隐私保护的单向通信设备的制作方法

隐私保护的单向通信设备

背景技术：

1.长期以来，对私人计算机网络的网络攻击一直处于使用信息技术进行检测和保护工作的前沿。然而，本文认识到，网络攻击者入侵工业系统(例如支持关键基础设施的自动化和控制系统)的威胁正在引起人们的关注。由于生产系统的垂直整合和价值链的横向整合等方面，工业控制系统(ics)网络往往直接或间接连接到it网络(办公网络)和互联网，从而为网络攻击者提供了渗透此类环境并利用任何现有漏洞的机会。本文还认识到，ot(操作技术)系统例如可编程逻辑控制器(plc)、分布式控制系统(dcs)、运动控制器、监督控制和数据采集(scada)服务器和人机界面(hmi)，在部署安全措施时提出了许多额外的挑战。
2.具体而言，it网络经常连接到ot系统，以便从ot系统收集数据。然而，本文认识到，当前从ot系统收集数据的方法可能会损害与数据相关的隐私，这可能导致有价值的商业秘密、逻辑或数据以及其他信息泄露给竞争对手或其他人。例如，秘密能够从用于网络监控的网络流量中导出，例如工艺配方或其他ics数据。本文还认识到，当前的方法通常要求安全监控操作托管在云或异地，这会增加数据泄露的风险。

技术实现要素：

3.本发明的实施例通过提供保护数据隐私的方法、系统和装置来解决和克服本文所述的一个或多个缺点。通过保护原始数据的隐私，例如通过生成代表原始数据的匿名数据或合成数据，能够通过匿名数据或合成数据使用或分析原始数据。例如，数据采集装置能够被配置作为私人网络与公共网络之间的单向通信连接来操作。数据采集装置还能够被配置用于从从私人网络收集的真实数据生成匿名数据或合成数据。匿名数据或合成数据能够代表真实数据，从而能够在数据捕捉装置之外分析真实数据，而无需数据捕捉装置公开实际的真实数据。
4.在实例方面，数据采集装置被配置作为私人网络与公共网络之间的单向通信连接来操作。数据采集装置能够包括发送机，发送机包括耦接到私人网络的一个或多个设备的单向网络接口。发送机能够被配置用于从私人网络的一个或多个设备收集原始数据。原始数据能够限定第一数据分布。数据采集装置还能够包括接收机，接收机被配置用于经由单向通信连接从发送机接收合成数据。发送机还能够被配置用于基于原始数据的第一数据分布生成合成数据，使得合成数据代表原始数据而不公开原始数据。因此，发送机能够连接到源数据并将基于源数据的匿名数据或合成数据转发到接收机，接收机能够在物理上与发送机分开，从而无法访问源数据。
附图说明
5.当结合附图阅读以下详细描述时，本发明的前述方面和其他方面将得到最好的理解。出于说明本发明的目的，在附图中示出了目前优选的实施例，然而应当理解，本发明不限于所公开的具体手段。附图中包括以下图片：
6.图1示出了部署在示例性工业控制系统(ics)内的数据捕获单元(dcu)装置的框
图。
7.图2示出了根据示例性实施例的dcu的另一框图。
8.图3示出了根据示例性实施例的示例性系统，该示例性系统包括耦接到中央服务器以进行分析的多个dcu设备。
9.图4示出了根据示例性实施例的能够由dcu装置执行的流程图。
10.图5示出了能够在其中实现本发明公开的实施例的计算环境。
具体实施方式
11.首先参考图1，示例性分布式控制系统(dcs)或工业控制系统(ics)100包括不可信或不安全的it网络102，例如办公室网络或公司网络，以及安全或可信的操作技术(ot)网络104，例如生产网络，通过数据控制装置或数据控制单元(dcu)106通信地耦接到it网络102。it网络102能够限定比ot网络104具有更低安全要求的办公室网络或公共网络，ot网络能够限定私人网络或关键生产网络。dcu 106能够被配置作为私人网络与公共网络之间的单向通信连接来操作。dcu 106能够经由从ot网络104到dcu 106的通信链路112收集在ot网络104上共享的网络流量数据。特别地，例如，ot网络104能够包括被配置成共同工作以执行一个或多个制造操作的各种生产机器。生产网络104的示例性生产机器能够包括但不限于机器人和其他现场设备，例如传感器、致动器或其他机器，它们能够由相应的可编程逻辑控制器(plc)108控制。plc 108能够发送对各个现场设备的指示。在一些情况下，能够耦接给定的plc 108，或者ot网络104能够另外包括人机界面(hmi)110。应当理解，出于示例性的目的简化了ics 100。这就是说，ics 100能够包括附加的或替代的节点或系统，例如限定替代配置的其他网络设备，并且所有这样的配置都被认为在本发明公开的范围内。例如，ics 100能够配置用于楼宇自动化、能源自动化、交通管理系统、火车自动化、嵌入式医疗设备等。
12.在一些情况下，通信链路112被配置用于从ot网络104接收数据，但不向生产网络104发送数据，使得通信链路112限定从ot网络104到dcu 106的单向通信链路。因此，dcu 106能够限定it网络102与ot网络104之间的单向通信连接，例如从ot网络104到it网络102，或者在其他情况下，从it网络102到ot网络104。由dcu 106收集的网络数据包能够由在it网络102上执行的网络安全功能使用。收集的网络数据包能够从dcu 106发送到it网络102，特别是发送到it网络102内的系统，例如但不限于入侵检测系统(ids)114、安全信息和事件管理(siem)系统116和取证分析系统118。it网络104还能够限定或包括云。例如，托管安全服务提供商(mssp)能够在异地或云托管监控数据(例如ids 114、siem系统116、取证分析系统118)。本文认识到，从关键生产系统(例如ot网络104内的生产系统)提取的这种细粒度数据会产生隐私问题。例如，ot网络104可能包括不同的资产所有者，每个资产所有者控制各自的数据，并且违反数据隐私可能导致机密信息泄露给不同的资产所有者。此类数据或隐私泄露还会导致不同的资产所有者避免与中央实体(例如ids 114、siem系统116或取证分析系统118)共享他们的数据，这会降低异常检测方面的整体安全性能力，以及带来其他负面影响。因此，本文描述的实施例解决了与从ot网络104收集的数据相关的隐私问题，同时保持收集的数据的效用。
13.继续参考图1，dcu 106能够包括例如通过交换机122连接到ot网络104的以太网端口120。以太网端口120能够限定单向接口，该接口被配置用于接收真实或原始数据包，但不
能把数据包发送出来。dcu 106还能够包括能够例如经由交换机128与it网络102通信的多向接口或端口124。特别地，多向接口124能够向ids 114、siem系统116和取证分析系统118发送数据和从它们接收数据。在一些情况下，例如，多向端口124暴露给it网络102，使得ids 114、siem系统116和取证分析系统118能够访问由dcu 106收集的数据包，以便记录数据包和/或对记录的数据包执行数据包分析。因此，本文认识到，静止和运动中的数据包对于与dcu 106相关的各种功能可能是关键的。此外，应该理解，提供安全监控作为由dcu 106提供的数据的示例性用例，该数据不限于安全用途。举例来说，数据能够由dcu 106提供以用于基于状态的监控。在这样的例子中，过程变量内容(例如，传感器的时间序列数据)能够被匿名化并传送到云上进行异常检测。
14.举例来说，如果所收集的数据未受到保护，则黑客可能会嗅探和/或操纵(例如，改变、删除、创建)dcu 106上所收集的数据。例如，黑客可能经由多向端口124通过it网络102访问dcu 106，以嗅探dcu 106上的数据。在一些情况下，多向端口124用于通过tcp流将收集到的数据包发送到it网络102，tcp流可能无法抵御网络攻击。因此，黑客可能使用连接到it网络102的计算设备来直接或间接访问dcu 106，以嗅探dcu106内收集的数据。再如，黑客可能使用嗅探到的数据来提升他们的竞争优势，例如，除了数据本身之外，还能够识别与数据相关的机密逻辑或属性。
15.在一个示例性实施例中，为了防止这种嗅探以及其他潜在的漏洞，dcu 106生成匿名数据，这些数据能够由it网络102内或其他地方的系统(例如siem系统116)进行分析。在一些情况下，匿名数据限定基于真实数据生成的合成数据，使得合成数据限定与真实数据相似或相同的一个或多个统计属性。能够生成匿名数据或合成数据以保护原始数据集的隐私，同时保持原始数据集的效用。本文认识到，用于保护隐私的其他方法，例如编码、差异隐私等，可能不适用于包括异构ot网络的工业环境，该异构ot网络具有跨网络的不同的和/或传统的应用程序。例如，其他隐私技术可能需要在数据生成源(例如异构ot网络)实施，这可能会使跨网络的标准化变得困难或成本过高。
16.参考图2，实例ics 200能够包括dcu 106。根据示例性实施例，dcu106能够包括第一机器或发送机202和第二机器或接收机204，接收机被配置用于从发送机202接收数据。dcu 106能够进一步包括耦接到发送机202和私人ot网络104的单向网络接口206，使得发送机202能够经由单向网络接口206从私人ot网络104接收数据。在实例中，单向网络接口206包括以太网端口120。在一些情况下，发送机202能够包括单向网络接口206，单向网络接口能够耦接到私人网络的一个或多个设备，例如ot网络104。因此，在一些实例中，发送机202能够被配置用于从私人ot网络104的一个或多个设备收集真实或原始数据，并且原始数据能够限定数据分布，例如第一数据分布。作为示例性而非限制性的，原始数据能够指示与ot网络104相关的各种过程变量，例如温度、压力、马达速度、加热器变量、泵变量、阀变量等。又如，原始数据能够包括网络流量元数据、端点/主机数据(例如，性能计数器)、控制系统特定数据(例如，监控恶意操作的关键内存区域的plc内存内容)、个人健康数据(例如，实验室测试数据)、建筑数据(例如，温度、压力、气流、速度、湿度)或能源参数(例如，频率、电压、功耗、负载、电流)。
17.如本文进一步描述的，发送机202能够被配置用于基于原始数据的数据分布生成匿名数据或合成数据，使得匿名数据或合成数据表示原始数据而不公开原始数据。接收机
204能够被配置用于从发送机202接收匿名数据或合成数据。在一些情况下，发送机202还被配置用于在发送机202接收相应的原始数据时生成对应于原始数据的匿名数据，从而限定连续的在线数据匿名化。
18.dcu 106的多向端口124能够耦接到接收机204和it网络102，使得接收机204能够向it网络102发送数据或从it网络接收数据。特别地，接收机204能够被配置用于将合成数据发送到公共it网络102内的分析系统，使得能够基于代表原始数据的合成数据来分析原始数据。在一些实例中，单向网络接口206仅允许从ot网络104接收数据而不向ot网络发送数据，使得仅允许从ot网络104到公共it网络102的单向通信。ot或产品网络104能够限定关键网络或私人网络，例如工业自动化网络、金融网络、铁路自动化和控制网络、生命关键系统等。在某些情况下，ot网络104从位于it网络102中的服务提供商获得监控和评估服务，这能够限定不安全的公共网络，诸如能够提供与安全或诊断相关的密集数据分析的基于互联网或基于云的服务。dcu 106能够以被动方式监听单向网络接口206，特别是以太网端口120，例如通过执行嗅探操作，使得主动请求不被发送到ot网络104内的设备。
19.如本文所述，dcu 106能够限定支持一个或多个隐私保护机制的单向通信设备。能够为来自一个或多个源的一个或多个数据流激活此类隐私保护技术，以确保从接收机204输出的数据在网络环境(例如it网络102)中的传输是安全的，而该网络环境不如从中收集原始数据的网络环境(例如，ot网络104)安全。
20.dcu 106还能够包括监控装置208，监控装置被配置用于将数据(例如合成数据)从发送机202传输到接收机204，而不允许数据从接收机204传输到发送机202。在一些实例中，监控装置208能够限定数据复印机或网络分路器，以便提供从发送机202到接收机204的单向数据传输，而无需将发送机202和接收机204硬连线在一起。在实例中，监控装置208能够包括布置成回路的导线210，使得导线210连接到由发送机202限定的输出端212，并且连接到由发送机202限定的输入端214。因此，数据能够由发送机202在输出端212沿着导线210传输，并在输入端返回到发送机202。发送机202的输入端214和输出端212能够与单向网络接口206隔离。在例子中，监控装置208，特别是导线210，能够限定电感器，以便在发送机202和接收机204之间没有连接导线或电缆的情况下从发送机202传输数据到接收机204。例如，监控装置208还能够包括连接到接收机204的216。在一些实例中，216能够限定导线，使得导线和限定回路的导线210能够彼此感应耦接。
21.因此，在实例中，数据流能够通过从输出端212经过导线210到输入端214的回路。这样的数据流能够由216感应复制，并经由216(例如导线)与接收机204之间的连接传递给接收机204。经过回路的原始数据流从输出端212到输入端214能够保持不变。因此，监控装置208能够限定将发送机202连接到接收机204，从而将ot网络104连接到it网络102的感应配置。具体而言，监控设备208能够限定ot网络104和it网络102之间的物理分离连接。在某些情况下，由于监控应用程序208的感应配置，只有来自限定回路的导线210的复制数据能够单向传输到接收机204。也就是说，在各种实例中，数据不能从216流到限定回路的导线210，从而使ot网络104免受it网络102的干扰。在实例中，216用作网络测试访问点(tap)，拦截由发送机202限定的输出端212与输入端214之间的传输，并将该数据复制到接收机204的监视端口。在另一个实例中，216能够实现为交换端口分析器(span)，它在限定回路的导线210上执行被拦截的传输的端口镜像。在又一个实例中，能
够将数据直接发送到dcu 106，特别是发送机202，以进行匿名化。在一些实例中，数据能够被匿名，并且匿名的数据能够根据请求在接收机204上可用。
22.仍然参考图2，发送机202还能够包括引导加载程序218和固件220，它们能够包括用于发送机202以及dcu 106的操作指令。类似地，接收机204还能够包括引导加载程序222和固件224，它们能够包括用于接收机204以及dcu 106的操作指令。dcu 106还能够包括一个或多个数据库。例如，发送机202能够包括第一发送器或原始数据数据库226和第二发送器或经过净化的合成数据数据库227。接收机204能够包括接收器数据库228。在实例中，从发送机202复制的数据能够缓存在接收器数据库228中。类似地，由发送机202从ot网络104接收的数据能够缓存在例如原始数据数据库226中，以便能够处理数据以保护隐私。如本文所述，能够处理来自原始数据数据库226的数据以便限定净化数据。在以规则的间隔、预限定的时间等经由监控装置208的导线210传输净化数据之前，能够将该净化数据缓存在合成数据数据库227中。
23.在各种实例中，dcu 106能够包括一个或多个处理器，该处理器能够包括一个或多个中央处理单元(cpu)、图形处理单元(gpu)或本领域已知的任何其他处理器。更一般地，如本文所述的处理器是用于执行存储在计算机可读介质上的机器可读指令、用于执行任务的设备，并且能够包括硬件和固件中的任何一个或它们的组合。在实例方面，部署在接收机204中的任何软件和固件都能够由接收机204的处理器执行。在一方面，部署在发送机202中的任何软件和固件都能够由发送机202的处理器执行，以保持公共it网络102和私人ot网络104之间的物理隔离，并保证单向通信。dcu 106的处理器还能够包括存储有可被执行以执行任务的机器可读指令的存储器。dcu 106的处理器能够使用或包括例如计算机、控制器或微处理器的能力，并且使用可执行指令进行调节以执行通用计算机不执行的私人功能。dcu 106能够包括一个或多个处理器，该处理器包括任何类型的合适的处理单元，包括但不限于中央处理单元、微处理器、精简指令集计算机(risc)微处理器、复杂指令集计算机(cisc)微处理器、微控制器、私人集成电路(asic)、现场可编程门阵列(fpga)、片上系统(soc)、数字信号处理器(dsp)等。此外，dcu 106的处理器能够具有任何合适的微架构设计，其包括任何数量的组成部件，例如寄存器、多路复用器、算术逻辑单元、用于控制对高速缓存的读/写操作的高速缓存控制器、分支预测器等。处理器的微体系结构设计能够支持各种指令集中的任何一种。
24.继续参考图2，接收机204能够包括各种应用程序或模块，例如用于支持与ot网络104相关的安全监控和诊断的嵌入式网络安全应用程序。例如，发送机202能够包括收发器模块232，收发器模块被配置用于向诸如gprs、lte或5g网络等各种网络中的设备发送和接收数据。附加地或替代地，接收机204能够包括数据管理应用程序230，数据管理应用程序能够被配置有给定的数据处理策略，并且能够根据数据处理策略来处理数据。在实例中，数据管理应用程序230能够从接收器数据库228读取和/或删除数据。在一些情况下，数据管理应用程序230能够根据策略过滤和/或压缩数据。此外，数据管理应用程序230能够将复制的数据从发送机202传输到it网络102，特别地，例如传输到ids 114、siem系统116或取证分析系统118。复制的数据能够通过收发器模块232或多向端口124传输。在某些情况下，在接收机204中接收的数据能够通过推送机制(例如通过一种发布和订阅的方法来传递数据)传输到it网络102内的系统。附加地或替代地，数据能够缓冲在接收器数据库228中并且能够由it
网络102内的系统通过拉动机制传输。例如，系统能够主动地例如通过多向端口124从接收器数据库228或接收机204请求数据。
25.发送机202还能够包括根据各种实施例的各种应用程序或模块。在一些实例中，发送机202能够包括数据收集应用程序234，数据收集应用程序被配置用于从单向网络接口206的数据捕获端口(例如以太网端口120)接收数据。在一些情况下，数据收集应用程序234能够被配置用于根据策略过滤数据。在一些实例中，这样的策略或配置能够由数据收集应用程序234从发送器数据库226获得。发送机202能够进一步包括各种隐私保护应用程序。特别地，例如，发送机202能够被配置为包括神经网络应用程序或模块236，神经网络应用程序或模块被配置用于保护与从ot网络104收集并存储在原始数据数据库226中的数据相关的信息的隐私，如本文进一步描述的。
26.在一些实例中，神经网络模块236包括生成对抗网络或访问生成对抗网络(gan)，生成对抗网络能够学习与从ot网络104收集的原始数据相关的属性，以便生成净化数据。例如，数据收集应用程序234能够从单向网络接口206收集原始数据并将原始数据提供给神经网络模块236。神经网络模块236能够学习收集到的原始数据的分布。基于学习与原始数据相关联的数据分布，神经网络模块236能够生成具有与给定原始数据相似分布的数据样本。这样的数据样本能够限定与原始数据相对应的净化数据。举例来说，净化数据能够从发送机202发送到接收机204，并且接收机204能够将净化后的数据传输到it网络102，例如传输到siem系统116以供分析。因此，在这种配置中，离开dcu 106的数据不同于从ot网络104收集的实际数据。本文认识到，因为实际的原始数据没有传输到接收机204或在dcu 106外部，隐私保护得到增强，使得与ot网络相关联的各种数据所有者或客户能够更有信心共享他们的数据以在各种系统(例如siem系统116)进行组合分析。此外，例如在siem系统116上共享和分析的更多的数据能够增强异常检测能力，以及基于分析数据的其他能力。
27.现在参考图3，示例性系统300包括部署在工厂处的dcu 106，例如第一工厂302。工厂302还能够包括ot网络104。dcu 106，特别是发送机202，能够包括一个或多个容器，容器为应用程序或模块限定各自的运行环境。例如，发送机202能够包括第一容器304和与第一容器304分开的第二容器306。能够保护容器，使得第一容器304和第二容器306不能由dcu 106的不同用户配置。第一容器304能够包括数据收集应用程序234和原始数据数据库226。第二容器306能够包括一个或多个数据隐私保护应用程序或模块。在示例性实施例中，第二容器306包括被配置用于基于原始数据生成合成数据的神经网络模块236。特别地，由数据收集应用程序234收集的原始数据能够限定第一数据分布，并且神经网络模块236能够基于原始数据的第一分布生成合成数据，使得合成数据限定第二数据分布落在第一数据分布的预定公差内。举例来说，合成数据和真实数据的数据分布能够各自限定一个平均值，并且能够将该平均值与预定公差进行比较以确定它们是否彼此足够接近使得合成数据充分代表原始数据。预定公差能够根据需要变化。例如，预定公差能够根据正在生成和比较的数据类型而变化。在另一个实例中，预定公差还能够指示合成数据能够用来表示原始数据的最大精度。例如，在某些情况下，如果合成数据与原始数据太接近(例如，大于预定公差的上限)，则可能涉及与原始数据相关的隐私。此后，能够分析代表原始数据的合成数据，从而在不必将原始数据发送到接收机204的情况下执行原始数据的分析，因此无需将原始数据发送到任何接收机分析系统。
28.在一些情况下，识别原始数据的一种或多种统计特性并将其与相应合成数据的一种或多种统计特性进行比较。统计特性能够包括，例如但不限于，平均值、平均模式、标准差、总体数据分布(例如，由线性或非线性回归限定)、峰度和偏度。发送机202能够对数据进行匿名或合成，以便保留一个或多个感兴趣的统计特性。因此，发送机202能够被配置用于保存一个或多个选择统计属性，这能够取决于所收集的原始数据的类型。此外，在某些情况下，能够在收集数据时更改感兴趣的统计属性。
29.第一容器304内的数据收集应用程序234能够被配置用于监听单向网络接口206，以便从私人ot网络104的一个或多个设备收集原始数据。在示例性配置中，数据收集应用程序234在与神经网络模块236分开的容器内，或者以其他方式与神经网络模块236分离，使得数据收集应用程序234能够在不中断神经网络模块236的情况下被更新或缩放。
30.此外，继续参考图3，系统300能够包括多个站点或工厂，每个站点或工厂都向中央系统或服务器314提供数据，例如，使得数据能够被汇集起来并进行共同分析。多个站点或工厂能够各自包括一个或多个dcu 106，dcu能够向中央服务器314提供合成数据。因此，多个dcu能够被配置作为中央服务器314和系统300的多个私人网络的相应私人网络之间的单向通信连接进行操作。在实例中，siem系统116和/或ids 114能够从中央服务器314检索合成数据以进行分析。示例性系统300包括第一工厂302、第二工厂308和第三工厂310，但应理解，任何数量的站点或工厂以及因此任何数量的dcu都能够根据需要耦接到中央服务器314。系统300中的每个dcu 106的接收机204能够被配置用于将相应的合成数据发送到中央服务器314，使得能够基于表示原始数据的合成数据来分析来自多个私人ot网络的原始数据，而无需中央服务器获得原始数据。
31.本文认识到，除了原始数据本身之外，生成合成数据并将合成数据而不是原始数据或真实数据提供给分析系统的中央服务器能够保护与原始数据相关的各种信息。在某些情况下，能够生成合成数据以屏蔽与相应原始数据关联的值。在其他实例中，但不限于，与每个工厂相关的各种资产所有者的身份、与工厂相关的逻辑或商业秘密，以及各种工厂的部件或系统能够通过生成表示原始数据的合成数据来保护。本文还认识到，这种源自合成数据的隐私保护在某些情况下能够促使或允许各种工厂在中央服务器314将它们的数据组合在一起进行分析，从而改进能够分析的数据样本并增强可执行的数据分析。
32.继续参考图3，神经网络模块236能够包括生成器316和鉴别器318，以便限定生成对抗网络(gan)或卷积神经网络(cnn)。发送机202能够被配置用于基于来自私人ot网络104的一个或多个设备的真实数据或原始数据来训练神经网络。当神经网络被训练时，神经网络模块236能够基于相应的原始数据生成合成数据，该合成数据限定类似于相应原始数据的数据分布的数据分布。例如，合成数据能够限定落在由相应的原始数据限定的数据分布的预定公差内的数据分布。在一些情况下，噪声向量320被输入到生成器316中。在实例中，噪声向量320能够限定随机数生成器。基于噪声向量320，生成器316能够生成假数据或合成数据，这些数据能够存储在经过净化的合成数据数据库227中。在训练期间，假数据和真实数据能够分别从合成数据数据库227和原始数据数据库226输入到鉴别器318。鉴别器318能够从假数据中学习真实数据，并且鉴别器318的输出能够被反馈到生成器316，使得神经网络模块236能够被微调。此后，生成器316能够生成更接近对应原始数据的合成数据，或者限定更接近原始数据的选择统计特性的统计特性。
33.因此，训练阶段能够包括为订阅的变量或感兴趣的统计特性收集原始源数据。例如，能够通过配置文件或用户界面在dcu 106上配置此类感兴趣的变量或属性。源数据能够输入到生成器316和鉴别器318。鉴别器318能够使用源数据作为训练数据集(例如，从其采样)并且能够控制训练过程直到达到预定的准确度水平。在某些情况下，与来自正态分布的随机化数据相反，生成器316能够使用这些样本来生成种子数据。生成器316能够推导出数据的分布，然后使用该分布来扩展随机数据，以增加鉴别器318的错误率(例如，欺骗鉴别器认为选择了不正确的候选者)。在某些情况下，神经网络能够配置为处于连续训练模式，其中，它的输出参数随着输入数据的到达而受到调整。
34.现在参考图4，示例性操作400能够由dcu 106执行，dcu 106包括发送机202和与发送机202物理隔离的接收机204。监控装置208能够设置在发送机202与接收机204之间，dcu 106能够设置在私人网络与公共网络之间。因此，监控装置208能够设置于私人网络与公共网络之间。在402，发送机202能够从私人网络的一个或多个设备收集真实数据或原始数据。在一些情况下，数据收集应用程序234监听单向网络接口206以从私人网络收集数据。在404，数据收集应用程序234能够将原始数据存储在容器内。例如，数据收集应用程序234能够将原始数据存储在第一容器304内的原始数据数据库226中。在406处，在实例中，位于与原始数据数据库226不同的容器中的神经网络模块236能够获得原始数据。例如，第二容器306内的神经网络模块236能够从原始数据数据库226中检索原始数据。基于检索到的原始数据，在408，神经网络模块236能够生成对应于原始数据的合成数据。在410，神经网络模块236能够验证生成的合成数据准确地表示原始数据。例如，能够将原始数据的数据分布与合成数据的数据分布进行比较，如果数据分布彼此在预定的公差范围内，则能够验证合成数据。如果合成数据未被验证，则数据能够被反馈到生成器316，以便能够生成更新的合成数据。在实例中，当合成数据在410被验证时，它能够被传输到外部系统，例如it网络102或中央服务器314。特别地，发送机202能够经由监控装置208将经验证的合成数据传输到接收机204，并且接收机204能够从dcu 106向外传输合成数据。
35.不受理论的束缚，本文认识到，根据各种实施例，如果数据在被发送到接收机204或从接收机204发送到外部系统时以某种方式被黑客攻击，则黑客会访问虚假数据或合成数据。因此，在某些情况下，即使通信被拦截，与原始数据相关的秘密仍能够受到保护和保密。
36.图5图示了能够在其中实现本发明公开的实施例的计算环境的实例。计算环境500包括计算机系统510，计算机系统能够包括诸如系统总线521的通信机制或用于在计算机系统510内传送信息的其他通信机制。计算机系统510还包括与系统总线521耦接的一个或多个处理器520，以用于处理信息。机器人设备104能够包括一个或多个处理器520或耦接到一个或多个处理器。
37.处理器520能够包括一个或多个中央处理单元(cpu)、图形处理单元(gpu)或本领域已知的任何其他处理器。更一般地，如本文所述的处理器是用于执行存储在计算机可读介质上的机器可读指令、用于执行任务的设备，并且能够包括硬件和固件中的任何一个或其组合。处理器还能够包括存储可被执行以执行任务的机器可读指令的存储器。处理器通过操纵、分析、修改、转换或传输信息以供可执行程序或信息设备使用，和/或通过将信息路由到输出设备来对信息进行操作。处理器能够使用或包括例如计算机、控制器或微处理器
的能力，并且使用可执行指令进行调节以执行通用计算机不执行的私人功能。处理器能够包括任何类型的合适的处理单元，包括但不限于中央处理单元、微处理器、精简指令集计算机(risc)微处理器、复杂指令集计算机(cisc)微处理器、微控制器、应用程序私人集成电路(asic)、现场可编程门阵列(fpga)、片上系统(soc)、数字信号处理器(dsp)等。此外，处理器520能够具有任何合适的微架构设计，微架构设计包括任何数量的组成部件，例如寄存器、多路复用器、算术逻辑单元、用于控制对高速缓存的读/写操作的高速缓存控制器、分支预测器等。处理器的微架构设计能够支持各种指令集中的任何一种指令集。处理器能够与任何其他处理器耦接(电耦接和/或作为包括的可执行部件)以实现它们之间的交互和/或通信。用户界面处理器或生成器是已知元件，已知元件包括用于生成显示图像或其部分的电子电路或软件或两者的组合。用户界面包括使用户能够与处理器或其他设备交互的一个或多个显示图像。
38.系统总线521能够包括系统总线、存储器总线、地址总线或消息总线中的至少一种，并且能够允许在计算机系统510的各个部件之间交换信息(例如，数据(包括计算机可执行代码)、信令等)。系统总线521能够包括但不限于存储器总线或存储器控制器、外围总线、加速图形端口等。系统总线521能够与任何合适的总线架构相关联，包括但不限于工业标准架构(isa)、微通道架构(mca)、增强型isa(eisa)、视频电子标准协会(vesa)架构，加速图形端口(agp)架构、外围部件互连(pci)架构、pci-express架构、个人计算机存储卡国际协会(pcmcia)架构、通用串行总线(usb)架构等。
39.继续参考图5，计算机系统510还能够包括耦接到系统总线521的系统存储器530，用于存储待由处理器520执行的信息和指令。系统存储器530能够包括易失性和/或非易失性存储器形式的计算机可读存储介质，例如只读存储器(rom)531和/或随机存取存储器(ram)532。ram 532能够包括其他动态存储设备(例如，动态ram、静态ram和同步dram)。rom 531能够包括其他静态存储设备(例如，可编程rom、可擦除prom和电可擦除prom)。此外，系统存储器530能够用于在处理器520执行指令期间存储临时变量或其他中间信息。基本输入/输出系统533(bios)包含有助于在计算机系统510的内部元件之间传输信息的基本例程，例如在启动期间，基本输入/输出系统能够存储在rom 531中。ram 532能够包含处理器520能够立即访问和/或当前正在处理器上运行的数据和/或程序模块。系统存储器530还能够包括例如操作系统534、应用程序535和其他程序模块536。应用程序535还能够包括用于开发应用程序的用户门户，以允许在必要时输入和修改输入参数。
40.操作系统534能够加载到存储器530中并且能够提供在计算机系统510上执行的其他应用软件与计算机系统510的硬件资源之间的接口。更特别地，操作系统534能够包括一组用于管理计算机系统510的硬件资源和用于向其他应用程序提供公共服务(例如，管理各种应用程序之间的存储器分配)的计算机可执行指令。在某些示例性实施例中，操作系统534能够控制被描绘为存储在数据存储器540中的一个或多个程序模块的执行。操作系统534能够包括现在已知的或将来可能开发的任何操作系统，包括但不限于任何服务器操作系统、任何大型机器操作系统或任何其他专有的或非专有的操作系统。
41.计算机系统510还能够包括耦接到系统总线521的磁盘/介质控制器543，以控制用于存储信息和指令的一个或多个存储设备，例如硬盘541和/或可移动介质驱动器542(例如，软盘驱动器、光盘驱动器、磁带驱动器、闪存驱动器和/或固态驱动器)。能够使用适当的
设备接口(例如，小型计算机系统接口(scsi)、集成设备电子设备(ide)、通用串行总线(usb)或火线)将存储设备540添加到计算机系统510。存储设备541、542能够在计算机系统510的外部。
42.计算机系统510还能够包括耦接到系统总线521的现场设备接口565，以控制现场设备566，例如在生产线中使用的设备。计算机系统510能够包括用户输入接口或gui 561，用户输入接口或gui能够包括一个或多个输入设备，例如键盘、触摸屏、平板电脑和/或点击设备，用于与计算机用户交互并向处理器520提供信息。
43.计算机系统510能够响应于处理器520执行包含在存储器(诸如系统存储器530)中的一个或多个指令的一个或多个序列来执行本发明的实施例的处理步骤的一部分或全部。这样的指令能够从另一个计算机可读存储介质540读入系统存储器530，例如磁硬盘541或可移动介质驱动器542。磁硬盘541和/或可移动介质驱动器542能够包含一个或多个本发明公开的实施例所使用的数据存储器和数据文件。数据存储器540能够包括但不限于数据库(例如，关系数据库、面向对象数据库等)、文件系统、平面文件、分布式数据存储器(在该分布式数据存储器中，数据被存储在计算机网络的一个以上的节点上)、对等网络数据存储器等。数据存储器能够存储各种类型的数据，例如技能数据、传感器数据或根据本发明公开的实施例生成的任何其他数据。能够对数据存储内容和数据文件进行加密以提高安全性。处理器520也能够用在多处理布置中以执行包含在系统存储器530中的一个或多个指令序列。在替代的实施例中，硬连线电路能够代替软件指令或与软件指令结合使用。因此，实施例不限于硬件电路和软件的任何特定组合。
44.如上所述，计算机系统510能够包括至少一个计算机可读介质或存储器，用于保存根据本发明的实施例编程的指令并且用于包含数据结构、表格、记录或本文描述的其他数据。本文使用的术语“计算机可读介质”是指参与向处理器520提供指令以供执行的任何介质。计算机可读介质能够采用多种形式，包括但不限于非暂时性、非易失性介质、易失性介质和传输介质。非易失性介质的非限制性实例包括光盘、固态驱动器、磁盘和磁光盘，例如磁硬盘541或可移动介质驱动器542。易失性介质的非限制性实例包括动态存储器，例如系统存储器530。传输介质的非限制性实例包括同轴电缆、铜线和光纤，包括构成系统总线521的导线。传输介质也能够采用声波或光波的形式，例如那些在无线电波和红外数据通信期间产生的。
45.用于执行本发明公开的操作的计算机可读介质指令能够是汇编器指令、指令集架构(isa)指令、机器指令、机器相关指令、微码、固件指令、状态设置数据或以一种或多种编程语言的任意组合编写的任一源代码或目标代码，包括面向对象的编程语言，例如smalltalk、c++等，以及传统的过程编程语言，例如“c”编程语言或类似的编程语言。计算机可读程序指令能够完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立的软件包执行、部分在用户的计算机上且部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情况下，远程计算机能够通过任何类型的网络连接到用户的计算机，包括局域网(lan)或广域网(wan)，或者能够连接到外部计算机(例如，通过使用因特网服务提供商的因特网)。在一些实施例中，包括例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)的电子电路能够通过利用计算机可读程序指令的状态信息来个性化电子电路来执行计算机可读程序指令，以便执行本发明公开的各方面。
46.在此参考根据本发明公开的实施例的方法、装置(系统)和计算机程序产品的流程图图示和/或框图来描述本发明公开的方面。应当理解，流程图和/或框图的每个框以及流程图和/或框图中的框的组合能够由计算机可读介质指令来实现。
47.计算环境500还能够包括在网络环境中运行的计算机系统510，该计算机系统使用逻辑连接到一个或多个远程计算机，例如远程计算设备580。网络接口570能够实现通信，例如，经由网络571与其他远程设备580或系统和/或存储设备541、542实现通信。远程计算设备580能够是个人计算机(笔记本或台式机)、移动设备、服务器、路由器、网络pc、对等设备或其他公共网络节点，并且通常包括以上关于计算机系统510描述的多个元件或所有元件。当在网络环境中使用时，计算机系统510能够包括调制解调器572，用于通过网络571(例如因特网)建立通信。调制解调器572能够经由用户网络接口570或经由另一适当机制连接到系统总线521。
48.网络571能够是本领域公知的任何网络或系统，包括因特网、内联网、局域网(lan)、广域网(wan)、城域网(man)、直接连接或一系列连接、蜂窝电话网络或能够促进计算机系统510与其他计算机(例如，远程计算设备580)之间的通信的任何其他网络或介质。网络571能够是有线的、无线的或其组合。有线连接能够使用以太网、通用串行总线(usb)、rj-6或本领域公知的任何其他有线连接来实现。能够使用wi-fi、wimax和蓝牙、红外线、蜂窝网络、卫星或本领域公知的任何其他无线连接方法来实现无线连接。此外，几个网络能够单独工作或相互通信以促进网络571中的通信。
49.应当理解，图5中描绘的存储在系统存储器530中的程序模块、应用程序、计算机可执行指令、代码等仅仅是说明性的而不是穷举性的，并且被描绘为由任何特定模块支持的处理能够替代地分布在多个模块上或由不同的模块执行。此外，能够提供各种程序模块、脚本、插件、应用程序编程接口(api)或本地托管在计算机系统510、远程设备580上和/或托管在能够经由网络571中的一个或多个网络访问的其他计算设备上的任何其他合适的计算机可执行代码，以支持由图5所描绘的程序模块、应用程序或计算机可执行代码提供的功能和/或附加功能或替代功能。此外，功能能够被不同地模块化，使得被描述为由图5所描绘的程序模块集合共同支持的处理能够由更少或更多数量的模块执行，或者被描述为由任何特定模块支持的功能能够至少部分地由另一模块支持。此外，支持本文描述的功能的程序模块能够形成一个或多个应用程序的一部分，该应用程序能够根据任何合适的计算模型(例如，客户端-服务器模型、对等模型等)在任何数量的系统或设备上执行。此外，任何被描述为由图5中描绘的任何程序模块支持的功能都能够至少部分地跨任何数量的设备以硬件和/或固件的形式来实现。
50.还应当理解，在不脱离本发明公开的范围的情况下，计算机系统510能够包括超出所描述或描绘的替代和/或额外的硬件、软件或固件部件。更特别地，应当理解，被描绘为构成计算机系统510的一部分的软件、固件或硬件部件仅仅是说明性的，并且一些部件可能不存在或者能够在各种实施例中提供附加部件。虽然各种说明性程序模块已经被描绘和描述为存储在系统存储器530中的软件模块，但是应当理解，被描述为由程序模块支持的功能能够通过硬件、软件和/或固件的任何组合来启用。还应当理解，在各种实施例中，上述模块中的每一个都能够表示支持的功能的逻辑分区。这种逻辑分区是为了便于解释功能而描绘的，可能不代表实现功能的软件、硬件和/或固件的结构。因此，应当理解，在各种实施例中，
被描述为由特定模块提供的功能能够至少部分地由一个或多个其他模块提供。此外，在某些实施例中可能不存在一个或多个所描绘的模块，而在其他实施例中，可能存在未描绘的附加模块并且能够支持所描述的功能和/或附加功能的至少一部分。此外，虽然某些模块能够被描绘和描述为另一个模块的子模块，但是在某些实施例中，这样的模块能够被提供为独立模块或其他模块的子模块。
51.尽管已经描述了本发明公开的具体实施例，但是本领域的普通技术人员将认识到，许多其他修改和替代实施例在本发明公开的范围内。例如，关于特定设备或部件描述的任何功能和/或处理能力能够由任何其他设备或部件执行。此外，虽然已经根据本发明公开的实施例描述了各种说明性实施方式和架构，但是本领域的普通技术人员将理解，对本文描述的说明性实施方式和架构的许多其他修改也在本发明公开的范围内。此外，应当理解，本文描述为基于另一操作、元件、部件、数据等的任何操作、元件、部件、数据等能够另外基于一个或多个其他操作、元件、部件、数据等。因此，术语“基于”或其变体应解释为“至少部分基于”。
52.尽管已经用特定于结构特征和/或方法动作的语言描述了实施例，但是应当理解，本发明公开不一定限于所描述的特定特征或动作。相反，具体特征和动作作为实现实施例的说明性形式被公开。条件性语言，例如“能够(can)”、“能够(could)”、“可能(might)”或“可能(may)”，除非另有具体说明，或在上下文中以其他方式理解，否则通常旨在传达某些实施例能够包括，而其他实施例不包括某些特征、元件和/或步骤。因此，这种条件性语言一般不意味着一个或多个实施例以任何方式需要特征、元件和/或步骤，或者一个或更多个实施例必须包括用于在有或没有用户输入或提示的情况下决定这些特征、元件、和/或步骤是否包括在任何特定实施例中或将在任何特定实施例中执行的逻辑。
53.图中的流程图和框图图示了根据本发明公开的各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。就此而言，流程图或框图中的每个框能够表示指令的模块、片段或一部分，其包括用于实现指定逻辑功能的一个或多个可执行指令。在一些替代实施方式中，框中标注的功能能够不按图中标注的顺序发生。例如，连续显示的两个框实际上能够基本上同时执行，或者这些框有时能够以相反的顺序执行，这取决于它们所涉及的功能。还应注意，框图和/或流程图图示的每个框，以及框图和/或流程图图示中的框的组合，能够由执行特定功能或动作或执行专用硬件和计算机指令的组合的基于专用硬件的系统来实现。

技术特征：

1.一种被配置作为私人网络与公共网络之间的单向通信连接来进行操作的数据采集装置，所述数据采集装置包括：发送机，所述发送机包括耦接到所述私人网络的一个或多个设备的单向网络接口，所述发送机被配置用于从所述私人网络的所述一个或多个设备收集原始数据，所述原始数据限定第一数据分布；和接收机，所述接收机被配置用于通过所述单向通信连接从所述发送机接收匿名数据，其中，所述发送机被配置用于基于所述原始数据的所述第一数据分布生成所述匿名数据，使得所述匿名数据代表所述原始数据而不公开所述原始数据。2.根据权利要求1所述的数据采集装置，其中，所述接收机被配置用于将所述匿名数据发送至所述公共网络内的分析系统，使得能够基于代表所述原始数据的所述匿名数据对所述原始数据进行分析。3.根据权利要求1所述的数据采集装置，其中，所述发送机还被配置用于在所述发送机接收相应的所述原始数据时生成对应于所述原始数据的所述匿名数据，以便限定连续的在线数据匿名化。4.根据权利要求1所述的数据采集装置，其中，所述发送机还包括神经网络，所述神经网络被配置用于基于所述原始数据生成所述匿名数据，使得所述匿名数据限定具有第二数据分布的合成数据，所述第二数据分布落在所述第一数据分布的预定公差内。5.根据权利要求4所述的数据采集装置，其中，所述发送机被配置用于基于来自所述私人网络的所述一个或多个设备的真实数据来训练所述神经网络。6.根据权利要求4所述的数据采集装置，其中，所述发送机包括第一容器和所述第一容器内的数据收集应用程序，所述数据收集应用程序被配置为监听所述单向网络接口，以便从所述私人网络的所述一个或多个设备收集所述原始数据。7.根据权利要求6所述的数据采集装置，其中，所述发送机还包括与所述第一容器分离的第二容器，所述神经网络在所述第二容器内。8.根据权利要求1所述的数据采集装置，其中，所述发送机还包括耦接到导线的输入端和耦接到所述导线的输出端，所述数据采集装置进一步包括：监控装置，所述监控装置包括耦接到所述发送机的所述输出端和所述输入端以限定回路的所述导线，所述监控装置还包括电感耦接到所述回路以限定所述单向通信连接的。9.根据权利要求8所述的数据采集装置，其中，所述接收机耦接到所述和所述公共网络，所述接收机被配置用于在一个或多个特定时间监听所述，以便通过由所述监控装置限定的所述单向通信连接从所述发送机接收所述匿名数据。10.一种由数据采集装置执行的方法，所述数据采集装置包括发送机、与所述发送机物理隔离的接收机、以及所述发送机与所述接收机之间的监控装置，所述数据采集装置设置在私人网络与公共网络之间，所述方法包括：所述发送机从所述私人网络的一个或多个设备收集原始数据，所述原始数据限定第一数据分布；基于所述原始数据的所述第一数据分布，在不公开所述原始数据的情况下，生成代表所述原始数据的匿名数据；以及
所述接收机通过由所述监控装置限定的单向通信连接来接收所述匿名数据。11.根据权利要求10所述的方法，所述方法还包括：所述接收机将所述匿名数据发送给所述公共网络内的分析系统，使得所述分析系统能够基于表示所述原始数据的所述匿名数据来分析所述原始数据，而无需所述分析系统获得所述原始数据。12.根据权利要求10所述的方法，其中，生成匿名数据还包括：当所述发送机接收相应的所述原始数据时，生成对应于所述原始数据的所述匿名数据，以限定连续的在线数据匿名化。13.根据权利要求10所述的方法，其中，所述发送机包括神经网络，所述方法还包括：通过所述神经网络基于所述原始数据生成所述匿名数据，使得所述匿名数据限定具有落在所述第一数据分布的预定公差内的第二数据分布的合成数据。14.根据权利要求13所述的方法，所述方法还包括：基于来自所述私人网络的所述一个或多个设备的真实数据训练所述神经网络。15.根据权利要求14所述的方法，其中，所述发送机包括第一容器和所述第一容器内的数据收集应用程序，所述方法还包括：由所述数据收集应用程序监听所述发送机的单向网络接口，以便从所述私人网络的所述一个或多个设备收集所述原始数据。16.根据权利要求15所述的方法，其中，所述发送机还包括在所述第一容器内的数据库，所述方法还包括：由所述数据收集应用程序将所述原始数据存储在所述第一容器内的所述数据库中。17.根据权利要求16所述的方法，其中，所述发送机还包括与所述第一容器分离的第二容器，所述神经网络在所述第二容器内，所述方法还包括：通过所述神经网络从所述第一容器内的所述数据库中检索所述原始数据；以及将所述合成数据存储在所述第二容器内的第二数据库中。18.根据权利要求10所述的方法，所述方法还包括：由所述接收机在一个或多个特定时间监听所述监控装置，以便通过所述单向通信连接从所述发送机接收所述匿名数据。19.根据权利要求10所述的方法，所述方法还包括：将所述匿名数据存储在所述数据采集装置的所述接收机上的数据库中。20.一种包括中央服务器和多个数据采集装置的系统，所述多个数据采集装置中的每个数据采集装置被配置作为所述中央服务器与多个私人网络中的相应私人网络之间的单向通信连接来进行操作，每个数据采集装置包括：发送机，所述发送机包括耦接到所述相应私人网络的一个或多个设备的单向网络接口，所述发送机被配置用于：从所述相应私人网络的所述一个或多个设备收集原始数据，以及在所述原始数据的基础上，在不公开所述原始数据的情况下，生成代表所述原始数据的合成数据；和接收机，所述接收机被配置用于：通过所述单向通信连接从所述发送机接收所述合成数据，以及
将所述合成数据发送至所述中央服务器，使得能够基于代表所述原始数据的所述合成数据来分析来自所述多个私人网络的所述原始数据，而无需所述中央服务器获取所述原始数据。

技术总结

在工业系统中，数据采集装置能够被配置作为私人网络与公共网络之间的单向通信连接来操作。数据采集装置还能够被配置用于从私人网络采集原始数据。原始数据能够限定数据分布。数据采集装置还能够被配置用于基于原始数据的数据分布来生成代表原始数据的匿名数据或合成数据。匿名数据能够通过单向通信连接传输到数据采集装置的接收机。在一些情况下，接收机能够将匿名数据发送给公共网络内的分析系统，使得分析系统能够基于代表原始数据的匿名数据对原始数据进行分析，而无需分析系统获取原始数据。原始数据。原始数据。