenden. Das ML-Modell kann auf markierten Datenflussinformationen trainiert und von einem zentralen Server eingesetzt werden, um netzwerkweite Cybersicherheitsprobleme zu verhindern (z. B. einschließlich DNS-Fluss usw.). Netzwerkgeräte (z. B. Switches usw.) können den Datenflussverkehr überwachen, den sie von den Netzwerkgeräten empfangen, und Netzwerktupelparameter auf der Grundlage des Flussverhaltens klassifizieren. Das System kann die Ausgabe des ML-Modells (z. B. eine Klassifizierung des Datenflussverkehrs usw.) mit einer impliziten Kennzeichnung (z. B. dem Netzwerktupel-Parameter, der im Datenflussverkehr enthalten ist, usw.) vergleichen. Wenn die Klassifizierung mit einem bestimmten Netzwerktupel-Parameter übereinstimmt, kann das System eine Warnung erzeugen und/oder auf andere Weise potenzielle Netzeinbrüche und andere Anomalien erkennen.

Description

  • Hintergrund
  • Cyber-Sicherheitsrisiken sind allgegenwärtig. Eine Art von Sicherheitsrisiko ist eine DNS-Technik (Domain Name System), die von Botnets (z. B. ein Netzwerk privater Computer, die mit bösartiger Software infiziert sind und als Gruppe ohne Wissen der Besitzer kontrolliert werden) verwendet wird, um Phishing- und Malware-Seiten zu verstecken. Die Websites werden mithilfe der Botnets versteckt, die die Host-Computer, die als Proxys für die bösartige Software fungieren, ständig wechseln können. Eine andere Art von Sicherheitsrisiko ist der so genannte „DNS-Flux“, eine Kombination aus Peer-to-Peer-Netzwerken, verteilter Befehls- und Kontrollfunktion, webbasiertem Lastausgleich und Proxy-Umleitung, die dazu dient, Malware-Netzwerke resistenter gegen Entdeckung und Gegenmaßnahmen zu machen.
  • In diesen Risikobeispielen kann die böswillige Anwendung zahlreiche Internetprotokolladressen (IP-Adressen) haben, die mit einem einzigen vollqualifizierten Domänennamen verbunden sind, wobei die IP-Adressen mit extrem hoher Frequenz ein- und ausgetauscht werden (z. B. durch Änderung der DNS-Einträge). So können selbst Standard-Computernetzwerke, die versuchen, die bösartigen Aktivitäten zu vereiteln, kompromittiert werden.
  • Figurenliste
  • Die vorliegende Offenbarung wird in Übereinstimmung mit einem oder mehreren verschiedenen Beispielen unter Bezugnahme auf die folgenden Figuren im Detail beschrieben. Die Figuren dienen nur der Veranschaulichung und zeigen lediglich typische Beispiele.
    • 1 zeigt eine Computerumgebung gemäß einem oder mehreren Beispielen der Offenbarung.
    • 2 zeigt ein Netzwerkgerät in der Computerumgebung gemäß einem oder mehreren Beispielen der Offenbarung.
    • 3 zeigt einen zentralen Server in der Computerumgebung gemäß einem oder mehreren Beispielen der Offenbarung.
    • 4 zeigt einen Datenfluss gemäß einem oder mehreren Beispielen der Offenlegung.
    • 5 ist ein Beispiel für ein dezentralisiertes maschinelles Lernmodul, das zur Implementierung verschiedener Merkmale der in der vorliegenden Offenlegung beschriebenen Beispiele verwendet werden kann.
    • 6 ist ein Beispiel für eine Computerkomponente, die zur Implementierung verschiedener Merkmale der in der vorliegenden Offenbarung beschriebenen Beispiele verwendet werden kann.
    • 7 ist ein Beispiel für eine Computerkomponente, die zur Implementierung verschiedener Merkmale der in der vorliegenden Offenbarung beschriebenen Beispiele verwendet werden kann.
    • 8 zeigt ein Blockdiagramm eines beispielhaften Computersystems, in dem verschiedene der hier beschriebenen Beispiele implementiert werden können.
  • Die Figuren sind nicht erschöpfend und beschränken die vorliegende Offenbarung nicht auf die genaue Form, die offengelegt wird.
  • Detaillierte Beschreibung
  • Eine Methode, mit der versucht wird, die Cybersicherheitsrisiken der DNS-Technologie zu umgehen, ist die Verschlüsselung der übertragenen Datenpakete. Diese Implementierung kann jedoch nach hinten losgehen. Mehrere Netze haben Verschlüsselungsalgorithmen zur Übertragung verschlüsselter Datenströme implementiert, was dazu beiträgt, dass ständig eine Vielzahl geheimer Daten übertragen wird. Der verschlüsselte Datenverkehr kann nicht ohne weiteres auf bösartige Inhalte überprüft werden. Wenn die Daten nicht auf bösartige Inhalte überprüft und kontrolliert werden können, können Cybersicherheitsrisiken unentdeckt in das System eindringen und das Risiko von Cybersicherheitsproblemen erhöhen.
  • Außerdem können Netzwerkparameter von Computergeräten entfernt oder randomisiert werden, um ihre Identität für andere Geräte in einem Netzwerk zu verbergen. So kann beispielsweise die Netzwerkidentifizierung eines Client-Geräts über bekannte Netzwerkparameter randomisiert werden, wodurch weniger Prozesse die Absender von Daten identifizieren können und der Dateninhalt verborgen bleibt. Die Entfernung oder Randomisierung von Netzwerkparametern dieser Geräte kann zwar zum Schutz der Privatsphäre des sendenden Geräts beitragen, erhöht aber auch die Sicherheitsrisiken des Netzwerks, da die Benutzer des Netzwerks nicht mehr identifiziert werden können. Die geringere Fähigkeit zur Identifizierung von Daten (z. B. durch Verschlüsselung) und der Herkunft der Daten (z. B. durch DNS-Maskierung und das Verstecken von Malware-Netzwerken) kann die Erkennung von Malware und schlechten Akteuren erschweren.
  • Die Anwendungsbeispiele beschreiben eine Plattform zur Implementierung der Mustererkennung als ersten Schritt zur Verbesserung der Sicherheit am Netzrandgerät. Die Mustererkennung kann eine kontinuierliche und feinere Variante anderer Systeme sein, die in ähnlicher Weise Muster in Daten und Absendern erkennen können.
  • Die Plattform kann beispielsweise ein Modell des maschinellen Lernens (ML) zur Vorhersage eines klassifizierten Etiketts auf der Grundlage der mit dem Datenfluss verbundenen Informationen enthalten. Das ML-Modell kann auf markierte Datenflussverkehrsinformationen trainiert werden. Das trainierte ML-Modell kann dezentral auf einem oder mehreren Netzwerkgeräten oder zentral auf einem zentralen Server eingesetzt werden. Beide Implementierungen können netzwerkweite Cybersicherheitsprobleme (z. B. einschließlich DNS-Fluss) verhindern.
  • Netzwerkgeräte (z. B. Switches oder andere Netzwerkgeräte) können den Datenflussverkehr überwachen, um ein oder mehrere Flussverhalten zu bestimmen, einschließlich der Ankunftszeit zwischen Paketen (z. B. Minimum, Mittelwert, Maximum, Standardabweichung) oder der Paketlänge (z. B. Minimum, Mittelwert, Maximum usw.) für einen bestimmten Datenfluss. Das ML-Modell kann den Datenflussverkehr von den Netzwerkgeräten empfangen und die Netzwerktupelparameter auf der Grundlage eines Datenflussverhaltens klassifizieren. Die Plattform kann die Ausgabe des ML-Modells (z. B. die Klassifizierung des Datenflussverkehrs) mit einer Kennung oder einem impliziten Etikett (z. B. dem im Datenflussverkehr enthaltenen Netzwerktupelparameter) vergleichen. Wenn die Klassifizierung mit einem bestimmten Netzwerktupel-Parameter übereinstimmt, kann die Plattform eine Warnung erzeugen und/oder auf andere Weise potenzielle Netzwerkeinbrüche, DNS-Probleme (Domain Name System) und andere Anomalien identifizieren.
  • Technische Verbesserungen werden durch die Offenlegung realisiert. Zum Beispiel kann die Implementierung die Netzwerksicherheit verbessern, indem dezentralisiertes Lernen des Netzwerkverhaltens integriert wird. Darüber hinaus können durch zentralisierte Daten und maschinelles Lernen Fehler reduziert und verschiedene Datentypen normalisiert werden, um ein rationalisiertes Verarbeitungs- und Datenanalysesystem zu schaffen.
  • Bevor Beispiele für die offengelegten Systeme und Methoden im Detail beschrieben werden, ist es sinnvoll, eine beispielhafte Netzwerkinstallation zu beschreiben, mit der diese Systeme und Methoden in verschiedenen Anwendungen implementiert werden könnten. 1 zeigt eine Computerumgebung gemäß einem oder mehreren Beispielen der Offenbarung. Die Computerumgebung kann ein oder mehrere Randgeräte 110 (dargestellt als erstes Randgerät 110A und zweites Randgerät 110B), ein Netzwerkgerät 120, ein externes Netzwerk 130 (z. B. Internet) und einen zentralen Server 140 umfassen.
  • Randgeräte 110 können eine oder mehrere Rechnerkomponenten umfassen, die Datenpakete an andere Rechnerkomponenten innerhalb desselben Netzes oder in anderen Netzen übertragen. Jedes Edge-Gerät 110 kann einen Hardware-Prozessor (z. B. zentrale Verarbeitungseinheiten (CPUs), Mikroprozessoren auf Halbleiterbasis) zum Abrufen und Ausführen von Befehlen umfassen, die in einem maschinenlesbaren Speichermedium gespeichert sind. Der Hardware-Prozessor kann Anweisungen abrufen, dekodieren und ausführen, um Prozesse oder Vorgänge zur Übertragung von Datenpaketen zu steuern.
  • Edge-Geräte 110 können ein oder mehrere Client-Geräte (z. B. Desktop-Computer, Laptops, Server oder andere Netzwerkgeräte) umfassen, die mit einem Controller kommunizieren, um die Kommunikation zwischen Edge-Geräten 110, Netzwerkgeräten 120 und dem zentralen Server 140 zu ermöglichen. Edge-Geräte 110 können mehrere Steuerungen und/oder mehrere Kommunikationspunkte umfassen. In einigen Beispielen kann der Controller mit anderen Geräten über das Netzwerkgerät 120 kommunizieren, das dem IEEE 802.11-Standard entspricht, um auf das Netzwerk 130 zuzugreifen. Der Controller kann die Netzwerkgeräte 120 konfigurieren und/oder verwalten.
  • Netzwerkgeräte 120 stellen Netzwerkverbindungen (z. B. zum Netzwerk 130) zu verschiedenen Edge-Geräten 110 bereit. Zu den Netzwerkgeräten 120 können z. B. Switches, Router, Zugangspunkte, Gateways oder andere Geräte gehören. Über eine Verbindung zu den Netzwerkgeräten 120 können die Edge-Geräte 110 auf die im Netzwerk 130 verfügbaren Netzwerkressourcen zugreifen. Bei den Netzwerkgeräten 120 kann es sich um eine Kombination aus Hardware, Software und/oder Firmware handeln, die so konfiguriert ist, dass sie drahtlose Netzwerkkonnektivität für drahtlose Client-Geräte aus jedem Netzwerk bereitstellt. Die Netzwerkgeräte 120 können von der Steuereinheit verwaltet und konfiguriert werden. Weitere Einzelheiten zum Netzwerkgerät 120 sind in 2 dargestellt.
  • Ein anschauliches Netzwerkgerät 120 ist in 2 dargestellt. Beispielsweise kann jedes Netzwerkgerät 120 einen eigenen Prozessor 204, maschinenlesbare Medien 206 und einen Datenflussverkehrsdatenspeicher 218 umfassen. Die maschinenlesbaren Medien 206 können ein oder mehrere Module und Engines umfassen, einschließlich des Datenflussverkehrsmoduls 208, des Kennzeichnungsmoduls 210, des dezentralen maschinellen Lernmoduls 212, des Zählermoduls 214 und des Routenaktionsmoduls 216.
  • Bei dem Prozessor 204 kann es sich um eine oder mehrere Zentraleinheiten (CPUs), halbleiterbasierte Mikroprozessoren und/oder andere Hardwarevorrichtungen handeln, die zum Abrufen und Ausführen von Befehlen geeignet sind, die im maschinenlesbaren Speichermedium 206 gespeichert sind. Der Prozessor 204 kann Befehle abrufen, dekodieren und ausführen, um Prozesse oder Vorgänge zur Implementierung der Erkennung von Anomalien in der Routingtabelle unter Verwendung von unüberwachtem maschinellem Lernen zu steuern. Alternativ oder zusätzlich zum Abrufen und Ausführen von Befehlen kann der Prozessor 204 einen oder mehrere elektronische Schaltkreise enthalten, die elektronische Komponenten zur Ausführung der Funktionalität eines oder mehrerer Befehle umfassen, z. B. ein Field Programmable Gate Array (FPGA), einen anwendungsspezifischen integrierten Schaltkreis (ASIC) oder andere elektronische Schaltkreise.
  • Bei den maschinenlesbaren Medien 206 kann es sich um jedes elektronische, magnetische, optische oder andere physische Speichergerät handeln, das ausführbare Anweisungen enthält oder speichert. Bei den maschinenlesbaren Medien 206 kann es sich beispielsweise um einen Direktzugriffsspeicher (RAM), einen nichtflüchtigen RAM (NVRAM), einen elektrisch löschbaren programmierbaren Festspeicher (EEPROM), ein Speichergerät, eine optische Platte oder Ähnliches handeln. In einigen Beispielen kann das maschinenlesbare Medium 206 ein nicht-transitorisches Speichermedium sein, wobei der Begriff „nicht-transitorisch“ nicht die transitorischen Übertragungssignale umfasst.
  • Das Datenfluss-Verkehrsmodul 208 ist so konfiguriert, dass es eine Reihe von Flussverhaltensweisen für den Datenflussverkehr überwacht. Wenn beispielsweise Datenpakete vom ersten Randgerät 110A an ein Zielgerät übertragen werden, kann der Datenstrom am Netzwerkgerät 120 empfangen werden. Das Flussverhalten kann z. B. die Ankunftszeit zwischen den Paketen (z. B. Minimum, Mittelwert, Maximum oder Standardabweichung) oder die Paketlänge (z. B. Minimum, Mittelwert oder Maximum) für einen bestimmten Verkehrsfluss umfassen.
  • Die Überwachung des Datenflussverkehrs kann den Empfang und die Analyse eines oder mehrerer Datenströme als Datenflussverkehr von einem oder mehreren Randgeräten 110 (z. B. eine Vielzahl von Datenpaketen, die von einem Quellcomputer als Datenstrom übertragen werden usw.) umfassen, die am Netzwerkgerät 120 empfangen werden. Sobald der Datenstrom empfangen wurde, kann das Datenflussverkehrsmodul 208 ein klassifiziertes Etikett auf einen Teil des Datenflussverkehrs anwenden.
  • Das klassifizierte Label kann mit verschiedenen Methoden bestimmt werden. Beispielsweise kann das klassifizierte Label auf der Grundlage von Informationen aus dem Datenfluss bestimmt werden (z. B. Identifikator, implizites Label, Signatur, Netzwerktupel, Verhaltensweisen usw.). Die Informationen aus dem Datenfluss können als Eingabe für ein maschinelles Lernmodell bereitgestellt werden. Die Ausgabe des maschinellen Lernmodells kann das klassifizierte Label sein. In einigen Beispielen wird das klassifizierte Label bestimmt, indem der eine oder die mehreren Datenströme als Datenflussverkehr von einem oder mehreren Edge-Geräten 110 an ein maschinelles Lernmodell im Netzwerkgerät 120 übermittelt werden (z. B. unter Verwendung des dezentralen maschinellen Lernmoduls 212).
  • Das Modul 208 für den Datenflussverkehr ist auch so konfiguriert, dass es eine Reihe von Flussverhaltensweisen für den Datenflussverkehr empfängt. Beispielsweise kann das Edge-Gerät 110 einen Prozess implementieren, um Sensordaten zu empfangen und die Sensordaten auf Verhaltensweisen und Eigenschaften lokal am Edge-Gerät 110 zu analysieren. Die Sensordaten können für den Datenflussverkehr verwendet werden. In einigen Beispielen kann jedes Edge-Gerät 110 eine implizite Kennzeichnung oder einen Identifikator auf den Datenflussverkehr anwenden, bevor der Datenflussverkehr an das Netzwerkgerät 120 gesendet wird (z. B. basierend auf den Kopfdaten des Sensors).
  • Das Kennzeichnungsmodul 210 ist so konfiguriert, dass es eine implizite Kennzeichnung für den Netzwerktupel-Parameter für den jeweiligen Datenfluss bestimmt. Der Netzwerk-Tupel-Parameter kann z. B. QOS (z. B. Medientyp), VLAN, MAC-Adresse (z. B. Quell- oder Ziel-MAC-Adresse) oder andere Werte aus dem Paketkopf umfassen. In einigen Beispielen kann das implizite Label einen gemeldeten Wert für den Netzwerktupel-Parameter umfassen (z. B. eine Kennung, die das Datenpaket gemäß der Meldung im Paketkopf trägt). Beispiele für die implizite Kennzeichnung, die dem Netzwerk-Tupel-Parameter zugeordnet ist, können z. B. einen DSCP-Code (Differentiated Services Code Point) umfassen, der einem QOS-Wert (Quality of Service) entspricht. Der DSCP-Code kann ein 6-Bit-Feld „Differentiated Services“ (DS) im IP-Header zum Zweck der Paketklassifizierung verwenden.
  • Die Daten mit dem Datenflussverkehr können ein oder mehrere gekennzeichnete Netzwerktupel umfassen. Die gekennzeichneten Netzwerktupel können z. B. Dienstgüte (QoS) (z. B. Medientyp), virtuelles lokales Netzwerk (VLAN), MAC-Adresse (z. B. Quelle oder Ziel), Quell-IP-Adresse, Ziel-IP-Adresse, Quell-/Ziel-Portnummer, TCP/IP-Wert (Transmission Control Protocol/Internet Protocol) und andere Netzwerktupel enthalten.
  • Die Daten mit dem Datenflussverkehr können eine digitale Signatur enthalten. Die digitale Signatur kann einem mathematischen Algorithmus entsprechen, um einen digitalen Fingerabdruck zu erstellen, der ein Quellgerät oder eine Anwendung identifiziert und bestätigt, dass die Daten von dieser Quelle stammen.
  • Die gekennzeichneten Netzwerktupel und/oder Signaturen können das Flussverhalten gegenüber dem überwachten Satz von Flussverhaltensweisen authentifizieren. Die Anwendung der gekennzeichneten Netzwerktupel und/oder Signaturen kann dazu beitragen, eine Klassifizierung für einen Netzwerktupelparameter für einen bestimmten Datenfluss vorherzusagen.
  • Das dezentrale Modul für maschinelles Lernen (212) ist so konfiguriert, dass es ein Modell für maschinelles Lernen (ML) (z. B. überwachtes Lernen) auf den Bezeichner, das implizite Etikett, das Netzwerktupel oder den Satz von Flussverhaltensweisen für Datenflussverkehr anwendet. Diese Werte können in ein trainiertes ML-Modell eingegeben werden, das eine Ausgabe als eine bestimmte Klassifizierung oder ein klassifiziertes Label erzeugt.
  • Das ML-Modell kann anhand einer rollenbasierten Segmentierung trainiert werden, wie ein virtuelles lokales Netzwerk (VLAN). Wie in Tabelle 1 dargestellt, kann es innerhalb jeder Rolle typische Verhaltensweisen geben, und jede Verhaltensweise, die jedem VLAN entspricht, kann als Eingabe für das Training des ML-Modells bereitgestellt werden. Sobald das Modell trainiert ist, können neue Verhaltensweisen als Eingabe für das trainierte ML-Modell bereitgestellt und das klassifizierte Label ausgegeben werden.
  • Das klassifizierte Label kann verschiedene Werte umfassen. In dem in Tabelle 1 dargestellten Beispiel kann das klassifizierte Label einen oder mehrere Netzwerktupel-Parameter enthalten, die einem bestimmten VLAN im Netz entsprechen. Tabelle 1
    Daten Klassifiziertes Etikett
    Verhaltensweisen Vlan 1 [Netzwerk Tupel Parameter]
    Verhaltensweisen Vlan 2 [Netzwerk Tupel Parameter]
  • Das ML-Modell kann auch auf Verhaltensdaten trainiert werden, wie in Tabelle 2 dargestellt. Die Verhaltensdaten können als Eingabe für das trainierte ML-Modell bereitgestellt werden, und ein VLAN kann als Ausgabe des trainierten ML-Modells identifiziert werden. Der Datenflussverkehr kann mit einem bestimmten Label identifiziert werden, das einem Netzwerktupelparameter entspricht. Jeder Datenfluss kann mit einem Netzwerktupel-Parameter verglichen werden, und wenn er übereinstimmt, kann der Übereinstimmungszählerwert erhöht werden. Ist dies nicht der Fall, kann der Zählerwert für die Nichtübereinstimmung inkrementiert werden. Tabelle 2
    Daten Etikett vorhersagen Vergleichen Sie
    Verhaltensweisen __[Netzwerk-Tupel-Parameter]
    Verhaltensweisen __[Netzwerk-Tupel-Parameter]
  • Das dezentrale Modul 212 für maschinelles Lernen ist auch so konfiguriert, dass es mehrere Modelle für maschinelles Lernen (ML) erzeugt, trainiert und implementiert. Jedes ML-Modell kann einem Modell-Identifikator (ID) entsprechen, der mit einer Anforderung zur Anwendung von Daten als Eingabe für das bestimmte trainierte ML-Modell verknüpft werden kann.
  • Das dezentrale Modul für maschinelles Lernen 212 ist auch so konfiguriert, dass es die Modell-ID, die einem bestimmten ML-Modell in einem Satz von ML-Modellen entspricht, vom zentralen Server 140 erhält. Der Satz von ML-Modellen kann privat sein (z. B. zugänglich für den zentralen Server 140 oder das Netzwerkgerät 120). Jedes ML-Modell kann Sätze von öffentlichen Modell-IDs, gekennzeichneten Netzwerktupeln und privaten Stromsignaturen umfassen. In einigen Beispielen können die Modell-IDs und nicht das ML-Modell zwischen dem zentralen Server 140 und dem Netzgerät 120 übertragen werden.
  • Das dezentrale maschinelle Lernmodul 212 ist so konfiguriert, dass es die empfangene Modell-ID mit einer gespeicherten Modell-ID vergleicht, die einem oder mehreren gespeicherten ML-Modellen entspricht. Wenn die Modell-ID mit der Modell-ID übereinstimmt, die einem gespeicherten ML-Modell entspricht, kann das dezentralisierte maschinelle Lernmodul 212 den überwachten Satz von Flussverhalten auf das gespeicherte ML-Modell anwenden, um eine Klassifizierung für den Netzwerktupel-Parameter für den bestimmten Datenfluss vorherzusagen (z. B. das klassifizierte Label). In einigen Beispielen ist das gespeicherte ML-Modell ein zufälliges Modell aus dem privaten Satz von ML-Modellen (z. B. nicht entsprechend der Modell-ID). Dies kann zur weiteren Wahrung der Privatsphäre beitragen, indem das ausgewählte ML-Modell verschleiert wird.
  • In einigen Beispielen führt der Vergleich zwischen der empfangenen Modell-ID und den gespeicherten Modell-IDs zu einer Nichtübereinstimmung, und es können verschiedene Maßnahmen eingeleitet werden. In einigen Beispielen kann das dezentrale maschinelle Lernmodul 212 (mit der Route Action Engine 216) einen Alarm erzeugen und an den zentralen Server 140 übermitteln, der die empfangene Modell-ID identifiziert (z. B. ohne eine Signatur oder ohne das Muster des Flussverhaltens). Durch das Senden der Warnung an den zentralen Server 140 ohne die Signatur wird der Datenschutz erhöht und das Risiko verringert, indem zumindest die Signatur auf dem Netzwerkgerät 120 verbleibt, da der zentrale Server 140 nicht in der Lage ist, eine genaue gespeicherte Modell-ID zu identifizieren.
  • In einigen Beispielen können im Falle einer Nichtübereinstimmung die empfangene Modell-ID, das Muster des Strömungsverhaltens und die Signatur lokal auf dem Netzwerkgerät 120 gespeichert werden (z. B. ohne die Informationen an den zentralen Server 140 zurück zu übertragen). Durch die lokale Speicherung von Informationen kann die Privatsphäre erhöht und das Risiko verringert werden, indem zumindest die Signatur auf dem Netzwerkgerät 120 verbleibt, da der zentrale Server 140 nicht in der Lage ist, eine genaue gespeicherte Modell-ID zu identifizieren.
  • Das dezentrale Modul für maschinelles Lernen 212 ist auch so konfiguriert, dass es ein oder mehrere ML-Modelle aktualisiert. So kann beispielsweise eine Klassifizierung für den Netzwerktupel-Parameter als Ausgabe eines ersten ML-Modells erzeugt werden. Die Klassifizierung und die vorherige Eingabe, die dem ML-Modell zur Verfügung gestellt wurde, kann wiederum als Eingabe für ein zweites ML-Modell verwendet werden. Dies kann dazu beitragen, eine dezentrale Lernfähigkeit zu implementieren, wenn ein erstes ML-Modell auf dem Netzwerkgerät 120 und das zweite ML-Modell auf dem zentralen Server 140 implementiert ist.
  • Das Etikettierungsmodul 210 ist auch so konfiguriert, dass es das klassifizierte Etikett mit dem impliziten Etikett (z. B. in einem Paketkopf des Datenflusses) vergleicht. In einigen Beispielen kann das Etikettierungsmodul 210 bestimmen, ob das klassifizierte Etikett oder das implizite Etikett größer ist als das andere. In anderen Beispielen kann das Etikettierungsmodul 210 jedes Etikett mit einem Schwellenwert vergleichen, um festzustellen, ob eines oder mehrere dieser Etiketten mit dem Schwellenwert übereinstimmen.
  • Als anschauliches Beispiel kann die implizite Kennzeichnung einem QOS-Wert entsprechen (der z. B. jedem Datenpaket von einer Anwendung am Edge-Gerät 110 hinzugefügt wird und die Menge an Bandbreite oder anderen Systemressourcen vorgibt, die für die Übertragung der Datenpakete entlang des Datenflusses verwendet werden können). Es gibt jedoch Fälle, in denen das Flussverhalten nicht mit den Eigenschaften übereinstimmt, die der QOS-Wert repräsentiert (z. B. nicht übereinstimmt). Dies kann verschiedene Gründe haben, z. B. einen inhärenten Fehler im Anwendungsbrowser, eine Änderung durch den Benutzer selbst, eine Netzwerkverzögerung, ein Backdoor-Firmware-Update oder sogar unzulässige Datenpakete, die mit dem erwarteten Datenfluss gesendet werden. Das Datenflussverhalten kann mit einem klassifizierten Label korrelieren, das vom ML-Modell bestimmt wird, um den Datenflussverkehr objektiv zu messen, während das System ihn empfängt und sendet.
  • Das Zählermodul 214 kann so konfiguriert sein, dass es verschiedene Zählerwerte erhöht oder verringert (z. B. einen Zählerwert für eine Fehlanpassung oder einen Zählerwert für eine Übereinstimmung). Wenn beispielsweise der Vergleich (z. B. zwischen dem klassifizierten Etikett und dem impliziten Etikett usw.) eine Nichtübereinstimmung ergibt, kann ein Zähler für den Datenflussverkehr durch das Zählermodul 214 inkrementiert werden. Je größer der Zählerwert ist, desto größer ist die Inkonsistenz, mit der das tatsächliche Flussverhalten mit dem erwarteten Flussverhalten übereinstimmt. Der Zähler kann dabei helfen, die Konsistenz (oder Inkonsistenz) zu identifizieren, mit der das erwartete Flussverhalten (z. B. dargestellt als implizites Label im Paketkopf) das erwartete Niveau erreicht.
  • Das Zählermodul 214 kann so konfiguriert sein, dass es den Zählerwert mit einem Schwellenwert vergleicht. Wenn der Zähler einen Schwellenwert überschreitet, kann es sein, dass der Datenverkehr durchgehend nicht dem erwarteten Flussverhalten entspricht.
  • Wenn der Vergleich zu einer Nichtübereinstimmung führt (z. B. zwischen dem klassifizierten Etikett und dem impliziten Etikett), können in einigen Beispielen die Werte für das Flussverhalten im impliziten Etikett lokal gespeichert werden (z. B. im Datenfluss-Verkehrsdatenspeicher 218).
  • In einigen Beispielen können, wenn der Vergleich eine Nichtübereinstimmung ergibt (z. B. zwischen dem klassifizierten Label und dem impliziten Label), die Werte für das Flussverhalten im impliziten Label nicht an den zentralen Server 140 übertragen und stattdessen lokal gespeichert werden (z. B. im Datenflussverkehrsdatenspeicher 218). In einigen Beispielen kann die lokale Speicherung der Werte für das Flussverhalten auf dem Netzwerkgerät 120 dazu führen, dass die Werte nicht an den zentralen Server 140 übertragen werden. Diese Beschränkung der Datenübertragung an den zentralen Server 140 kann dazu beitragen, die Privatsphäre zu schützen/verschleiern und das Risiko von Cybersicherheitsproblemen zu verringern, indem die Datenmenge, die über das Netzwerk 130 übertragen wird, reduziert wird.
  • Das Routenaktionsmodul 216 kann so konfiguriert sein, dass es verschiedene Aktionen auf der Grundlage der Daten, Labels und Verhaltensweisen des Datenflusses durchführt. Zum Beispiel kann eine Aktion des Routenaktionsmoduls 216 das Erzeugen einer Warnung beinhalten, die mit dem Vergleich zwischen dem klassifizierten Label für den Netzwerktupelparameter und dem impliziten Label verbunden ist. Die Warnung kann das Verhalten des Datenflusses, einen Identifikator für verdächtige Aktivitäten im Datenflussverkehr oder Identifikatoren der Quelle oder des Ziels des verdächtigen Datenflusses enthalten. Die Warnmeldung kann lokal gespeichert werden (z. B. im Datenfluss-Verkehrsdatenspeicher 218), sie kann an den zentralen Server 140 übertragen werden oder sie kann an einen administrativen Benutzer übertragen werden, der ein Client-Gerät bedient, das auf das Netzwerk 130 zugreift.
  • Wenn der Zähler über einem Schwellenwert liegt, kann die Warnmeldung aktualisiert werden und eine Kennung für verdächtige Aktivitäten im Datenverkehr enthalten. Auch andere Informationen können in die Warnmeldung aufgenommen werden. So kann die Warnmeldung beispielsweise eine ML-Modellkennung, die Kennzeichnungsdaten oder andere Informationen enthalten, die im Datenflussverkehr enthalten sind. Die Warnmeldung kann an den zentralen Server 140 (z. B. über die Route Action Engine 216) oder an einen administrativen Benutzer, der ein Client-Gerät mit Zugriff auf das Netzwerk 130 betreibt, übermittelt werden.
  • In einigen Beispielen kann die Warnmeldung ein neues Verhalten identifizieren und/oder eine Modellkennung, Kennzeichnungsdaten oder andere Informationen enthalten, die in den Datenflussverkehr einbezogen sind. In diesem Fall kann die Warnung aktualisiert werden, um ein DNS-Problem (Domain Name System) wie DNS-Flux zu identifizieren oder wenn Botnets (z. B. ein Netzwerk privater Computer, die mit bösartiger Software infiziert sind und als Gruppe ohne das Wissen der Besitzer gesteuert werden) Phishing- und Malware-Seiten auf einem Host-Computer (z. B. Netzwerkgeräte 120) verstecken, die als Proxys für die bösartige Software fungieren. Diese oder andere Informationen können in das ML-Modell integriert werden (z. B. über das maschinelle Lernmodell 214), um zusätzliche Informationen über das neue Verhalten zu erhalten.
  • Das Routenaktionsmodul 216 kann so konfiguriert werden, dass es eine automatische Reaktion im Kommunikationsnetz auslöst. Beispielsweise können ein oder mehrere Netzwerkports neu authentifiziert oder Datenpakete umgeleitet werden (z. B. in Übereinstimmung mit zentralisierten Regeln).
  • Das Routenaktionsmodul 216 kann so konfiguriert sein, dass es eine Bewegung der entsprechenden Arbeitslast auslöst (z. B. die Implementierung auf einer virtuellen Maschine (VM) oder den Wechsel von einer ersten VM zu einer zweiten VM). Beispielsweise kann die Arbeitslast so skaliert werden, dass sie mit jeder Computerumgebung funktioniert. So kann beispielsweise die Zuordnung zwischen einer Modell-ID und Parametern von einer ersten Computerumgebung in eine zweite Computerumgebung kopiert werden. Die Assoziation zwischen Modell-ID und Parametern kann verwendet werden, um die Umgebung in die sichere Überwachung vor Ort oder im Unternehmen der zweiten Computerumgebung zu reintegrieren (z. B. über Representational State Transfer (REST) oder ein anderes Integrationsschema).
  • In einigen Beispielen wird die Aktion vom zentralen Server 140 bestimmt und an das Netzwerkgerät 120 übertragen, um vom Routenaktionsmodul 216 umgesetzt zu werden. Das Routenaktionsmodul 216 kann die Aktion empfangen und sie auf dem Netzwerkgerät 120 umsetzen. In diesem Fall kann die vom zentralen Server 140 ermittelte Aktion eine Vielzahl von Netzwerkgeräten 120 anweisen, ähnliche Aktionen parallel oder sequentiell in der Vielzahl von Netzwerkgeräten 120 durchzuführen.
  • Zurück zu 1: Das Netzwerk 130 kann ein öffentliches oder privates Netzwerk sein, wie z. B. das Internet oder ein anderes Kommunikationsnetzwerk, das die Verbindung zwischen den verschiedenen Geräten ermöglicht. Das Netzwerk 130 kann Telekommunikationsleitungen von Drittanbietern enthalten, wie z. B. Telefonleitungen, Rundfunk-Koaxialkabel, Glasfaserkabel, Satellitenkommunikation, zellulare Kommunikation und Ähnliches. Das Netzwerk 130 kann eine beliebige Anzahl von zwischengeschalteten Netzwerkgeräten enthalten, wie z. B. Switches, Router, Gateways, Server und/oder Controller, die nicht direkt Teil der Netzwerkkonfiguration sind, aber die Kommunikation zwischen den verschiedenen Teilen der Netzwerkkonfiguration und zwischen der Netzwerkkonfiguration und anderen mit dem Netzwerk verbundenen Einheiten erleichtern.
  • Der zentrale Server 140 kann an einer zentralen Stelle für die Sicherung und Konsistenz in einem dezentralen Netzwerk von Netzwerkgeräten 120 sorgen. Der zentrale Server 140 kann über das Netzwerk 130 mit den Netzwerkgeräten 120 in Verbindung stehen. Der zentrale Server 140 kann eine Kombination aus Hardware, Software und/oder Firmware sein, die so konfiguriert ist, dass sie Anweisungen speichert und konsolidierte Aktionen für eine Vielzahl von Netzwerkgeräten 120 bereitstellt. Weitere Details des zentralen Servers 140 sind in 3 dargestellt.
  • 3 zeigt einen zentralen Server in der Computerumgebung gemäß einem oder mehreren Beispielen der Offenlegung. Der zentrale Server 140 umfasst beispielsweise einen oder mehrere Hardware-Prozessoren 304, maschinenlesbare Medien 306, einen Etikettendatenspeicher 320 und einen Datenspeicher für maschinelle Lernmodelle 322. Die maschinenlesbaren Medien 306 können ein oder mehrere Module und Engines umfassen, darunter das Etikettierungsmodul 308, das zentralisierte maschinelle Lernmodul 310 und das Warnmodul 312.
  • Bei dem Prozessor 304 kann es sich um eine oder mehrere Zentraleinheiten (CPUs), halbleiterbasierte Mikroprozessoren und/oder andere Hardwarevorrichtungen handeln, die zum Abrufen und Ausführen von Anweisungen geeignet sind, die im maschinenlesbaren Speichermedium 306 gespeichert sind. Der Prozessor 304 kann Befehle abrufen, dekodieren und ausführen, um Prozesse oder Vorgänge zur Implementierung der Erkennung von Anomalien in der Routingtabelle unter Verwendung von unüberwachtem maschinellem Lernen zu steuern. Alternativ oder zusätzlich zum Abrufen und Ausführen von Befehlen kann der Prozessor 304 einen oder mehrere elektronische Schaltkreise enthalten, die elektronische Komponenten zur Ausführung der Funktionalität eines oder mehrerer Befehle umfassen, wie z. B. ein Field Programmable Gate Array (FPGA), einen anwendungsspezifischen integrierten Schaltkreis (ASIC) oder andere elektronische Schaltkreise.
  • Bei den maschinenlesbaren Medien 306 kann es sich um jedes elektronische, magnetische, optische oder andere physische Speichergerät handeln, das ausführbare Anweisungen enthält oder speichert. Bei den maschinenlesbaren Medien 306 kann es sich beispielsweise um einen Direktzugriffsspeicher (RAM), einen nichtflüchtigen Arbeitsspeicher (NVRAM), einen elektrisch löschbaren programmierbaren Festspeicher (EEPROM), ein Speichergerät, eine optische Platte oder Ähnliches handeln. In einigen Beispielen kann das maschinenlesbare Medium 306 ein nicht-transitorisches Speichermedium sein, wobei der Begriff „nicht-transitorisch“ nicht die transitorischen Übertragungssignale umfasst.
  • Das Etikettierungsmodul 308 ist so konfiguriert, dass es ein klassifiziertes Etikett auf der Grundlage von Informationen empfängt, die mit dem Datenfluss verbunden sind (z. B. Kennung, implizites Etikett, Signatur, Netzwerktupel, Verhaltensweisen usw.). Die empfangenen Kennzeichnungen können im Kennzeichnungsdatenspeicher 320 gespeichert werden. Das implizite Label kann auf Informationen basieren, die im Datenflussverkehr enthalten sind, und das klassifizierte Label kann vom Netzwerkgerät 120 unter Verwendung eines oder mehrerer hierin beschriebener Prozesse erzeugt werden, einschließlich der Erzeugung durch ein dezentrales ML-Modell.
  • Das Beschriftungsmodul 308 ist auch so konfiguriert, dass es Beschriftungen von einem Netzwerkgerät 120 in andere Netzwerkgeräte integriert. Zum Beispiel kann der zentrale Server 140 ein zentrales Repository für die Integration neu erlernter Signale mit anderen Netzwerkgeräten in einer Computerumgebung sein. Der zentrale Server 140 kann erweitert werden, um die neu erlernten Kennzeichnungen, Verhaltensweisen oder Signale zu integrieren, einschließlich einer Richtlinie, eines Re-Authentifizierungsprozesses, eines Re-Validierungsprozesses oder einer Aktion, die von anderen Netzwerkgeräten als Reaktion auf die erlernten Signale in anderen Computerumgebungen durchzuführen ist.
  • Das zentralisierte Modul 310 für maschinelles Lernen ist so konfiguriert, dass es einen Satz privater ML-Modelle generiert, die sich lokal auf dem zentralen Server 140 befinden und im Datenspeicher 322 für maschinelle Lernmodelle gespeichert sind. Der private Satz von ML-Modellen kann auf einem oder mehreren generierten ML-Modellen von Netzwerkgeräten 120 basieren. Der private Satz von ML-Modellen kann auf dem zentralen Server 140 unter Verwendung der verteilten und dezentralen ML-Modelle auf den Netzwerkgeräten 120 verbessert werden (z. B. durch Erweiterung des Trainingsdatensatzes und/oder durch Einbeziehung zusätzlicher Klassifikationen von den Netzwerkgeräten 120). In einigen Beispielen kann der private Satz von ML-Modellen einen Satz von Modell-Identifikatoren (IDs), beschriftete Netzwerktupel und eine oder mehrere Signaturen für das Flussverhalten umfassen. Die Signaturen für das Flussverhalten und andere Daten können für den zentralen Server 140 privat sein, um die Datensicherheit zu erhöhen und die über das Netzwerk 130 übertragenen Daten zu begrenzen.
  • Das ML-Modell kann die etikettierten Netzwerktupel, den Identifikator oder das implizite Etikett, die Signaturen und/oder das Flussverhalten klassifizieren und ein neues klassifiziertes Etikett erzeugen. Das neue klassifizierte Label kann im Label-Datenspeicher 320 gespeichert werden. In anderen Beispielen wird das klassifizierte Label vom Netzwerkgerät 120 empfangen.
  • Das zentralisierte Modul 310 für maschinelles Lernen ist auch so konfiguriert, dass es ein maschinelles Lernmodell, das lokal im Datenspeicher 322 für maschinelle Lernmodelle gespeichert ist, mit einem maschinellen Lernmodell korreliert, das vom Netzwerkgerät 120 empfangen wurde. Jedes ML-Modell kann mit einer Modell-ID korrespondieren, die mit dem klassifizierten Label verbunden ist. In einigen Beispielen kann das zentralisierte Modul 310 für maschinelles Lernen die Modell-ID aus einem Satz von Modell-IDs bestimmen, die mit dem klassifizierten Label übereinstimmen (z. B. durch das Netzwerkgerät 120 erzeugt), und die Modell-ID dem Netzwerkgerät 120 zur Verfügung stellen (z. B. unter Verwendung des Warnmoduls 312).
  • Das zentralisierte Modul 310 für maschinelles Lernen kann auch so konfiguriert sein, dass es den privaten Satz von ML-Modellen auf der Grundlage des klassifizierten Labels für den Netzwerktupelparameter aktualisiert. Zum Beispiel kann das zentralisierte Modul 310 für maschinelles Lernen die Modell-ID bestimmen, die dem klassifizierten Label entspricht (z. B. wie im Datenspeicher 322 für maschinelles Lernen gespeichert), indem es das empfangene klassifizierte Label mit dem gespeicherten klassifizierten Label vergleicht. Die Modell-ID kann zurückgegeben werden, wenn eine Übereinstimmung zwischen dem empfangenen klassifizierten Label und dem gespeicherten klassifizierten Label vorliegt.
  • Das Alarmierungsmodul 312 kann so konfiguriert sein, dass es den Alarm auf der Grundlage des klassifizierten Labels erzeugt und überträgt. Zum Beispiel kann das Alarmmodul 312 das klassifizierte Label vom Netzwerkgerät 120 mit dem Netzwerk-Tupel-Parameter vergleichen, der im Datenflussverkehr enthalten ist. Wenn die Klassifizierung zwischen dem klassifizierten Label und einem bestimmten Netzwerktupel-Parameter übereinstimmt, kann das Warnmodul 312 eine Warnung erzeugen und/oder auf andere Weise potenzielle Netzwerkeinbrüche, DNS-Probleme (Domain Name System) und andere Anomalien identifizieren. Die Warnung kann an einen administrativen Benutzer übermittelt werden (oder an andere Warnfunktionen, die vom Route-Action-Modul 216 des Netzwerkgeräts 120 ausgeführt werden).
  • Das Warnmodul 312 ist auch so konfiguriert, dass es die Häufigkeit von Ereignissen überwacht, die in der verteilten Umgebung auftreten, einschließlich bei jedem der mehreren Netzwerkgeräte 120 oder Edge-Geräte 110. Das Warnmodul 312 kann ein Protokoll erstellen oder einen Datenspeicher aktualisieren, um potenzielle Netzwerkeinbrüche, DNS-Probleme (Domain Name System) und andere Anomalien zu identifizieren, die auftreten, sowie Zeitstempel oder Häufigkeit, die mit jedem Ereignis verbunden sind.
  • In einigen Beispielen bestimmt das Alarmmodul 312 eine Aktion, die von einer Vielzahl von Netzwerkgeräten 120 ausgeführt werden soll. Die Aktion kann beinhalten, dass jedes der Netzwerkgeräte angewiesen wird, einen oder mehrere Netzwerkports neu zu authentifizieren oder Datenpakete umzuleiten (z. B. in Übereinstimmung mit zentralisierten Regeln). Die Aktion kann an das Netzwerkgerät 120 übermittelt werden. In diesen Beispielen kann die vom Warnmodul 312 ermittelte Aktion eine Vielzahl von Netzwerkgeräten 120 anweisen, ähnliche Aktionen durchzuführen. Die Aktionen können parallel oder sequentiell von der Vielzahl der Netzwerkgeräte 120 durchgeführt werden.
  • 4 zeigt einen illustrativen Datenflußprozeß in Übereinstimmung mit den Beispielen in der Offenbarung. Der illustrative Prozess sollte als offener Prozess verstanden werden, um die Offenlegung nicht einzuschränken. Beispielsweise kann das klassifizierte Etikett vom Netzwerkgerät 120 zumindest teilweise durch Anwendung eines Modells des maschinellen Lernens (ML) generiert werden, das etikettierte Netzwerktupel, einen Identifikator oder ein implizites Etikett und/oder Signaturen für Flussverhalten auf das neu überwachte Flussverhalten umfasst. Das Netzwerkgerät 120 kann auch Flussverhalten erkennen, das mit der Übertragung von einem oder mehreren Datenpaketen im Datenfluss verbunden ist.
  • In 4 sind ein Randgerät 410, ein Netzwerkgerät 420 und ein zentraler Server430 dargestellt. In diesem Beispiel können das Randgerät410, das Netzwerkgerät 420 und der zentrale Server 430, die in 4 dargestellt sind, den Ausführungsformen des Randgeräts 110, des Netzwerkgeräts 120 bzw. des zentralen Servers 140 entsprechen, die in 1 dargestellt sind.
  • In Block 1 kann das Edge-Gerät 410 Datenflussverkehr erzeugen. Der Datenflussverkehr kann beispielsweise eine Kennung 412 oder ein implizites Label, eine Signatur 414, einen Netzwerktupelparameter 416 und ein oder mehrere Verhaltensweisen 418 des Datenflussverkehrs umfassen. Das Edge-Gerät 410 kann den Datenflussverkehr an das Netzwerkgerät 420 übertragen. Der Datenflussverkehr kann als Datenpaket mit einem Datenpaketkopf übertragen werden, der ebenfalls mit dem Datenflussverkehr verbundene Informationen enthält.
  • Die Kennung 412 oder das implizite Etikett kann beispielsweise einen gemeldeten Wert für den Netzwerktupel-Parameter umfassen (z. B. eine Kennung, die das Datenpaket laut Meldung im Paketkopf trägt). Beispiele für die implizite Kennzeichnung, die mit dem Netzwerktupel-Parameter verbunden ist, können beispielsweise einen DSCP-Code (Differentiated Services Code Point) umfassen, der einem QOS-Wert (Quality of Service) entspricht. Der DSCP-Code kann ein 6-Bit-Feld „Differentiated Services“ (DS) im IP-Header zum Zweck der Paketklassifizierung verwenden.
  • Die Signatur 414 kann beispielsweise aus einem digitalen Fingerabdruck bestehen, der ein Quellgerät oder eine Anwendung identifiziert, um zu bestätigen, dass die Daten von dieser Quelle stammen.
  • Der Netzwerktupel-Parameter 416 kann z. B. Dienstgüte (QoS) (z. B. Medientyp), virtuelles lokales Netzwerk (VLAN), MAC-Adresse (z. B. Quelle oder Ziel), Quell-IP-Adresse, Ziel-IP-Adresse, Quell-/Ziel-Portnummer, TCP/IP-Wert (Transmission Control Protocol/Internet Protocol) und andere Netzwerktupel umfassen.
  • Das Verhalten 418 kann z.B. die Ankunftszeit zwischen den Paketen (z.B. Minimum, Mittelwert, Maximum oder Standardabweichung) oder die Paketlänge (z.B. Minimum, Mittelwert oder Maximum) für einen bestimmten Verkehrsfluss umfassen.
  • In Block 2 kann das Netzwerkgerät 420 den Datenflussverkehr mit einem ML-Modell verarbeiten, das vom dezentralen maschinellen Lernmodul 422 implementiert wird. Die Ausgabe des ML-Modells kann ein klassifiziertes Etikett 424 erzeugen.
  • In Block 3 kann der Datenflussverkehr (z. B. Kennung 412 oder implizites Etikett, Signatur 414, Netzwerktupelparameter 416, Verhaltensweisen 418) mit dem klassifizierten Etikett 424 an den zentralen Server 430 übermittelt werden.
  • In Block 4 kann der zentrale Server 430 die empfangenen Daten mit dem Aktionsmodul 432 verarbeiten, um eine oder mehrere Aktionen 434 zu bestimmen. Die eine oder mehreren Aktionen 434 können von einem oder mehreren Netzwerkgeräten 420 ausgeführt werden.
  • In Block 5 kann die Aktion 434 an das Netzwerkgerät 420 übertragen werden. Das Netzwerkgerät 420 kann so konfiguriert sein, dass es die Aktion ausführt (z. B. Umleitung des Datenverkehrs, Senden einer Warnung an einen administrativen Benutzer, erneute Authentifizierung von Netzwerkports).
  • In Block 6 kann der zentrale Server 430 ein oder mehrere private ML-Modelle mithilfe des zentralisierten ML-Moduls 436 aktualisieren.
  • In Block 7 kann der zentrale Server 430 Informationen, die mit den zentralisierten (oder privaten) ML-Modellen verbunden sind, an das eine oder die mehreren Netzwerkgeräte 420 übertragen. Das eine oder die mehreren Netzwerkgeräte 420 können ihre lokalen ML-Modelle anhand der vom zentralen Server 430 empfangenen Informationen aktualisieren.
  • 5 zeigt ein Beispiel für ein maschinelles Lernmodul in Übereinstimmung mit verschiedenen Beispielen. In der Beispielimplementierung von 5 umfasst die Computerkomponente 500 einen Hardwareprozessor 502 und ein maschinenlesbares Speichermedium 504.
  • Bei dem Hardware-Prozessor 502 kann es sich um eine oder mehrere Zentraleinheiten (CPUs), halbleiterbasierte Mikroprozessoren und/oder andere Hardware-Geräte handeln, die zum Abrufen und Ausführen von Befehlen geeignet sind, die im maschinenlesbaren Speichermedium 504 gespeichert sind. Der Hardware-Prozessor 502 kann Befehle, wie die Befehle 506-512, abrufen, dekodieren und ausführen, um Prozesse oder Vorgänge zu steuern. Alternativ oder zusätzlich zum Abrufen und Ausführen von Befehlen kann der Hardware-Prozessor 502 einen oder mehrere elektronische Schaltkreise enthalten, die elektronische Komponenten zur Ausführung der Funktionalität eines oder mehrerer Befehle umfassen, wie z. B. ein Field Programmable Gate Array (FPGA), einen anwendungsspezifischen integrierten Schaltkreis (ASIC) oder andere elektronische Schaltkreise.
  • Ein maschinenlesbares Speichermedium, wie das maschinenlesbare Speichermedium 604, kann ein beliebiges elektronisches, magnetisches, optisches oder anderes physikalisches Speichergerät sein, das ausführbare Anweisungen enthält oder speichert. Bei dem maschinenlesbaren Speichermedium 604 kann es sich beispielsweise um einen Arbeitsspeicher (RAM), einen nichtflüchtigen Arbeitsspeicher (NVRAM), einen elektrisch löschbaren programmierbaren Festspeicher (EEPROM), ein Speichergerät, eine optische Platte oder ähnliches handeln. In einigen Beispielen kann das maschinenlesbare Speichermedium 504 ein nicht-transitorisches Speichermedium sein, wobei der Begriff „nicht-transitorisch“ nicht die transitorischen Übertragungssignale umfasst. Wie nachstehend im Detail beschrieben, kann das maschinenlesbare Speichermedium 5604 mit ausführbaren Befehlen kodiert sein, z. B. mit den Befehlen 506-512.
  • Der Hardware-Prozessor 502 kann die Anweisung 506 ausführen, um das ML-Modell zu trainieren. In einigen Beispielen kann das ML-Modell unter Verwendung einer rollenbasierten Segmentierung trainiert werden, wie z. B. ein virtuelles lokales Netzwerk (VLAN), so dass innerhalb jeder Rolle typische Verhaltensweisen existieren können. In einigen Beispielen kann das ML-Modell auf etikettierten Datenflussverkehrsinformationen trainiert werden.
  • Der Hardware-Prozessor 502 kann die Anweisung 508 ausführen, um die neuen Verhaltensweisen als Eingabe für das trainierte ML-Modell zu verwenden. Das neue Verhalten kann zum Beispiel aus dem Datenflussverkehr empfangen und dem trainierten ML-Modell zugeführt werden. Das ML-Modell kann das klassifizierte Label als Ausgabe bestimmen, um die neuen Verhaltensweisen zu klassifizieren.
  • Der Hardware-Prozessor 502 kann den Befehl 510 ausführen, um die Modellkennung mit einer gespeicherten Modellkennung zu vergleichen oder abzugleichen. Wenn beispielsweise die empfangene Modellkennung mit der Modellkennung eines gespeicherten ML-Modells übereinstimmt, kann der Prozessor den überwachten Satz von Flussverhaltensweisen auf das bestimmte ML-Modell anwenden, das der Modellkennung entspricht. Die Ausgabe des bestimmten ML-Modells kann eine Klassifizierung für den Netzwerktupelparameter für den bestimmten Datenfluss vorhersagen (z. B. das klassifizierte Etikett). In einigen Beispielen ist das gespeicherte ML-Modell ein zufälliges Modell aus dem privaten Satz von ML-Modellen (das z. B. nicht mit der Modell-ID übereinstimmt). Dies kann zur weiteren Wahrung der Privatsphäre beitragen, indem das ausgewählte ML-Modell verschleiert wird.
  • In einigen Beispielen führt der Vergleich zwischen der empfangenen Modell-ID und den gespeicherten Modell-IDs zu einer Nichtübereinstimmung, und es können verschiedene Maßnahmen eingeleitet werden. Der Prozessor kann eine Warnung erzeugen und an den zentralen Server 140 übermitteln, die die empfangene Modell-ID identifiziert (z. B. ohne Signatur oder ohne das Muster des Fließverhaltens). Durch das Senden der Warnung an den zentralen Server 140 ohne die Signatur wird der Datenschutz erhöht und das Risiko verringert, indem zumindest die Signatur auf dem Netzwerkgerät 120 verbleibt, da der zentrale Server 140 nicht in der Lage ist, eine genaue gespeicherte Modell-ID zu identifizieren.
  • In einigen Beispielen können im Falle einer Nichtübereinstimmung die empfangene Modell-ID, das Muster des Strömungsverhaltens und die Signatur lokal auf dem Netzwerkgerät 120 gespeichert werden (z. B. ohne die Informationen an den zentralen Server 140 zurück zu übertragen). Durch die lokale Speicherung von Informationen kann der Datenschutz erhöht und das Risiko verringert werden, indem zumindest die Signatur auf dem Netzwerkgerät 120 verbleibt, da der zentrale Server 140 nicht in der Lage ist, eine genaue gespeicherte Modell-ID zu identifizieren.
  • Der Hardware-Prozessor 502 kann die Anweisung 512 zur Aktualisierung des ML-Modells ausführen. Beispielsweise kann eine Klassifizierung für den Netzwerktupelparameter als Ausgabe eines ersten ML-Modells erzeugt werden. Die Klassifizierung und die vorherige Eingabe in das ML-Modell können wiederum als Eingabe für ein zweites ML-Modell verwendet werden. Dies kann dazu beitragen, eine dezentralisierte Lernfähigkeit zu implementieren, wenn ein erstes ML-Modell auf dem Netzwerkgerät 120 und das zweite ML-Modell auf dem zentralen Server 140 implementiert wird.
  • 6 zeigt ein Beispiel für eine Rechnerkomponente, die zur Implementierung von datenschutzfreundlichem dezentralem Lernen und der Überwachung von Netzwerkereignissen in Übereinstimmung mit verschiedenen Beispielen verwendet werden kann. Bei der Rechnerkomponente 600 kann es sich z. B. um das in 1 und 2 dargestellte Netzwerkgerät 120 handeln. In der Beispielimplementierung von 6 umfasst die Rechnerkomponente 600 einen Hardwareprozessor 602 und ein maschinenlesbares Speichermedium 604.
  • Bei dem Hardware-Prozessor 602 kann es sich um eine oder mehrere Zentraleinheiten (CPUs), halbleiterbasierte Mikroprozessoren und/oder andere Hardware-Geräte handeln, die zum Abrufen und Ausführen von Befehlen geeignet sind, die im maschinenlesbaren Speichermedium 604 gespeichert sind. Der Hardware-Prozessor 602 kann Befehle, wie die Befehle 606-612, abrufen, dekodieren und ausführen, um Prozesse oder Vorgänge zu steuern. Alternativ oder zusätzlich zum Abrufen und Ausführen von Befehlen kann der Hardware-Prozessor 602 einen oder mehrere elektronische Schaltkreise enthalten, die elektronische Komponenten zur Ausführung der Funktionalität eines oder mehrerer Befehle enthalten, wie z. B. ein Field Programmable Gate Array (FPGA), einen anwendungsspezifischen integrierten Schaltkreis (ASIC) oder andere elektronische Schaltkreise.
  • Ein maschinenlesbares Speichermedium, wie das maschinenlesbare Speichermedium 604, kann ein beliebiges elektronisches, magnetisches, optisches oder anderes physikalisches Speichergerät sein, das ausführbare Anweisungen enthält oder speichert. Bei dem maschinenlesbaren Speichermedium 604 kann es sich beispielsweise um einen Arbeitsspeicher (RAM), einen nichtflüchtigen Arbeitsspeicher (NVRAM), einen elektrisch löschbaren programmierbaren Festspeicher (EEPROM), ein Speichergerät, eine optische Platte oder Ähnliches handeln. In einigen Beispielen kann das maschinenlesbare Speichermedium 604 ein nicht-transitorisches Speichermedium sein, wobei der Begriff „nicht-transitorisch“ nicht die transitorischen Übertragungssignale umfasst. Wie nachstehend im Detail beschrieben, kann das maschinenlesbare Speichermedium 604 mit ausführbaren Befehlen kodiert sein, z. B. mit den Befehlen 606 bis 612.
  • Der Hardware-Prozessor 602 kann den Befehl 606 ausführen, um einen Satz von Datenfluss-Verhaltensweisen für den Datenflussverkehr zu empfangen. Zum Beispiel kann das Netzwerkgerät 120 einen Satz von Flussverhaltensweisen für Datenflussverkehr empfangen.
  • Der Hardware-Prozessor 602 kann die Anweisung 608 ausführen, um ein maschinelles Lernmodell (ML) anzuwenden. Beispielsweise kann das Netzwerkgerät 120 das ML-Modell, das markierte Netzwerktupel und Signaturen für das Flussverhalten umfasst, auf den Satz von Flussverhaltensweisen anwenden. Die Ausgabe des ML-Modells kann einen Netzwerktupelparameter für einen bestimmten Datenfluss des Datenflussverkehrs vorhersagen.
  • Der Hardware-Prozessor 602 kann den Befehl 610 ausführen, um ein klassifiziertes Label und/oder ein implizites Label zu bestimmen. Beispielsweise kann das Netzwerkgerät 120 ein klassifiziertes Label für den Netzwerktupel-Parameter für den bestimmten Datenfluss bestimmen oder ein implizites Label für einen Netzwerktupel-Parameter für den bestimmten Datenfluss bestimmen. Die implizite Kennzeichnung kann einen gemeldeten Wert für den Netzwerktupelparameter umfassen.
  • In einigen Beispielen kann das klassifizierte Label für den Netzwerktupelparameter mit dem impliziten Label verglichen werden.
  • Der Hardware-Prozessor 602 kann den Befehl 612 ausführen, um eine Aktion durchzuführen. Die Aktion kann das Erzeugen oder Senden einer Warnung, das Speichern des gekennzeichneten Datenflusses in einer Datenbank, das Einleiten eines automatisierten Prozesses zur Änderung der Netzwerkeinstellungen oder die automatische Anpassung des Datenflusses von einem anderen Netzwerkgerät umfassen. Zum Beispiel kann das Netzwerkgerät 120 eine Warnung in Verbindung mit dem Vergleich erzeugen. Die Warnung kann ein neues Verhalten identifizieren. Das neue Verhalten kann zum Beispiel Änderungen der Ankunftszeit zwischen den Paketen (z. B. Minimum, Mittelwert, Maximum, Standardabweichung) oder der Paketlänge (z. B. Minimum, Mittelwert, Maximum usw.) für einen bestimmten Datenfluss umfassen.
  • 7 zeigt ein Beispiel für eine Rechnerkomponente, die zur Implementierung von datenschutzfreundlichem dezentralem Lernen und der Überwachung von Netzwerkereignissen in Übereinstimmung mit verschiedenen Beispielen verwendet werden kann. Bei der Rechnerkomponente 600 kann es sich z. B. um den in 1 und 3 dargestellten zentralen Server 140 handeln. In der Beispielimplementierung von 7 umfasst die Rechnerkomponente 700 einen Hardwareprozessor 702 und ein maschinenlesbares Speichermedium 704.
  • Bei dem Hardware-Prozessor 702 kann es sich um eine oder mehrere Zentraleinheiten (CPUs), Mikroprozessoren auf Halbleiterbasis und/oder andere Hardware-Geräte handeln, die zum Abrufen und Ausführen von Anweisungen geeignet sind, die im maschinenlesbaren Speichermedium 704 gespeichert sind. Der Hardware-Prozessor 702 kann Befehle, wie die Befehle 706-708, abrufen, dekodieren und ausführen, um Prozesse oder Vorgänge zu steuern. Alternativ oder zusätzlich zum Abrufen und Ausführen von Befehlen kann der Hardware-Prozessor 702 einen oder mehrere elektronische Schaltkreise enthalten, die elektronische Komponenten zur Ausführung der Funktionalität eines oder mehrerer Befehle umfassen, wie z. B. ein Field Programmable Gate Array (FPGA), einen anwendungsspezifischen integrierten Schaltkreis (ASIC) oder andere elektronische Schaltkreise.
  • Ein maschinenlesbares Speichermedium, wie das maschinenlesbare Speichermedium 704, kann ein beliebiges elektronisches, magnetisches, optisches oder anderes physikalisches Speichergerät sein, das ausführbare Anweisungen enthält oder speichert. Bei dem maschinenlesbaren Speichermedium 704 kann es sich beispielsweise um einen Arbeitsspeicher (RAM), einen nichtflüchtigen Arbeitsspeicher (NVRAM), einen elektrisch löschbaren programmierbaren Festspeicher (EEPROM), ein Speichergerät, eine optische Platte oder Ähnliches handeln. In einigen Beispielen kann das maschinenlesbare Speichermedium 704 ein nicht-transitorisches Speichermedium sein, wobei der Begriff „nicht-transitorisch“ nicht die transitorischen Übertragungssignale umfasst. Wie nachstehend im Detail beschrieben, kann das maschinenlesbare Speichermedium 704 mit ausführbaren Befehlen kodiert sein, z. B. mit den Befehlen 706 bis 708.
  • Der Hardware-Prozessor 702 kann den Befehl 706 ausführen, um ein klassifiziertes Label zu empfangen. Zum Beispiel kann der zentrale Server 140 ein klassifiziertes Label für einen Netzwerktupel-Parameter von einem Netzwerkgerät, einschließlich des Netzwerkgeräts 120, empfangen. Das klassifizierte Etikett kann beispielsweise durch Überwachen des Flussverhaltens an einem Netzwerkgerät erzeugt werden; Anwenden eines Modells für maschinelles Lernen (ML), das etikettierte Netzwerktupel und Signaturen für das Flussverhalten umfasst, auf das überwachte Flussverhalten, um das Flussverhalten zu klassifizieren und einen Netzwerktupelparameter zu erzeugen; und Korrelieren des Netzwerktupel-Parameters mit dem klassifizierten Etikett, wobei das klassifizierte Etikett empfangen wird, wenn durch einen Vergleich des klassifizierten Etiketts für den Netzwerktupel-Parameter festgestellt wurde, dass es sich von einem impliziten Etikett unterscheidet, und wobei das implizite Etikett einem Netzwerktupel-Parameter entspricht, wie er in einem Paketkopf eines entsprechenden Datenflusses gemeldet wird.
  • Der Hardware-Prozessor 702 kann den Befehl 708 ausführen, um eine Aktion durchzuführen. Die Aktion kann das Erzeugen oder Senden einer Warnung, das Speichern des gekennzeichneten Datenflusses in einer Datenbank, das Einleiten eines automatisierten Prozesses zur Änderung der Netzwerkeinstellungen oder die automatische Anpassung des Datenflusses von einem anderen Netzwerkgerät aus umfassen. In einigen Beispielen kann der zentrale Server 140 eine Warnung auf der Grundlage des klassifizierten Etiketts erzeugen, wobei die Warnung ein neues Verhalten identifiziert.
  • 8 zeigt ein Blockdiagramm eines Beispiel-Computersystems 800, in dem verschiedene der hier beschriebenen Beispiele implementiert werden können. Das Computersystem 800 umfasst einen Bus 802 oder einen anderen Kommunikationsmechanismus zur Übermittlung von Informationen sowie einen oder mehrere Hardware-Prozessoren 804, die mit dem Bus 802 zur Verarbeitung von Informationen verbunden sind. Bei dem/den Hardware-Prozessor(en) 804 kann es sich zum Beispiel um einen oder mehrere Allzweck-Mikroprozessoren handeln.
  • Das Computersystem 800 umfasst auch einen Hauptspeicher 806, wie z. B. einen Speicher mit wahlfreiem Zugriff (RAM), einen Cache und/oder andere dynamische Speichergeräte, die mit dem Bus 802 verbunden sind, um Informationen und Anweisungen zu speichern, die vom Prozessor 804 ausgeführt werden sollen. Der Hauptspeicher 806 kann auch zum Speichern temporärer Variablen oder anderer Zwischeninformationen während der Ausführung von Befehlen verwendet werden, die vom Prozessor 804 ausgeführt werden sollen. Solche Befehle, die in Speichermedien gespeichert sind, auf die der Prozessor 804 zugreifen kann, machen das Computersystem 800 zu einer Spezialmaschine, die so angepasst ist, dass sie die in den Befehlen angegebenen Operationen ausführen kann.
  • Das Computersystem 800 umfasst außerdem einen Festwertspeicher (ROM) 808 oder ein anderes statisches Speichergerät, das mit dem Bus 802 verbunden ist, um statische Informationen und Anweisungen für den Prozessor 804 zu speichern. Ein Speichergerät 810, z. B. eine Magnetplatte, eine optische Platte oder ein USB-Stick (Flash-Laufwerk), ist vorgesehen und mit dem Bus 802 verbunden, um Informationen und Anweisungen zu speichern.
  • Das Computersystem 800 kann über den Bus 802 mit einer Anzeige 812, z. B. einer Flüssigkristallanzeige (LCD) (oder einem Berührungsbildschirm), verbunden sein, um einem Computerbenutzer Informationen anzuzeigen. Ein Eingabegerät 814, einschließlich alphanumerischer und anderer Tasten, ist mit dem Bus 802 gekoppelt, um Informationen und Befehlsauswahlen an den Prozessor 804 zu übermitteln. Eine andere Art von Benutzereingabegerät ist die Cursorsteuerung 816, z. B. eine Maus, ein Trackball oder Cursor-Richtungstasten zur Übermittlung von Richtungsinformationen und Befehlsauswahlen an den Prozessor 804 und zur Steuerung der Cursorbewegung auf der Anzeige 812. In einigen Beispielen können die gleichen Richtungsinformationen und Befehlsauswahlen wie bei der Cursorsteuerung über den Empfang von Berührungen auf einem Touchscreen ohne Cursor implementiert werden.
  • Das Computersystem 800 kann ein Benutzerschnittstellenmodul zur Implementierung einer grafischen Benutzeroberfläche enthalten, das in einem Massenspeichergerät als ausführbare Softwarecodes gespeichert werden kann, die von dem/den Computergerät(en) ausgeführt werden. Dieses und andere Module können beispielsweise Komponenten wie Softwarekomponenten, objektorientierte Softwarekomponenten, Klassenkomponenten und Aufgabenkomponenten, Prozesse, Funktionen, Attribute, Prozeduren, Unterprogramme, Segmente von Programmcode, Treiber, Firmware, Mikrocode, Schaltkreise, Daten, Datenbanken, Datenstrukturen, Tabellen, Arrays und Variablen umfassen.
  • Im Allgemeinen kann sich das Wort „Komponente“, „Engine“, „System“, „Datenbank“, „Datenspeicher“ und dergleichen, wie es hier verwendet wird, auf eine in Hardware oder Firmware verkörperte Logik oder auf eine Sammlung von Softwareanweisungen beziehen, die möglicherweise Ein- und Ausstiegspunkte haben und in einer Programmiersprache wie z. B. Java, C oder C++ geschrieben sind. Eine Softwarekomponente kann kompiliert und zu einem ausführbaren Programm verknüpft werden, in einer dynamischen Link-Bibliothek installiert werden oder in einer interpretierten Programmiersprache wie BASIC, Perl oder Python geschrieben sein. Es versteht sich von selbst, dass Softwarekomponenten von anderen Komponenten oder von sich selbst aus aufrufbar sein können und/oder als Reaktion auf erkannte Ereignisse oder Unterbrechungen aufgerufen werden können. Softwarekomponenten, die für die Ausführung auf Computergeräten konfiguriert sind, können auf einem computerlesbaren Medium, wie z. B. einer Compact Disc, einer digitalen Videodisc, einem Flash-Laufwerk, einer Magnetplatte oder einem anderen greifbaren Medium, oder als digitaler Download bereitgestellt werden (und können ursprünglich in einem komprimierten oder installierbaren Format gespeichert sein, das vor der Ausführung installiert, dekomprimiert oder entschlüsselt werden muss). Ein solcher Softwarecode kann teilweise oder vollständig in einem Speicher des ausführenden Computergeräts gespeichert werden, damit er von dem Computergerät ausgeführt werden kann. Softwareanweisungen können in Firmware, wie z. B. einem EPROM, eingebettet sein. Darüber hinaus können die Hardwarekomponenten aus verbundenen Logikeinheiten wie Gattern und Flipflops und/oder aus programmierbaren Einheiten wie programmierbaren Gatteranordnungen oder Prozessoren bestehen.
  • Das Computersystem 800 kann die hierin beschriebenen Techniken unter Verwendung von kundenspezifischer festverdrahteter Logik, einem oder mehreren ASICs oder FPGAs, Firmware und/oder Programmlogik implementieren, die in Kombination mit dem Computersystem bewirkt oder programmiert, dass das Computersystem 800 eine Spezialmaschine ist. Gemäß einer Ausführungsform werden die hierin beschriebenen Techniken vom Computersystem 800 als Reaktion auf den/die Prozessor(en) 804 ausgeführt, der/die eine oder mehrere Sequenzen von einem oder mehreren im Hauptspeicher 806 enthaltenen Befehlen ausführt/ausführen. Solche Anweisungen können in den Hauptspeicher 806 von einem anderen Speichermedium, wie z. B. dem Speichergerät 810, eingelesen werden. Die Ausführung der im Hauptspeicher 806 enthaltenen Befehlssequenzen veranlasst den/die Prozessor(en) 804, die hier beschriebenen Prozessschritte auszuführen. In alternativen Beispielen können fest verdrahtete Schaltungen anstelle von oder in Kombination mit Softwareanweisungen verwendet werden.
  • Der Begriff „nichtflüchtige Medien“ und ähnliche Begriffe, wie sie hier verwendet werden, beziehen sich auf alle Medien, die Daten und/oder Befehle speichern, die eine Maschine in einer bestimmten Weise arbeiten lassen. Solche nichtflüchtigen Medien können nichtflüchtige Medien und/oder flüchtige Medien umfassen. Zu den nichtflüchtigen Medien gehören beispielsweise optische oder magnetische Festplatten, wie die Speichervorrichtung 810. Zu den flüchtigen Medien gehören dynamische Speicher, wie der Hauptspeicher 806. Zu den gängigen Formen nichtflüchtiger Medien gehören beispielsweise Disketten, flexible Platten, Festplatten, Solid-State-Laufwerke, Magnetbänder oder andere magnetische Datenspeichermedien, CD-ROMs, andere optische Datenspeichermedien, physische Medien mit Lochmustern, RAM, PROM und EPROM, FLASH-EPROM, NVRAM, andere Speicherchips oder -kassetten sowie deren vernetzte Versionen.
  • Nicht-transitorische Medien unterscheiden sich von Übertragungsmedien, können aber in Verbindung mit ihnen verwendet werden. Übertragungsmedien sind an der Übertragung von Informationen zwischen nichttransitorischen Medien beteiligt. Zu den Übertragungsmedien gehören z. B. Koaxialkabel, Kupfer- und Glasfaserkabel, einschließlich der Drähte, aus denen der Bus 802 besteht. Übertragungsmedien können auch in Form von Schall- oder Lichtwellen auftreten, wie sie z. B. bei der Funk- und Infrarot-Datenkommunikation erzeugt werden.
  • Das Computersystem 800 umfasst auch eine Kommunikationsschnittstelle 818, die mit dem Bus 802 verbunden ist. Die Kommunikationsschnittstelle 818 stellt eine Zweiwege-Datenkommunikationsverbindung zu einer oder mehreren Netzwerkverbindungen her, die mit einem oder mehreren lokalen Netzwerken verbunden sind. Bei der Kommunikationsschnittstelle 818 kann es sich beispielsweise um eine ISDN-Karte (Integrated Services Digital Network), ein Kabelmodem, ein Satellitenmodem oder ein Modem handeln, um eine Datenkommunikationsverbindung zu einer entsprechenden Art von Telefonleitung herzustellen. Ein weiteres Beispiel: Die Kommunikationsschnittstelle 818 kann eine LAN-Karte (Local Area Network) sein, um eine Datenkommunikationsverbindung zu einem kompatiblen LAN (oder einer WAN-Komponente für die Kommunikation mit einem WAN) herzustellen. Es können auch drahtlose Verbindungen implementiert werden. In jeder dieser Implementierungen sendet und empfängt die Kommunikationsschnittstelle 818 elektrische, elektromagnetische oder optische Signale, die digitale Datenströme übertragen, die verschiedene Arten von Informationen darstellen.
  • Eine Netzverbindung ermöglicht in der Regel die Datenkommunikation über ein oder mehrere Netze zu anderen Datengeräten. Eine Netzverbindung kann beispielsweise eine Verbindung über ein lokales Netz zu einem Host-Computer oder zu Datengeräten herstellen, die von einem Internetdienstanbieter (ISP) betrieben werden. Der ISP wiederum bietet Datenkommunikationsdienste über das weltweite Paketdatenkommunikationsnetz an, das heute gemeinhin als „Internet“ bezeichnet wird. Sowohl das lokale Netz als auch das Internet verwenden elektrische, elektromagnetische oder optische Signale, die digitale Datenströme übertragen. Die Signale über die verschiedenen Netze und die Signale auf der Netzverbindung und über die Kommunikationsschnittstelle 818, die die digitalen Daten zum und vom Computersystem 800 übertragen, sind Beispiele für Übertragungsmedien.
  • Das Computersystem 800 kann über das/die Netzwerk(e), die Netzwerkverbindung und die Kommunikationsschnittstelle 818 Nachrichten senden und Daten, einschließlich Programmcode, empfangen. In dem Internet-Beispiel könnte ein Server einen angeforderten Code für ein Anwendungsprogramm über das Internet, den ISP, das lokale Netzwerk und die Kommunikationsschnittstelle 818 übertragen.
  • Der empfangene Code kann vom Prozessor 804 bei seinem Empfang ausgeführt und/oder in der Speichervorrichtung 810 oder einem anderen nichtflüchtigen Speicher zur späteren Ausführung gespeichert werden.
  • Jeder der in den vorstehenden Abschnitten beschriebenen Prozesse, Methoden und Algorithmen kann in Code-Komponenten verkörpert und vollständig oder teilweise durch diese automatisiert werden, die von einem oder mehreren Computersystemen oder Computerprozessoren mit Computerhardware ausgeführt werden. Das eine oder die mehreren Computersysteme oder Computerprozessoren können auch so betrieben werden, dass sie die Ausführung der entsprechenden Vorgänge in einer „Cloud Computing“-Umgebung oder als „Software as a Service“ (SaaS) unterstützen. Die Prozesse und Algorithmen können teilweise oder vollständig in anwendungsspezifischen Schaltkreisen implementiert sein. Die verschiedenen oben beschriebenen Merkmale und Verfahren können unabhängig voneinander verwendet oder auf verschiedene Weise kombiniert werden. Verschiedene Kombinationen und Unterkombinationen sollen in den Anwendungsbereich dieser Offenbarung fallen, und bestimmte Verfahrens- oder Prozessblöcke können in einigen Implementierungen weggelassen werden. Die hier beschriebenen Methoden und Prozesse sind auch nicht auf eine bestimmte Reihenfolge beschränkt, und die damit verbundenen Blöcke oder Zustände können in anderen geeigneten Reihenfolgen, parallel oder auf andere Weise ausgeführt werden. Blöcke oder Zustände können zu den offengelegten Beispielen hinzugefügt oder daraus entfernt werden. Die Ausführung bestimmter Operationen oder Prozesse kann auf Computersysteme oder Computerprozessoren verteilt werden, die sich nicht nur in einer einzigen Maschine befinden, sondern über eine Reihe von Maschinen verteilt sind.
  • Wie hierin verwendet, kann eine Schaltung in jeder Form von Hardware, Software oder einer Kombination davon implementiert werden. Beispielsweise können ein oder mehrere Prozessoren, Controller, ASICs, PLAs, PALs, CPLDs, FPGAs, logische Komponenten, Software-Routinen oder andere Mechanismen implementiert werden, um eine Schaltung zu bilden. Bei der Implementierung können die verschiedenen hier beschriebenen Schaltungen als diskrete Schaltungen implementiert werden, oder die beschriebenen Funktionen und Merkmale können teilweise oder insgesamt auf eine oder mehrere Schaltungen aufgeteilt werden. Auch wenn verschiedene Merkmale oder Funktionselemente einzeln als separate Schaltungen beschrieben oder beansprucht werden, können diese Merkmale und Funktionen von einer oder mehreren gemeinsamen Schaltungen gemeinsam genutzt werden, und eine solche Beschreibung soll nicht voraussetzen oder implizieren, dass separate Schaltungen erforderlich sind, um diese Merkmale oder Funktionen zu implementieren. Wenn eine Schaltung ganz oder teilweise mit Software implementiert ist, kann diese Software so implementiert werden, dass sie mit einem Computer- oder Verarbeitungssystem arbeitet, das in der Lage ist, die in Bezug auf sie beschriebene Funktionalität auszuführen, wie z. B. das Computersystem 800.
  • Wie hierin verwendet, kann der Begriff „oder“ sowohl im einschließenden als auch im ausschließenden Sinne verstanden werden. Darüber hinaus ist die Beschreibung von Ressourcen, Vorgängen oder Strukturen im Singular nicht so zu verstehen, dass der Plural ausgeschlossen wird. Bedingte Ausdrücke wie z. B. „kann“, „könnte“, „könnte“ oder „darf“ sollen im Allgemeinen vermitteln, dass bestimmte Beispiele bestimmte Merkmale, Elemente und/oder Schritte einschließen, während andere Beispiele diese nicht einschließen, es sei denn, es ist ausdrücklich etwas anderes angegeben oder im jeweiligen Kontext anders zu verstehen.
  • Die in diesem Dokument verwendeten Begriffe und Ausdrücke sowie deren Abwandlungen sind, sofern nicht ausdrücklich anders angegeben, nicht einschränkend, sondern offen zu verstehen. Adjektive wie „konventionell“, „traditionell“, „normal“, „Standard“, „bekannt“ und Begriffe mit ähnlicher Bedeutung sind nicht so zu verstehen, dass sie den beschriebenen Gegenstand auf einen bestimmten Zeitraum oder auf einen zu einem bestimmten Zeitpunkt verfügbaren Gegenstand beschränken, sondern sollten so verstanden werden, dass sie konventionelle, traditionelle, normale oder Standardtechnologien umfassen, die jetzt oder zu einem beliebigen Zeitpunkt in der Zukunft verfügbar oder bekannt sein können. Das Vorhandensein erweiternder Wörter und Ausdrücke wie „eine oder mehrere“, „mindestens“, „aber nicht beschränkt auf“ oder ähnliche Ausdrücke in einigen Fällen ist nicht so zu verstehen, dass der engere Fall beabsichtigt oder erforderlich ist, wenn solche erweiternden Ausdrücke nicht vorhanden sind.

Claims (20)

  1. Ein Verfahren, das Folgendes umfasst: Empfangen eines Satzes von Flussverhaltensweisen für Datenflussverkehr an einem Netzwerkgerät; Anwenden eines Modells des maschinellen Lernens (ML), das etikettierte Netzwerktupel und Signaturen für Flussverhaltensweisen umfasst , auf den Satz von Flussverhaltensweisen an der Netzwerkvorrichtung, wobei die Ausgabe von dem Modell des maschinellen Lernens eine klassifizierte Kennzeichnung für einen bestimmten Datenfluss des Datenflussverkehrs vorhersagt; Bestimmen eines impliziten Etiketts für einen Netzwerktupelparameter für den bestimmten Datenfluss an der Netzwerkvorrichtung, wobei das implizite Etikett einen berichteten Wert für den Netzwerktupelparameter umfasst; Vergleichen des klassifizierten Etiketts für den Netzwerktupelparameter mit dem impliziten Etikett; und Durchführen einer mit dem Vergleich verbundenen Aktion.
  2. Verfahren nach Anspruch 1, das ferner umfasst: Erhöhen eines Zählers für den Datenflussverkehr, wenn der Vergleich zu einer Nichtübereinstimmung führt.
  3. Das Verfahren nach Anspruch 2 umfasst ferner: wenn der Zähler über einem Schwellenwert liegt, Aktualisieren der Warnung, um eine verdächtige Aktivität für den Datenflussverkehr einzuschließen; und das Übertragen der Warnung an einen zentralen Server.
  4. Verfahren nach Anspruch 1, ferner umfassend: wenn der Vergleich zu einer Nichtübereinstimmung des klassifizierten Etiketts und des impliziten Etiketts führt, lokales Speichern der Werte für die Flussverhaltensweisen und das implizite Etikett.
  5. Verfahren nach Anspruch 1, wobei die Flussverhaltensweisen von einer Modell-ID abhängen und das Verfahren ferner Folgendes umfasst Speichern der Werte für die Strömungsverhaltensweisen lokal an der Netzwerkvorrichtung, ohne Übermittlung der Werte an einen zentralen Server.
  6. Das Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Empfangen einer Modellkennung (ID) von einem zentralen Server, die einem zweiten maschinellen Lernmodell (ML) in einem privaten Satz von ML-Modellen entspricht, wobei jedes maschinelle Lernmodell Sätze von öffentlichen Modellkennungen, etikettierten Netzwerktupeln und privaten Fluss-Signaturen umfasst; und Anwenden des Satzes von Flussverhaltensweisen auf das zweite ML-Modell, das der Modell-ID entspricht, um das klassifizierte Etikett für den Netzwerktupelparameter für den bestimmten Datenfluss vorherzusagen, wobei die Flussverhaltensweisen von der Modell-ID abhängen.
  7. Verfahren nach Anspruch 6, wobei das zweite ML-Modell ein Zufallsmodell aus dem privaten Satz von ML-Modellen ist.
  8. Das Verfahren nach Anspruch 6 umfasst ferner: wenn der Vergleich zu einer Nichtübereinstimmung führt, Senden der Modell-ID und der Klassifizierung an einen zentralen Server.
  9. Das Verfahren nach Anspruch 6 umfasst ferner: wenn der Vergleich zu einer Nichtübereinstimmung führt, Speichern der Modell-ID und der Flussverhaltenssignatur lokal in der Netzwerkvorrichtung.
  10. Verfahren nach Anspruch 6, ferner umfassend: Empfangen einer Aktualisierung des privaten Satzes von ML-Modellen, wobei die Aktualisierung auf der Klassifizierung für den Netzwerktupelparameter für den bestimmten Datenfluss basiert.
  11. Verfahren nach Anspruch 1, wobei der Satz von Flussverhaltensweisen mindestens eines der folgenden Elemente enthält: Inter-Paket-Ankunftszeit oder Paketlänge für den bestimmten Datenfluss.
  12. Verfahren nach Anspruch 1, wobei die Netzwerktupel-Parameter mindestens eines der folgenden Elemente umfassen: Dienstgüte (QOS), virtuelles lokales Netzwerk (VLAN) oder MAC-Adresse (Media Access Control).
  13. Verfahren nach Anspruch 1, wobei die Durchführung der mit dem Vergleich verbundenen Aktion ein neues Verhalten am Netzwerkgerät identifiziert und wobei das neue Verhalten ein Cybersicherheitsrisiko ist, das sich auf ein DNS-Problem (Domain Name System) bezieht.
  14. Ein Verfahren, das Folgendes umfasst: Empfangen eines klassifizierten Etiketts für einen Netzwerktupelparameter auf einem zentralen Server, wobei das klassifizierte Etikett erzeugt wurde durch: Überwachen des Flussverhaltens an einem Netzwerkgerät; Anwenden eines Modells des maschinellen Lernens (ML), das markierte Netzwerktupel und Signaturen für Flussverhaltensweisen umfasst, auf die überwachten Flussverhaltensweisen, um die Flussverhaltensweisen zu klassifizieren und eine klassifizierte Kennzeichnung zu erzeugen; und wobei das klassifizierte Etikett empfangen wird, wenn ein Vergleich des klassifizierten Etiketts für den Netzwerktupel-Parameter festgestellt wurde, dass es sich von einem impliziten Etikett unterscheidet, und wobei das implizite Etikett einem Netzwerktupel-Parameter entspricht, wie er in einem Paketkopf eines entsprechenden Datenflusses berichtet wird; und Ausführen einer Aktion auf der Grundlage des klassifizierten Labels .
  15. Das Verfahren nach Anspruch 14 umfasst ferner: Erzeugen eines privaten Satzes von ML-Modellen auf dem zentralen Server, wobei der private Satz von ML-Modellen Sätze von Modell-IDs, die etikettierten Netzwerktupel und die Signaturen für Flussverhaltensweisen umfasst.
  16. Verfahren nach Anspruch 15, wobei die Signaturen für das Flussverhalten für den zentralen Server privat sind.
  17. Verfahren nach Anspruch 15, ferner umfassend: Bestimmen einer Modell-ID aus den Sätzen von Modell-IDs, die mit dem klassifizierten Etikett übereinstimmen; Übertragen der Modell-ID an das Netzwerkgerät; und Aktualisieren des privaten Satzes von ML-Modellen auf der Grundlage des klassifizierten Etiketts für den Netzwerktupelparameter, wobei das klassifizierte Etikett für den Netzwerktupelparameter durch eine Anwendung eines ML-Modells mit der entsprechenden Modell-ID erzeugt wird.
  18. Verfahren nach Anspruch 14, wobei die Durchführung der mit dem Vergleich verbundenen Aktion ein neues Verhalten am Netzwerkgerät identifiziert und wobei das neue Verhalten ein Cybersicherheitsrisiko ist, das sich auf ein DNS-Problem (Domain Name System) bezieht.
  19. Ein nicht-transitorisches, maschinenlesbares Speichermedium, das eine Vielzahl von Befehlen speichert, die von einem oder mehreren Prozessoren ausgeführt werden können, wobei die Vielzahl von Befehlen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, den einen oder die mehreren Prozessoren veranlassen,: Empfangen eines Satzes von Flussverhaltensweisen für Datenflussverkehr; Anwenden eines Modells des maschinellen Lernens (ML), das etikettierte Netzwerktupel und Signaturen für Flussverhaltensweisen umfasst, auf den Satz von Flussverhaltensweisen, wobei die Ausgabe des Modells des maschinellen Lernens eine klassifizierte Kennzeichnung für einen bestimmten Datenfluss des Datenflussverkehrs vorhersagt; Bestimmen eines impliziten Labels für einen Netzwerktupelparameter für den bestimmten Datenfluss, wobei das implizite Label einen gemeldeten Wert für den Netzwerktupelparameter umfasst; Vergleichen des klassifizierten Etiketts für den Netzwerktupelparameter mit dem impliziten Etikett; und Ausführen einer mit dem Vergleich verbundenen Aktion.
  20. Nicht-transitorisches maschinenlesbares Speichermedium nach Anspruch 19, wobei der eine oder die mehreren Prozessoren weiterhin dazu dienen,: von einem zentralen Server eine Modellkennung (ID) zu empfangen, die einem zweiten Modell des maschinellen Lernens (ML) in einem privaten Satz von ML-Modellen entspricht, wobei jedes Modell des maschinellen Lernens Sätze von öffentlichen Modellkennungen, etikettierten Netzwerktupeln und privaten Fluss-Signaturen umfasst; und Anwenden des Satzes von Flussverhaltensweisen auf das zweite ML-Modell, das der Modell-ID entspricht, um die klassifizierte Kennzeichnung für den Netzwerktupelparameter für den bestimmten Datenfluss vorherzusagen, wobei die Flussverhaltensweisen von der Modell-ID abhängen.
DE102022108862.6A 2021-10-27 2022-04-12 Plattform für datenschutzgerechtes dezentrales lernen und die überwachung von netzwerkereignissen Pending DE102022108862A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/512,609 2021-10-27
US17/512,609 US20230130705A1 (en) 2021-10-27 2021-10-27 Platform for privacy preserving decentralized learning and network event monitoring

Publications (1)

Publication Number Publication Date
DE102022108862A1 true DE102022108862A1 (de) 2023-04-27

Family

ID=85795672

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022108862.6A Pending DE102022108862A1 (de) 2021-10-27 2022-04-12 Plattform für datenschutzgerechtes dezentrales lernen und die überwachung von netzwerkereignissen

Country Status (3)

Country Link
US (1) US20230130705A1 (de)
CN (1) CN116055080A (de)
DE (1) DE102022108862A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230148116A1 (en) * 2021-11-08 2023-05-11 Microsoft Technology Licensing, Llc Adversarial training to minimize data poisoning attacks

Also Published As

Publication number Publication date
CN116055080A (zh) 2023-05-02
US20230130705A1 (en) 2023-04-27

Similar Documents

Publication Publication Date Title
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
US11706258B2 (en) Core services detection for a segmented network environment
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
CH709950B1 (de) Aktive Honeyport-Netzwerksicherheit.
DE102019103890A1 (de) Vertrauenswürdige Übertragung des Besitzes von Peripherievorrichtungen
DE102015002541A1 (de) Verfahren und system zum bereitstellen eines effizienten verwundbarkeitsverwaltungs- und verifikationsdienstes
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
WO2010017679A1 (zh) 一种入侵检测方法及装置
EP2299650A1 (de) Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk
CA2937813C (en) Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
US11223643B2 (en) Managing a segmentation policy based on attack pattern detection
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
DE112018003798T5 (de) Erzeugen und analysieren von netzprofildaten
US10192262B2 (en) System for periodically updating backings for resource requests
DE102015003236A1 (de) Verfahren und System zum Bereitstellen von temporären, sicheren Zugang ermöglichenden virtuellen Betriebsmitteln
DE102022108862A1 (de) Plattform für datenschutzgerechtes dezentrales lernen und die überwachung von netzwerkereignissen
DE102014107783B4 (de) Routing-Verfahren zur Weiterleitung von Task-Anweisungen zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
DE102022109007A1 (de) ZUWEISUNG VON AUSREIßERBEZOGENEN KLASSIFIZIERUNGEN ZU VERKEHRSSTRÖMEN ÜBER MEHRERE ZEITFENSTER HINWEG
US10013237B2 (en) Automated approval
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE112022000856T5 (de) Vereinheitlichte richtliniendurchsetzungsverwaltung in der cloud
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
DE102021123575A1 (de) Bereitstellen einer internet-of-things-einheit

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, SPR, US

Free format text: FORMER OWNER: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, HOUSTON, TX, US