监管链信息中的异常检测的制作方法

监管链信息中的异常检测的制作方法
【专利摘要】本发明涉及监管链信息中的异常检测。一种方法包括接收和在第一交通工具的第一软件部分的修改相关的第一交通工具日志数据。该方法也包括接收第一地面系统的第一地面日志数据。所述第一地面日志数据表明关于所述第一软件部分的第一监管链信息。该方法进一步包括基于基线数据分析所述第一交通工具日志数据和所述第一地面日志数据从而检测异常。该方法也包括响应检测到异常而发送通知。
【专利说明】监管链信息中的异常检测

【技术领域】
[0001] 本公开一般涉及监管链信息中的异常检测。

【背景技术】
[0002] 许多商业飞行器包括为航空公司减少操作员成本、改善安全性并提高操作效率的 机载数据联网和数字通信系统。航空公司内的功能组织可以相互并与飞行器制造商紧密工 作，从而计划并实施有益于飞行器的安全性和完整性的策略。监管机构可以要求航空公司 生成并定期检查飞行器日志，所述飞行器日志记录对每一架飞行器做出的改变。为大型机 群检查飞行器日志是非常繁重的。一些航空公司可能并未配备信息技术资源和技术复杂度 来定期从事飞行器日志数据检查，例如从而确保符合安全要求、监管要求或该两者。即使对 于具有信息技术资源和技术成熟度来定期检查飞行器日志的航空公司，该检查是繁重且昂 贵的（例如，按照熟练操作员分析飞行器日志数据和地面系统日志数据所需要的小时）。


【发明内容】

[0003] 本申请公开一种分析飞行器日志数据和地面系统日志数据，从而检测监管链信息 中异常的系统和方法。交通工具的电子系统可以使用软件应用程序为各种操作和功能提供 逻辑或控制。软件应用程序可以作为软件部分对待。软件部分的例子包括机载维护系统应 用程序、时间管理器应用程序、网络服务器交叉接口、飞行输入数据输出功能、机载数据加 载功能、电子飞行包数据管理器、终端无线局域网单元网关链路认证器、无线上行链路和下 行链路诊断管理器、健康管理器、机载维护系统、支持和维护系统管理器，以及飞行输入数 据输出诊断管理器。地面系统和交通工具（例如飞行器）可以为所述交通工具维护与软件 部分的监管链关联的日志。地面系统的例子包括维护计算机系统。地面系统可以记录和地 面系统日志中软件部分的修改（例如安装、删除、升级、更新或类似操作）相关的信息。例 如当软件部分由地面系统从另一装置（例如另一地面系统）接收时，当软件部分由地面系 统转发到另一装置（例如交通工具或另一地面系统）时，当和软件部分相关的修改请求由 地面系统接收时，当和软件部分相关的修改请求由地面系统发送时，或其组合。当软件部分 由交通工具接收时，当修改请求由交通工具接收时，当软件部分在交通工具的计算机中被 修改（例如安装、删除、升级、更新或类似操作）时，或其任意组合，交通工具（例如飞行器） 也可以在交通工具日志中记录和软件部分相关的信息。另外，交通工具可以在交通工具日 志中记录在不同时间的交通工具状态。在地面系统日志、交通工具日志或该两者中记录的 和软件部分相关的信息可以表明发送装置的标识符、接收装置的标识符、时间、日期、位置、 如何发起软件部分的修改、谁发起或授权修改、在修改期间的飞行器状态、其他信息或其组 合。
[0004] 为检测异常的目的，基于特定交通工具上的软件正常修改（例如，没有已检测异 常的修改）生成基线数据。基线数据可以基于安全要求生成（或在生成后修改）。基线数 据可以包括和由一个或更多个地面系统在交通工具修改的软件部分或多于一个部分相关 的监管链信息。基线数据可以用来比较特定交通工具日志信息和地面系统日志信息从而检 测异常。因此，日志检查以改善交通工具日志检查效率和有效性的方式被自动化。
[0005] 所公开的实施例可以接收地面系统日志和交通工具日志，并基于基线数据分析地 面系统日志和交通工具日志从而检测监管链信息中的异常。例如，异常可以表明地面系统 发送软件部分（或修改请求）到交通工具和交通工具接收软件部分（或修改请求）之间的 持续时间超过由基线数据表明的阈值持续时间。作为另一例子，异常可以表明在接收软件 部分（或修改请求）时交通工具的状态不匹配由基线数据表明的预期状态。作为另一例 子，异常可以表明在交通工具修改软件部分的修改状态不匹配由基线数据表明的预期修改 状态。因此，分析可以将航空公司的飞行器检查过程自动化，并可以使得能够检测监管链信 息中的异常（例如基于安全要求）。
[0006] 在具体实施例中，一种方法包括接收和在交通工具的软件部分的修改相关的交通 工具日志数据。该方法也包括接收地面系统的地面日志数据。地面日志数据表明关于软件 部分的监管链信息。该方法进一步包括基于基线数据分析交通工具日志数据和地面日志数 据从而检测异常。该方法也包括响应于检测到异常而发送通知。
[0007] 在另一具体实施例中，一种系统包括处理器和存储器。存储器存储指令，指令在由 处理器执行时导致处理器执行包括接收和在交通工具的软件部分的修改相关的交通工具 日志数据的操作。操作也包括接收地面系统的地面日志数据。地面日志数据表明关于软件 部分的监管链信息。操作进一步包括基于基线数据分析交通工具日志数据和地面日志数据 从而检测异常。操作进一步包括响应于检测到异常而发送通知。
[0008] 在另一具体实施例中，计算机可读存储装置存储指令，指令在由处理器执行时导 致处理器执行包括接收和在交通工具的软件部分的修改相关的交通工具日志数据的操作。 操作也包括接收地面系统的地面日志数据。地面日志数据表明关于软件部分的监管链信 息。操作进一步包括基于基线数据分析交通工具日志数据和地面日志数据从而检测异常。 操作也包括响应于检测到异常而发送通知。
[0009] 因此，具体实施例基于基线数据分析交通工具日志数据和地面日志数据从而检测 异常。例如，异常可以表明由交通工具接收的软件部分（或修改请求）没有由地面系统在 由基线数据表明的阈值持续时间内发送。交通工具日志数据和地面日志数据的检查可以自 动化，从而检测与软件部分关联的监管链信息中的异常。日志的自动检查可以改善效率并 减少与日志检查关联的成本。
[0010] 在另一实施例中，一种方法包括接收和在第一交通工具的第一软件部分的修改相 关的第一交通工具日志数据，接收第一地面系统的第一地面日志数据，该第一地面日志数 据表明关于第一软件部分的第一监管链信息，基于基线数据分析第一交通工具日志数据和 第一地面日志数据从而检测异常，并且响应于检测到异常而发送通知。
[0011] 所述方法包括其中第一监管链信息包括与事件关联的时间戳或与事件关联的标 识符中的至少一个。
[0012] 所述方法进一步包括其中事件包括以下至少一个：第一地面系统从第一装置接收 第一软件部分，或第一地面系统转发第一软件部分到第二装置。
[0013] 所述方法进一步包括其中标识符包括事件标识符、装置标识符、软件部分标识符、 硬件部分标识符、用户标识符、维护计算机标识符、交通工具标识符或地面系统标识符中的 至少一个。
[0014] 所述方法进一步包括基于在第一交通工具日志数据和第一地面日志数据的每一 个内包括的共同事件、第一交通工具日志数据的第一时间戳和第一地面日志数据的第二时 间戳，将第一交通工具日志数据与第一地面日志数据同步，其中第一时间戳和第二时间戳 与共同事件关联，执行已同步化的第一交通工具日志数据和已同步化的第一地面日志数据 的比较，并且基于已同步化的第一交通工具日志数据和已同步化的第一地面日志数据的比 较生成第一数据集。
[0015] 所述方法进一步包括鉴别已同步化的第一交通工具日志数据的第一事件，其中该 第一事件与第一标识符关联，并鉴别已同步化的第一地面日志数据的第二事件，其中该第 二事件与第一标识符关联，其中第一数据集被生成以表明持续时间，该持续时间表明在与 第一事件关联的第一事件时间戳和与第二事件关联的第二事件时间戳之间的差。方法进一 步包括基于已同步化的第一交通工具日志数据确定在第一事件的时间时第一交通工具的 状态，其中第一数据集表明该状态。方法进一步包括基于第一数据集与基线数据的对应第 二数据集的比较检测异常。
[0016] 所述方法进一步包括其中响应于第一数据集与第二数据集的比较表明第一数据 集的第一持续时间超过第二数据集的对应第二持续时间，检测到异常。方法进一步包括其 中第一持续时间表明第一地面系统发送第一软件部分到第一交通工具和第一交通工具从 第一地面系统接收第一软件部分之间的时间差，并且其中第二持续时间表明阈值持续时 间。方法进一步包括其中响应于第一数据集与第二数据集的比较表明第一数据集的第一状 态值不对应于第二数据集的第二状态值，检测到异常，并且其中第一状态值表明在第一事 件时第一交通工具的状态。
[0017] 所述方法进一步包括其中第一交通工具包括飞行器，其中第一状态值表明第一交 通工具的第一机轮承重状态，并且其中第二状态值表明第二机轮承重状态。方法进一步包 括其中异常表明以下中的至少一个：在第一监管链信息和从第二地面系统接收的第二监管 链信息之间的间断（gap)、第一软件部分由第一地面系统乱序接收或第一软件部分由第一 地面系统乱序转发。方法进一步包括聚集审计数据，其中已聚集的审计数据包括关于异常 的数据。方法进一步包括生成基线数据或更新基线数据中的至少一个。
[0018] 在另一实施例中，一种系统包括处理器和存储指令的存储器，指令在由处理器执 行时导致处理器执行操作，这些操作包括接收和在第一交通工具的第一软件部分的修改相 关的第一交通工具日志数据，接收第一地面系统的第一地面日志数据，该第一地面日志数 据表明关于第一软件部分的第一监管链信息，基于基线数据分析第一交通工具日志数据和 第一地面日志数据从而检测异常，并且响应于检测到异常而发送通知。
[0019] 所述系统进一步包括其中所述操作进一步包括生成基线数据，这包括接收和在第 二交通工具的第二软件部分的修改相关的第二交通工具日志数据，接收第二地面日志数 据，该第二地面日志数据表明关于第二软件部分的第二监管链信息，同步第二交通工具日 志数据与第二地面日志数据，执行已同步化的第二交通工具日志和已同步化的第二地面日 志数据的比较，并且基于已同步化的第二交通工具日志数据和已同步化的第二地面日志数 据的比较生成数据集，其中该数据集表明第二软件部分的修改没有已检测的异常。
[0020] 所述操作进一步包括基于第一交通工具的第一交通工具规范和第二交通工具的 第二交通工具规范，确定第一交通工具和第二交通工具具有共同软件模块或共同硬件模块 中的至少一个，其中基于确定数据集是否对应于共同软件模块或共同硬件模块中的至少一 个，数据集被用来生成基线数据。系统进一步包括基于安全要求修改基线数据；以及基于统 计模型修改基线数据。
[0021] 存储指令的计算机可读存储装置，指令在由处理器执行时导致处理器执行操作， 这些操作包括接收和在第一交通工具的软件部分的修改相关的第一交通工具日志数据；接 收第一地面系统的第一地面日志数据，该第一地面日志数据表明关于第一软件部分的第一 监管链信息；基于基线数据分析第一交通工具日志数据和第一地面日志数据从而检测异 常；以及响应于检测到异常而发送通知。计算机可读存储装置进一步包括其中第一交通工 具包括飞行器。
[0022] 已描述的特征、功能和优点可以在各种实施例中独立实现，或可以在其他的实施 例中被组合，其进一步的细节参考以下描述和附图被公开。

【专利附图】

【附图说明】
[0023] 图1是检测监管链信息中异常的系统的具体实施例的示意图；
[0024] 图2是检测监管链信息中异常的系统的另一具体实施例的示意图；
[0025] 图3是图解将交通工具日志数据和地面日志数据同步的方法的具体实施例的流 程图；
[0026] 图4是图解生成数据集的方法的具体实施例的流程图；
[0027] 图5是图解生成基线数据的方法的具体实施例的流程图；
[0028] 图6是图解检测监管链信息中异常的方法的具体实施例的流程图；
[0029] 图7是图解检测监管链信息中异常的方法的具体实施例的流程图；
[0030] 图8是图解生成数据集的方法的具体实施例的流程图；
[0031] 图9是图解生成基线数据的方法的具体实施例的流程图；以及
[0032] 图10是检测监管链信息中异常的计算环境的具体说明性实施例的框图。

【具体实施方式】
[0033] 参考图1，其公开了检测监管链信息中异常的系统的具体实施例的图示，并一般被 指定为100。系统100可以包括耦合到地面系统104和第一交通工具102 (例如飞行器）或 与地面系统104通信的审计系统108。审计系统108也可以耦合到一个或更多个其他交通 工具106和一个或更多个其他地面系统124或与一个或更多个其他交通工具106通信。审 计系统108可以包括处理器170和存储器180。审计系统108可以包括多于一个处理器并 可以包括多于一个存储器。例如，审计系统108可以包括联网或分布式计算系统。在具体 说明性实施例中，审计系统108可以包括通信装置、个人数字助理（PDA)、移动位置数据单 元、移动电话、蜂窝电话、便携计算机、平板计算装置或其组合。这样的装置可以包括用户接 口例如触摸屏、语音识别能力或其他用户接口能力。
[0034] 存储器180可以存储可由处理器170执行从而执行各种操作的指令（例如审计系 统指令142)。例如处理器170可以执行包括接收地面系统（例如地面系统104或其他地 面系统124)的地面日志数据（例如第一地面日志数据120或其他地面日志数据132)的操 作。处理器170也可以从交通工具（例如第一交通工具102或其他交通工具106)接收交 通工具日志数据（例如第一交通工具日志数据122或其他交通工具日志数据130)。
[0035] 在具体实施例中，地面系统104可以例如从其他地面系统124接收第一软件部分 150。地面系统104可以在第一地面日志数据120中记录关于第一软件部分150的监管链 信息。监管链信息可以包括与事件关联的时间戳、与事件关联的标识符、事件状态（例如成 功或失败）、其他信息或其组合。事件的例子包括地面系统104从另一装置（例如其他地 面系统124)接收第一软件部分150、接收源自另一装置（例如其他地面系统124)的修改 请求152从而修改第一软件部分150、转发第一软件部分150到第二装置（例如第一交通 工具102、其他交通工具106或其他地面系统124)、发送修改请求152到第二装置或其组 合。与事件关联的标识符的例子包括软件部分标识符、硬件部分标识符（例如与软件部分 关联的硬件部分的标识符）、事件标识符、装置标识符（例如从其接收软件部分的装置的标 识符、软件部分被发送到的装置的标识符、软件部分在其修改的装置的标识符、维护计算机 标识符、交通工具标识符、地面系统标识符、授权或发起软件部分转移（或修改）的装置的 标识符）、位置标识符和用户标识符（例如发起或授权软件部分转移（或修改）的用户的标 识符）。
[0036] 例如，响应于从其他地面系统124接收第一软件部分150,地面系统104可以在第 一地面系统日志数据120中记录时间戳，该时间戳表明第一软件部分150何时由地面系统 104从其他地面系统124接收。地面系统104也可以记录与第一软件部分150关联的标识 符。例如，地面系统104可以记录表明第一软件部分150的软件部分标识符、表明与第一软 件部分150关联的硬件部分的硬件部分标识符、其他地面系统124的地面系统标识符、发起 或授权从其他地面系统124转移第一软件部分150的用户的标识符、发起或授权从其他地 面系统124转移第一软件部分150的装置的标识符、其他地面系统124的位置的标识符、地 面系统104的位置的标识符、第一软件部分150将被转发到的装置的标识符、其他信息或其 组合。
[0037] 地面系统104可以发送第一软件部分150到第一交通工具102、其他地面系统124 或该两者。地面系统104可以周期性发送软件部分到装置（例如第一交通工具102、其他 地面系统124或该两者），可以响应于事件（例如用户请求、源自装置的请求或接收软件部 分）发送软件部分到装置，或其组合。地面系统104可以在第一地面日志数据120中记录时 间戳，该时间戳表明第一软件部分150何时由地面系统1004发送到另一装置（例如第一交 通工具102)。地面系统104也可以记录与第一软件部分150关联的标识符。例如，地面系 统104可以记录鉴别由地面系统104发送第一软件部分150的事件的事件标识符，以及第 一交通工具102的交通工具标识符。地面系统104可以将事件标识符与第一软件部分150 一起发送到第一交通工具102。地面系统104也可以记录表明第一软件部分150的软件部 分标识符、表明第一交通工具102的与第一软件部分150关联的硬件部分的硬件部分标识 符、发起或授权转移第一软件部分150到第一交通工具102的用户的标识符、发起或授权转 移第一软件部分150到第一交通工具102的装置的标识符、第一交通工具102的位置的标 识符、地面系统104的位置的标识符、从其接收第一软件部分150的装置（例如其他地面系 统124)的标识符、其他信息或其组合。
[0038] 第一交通工具102可以从地面系统104接收第一软件部分150。第一交通工具102 可以在第一交通工具日志数据122中记录和在第一交通工具102接收第一软件部分150相 关的信息。第一交通工具日志数据122可以包括与事件关联的时间戳、与事件关联的标识 符、第一软件部分150被接收时第一交通工具102的状态、事件状态、其他信息或其组合。事 件的例子可以包括第一交通工具102从地面系统104、其他地面系统124或该两者接收第一 软件部分150。与事件关联的标识符可以包括事件标识符、装置标识符（例如从其接收软件 部分的装置的标识符、维护计算机标识符、交通工具标识符、地面系统标识符、授权或发起 软件部分转移的装置的标识符）、软件部分标识符、硬件部分标识符（例如与软件部分关联 的硬件部分的标识符）、用户标识符（例如发起或授权软件部分转移的用户的标识符）、位 置标识符，或其组合。
[0039] 地面系统104可以发送和第一软件部分150相关的修改请求152到第一交通工具 102、其他地面系统124或该两者。地面系统104可以周期性发送修改软件部分的修改请 求到装置（例如第一交通工具102、其他地面系统124或该两者），可以响应于事件（例如 用户请求、源自装置的请求、接收软件部分、接收修改软件部分的修改请求）发送在装置修 改软件部分的修改请求，或其组合。地面系统104可以在第一地面日志数据120中记录时 间戳，该时间戳表明地面系统104何时发送修改请求152到另一装置（例如第一交通工具 102)。地面系统104也可以记录与修改请求152关联的标识符。例如，地面系统104可以 记录鉴别由地面系统104发送修改请求152的事件的事件标识符，以及第一交通工具102 的交通工具标识符。地面系统104可以将事件标识符与修改请求152-起发送到第一交通 工具102。修改请求152可以表明第一软件部分150将被安装、删除、升级、更新或类似操 作。地面系统104也可以记录表明第一软件部分150的软件部分标识符、表明与第一软件 部分150关联的第一交通工具102的硬件部分的硬件部分标识符、发起或授权在第一交通 工具102修改第一软件部分150的用户的标识符、发起或授权在第一交通工具102修改第 一软件部分150的装置的标识符、第一交通工具102的位置的标识符、地面系统104的位置 的标识符、其他信息或其组合。
[0040] 第一交通工具102可以从地面系统104接收修改请求152。例如，第一软件部 分150可以在第一交通工具102的计算装置被修改（例如安装、删除、升级、更新或类似操 作）。第一交通工具102可以在第一交通工具日志数据122中记录和在第一交通工具102 修改第一软件部分150相关的信息。第一交通工具日志数据122可以包括与事件关联的时 间戳、与事件关联的标识符、第一软件部分150被接收时第一交通工具102的状态、事件状 态、其他信息或其组合。事件的例子可以包括第一交通工具102从地面系统104、其他地面 系统124或该两者接收修改请求152。与事件关联的标识符可以包括事件标识符、装置标 识符（例如修改请求从其被接收的装置的标识符、维护计算机标识符、交通工具标识符、地 面系统标识符）、软件部分标识符、硬件部分标识符（例如与软件部分关联的硬件部分的标 识符）、用户标识符（例如发起或授权软件部分的修改的用户的标识符）、位置标识符，或其 组合。在具体实施例中，地面系统104可以将修改请求152与第一软件部分150 -起发送。 在具体实施例中，发送第一软件部分150可以隐含包括发送修改请求152。例如，发送第一 软件部分150可以表明请求第一软件部分150的安装。
[0041] 例如，响应于第一软件部分150 (或修改请求152)的接收，第一交通工具102可以 记录时间戳，该时间戳表明第一软件部分150 (或修改请求152)何时由第一交通工具102 接收。作为另一例子，响应于第一软件部分150的修改（例如安装、删除、升级、更新或类似 操作），第一交通工具102可以记录时间戳，该时间戳表明第一软件部分150何时在第一交 通工具102被修改。第一交通工具102将由第一交通工具102接收的事件标识符与第一软 件部分150 (或修改请求152)，以及表明地面系统104的地面信息标识符一起记录。第一 交通工具102也可以记录表明第一软件部分150的软件部分标识符、表明与第一软件部分 150关联的第一交通工具102的硬件部分的硬件部分标识符、发起或授权第一软件部分150 转移到第一交通工具102的用户的标识符、发起或授权第一软件部分150在第一交通工具 102的修改（例如安装、删除、升级、更新或类似操作）的用户的标识符、发起或授权第一软 件部分150转移到第一交通工具102的装置的标识符、发起或授权第一软件部分150在第 一交通工具102的修改的装置的标识符、第一交通工具102的位置的标识符、第一软件部分 150从其被接收的装置（例如地面系统104)的标识符、地面系统104的位置的标识符、当第 一软件部分150 (或修改请求152)被接收时第一交通工具102的状态、当第一软件部分150 被修改时第一交通工具102的状态、第一软件部分150的修改状态（例如修改是否成功或 失败）、其他信息或其组合。
[0042] 审计系统108可以从第一交通工具102接收第一交通工具日志数据122,并可以 从地面系统104接收第一地面日志数据120。在具体实施例中，审计系统108可以周期性 接收第一交通工具日志数据122和第一地面日志数据120。在具体实施例中，审计系统108 可以响应于事件例如开始审计的用户请求，接收第一交通工具日志数据122和第一地面日 志数据120。
[0043] 审计系统108可以分析第一交通工具日志数据122和第一地面日志数据120从而 检测异常。例如，审计系统108可以基于基线数据140分析第一交通工具日志数据122和 第一地面日志数据120。在具体实施例中，地面系统104和第一交通工具102可以具有不 同时钟。在该实施例中，审计系统108可以将第一交通工具日志数据122与第一地面日志 数据120同步，从而解决第一交通工具102和地面系统104的不同时钟的问题。审计系统 108可以鉴别第一交通工具日志数据122和第一地面日志数据120中的共同事件（例如基 于共同事件标识符）。例如，共同事件可以包括地面系统104发送第二软件部分到第一交通 工具102,以及第一交通工具102接收第二软件部分。审计系统108可以确定第一地面日 志数据120包括与共同事件关联的第一时间戳，并且第一交通工具日志数据122包括与共 同事件关联的第二时间戳。例如，第一时间戳可以表明地面系统104何时（基于地面系统 104的时钟）发送第二软件部分到第一交通工具102,并且第二时间戳可以表明第一交通工 具102何时（基于第一交通工具102的时钟）从地面系统104接收第二软件部分。
[0044] 审计系统108可以生成同步化的事件数据，其中基于第一时间戳和第二时间戳， 第一交通工具日志数据122在时间上与第一地面日志数据120校准（例如同步）。例如， 审计系统108可以确定第一时间戳和第二时间戳之间的差，并可以基于该差修改第一交通 工具日志数据122、第一地面日志数据120或该两者的时间戳，以将第一交通工具日志数据 122和第一地面日志数据120同步。为说明，如果第一时间戳和第二时间戳之间的差表明 地面系统104的时钟领先第一交通工具102的时钟一小时，则审计系统108可以增加一小 时到在第一交通工具日志数据122中表明的时间戳，从而将第一交通工具日志数据122和 第一地面日志数据120同步。在另一具体实施例中，第一交通工具日志数据122和第一地 面日志数据120可以在不修改时间戳的情况下同步（例如当地面系统104和第一交通工具 102的时钟基本同步时）。
[0045] 审计系统108可以执行已同步化的第一交通工具日志数据122和已同步化的第一 地面日志数据120的比较。例如，审计系统108可以鉴别已同步化的第一交通工具日志数 据122的第一事件，并可以鉴别已同步化的第一地面日志数据120的对应第二事件。为说 明，审计系统108可以解析已同步化的第一交通工具日志数据122,并可以鉴别表明第一交 通工具102从地面系统104接收第一软件部分150 (或修改请求152)的第一事件。审计系 统108也可以解析已同步化的第一地面日志数据120,并可以鉴别表明地面系统104发送 第一软件部分150 (或修改请求152)的第二事件。审计系统108可以基于标识符确定第二 事件对应于第一事件。例如，第一事件和第二事件可以与共同标识符（例如事件标识符、软 件部分标识符、硬件部分标识符、用户标识符、装置标识符、位置标识符、另一标识符或其组 合）关联，该共同标识符包括在已同步化的第一交通工具日志数据122和已同步化的第一 地面日志数据120的每一个内。
[0046] 审计系统108可以基于已同步化的第一交通工具日志数据122和已同步化的第一 地面日志数据120的比较生成第一数据集136。例如，审计系统108可以生成包括第一持续 时间的第一数据集136,该第一持续时间表明在与第一事件关联的第一事件时间戳和与第 二事件关联的第二事件时间戳之间的差。为说明，第一持续时间可以表明地面系统104发 送第一软件部分150 (或修改请求152)到第一交通工具102时和第一交通工具102从地面 系统104接收第一软件部分150 (或修改请求152)时之间的时间差。作为另一例子，第一 持续时间可以表明地面系统104发送修改请求152到第一交通工具102时和第一交通工具 102修改第一软件部分150时之间的时间差。
[0047] 在具体实施例中，申计系统108可以基于和弟_地面系统（例如其他地面系统 124)关联的第二地面日志数据（例如其他地面日志数据132)，修改第一数据集136。例如， 审计系统108可以接收并同步其他地面日志数据132。审计系统108可以基于已同步化的 其他地面日志数据132、已同步化的第一地面日志数据120和已同步化的第一交通工具日 志数据122的分析，修改第一数据集136。例如，审计系统108可以修改第一数据集136以 包括持续时间，该持续时间表明第二地面系统（例如其他地面系统124)发送第一软件部分 150 (或修改请求152)到另一装置（例如第一交通工具102或地面系统104)时和其他装置 (例如第一交通工具102或地面系统104)从第二地面系统（例如其他地面系统124)接收 第一软件部分150 (或修改请求152)时之间的时间差。作为另一例子，审计系统108可以 修改第一数据集136以包括持续时间，该持续时间表明第二地面系统（例如其他地面系统 124)发送修改请求152到另一装置（例如第一交通工具102或地面系统104)时和第一软 件部分150在其他装置（例如第一交通工具102或地面系统104)被修改时之间的时间差。
[0048] 在具体实施例中，审计系统108可以确定（例如，基于第一交通工具日志数据122、 第一地面日志数据120、其他数据或其组合）在第一数据集136中第一事件的时间时第一交 通工具102的状态。当第一交通工具102是飞行器时，第一交通工具102状态的例子包括 机轮承重状态、倾斜状态、地速状态、空速状态、停机制动状态，以及表明第一交通工具和机 场之间距离的机场距离状态。例如，审计系统108可以确定第一交通工具日志数据122的 状态值（例如〇)表明当第一交通工具102接收第一软件部分150 (或修改请求152)时，第 一交通工具102的特定机轮承重状态（例如伪）。特定机轮承重状态（例如伪）可以表明 第一交通工具102在飞行时接收第一软件部分150 (或修改请求152)。第一交通工具日志 数据122的另一状态值（例如1)可以表明在另一时间第一交通工具102的另一特定机轮 承重状态（例如真）。例如，其他特定机轮承重状态（例如真）可以表明当第一软件部分 150 (或修改请求152)被接收时第一交通工具102在地面上。审计系统108可以在第一数 据集136中包括表明在第一事件时第一交通工具102状态的数据。例如，审计系统108可以 修改第一数据集136,从而表明当第一交通工具102接收第一软件部分150时、当第一交通 工具102接收修改请求152时或第一软件部分150在第一交通工具102被修改时，第一交 通工具102的特定机轮承重状态。作为另一例子，审计系统108可以修改第一数据集136， 从而表明第一软件部分150在第一交通工具102被修改时第一交通工具102的状态。作为 另一例子，审计系统108可以修改第一数据集136,从而表明在第一交通工具102的软件部 分150的修改状态。为说明，修改的状态可以表明第一软件部分150是否成功修改，或修改 是否失败。修改的状态可以表明在修改期间是否检测到任何错误（或警告），以及关于错误 (或警告）的信息。
[0049] 审计系统108可以比较第一数据集与基线数据140的对应第二数据集138,从而确 定是否在第一数据集136中存在异常。在具体实施例中，基线数据140的第二数据集138可 以包括日志数据和与软件部分的修改对应的其他数据（例如阈值或预期范围），而无任何 已检测的异常。例如，第二数据集138可以表明在地面系统发送软件部分（或修改请求）到 另一装置（例如交通工具或另一地面系统）和其他装置（例如交通工具或其他地面系统） 接收软件部分（或修改请求）之间的阈值持续时间。为说明，第二数据集138可以包括在地 面系统发送软件部分（或修改请求）到另一装置（例如交通工具或另一地面系统）和其他 装置（例如交通工具或其他地面系统）接收软件部分（或修改请求）之间的最大阈值持续 时间、最小阈值持续时间或该两者。作为另一例子，第二数据集138可以表明在地面系统发 送修改请求到另一装置（例如交通工具或另一地面系统）和软件部分在其他装置（例如交 通工具或其他地面系统）被修改之间的阈值持续时间。为说明，第二数据集138可以包括 在地面系统发送修改请求到另一装置（例如交通工具或另一地面系统）和软件部分在其他 装置（例如交通工具或其他地面系统）被修改之间的最大阈值持续时间、最小阈值持续时 间或该两者。作为另一例子，第二数据集138可以指示/表明当交通工具接收软件部分时、 当交通工具接收修改请求时、当软件部分在交通工具处被修改时或其组合时交通工具的预 期状态。作为另一例子，第二数据集138可以表明预期转移顺序，例如从第一地面系统到第 二地面系统并然后到交通工具。作为另一例子，第二数据集138可以表明特定用户（或装 置）、具有特定授权级别的用户（或装置）、在特定位置的用户（或装置）或其组合可以授 权或发起软件部分的转移（或修改）。
[0050] 当第一数据集136与第二数据集138的比较表明第一数据集136具有至少一个非 预期值时，可以检测到第一数据集136中的异常。例如，审计系统136可以响应于确定在地 面系统104发送第一软件部分150 (或修改请求152)到另一装置（例如第一交通工具102 或另一地面系统）时和其他装置（例如第一交通工具102或另一地面系统）接收第一软件 部分150 (或修改请求152)时之间的第一持续时间超过由第二数据集138表明的最大阈值 持续时间，或第一持续时间低于由第二数据集138表明的最小阈值持续时间，检测到异常。 作为另一例子，审计系统108可以响应于确定在地面系统104从另一装置（例如另一地面 系统）接收第一软件部分150 (或修改请求152)时和其他装置（例如其他地面系统）发送 第一软件部分150 (或修改请求152)时之间的第二持续时间超过由第二数据集138表明的 最大阈值持续时间，或第二持续时间低于由第二数据集138表明的最小阈值持续时间，检 测到异常。
[0051] 作为另一例子，审计系统108可以响应于确定在地面系统104发送修改请求152 到另一装置（例如第一交通工具102或另一地面系统）时和第一软件部分150在其他装置 (例如第一交通工具102或另一地面系统）被修改时之间的第一持续时间超过由第二数据 集138表明的最大阈值持续时间，或第一持续时间低于由第二数据集138表明的最小阈值 持续时间，检测到异常。
[0052] 作为另一例子，审计系统108可以响应于确定第一交通工具102的状态表明第一 交通工具102的特定机轮承重状态（例如伪）不与由第二数据集138表明的预期机轮承重 状态（例如真）对应，检测到异常。作为另一例子，审计系统108可以响应于确定第一软件 部分150的修改状态（例如失败）不与由第二数据集138表明的预期修改状态（例如成 功）对应，检测到异常。
[0053] 作为另一例子，审计系统108可以响应于确定第一软件部分150 (或修改请求152) 的转移顺序不与由第二数据集138表明的预期转移顺序对应，检测到异常。为说明，审计系 统108可以响应于确定地面系统发送第一软件部分150 (或修改请求152)到不与由第二数 据集138的预期转移顺序表明的第二装置对应的另一装置（例如交通工具102或另一地面 系统）、地面系统从不与由第二数据集138的预期转移顺序表明的第二装置对应的另一装 置（例如另一地面系统）接收第一软件部分150 (或修改请求152)，或第一交通工具102 从不与由第二数据集138的预期转移顺序表明的第二装置对应的另一装置（例如地面系统 104或另一地面系统）接收第一软件部分150 (或修改请求152)，检测到异常。
[0054] 作为另一例子，审计系统108可以响应于确定在监管链中存在间断而检测到异 常。为说明，审计系统108可以确定第一数据集136表明另一装置（例如另一地面系统） 发送第一软件部分150 (或修改请求152)到地面系统104并且不表明地面系统104从其他 装置接收第一软件部分150 (或修改请求152)，表明地面系统104从另一装置（例如另一 地面系统）接收第一软件部分150 (或修改请求152)但不表明其他装置发送第一软件部分 150 (或修改请求152)到地面系统104,表明地面系统104发送第一软件部分150 (或修改 请求152)到另一装置（例如交通工具102或另一地面系统）并且不表明其他装置从地面 系统104接收第一软件部分150 (或修改请求152)，或表明另一装置（例如交通工具102或 另一地面系统）从地面系统104接收第一软件部分150 (或修改请求152)并且不表明地面 系统104发送第一软件部分150 (或修改请求152)到其他装置。
[0055] 作为另一例子，审计系统108可以响应于确定第一软件部分150的转移（或修改） 由不与第二数据集138表明的预期用户（或装置）对应的用户（或装置）授权或发起，检 测到异常。审计系统108可以响应于检测到异常而发送通知。例如，审计系统108可以发 送关于异常的消息（例如到用户、到另一装置或该两者）、显示关于异常的警报（例如在输 出装置）或该两者。
[0056] 在具体说明性实施例中，审计系统108可以基于其他异常数据148生成或修改第 一数据集136,其他异常数据148表明在另一装置（例如其他交通工具106)中检测到特定 异常。为说明，审计系统108可以确定其他异常数据148表明在其他交通工具106的监管 链信息中检测到特定异常。响应于其他异常数据148,审计系统108可以生成或修改第一数 据集136从而使得能够在第一交通工具102的监管链信息中检测特定异常，或促进检测该 特定异常。例如，审计系统108可以修改第一数据集136从而包括数据，该数据仅和与在其 他交通工具106中检测到的特定异常关联的那些事件相关。为说明，异常可以和在其他交 通工具106的特定软件部分（例如第一软件部分150)的修改相关。审计系统108可以修 改第一数据集136从而包括数据，该数据仅和与在第一交通工具102的第一软件部分150 的修改关联的事件相关。
[0057] 作为另一例子，其他异常数据148可以表明响应于确定当其他交通工具106具有 特定状态时软件部分（或修改请求）由其他交通工具106接收，检测到特定异常。基于其 他异常数据148,审计系统108可以生成或修改第一数据集136,从而包括当第一交通工具 102接收第一软件部分150 (或修改请求152)时第一交通工具102的状态。作为另一例子， 其他异常数据148可以表明响应于确定当其他交通工具106具有特定状态时软件部分由其 他交通工具106修改，检测到特定异常。基于其他异常数据148,审计系统108可以生成或 修改第一数据集136,从而包括当第一软件部分150在第一交通工具102被修改时第一交通 工具102的状态。作为另一例子，其他异常数据148可以表明响应于确定在其他交通工具 106的软件部分的修改导致特定修改状态，检测到特定异常。基于其他异常数据148,审计 系统108可以生成或修改第一数据集136,从而包括第一软件部分150在第一交通工具102 的修改导致的修改状态。
[0058] 在具体说明性实施例中，审计系统108可以聚集审计数据。例如，审计系统108 可以聚集审计数据，该审计数据和特定交通工具（例如第一交通工具102或其他交通工具 106)、特定地面系统（例如地面系统104或其他地面系统124)、特定软件部分（例如第一软 件部分150)、交通工具的特定类型（例如基于模型、制造年份、制造商、发动机数等）、特定 时间范围、特定位置（例如机场）或其组合相关。为说明，审计系统108可以聚集和在特定 航空公司的机群中包括的交通工具相关的审计数据。已聚集的审计数据可以包括关于异常 的数据。审计系统108可以发送关于已聚集审计数据的消息（例如到用户、到另一装置或 该两者），可以显示已聚集审计数据（例如在输出装置）或该两者。
[0059] 在具体说明性实施例中，审计系统108可以生成基线数据140。基线数据140可以 包括第二数据集138而在无任何已检测的异常，该第二数据集138表示在交通工具（例如 其他交通工具106)的软件部分（例如其他软件部分160)的修改。审计系统108可以基于 其他交通工具日志数据130和其他地面日志数据132生成基线数据140的第二数据集138， 如参考图2进一步描述。审计系统108可以基于安全要求146、交通工具规范数据144或该 两者修改基线数据140,如参考图2进一步描述。第二数据集138可以表明在其他交通工具 106的其他软件部分160的修改没有已检测的异常。在具体实施例中，第二数据集138可以 表示在第一交通工具102的第二软件部分的修改。在具体实施例中，第二数据集138可以 包括已聚集数据。例如，基于在与第一交通工具102相同类型的其他飞行器的修改，第二数 据集138可以包括预期时间范围、预期交通工具状态或该两者。
[0060] 因此，审计系统108可以使得能够在交通工具日志数据和地面系统日志数据中进 行异常检测，该异常检测包括监管链信息。审计系统108可以从第一交通工具102接收第 一交通工具日志数据122,并可以从地面系统104接收第一地面日志数据120。审计系统 108可以基于基线数据140分析第一交通工具日志数据122和第一地面日志数据120从而 检测异常。因此审计系统108可以自动检查第一地面日志数据120和第一交通工具日志数 据122,从而检测与第一软件部分150关联的监管链信息中的异常。日志的自动检查可以减 少与日志检查关联的时间、成本或该两者。
[0061] 参考图2,其示出检测监管链信息中异常的系统的具体实施例图示并一般指定为 200。系统200按照功能模块图解并描述。在各种实施例中，功能模块中的一个或更多个可 以实施为在计算机可读介质（例如硬盘驱动器、存储器）上存储的指令。指令可以由一个或 更多个处理器执行。在具体实施例中，一个或更多个功能模块的功能可以实施为电路。电 路可以包括现场可编程门阵列（FPGA)器件、专用集成电路（ASIC)、处理单元例如中央处理 单元（CPA)、控制器、固件装置或另一硬件装置。
[0062] 系统100的功能模块可以包括预处理模块220、异常检测模块222、聚集模块224、 通知模块266、特征创造模块210、特征选择模块212、模型拟合模块214或其组合。模块可 以相互通信以处理日志数据从而检测异常。在具体实施例中，图1的审计系统108可以包 括一个或更多个模块。系统200可以包括基线概况数据216。在具体实施例中，基线概况数 据216可以对应于图1的基线数据140。
[0063] 预处理模块220可以接收飞机网络系统和安全日志202。飞机网络系统和安全日 志202可以是图1的第一交通工具日志数据122的特殊例子。预处理模块220也可以接收 地面系统应用日志204。地面系统应用日志204可以是图1的第一地面日志数据120的特 殊例子。预处理模块220可以将飞机网络系统和安全日志202与地面系统应用日志204同 步，从而将第一交通工具日志数据122和第一地面日志数据120同步，如参考图1描述的。 在具体实施例中，预处理模块220可以发送已同步化的第一交通工具日志数据122和已同 步化的第一地面日志数据120到特征创造模块210。特征创造模块210可以基于比较第一 交通工具日志数据122和第一地面日志数据120,生成第一数据集136。特征创造模块210 可以发送第一数据集136到异常检测模块222。另外，异常检测模块222可以接收基线概 况数据216 (例如图1的基线数据140)。异常检测模块222可以基于第一数据集136与基 线数据140的第二数据集138的比较来检测异常。聚集模块224可以基于由聚集模块224 从异常检测模块222接收的关于异常的信息聚集审计数据。响应于从聚集模块224接收已 聚集的审计数据，通知模块226可以发送关于异常的消息（例如到用户、到另一装置或该两 者）、显示关于异常的通知（例如在输出装置）或该两者。
[0064] 在具体说明性实施例中，异常检测模块222可以基于在另一交通工具中检测到的 异常206,生成或修改第一数据集136。例如，异常206可以对应于在图1的其他异常数据 148中检测的异常。异常检测模块222可以修改第一数据集136从而包括仅和与异常206 关联的那些事件相关的数据。在第一数据集136中仅包括和已知异常（例如异常206)相 关的事件可以提高确定第一数据集136是否包括已知异常（例如异常206)的效率、减小该 确定的成本或该两者。确定第一数据集136是否包括特定异常可以是时敏的，并且可以不 需要详尽日志检查。例如，当第一交通工具102是飞行器，并且飞行器适航性取决于第一数 据集136是否表明在与所述飞行器相同类型的另一飞行器中检测到的已知异常（例如异常 206)时，仅基于与已知异常（例如异常206)关联的事件的日志检查可以节省有价值的资 源。为说明，当没有检测到已知异常时飞行器可以以及时方式被公告适航，或当检测到已知 异常时可以以及时方式采取预防措施。
[0065] 在具体说明性实施例中，系统200可以生成基线数据140。基线数据140可以包 括第二数据集138而无任何已检测的异常，该第二数据集138表示在第二交通工具（例如 其他交通工具106)的软件部分（例如其他软件部分160)的修改。例如，预处理模块220 可以接收第二交通工具日志数据（例如其他交通工具日志数据130)，并可以接收第二地面 日志数据（例如其他地面日志数据132)。预处理模块220可以将第二交通工具日志数据 和第二地面日志数据同步。特征创造模块210可以基于已同步化的第二交通工具日志数据 和已同步化的第二地面日志数据的比较，生成基线数据140。例如，特征创造模块210可以 基于其他交通工具日志数据130和其他地面日志数据132的比较，生成基线数据140的第 二数据集138。特征创造可以指（或包括）机器学习过程（例如可以基于评估指标修改基 线数据140)。例如，特征创造模块210可以基于在具有一组特定异常的测试日志数据中检 测到的异常来修改基线数据140。为说明，基线数据140可以被修改，从而检测到特定百分 比的该组特定异常、检测到特定类型的异常或其组合。作为另一例子，特征创造模块210可 以基于检测异常的结果随时间修改基线数据140。结果可以包括与每一个事件关联的若干 异常、异常分数、事件分数或其组合。异常分数（或事件分数）可以表明已检测异常（或事 件）的相关性。事件的事件分数可以基于和事件关联的异常的异常分数，并可以基于和事 件关联的异常的数量。例如，事件分数可以是和事件关联的异常的异常分数之和。在具体 实施例中，异常分数可以基于用户输入（例如用户可以分派特定相关性分数到已检测的异 常）。在具体实施例中，异常分数可以基于响应于检测到异常而采取的行动。例如，当忽略 (例如，如由用户选择忽略选项表明的）已检测的异常时，低异常分数可以被分派到已检测 的异常。另一方面，当响应于已检测的异常生成通知时，高异常分数可以被分派到已检测的 异常。异常分数可以是与已检测异常关联的异常分数的加权和。例如，更近的异常分数可 以被分派比更早异常分数高的权重。低事件分数可以表明事件具有表明异常（例如，与事 件关联的低数量的已检测异常、与事件关联的异常近来没有检测到，或该两者）的低可能 性，可以表明事件具有低相关性（例如与事件关联的大量异常已经被忽略），或该两者。特 征创造模块210可以修改基线数据140从而基于事件分数排除某些事件。例如，特征创造 模块210可以从基线数据140移除具有低事件分数的事件。因此基线数据140可以随时间 被修改从而包括导致高数量已检测异常的事件，包括与具有高相关性的已检测异常关联的 事件，排除（或移除）与具有低相关性的已检测异常关联的事件，排除（或移除）导致低数 量已检测异常的事件，或其组合。自动日志检查可以随时间变得更有效，导致节省时间和成 本。
[0066] 特征选择模块212可以修改基线数据140。例如，特征选择模块212可以基于安全 要求254(例如图1的安全要求146)修改第二数据集138。为说明，安全要求254可以表 明在地面系统发送软件部分（或修改请求）到交通工具和交通工具从地面系统接收软件部 分（或修改请求）之间的阈值持续时间。特征选择模块212可以修改第二数据集138从而 包括由安全要求254表明的阈值持续时间。作为另一例子，安全要求254可以表明在地面 系统发送修改请求到交通工具和软件部分在交通工具被修改之间的第二阈值持续时间。特 征选择模块212可以修改第二数据集138从而包括由安全要求254表明的第二阈值持续时 间。作为另一例子，安全要求254可以表明当交通工具接收软件部分时、当交通工具接收修 改请求时、当软件部分在交通工具被修改时或其组合时交通工具的特定预期状态。例如，安 全要求254可以表明当软件部分由交通工具接收时，交通工具的机轮承重状态应具有特定 预期值。特征选择模块212可以修改第二数据集138从而包括交通工具的特定预期状态。 [0067] 作为另一例子，特征选择模块212可以基于交通工具的硬件和软件规范250,以及 其他交通工具的硬件和软件规范和其他交通工具的已选择特征252,或其组合，来修改第二 数据集138。在具体实施例中，交通工具的硬件和软件规范250对应于或包括图1的交通 工具规范数据144的第一交通工具规范，并且其他交通工具的硬件和软件规范和其他交通 工具的已选择特征252对应于或包括交通工具规范数据144的第二交通工具规范。第一交 通工具规范可以表明与第一交通工具102关联的软件模块、硬件模块或该两者，并且第二 交通工具规范可以表明与另一交通工具（例如其他交通工具106)关联的软件模块、硬件模 块或该两者。特征选择模块212可以比较第一交通工具规范和第二交通工具规范，从而确 定第一交通工具102和其他交通工具106是否具有共同软件模块、共同硬件模块或该两者。 特征选择模块212可以修改第二数据集138,从而包括与共同软件模块、共同硬件模块或该 两者对应的事件。例如，与其他交通工具106关联的异常可以已被检测，并且基于共同软件 模块、共同硬件模块或该两者修改第二数据集138可以使得能够检测与第一交通工具102 关联的相似异常。
[0068] 在具体说明性实施例中，模型拟合模块214可以基于统计模型修改基线数据140。 例如，统计模型可以表明使用平均值（例如均值、中值或模式值）。为说明，模型拟合模块 214可以计算在其他地面系统124发送多个软件部分（或修改请求）到其他交通工具106 和其他交通工具106接收软件部分（或修改请求）之间的第一平均持续时间。作为另一例 子，模型拟合模块214可以计算在其他地面系统124发送多个修改请求到其他交通工具106 和对应软件部分在其他交通工具106被修改之间的第二平均持续时间。审计系统108可以 修改第二数据集138从而将第一平均值表明为第一阈值持续时间、将第二平均值表明为第 二阈值持续时间，或该两者。作为另一例子，统计模型可以使用表明第二数据集138中变化 的数据，例如标准偏差数据。审计系统108可以确定第一变化，该第一变化与发送多个软件 部分（或修改请求）到其他交通工具106的其他地面系统124和接收软件部分（或修改请 求）的其他交通工具106关联。作为另一例子，审计系统108可以确定第二变化，该第二变 化与发送多个修改请求到其他交通工具106的其他地面系统124和在其他交通工具106被 修改的对应软件部分关联。审计系统108可以基于第一变化修改第二数据集138的第一阈 值持续时间，基于第二变化修改第二数据集138的第二阈值持续时间，或该两者。已生成基 线数据140可以对应于基线概况数据216。
[0069] 因此，系统200可以使得能够在交通工具日志数据和地面系统数据中进行异常检 测，该异常检测包括监管链信息。图1的第一交通工具日志数据122和第一地面日志数据 120可以基于基线数据140被分析，从而检测与在第一交通工具102的第一软件部分150关 联的监管链信息中的异常。基线数据140可以基于安全要求被修改。另外或可替换地，基 线数据140可以基于与第一交通工具102-样的，包括共同硬件部分、共同软件部分或该两 者的另一交通工具被修改。因此，自动日志检查可以被动态更新从而确定是否满足安全要 求。另外，自动日志检查可以被更新，从而包括与第一交通工具102和另一交通工具（例如 已为其检测异常的交通工具）之间的共同部分（例如硬件、软件或该两者）关联的事件。
[0070] 参考图3,其示出将交通工具日志数据和地面日志数据同步的方法的具体实施例 的流程图并一般指定为300。图3的方法300可以由图1的审计系统108、图2的预处理模 块220或该两者执行。
[0071] 方法300可以包括在302获得飞机日志数据。获得飞机日志数据可以包括从存储 器检索飞机日志数据、从另一装置经数据通信接收飞机日志数据或该两者。例如，图1的审 计系统108可以从第一交通工具102接收第一交通工具日志数据122。
[0072] 方法300也可以包括在304从下个地面系统获得地面日志数据。获得地面日志数 据可以包括从存储器检索地面日志数据、从另一装置经数据通信接收地面日志数据或该两 者。例如，图1的审计系统108可以从地面系统104接收第一地面日志数据120。
[0073] 方法300可以进一步包括在306确定飞机日志数据和地面日志数据是否包括共同 事件。例如，图1的审计系统108可以，例如基于在第一交通工具日志数据122和第一地面 日志数据120的每一个中包括的标识符，确定第一交通工具日志数据122和第一地面日志 数据120是否包括共同事件。
[0074] 在306没有共同事件时，方法300可以包括在312确定是否所有地面系统已被处 理。例如，响应于确定第一交通工具日志数据122和第一地面日志数据120之间没有共同 事件，审计系统108可以确定是否由审计系统108将考虑的所有地面系统（例如其他地面 系统124)的地面日志数据已被处理。
[0075] 当所有地面系统在312没有被处理时，方法300可以转到304。例如，审计系统108 可以从其他地面系统124接收其他地面日志数据132。当所有地面系统在312已被处理时， 方法300可以在314结束。
[0076] 在306具有共同事件时，方法300可以包括在308在特定时间窗口期间选择一个 共同事件。例如，审计系统108可以选择事件，该事件对应于地面系统104发送软件部分 (例如第一软件部分150)到第一交通工具102和第一交通工具102从地面系统104接收软 件部分。时间窗口可以基于将被同步的第一交通工具日志数据120的一部分来确定，可以 在先前日志检查中使用的时间窗口后，或可以是用户指定的。
[0077] 方法300也可以包括在310计算时间差异并调整从而为已选择的共同事件同步。 例如，审计系统108可以计算在第一交通工具日志数据122的第一时间戳和第一地面日志 数据120的第二时间戳之间的持续时间。第一时间戳和第二时间戳可以对应于已选择的共 同事件。审计系统108可以基于持续时间调整第一交通工具日志数据122、第一地面日志数 据120或该两者的时间戳。方法300可以转到312。因此方法300可以用来将第一交通工 具日志数据122和地面日志数据（例如第一地面日志数据120、其他地面日志数据132或该 两者）的时序事件同步。
[0078] 参考图4,其示出生成数据集的方法的具体说明性实施例的流程图并一般指定为 400。在具体实施例中，方法400可以由图1的审计系统108执行。在具体实施例中，方法 400可以由图2的预处理模块220、特征创造模块210、特征选择模块212、模型拟合模块214 或其组合执行。
[0079] 方法400可以包括在404解析已处理数据。例如，图2的预处理模块220可以解 析飞机网络系统和安全日志202(例如图1的其他交通工具日志数据130)与地面系统应用 日志204 (例如其他地面日志数据132)。解析可以包括分析飞机网络系统和安全日志202 与地面系统应用日志204从而生成已处理数据，该已处理数据鉴别飞机网络系统和安全日 志与地面系统应用日志204的逻辑组件。逻辑组件的例子包括事件类型、时间戳、标识符、 交通工具状态和修改状态。事件类型的例子包括发送软件部分、接收软件部分、发送软件部 分的修改请求、接收软件部分的修改请求和软件部分的修改（例如安装、删除、升级、更新 或类似操作）。标识符的例子包括软件部分标识符、硬件部分标识符（例如与软件部分关 联的硬件部分的标识符）、事件标识符、装置标识符（例如软件部分（或修改请求）从其被 接收的装置的标识符、软件部分（或修改请求）被发送到的装置的标识符、维护计算机标识 符、交通工具标识符、地面系统标识符、授权或发起软件部分（或修改）的转移的装置的标 识符）、位置标识符和用户标识符（例如发起或授权软件部分（或修改）的转移的用户的标 识符）。飞机网络系统和安全日志202与地面系统应用日志204可以基于规则（例如语法 规则）被分析。例如，规则可以表明如何可以由预处理模块220鉴别逻辑组件。为说明，规 则可以表明特定字符表明和特定事件相关的数据的开始、另一特定字符表明和特定事件相 关的数据的结束、时间戳格式、标识符格式、事件类型格式、交通工具状态格式、修改状态格 式或其组合。基于规则，预处理模块220可以确定在和特定事件相关的数据中鉴别的事件 类型、时间戳、标识符、交通工具状态、修改状态或其组合与特定事件关联。
[0080] 方法400可以对应于特征创造，如参考图1的特征创造模块210描述的。方法400 可以由图1的审计系统108、图2的特征创造模块210或该两者执行。方法400可以对应于 基于分析日志生成特征的机器学习过程。
[0081] 例如，特征创造可以包括基于在日志中包括的标识符生成特征。方法400可以包 括在406确定已处理数据是否包括任何标识符。例如，图2的特征创造模块210可以确定 与其他交通工具日志数据130和其他地面日志数据132对应的已处理数据是否包括任何标 识符。在406已处理数据不包括任何标识符时，方法400可以转到414。
[0082] 基于标识符生成特征可以包括鉴别与日志中包括的每一个标识符关联的事件。例 如，在406已处理数据包括标识符时，方法400可以包括在408寻找与每一个标识符关联的 事件。为说明，已处理数据可以表明其他交通工具日志数据130包括其他软件部分160的 标识符。特征创造模块210可以寻找与标识符关联的事件，例如与其他地面系统124发送 其他软件部分160到其他交通工具106关联的事件、与其他交通工具106接收其他软件部 分160关联的事件、与其他地面系统124发送修改请求从而修改其他软件部分160关联的 事件、与其他交通工具106接收修改请求关联的事件、与其他软件部分160在其他交通工具 106被修改关联的事件，或其组合。
[0083] 基于标识符生成特征可以包括鉴别与每一个标识符类型关联的所有事件类型。事 件类型的例子可以包括发送软件部分、接收软件部分、发送修改请求、接收修改请求、软件 部分的修改（例如安装、删除、升级、更新或类似操作）或其组合。标识符类型的例子包括 软件部分标识符类型、硬件部分标识符类型、事件标识符类型、装置标识符类型、位置标识 符类型和用户标识符类型。例如，方法400可以包括在410为每一个标识符类型汇编关联 事件的所有类型列表。为说明，特征创造模块210可以基于和其他软件部分160相关的数 据，汇编与软件部分标识符类型关联的所有事件类型的列表。例如，和其他软件部分160相 关的数据可以表明接收其他软件部分160、发送其他软件部分160、接收修改请求从而修改 其他软件部分160、发送修改请求和修改其他软件部分160。基于和其他软件部分160相关 的数据，特征创造模块210可以生成事件类型的列表（例如接收软件部分事件类型、发送软 件部分事件类型、接收修改请求事件类型、发送修改请求事件类型、修改事件类型），事件类 型的每一个都可以与软件部分标识符类型关联。
[0084] 特征创造可以包括将与每一个标识符类型关联的事件类型发送到特征选择模块。 方法400可以包括在412将基于所有事件类型的列表的第一日志特征发送到特征选择模块 212。例如，特征创造模块210可以基于发送到特征选择模块212的事件类型列表，生成图 1的第二数据集138。为说明，第二数据集138可以包括描述与软件部分标识符类型关联的 事件类型的列表。第二数据集138也可以包括和与软件部分标识符类型关联的事件类型相 关的数据。例如，第二数据集138可以基于在其他地面系统124发送其他软件部分160到 其他交通工具106和其他交通工具106接收其他软件部分160之间的持续时间，表明在发 送和接收软件部分之间的阈值持续时间。作为另一例子，第二数据集138可以基于在其他 地面系统124发送修改其他软件部分160的修改请求到其他交通工具106和其他交通工具 106接收修改请求之间的持续时间，表明在发送和接收修改请求之间的阈值持续时间。作为 另一例子，第二数据集138可以基于在其他地面系统124发送修改请求到其他交通工具106 和其他软件部分160在其他交通工具106被修改之间的持续时间，表明在发送修改请求和 软件部分被修改之间的阈值持续时间。特征创造模块210可以发送第二数据集138到特征 选择模块212。
[0085] 作为另一例子，特征创造可以包括基于状态变量生成特征。方法400可以包括在 414确定已处理数据是否包括任何状态变量。例如，特征创造模块210可以基于已处理数 据，确定是否其他交通工具日志数据130包括表明其他交通工具106的状态的任何变量。交 通工具状态的例子包括机轮承重状态、倾斜状态、地速状态、空速状态、停机制动状态，以及 表明第一交通工具和机场之间距离的机场距离状态，或其组合。作为另一例子，特征创造模 块210可以基于已处理数据，确定其他交通工具日志数据130是否包括表明与在其他交通 工具106修改其他软件部分160关联的修改状态的任何变量。当在414已处理数据不包括 任何状态变量时，方法400可以在420结束。
[0086] 基于状态变量生成特征可以包括鉴别与每一个状态变量关联的所有值。例如，在 414已处理数据包括状态变量时，方法400可以包括在416寻找与每一个状态变量关联的所 有值。为说明，其他交通工具日志数据130可以表明在第一时间其他交通工具106的机轮 承重状态的第一值（例如真）。其他交通工具日志数据130可以表明在第二时间其他交通 工具106的机轮承重状态的第二值（例如伪）。特征创造模块210可以寻找与交通工具机 轮承重状态关联的第一值和第二值。作为另一例子，其他交通工具日志数据130可以表明 与在第一时间在其他交通工具106修改其他软件部分160关联的修改状态的第一值（例如 成功）。其他交通工具日志数据130可以表明与在第二时间在其他交通工具106修改其他 软件部分160关联的修改状态的第二值（例如失败）。特征创造模块210可以寻找与关联 交通工具的修改状态关联的第一值和第二值。
[0087] 特征创造可以包括发送与每一个状态变量关联的值到特征选择模块。方法400可 以包括在418将基于与每一个状态变量关联的值的第二日志特征发送到特征选择模块。例 如，特征创造模块210可以生成或修改第二数据集138从而表明与其他交通工具106的机 轮承重状态关联的值（例如真和伪）。第二数据集138也可以表明在基于其他软件部分160 被接收时其他交通工具106的机轮承重状态，软件部分被接收时与交通工具的机轮承重状 态关联的预期值。作为另一例子，特征创造模块210可以生成或修改第二数据集138从而 表明与关联其他交通工具106的修改状态关联的值（例如成功或失败）。第二数据集138 也可以表明当基于当其他软件部分160修改时其他交通工具106的修改状态，软件部分被 修改时与关联交通工具的修改状态关联的预期值。特征创造模块210可以发送第二数据集 138到特征选择模块212。方法400可以在420结束。
[0088] 参考图5,其示出生成基线数据的方法的具体说明性实施例的流程图并一般指定 为500。方法500可以由审计系统108、图2的特征选择模块212或该两者执行。特征可以 经选择以基于交通工具是否与另一交通工具一样具有共同硬件模块或与另一交通工具一 样具有共同软件模块、基于安全要求或该两者，生成基线数据。例如，与其他交通工具关联 的异常可以已被检测，并且日志检查的目的可以是验证是否存在异常，该异常和交通工具 (例如第一交通工具102)与其他交通工具具有的共同硬件或软件模块相关。日志检查的另 一目的可以是验证是否满足安全要求。
[0089] 方法500可以包括在502接收或访问数据。数据可以包括交通工具硬件和软件规 范250、其他飞机规范和其他交通工具的已选择特征252、安全要求254或其组合。
[0090] 方法500可以包括在504基于交通工具硬件和软件规范250与其他交通工具的规 范和已选择特征252,确定是否存在共同硬件和/或软件模块。例如，特征选择模块212可 以基于交通工具规范数据144,确定是否存在第一交通工具102和其他交通工具106的每 一个的共同硬件和/或软件模块。在504不存在共同硬件或软件模块时，方法500可以在 512结束。
[0091] 在504存在共同硬件或软件模块时，方法500可以包括在508确定是否存在对应 于共同硬件模块或共同软件模块的任何日志特征。该确定可以基于从特征创造模块接收的 第一和/或第二日志特征506。例如，特征选择模块212可以确定第二数据集138是否包括 对应于共同硬件和/或软件模块的数据。在508不存在日志特征时，方法500可以在512 结束。
[0092] 在508存在对应于共同硬件模块、共同软件模块或该两者的日志特征时，方法500 可以包括在510添加日志特征用于可能的模型拟合。例如，当从特征创造模块接收的第一 和/或第二日志特征506 (例如第二数据集138或第二数据集138的一部分）对应于共同 硬件和/或软件模块时，可以添加第一和/或第二日志特征506到基线数据140用于模型 拟合。方法500可以在512结束。
[0093] 参考图6,其示出检测监管链信息中异常的方法的具体实施例的流程图并一般指 定为600。方法600可以由审计系统108、图2的异常检测模块222或该两者执行。交通工 具和一个或更多个地面系统的日志可以被检查并分析从而检测和软件部分相关的监管链 信息中的任何异常。分析可以基于基线数据，例如基线数据可以表明要被分析的特征和预 期值。
[0094] 方法600可以包括在602接收和在交通工具的软件部分的修改相关的交通工具日 志数据。例如图1的审计系统108可以接收第一交通工具日志数据122。第一交通工具日 志数据122可以和在第一交通工具102的第一软件部分150的修改相关。
[0095] 方法600也可以包括在604接收地面系统的地面日志数据。地面日志数据可以表 明关于软件部分的监管链信息。例如图1的审计系统108可以从地面系统104接收第一地 面日志数据120。第一地面日志数据120可以表明关于第一软件部分150的监管链信息。
[0096] 方法600可以进一步包括在606生成基线数据。例如图1的审计系统108可以基 于其他交通工具日志数据130和其他地面日志数据132生成基线数据140。
[0097] 方法600也可以包括在608基于基线数据分析交通工具日志数据和地面日志数据 从而检测异常。例如，图1的审计系统108可以基于基线数据140分析第一交通工具日志 数据122和第一地面日志数据120从而检测异常。为说明，审计系统108可以检测第一持 续时间超过由基线数据140表明的阈值持续时间，该第一持续时间在地面系统104发送第 一软件部分150到第一交通工具102和第一交通工具102从地面系统104接收第一软件部 分150之间。
[0098] 方法600可以进一步包括在610聚集数据，其中已聚集审计数据包括关于异常的 数据。例如，图1的审计系统108可以例如通过软件部分聚集审计数据。为说明，已聚集审 计数据可以表明与接收第一软件部分150的多个交通工具关联的异常。已聚集审计数据可 以包括关于与第一交通工具102关联的已检测的异常的数据。
[0099] 方法600也可以包括在612响应于异常发送通知。例如，审计系统108可以发送 关于异常的消息（例如到用户、到另一装置或该两者）、显示关于异常的警报（例如在输出 装置）或该两者。
[0100] 参考图7,其示出检测监管链信息中异常的方法的具体实施例的流程图并一般指 定为700。在具体实施例中，方法700可以对应于图6的操作608。
[0101] 方法700可以包括在702基于在交通工具日志数据和地面日志数据的每一个内包 括的共同事件、交通工具日志数据的第一时间戳和地面日志数据的第二时间戳，将交通工 具日志数据与地面日志数据同步。第一时间戳和第二时间戳可以与共同事件关联。例如， 图1的审计系统108可以基于第一交通工具日志数据122的第一时间戳和第一地面日志数 据120的第二时间戳，同步第一交通工具日志数据122和第一地面日志数据120。第二时间 戳可以对应于何时地面系统104发送软件部分到第一交通工具102的时间，并且第一时间 戳可以对应于何时第一交通工具102从地面系统104接收软件部分。
[0102] 方法700也可以包括在704执行已同步化的交通工具日志数据和已同步化的地面 日志数据的比较。例如，图1的审计系统108可以比较已同步化的第一交通工具日志数据 122和已同步化的第一地面日志数据120。
[0103] 方法700可以进一步包括在706基于已同步化的交通工具日志数据和已同步化的 地面日志数据的比较，生成第一数据集。例如，审计系统108可以基于已同步化的第一交通 工具日志数据122和已同步化的第一地面日志数据120的比较，生成第一数据集136。
[0104] 方法700也可以包括在708基于第一数据集与基线数据的对应第二数据集的比较 来检测异常。例如，审计系统108可以基于第一数据集136和第二数据集138的比较来检 测异常。
[0105] 参考图8,其示出生成数据集的方法的具体实施例的流程图并一般指定为800。在 具体实施例中，方法800可以对应于图7的操作706。
[0106] 方法800可以包括在802鉴别已同步化的第一交通工具日志数据的第一事件，其 中第一事件与第一标识符关联。例如，审计系统108可以鉴别已同步化的第一交通工具日 志数据122的事件，其与第一交通工具102从地面系统104接收第一软件部分150对应。已 鉴别事件可以与事件标识符关联。
[0107] 方法800也可以包括在804鉴别已同步化的第一地面日志数据的第二事件，其中 第二事件与第一标识符关联。可以生成第一数据集从而包括持续时间，该持续时间表明在 与第一事件关联的第一事件时间戳和与第二事件关联的第二事件时间戳之间的差。例如， 审计系统108可以鉴别与事件标识符关联的已同步化的第一地面日志数据120的事件，该 事件与地面系统104发送第一软件部分150到第一交通工具102对应。审计系统108可以 生成第一数据集136,从而表明在与已同步化的第一交通工具日志数据122的事件关联的 时间戳和与第一地面日志数据120的事件关联的时间戳之间的持续时间。
[0108] 方法800可以进一步包括在806基于已同步化的第一交通工具日志数据确定在第 一事件时第一交通工具的状态，其中第一数据集表明该状态。例如，审计系统108可以确定 在从地面系统104接收第一软件部分150时第一交通工具102的机轮承重状态。审计系统 108可以更新第一数据集136从而表明机轮承重状态（例如伪）。
[0109] 参考图9,其示出生成基线数据的方法的具体实施例的流程图并一般指定为900。 在具体实施例中，方法900可以对应于图6的操作606。
[0110] 方法900可以包括在902接收安全要求。例如，图1的审计系统108可以接收图 1的安全要求146。
[0111] 方法900也可以包括在904接收交通工具日志数据。例如，图1的审计系统108 可以从其他交通工具106接收其他交通工具日志数据130。
[0112] 方法900可以进一步包括在906接收地面日志数据。例如，图1的审计系统108 可以从其他地面系统124接收其他地面日志数据132。
[0113] 方法900也可以包括在908将交通工具日志数据和地面日志数据同步。例如，图1 的审计系统108可以基于与第一事件关联的其他交通工具日志数据130的第一时间戳，以 及与对应第二事件关联的其他地面日志数据132的第二时间戳，将其他交通工具日志数据 130和其他地面日志数据132同步。
[0114] 方法900可以进一步包括在910执行已同步化的交通工具日志数据和已同步化的 地面日志数据的比较。例如，图1的审计系统108可以执行已同步化的其他交通工具日志 数据130和已同步化的其他地面日志数据132的比较。
[0115] 方法900也可以包括在912基于已同步化的交通工具日志数据和已同步化的地面 日志数据的比较生成数据集。例如，图1的审计系统108可以基于已同步化的其他交通工 具日志数据130和已同步化的其他地面日志数据132的比较生成第二数据集138。
[0116] 方法900可以转到918或914。在914,方法900可以包括基于第一交通工具规范 和第二交通工具规范，确定第一交通工具和第二交通工具具有共同软件或共同硬件模块中 的至少一个。例如，图1的审计系统108可以包括基于交通工具规范数据144,确定第一交 通工具102和其他交通工具106是否具有共同软件、共同硬件模块或该两者。
[0117] 方法900可以进一步包括在916确定数据集对应于共同软件模块、共同硬件模块 或该两者。例如，审计系统108可以确定第二数据集138对应于共同软件模块、共同硬件模 块或该两者。方法900可以转到918。
[0118] 方法900可以进一步包括在918使用数据集生成基线数据。例如，审计系统108 可以使用第二数据集138生成基线数据140。
[0119] 方法900也可以包括在920基于安全要求修改基线数据。例如，审计系统108可 以基于安全要求146修改基线数据140。
[0120] 方法900可以进一步包括在922基于统计模型修改基线数据。例如，审计系统108 可以基于统计模型修改基线数据140。
[0121] 图10是计算环境1000的框图，其包括通用计算装置1010,从而支持根据本公开的 计算机实施的方法和计算机可执行程序指令（或代码）的实施例。例如，计算装置1010或 其部分可以执行指令以分析交通工具日志数据、地面系统日志数据或该两者，从而检测监 管链信息中的异常。在另一例子中，计算装置1010或其部分可以执行指令从而接收和在交 通工具的软件部分的修改相关的交通工具日志数据、接收地面系统的地面日志数据、生成 基线数据、基于基线数据分析交通工具日志数据和地面日志数据从而检测异常、聚集审计 数据以及响应于异常而发送通知。在具体实施例中，计算装置1010可以包括图1的审计系 统108或与其一起包括或与其对应。
[0122] 计算装置1010可以包括处理器1020。在具体实施例中，处理器1020可以对应于 图1的处理器170。在计算装置1010内，处理器1020可以与存储器1030、一个或更多个存 储装置1040、一个或更多个输入/输出接口 1050、一个或更多个通信接口 1060或其组合通 ?目。
[0123] 存储器1030可以包括易失性存储器装置（例如随机存取存储器（RAM)装置）、非 易失性存储器装置（例如只读存储器（ROM)装置、可编程只读存储器和闪存存储器）或该 两者。在具体实施例中，存储器1030可以对应于图1的存储器180。存储器1030可以包括 操作系统1032,该操作系统1032可以包括用于起动计算装置1010和整个操作系统的基本 输入/输出系统，从而使得计算装置1010能够与用户、其他程序和其他装置交互。存储器 1030可以包括一个或更多个应用程序1034,例如审计系统应用程序，如可执行从而检测监 管链信息中异常的应用程序。存储器1030可以包括由处理器1020可执行的指令1036,例 如检测监管链信息中异常的审计系统指令142。存储器1030可以包括基线数据140、第一 数据集136、第二数据集138、其他异常数据148、安全要求146、交通工具规范数据144、审计 系统指令142或其组合。
[0124] 处理器1020也可以与一个或更多个存储装置1040通信。例如一个或更多个存储 装置1040可以包括非易失性存储装置如磁盘、光盘或闪存存储器装置。存储装置1040可 以包括可移除和不可移除存储器装置。存储装置1040可以经配置存储操作系统、应用程序 和程序数据。在具体实施例中，存储器1030、存储装置1040或该两者包括有形的、永久的计 算机可读介质。
[0125] 处理器1020也可以与一个或更多个输入/输出接口 1050通信，该输入/输出接 口 1050使得计算装置1010能够与一个或更多个输入/输出装置1070通信从而促进用户交 互。输入/输出接口 1050可以包括串行接口（例如通用串行总线（USB)接口或IEEE11094 接口）、并行接口、显示适配器、音频适配器和其他接口。输入/输出装置1070可以包括键 盘、定点装置、显示器、扬声器、话筒、触摸屏和其他装置。处理器1020可以基于经输入/输 出接口 1050接收的用户输入检测交互事件。另外，处理器1020可以经输入/输出接口 1050 发送显示到显示装置。
[0126] 处理器1020可以经一个或更多个通信接口 1060与其他计算机系统1080通信。一 个或更多个通信接口 1060可以包括有线以太网接口、IEEE802无线接口、蓝牙通信接口或 其他网络接口。其他计算机系统1080可以包括主机、服务器、工作站和其他计算装置。例 如，其他计算机系统1080可以包括图1的第一交通工具102、图1的地面系统104、图1的 其他交通工具106、图1的其他地面系统124或其组合。在具体实施例中，数据（例如基线 数据140、第一数据集136、第二数据集138、其他异常数据148、安全要求146、交通工具规范 数据144、图1的第一交通工具日志数据122、图1的其他交通工具日志数据130、图1的第 一地面日志数据120、图1的其他地面日志数据132或其组合）可以被分发。在具体实施 例中，图2的一个或更多个模块可以包括在一个或更多个计算装置中，数据（例如基线数据 140、第一数据集136、第二数据集138、其他异常数据148、安全要求146、交通工具规范数据 144、图1的第一交通工具日志数据122、图1的其他交通工具日志数据130、图1的第一地 面日志数据120、图1的其他地面日志数据132或其组合）可以包括在一个或更多个计算装 置中，或该两者。
[0127] 因此，在具体实施例中，计算机系统能够检测监管链信息中的异常。例如，指令 1036可以由处理器1020执行从而接收和在交通工具的软件部分的修改相关的交通工具日 志数据、接收地面系统的地面日志数据、生成基线数据、基于基线数据分析交通工具日志数 据和地面日志数据从而检测异常、聚集审计数据以及响应于异常发送通知。
[0128] 上述实施例说明但不限制本公开。要理解的是，根据本公开的原理的许多修改和 变化是可能的。
[0129] 在此描述的实施例的说明意图提供各种实施例结构的整体了解。该说明不意味着 是利用在此描述的结构或方法的设备和系统的所有元素和特征的完整描述。对于审阅本公 开的本领域技术人员，许多其他的实施例是显而易见的。可以利用并可从本公开中获得其 他实施例，以至于可以做出结构和逻辑置换和改变而不背离本公开的范围。例如，方法步骤 可以以在与图中示出不同的顺序执行，或可以省略一个或更多个方法步骤。因此，本公开和 附图将被认为是说明性的而非约束性的。
[0130] 此外，尽管在此说明并描述特定实施例，但是认识到被设计以实现相同或相似结 果的任何后续布置可以代替示出的特定实施例。本公开意图覆盖各种实施例的任何与全部 后续改编或变化。上面实施例的组合与没有在此特定描述的其他实施例对查看本说明的本 领域技术人员将是显而易见的。
[0131] 提交本公开的摘要，理解其不用于解释或限制权利要求的范围或含义。另外，在前 面详细描述中，出于本公开流畅性的目的，各种特征可以聚合在一起或在单独实施例中描 述。本公开不解释为反映所要求保护实施例需要比每一个权利要求中明确陈述的特征多的 特征的意图。相反，如以下权利要求反映的，所要求保护的主题可以针对少于所公开的任何 实施例的所有特征。
【权利要求】
1. 一种方法，包括： 接收和在第一交通工具的第一软件部分的修改相关的第一交通工具日志数据； 接收第一地面系统的第一地面日志数据，所述第一地面日志数据表明关于所述第一软 件部分的第一监管链信息； 基于基线数据分析所述第一交通工具日志数据和所述第一地面日志数据从而检测异 常；以及 响应于检测到所述异常发送通知。
2. 根据权利要求1所述的方法，其中所述第一监管链信息包括与事件关联的时间戳或 与所述事件关联的标识符中的至少一个。
3. 根据权利要求2所述的方法，其中所述事件包括所述第一地面系统从第一装置接收 所述第一软件部分或所述第一地面系统转发所述第一软件部分到第二装置中的至少一个。
4. 根据权利要求2所述的方法，其中所述标识符包括事件标识符、装置标识符、软件部 分标识符、硬件部分标识符、用户标识符、维护计算机标识符、交通工具标识符或地面系统 标识符中的至少一个。
5. 根据权利要求1-4中的任何一个所述的方法，其进一步包括： 基于在所述第一交通工具日志数据和所述第一地面日志数据的每一个内包括的共同 事件、所述第一交通工具日志数据的第一时间戳和所述第一地面日志数据的第二时间戳， 将所述第一交通工具日志数据与所述第一地面日志数据同步，其中所述第一时间戳和所述 第二时间戳与所述共同事件关联； 执行已同步化的第一交通工具日志数据和已同步化的第一地面日志数据的比较；以及 基于已同步化的第一交通工具日志数据和已同步化的第一地面日志数据的所述比较 生成第一数据集。
6. 根据权利要求5所述的方法，进一步包括： 鉴别所述已同步化的第一交通工具日志数据的第一事件，其中所述第一事件与所述第 一标识符关联；以及 鉴别所述已同步化的第一地面日志数据的第二事件，其中所述第二事件与所述第一标 识符关联， 其中生成所述第一数据集从而表明持续时间，所述持续时间表明在与所述第一事件关 联的第一事件时间戳和与所述第二事件关联的第二事件时间戳之间的差。
7. 根据权利要求5-6中的任何一个所述的方法，进一步包括以下至少一个：基于所述 已同步化的第一交通工具日志数据确定在所述第一事件的时间时所述第一交通工具的状 态，其中所述第一数据集表明所述状态，或基于所述第一数据集与所述基线数据的对应第 二数据集的比较检测所述异常。
8. 根据权利要求1-8中的任何一个所述的方法，其中所述异常表明在所述第一监管链 信息和从第二地面系统接收的第二监管链信息之间的间断、所述第一软件部分由所述第一 地面系统乱序接收或所述第一软件部分由所述第一地面系统乱序转发中的至少一个。
9. 一种系统，其包括： 处理器；以及 存储器，所述存储器存储指令，所述指令在由所述处理器执行时导致所述处理器执行 操作，所述操作包括： 接收和在第一交通工具的第一软件部分的修改相关的第一交通工具日志数据； 接收第一地面系统的第一地面日志数据，所述第一地面日志数据表明关于所述第一软 件部分的第一监管链信息； 基于基线数据分析所述第一交通工具日志数据和所述第一地面日志数据从而检测异 常；以及 响应于检测到所述异常而发送通知。
10. 根据权利要求9所述的系统，其中所述操作进一步包括生成所述基线数据，其包 括： 接收和在第二交通工具的第二软件部分的修改相关的第二交通工具日志数据； 接收第二地面日志数据，所述第二地面日志数据表明关于所述第二软件部分的第二监 管链信息； 将所述第二交通工具日志数据与所述第二地面日志数据同步； 执行已同步化的第二交通工具日志和已同步化的第二地面日志数据的比较；以及 基于所述已同步化的第二交通工具日志数据和所述已同步化的第二地面日志数据的 所述比较生成数据集，其中所述数据集表明所述第二软件部分的所述修改没有已检测的异 堂 巾。
11. 根据权利要求10所述的系统，其中所述操作进一步包括基于所述第一交通工具的 第一交通工具规范和第二交通工具的第二交通工具规范，确定所述第一交通工具和所述第 二交通工具具有共同软件模块或共同硬件模块中的至少一个，其中所述数据集被用来基于 确定所述数据集是否对应于所述共同软件模块或所述共同硬件模块中的至少一个，生成所 述基线数据。
12. 根据权利要求10所述的系统，其中所述操作进一步包括： 基于安全要求修改所述基线数据；以及 基于统计模型修改所述基线数据。
【文档编号】G06F17/30GK104123334SQ201410168001
【公开日】2014年10月29日 申请日期:2014年4月24日 优先权日:2013年4月24日
【发明者】M·李, M·L·本森 申请人:波音公司