基于跟踪时间敏感网络中的异常传播的攻击者定位的制作方法

1.实施例通常涉及联网安全。更特别地，实施例涉及基于跟踪时间敏感网络中的异常传播的攻击者定位。


背景技术：

2.时间敏感网络（tsn）环境（例如机器人）可以包括经由一个或多个交换节点被耦合到领导者节点（例如具有参考时钟）的跟随者节点。在节点中的一个节点上运行的攻击者（例如恶意代码）可以通过延迟消息并且修改交换节点上的驻留时间来影响时间同步。作为结果，当跟随者节点运行时间同步协议时，跟随者节点相对于参考时钟的去同步化可能会发生。另外，攻击者可能会在受损节点中保持不被检测到。
附图说明
3.图1a是根据实施例的网络拓扑和时序调度的示例的说明；图1b是根据实施例的在跟随者节点的再同步期间具有恶意节点的网络拓扑的示例的说明；图1c是根据实施例的相对于时序调度的非顺从跟随者节点的示例的说明；图1d是根据实施例的在交换节点的再同步期间具有恶意节点的网络拓扑的示例的说明；图1e是根据实施例的相对于时序调度的非顺从跟随者节点和非顺从交换节点的示例的说明；图1f是根据实施例的在另一交换节点的再同步期间具有恶意节点的网络拓扑的示例的说明；图1g是根据实施例的基于非顺从节点和顺从节点在网络拓扑中的位置来识别恶意节点的示例的说明；图2是根据实施例的远程性能测量的示例的说明；图3a-3e是根据实施例的使用远程性能测量和带密钥散列值来确定节点相对于时序调度是顺从的还是非顺从的示例的说明；图4是根据实施例的监测节点的示例的框图；图5是根据实施例的具有平面分集的网络拓扑的示例的框图；图6是根据实施例的操作监测节点的方法的示例的流程图；图7是根据实施例的性能增强的计算系统的示例的框图；图8是根据实施例的半导体封装设备的示例的说明；图9是根据实施例的处理器的示例的框图；以及图10是根据实施例的基于多处理器的计算系统的示例的框图。
具体实施方式
4.图1a示出了诸如例如时间敏感网络（tsn）拓扑的网络拓扑20（20a-20h）。网络拓扑20可以被部署在各种环境中，诸如例如机器人环境、自主车辆、物联网（iot）环境等等。在说明的示例中，多个跟随者节点20f-20h（例如节点“6”到“8”）经由多个交换节点20b-20e（例如节点“2”到“5”）被耦合到领导者节点20a（例如具有参考时钟的节点“1”）。
5.说明的网络拓扑20根据时序调度22（22a-22h，例如，电气和电子工程师协会/ieee 802.1qbv，用于局域网和城域网的标准-媒体访问控制（mac）网桥和虚拟桥接局域网修正：对于调度业务的增强）进行通信。例如，调度领导者节点20a以在时间窗口22a期间传送消息，调度第一交换节点20b以在时间窗口22b期间传送消息，调度第二交换节点20c以在时间窗口22c期间传送消息等等。
6.图1b示出了其中攻击者将第二交换节点20c转换成恶意节点的示例。因此，第二交换节点20c可能会延迟消息、修改交换机上的驻留时间等等。当第一跟随者节点20f相对于领导者节点20a的参考时钟进行再同步26（“resync”）时，再同步26失败，因为第二交换节点20c位于领导者节点20a和第一跟随者节点20f之间的关键路径中。因此，第一跟随者节点20f变得不同步。
7.图1c示出了第一跟随者节点20f的去同步化的结果。在说明的示例中，第一跟随者节点20f在与第一跟随者节点20f对应的时间窗口22f之外传送一个或多个后同步消息24。实施例规定检测到第一跟随者节点20f相对于时序调度22是非顺从节点并且从单个点（例如监测节点）确定恶意节点在网络拓扑20中的位置。
8.图1d示出了针对第四交换节点20e相对于领导者节点20a的参考时钟正在进行再同步28。因为第二交换节点20c位于领导者节点20a和第四交换节点20e之间的关键路径中，所以再同步28失败并且第四交换节点20e变得不同步。
9.图1e示出了第四交换节点20e的去同步化的结果。在说明的示例中，第四交换节点20e在与第四交换节点20e对应的时间窗口22e之外传送一个或多个后同步消息30。因此，第四交换节点20e可以被确定为相对于时序调度22是非顺从节点。
10.图1f示出了针对第一交换节点20b相对于领导者节点20a的参考时钟正在进行再同步32。因为第二交换节点20c没有位于领导者节点20a和第一交换节点20b之间的关键路径中，所以再同步32成功并且第一交换节点20b变得同步（例如顺从）。
11.图1g显示了将第一跟随者节点20f和第四交换节点20e检测为非顺从节点、将第一交换节点20b检测为顺从节点并且了解非顺从节点和顺从节点在网络拓扑20中的位置使得第二交换节点20c能够被自动识别为恶意节点（例如攻击者）。更特别地，说明的第二交换节点20c是最有可能成为攻击者的候选者，因为第二交换节点20c处于两个非顺从节点的关键路径中并且第一交换节点20b（例如两个非顺从节点的关键路径中唯一的其他节点）是顺从的。
12.图2示出了在网络拓扑中的各种位置处正在进行远程性能测量（例如关键性能指标/kpi测量）。通常，kab指由节点“b”对从节点“a”接收到的消息进行的kpi测量。因此，k21是由领导者节点20a对从第一交换节点20b接收到的消息进行的kpi测量，k12是由第一交换节点20b对从领导者节点20a接收到的消息进行的kpi测量，k32是由第一交换节点20b对从第二交换节点20c接收到的消息进行的kpi测量等等。kpi测量可以包括帧进入时间测量、驻
留时间测量、校正字段测量等、或者其任何组合。通常，校正字段可以反映分组要穿过网络有线/无线介质所花费的时间以及分组在装置中所花费的时间。随着分组在网络中行进，这个时间可以累积。到分组到达目的地的时候，校正字段包含了通过网络的总传送时间。
13.图3a示出了通信示例，其中领导者节点20a起监测节点的作用。在说明的示例中，领导者节点20a将消息36发送到第一交换节点20b并且第一交换节点20b相对于消息36进行远程性能测量k12。第一交换节点20b与领导者节点20a共享密码密钥对并且生成是远程性能测量k12和与领导者节点20a共享的密钥对的函数的后向路径带密钥散列值h2’（例如，对于hx(y)，由节点x在数据y上进行的带密钥散列摘要）。在说明的示例中，第一交换节点20b将远程性能测量k12和后向路径带密钥散列值h2’发送回到领导者节点20a。第一交换节点20b还可以将前向路径带密钥散列值h2作为消息38发送到第二交换节点20c。说明的第二交换节点20c相对于消息38进行远程性能测量k23。
14.图3b显示了第二交换节点20c可以生成是远程性能测量k23和在第二交换节点20c与领导者节点20a之间共享的密钥对的函数的后向路径带密钥散列值h3’。在说明的示例中，第二交换节点20c将远程性能测量k23和后向路径带密钥散列值h3’发送回到第一交换节点20b。另外，第一交换节点20b将远程性能测量k23和后向路径带密钥散列值h3’转发到领导者节点20a。第二交换节点20c还可以将前向路径带密钥散列值h3作为消息40发送到第三交换节点20d，其中h3是h2、k23和与领导者节点20a共享的密钥对的函数。说明的第三交换节点20d相对于消息40进行远程性能测量k34。
15.图3c显示了第三交换节点20d可以生成是远程性能测量k34和在第三交换节点20d与领导者节点20a之间共享的密钥对的函数的后向路径带密钥散列值h4’。在说明的示例中，第三交换节点20d将远程性能测量k34和后向路径带密钥散列值h4’发送回到第二交换节点20c。另外，第二交换节点20c将远程性能测量k34和后向路径带密钥散列值h4’转发到第一交换节点20b，第一交换节点20b又将远程性能测量k34和后向路径带密钥散列值h4’转发到领导者节点20a。第三交换节点20d可以将前向路径带密钥散列值h4作为消息42发送到第一跟随者节点20f，其中h4是h3、k34和与领导者节点20a共享的密钥对的函数。说明的第一跟随者节点20f相对于消息42进行远程性能测量k46。
16.图3d显示了第一跟随者节点20f可以生成是h4、远程性能测量k46和与第三交换节点20d共享的密钥对的函数的后向路径带密钥散列值h6’。在说明的示例中，第一跟随者节点20f将远程性能测量k46和后向路径带密钥散列值h6’作为消息44发送回到第三交换节点20d。另外，第三交换节点20d将远程性能测量k64和后向路径带密钥散列值h6’转发到第二交换节点20c，第二交换节点20c又将远程性能测量k64和后向路径带密钥散列值h6’转发到第一交换节点20b。第一交换节点20b将远程性能测量值k64和后向路径带密钥散列值h6’转发到领导者节点20a。
17.在实施例中，第三交换节点20d还相对于消息44进行远程性能测量k64并且生成是h6’和k64的函数的另一后向路径散列值h4’。说明的第三交换节点20d然后在消息46中将k64和h4’发送回到第二交换节点20c。第二交换节点20c可以相对于消息46进行远程性能测量k43并且生成是h4’和k43的函数的另一后向路径带密钥散列值h3’。第二交换节点20c然后在消息48中将k43和h3’发送回到第一交换节点20b。在实施例中，第一交换节点20b相对于消息48进行远程性能测量k32并且生成是h3’、h4’和k32的函数的另一后向路径带密钥散
列值h2’。说明的第一交换节点20b然后在消息49中将k32和h2’发送回到领导者节点20a。带密钥散列值中的每一个还可以与时间戳相关联以防止回放攻击成功。通常，领导者节点20a检查带密钥散列变化并且验证哪些带密钥散列失败。带密钥散列的验证的失败表示攻击者篡改过带密钥散列。因此，通过分析哪些带密钥散列成功验证过以及哪些带密钥散列失败过，确定攻击者位于何处是可能的。在验证带密钥散列时，监测器可以检查伴随有消息的kpi。这种检查使得监测器能够验证跨网络的kpi的历史上下文并且确定kpi是否正在违反性能/测量期望。
18.图3e显示了第二交换节点20c上的攻击者可能会使第一跟随者节点20f去同步。在这种情况下，带密钥散列值携带对正在被转移到领导者节点20a（例如监测节点）的kpi的真实性保护。在接收到远程性能测量k64时，领导者节点20a检测到第一跟随者节点20f不同步。此外，如果第二交换节点20c上的恶意代码改变k64，则k64的验证将会失败，这将指示或者第二交换节点20c或者第一跟随者节点20f被潜在地损害。
19.现在转向图4，示出了监测节点50，其中收集时间敏感网络的节点的历史属性。在说明的示例中，监测节点50收集“节点2”的历史属性的第一集合52、“节点3”的历史属性的第二集合54以及“节点4”的历史属性的第三集合56。属性可以包括例如与受保护的窗口有关的帧进入时间、节点内的驻留时间、传入消息的校正字段等等。在实施例中，监测节点50随时间收集信息并且使用时间序列分析来检查测量的历史上下文。因此，随时间的偏差可触发异常/攻击检测。因此，可以基于历史属性数据来检测非顺从节点。可以在时钟领导者、边缘节点或者具有可见性和与网络中感兴趣的节点通信的能力的其他节点中实现监测节点50。
20.图5示出了具有平面分集的网络拓扑60。更特别地，可以通过数据平面和控制平面来完成由领导者节点62监测网络。在一个示例中，平面可以是有线的和无线的两者。作为结果，由于被用来监测网络的链路的分集导致实施例可以增加整个方案的弹性。因此，可以基于平面分集数据进一步检测非顺从节点。
21.图6示出了操作监测节点的方法70。通常可以在诸如例如已经讨论过的领导者节点20a（图1a-3e）、监测节点50（图4）和/或领导者节点62（图5）的网络节点中实现方法70。更特别地，方法70可以在一个或多个模块中被实现为被存储在诸如随机存取存储器（ram）、只读存储器（rom）、可编程rom （prom）、固件、闪速存储器等机器或计算机可读存储介质中的、在诸如例如可编程逻辑阵列（pla）、现场可编程门阵列（fpga）、复杂可编程逻辑器件（cpld）的可配置硬件中的、在使用诸如例如专用集成电路（asic）、互补金属氧化物半导体（cmos）或晶体管-晶体管逻辑（ttl）技术的电路技术的固定功能性硬件中的、或者其任何组合的逻辑指令的集合。
22.例如，可以用包括诸如java、smalltalk、c++等的面向对象的编程语言以及诸如“c”编程语言或类似编程语言的常规的过程编程语言的一种或多种编程语言的任何组合来编写用来执行方法70中示出的操作的计算机程序代码。另外，逻辑指令可以包括汇编指令、指令集架构（isa）指令、机器指令、机器相关指令、微代码、状态设置数据、用于集成电路系统的配置数据、使电子电路系统和/或硬件固有的其他结构组件（例如主处理器、中央处理单元/cpu、微控制器等）个性化的状态信息。
23.说明的处理框72检测相对于时序调度的一个或多个非顺从节点。在实施例中，框
72基于历史属性数据或平面分集数据中的一个或多个来检测（一个或多个）非顺从节点。框74检测相对于时序调度的一个或多个顺从节点。在一个示例中，基于一个或多个后同步消息来检测（一个或多个）非顺从节点和（一个或多个）顺从节点。另外，（一个或多个）后同步消息中的至少一个可以包括远程性能测量和带密钥散列值。在这种情况下，远程性能测量可以包括帧进入时间测量、驻留时间测量或校正字段测量中的一个或多个。此外，带密钥散列值可与由监测节点和（一个或多个）非顺从节点中的至少一个共享的密钥对和时间戳相关联。框76基于（一个或多个）非顺从节点和（一个或多个）顺从节点在网络拓扑中的位置来识别恶意节点。方法70因此至少在时序调度和网络拓扑的使用使得去同步化攻击的来源能够被自动确定的程度上增强了性能。
24.现在转向图7，示出了性能增强的计算系统110。系统110通常可以是具有计算功能性（例如个人数字助理/pda、笔记本电脑、平板电脑、可变式平板、服务器）、通信功能性（例如智能电话）、成像功能性（例如照相机、便携式摄像机）、媒体播放功能性（例如智能电视/tv）、可穿戴功能性（例如手表、眼镜、头饰、鞋类、珠宝）、交通工具功能性（例如汽车、卡车、摩托车）、机器人功能性（例如自主机器人）、物联网（iot）功能性等或其任何组合的电子装置/平台的一部分。
25.在说明的示例中，系统110包括主处理器112（例如cpu），所述主处理器112具有耦合到系统存储器116的集成存储器控制器（imc）114。在实施例中，io模块118被耦合到主处理器112。说明的io模块118与例如显示器124（例如触摸屏、液晶显示器/lcd、发光二极管/led显示器）、网络控制器126（例如有线的和/或无线的）以及大容量存储设备128（例如硬盘驱动器/hdd、光盘、固态驱动器/ssd、闪速存储器等）通信。系统110还可以包括图形处理器120（例如图形处理单元/gpu），所述图形处理器120与主处理器112和io模块118被合并进片上系统（soc）130。
26.在一个示例中，系统存储器116和/或大容量存储设备128包括可执行程序指令122的集合，所述可执行程序指令122的集合在被soc 130执行时促使soc 130和/或计算系统110实现已经讨论过的方法70（图6）的一个或多个方面。因此，soc 130可以执行指令122以检测相对于时序调度的一个或多个非顺从节点、检测相对于时序调度的一个或多个顺从节点、并且基于一个或多个非顺从节点和一个或多个顺从节点在网络拓扑中的位置来识别恶意节点。计算系统110因此至少在时序调度和网络拓扑的使用使得去同步化攻击的来源能够被自动确定的程度上被认为是性能增强的。
27.图8示出了半导体设备140（例如包括辅助处理器的芯片和/或封装）。说明的设备140包括一个或多个衬底142（例如硅、蓝宝石、砷化镓）和耦合到（一个或多个）衬底142的逻辑144（例如晶体管阵列和其他集成电路/ic组件）。在实施例中，逻辑144实现已经讨论过的方法70（图6）的一个或多个方面。因此，逻辑144可以检测相对于时序调度的一个或多个非顺从节点、检测相对于时序调度的一个或多个顺从节点、并且基于一个或多个非顺从节点和一个或多个顺从节点在网络拓扑中的位置来识别恶意节点。设备140因此至少在时序调度和网络拓扑的使用使得去同步化攻击的来源能够被自动确定的程度上被认为是性能增强的。
28.可至少部分地在可配置或固定功能性硬件中实现逻辑144。在一个示例中，逻辑144包括位于（例如嵌入）（一个或多个）衬底142内的晶体管沟道区。因此，逻辑144与（一个
或多个）衬底142之间的界面可以不是突变结。逻辑144还可以被认为包括在（一个或多个）衬底142的初始晶片上生长的外延层。
29.图9说明了根据一个实施例的处理器核200。处理器核200可以是诸如微处理器、嵌入式处理器、数字信号处理器（dsp）、网络处理器或执行代码的其他装置的任何类型的处理器的核。虽然在图9中说明了仅一个处理器核200，但是处理元件可以备选地包括多于一个的图9中说明的处理器核200。处理器核200可以是单线程核，或者对于至少一个实施例，处理器核200可以是多线程的，因为它可以包括每核多于一个硬件线程上下文（或者“逻辑处理器”）。
30.图9还说明了耦合到处理器核200的存储器270。存储器270可以是如本领域技术人员已知的或者以其他方式可用的各种各样的存储器（包括存储器层级结构的各个层）中的任何。存储器270可以包括要由处理器核200执行的一个或多个代码213指令，其中代码213可以实现已经讨论过的方法70（图6）。处理器核200遵循由代码213指示的指令的程序序列。每个指令可以进入前端部分210并且可以被一个或多个解码器220处理。解码器220可以生成诸如预定义格式的固定宽度微操作的微操作作为其输出，或者可以生成反映原始代码指令的其他指令、微指令或控制信号。说明的前端部分210还包括通常分配资源并且将与转换指令对应的操作排队以用于执行的寄存器重命名逻辑225和调度逻辑230。
31.处理器核200被示出包括具有执行单元255-1到255-n的集合的执行逻辑250。一些实施例可以包括专用于特定功能或功能集的多个执行单元。其他实施例可以包括仅一个执行单元或者可以执行特定功能的一个执行单元。说明的执行逻辑250执行由代码指令规定的操作。
32.在完成由代码指令规定的操作的执行之后，后端逻辑260引退代码213的指令。在一个实施例中，处理器核200允许无序执行，但是要求指令的按顺序引退。引退逻辑265可以采取如本领域技术人员已知的各种形式（例如重新排序缓冲器等等）。以这种方式，处理器核200在代码213的执行期间至少在由解码器生成的输出、由寄存器重命名逻辑225利用的硬件寄存器和表以及由执行逻辑250修改的任何寄存器（未示出）方面被变换。
33.虽然图9中未说明，但是处理元件可以在具有处理器核200的芯片上包括其他元件。例如，处理元件可以包括存储器控制逻辑连同处理器核200。处理元件可以包括i/o控制逻辑和/或可以包括与存储器控制逻辑集成的i/o控制逻辑。处理元件还可以包括一个或多个高速缓冲存储器。
34.现在参考图10，示出的是根据实施例的计算系统1000实施例的框图。图10中示出的是多处理器系统1000，所述多处理器系统1000包括第一处理元件1070和第二处理元件1080。虽然示出了两个处理元件1070和1080，但是要理解，系统1000的实施例也可以包括仅一个这样的处理元件。
35.系统1000被说明为点到点互连系统，其中第一处理元件1070和第二处理元件1080经由点到点互连1050被耦合。应当理解，图10中说明的互连中的任何或所有互连可以被实现为多点总线而不是点到点互连。
36.如图10所示，处理元件1070和1080中的每一个可以是多核处理器，包括第一处理器核和第二处理器核（即处理器核1074a和1074b以及处理器核1084a和1084b）。这样的核1074a、1074b、1084a、1084b可以被配置成以与上面和图9有关地讨论的方式类似的方式执
行指令代码。
37.每个处理元件1070、1080可以包括至少一个共享的高速缓冲存储器1896a、1896b。共享的高速缓冲存储器1896a、1896b可以分别存储被诸如核1074a、1074b和1084a、1084b的处理器的一个或多个组件利用的数据（例如指令）。例如，共享的高速缓冲存储器1896a、1896b可以本地高速缓存被存储在存储器1032、1034中的数据以用于由处理器的组件更快存取。在一个或多个实施例中，共享的高速缓冲存储器1896a、1896b可以包括一个或多个中级高速缓冲存储器，诸如2级（l2）、3级（l3）、4级（l4）或其他级别的高速缓冲存储器、末级高速缓冲存储器（llc）和/或其组合。
38.虽然示出了具有仅两个处理元件1070、1080，但是要理解，实施例的范围并不会被如此限制。在其他实施例中，在给定的处理器中可以存在一个或多个附加处理元件。备选地，处理元件1070、1080中的一个或多个可以是不同于处理器的元件，诸如加速器或现场可编程门阵列。例如，（一个或多个）附加处理元件可以包括与第一处理器1070相同的（一个或多个）附加处理器、与第一处理器1070异质或不对称的（一个或多个）附加处理器、加速器（诸如例如图形加速器或数字信号处理（dsp）单元）、现场可编程门阵列或者任何其他处理元件。处理元件1070、1080之间在包括架构、微架构、热、功耗特性等等的一系列品质度量方面可存在有各种差异。这些差异可以有效地将它们自己表现为处理元件1070、1080之间的不对称性和异质性。对于至少一个实施例，各种处理元件1070、1080可以驻留在相同管芯封装中。
39.第一处理元件1070可以进一步包括存储器控制器逻辑（mc）1072以及点到点（p-p）接口1076和1078。类似地，第二处理元件1080可以包括mc 1082以及p-p接口1086和1088。如图10所示，mc 1072和1082将处理器耦合到相应的存储器，即存储器1032和存储器1034，它们可以是本地附接到相应的处理器的主存储器的部分。虽然mc 1072和1082被说明为被集成进处理元件1070、1080，但是对于备选实施例，mc逻辑可以是处理元件1070、1080外部的分立逻辑，而不是被集成在其中。
40.第一处理元件1070和第二处理元件1080可以分别经由p-p互连1076、1086被耦合到i/o子系统1090。如图10所示，i/o子系统1090包括p-p接口1094和1098。此外，i/o子系统1090包括接口1092以将i/o子系统1090与高性能图形引擎1038耦合。在一个实施例中，总线1049可以被用来将图形引擎1038耦合到i/o子系统1090。备选地，点到点互连可以耦合这些组件。
41.i/o子系统1090又可经由接口1096被耦合到第一总线1016。在一个实施例中，第一总线1016可以是外围组件互连（pci）总线，或者是诸如pci快速总线的总线，或者是另一个第三代i/o互连总线，尽管实施例的范围并不会被如此限制。
42.如图10所示，各种i/o装置1014（例如生物扫描仪、扬声器、照相机、传感器）可以被耦合到第一总线1016，连同可将第一总线1016耦合到第二总线1020的总线桥1018。在一个实施例中，第二总线1020可以是低引脚计数（lpc）总线。在一个实施例中，各种装置可以被耦合到第二总线1020，包括例如键盘/鼠标1012、（一个或多个）通信装置1026以及诸如磁盘驱动器或者可以包括代码1030的其他大容量存储装置的数据存储单元1019。说明的代码1030可以实现已经讨论过的方法70（图6）并且可以类似于已经讨论过的代码213（图9）。此外，音频i/o 1024可以被耦合到第二总线1020，并且电池1010可以给计算系统1000供电。
43.注意到，设想了其他实施例。例如，代替图10的点到点架构，系统可以实现多点总线或者另一这样的通信拓扑。而且，备选地可以使用比图10所示的更多或更少的集成芯片来划分图10的元件。
44.附加的注释和示例示例1包括一种性能增强的计算系统，所述性能增强的计算系统包括网络控制器、耦合到网络控制器的处理器、耦合到处理器的存储器，其中存储器包括指令的集合，所述指令的集合在被处理器执行时促使处理器检测相对于时序调度的一个或多个非顺从节点、检测相对于时序调度的一个或多个顺从节点、以及基于一个或多个非顺从节点和一个或多个顺从节点在网络拓扑中的位置来识别恶意节点。
45.示例2包括示例1的计算系统，其中要基于一个或多个后同步消息来检测一个或多个非顺从节点和一个或多个顺从节点。
46.示例3包括示例2的计算系统，其中一个或多个后同步消息中的至少一个要包括远程性能测量和带密钥散列值。
47.示例4包括示例3的计算系统，其中远程性能测量要包括帧进入时间测量、驻留时间测量或校正字段测量中的一个或多个。
48.示例5包括示例3的计算系统，其中带密钥散列值要与由监测节点和一个或多个非顺从节点中的至少一个共享的密钥对和时间戳相关联。
49.示例6包括示例1至5中的任何一个示例的计算系统，其中要基于历史属性数据和平面分集数据来检测一个或多个非顺从节点。
50.示例7包括一种半导体设备，所述半导体设备包括一个或多个衬底；以及耦合到一个或多个衬底的逻辑，其中至少部分地在可配置或固定功能性硬件当中的一个或多个中实现逻辑，逻辑用来检测相对于时序调度的一个或多个非顺从节点、检测相对于时序调度的一个或多个顺从节点、以及基于一个或多个非顺从节点和一个或多个顺从节点在网络拓扑中的位置来识别恶意节点。
51.示例8包括示例7的半导体设备，其中要基于一个或多个后同步消息来检测一个或多个非顺从节点和一个或多个顺从节点。
52.示例9包括示例8的半导体设备，其中一个或多个后同步消息中的至少一个要包括远程性能测量和带密钥散列值。
53.示例10包括示例9的半导体设备，其中远程性能测量要包括帧进入时间测量、驻留时间测量或校正字段测量中的一个或多个。
54.示例11包括示例9的半导体设备，其中带密钥散列值要与由监测节点和一个或多个非顺从节点中的至少一个共享的密钥对和时间戳相关联。
55.示例12包括示例7至11中的任何一个示例的半导体设备，其中要基于历史属性数据和平面分集数据来检测一个或多个非顺从节点。
56.示例13包括至少一种计算机可读存储介质，所述至少一种计算机可读存储介质包括指令的集合，所述指令的集合在被计算系统执行时促使计算系统检测相对于时序调度的一个或多个非顺从节点、检测相对于时序调度的一个或多个顺从节点、以及基于一个或多个非顺从节点和一个或多个顺从节点在网络拓扑中的位置来识别恶意节点。
57.示例14包括示例13的至少一种计算机可读存储介质，其中要基于一个或多个后同
步消息来检测一个或多个非顺从节点和一个或多个顺从节点。
58.示例15包括示例14的至少一种计算机可读存储介质，其中一个或多个后同步消息中的至少一个要包括远程性能测量和带密钥散列值。
59.示例16包括示例15的至少一种计算机可读存储介质，其中远程性能测量要包括帧进入时间测量、驻留时间测量或校正字段测量中的一个或多个。
60.示例17包括示例15的至少一种计算机可读存储介质，其中带密钥散列值要与由监测节点和一个或多个非顺从节点中的至少一个共享的密钥对和时间戳相关联。
61.示例18包括示例13至17中的任何一个示例的至少一种计算机可读存储介质，其中要基于历史属性数据和平面分集数据来检测一个或多个非顺从节点。
62.示例19包括一种方法，所述方法包括：检测相对于时序调度的一个或多个非顺从节点、检测相对于时序调度的一个或多个顺从节点、以及基于一个或多个非顺从节点和一个或多个顺从节点在网络拓扑中的位置来识别恶意节点。
63.示例20包括示例19的方法，其中基于一个或多个后同步消息来检测一个或多个非顺从节点和一个或多个顺从节点。
64.示例21包括示例20的方法，其中一个或多个后同步消息中的至少一个包括远程性能测量和带密钥散列值。
65.示例22包括示例21的方法，其中远程性能测量包括帧进入时间测量、驻留时间测量或校正字段测量中的一个或多个。
66.示例23包括示例21的方法，其中带密钥散列值与由监测节点和一个或多个非顺从节点中的至少一个共享的密钥对和时间戳相关联。
67.示例24包括示例19至23中的任何一个示例的方法，其中基于历史属性数据和平面分集数据来检测一个或多个非顺从节点。
68.示例25包括用于执行示例19至24中的任何一个示例的方法的部件。
69.因此，本文中描述的技术遵循再同步的序列、检测偏差的进展并且回溯至攻击节点。技术还在网络中的每一跳处全局地执行kpi和/或属性测量以确定违例正在哪里发生。此外，技术聚合了来自节点的历史数据的收集。
70.实施例对与所有类型的半导体集成电路（“ic”）芯片一起使用很合适。这些ic芯片的示例包括但不限于处理器、控制器、芯片集组件、可编程逻辑阵列（pla）、存储器芯片、网络芯片、片上系统（soc）、ssd/nand控制器asic等等。另外，在图当中一些图中，用线来表示信号导线。一些可以是不同的，以指示更多的组成信号路径，具有数字标签，以指示多个组成信号路径，和/或在一个或多个末端处具有箭头，以指示主要信息流方向。然而，不应当以限制的方式来解释这个。相反，可以与一个或多个示范性实施例有关地使用这样的添加的细节以便于更容易理解电路。无论是否具有附加信息，任何所表示的信号线实际上都可以包括可以在多个方向上传播的一个或多个信号，并且可以利用例如用差分对、光纤线和/或单端线实现的数字或模拟线的任何合适类型的信号方案来实现任何所表示的信号线。
71.可能已经给出了示例大小/模型/值/范围，尽管实施例不限于相同的。随着制造技术（例如光刻术）随时间的推移而成熟，期望可制造更小大小的装置。另外，为了简化说明和讨论并且为了不混淆实施例的某些方面，在图内可示出或者可不示出公知的到ic芯片和其他组件的电源/接地连接。此外，为了避免模糊实施例并且还考虑到相对于这样的框图布置
的实现的细节高度依赖于要在其内实现实施例的计算系统的事实，即这样的细节应当完全在本领域技术人员的范围内，可以以框图形式示出布置。在陈述具体细节（例如电路）以便描述示例实施例之处，对于本领域技术人员来说应当显而易见的是，可以在没有这些具体细节的情况下或者利用这些具体细节的变化来实施实施例。描述因此被认为是说明性的而不是限制的。
72.术语“耦合的”可以在本文中被用来指所讨论的组件之间的任何类型的直接或间接关系，并且可适用于电、机械、流体、光、电磁、机电或其他连接。另外，除非另有说明，术语“第一”、“第二”等可以在本文中仅被用来便于讨论并且未携带特定的时间或时间顺序意义。
73.如本技术中和权利要求书中所使用的，由术语
“……
中的一个或多个”连接的项的列表可以指列示的项的任何组合。例如，短语“a、b或c中的一个或多个”可以指a；b；c；a和b；a和c；b和c；或者a、b和c。
74.本领域技术人员由前面的描述将会意识到，可以以各种各样的形式来实现实施例的宽泛技术。因此，虽然已经与其特定示例有关地描述了实施例，但是实施例的真实范围不应当被如此限制，因为在研究图、说明书和下面的权利要求时，其他修改对有技术的从业人员来说将变得显而易见。