本发明专利技术涉及用于制订规则的方法,所述规则用于识别由数据包构成的数据流中的异常的基于规则的异常识别方法,其中数据包包括由一个或多个数据段构成的数据区段,并且数据包分配有时间戳和数据包类型,所述方法具有如下步骤:‑提供具有连续的参考时间点的参考时间信号;‑对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说,分别确定有关数据段的连续值的时间序列,其中时间序列的值对应于有关数据段的值或者与这些值有关,其中有关数据段的值被分配给参考时间点中的相应的参考时间点;‑执行相关方法,以便分别确定两个不同的时间序列的相关值;‑根据所确定的相关值制订用于基于规则的异常识别方法的规则。
A Method of Automatically Formulating Rules for Rule-based Anomaly Recognition in Data Stream
【技术实现步骤摘要】
自动制订在数据流中基于规则的异常识别的规则的方法
本专利技术涉及用于识别数据流中的异常数据的异常识别方法以及用于制订(Erstellen)用来识别数据流中的异常数据区段的规则的方法。
技术介绍
在具有多个控制设备的系统中,可以通过网络、诸如串行现场总线在控制设备之间交换数据。这种现场总线的示例是CAN总线(CAN:ControllerAreaNetwork(控制器域网络))。CAN总线主要被用在机动车中并且能够实现从一个控制设备到一个或多个其它所连接的控制设备的包绑定的(paketgebunden)数据传输。在通过串行现场总线来传输数据时,在真实的运行中可能出现与正常行为的偏差,所述偏差被称作异常。这种偏差的原因可能是损坏的或失灵的子系统或控制设备,所述损坏的或失灵的子系统或控制设备提供有错误的数据或者不提供数据。此外,系统可能被外部源操纵,其中通过现场总线传输的数据包被操纵或者新的数据包被混进来。在按规定地工作的系统中,在通过总线系统相互连接的控制设备之间无错误地传送数据包,其中通常这些数据包一般由于特定的、不仅稳定的而且时间上的相关而彼此关联。对于车辆系统的运行安全性来说重要的是:及早地识别异常、尤其是与从外部对车辆系统的操纵相关联地出现的异常。为此,通过异常识别方法来监控数据通信。目前的异常识别方法经常是基于规则的。规则对应于对事件的定义,所述事件可以是可能的异常行为,并且规则由询问、检查和结论的列表组成,依据该列表,检查通过现场总线传输的数据流的数据段、数据包或者数据包的组。在此,这些规则从通信矩阵中被手动地推导出,使得不能归纳出规则系统的结构并且对于每个车辆类型来说都必须单独地进行。通常根据矩阵规范、也就是说基于提供信息的频率或所传送信息的类型来进行基于通信矩阵的规则制订。在这样制订的规则中,没有考虑或没有检测所传输的信息之间的物理关系。
技术实现思路
按照本专利技术,规定一种按照权利要求1所述的用于制订规则的方法,所述规则用于针对通过通信连接所传输的数据流的基于规则的异常识别方法,以及规定一种按照并列从属权利要求所述的异常识别方法和异常识别系统。其它的设计方案在从属权利要求中说明。按照第一方面,规定一种用于制订至少一个规则的方法,所述规则用于用来识别由数据包构成的数据流中的异常的基于规则的异常识别方法,其中所述数据包包括由一个或多个数据段构成的数据区段,并且所述数据包分配有时间戳和数据包类型,所述方法具有如下步骤:-提供具有连续的参考时间点的参考时间信号;-对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说,分别确定有关数据段的连续值的时间序列,其中时间序列的值对应于所述有关数据段的值或者与这些值有关,其中所述有关数据段的值被分配给所述参考时间点中的相应的参考时间点;-执行相关方法,以便分别确定两个不同的时间序列的相关值;-根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。上述用于制订规则的方法的思想在于:可以通过分析数据流片段自动地制订规则,其中所述规则用于基于规则的异常识别方法。为此,分析在数据包中的数据段的值之间的相关,使得可以找出相同的或不同的源的不同数据段之间的关联。以这种方式可以制订用于异常识别方法的规则,这些规则本身在存在通信矩阵时并不能从该通信矩阵中毫无困难地推导出。通过排列通信矩阵可以识别正相关以及负相关。从中可以自动化地制订规则。这扩展了制订用于异常识别方法的规则系统的可能性。在本专利技术的意义上,数据包的术语对应于数据序列,逻辑关系可以被分配给该数据序列。此外,通过具有所选择的相同数据包类型的连续的数据包的时间戳的时间点或者通过合成的时间向量、例如具有预先给定的频率的等距的时间向量,可以预先给定参考时间信号。按照一个实施方式,有关数据段的值可以被分配给所述参考时间点,其方式是:针对所述参考时间点中的每个参考时间点,从出现具有所述有关数据段的数据包的时间戳中选择具有时间参考的时间戳,尤其是最接近有关参考时间点的那个时间戳,并且来自所述数据包的有关时间段的值以所选择的时间戳被添加给所述时间序列。可以规定:通过插值方法,尤其是最近邻(NearestNeighbor)、线性混合近邻(LinearMixedNeighbor)、先前近邻(PreviousNeighbor)、保持形状的分段立方插值(Shape-PreservingPiecewiseCubicInterpolation),从所述有关数据段的值中确定所述时间序列的值。还可以借助于皮尔逊(Pearson)相关来确定相关值。按照一个实施方式,可以从所确定的相关值推导出用于异常识别的规则,其方式是:针对相关值处于特定区间中、尤其是具有大于预先给定的相关阈的数值的数据段来制订规则,其中所述规则规定:在时间上相继传送的数据包中的有关数据段的值的时间上的变化是同步的或者反向的。可以规定:从所确定的相关值推导出用于异常识别的规则,其方式是:针对多个数据流片段确定对于分别两个不同的数据段的相关值,其中规则规定:从不同的数据流片段中获得的相关值的变化处于特定区间中,尤其是在数值上低于预先给定的阈值。尤其是可以通过包含在数据包中的ID标志来确定数据包类型。可以规定:借助于(卷积(Convolutional))自动编码器(Autoencoder)、LSTM(长期短暂记忆(Longshort-termmemory))、生成式对抗网络(GenerativeAdversarialNetwork,GAN),生成至少一个规则。按照另一方面,规定一种用于异常识别的方法,其中根据一个或多个规则在异常方面检查数据流的数据包,其中这些规则中的至少一个规则利用上述方法来制订。按照另一方面,规定一种用于制订至少一个规则的设备,所述规则用于用来识别由数据包构成的数据流中的异常的基于规则的异常识别方法,其中所述数据包包括由一个或多个数据段构成的数据区段,并且所述数据包分配有时间戳和数据包类型,其中所述设备被构造为:-提供具有连续的参考时间点的参考时间信号;-对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说,分别确定有关数据段的连续值的时间序列,其中时间序列的值对应于所述有关数据段的值或者与这些值有关,其中所述有关数据段的值被分配给所述参考时间点中的相应的参考时间点;-执行相关方法,以便分别确定两个不同的时间序列的相关值;-根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。按照另一方面,规定一种用于异常识别的设备,该设备构造为:根据一个或多个规则在异常方面检查数据流的数据包,其中这些规则中的至少一个规则用上述方法来制订。附图说明随后,依据随附的附图进一步阐述实施方式。其中:图1示出了具有多个控制设备的系统的示意图,这些控制设备通过通信总线相互连接;图2示出了阐明用于制订规则的方法的流程图,所述规则用于基于自动制订的规则的异常识别方法;图3示出了数据流片段的示例;图4示出了根据参考ID标志所选择的数据包的示例;图5示出了用于阐明制订通信矩阵的做法的图示;以及图6示出了相关矩阵的图示。具体实施方式图1示出了具有多个控制设备2的总系统1的示意图,这些控制设备通过通本文档来自技高网...
【技术保护点】
1.用于制订至少一个规则的方法,所述规则用于用来识别由数据包(P)构成的数据流中的异常的基于规则的异常识别方法,其中所述数据包(P)包括由一个或多个数据段(B)构成的数据区段(S),并且所述数据包(P)分配有时间戳和数据包类型(ID),所述方法具有如下步骤:‑ 提供(S1)具有连续的参考时间点的参考时间信号;‑ 对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说,分别确定(S2)有关数据段的连续值的时间序列,其中时间序列的值对应于所述有关数据段的值或者与这些值有关,其中所述有关数据段的值被分配给所述参考时间点中的相应的参考时间点;‑ 执行(S3)相关方法,以便分别确定两个不同的时间序列的相关值;‑ 根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。
【技术特征摘要】
2017.12.13 DE 102017222616.11.用于制订至少一个规则的方法,所述规则用于用来识别由数据包(P)构成的数据流中的异常的基于规则的异常识别方法,其中所述数据包(P)包括由一个或多个数据段(B)构成的数据区段(S),并且所述数据包(P)分配有时间戳和数据包类型(ID),所述方法具有如下步骤:-提供(S1)具有连续的参考时间点的参考时间信号;-对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说,分别确定(S2)有关数据段的连续值的时间序列,其中时间序列的值对应于所述有关数据段的值或者与这些值有关,其中所述有关数据段的值被分配给所述参考时间点中的相应的参考时间点;-执行(S3)相关方法,以便分别确定两个不同的时间序列的相关值;-根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。2.根据权利要求1所述的方法,其中通过具有所选择的数据包类型(ID)的连续的数据包(P)的时间戳的时间点或者通过具有预先给定的频率的等距的时间向量的时间点来预先给定所述参考时间信号。3.根据权利要求1或2所述的方法,其中所述有关数据段(B)的值被分配给所述参考时间点,其方式是:针对所述参考时间点中的每个参考时间点,从出现具有所述有关数据段(B)的数据包(P)的时间戳中选择具有时间参考的时间戳,尤其是最接近有关参考时间点的那个时间戳,并且来自所述数据包(P)的有关时间段(B)的值以所选择的时间戳被添加给所述时间序列。4.根据权利要求1至3中任一项所述的方法,其中通过插值方法,尤其是最近邻、线性混合近邻、先前近邻、保持形状的分段立方插值,从所述有关数据段(B)的值中确定所述时间序列的值。5.根据权利要求1至4中任一项所述的方法,其中借助于皮尔逊相关来确定所述相关值。6.根据权利要求1至5中任一项所述的方法,其中从所确定的相关值推导出用于异常识别的至少一个规则,其方式是:针对相关值处于特定区间中、尤其是具有大于预先给定的相关阈的数值的数据段来制...
【专利技术属性】
技术研发人员:A拉马尔卡,M汉泽尔曼,T施特劳斯,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。