Risk assessment and intrusion detection for airbone networks / Analyse de risque et détection d'intrusions pour les réseaux avioniques

Gil Casals, Silvia

21 July 2014

L'aéronautique connaît de nos jours une confluence d'événements: la connectivité bord-sol et au seinmême de l’avion ne cesse d'augmenter afin, entre autres, de faciliter le contrôle du trafic aérien et lamaintenabilité des flottes d’avions, offrir de nouveaux services pour les passagers tout en réduisant lescoûts. Les fonctions avioniques se voient donc reliées à ce qu’on appelle le Monde Ouvert, c’est-à-direle réseau non critique de l’avion ainsi qu’aux services de contrôle aérien au sol. Ces récentesévolutions pourraient constituer une porte ouverte pour les cyber-attaques dont la complexité necesse de croître également. Cependant, même si les standards de sécurité aéronautique sont encoreen cours d'écriture, les autorités de certification aéronautiques demandent déjà aux avionneursd'identifier les risques et assurer que l'avion pourra opérer de façon sûre même en cas d'attaque.Pour répondre à cette problématique industrielle, cette thèse propose une méthode simple d'analysede risque semi-quantitative pour identifier les menaces, les biens à protéger, les vulnérabilités etclasser les différents niveaux de risque selon leur impact sur la sûreté de vol et de la potentiellevraisemblance de l’attaque en utilisant une série de tables de critères d’évaluation ajustables. Ensuite,afin d'assurer que l'avion opère de façon sûre et en sécurité tout au long de son cycle de vie, notredeuxième contribution consiste en une fonction générique et autonome d'audit du réseau pour ladétection d'intrusions basée sur des techniques de Machine Learning. Différentes options sontproposées afin de constituer les briques de cette fonction d’audit, notamment : deux façons demodéliser le trafic au travers d’attributs descriptifs de ses caractéristiques, deux techniques deMachine Learning pour la détection d’anomalies : l’une supervisée basée sur l’algorithme One ClassSupport Vector Machine et qui donc requiert une phase d’apprentissage, et l’autre, non superviséebasée sur le clustering de sous-espace. Puisque le problème récurrent pour les techniques dedétection d’anomalies est la présence de fausses alertes, nous prônons l’utilisation du Local OutlierFactor (un indicateur de densité) afin d’établir un seuil pour distinguer les anomalies réelles desfausses alertes. / Aeronautics is actually facing a confluence of events: connectivity of aircraft is graduallyincreasing in order to ease the air traffic management and aircraft fleet maintainability, andto offer new services to passengers while reducing costs. The core avionics functions are thuslinked to what we call the Open World, i.e. the non-critical network of an aircraft as well asthe air traffic services on the ground. Such recent evolutions could be an open door to cyberattacksas their complexity keeps growing. However, even if security standards are still underconstruction, aeronautical certification authorities already require that aircraft manufacturersidentify risks and ensure aircraft will remain in a safe and secure state even under threatconditions.To answer this industrial problematic, this thesis first proposes a simple semi-quantitative riskassessment framework to identify threats, assets and vulnerabilities, and then rank risk levelsaccording to threat scenario safety impact on the aircraft and their potential likelihood byusing adjustable attribute tables. Then, in order to ensure the aircraft performs securely andsafely all along its life-cycle, our second contribution consists in a generic and autonomousnetwork monitoring function for intrusion detection based on Machine Learning algorithms.Different building block options to compose this monitoring function are proposed such as:two ways of modeling the network traffic through characteristic attributes, two MachineLearning techniques for anomaly detection: a supervised one based on the One Class SupportVector Machine algorithm requiring a prior training phase and an unsupervised one based onsub-space clustering. Since a very common issue in anomaly detection techniques is thepresence of false alarms, we prone the use of the Local Outlier Factor (a density indicator) toset a threshold in order to distinguish real anomalies from false positives.This thesis summarizes the work performed under the CIFRE (Convention Industrielle deFormation par la Recherche) fellowship between THALES Avionics and the CNRS-LAAS atToulouse, France.

Sécurité des réseaux avioniques

Analyse de risque

Processus

Détection d’anomalies/d’intrusions

Machine Learning

Airworthiness security

Process

Risk assessment

Intrusion/anomaly detection

Machine Learning

629.135 5