专利名称::网络失败报告的方法和系统的制作方法
技术领域:
:本发明通常涉及计算机网络,更具体地,涉及用于向操作人员警报(alert)潜在网络安全破坏(breach)的方法和系统。
背景技术:
:发送到飞行器以及从飞行器发送的数据已经明显增加。同时,安全威胁增加,需要一种用于识别并传送数据安全警报到航空公司人员的方法。飞行期间飞行组(flightcrew)的工作负荷已经相当大,并且飞行器数据网络的附加监控和操作不切实可行。另外,在飞行器操作许多方面上使用严格的程序控制,培训飞机驾驶抢人员(flightdeckpersonnel)管理重要的工作负荷。熟悉程序的背离要求飞行组额外的注意力并且可能负面地影响机务人员工作负荷和飞机的安全操作。当前,以递增优先顺序排列的严格和高度组织化的消息层级结构,将对异常的飞行器组件操作的警报和警告呈现给飞机驾驶舱人员。然而,飞机上的网络安全威胁如果以计算机系统中通常使用的方式呈现,则可能使飞行组混乱,因为飞机机务人员在计算机方面未培训,并且机抢组(cabincrew)不能正常地估计和恢复由计算系统所报告的系统故障。另外,对系统失败的"^断和修补的典型维护组(maintenancecrew)禾呈序禾口行为与通常用来诊断和恢复典型计算机系统中的安全破坏的行为不一致。
发明内容在一个实施例中,一种用于向航空公司人员警报潜在飞行器数据网络安全破坏的方法,包括检测和分类潜在飞行器数据网络安全破坏;和在飞行器的现有维护数据存储和报告系统内记录所述潜在飞行器数据网络安全破坏。在另一个实施例中,提供了一种操作飞行器的数据网络的方法。该数据网络至少包括飞行器控制部分、航空公司操作业务部分、乘客娱乐部分和乘客所有物品部分,至少一个部分包括到地面网络的接口。所述方法包括检测飞行器数据网络上的潜在网络攻击;基于检测到的攻击中飞行器安全性的递增严重性组成,来分类攻击;确定攻击源的位置;基于攻击的类别和攻击源的位置,确定飞行组对攻击的响应;以及通过飞行器的现有维护数据存储和报告系统,向飞行组警报攻击和所确定的响应。在又一个实施例中,一种飞行器数据网络系统,该飞行器数据网络系统通信地耦接到飞行器的现有维护数据存储及报告系统,所述飞行器数据网络包括多个网络部分,每个部分包括相关联的网络安全级别;和通信地耦接到所述飞行器数据网络的模块,其中所述模块适用于检测飞行器数据网络上的潜在网络攻击;基于检测到的攻击中飞行器安全性的递增严重性组成,来分类攻击;确定攻击源的位置;基于攻击的类别和攻击源的位置,确定飞行组对攻击的响应;以及通过飞行器的现有维护数据和报告系统,向飞行组警报攻击和所确定的响应。图1是根据本发明实施例的飞行器的侧剖面视图;图2是可以在图1中所示的飞行器中使用的前面板机务人员警报显示器的正^L图;和图3是可以在图1中所示的飞行器中使用的向航空公司人员警报潜在飞行器数据网络安全破坏的示例性方法的流程图。具体实施例方式图1是根据本发明实施例的飞行器100的侧剖面3见图。飞行器100包括驾驶员座舱(cockpit)102,从中操作并控制飞行器100。飞行器100包括计算机网络,例如飞行器数据网络(ADN)110。在示例性实施例中,ADN110包括具有不同安全访问要求级别的四个域。ADN110包括飞行器控制域12、航空公司信息服务域114、乘客信息和娱乐服务域116和乘客私有物品域118。飞行器控制域112包括飞行和嵌入式控制功能、以及机舱核心功能,这两种功能都用于控制飞行器100。航空公司信息服务域114包括用于操作飞行器100的管理功能和乘客支持功能。航空公司信息服务域114也包括特定任务功能,例如,飞行支持功能、机舱支持功能和维护支持功能。乘客信息和娱乐服务域116以及乘客私有物品域118用于招待乘客。乘客信息和娱乐服务域116包括嵌入式IFE功能、乘客因特网入口、机载乘客网页和乘客物品接口。飞行和嵌入式控制功能例如包括飞行控制、前向显示、空中交通、以及航空公司运行通信功能、电子、液压和气压系统、以及与"飞行的安全和稳定性"相关联的其他系统。机舱核心功能包括照明控制(包括具有来自飞行娱乐的光开关输入的阅读灯)、机舱伴随呼叫控制、机舱温度、和播音系统。管理功能主要包括基于信息系统的应用,其用信息支持机务人员,但是没有直接涉及飞行或导航,例如,电子手册、电子版本表格、销售支持和重新预订。乘客支持是作为飞机一部分但是例如由乘客操作的乘客支持应用,例如在座游戏/电影显示。飞行器控制域112是一个在飞行期间不允许变动并且要求严格的访问控制级別的封闭域。航空公司信息服务域114以及乘客信息和娱乐服务域116是使用隐私级别的访问控制的专用域,乘客所有物品域118是公共域。另外,飞行器控制域112、航空公司信息服务域114、以及乘客信息和娱乐服务域116都包括空中/地面网络接口。在操作期间,各个域在运行中,并且假设设备之间的数据传输服务通信地耦接到AND110。AND110部分包括例如通过标准802.11的无线接入点支持120。如此处所使用的,802.11是指对于无线LAN技术由正EE研发的规范族。标准802.11规定了无线客户和基站之间或者两个无线客户之间的空中(over-the-air)接口。尽管参考特定网络标准描述了本发明的实施例,但是理解为,在本发明的范畴之内考虑所述标准的进一步修订或者其他标准的使用。在示例性实施例中,飞行器控制域112包括通信、导航和监视系统(CNS)122。该CNS122包括通信子系统、导航子系统和监视子系统,所述通信子系统例如但不限于用于飞行器、地面控制器(空中交通控制)和机场与航空公司设施之间的语音和数据交换的无线电、卫星和有线连接,所述导航子系统用于确定飞行器的当前位置和到达目的地需要的航线,所述监视子系统用于监视飞行器的位置和航线,用以空中交通管理、安全和保障。飞行器控制域112也包括卫星通信(SATCOM)子系统124和机艙服务子系统126,该卫星通信(SATCOM)子系统124便于飞行器飞行组与机抢组与地面之间的通信。信息服务域114包括信息服务子系统128,该信息服务子系统128通信地耦接到其他域和该域中的子系统,以便于操作AND110。例如,信息服务子系统128通信地耦接到宽带子系统130,该宽带子系统130与舱外的信息源、内部和外部802.11无线装置进行通信。内部802.11无线装置132适用于支持机务人员装置136。在示例性实施例中,娱乐服务域116包括飞行中娱乐(IFE)系统140,该飞行中娱乐(IFE)系统140通信地耦接到内部802.11无线装置142和乘客私有物品144。ADN110的一部分用于飞行器控制146,并且包括现有机务人员警报系统,用于以高度组织化并严格控制的协议来提供警告、提示、示警(advisory)和状态消息,以便确保飞机驾驶抢和机舱乘务员仅接收熟悉格式的警报和状态消息。额外的维护诊断、恢复和修补信息通过现有维护数据存储和报告系统可用于维护组。飞机故障消息被分类为三个基本级别警报、状态和维护。每一级别与故障、系统失败或非正常条件相关联。当警报级別消息(警告、提示或示警)被通告(annunciate)给飞行组时,他们可能被要求执行特定的非正常程序或飞行操纵(maneuver)。状态消息被用来通告影响飞机调度的故障。状态消息与飞行组程序没有关联。由维护数据存储和报告系统产生的维护消息只用于诊断和修补目的,并且不被显示在引擎指示和机务人员警报系统(EICAS)上,或者它们也不被用来确定用于调度的飞机适航性。它们用于维护计划和发现并修理故障。引擎指示和机务人员警报系统(EICAS)是一个集成系统,用于向飞行器机务人员提供飞行器《1擎和其他系统使用仪器以及机务人员通告。EICAS通常包括各种引擎参数的使用仪器,所述引擎参数包括例如RPM、温度值、燃料流及数量、和油压。EICAS监视的典型其他飞行器系统例如是水压、气压、电气、防冻、环境和控制表面系统。由于EICAS对遍及飞机上的系统具有较高的连通性,因此EICAS提供数据获取和路由。警报消息包括关键时刻警告、警告、提示和示警,并且符合基于飞行组注意的紧迫性和飞行组响应的紧迫性的优先级等级结构。关键时间警告用于以下条件需要立即飞行组注意和立即飞行组响应来维持飞机的立即安全操作。警告用于下列条件需要立即飞行组注意和立即飞行组响应。提示用于以下条件需要立即飞行组注意和随后的飞行组响应。示警用于以下条件需要飞行组注意,并且可能需要随后的飞行组响应。备忘录(memo)消息通告某些手动配置的飞机系统的正常状态,因为那些备忘录消息不被认为是机务人员警报,而是相反它们支持正常的飞机搡作。状态消息表示已经发生了影响飞机适航性的故障。状态消息不被认为是机务人员警报,而是相反它们支持调度确定。维护系统指示包括维护消息,表示已经检测到飞机操作员可以修#卜的故障。它们不用来指示飞行重要功能(criticalfunction)的损失或适航性的损失。维护系统指示也包括维护备忘录,指示在系统中已经检测到一个或多个故障,引起系统将会成为影响飞机调度的系统失败。其他飞机驾驶舱效果(FDE)包括表示有效显示数据的损失或功能损失的标记、表示被选参数中的异常的超过数(exceedance).、和语音听觉及视觉感知。在飞机起飞前期间,需要检查警报和状态消息以及日志簿条目以便针对可调度性检验飞机适航性。这种检查可以通过维护组、飞行组、飞机调度员或者这三者的组合来完成。至少一些EICAS警报消息在飞机起飞前期间正常地显示,但是往往不识别影响飞机的调度的故障。另外,许多飞机系统在飞机起飞前期间关闭或不被使用,从而阻止这些系统中的实时故障被感测。ADN110中的故障和异常情况也被集成到现有维护数据存储和报告系统,因此起源于ADN110中的警报、状态和维护消息通过现有飞行器警报和警告协议以标准和熟悉的方式#1发送到飞行组。飞机上的专业网络和系统管理服务极端地限于并且被假设为在传统的信息技术层面上不存在。这种复杂的网络环境在许多安全领域中会导致可怕的安全问题。ADN110的安全包括三种类别的应对措施保护、4佥测和响应。'因为单单保护通常被公认为不能确保网络能够无限期地免于有目的攻击,因此AND110能够在攻击发生时识别它们(包括可被已知为攻击的先兆的异常行为),并且具有应对它们的可用范围的响应,包括关闭网络。安全功能被实现为对于预期的攻击方法,及时进行检测,以便在危及保护之前使得精确的响应可行。当采取安全功能的行动影响飞机飞行安全或者需要维护行动时,本发明的实施例提供一种用于通知和示警乘务员正确的行动课程而不需要计算机安全方面的特,朱培训的方法。ADN110的各种使用规定对安全侵犯的响应是坚固的并且递增的。例如,作为对简单试探(probe)的响应而拒绝向满是乘客的机抢提供网络服务是不太合理的(并且甚至引起拒绝服务攻击),虽然如果这样的试探来自特殊座位,则拒绝向该座位提供服务是合理的。甚至更糟糕的是由于在乘客网络中起源的行为而拒绝向机务人员提供网络访问。以关注的服务影响来形成响应,并且在整体关闭之前尝试更低级的影响响应。关闭整个网络是一种可用的防御措施,但是被用作最后的解救手段。在拒绝服务作为响应时,优先级是关闭对特定端口的特定服务,关闭对整个网络或者网络一部分的特定服务,完全关闭物理端口(例如座位),关闭或者隔离网络的各部分(例如,将IFE网络与飞机网络的剩余部分隔离),关闭整个网络。在示例性实施例中,机务人员服务具有在乘客服务之上的优先级。例如,拒绝向机务人员提供服务比拒绝向乘客提供服务更严重。拒绝向飞行组提供服务通常比拒绝向机舱组或维护组提供服务也更严重。机外团体对网络访问的优先级将部分取决于机外服务人员的远程访问是否是恢复和修补服务的一部分。对于连接到陆地因特网的空中网络,借助于地面管理人员,明显更复杂的响应是可能的。乘务员是飞机上的直接人力介入的主要手段。恢复程序限于对特定功能或组件的简单物理或逻辑复位操作,以避免乘务员的重大分心或者网络系统范围内广泛培训的需要性。所述操作被包含在例如操作或者故障隔离程序之类的程序中。图2是可以在飞行器100(图1中所示)中使用的前面板机务人员警报显示器200的正视图。在示例性实施例中,前面板机务人员警报显示器200包括机长警告和提示灯202,用于通告关键时刻警告、警告和提示警报。EICAS警报消息字段204被用来显示警告、提示和示警警报消息、通信警报消息、和备忘录消息。状态消息被显示在STAT显示器208上的状态消息字段206中。图3是可以在飞行器100(图1中所示)中使用的向航空公司人员警报潜在飞行器数据网络安全破坏的示例性方法300的流程图。方法300包括检测302飞行器数据网络上的潜在网络攻击;基于检测到的攻击中飞行器安全性的递增严重性组成,对所述攻击分类304。方法300也包括基于所述攻击的类别和所述攻击的影响严重性确定306飞行组对所述攻击的响应;和通过飞行器的现有维护数据存储和报告系统向飞行组警报308所述攻击和所确定的响应。方法300开发了对安全系统失败的报告要求,并且将安全故障归类于为飞行器存在的故障报告等级结构。方法300将网络安全消息和警报耦合到现有维护故障(尤其在车辆中),其中支持工作人员不出现,机务人员必须应付故障。机务人员的首要功能是驾驶飞机,而不必应付安全破坏;地面上的支持工作人员可以对安全警报进行更适当的响应。方法300进一步描述了一种用于在用来收集硬件和维护信息数据的现有系统上主持(host)安全警报的处理,并且方法300仅显示使飞行组必须注意的那些消息,以便减轻飞行器机务人员的工作量。下列表1和表2描述了各种网络安全数据或事件的维护效果和/或飞机驾驶舱效果。根据它们对于飞行器的安全飞行和适航性的相对威胁,来评估并且相应地分类安全事件。至少一些事件不主张(warrant)对飞机驾驶舱人员进行通知,而其他事件表示可能危害飞行器的飞行的严重攻击。基于现有维护数据存储和报告系统以熟悉的表现形式向飞机驾驶舱机务人员显示被分类的事件。<table>tableseeoriginaldocumentpage11</column></row><table><table>tableseeoriginaldocumentpage12</column></row><table>表2<table>tableseeoriginaldocumentpage12</column></row><table>应的条件。条件的严重或警告消息-通过检测述消息。报告该条件的系性和所需的响应立即系统被报告给机务人员统确定什么时候清除了该性在警报或警告之间警报系统条件。有区别。上述的方法和系统提供了使用已证明的维护途径提供安全性报告性能好处(benefit)来报告潜在安全威胁的机制,由于上述的方法和系统适合机身制造商及它们的客户两者具有的现有处理,从而不需要开发并培训其他方法。上述用于设置机务人员警报的方法符合实践。另外,对飞行组人员进行示警以便警报他们飞行中的特定乘客行为,从而允许在乘客下飞机之前在地面上准备法律实施或者其他响应。上述的用于向航空公司人员警报潜在飞行器数据网络安全破坏的方法和系统是有成本效益的并且可靠性高。该网络检测潜在破坏,并且对与现有维护数据报告系统递增优先级协议一致的破坏进行分类。该方法以及时的方式向飞机驾驶抢人员通知网络安全威胁,同时以有成本效益且可靠的方式简单记录维护组估计飞4亍后(post-flight)的次要特性(minornature)的潜在破坏。尽管鉴于各种特定实施例已经描述了本发明,但是本领域的普通技术人员将会意识到本发明可以用在权利要求的精神和范畴之内的修改来实践。1权利要求1.一种用于向航空公司人员警报潜在飞行器数据网络安全破坏的方法,其中该航空公司人员包括飞行组人员和维护组人员中的至少一个,所述方法包括检测和分类潜在飞行器数据网络安全破坏;和在飞行器的现有维护数据存储和报告系统内记录所述潜在飞行器数据网络安全破坏。2.如权利要求1的方法,其中所述检测和分类潜在飞行器数据网络安全破坏包括使用状态消息来分类检测到的影响相关飞行器调度的飞行器数据网络安全故障或失败,所述状态消息可由飞行器维护组读取,所述状态消息不需要操作飞行器的飞行组采取动作。3.如权利要求1的方法,其中所述检测和分类潜在飞行器数据网络安全破坏包括使用示警消息来分类检测到的表示成功飞行器数据网络攻击的异常情况,所述示警消息向飞行组通知飞行中的特殊乘客行为。4.如权利要求3的方法,其中所述分类检测到的表示成功飞行器数据网络攻击的异常情况包括对飞行器数据网络中攻击起源地的特定连接进行定位,并且禁止该特定连接。5.如权利要求4的方法,其中所述对飞行器数据网络中攻击起源地的特定连接进行定位包括向执法人员警报潜在犯罪行为。6.如权利要求l的方法,其中所述检测和分类潜在飞行器数据网络安全破坏包括使用提示消息来分类检测到的表示安全相关系统或功能降低的异常情况,所述提示消息向飞行组人员通知飞行器的预备程序和潜在性改道。7.如权利要求1的方法,其中所述检测和分类潜在飞行器数据网络安全破坏包括将检测到的要求即刻飞行组人员动作以确保飞行器安全的事件分类为警告消息,所述警告消息向飞行组人员通知进行飞行器即刻着陆的紧急程序。8.—种操作飞行器的数据网络的方法,其中该数据网络至少包括飞行器控制部分、航空公司操作业务部分、乘客娱乐部分和乘客所有物品部分,至少一个部分包括到地面网络的接口,所述方法包括检测飞行器数据网络上的潜在网络攻击;基于检测到的攻击中飞行器安全性的递增严重性组成,来分类攻击;基于攻击的类别,确定飞行组对攻击的响应;和通过飞行器的现有机务人员警报系统,向飞行组警^^攻击和所确定的响应。9.如权利要求8的方法,还包括在现有维护数据存储和报告系统上显示维护诊断和恢复响应信息。10.如权利要求8的方法,其中所述确定飞行组响应包括确定在特定端口关闭特定服务是否将隔离攻击。11.如权利要求8的方法,其中所述确定飞行组响应包括确定对一部分网络关闭特定服务是否将隔离攻击。12.如权利要求8的方法,其中所述确定飞行组响应包括确定完全关闭物理端口是否将隔离攻击。13.如权利要求8的方法,其中所述确定飞行组响应包括确定完全关闭一部分网络是否将隔离攻击。14.如权利要求8的方法,其中所述确定飞行组响应包括通过用于恢复服务的场外服务人员,允许接入到飞行器数据网络。15.如权利要求8的方法,还包括确定攻击的对象。16.—种飞行器数据网络系统,该飞行器数据网络系统通信地耦接到飞行器的现有机务人员警报和维护数据存储及报告系统,所述飞行器数据网络包括多个网络部分,每个部分包括相关联的网络安全级别;通信地耦接到所述飞行器数据网络的模块,所述模块适用于检测飞行器数据网络上的潜在网络攻击;基于检测到的攻击中飞行器安全性的递增严重性组成,来分类攻击;基于攻击的类别和攻击源的位置,确定飞行组对攻击的响应;和通过飞行器的现有机务人员警报系统,向飞行组警报攻击和所确定的响应。17.如权利要求16的系统,其中所述模块被进一步配置成在现有维护数据存储和报告系统上显示维护诊断和恢复响应信息。18.如权利要求16的系统,其中所述飞行器数据网络至少包括飞行器控制部分、航空公司服务部分和乘客所有物品部分,至少一个部分包括到地面网络的接口。19.如权利要求16的系统,其中所述模块被进一步配置成确定在特定端口关闭特定服务是否将隔离攻击。20.如权利要求16的系统,其中所述模块被进一步配置成确定对一部分网络关闭特定服务是否将隔离攻击。21.如权利要求16的系统,其中所述模块被进一步配置成从检测到的攻击中基于威胁飞行器安全的递增严重性的方案,来分类攻击。22.如权利要求16的系统,其中所述模块被进一步配置成对飞行器数据网络中攻击起源地的特定连接进行定位,并且禁止该特定连接。全文摘要提供了一种用于向航空公司人员警报潜在飞行器数据网络安全破坏的方法和系统。所述航空公司人员包括飞行组人员和维护组人员中的至少一个。该方法包括检测和分类潜在飞行器数据网络安全破坏;和在飞行器的现有机务人员警报以及维护数据存储和报告系统内记录所述潜在飞行器数据网络安全破坏。文档编号H04L29/06GK101523854SQ200780037516公开日2009年9月2日申请日期2007年8月7日优先权日2006年10月6日发明者查尔斯·D·罗亚尔蒂申请人:波音公司