JP2020064612A - コンテキストアウェアなネットワークメッセージフィルタリングのシステム及び方法 - Google Patents

コンテキストアウェアなネットワークメッセージフィルタリングのシステム及び方法 Download PDF

Info

Publication number
JP2020064612A
JP2020064612A JP2019152476A JP2019152476A JP2020064612A JP 2020064612 A JP2020064612 A JP 2020064612A JP 2019152476 A JP2019152476 A JP 2019152476A JP 2019152476 A JP2019152476 A JP 2019152476A JP 2020064612 A JP2020064612 A JP 2020064612A
Authority
JP
Japan
Prior art keywords
network
context
contexts
traffic information
current system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019152476A
Other languages
English (en)
Other versions
JP7481815B2 (ja
Inventor
ヒョン ジェー キム,
Hyun J Kim
ヒョン ジェー キム,
パプ エム. シラ,
M Sylla Pape
パプ エム. シラ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boeing Co
Original Assignee
Boeing Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boeing Co filed Critical Boeing Co
Publication of JP2020064612A publication Critical patent/JP2020064612A/ja
Application granted granted Critical
Publication of JP7481815B2 publication Critical patent/JP7481815B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】現在のシステムコンテキストに基づいて航空ネットワーク内のネットワークメッセージをフィルタリグする方法を提供する。【解決手段】方法は、ファイアウォールに、航空ネットワーク内で複数のメッセージを受信し、このメッセージを分析してトラフィック情報を決定し、トラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定する。各システムコンテキストは、通信ネットワーク内の装置の各集合ステータスを表す。動作は、現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から一組のフィルタリングルールを選択し、現在のシステムコンテキストにとって容認可能なメッセージのサブセットを決定するために、メッセージに対して、選択された組のフィルタリングルールを適用し、このサブセットの各メッセージを送信先に送付する。【選択図】図6

Description

本開示は、概して、ネットワークメッセージをフィルタリングするシステムに関し、具体的には、現在のシステムコンテキストに基づいたネットワークメッセージをフィルタリングするシステム及び方法に関する。
一般的に、ファイアウォールとは、通信ネットワーク内で送信されるネットワークメッセージをモニタリングして制御する、ネットワークセキュリティシステムである。例えば、ファイアウォールは、ネットワークメッセージに一組のフィルタリングルールを適用することができ、この一組のフィルタリングルールに基づいて、ネットワーク内におけるネットワークメッセージの送信を許可するかまたはブロックすることができる。こうして、ファイアウォールは、権限を与えられた通信が許可され、権限のない通信がブロックされるように、ネットワーク内におけるネットワークトラフィックの制御を手助けすることができる。こうして、ファイアウォールは、とりわけネットワーク内の装置に対するサイバーセキュリティの脅威を軽減する、及び/またはネットワークリソースに対する権限のないアクセスを防止するのを手助けすることができる。
ある例では、ファイアウォールが、異なる状況においては異なるルールを適用することが、有益であり得るか、または望ましくあり得る。例えば、コンテキストアウェアなファイアウォールとは、例えば日付、時間、位置、及び/またはネットワーク内の1つ以上の装置の状態といった、状況的な情報に基づいて種々のフィルタリングルールを適用することができるタイプの、ファイアウォールである。この状況的な情報は、「システムコンテキスト」と呼ばれてよい。コンテキストアウェアなファイアウォールは、異なる状況にあるネットワークに対して、権限を与えられたネットワークメッセージ及び/または権限のないネットワークメッセージのタイプが変更され得るシステムにとって、有益であり得る。
一実施例では、現在のシステムコンテキストに基づいて航空ネットワーク内のネットワークメッセージをフィルタリグする方法が説明されている。この方法は、コンピュータシステムのプロセッサによって、航空ネットワーク内で送信された複数のネットワークメッセージを受信することを含む。この方法は、プロセッサによって、複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することもまた含む。この方法は、プロセッサによって、且つネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することをさらに含む。複数のシステムコンテキストのそれぞれは、航空ネットワーク内の複数の航空用装置の、各集合ステータスを表す。この方法は、プロセッサによって、且つ現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から一組のフィルタリングルールを選択することもまた含む。方法は、プロセッサによって、複数のネットワークメッセージに対して、選択された組のフィルタリングルールを適用して、現在のシステムコンテキストにとって許容可能な複数のネットワークメッセージのサブセットを決定することをさらに含む。加えて、方法は、プロセッサによって、このサブセットの各ネットワークメッセージをネットワークメッセージの送信先に送付することを含む。
別の一実施例では、現在のシステムコンテキストに基づいて航空ネットワーク内のネットワークメッセージをフィルタリグするためのシステムが説明されている。システムは、命令を記憶するメモリと、動作を実施する命令を実行するように構成されたプロセッサとを含み、この動作は、(i)航空ネットワーク内で送信された複数のネットワークメッセージを受信すること、(ii)この複数のネットワークメッセージを分析してネットワークトラフィック情報を決定すること、及び(iii)ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定すること、を含む。複数のシステムコンテキストのそれぞれは、航空ネットワーク内の複数の航空用装置の、各集合ステータスを表す。動作は、(iv)現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から一組のフィルタリングルールを選択すること、(v)複数のネットワークメッセージに対して、選択された組のフィルタリングルールを適用して、現在のシステムコンテキストにとって許容可能な複数のネットワークメッセージのサブセットを決定すること、及び(vi)このサブセットの各ネットワークメッセージを、ネットワークメッセージの送信先に送付することもまた含む。
別の一例では、非一過性マシン可読媒体が説明される。非一過性マシン可読媒体は、この媒体上に実装されている命令であって、マシンのプロセッサによって実行されたときにこのマシンに動作を実行させる命令を有しており、この動作は、(i)通信ネットワーク内で送信された複数のネットワークメッセージを受信すること、(ii)この複数のネットワークメッセージを分析してネットワークトラフィック情報を決定すること、及び(iii)ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定すること、を含む。複数のシステムコンテキストのそれぞれは、通信ネットワーク内の複数の装置の、各集合ステータスを表す。動作は、(iv)現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から一組のフィルタリングルールを選択すること、(v)複数のネットワークメッセージに対して、選択された組のフィルタリングルールを適用して、現在のシステムコンテキストにとって許容可能な複数のネットワークメッセージのサブセットを決定すること、及び(vi)このサブセットの中の各ネットワークメッセージを、ネットワークメッセージの送信先に送付することも、また含む。
上記の特徴、機能、及び利点は、様々な実施形態において単独で実現可能であるか、または、さらに別の実施形態において組み合わされてよい。これらの実施形態のさらなる詳細は、下記の説明及び図面を参照することによって理解され得る。
例示的な実施形態の特性と考えられる新規な特徴は、添付の特許請求の範囲に明記されている。しかしながら、例示の実施形態、好ましい使用モード、さらなる目的、及びそれらの説明は、添付図面を参照しつつ、本開示の例示の実施形態の以下の詳細な説明を読むことによって、最もよく理解されるであろう。
例示の一実施形態による、ネットワークメッセージをフィルタリングするためのシステムの簡略ブロック図を示す。 例示の一実施形態による、ネットワークメッセージの簡略ブロック図を示す。 例示の一実施形態による、ネットワークトラフィック情報のマトリクスを示す。 例示の別の一実施形態による、ネットワークトラフィック情報のベクトルを示す。 例示の一実施例による、ニューラルネットワークの簡略ブロック図を示す。 例示の一実施例による、航空用システムの簡略ブロック図を示す。 例示の一実施形態による、自律ビークルシステムの簡略ブロック図を示す。 例示の位置実施形態による、航空ビークルを操作する例示の方法のフロー図を示す。 図6に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。 図7に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。 図8に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。 図6に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。 図6に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。 図11に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。 図6に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。 図13に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。 図11に示す方法と共に使用し得る、航空ビークルを操作するための例示の方法のフロー図を示す。
本明細書ではこれより、添付図面を参照しつつ、開示の実施形態についてさらに網羅的に説明するが、添付図面に示されているのは、開示の実施形態の全部ではなく一部である。実際には、いくつかの異なる実施形態が説明され得るが、これらの実施形態は、本明細書に明記されている実施形態に限定されると解釈すべきではない。むしろ、これらの実施形態が説明されているのは、この開示が網羅的かつ包括的になるように、且つ本開示の範囲が当業者に十分に伝わるようにするためである。
上記のとおり、コンテキストアウェアなファイアウォールシステムは、現在のシステムコンテキストに基づいて複数組のフィルタリングルールの中から選択された一組のフィルタリングルールを適用することによって、ネットワークメッセージをフィルタリングすることができる。これを行うために、システムは、複数のあり得るシステムコンテキストの中から、現在のシステムコンテキストを決定する。典型的には、コンテキストアウェアなファイアウォールシステムは、センサ信号情報に基づいて、あり得るシステムコンテキストの中から現在のシステムコンテキストを決定する。例えば、コンテキストアウェアなファイアウォールシステムが航空機に配備されている一実施形態では、このコンテキストアウェアなファイアウォールシステムは、航空機の高度、速度、及び/または角度に関連したセンサ信号情報に基づいて、現在のシステムコンテキストを決定し得る。
しかし、もっぱらセンサ信号情報だけに依存するコンテキストアウェアなファイアウォールシステムでは、人間の熟練者及び/またはネットワーク設計者が、どのようにしてコンテキストアウェアなファイアウォールシステムがセンサ信号情報に基づいてシステムコンテキストの変化を特定するかを規定する構成ファイルを、手作業で作成することが必要である。この手作業の方法では、システムが、比較的多数のシステムコンテキストを含む比較的複雑な構成ファイルを伴う実施形態において特に、人的なミスが生じやすい。加えて、ある実施形態では、(例えばシステムセキュリティの目的で)例えばセンサ信号情報が利用不可能であるかもしれない。
本明細書に記載の例示的なシステム及び方法は、有利には、現存するコンテキストアウェアなファイアウォールシステムの少なくともいくつかの短所に対処し得る。実施例の中では、あるシステムが、内部ネットワーク(例えば航空用ネットワーク)内のネットワークメッセージを、ネットワークトラフィック情報に基づいてシステムが決定し得る現在のシステムコンテキストに基づいて、フィルタリングすることができる。具体的には、システムは、例えば各ネットワークメッセージの送信元ネットワークアドレス、送信先ネットワークアドレス、及び/またはポート番号(例えばネットワークメッセージのデータパケット)に基づいて、内部ネットワーク内のネットワークメッセージをモニタリングしてネットワークトラフィックを決定することができる。実施例の中では、システムは、ネットワークトラフィック情報に基づいて、機械学習技法を用いて現在のシステムコンテキストを決定するようにプログラムされていることができる。ネットワークトラフィック情報から現在のシステムコンテキストを自動的に決定することによって、システムは、センサ信号情報とは独立して、現在のシステムコンテキストを決定し適当な組のフィルタリングルールを適用することができる。これによって、とりわけ、現行のシステムの設定を行うときに遭遇する人的ミスのリスクを低減(または最小化)することができる、及び/またはセンサ信号情報のセキュリティを改善することができる。
本開示の実施形態は、コンピュータネットワークに特有の技術的な改善、例えば航空環境における動作に関する技術的な改善を提供する。応答時間の短縮、外部センサ信号への依存、及び人的ミスが生じやすい複素フィルタプログラミングといったコンピュータネットワーク特有の技術的問題は、本開示の実施形態によって、全面的または部分的に解決することができる。例えば、本開示の実施形態は、ネットワークトラフィック情報をリアルタイムでモニタリングし、そのリアルタイムのネットワークトラフィック情報に基づいて現在のシステムコンテキストを推測することによって、システムコンテキスト間の切り替えに関する応答時間を短縮する。こうして本開示の実施形態によって、例えばセキュリティ上の留意事項のせいで利用不可能であり得る、「外部のセンサ信号から独立して現在のシステムコンテキストを決定し得る方法」に、新しく効率的な改善を導入することができる。
本開示のシステム及び方法は、コンピュータネットワークに特有の諸問題、例えばコンテキストアウェアなファイアウォールのプログラミングに関する諸問題に対処する。これらのコンピュータネットワーク特有の諸問題は、本開示の実施形態によって解決することができる。例えば、ニューラルネットワーク内にテスト用ネットワークトラフィック情報を入力すること、及び機械学習技法を使用することによって、現存するコンテキストアウェアなファイアウォールによって必要とされる複雑な構成ファイルを生成する必要なしに、効率的かつ自動的に、コンテキストアウェアなファイアウォールをプログラムすることができる。こうして、本開示の諸実施形態によって、コンテキストアウェアなファイアウォールを種々のコンピュータ処理環境内で動作するように迅速かつ効率的に構成することができる方法に、新しく効率的な改善が導入される。
このように、本開示の実施形態は、複数のあり得るシステムコンテキストの中からシステムの現在のシステムコンテキストを決定するためにネットワーク内のネットワークトラフィック情報を使用するなどによって、イベントがコンピュータネットワーク用に処理される方法に、新しく効率的な改善を導入することができる。
ここで図1を参照すると、例示の一実施形態による、ネットワークメッセージをフィルタリングするためのシステム100の簡略ブロック図が示されている。図1に示すように、システム100は、コンピュータシステム110を含む。このコンピュータシステム110は、(i)内部ネットワーク114内の複数の内部ネットワーク装置112間の、及び/または(ii)内部ネットワーク114内の内部ネットワーク装置112と外部ネットワーク118を経た1つ以上の外部ネットワーク装置116との間の、ネットワークメッセージの送信をモニタリング及び制御することができる。この配設では、また以下で詳細に説明されるとおり、コンピュータシステム110は、現在のシステムコンテキストに基づいて、内部ネットワーク114内のネットワークメッセージをフィルタリングするためのファイアウォール120(例えば、ネットワーク内部のファイアウォール及び/または境界ファイアウォール)を設けることができる。
概して、内部ネットワーク装置112は、システム100の様々な動作の実施を容易にするために、内部ネットワーク114内のネットワークメッセージを受信及び/または送信することができる。例えば、図5Aに関して以下で説明される一実施形態においては、内部ネットワーク114内の内部ネットワーク装置112は、航空用システム(例えば航空機、宇宙船、ヘリコプター、及び/または無人航空機)の諸機能を実行するために動作する、航空用ネットワーク内の航空用装置であり得る。例えば、内部ネットワーク装置112は、航空用システムを動作させるための、飛行制御、航行、及び/または飛行中のエンタテインメントに関する動作を実行することができる。
別の一例として、図5Bに関して以下で説明される一実施形態においては、内部ネットワーク114内の内部ネットワーク装置112は、自律ビークルシステム(例えば自動運転車)の機能を実行するために動作する、自律ビークルネットワーク内のビークル用装置であり得る。例えば、内部ネットワーク装置112は、航空用システムを動作させるための、ステアリング、加速、制動、航行、及び/または走行中のエンタテインメントに関する動作を実行することができる。さらなる実施例として、内部ネットワーク装置112は、製造施設、ビジネスオフィス施設、及び/またはスマートホーム(例えば、照明装置、暖房装置、空調装置、及び/または家電機器といったコンピュータ制御された1つ以上の装置を備えた家)の諸機能を実行するための動作を実施することができる。
いくつかの実施形態では、複数の内部ネットワーク装置112が共通の位置にあることができる。例えば、システム100がビークル(例えば航空用システム及び/または自律ビークル)である一実施形態では、内部ネットワーク装置112はビークルに搭載されていることができ、外部ネットワーク装置116がこのビークルから離れた異なる位置にあることができる。システム100がビジネス施設である別の実施形態では、内部ネットワーク装置112が共通の建造物内に収容されていることができ、外部ネットワーク装置116が異なる建造物内及び/または遠隔位置に収容されていることができる。他の実施例では、内部ネットワーク装置112のうちの少なくとも1つが、内部ネットワーク装置112のうちの別の1つと異なる位置にあることができる。
内部ネットワーク114は、内部ネットワーク112に対して、及び/または内部ネットワーク装置112から、ネットワークメッセージを通信するための通信ネットワークである。そのため、内部ネットワーク114は、1つ以上のイントラネット、イーサネット接続、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、近距離無線通信(NFC)、Bluetooth(登録商標)無線技術による接続、Zigbee(登録商標)技術による接続、及び/または専有技術による接続といった、1つ以上の有線及び/または無線の接続を含んでいることができる。実施例の中では、内部ネットワーク114は、内部ネットワーク114内でネットワークメッセージを送信及び受信するための、1つ以上のゲートウェイ、ネットワークスイッチ、及び/またはルータを含んでいることができる。
加えて、実施例の中では、システム100の内部ネットワーク装置112のうちの1つ以上は、内部ネットワーク装置112がシステム100の動作を実施するのを容易にするために、外部ネットワーク装置116と通信することができる。概して、外部ネットワーク装置116は、内部ネットワーク114内に存在しない任意の装置(即ち、内部ネットワーク114の外部にある任意の装置)である。内部ネットワーク装置112が通信する相手である外部ネットワーク装置116のタイプは、システム100のタイプに基づいていてよい。例として、外部ネットワーク装置116は、電子商取引業者、機器のサプライヤー、サービスプロバイダー、サービサー(例えば保守の)、交通管制センター、規制機関、及び/または他の同様のシステム(例えば空中及び/または路上にある他のビークル)を含んでいることができる。
外部ネットワーク118は、例えば、インターネット、イントラネット、LANネットワーク、WANネットワーク、公衆交換電話網(PSTNネットワーク)、衛星ネットワーク、IEEE802.11(あらゆるIEEE802.11の改訂を含む)で規定されている通信プロトコル、専有接続、及び/または(GSM、CDMA、UMTS、EV−DO、WiMAX、もしくはLTEといった)携帯電話技術といった、1つ以上の有線及び/または無線の接続を含んでいることができる。外部ネットワーク118は、1つ以上のゲートウェイ、ネットワークスイッチ、及び/またはルータもまた含んでいることができる。
一実施例では、内部ネットワーク114がプライベートネットワークである一方、外部ネットワーク118がパブリックネットワークであることができる。別の実施例では、内部ネットワーク114が信頼されたネットワークである一方、外部ネットワーク118が信頼されていないネットワーク及び/または未知のネットワークであることができる。別の実施例では、内部ネットワーク装置112が信頼された装置である一方、外部ネットワーク装置116のうちの1つ以上が信頼されていない装置であることができる。
上記のとおり、コンピュータシステム110は、内部ネットワーク114内のネットワークメッセージ(即ち、内部ネットワーク装置112間で送信されたネットワークメッセージ、及び/または内部ネットワーク装置112と外部ネットワーク装置116との間で送信されたネットワークメッセージ)をフィルタリングするためのファイアウォール120を提供するように動作可能である。図1に示すとおり、ファイアウォール120は、ハードウェア、ソフトウェア、及び/またはファームウェアを用いて実装することができる。例えば、コンピュータシステム110のファイアウォール120は、1つ以上のプロセッサ122と、命令126(例えば機械語命令または他の実行可能な命令)を記憶する、非一過性コンピュータ可読媒体(例えば、揮発性メモリ及び/または非揮発性メモリ124)とを含んでいることができる。これらの命令126は、1つ以上のプロセッサ122によって実行されると、本明細書に記載された様々な動作をシステム110に実行させる。
同様に図1に示すとおり、メモリ124は、複数のシステムコンテキスト128及び、複数組のフィルタリングルール130を記憶することができる。概して、各システムコンテキスト128は、内部ネットワーク114内の複数の内部ネットワーク装置112の各集合ステータス(例えば日付、時間、位置、及び/または内部ネットワーク装置112の状態)を表すことができる。例えば、内部ネットワーク装置112が航空用装置である一実施形態では、システムコンテキスト128は、日付、時間、航空用装置の位置、及び/または飛行フェーズに基づいていることができる。例えば、一実施形態では、システムコンテキスト128は、航空ネットワーク内の(例えば、航空機上の、宇宙船上の、ヘリコプター上の、及び/または無人航空機用上の)航空用装置に関する、パワーオンのコンテキスト、飛行前のコンテキスト、エンジン始動のコンテキスト、インゲートのコンテキスト、タクシーアウトのコンテキスト、離陸のコンテキスト、上昇のコンテキスト、巡航のコンテキスト、降下のコンテキスト、進入のコンテキスト、ロールアウトのコンテキスト、タクシーインのコンテキスト、ゴーアラウンドのコンテキスト、エンジン停止のコンテキスト、及び/または保守のコンテキストを含んでいることができる。一例として、保守のコンテキストでは、複数の内部ネットワーク装置112の集合ステータスは、(i)1つ以上の列線交換ユニット(LRU)が、工場のフォールトデータ(shop fault data)を送信する、並びに/または新たな動作データ及び/もしくは構成データを受信するように構成された、パワーオンのコンテキストにあることと、(ii)その一方で、全地球測位システム(GPS)と乗客用装置がパワーオフ状態にあることと、を含んでいることができる。別の例では、巡航のコンテキストにおいて、内部ネットワーク装置112の集合ステータスは、(i)内部ネットワーク装置112が飛行経路に沿った特定の高度及び特定の位置にあることと、その一方で、(ii)乗客用機器が乗客にエンタテインメントサービスを提供するためのパワーオン状態にあり、且つLRUが他の航空機からのパイロットレポート(PIREP)及び/または天気予報を受信するように構成されたパワーオン状態にあることと、を含んでいることができる。
内部ネットワーク装置112が自動車用装置である別の例では、システムコンテキスト128は、パワーオンのコンテキスト、駐車のコンテキスト、リバースのコンテキスト、停止中のドライブのコンテキスト、移動中のドライブのコンテキスト、低速のコンテキスト、高速のコンテキスト、パワーダウンのコンテキスト、出発地点にいるコンテキスト、経路上にあるコンテキスト、及び/または目的地点にいるコンテキストを含んでいることができる。内部ネットワーク装置112がビジネスオフィス施設の一部である別の例では、システムコンテキスト128は、通常の業務時間のコンテキスト、延長された業務時間のコンテキスト、及び/または休業中のコンテキストを含んでいることができる。
各システムコンテキスト128は、フィルタリングルール130の複数の組のうちのそれぞれ1つに関連づけられている。フィルタリングルール130の各組は、内部ネットワーク装置112が、その組のフィルタリングルール130と関連付けられたシステムコンテキスト128にあるときに、ネットワークメッセージのうちのどれが内部ネットワーク114内での送信を許可されるか、及びネットワークメッセージのうちのどれが内部ネットワーク114内でブロックされるかを規定することができる。実施例の中では、フィルタリングルール130の組は、内部ネットワーク114内でネットワークメッセージを許可及び/またはブロックするため、それぞれ、1つ以上のパケットフィルタ、ネットワーク層フィルタ、アプリケーション層フィルタ、ステートレスフィルタ、及び/またはステートフルフィルタを適用するルールを含むことができる。例えば、一実施形態では、プロセッサ122は、各ネットワークメッセージを、そのネットワークメッセージに関する送信元のアドレス、送信先のアドレス、プロトコル、送信元ポート番号、及び/または送信先ポート番号に基づいてフィルタリングするため、フィルタリングルール130の組のうちの1つを適用することができる。
内部ネットワーク装置112の現在のシステムコンテキスト128に基づいて異なる組のフィルタリングルール130を適用することによって、コンピュータシステム110は有利には、異なる状況において異なるネットワークトラフィックを許可及び/またはブロックすることができる。これによって、ネットワークリソースの効率的な利用という結果になることができ、及び/または、ネットワークトラフィックを制限して内部ネットワーク装置112のうちの1つ以上の動作を間接的に制御することができる(例えば、所与の内部ネットワーク装置112の特定の機能及び/または使用は、内部ネットワーク装置112に関する特定の種類のネットワークメッセージをブロックすることによって、限定され得る。)
一例として、コンピュータシステム110によって航空機内のファイアウォール120が設けられている一実施形態では、コンピュータシステム110は、コンピュータシステム110が現在のシステムコンテキスト128を巡航のコンテキストであると判定したときに、エンタテインメント(例えばビデオ及び/またはオーディオのストリーミング)に関連付けられたネットワークトラフィックを許可することができ、コンピュータシステム110が現在のシステムコンテキスト128をタクシーアウトのコンテキストであると判定したときに、エンタテインメントに関連付けられたネットワークトラフィックをブロックすることができる。これは、航空機が飛行のためにタクシーアウトしている間の安全情報の説明中に、航空機の乗客が気を散らすのを減らす手助けとなり得る。
上記のとおり、システム100は、内部ネットワーク装置112に対して、及び内部ネットワーク装置112から、送信されるネットワークメッセージに由来するネットワークトラフィック情報に基づいて、現在のシステムコンテキスト128を決定し得る。例えば、コンピュータシステム110のプロセッサ122は、内部ネットワーク114内で送信された複数のネットワークメッセージを受信することができる。上記のように、内部ネットワーク114内で送信されたネットワークメッセージは、内部ネットワーク装置112間(例えば航空用装置間)、及び/または内部ネットワーク装置112のうちの少なくとも1つと少なくとも1つの外部ネットワーク装置116との間で、送信され得る。
ネットワークメッセージの受信後、プロセッサ122は、ネットワークメッセージを分析してネットワークトラフィック情報を決定することができる。ネットワークトラフィック情報は、例えば、ネットワークメッセージの送信元アドレス、送信先アドレス、ネットワークポート、サービスのタイプ、及び/またはパケット内のペイロードに基づいて、生のネットワークトラフィックデータに関連付けることができる。
例えば、図2は、例示の一実施形態によるネットワークメッセージ232のブロック図を示す。図2に示すとおり、ネットワークメッセージ232は、ヘッダ234及びユーザデータ236を含む。ヘッダ234は、送信元アドレス238、送信先アドレス240、ネットワークポート242、プロトコル244、及び/またはサービスのタイプ246を含んでいることができる。ユーザデータ236は、ネットワークメッセージ232のペイロード248であることができる。例として、ネットワークメッセージ232は、伝送制御プロトコル/インターネットプロトコル(TCP/IP)パケット、ユーザデータグラムプロトコル(UDP)パケット、インターネット制御通知プロトコル(ICMP)、及び/またはインターネットプロトコルセキュリティ(IPsec)に則っていることができる。
一実施例では、プロセッサ122は、各ネットワークメッセージ232のヘッダ234から、そのネットワークメッセージ232の送信元アドレス238と送信先アドレス240とを含む1ペアのアドレス250を抽出することによって、ネットワークメッセージ232を分析することができる。次に、プロセッサ122は、このネットワークメッセージ232に関して、一定の期間にわたる各ペアのアドレス間のネットワークトラフィックの量を決定することができる。
例えば図3Aは、例示的な一実施形態による、一定の期間にわたってプロセッサ122によって決定されたネットワークトラフィック情報のマトリクスを示す。図3Aでは、マトリクスの各列は送信元アドレス238を表しており、マトリクスの各列は送信先アドレス240を表している。このように、この実施例では、マトリクスの各セルが各ペアのアドレス250に対応している。図3Aに示すとおり、マトリクスの各セルは、当該セルによって表される各送信元アドレス238から送信先アドレス240への送信に関する、所与の期間にわたるネットワークトラフィックの量354A(例えば、バイト、メガバイト、ギガバイト、テラバイトなどの単位によるユーザデータ236の量)を表している。
別の例では、マトリクス内のセルのうちの1つ以上は、上記のような1ペアのアドレス250の代わりに、ある範囲の送信元アドレス238及び/またはある範囲の送信先アドレス240を表していることができる。この実施例は、システム100が比較的多数の内部ネットワーク装置112を含んでいる実施形態において有用であり得る。
別の例では、プロセッサ122は、さらにまたは代わりに、各ネットワークメッセージ232のヘッダ234からそのネットワークメッセージ232のネットワークポート242を抽出することによって、ネットワークメッセージ232を分析することができる。次に、プロセッサ122は、各ネットワークポート242に関して一定の期間にわたるネットワークトラフィックのパーセンテージを決定することができる。
例えば図3Bは、例示的な一実施形態による、一定の期間にわたってプロセッサ122によって決定されたネットワークトラフィック情報352Bのベクトルを示す。図3Bでは、各セルは、ネットワークポート242のうちの各1つに関するネットワークトラフィックのパーセンテージ354Bを表している。このベクトルは1024個のネットワークポート242を含んでいるが、他の実施例では、ベクトルは、より少ないかまたはより多い数のネットワークポート242を含んでいることができる。
一実施例では、一定の期間は、1分間であることができる。他の実施例では、一定の期間とは、(i)約1秒と約1分の間の期間、(ii)約1分と約5分の間の期間、(iii)約5分と約10分の間の期間、及び/または(iv)約10分と約1時間の間の期間であることができる。ある例では、コンピュータシステム110が比較的迅速に現在のシステムコンテキスト128内の変更を特定するのを容易にするため、比較的短期間(例えば1分間)にわたるネットワークトラフィック情報352A、352Bを決定することが有益であり得る。
ある実施例では、プロセッサ122は、システム100の動作中に連続してネットワークトラフィック情報を決定することができる。他の実施例では、プロセッサ122は、システム100の動作中に定期的にネットワークトラフィック情報を決定することができる。
プロセッサ122がネットワークトラフィック情報352A、352Bを決定した後、プロセッサ122は次に、ネットワークトラフィック情報352A、352Bを利用して、メモリ124内に記憶された複数のシステムコンテキスト128の中から現在のシステムコンテキスト128を決定することができる。例えば、プロセッサ122は次に、一定の期間にわたる各ペアのアドレス250間のネットワークトラフィックの量354Aに基づいて、及び/または一定の期間にわたる各ネットワークポート242に関するネットワークトラフィックのパーセンテージ354Bに基づいて、現在のシステムコンテキスト128を決定することができる。
一実施例では、プロセッサ122は、(i)ネットワークトラフィック情報(例えばネットワークトラフィック情報352A、352B)に基づいて、複数のシステムコンテキスト128のうちのそれぞれに関する信頼測定基準を決定すること、(ii)各信頼測定基準と閾値との比較を実施すること、及び(iii)この比較に基づいて、現在のシステムコンテキスト128に関する信頼測定基準が閾値を上回っていると判定することによって、現在のシステムコンテキスト128を決定することができる。概して、各システムコンテキスト128に関して決定された信頼測定基準は、システムコンテキスト128が現在のシステムコンテキスト128であるという可能性を表すことができる。例えば、プロセッサ122は、各システムコンテキスト128に関して、システムコンテキスト128が現在のシステムコンテキスト128であるという確率を表す信頼測定基準を、0%から100%の間のパーセンテージ値(即ち0.00と1.00の間の値)として決定することができる。
一実施形態では、閾値は約50%(即ち、約0.50の閾値)であることができる。別の実施例では、閾値は、約30%と99%の間の値(即ち、約0.30〜0.99)であることができる。メモリ124が比較的多数のシステムコンテキスト128を記憶するある実施形態では、閾値は、約50%未満の値であることができる。
一実施例では、プロセッサ122は、ニューラルネットワークとして動作するための命令126を実行する(例えば、ネットワークトラフィック情報に基づいて、システムコンテキスト128に関する信頼測定基準を計算する)ように構成されている。例えば、図4は、例示の一実施形態による、プロセッサ122によって実装されたニューラルネットワーク456の簡略ブロック図を示す。図4に示すように、ニューラルネットワーク456は、互いに相互接続され、且つ比較的複雑な数学関数を計算するように構成された、複数のノード458(例えば複数のニューロン)を含んでいることができる。図4では、ノード458は、1つの入力層460、1つ以上の隠れた層462、及び1つの出力層464を含む。一実施例では、入力層460は、入力層460におけるネットワークトラフィック情報(例えばネットワークトラフィック情報352A、352B)を受信し、出力層164における信頼測定基準を出力することができる。
図4では、入力層460は3つのノード458を含み、2つの隠れた層462は合計6個のノード458を含み、出力層464は単一のノード458を含む。他の実施例では、ニューラルネットワーク456は、図4に示すものとは異なる数のノード458及び/または異なる数の隠れた層462を有することができる。実施例の中では、ノード458、及び/または隠れた層462の数は、少なくとも部分的には、内部ネットワーク114のサイズ、及び/または内部ネットワーク114内の内部ネットワーク装置112のタイプに基づいていることができる。
プロセッサ122は、現在のシステムコンテキスト128を決定した後、現在のシステムコンテキスト128に基づいて、複数組のフィルタリングルール130の中から1組のフィルタリングルールを選択することができる。一実施例では、メモリ124は、フィルタリングルール130の複数組に対してシステムコンテキスト128をマッピングするテーブルを記憶することができる。コンピュータシステム110は、このテーブルを参照して、決定された現在のシステムコンテキスト128に対応する組のフィルタリングルール130を決定することができる。
次に、コンピュータシステム110は、選択された組のフィルタリングルール130をネットワークメッセージ232に対して適用して、内部ネットワーク114内におけるネットワークメッセージ232の伝送を許可及び/またはブロックすることができる。例えば、プロセッサ122は、複数のネットワークメッセージ232に対して、選択された組のフィルタリングルール130を適用して、現在のシステムコンテキスト128にとって許容可能な複数のネットワークメッセージ232のサブセットを決定することができる。次に、プロセッサ122は、このサブセットの各ネットワークメッセージ232を、ネットワークメッセージ232の送信先(例えば、送信先アドレス240)に対して送付することができる。
上記のように、ある実施形態では、プロセッサ122は閾値を上回る信頼測定基準に基づいて、現在のシステムコンテキスト128を決定することができる。ある実施例では、プロセッサ122によって決定された信頼測定基準の全てが閾値を下回ってよいか、または1つよりも多くの信頼測定基準が閾値を上回ってよい。こうした例では、プロセッサ122によるシステムコンテキスト決定の結果は、包括的なもの(inclusive)であり得る。これは、例えば内部ネットワーク114内のノイズのせいで発生し得る。
実施例の中では、システムコンテキスト分析の結果が確定的でないときには、プロセッサ122は、(i)(例えば信頼測定基準に基づいて)現在のシステムコンテキストである可能性が高いシステムコンテキスト128のサブグループを決定すること、(ii)このシステムコンテキスト128のサブグループに関する複数組のフィルタリングルール130間で共通の1つ以上のフィルタリングルールを特定すること、(iii)ネットワークメッセージ232に対してこの1つ以上のフィルタリングルール130を適用して、システムコンテキスト128のサブグループにとって許容可能なネットワークメッセージ232のサブセットの一部を決定すること、(iv)このサブセットの一部のうちの各ネットワークメッセージ232を、ネットワークメッセージ232の送信先に送付すること、及び(v)プロセッサ122が現在のシステムコンテキスト128を確定的に決定することができるまで、メモリ124内にネットワークメッセージ232の残りをバッファリングすること、を行うことができる。コンピュータシステム110は、こうして、プロセッサ122が現在のシステムコンテキスト128を確定的に決定したときに確実に許容可能であるネットワークメッセージ232は許容し、プロセッサ122が現在のシステムコンテキスト128を確定的に決定したときにブロックされ得るネットワークメッセージ232は保留することができる。このことは、ブロックされ得るネットワークメッセージ232に対しては保守的なアプローチを採る一方で、許容可能である可能性が高いネットワークメッセージ232に対して送信の遅延を緩和するのに役立ち得る。
プロセッサ122がニューラルネットワーク456として動作するための命令126を実行するように構成されている実施例では、ニューラルネットワーク456は、ネットワークトラフィック情報に基づいて各システムコンテキスト128に関する信頼測定基準を決定するようにトレーニングすることができる。実施例の中では、ニューラルネットワーク456は、ネットワークトラフィック情報352Aに関する複数のテストマトリクス、及び/またはネットワークトラフィック情報352Bに関する複数のテストベクトルに加えて、各テストマトリクス及び/またはテストベクトルに対応するシステムコンテキスト128を提供することを伴う、機械学習技法によってトレーニングすることができる。一実施形態では、テストマトリクス及び/またはテストベクトルは、(i)システム100の1つ以上の動作サイクル中にタイムスタンプ情報と共に内部ネットワーク114内で送信されたネットワークトラフィック情報を(例えばディープパケットインスペクションを介して)記録すること、(ii)(例えばコンピュータシステム110のクロックを介して)動作サイクル中のシステムコンテキスト128の継続時間に関するタイムスタンプ情報を記録すること、及び(iii)タイムスタンプ情報に基づいて、ネットワークトラフィック情報をシステムコンテキスト128と相関させることによって、生成され得る。
ここで図5Aを参照すると、別の例示的な実施形態による航空用システム500Aの簡略ブロック図が示されている。具体的には、図5Aでは、航空用システム500Aは航空用ネットワーク514内の複数の航空用装置512を含む。このように、航空ネットワーク514内の航空用装置512は、上記され且つ図1に示されている内部ネットワーク114内の内部ネットワーク装置112であることができる。
図5Aに示すとおり、航空用装置512は、1つ以上の全地球測位システム(GPS)512A、組込みシステム512B、無線自動識別装置(RFID)タグ512C、無線センサネットワーク512D、802.11アクセスポイント512E、及び/または乗客用装置512F(例えば、機内エンターテインメントシステム、携帯電話、タブレットコンピュータ、及び/またはラップトップコンピュータ)を含んでいることができる。加えて、例えば、航空用装置512は1つ以上の列線交換ユニット(LRU)512Gを含んでいることができる。LRU512Gは、稼働場所において迅速に交換されるように設計された、航空機、船舶、もしくは宇宙船(または任意の他の製造された航空用装置)のモジュラー式構成要素を含んでいることができる。LRU512Gは、ラジオまたは他の補助機器といった、密閉ユニットであることができる。ある実施形態では、LRU512Gは、飛行管理コンピュータ(FMC)、機載ネットワークシステム(ONS)、及び/または中央管理コンピュータ(CMC)を含んでいることができる。
ある実施形態では、航空用装置512は、例えば電子商取引業者、航空機製造業者、機載機器の供給業者、航空会社、航空用及び他のネットワークのサービスプロバイダー、サービサー(例えば保守の)、航空交通管制(ATC)センター、規制機関(例えば連邦航空局)、並びに、航空機516A及び無人航空機516Bといった他の航空機といった、航空用500Aの外部にある1つ以上の実体と通信することができる。このことによって、例えば、航空用装置512が、とりわけロード可能なソフトウェア(例えば航行データベース、電子フライトバッグ、天気予報)、健康データ(例えば無線センサ及びタグデータ、診断)、及び/または交通管制データ(例えば交通用ビーコン)に対応する情報を載せているネットワークメッセージ232を送受信することが容易になり得る。
図5Aに示すとおり、航空用ネットワーク514内の航空用装置512は、空対空(A2A)ネットワーク518A及び/または空対地(A2G)ネットワーク518Bによって、航空用システム500Aの外部の実体に接続されている。実施例の中では、航空用装置512は、A2Aネットワーク518Aを介して、航空機516A及び/または無人航空機516Bとの間で、ネットワークメッセージ232を送受信することができる。同様に、航空用装置512は、空対地ネットワーク518Bを介して、衛星516C、空港アクセスポイント516D、航空交通管制(ATC)用地上基地516E、及び/または携帯基地局516Fと通信することによって、航空会社のインフラストラクチャ事業者との間で、ネットワークメッセージ232を送受信することができる。
加えて、図5Aに示すとおり、航空用システム500Aは、コンピュータシステム110を含んでいる。このコンピュータシステム110は、(i)航空用ネットワーク514内の航空用装置512間の、及び/または航空用ネットワーク514内の航空用装置512と上記の航空用ネットワーク514の外部の実体との間の、ネットワークメッセージ232の送信をモニタリング及び制御することができる。この構成では、また上記で詳細に説明されたとおり、コンピュータシステム110は、現在のシステムコンテキスト128に基づいて、航空用ネットワーク514内のネットワークメッセージをフィルタリングするためのファイアウォール120を設けることができる。
ここで図5Bを参照すると、別の例示の実施形態による自律ビークルシステム500Bの簡略ブロック図が示されている。具体的には、図5Aでは、自律ビークルシステム500Bは、自律ビークルネットワーク514’内の複数のビークル用装置512’を含む。このように、自律ビークルネットワーク514’内のビークル用装置512’は、上記され且つ図1に示されている内部ネットワーク114内の内部ネットワーク装置112であることができる。
図5Bに示すとおり、ビークル用装置512’は、自律ビークルの航行及び制御用のデータを提供することができる、1つ以上のGPSシステム512A’、カメラ512B’、LIDARシステム512C’、及び/またはレーダーシステム512’Dを含んでいることができる。加えて、ビークル用装置512’は、例えば自律ビークルシステム500Bの操作用のユーザインターフェースを提供するために、1つ以上の乗客用装置512E’を含んでいることができる。
また、図5Bに示すとおり、ビークル用装置512’は、他のビークル516A’との通信を容易にするために、ビークル間ネットワーク518A’を介してネットワークメッセージ232を送受信することができる。同様に、ビークル用装置512’は、他の衛星516B’、(例えば道路上の交通管制信号の状態を表す)交通信号管制ステーション516C’、及び/または携帯基地局516D’との通信を容易にするために、ビークル対インフラストラクチャのネットワーク516B’を介して(例えば図5Aに関して上記されたのと同様の態様で)、ネットワークメッセージ232を送受信することができる。
図5Bに示すとおり、自律ビークルシステム500Bは、コンピュータシステム110を含んでいる。このコンピュータシステム110は、(i)自律ビークルネットワーク514’内のビークル用装置512’間の、及び/または自律ビークルネットワーク514’内のビークル用装置512’と上記の自律ビークルネットワーク514’の外部の実体との間の、ネットワークメッセージ232の送信をモニタリング及び制御することができる。この構成では、また上記で詳細に説明されたとおり、コンピュータシステム110は、現在のシステムコンテキスト514に基づいて、自律ビークルネットワーク514’内のネットワークメッセージをフィルタリングするためのファイアウォール120を設けることができる。
ここで図6を参照すると、例示的な一実施形態による、現在のシステムコンテキストに基づいて航空用ネットワーク内のネットワークメッセージをフィルタリングするための方法600のフローチャートが示されている。図6に示すとおり、方法600は、ブロック610で、コンピュータシステムのプロセッサによって、内部ネットワーク(例えば航空ネットワーク)内で送信された複数のネットワークメッセージを受信することを含む。方法600は、ブロック612で、プロセッサによって、複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することを含む。方法600は、ブロック614で、プロセッサによって、且つブロック612で決定されたネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することを含む。複数のシステムコンテキストのそれぞれは、内部ネットワーク内の複数の内部ネットワーク装置の、各集合ステータスを表す(例えば、航空ネットワーク内の複数の航空用装置の各集合ステータスを表す)。
方法600は、ブロック616で、プロセッサによって、且つ現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から一組のフィルタリングルールを選択することもまた含む。方法600は、ブロック618で、プロセッサによって、複数のネットワークメッセージに対して選択された組のフィルタリングルールを適用して、現在のシステムコンテキストにとって許容可能な複数のネットワークメッセージのサブセットを決定することを含む。方法600は、ブロック620で、プロセッサによって、このサブセットの各ネットワークメッセージをネットワークメッセージの送信先に送付することを含む。
図7から図15には、さらなる実施例による方法600の追加の態様が示されている。図7に示すとおり、方法600は、ブロック612で複数のネットワークメッセージを分析してネットワークトラフィック情報を決定するために、ブロック622で、各ネットワークメッセージのヘッダからこのネットワークメッセージの送信元のアドレス及び送信先のアドレスを含む1ペアのアドレスを抽出することと、ブロック624で、複数のネットワークメッセージに関して、一定の期間にわたる各ペアのアドレス間のネットワークトラフィックの量を決定することとを含んでいることができる。
図8に示すとおり、方法600は、ブロック614でネットワークトラフィック情報に基づいて現在のシステムコンテキストを決定するため、ブロック626で、一定の期間にわたる各ペアのアドレス間のネットワークトラフィックの量に基づいて現在のシステムコンテキストを決定することを含むことができる。
図9に示すとおり、方法600は、ブロック612で複数のネットワークメッセージを分析してネットワークトラフィック情報を決定するため、(i)ブロック628で、各ネットワークメッセージのヘッダからネットワークメッセージのネットワークポートを抽出することと、(ii)ブロック630で、各ネットワークポートに関して、一定の期間にわたるネットワークトラフィックのパーセンテージを決定することとを含んでいることができる。同じく図9に示すとおり、方法600は、ブロック614でネットワークトラフィック情報に基づいて現在のシステムコンテキストを決定するため、ブロック632で、一定の期間にわたる各ネットワークポートに関するネットワークトラフィックのパーセンテージに基づいて現在のシステムコンテキストを決定することを含むことができる。
図10では、複数の航空用装置は、航空機に搭載された、GPSシステム、複数の乗客用装置、及びLRUを含む。図10に示すとおり、方法600は、ブロック614でプロセッサによって、且つネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定するため、パワーオンのコンテキスト、飛行前のコンテキスト、エンジン始動のコンテキスト、インゲートのコンテキスト、タクシーアウトのコンテキスト、離陸のコンテキスト、上昇のコンテキスト、巡航のコンテキスト、降下のコンテキスト、進入のコンテキスト、ロールアウトのコンテキスト、タクシーインのコンテキスト、ゴーアラウンドのコンテキスト、エンジン停止のコンテキスト、及び保守のコンテキストを含む一群のシステムコンテキストの中から、現在のシステムコンテキストを決定することを含んでいることができる。
図11に示すとおり、方法600は、ブロック614でネットワークトラフィック情報に基づいて複数のシステムコンテキストの中から現在のシステムコンテキストを決定するために、(i)ブロック636で、ニューラルネットワーク内にネットワークトラフィック情報を入力することと、(ii)ブロック638で、ニューラルネットワークを用いて、ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することとを含んでいることができる。
図12に示すとおり、方法600は、ブロック638でネットワークトラフィック情報に基づいて複数のシステムコンテキストの中から現在のシステムコンテキストを決定するために、(i)ブロック640で、ネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する信頼測定基準を計算することと、(ii)ブロック642で、各信頼測定基準と閾値との比較を実施することと、(iii)ブロック644で、この比較に基づいて、現在のシステムコンテキストに関する信頼測定基準が閾値を上回っていると判定することと、を含んでいることができる。
図13に示す方法600では、第1の部分の時間と第2の部分の時間を含む一定の期間にわたって、複数のネットワークメッセージが受信される。図13に示すとおり、ブロック614で現在のシステムコンテキストを決定することは、(i)ブロック646で、第1の部分の時間に関するネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する第1の信頼測定基準を計算することと、(ii)ブロック648で、各第1の信頼測定基準と閾値との比較を実施することと、(iii)ブロック650で、ブロック648における比較に基づいて、第1の信頼測定基準が全て閾値を下回っていると判定することと、(iv)ブロック652で、ブロック650で第1の信頼測定基準が全て閾値を下回っていると判定したのに応答して、一連の動作を実施することとを含んでいることができる。
同様に図13に示すとおり、ブロック652における一連の動作は、(a)ブロック654で、第1の信頼測定基準に基づいて、複数のシステムコンテキストから現在のシステムコンテキストである可能性が高いシステムコンテキストのサブグループを決定することと、(b)ブロック656で、このシステムコンテキストのサブグループに関するフィルタリングルールの組を分析して、このシステムコンテキストのサブグループに関するフィルタリングルールの複数の組の間の1つ以上の共通のフィルタリングルールを決定することと、(c)ブロック658で、この1つ以上の共通のフィルタリングルールを複数のネットワークメッセージに適用して、このシステムコンテキストのサブグループにとって許容可能な複数のネットワークメッセージのサブセットの一部を決定することと、(d)ブロック660で、プロセッサによって、このサブセットの一部のうちの各ネットワークメッセージをネットワークメッセージの送信先に送付することと、(e)ブロック662で、第2の部分の時間内に受信した複数のネットワークメッセージに基づいて現在のシステムコンテキストが決定されるまで、複数のネットワークメッセージの残りをバッファリングすることと、を含んでいることができる。
図14に示すとおり、方法600は、ブロック662で第2の部分の時間内に受信した複数のネットワークメッセージに基づいて現在のシステムコンテキストを決定するために、(i)ブロック664で、第2の部分の時間に関するネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する第2の信頼測定基準を計算することと、(ii)ブロック666で、各第2の信頼測定基準と閾値との比較を実施することと、(iii)ブロック668で、この比較に基づいて、現在のシステムコンテキストに関する第2の信頼測定基準が閾値を上回っていると判定することと、を含んでいることができる。
図15に示すように、方法600は、ブロック670でニューラルネットワークをトレーニングすることを含んでいることができる。方法600は、ブロック670でニューラルネットワークをトレーニングするために、ブロック672で、テスト用ネットワークトラフィック情報を生成することと、ブロック674で、このテスト用ネットワークトラフィック情報をニューラルネットワーク内に入力することと、を含んでいることができる。さらに、方法600は、ブロック672でテスト用ネットワークトラフィック情報を生成するために、(i)ブロック676で、複数の航空用装置の1つ以上の動作サイクル中に第1のタイムスタンプ情報と共に航空ネットワーク内で送信されたテスト用ネットワークトラフィック情報を記録することと、(ii)ブロック678で、1つ以上の動作サイクル中の各システムコンテキストの継続時間に関する第2のタイムスタンプ情報を記録することと、(iii)ブロック680で、第1のタイムスタンプ情報と第2のタイムスタンプ情報とに基づいて、相関を行うことと、を含んでいることができる。
図6から図15に示すブロックの内の1つ以上は、方法における特定の論理機能またはステップを実装するためにプロセッサによって実行可能な1つ以上の命令を含む、プログラムコードのモジュール、セグメント、または一部分を表わしていてよい。プログラムコードは、例えば、ディスクドライブまたはハードドライブを含む記憶デバイスといった、任意のタイプのコンピュータ可読媒体またはデータ記憶装置に記憶されてよい。さらに、プログラムコードは、コンピュータ可読記憶媒体でマシン可読形式に符号化され得るか、または、他の非一過性の媒体もしくは製品上で符号化され得る。このコンピュータ可読媒体は、例えば、レジスタメモリ、プロセッサキャッシュ、及びランダムアクセスメモリ(RAM)のようにデータを短期間記憶するコンピュータ可読媒体といった、非一過性コンピュータ可読媒体またはメモリを含んでいてよい。コンピュータ可読媒体は、例えば、読み出し専用メモリ(ROM)、光学または磁気ディスク、コンパクトディスク読み出し専用メモリ(CD−ROM)のような二次的または永続的な長期的ストレージといった非一過性媒体をさらに含んでいてもよい。コンピュータ可読媒体は、さらに、任意の他の揮発性または非揮発性のストレージシステムであってもよい。コンピュータ可読媒体は、例えば、有形のコンピュータ可読記憶媒体とみなされてよい。
さらに、本発明は、以下の条項による実施形態を含む。
1.現在のシステムコンテキストに基づいて、航空ネットワーク内のネットワークメッセージをフィルタリングする方法であって、コンピュータシステムのプロセッサによって、航空ネットワーク内で送信された複数のネットワークメッセージを受信することと、プロセッサによって、複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することと、プロセッサによって、且つネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することであって、複数のシステムコンテキストのそれぞれが、この航空ネットワーク内の複数の航空用装置の各集合ステータスを表す、現在のシステムコンテキストを決定することと、プロセッサによって、且つ現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から1組のフィルタリングルールを選択することと、プロセッサによって、選択された組のフィルタリングルールを複数のネットワークメッセージに対して適用して、現在のシステムコンテキストにとって許容可能な複数のネットワークメッセージのサブセットを決定することと、プロセッサによって、このサブセットのうちの各ネットワークメッセージをネットワークメッセージの送信先に送付することと、を含む方法。
2.複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することが、各ネットワークメッセージのヘッダからこのネットワークメッセージの送信元のアドレス及び送信先のアドレスを含む1ペアのアドレスを抽出することと、複数のネットワークメッセージに関して、一定の期間にわたる各ペアのアドレス間のネットワークトラフィックの量を決定することとを含む、条項1に記載の方法。
3.ネットワークトラフィック情報に基づいて現在のシステムコンテキストを決定することが、一定の期間にわたる各ペアのアドレス間のネットワークトラフィックの量に基づいて現在のシステムコンテキストを決定することを含む、条項2に記載の方法。
4.複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することが、各ネットワークメッセージのヘッダからこのネットワークメッセージのネットワークポートを抽出することと、各ネットワークポートに関して、一定の期間にわたるネットワークトラフィックのパーセンテージを決定することとを含み、ネットワークトラフィック情報に基づいて現在のシステムコンテキストを決定することが、一定の期間にわたる各ネットワークポートのネットワークトラフィックのパーセンテージに基づいて現在のシステムコンテキストを決定することを含む、条項3に記載の方法。
5.前記複数の航空用装置が、航空機に機載の全地球測位システム(GPS)、複数の乗客用装置、列線交換ユニット(LRU)を備え、プロセッサによって、且つネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することが、パワーオンのコンテキスト、飛行前のコンテキスト、エンジン始動のコンテキスト、インゲートのコンテキスト、タクシーアウトのコンテキスト、離陸のコンテキスト、上昇のコンテキスト、巡航のコンテキスト、降下のコンテキスト、進入のコンテキスト、ロールアウトのコンテキスト、タクシーインのコンテキスト、ゴーアラウンドのコンテキスト、エンジン停止のコンテキスト、及び保守のコンテキストを含む一群のシステムコンテキストの中から現在のシステムコンテキストを決定することを含む、条項1から4のいずれか一項に記載の方法。
6.ネットワークトラフィック情報に基づいて複数のシステムコンテキストの中から現在のシステムコンテキストを決定することが、ニューラルネットワーク内にネットワークトラフィック情報を入力することと、ニューラルネットワークを用いて、ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することとを含む、条項1から5のいずれか一項に記載の方法。
7.ニューラルネットワークを用いて、ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することが、ニューラルネットワークを用いて、且つネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する信頼測定基準を計算することと、各信頼測定基準と閾値との比較を実施することと、この比較に基づいて、現在のシステムコンテキストに関する信頼測定基準が閾値を上回っていると判定することとを含む、条項6に記載の方法。
8.ニューラルネットワークをトレーニングすることをさらに含む方法であって、テスト用ネットワークトラフィック情報を生成することを含み、テスト用ネットワークトラフィック情報を生成することが、複数の航空用装置の1つ以上の動作サイクル中に、第1のタイムスタンプ情報と共に航空ネットワーク内で送信されたテスト用ネットワークトラフィック情報を記録することと、この1つ以上の動作サイクル中の各システムコンテキストの継続時間に関する第2のタイムスタンプ情報を記録することと、第1のタイムスタンプ情報及び第2のタイムスタンプ情報に基づいて、テスト用ネットワークトラフィック情報を複数のシステムコンテキストと相関させることと、ニューラルネットワーク内にテスト用ネットワークトラフィック情報を入力することとを含む、条項6または7に記載の方法。
9.方法であって、第1の部分の時間と第2の部分の時間を含む一定の期間にわたって複数のネットワークメッセージが受信され、現在のシステムコンテキストを決定することが、第1の部分の時間に関するネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する第1の信頼測定基準を計算することと、各第1の信頼測定基準と閾値との比較を実施することと、この比較に基づいて、第1の信頼測定基準が全て閾値を下回っていると判定することと、第1の信頼測定基準が全て閾値を下回っていると判定したことに応答して、第1の信頼測定基準に基づいて、複数のシステムコンテキストから現在のシステムコンテキストである可能性が高いシステムコンテキストのサブグループを決定することと、このシステムコンテキストのサブグループに関するフィルタリングルールの組を分析して、このシステムコンテキストのサブグループに関するフィルタリングルールの複数組の間の1つ以上の共通のフィルタリングルールを決定することと、この1つ以上の共通のフィルタリングルールを複数のネットワークメッセージに適用して、このシステムコンテキストのサブグループにとって許容可能な複数のネットワークメッセージのサブセットの一部を決定することと、プロセッサによって、このサブセットの一部のうちの各ネットワークメッセージをネットワークメッセージの送信先に送付することと、第2の部分の時間内に受信した複数のネットワークメッセージに基づいて現在のシステムコンテキストが決定されるまで、複数のネットワークメッセージの残りをバッファリングすることとを含む、条項1から8のいずれか一項に記載の方法。
10.第2の部分の時間内に受信した複数のネットワークメッセージに基づいて現在のシステムコンテキストを決定することが、第2の部分の時間に関するネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する第2の信頼測定基準を計算することと、各第2の信頼測定基準と閾値との比較を実施することと、この比較に基づいて、現在のシステムコンテキストに関する第2の信頼測定基準が閾値を上回っていると判定することとを含む、条項9に記載の方法。
11.現在のシステムコンテキストに基づいて、航空ネットワーク内のネットワークメッセージをフィルタリングするためのシステムであって、命令を記憶するメモリ、及び動作を実施する命令を実行するように構成されたプロセッサを備え、この動作が、航空ネットワーク内で送信された複数のネットワークメッセージを受信することと、複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することと、ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することであって、複数のシステムコンテキストのそれぞれが、この航空ネットワーク内の複数の航空用装置の各集合ステータスを表す、現在のシステムコンテキストを決定することと、現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から1組のフィルタリングルールを選択することと、選択された組のフィルタリングルールを複数のネットワークメッセージに対して適用して、現在のシステムコンテキストにとって許容可能な複数のネットワークメッセージのサブセットを決定することと、このサブセットのうちの各ネットワークメッセージをネットワークメッセージの送信先に送付することとを含む、システム。
12.プロセッサが、ニューラルネットワークとして動作するための命令を実行するように構成されている、条項11に記載のシステム。
13.複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することが、各ネットワークメッセージのヘッダから、このネットワークメッセージの送信元アドレス及び送信先アドレスを含む1ペアのアドレスを抽出することと、複数のネットワークメッセージに関して、一定の期間にわたる各ペアのアドレス間のネットワークトラフィックの量を決定することとを含むシステムであって、ネットワークトラフィック情報に基づいて現在のシステムコンテキストを決定することが、一定の期間にわたる各ペアのアドレス間のネットワークトラフィックの量に基づいて現在のシステムコンテキストを決定することを含む、条項11または12に記載のシステム。
14.複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することが、各ネットワークメッセージのヘッダからこのネットワークメッセージのネットワークポートを抽出することと、各ネットワークポートに関して、一定の期間にわたるネットワークトラフィックのパーセンテージを決定することとを含むシステムであって、ネットワークトラフィック情報に基づいて現在のシステムコンテキストを決定することが、一定の期間にわたる各ネットワークポートに関するネットワークトラフィックのパーセンテージに基づいて現在のシステムコンテキストを決定することを含む、条項13に記載のシステム。
15.複数の航空用装置が、航空機に機載の全地球測位システム(GPS)、複数の乗客用装置、及び列線交換ユニット(LRU)を備え、複数のシステムコンテキストが、パワーオンのコンテキスト、飛行前のコンテキスト、エンジン始動のコンテキスト、インゲートのコンテキスト、タクシーアウトのコンテキスト、離陸のコンテキスト、上昇のコンテキスト、巡航のコンテキスト、降下のコンテキスト、進入のコンテキスト、ロールアウトのコンテキスト、タクシーインのコンテキスト、ゴーアラウンドのコンテキスト、エンジン停止のコンテキスト、及び保守のコンテキストを含む、条項11から14のいずれか一項に記載のシステム。
16.ネットワークトラフィック情報に基づいて現在のシステムコンテキストを決定することが、ネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する信頼測定基準を計算することと、各信頼測定基準と閾値との比較を実施することと、この比較に基づいて、現在のシステムコンテキストに関する信頼測定基準が閾値を上回っていると判定することとを含む、条項11から15のいずれか一項に記載のシステム。
17.システムであって、第1の部分の時間と第2の部分の時間を含む一定の期間にわたって複数のネットワークメッセージが受信され、現在のシステムコンテキストを決定することが、第1の部分の時間に関するネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する第1の信頼測定基準を計算することと、各第1の信頼測定基準と閾値との比較を実施することと、この比較に基づいて、第1の信頼測定基準が全て閾値を下回っていると判定することと、第1の信頼測定基準が全て閾値を下回っていると判定したことに応答して、第1の信頼測定基準に基づいて、複数のシステムコンテキストから現在のシステムコンテキストである可能性が高いシステムコンテキストのサブグループを決定することと、このシステムコンテキストのサブグループに関するフィルタリングルールの組を分析して、このシステムコンテキストのサブグループに関するフィルタリングルールの複数組の間の1つ以上の共通のフィルタリングルールを決定することと、この1つ以上の共通のフィルタリングルールを複数のネットワークメッセージに適用して、このシステムコンテキストのサブグループにとって許容可能な複数のネットワークメッセージのサブセットの一部を決定することと、プロセッサによって、このサブセットの一部のうちの各ネットワークメッセージをネットワークメッセージの送信先に送付することと、第2の部分の時間内に受信した複数のネットワークメッセージに基づいて現在のシステムコンテキストが決定されるまで、複数のネットワークメッセージの残りをバッファリングすることとを含む、条項11から16のいずれか一項に記載のシステム。
18.第2の部分の時間内に受信した複数のネットワークメッセージに基づいて現在のシステムコンテキストを決定することが、第2の部分の時間に関するネットワークトラフィック情報に基づいて、複数のシステムコンテキストのそれぞれに関する第2の信頼測定基準を計算することと、各第2の信頼測定基準と閾値との比較を実施することと、この比較に基づいて、現在のシステムコンテキストに関する第2の信頼測定基準が閾値を上回っていると判定することとを含む、条項17に記載のシステム。
19.非一過性のマシン可読媒体であって、この媒体上に実装されている命令であって、マシンのプロセッサによって実行されたときにこのマシンに、動作を実施させる命令を有し、この動作が、航空ネットワーク内で送信された複数のネットワークメッセージを受信することと、複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することと、ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することであって、複数のシステムコンテキストのそれぞれが、この通信ネットワーク内の複数の装置の各集合ステータスを表す、現在のシステムコンテキストを決定することと、現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から1組のフィルタリングルールを選択することと、選択された組のフィルタリングルールを複数のネットワークメッセージに対して適用して、現在のシステムコンテキストにとって許容可能な複数のネットワークメッセージのサブセットを決定することと、このサブセットのうちの各ネットワークメッセージをネットワークメッセージの送信先に送付することとを含む、非一過性のマシン可読媒体。
20.通信ネットワークが、1つ以上の航空用装置を備える航空ネットワークである、条項19に記載の非一過性のマシン可読媒体。
21.通信ネットワークが、自律ビークルを備える自律ビークルネットワークである、条項19または20に記載の非一過性のマシン可読媒体。
ある例では、本明細書に記載の装置及び/またはシステムの構成要素が、機能を実行するように構成されていて、それによって、構成要素が、そうした実行を可能にするように(ハードウェア及び/またはソフトウェア付きで)実際に構成及び構築されていてよい。次に、例示の構成は、システムにこれらの機能を実施させる命令を実行する1つ以上のプロセッサを含んでいる。同様に、装置及び/またはシステムの構成要素は、例えば特定の態様で操作された時にこの機能を実施するように適合しているか、こうした実施が可能であるか、または、こうした実施に適しているように、構成されていてよい。
種々の有利な構成についての説明は、例示及び説明を目的として提示されており、網羅的であること、または開示されている形態の実施形態に限定することは意図されていない。当業者には、多くの修正例及び変形例が自明となろう。さらに、種々の有利な実施形態は、それ以外の有利な実施形態とは異なる利点を説明していてよい。選択された1つまたは複数の実施形態は、実施形態の原理、実際の用途を解説するために、かつ、他の当業者が、想定される特定の用途に適した様々な修正例を伴う様々な実施形態の開示内容を理解することを可能にするために、選ばれ、説明されている。

Claims (15)

  1. 現在のシステムコンテキストに基づいて、航空ネットワーク内のネットワークメッセージをフィルタリングする方法であって、
    コンピュータシステムのプロセッサによって、航空ネットワーク内で送信された複数のネットワークメッセージを受信することと、
    前記プロセッサによって、前記複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することと、
    前記プロセッサによって、且つ前記ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することであって、前記複数のシステムコンテキストのそれぞれが、前記航空ネットワーク内の複数の航空用装置の各集合ステータスを表す、現在のシステムコンテキストを決定することと、
    前記プロセッサによって、且つ前記現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から1組のフィルタリングルールを選択することと、
    前記プロセッサによって、前記選択された組のフィルタリングルールを前記複数のネットワークメッセージに対して適用して、前記現在のシステムコンテキストにとって許容可能な前記複数のネットワークメッセージのサブセットを決定することと、
    前記プロセッサによって、前記サブセットのうちの各ネットワークメッセージを前記ネットワークメッセージの送信先に送付することと、を含む方法。
  2. 前記複数のネットワークメッセージを分析して前記ネットワークトラフィック情報を決定することが、
    各ネットワークメッセージのヘッダから前記ネットワークメッセージの送信元アドレス及び送信先アドレスを含む1ペアのアドレスを抽出することと、
    前記複数のネットワークメッセージに関して、一定の期間にわたる各ペアのアドレス間のネットワークトラフィックの量を決定することとを含む、請求項1に記載の方法。
  3. 前記ネットワークトラフィック情報に基づいて前記現在のシステムコンテキストを決定することが、前記期間にわたる各ペアのアドレス間のネットワークトラフィックの量に基づいて前記現在のシステムコンテキストを決定することを含む、請求項2に記載の方法。
  4. 前記複数のネットワークメッセージを分析して前記ネットワークトラフィック情報を決定することが、
    各ネットワークメッセージの前記ヘッダから前記ネットワークメッセージのネットワークポートを抽出することと、
    各ネットワークポートに関して、前記期間にわたる前記ネットワークトラフィックのパーセンテージを決定することとを含む方法であって、
    前記ネットワークトラフィック情報に基づいて前記現在のシステムコンテキストを決定することが、前記期間にわたる各ネットワークポートに関する前記ネットワークトラフィックの前記パーセンテージに基づいて前記現在のシステムコンテキストを決定すること含む、請求項3に記載の方法。
  5. 前記複数の航空用装置が、航空機に機載の全地球測位システム(GPS)、複数の乗客用装置、列線交換ユニット(LRU)を備え、前記プロセッサによって、且つ前記ネットワークトラフィック情報に基づいて、前記複数のシステムコンテキストの中から前記現在のシステムコンテキストを決定することが、パワーオンのコンテキスト、飛行前のコンテキスト、エンジン始動のコンテキスト、インゲートのコンテキスト、タクシーアウトのコンテキスト、離陸のコンテキスト、上昇のコンテキスト、巡航のコンテキスト、降下のコンテキスト、進入のコンテキスト、ロールアウトのコンテキスト、タクシーインのコンテキスト、ゴーアラウンドのコンテキスト、エンジン停止のコンテキスト、及び保守のコンテキストを含む一群のシステムコンテキストの中から前記現在のシステムコンテキストを決定することを含む、請求項1から4のいずれか一項に記載の方法。
  6. 前記ネットワークトラフィック情報に基づいて、前記複数のシステムコンテキストの中から前記現在のシステムコンテキストを決定することが、
    ニューラルネットワーク内に前記ネットワークトラフィック情報を入力することと、
    前記ニューラルネットワークを用いて、前記ネットワークトラフィック情報に基づいて、前記複数のシステムコンテキストの中から前記現在のシステムコンテキストを決定することとを含む、請求項1から5のいずれか一項に記載の方法。
  7. 前記ニューラルネットワークを用いて、前記ネットワークトラフィック情報に基づいて前記複数のシステムコンテキストの中から前記現在のシステムコンテキストを決定することが、
    前記ニューラルネットワークを用いて、且つ前記ネットワークトラフィック情報に基づいて、前記複数のシステムコンテキストのそれぞれに関する信頼測定基準を計算することと、
    各信頼測定基準と閾値との比較を実施することと、
    前記比較に基づいて、前記現在のシステムコンテキストに関する前記信頼測定基準が前記閾値を上回っていると判定することとを含む、請求項6に記載の方法。
  8. 前記ニューラルネットワークをトレーニングすることが、
    テスト用ネットワークトラフィック情報を生成することであって、
    前記複数の航空用装置の1つ以上の動作サイクル中に、第1のタイムスタンプ情報と共に前記航空ネットワーク内で送信された前記テスト用ネットワークトラフィック情報を記録することと、
    前記1つ以上の動作サイクル中の各システムコンテキストの継続時間に関する第2のタイムスタンプ情報を記録することと、
    前記第1のタイムスタンプ情報及び前記第2のタイムスタンプ情報に基づいて、前記テスト用ネットワークトラフィック情報を前記複数のシステムコンテキストと相関させることと、
    前記ニューラルネットワーク内に前記テスト用ネットワークトラフィック情報入力することとを含む、
    テスト用ネットワークトラフィック情報を生成することを含む、ニューラルネットワークをトレーニングすることをさらに含む、請求項6または7に記載の方法。
  9. 方法であって、第1の部分の時間と第2の部分の時間を含む一定の期間にわたって前記複数のネットワークメッセージが受信され、前記現在のシステムコンテキストを決定することが、
    前記第1の部分の時間に関する前記ネットワークトラフィック情報に基づいて、前記複数のシステムコンテキストのそれぞれに関する第1の信頼測定基準を計算することと、
    各第1の信頼測定基準と閾値との比較を実施することと、
    前記比較に基づいて、前記第1の信頼測定基準が全て前記閾値を下回っていると判定することと、
    前記第1の信頼測定基準が全て前記閾値を下回っていると判定したことに応答して、
    前記第1の信頼測定基準に基づいて、前記複数のシステムコンテキストから前記現在のシステムコンテキストである可能性が高いシステムコンテキストのサブグループを決定することと、
    前記システムコンテキストの前記サブグループに関するフィルタリングルールの組を分析して、システムコンテキストの前記サブグループに関するフィルタリングルールの前記組の間の1つ以上の共通のフィルタリングルールを決定することと、
    前記1つ以上の共通のフィルタリングルールを前記複数のネットワークメッセージに適用して、システムコンテキストの前記サブグループにとって許容可能な前記複数のネットワークメッセージの前記サブセットの一部を決定することと、
    前記プロセッサによって、前記サブセットの一部のうちの各ネットワークメッセージを前記ネットワークメッセージの送信先に送付することと、
    前記第2の部分の時間内に受信した前記複数のネットワークメッセージに基づいて前記現在のシステムコンテキストが決定されるまで、前記複数のネットワークメッセージの残りをバッファリングすることとを含む、請求項1から8のいずれか一項に記載の方法。
  10. 前記第2の部分の時間内に受信した前記複数のネットワークメッセージに基づいて前記現在のシステムコンテキストを決定することが、
    前記第2の部分の時間に関する前記ネットワークトラフィック情報に基づいて、前記複数のシステムコンテキストのそれぞれに関する第2の信頼測定基準を計算することと、
    各第2の信頼測定基準と前記閾値との比較を実施することと、
    前記比較に基づいて、前記現在のシステムコンテキストに関する前記第2の信頼測定基準が前記閾値を上回っていると判定することとを含む、請求項9に記載の方法。
  11. 現在のシステムコンテキストに基づいて、航空ネットワーク内のネットワークメッセージをフィルタリングするためのシステムであって、
    命令を記憶するメモリ、及び
    請求項1から10のいずれかを含む動作を実施する命令を実行するように構成されたプロセッサを備え、前記動作が、
    航空ネットワーク内で送信された複数のネットワークメッセージを受信することと、
    前記複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することと、
    前記ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することであって、前記複数のシステムコンテキストのそれぞれが、前記航空ネットワーク内の複数の航空用装置の各集合ステータスを表す、現在のシステムコンテキストを決定することと、
    前記現在のシステムコンテキストに基づいて、複数組のフィルタリングルールの中から1組のフィルタリングルールを選択することと、
    前記選択された組のフィルタリングルールを前記複数のネットワークメッセージに対して適用して、前記現在のシステムコンテキストにとって許容可能な前記複数のネットワークメッセージのサブセットを決定することと、
    前記サブセットのうちの各ネットワークメッセージを前記ネットワークメッセージの送信先に送付することとを含む、システム。
  12. 前記プロセッサが、ニューラルネットワークとして動作するための前記命令を実行するように構成されている、請求項11に記載のシステム。
  13. 非一過性のマシン可読媒体であって、前記媒体上に実装されている命令であって、マシンのプロセッサによって実行されたときに、前記マシンに請求項1から11のいずれか一項に記載のステップ、即ち
    通信ネットワーク内で送信された複数のネットワークメッセージを受信することと、
    前記複数のネットワークメッセージを分析してネットワークトラフィック情報を決定することと、
    前記ネットワークトラフィック情報に基づいて、複数のシステムコンテキストの中から現在のシステムコンテキストを決定することであって、前記複数のシステムコンテキストのそれぞれが、前記通信ネットワーク内の複数の装置の各集合ステータスを表す、現在のシステムコンテキストを決定することと、
    前記現在のシステムコンテキストに基づいて、複数の組のフィルタリングルールの中から1組のフィルタリングルールを選択することと、
    前記選択された組のフィルタリングルールを前記複数のネットワークメッセージに対して適用して、前記現在のシステムコンテキストにとって許容可能な前記複数のネットワークメッセージのサブセットを決定することと、
    前記サブセットのうちの各ネットワークメッセージを前記ネットワークメッセージの送信先に転送することと
    を含む動作を実施させる命令を有する、非一過性のマシン可読媒体。
  14. 前記通信ネットワークが、1つ以上の航空用装置を備える航空ネットワークである、請求項13に記載の非一過性のマシン可読媒体。
  15. 前記通信ネットワークが、自律ビークルを備える自律ビークルネットワークである、請求項13に記載の非一過性のマシン可読媒体。
JP2019152476A 2018-08-27 2019-08-23 コンテキストアウェアなネットワークメッセージフィルタリングのシステム及び方法 Active JP7481815B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/114,160 2018-08-27
US16/114,160 US11134057B2 (en) 2018-08-27 2018-08-27 Systems and methods for context-aware network message filtering

Publications (2)

Publication Number Publication Date
JP2020064612A true JP2020064612A (ja) 2020-04-23
JP7481815B2 JP7481815B2 (ja) 2024-05-13

Family

ID=

Also Published As

Publication number Publication date
EP3618400A3 (en) 2020-03-25
AU2019213438A1 (en) 2020-03-12
KR20200024109A (ko) 2020-03-06
AU2019213438B2 (en) 2024-04-04
EP3618400A2 (en) 2020-03-04
CN110868389B (zh) 2023-06-20
CA3052559A1 (en) 2020-02-27
US11134057B2 (en) 2021-09-28
US20200067880A1 (en) 2020-02-27
EP3618400B1 (en) 2022-04-20
CN110868389A (zh) 2020-03-06

Similar Documents

Publication Publication Date Title
CN110868389B (zh) 用于上下文感知网络消息过滤的系统和方法
JP6937154B2 (ja) コンテキストアウェアなネットワークのためのシステム及び方法
US11716334B2 (en) Transport communication management
Giyenko et al. Intelligent UAV in smart cities using IoT
EP3226479B1 (en) System and method for automatic generation of filter rules
US10204521B2 (en) Method and system on dynamic control of UAVs using software defined networks
EP3095712B1 (en) Virtual aircraft network
US20190313317A1 (en) Behavior-based uav detection for communication networks
CN105227631B (zh) 一种支持无人机操作的分层系统
US20230010838A1 (en) Apparatus, systems, and methods for providing surveillance services for unmanned aircraft
JP7481815B2 (ja) コンテキストアウェアなネットワークメッセージフィルタリングのシステム及び方法
Luxhoj Predictive analytics for modeling UAS safety risk
Lau et al. Reliable long-range communication for medical cargo uavs using low-cost, accessible technology
Klügel et al. Communication Demands and Performance Metrics for Next Generation Aerial Networks
Rossi et al. A federated simulation framework with ATN fault injection module for reliablity analysis of UAVs in non-controlled airspace
Sward et al. Integrating the UAS Intelligent Analyzer for lost link comm into a UAS testbed

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220818

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230711

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231010

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240222

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240426