Chaire de cyberdéfense des systèmes navals
  • Thèses ouvertes
  • Thèses en cours
  • Gouvernance
  • Équipe encadrante
  • Actualités
  • Alumni
  • Qui sommes-nous?

Clet Boudéhenn

Directeur(s): Yvon Kermarrec & Abdel Boudraa
Encadrant(s): Jean-Christophe Cexus

SUJET DE THÈSE

Génération de données pour l’analyse et la détection d’anomalies dans les systèmes cybernétiques navals

Contexte

Aujourd’hui, de plus en plus de moyens de transport se veulent communiquant et interconnecté avec leurs environnements (le Monde Ouvert) à travers des réseaux informatiques de plus en plus élaborés. Au même titre qu’un avion [1] ou une voiture nouvelle génération [2], à bord d’un navire les réseaux informatiques sont devenus des systèmes complexes d’échanges ou interagissent de très nombreux processus (mécanismes de communication, hétérogénéité des noeuds, diversités des automates de communications…). A ceci s’ajoute une forte diversité des comportements utilisateurs. Ainsi, assurer la sécurité du réseau informatique sur un navire demande des outils automatisés d’analyse et de détection de comportements atypiques ou d’anomalies, novateurs par leur capacité à s’adapter à des échelles de temps variables et à des topologies complexes.

Sujet de thèse

L’objectif de cette thèse est le développement et la validation de nouveaux outils de traitement du signal pour les problématiques de sécurité informatique à bord d’un navire.

Nous nous intéresserons essentiellement à deux problématiques en lien avec un navire :

  • L’analyse d’anomalies dans le trafic des réseaux informatiques,
  • La détection d’intrusions.

    • Les anomalies font partie du trafic. Il s’agit d’appréhender et d’identifier des données significatives de l’état du trafic sur des réseaux informatiques spécifiques et contraints (comme les réseaux informatiques d’un navire) afin de mettre en place des processus d’analyse, de détection et d’identification d’anomalies au sein de ces réseaux. L’analyse du trafic se fera sur une ou plusieurs séries temporelles simultanément produites à partir du trafic entrant ou d’une trace de trafic enregistré. La série temporelle peut correspondre, par exemple, au nombre de paquets, de flots ou d’octets par unité de temps [3]-[4].

    Pour l’atteinte de ces objectifs, nous mettons l’accent sur les méthodes combinant à la fois des approches en lien avec le domaine cybernétique et celles issues du traitement du signal. Parmi ces méthodes, nous pouvons citer les représentations temps-fréquences ou temps-échelles (Synchrosqueezing, Décomposition Modale Empirique,…) qui sont prometteuses en termes d’applications [5],[6] et les opérateurs d’énergie [7]. Appliquées depuis peu dans le domaine des systèmes de détection d’intrusion ou IDS (Intrusion Detection System), les résultats de ces méthodes sont probants mais soulèvent leur lot de difficultés [8]. Par ailleurs, les récents travaux sur la détection de nouveautés [9], nous confortent sur la possibilité de proposer de nouvelles approches de détection d’anomalies (notamment malicieuses) d’un système par l’analyse de sa déviation par rapport à son comportement ou état normal.

    Dans le domaine naval, la mise en réseaux des systèmes d’information dans les navires (porte-containers, méthaniers, frégates,…) expose à des attaques dont il est nécessaire de se prémunir. Plus précisément, ces navires sont dotés d’installations informatique et électronique complexes les rendant très vulnérables et donc exposés à des attaques aux conséquences potentiellement gravissimes (arrêt, détournement,….). Ainsi, la détection d’attaques est un enjeu de première importance. Plus exactement, l’un des enjeux est la détection de signaux hostiles et/ou de faibles intensités (menaces naissantes) tout en réduisant le nombre de faux positifs (activités anormales mais bénignes). L’autre enjeu est la classification de ces anomalies. Les IDS sont en général insensibles aux attaques dont les intensités sont trop faibles, car leur fonctionnement repose sur l’utilisation de signatures construites à partir de statistiques, en temps, qui sont peu descriptive (moyenne et écart-type) [10],[11]. L’objectif de ce travail de thèse est de caractériser conjointement le trafic en temps et en fréquence par une approche temps-fréquence. Cela revient à identifier des signatures temps-fréquence qualifiées d’anormales. La détection d’anomalies potentielles sera faite dans le domaine temporel suivie par une analyse temps-fréquence poussée pour réduire les fausses alarmes, générées par le processus de détection, et identifier les types d’anomalies. Les deux principaux volets de cette thèse sont :

    1) La détection d’anomalies, en particulier de faibles amplitudes, dans le domaine temporel,

    2) L’analyse temps-fréquence de ces anomalies.

    L’accent sera mis sur le développement de la meilleure stratégie de détection d’anomalies induites par le déclenchement des attaques. Un des verrous scientifiques à lever est comment distinguer les variations du trafic légitimes des variations illégitimes. Le second verrou est celui du choix ou de la construction d’une représentation temps-fréquence optimale adaptée au problème d’identification des anomalies. Une des solutions, par exemple, est de construire une représentation temps-fréquence pilotée par les données du trafic [5],[12].

    Quelques références relatives au sujet

    [1] S. Gil Casals, “Risk assessment and intrusion detection for airbone networks,” Thèse de Doctorat, Toulouse, INSA, 2014.

    [2] M.-J. Kang and K. Je-Won, “Intrusion Detection System Using Deep Neural Network for In-Vehicle Network Security,” PloS one, vol. 11, no. 6, 2016.

    [3] S. Farraposo, Ph. Owezarski et Ed. Monteiro, “Détection, classification et identification d’anomalies de trafic”, Colloque Francophone d’Ingénierie des Protocoles, pp. 1-12, 2008.

    [4] J. Mazel, P. Casas, R. Fontugne, K. Fukuda and Ph. Owerzarski, “Hunting attacks in the dark : clustering and correlation analysis for unsupervised anomaly detection”, Int. J. Network Management, vol. 25, no. 5, pp. 283-305, 2015.

    [5] I. Daubechies, J. Lu, et al., “Synchrosqueezed wavelet transforms; an Empirical Mode Decomposition-like tool,” Appl. Comput. Harmonic Anal. vol. 30, no. 2, pp. 243–261, 2011.

    [6] O. Couderc, J.-C. Cexus et al., “ISAR imaging Based on the Empirical Mode Decomposition Time-Frequency Representation,” International Radar Symposium 2016, 2016.

    [7] A.O. Boudraa, J.C. Cexus and K. Abed-Meraim, “Cross-Psi_B-energy operator-based signal detection“, Journal of Acoustical Society of America, vol. 132, no. 6, pp. 4283-4289, 2008.

    [8] C.-T. Huang, et al., “Signal Processing Applications in Network Intrusion Detection Systems,” EURASIP Journal on Advances in signal Processing, vol. 1, 2009.

    [9] M.A.F Pimentel, et al., “A review of novelty detection,” Signal Processing, vol. 99, pp. 215-249, 2014.

    [10] V. Paxson, “Bro: a system for detecting network intruders in real time”, Comput. Networks J., vol. 31, no. 23-24, pp. 2435-2463, 1999.

    [11] A. Scherrer, N. Larrieu, P. Owezarski, P. Borgnat and P. Abry, “Non-Gaussian and long memory statistical characterisations for internet traffic with anomalies,” IEEE Trans. Dependable and Secure Computing, vol. 4, no. 1, pp. 56-70, 2007.

    [12] J.C. Cexus and A.O. Boudraa, “Nonstationary signals analysis by Teager-Huang transform (THT)”, Proc. EUSIPCO, pp. 1-5, 2006.

    Publications

    C. Boudehenn, J. Cexus and A. A. Boudraa, "A Data Extraction Method for Anomaly Detection in Naval Systems," 2020 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA), 2020, pp. 1-4, doi: 10.1109/CyberSA49311.2020.9139656.
    C. Boudehenn, O. Jacq, M. Lannuzel, J. -C. Cexus and A. Boudraa, "Navigation anomaly detection: An added value for Maritime Cyber Situational Awareness," 2021 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA), 2021, pp. 1-4, doi: 10.1109/CyberSA52016.2021.9478189.
    Clet Boudehenn, Jean-Christophe Cexus, Ramla Abdelkader, Maxence Lannuzel, Olivier Jacq, David Brosset and Abdel Boudraa, Holistic Approach of Integrated Equipment for Cybersecurity At Sea, Cyber Science 2022 (London, UK). Voir la vidéo
    Boudehenn, C. et al. (2023). Holistic Approach of Integrated Navigation Equipment for Cybersecurity at Sea. In: , et al. Proceedings of the International Conference on Cybersecurity, Situational Awareness and Social Media. Springer Proceedings in Complexity. Springer, Singapore. https://doi.org/10.1007/978-981-19-6414-5_5
    Clet Boudehenn. Génération de données pour l’analyse et la détection d’anomalies dans les systèmes cybernétiques navals. Réseaux et télécommunications [cs.NI]. Ecole nationale supérieure Mines-Télécom Atlantique, 2022. Français. ⟨NNT : 2022IMTA0336⟩. ⟨tel-04007599⟩ Consultable sur HAL.
    Retour
    • Chaire de cyberdéfense des systèmes navals
    • École navale
    • BCRM Brest - CC 600
    • 29240 BREST Cedex 9
    • chairecyber@ecole-navale.fr
    Mentions légales
    Avec le soutien de
    cybersecurite
    recherche cybersecurite
    cybersecurite naval
    Raccourcis
    • Étudiants
    • Chercheurs
    • Industriels
    • La Chaire
    • Thèses
    • Alumni
    • Publications
    • Équipe encadrante
    • Gouvernance
    • Actualités
    Nous joindre
    cyberdefense these cybersecurite cyberdefense navale