Apprentissage automatique pour la détection d'intrusion dans les systèmes du transport intelligent

par Elies Gherbi

Projet de thèse en Informatique

Sous la direction de Blaise Hanczar et de Jean-Christophe Janodet.

Thèses en préparation à Paris Saclay , dans le cadre de École doctorale Sciences et technologies de l'information et de la communication (Orsay, Essonne ; 2015-....) , en partenariat avec IBISC - Informatique, Biologie Intégrative, & Systèmes Complexes (laboratoire) , AROBAS : Algorithmique, Recherche Opérationnelle, Bioinformatique et Apprentissage Statistique (equipe de recherche) et de Université d'Évry-Val-d'Essonne (établissement de préparation de la thèse) depuis le 05-02-2018 .


  • Résumé

    Tout contrôle d'accès étant franchissable, il est nécessaire, en plus du contrôle d'accès, de mettre en place des moyens de surveillance permettant de détecter les comportements suspects (potentiellement des intrusions) et, si nécessaire, d'entreprendre des actions de défense pour éliminer ou limiter les impacts des attaques informatiques à l'origine de ces comportements. L'adaptation des moyens de détection d'intrusion issus de l'IT aux besoins des systèmes de transport pose encore des difficultés théoriques et technologiques. Notamment la criticité des systèmes nécessite que la détection d'intrusion soit compatible avec les contraintes temps réel de la sureté de fonctionnement, et qu'elle soit basée à la fois sur la reconnaissance des signatures des attaques connues mais aussi sur la détection des anomalies (i.e. le monitoring des activités et leur classification en deux groupes : normale et suspecte, ex. [2]). De plus, le caractère distribué des systèmes et la limitation des ressources informatiques (bande passante réseau, puissance du calcul, énergie) nécessite de considérer la détection et la réaction sur plusieurs niveaux à la fois (ex. capteur, véhicule, centre de contrôle) pour l'aspect réseaux (ex. [6],[8]) et des environnements d'exécution (ex. [7]).

  • Titre traduit

    Apprentissage automatique pour la détection d'intrusion dans les systèmes du transport intelligent


  • Résumé

    Contexte : Cette thèse s'inscrit dans un axe de recherche de l'Institut de Recherche Technologique IRT SystemX qui vise à développer de nouvelles architectures sécurisées et sûres de véhicules et de systèmes de transports autonomes, intégrant les nouveaux usages, les systèmes embarqués critiques, l'évolution des infrastructures et leurs interactions. Plus particulièrement elle sera intégrée au projet CTI (Cybersécurité du Transport Intelligent, cf. http://www.irt-systemx.fr/project/cti/). Dans le domaine des transports, on observe actuellement de grandes évolutions des services connectés offerts aux usagers à bord et une introduction très rapide des aides à la conduite voire une automatisation du pilotage (ex. métro automatique, voiture ou drone autonome). La connectivité quasi-permanente des mobiles (téléphones, tablettes) et des fonctionnalités automatisées en relation avec le pilotage des véhicules créé de nouvelles menaces pour la sûreté de fonctionnement. La sécurisation des installations IT classiques fournit déjà des méthodes et des outils bien établis. Par contre leur adaptation aux systèmes de transport pose encore quelques difficultés théoriques et technologiques. Ces difficultés viennent du fait que les systèmes de transport sont des systèmes cyber-physiques pour lesquels toute défaillance informatique, notamment de sécurité, peut avoir une influence directe sur la sûreté de fonctionnement. Potentiellement, ceci peut entrainer des menaces pour la vie des personnes et provoquer des dégâts matériels et/ou environnementaux importants. De plus, toutes les réactions pour contrer des attaques doivent tenir compte de la disponibilité des fonctionnalités jugées critiques pour la sûreté de fonctionnement et pour la disponibilité des services. L'impact de ces nouvelles menaces sur les coûts induits et sur l'image des acteurs concernés se renforce également. Problématique : Tout contrôle d'accès étant franchissable, il est nécessaire, en plus du contrôle d'accès, de mettre en place des moyens de surveillance permettant de détecter les comportements suspects (potentiellement des intrusions) et, si nécessaire, d'entreprendre des actions de défense pour éliminer ou limiter les impacts des attaques informatiques à l'origine de ces comportements. L'adaptation des moyens de détection d'intrusion issus de l'IT aux besoins des systèmes de transport pose encore des difficultés théoriques et technologiques. Notamment la criticité des systèmes nécessite que la détection d'intrusion soit compatible avec les contraintes temps réel de la sureté de fonctionnement, et qu'elle soit basée à la fois sur la reconnaissance des signatures des attaques connues mais aussi sur la détection des anomalies (i.e. le monitoring des activités et leur classification en deux groupes : normale et suspecte, ex. [2]). De plus, le caractère distribué des systèmes et la limitation des ressources informatiques (bande passante réseau, puissance du calcul, énergie) nécessite de considérer la détection et la réaction sur plusieurs niveaux à la fois (ex. capteur, véhicule, centre de contrôle) pour l'aspect réseaux (ex. [6],[8]) et des environnements d'exécution (ex. [7]). Déroulé de la thèse Durant la première étape de cette thèse, le/la doctorant(e) effectuera un état de l'art approfondi des systèmes de détections d'anomalies [9][10]. Il/elle devra également se familiariser avec des architectures fonctionnelles et techniques des domaines d'application adressés par le projet [1] [3]. Dans un second temps, le/la doctorant(e) devra proposer une démarche générale adaptée au contexte du projet. Des méthodes de détection d'anomalies issues sur l'apprentissage automatique (SVM, méthodes bayésiennes, deep learning, …) devront être développées par partir de larges jeux de données. A chaque niveaux du système (capteurs, voitures, centre de contrôle), un modèle devra décider des actions à entreprendre en fonction des données qu'il aura à sa disposition, et choisir les informations qu'il remontera au niveau supérieur. L'ensemble des modèles doit coopérer pour détecter une anomalie et prendre une décision, ils devront donc être construits simultanément, dans la même procédure d'apprentissage. En outre il sera nécessaire de tenir compte des contraintes d'architecture (comme par exemple [4]) ainsi que de performance et de disponibilité relatives à la sureté de fonctionnement (ex. [5]). Une bibliographie précise devra alors orienter le choix pour la mise en place de méthodes de résolution efficace pour les systèmes simulés puis implémentés sur les architectures techniques sélectionnées par le projet. La qualité et la faisabilité des solutions obtenues devront être étudiées d'une manière théorique, puis confrontées aux problèmes réels posés par les systèmes de transport.