Système de sécurité biométrique multimodal par imagerie, dédié au contrôle d’accès / Multimodal biometric security system based on vision, dedicated to access control

Bonazza, Pierre

21 June 2019

Les travaux de recherche de cette thèse consistent à mettre en place des solutions performantes et légères permettant de répondre aux problèmes de sécurisation de produits sensibles. Motivé par une collaboration avec différents acteurs au sein du projet Nuc-Track,le développement d'un système de sécurité biométrique, possiblement multimodal, mènera à une étude sur différentes caractéristiques biométriques telles que le visage, les empreintes digitales et le réseau vasculaire. Cette thèse sera axée sur une adéquation algorithme et architecture, dans le but de minimiser la taille de stockage des modèles d'apprentissages tout en garantissant des performances optimales. Cela permettra leur stockage sur un support personnel, respectant ainsi les normes de vie privée. / Research of this thesis consists in setting up efficient and light solutions to answer the problems of securing sensitive products. Motivated by a collaboration with various stakeholders within the Nuc-Track project, the development of a biometric security system, possibly multimodal, will lead to a study on various biometric features such as the face, fingerprints and the vascular network. This thesis will focus on an algorithm and architecture matching, with the aim of minimizing the storage size of the learning models while guaranteeing optimal performances. This will allow it to be stored on a personal support, thus respecting privacy standards.

Biométrie

Traitements d'images

Machine Learning

Deep Learning

Adéquation algorithme/architecture

Biometry

Image processing

Machine Learning

Deep Learning

Algorithm/architecture matching

Intruder detection

006.6

006.3

Monitorage et Détection d'Intrusion dans les Réseaux Voix sur IP

Nassar, Mohamed

31 March 2009

La Voix sur IP (VoIP) est devenue un paradigme majeur pour fournir des services de télécommunications flexibles tout en réduisant les coûts opérationnels. Le déploiement à large échelle de la VoIP est soutenu par l'accès haut débit à l'Internet et par la standardisation des protocoles dédiés. Cependant, la VoIP doit également faire face à plusieurs risques comprenant des vulnérabilités héritées de la couche IP auxquelles s'ajoutent des vulnérabilités spécifiques. Notre objectif est de concevoir, implanter et valider de nouveaux modèles et architectures pour assurer une défense préventive, permettre le monitorage et la détection d'intrusion dans les réseaux VoIP.<br /><br />Notre travail combine deux domaines: celui de la sécurité des réseaux et celui de l'intelligence artificielle. Nous renforcons les mécanismes de sécurité existants en apportant des contributions sur trois axes : Une approche basée sur des mécanismes d'apprentissage pour le monitorage de trafic de signalisation VoIP, un pot de miel spécifique, et un modèle de corrélation des évenements pour la détection d'intrusion. Pour l'évaluation de nos solutions, nous avons développés des agents VoIP distribués et gérés par une entité centrale. Nous avons développé un outil d'analyse des traces réseaux de la signalisation que nous avons utilisé pour expérimenter avec des traces de monde réel. Enfin, nous avons implanté un prototype de détection d'intrusion basé sur des règles de corrélation des événements.

Voix sur IP

Session Initiation Protocol (SIP)

Corrélation des événements

Détection d'intrusion

Pot de miel

Réseaux Bayesiens

Machines à vecteurs de support (SVM)

Réseau zombie

Real-time detection of Advanced Persistent Threats using Information Flow Tracking and Hidden Markov Models / Détection temps réel de menaces persistantes avancées par suivi de flux d'information et modèles de Markov cachés

Brogi, Guillaume

04 April 2018

Dans cette thèse, nous présentons les risques posés par les Menaces Persistentes Avancées (APTs) et proposons une approche en deux temps pour distinguer les attaques qui en font partie. Ce travail fait partie d'Akheros, un Système de Détection d'Intrusion (IDS) autonome développé par trois doctorants. L'idée est d'utiliser l'apprentissage machine pour détecté des évènements inattendus et vérifier s'ils posent un risque de sécurité. La dernière étape, et le sujet de cette thèse, est de mettre en évidence les APT. Les campagnes d'APT sont particulièrement dangereuses car les attaquants sont compétents et ont un but précis ainsi que du temps et de l'argent. Nous partons des résultats des parties précédentes d'Akheros: une liste d'évènements traduisible en flux d'information et qui indique quand des attaques sont détectées. Nous faisons ressortir les liens entre attaques en utilisant le Suivi de Flux d'Information: nous ajoutons une nouvelle teinte pour chaque attaque. Lors de la propagation, si une teinte se trouve en amont d'un flux qui fait partie d'une attaque, alors les deux attaques sont liés. Certaines attaques se trouvent liées par erreur car les évènements que nous utilisons ne sont pas assez précis, d'où l'approche en deux temps. Dans le cas où certaines attaques ne sont pas détectées, la teinte de cette attaque n'est pas créée, cependant, les autres teintes sont propagées normalement, et l'attaque précédent l'attaque non détectée sera liée à l'attaque lui faisant suite. Le deuxième temps de l'approche est de retirer les liens erronés. Nous utilisons un Modèle de Markov Caché pour représenter les APTs et retirons les campagnes qui ne suivent pas le modèle. Ceci fonctionne car les APTs, quoique toutes différentes, passent par les mêmes phases. Ces phases sont les états cachés du modèle. Les observations sont les types d'attaques effectuées pendant ces phases. De plus, les actions futures des attaquants dépendent des résultats de l'action en cours, ce qui satisfait l'hypothèse de Markov. Le score utilisé pour classer les campagnes potentielles de la plus proche d'une APT à la plus éloigné est basé sur un algorithme de Viterbi modifié pour prendre en compte les attaques non détectées potentielles. / In this thesis, we present the risks posed by Advanced Persitent Threats (APTs) and propose a two-step approach for recognising when detected attacks are part of one. This is part of the Akheros solution, a fully autonomous Intrusion Detection System (IDS) being developed in collaboration by three PhD students. The idea is to use machine learning to detect unexpected events and check if they present a security risk. The last part, and the subject of this thesis, is the highlighting of APT. APTs campaigns are particularly dangerous because they are performed by skilled attackers with a precise goal and time and money on their side.We start with the results from the previous part of the Akheros IDS: a list of events, which can be translated to flows of information, with an indication for events found to be attacks. We find links between attacks using Information Flow Tracking. To do so, we create a new taint for each detected attack and propagate it. Whenever a taint is on the input of an event that is part of another attack, then the two attacks are linked. However, the links are only potential because the events used are not precise enough, which leads to erroneously propagated taints. In the case of an undetected attack, no taint is created for that attack, but the other taints are still propagated as normal so that previous attack is still linked to the next attack, only skipping the undetected one. The second step of the approach is to filter out the erroneous links. To do so, we use a Hidden Markov Model to represent APTs and remove potential attack campaign that do not fit the model. This is possible because, while each APT is different, they all go through the same phases, which form the hidden states of our model. The visible observations are the kind of attacks performed during these phases. In addition, the results in one phase dictate what the attackers do next, which fits the Markov hypothesis. The score used to rank potential attack campaign from most likely an APT to least likely so is based on a customised Viterbi algorithm in order to take into account potentially undetected attacks.

Apprentissage machine

Système de détection d'intrusion

Menace persistente avancée

Suivi de flux d'information

Machine learning

Intrusion detection system

Advanced persistent threat

Information Flow Tracking

005.8

Classification de flux applicatifs et détection d'intrusion dans le trafic Internet / Classifying Application Flows and Intrusion Detection in Internet Traffic

Korczynski, Maciej

26 November 2012

Le sujet de la classification de trafic r´eseau est d’une grande importance pourla planification de r´eseau efficace, la gestion de trafic `a base de r`egles, la gestionde priorit´e d’applications et le contrˆole de s´ecurit´e. Bien qu’il ait re¸cu une atten-tion consid´erable dans le milieu de la recherche, ce th`eme laisse encore de nom-breuses questions en suspens comme, par exemple, les m´ethodes de classificationdes flux de trafics chiffr´es. Cette th`ese est compos´ee de quatre parties. La premi`erepr´esente quelques aspects th´eoriques li´es `a la classification de trafic et `a la d´etec-tion d’intrusion. Les trois parties suivantes traitent des probl`emes sp´ecifiques declassification et proposent des solutions pr´ecises.Dans la deuxi`eme partie, nous proposons une m´ethode d’´echantillonnage pr´ecisepour d´etecter les attaques de type ”SYN flooding”et ”portscan”. Le syst`eme examineles segments TCP pour trouver au moins un des multiples segments ACK provenantdu serveur. La m´ethode est simple et ´evolutive, car elle permet d’obtenir unebonne d´etection avec un taux de faux positif proche de z´ero, mˆeme pour des tauxd’´echantillonnage tr`es faibles. Nos simulations bas´ees sur des traces montrent quel’efficacit´e du syst`eme propos´e repose uniquement sur le taux d’´echantillonnage,ind´ependamment de la m´ethode d’´echantillonnage.Dans la troisi`eme partie, nous consid´erons le probl`eme de la d´etection et de laclassification du trafic de Skype et de ses flux de services tels que les appels vocaux,SkypeOut, les vid´eo-conf´erences, les messages instantan´es ou le t´el´echargement defichiers. Nous proposons une m´ethode de classification pour le trafic Skype chiffr´ebas´e sur le protocole d’identification statistique (SPID) qui analyse les valeurs statis-tiques de certains attributs du trafic r´eseau. Nous avons ´evalu´e notre m´ethode surun ensemble de donn´ees montrant d’excellentes performances en termes de pr´eci-sion et de rappel. La derni`ere partie d´efinit un cadre fond´e sur deux m´ethodescompl´ementaires pour la classification des flux applicatifs chiffr´es avec TLS/SSL.La premi`ere mod´elise des ´etats de session TLS/SSL par une chaˆıne de Markov ho-mog`ene d’ordre 1. Les param`etres du mod`ele de Markov pour chaque applicationconsid´er´ee diff`erent beaucoup, ce qui est le fondement de la discrimination entreles applications. La seconde m´ethode de classification estime l’´ecart d’horodatagedu message Server Hello du protocole TLS/SSL et l’instant d’arriv´ee du paquet.Elle am´eliore la pr´ecision de classification des applications et permet l’identificationviiefficace des flux Skype. Nous combinons les m´ethodes en utilisant une ClassificationNaive Bay´esienne (NBC). Nous validons la proposition avec des exp´erimentationssur trois s´eries de donn´ees r´ecentes. Nous appliquons nos m´ethodes `a la classificationde sept applications populaires utilisant TLS/SSL pour la s´ecurit´e. Les r´esultatsmontrent une tr`es bonne performance. / The subject of traffic classification is of great importance for effective networkplanning, policy-based traffic management, application prioritization, and securitycontrol. Although it has received substantial attention in the research communitythere are still many unresolved issues, for example how to classify encrypted trafficflows. This thesis is composed of four parts. The first part presents some theoreticalaspects related to traffic classification and intrusion detection, while in the followingthree parts we tackle specific classification problems and propose accurate solutions.In the second part, we propose an accurate sampling scheme for detecting SYNflooding attacks as well as TCP portscan activity. The scheme examines TCPsegments to find at least one of multiple ACK segments coming from the server.The method is simple and scalable, because it achieves a good detection with aFalse Positive Rate close to zero even for very low sampling rates. Our trace-basedsimulations show that the effectiveness of the proposed scheme only relies on thesampling rate regardless of the sampling method.In the third part, we consider the problem of detecting Skype traffic and classi-fying Skype service flows such as voice calls, skypeOut, video conferences, chat, fileupload and download. We propose a classification method for Skype encrypted traf-fic based on the Statistical Protocol IDentification (SPID) that analyzes statisticalvalues of some traffic attributes. We have evaluated our method on a representativedataset to show excellent performance in terms of Precision and Recall.The last part defines a framework based on two complementary methods for clas-sifying application flows encrypted with TLS/SSL. The first one models TLS/SSLsession states as a first-order homogeneous Markov chain. The parameters of theMarkov models for each considered application differ a lot, which is the basis foraccurate discrimination between applications. The second classifier considers thedeviation between the timestamp in the TLS/SSL Server Hello message and thepacket arrival time. It improves the accuracy of application classification and al-lows efficient identification of Skype flows. We combine the methods using a NaiveBayes Classifier (NBC).We validate the framework with experiments on three recentdatasets—we apply our methods to the classification of seven popular applicationsthat use TLS/SSL for security. The results show a very good performance.

Sécurité

La classification du trafic réseau

Détection d'intrusion

Chiffrement

DDoS et scan de port

Échantillonnage

Security

Network traffic classification

Intrusion detection

Encryption

DDoS and portscan

Sampling

Modèles et mécanismes pour la protection contre les attaques par déni de service dans les réseaux de capteurs sans fil / Mechanisms and modeling tools for protection against denial of service attacks in wireless sensor networks

Monnet, Quentin

17 July 2015

Composés d'appareils fortement limités en ressources (puissance de calcul, mémoire et énergie disponible) et qui communiquent par voie hertzienne, les réseaux de capteurs sans fil composent avec leurs faibles capacités pour déployer une architecture de communication de manière autonome, collecter des données sur leur environnement et les faire remonter jusqu'à l'utilisateur. Des « transports intelligents » à la surveillance du taux de pollution environnemental, en passant par la détection d'incendies ou encore l'« Internet des objets », ces réseaux sont aujourd'hui utilisés dans une multitude d'applications. Certaines d'entre elles, de nature médicale ou militaire par exemple, ont de fortes exigences en matière de sécurité. Les travaux de cette thèse se concentrent sur la protection contre les attaques dites par « déni de service », qui visent à perturber le fonctionnement normal du réseau. Ils sont basés sur l'utilisation de capteurs de surveillance, qui sont périodiquement renouvelés pour répartir la consommation en énergie. De nouveaux mécanismes sont introduits pour établir un processus de sélection efficace de ces capteurs, en optimisant la simplicité de déploiement (sélection aléatoire), la répartition de la charge énergétique (sélection selon l'énergie résiduelle) ou encore la sécurité du réseau (élection démocratique basée sur un score de réputation). Sont également fournis différents outils pour modéliser les systèmes obtenus sous forme de chaines de Markov à temps continu, de réseaux de Petri stochastiques (réutilisables pour des opérations de model checking) ou encore de jeux quantitatifs / Memory and little energy available), communicating through electromagnetic transmissions. In spite of these limitations, sensors are able to self-deploy and to auto-organize into a network collecting, gathering and forwarding data about their environment to the user. Today those networks are used for many purposes: “intelligent transportation”, monitoring pollution level in the environment, detecting fires, or the “Internet of things” are some example applications involving sensors. Some of them, such as applications from medical or military domains, have strong security requirements. The work of this thesis focuses on protection against “denial of service” attacks which are meant to harm the good functioning of the network. It relies on the use of monitoring sensors: these sentinels are periodically renewed so as to better balance the energy consumption. New mechanisms are introduced so as to establish an efficient selection process for those sensors: the first one favors the ease of deployment (random selection), while the second one promotes load balancing (selection based on residual energy) and the last one is about better security (democratic election based on reputation scores). Furthermore, some tools are provided to model the system as continuous-time Markov chains, as stochastic Petri networks (which are reusable for model checking operations) or even as quantitative games

Réseaux de capteurs sans fils

Énergie

Sécurité

Déni de service

Détection d'intrusion

Modélisation

Wireless Sensor Networks

Energy

Security

Denial of Service

Intrusion detection

Modeling

Supervision de la sécurité pour des réseaux ad hoc mobiles : un système léger, robuste, et fiable de détection d'intrusion / Security supervision of mobile ad hoc networks : a lightweight, robust and reliable Intrusion detection system

Alattar, Mouhannad

12 July 2013

Les réseaux mobiles ad hoc, appelé généralement MANET ( Mobile Ad hoc NETwork ) continuent augmenter leur présence dans notre vie. Ils deviennent une pierre angulaire du commerce, de la société, de l'armée, de la science, et même des applications de future. Cependant, ces réseaux opèrent souvent dans des environnements ouverts, ce qui les rend particulièrement vulnérables aux nombreux menaces. Ainsi, les méthodes traditionnelles de sécuriser les réseaux s'appuyant sur les techniques de prévention, par exemple le pare-feu et le cryptage, ne sont plus suffisants et doivent être enrichies par des mécanismes réactifs comme le système de détection d'intrusions (ou Intrusion Detection System(IDS)). Concevoir un IDS pour les MANETs est assez difficile parce qu'il doit à la fois assurer une précision de détection élevée, prendre en compte les ressources limitées (en terme de mémoire, de batteries et la bande passante), et adapter à la nature dynamique de ces réseaux. En plus, le système de détection ne devrait pas être une cible d'attaques ou la falsification. Nous avons proposé dans cette thèse un système robuste, léger et efficace de détection qui répond aux exigences de MANETs. Nous avons d'abord étudié les attaques qui menacent les MANETs, en se concentrant sur les attaques visant le protocole de routage OLSR (Optimized Link State Routing). Ensuite, nous présentons notreIDS qui offre un taux élevé d'attaques ainsi que le maintien efficacement les ressources limitées du réseau. A cet effet, notre système analyse les traces de routage au lieu de surveiller le trafic afin d'identifier tout évidence d’activité suspecte. Après, il fait correspondre les évidences à un ensemble de signatures prédéfinies; une signature est perçue comme étant un ensemble partiellement ordonné d’événements caractérisant une intrusion. En outre, notre IDS dépend du degré de suspicion des évidences afin de manière à efficacement limiter le nombre et la durée de ses opérations coûteuses entermes de ressources. Vers une meilleure gestion des ressources disponibles, nous utilisons également l'intervalle deconfiance pour mesurer la fiabilité de détection. Cette mesure statistique permet à: (i) éviter le gaspillage de ressources résultant de collecte et de traitement des évidences redondantes, et (ii) prendre correctement la décision liées à la détection, par exemple déclarer le noeud suspect comme étant un intrus. Afin d'améliorer la robustesse de notre IDS, nous le couple avec un modèle de crédit basé sur l'entropie. Ce modèle surveille le comportement des noeuds lors de la détection afin d’assigner un crédit pour chaque noeud dans le réseau. Notre IDS se base sur les crédits attribuées aux noeuds afin de réduire les effets néfastes des évidences falsifiées fournies par les noeuds méfiants. Le modèle decrédit proposé prend en compte le niveau de risque des attaques. Plus précisément, le taux de perte de crédit d'un noeud méfiants est relié aux conséquences de l'attaque dont ce noeud a essayé d'aider. Notre IDS et les modèles couplés ont été expérimentées sur différents scénarios de la mobilité et de la densité. Les résultats montrent que notre détecteur offrent un taux de détection élevé, en combinaison avec un entretien remarquable des ressources disponibles. De plus, il présente une robustesse importante contre les faux évidences de détection. / Mobile Ad hoc NETworks (referred to as MANETs) continue increasing their presence in our every day life. They become a corner stone in the commercial, the society, the military, the science, and even the next-generation applications. However, these networks mostly operate over open environments and are therefore vulnerable to a large body of threats. Traditional ways of securing networks relying on preventive techniques, e.g., firewall and encryption, are not sufficient and should henceforth be coupled with a reactive security solution, e.g., the Intrusion Detection Systems (IDSs). Designing anIDS for MANETs is quite challenging because such IDS must not only ensure a high detection accuracy but also take into account the limited resources (e.g., battery life and bandwidth) and the dynamic nature of these networks. Moreover, the designed IDS itself should not be a target of attacks and/or falsification. In this thesis, we respond to these requirements by proposing a lightweight and robust Intrusion Detection System (IDS), dedicated to protecting MANETs. We first explore the space of attacks that threaten MANETs, focusing on the attacks targeting the Optimized Link State Routing protocol. We then introduce our IDS that offers a high rate of attacks along with maintaining efficiently the limited resources in the network. Indeed, contrary to existing systems that monitor the packets going through the host, our system distinguishes itself by parsing and analyzing logs in order to identify patterns of misuse. It further depends on the level of suspicion andgravity involved so as to efficiently restrict the number and the duration of its costly operations, in terms of resources. Towards a better management of the available resources, we also use the confidence interval as a measure of detection reliability. This statistical measure allows our IDS to: (i) identify the redundant evidences, hence the waste of resources resulting from gathering and processing them is avoided, and (ii) correctly make the critical detection-related decisions. In order to enhance the robustness of our IDS, we couple it with an entropy-based trust model that assigns, based on theirunlawful participation in the detection, a low trustworthiness to the misbehaving nodes. Thanks to the estimated trustworthiness, our IDS reduces the bad effects of the falsified feedback provided by the distrustful nodes. The proposed trust model is a risk-aware whereas the higher the risk of an attack, the higher (resp. the lower) is the trust in the nodes which help in detecting (resp. colluding) it. The proposed IDS and the coupled models have been experimented on different scenarios of mobility and density. The results show that our detector offer a high detection rate along with a remarkablemaintenance of the available resources. Moreover, it presents a significant robustness against the falsified detection-related evidences.

Sécurité

Détection d'intrusion

Routage ad oc

Conservation de ressources

Fiabilité

Intervalle de confiance

Truste

Security

Intrusion detection

Ad hoc routing

Resources maintaining

Detection reliability

005.8

Recherche et détection des patterns d'attaques dans les réseaux IP à hauts débits

Zaidi, Abdelhalim

14 January 2011

Avec leur rôle important dans la protection des réseaux, les Systèmes de Détection d'Intrusion (IDS) doivent être capables d'adapter leurs modes de fonctionnement à toutes les innovations technologiques. L'IDS doit gérer une grande masse d'information et traiter un trafic réseau à une cadence très élevée à cause des vitesses de transfert et de la diversité des services offerts. Il doit aussi traiter un grand nombre d'attaques qui ne cesse d'augmenter. Par conséquent, améliorer les performances des IDS devient une tâche critique pour les concepteurs des mécanismes de protection. Dans notre thèse, nous nous focalisons sur les problèmes liés aux paramètres quantitatifs de l'utilisation des l'IDS. Nous proposons une approche pour la classification des signatures d'attaques en fonction de leurs sous-chaînes communes. Cette approche permet de réduire le nombre des signatures traitées et par conséquent réduire le temps d'exécution. Nous traitons aussi le problème de la masse de données analysée par l'IDS, nous proposons une architecture de détection basée sur la classification des connexions réseau. L'architecture proposée permet de décider de la nature d'une connexion : suspecte ou non. Dans le premier cas, la connexion doit être analysée par le système de détection d'intrusion. Sinon, si elle n'est pas suspecte nous pouvons décider de ne pas l'analyser par l'IDS.

Sécurité informatique

détection d'intrusion

pattern matching

sous-chaînes communes

classification par apprentissage

réseau Bayesien naïf

système multi-agents

ontologie

seuils de détection stochastique

Cyber sécurité des systèmes industriels pour les smart-grids : détection d'intrusion dans les réseaux de communication IEC 61850 / Cyber security of smart-grid control systems : intrusion detection in IEC 61850 communication networks

Kabir-Querrec, Maëlle

28 June 2017

Les systèmes de contrôle et d'automatisation industriels (IACS - Industrial Control and Automation Systems) reposent largement et de plus en plus sur les Technologies de l'Information et de la Communication. A l'origine, les IACS utilisaient des protocoles propriétaires sur des réseaux fermés, assurant ainsi une sécurité par obscurité et isolement. Mais les technologies et les usages ont évolué et cette sécurité intrinsèque n'existe plus désormais. Cette évolution concerne entre autre le domaine électrique : le réseau électrique devenant le "smart grid".Le standard IEC 61850 est un pilier pour le développement du smart grid. Il a pour objectif de rendre possible l'interopérabilité dans les "Systèmes et réseaux de communication pour l'automatisation des services de distribution d'énergie". Pour cela, la norme définit un modèle de données commun ainsi qu'une pile de protocoles répondant à divers besoins de communication.Le standard IEC 61850 n'aborde pas la question de la cyber sécurité malgré une prise de conscience générale qu'un risque cyber pèse sur les IACS.Ces travaux de recherche proposent de répondre à cette question de la cyber sécurité par de la détection d'intrusion dans les réseaux IEC 61850, et plus précisément dans les communications temps-réel GOOSE. L'idée est d'exploiter au maximum les sources d'informations que sont les spécifications du protocole et la configuration du système pour développer un système de détection d'intrusion réseau (NIDS - Network Intrusion Detection System) sur mesure. Cette approche comportementale déterministe est un gage de précision de détection.Ce manuscrit compte quatre chapitres. Les deux premiers consistent en un état de l'art détaillé sur les NIDS pour les IACS d'une part, et l'analyse du risque cyber d'autre part. Les deux autres chapitres présentent les contributions proprement dites de ces travaux de thèse. Le chapitre 3 explore tout d'abord le risque cyber pesant sur un poste électrique et pouvant compromettre la sûreté de fonctionnement du système. Dans un deuxième temps, est proposée une extension du modèle de données IEC 61850 dédiées à la détection d'intrusion dans les communication GOOSE. Le chapitre 4 commence avec la démonstration expérimentale de la faisabilité d'une attaque de type injection de données sur le protocole GOOSE, puis explique comment utiliser les fichiers de configuration du système pour spécifier les règles de détection. Un analyseur syntaxique pour le protocole GOOSE a été intégré à l'analyseur de trafic open source Bro, permettant l'implémentation d'un algorithme de détection. / Information and Communication Technologies have been pervading Industrial Automation and Control Systems (IACS) for a few decades now. Initially, IACS ran proprietary protocols on closed networks, thus ensuring some level of security through obscurity and isolation. Technologies and usages have evolved and today this intrinsic security does not exist any longer, though. This transition is in progress in the electricity domain, the power infrastructure turning into the "smart grid".The IEC 61850 standard is key to the smart grid development. It is aimed at making interoperability possible in ``Communication networks and systems for power utility automation''. It thus defines a common data object model and a stack of protocols answering different purposes.Although the cyber risk in IACS is now widely acknowledged, IEC 61850 does not address cyber security in any way whatsoever.This work tackles the question of cyber security through network intrusion detection in IEC 61850 networks, and more specifically in real-time GOOSE communications. The idea is to get the most out of the protocol specifications and system configuration while developing a tailored NIDS. This enables detection accuracy.

IEC 61850

Détection d'intrusion réseau - NIDS

Systèmes de contrôle industriel - ICS

Cyber sécurité

Protocole GOOSE

Smart grid

IEC 61850

Network intrusion detection - NIDS

Industrial control system - ICS

Cyber security

GOOSE protocol

Smart grid

620