Vous êtes ici : Accueil » Kiosque » Annonce

Identification

Identifiant: 
Mot de passe : 

Mot de passe oublié ?
Détails d'identification oubliés ?

Annonce

29 avril 2018

Thèse (Chaire Cyberdéfense, Ecole Navale): Analyse et détection d’anomalies en cybernétique navale : les apports du traitement du signal.


Catégorie : Doctorant


Contexte :

De plus en plus de moyens de transport se veulent communiquant et interconnecté avec leurs environnements (le Monde Ouvert) à travers des réseaux informatiques de plus en plus élaborés. Au même titre qu’un avion [1] ou une voiture nouvelle génération [2], à bord d’un navire les réseaux informatiques sont devenus des systèmes complexes d’échanges ou interagissent de très nombreux processus (mécanismes de communication, hétérogénéité des nœuds, diversités des automates de communications…). A ceci s’ajoute une forte diversité des comportements utilisateurs. Ainsi, assurer la sécurité du réseau informatique sur un navire demande des outils automatisés d’analyse et de détection de comportements atypiques ou d’anomalies, novateurs par leur capacité à s’adapter à des échelles de temps variables et à des topologies complexes.

Chaire Cyberdéfense des Systèmes Navals :

La thèse aura lieu dans le cadre de la chaire Cyber (située à l’école navale), dont les partenaires sont : NAVAL Group (ex DCNS), THALES, Ecole Navale et Institut-Mines Télécom Atlantique.

 

Sujet de thèse

L’objectif de cette thèse est le développement et la validation de nouveaux outils de traitement du signal pour les problématiques de sécurité informatique à bord d’un navire.

Nous nous intéresserons essentiellement à deux problématiques en lien avec un navire :

L’analyse d’anomalies dans le trafic des réseaux informatiques,

La détection d’intrusions.

Les anomalies font partie du trafic. Il s’agit d’appréhender et d’identifier des données significatives de l’état du trafic sur des réseaux informatiques spécifiques et contraints (comme les réseaux informatiques d’un navire) afin de mettre en place des processus d’analyse, de détection et d’identification d’anomalies au sein de ces réseaux. L’analyse du trafic se fera sur une ou plusieurs séries temporelles simultanément produites à partir du trafic entrant ou d’une trace de trafic enregistré. La série temporelle peut correspondre, par exemple, au nombre de paquets, de flots ou d’octets par unité de temps [3]-[4].

Pour l’atteinte de ces objectifs, nous mettons l’accent sur les méthodes combinant à la fois des approches en lien avec le domaine cybernétique et celles issues du traitement du signal. Parmi ces méthodes, nous pouvons citer les représentations temps-fréquences ou temps-échelles (Synchrosqueezing, Décomposition Modale Empirique,…) qui sont prometteuses en termes d’applications [5],[6] et les opérateurs d’énergie [7]. Appliquées depuis peu dans le domaine des systèmes de détection d’intrusion ou IDS (Intrusion Detection System), les résultats de ces méthodes sont probants mais soulèvent leur lot de difficultés [8]. Par ailleurs, les récents travaux sur la détection de nouveautés [9], nous confortent sur la possibilité de proposer de nouvelles approches de détection d’anomalies (notamment malicieuses) d’un système par l’analyse de sa déviation par rapport à son comportement ou état normal. 

Dans le domaine naval, la mise en réseaux des systèmes d’information dans les navires (porte-containers, méthaniers, frégates,…) expose à des attaques dont il est nécessaire de se prémunir. Plus précisément, ces navires sont dotés d’installations informatique et électronique complexes les rendant très vulnérables et donc exposés à des attaques aux conséquences potentiellement gravissimes (arrêt, détournement,….). Ainsi, la détection d’attaques est un enjeu de première importance. Plus exactement, l’un des enjeux est la détection de signaux hostiles et/ou de faibles intensités (menaces naissantes) tout en réduisant le nombre de faux positifs (activités anormales mais bénignes). L’autre enjeu est la classification de ces anomalies. Les IDS sont en général insensibles aux attaques dont les intensités sont trop faibles, car leur fonctionnement repose sur l’utilisation de signatures construites à partir de statistiques, en temps, qui sont peu descriptive (moyenne et écart-type) [10],[11]. L’objectif de ce travail de thèse est de caractériser conjointement le trafic en temps et en fréquence par une approche temps-fréquence. Cela revient à identifier des signatures temps-fréquence qualifiées d’anormales. La détection d’anomalies potentielles sera faite dans le domaine temporel suivie par une analyse temps-fréquence poussée pour réduire les fausses alarmes, générées par le processus de détection, et identifier les types d’anomalies. Les deux principaux volets de cette thèse sont :

L’accent sera mis sur le développement de la meilleure stratégie de détection d’anomalies induites par le déclenchement des attaques. Un des verrous scientifiques à lever est comment distinguer les variations du trafic légitimes des variations illégitimes. Le second verrou est celui du choix ou de la construction d’une représentation temps-fréquence optimale adaptée au problème d’identification des anomalies. Une des solutions, par exemple, est de construire une représentation temps-fréquence pilotée par les données du trafic [5],[12].

Références :

[1] S. Gil Casals, "Risk assessment and intrusion detection for airborne networks,"Thèse de Doctorat, Toulouse, INSA, 2014.

[2] M.-J. Kang and K. Je-Won, "Intrusion Detection System Using Deep Neural Network for In-Vehicle Network Security,"PloS one, vol. 11, no. 6, 2016.

[3] S. Farraposo, Ph. Owezarski et Ed. Monteiro, "Détection, classification et identification d’anomalies de trafic", Colloque Francophone d’Ingénierie des Protocoles, pp. 1-12, 2008.

[4] J. Mazel, P. Casas, R. Fontugne, K. Fukuda and Ph. Owerzarski, "Hunting attacks in the dark : clustering and correlation analysis for unsupervised anomaly detection", Int. J. Network Management, vol. 25, no. 5, pp. 283-305, 2015.

[5] I. Daubechies, J. Lu, et al., "Synchrosqueezed wavelet transforms; an Empirical Mode Decomposition-like tool," Appl. Comput. Harmonic Anal., vol. 30, no. 2, pp. 243–261, 2011.

[6] O. Couderc, J.-C. Cexus et al., "ISAR imaging Based on the Empirical Mode Decomposition Time-Frequency Representation,International Radar Symposium 2016,

[7] A.O. Boudraa and F. Salzenstein, "Teager–Kaiser energy methods for signal and image analysis: A review", Digital Signal Processing, vol. 27, pp. 338-375, 2018.

[8] C.-T. Huang, et al., "Signal Processing Applications in Network Intrusion Detection Systems," EURASIP Journal on Advances in signal Processing, vol. 1, 2009.

[9] M.A.F Pimentel, et al., "A review of novelty detection,Signal Processing, vol. 99, pp. 215-249, 2014.

[10] V. Paxson, “Bro: a system for detecting network intruders in real time”, J. Comput. Networks, vol. 31, no. 23-24, pp. 2435-2463, 1999.

[11] A. Scherrer, N. Larrieu, P. Owezarski, P. Borgnat and P. Abry, “Non-Gaussian and long memory statistical characterisations for internet traffic with anomalies,” IEEE Trans. Dependable and Secure Computing, vol. 4, no. 1, pp. 56-70, 2007.

[12] J.C. Cexus and A.O. Boudraa, “Nonstationary signals analysis by Teager-Huang transform (THT)”, Proc. EUSIPCO, pp. 1-5, 2006.

FINANCEMENT (Acquis) : Chaire Cyberdéfense des systèmes navals (NAVAL Group et THALES).

LIEU : Chaire Cyberdéfense des systèmes navals, Ecole Navale.

ENCADREMENT :

La thèse sera encadrée par Abdel Boudraa (Directeur de thèse, Ecole Navale) et Jean-Christophe Cexus (ENSTA-Bretagne). 

PROFIL :

Le candidat doit être titulaire d'un master de recherche ou d’un diplôme d’ingénieur et posséder une solide formation en traitement du signal et avoir des compétences en réseau Informatique. Des connaissances en programmation (Python, Matlab, Java…) sont souhaitables. Un intérêt pour le monde maritime serait un plus. Un bon niveau en anglais est souhaité.

CONDITIONS :

Nationalité : Française (ou Européenne) est exigée.

CANDIDATURE :

Toute candidature doit être soumise accompagnée d'un CV, du relevé de notes, d'une lettre de motivation et des coordonnées d'au moins une personne référente (encadrant de stage,…). Tout autre élément susceptible de renforcer la candidature serait un plus (lettre de recommandation, distinction...).

Le dossier sera envoyé par courrier électronique à Yvon Kermarrec, Abdel Boudraa ainsi qu’à Jean-Christophe Cexus.

CONTACTS

Yvon Kermmarec (yvon.kermarrec@telecom-bretagne.eu)

Abdel Boudraa(boudra@ecole-navale.fr)

Jean-Christophe Cexus(cexusje@ensta-bretagne.fr)

 

Dans cette rubrique

(c) GdR 720 ISIS - CNRS - 2011-2018.