Vous êtes ici : GIPSA-lab > Formation > Thèses en cours
Chargement
KOUCHAM Oualid

Détection d'intrusions pour les systèmes de contrôle industriels

 

Directeur de thèse :     Jean-Marc THIRIET

Co-encadrant :     Stéphane MOCANU

École doctorale : Electronique, electrotechnique, automatique, traitement du signal (eeats)

Spécialité : Automatique et productique

Structure de rattachement : Grenoble-INP

Établissement d'origine : SUPELEC

Financement(s) : Contrat doctoral ; Sans financement

 

Date d'entrée en thèse : 01/10/2015

Date de soutenance : 12/11/2018

 

Composition du jury :
Jean Marc THIRIET - Directeur de these, Université Grenoble Alpes
Isabelle CHRISMENT - Rapporteur, Université de Lorraine
Michel COMBACAU - Rapporteur, Université Toulouse III Paul Sabatier
Isabel DEMONGODIN - Examinateur, Université d''Aix-Marseille
Gregory BLANC - Examinateur, Institut Mines-Télécom
Guillaume HIET - Examinateur, CentraleSupélec
Stéphane MOCANU - Examinateur, Grenoble INP
Frédéric MAJORCZYK - Examinateur, DGA et financière

 

Résumé : L'objectif de ce travail de thèse est le développement de techniques de détection d'intrusions et de corrélation d'alertes spécifiques aux systèmes de contrôle industriels (ICS). Cet intérêt est justifié par l'émergence de menaces informatiques visant les ICS, et la nécessité de détecter des attaques ciblées dont le but est de violer les spécifications sur le comportement correct du processus physique. Dans la première partie de nos travaux, nous nous sommes intéressés à l'inférence automatique de spécifications pour l'aspect séquentiel des ICS, et ce, à des fins de détection d'intrusions. Dans notre approche, nous avons adopté le formalisme de la logique temporelle linéaire (LTL) et métrique (MTL) permettant de représenter des propriétés temporelles d'ordre qualitatif et quantitatif sur l'état des actionneurs et des capteurs. Un algorithme d'inférence de propriétés a été développé afin d'automatiser la génération des propriétés à partir de motifs de spécifications couvrant les contraintes les plus communes. Cette approche vise à pallier le nombre conséquent de propriétés redondantes inférées par les approches actuelles. Dans la deuxième partie de nos travaux, nous cherchons à combiner l'approche de détection d'intrusions développée dans le premier axe avec des approches de détection d'intrusions classiques. Pour ce faire, nous explorons une approche de corrélation tenant compte des spécificités des systèmes industriels en deux points : (i) l'enrichissement et le prétraitement d'alertes hétérogènes venant de domaines différents (cyber et physique), et (ii) la mise au point d'une politique de sélection d'alertes tenant compte du contexte d'exécution du processus physique. Les résultats de l'évaluation de nos approches de détection et de corrélation montrent des performances améliorées sur la base de métriques telles que le taux de réduction des alertes et la complétude des corrélations.
The objective of this thesis is to develop intrusion detection and alert correlation techniques geared towards industrial control systems (ICS). Our interest is driven by the recent surge in cybersecurity incidents targeting ICS, and the necessity to detect targeted attacks which induce incorrect behavior at the level of the physical process. In the first part of this work, we develop an approach to automatically infer specifications over the sequential behavior of ICS. In particular, we rely on specification language formalisms such as linear temporal logic (LTL) and metric temporal logic (MTL) to express temporal properties over the state of the actuators and sensors. We develop an algorithm to automatically infer specifications from a set of specification patterns covering the most recurring properties. Our aim is to reduce the number of redundant and unfalsifiable properties generated by the existing approaches. In the second part of this work, we attempt to combine the physical domain intrusion detection approach developed in the first part with more classical cyber domain intrusion detection solutions. In particular, we develop an alert correlation approach which takes into account some specificities of ICS through: (i) the enrichment and pre-treatment of heterogeneous alerts coming from different domains (physical and cyber), and (ii) the specification of an alert policy taking into account the execution context of the physical process. Our evaluation results show that our approaches achieve improved results with respect to classical detection and correlation metrics.


GIPSA-lab, 11 rue des Mathématiques, Grenoble Campus BP46, F-38402 SAINT MARTIN D'HERES CEDEX - 33 (0)4 76 82 71 31