本发明专利技术涉及一种用于在通信网络中识别数据流中的异常的方法,其中所述数据流具有数据分组(P),所述方法具有以下步骤:监视(S1)经由通信总线(3)的网络通信,以检测所述数据流的数据分组;根据已检测的数据分组(P),基于所提供的预测模型预测(S2)至少一个未来数据分组,和根据至少一个预测的数据分组来确定(S3)是否存在异常。
Method and equipment for identifying anomalies in data streams in communication networks
【技术实现步骤摘要】
用于在通信网络中识别数据流中的异常的方法和设备
本专利技术涉及用于监视数据流以识别异常、即有错误或受到操纵的数据的攻击识别方法。
技术介绍
在具有多个控制设备的系统中,可以在控制设备之间经由通信网络(例如串行现场总线)交换数据。这种现场总线的示例是CAN总线(CAN:控制器区域网络)。CAN总线主要用在机动车辆中,并允许从一个控制设备向一个或多个其他连接的控制设备进行受制于分组的数据传输。在经由通信网络传输数据时,在实际操作中可能出现与正常行为的偏差,这些偏差被称为异常。这种偏差的原因可能是有缺陷或故障的子系统或控制设备提供有错误的数据或不提供数据。此外,系统可能被外部源操纵,其中经由通信网络传输的数据分组受到操纵或被注入新的数据分组。在系统按规定工作的情况下,在经由总线系统彼此连接的控制设备之间没有错误地传送数据分组,其中通常数据分组一般通过特定的、既固定又暂时的相关性而彼此依赖。为了车辆系统的操作安全性,重要的是及早识别异常,特别是与从外部操纵车辆系统相关联而出现的异常。为此通过异常识别方法监视数据通信。一种本身已知的识别这种数据流中的异常的可能性在于,根据静态规则检查每个传输的数据分组。从而例如可以检查循环传输的网络消息的循环时间是否存在异常,其方式是定义具有相应消息的额定循环时间的规则。如果实际循环时间与额定循环时间有偏差,则该规则遭到违反并且识别到异常。虽然原则上由此可以识别到异常,但是针对数据流中其他错误和/或操纵的识别率是不足的,因为只能通过预定的规则以高的成本检查动态依赖。此外,随着网络架构复杂性的增加,对于足够的识别准确度来说所需要的必要规则的数量也在剧烈增长。从文献US2015/5191135A中已知一种系统,在该系统中通过网络通信的事先数据分析来学习决策树。基于用作决策树的输入的进入的网络信息,用当前的网络数据遍历经过学习的决策树,并输出是否确定存在异常。从文献US2015/113638A中已知一种系统,该系统建议基于学习算法来识别异常。在此情况下学习具有已知元信息(例如CAN-ID、循环时间等)的数据流量,并且为了识别车辆网络中的已知攻击将当前网络消息与已经知道的消息和模式进行比较,所述已经知道的消息和模式指示错误或操纵。文献WO2014/061021A1同样建议借助于机器学习方法通过各种网络信息来识别异常或已知的攻击模式。
技术实现思路
根据本专利技术,提出了根据权利要求1的一种用于在通信网络中识别数据流中的异常的方法,以及根据并列权利要求的一种用于识别异常的设备和一种网络系统。其他构造在从属权利要求中加以说明。根据第一方面,提出了一种用于在通信网络中识别数据流中的异常的方法,其中该数据流具有数据分组,所述方法包括以下步骤:-监视通信网络中的网络通信,以检测数据流的数据分组;-根据已检测的数据分组,基于所提供的预测模型预测至少一个未来数据分组,和-根据至少一个预测的数据分组确定是否存在异常。上述方法的思想在于,基于已经经由网络组件之间的通信网络传输的数据分组来预测未来要预期的数据分组。预测的数据分组然后被用来检查一个或多个后续数据分组是否存在异常。在现有技术中描述的方法到目前为止仅使用当前或已经观察到的网络数据来检测传输的数据分组中的异常。异常表示不同于正常行为的数据流量。在实际操作中,出于各种原因可能在网络通信中出现与正常行为的偏差。从而有缺陷的传感器可能提供错误数据或甚至不提供数据,网络组件可能被损坏,使得所涉及的网络组件的网络通信受损,或通信网络的通信被外部源(例如被黑客攻击)操纵。通过根据对未来数据分组的预测来检查未来数据分组,特别是实现了关于防御机制的实现的扩展功能性以及对异常的改进识别。实质上,上述方法在于,预测的数据分组被用于检测异常并通过比较预测的数据分组与新接收的数据分组来识别偏差并得出异常的结论。从而特别是不需要存在异常的示例数据以从中推导出用于异常识别的通用规则。由于采用上述方法根据网络通信的正常行为来执行数据分组的预测,因此异常识别基于允许在不知道异常情况的情况下实现异常识别的法则。因此,也可以识别到不能通过目前用于异常识别的常见规则来加以识别的异常。特别地,这里提出的基于预测的数据分组的方法适合于补充目前基于规则的异常识别方法,从而可以提高用于识别异常的检测准确度。此外,基于所提供的预测模型,可以从已检测的数据分组中预测多个未来数据分组。这还允许基于未来数据分组的序列改进异常识别。可以规定,如果预测的数据分组不同于传输的数据分组,则识别到异常。特别地,如果数据分组的时间戳和/或对应的数据片段彼此不同和/或循环网络消息的数据分组之间的时间间隔彼此偏差超过预定持续时间,则可以确定预测的数据分组和传输的数据分组之间存在偏差。根据一种实施方式,如果预测的数据分组违反用于检查数据分组的预定静态规则,则可以识别到异常。从而例如如果预测的数据分组违反基于已接收到的数据分组的静态规则,则可以识别到异常。此外,如果预测的数据分组被识别为异常数据分组,则可以将防御数据分组注入通信总线中。可以规定,在通过预测预测的数据分组而给定的时间点将防御数据分组注入通信连接中。此外,预测模型可以由神经网络、高斯过程模型、递归网络、LSTM模型(LSTM:长短期记忆网络)、HMM模型(HMM:隐马尔可夫模型)、Seq2Seq编码器和/或自动编码器提供,并借助于机器学习方法和经由通信网络进行无异常通信的时间段来加以训练。根据另一方面,一种用于识别通信总线上的数据流中的异常的设备,特别是异常识别系统,其中该数据流具有数据分组,其中该设备被构造为:-监视通信网络中的网络通信,以检测数据流的数据分组;-根据已检测的数据分组基于所提供的预测模型预测至少一个未来数据分组,并且-根据至少一个预测的数据分组来确定是否存在异常。附图说明下面将根据附图详细解释实施方式。图1示出通信系统的示意图,该通信系统具有用于传输数据流的数据分组的通信总线;图2示出由连续的数据分组组成的数据流的示例;和图3示出图示用于实时地识别数据流的数据分组的异常的方法的流程图。具体实施方式图1示出了具有多个网络组件2的整个系统1的示意图,这些网络组件2经由通信总线3形式的通信网络彼此连接。网络组件2可以包括控制设备、传感器和致动器。通信总线3可以对应于现场总线或其他数据总线,例如CAN总线(机动车中的现场总线)。经由通信总线3,可以传输由数据分组的序列组成的数据流。在这种情况下,数据分组从网络组件2之一被传输到网络组件2中的至少另一个。连接到通信总线3的是异常识别系统4,该异常识别系统可以单独构造或作为网络组件2之一的部件构造。异常识别系统4读取经由通信总线3传输的数据,并基于预定的规则执行异常识别。如图2中示例性图示的,经由通信总线3传输的数据分组P由时间戳、用于表征数据分组P的源和/或目的地的ID标识符以及数据段S定义或包含时间戳、用于表征数据分组P的源和/或目的地的ID标识符以及数据段S,其中时间戳即发送所涉及的数据分组P开始的时间点。数据段S可以各自包含一个或多个数据片段B,所述数据片段对应于要传输的信息。数据片段B可以各自包括单独的比特、比特组、一个或多个字节。执行基于规则的异常识别方法,其方式是针对每个数据分组P来检本文档来自技高网...
【技术保护点】
1.用于在通信网络中识别数据流中的异常的方法,其中所述数据流具有数据分组(P),所述方法具有以下步骤:监视(S1)经由通信总线(3)的网络通信,以检测所述数据流的数据分组;根据已检测的数据分组(P),基于所提供的预测模型预测(S2)至少一个未来数据分组,和根据至少一个预测的数据分组来确定(S3)是否存在异常。
【技术特征摘要】
2018.02.05 DE 102018201718.21.用于在通信网络中识别数据流中的异常的方法,其中所述数据流具有数据分组(P),所述方法具有以下步骤:监视(S1)经由通信总线(3)的网络通信,以检测所述数据流的数据分组;根据已检测的数据分组(P),基于所提供的预测模型预测(S2)至少一个未来数据分组,和根据至少一个预测的数据分组来确定(S3)是否存在异常。2.根据权利要求1所述的方法,其中,基于所提供的预测模型从已检测的数据分组中预测多个未来数据分组。3.根据权利要求1或2所述的方法,其中,如果预测的数据分组与传输的数据分组不同,则识别到异常。4.根据权利要求3所述的方法,其中,如果所述数据分组(P)的时间戳和/或对应的数据片段(B)彼此不同和/或循环网络消息的数据分组(P)之间的时间间隔彼此偏差超过预定的持续时间,则确定所述预测的数据分组和所述传输的数据分组之间存在偏差。5.根据权利要求1至4中任一项所述的方法,其中,如果预测的数据分组违反用于...
【专利技术属性】
技术研发人员:A拉马尔卡,D库普里昂,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。