Результат интеллектуальной деятельности: Способ обнаружения скрытых взаимосвязей в Интернете Вещей

Изобретение относится к области компьютерных систем, а именно к Интернету Вещей и обеспечению безопасности в Интернете Вещей.

Известен способ интеллектуального анализа данных и система для разработки Интернетвещей (устройств для Интернета Вещей), в котором способ интеллектуального анализа данных содержит следующие этапы - сбор данных, определение типа данных; управление данными; импорт данных; экспорт данных; извлечение данных; сжатие данных; обработка событий, объединение данных и их анализ, обеспечение вывода данных; предоставление услуг; один или несколько сервисов классификации, прогнозирования, кластеризации, корреляционного анализа и определение типов данных. Система интеллектуального анализа данных включает в себя блок сбора данных (CN 104361060, G06F 17/30).

Недостатком этого способа, невзирая на общий подход к разработке Интернет-вещей, является отсутствие направленности на обеспечение безопасности Интернета Вещей.

Известно расследование и динамическое обнаружение потенциальных индикаторов нарушения безопасности для событий в Больших Данных. Для каждого события в наборе событий определяется значение метрики, характеризующее вычислительную связь или объект. Например, значение метрики может включать длину URL строки или строки агента в событии. Генерируется подмножество критериев, такое, что значения метрик в подмножестве сравнительно отделены от центра популяции. Применение критерия к значениям метрик производит подмножество. Представление подмножества осуществляется на интерактивной доске. Представление может включать уникальные значения в подмножество и считать количество соответствующих вхождений событий. Клиенты могут выбирать отдельные элементы в представлении, чтобы получить больше деталей в представлении, по отношению к индивидуальным событиям, соответствующим определенным значениям в подгруппе. Клиенты могут использовать свои знания операций системы, соблюдение значений частот и события, лежащие в основе, чтобы определить аномальные значения метрик и потенциальные угрозы безопасности. (US 2013326620, H04L 29/06, опубл. 2013-12-05).

Недостатком способа является ориентированность только на обнаружение аномалий в значениях метрик данных, отсутствие альтернативных подходов к обнаружению проблем безопасности, в частности, невозможность обнаружения новых типов неизвестных атак, также недостатком является невозможность расследования произошедших инцидентов безопасности с целью выявления точек входа злоумышленника в систему. В совокупности данные недостатки приводят к снижению качества и эффективности анализа безопасности Больших Данных.

В основу изобретения положена задача создания способа обнаружения скрытых функциональных взаимосвязей между устройствами, входящими в состав Интернета Вещей, который обеспечивает точность определения функциональных взаимосвязей между устройствами Интернета Вещей вследствие использования того, что наличие функциональной взаимосвязи предполагается в зависимости от согласованности динамики изменения значений параметров событий, сформированных из данных от устройств Интернета Вещей, что обеспечивает получение новых знаний о функциональной взаимосвязи устройств, что, в свою очередь, позволяет прогнозировать новые вектора атак в Интернете Вещей, тем самым обеспечивая повышение безопасности в Интернете Вещей. Решение поставленной задачи обеспечивается тем, что в способе обнаружения скрытых взаимосвязей в Интернете Вещей, включающем сбор данных со всех разнообразных устройств, подключенных к сети Интернет, агрегацию полученных данных по устройствам, нормализацию данных, формирование событий, формируют из данных события, описываемые кортежем: Событие = {источник, получатель, тип, время}, затем производят классификацию событий для каждого устройства по степени схожести, затем для всего множества устройств производят попарный выбор устройств, при этом для каждого устройства из пары выбирают класс событий, где событие одно и то же, а вот значение сообщения или команды - разное, выбирают время Т, рамкам которого должны удовлетворять события от каждого устройства и получают два набора данных с одинаковым числом параметров, и для этих двух наборов данных вычисляют коэффициент парной корреляции, характеризующий линейную взаимосвязь между наборами данных, и коэффициент согласия в динамике, характеризующий нелинейную взаимосвязь между наборами данных и вычисляемый с использованием математического аппарата конечных разностей. Именно на основании двух вычисленных значений принимается либо отвергается предположение о наличии взаимосвязи между парой рядов данных от устройств Интернета Вещей: если значения обоих коэффициентов по модулю более 0,5 - то взаимосвязь есть, и она носит линейный характер; если значения коэффициента согласия в динамике по модулю менее 0,3 - то взаимосвязь отсутствует, если значение коэффициента корреляции близко к 0, а значение коэффициента согласия в динамике близко к единице, то взаимосвязь есть, и она носит нелинейный характер.

Интернет Вещей - это крупномасштабные гетерогенные сети потребительских устройств. Все устройства, входящие в состав Интернета Вещей, получают и отправляют по сети данные. Поскольку устройств очень много и они все разные, то данных, во-первых, получается огромное количество, а во-вторых, каждое устройство генерирует данные в соответствии со своим форматом, и получается большой объем разнородных данных.

Такие данные можно анализировать, это позволит получить информацию о том, какие устройства взаимодействуют друг с другом. Такое знание, в конечном итоге, может быть полезно для обнаружения и расследования инцидентов безопасности в Интернете Вещей.

Способ обнаружения скрытых взаимосвязей предполагает обнаруживать функциональную взаимосвязь между парой устройств, анализируя, насколько похоже изменяются во времени значения наборов данных от этих устройств. Если они изменяются похоже, то между этими наборами данных, и, как следствие, между двумя устройствами, есть взаимосвязь.

Изобретение поясняется графическими материалами, где фиг. 1 - блок-схема способа обнаружения скрытых взаимосвязей в Интернете Вещей.

Способ обнаружения скрытых взаимосвязей осуществляется следующим образом (фиг. 1).

Способ предполагает:

1. Сбор данных со всех разнообразных устройств, подключенных к сети Интернет.

2. Агрегацию полученных данных по устройствам, чтобы в соответствие каждому устройству был поставлен большой объем разнородных данных, которые от этого устройства исходили.

3. Нормализацию данных: чтобы проводить анализ данных, нужно их привести к единому виду, к единой шкале, иными словами, нормализовать.

4. Формирование из данных (представляемых в основном сообщениями от устройств) событий. События описываются кортежем: Событие = {источник, получатель, тип, время}. Особый интерес представляет поле «тип» данного кортежа. События могут быть трех типов:

1) событие типа сообщение (какие-то данные от устройства, например, показатели температуры от датчика, поступающие каждые 5 минут);

2) событие типа команда (например, команда от какого-либо управляющего устройства «полить воду» устройству автоматического полива);

3) событие неизвестного типа (данные, которые не удалось распознать ни как команду, ни как сообщение).

5. Классификацию событий для каждого устройства: от одного и того же устройства в течение, например, дня, может несколько раз прийти одно и то же событие, но с разными параметрами. Например, от датчика температуры может приходить информация каждые 5 минут, в виде одинаковых событий, имеющих тип «сообщение», где каждый раз будет изменяться только значение самого сообщения, характеризующее разную температуру. Поэтому такие одинаковые события необходимо сгруппировать и отделить от других.

6. Для всего множества устройств происходит попарный выбор устройств.

7. Для каждого устройства из пары выбирается событие (точнее, класс событий, где событие одно и то же, а вот значение сообщения или команды - разное).

8. Выбирается время Т, временной промежуток, рамкам которого должны удовлетворять события от каждого устройства. Таким образом, получим 2 набора данных. Например, от устройства №1 в течение времени Т удалось собрать 10 событий одного и того же типа, и таким образом, получилось 10 значений параметра (например, температуры). И от устройства №2 тоже получился набор параметров. Нужно, чтобы этих параметров было одинаковое число.

9. Для этих двух наборов данных вычисляется коэффициент парной корреляции по формуле где x_i, и y_i - значения параметров соответственно первого и второго наборов данных, а и - их средние значения. Значение коэффициента парной корреляции принадлежит промежутку [-1; 1], в соответствии с источником [Светуньков С.Г., Светуньков И.С. Методы и модели социально-экономического прогнозирования: Учебник и практикум для академического бакалавриата. Том I - «Теория и методология». - Москва: Изд-во Юрайт, 2014, п. 3.6, стр. 242-244].

10. Для этих двух наборов данных вычисляется коэффициент согласия в динамике по формуле где и - конечные разности i-го порядка. Значение коэффициента согласия в динамике принадлежит промежутку [-1; 1], в соответствии с источником [Светуньков С.Г., Светуньков И.С. Методы и модели социально-экономического прогнозирования: Учебник и практикум для академического бакалавриата. Том I - «Теория и методология». - Москва: Изд-во Юрайт, 2014, 3.7, стр. 254].

11. Если значения обоих коэффициентов по модулю близки к единице (более 0,5) - то взаимосвязь есть, и она носит линейный характер (таблица 1).

12. Если значения коэффициента согласия в динамике по модулю близко к нулю (менее 0,3) - то взаимосвязь отсутствует (таблица 1).

13. Если значение коэффициента корреляции близко к 0, а значение коэффициента согласия в динамике близко к единице, то взаимосвязь есть, и она носит нелинейный характер (таблица 1), в соответствии с источником [Светуньков С.Г., Светуньков И.С. Методы и модели социально-экономического прогнозирования: Учебник и практикум для академического бакалавриата. Том I - «Теория и методология». - Москва: Изд-во Юрайт, 2014, 3.7, стр. 264-265].

В качестве примера применения способа обнаружения скрытых взаимосвязей в Интернете Вещей приведем сегмент сети взаимосвязанных устройств потребительского назначения (представляющих собой Интернет Вещей), например, автоматизированная система производства доменных печей. Среди устройств есть датчик температуры горячего дутья и устройство производства механизмов.

Данные от этих устройств собираются в течение 2х часов, агрегируются по показателям за каждые 2 часа, приводятся к единой шкале посредством нормализации и представляются в виде событий. Поскольку такие события имеют достаточно простой вид, очевидно, что для сравнения будут выделены параметры событий, характеризующие значения температуры - для датчика температуры горячего дутья, и параметры, характеризующие количество произведенных устройством механизмов. Данные представлены в Таблице 2.

Тестирование на наличие линейной взаимосвязи базируется на вычислении коэффициента линейной корреляции:

что говорит об отсутствии линейной взаимосвязи между двумя рядами данных.

Однако, тестирование на наличие нелинейной взаимосвязи дает обратный результат:

и это свидетельствует о наличии достаточно сильной нелинейной взаимосвязи между параметрами, находящейся, возможно, под влиянием каких-либо других факторов.

Таким образом, принимается решение о наличии нелинейной взаимосвязи, и далее выполняются попытки установить аналитическую форму для данной взаимосвязи.

Таким образом, можно сделать вывод о том, что количество производимых в доменном производстве механизмов зависит от температуры горячего дутья, устанавливаемого на производстве, причем зависит нелинейно: количество производимых механизмов будет снижаться как при слишком высокой, так и при слишком низкой температуре.

Подобная взаимосвязь была бы не очевидна для стороннего наблюдателя, особенно в условиях априорной неопределенности наблюдения за сегментом Интернета Вещей, при отсутствии знаний о том, какое производство реализуют данные механизмы, транслирующие свои данные в сеть Интернет.

Пример применения способа обнаружения скрытых взаимосвязей

Использование способа обнаружения скрытых взаимосвязей позволяет также увеличить эффективность расследования инцидентов безопасности в Интернете Вещей. Как известно, устройства в Интернете Вещей функционируют, управляя друг другом практически без вмешательства человека. Отслеживать такие функциональные взаимосвязи между устройствами можно посредством анализа команд, посылаемых устройствами друг другу.

Однако параметры устройств могут меняться в зависимости не только от команд, но и от значений данных от других устройств.

Примером может служить совместная работа «умной» системы полива растений (это также является Интернетом Вещей). Устройство полива ориентируется на показатели данных от датчика влажности почвы, и, если значение влажности ниже определенного значения, устройство полива включается и поливает растение.

Обнаружить взаимосвязь между такими событиями достаточно непросто, для этого используется способ обнаружения скрытых взаимосвязей. В данном случае способ позволит определить, что периоды работы устройства полива совпадают с периодами недостаточной влажности почвы растений, следовательно, между датчиком влажности и устройством полива есть функциональная скрытая взаимосвязь, и в случае увядания растения из-за засухи будут следующие цепочки коррелирующих событий:

1) датчик влажности неисправен;

2) датчик влажности исправен, а устройство автоматического полива сломалось.

Второй случай был бы недоступен при отсутствии знания о взаимосвязи датчика влажности и устройства полива, таким образом, предлагаемый способ позволяет системе находить варианты возможных событий, влияющих на возникновение инцидента безопасности.

Применение данного изобретения позволяет повысить точность расследования инцидентов безопасности и эффективность обнаружения инцидентов безопасности в Интернете Вещей. Например, если устройства А, Б и С предположительно взаимосвязаны - значения параметров их событий в динамике изменяются похожим образом, то нарушение такой динамики может свидетельствовать об инциденте безопасности.