【技术实现步骤摘要】
本专利技术涉及信息技术和信息管理系统领域,包括信息和工业安全,更具体地,涉及用于识别来自信息物理系统(cyber-physical system,cps)或信息系统(informationsystem,is)的事件流中的模式结构和异常的系统和方法。
技术介绍
1、对于cps或is的监控对象,其特征在于表征这些对象的工作的数据流的存在。这些数据用作实时(在线)分析和从收集的数据中进行回顾性分析的重要主体,以检测异常(与对象的正常操作的偏差),并识别对象的正常操作中的模式。后者对对象的操作者来说非常重要,因为当对象的行为偏离规范时,允许识别对象操作中的因果关系,并得出这些联系的哪个方面被打破的结论。
2、来自cps或is的对象的数据流分为两组:
3、·cps的物理过程的遥测(传感器读数、设定点值、控制动作的水平),以下简称“遥测”;以及
4、·cps中的事件(各个命令、人员动作、警报等)和is中的事件(人员动作、数据网络中的连接和类似事件、子系统向特定状态的转变),包括借助如siem的解决方案积累的事件,以下简称“事件”。
5、对于第一种类型的数据分析(物理过程的遥测),成功地使用了基于神经网络的预测模型和其他机器学习方法,以下简称预测检测器。例如,在专利us11494252和us11175976中描述了这种检测器的示例,这些专利通过引用并入本文。
6、物理过程具有使预测模型成为可能的两个特性:
7、·连续性:物理过程持续发展,并且其任何参数在任何给定时间都有特
8、·强烈的相互依赖性:过程的参数在时间上是严格相互关联的;如果所有其他因素都相等,一个参数的变化总是会导致另一个参数在一定时间后以一定的速率变化(这并不意味着这些变化的规律是已知的;它们的确定是机器学习的任务)。
9、第二种类型的数据是事件流。
10、事件是对象状态的非发展性原子变化,其特征是变化发生的时间点和一组字段(事件字段),这些字段的值描述了这种变化的组成。
11、模式是被监控对象的事件流被划分成的元素(事件或其他模式)的序列,对应于对象操作中的单独子过程。一个模式对应于来自同一元素集合的两个序列,条件是两个元素序列的元素之间的间隔在指定的限度内,和/或元素的顺序在指定的限度内变化,特别是当严格遵守元素的组成和顺序,并且元素之间的间隔在指定的限度内变化时。在一个模式由其他模式组成的情况下,这样的模式被称为复合模式或简单地称为模式,而其他模式则被称为嵌套模式。这种模式的层级嵌套称为模式结构。每个模式都可以通过嵌套模式表示为事件序列。
12、在每个模式中,事件或嵌套模式都遵循特定的顺序。一方面,它们之间的间隔是随机的(时间间隔没有确切的重复性),但另一方面,他们在某种框架内,由对象的功能细节隐含地设定。
13、模式可以是重复的(但不一定是周期性的)或新的(发生一次)。重复模式表征对象在监控时间期间的所学操作。新事件或新模式表示对象操作中的异常——先前未观察到的事件或事件序列。新的模式和相应的异常将被视为事件序列,其中,这些事件之间的间隔发生重大变化,同时保持先前已知的重复模式的事件序列,或者与先前已知的重复模式相比违反事件序列(新事件的顺序改变、遗漏新事件或出现新事件)。
14、因此,出现了一个技术问题,在于在cps或is的事件流中识别反映cps或is的事件流中的因果关系的层级嵌套的重复(但不一定是周期性的)模式结构,以及将新模式和新事件归属于异常。也就是说,关于先前没有观察到事件或模式或模式结构的部分的信息指示cps或ip中存在异常。
15、尽管熟悉其对象的模式的经验丰富的操作者能够识别事件流中的异常,但一个人的心理物理能力不允许应对来自现代复杂对象的信息流(每秒数十到数百个事件)。只有在基于机器学习和人工智能(ai)的自动化系统的帮助下,才能实时处理这种信息流。
16、然而,事件流不具有任何上述物理过程的特性,即以下特性:
17、首先,事件是离散的:事件只存在于特定的时间点,不在这些时间点之间定义。这种情况不允许使用基于连续函数建模的方法,而连续函数是许多机器学习方法的基础。
18、其次,事件的相互依赖性通常很弱:事件形成重复序列(例如,一个事件“cps操作者进入机房”到达,之后接收到事件“给出打开聚合的命令”),但序列中事件之间的时间间隔可能变化很大(在上面的示例中,事件之间的正常间隔是4分钟到8分钟)。
19、因此,对于事件的分析,由于事件的特定特性,在处理连续过程时使用的技术和预测检测器是不合适的。
20、事件序列中的异常检测领域的已知方法可分为三种类别:
21、1)使用通过签名(预定规则)搜索事件和事件序列的原理,参见例如us9529690b2、us20170293757a1;
22、2)对来自事件流的一些历史样本的基于机器学习的学习,参见例如us20200143292a1;并且
23、3)基于对符号信息流中的模式的搜索,例如使用sequitur算法。
24、第一类解决方案可归属于诊断规则类别(根据指定标准搜索异常)。此类解决方案仅对预先已知的场景敏感,并且在考虑事件序列中事件之间时间间隔的可能变化时,它们的使用充满了重大困难。
25、第二类决策会受到各种错误的影响,这些错误与历史样本中出现的事件的初始不完整性、顺序、和序列中的时间间隔相关。
26、第三类别的优点是搜索是在开放的数据流上进行的——训练样本和模式集合都没有预先限制。但是,该类别没有考虑字符之间时间间隔的可变性,并且没有实现在处理事件时必须处理的多维字符流。由前可见,本领域已知的技术并不能解决所宣称的技术问题。因此,需要解决该技术问题。
27、因此,需要一种更优化的方法来识别信息物理系统的事件流中的模式和异常。
技术实现思路
1、本专利技术的各方面涉及识别信息物理系统的事件流中的模式和异常。在本专利技术的一个方面,识别cps或is的事件流中的重复事件和模式以及将新事件和新模式二者归属于cps或ip的工作中的异常。该结果是通过基于神经语意网络的机器学习方法实现的,而无需将工作过程划分为两个彼此独立的阶段:(a)对历史数据进行训练,和(b)推理。
2、在本专利技术的另一个方面,识别cps或is的事件流中的模式结构。该识别是通过基于神经语意网络的机器学习方法实现的,而无需将工作过程划分为两个独立的阶段:a)在历史数据上进行训练和b)推理。
3、在本专利技术的另一个方面,提高了事件和模式以及它们归属于cps或ip的工作中的异常的检测质量。这种改进是由于以下每个因素实现的:持续的在线学习、在“睡眠”模式下的工作循环的特殊阶段期间对神经语意网络的附加优化(例如,见图4)、用于基于特殊监控器神经元选择性监控神经语意网络的活动的机制、本文档来自技高网...
【技术保护点】
1.一种用于检测来自信息物理系统(CPS)或信息系统(IS)的事件流中的模式和异常的系统,包括:
2.如权利要求1所述的系统,其中,用于处理所述事件集的配置还包括用于以下的配置:
3.如权利要求1所述的系统,其中,根据最小描述长度的层级原理,或者根据当前和先前事件集的所有事件的最紧凑的覆盖,来选择所述事件集的所有事件的最佳覆盖。
4.如权利要求1所述的系统,其中,处理所述事件集是在所述神经语意网络中分层执行的。
5.如权利要求4所述的系统,其中,所述模式结构通过神经元所处的所述神经语意网络的层的层级来检测,并且其中,
6.如权利要求5所述的系统,其中,
7.如权利要求5所述的系统,其中,所述事件处理器还被设计为从所述存储子系统配置、存储和恢复所述神经语意网络,其中,配置所述神经语意网络包括:
8.如权利要求5所述的系统,其中,所述事件处理器还被设计为:
9.如权利要求8所述的系统,还包括:
10.如权利要求1所述的系统,其中,通过迫使所述神经语意网络转换到不会进行新神经元的
11.如权利要求1所述的系统,其中,使用教导器来通过向输入提交用于训练的目标模式来训练神经语意网络,并且其中,激活的频率和/或激活的次数仅基于对生成的神经元中的属性的后续修改。
12.如权利要求2所述的系统,其中,所述存储子系统还被配置为存储监控器神经元的触发。
13.如权利要求1所述的系统,其中,所述存储子系统还被配置为在所述事件处理器关闭后重新启动所述事件处理器的操作,同时保留先前学习的事件和模式。
14.如权利要求1所述的系统,其中,所述事件处理器还被配置为:
15.如权利要求1所述的系统,其中,所述事件处理器还被配置为:
16.如权利要求1所述的系统,其中,通过CPS遥测从预测检测器接收事件和/或直接从所述CPS接收事件。
17.一种用于检测来自信息物理系统(CPS)或信息系统(IS)的事件流中的模式和异常的方法,所述方法包括:
...【技术特征摘要】
1.一种用于检测来自信息物理系统(cps)或信息系统(is)的事件流中的模式和异常的系统,包括:
2.如权利要求1所述的系统,其中,用于处理所述事件集的配置还包括用于以下的配置:
3.如权利要求1所述的系统,其中,根据最小描述长度的层级原理,或者根据当前和先前事件集的所有事件的最紧凑的覆盖,来选择所述事件集的所有事件的最佳覆盖。
4.如权利要求1所述的系统,其中,处理所述事件集是在所述神经语意网络中分层执行的。
5.如权利要求4所述的系统,其中,所述模式结构通过神经元所处的所述神经语意网络的层的层级来检测,并且其中,
6.如权利要求5所述的系统,其中,
7.如权利要求5所述的系统,其中,所述事件处理器还被设计为从所述存储子系统配置、存储和恢复所述神经语意网络,其中,配置所述神经语意网络包括:
8.如权利要求5所述的系统,其中,所述事件处理器还被设计为:
9.如权利要求8所述的系统,还包括:
10.如权利要求1所述的系统,其中,通过迫使所述神经...
【专利技术属性】
技术研发人员:安德雷·B·拉夫兰特耶夫,德米特里·A·伊万诺夫,维亚切斯拉夫·I·什库列夫,尼古拉·N·德米多夫,M·A·马马耶夫,A·V·特拉沃夫,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。