CN111224937A - 用于保护飞行器免受网络攻击的方法和系统 - Google Patents
用于保护飞行器免受网络攻击的方法和系统 Download PDFInfo
- Publication number
- CN111224937A CN111224937A CN201911084486.0A CN201911084486A CN111224937A CN 111224937 A CN111224937 A CN 111224937A CN 201911084486 A CN201911084486 A CN 201911084486A CN 111224937 A CN111224937 A CN 111224937A
- Authority
- CN
- China
- Prior art keywords
- parameter
- measurement
- correlation
- aircraft
- measurements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B64—AIRCRAFT; AVIATION; COSMONAUTICS
- B64F—GROUND OR AIRCRAFT-CARRIER-DECK INSTALLATIONS SPECIALLY ADAPTED FOR USE IN CONNECTION WITH AIRCRAFT; DESIGNING, MANUFACTURING, ASSEMBLING, CLEANING, MAINTAINING OR REPAIRING AIRCRAFT, NOT OTHERWISE PROVIDED FOR; HANDLING, TRANSPORTING, TESTING OR INSPECTING AIRCRAFT COMPONENTS, NOT OTHERWISE PROVIDED FOR
- B64F5/00—Designing, manufacturing, assembling, cleaning, maintaining or repairing aircraft, not otherwise provided for; Handling, transporting, testing or inspecting aircraft components, not otherwise provided for
- B64F5/60—Testing or inspecting aircraft components or systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Environmental & Geological Engineering (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Manufacturing & Machinery (AREA)
- Transportation (AREA)
- Aviation & Aerospace Engineering (AREA)
- Traffic Control Systems (AREA)
- Testing Of Devices, Machine Parts, Or Other Structures Thereof (AREA)
- Alarm Systems (AREA)
Abstract
本公开涉及用于保护飞行器免受网络攻击的方法和系统。本发明提供检测飞行器的机载系统中网络攻击的方法和系统。在对这些机载系统的测量结果中的一个有疑问的情况下,将测量结果进行关联以验证疑问(并因此验证网络攻击)或避免风险。可将相关性理解为使两个或更多个要素/事实(如测量结果或获取的值)相对应,这使得可突出显示这些要素/事实彼此间是否有依赖关系,从而证明其他要素/事实对一个要素/事实的修改的是合理的。可疑测量结果的识别与一个或多个其他(准)同时测量结果之间的相关性、优选地时间相关性允许实时动态检测网络攻击而无论网络攻击是否已知。因此,不依赖于仅基于对现有网络攻击的先验知识而开发的对机载系统的静态保护。
Description
技术领域
本发明涉及航空领域,并且更具体地涉及例如飞机等飞行器中的机载系统的安全性。
背景技术
飞行器(典型地是飞机)包括越来越精细的机载系统。机载系统通常包括通过一个或多个通信网络彼此互连的几个电子和数据处理子系统,这些子系统能够出于冗余目的而是有备份的。这些子系统包括例如机载计算机、网络链接、数据处理单元等。
机载系统通常实时地操作以实现空中导航,例如以便安全地进行飞行。
但是,机载系统可能会遭受网络攻击,即通过数据处理网络进行的且旨在破坏这些机载系统及其所包含和处理的信息的自发的恶意或敌意动作。
为了抵御这些网络攻击,在机载飞行器系统中提供了保护措施。这些保护措施主要是添加到这些子系统中的各种软件层或硬件层,这些层像防护罩一样防止威胁影响这些子系统。
在预先知道这些层所处理的威胁的程度上,这种方法是静态的。要适应新威胁,就需要连续监测和研究机载系统中的所有活动以便检测新威胁(新类型的网络攻击)。于是,因此必须进行新的且有时是昂贵的开发,以使这些保护层适于检测到新威胁。
期望改善这种情况。
发明内容
在这种背景下,本发明提出了一种用于保护飞行器上的机载系统免受网络攻击的新方法。所述方法包括以下步骤:
测量所述机载系统中的至少第一参数;
检测所述第一参数的异常测量结果;
确定所述第一参数的所述异常测量结果与至少第二航空电子参数的值之间的相关性,以便识别网络攻击;
根据所确定的相关性在所述飞行器中启动校正动作。
特别是当所述相关性的结果表明存在网络攻击时,就会采取校正动作。优选地,在相反情况下不采取任何动作。
因此,本发明提出将在飞机上获取的并且被标识为可疑的测量结果与另一个航空电子参数相关联,以识别网络攻击(并由此启动校正动作)。该另一航空电子参数可以在飞机上获得而无需测量,或者其可以由探头或传感器测量。这种相关性有利地使得可以在简单地获取参数的基础上检测网络攻击,而无需在硬件方面提供特定的保护开发。此外,这种相关性对意外的错误测量结果(即,尚未设想到的网络攻击)具有动态适应性。
相应地,本发明还提出了一种用于保护飞行器中的机载系统免受网络攻击的系统,所述系统具有与所述方法的优点类似的优点。所述系统包括:
一个或多个探头,用于测量所述机载系统中的至少第一参数;
处理器,用于检测所述第一参数的异常测量结果;
相关性处理器,被配置成确定所述第一参数的所述异常测量结果与至少第二航空电子参数的值之间的相关性以便识别网络攻击;
反应模块,被配置成根据所确定的相关性在所述飞行器中启动校正动作。
所述校正动作可以包括用于引起机组人员注意的简单警告信号,和/或针对检测到的网络攻击采取的一项或多项对策。可以根据第一受损参数来预定义这些对策和/或可以根据攻击的重要性(例如,异常测量结果相对于参考值(诸如该第一参数的先验值)的偏移大小)来适配这些对策。
本发明还提出了一种飞行器,所述飞行器包括机载系统以及用于保护所述机载系统的系统。
可选地,所述方法和所述系统可以包括关于诸如以下所述的不同实施例的特征。
在一个实施例中,所述相关性表示对所述第一参数的所述异常测量结果的检测与对所述第二参数的修改之间的时间相关性。通过这种方式,寻求评估异常测量结果的出现与机组人员进行的动作的存在之间的相关性(通过修改另一个参数)。实际上,强相关性表明异常测量结果是希望的,并且因此与微弱相关性或甚至不存在相关性相反,该异常测量结果不是由网络攻击造成的。
在特定实施例中,确定相关性包括将在检测到所述异常测量结果时所述第二参数的测量结果与在至少一个先前时间所述第二参数的另一测量结果进行比较。该比较使得可以确认是否存在对该第二参数的修改,并且因此可以确认是否存在机组人员的动作。可以对可能与被测量为异常的参数相关联的几个“第二”参数重复此方法。
在本发明的一个实施例中,检测所述第一参数的异常测量结果的步骤包括:确定第一机载系统中所述第一参数的可疑测量结果;然后将所述可疑测量结果与以所述第一机载系统冗余的机载系统中的相同的第一参数的测量结果进行比较。这种配置使得可以弃用最终是由于被监测设备的故障或崩溃造成的可疑测量结果。
在一个实施例中,测量、检测、确定和启动的步骤是在所述飞行器上进行的。因此,这种配置提出了自主保护飞行器免受网络攻击。
在另一个实施例中,将所述第一参数的所述异常测量结果和至少第二参数的值(优选地,测量结果)从所述飞行器传输至地面站,并且所述确定相关性的步骤是由所述地面站进行的。当然,通常会传输大量的测量结果/值,使得可以分析几种危险的异常或可疑测量结果。可选地,可以设想限制所传输的信息量,例如仅传输异常测量结果以及与同所述第一参数相关联的参考参数(在这种情况下为至少第二参数)相对应的可获得测量结果或值,以实现相关性评估。
根据特定特征,所述飞行器从所述地面站接收要启动的校正动作。
根据另一个特定特征,确定相关性的步骤还包括将所述第一参数的所述异常测量结果与从至少一个其他飞行器获得的数据关联。因此,地面站使得可以考虑飞行器机队,以便评估网络攻击的风险。
附图说明
本发明的其他特征和优点将从以下通过附图所展示的描述中变得更加明显。
[图1]图1是设有多个机载系统的常规飞行器的示意图。
[图1A]图1A是根据本发明的实施例的设有多个机载系统和监测系统的飞行器的示意图。
[图2]图2示出了根据本发明的一个实施例的将可疑参数与相关性参数相关联的对应关系表的示例。
[图3]图3通过流程图示出了本发明的实施例的总体步骤。
具体实施方式
本发明提供了用于检测机载飞行器系统中的网络攻击的方法和系统。如以下描述中将披露的,在对在这些机载系统上得到的测量结果中的一个测量结果有疑问的情况下,可以将这些测量结果进行关联,以验证该疑问(并因此验证网络攻击)或避免风险。可以将相关性理解为使两个或更多个要素/事实(例如飞机上可获得的测量结果和值)相对应,这使得可以突出显示这些要素/事实彼此之间是否存在依赖关系,并且从而证明其他要素/事实对一个要素/事实的修改是合理的。
在可疑测量结果的识别与一个或多个其他(准)同时测量结果(或者可在飞机上获得的相关性参数的一个或多个值)之间的相关性(优选地,时间相关性)允许实时动态检测所有网络攻击,而无论所述网络攻击是否已知。因此,不依赖于仅基于对现有网络攻击的先验知识而开发的对机载系统的静态保护。
图1是飞行器1的示意图,该飞行器包括多个机载系统或装置10,例如机械系统、电气系统或液压系统,诸如泵、计算机、测量仪器、自动驾驶仪、机舱设备等。现代飞机具有通常连接到一个或多个通信网络12的数千个这样的机载系统。
为了语言方便,“机载系统”是指构成飞行器的相干电子和数据处理组件的这样一组设备和网络。机载系统可以依赖于单个通信网络。但是,通常是几个通信网络共存,它们限定了通过专用硬件(诸如交换机或集线器)彼此连接(即互连)的相应机载子系统。图1A示出了四个子系统的示例:
-第一子系统100,其基于ARINC 429(2012年发布的版本429-18)类型的航空电子网络、用于连接第一组航空电子设备;
-第二子系统101,其基于使用(例如符合ARINC 664标准第7部分的)虚拟链路的确定性交换式以太网网络、用于连接第二组航空电子设备;
-第三子系统102,其基于常规以太网网络、用于连接飞行器的另一组设备;
-第四专有子系统103,其连接执行飞行器的维护功能和警报功能的一组设备。
当然,此处仅通过说明的方式来描述这四个子系统。飞行器可以包括基于不同性质的网络的另一数量的子系统,或者甚至可以包括基于同一类型的通信网络的两个或更多个子系统。可选地,这些子系统中的一个或多个子系统可以与飞行器的其他子系统隔离(不互连)。
为了安全起见,机载设备和相应的子系统被备份以便提供航空电子功能的冗余。
为了进行根据本发明的对网络攻击的监测,在机载系统中提供了测量各种参数的探头。某些参数可以无需进行测量即可在飞行器上获得(例如在存储器中)。
探头可以集成在机载设备中,并且可以发送回该设备的操作参数。
作为变体,这些探头可以在专用于精密设备的监测模块20中使用。这些监测模块或“BiTE”(表示“内置测试设备(Built-in Test Equipment)”)通常在诊断和被动故障管理工具中使用。
仍然作为变体,可以在机载系统的各个位置添加探头30。例如,用于监测通信网络的探头使得可以监测在这些网络中传输的数据帧,从而进行采样并发送回某些数据或某些参数的值。一个探头可以同时监测几个参数,或者在探头被安装在例如将几个不同的子系统(或网络)互连的交换机上的情况下甚至可以监测这些子系统。
使用此类添加的探头30的优点是容易进行重新配置,以及能够访问非常大量的数据/参数。
举例而言,可以监测由机载无线电高度计提供的高度。
当然,机载系统通常将同时容纳集成式探头、BiTE探头20和监测探头30,但可以省略这些类型的探头之一。探头通常包括专用于获取所监测参数的测量结果以及附加功能(诸如过滤)的传感器,以便仅发送回感兴趣的测量结果。
在风险分析之后,可以在飞行器设计期间定义对要监测的设备和参数的选择。
监测所有设备和所有参数将是理想的,但是会消耗大量处理资源。而且,这优选地局限于对完成任务(通常是飞行)有用或甚至是必不可少的设备/功能。
对设备/参数的选择例如可以基于对由这些设备/参数的故障/错误或这些设备/参数中的故障/错误所造成的后果的分析。一个飞行器上应当针对许多设备。
为了减少这个数量,可以根据安全性风险进行选择,即根据这些相同后果与发生这些故障/错误的潜在风险之间的比率(例如百分比)进行选择。
要考虑的其他标准使得可以将监测范围扩展到已知的网络攻击之外。安全性分析(潜在的受伤人员、对飞行器或子系统造成的潜在损害)和/或操作性分析(对飞行器的可用性/针对受影响的任务在适当的时候要执行的子系统的可用性产生的潜在影响)和/或认知分析(对用户感知的图像的潜在影响)是使得可以识别新的相关设备/参数的一些示例。
机载系统可选地包括时钟40,该时钟使得可以对由探头进行的每个测量结果加时间戳。由此简化了所进行的不同测量结果的时间相关性。
如图1A示意性地示出,根据本发明的实施例的监测系统还包括集中器110、相关性模块120和反应模块130。
集中器110连接到设置在飞行器中的探头。该集中器接收由这些探头进行的所有测量结果。
某些探头(例如BiTE)只能在异常(故障或错误)的情况下传输信号,在这种情况下,可能会伴随相应参数的异常值。其他探头可以传输参数的当前值。另外的其他探头既可以传输异常信号,也可以传输相应参数的异常值,并且可以传输其他参数的当前值。在下面的示例中,由此获得的异常信号是可疑测量结果,这可能是网络攻击的结果。可以使用测量了其当前值的其他参数来与可疑测量结果相关联,以识别是否存在网络攻击。
因此,通过集中器110获得了大量的测量结果。因此,集中器可以包含过滤功能,以减少相关性模块120所使用的测量结果数量。
尽管提到了过滤,但可以通过存储器中的配置文件111对集中器110进行参数化,以便确定要(从某某探头)获取的测量结果以及要传输至相关性模块120的测量结果。配置文件尤其可以例如由地面站50实时地更新,以便使监测系统动态地适于识别新的网络威胁。然后响应于文件111的这种更新来更新集中器110的获取规则和传输规则。
相关性模块120包括对应关系模块或关联模块121、相关性处理器122以及形成相关性参数的一组参数测量结果或值123。测量结果123尤其可以来自集中器110,并且因此与由上述探头获取的测量结果相对应。可以从机载存储器中检索未经测量的参数值,或者可以由模块120经由飞行器的通信网络(例如网络100、101、102、103中的至少一个)获取未经测量的参数值。
在获取每个测量结果时,通过时钟40对每个测量结果加时间戳,以实现在机载系统中得到的测量结果的时间相关性。
对应关系模块121将第一参数与一个或多个其他对应参数相关联。该模块尤其用于当第一参数被认为是可疑或异常(并且因此该可疑或异常可能是由网络攻击造成的)时知道要与第一参数关联的参数。
在一个实施例中,对应关系模块121由简单的对应关系表组成,该简单的对应关系表将一个或多个参数(“第一参数”)与一个或多个其他对应的相关性参数相关联。但是,本发明不限于对应关系模块121的简单表。在一个实施例中,对应关系模块可以对应于包括大量参数以及这些参数之间的关联性规则的数据库。
图2所示的示例包括表121,该表列出了所有已测量的和获取的参数,例如在配置文件111中列出的那些参数。为此,文件111和表121可以是同一个表。
第一列包括标识表中每个条目的唯一索引。该条目指示(第二列)所讨论的参数,并指定(第四列)其他相关性参数。例如,被标识为“参数1”的参数#1将参数#8和参数#12呈现为相关性参数。
再次参考上面的示例,由无线电高度计提供的高度(参数#2)通过说明的方式呈现以下相关性参数:油门控制器的位置(例如参数#11)、发动机推力(#12)、襟翼的位置(#18)、纵倾调整片的位置(#20)。
该表还可以包括指示符,通常是指示哪些“第一参数”可能启动与第四列中的参数测量结果的相关性分析的一个位(第三列)。该指示符尤其使得集中器可以应用某些过滤(如下所述),以便识别这些所述第一参数(图中的“1”)。同样,指示符为“0”的行在第四列中没有指示任何参数。在此声明了这些行的参数(例如,以便可以从探头测量和获取这些参数),但这些参数仅用于与第四列中指示的“第一参数”进行关联。
相关性处理器122能够执行参数的可疑测量结果与如对应关系模块121中定义的同可疑参数相关联的一个或多个参数的获取值或测量结果之间的关联。为此,该相关性处理器接收与当前时间“t”相对应的可疑测量结果,并同时将该测量结果与可能从集中器110检索到的其他参数的一个或多个优选获取或测量的值进行关联。因此,这是时间相关性。
值得注意的是,处理器122试图以时间方式将可疑测量结果与修改一个或多个其他相关(即,如在对应关系模块121中所定义的相关联的)参数的时间进行关联。因此,处理器122对例如在时间“t”与先前时间(例如“t-1”(“-1”表示由探头、集中器110或模块120进行获取的先前时间))之间的这些其他参数的所获取值或测量结果进行比较。当然可以使用“t-1”以外的时间,特别是“t-2”或在预定义的过去时间间隔(例如1秒)内的任何时间。
可以使用与可疑参数相关联的参数中的仅一个参数的测量结果来执行关联。作为变体,几个相关联参数、或甚至所有这些相关联参数都用于确认可疑测量结果与对飞行器中几个条件(其他参数)的修改之间的相关性。
基于(所检查的每个可疑参数的)相关性的结果,相关性处理器122可以生成要发送到反应模块130的反应信号。
确认可疑测量结果例如在时间上与对其他参数的修改相对应的正相关性往往表明可疑测量结果是由这种修改(例如,机组人员对飞行器的动作)来解释的。在这种情况下,不需要并因此不生成反应信号。
相反,负相关性表明可疑测量结果在时间上不与机组人员对飞行器的干预相对应。这是网络攻击的问题。在这种情况下,可以由处理器122生成反应信号。反应信号可以尤其标识(例如,通过使用表121的第一列中的标识符)检测到的网络攻击所涉及的参数。
作为对应关系模块121的简单对应关系表的变体,相关性模块120和集中器110可以包括(例如基于神经网络的)自学习(self-learning)能力,以完善将可能受到网络攻击的参数与其他测量的参数进行关联的模型。这些自学习能力尤其不仅允许通过基于已经遇到的最终已被诊断为网络攻击的一组情况的学习来进行初始配置,而且还允许在同一飞行器或由地面站管理的机队中的另一飞行器上检测到新的网络攻击时进行动态更新(在这种情况下,将允许自学习的数据从地面站发送到飞行器)。
反应模块130可以包括要向机组人员发送警告的处理器131以及对策处理器132。
警告处理器131可以基于接收到的反应信号来生成听觉或视觉类型的警告,以警告机组人员。声音或显示(文本、光等)可以是受到网络攻击损害的(例如在反应信号中标识的)参数的功能。
对策处理器132可以响应于反应信号而实施旨在克制网络攻击的(例如,存储器中的)一组预定义措施,以便不污染其他参数/设备和/或减弱或校正受损参数对其他参数/设备的影响。这可能只是向机组人员指示以进行实施的对策指令的问题。
探头、集中器110、相关性模块120和反应模块130优选地集成在飞行器中,从而使得飞行器能够完全自主地检测和管理网络攻击。
有利地,地面站50包括地面相关性模块。在这种情况下,飞行器1和地面站设有用于传输所得到的测量结果或获取的值(从飞行器到地面站)以及可能的反应信号(从地面站到飞行器)、或甚至向飞行器传输更新信息的常规通信装置。可替代地,当飞行器在地面上时,通过物理介质(例如USB棒)来传输所得到的测量结果/获取的值以及可能的反应信号。
所传输的测量结果可以是从探头获取的那些测量结果。作为变体,仅传输由集中器110过滤的测量结果以及与过滤后的测量结果相关联的参数的测量结果(并且因此这些测量结果被认为是异常的),从而限制了在每个获取时间内传输的测量结果的数量。也可以传输未经测量而获取的值。
相关性模块120使得可以在飞行器飞行期间基于在飞行器上测量/获取的参数来检测网络攻击。地面相关性模块使得可以基于由地面站管理的一组飞行器所获取的参数(实时获取的参数和/或与所述飞行器的先前飞行历史相对应的参数)来检测网络攻击。
当地面相关性模块检测到网络攻击时,地面站将反应信号发送到飞行器和/或由该地面站管理的一组飞行器。
上面提到的各种模块可以以软件方式实施,并且可以由一个或多个专用处理器执行。
允许安全系统使用根据本发明的方法的每个程序/软件产品的可执行代码可以存储在硬盘上或只读存储器中或任何其他合适的存储元件中。
中央处理单元或处理器将控制并管理来自根据本发明的一个或多个程序的指令或部分软件代码的执行。通电时,以非易失性方式存储的一个或多个程序被转移到与该中央处理单元或处理器相关联的随机存取存储器中,该随机存取存储器则包含根据本发明的一个或多个程序的可执行代码以及用于存储实施本发明所必需的变量和参数的寄存器。
图3示出了用于保护机载系统(诸如图1和图1A所示的机载系统)免受网络攻击的方法的步骤。
在步骤300中,放置在飞行器中的各种探头连续地测量各种操作参数。在每个获取时间对这些测量结果加时间戳。
某些参数无需测量即可获取。
在上述示例中,探头测量由机载无线电高度计提供的高度。与高度相对应的相关性参数(即油门控制器的位置、发动机推力(例如表示该推力的指示符)、襟翼的位置、和纵倾调整片的位置)是例如无需测量即可在飞行器上获得的参数。这些参数是例如由相关性模块120经由飞行器的通信网络(例如网络100、101、102、103中的至少一个)获取的。
在步骤310中,集中器110连续获取所有或一些测量结果。优选地,集中器110仅获取配置文件111中所指示的可测量参数的测量结果。
在步骤320中,集中器110检测在不对应于正常操作条件的意义上可疑的一个或多个测量结果。为此,集中器110可以具有数据库,该数据库向该集中器提供正常操作条件(例如,可能值的范围、值的最大变化速度等)、故障模式、以及(例如,探头所监测的设备与另一设备的通信所依据的数据交换协议的)其他信息的知识。
优选地,集中器110可以将该步骤限制为激活(“1”)了配置文件111的指示符(第三列——图2)(或任何相同信息)的参数。
在上述示例中,集中器接收高度测量结果,并考虑到正常操作条件将该高度测量结果标识为可疑。例如,高度测量结果与先前的测量结果相差太多。
在可选步骤330中,集中器110过滤可疑测量结果,以确定那些可能是网络攻击的迹象的可疑测量结果。由此减少了下一步骤要关联的可疑测量结果的数量。
在此提醒,可疑测量结果测量与机载设备/网络相对应的参数。出于安全原因,在飞行器中备份了该设备/网络。因此,过滤可以包括将可疑测量结果与(以产生该可疑测量结果的机载系统冗余的)冗余机载系统中(在同一时刻或接近的时间)相同参数的测量结果进行比较。
最后,如果这两个测量结果(主测量结果和冗余测量结果)不同,则可以怀疑主设备发生故障或崩溃。另一方面,如果这两个测量结果完全相同,则可以怀疑存在网络攻击。对如此标识的异常测量结果进行如下所述的相关性分析。
在上述示例中,将可疑高度测量结果与同一时间来自冗余无线电高度计的高度测量结果进行比较。如果这两个高度测量结果不同,则认为主无线电高度计发生故障;如果它们完全相同,则高度测量结果异常。
即使在该示例中步骤320和330是由集中器110进行的,但是实施例规定它们可以在探头本身中进行。通常,BiTE监测模块足以包括用于进行这些处理的资源。在这种情况下,集中器只能获取由步骤330产生的异常测量结果(而不是那些由于证明与故障或崩溃有关而被弃用的异常测量结果)以及将被用于关联操作的常规测量结果(通常是其在配置文件111的指示符(第三列——图2)(或任何完全相同的信息)被去激活(“0”)的那些参数)。然后在步骤320和330之后进行步骤340。
当检测到异常测量结果时,启动步骤340。该异常测量结果被传输到相关性模块120,该相关性模块识别相关联的相关性参数(例如在表121的第4列中给出的那些相关性参数)并检索这些相关联参数的测量结果或(获取的)值。
因此,将在时间“t”的异常测量结果与相关联参数在时间“t”的一个或多个测量结果/值关联。值得注意的是,确定异常测量结果与其他参数的值之间的相关程度。
异常测量结果与由机组人员的动作造成的测量结果值变化有所区别。为了区别于后者,于是关联可以包括以下步骤:
-将相关联参数之一在时间“t”的测量结果与同一相关联参数的(例如在“t-1”的)先前测量结果进行比较。该比较使得可以知道机组人员是否已进行了某一动作(这修改了该相关联参数)。可以检查几个相关联参数。而且,代替比较测量结果,可以比较无需测量而获取的这些相关联参数的值,
-在这两个测量结果或值之间存在差异(例如,超过阈值检测值)的情况下,认为异常测量结果是机组人员的动作的结果(异常测量结果与相关联参数的修改之间的强相关性)。否则,认为异常测量结果是网络攻击的结果(相关性弱或甚至不存在)。
在上述示例中,油门控制器的位置、发动机推力(例如表示该推力的指示符)、襟翼的位置、和纵倾调整片的位置是与异常高度测量结果ALT(t)相关联的参数。
如果油门控制器MAN的位置在“t-1”(或另一个最近的先前时间)与“t”之间发生了显著变化,则高度测量结果ALT(t)与油门控制器变化之间存在很强的时间相关性。然后认为ALT(t)是正常的。没有信号发送回机组人员。
如果MAN没有显著改变,就像其他相关联参数没有显著改变一样,则处理器122不会确定ALT(t)与相关联参数的任何修改之间的相关性:然后检测到网络攻击。
当反应模块130从相关性处理器122接收到反应信号时启动步骤350,该信号在检测到网络攻击之后。在步骤350中,通常以听觉信号或视觉信号的方式发射警告信号以警告机组人员,并且可以采取一种或多种对策。特别地,机载系统尤其可以具有自动重新配置自身的能力,以减弱或消除所识别的网络威胁。
在一个实施例中,关联步骤340由地面站50进行,该地面站从飞行器接收测量结果和值,并在基于异常测量结果检测到网络攻击的情况下向飞行器返回反应信号。
地面站50的使用为处理在飞行器上或甚至在飞行器机队上获取的测量结果提供了更多的资源。
对于关联步骤340,还可以使用除了所讨论的飞行器的测量结果源以外的测量结果源,例如,从整个机队检索的参数。该整个机队可以例如与属于利用地面站50的航空公司(或一群航空公司)的一组相似飞行器相对应。
使用地面站50的另一个优点是,当地面站检测到网络攻击时,地面站能够向所有机队飞行器警告该风险,并发送新的检测程序和适当的新对策。值得注意的是,然后可以更新配置文件111和/或对应关系模块121以反映该新的检测程序(例如,使用要测量和/或过滤和/或关联的新参数)。作为变体,地面站可以指示网络攻击的(其将能够识别的)前兆信号。
如上面所呈现和描述的,本发明允许动态检测未知的网络攻击。这种改进的检测可以实现更好的进行反应。而且,由此改善了机载系统的安全性。
在一个实施例中,本发明可以与已知的解决方案相结合,诸如作为抵御网络威胁的防护罩而添加到子系统的软件层或静态(或被动)硬件层。
前述示例仅为本发明的一些非限制性的实施例。
Claims (9)
1.一种用于保护飞行器(1)中的机载系统(10、12)免受网络攻击的方法,所述方法包括以下步骤:
测量(300)所述机载系统中的至少第一参数;
检测(320,330)所述第一参数的异常测量结果;
然后确定(340)所述第一参数的所述异常测量结果与至少第二航空电子参数的值之间的相关性,以便识别网络攻击;以及
根据所确定的相关性在所述飞行器中启动(350)校正动作;
在所述方法中,在确定相关性的步骤之前检测所述第一参数的异常测量结果的步骤包括:确定(320)第一机载系统中所述第一参数的可疑测量结果;然后将所述可疑测量结果与以所述第一机载系统冗余的机载系统中的相同的第一参数的测量结果进行比较(330),以便在所述可疑测量结果与所述冗余测量结果具有相等值的情况下,从所述相关性确定(340)中弃用所述可疑测量结果,并且在所述可疑测量结果与所述冗余测量结果具有不同值的情况下,保留所述可疑测量结果以用于相关性确定(340)。
2.根据权利要求1所述的方法,其特征在于,所述相关性表示对所述第一参数的所述异常测量结果的检测与对所述第二参数的修改之间的时间相关性。
3.根据权利要求2所述的方法,其特征在于,确定(340)相关性包括将在检测到所述异常测量结果时所述第二参数的测量结果与在至少一个先前时间所述第二参数的另一测量结果进行比较。
4.根据权利要求1至3之一所述的方法,其特征在于,测量、检测、确定和启动的步骤是在所述飞行器(1)上进行的。
5.根据权利要求1至3之一所述的方法,其特征在于,将所述第一参数的所述异常测量结果和至少第二参数的值从所述飞行器(1)传输至地面站(50),并且所述确定(340)相关性的步骤是由所述地面站进行的。
6.根据权利要求5所述的方法,其特征在于,所述飞行器从所述地面站接收要启动的校正动作。
7.根据权利要求5或6所述的方法,其特征在于,所述确定相关性的步骤还包括将所述第一参数的所述异常测量结果与从至少一个其他飞行器获得的数据关联。
8.一种用于保护飞行器(1)中的机载系统(10、12)免受网络攻击的系统,所述系统包括:
一个或多个探头(20,30),用于测量所述机载系统中的至少第一参数;
处理器(110),用于检测所述第一参数的异常测量结果;
相关性处理器(120,122),被配置成确定所述第一参数的所述异常测量结果与至少第二航空电子参数的值之间的相关性以便识别网络攻击;
反应模块(130),被配置成根据所确定的相关性在所述飞行器中启动校正动作;
在所述系统中,用于在确定相关性之前检测所述第一参数的异常测量结果的所述处理器(110)被配置成:确定第一机载系统中所述第一参数的可疑测量结果;然后将所述可疑测量结果与以所述第一机载系统冗余的机载系统中的相同的第一参数的测量结果进行比较,以便在所述可疑测量结果与所述冗余测量结果具有相等值的情况下,从所述相关性确定中弃用所述可疑测量结果,并且在所述可疑测量结果与所述冗余测量结果具有不同值的情况下,保留所述可疑测量结果以用于相关性确定。
9.一种飞行器(1),包括机载系统以及根据前一权利要求所述的用于保护所述机载系统的系统。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1871776 | 2018-11-23 | ||
FR1871776A FR3088909B1 (fr) | 2018-11-23 | 2018-11-23 | Procédé et système de sécurisation d’un aéronef contre les cyberattaques |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111224937A true CN111224937A (zh) | 2020-06-02 |
Family
ID=66166148
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911084486.0A Pending CN111224937A (zh) | 2018-11-23 | 2019-11-08 | 用于保护飞行器免受网络攻击的方法和系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11444965B2 (zh) |
CN (1) | CN111224937A (zh) |
FR (1) | FR3088909B1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11652839B1 (en) * | 2019-05-02 | 2023-05-16 | Architecture Technology Corporation | Aviation system assessment platform for system-level security and safety |
US11915596B2 (en) * | 2020-11-11 | 2024-02-27 | Honeywell International Inc. | Methods and systems for resolving tactile user input selections |
US11729195B1 (en) * | 2022-09-15 | 2023-08-15 | Cyviation Ltd | Computerized-system and computerized-method for detecting cyber-attacks on avionic communications of an airborne computerized-device |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8719308B2 (en) * | 2009-02-16 | 2014-05-06 | Business Objects, S.A. | Method and system to process unstructured data |
US8949668B2 (en) * | 2011-05-23 | 2015-02-03 | The Boeing Company | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model |
US9756062B2 (en) * | 2014-08-27 | 2017-09-05 | General Electric Company | Collaborative infrastructure supporting cyber-security analytics in industrial networks |
WO2016046819A1 (en) * | 2014-09-25 | 2016-03-31 | Tower-Sec Ltd. | Vehicle correlation system for cyber attacks detection and method thereof |
IL235356A (en) * | 2014-10-27 | 2016-02-29 | Accubeat Ltd | A method and device for providing secure time synchronization from a satellite navigator system |
US9591009B2 (en) * | 2015-08-06 | 2017-03-07 | The Boeing Company | Air-based and ground-based security information and event management system |
US20170345318A1 (en) * | 2016-05-25 | 2017-11-30 | General Electric Company | Aircraft control system |
CN109891739A (zh) * | 2016-11-10 | 2019-06-14 | 日本精工株式会社 | 电动助力转向装置 |
US10169979B2 (en) * | 2017-05-04 | 2019-01-01 | General Electric Company | Communicating alarm trigger status |
FR3071118B1 (fr) * | 2017-09-12 | 2020-09-04 | Thales Sa | Dispositif electronique et procede de reception de donnees via un reseau de communication rebonde, systeme de communication et programme d'ordinateur associes |
US10353767B2 (en) * | 2017-09-14 | 2019-07-16 | Bae Systems Controls Inc. | Use of multicore processor to mitigate common mode computing faults |
US10169135B1 (en) * | 2018-03-02 | 2019-01-01 | Uptake Technologies, Inc. | Computer system and method of detecting manufacturing network anomalies |
US11157524B2 (en) * | 2018-05-18 | 2021-10-26 | At&T Intellectual Property I, L.P. | Automated learning of anomalies in media streams with external feed labels |
-
2018
- 2018-11-23 FR FR1871776A patent/FR3088909B1/fr active Active
-
2019
- 2019-11-08 CN CN201911084486.0A patent/CN111224937A/zh active Pending
- 2019-11-18 US US16/686,880 patent/US11444965B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11444965B2 (en) | 2022-09-13 |
US20200169578A1 (en) | 2020-05-28 |
FR3088909A1 (fr) | 2020-05-29 |
FR3088909B1 (fr) | 2023-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3800520B1 (en) | Aircraft lru data collection and reliability prediction | |
RU2388661C2 (ru) | Способ контроля двигателя самолета | |
US10235523B1 (en) | Avionics protection apparatus and method | |
US9233763B1 (en) | Methods and systems for aircraft systems health trend monitoring | |
US10176649B2 (en) | Electronic apparatus and method for assisting an aircraft pilot, related computer program | |
CN111224937A (zh) | 用于保护飞行器免受网络攻击的方法和系统 | |
US9725186B2 (en) | Methods and systems for requesting and retrieving aircraft data during flight of an aircraft | |
US9836990B2 (en) | System and method for evaluating cyber-attacks on aircraft | |
EP2329459B1 (en) | Method and apparatus for obtaining vehicle data | |
US20040176887A1 (en) | Aircraft condition analysis and management system | |
US20080249678A1 (en) | Aircraft Failure Diagnostic Method and System | |
CN103425817A (zh) | 用担忧状况图辅助分析飞行器系统故障容差的方法、设备 | |
CN116758656B (zh) | 用于车辆监管的车载终端、系统及方法 | |
WO2015199782A2 (en) | System and method for improved health management and maintenance decision support | |
US9558450B2 (en) | System for recommending helicopter engine maintenance | |
CN113050595B (zh) | 一种基于pfmea和hra方法的潜在故障分析方法 | |
Khan et al. | Integration Issues for Vehicle Level Distributed Diagnostic Reasoners | |
Liqing et al. | A frame design of helicopter health monitoring and diagnosis system based on testability | |
Pipe | Measuring the Performance of a HUM System-the Features that Count | |
Westervelt | Root cause analysis of bit false alarms | |
Khan et al. | Health index and behaviour based vehicle level reasoning system | |
US20230114485A1 (en) | Condition Indicator Noise Reduction Through Operational Parameter-Based Corrections | |
Ellis et al. | Cyber State Requirements for Design and Validation of Trust in the Critical Transportation Infrastructure | |
Jennions et al. | Faisal Khan | |
Wang et al. | Design of integrated aircraft inflight safety monitoring and early warning system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |