CN104123334A - 监管链信息中的异常检测 - Google Patents
监管链信息中的异常检测 Download PDFInfo
- Publication number
- CN104123334A CN104123334A CN201410168001.7A CN201410168001A CN104123334A CN 104123334 A CN104123334 A CN 104123334A CN 201410168001 A CN201410168001 A CN 201410168001A CN 104123334 A CN104123334 A CN 104123334A
- Authority
- CN
- China
- Prior art keywords
- vehicles
- daily record
- ground
- data
- record data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Data Mining & Analysis (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及监管链信息中的异常检测。一种方法包括接收和在第一交通工具的第一软件部分的修改相关的第一交通工具日志数据。该方法也包括接收第一地面***的第一地面日志数据。所述第一地面日志数据表明关于所述第一软件部分的第一监管链信息。该方法进一步包括基于基线数据分析所述第一交通工具日志数据和所述第一地面日志数据从而检测异常。该方法也包括响应检测到异常而发送通知。
Description
技术领域
本公开一般涉及监管链信息中的异常检测。
背景技术
许多商业飞行器包括为航空公司减少操作员成本、改善安全性并提高操作效率的机载数据联网和数字通信***。航空公司内的功能组织可以相互并与飞行器制造商紧密工作,从而计划并实施有益于飞行器的安全性和完整性的策略。监管机构可以要求航空公司生成并定期检查飞行器日志,所述飞行器日志记录对每一架飞行器做出的改变。为大型机群检查飞行器日志是非常繁重的。一些航空公司可能并未配备信息技术资源和技术复杂度来定期从事飞行器日志数据检查,例如从而确保符合安全要求、监管要求或该两者。即使对于具有信息技术资源和技术成熟度来定期检查飞行器日志的航空公司,该检查是繁重且昂贵的(例如,按照熟练操作员分析飞行器日志数据和地面***日志数据所需要的小时)。
发明内容
本申请公开一种分析飞行器日志数据和地面***日志数据,从而检测监管链信息中异常的***和方法。交通工具的电子***可以使用软件应用程序为各种操作和功能提供逻辑或控制。软件应用程序可以作为软件部分对待。软件部分的例子包括机载维护***应用程序、时间管理器应用程序、网络服务器交叉接口、飞行输入数据输出功能、机载数据加载功能、电子飞行包数据管理器、终端无线局域网单元网关链路认证器、无线上行链路和下行链路诊断管理器、健康管理器、机载维护***、支持和维护***管理器,以及飞行输入数据输出诊断管理器。地面***和交通工具(例如飞行器)可以为所述交通工具维护与软件部分的监管链关联的日志。地面***的例子包括维护计算机***。地面***可以记录和地面***日志中软件部分的修改(例如安装、删除、升级、更新或类似操作)相关的信息。例如当软件部分由地面***从另一装置(例如另一地面***)接收时,当软件部分由地面***转发到另一装置(例如交通工具或另一地面***)时,当和软件部分相关的修改请求由地面***接收时,当和软件部分相关的修改请求由地面***发送时,或其组合。当软件部分由交通工具接收时,当修改请求由交通工具接收时,当软件部分在交通工具的计算机中被修改(例如安装、删除、升级、更新或类似操作)时,或其任意组合,交通工具(例如飞行器)也可以在交通工具日志中记录和软件部分相关的信息。另外,交通工具可以在交通工具日志中记录在不同时间的交通工具状态。在地面***日志、交通工具日志或该两者中记录的和软件部分相关的信息可以表明发送装置的标识符、接收装置的标识符、时间、日期、位置、如何发起软件部分的修改、谁发起或授权修改、在修改期间的飞行器状态、其他信息或其组合。
为检测异常的目的,基于特定交通工具上的软件正常修改(例如,没有已检测异常的修改)生成基线数据。基线数据可以基于安全要求生成(或在生成后修改)。基线数据可以包括和由一个或更多个地面***在交通工具修改的软件部分或多于一个部分相关的监管链信息。基线数据可以用来比较特定交通工具日志信息和地面***日志信息从而检测异常。因此,日志检查以改善交通工具日志检查效率和有效性的方式被自动化。
所公开的实施例可以接收地面***日志和交通工具日志,并基于基线数据分析地面***日志和交通工具日志从而检测监管链信息中的异常。例如,异常可以表明地面***发送软件部分(或修改请求)到交通工具和交通工具接收软件部分(或修改请求)之间的持续时间超过由基线数据表明的阈值持续时间。作为另一例子,异常可以表明在接收软件部分(或修改请求)时交通工具的状态不匹配由基线数据表明的预期状态。作为另一例子,异常可以表明在交通工具修改软件部分的修改状态不匹配由基线数据表明的预期修改状态。因此,分析可以将航空公司的飞行器检查过程自动化,并可以使得能够检测监管链信息中的异常(例如基于安全要求)。
在具体实施例中,一种方法包括接收和在交通工具的软件部分的修改相关的交通工具日志数据。该方法也包括接收地面***的地面日志数据。地面日志数据表明关于软件部分的监管链信息。该方法进一步包括基于基线数据分析交通工具日志数据和地面日志数据从而检测异常。该方法也包括响应于检测到异常而发送通知。
在另一具体实施例中,一种***包括处理器和存储器。存储器存储指令,指令在由处理器执行时导致处理器执行包括接收和在交通工具的软件部分的修改相关的交通工具日志数据的操作。操作也包括接收地面***的地面日志数据。地面日志数据表明关于软件部分的监管链信息。操作进一步包括基于基线数据分析交通工具日志数据和地面日志数据从而检测异常。操作进一步包括响应于检测到异常而发送通知。
在另一具体实施例中,计算机可读存储装置存储指令,指令在由处理器执行时导致处理器执行包括接收和在交通工具的软件部分的修改相关的交通工具日志数据的操作。操作也包括接收地面***的地面日志数据。地面日志数据表明关于软件部分的监管链信息。操作进一步包括基于基线数据分析交通工具日志数据和地面日志数据从而检测异常。操作也包括响应于检测到异常而发送通知。
因此,具体实施例基于基线数据分析交通工具日志数据和地面日志数据从而检测异常。例如,异常可以表明由交通工具接收的软件部分(或修改请求)没有由地面***在由基线数据表明的阈值持续时间内发送。交通工具日志数据和地面日志数据的检查可以自动化,从而检测与软件部分关联的监管链信息中的异常。日志的自动检查可以改善效率并减少与日志检查关联的成本。
在另一实施例中,一种方法包括接收和在第一交通工具的第一软件部分的修改相关的第一交通工具日志数据,接收第一地面***的第一地面日志数据,该第一地面日志数据表明关于第一软件部分的第一监管链信息,基于基线数据分析第一交通工具日志数据和第一地面日志数据从而检测异常,并且响应于检测到异常而发送通知。
所述方法包括其中第一监管链信息包括与事件关联的时间戳或与事件关联的标识符中的至少一个。
所述方法进一步包括其中事件包括以下至少一个:第一地面***从第一装置接收第一软件部分,或第一地面***转发第一软件部分到第二装置。
所述方法进一步包括其中标识符包括事件标识符、装置标识符、软件部分标识符、硬件部分标识符、用户标识符、维护计算机标识符、交通工具标识符或地面***标识符中的至少一个。
所述方法进一步包括基于在第一交通工具日志数据和第一地面日志数据的每一个内包括的共同事件、第一交通工具日志数据的第一时间戳和第一地面日志数据的第二时间戳,将第一交通工具日志数据与第一地面日志数据同步,其中第一时间戳和第二时间戳与共同事件关联,执行已同步化的第一交通工具日志数据和已同步化的第一地面日志数据的比较,并且基于已同步化的第一交通工具日志数据和已同步化的第一地面日志数据的比较生成第一数据集。
所述方法进一步包括鉴别已同步化的第一交通工具日志数据的第一事件,其中该第一事件与第一标识符关联,并鉴别已同步化的第一地面日志数据的第二事件,其中该第二事件与第一标识符关联,其中第一数据集被生成以表明持续时间,该持续时间表明在与第一事件关联的第一事件时间戳和与第二事件关联的第二事件时间戳之间的差。方法进一步包括基于已同步化的第一交通工具日志数据确定在第一事件的时间时第一交通工具的状态,其中第一数据集表明该状态。方法进一步包括基于第一数据集与基线数据的对应第二数据集的比较检测异常。
所述方法进一步包括其中响应于第一数据集与第二数据集的比较表明第一数据集的第一持续时间超过第二数据集的对应第二持续时间,检测到异常。方法进一步包括其中第一持续时间表明第一地面***发送第一软件部分到第一交通工具和第一交通工具从第一地面***接收第一软件部分之间的时间差,并且其中第二持续时间表明阈值持续时间。方法进一步包括其中响应于第一数据集与第二数据集的比较表明第一数据集的第一状态值不对应于第二数据集的第二状态值,检测到异常,并且其中第一状态值表明在第一事件时第一交通工具的状态。
所述方法进一步包括其中第一交通工具包括飞行器,其中第一状态值表明第一交通工具的第一机轮承重状态,并且其中第二状态值表明第二机轮承重状态。方法进一步包括其中异常表明以下中的至少一个:在第一监管链信息和从第二地面***接收的第二监管链信息之间的间断(gap)、第一软件部分由第一地面***乱序接收或第一软件部分由第一地面***乱序转发。方法进一步包括聚集审计数据,其中已聚集的审计数据包括关于异常的数据。方法进一步包括生成基线数据或更新基线数据中的至少一个。
在另一实施例中,一种***包括处理器和存储指令的存储器,指令在由处理器执行时导致处理器执行操作,这些操作包括接收和在第一交通工具的第一软件部分的修改相关的第一交通工具日志数据,接收第一地面***的第一地面日志数据,该第一地面日志数据表明关于第一软件部分的第一监管链信息,基于基线数据分析第一交通工具日志数据和第一地面日志数据从而检测异常,并且响应于检测到异常而发送通知。
所述***进一步包括其中所述操作进一步包括生成基线数据,这包括接收和在第二交通工具的第二软件部分的修改相关的第二交通工具日志数据,接收第二地面日志数据,该第二地面日志数据表明关于第二软件部分的第二监管链信息,同步第二交通工具日志数据与第二地面日志数据,执行已同步化的第二交通工具日志和已同步化的第二地面日志数据的比较,并且基于已同步化的第二交通工具日志数据和已同步化的第二地面日志数据的比较生成数据集,其中该数据集表明第二软件部分的修改没有已检测的异常。
所述操作进一步包括基于第一交通工具的第一交通工具规范和第二交通工具的第二交通工具规范,确定第一交通工具和第二交通工具具有共同软件模块或共同硬件模块中的至少一个,其中基于确定数据集是否对应于共同软件模块或共同硬件模块中的至少一个,数据集被用来生成基线数据。***进一步包括基于安全要求修改基线数据;以及基于统计模型修改基线数据。
存储指令的计算机可读存储装置,指令在由处理器执行时导致处理器执行操作,这些操作包括接收和在第一交通工具的软件部分的修改相关的第一交通工具日志数据;接收第一地面***的第一地面日志数据,该第一地面日志数据表明关于第一软件部分的第一监管链信息;基于基线数据分析第一交通工具日志数据和第一地面日志数据从而检测异常;以及响应于检测到异常而发送通知。计算机可读存储装置进一步包括其中第一交通工具包括飞行器。
已描述的特征、功能和优点可以在各种实施例中独立实现,或可以在其他的实施例中被组合,其进一步的细节参考以下描述和附图被公开。
附图说明
图1是检测监管链信息中异常的***的具体实施例的示意图;
图2是检测监管链信息中异常的***的另一具体实施例的示意图;
图3是图解将交通工具日志数据和地面日志数据同步的方法的具体实施例的流程图;
图4是图解生成数据集的方法的具体实施例的流程图;
图5是图解生成基线数据的方法的具体实施例的流程图;
图6是图解检测监管链信息中异常的方法的具体实施例的流程图;
图7是图解检测监管链信息中异常的方法的具体实施例的流程图;
图8是图解生成数据集的方法的具体实施例的流程图;
图9是图解生成基线数据的方法的具体实施例的流程图;以及
图10是检测监管链信息中异常的计算环境的具体说明性实施例的框图。
具体实施方式
参考图1,其公开了检测监管链信息中异常的***的具体实施例的图示,并一般被指定为100。***100可以包括耦合到地面***104和第一交通工具102(例如飞行器)或与地面***104通信的审计***108。审计***108也可以耦合到一个或更多个其他交通工具106和一个或更多个其他地面***124或与一个或更多个其他交通工具106通信。审计***108可以包括处理器170和存储器180。审计***108可以包括多于一个处理器并可以包括多于一个存储器。例如,审计***108可以包括联网或分布式计算***。在具体说明性实施例中,审计***108可以包括通信装置、个人数字助理(PDA)、移动位置数据单元、移动电话、蜂窝电话、便携计算机、平板计算装置或其组合。这样的装置可以包括用户接口例如触摸屏、语音识别能力或其他用户接口能力。
存储器180可以存储可由处理器170执行从而执行各种操作的指令(例如审计***指令142)。例如处理器170可以执行包括接收地面***(例如地面***104或其他地面***124)的地面日志数据(例如第一地面日志数据120或其他地面日志数据132)的操作。处理器170也可以从交通工具(例如第一交通工具102或其他交通工具106)接收交通工具日志数据(例如第一交通工具日志数据122或其他交通工具日志数据130)。
在具体实施例中,地面***104可以例如从其他地面***124接收第一软件部分150。地面***104可以在第一地面日志数据120中记录关于第一软件部分150的监管链信息。监管链信息可以包括与事件关联的时间戳、与事件关联的标识符、事件状态(例如成功或失败)、其他信息或其组合。事件的例子包括地面***104从另一装置(例如其他地面***124)接收第一软件部分150、接收源自另一装置(例如其他地面***124)的修改请求152从而修改第一软件部分150、转发第一软件部分150到第二装置(例如第一交通工具102、其他交通工具106或其他地面***124)、发送修改请求152到第二装置或其组合。与事件关联的标识符的例子包括软件部分标识符、硬件部分标识符(例如与软件部分关联的硬件部分的标识符)、事件标识符、装置标识符(例如从其接收软件部分的装置的标识符、软件部分被发送到的装置的标识符、软件部分在其修改的装置的标识符、维护计算机标识符、交通工具标识符、地面***标识符、授权或发起软件部分转移(或修改)的装置的标识符)、位置标识符和用户标识符(例如发起或授权软件部分转移(或修改)的用户的标识符)。
例如,响应于从其他地面***124接收第一软件部分150,地面***104可以在第一地面***日志数据120中记录时间戳,该时间戳表明第一软件部分150何时由地面***104从其他地面***124接收。地面***104也可以记录与第一软件部分150关联的标识符。例如,地面***104可以记录表明第一软件部分150的软件部分标识符、表明与第一软件部分150关联的硬件部分的硬件部分标识符、其他地面***124的地面***标识符、发起或授权从其他地面***124转移第一软件部分150的用户的标识符、发起或授权从其他地面***124转移第一软件部分150的装置的标识符、其他地面***124的位置的标识符、地面***104的位置的标识符、第一软件部分150将被转发到的装置的标识符、其他信息或其组合。
地面***104可以发送第一软件部分150到第一交通工具102、其他地面***124或该两者。地面***104可以周期性发送软件部分到装置(例如第一交通工具102、其他地面***124或该两者),可以响应于事件(例如用户请求、源自装置的请求或接收软件部分)发送软件部分到装置,或其组合。地面***104可以在第一地面日志数据120中记录时间戳,该时间戳表明第一软件部分150何时由地面***1004发送到另一装置(例如第一交通工具102)。地面***104也可以记录与第一软件部分150关联的标识符。例如,地面***104可以记录鉴别由地面***104发送第一软件部分150的事件的事件标识符,以及第一交通工具102的交通工具标识符。地面***104可以将事件标识符与第一软件部分150一起发送到第一交通工具102。地面***104也可以记录表明第一软件部分150的软件部分标识符、表明第一交通工具102的与第一软件部分150关联的硬件部分的硬件部分标识符、发起或授权转移第一软件部分150到第一交通工具102的用户的标识符、发起或授权转移第一软件部分150到第一交通工具102的装置的标识符、第一交通工具102的位置的标识符、地面***104的位置的标识符、从其接收第一软件部分150的装置(例如其他地面***124)的标识符、其他信息或其组合。
第一交通工具102可以从地面***104接收第一软件部分150。第一交通工具102可以在第一交通工具日志数据122中记录和在第一交通工具102接收第一软件部分150相关的信息。第一交通工具日志数据122可以包括与事件关联的时间戳、与事件关联的标识符、第一软件部分150被接收时第一交通工具102的状态、事件状态、其他信息或其组合。事件的例子可以包括第一交通工具102从地面***104、其他地面***124或该两者接收第一软件部分150。与事件关联的标识符可以包括事件标识符、装置标识符(例如从其接收软件部分的装置的标识符、维护计算机标识符、交通工具标识符、地面***标识符、授权或发起软件部分转移的装置的标识符)、软件部分标识符、硬件部分标识符(例如与软件部分关联的硬件部分的标识符)、用户标识符(例如发起或授权软件部分转移的用户的标识符)、位置标识符,或其组合。
地面***104可以发送和第一软件部分150相关的修改请求152到第一交通工具102、其他地面***124或该两者。地面***104可以周期性发送修改软件部分的修改请求到装置(例如第一交通工具102、其他地面***124或该两者),可以响应于事件(例如用户请求、源自装置的请求、接收软件部分、接收修改软件部分的修改请求)发送在装置修改软件部分的修改请求,或其组合。地面***104可以在第一地面日志数据120中记录时间戳,该时间戳表明地面***104何时发送修改请求152到另一装置(例如第一交通工具102)。地面***104也可以记录与修改请求152关联的标识符。例如,地面***104可以记录鉴别由地面***104发送修改请求152的事件的事件标识符,以及第一交通工具102的交通工具标识符。地面***104可以将事件标识符与修改请求152一起发送到第一交通工具102。修改请求152可以表明第一软件部分150将被安装、删除、升级、更新或类似操作。地面***104也可以记录表明第一软件部分150的软件部分标识符、表明与第一软件部分150关联的第一交通工具102的硬件部分的硬件部分标识符、发起或授权在第一交通工具102修改第一软件部分150的用户的标识符、发起或授权在第一交通工具102修改第一软件部分150的装置的标识符、第一交通工具102的位置的标识符、地面***104的位置的标识符、其他信息或其组合。
第一交通工具102可以从地面***104接收修改请求152。例如,第一软件部分150可以在第一交通工具102的计算装置被修改(例如安装、删除、升级、更新或类似操作)。第一交通工具102可以在第一交通工具日志数据122中记录和在第一交通工具102修改第一软件部分150相关的信息。第一交通工具日志数据122可以包括与事件关联的时间戳、与事件关联的标识符、第一软件部分150被接收时第一交通工具102的状态、事件状态、其他信息或其组合。事件的例子可以包括第一交通工具102从地面***104、其他地面***124或该两者接收修改请求152。与事件关联的标识符可以包括事件标识符、装置标识符(例如修改请求从其被接收的装置的标识符、维护计算机标识符、交通工具标识符、地面***标识符)、软件部分标识符、硬件部分标识符(例如与软件部分关联的硬件部分的标识符)、用户标识符(例如发起或授权软件部分的修改的用户的标识符)、位置标识符,或其组合。在具体实施例中,地面***104可以将修改请求152与第一软件部分150一起发送。在具体实施例中,发送第一软件部分150可以隐含包括发送修改请求152。例如,发送第一软件部分150可以表明请求第一软件部分150的安装。
例如,响应于第一软件部分150(或修改请求152)的接收,第一交通工具102可以记录时间戳,该时间戳表明第一软件部分150(或修改请求152)何时由第一交通工具102接收。作为另一例子,响应于第一软件部分150的修改(例如安装、删除、升级、更新或类似操作),第一交通工具102可以记录时间戳,该时间戳表明第一软件部分150何时在第一交通工具102被修改。第一交通工具102将由第一交通工具102接收的事件标识符与第一软件部分150(或修改请求152),以及表明地面***104的地面信息标识符一起记录。第一交通工具102也可以记录表明第一软件部分150的软件部分标识符、表明与第一软件部分150关联的第一交通工具102的硬件部分的硬件部分标识符、发起或授权第一软件部分150转移到第一交通工具102的用户的标识符、发起或授权第一软件部分150在第一交通工具102的修改(例如安装、删除、升级、更新或类似操作)的用户的标识符、发起或授权第一软件部分150转移到第一交通工具102的装置的标识符、发起或授权第一软件部分150在第一交通工具102的修改的装置的标识符、第一交通工具102的位置的标识符、第一软件部分150从其被接收的装置(例如地面***104)的标识符、地面***104的位置的标识符、当第一软件部分150(或修改请求152)被接收时第一交通工具102的状态、当第一软件部分150被修改时第一交通工具102的状态、第一软件部分150的修改状态(例如修改是否成功或失败)、其他信息或其组合。
审计***108可以从第一交通工具102接收第一交通工具日志数据122,并可以从地面***104接收第一地面日志数据120。在具体实施例中,审计***108可以周期性接收第一交通工具日志数据122和第一地面日志数据120。在具体实施例中,审计***108可以响应于事件例如开始审计的用户请求,接收第一交通工具日志数据122和第一地面日志数据120。
审计***108可以分析第一交通工具日志数据122和第一地面日志数据120从而检测异常。例如,审计***108可以基于基线数据140分析第一交通工具日志数据122和第一地面日志数据120。在具体实施例中,地面***104和第一交通工具102可以具有不同时钟。在该实施例中,审计***108可以将第一交通工具日志数据122与第一地面日志数据120同步,从而解决第一交通工具102和地面***104的不同时钟的问题。审计***108可以鉴别第一交通工具日志数据122和第一地面日志数据120中的共同事件(例如基于共同事件标识符)。例如,共同事件可以包括地面***104发送第二软件部分到第一交通工具102,以及第一交通工具102接收第二软件部分。审计***108可以确定第一地面日志数据120包括与共同事件关联的第一时间戳,并且第一交通工具日志数据122包括与共同事件关联的第二时间戳。例如,第一时间戳可以表明地面***104何时(基于地面***104的时钟)发送第二软件部分到第一交通工具102,并且第二时间戳可以表明第一交通工具102何时(基于第一交通工具102的时钟)从地面***104接收第二软件部分。
审计***108可以生成同步化的事件数据,其中基于第一时间戳和第二时间戳,第一交通工具日志数据122在时间上与第一地面日志数据120校准(例如同步)。例如,审计***108可以确定第一时间戳和第二时间戳之间的差,并可以基于该差修改第一交通工具日志数据122、第一地面日志数据120或该两者的时间戳,以将第一交通工具日志数据122和第一地面日志数据120同步。为说明,如果第一时间戳和第二时间戳之间的差表明地面***104的时钟领先第一交通工具102的时钟一小时,则审计***108可以增加一小时到在第一交通工具日志数据122中表明的时间戳,从而将第一交通工具日志数据122和第一地面日志数据120同步。在另一具体实施例中,第一交通工具日志数据122和第一地面日志数据120可以在不修改时间戳的情况下同步(例如当地面***104和第一交通工具102的时钟基本同步时)。
审计***108可以执行已同步化的第一交通工具日志数据122和已同步化的第一地面日志数据120的比较。例如,审计***108可以鉴别已同步化的第一交通工具日志数据122的第一事件,并可以鉴别已同步化的第一地面日志数据120的对应第二事件。为说明,审计***108可以解析已同步化的第一交通工具日志数据122,并可以鉴别表明第一交通工具102从地面***104接收第一软件部分150(或修改请求152)的第一事件。审计***108也可以解析已同步化的第一地面日志数据120,并可以鉴别表明地面***104发送第一软件部分150(或修改请求152)的第二事件。审计***108可以基于标识符确定第二事件对应于第一事件。例如,第一事件和第二事件可以与共同标识符(例如事件标识符、软件部分标识符、硬件部分标识符、用户标识符、装置标识符、位置标识符、另一标识符或其组合)关联,该共同标识符包括在已同步化的第一交通工具日志数据122和已同步化的第一地面日志数据120的每一个内。
审计***108可以基于已同步化的第一交通工具日志数据122和已同步化的第一地面日志数据120的比较生成第一数据集136。例如,审计***108可以生成包括第一持续时间的第一数据集136,该第一持续时间表明在与第一事件关联的第一事件时间戳和与第二事件关联的第二事件时间戳之间的差。为说明,第一持续时间可以表明地面***104发送第一软件部分150(或修改请求152)到第一交通工具102时和第一交通工具102从地面***104接收第一软件部分150(或修改请求152)时之间的时间差。作为另一例子,第一持续时间可以表明地面***104发送修改请求152到第一交通工具102时和第一交通工具102修改第一软件部分150时之间的时间差。
在具体实施例中,审计***108可以基于和第二地面***(例如其他地面***124)关联的第二地面日志数据(例如其他地面日志数据132),修改第一数据集136。例如,审计***108可以接收并同步其他地面日志数据132。审计***108可以基于已同步化的其他地面日志数据132、已同步化的第一地面日志数据120和已同步化的第一交通工具日志数据122的分析,修改第一数据集136。例如,审计***108可以修改第一数据集136以包括持续时间,该持续时间表明第二地面***(例如其他地面***124)发送第一软件部分150(或修改请求152)到另一装置(例如第一交通工具102或地面***104)时和其他装置(例如第一交通工具102或地面***104)从第二地面***(例如其他地面***124)接收第一软件部分150(或修改请求152)时之间的时间差。作为另一例子,审计***108可以修改第一数据集136以包括持续时间,该持续时间表明第二地面***(例如其他地面***124)发送修改请求152到另一装置(例如第一交通工具102或地面***104)时和第一软件部分150在其他装置(例如第一交通工具102或地面***104)被修改时之间的时间差。
在具体实施例中,审计***108可以确定(例如,基于第一交通工具日志数据122、第一地面日志数据120、其他数据或其组合)在第一数据集136中第一事件的时间时第一交通工具102的状态。当第一交通工具102是飞行器时,第一交通工具102状态的例子包括机轮承重状态、倾斜状态、地速状态、空速状态、停机制动状态,以及表明第一交通工具和机场之间距离的机场距离状态。例如,审计***108可以确定第一交通工具日志数据122的状态值(例如0)表明当第一交通工具102接收第一软件部分150(或修改请求152)时,第一交通工具102的特定机轮承重状态(例如伪)。特定机轮承重状态(例如伪)可以表明第一交通工具102在飞行时接收第一软件部分150(或修改请求152)。第一交通工具日志数据122的另一状态值(例如1)可以表明在另一时间第一交通工具102的另一特定机轮承重状态(例如真)。例如,其他特定机轮承重状态(例如真)可以表明当第一软件部分150(或修改请求152)被接收时第一交通工具102在地面上。审计***108可以在第一数据集136中包括表明在第一事件时第一交通工具102状态的数据。例如,审计***108可以修改第一数据集136,从而表明当第一交通工具102接收第一软件部分150时、当第一交通工具102接收修改请求152时或第一软件部分150在第一交通工具102被修改时,第一交通工具102的特定机轮承重状态。作为另一例子,审计***108可以修改第一数据集136,从而表明第一软件部分150在第一交通工具102被修改时第一交通工具102的状态。作为另一例子,审计***108可以修改第一数据集136,从而表明在第一交通工具102的软件部分150的修改状态。为说明,修改的状态可以表明第一软件部分150是否成功修改,或修改是否失败。修改的状态可以表明在修改期间是否检测到任何错误(或警告),以及关于错误(或警告)的信息。
审计***108可以比较第一数据集与基线数据140的对应第二数据集138,从而确定是否在第一数据集136中存在异常。在具体实施例中,基线数据140的第二数据集138可以包括日志数据和与软件部分的修改对应的其他数据(例如阈值或预期范围),而无任何已检测的异常。例如,第二数据集138可以表明在地面***发送软件部分(或修改请求)到另一装置(例如交通工具或另一地面***)和其他装置(例如交通工具或其他地面***)接收软件部分(或修改请求)之间的阈值持续时间。为说明,第二数据集138可以包括在地面***发送软件部分(或修改请求)到另一装置(例如交通工具或另一地面***)和其他装置(例如交通工具或其他地面***)接收软件部分(或修改请求)之间的最大阈值持续时间、最小阈值持续时间或该两者。作为另一例子,第二数据集138可以表明在地面***发送修改请求到另一装置(例如交通工具或另一地面***)和软件部分在其他装置(例如交通工具或其他地面***)被修改之间的阈值持续时间。为说明,第二数据集138可以包括在地面***发送修改请求到另一装置(例如交通工具或另一地面***)和软件部分在其他装置(例如交通工具或其他地面***)被修改之间的最大阈值持续时间、最小阈值持续时间或该两者。作为另一例子,第二数据集138可以指示/表明当交通工具接收软件部分时、当交通工具接收修改请求时、当软件部分在交通工具处被修改时或其组合时交通工具的预期状态。作为另一例子,第二数据集138可以表明预期转移顺序,例如从第一地面***到第二地面***并然后到交通工具。作为另一例子,第二数据集138可以表明特定用户(或装置)、具有特定授权级别的用户(或装置)、在特定位置的用户(或装置)或其组合可以授权或发起软件部分的转移(或修改)。
当第一数据集136与第二数据集138的比较表明第一数据集136具有至少一个非预期值时,可以检测到第一数据集136中的异常。例如,审计***136可以响应于确定在地面***104发送第一软件部分150(或修改请求152)到另一装置(例如第一交通工具102或另一地面***)时和其他装置(例如第一交通工具102或另一地面***)接收第一软件部分150(或修改请求152)时之间的第一持续时间超过由第二数据集138表明的最大阈值持续时间,或第一持续时间低于由第二数据集138表明的最小阈值持续时间,检测到异常。作为另一例子,审计***108可以响应于确定在地面***104从另一装置(例如另一地面***)接收第一软件部分150(或修改请求152)时和其他装置(例如其他地面***)发送第一软件部分150(或修改请求152)时之间的第二持续时间超过由第二数据集138表明的最大阈值持续时间,或第二持续时间低于由第二数据集138表明的最小阈值持续时间,检测到异常。
作为另一例子,审计***108可以响应于确定在地面***104发送修改请求152到另一装置(例如第一交通工具102或另一地面***)时和第一软件部分150在其他装置(例如第一交通工具102或另一地面***)被修改时之间的第一持续时间超过由第二数据集138表明的最大阈值持续时间,或第一持续时间低于由第二数据集138表明的最小阈值持续时间,检测到异常。
作为另一例子,审计***108可以响应于确定第一交通工具102的状态表明第一交通工具102的特定机轮承重状态(例如伪)不与由第二数据集138表明的预期机轮承重状态(例如真)对应,检测到异常。作为另一例子,审计***108可以响应于确定第一软件部分150的修改状态(例如失败)不与由第二数据集138表明的预期修改状态(例如成功)对应,检测到异常。
作为另一例子,审计***108可以响应于确定第一软件部分150(或修改请求152)的转移顺序不与由第二数据集138表明的预期转移顺序对应,检测到异常。为说明,审计***108可以响应于确定地面***发送第一软件部分150(或修改请求152)到不与由第二数据集138的预期转移顺序表明的第二装置对应的另一装置(例如交通工具102或另一地面***)、地面***从不与由第二数据集138的预期转移顺序表明的第二装置对应的另一装置(例如另一地面***)接收第一软件部分150(或修改请求152),或第一交通工具102从不与由第二数据集138的预期转移顺序表明的第二装置对应的另一装置(例如地面***104或另一地面***)接收第一软件部分150(或修改请求152),检测到异常。
作为另一例子,审计***108可以响应于确定在监管链中存在间断而检测到异常。为说明,审计***108可以确定第一数据集136表明另一装置(例如另一地面***)发送第一软件部分150(或修改请求152)到地面***104并且不表明地面***104从其他装置接收第一软件部分150(或修改请求152),表明地面***104从另一装置(例如另一地面***)接收第一软件部分150(或修改请求152)但不表明其他装置发送第一软件部分150(或修改请求152)到地面***104,表明地面***104发送第一软件部分150(或修改请求152)到另一装置(例如交通工具102或另一地面***)并且不表明其他装置从地面***104接收第一软件部分150(或修改请求152),或表明另一装置(例如交通工具102或另一地面***)从地面***104接收第一软件部分150(或修改请求152)并且不表明地面***104发送第一软件部分150(或修改请求152)到其他装置。
作为另一例子,审计***108可以响应于确定第一软件部分150的转移(或修改)由不与第二数据集138表明的预期用户(或装置)对应的用户(或装置)授权或发起,检测到异常。审计***108可以响应于检测到异常而发送通知。例如,审计***108可以发送关于异常的消息(例如到用户、到另一装置或该两者)、显示关于异常的警报(例如在输出装置)或该两者。
在具体说明性实施例中,审计***108可以基于其他异常数据148生成或修改第一数据集136,其他异常数据148表明在另一装置(例如其他交通工具106)中检测到特定异常。为说明,审计***108可以确定其他异常数据148表明在其他交通工具106的监管链信息中检测到特定异常。响应于其他异常数据148,审计***108可以生成或修改第一数据集136从而使得能够在第一交通工具102的监管链信息中检测特定异常,或促进检测该特定异常。例如,审计***108可以修改第一数据集136从而包括数据,该数据仅和与在其他交通工具106中检测到的特定异常关联的那些事件相关。为说明,异常可以和在其他交通工具106的特定软件部分(例如第一软件部分150)的修改相关。审计***108可以修改第一数据集136从而包括数据,该数据仅和与在第一交通工具102的第一软件部分150的修改关联的事件相关。
作为另一例子,其他异常数据148可以表明响应于确定当其他交通工具106具有特定状态时软件部分(或修改请求)由其他交通工具106接收,检测到特定异常。基于其他异常数据148,审计***108可以生成或修改第一数据集136,从而包括当第一交通工具102接收第一软件部分150(或修改请求152)时第一交通工具102的状态。作为另一例子,其他异常数据148可以表明响应于确定当其他交通工具106具有特定状态时软件部分由其他交通工具106修改,检测到特定异常。基于其他异常数据148,审计***108可以生成或修改第一数据集136,从而包括当第一软件部分150在第一交通工具102被修改时第一交通工具102的状态。作为另一例子,其他异常数据148可以表明响应于确定在其他交通工具106的软件部分的修改导致特定修改状态,检测到特定异常。基于其他异常数据148,审计***108可以生成或修改第一数据集136,从而包括第一软件部分150在第一交通工具102的修改导致的修改状态。
在具体说明性实施例中,审计***108可以聚集审计数据。例如,审计***108可以聚集审计数据,该审计数据和特定交通工具(例如第一交通工具102或其他交通工具106)、特定地面***(例如地面***104或其他地面***124)、特定软件部分(例如第一软件部分150)、交通工具的特定类型(例如基于模型、制造年份、制造商、发动机数等)、特定时间范围、特定位置(例如机场)或其组合相关。为说明,审计***108可以聚集和在特定航空公司的机群中包括的交通工具相关的审计数据。已聚集的审计数据可以包括关于异常的数据。审计***108可以发送关于已聚集审计数据的消息(例如到用户、到另一装置或该两者),可以显示已聚集审计数据(例如在输出装置)或该两者。
在具体说明性实施例中,审计***108可以生成基线数据140。基线数据140可以包括第二数据集138而在无任何已检测的异常,该第二数据集138表示在交通工具(例如其他交通工具106)的软件部分(例如其他软件部分160)的修改。审计***108可以基于其他交通工具日志数据130和其他地面日志数据132生成基线数据140的第二数据集138,如参考图2进一步描述。审计***108可以基于安全要求146、交通工具规范数据144或该两者修改基线数据140,如参考图2进一步描述。第二数据集138可以表明在其他交通工具106的其他软件部分160的修改没有已检测的异常。在具体实施例中,第二数据集138可以表示在第一交通工具102的第二软件部分的修改。在具体实施例中,第二数据集138可以包括已聚集数据。例如,基于在与第一交通工具102相同类型的其他飞行器的修改,第二数据集138可以包括预期时间范围、预期交通工具状态或该两者。
因此,审计***108可以使得能够在交通工具日志数据和地面***日志数据中进行异常检测,该异常检测包括监管链信息。审计***108可以从第一交通工具102接收第一交通工具日志数据122,并可以从地面***104接收第一地面日志数据120。审计***108可以基于基线数据140分析第一交通工具日志数据122和第一地面日志数据120从而检测异常。因此审计***108可以自动检查第一地面日志数据120和第一交通工具日志数据122,从而检测与第一软件部分150关联的监管链信息中的异常。日志的自动检查可以减少与日志检查关联的时间、成本或该两者。
参考图2,其示出检测监管链信息中异常的***的具体实施例图示并一般指定为200。***200按照功能模块图解并描述。在各种实施例中,功能模块中的一个或更多个可以实施为在计算机可读介质(例如硬盘驱动器、存储器)上存储的指令。指令可以由一个或更多个处理器执行。在具体实施例中,一个或更多个功能模块的功能可以实施为电路。电路可以包括现场可编程门阵列(FPGA)器件、专用集成电路(ASIC)、处理单元例如中央处理单元(CPA)、控制器、固件装置或另一硬件装置。
***100的功能模块可以包括预处理模块220、异常检测模块222、聚集模块224、通知模块266、特征创造模块210、特征选择模块212、模型拟合模块214或其组合。模块可以相互通信以处理日志数据从而检测异常。在具体实施例中,图1的审计***108可以包括一个或更多个模块。***200可以包括基线概况数据216。在具体实施例中,基线概况数据216可以对应于图1的基线数据140。
预处理模块220可以接收飞机网络***和安全日志202。飞机网络***和安全日志202可以是图1的第一交通工具日志数据122的特殊例子。预处理模块220也可以接收地面***应用日志204。地面***应用日志204可以是图1的第一地面日志数据120的特殊例子。预处理模块220可以将飞机网络***和安全日志202与地面***应用日志204同步,从而将第一交通工具日志数据122和第一地面日志数据120同步,如参考图1描述的。在具体实施例中,预处理模块220可以发送已同步化的第一交通工具日志数据122和已同步化的第一地面日志数据120到特征创造模块210。特征创造模块210可以基于比较第一交通工具日志数据122和第一地面日志数据120,生成第一数据集136。特征创造模块210可以发送第一数据集136到异常检测模块222。另外,异常检测模块222可以接收基线概况数据216(例如图1的基线数据140)。异常检测模块222可以基于第一数据集136与基线数据140的第二数据集138的比较来检测异常。聚集模块224可以基于由聚集模块224从异常检测模块222接收的关于异常的信息聚集审计数据。响应于从聚集模块224接收已聚集的审计数据,通知模块226可以发送关于异常的消息(例如到用户、到另一装置或该两者)、显示关于异常的通知(例如在输出装置)或该两者。
在具体说明性实施例中,异常检测模块222可以基于在另一交通工具中检测到的异常206,生成或修改第一数据集136。例如,异常206可以对应于在图1的其他异常数据148中检测的异常。异常检测模块222可以修改第一数据集136从而包括仅和与异常206关联的那些事件相关的数据。在第一数据集136中仅包括和已知异常(例如异常206)相关的事件可以提高确定第一数据集136是否包括已知异常(例如异常206)的效率、减小该确定的成本或该两者。确定第一数据集136是否包括特定异常可以是时敏的,并且可以不需要详尽日志检查。例如,当第一交通工具102是飞行器,并且飞行器适航性取决于第一数据集136是否表明在与所述飞行器相同类型的另一飞行器中检测到的已知异常(例如异常206)时,仅基于与已知异常(例如异常206)关联的事件的日志检查可以节省有价值的资源。为说明,当没有检测到已知异常时飞行器可以以及时方式被公告适航,或当检测到已知异常时可以以及时方式采取预防措施。
在具体说明性实施例中,***200可以生成基线数据140。基线数据140可以包括第二数据集138而无任何已检测的异常,该第二数据集138表示在第二交通工具(例如其他交通工具106)的软件部分(例如其他软件部分160)的修改。例如,预处理模块220可以接收第二交通工具日志数据(例如其他交通工具日志数据130),并可以接收第二地面日志数据(例如其他地面日志数据132)。预处理模块220可以将第二交通工具日志数据和第二地面日志数据同步。特征创造模块210可以基于已同步化的第二交通工具日志数据和已同步化的第二地面日志数据的比较,生成基线数据140。例如,特征创造模块210可以基于其他交通工具日志数据130和其他地面日志数据132的比较,生成基线数据140的第二数据集138。特征创造可以指(或包括)机器学习过程(例如可以基于评估指标修改基线数据140)。例如,特征创造模块210可以基于在具有一组特定异常的测试日志数据中检测到的异常来修改基线数据140。为说明,基线数据140可以被修改,从而检测到特定百分比的该组特定异常、检测到特定类型的异常或其组合。作为另一例子,特征创造模块210可以基于检测异常的结果随时间修改基线数据140。结果可以包括与每一个事件关联的若干异常、异常分数、事件分数或其组合。异常分数(或事件分数)可以表明已检测异常(或事件)的相关性。事件的事件分数可以基于和事件关联的异常的异常分数,并可以基于和事件关联的异常的数量。例如,事件分数可以是和事件关联的异常的异常分数之和。在具体实施例中,异常分数可以基于用户输入(例如用户可以分派特定相关性分数到已检测的异常)。在具体实施例中,异常分数可以基于响应于检测到异常而采取的行动。例如,当忽略(例如,如由用户选择忽略选项表明的)已检测的异常时,低异常分数可以被分派到已检测的异常。另一方面,当响应于已检测的异常生成通知时,高异常分数可以被分派到已检测的异常。异常分数可以是与已检测异常关联的异常分数的加权和。例如,更近的异常分数可以被分派比更早异常分数高的权重。低事件分数可以表明事件具有表明异常(例如,与事件关联的低数量的已检测异常、与事件关联的异常近来没有检测到,或该两者)的低可能性,可以表明事件具有低相关性(例如与事件关联的大量异常已经被忽略),或该两者。特征创造模块210可以修改基线数据140从而基于事件分数排除某些事件。例如,特征创造模块210可以从基线数据140移除具有低事件分数的事件。因此基线数据140可以随时间被修改从而包括导致高数量已检测异常的事件,包括与具有高相关性的已检测异常关联的事件,排除(或移除)与具有低相关性的已检测异常关联的事件,排除(或移除)导致低数量已检测异常的事件,或其组合。自动日志检查可以随时间变得更有效,导致节省时间和成本。
特征选择模块212可以修改基线数据140。例如,特征选择模块212可以基于安全要求254(例如图1的安全要求146)修改第二数据集138。为说明,安全要求254可以表明在地面***发送软件部分(或修改请求)到交通工具和交通工具从地面***接收软件部分(或修改请求)之间的阈值持续时间。特征选择模块212可以修改第二数据集138从而包括由安全要求254表明的阈值持续时间。作为另一例子,安全要求254可以表明在地面***发送修改请求到交通工具和软件部分在交通工具被修改之间的第二阈值持续时间。特征选择模块212可以修改第二数据集138从而包括由安全要求254表明的第二阈值持续时间。作为另一例子,安全要求254可以表明当交通工具接收软件部分时、当交通工具接收修改请求时、当软件部分在交通工具被修改时或其组合时交通工具的特定预期状态。例如,安全要求254可以表明当软件部分由交通工具接收时,交通工具的机轮承重状态应具有特定预期值。特征选择模块212可以修改第二数据集138从而包括交通工具的特定预期状态。
作为另一例子,特征选择模块212可以基于交通工具的硬件和软件规范250,以及其他交通工具的硬件和软件规范和其他交通工具的已选择特征252,或其组合,来修改第二数据集138。在具体实施例中,交通工具的硬件和软件规范250对应于或包括图1的交通工具规范数据144的第一交通工具规范,并且其他交通工具的硬件和软件规范和其他交通工具的已选择特征252对应于或包括交通工具规范数据144的第二交通工具规范。第一交通工具规范可以表明与第一交通工具102关联的软件模块、硬件模块或该两者,并且第二交通工具规范可以表明与另一交通工具(例如其他交通工具106)关联的软件模块、硬件模块或该两者。特征选择模块212可以比较第一交通工具规范和第二交通工具规范,从而确定第一交通工具102和其他交通工具106是否具有共同软件模块、共同硬件模块或该两者。特征选择模块212可以修改第二数据集138,从而包括与共同软件模块、共同硬件模块或该两者对应的事件。例如,与其他交通工具106关联的异常可以已被检测,并且基于共同软件模块、共同硬件模块或该两者修改第二数据集138可以使得能够检测与第一交通工具102关联的相似异常。
在具体说明性实施例中,模型拟合模块214可以基于统计模型修改基线数据140。例如,统计模型可以表明使用平均值(例如均值、中值或模式值)。为说明,模型拟合模块214可以计算在其他地面***124发送多个软件部分(或修改请求)到其他交通工具106和其他交通工具106接收软件部分(或修改请求)之间的第一平均持续时间。作为另一例子,模型拟合模块214可以计算在其他地面***124发送多个修改请求到其他交通工具106和对应软件部分在其他交通工具106被修改之间的第二平均持续时间。审计***108可以修改第二数据集138从而将第一平均值表明为第一阈值持续时间、将第二平均值表明为第二阈值持续时间,或该两者。作为另一例子,统计模型可以使用表明第二数据集138中变化的数据,例如标准偏差数据。审计***108可以确定第一变化,该第一变化与发送多个软件部分(或修改请求)到其他交通工具106的其他地面***124和接收软件部分(或修改请求)的其他交通工具106关联。作为另一例子,审计***108可以确定第二变化,该第二变化与发送多个修改请求到其他交通工具106的其他地面***124和在其他交通工具106被修改的对应软件部分关联。审计***108可以基于第一变化修改第二数据集138的第一阈值持续时间,基于第二变化修改第二数据集138的第二阈值持续时间,或该两者。已生成基线数据140可以对应于基线概况数据216。
因此,***200可以使得能够在交通工具日志数据和地面***数据中进行异常检测,该异常检测包括监管链信息。图1的第一交通工具日志数据122和第一地面日志数据120可以基于基线数据140被分析,从而检测与在第一交通工具102的第一软件部分150关联的监管链信息中的异常。基线数据140可以基于安全要求被修改。另外或可替换地,基线数据140可以基于与第一交通工具102一样的,包括共同硬件部分、共同软件部分或该两者的另一交通工具被修改。因此,自动日志检查可以被动态更新从而确定是否满足安全要求。另外,自动日志检查可以被更新,从而包括与第一交通工具102和另一交通工具(例如已为其检测异常的交通工具)之间的共同部分(例如硬件、软件或该两者)关联的事件。
参考图3,其示出将交通工具日志数据和地面日志数据同步的方法的具体实施例的流程图并一般指定为300。图3的方法300可以由图1的审计***108、图2的预处理模块220或该两者执行。
方法300可以包括在302获得飞机日志数据。获得飞机日志数据可以包括从存储器检索飞机日志数据、从另一装置经数据通信接收飞机日志数据或该两者。例如,图1的审计***108可以从第一交通工具102接收第一交通工具日志数据122。
方法300也可以包括在304从下个地面***获得地面日志数据。获得地面日志数据可以包括从存储器检索地面日志数据、从另一装置经数据通信接收地面日志数据或该两者。例如,图1的审计***108可以从地面***104接收第一地面日志数据120。
方法300可以进一步包括在306确定飞机日志数据和地面日志数据是否包括共同事件。例如,图1的审计***108可以,例如基于在第一交通工具日志数据122和第一地面日志数据120的每一个中包括的标识符,确定第一交通工具日志数据122和第一地面日志数据120是否包括共同事件。
在306没有共同事件时,方法300可以包括在312确定是否所有地面***已被处理。例如,响应于确定第一交通工具日志数据122和第一地面日志数据120之间没有共同事件,审计***108可以确定是否由审计***108将考虑的所有地面***(例如其他地面***124)的地面日志数据已被处理。
当所有地面***在312没有被处理时,方法300可以转到304。例如,审计***108可以从其他地面***124接收其他地面日志数据132。当所有地面***在312已被处理时,方法300可以在314结束。
在306具有共同事件时,方法300可以包括在308在特定时间窗口期间选择一个共同事件。例如,审计***108可以选择事件,该事件对应于地面***104发送软件部分(例如第一软件部分150)到第一交通工具102和第一交通工具102从地面***104接收软件部分。时间窗口可以基于将被同步的第一交通工具日志数据120的一部分来确定,可以在先前日志检查中使用的时间窗口后,或可以是用户指定的。
方法300也可以包括在310计算时间差异并调整从而为已选择的共同事件同步。例如,审计***108可以计算在第一交通工具日志数据122的第一时间戳和第一地面日志数据120的第二时间戳之间的持续时间。第一时间戳和第二时间戳可以对应于已选择的共同事件。审计***108可以基于持续时间调整第一交通工具日志数据122、第一地面日志数据120或该两者的时间戳。方法300可以转到312。因此方法300可以用来将第一交通工具日志数据122和地面日志数据(例如第一地面日志数据120、其他地面日志数据132或该两者)的时序事件同步。
参考图4,其示出生成数据集的方法的具体说明性实施例的流程图并一般指定为400。在具体实施例中,方法400可以由图1的审计***108执行。在具体实施例中,方法400可以由图2的预处理模块220、特征创造模块210、特征选择模块212、模型拟合模块214或其组合执行。
方法400可以包括在404解析已处理数据。例如,图2的预处理模块220可以解析飞机网络***和安全日志202(例如图1的其他交通工具日志数据130)与地面***应用日志204(例如其他地面日志数据132)。解析可以包括分析飞机网络***和安全日志202与地面***应用日志204从而生成已处理数据,该已处理数据鉴别飞机网络***和安全日志与地面***应用日志204的逻辑组件。逻辑组件的例子包括事件类型、时间戳、标识符、交通工具状态和修改状态。事件类型的例子包括发送软件部分、接收软件部分、发送软件部分的修改请求、接收软件部分的修改请求和软件部分的修改(例如安装、删除、升级、更新或类似操作)。标识符的例子包括软件部分标识符、硬件部分标识符(例如与软件部分关联的硬件部分的标识符)、事件标识符、装置标识符(例如软件部分(或修改请求)从其被接收的装置的标识符、软件部分(或修改请求)被发送到的装置的标识符、维护计算机标识符、交通工具标识符、地面***标识符、授权或发起软件部分(或修改)的转移的装置的标识符)、位置标识符和用户标识符(例如发起或授权软件部分(或修改)的转移的用户的标识符)。飞机网络***和安全日志202与地面***应用日志204可以基于规则(例如语法规则)被分析。例如,规则可以表明如何可以由预处理模块220鉴别逻辑组件。为说明,规则可以表明特定字符表明和特定事件相关的数据的开始、另一特定字符表明和特定事件相关的数据的结束、时间戳格式、标识符格式、事件类型格式、交通工具状态格式、修改状态格式或其组合。基于规则,预处理模块220可以确定在和特定事件相关的数据中鉴别的事件类型、时间戳、标识符、交通工具状态、修改状态或其组合与特定事件关联。
方法400可以对应于特征创造,如参考图1的特征创造模块210描述的。方法400可以由图1的审计***108、图2的特征创造模块210或该两者执行。方法400可以对应于基于分析日志生成特征的机器学习过程。
例如,特征创造可以包括基于在日志中包括的标识符生成特征。方法400可以包括在406确定已处理数据是否包括任何标识符。例如,图2的特征创造模块210可以确定与其他交通工具日志数据130和其他地面日志数据132对应的已处理数据是否包括任何标识符。在406已处理数据不包括任何标识符时,方法400可以转到414。
基于标识符生成特征可以包括鉴别与日志中包括的每一个标识符关联的事件。例如,在406已处理数据包括标识符时,方法400可以包括在408寻找与每一个标识符关联的事件。为说明,已处理数据可以表明其他交通工具日志数据130包括其他软件部分160的标识符。特征创造模块210可以寻找与标识符关联的事件,例如与其他地面***124发送其他软件部分160到其他交通工具106关联的事件、与其他交通工具106接收其他软件部分160关联的事件、与其他地面***124发送修改请求从而修改其他软件部分160关联的事件、与其他交通工具106接收修改请求关联的事件、与其他软件部分160在其他交通工具106被修改关联的事件,或其组合。
基于标识符生成特征可以包括鉴别与每一个标识符类型关联的所有事件类型。事件类型的例子可以包括发送软件部分、接收软件部分、发送修改请求、接收修改请求、软件部分的修改(例如安装、删除、升级、更新或类似操作)或其组合。标识符类型的例子包括软件部分标识符类型、硬件部分标识符类型、事件标识符类型、装置标识符类型、位置标识符类型和用户标识符类型。例如,方法400可以包括在410为每一个标识符类型汇编关联事件的所有类型列表。为说明,特征创造模块210可以基于和其他软件部分160相关的数据,汇编与软件部分标识符类型关联的所有事件类型的列表。例如,和其他软件部分160相关的数据可以表明接收其他软件部分160、发送其他软件部分160、接收修改请求从而修改其他软件部分160、发送修改请求和修改其他软件部分160。基于和其他软件部分160相关的数据,特征创造模块210可以生成事件类型的列表(例如接收软件部分事件类型、发送软件部分事件类型、接收修改请求事件类型、发送修改请求事件类型、修改事件类型),事件类型的每一个都可以与软件部分标识符类型关联。
特征创造可以包括将与每一个标识符类型关联的事件类型发送到特征选择模块。方法400可以包括在412将基于所有事件类型的列表的第一日志特征发送到特征选择模块212。例如,特征创造模块210可以基于发送到特征选择模块212的事件类型列表,生成图1的第二数据集138。为说明,第二数据集138可以包括描述与软件部分标识符类型关联的事件类型的列表。第二数据集138也可以包括和与软件部分标识符类型关联的事件类型相关的数据。例如,第二数据集138可以基于在其他地面***124发送其他软件部分160到其他交通工具106和其他交通工具106接收其他软件部分160之间的持续时间,表明在发送和接收软件部分之间的阈值持续时间。作为另一例子,第二数据集138可以基于在其他地面***124发送修改其他软件部分160的修改请求到其他交通工具106和其他交通工具106接收修改请求之间的持续时间,表明在发送和接收修改请求之间的阈值持续时间。作为另一例子,第二数据集138可以基于在其他地面***124发送修改请求到其他交通工具106和其他软件部分160在其他交通工具106被修改之间的持续时间,表明在发送修改请求和软件部分被修改之间的阈值持续时间。特征创造模块210可以发送第二数据集138到特征选择模块212。
作为另一例子,特征创造可以包括基于状态变量生成特征。方法400可以包括在414确定已处理数据是否包括任何状态变量。例如,特征创造模块210可以基于已处理数据,确定是否其他交通工具日志数据130包括表明其他交通工具106的状态的任何变量。交通工具状态的例子包括机轮承重状态、倾斜状态、地速状态、空速状态、停机制动状态,以及表明第一交通工具和机场之间距离的机场距离状态,或其组合。作为另一例子,特征创造模块210可以基于已处理数据,确定其他交通工具日志数据130是否包括表明与在其他交通工具106修改其他软件部分160关联的修改状态的任何变量。当在414已处理数据不包括任何状态变量时,方法400可以在420结束。
基于状态变量生成特征可以包括鉴别与每一个状态变量关联的所有值。例如,在414已处理数据包括状态变量时,方法400可以包括在416寻找与每一个状态变量关联的所有值。为说明,其他交通工具日志数据130可以表明在第一时间其他交通工具106的机轮承重状态的第一值(例如真)。其他交通工具日志数据130可以表明在第二时间其他交通工具106的机轮承重状态的第二值(例如伪)。特征创造模块210可以寻找与交通工具机轮承重状态关联的第一值和第二值。作为另一例子,其他交通工具日志数据130可以表明与在第一时间在其他交通工具106修改其他软件部分160关联的修改状态的第一值(例如成功)。其他交通工具日志数据130可以表明与在第二时间在其他交通工具106修改其他软件部分160关联的修改状态的第二值(例如失败)。特征创造模块210可以寻找与关联交通工具的修改状态关联的第一值和第二值。
特征创造可以包括发送与每一个状态变量关联的值到特征选择模块。方法400可以包括在418将基于与每一个状态变量关联的值的第二日志特征发送到特征选择模块。例如,特征创造模块210可以生成或修改第二数据集138从而表明与其他交通工具106的机轮承重状态关联的值(例如真和伪)。第二数据集138也可以表明在基于其他软件部分160被接收时其他交通工具106的机轮承重状态,软件部分被接收时与交通工具的机轮承重状态关联的预期值。作为另一例子,特征创造模块210可以生成或修改第二数据集138从而表明与关联其他交通工具106的修改状态关联的值(例如成功或失败)。第二数据集138也可以表明当基于当其他软件部分160修改时其他交通工具106的修改状态,软件部分被修改时与关联交通工具的修改状态关联的预期值。特征创造模块210可以发送第二数据集138到特征选择模块212。方法400可以在420结束。
参考图5,其示出生成基线数据的方法的具体说明性实施例的流程图并一般指定为500。方法500可以由审计***108、图2的特征选择模块212或该两者执行。特征可以经选择以基于交通工具是否与另一交通工具一样具有共同硬件模块或与另一交通工具一样具有共同软件模块、基于安全要求或该两者,生成基线数据。例如,与其他交通工具关联的异常可以已被检测,并且日志检查的目的可以是验证是否存在异常,该异常和交通工具(例如第一交通工具102)与其他交通工具具有的共同硬件或软件模块相关。日志检查的另一目的可以是验证是否满足安全要求。
方法500可以包括在502接收或访问数据。数据可以包括交通工具硬件和软件规范250、其他飞机规范和其他交通工具的已选择特征252、安全要求254或其组合。
方法500可以包括在504基于交通工具硬件和软件规范250与其他交通工具的规范和已选择特征252,确定是否存在共同硬件和/或软件模块。例如,特征选择模块212可以基于交通工具规范数据144,确定是否存在第一交通工具102和其他交通工具106的每一个的共同硬件和/或软件模块。在504不存在共同硬件或软件模块时,方法500可以在512结束。
在504存在共同硬件或软件模块时,方法500可以包括在508确定是否存在对应于共同硬件模块或共同软件模块的任何日志特征。该确定可以基于从特征创造模块接收的第一和/或第二日志特征506。例如,特征选择模块212可以确定第二数据集138是否包括对应于共同硬件和/或软件模块的数据。在508不存在日志特征时,方法500可以在512结束。
在508存在对应于共同硬件模块、共同软件模块或该两者的日志特征时,方法500可以包括在510添加日志特征用于可能的模型拟合。例如,当从特征创造模块接收的第一和/或第二日志特征506(例如第二数据集138或第二数据集138的一部分)对应于共同硬件和/或软件模块时,可以添加第一和/或第二日志特征506到基线数据140用于模型拟合。方法500可以在512结束。
参考图6,其示出检测监管链信息中异常的方法的具体实施例的流程图并一般指定为600。方法600可以由审计***108、图2的异常检测模块222或该两者执行。交通工具和一个或更多个地面***的日志可以被检查并分析从而检测和软件部分相关的监管链信息中的任何异常。分析可以基于基线数据,例如基线数据可以表明要被分析的特征和预期值。
方法600可以包括在602接收和在交通工具的软件部分的修改相关的交通工具日志数据。例如图1的审计***108可以接收第一交通工具日志数据122。第一交通工具日志数据122可以和在第一交通工具102的第一软件部分150的修改相关。
方法600也可以包括在604接收地面***的地面日志数据。地面日志数据可以表明关于软件部分的监管链信息。例如图1的审计***108可以从地面***104接收第一地面日志数据120。第一地面日志数据120可以表明关于第一软件部分150的监管链信息。
方法600可以进一步包括在606生成基线数据。例如图1的审计***108可以基于其他交通工具日志数据130和其他地面日志数据132生成基线数据140。
方法600也可以包括在608基于基线数据分析交通工具日志数据和地面日志数据从而检测异常。例如,图1的审计***108可以基于基线数据140分析第一交通工具日志数据122和第一地面日志数据120从而检测异常。为说明,审计***108可以检测第一持续时间超过由基线数据140表明的阈值持续时间,该第一持续时间在地面***104发送第一软件部分150到第一交通工具102和第一交通工具102从地面***104接收第一软件部分150之间。
方法600可以进一步包括在610聚集数据,其中已聚集审计数据包括关于异常的数据。例如,图1的审计***108可以例如通过软件部分聚集审计数据。为说明,已聚集审计数据可以表明与接收第一软件部分150的多个交通工具关联的异常。已聚集审计数据可以包括关于与第一交通工具102关联的已检测的异常的数据。
方法600也可以包括在612响应于异常发送通知。例如,审计***108可以发送关于异常的消息(例如到用户、到另一装置或该两者)、显示关于异常的警报(例如在输出装置)或该两者。
参考图7,其示出检测监管链信息中异常的方法的具体实施例的流程图并一般指定为700。在具体实施例中,方法700可以对应于图6的操作608。
方法700可以包括在702基于在交通工具日志数据和地面日志数据的每一个内包括的共同事件、交通工具日志数据的第一时间戳和地面日志数据的第二时间戳,将交通工具日志数据与地面日志数据同步。第一时间戳和第二时间戳可以与共同事件关联。例如,图1的审计***108可以基于第一交通工具日志数据122的第一时间戳和第一地面日志数据120的第二时间戳,同步第一交通工具日志数据122和第一地面日志数据120。第二时间戳可以对应于何时地面***104发送软件部分到第一交通工具102的时间,并且第一时间戳可以对应于何时第一交通工具102从地面***104接收软件部分。
方法700也可以包括在704执行已同步化的交通工具日志数据和已同步化的地面日志数据的比较。例如,图1的审计***108可以比较已同步化的第一交通工具日志数据122和已同步化的第一地面日志数据120。
方法700可以进一步包括在706基于已同步化的交通工具日志数据和已同步化的地面日志数据的比较,生成第一数据集。例如,审计***108可以基于已同步化的第一交通工具日志数据122和已同步化的第一地面日志数据120的比较,生成第一数据集136。
方法700也可以包括在708基于第一数据集与基线数据的对应第二数据集的比较来检测异常。例如,审计***108可以基于第一数据集136和第二数据集138的比较来检测异常。
参考图8,其示出生成数据集的方法的具体实施例的流程图并一般指定为800。在具体实施例中,方法800可以对应于图7的操作706。
方法800可以包括在802鉴别已同步化的第一交通工具日志数据的第一事件,其中第一事件与第一标识符关联。例如,审计***108可以鉴别已同步化的第一交通工具日志数据122的事件,其与第一交通工具102从地面***104接收第一软件部分150对应。已鉴别事件可以与事件标识符关联。
方法800也可以包括在804鉴别已同步化的第一地面日志数据的第二事件,其中第二事件与第一标识符关联。可以生成第一数据集从而包括持续时间,该持续时间表明在与第一事件关联的第一事件时间戳和与第二事件关联的第二事件时间戳之间的差。例如,审计***108可以鉴别与事件标识符关联的已同步化的第一地面日志数据120的事件,该事件与地面***104发送第一软件部分150到第一交通工具102对应。审计***108可以生成第一数据集136,从而表明在与已同步化的第一交通工具日志数据122的事件关联的时间戳和与第一地面日志数据120的事件关联的时间戳之间的持续时间。
方法800可以进一步包括在806基于已同步化的第一交通工具日志数据确定在第一事件时第一交通工具的状态,其中第一数据集表明该状态。例如,审计***108可以确定在从地面***104接收第一软件部分150时第一交通工具102的机轮承重状态。审计***108可以更新第一数据集136从而表明机轮承重状态(例如伪)。
参考图9,其示出生成基线数据的方法的具体实施例的流程图并一般指定为900。在具体实施例中,方法900可以对应于图6的操作606。
方法900可以包括在902接收安全要求。例如,图1的审计***108可以接收图1的安全要求146。
方法900也可以包括在904接收交通工具日志数据。例如,图1的审计***108可以从其他交通工具106接收其他交通工具日志数据130。
方法900可以进一步包括在906接收地面日志数据。例如,图1的审计***108可以从其他地面***124接收其他地面日志数据132。
方法900也可以包括在908将交通工具日志数据和地面日志数据同步。例如,图1的审计***108可以基于与第一事件关联的其他交通工具日志数据130的第一时间戳,以及与对应第二事件关联的其他地面日志数据132的第二时间戳,将其他交通工具日志数据130和其他地面日志数据132同步。
方法900可以进一步包括在910执行已同步化的交通工具日志数据和已同步化的地面日志数据的比较。例如,图1的审计***108可以执行已同步化的其他交通工具日志数据130和已同步化的其他地面日志数据132的比较。
方法900也可以包括在912基于已同步化的交通工具日志数据和已同步化的地面日志数据的比较生成数据集。例如,图1的审计***108可以基于已同步化的其他交通工具日志数据130和已同步化的其他地面日志数据132的比较生成第二数据集138。
方法900可以转到918或914。在914,方法900可以包括基于第一交通工具规范和第二交通工具规范,确定第一交通工具和第二交通工具具有共同软件或共同硬件模块中的至少一个。例如,图1的审计***108可以包括基于交通工具规范数据144,确定第一交通工具102和其他交通工具106是否具有共同软件、共同硬件模块或该两者。
方法900可以进一步包括在916确定数据集对应于共同软件模块、共同硬件模块或该两者。例如,审计***108可以确定第二数据集138对应于共同软件模块、共同硬件模块或该两者。方法900可以转到918。
方法900可以进一步包括在918使用数据集生成基线数据。例如,审计***108可以使用第二数据集138生成基线数据140。
方法900也可以包括在920基于安全要求修改基线数据。例如,审计***108可以基于安全要求146修改基线数据140。
方法900可以进一步包括在922基于统计模型修改基线数据。例如,审计***108可以基于统计模型修改基线数据140。
图10是计算环境1000的框图,其包括通用计算装置1010,从而支持根据本公开的计算机实施的方法和计算机可执行程序指令(或代码)的实施例。例如,计算装置1010或其部分可以执行指令以分析交通工具日志数据、地面***日志数据或该两者,从而检测监管链信息中的异常。在另一例子中,计算装置1010或其部分可以执行指令从而接收和在交通工具的软件部分的修改相关的交通工具日志数据、接收地面***的地面日志数据、生成基线数据、基于基线数据分析交通工具日志数据和地面日志数据从而检测异常、聚集审计数据以及响应于异常而发送通知。在具体实施例中,计算装置1010可以包括图1的审计***108或与其一起包括或与其对应。
计算装置1010可以包括处理器1020。在具体实施例中,处理器1020可以对应于图1的处理器170。在计算装置1010内,处理器1020可以与存储器1030、一个或更多个存储装置1040、一个或更多个输入/输出接口1050、一个或更多个通信接口1060或其组合通信。
存储器1030可以包括易失性存储器装置(例如随机存取存储器(RAM)装置)、非易失性存储器装置(例如只读存储器(ROM)装置、可编程只读存储器和闪存存储器)或该两者。在具体实施例中,存储器1030可以对应于图1的存储器180。存储器1030可以包括操作***1032,该操作***1032可以包括用于起动计算装置1010和整个操作***的基本输入/输出***,从而使得计算装置1010能够与用户、其他程序和其他装置交互。存储器1030可以包括一个或更多个应用程序1034,例如审计***应用程序,如可执行从而检测监管链信息中异常的应用程序。存储器1030可以包括由处理器1020可执行的指令1036,例如检测监管链信息中异常的审计***指令142。存储器1030可以包括基线数据140、第一数据集136、第二数据集138、其他异常数据148、安全要求146、交通工具规范数据144、审计***指令142或其组合。
处理器1020也可以与一个或更多个存储装置1040通信。例如一个或更多个存储装置1040可以包括非易失性存储装置如磁盘、光盘或闪存存储器装置。存储装置1040可以包括可移除和不可移除存储器装置。存储装置1040可以经配置存储操作***、应用程序和程序数据。在具体实施例中,存储器1030、存储装置1040或该两者包括有形的、永久的计算机可读介质。
处理器1020也可以与一个或更多个输入/输出接口1050通信,该输入/输出接口1050使得计算装置1010能够与一个或更多个输入/输出装置1070通信从而促进用户交互。输入/输出接口1050可以包括串行接口(例如通用串行总线(USB)接口或IEEE11094接口)、并行接口、显示适配器、音频适配器和其他接口。输入/输出装置1070可以包括键盘、定点装置、显示器、扬声器、话筒、触摸屏和其他装置。处理器1020可以基于经输入/输出接口1050接收的用户输入检测交互事件。另外,处理器1020可以经输入/输出接口1050发送显示到显示装置。
处理器1020可以经一个或更多个通信接口1060与其他计算机***1080通信。一个或更多个通信接口1060可以包括有线以太网接口、IEEE802无线接口、蓝牙通信接口或其他网络接口。其他计算机***1080可以包括主机、服务器、工作站和其他计算装置。例如,其他计算机***1080可以包括图1的第一交通工具102、图1的地面***104、图1的其他交通工具106、图1的其他地面***124或其组合。在具体实施例中,数据(例如基线数据140、第一数据集136、第二数据集138、其他异常数据148、安全要求146、交通工具规范数据144、图1的第一交通工具日志数据122、图1的其他交通工具日志数据130、图1的第一地面日志数据120、图1的其他地面日志数据132或其组合)可以被分发。在具体实施例中,图2的一个或更多个模块可以包括在一个或更多个计算装置中,数据(例如基线数据140、第一数据集136、第二数据集138、其他异常数据148、安全要求146、交通工具规范数据144、图1的第一交通工具日志数据122、图1的其他交通工具日志数据130、图1的第一地面日志数据120、图1的其他地面日志数据132或其组合)可以包括在一个或更多个计算装置中,或该两者。
因此,在具体实施例中,计算机***能够检测监管链信息中的异常。例如,指令1036可以由处理器1020执行从而接收和在交通工具的软件部分的修改相关的交通工具日志数据、接收地面***的地面日志数据、生成基线数据、基于基线数据分析交通工具日志数据和地面日志数据从而检测异常、聚集审计数据以及响应于异常发送通知。
上述实施例说明但不限制本公开。要理解的是,根据本公开的原理的许多修改和变化是可能的。
在此描述的实施例的说明意图提供各种实施例结构的整体了解。该说明不意味着是利用在此描述的结构或方法的设备和***的所有元素和特征的完整描述。对于审阅本公开的本领域技术人员,许多其他的实施例是显而易见的。可以利用并可从本公开中获得其他实施例,以至于可以做出结构和逻辑置换和改变而不背离本公开的范围。例如,方法步骤可以以在与图中示出不同的顺序执行,或可以省略一个或更多个方法步骤。因此,本公开和附图将被认为是说明性的而非约束性的。
此外,尽管在此说明并描述特定实施例,但是认识到被设计以实现相同或相似结果的任何后续布置可以代替示出的特定实施例。本公开意图覆盖各种实施例的任何与全部后续改编或变化。上面实施例的组合与没有在此特定描述的其他实施例对查看本说明的本领域技术人员将是显而易见的。
提交本公开的摘要,理解其不用于解释或限制权利要求的范围或含义。另外,在前面详细描述中,出于本公开流畅性的目的,各种特征可以聚合在一起或在单独实施例中描述。本公开不解释为反映所要求保护实施例需要比每一个权利要求中明确陈述的特征多的特征的意图。相反,如以下权利要求反映的,所要求保护的主题可以针对少于所公开的任何实施例的所有特征。
Claims (12)
1.一种方法,包括:
接收和在第一交通工具的第一软件部分的修改相关的第一交通工具日志数据;
接收第一地面***的第一地面日志数据,所述第一地面日志数据表明关于所述第一软件部分的第一监管链信息;
基于基线数据分析所述第一交通工具日志数据和所述第一地面日志数据从而检测异常;以及
响应于检测到所述异常发送通知。
2.根据权利要求1所述的方法,其中所述第一监管链信息包括与事件关联的时间戳或与所述事件关联的标识符中的至少一个。
3.根据权利要求2所述的方法,其中所述事件包括所述第一地面***从第一装置接收所述第一软件部分或所述第一地面***转发所述第一软件部分到第二装置中的至少一个。
4.根据权利要求2所述的方法,其中所述标识符包括事件标识符、装置标识符、软件部分标识符、硬件部分标识符、用户标识符、维护计算机标识符、交通工具标识符或地面***标识符中的至少一个。
5.根据权利要求1-4中的任何一个所述的方法,其进一步包括:
基于在所述第一交通工具日志数据和所述第一地面日志数据的每一个内包括的共同事件、所述第一交通工具日志数据的第一时间戳和所述第一地面日志数据的第二时间戳,将所述第一交通工具日志数据与所述第一地面日志数据同步,其中所述第一时间戳和所述第二时间戳与所述共同事件关联;
执行已同步化的第一交通工具日志数据和已同步化的第一地面日志数据的比较;以及
基于已同步化的第一交通工具日志数据和已同步化的第一地面日志数据的所述比较生成第一数据集。
6.根据权利要求5所述的方法,进一步包括:
鉴别所述已同步化的第一交通工具日志数据的第一事件,其中所述第一事件与所述第一标识符关联;以及
鉴别所述已同步化的第一地面日志数据的第二事件,其中所述第二事件与所述第一标识符关联,
其中生成所述第一数据集从而表明持续时间,所述持续时间表明在与所述第一事件关联的第一事件时间戳和与所述第二事件关联的第二事件时间戳之间的差。
7.根据权利要求5-6中的任何一个所述的方法,进一步包括以下至少一个:基于所述已同步化的第一交通工具日志数据确定在所述第一事件的时间时所述第一交通工具的状态,其中所述第一数据集表明所述状态,或基于所述第一数据集与所述基线数据的对应第二数据集的比较检测所述异常。
8.根据权利要求1-8中的任何一个所述的方法,其中所述异常表明在所述第一监管链信息和从第二地面***接收的第二监管链信息之间的间断、所述第一软件部分由所述第一地面***乱序接收或所述第一软件部分由所述第一地面***乱序转发中的至少一个。
9.一种***,其包括:
处理器;以及
存储器,所述存储器存储指令,所述指令在由所述处理器执行时导致所述处理器执行操作,所述操作包括:
接收和在第一交通工具的第一软件部分的修改相关的第一交通工具日志数据;
接收第一地面***的第一地面日志数据,所述第一地面日志数据表明关于所述第一软件部分的第一监管链信息;
基于基线数据分析所述第一交通工具日志数据和所述第一地面日志数据从而检测异常;以及
响应于检测到所述异常而发送通知。
10.根据权利要求9所述的***,其中所述操作进一步包括生成所述基线数据,其包括:
接收和在第二交通工具的第二软件部分的修改相关的第二交通工具日志数据;
接收第二地面日志数据,所述第二地面日志数据表明关于所述第二软件部分的第二监管链信息;
将所述第二交通工具日志数据与所述第二地面日志数据同步;
执行已同步化的第二交通工具日志和已同步化的第二地面日志数据的比较;以及
基于所述已同步化的第二交通工具日志数据和所述已同步化的第二地面日志数据的所述比较生成数据集,其中所述数据集表明所述第二软件部分的所述修改没有已检测的异常。
11.根据权利要求10所述的***,其中所述操作进一步包括基于所述第一交通工具的第一交通工具规范和第二交通工具的第二交通工具规范,确定所述第一交通工具和所述第二交通工具具有共同软件模块或共同硬件模块中的至少一个,其中所述数据集被用来基于确定所述数据集是否对应于所述共同软件模块或所述共同硬件模块中的至少一个,生成所述基线数据。
12.根据权利要求10所述的***,其中所述操作进一步包括:
基于安全要求修改所述基线数据;以及
基于统计模型修改所述基线数据。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/869,383 US9336248B2 (en) | 2013-04-24 | 2013-04-24 | Anomaly detection in chain-of-custody information |
| US13/869,383 | 2013-04-24 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104123334A true CN104123334A (zh) | 2014-10-29 |
| CN104123334B CN104123334B (zh) | 2019-05-28 |
Family
ID=50389794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410168001.7A Active CN104123334B (zh) | 2013-04-24 | 2014-04-24 | 监管链信息中的异常检测 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9336248B2 (zh) |
| EP (1) | EP2796374A1 (zh) |
| JP (1) | JP6468718B2 (zh) |
| CN (1) | CN104123334B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107086944A (zh) * | 2017-06-22 | 2017-08-22 | 北京奇艺世纪科技有限公司 | 一种异常检测方法和装置 |
| CN113595888A (zh) * | 2016-12-06 | 2021-11-02 | 松下电器(美国)知识产权公司 | 信息处理装置以及信息处理方法 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9916701B2 (en) * | 2014-09-10 | 2018-03-13 | The Boeing Company | Vehicle auditing and control of maintenance and diagnosis for vehicle systems |
| CN105404278B (zh) * | 2015-12-09 | 2018-08-03 | 中国航空工业集团公司西安航空计算技术研究所 | 一种安全关键软件的健康管理方法 |
| EP3437062B1 (en) | 2016-03-31 | 2023-06-21 | Aglive International Pty Ltd | Information system for item verification |
| US10412100B2 (en) * | 2016-08-01 | 2019-09-10 | The Boeing Company | System and methods for providing secure data connections in an aviation environment |
| DE102016125294A1 (de) * | 2016-12-22 | 2018-06-28 | Dr. Ing. H.C. F. Porsche Aktiengesellschaft | Verfahren und System für die Diagnose oder Konfigurierung eines Fahrzeugs |
| US10297162B2 (en) * | 2016-12-28 | 2019-05-21 | Honeywell International Inc. | System and method to activate avionics functions remotely |
| US10659477B2 (en) * | 2017-12-19 | 2020-05-19 | The Boeing Company | Method and system for vehicle cyber-attack event detection |
| US10899323B2 (en) * | 2018-07-08 | 2021-01-26 | Peloton Technology, Inc. | Devices, systems, and methods for vehicle braking |
| US11159550B1 (en) * | 2019-03-01 | 2021-10-26 | Chronicle Llc | Correcting timestamps for computer security telemetry data |
| US10872479B1 (en) * | 2019-11-04 | 2020-12-22 | Ford Global Technologies, Llc | Secure log capture |
| CN111382997A (zh) * | 2020-02-25 | 2020-07-07 | 摩拜(北京)信息技术有限公司 | 用车数据处理方法、***及服务器和终端设备 |
| US11610504B2 (en) | 2020-06-17 | 2023-03-21 | Toyota Research Institute, Inc. | Systems and methods for scenario marker infrastructure |
| US20220044133A1 (en) * | 2020-08-07 | 2022-02-10 | Sap Se | Detection of anomalous data using machine learning |
| US20230188620A1 (en) * | 2020-10-10 | 2023-06-15 | Baidu (China) Co., Ltd. | Method of notifying of business audit, gateway, electronic device, and readable medium |
| CN114419756B (zh) * | 2022-01-30 | 2023-05-16 | 重庆长安汽车股份有限公司 | 一种动态捕获整车异常场景的方法及*** |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6438468B1 (en) * | 2000-11-28 | 2002-08-20 | Honeywell International Inc. | Systems and methods for delivering data updates to an aircraft |
| WO2008117471A1 (ja) * | 2007-03-27 | 2008-10-02 | Fujitsu Limited | 監査プログラム、監査システムおよび監査方法 |
| CN100461221C (zh) * | 2000-09-14 | 2009-02-11 | 株式会社电装 | 车载装置和服务提供*** |
| US20090265357A1 (en) * | 2008-04-17 | 2009-10-22 | Yukawa Steven J | System and method for generating maintenance release information |
| CN101635651A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种网络日志数据管理方法、***及装置 |
| JP2010286889A (ja) * | 2009-06-09 | 2010-12-24 | Canon Inc | 通信制御装置 |
| CN102320382A (zh) * | 2011-07-07 | 2012-01-18 | 中国国际航空股份有限公司 | 飞机性能检测方法 |
| US20120084521A1 (en) * | 2010-09-30 | 2012-04-05 | International Business Machines Corporation | Managing Snapshots of Virtual Server |
| US8204637B1 (en) * | 2007-12-20 | 2012-06-19 | The United States Of America As Represented By The Secretary Of The Navy | Aircraft approach to landing analysis method |
| US8262019B2 (en) * | 2004-11-18 | 2012-09-11 | Schmidt R Kyle | Method and system for health monitoring of aircraft landing gear |
| US20130081934A1 (en) * | 2011-10-04 | 2013-04-04 | Pulverdryer Usa, Inc. | Systems and methods for converting sewage sludge into a combustible fuel |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001041024A1 (en) | 1999-12-01 | 2001-06-07 | Sinex Aviation Technologies Corporation | Dynamic aircraft maintenance management system |
| IES20010666A2 (en) * | 2001-07-17 | 2002-11-13 | Aircraft Man Technologies Ltd | An electronic operations and maintenance log and system for an aircraft |
| US6725137B2 (en) | 2002-04-03 | 2004-04-20 | Honeywell International Inc. | Method and apparatus using historical data to associate deferral procedures and fault models |
| US7636568B2 (en) * | 2002-12-02 | 2009-12-22 | The Boeing Company | Remote aircraft manufacturing, monitoring, maintenance and management system |
| US6943699B2 (en) * | 2003-07-23 | 2005-09-13 | Harris Corporation | Wireless engine monitoring system |
| US7774112B2 (en) * | 2004-09-27 | 2010-08-10 | Teledyne Technologies Incorporated | System and method for flight data recording |
| US8244412B2 (en) * | 2005-02-25 | 2012-08-14 | The Boeing Company | System and methods for on-board pre-flight aircraft dispatching |
| US7761201B2 (en) * | 2005-11-16 | 2010-07-20 | The Boeing Company | Integrated maintenance and materials services for fleet aircraft using aircraft data to improve maintenance quality |
| US8296197B2 (en) | 2005-11-16 | 2012-10-23 | The Boeing Company | Centralized management of maintenance and materials for commercial aircraft fleets with information feedback to customer |
| US20080005617A1 (en) | 2006-05-15 | 2008-01-03 | The Boeing Company | Automated processing of electronic log book pilot reports for ground-based fault processing |
| US8078354B2 (en) * | 2006-11-29 | 2011-12-13 | United Technologies Corporation | Global product management of a vehicle and a fleet of vehicles |
| FR2914804B1 (fr) * | 2007-04-06 | 2009-09-18 | Airbus Sas | Systeme de communication entre un reseau d'ordinateurs dans un aeronef et un reseau d'ordinateurs au sol |
| US8490074B2 (en) | 2007-11-27 | 2013-07-16 | The Boeing Company | Aircraft software part library |
| US8321083B2 (en) | 2008-01-30 | 2012-11-27 | The Boeing Company | Aircraft maintenance laptop |
| US8509990B2 (en) | 2008-12-15 | 2013-08-13 | Panasonic Avionics Corporation | System and method for performing real-time data analysis |
| US8335601B2 (en) * | 2009-06-09 | 2012-12-18 | Honeywell International Inc. | System and method of automated fault analysis and diagnostic testing of an aircraft |
| CA2769119C (en) * | 2009-08-11 | 2018-05-01 | Aeromechanical Services Ltd. | Automated aircraft flight data delivery and management system with demand mode |
| US8924137B2 (en) * | 2011-09-30 | 2014-12-30 | Lockheed Martin Corporation | Method and apparatus for dynamic air traffic trajectory synchronization |
| US8560148B2 (en) * | 2010-11-09 | 2013-10-15 | Lockheed Martin Corporation | Method and apparatus for air traffic trajectory synchronization |
| US20130345910A1 (en) * | 2011-02-11 | 2013-12-26 | The Board Of Trustees Of The University Of Illinois | Detector function and system for predicting airfoil stall from control surface measurements |
| US20130166505A1 (en) * | 2011-12-22 | 2013-06-27 | Noam Peretz | Monitoring replication lag between geographically dispersed sites |
-
2013
- 2013-04-24 US US13/869,383 patent/US9336248B2/en active Active
-
2014
- 2014-03-11 EP EP20140158926 patent/EP2796374A1/en not_active Ceased
- 2014-04-22 JP JP2014088164A patent/JP6468718B2/ja active Active
- 2014-04-24 CN CN201410168001.7A patent/CN104123334B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100461221C (zh) * | 2000-09-14 | 2009-02-11 | 株式会社电装 | 车载装置和服务提供*** |
| US6438468B1 (en) * | 2000-11-28 | 2002-08-20 | Honeywell International Inc. | Systems and methods for delivering data updates to an aircraft |
| US8262019B2 (en) * | 2004-11-18 | 2012-09-11 | Schmidt R Kyle | Method and system for health monitoring of aircraft landing gear |
| WO2008117471A1 (ja) * | 2007-03-27 | 2008-10-02 | Fujitsu Limited | 監査プログラム、監査システムおよび監査方法 |
| US8204637B1 (en) * | 2007-12-20 | 2012-06-19 | The United States Of America As Represented By The Secretary Of The Navy | Aircraft approach to landing analysis method |
| US20090265357A1 (en) * | 2008-04-17 | 2009-10-22 | Yukawa Steven J | System and method for generating maintenance release information |
| JP2010286889A (ja) * | 2009-06-09 | 2010-12-24 | Canon Inc | 通信制御装置 |
| CN101635651A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种网络日志数据管理方法、***及装置 |
| US20120084521A1 (en) * | 2010-09-30 | 2012-04-05 | International Business Machines Corporation | Managing Snapshots of Virtual Server |
| CN102320382A (zh) * | 2011-07-07 | 2012-01-18 | 中国国际航空股份有限公司 | 飞机性能检测方法 |
| US20130081934A1 (en) * | 2011-10-04 | 2013-04-04 | Pulverdryer Usa, Inc. | Systems and methods for converting sewage sludge into a combustible fuel |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113595888A (zh) * | 2016-12-06 | 2021-11-02 | 松下电器(美国)知识产权公司 | 信息处理装置以及信息处理方法 |
| CN107086944A (zh) * | 2017-06-22 | 2017-08-22 | 北京奇艺世纪科技有限公司 | 一种异常检测方法和装置 |
| CN107086944B (zh) * | 2017-06-22 | 2020-04-21 | 北京奇艺世纪科技有限公司 | 一种异常检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014216018A (ja) | 2014-11-17 |
| JP6468718B2 (ja) | 2019-02-13 |
| US20140324786A1 (en) | 2014-10-30 |
| US9336248B2 (en) | 2016-05-10 |
| CN104123334B (zh) | 2019-05-28 |
| EP2796374A1 (en) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104123334A (zh) | 监管链信息中的异常检测 | |
| US12026781B2 (en) | Systems and methods for building, utilizing, and/or maintaining an autonomous vehicle-related event distributed ledger or blockchain | |
| EP3189501B1 (en) | Vehicle information system | |
| EP2870558B1 (en) | Methods and systems for use in identifying cyber-security threats in an aviation platform | |
| EP3131234A1 (en) | Core network analytics system | |
| EP3258661B1 (en) | Detection of abnormal configuration changes | |
| CN112740185A (zh) | 分析装置、分析***、分析方法以及程序 | |
| EP3531331B1 (en) | Providing secure inter-vehicle data communications | |
| AU2015244043A1 (en) | Anomalous phenomena detector | |
| CN112650762A (zh) | 数据质量监控的方法、装置、电子设备以及存储介质 | |
| EP3800623A1 (en) | Apparatus, data transmission method and program | |
| EP3239840B1 (en) | Fault information provision server and fault information provision method | |
| CN106776243B (zh) | 一种针对监控软件的监控方法及装置 | |
| CN102073823A (zh) | 一种基于缺陷分析的软件可信性评价方法 | |
| CN112256593A (zh) | 一种程序处理方法、装置、计算机设备和可读存储介质 | |
| CN106575254B (zh) | 日志分析装置、日志分析***、日志分析方法及存储介质 | |
| CN112678035A (zh) | 列车运行数据分析方法、***及服务器和计算机可读介质 | |
| CN103440460A (zh) | 一种应用***变更验证方法及验证*** | |
| US11886296B2 (en) | Inhibiting recommendation of driver installations for drivers that are likely to cause a system failure | |
| CN111696352A (zh) | 交通信息的处理方法、装置、电子设备及存储介质 | |
| CN104346246B (zh) | 故障预测方法和装置 | |
| Cazorla et al. | A three-stage analysis of IDS for critical infrastructures | |
| CN114205223B (zh) | 一种车辆智能驾驶功能异常事件的溯源定位方法和装置 | |
| CN106663155B (zh) | 用户密钥识别***、其所利用的设备及操作该设备的方法 | |
| KR102617618B1 (ko) | 산업용 공장의 고효율 설비 교체를 위한 인공지능 기반 의사 결정 서비스 제공 장치, 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |