识别网络通信行为偏差的方法及智能交换机、装置和系统.pdf

《识别网络通信行为偏差的方法及智能交换机、装置和系统.pdf》由会员分享，可在线阅读，更多相关《识别网络通信行为偏差的方法及智能交换机、装置和系统.pdf（19页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201911214063.6 (22)申请日 2019.12.02 (30)优先权数据 18209769.1 2018.12.03 EP (71)申请人 西门子股份公司 地址 德国慕尼黑 (72)发明人 延斯马库特于尔根席默尔 (74)专利代理机构 北京康信知识产权代理有限 责任公司 11240 代理人 陈方鸣 (51)Int.Cl. H04L 29/06(2006.01) H04L 12/26(2006.01) G06N 3/06(2006.01) G06N 3/08(2006。

2、.01) (54)发明名称 识别网络通信行为偏差的方法及智能交换 机、 装置和系统 (57)摘要 本发明涉及用于识别网络通信行为偏差的 方法及智能交换机、 装置和系统。 特别地， 使用网 络的通信行为的模型关于网络的安全行为来监 测和评估通信的特征。 对于通过网络的交换机进 行的每个通信， 借助于通信行为的模型， 从相应 通信的通信元数据中导出至多三个安全值。 对于 每个通信， 检查相应的至多三个安全值是否满足 相应的预定阈值。 在安全值中的至少一者不满足 相应的预定阈值的情况下， 生成安全警告。 权利要求书3页 说明书11页 附图4页 CN 111262826 A 2020.06.09 CN。

3、 111262826 A 1.一种识别网络(21)的通信行为中的偏差的方法， 包括以下步骤： 收集(1)在所述网络(21)的交换机(11、 28)中的通信元数据， 其中， 所述通信元数据包 括关于在所述交换机(11、 28)上的每个通信的特征的数据； 借助于所述网络(21)的通信行为的模型(14)， 针对所述交换机(11、 28)上的每个通信， 从各个通信的通信元数据中导出(2)两个安全值或三个安全值， 其中， 所述两个安全值或三 个安全值在二维2D域或三维3D域中定义各个通信的安全点； 基于阈值， 拉伸(5)所述2D域中的2D包络或所述3D域中的3D包络， 所述包络定义相应安 全点都满足所有。

4、相应阈值的、 所述2D域中的区域或所述3D域中的空间； 针对每个通信， 检查(3)是否相应的至多三个安全值满足相应的预定阈值， 其中， 针对 每个通信检查所述安全点是否位于所述包络之内、 或位于所述包络之内和之上、 或位于所 述包络之内和之上且在与所述包络间隔预定距离内； 以及 在所述安全值中的至少一者不满足相应的预定阈值的情况下， 生成(4)安全警告。 2.根据权利要求1所述的方法， 还包括以下步骤： 在显示器上显示(6)所述安全点和所 述包络。 3.根据前述权利要求中任一项所述的方法， 其中， 在生成(4)的步骤中， 在所述安全值 中的至少一者在预定义数量的通信和/或预定义持续时间内不满足。

5、相应的预定阈值的情况 下， 生成所述安全警告。 4.根据前述权利要求中任一项所述的方法， 其中， 在导出(2)的步骤中， 利用数据清理 功能对所述通信元数据进行预处理， 所述数据清理功能确定所述通信元数据的有效数据， 并且其中， 仅将确定的有效数据提供给所述通信行为的模型(14)， 用于导出至多三个安全 变量。 5.根据前述权利要求中任一项所述的方法， 其中， 通过前向特征选择算法和/或后向特 征选择算法从训练通信元数据中导出所述通信行为的模型(14)， 用于仅考虑通信元数据的 安全相关数据来导出描述所述交换机(11、 28)上的通信的至多三个安全值。 6.根据权利要求5所述的方法， 其中， 。

6、所述前向特征选择算法和/或所述后向特征选择 算法为支持向量机、 鲁棒协方差或隔离森林算法。 7.根据权利要求1至4中任一项所述的方法， 其中， 所述通信行为的模型(14)基于人工 神经元网络ANN， 所述ANN用训练通信元数据进行训练， 用于仅考虑通信元数据的安全相关 数据来导出描述所述交换机(11、 28)上的通信的至多三个安全值。 8.根据权利要求1至4中任一项所述的方法， 其中， 通过分析算法从训练通信元数据中 导出所述通信行为的模型(14)， 用于仅考虑通信元数据的安全相关数据来导出描述所述交 换机(11、 28)上的通信的至多三个安全值。 9.根据权利要求5至8中任一项所述的方法， 。

7、其中， 利用数据清理功能对所述训练通信 元数据进行预处理， 所述数据清理功能确定所述训练通信元数据的有效训练数据， 以及其 中， 仅将确定的有效训练数据用于导出所述通信行为的模型(14)。 10.根据权利要求5至9中任一项所述的方法， 其中， 所述通信行为的模型(14)从常规工 作的网络(21)中的通信的训练通信元数据中导出。 11.根据权利要求5至10中任一项所述的方法， 其中， 所述通信行为的模型(14)从网络 (21)中与所述网络(21)上已知攻击相关的通信的训练通信元数据中导出。 权利要求书 1/3 页 2 CN 111262826 A 2 12.根据权利要求5至11中任一项所述的方法。

8、， 其中， 所述通信行为的模型(14)从实际 存在和/或当前运行的网络(21)中的通信的训练通信元数据中导出。 13.根据权利要求5至12中任一项所述的方法， 其中， 所述通信行为的模型(14)从所述 网络(21)的数字孪生中的通信的训练通信元数据中导出。 14.一种用于识别网络(21)的通信行为中的偏差的智能交换机(11)， 其被布置并配置 用于实现和执行根据权利要求1所述的方法， 所述智能交换机包括： 元数据模块(13)， 其被布置并配置为收集(1)所述智能交换机(11)中的通信元数据， 其 中， 所述通信元数据包括关于所述智能交换机(11)上的每个通信的特征的数据； 所述网络(21)的通。

9、信行为的模型(14)， 其可通信地耦合到所述元数据模块(13)， 并且 被布置并配置为针对所述智能交换机(11)上的每个通信， 从各个通信的通信元数据中导出 (2)两个安全值或三个安全值， 其中， 所述两个安全值或三个安全值在二维2D域或三维3D域 中定义各个通信的安全点； 以及 安全模块(15)， 其可通信地耦合到所述通信行为的模型(14)， 并且被布置并配置为基 于阈值， 伸展(5)所述2D域中的2D包络或所述3D域中的3D包络， 所述包络定义相应安全点都 满足所有相应阈值的、 所述2D域中的区域或所述3D域中的空间， 用于针对每个通信， 检查 (3)相应的至多三个安全值是否满足相应的预定。

10、阈值， 其中， 对于每个通信， 检查所述安全 点是否位于所述包络之内、 或位于所述包络之内和之上、 或位于所述包络之内和之上且在 与所述包络间隔预定距离内， 并用于在所述安全值的至少一者不满足相应的预定阈值的情 况下， 生成(4)安全警告。 15.根据权利要求14所述的智能交换机(11)， 其中， 所述智能交换机(11)被布置并配置 为用于实施和执行根据权利要求2至13中任一项所述的方法。 16.一种用于识别网络(21)的通信行为中的偏差的装置(12)， 其被布置并配置用于实 现和执行根据权利要求1所述的方法， 并且可通信地连接到所述网络(21)的交换机(28)， 所 述装置包括： 所述网络(。

11、21)的通信行为的模型(14)， 其被布置并配置用于针对所述交换机(28)上的 每个通信， 从由所述交换机(28)获取的相应通信的通信元数据中导出(2)两个安全值或三 个安全值， 其中， 所述通信元数据包括关于所述交换机(28)上的每个通信的特征的数据， 其 中， 所述两个安全值或三个安全值在二维2D域或三维3D域中定义相应通信的安全点； 以及 安全模块(15)， 其可通信地耦合到所述通信行为的模型(14)， 并且被布置并配置为基 于阈值， 伸展(5)所述2D域中的2D包络或所述3D域中的3D包络， 所述包络定义相应安全点都 满足所有相应阈值的、 所述2D域中的区域或所述3D域中的空间， 用于。

12、针对每个通信， 检查 (3)相应的至多三个安全值是否满足相应的预定阈值， 其中， 对于每个通信， 检查所述安全 点是否位于所述包络之内、 或位于所述包络之内和之上、 或位于所述包络之内和之上且在 与所述包络间隔预定距离之内， 并用于在所述安全值的至少一者不满足相应的预定阈值的 情况下， 生成(4)安全警告。 17.根据权利要求16所述的装置(12)， 其中， 所述装置(12)被布置并配置为用于实施和 执行根据权利要求2至13中任一项所述的方法。 18.根据权利要求16或17所述的装置(12)， 其中， 所述装置(12)为可耦合至所述交换机 (28)的边缘装置。 权利要求书 2/3 页 3 CN。

13、 111262826 A 3 19.一种被布置并配置用于识别网络(21)的通信行为中的偏差的系统(20)， 包括： 网络(21)； 通过所述网络(21)通信连接的至少两个网络单元(22.1、 22.2)； 以及 根据权利要求14或15所述的智能交换机(11)； 或 常规交换机(28)和根据权利要求16至18中任一项所述的装置(12)， 所述装置通信地连 接或耦合到所述常规交换机(28)， 其中， 所述智能交换机(11)或常规交换机(28)位于所述网络(21)中的所述至少两个网 络单元(22.1、 22.2)的中心连接点处。 权利要求书 3/3 页 4 CN 111262826 A 4 识别网络。

14、通信行为偏差的方法及智能交换机、 装置和系统 技术领域 0001 本发明涉及一种用于识别网络的通信行为中的偏差的方法以及智能交换机、 装置 和系统。 特别地， 使用网络的通信行为的模型关于网络的安全行为来监测和评估通信的特 征。 背景技术 0002 自动化技术曾经具有简单的结构。 自动化单元的控制器控制自动化单元的功能单 元。 在较大的自动化站点中， 多个自动化单元通过工业网络相互通信连接。 然而， 如今， 大多 数自动化单元(从智能家居中的简单家用电器到工业制造工厂)都不是孤立的， 而是横向连 接到其他实体， 尤其是通过互联网。 在数字化不断发展的过程中， 尤其是在物联网(IoT)趋 势中，。

15、 几乎每个最新的自动化单元都可连接到互联网。 随着信息技术(IT)世界和自动化 (AT)世界之间通过互联网的相互联系日益增多， 以前IT世界特有的问题也在AT世界中产生 越来越大的影响。 尤其是， 一旦自动化单元不再关闭而是连接到互联网并因此受到来自外 部的攻击时， 安全问题就变得与自动化单元相关。 0003 所述的安全问题是多种多样的。 在大多数情况下， 恶意软件(例如， 像Stuxnet这样 的计算机蠕虫)被引入到像互联网的网络中以对网络的端点(例如自动化单元)执行操纵。 但是， 还引入了用于从端点(自动化单元等)获取技术情报(工艺、 方法、 配方、 生产的特征因 素， 例如批量、 产量、。

16、 效率等)的间谍软件。 此外， 用于阻止或延迟通信的 “拒绝服务” 攻击被 用于损害例如自动化单元或单元中的生产。 0004 已知的对策是使用防病毒软件， 在端点上加固装置并控制终端端口。 防病毒软件 基于已知的病毒模式分析软件的签名或监测程序的行为。 为了控制网关， 使用了防火墙、 flite、 代理等， 尤其是与某些网络体系结构结合使用， 以避免一次感染具有多个端点的大 型网络。 0005 然而， 每个已知的对策要么特定于安全问题的类型， 要么确实需要关于恶意软件/ 间谍软件(签名)的信息， 以能够保护端点和/或网络。 发明内容 0006 本发明的目的是通过提供根据本发明的方法以及根据本发。

17、明的交换机、 装置和系 统来克服或至少减轻这些问题。 0007 根据本发明的第一方面， 一种识别网络(特别是自动化网络)的通信行为中的偏差 的方法， 包括以下步骤： 0008 -收集在网络的交换机中的通信元数据， 其中， 通信元数据包括关于交换机上的每 个通信的特征的数据。 0009 -借助于网络的通信行为的模型， 针对交换机上的每个通信， 从各个通信的通信元 数据中导出至多三个安全值。 0010 -对于每个通信， 检查是否相应的至多三个安全值满足相应的预定阈值。 说明书 1/11 页 5 CN 111262826 A 5 0011 -在安全值中的至少一者不满足相应的预定阈值的情况下， 生成安。

18、全警告。 0012 上述步骤的全部或部分可以并行执行。 0013 根据本发明的第二方面， 一种用于识别网络(尤其是自动化网络)的通信行为中的 偏差的智能交换机被布置并配置为用于实施和执行根据本发明的第一方面的方法。 智能交 换机包括元数据模块、 网络的通信行为的模型和安全模块。 元数据模块被布置并配置为收 集智能交换机中的通信元数据。 通信元数据包括关于智能交换机上的每个通信的特征的数 据。 通信行为的模型可通信地耦合到元数据模块。 通信行为的模型被布置并配置为用于针 对智能交换机上的每个通信从相应通信的通信元数据中导出至多三个安全值。 安全模块通 信地耦合到通信行为的模型。 安全模块被布置并。

19、配置为用于针对每个通信检查是否相应的 至多三个安全值满足相应的预定阈值。 安全模块还被布置并配置为在安全值中的至少一者 不满足相应的预定阈值的情况下生成安全警告。 0014 根据本发明的第三方面， 一种用于识别网络(尤其是自动化网络)的通信行为中的 偏差的装置被布置并配置为用于实施和执行根据本发明的第一方面的方法。 该装置可通信 地连接到网络的交换机。 该装置包括网络通信行为的模型和安全模块。 通信行为的模型被 布置并配置为用于针对交换机上的每个通信从由交换机获取的相应通信的通信元数据中 导出至多三个安全值。 通信元数据包括关于交换机上每个通信的特征的数据。 安全模块通 信地耦合到通信行为的模。

20、型。 安全模块被布置并配置为用于针对每个通信检查是否相应的 至多三个安全值满足相应的预定阈值。 安全模块还被布置并配置为在安全值中的至少一者 不满足相应的预定阈值的情况下生成安全警告。 0015 根据本发明的第四方面， 网络(特别是自动化网络)被布置并配置用于识别网络的 通信行为中的偏差。 该网络包括至少两个网络单元、 根据本发明的第二方面的智能交换机 或常规交换机以及根据本发明的第三方面的装置。 至少两个网络单元通过网络通信地连 接。 根据本发明的第三方面的装置可通信地连接或耦合至常规交换机。 根据本发明的第二 方面的智能交换机或常规交换机位于网络中至少两个网络单元的中心连接点。 0016 。

21、本发明尤其适用于用于自动化单元的工业网络(自动化网络)。 该网络可具有环形 拓扑或星形拓扑。 0017 在本发明的上下文中， 术语 “可通信地连接” 是指网络的两个实体能够直接地或者 通过网络中的一个或多个其他实体(例如， 交换机)彼此通信。 在本发明的上下文中(通信 地)耦合是指网络的两个实体能够通过直接连接(在它们之间没有任何其他实体)直接彼此 通信。 0018 在本发明的上下文中， 通信是至少一个消息从发送方到接收方的传输(发送和接 收)。 特别地， 在基于包的或分组交换网络中， 以至少一个包的形式实现至少一个消息的发 送和接收(传输)， 该至少一个包包括作为数据的至少一个消息的至少一部。

22、分并且可选地包 括报头和/或脚注或其他任何元数据。 0019 优选地， 从其获取元数据的各个(智能)交换机位于网络的中心连接点。 中心连接 点可以为网络中网络的所有实体(例如， 网络单元或其他单元)之间的所有连接在一起的 点， 使得网络中的所有通信都在该一个连接点上进行， 并因此在相应的(智能)交换机上进 行。 在那种情况下， 所有数据在从发送方到接收方的途中(例如， 从一个网络单元到另一个 网络单元)穿越相应的(智能)交换机。 说明书 2/11 页 6 CN 111262826 A 6 0020 在本发明的上下文中， 通信元数据包括关于单个通信的特征的数据。 通信元数据 包含至少10个表征相。

23、应单个通信的值。 通信元数据的值可以包括延时、 传送速率、 波特率、 包的大小、 通信的持续时间、 滞后时间， 传输时间等。 特别地， 通信元数据可以包括以下值： 0021 -包数量， 其给出通信中发送的总包数的， 0022 -当前包计数pkts/s每秒包， 其给出了通信中每个时间单位(秒)发送的包的 当前计数， 0023 -平均包计数pkts/s， 其给出了通信中每个时间单位(秒)发送的平均包计数， 0024 -最小包计数pkts/s， 其给出了通信中每个时间单位(秒)发送的最小包计数， 0025 -最大包计数pkts/s， 其给出了通信中每个时间单位(秒)发送的最大包计数， 0026 -当。

24、前数据计数kbps每秒千比特， 其给出了通信中每个时间单位(秒)发送的 当前数据计数， 0027 -平均数据计数kbps， 其给出了通信中每个时间单位(秒)发送的平均数据计数， 0028 -最小数据计数kbps， 其给出了通信中每个时间单位(秒)发送的最小数据计数， 0029 -最大数据计数kbps， 其给出了通信中每个时间单位(秒)发送的最大数据计数， 0030 关于在其上运行或由其转发的通信来监测网络的(智能)交换机。 在(智能)交换机 中， 每个单个通信的通信元数据被收集和存储。 因此， (智能)交换机上的每个通信通过各个 通信的通信元数据所包括的像延时、 传输速率、 波特率、 包的大小。

25、、 通信的持续时间、 滞后时 间、 传输时间等的值来表征。 0031 (智能)交换机上的所有通信元数据都提供给网络的通信模型， 该模型基于通信元 数据导出至多三个安全值。 可以通过根据本发明的第三方面的装置或通信行为的模型从交 换机或者从智能交换机的元数据模块中获取通信元数据。 0032 网络的通信行为的模型可以从通信元数据中仅选择与网络安全评估相关或有助 于评估网络安全的值。 可以通过用相应的权重对值进行加权， 以增加或减少其对网络安全 评估的影响， 来实现所述的值的选择。 基于通信元数据的所有或选定/加权的值， 通信行为 的模型针对(智能)交换机上的每个通信导出至多三个安全值。 这些安全值。

26、类似于网络的当 前通信行为。 至多三个安全值仅考虑通信元数据的安全相关数据来描述交换机上的通信。 导出的至多三个安全值可基于从(智能)交换机上的通信导出的通信行为， 指示网络的当前 安全状态。 0033 将导出的至多三个安全值与相应的阈值进行比较。 可以定义上限和/或下限或多 个间隔， 每个间隔具有上限和下限以作为每个安全值的阈值。 可以在网络的通信行为的模 型的生成期间自动导出阈值。 0034 每当(智能)交换机上的通信或其导出安全值不符合阈值时， 都会生成安全警告。 安全警告可以在显示器上或通过扬声器(例如， 网络管理员)发布， 或作为消息(电子邮件、 通知、 SMS、 推送消息等)发送给。

27、用户。 用户可以基于安全警告来决定是否必须启动对策， 例 如封闭受影响的网络单元或整个网络。 此外， 安全警告也可以用于自动触发对策(例如， 封 闭受影响的网络单元或整个网络)。 0035 本发明借助于受过训练的ANN使用对通信元数据的分析， 使得能够检测到通信中 与正常工作网络的通信的任何偏差。 因此， 基于对受监控(智能)交换机上网络中的通信的 作用和影响， 甚至可以检测到新的和未知的安全问题， 例如新的恶意软件或间谍软件。 说明书 3/11 页 7 CN 111262826 A 7 0036 根据本发明的改进， 在导出的步骤中针对每个通信导出两个安全值或三个安全 值。 两个安全值或三个安。

28、全值定义二维(2D)域或三维(3D)域中各个通信的安全点。 0037 通信行为的模型被布置并配置为从通信元数据中导出两个或三个安全值。 通过通 信行为的模型关于安全相关方面来分析表征(智能)交换机上每个通信的值， 并将其组合为 两个或三个安全值。 这两个安全值定义了2D安全点(例如， 在笛卡尔坐标中)。 这三个安全点 定义了3D安全点(例如， 在笛卡尔坐标中)。 0038 一方面， 导出两个或三个安全值会降低复杂性， 其中基于二个或三个安全值的2D 或3D安全点对于用户(人类)而言是更可想象和可理解的， 而多维的安全点则更好。 另一方 面， 元数据的值不会转换太多(转换为一个单安全值)， 从而。

29、就保留了来自原始通信元数据 的足够量的信息。 因此， 提供了网络的安全状态的可理解且精确的指示。 0039 根据本发明的改进， 该方法还包括以下步骤： 0040 -基于阈值， 伸展2D域中的2D包络或3D域中的3D包络。 0041 2D包络定义2D域中的阈值区域。 3D包络定义3D域中的阈值空间。 在阈值区域和阈 值空间中， 相应的安全点满足所有相应的阈值。 在检查的步骤中， 对于每个通信， 检查安全 点是否位于2D包络或3D包络之内， 或是位于2D包络或3D包络之内和之上， 或是位于2D包络 或3D包络之内和之上和与其预定距离内。 0042 伸展的步骤可以与其余步骤并行执行。 0043 2D。

30、/3D包络使得能够对(智能)交换机上的通信的2D/3D安全点进行简单的几何检 查， 而不必进行与两个或三个阈值的多次比较。 此外， 可以确定2D/3D安全点到2D/3D包络的 距离， 并将其用于相应通信的进一步安全分析(距离越大， 与正常通信行为的偏差越大， 这 可能是更严重的安全问题所导致)。 0044 根据本发明的改进， 该方法还包括以下步骤： 0045 -在显示器上显示安全点和包络。 0046 显示的步骤可以与其余步骤并行执行。 0047 通信的2D/3D安全点和相应的2D/3D包络被显示给用户。 显示器可以为监视器或打 印输出(例如从打印机)， 或者特别是对于3D安全点和3D包络而言，。

31、 可以为虚拟现实头戴设 备/3D-眼镜。 可以向用户显示所有通信的2D/3D安全点或仅最近通信的当前2D/3D安全点 (例如， 最近100个或最近1000个)。 0048 安全状态的这种图形表示对于人类用户而言是易于理解的， 使得基于所显示的安 全点在出现安全问题的情况下， 他们就可以快速决定适当的对策。 0049 根据本发明的改进， 在生成的步骤中， 在安全值中的至少一者在预定义数量的通 信和/或预定义持续时间内不满足相应预定阈值的情况下， 则生成安全警告。 0050 由于网络是一个动态系统， 在正常运行期间并非总是以相同的方式运行(因为来 自环境/噪声的影响)， 因此并非所有关于正常通信行。

32、为(所有安全值/点在相应阈值/包络 内)的偏离都是由于安全问题所造成。 因此， 仅当等于或大于预定义数量的通信量的安全 值/点偏离以阈值/包络为特征的正常通信行为时， 才会发出安全警告。 可替代地或附加地， 如果在预定义持续时间内的全部或部分通信偏离正常通信行为， 则发出安全警告。 因此， 仅 安全值中的一者可能不足以满足多次通信， 或者安全值的任一者也可能不足以满足多次通 信。 同样， 仅当一种特定的通信(例如， 从一个特定的发送方到一个特定的接收方)或通信的 说明书 4/11 页 8 CN 111262826 A 8 类型(例如， 从互联网传入的消息、 控制器发送的控制信号等)的行为不像正。

33、常的行为时， 可 发出安全警告。 0051 在一实施方式中， 安全值可能不足以连续多次满足或在预定义时间间隔内多次满 足或在每个不能满足的安全值之间具有预定义最大时间跨度多次满足。 0052 预定义数量的通信和/或预定义持续时间使得能够避免发出错误的安全警告。 0053 根据本发明的改进， 在导出的步骤中， 利用确定通信元数据的有效数据的数据清 理功能对通信元数据进行预处理。 仅将确定的有效数据提供给通信行为的模型， 用于导出 至多三个安全变量。 0054 在将通信元数据馈送到通信行为的模型之前， 可以执行先前数据的清理。 在数据 清理中， 错误、 不完整、 不合逻辑和/或意外的、 关于通信元。

34、数据的单个通信的特征的值被自 动清除。 因此， 仅考虑通信元数据的干净且因此有效的值(这些值包括关于在(智能)交换机 上的通信的有效信息)， 并且通过通信行为的模型将这些值用于导出至多三个安全值。 0055 数据清理功能确保基于安全值/点评估网络的当前通信行为， 这些安全值/点专门 从通信元数据的有效数据/值中导出。 因此， 提高了网络当前通信行为的可靠性。 0056 根据本发明的改进， 通过前向特征选择算法和/或后向特征选择算法从训练通信 元数据中导出通信行为的模型， 用于导出至多三个安全值。 至多三个安全值仅考虑通信元 数据的安全相关数据来描述交换机上的通信。 0057 训练通信元数据为来。

35、自网络通信的通信元数据， 该通信元数据被提供用来导出相 应网络的通信行为的模型。 前向特征选择算法和/或后向特征选择算法被用于从通信元数 据确定安全相关数据。 所使用的算法(前向/后向)可以为基于试错法的蛮力算法， 也可以为 基于优化函数的基于高斯的算法。 前向/后向特征选择算法可以借助于 “notebook” 方法(如 Jupiter Notebook或Apache Zeppelin Web应用)来支持。 0058 前向/后向选择算法提供了一种鲁棒模型， 该模型可被用于以最少的计算量来导 出至多三个安全值。 0059 根据本发明的改进， 前向特征选择算法和/或后向特征选择算法为支持向量机 (。

36、SVM)、 鲁棒协方差或隔离森林算法。 0060 SVM、 鲁棒协方差和隔离森林算法为用于导出通信行为的模型的鲁棒算法。 0061 根据本发明的进一步的改进， 通信行为的模型基于人工神经元网络(ANN)。 用训练 通信元数据对ANN进行训练， 用于导出至多三个安全值。 至多三个安全值仅考虑通信元数据 的安全相关数据来描述交换机上的通信。 0062 对ANN进行培训， 以便仅考虑与网络安全评估相关或有贡献的通信元数据的值。 这 可以通过调整ANN的权重来实现， 使得仅考虑通信元数据的所述相关数据/值来导出至多三 个安全值。 经训练的ANN甚至考虑了与网络安全相关或对网络安全有贡献的通信元数据的 。

37、多个值的复杂相关性。 0063 即使在具有复杂体系结构和许多相关性的网络中， ANN也提供可靠的安全值/点。 0064 根据本发明的进一步的改进， 通过分析算法从训练通信元数据中导出通信行为的 模型， 用于导出至多三个安全值。 该至多三个安全值仅考虑通信元数据的安全相关数据来 描述交换机上的通信。 0065 通过分析导出的通信行为的模型特别精确， 并且在导出至多三个安全值时也不需 说明书 5/11 页 9 CN 111262826 A 9 要大量计算。 0066 根据本发明的改进， 利用数据清理功能对训练通信元数据进行预处理， 该数据清 理功能确定训练通信元数据的有效训练数据。 仅将确定的有效。

38、训练数据用于导出通信行为 的模型。 0067 在处理训练通信元数据以生成通信行为的模型(特征选择算法或ANN或分析算法) 之前， 可以执行先前数据的清理。 在数据清理中， 错误的、 不完整的、 不合逻辑的和/或意外 的、 关于训练通信元数据的单个通信的特征的训练值被自动清除。 因此， 仅考虑训练通信元 数据的干净且因此有效的值(这些值包括关于(智能)交换机上的通信的有效信息)， 并且将 这些值用于导出通信行为的模型。 0068 数据清理功能确保网络的通信行为的模型基于训练通信元数据的有效训练数据/ 值。 因此， 提高了通信行为的模型的可靠性。 此外， 在通信行为的模型基于ANN的情况下， 使 。

39、用有效的训练数据/值进行的训练会因为考虑较少的训练值/数据， 从而使ANN的复杂性降 低。 0069 根据本发明的改进， 通信行为的模型从常规工作的网络中的通信的训练通信元数 据中导出。 0070 当网络处于正常工作状态时， 网络中的通信会在不存在安全问题的情况下提供关 于网络的常规通信行为的信息。 网络的常规通信的这些训练通信元数据(针对其导出通信 行为的模型)使得能够导出能够辨别具有相应网络的常规通信行为的常规工作状态与可能 由安全问题(间谍软件、 恶意软件等)引起的非常规工作状态的通信行为的模型(特征选择 算法/ANN/分析算法)。 特别地， 当基于在常规工作的网络中的通信的训练通信元数。

40、据来导 出模型时， 可以基于在常规工作网络中的常规通信行为来导出阈值。 因此， 可以基于相应的 常规工作网络中的通信的训练通信元数据来自动导出安全值的预定阈值。 0071 利用在常规工作的网络中的通信的训练通信元数据， 可以导出相应网络的通信行 为的鲁棒模型。 另外， 可以自动导出阈值。 0072 根据本发明的改进， 通信行为的模型从网络中与对该网络的已知攻击相关的通信 的训练通信元数据中导出。 0073 当网络受到已知攻击或已知安全问题(恶意软件、 间谍软件等)的攻击并因此处于 非常规工作状态下时， 网络中的通信提供关于网络的非常规通信行为的信息(当存在已知 安全问题时)。 这些网络的非常规。

41、通信的训练通信元数据(针对其导出通信行为的模型)使 得能够导出能够识别引起非常规工作状态的安全问题或安全问题类别的通信行为的模型 (特征选择算法/ANN/分析算法)。 此外， 当用网络中的通信的通信元数据训练ANN时(该通信 与对该网络的已知攻击(例如， 由恶意软件或间谍软件等引起的通信)相关)， 可以基于处于 已知安全问题攻击下的网络的行为进一步完善(限制/设限)安全值的阈值。 0074 因此， 导出的通信行为的模型能够直接识别引起相应网络的非常规通信行为的任 何已知安全问题(如果受到当前安全问题攻击的来自相应网络的通信元数据已被用于导出 经使用的通信行为的模型)。 另外， 阈值可以被自动完。

42、善。 0075 根据本发明的改进， 通信行为的模型从实际存在的和/或当前运行的网络中的通 信的训练通信元数据中导出。 0076 现有网络(例如， 具有通过工业网络连接的多个自动化单元的现有制造工厂)可以 说明书 6/11 页 10 CN 111262826 A 10 利用根据本发明的第二方面的智能交换机或利用根据本发明的第三方面的常规交换机和 装置进行扩展， 其中， 该智能交换机/装置包括现有网络的通信行为的模型， 仅在工作时该 模型才从现有网络中的通信的通信元数据读出来。 0077 因此， 可以扩展现有网络， 使它们能够认出通信行为中的偏差， 从而发现安全问 题， 而无需或仅需要最小限度的现。

43、有网络停机时间。 此外， 由此导出的通信行为的模型正好 适合于现有网络。 0078 根据本发明的改进， 通信行为的模型从网络的数字孪生中的通信的训练通信元数 据中导出。 0079 可以基于在网络的数字孪生(数字模型)中模拟的通信导出网络的通信行为的模 型。 在仅对网络的相关实体(并非全部)进行建模的数字孪生中， 使用模拟(常规和/或非常 规)通信的通信元数据来导出真实网络的通信行为的模型。 0080 例如， 在布置自动化单元或制造工厂之后并且在建立自动化单元/制造工厂(甚至 在真实世界中建立真实的自动化单元/制造工厂之前)并将其连接到互联网之前， 可以生成 (尚不存在的)真实网络的通信行为的模。

44、型。 因此， 一旦使用了自动化单元/制造工厂的相应 真实网络， 就可以借助于根据本发明的任何方面来观察安全性。 因此， 在自动化单元/制造 工厂的设置与启动之间不存在安全漏洞。 0081 根据本发明的改进， 根据本发明的第三方面的装置为可联接至交换机的边缘装 置。 0082 即使在运行期间， 也可以对边缘装置(例如单独的计算机)进行改造， 并将其连接 到现有网络的现有交换机。 因此， 根据本发明的第二方面， 现有的交换机不必被智能交换机 替换。 此外， 单独的边缘装置具有用于运行ANN的足够计算能力， 从而不会由于附加计算任 务而使现有交换机过载。 0083 随后通过在附图中示出的示例性实施方。

45、式进一步详细地说明本发明及其技术领 域。 该示例性实施方式仅有助于更好地理解本发明， 并且在任何情况下均不应解释为对本 发明范围的限制。 特别地， 如果没有明确地进行不同描述的话， 有可能提取附图中描述的主 题的各方面， 并将其与本说明书或附图中的其他部件和发现相结合。 相同的附图标记指代 相同的对象， 从而可以补充地使用来自其他附图的说明。 附图说明 0084 图1示出了根据本发明第一方面的方法的示意性流程图。 0085 图2示出了包括根据本发明第四方面的网络的系统的示意图， 该网络具有根据本 发明第二方面的智能交换机。 0086 图3示出了包括根据本发明第四方面的网络的系统的示意图， 该网。

46、络具有常规交 换机和根据本发明第二方面的装置的实施方式。 0087 图4示出了包括根据本发明第四方面的网络的系统的示意图， 该网络具有常规交 换机和根据本发明第三方面的装置的另一实施方式。 0088 图5示出了包括根据本发明第四方面的网络的系统的示意图， 该网络具有常规交 换机和根据本发明第三方面的装置的又一实施方式。 0089 图6示出了根据本发明第二方面的智能交换机的示意图。 说明书 7/11 页 11 CN 111262826 A 11 0090 图7示出了根据本发明第三方面的装置的示意图。 具体实施方式 0091 在图1中， 示意性地描绘了根据本发明第一方面的识别网络的通信行为中的偏差。

47、 的方法的流程图。 在收集1的步骤中， 收集通信元数据。 在导出2的步骤中， 导出三个安全值。 在检查3的步骤中， 检查安全值。 在生成4的步骤中， 生成安全警告。 此外， 在可选的伸展5的 步骤中， 基于阈值， 伸展三维(3D)包络， 并且在可选的显示6的步骤中， 显示3D安全点和3D包 络。 0092 收集1可为网络中的通信元数据的收集或从网络的交换机中获取通信元数据。 每 个通信包括从发送方向接收方发送至少一个消息， 在接收方处接收该消息以用于进一步处 理。 该消息可以通过至少一个包来发送， 其中该包包括消息的至少一部分的数据以及可选 地包括报头和/或脚注和/或其他元数据。 当在交换机上。

48、发送至少一个消息或包时， 生成通 信元数据。 通信元数据包括关于交换机上每个通信的特征的数据： 0093 -包数量， 其给出通信中发送的总包数量， 0094 -当前包计数pkts/s每秒包， 其给出了通信中每个时间单位(秒)发送的包的 当前计数， 0095 -平均包计数pkts/s， 其给出了通信中每个时间单位(秒)发送的平均包计数， 0096 -最小包计数pkts/s， 其给出了通信中每个时间单位(秒)发送的最小包计数， 0097 -最大包计数pkts/s， 其给出了通信中每个时间单位(秒)发送的最大包计数， 0098 -当前数据计数kbps每秒千比特， 其给出了通信中每个时间单位(秒)发送。

49、的 当前数据计数， 0099 -平均数据计数kbps， 其给出了通信中每个时间单位(秒)发送的平均数据计数， 0100 -最小数据计数kbps， 其给出了通信中每个时间单位(秒)发送的最小数据计数， 0101 -最大数据计数kbps， 其给出了通信中每个时间单位(秒)发送的最大数据计数。 0102 在针对交换机上的每个通信的导出2中， 从各个通信的通信元数据中导出三个安 全值。 各个通信的每组三个安全值在3D笛卡尔坐标中定义各个通信的安全点。 导出2借助于 网络的通信行为的模型来实现。 可以从网络中的交换机上的通信的训练通信元数据中导出 通信行为的模型。 在常规工作和/或受到已知安全问题的攻击。

50、并因此非常规地工作的情况 下， 在网络中或在网络的模拟数字孪生网络中收集训练通信元数据。 可以借助于前向特征 选择算法和/或后向特征选择算法(例如支持向量机、 鲁棒协方差或隔离森林算法)来导出 该模型， 用于仅考虑通信元数据的安全相关数据来导出描述交换机上的通信的至多三个安 全值。 可替代地， 可以借助于分析算法来导出模型， 用于仅考虑通信元数据的安全有关数据 来导出描述交换机上的通信的至多三个安全值。 进一步可替代地， 该模型可以基于人工神 经元网络(ANN)， 该人工神经元网络用训练通信元数据进行训练， 用于仅考虑通信元数据的 安全相关数据来导出描述交换机上的通信的至多三个安全值。 010。