买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本发明涉及用于制订规则的方法，所述规则用于识别由数据包构成的数据流中的异常的基于规则的异常识别方法，其中数据包包括由一个或多个数据段构成的数据区段，并且数据包分配有时间戳和数据包类型，所述方法具有如下步骤：‑提供具有连续的参考时间点的参考时间信号；‑对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说，分别确定有关数据段的连续值的时间序列，其中时间序列的值对应于有关数据段的值或者与这些值有关，其中有关数据段的值被分配给参考时间点中的相应的参考时间点；‑执行相关方法，以便分别确定两个不同的时间序列的相关值；‑根据所确定的相关值制订用于基于规则的异常识别方法的规则。

主权项：1.用于制订至少一个规则的方法，所述规则用于用来识别由数据包（P）构成的数据流中的异常的基于规则的异常识别方法，其中所述数据包（P）包括由一个或多个数据段（B）构成的数据区段（S），并且所述数据包（P）分配有时间戳和数据包类型（ID），所述方法具有如下步骤：-提供（S1）具有连续的参考时间点的参考时间信号；-对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说，分别确定（S2）相应数据段的连续值的时间序列，其中时间序列的值对应于所述相应数据段的值或者与这些值有关，其中所述相应数据段的值被分配给所述参考时间点中的相应的参考时间点；-执行（S3）相关方法，以便分别确定两个不同的时间序列的相关值；-根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。

全文数据：自动制订在数据流中基于规则的异常识别的规则的方法技术领域本发明涉及用于识别数据流中的异常数据的异常识别方法以及用于制订（Erstellen）用来识别数据流中的异常数据区段的规则的方法。背景技术在具有多个控制设备的系统中，可以通过网络、诸如串行现场总线在控制设备之间交换数据。这种现场总线的示例是CAN总线（CAN：ControllerAreaNetwork（控制器域网络））。CAN总线主要被用在机动车中并且能够实现从一个控制设备到一个或多个其它所连接的控制设备的包绑定的（paketgebunden）数据传输。在通过串行现场总线来传输数据时，在真实的运行中可能出现与正常行为的偏差，所述偏差被称作异常。这种偏差的原因可能是损坏的或失灵的子系统或控制设备，所述损坏的或失灵的子系统或控制设备提供有错误的数据或者不提供数据。此外，系统可能被外部源操纵，其中通过现场总线传输的数据包被操纵或者新的数据包被混进来。在按规定地工作的系统中，在通过总线系统相互连接的控制设备之间无错误地传送数据包，其中通常这些数据包一般由于特定的、不仅稳定的而且时间上的相关而彼此关联。对于车辆系统的运行安全性来说重要的是：及早地识别异常、尤其是与从外部对车辆系统的操纵相关联地出现的异常。为此，通过异常识别方法来监控数据通信。目前的异常识别方法经常是基于规则的。规则对应于对事件的定义，所述事件可以是可能的异常行为，并且规则由询问、检查和结论的列表组成，依据该列表，检查通过现场总线传输的数据流的数据段、数据包或者数据包的组。在此，这些规则从通信矩阵中被手动地推导出，使得不能归纳出规则系统的结构并且对于每个车辆类型来说都必须单独地进行。通常根据矩阵规范、也就是说基于提供信息的频率或所传送信息的类型来进行基于通信矩阵的规则制订。在这样制订的规则中，没有考虑或没有检测所传输的信息之间的物理关系。发明内容按照本发明，规定一种按照权利要求1所述的用于制订规则的方法，所述规则用于针对通过通信连接所传输的数据流的基于规则的异常识别方法，以及规定一种按照并列从属权利要求所述的异常识别方法和异常识别系统。其它的设计方案在从属权利要求中说明。按照第一方面，规定一种用于制订至少一个规则的方法，所述规则用于用来识别由数据包构成的数据流中的异常的基于规则的异常识别方法，其中所述数据包包括由一个或多个数据段构成的数据区段，并且所述数据包分配有时间戳和数据包类型，所述方法具有如下步骤：-提供具有连续的参考时间点的参考时间信号；-对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说，分别确定有关数据段的连续值的时间序列，其中时间序列的值对应于所述有关数据段的值或者与这些值有关，其中所述有关数据段的值被分配给所述参考时间点中的相应的参考时间点；-执行相关方法，以便分别确定两个不同的时间序列的相关值；-根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。上述用于制订规则的方法的思想在于：可以通过分析数据流片段自动地制订规则，其中所述规则用于基于规则的异常识别方法。为此，分析在数据包中的数据段的值之间的相关，使得可以找出相同的或不同的源的不同数据段之间的关联。以这种方式可以制订用于异常识别方法的规则，这些规则本身在存在通信矩阵时并不能从该通信矩阵中毫无困难地推导出。通过排列通信矩阵可以识别正相关以及负相关。从中可以自动化地制订规则。这扩展了制订用于异常识别方法的规则系统的可能性。在本发明的意义上，数据包的术语对应于数据序列，逻辑关系可以被分配给该数据序列。此外，通过具有所选择的相同数据包类型的连续的数据包的时间戳的时间点或者通过合成的时间向量、例如具有预先给定的频率的等距的时间向量，可以预先给定参考时间信号。按照一个实施方式，有关数据段的值可以被分配给所述参考时间点，其方式是：针对所述参考时间点中的每个参考时间点，从出现具有所述有关数据段的数据包的时间戳中选择具有时间参考的时间戳，尤其是最接近有关参考时间点的那个时间戳，并且来自所述数据包的有关时间段的值以所选择的时间戳被添加给所述时间序列。可以规定：通过插值方法，尤其是最近邻（NearestNeighbor）、线性混合近邻（LinearMixedNeighbor）、先前近邻（PreviousNeighbor）、保持形状的分段立方插值（Shape-PreservingPiecewiseCubicInterpolation），从所述有关数据段的值中确定所述时间序列的值。还可以借助于皮尔逊（Pearson）相关来确定相关值。按照一个实施方式，可以从所确定的相关值推导出用于异常识别的规则，其方式是：针对相关值处于特定区间中、尤其是具有大于预先给定的相关阈的数值的数据段来制订规则，其中所述规则规定：在时间上相继传送的数据包中的有关数据段的值的时间上的变化是同步的或者反向的。可以规定：从所确定的相关值推导出用于异常识别的规则，其方式是：针对多个数据流片段确定对于分别两个不同的数据段的相关值，其中规则规定：从不同的数据流片段中获得的相关值的变化处于特定区间中，尤其是在数值上低于预先给定的阈值。尤其是可以通过包含在数据包中的ID标志来确定数据包类型。可以规定：借助于（卷积（Convolutional））自动编码器（Autoencoder）、LSTM（长期短暂记忆（Longshort-termmemory））、生成式对抗网络（GenerativeAdversarialNetwork，GAN），生成至少一个规则。按照另一方面，规定一种用于异常识别的方法，其中根据一个或多个规则在异常方面检查数据流的数据包，其中这些规则中的至少一个规则利用上述方法来制订。按照另一方面，规定一种用于制订至少一个规则的设备，所述规则用于用来识别由数据包构成的数据流中的异常的基于规则的异常识别方法，其中所述数据包包括由一个或多个数据段构成的数据区段，并且所述数据包分配有时间戳和数据包类型，其中所述设备被构造为：-提供具有连续的参考时间点的参考时间信号；-对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说，分别确定有关数据段的连续值的时间序列，其中时间序列的值对应于所述有关数据段的值或者与这些值有关，其中所述有关数据段的值被分配给所述参考时间点中的相应的参考时间点；-执行相关方法，以便分别确定两个不同的时间序列的相关值；-根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。按照另一方面，规定一种用于异常识别的设备，该设备构造为：根据一个或多个规则在异常方面检查数据流的数据包，其中这些规则中的至少一个规则用上述方法来制订。附图说明随后，依据随附的附图进一步阐述实施方式。其中：图1示出了具有多个控制设备的系统的示意图，这些控制设备通过通信总线相互连接；图2示出了阐明用于制订规则的方法的流程图，所述规则用于基于自动制订的规则的异常识别方法；图3示出了数据流片段的示例；图4示出了根据参考ID标志所选择的数据包的示例；图5示出了用于阐明制订通信矩阵的做法的图示；以及图6示出了相关矩阵的图示。具体实施方式图1示出了具有多个控制设备2的总系统1的示意图，这些控制设备通过通信总线3（通信连接）来相互连接。通信总线3可对应于现场总线或其它数据总线，诸如CAN总线（机动车中的现场总线）。通过通信总线3可以传输数据流，该数据流由在逻辑上分成连续的数据包的数据的序列组成。在此，数据包从控制设备2之一传输到控制设备2中的至少一个其它的控制设备。异常识别系统4与通信总线3连接，该异常识别系统4可以单独地来构造或者构造为这些控制设备2之一的部分。该异常识别系统4监视（mitlesen）通过通信总线3传输的数据并且基于预先给定的规则来实施异常识别。经由通信总线3传输的数据包P通过时间戳（也就是说有关数据包P被发送的时间点）、数据包类型和数据区段S来限定，或经由通信总线3传输的数据包P包含所述时间戳、数据包类型和数据区段S，所述数据包类型在当前的实施例中被作为ID标志来说明，利用该ID标志来表征数据包的源或目的地。数据区段S可以分别包含一个或多个数据段B，所述数据段对应于要传输的信息。这些数据段B可以分别包括单个比特、比特的组、一个或多个字节。实施基于规则的异常识别方法，其方式是关于这些数据段B中的每一个数据段来检查一个或多个通过相对应的规则来预先给定的异常条件。如果满足至少一个异常条件，则假定数据包不正常、也就是说数据包异常。到目前为止的用于异常识别的规则例如是对特定ID标志的数据包的询问，使得数据区段S的数据段B的值域被限定。如果例如数据段B的值在预先确定的范围之外，则识别出异常。规则也可以是基于时间的，其中例如特定数据包类型或特定ID标志必须在预先确定的时间段之内出现至少一次，否则同样识别出异常。如果不满足异常条件，则假定数据包P不是引人注意的、也就是说正常。为了制订或扩展用于异常识别的规则，此外实施随后的方法，该方法在图2中以流程图的形式来阐明。该方法基于数据流的片段（如其在图3中示例性地示出的那样），该片段具有多个数据包P，这些数据包P具有不同的ID标志ID。在步骤S1中，预先给定或确定参考时间信号t，该参考时间信号t限定对数据包P的检查应该涉及的时间点。为了确定参考时间信号t，可以选择参考ID，该参考ID尤其是具有ID标志ID的数据包，该数据包在控制设备2之间的通信中起到中心作用。现在，从数据流片段中提取具有该参考ID标志的所有数据包P，如在图4中示出的那样。这些数据包的时间戳t1,…,tn是参考时间信号t=t1,…,tn。此外，该参考时间信号t也可以与预先给定的参考ID标志无关地来提供，例如通过具有预先给定的频率的等距的时间向量来提供。在随后的步骤S2中，建立矩阵M，如在图5中阐明的那样。列对应于参考时间信号t的时间点t1,…,tn。此外，为了为一个或多个所选择的ID标志ID或者所有ID标志ID1…h（具有数目h个所观察的ID标志）建立矩阵M，分别提取所属的时间信号s=s1,…,Sm，该时间信号说明了出现配备有相应ID标志的数据包的时间戳。随后，对于参考时间信号的每个参考时间点ti=1…n来说，现在针对所选择的ID标志ID中的每个ID标志，从属于该ID标志的时间信号s中选择时间点sk。这例如可以这样实现，使得在每个参考时间点ti=1…n选择如下时间点sk，该时间点sk最接近有关的参考时间点，即通过来确定。为了找出时间比较信号，除了上面提到的关系之外，也可以考虑一个或多个附加条件，诸如数据包的时间戳的时间点应该在时间上在参考时间点之后。现在，对于每个数据段B1…z来说，考虑所选择的ID标志ID1…h的数据包P中的每个数据包作为矩阵M中的单独的行。为此，将数据段的被分配给相应的参考时间点ti=1…n（列）的值插入到被分配给相应的参考时间点ti=1…n的列中。以这种方式建立矩阵M，该矩阵包含所选择的ID标志ID1…n中的每个ID标志的各个数据段B1…z的值，所述ID标志ID1…n被分配给连续的时间点ti=1…n。替代这些值，也可以包含说明，所述说明通过对这些值的计算准则来确定。在此，尤其是可以使用不同的插值方法，诸如最近邻、线性混合近邻、先前近邻、保持形状的分段立方插值以及诸如此类的。当然可能的是以其它方式来建立矩阵。例如，行的顺序没有单独的关联或者矩阵也可能会行和列交换地来形成。如果制订矩阵M，则在步骤S3中可以计算相关矩阵K。这例如可以借助于皮尔逊相关来执行。根据皮尔逊的相关系数是对两个参量之间的线性相关的强度的度量。在相关矩阵M的不同行Za、Zb之间的皮尔逊相关系数kZa,Zb可以依据下列公式来计算：也可以应用其它方法来确定时间行的相关系数，诸如根据斯皮尔曼（Spearman）的秩相关系数。相关矩阵K的录入项kZa,Zb说明数据段B的不同行彼此相关得有多强。相关系数的值接近1表明大的正相关，值接近-1表明强的负相关。相关系数的值为0说明相同或不同数据包P的相对应的数据段B不相关。在图6中示出了示例性的相关矩阵K的图形可视化，其中不同的阴影线对应于不同的相关系数。在步骤S4中，可以从相关矩阵中推导出用于异常识别的规则。这样，例如可以使用预先给定的阈值δ+和δ-，使得只考虑相关系数大于1-δ+或小于-1+δ-的相关用于规则生成。由此例如可以推导出规则，该规则可具有如下形式：“如果ID标志IDw的第x个数据段的值增加，则ID标志Idv的第y个字节的值也增加”。这对应于强正相关的数据段的示例。还可以建立如下规则，这些规则至少在限定的公差范围中检查相关系数的遵循。为此，例如可以限定时间窗T，在该时间窗T中，检测来自经由通信总线3的通信的数据片段，并且如上面描述的那样建立相对应的矩阵，该矩阵基于相对应的参考时间信号tT。对于，可以如上面描述的那样来确定相对应的相关矩阵KT。现在，可以在相关值k的偏差方面检查相关矩阵。如果不存在所限定的公差之外的偏差，则可以定义基于两个不同的数据段之间的相关值的规则。也就是说，在具有不同的ID标志的数据区段的两个数据段之间的相关变化显著时，确定有异常。可替换地，可以迭代地限定时间窗T1,T2,T3,...，并且可以计算所属的相关矩阵。在正常情况下假设：相关系数的变化小于预先给定的公差数值。通过找出相关系数中的超过公差数值的相关系数的变化，在相关矩阵之间的连续比较中也可以寻找相关值中的突变，以便找出异常。除了制订用于基于规则的异常识别的新规则之外，还可以借助于卷积神经网络（ConvolutionalNeuralNet）将相关矩阵用作为对于异常识别的预处理。这样，用于数据流片段的多个相关矩阵KW1...c可以在不同的时间窗W1...c中被用于训练卷积神经网络，其中所属的矩阵被解释为“图像”。可以将不同的已知方法用于异常识别。然后，从这些方法中又可以推导出如下形式的规则（诸如在自动编码器中那样）：“如果重建误差大于预先给定的阈，则用信号通知有异常”。因此，这些规则不是直接从相关矩阵中推导出，而是间接地从被调整的方法中推导出。-利用（卷积）自动编码器的异常识别：自动编码器具有与输入和输出参量相同的量纲（Dimension）。在对自动编码器进行训练时，作为优化目标使重建误差最小化。如果根据标准数据对系统进行训练，则假设：标准数据可以良好地被重建，也即具有小的重建误差，而异常只能差地被重建并且因此具有大的重建误差。如果重建误差在输入时超过低于所限定的阈，则识别出异常。因此，在根据一个或多个相关矩阵所训练的自动编码器中，可以依据重建误差来确定异常。相对应的规则因此可以集中于相关矩阵的重建误差的阈值比较。-利用LSTM（长期短暂记忆）的异常识别：LSTM在训练中考虑时间相关性。在训练中，这些LSTM例如可以被调节以关于数据流片段预测随后的序列。如果根据标准数据对这种系统进行训练，则假设：该系统对于标准数据来说良好地预测随后的序列并且对于异常数据来说只做出差的预测。如果所预测的序列与真实数据的偏差大于小于预先给定的阈，则这被识别为异常。-借助于生成式对抗网络（GAN）的异常识别：GAN可以被用于根据未被监控的学习问题（只展示标准数据）制订受监控的学习问题，其方式是通过巧妙地选择所要优化的成本函数，GAN的生成器被调节为产生异常。同时，在可以将标准数据与这些异常区别开方面来对鉴别器进行训练。如果足够长地对该系统进行训练，则鉴别器由此能够将异常数据与真实数据区别开。例如，说明出现异常的概率来作为鉴别器的输出。然后，在训练状态下，例如可以借助于阈值比较将鉴别器用作异常识别系统。

权利要求：1.用于制订至少一个规则的方法，所述规则用于用来识别由数据包（P）构成的数据流中的异常的基于规则的异常识别方法，其中所述数据包（P）包括由一个或多个数据段（B）构成的数据区段（S），并且所述数据包（P）分配有时间戳和数据包类型（ID），所述方法具有如下步骤：-提供（S1）具有连续的参考时间点的参考时间信号；-对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说，分别确定（S2）有关数据段的连续值的时间序列，其中时间序列的值对应于所述有关数据段的值或者与这些值有关，其中所述有关数据段的值被分配给所述参考时间点中的相应的参考时间点；-执行（S3）相关方法，以便分别确定两个不同的时间序列的相关值；-根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。2.根据权利要求1所述的方法，其中通过具有所选择的数据包类型（ID）的连续的数据包（P）的时间戳的时间点或者通过具有预先给定的频率的等距的时间向量的时间点来预先给定所述参考时间信号。3.根据权利要求1或2所述的方法，其中所述有关数据段（B）的值被分配给所述参考时间点，其方式是：针对所述参考时间点中的每个参考时间点，从出现具有所述有关数据段（B）的数据包（P）的时间戳中选择具有时间参考的时间戳，尤其是最接近有关参考时间点的那个时间戳，并且来自所述数据包（P）的有关时间段（B）的值以所选择的时间戳被添加给所述时间序列。4.根据权利要求1至3中任一项所述的方法，其中通过插值方法，尤其是最近邻、线性混合近邻、先前近邻、保持形状的分段立方插值，从所述有关数据段（B）的值中确定所述时间序列的值。5.根据权利要求1至4中任一项所述的方法，其中借助于皮尔逊相关来确定所述相关值。6.根据权利要求1至5中任一项所述的方法，其中从所确定的相关值推导出用于异常识别的至少一个规则，其方式是：针对相关值处于特定区间中、尤其是具有大于预先给定的相关阈的数值的数据段来制订规则，其中所述规则规定：在时间上相继传送的数据包（P）中的有关数据段（B）的值的时间上的变化是同步的或者反向的。7.根据权利要求1至6中任一项所述的方法，其中从所确定的相关值推导出用于异常识别的至少一个规则，其方式是：针对多个数据流片段确定对于分别两个不同的数据段（B）的相关值，其中规则规定：从不同的数据流片段中获得的相关值的变化处于特定区间中，尤其是在数值上低于预先给定的阈值。8.根据权利要求1至7中任一项所述的方法，其中所述数据包类型（ID）通过包含在所述数据包（P）中的ID标志来确定。9.根据权利要求1至8中任一项所述的方法，其中借助于（卷积）自动编码器、LSTM（长期短暂记忆）、生成式对抗网络（GAN）生成所述至少一个规则。10.用于异常识别的方法，其中根据一个或多个规则在异常方面检查数据流的数据包，其中所述规则中的至少一个规则利用根据权利要求1至9中任一项所述的方法来制订。11.用于制订至少一个规则的设备，所述规则用于用来识别由数据包构成的数据流中的异常的基于规则的异常识别方法，其中所述数据包包括由一个或多个数据段构成的数据区段，并且所述数据包分配有时间戳和数据包类型，其中所述设备被构造为：-提供具有连续的参考时间点的参考时间信号；-对于在一个数据流片段中由一个或多个通过所选择的数据包类型确定的数据包构成的至少两个数据段来说，分别确定有关数据段的连续值的时间序列，其中时间序列的值对应于所述有关数据段的值或者与这些值有关，其中所述有关数据段的值被分配给所述参考时间点中的相应的参考时间点；-执行相关方法，以便分别确定两个不同的时间序列的相关值；-根据所确定的相关值制订用于基于规则的异常识别方法的至少一个规则。12.用于异常识别的设备，所述设备被构造为：根据一个或多个规则在异常方面检查数据流的数据包，其中所述规则中的至少一个规则利用根据权利要求1至9中任一项所述的方法来制订。13.计算机程序，所述计算机程序被设立为实施根据权利要求1至10中任一项所述的方法的所有步骤。14.电子存储介质，在其上存储有根据权利要求13所述的计算机程序。

百度查询： 罗伯特·博世有限公司 自动制订在数据流中基于规则的异常识别的规则的方法