FR3088909A1 - Procédé et système de sécurisation d’un aéronef contre les cyberattaques - Google Patents

Procédé et système de sécurisation d’un aéronef contre les cyberattaques Download PDF

Info

Publication number
FR3088909A1
FR3088909A1 FR1871776A FR1871776A FR3088909A1 FR 3088909 A1 FR3088909 A1 FR 3088909A1 FR 1871776 A FR1871776 A FR 1871776A FR 1871776 A FR1871776 A FR 1871776A FR 3088909 A1 FR3088909 A1 FR 3088909A1
Authority
FR
France
Prior art keywords
parameter
correlation
aircraft
measurement
parameters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1871776A
Other languages
English (en)
Other versions
FR3088909B1 (fr
Inventor
Bernard Rousse
Claude Poli
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus SAS
Original Assignee
Airbus SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Airbus SAS filed Critical Airbus SAS
Priority to FR1871776A priority Critical patent/FR3088909B1/fr
Priority to CN201911084486.0A priority patent/CN111224937A/zh
Priority to US16/686,880 priority patent/US11444965B2/en
Publication of FR3088909A1 publication Critical patent/FR3088909A1/fr
Application granted granted Critical
Publication of FR3088909B1 publication Critical patent/FR3088909B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B64AIRCRAFT; AVIATION; COSMONAUTICS
    • B64FGROUND OR AIRCRAFT-CARRIER-DECK INSTALLATIONS SPECIALLY ADAPTED FOR USE IN CONNECTION WITH AIRCRAFT; DESIGNING, MANUFACTURING, ASSEMBLING, CLEANING, MAINTAINING OR REPAIRING AIRCRAFT, NOT OTHERWISE PROVIDED FOR; HANDLING, TRANSPORTING, TESTING OR INSPECTING AIRCRAFT COMPONENTS, NOT OTHERWISE PROVIDED FOR
    • B64F5/00Designing, manufacturing, assembling, cleaning, maintaining or repairing aircraft, not otherwise provided for; Handling, transporting, testing or inspecting aircraft components, not otherwise provided for
    • B64F5/60Testing or inspecting aircraft components or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Manufacturing & Machinery (AREA)
  • Transportation (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Traffic Control Systems (AREA)
  • Alarm Systems (AREA)
  • Testing Of Devices, Machine Parts, Or Other Structures Thereof (AREA)

Abstract

La présente invention fournit des procédés et systèmes pour la détection de cyberattaques dans des systèmes embarqués (10, 12) d’aéronef (1). Des mesures (300) effectuées sur ces systèmes embarquées sont corrélées (340) en cas de doute d’une des mesures, afin de valider le doute (et donc une cyberattaque) ou d’écarter le risque. La corrélation peut être entendue comme une mise en correspondance de deux ou plusieurs éléments/faits (par exemple mesures ou valeurs acquises) qui permet de mettre en exergue s’il existe une dépendance de l’un à l’autre et ainsi justifier les modifications de l’un par celles de l’autre. La corrélation de préférence temporelle entre l’identification d’une mesure suspecte et une ou plusieurs autres mesures (quasi)simultanées permet une détection dynamique, en temps réel, des cyberattaques, fussent-elles déjà connues ou non. On s’affranchit ainsi d’une protection statique des systèmes embarqués développée sur la connaissance a priori des seules cyberattaques existantes. Figure pour l’abrégé : Figure 3

Description

Description
Titre de l'invention : Procédé et système de sécurisation d’un aéronef contre les cyberattaques
Domaine technique [0001] La présente invention concerne le domaine aéronautique, et plus particulièrement la sécurité des systèmes embarqués dans un aéronef, par exemple un avion.
Technique antérieure [0002] Les aéronefs, typiquement les avions, comportent des systèmes embarqués de plus en plus sophistiqués. Un système embarqué comprend généralement plusieurs soussystèmes électroniques et informatiques reliés entre eux par un ou plusieurs réseaux de communication, lesquels sous-systèmes peuvent être dupliqués à des fins de redondance. Les sous-systèmes incluent par exemple des calculateurs embarqués, des liens réseaux, des unités informatiques, etc.
[0003] Les systèmes embarqués opèrent généralement en temps réel pour les besoins de la navigation aérienne, par exemple pour réaliser de façon sécurisée un vol.
[0004] Ils pourraient cependant être sujets à des cyberattaques, c’est-à-dire des actions volontaires, offensives ou malveillantes, menée au travers de réseaux informatiques et destinées à provoquer un dommage à ces systèmes embarquées et aux informations qu’ils contiennent et traitent.
[0005] Pour se prémunir de ces cyberattaques, des protections sont prévues dans les systèmes embarqués d’aéronef. Il s’agit principalement de différentes couches logicielles ou matérielles ajoutées aux sous-systèmes, couches qui empêchent, telles des boucliers, les menaces d’affecter ces sous-systèmes.
[0006] Cette approche est statique en ce que les menaces traitées par ces couches sont connues à l’avance. Son adaptation à de nouvelles menaces requiert de surveiller et étudier en continu toute activité dans le système embarqué pour détecter de nouvelles menaces (nouveaux types de cyberattaques). Puis, de nouveaux développements parfois coûteux doivent alors être réalisés pour adapter ces couches de protection aux nouvelles menaces détectées.
[0007] Il serait souhaitable d’améliorer cette situation.
Exposé de l'invention [0008] Dans ce contexte, l’invention propose un nouveau procédé de sécurisation d’un système embarqué dans un aéronef contre des cyber-attaques. Le procédé comprend les étapes suivantes :
mesurer au moins un premier paramètre dans le système embarqué, détecter une mesure anormale du premier paramètre, déterminer une corrélation entre la mesure anormale du premier paramètre et la valeur d’au moins un second paramètre avionique, pour identifier une cyber-attaque, déclencher une action correctrice dans l’aéronef en fonction de la corrélation déterminée.
[0009] L’action correctrice a lieu notamment lorsque le résultat de la corrélation renseigne d’une cyberattaque. De préférence, aucune action n’est prise dans le cas inverse.
[0010] L’invention propose ainsi de corréler une mesure effectuée dans l’avion et identifiée comme suspecte avec un autre paramètre avionique, aux fins d’identifier une cyberattaque (et ainsi déclencher une action correctrice). L’autre paramètre avionique peut être disponible dans l’avion sans mesure ou être mesuré par une sonde ou un capteur. Cette corrélation permet avantageusement de baser la détection de cyberattaques sur de simples acquisitions de paramètres, sans prévoir des développements spécifiques de protection dans les équipements. Elle permet en outre une adaptabilité dynamique à des mesures erronées non anticipées (c’est-à-dire des cyberattaques non encore envisagées).
[0011] Corrélativement, l’invention propose également un système de sécurisation d’un système embarqué dans un aéronef contre des cyber-attaques ayant des avantages similaires à ceux du procédé. Le système comprend :
une ou plusieurs sondes pour mesurer au moins un premier paramètre dans le système embarqué, un processeur pour détecter une mesure anormale du premier paramètre, un processeur de corrélation configuré pour déterminer une corrélation entre la mesure anormale du premier paramètre et la valeur d’au moins un second paramètre avionique pour identifier une cyber-attaque, un module de réaction configuré pour déclencher une action correctrice dans l’aéronef en fonction de la corrélation déterminée.
[0012] L’action correctrice peut comprendre un simple signal d’alerte à l’attention de l’équipage, et/ou comprendre une ou des contremesures à la cyberattaque détectée. Les contremesures peuvent être prédéfinies selon le premier paramètre compromis et/ou être adaptées en fonction de l’importance de l’attaque (par exemple l’importance d’un décalage de la mesure anormale par rapport à une valeur de référence telle qu’une valeur antérieure du premier paramètre).
[0013] L’invention propose également un aéronef comportant un système embarqué et un système de sécurisation du système embarqué.
[0014] De façon optionnelle, le procédé et le système peuvent comprendre des caractéristiques relatives à différents modes de réalisation tels que décrits par la suite.
[0015] Dans un mode de réalisation, la corrélation est représentative d’une corrélation temporelle entre la détection de la mesure anormale du premier paramètre et une modi fication du second paramètre. Par ce biais, on cherche à évaluer la corrélation entre l’apparition de la mesure anormale et l’existence d’une action de l’équipage (par la modification d’un autre paramètre). Une forte corrélation indique en effet que la mesure anormale est souhaitée, et ne résulte donc pas d’une cyberattaque, au contraire d’une corrélation faible voire inexistante.
[0016] Dans un mode de réalisation particulier, déterminer une corrélation comprend la comparaison d’une mesure du second paramètre à l’instant de détection de la mesure anormale avec une autre mesure du second paramètre à au moins un instant précédent. Cette comparaison permet de confirmer l’existence d’une modification du second paramètre, et donc éventuellement d’une action de l’équipage. Cette approche peut être répétée pour plusieurs « second » paramètres qui seraient associées au paramètre mesuré comme anormal.
[0017] Dans un mode de réalisation de l’invention, l’étape de détection d’une mesure anormale du premier paramètre comporte la détermination d’une mesure suspecte du premier paramètre dans un premier système embarqué, puis la comparaison de la mesure suspecte avec une mesure du même premier paramètre dans un système embarqué redondant au premier système embarqué. Cette configuration permet d’écarter des mesures suspectes qui résultent en définitive d’une défaillance ou panne de l’équipement surveillé.
[0018] Dans un mode de réalisation, les étapes de mesurer, détecter, déterminer et déclencher sont réalisées à bord de l’aéronef. Cette configuration propose ainsi une sécurisation autonome des aéronefs contre les cyberattaques.
[0019] Dans un autre mode de réalisation, la mesure anormale du premier paramètre et la valeur (préférentiellement la mesure) d’au moins un second paramètre sont transmises de l’aéronef à une station au sol, l’étape de détermination d’une corrélation étant effectuée par la station au sol. Bien entendu un plus grand nombre de mesures/valeurs est généralement transmis, permettant d’analyser plusieurs mesures suspectes ou anormales à risque. Optionnellement, il peut être envisagé de limiter la quantité d’informations transmises, par exemple seulement les mesures anormales et les mesures ou valeurs disponibles correspondant aux paramètres de référence (ici l’au moins second paramètre) associés au premier paramètre pour permettre l’évaluation de la corrélation.
[0020] Selon une caractéristique particulière, l’aéronef reçoit, de la station au sol, une action corrective à déclencher.
[0021] Selon une autre caractéristique particulière, l’étape de détermination d’une corrélation comporte en outre la corrélation de la mesure anormale du premier paramètre avec une donnée obtenue d’au moins un autre aéronef. La station au sol permet ainsi de tenir compte d’une flotte d’aéronefs pour évaluer les risques de cyberattaque.
Brève description des dessins [0022] D'autres particularités et avantages de l'invention apparaîtront encore dans la description ci-après, illustrée par les dessins ci-joints.
[0023] [fig.l]
La figure 1 illustre schématiquement un aéronef classique doté d’une pluralité de systèmes embarqués.
[0024] [fig.l A]
La figure IA illustre schématiquement un aéronef doté d’une pluralité de systèmes embarqués et d’un système de surveillance selon des modes de réalisation de l’invention.
[0025] [fig.2]
La figure 2 illustre un exemple de table de correspondance associant des paramètres suspects à des paramètres de corrélation selon un mode de réalisation de l’invention.
[0026] [fig.3]
La figure 3 illustre, à l’aide d’un ordinogramme, des étapes générales d’un mode de réalisation de l’invention.
Description des modes de réalisation [0027] La présente invention fournit des procédés et systèmes pour la détection de cyberattaques dans des systèmes embarqués d’aéronef. Comme il ressortira de la description ci-après, des mesures effectuées sur ces systèmes embarquées peuvent être corrélées en cas de doute d’une des mesures, afin de valider le doute (et donc une cyberattaque) ou d’écarter le risque. La corrélation peut être entendue comme une mise en correspondance de deux ou plusieurs éléments/faits (par exemple mesures et valeurs disponibles dans l’avion) qui permet de mettre en exergue s’il existe une dépendance de l’un à l’autre et ainsi justifier les modifications de l’un par celles de l’autre.
[0028] La corrélation, de préférence temporelle, entre l’identification d’une mesure suspecte et une ou plusieurs autres mesures (quasi)simultanées (ou une ou plusieurs valeurs disponibles dans l’avion pour des paramètres de corrélation) permet une détection dynamique, en temps réel, de toutes les cyberattaques, fussent-elles déjà connues ou non. On s’affranchit ainsi d’une protection statique des systèmes embarqués développée sur la connaissance a priori des seules cyberattaques existantes.
[0029] La figure 1 illustre schématiquement un aéronef 1 comprenant une multitude de systèmes ou dispositifs embarqués 10, par exemple des systèmes mécaniques, électriques ou hydrauliques tels des pompes, des calculateurs, des instruments de mesure, des pilotes automatiques, des équipements de cabine, etc. Les avions modernes présentent plusieurs milliers de tels systèmes embarqués généralement reliés à un ou plusieurs réseaux de communication 12.
[0030] Par facilité de langage, on désigne par « système embarqué » l’ensemble de ces équipements et réseaux constituant un ensemble électronique et informatique cohérent de l’aéronef. Le système embarqué peut s’appuyer sur un seul réseau de communication. Cependant, généralement, plusieurs réseaux de communication coexistent, définissant des sous-systèmes embarqués correspondants, reliés entre eux (c’est-à-dire interconnectés) à l’aide d’équipements dédiés, tels des commutateurs ou des hubs. La figure IA illustre l’exemple de quatre sous-systèmes :
- un premier sous-système 100 basé sur un réseau avionique de type ARINC 429 (version 429-18 en date de 2012) pour relier un premier ensemble d’équipements avioniques ;
- un deuxième sous-système 101 basé sur un réseau Ethernet commuté déterministe utilisant des liens virtuels, par exemple conforme au standard ARINC 664 part 7, pour relier un deuxième ensemble d’équipements avioniques ;
- un troisième sous-système 102 basé sur un réseau Ethernet classique pour relier un autre ensemble d’équipements de l’aéronef ;
- un quatrième sous-système 103 propriétaire reliant un ensemble d’équipements remplissant les fonctions de maintenance et d’alarme de l’aéronef.
[0031] Bien entendu, ces quatre sous-systèmes sont décrits ici à titre illustratif seulement. L’aéronef peut comprendre un autre nombre de sous-systèmes basés sur des réseaux de natures différentes, voire comprendre deux ou plus sous-systèmes basés sur un même type de réseau de communication. De façon optionnelle, un ou plusieurs de ces soussystèmes peuvent être isolés (sans interconnexion) des autres sous-systèmes de l’aéronef.
[0032] A des fins de sécurisation, les équipements embarqués et sous-systèmes correspondants sont dupliqués pour fournir une redondance des fonctions avioniques.
[0033] Pour réaliser une surveillance des cyberattaques selon l’invention, des sondes sont prévues dans le système embarqué qui mesurent différents paramètres. Certains paramètres peuvent être disponibles dans l’aéronef, par exemple en mémoire, sans avoir été mesurés.
[0034] Les sondes peuvent être intégrées aux équipements embarqués, et remonter des paramètres de fonctionnement de ceux-ci.
[0035] En variante, ces sondes peuvent être mises en œuvre dans des modules de surveillance 20 dédiés à des équipements précis. Ces modules de surveillance ou « BiTE » (pour Built-in Test Equipment) sont généralement utilisés des outils de diagnostic et de gestion de fautes passives.
[0036] En variante toujours, des sondes 30 peuvent être ajoutées à divers emplacements du système embarqué. Par exemple, des sondes d’écoute des réseaux de communication permettent d’écouter les trames de données transmises sur les réseaux et ainsi prélever et remonter les valeurs de certaines données ou de certains paramètres. Une sonde peut écouter plusieurs paramètres en même temps, voire de plusieurs sous-systèmes (ou réseaux) différents si elle est installée par exemple sur un commutateur interconnectant ces sous-systèmes.
[0037] L’usage de telles sondes ajoutées 30 présente l’avantage de permettre aisément une reconfiguration, ainsi que celui de pouvoir accéder à un très grand nombre de données/ paramètres.
[0038] A titre d’exemple, l’altitude fournie par un radioaltimètre embarqué peut être surveillée.
[0039] Bien entendu, un système embarqué cumulera généralement des sondes intégrées, des sondes BiTE 20 et des sondes d’écoute 30, même si l’un de ces types de sonde peut être omis. Les sondes comprennent généralement des capteurs dédiés à l’acquisition des mesures de paramètres surveillés ainsi que des fonctions annexes telles que du filtrage pour remonter uniquement des mesures d’intérêt.
[0040] Un choix des équipements et paramètres à surveiller peut être défini lors de la conception de l’aéronef, à l’issue d’une analyse de risque.
[0041] Une surveillance de tous les équipements et tous les paramètres serait idéale mais gourmande en ressources de traitement. Aussi, elle est de préférence limitée à des équipements/fonctions utiles, voire essentielles, à l’accomplissement de la mission (généralement d’un vol).
[0042] Le choix des équipements/paramètres peut par exemple reposer sur une analyse des conséquences que pourraient produire une défaillance/erreur de ceux-ci. Dans un aéronef, de nombreux équipements devraient être visés.
[0043] Pour réduire ce nombre, le choix peut être opéré en fonction de risques de sécurité, c’est-à-dire en fonction d’un ratio entre ces mêmes conséquences et une potentialité (ex. pourcentage) de risque de survenance des défaillances/erreurs.
[0044] D’autres critères à prendre en compte permettent d’élargir le champ de la surveillance au-delà des cyberattaques connues. Une analyse de sécurité (blessés potentiels, dégâts potentiels causés sur l’aéronef ou sur un sous-système) et/ou une analyse opérationnelle (impact potentiel sur la disponibilité de l’aéronef/sous-système à réaliser en temps utile la mission affecté) et/ou une analyse de notoriété (impact potentiel sur l’image perçue par l’usager) sont quelques exemples permettant d’identifier de nouveaux équipements/paramètres pertinents.
[0045] Le système embarqué comporte, optionnellement, une horloge 40 permettant d’horodater chaque mesure effectuée par les sondes. Ainsi une corrélation temporelle des différentes mesures effectuées est simplifiée.
[0046] Comme montré schématiquement sur la figure IA, le système de surveillance selon des modes de réalisation de l’invention comporte en outre un concentrateur 110, un module de corrélation 120 et un module de réaction 130.
[0047] Le concentrateur 110 est relié aux sondes disposées dans l’aéronef. Il reçoit l’ensemble des mesures effectuées par ces sondes.
[0048] Certaines sondes (par exemple BiTE) peuvent ne transmettre des signaux qu’en cas d’anomalie (défaillance ou erreur), dans ce cas éventuellement accompagnés de la valeur anormale des paramètres correspondants. D’autres sondes peuvent transmettre la valeur courante de paramètres. D’autres sondes encore peuvent transmettre à la fois des signaux d’anomalie et éventuellement la valeur anormale du paramètre correspondant, ainsi que la valeur courante d’autres paramètres. Dans les exemples cidessous, les signaux d’anomalie ainsi obtenu sont des mesures suspectes, susceptibles de résulter d’une cyberattaque. Les autres paramètres pour lesquels une valeur courante est mesurée peuvent servir dans une corrélation avec les mesures suspectes, afin d’identifier ou non une cyberattaque.
[0049] Un grand nombre de mesures est ainsi obtenu par le concentrateur 110. Ce dernier peut alors contenir des fonctions de filtrage afin de réduire le nombre de mesures utilisées par le module de corrélation 120.
[0050] Le concentrateur 110 peut être paramétré par un fichier de configuration 111 en mémoire, pour déterminer les mesures à acquérir (de telle ou telle sonde) ainsi que les mesures à transmettre au module de corrélation 120, nonobstant le filtrage évoqué. Le fichier de configuration peut notamment être mis à jour en temps réel, par exemple par la station au sol 50, pour adapter dynamiquement le système de surveillance à l’identification d’une nouvelle cyber-menace. Les règles d’acquisition et de transmission du concentrateur 110 sont alors mises à jour en réponse à cette mise à jour du fichier 111.
[0051] Le module de corrélation 120 comporte un module de correspondance ou d’association 121, un processeur de corrélation 122 et un ensemble de mesures ou valeurs 123 de paramètres formant les paramètres de corrélation. Les mesures 123 peuvent notamment venir du concentrateur 110 et ainsi correspondre aux mesures acquises par les sondes évoquées plus haut. Les valeurs non mesurées de paramètres peuvent être récupérées en mémoire embarquée ou acquises par le module 120 via un réseau de communication de l’aéronef, par exemple au moins l’un des réseaux 100, 101, 102, 103.
[0052] Chaque mesure est horodatée lors de son acquisition, à l’aide de l’horloge 40, pour permettre une corrélation temporelle de mesures effectuées dans le système embarqué.
[0053] Le module de correspondance 121 associe un premier paramètre avec un ou plusieurs autres paramètres respectifs. Ce module est notamment utilisé pour connaître les paramètres à corréler avec le premier paramètre lorsque celui-ci est considéré comme suspect ou anormal, et donc susceptible de résulter d’une cyberattaque.
[0054] Dans un mode de réalisation, le module de correspondance 121 consiste en une simple table de correspondances qui associe à un ou plusieurs paramètres (« premier paramètre ») un ou plusieurs autres paramètres respectifs de corrélation. Toutefois, l’invention n’est pas limitée à une simple table pour le module de correspondance 121. Dans un mode de réalisation, le module de correspondance peut correspondre à une base de données comprenant un grand nombre de paramètres ainsi que des règles d’association entre ces paramètres.
[0055] L’exemple de la figure 2 comporte une table 121 listant l’ensemble des paramètres mesurés et acquis, par exemple ceux listés dans le fichier de configuration 111. A cet effet, le fichier 111 et la table 121 peuvent être une seule et même table.
[0056] La première colonne comporte un index unique identifiant chaque entrée de la table. L’entrée indique (deuxième colonne) le paramètre concerné et précise (quatrième colonne) les autres paramètres de corrélation. Par exemple, le paramètre #1 identifié « param 1 » présente les paramètres #8 et #12 comme paramètres de corrélation.
[0057] En reprenant l’exemple plus haut, l’altitude (paramètre #2) fournie par le radioaltimètre présente, à titre illustratif, les paramètres de corrélation suivants : position de la manette des gaz (par exemple paramètre #11), poussée moteur (#12), position des volets (#18), position des compensateurs (#20).
[0058] La table peut également comprendre un indicateur, typiquement un bit (troisième colonne) signalant quels « premiers paramètres » sont susceptibles de déclencher une analyse de corrélation avec des mesures des paramètres de la quatrième colonne. Cet indicateur permet notamment au concentrateur d’appliquer certains filtrages (comme décrits pas la suite) pour identifier ces dits premiers paramètres (« 1 » sur la figure). Aussi, les lignes avec l’indicateur à « 0 » n’ont aucun paramètre indiqué dans la quatrième colonne. Les paramètres de ces lignes sont déclarés ici (par exemple pour qu’ils soient mesurés et acquis des sondes) mais seulement utilisés pour effectuer une corrélation avec des « premiers paramètres » qui les renseignent en quatrième colonne.
[0059] Le processeur de corrélation 122 est apte à effectuer une corrélation entre une mesure suspecte d’un paramètre et une valeur acquise ou mesure du ou des paramètres associé au paramètre suspect comme défini dans le module de correspondance 121. Pour cela, il reçoit la mesure suspecte correspondant à un instant courant « t » et corréle cette mesure avec de préférence une ou des valeurs acquises ou mesurées d’autres paramètres au même instant, éventuellement récupérées du concentrateur 110. Il s’agit donc d’une corrélation temporelle.
[0060] Notamment le processeur 122 cherche à corréler, de façon temporelle, la mesure suspecte avec un instant de modification d’un ou plusieurs autres paramètres pertinents (c’est-à-dire associés au sens du module de correspondance 121). Ainsi, le processeur 122 compare par exemple les valeurs acquises ou mesures de ces autres paramètres entre l’instant « t » et un instant précédent, par exemple « t-1 » (« -1 » représentant l’instant d’acquisition précédent soit par la sonde, soit par le concentrateur 110, soit par le module 120). Bien entendu, d’autres instants que « t-1 » peuvent être utilisés, notamment « t-2 » ou tout instant dans un intervalle passé prédéfini, par exemple 1 seconde.
[0061] La corrélation peut être réalisée à l’aide de la mesure d’un seul des paramètres associés au paramètre suspect. En variante, plusieurs paramètres associés, voire tous, sont utilisés pour confirmer la corrélation entre la mesure suspecte et la modification de plusieurs conditions (autres paramètres) dans l’aéronef.
[0062] Sur la base du résultat de la corrélation (pour chaque paramètre suspect examiné), le processeur de corrélation 122 peut générer un signal de réaction à destination du module de réaction 130.
[0063] Une corrélation positive qui vient confirmer que la mesure suspecte correspond, par exemple temporellement, à une modification d’autres paramètres tend à montrer que la mesure suspecte trouve une explication dans cette modification (qui est par exemple une action de l’équipage sur l’aéronef). Dans ce cas, aucun signal de réaction n’est nécessaire et donc généré.
[0064] Une corrélation négative vient, au contraire, indiquer par exemple que la mesure suspecte ne correspond pas temporellement à une intervention de l’équipage sur l’aéronef. Il s’agit d’une cyberattaque. Dans ce cas, le signal de réaction peut être généré par le processeur 122. Le signal de réaction peut notamment identifier (en utilisant l’identifiant de la première colonne de la table 121 par exemple) le paramètre concerné par la cyberattaque détectée.
[0065] En variante à la simple table de correspondances du module de correspondance 121, le module de corrélation 120 et le concentrateur 110 peuvent inclure des capacités d’auto-apprentissage (par exemple basées sur des réseaux de neurones) afin d’affiner les modèles corrélant un paramètre susceptible d’être cyber-attaqué avec d’autres paramètres mesurés. Ces capacités d’auto-apprentissage permettent notamment une configuration initiale par apprentissage à partir d’un ensemble de situations déjà rencontrées pour lesquelles il a finalement été diagnostiqué une cyber-attaque, mais également une mise à jour dynamique au fur et à mesure de la détection de nouvelles cyber-attaques dans le même aéronef ou dans un autre aéronef d’une flotte gérée par la station au sol (dans ce cas, les données permettant l’auto-apprentissage sont envoyées de la station au sol à destination des aéronefs).
[0066] Le module de réaction 130 peut comprendre un processeur 131 d’alertes à destination de l’équipage et un processeur de contremesures 132.
[0067] Le processeur d’alertes 131 peut générer, sur la base du signal de réaction reçu, une alerte de type sonore ou visuelle pour alerter l’équipage. Le son ou l’affichage (texte, lumière, etc.) peut être fonction du paramètre compromis par la cyberattaque (tel qu’identifié dans le signal de réaction).
[0068] Le processeur de contremesures 132 peut mettre en œuvre, en réponse au signal de réaction, un ensemble de mesures prédéfinies (par exemple en mémoire) visant à contenir la cyberattaque pour ne pas contaminer d’autres paramètres/équipements et/ou à atténuer ou corriger les effets du paramètre compromis sur les autres paramètres/ équipements. Il peut simplement s’agir d’instructions de contremesures indiquées à l’équipage pour mise en œuvre.
[0069] Les sondes, concentrateur 110, module de corrélation 120 et module de réaction 130 sont de préférence intégrés à l’aéronef, permettant à l’aéronef d’être entièrement autonome dans la détection et gestion des cyberattaques.
[0070] De façon avantageuse, la station au sol 50 comprend un module de corrélation sol. Dans ce cas, l’aéronef 1 et la station au sol sont munis de moyens de communication classiques pour se transmettre les mesures réalisées ou valeurs acquises (de l’aéronef vers la station au sol) et les éventuels signaux de réaction (de la station au sol vers l’aéronef), voire des informations de mise à jour à destination de l’aéronef. De façon alternative, les mesures réalisées/valeurs acquises et les éventuels signaux de réaction sont transmis au moyen d’un support physique, par exemple une clef USB, lorsque l’aéronef est au sol.
[0071] Les mesures transmises peuvent être celles acquises des sondes. En variante, seules les mesures filtrées par le concentrateur 110 ainsi que celles des paramètres associés aux mesures filtrées (donc considérées comme anormales) sont transmises, limitant la quantité de mesures transmises pour chaque instant d’acquisition. Des valeurs acquises non mesurées peuvent également être transmises.
[0072] Le module de corrélation 120 permet de détecter une cyberattaque sur la base des paramètres mesurés/acquis à bord de l’aéronef, pendant le vol de l’aéronef. Le module de corrélation sol permet de détecter une cyberattaque sur la base de paramètres acquis par un ensemble d’aéronefs gérés par la station sol (paramètres acquis en temps réel et/ ou paramètres correspondant à un historique de vols précédents desdits aéronefs).
[0073] Lorsqu’une cyberattaque est détectée par le module de corrélation sol, la station sol envoie un signal de réaction vers l’aéronef et/ou vers l’ensemble des aéronefs gérés par la station sol.
[0074] Les différents modules évoqués ci-dessus peuvent être mis en œuvre de façon logicielle et être exécutés par un ou plusieurs processeurs dédiés.
[0075] Le code exécutable de chaque programme/logiciel permettant au système de sécurisation de mettre en œuvre les processus selon l'invention, peut être stocké dans un disque dur ou en mémoire morte ou dans tout autre élément de stockage adapté.
[0076] Une unité centrale ou processeur va commander et diriger l'exécution des instructions ou portions de code logiciel du ou des programmes selon l'invention. Lors de la mise sous tension, le ou les programmes qui sont stockés en non volatile sont transférés dans une mémoire vive associée à l’unité centrale ou processeur, la mémoire vive contenant alors le code exécutable du ou des programmes selon l'invention ainsi que des registres pour mémoriser les variables et paramètres nécessaires à la mise en œuvre de l'invention.
[0077] La figure 3 illustre des étapes d’un procédé de sécurisation d’un système embarqué tel ceux des figures 1 et IA, contre des cyber-attaques.
[0078] A l’étape 300, les diverses sondes placées dans l’aéronef mesurent en continu divers paramètres de fonctionnement. Les mesures sont horodatées à chaque instant d’acquisition.
[0079] Certains paramètres peuvent être acquis sans mesure.
[0080] Dans l’exemple évoqué plus haut, une sonde mesure l’altitude fourme par un radioaltimètre embarqué. Les paramètres de corrélation correspondant à l’altitude, à savoir la position de la manette des gaz, la poussée moteur (par exemple un indicateur représentatif de cette poussée), la position des volets et la position des compensateurs sont par exemple des paramètres déjà disponibles à bord de l’aéronef, sans mesure. Ces paramètres sont par exemple acquis par le module de corrélation 120 via un réseau de communication de l’aéronef, par exemple au moins l’un des réseaux 100, 101, 102, 103.
[0081] A l’étape 310, le concentrateur 110 acquiert, en continu, toute ou partie des mesures. De préférence, le concentrateur 110 n’acquiert que les mesures des paramètres mesurables indiqués dans le fichier de configuration 111.
[0082] A l’étape 320, le concentrateur 110 détecte une (ou plusieurs) mesure suspecte au sens où elle ne correspond pas à des conditions de fonctionnement normal. Pour ce faire, le concentrateur 110 peut disposer d’une banque d’informations lui donnant une connaissance des conditions de fonctionnement normal (par exemple une plage de valeurs possibles, une vitesse maximale de variation de la valeur, etc.), des modes de dysfonctionnement et d’autres informations par exemple de protocole d’échange de données sur lequel l’équipement surveillé par la sonde s’appuie pour communiquer avec un autre équipement.
[0083] Préférentiellement, le concentrateur 110 peut limiter cette étape aux paramètres dont l’indicateur (troisième colonne - figure 2) du fichier de configuration 111 (ou toute information identique) est activé (« 1 »).
[0084] Dans l’exemple évoqué plus haut, le concentrateur reçoit une mesure d’altitude, et l’identifie comme suspecte compte tenu des conditions de fonctionnement normal. Par exemple, la mesure d’altitude est trop différente d’une mesure précédente.
[0085] A l’étape optionnelle 330, le concentrateur 110 filtre les mesures suspectes pour dé terminer celles susceptibles d’être le signe d’une cyberattaque. Le nombre de mesures suspectes à corréler lors de l’étape suivante s’en trouve réduit.
[0086] Pour rappel, une mesure suspecte mesure un paramètre correspondant à un équipement/réseau embarqué. Cet équipement/réseau embarqué est dupliqué dans l’aéronef à des fins de sécurité. Le filtrage peut alors comprendre la comparaison de la mesure suspecte avec une mesure du même paramètre (au même instant temporel ou à un instant proche) dans le système embarqué redondant (au système embarqué d’où vient la mesure suspecte).
[0087] Si finalement les deux mesures (principale et redondante) sont différentes, on peut suspecter une défaillance ou panne de l’équipement principal. En revanche, si les deux mesures sont identiques, on peut suspecter une cyberattaque. La mesure anormale ainsi identifiée est soumise à une analyse par corrélation comme décrite par la suite.
[0088] Dans l’exemple évoqué plus haut, la mesure d’altitude suspecte est confrontée à la mesure d’altitude au même instant venant du radioaltimètre de redondance. Si les deux mesures d’altitude sont différentes, le radioaltimètre principal est considéré comme défaillant ; si elles sont identiques, la mesure d’altitude est anormale.
[0089] Bien que les étapes 320 et 330 soient dans cet exemple réalisées par le concentrateur 110, des modes de réalisation prévoient qu’elles soient réalisées dans les sondes ellesmêmes. Typiquement les modules de surveillance BiTE comprennent suffisamment de ressources pour effectuer ces traitements. Dans ce cas, le concentrateur peut acquérir seulement les mesures anormales issues de l’étape 330 (et non celles écartées car justifiées par une défaillance ou panne) ainsi que les mesures classiques qui serviront aux opérations de corrélation (typiquement celles des paramètres dont l’indicateur (troisième colonne - figure 2) du fichier de configuration 111 (ou toute information identique) est désactivé (« 0 »)). L’étape 310 a alors lieu après les étapes 320 et 330.
[0090] L’étape 340 se déclenche lorsqu’une mesure anormale est détectée. Cette dernière est transmise au module de corrélation 120, lequel identifie les paramètres de corrélation associés, par exemple ceux renseignés dans la colonne 4 de la table 121, et récupère les mesures ou les valeurs (acquises) de ces paramètres associés.
[0091] La mesure anormale à l’instant « t » est ainsi corrélée avec une ou plusieurs mesures/ valeurs à l’instant « t » des paramètres associés. On détermine notamment le degré de corrélation entre la mesure anormale et les valeurs des autres paramètres.
[0092] Les mesures anormales se distinguent des changements de valeurs de mesures qui résultent d’une action de l’équipage. Pour écarter ces dernières, la corrélation peut alors comprendre les étapes suivantes :
- comparer une mesure à l’instant « t » d’un des paramètres associés avec une mesure antérieure (par exemple à « t-1 ») du même paramètre associé. Cette comparaison permet de savoir si l’équipage a engagé une action (qui modifie ce paramètre associé).
Plusieurs paramètres associés peuvent être examinés. En outre, au lieu de comparer des mesures, on peut comparer des valeurs acquises sans mesure de ces paramètres associés,
- en cas de différence des deux mesures ou valeurs (par exemple au-delà d’une valeur seuil de détection), considérer que la mesure anormale est le fruit d’une action de l’équipage (corrélation forte entre la mesure anormale et la modification d’un paramètre associé). Autrement, considérer que la mesure anormale résulte d’une cyberattaque (corrélation faible voire inexistante).
[0093] Dans l’exemple évoqué plus haut, la position de la manette des gaz, la poussée moteur (par exemple un indicateur représentatif de cette poussée), la position des volets, la position des compensateurs sont les paramètres associés à la mesure d’altitude anormale ALT(t).
[0094] Si la position de la manette des gaz MAN a changé significativement entre « t-1 » (ou un autre moment antérieur récent) et « t », il y a une forte corrélation temporelle entre la mesure d’altitude ALT(t) et un changement de manette des gaz. ALT(t) est alors considérée comme normale. Aucun signal n’est remonté à l’équipage.
[0095] Si MAN n’a pas changé significativement, de même que les autres paramètres associés, le processeur 122 ne détermine pas de corrélation entre ALT(t) et une quelconque modification des paramètres associés : une cyberattaque est alors détectée.
[0096] L’étape 350 est déclenchée lorsque le module de réaction 130 reçoit un signal de réaction du processeur de corrélation 122, ce signal faisant suite à la détection d’une cyberattaque. A l’étape 350, un signal d’alerte est émis pour avertir l’équipage, typiquement un signal sonore ou visuel, et une ou plusieurs contremesures peuvent être engagées. De façon particulière, le système embarqué peut notamment avoir la capacité de se reconfigurer automatiquement pour atténuer ou supprimer la cybermenace identifiée.
[0097] Dans un mode de réalisation, l’étape 340 de corrélation est réalisée par la station au sol 50 qui reçoit les mesures et valeurs de l’aéronef et lui renvoie, en cas de détection d’une cyberattaque à partir d’une mesure anormale, un signal de réaction.
[0098] L’utilisation de la station au sol 50 offre plus de ressources pour le traitement des mesures acquises sur l’aéronef ou même sur une flotte d’aéronefs.
[0099] Elle permet également d’utiliser, pour l’étape de corrélation 340, des sources de mesures autres que celles de l’aéronef en question, par exemple des paramètres récupérés de la flotte globale. Cette flotte globale peut par exemple correspondre à un ensemble d’aéronefs similaires appartenant à une compagnie aérienne (ou un groupement de compagnies aériennes) exploitant la station au sol 50.
[0100] Un autre avantage de l’utilisation de la station au sol 50 est la capacité de cette dernière à, lorsqu’elle détecte une cyberattaque, pouvoir avertir l’ensemble des aéronefs de la flotte de ce risque, avec éventuellement une nouvelle procédure de détection et de nouvelles contremesures adaptées. Notamment, le fichier de configuration 111 et/ou le module de correspondance 121 peuvent alors être mis à jour pour refléter cette nouvelle procédure de détection (utilisation de nouveaux paramètres à mesurer et/ou à filtrer et/ou à corréler par exemple). En variante, la station au sol peut indiquer un signal précurseur (qu’elle aura pu identifier) d’une cyberattaque.
[0101] Telle que présentée et décrite ci-dessus, la présente invention permet une détection dynamique de cyberattaques non connues. Cette détection améliorée permet de meilleures réactions. Aussi, la sécurisation des systèmes embarqués s’en trouve améliorée.
[0102] Dans un mode de réalisation, la présente invention peut être combinée aux solutions déjà connues, telles que des couches logicielles ou matérielles statiques (ou passives) ajoutées aux sous-systèmes comme boucliers contre les cyber-menaces.
[0103] Les exemples qui précèdent ne sont que des modes de réalisation de l'invention qui ne s'y limite pas.

Claims (1)

  1. Revendications [Revendication 1] Procédé de sécurisation d’un système embarqué (10, 12) dans un aéronef (1) contre des cyber-attaques, comprenant les étapes suivantes : mesurer (300) au moins un premier paramètre dans le système embarqué, détecter (320, 330) une mesure anormale du premier paramètre, déterminer (340) une corrélation entre la mesure anormale du premier paramètre et la valeur d’au moins un second paramètre avionique, pour identifier une cyber-attaque, déclencher (350) une action correctrice dans l’aéronef en fonction de la corrélation déterminée. [Revendication 2] Procédé selon la revendication 1, dans lequel la corrélation est représentative d’une corrélation temporelle entre la détection de la mesure anormale du premier paramètre et une modification du second paramètre. [Revendication 3] Procédé selon la revendication 2, dans lequel déterminer (340) une corrélation comprend la comparaison d’une mesure du second paramètre à l’instant de détection de la mesure anormale avec une autre mesure du second paramètre à au moins un instant précédent. [Revendication 4] Procédé selon l’une des revendications 1 à 3, dans lequel l’étape de détection d’une mesure anormale du premier paramètre comporte la détermination (320) d’une mesure suspecte du premier paramètre dans un premier système embarqué, puis la comparaison (330) de la mesure suspecte avec une mesure du même premier paramètre dans un système embarqué redondant au premier système embarqué. [Revendication 5] Procédé selon l’une des revendications 1 à 4, dans lequel les étapes de mesurer, détecter, déterminer et déclencher sont réalisées à bord de l’aéronef (1). [Revendication 6] Procédé selon l’une des revendications 1 à 4, dans lequel la mesure anormale du premier paramètre et la valeur d’au moins un second paramètre sont transmises de l’aéronef (1) à une station au sol (50), l’étape de détermination (340) d’une corrélation étant effectuée par la station au sol. [Revendication 7] Procédé selon la revendication 6, dans lequel l’aéronef reçoit, de la station au sol, une action corrective à déclencher. [Revendication 8] Procédé selon la revendication 6 ou 7, dans lequel l’étape de détermination d’une corrélation comporte en outre la corrélation de la mesure
    anormale du premier paramètre avec une donnée obtenue d’au moins un autre aéronef. [Revendication 9] Système de sécurisation d’un système embarqué (10, 12) dans un aéronef (1) contre des cyber-attaques, comprenant : une ou plusieurs sondes (20, 30) pour mesurer au moins un premier paramètre dans le système embarqué, un processeur (110) pour détecter une mesure anormale du premier paramètre, un processeur de corrélation (120, 122) configuré pour déterminer une corrélation entre la mesure anormale du premier paramètre et la valeur d’au moins un second paramètre avionique pour identifier une cyberattaque, un module de réaction (130) configuré pour déclencher une action correctrice dans l’aéronef en fonction de la corrélation déterminée. [Revendication 10] Aéronef (1) comportant un système embarqué et un système de sécurisation du système embarqué selon la revendication précédente.
    1/2
FR1871776A 2018-11-23 2018-11-23 Procédé et système de sécurisation d’un aéronef contre les cyberattaques Active FR3088909B1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR1871776A FR3088909B1 (fr) 2018-11-23 2018-11-23 Procédé et système de sécurisation d’un aéronef contre les cyberattaques
CN201911084486.0A CN111224937A (zh) 2018-11-23 2019-11-08 用于保护飞行器免受网络攻击的方法和系统
US16/686,880 US11444965B2 (en) 2018-11-23 2019-11-18 Method and system for securing an aircraft against cyberattacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1871776A FR3088909B1 (fr) 2018-11-23 2018-11-23 Procédé et système de sécurisation d’un aéronef contre les cyberattaques

Publications (2)

Publication Number Publication Date
FR3088909A1 true FR3088909A1 (fr) 2020-05-29
FR3088909B1 FR3088909B1 (fr) 2023-01-13

Family

ID=66166148

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1871776A Active FR3088909B1 (fr) 2018-11-23 2018-11-23 Procédé et système de sécurisation d’un aéronef contre les cyberattaques

Country Status (3)

Country Link
US (1) US11444965B2 (fr)
CN (1) CN111224937A (fr)
FR (1) FR3088909B1 (fr)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11652839B1 (en) * 2019-05-02 2023-05-16 Architecture Technology Corporation Aviation system assessment platform for system-level security and safety
US11915596B2 (en) * 2020-11-11 2024-02-27 Honeywell International Inc. Methods and systems for resolving tactile user input selections
US11729195B1 (en) * 2022-09-15 2023-08-15 Cyviation Ltd Computerized-system and computerized-method for detecting cyber-attacks on avionic communications of an airborne computerized-device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2491237A (en) * 2011-05-23 2012-11-28 Boeing Co Method and system for use in identifying abnormal behaviour ina control system
US20160065603A1 (en) * 2014-08-27 2016-03-03 General Electric Company Collaborative infrastructure supporting cyber-security analytics in industrial networks
US20170041331A1 (en) * 2015-08-06 2017-02-09 The Boeing Company Air-based and ground-based security information and event management system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8719308B2 (en) * 2009-02-16 2014-05-06 Business Objects, S.A. Method and system to process unstructured data
WO2016046819A1 (fr) * 2014-09-25 2016-03-31 Tower-Sec Ltd. Système de corrélation de véhicules pour la détection de cyber-attaques et procédé associé
IL235356A (en) * 2014-10-27 2016-02-29 Accubeat Ltd A method and device for providing secure time synchronization from a satellite navigator system
US20170345318A1 (en) * 2016-05-25 2017-11-30 General Electric Company Aircraft control system
US20190267926A1 (en) * 2016-11-10 2019-08-29 Nsk Ltd. Electric power steering apparatus
US10169979B2 (en) * 2017-05-04 2019-01-01 General Electric Company Communicating alarm trigger status
FR3071118B1 (fr) * 2017-09-12 2020-09-04 Thales Sa Dispositif electronique et procede de reception de donnees via un reseau de communication rebonde, systeme de communication et programme d'ordinateur associes
US10353767B2 (en) * 2017-09-14 2019-07-16 Bae Systems Controls Inc. Use of multicore processor to mitigate common mode computing faults
US10169135B1 (en) * 2018-03-02 2019-01-01 Uptake Technologies, Inc. Computer system and method of detecting manufacturing network anomalies
US11157524B2 (en) * 2018-05-18 2021-10-26 At&T Intellectual Property I, L.P. Automated learning of anomalies in media streams with external feed labels

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2491237A (en) * 2011-05-23 2012-11-28 Boeing Co Method and system for use in identifying abnormal behaviour ina control system
US20160065603A1 (en) * 2014-08-27 2016-03-03 General Electric Company Collaborative infrastructure supporting cyber-security analytics in industrial networks
US20170041331A1 (en) * 2015-08-06 2017-02-09 The Boeing Company Air-based and ground-based security information and event management system

Also Published As

Publication number Publication date
FR3088909B1 (fr) 2023-01-13
US11444965B2 (en) 2022-09-13
US20200169578A1 (en) 2020-05-28
CN111224937A (zh) 2020-06-02

Similar Documents

Publication Publication Date Title
CA2619143C (fr) Procede de surveillance des moteurs d'avion
EP2438577B1 (fr) Procédé et dispositif de traitement de pannes
CA2157058C (fr) Procede et dispositif pour l'identification de pannes dans un systeme complexe
FR3088909A1 (fr) Procédé et système de sécurisation d’un aéronef contre les cyberattaques
FR2914764A1 (fr) Procede et dispositif de determination d'un diagnostic de panne d'une unite fonctionnelle dans un systeme avionique embarque
FR2891379A1 (fr) Procede et systeme de diagnostic des pannes pour aerodynes
FR3011105A1 (fr) Procede d'identification d'un equipement defaillant dans un aeronef.
FR2953954A1 (fr) Dispositif d'elaboration des alertes d'un systeme d'aeronef
CA2888716A1 (fr) Systeme de surveillance d'un ensemble de composants d'un equipement
FR3047822A1 (fr) Diagnostic en temps reel non embarque de defaillances dans un aeronef
FR2933789A1 (fr) Procedes d'identification de profils de vol dans les operations de maintenance pour aeronef
FR2927435A1 (fr) Procede et dispositif ameliores pour les operations de diagnostic et de maintenance d'aeronefs
FR2905778A1 (fr) Procede de verification de pertinence d'une valeur de masse d'un aeronef
EP3716073B1 (fr) Système embarqué à bord d'un aéronef de détection et de réponse aux incidents avec enregistrement de logs
EP3619408B1 (fr) Système et procédé de surveillance d'une turbomachine à détection d'anomalie corrigée par un facteur d'usure
CA3135956A1 (fr) Systeme de surveillance de la sante d'un helicoptere
FR2938675A1 (fr) Dispositif permettant l'amelioration des procedures de maintenance d'equipements embarques
FR3027417A1 (fr) Procede et systeme de generation de rapports d'alertes dans un aeronef
FR3026882A1 (fr) Procede de determination d'au moins un equipement defaillant d'un aeronef et systeme correspondant
FR2903385A1 (fr) Instrument de secours pour tableau de bord d'un aeronef a maintenance fiable
EP2629201A1 (fr) Procédé et système de détection d'anomalies à solutionner dans un aéronef
CA2928844C (fr) Procede et dispositif de gestion de pannes avec un systeme de gestion d'un turbomoteur d'un aeronef
FR2950184A1 (fr) Procede et dispositif de gestion centralisee d'alertes dans un aeronef comprenant plusieurs interfaces de presentation d'alertes
WO2007036452A1 (fr) Procede et systeme de validation des defaillances pour aerodynes
EP3443425B1 (fr) Procédé de contrôle d'intégrité de l'avionique d'un aéronef, dispositif et produit programme d'ordinateur associés

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20200529

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6