FR3105485A1 - Procede et dispositif de detection d’equipement intrus - Google Patents
Procede et dispositif de detection d’equipement intrus Download PDFInfo
- Publication number
- FR3105485A1 FR3105485A1 FR1914845A FR1914845A FR3105485A1 FR 3105485 A1 FR3105485 A1 FR 3105485A1 FR 1914845 A FR1914845 A FR 1914845A FR 1914845 A FR1914845 A FR 1914845A FR 3105485 A1 FR3105485 A1 FR 3105485A1
- Authority
- FR
- France
- Prior art keywords
- equipment
- auxiliary
- network
- digitized
- unknown
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title description 15
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000000694 effects Effects 0.000 claims description 10
- 238000013528 artificial neural network Methods 0.000 claims description 8
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 230000000306 recurrent effect Effects 0.000 claims description 4
- 230000004931 aggregating effect Effects 0.000 claims description 2
- 239000013598 vector Substances 0.000 description 42
- 238000005192 partition Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 11
- 238000000638 solvent extraction Methods 0.000 description 11
- 239000000243 solution Substances 0.000 description 10
- 238000003745 diagnosis Methods 0.000 description 8
- 238000013459 approach Methods 0.000 description 6
- 239000000523 sample Substances 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005670 electromagnetic radiation Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003071 parasitic effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/79—Radio fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Burglar Alarm Systems (AREA)
Abstract
L’invention concerne un dispositif et un procédé de détection d’équipement inconnu dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes, le procédé comprenant les étapes de:- - recevoir et enregistrer les émissions électromagnétiques auxiliaires des équipements du réseau ;- - analyser les émissions électromagnétiques auxiliaires reçues ; et- - déterminer la présence ou non d’au moins un équipement inconnu parmi l’ensemble des équipements du réseau. - Figure pour l’abrégé : Fig. 2.
Description
L’invention se situe dans le domaine de la détection d’intrusion, et concerne plus particulièrement un procédé et un dispositif de détection d’équipement intrus sur un réseau.
La détection d'intrus sur un réseau s'inscrit notamment dans la démarche d'analyse de sécurité des systèmes d'information (SSI). Les objectifs de l'intrus peuvent être multiples : interception et écoute du trafic réseau et des données échangées, injection de commandes, etc.
Les solutions existantes permettant de détecter les intrus sur un réseau sont basées principalement sur l'analyse du trafic réseau afin de détecter toute forme d'anomalie sur ce trafic. En effet, les techniques connues récupèrent toutes les traces réseau afin de réaliser un filtre sur le trafic légitime et détecter les traces que générerait l'intrus. Les articles suivants décrivent de telles solutions:
- Conti, M., Dragoni, N., & Lesyk, V. (2016), “A survey of man in the middle attacks”, IEEE Communications Surveys & Tutorials, 18(3), 2027-2051.
- Trabelsi, Z., & Shuaib, K. (2006, November), NIS04-4: “Man in the middle intrusion detection” in IEEE Globecom 2006 (pp. 1-6). IEEE.
- Conti, M., Dragoni, N., & Lesyk, V. (2016), “A survey of man in the middle attacks”, IEEE Communications Surveys & Tutorials, 18(3), 2027-2051.
- Trabelsi, Z., & Shuaib, K. (2006, November), NIS04-4: “Man in the middle intrusion detection” in IEEE Globecom 2006 (pp. 1-6). IEEE.
Avec l'avènement des réseaux sans-fil, les intrus peuvent maintenant chercher à s'insérer directement dans le trafic sans fil, comme cela est proposé dans l’article de Rahman, A., Ezeife, C. I., & Aggarwal, A. K. (2008, August), “Wifi miner: an online apriori-infrequent based wireless intrusion system” in International Workshop on Knowledge Discovery from Sensor Data (pp. 76-93). Springer, Berlin, Heidelberg.
Or, les approches proposées supposent l'analyse du protocole visé. Par conséquent, un intrus respectant le protocole ne pourra pas être détecté par le système comme étant un intrus, notamment si celui-ci ne fait que de l'écoute.
Une autre approche pourrait être d’utiliser l'analyse de la consommation de courant. Ce type d’approche serait basé sur les cycles de fonctionnement des appareils. Or, l'intrus ayant une consommation beaucoup plus faible que le réseau considéré ne serait pas détectable par l'analyse du courant.
Enfin le signal électromagnétique contient beaucoup plus d’informations que la seule consommation de courant. Dans l’article de Khan, H. A., Sehatbakhsh, N., Nguyen, L. N., Callan, R. L., Yeredor, A., Prvulovic, M., & Zajic, A. (2019), “IDEA: Intrusion Detection through Electromagnetic-Signal Analysis for Critical Embedded and Cyber-Physical Systems”, IEEE Transactions on Dependable and Secure Computing, le signal électromagnétique est utilisé pour détecter des comportements anormaux sur une puce comme, par exemple, l’exécution d’un programme malveillant.
Ainsi, au vu des différents inconvénients relevés par l’utilisation des techniques existantes, il existe un besoin pour un dispositif qui palie ces inconvénients. La présente invention répond à ce besoin.
Ainsi, un objet de l’invention est de fournir une solution pour détecter l'insertion d'un équipement électronique non-connu dans un réseau légitime.
Avantageusement, la solution proposée permet de sécuriser un réseau ou bien un équipement. Notamment, l'invention s'insère dans une démarche de sécurité des systèmes d'information.
Contrairement aux solutions communément utilisées sur l'analyse du trafic réseau, la solution revendiquée se distingue des solutions d'analyse de trafic réseau car elle n'utilise pas la connaissance du réseau. De ce fait, elle est capable de détecter des intrus parfaitement insérés dans le réseau ciblé et non détectables par les solutions connues.
La solution revendiquée se distingue d’une solution d'analyse du courant car elle détecte la seule présence de l'intrus, indépendamment de ses cycles d'activité. Elle permet aussi la détection même pour des appareils intrus basse consommation.
L’invention trouvera des applications avantageuses dans de nombreux domaines techniques tels que des systèmes informatiques en réseau (ou bien isolé), des systèmes de contrôle et d'acquisition de données, l’Internet des objets, les réseaux filaires et sans fil.
Pour obtenir les résultats recherchés, il est proposé un procédé mis en œuvre par ordinateur de détection d’équipement inconnu dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes, le procédé comprenant les étapes de :
- recevoir et enregistrer les émissions électromagnétiques auxiliaires des équipements du réseau ;
- analyser les émissions électromagnétiques auxiliaires reçues ; et
- déterminer la présence ou non d’au moins un équipement inconnu parmi l’ensemble des équipements du réseau.
- recevoir et enregistrer les émissions électromagnétiques auxiliaires des équipements du réseau ;
- analyser les émissions électromagnétiques auxiliaires reçues ; et
- déterminer la présence ou non d’au moins un équipement inconnu parmi l’ensemble des équipements du réseau.
Selon des modes de réalisation alternatifs ou combinés:
- l’étape recevoir et enregistrer les émissions électromagnétiques auxiliaires comprend des étapes de :
- convertir les émissions électromagnétiques auxiliaires reçues de chaque équipement en un signal auxiliaire analogique ;
- convertir chaque signal auxiliaire analogique en un signal auxiliaire numérisé ; et
- agréger l’ensemble des signaux auxiliaires numérisés en un signal auxiliaire agrégé numérisé.
- l’étape d’analyse des émissions électromagnétiques auxiliaires comprend une étape de modélisation du fonctionnement des ‘n’ équipements légitimesà partir des signaux auxiliaires numérisés ; et l’étape de détermination de la présence ou non d’un équipement inconnu consiste à analyser le signal auxiliaire agrégé numérisé à partir de la modélisation.
- l’étape de modélisation comprend des étapes de :
- détecter et extraire des signaux auxiliaires numérisés, des segments correspondant à des périodes d’activité des équipements ;
- calculer sur les segments extraits, des composantes en nombre réduit et morphologiquement simples, dites motifs élémentaires ; et
- générer un modèle séquentiel de fonctionnement et un dictionnaire des motifs élémentaires.
- l’étape de générer un modèle séquentiel consiste à entrainer un réseau de neurones récurrent.
- la modélisation est une modélisation parcimonieuse basée sur un algorithme proximal.
- l’étape de détermination de la présence ou non d’équipement inconnu, comprend des étapes de :
- calculer une valeur de plausibilité du signal auxiliaire agrégé numérisé ; et
- diagnostiquer la présence ou non d’équipement inconnu en fonction du résultat.
- l’étape de calcul de plausibilité comprend des étapes de :
- générer une série temporelle représentative de l’évolution de la plausibilité d’une séquence du signal auxiliaire agrégé numérisé ; et
- identifier dans la série temporelle une ou des ruptures, représentant des intrusions potentielles.
- l’étape recevoir et enregistrer les émissions électromagnétiques auxiliaires comprend des étapes de :
- convertir les émissions électromagnétiques auxiliaires reçues de chaque équipement en un signal auxiliaire analogique ;
- convertir chaque signal auxiliaire analogique en un signal auxiliaire numérisé ; et
- agréger l’ensemble des signaux auxiliaires numérisés en un signal auxiliaire agrégé numérisé.
- l’étape d’analyse des émissions électromagnétiques auxiliaires comprend une étape de modélisation du fonctionnement des ‘n’ équipements légitimesà partir des signaux auxiliaires numérisés ; et l’étape de détermination de la présence ou non d’un équipement inconnu consiste à analyser le signal auxiliaire agrégé numérisé à partir de la modélisation.
- l’étape de modélisation comprend des étapes de :
- détecter et extraire des signaux auxiliaires numérisés, des segments correspondant à des périodes d’activité des équipements ;
- calculer sur les segments extraits, des composantes en nombre réduit et morphologiquement simples, dites motifs élémentaires ; et
- générer un modèle séquentiel de fonctionnement et un dictionnaire des motifs élémentaires.
- l’étape de générer un modèle séquentiel consiste à entrainer un réseau de neurones récurrent.
- la modélisation est une modélisation parcimonieuse basée sur un algorithme proximal.
- l’étape de détermination de la présence ou non d’équipement inconnu, comprend des étapes de :
- calculer une valeur de plausibilité du signal auxiliaire agrégé numérisé ; et
- diagnostiquer la présence ou non d’équipement inconnu en fonction du résultat.
- l’étape de calcul de plausibilité comprend des étapes de :
- générer une série temporelle représentative de l’évolution de la plausibilité d’une séquence du signal auxiliaire agrégé numérisé ; et
- identifier dans la série temporelle une ou des ruptures, représentant des intrusions potentielles.
L’invention couvre aussi un produit programme d’ordinateur comprenant des instructions de code non transitoire permettant d’effectuer les étapes du procédé revendiqué, lorsque le programme est exécuté sur un ordinateur.
L’invention couvre de plus un dispositif de détection d’équipement inconnu dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes, le dispositif comprenant des moyens pour mettre en œuvre les étapes du procédé revendiqué.
D’autres caractéristiques, détails et avantages de l’invention ressortiront à la lecture de la description faite en référence aux dessins annexés donnés à titre d’exemple et qui représentent, respectivement:
La figure 1 est une représentation simplifiée d’un environnement 100 permettant de mettre en œuvre le dispositif de l’invention. Il est composé d’une pluralité ‘n’ d’équipements connus, désignés comme équipements légitimes (100-1 à 100-n) et au moins un équipement inconnu 110. Les équipements légitimes et l’équipement inconnu peuvent être tout type d’équipement générant des parasites apparaissant sous forme d’émanations électromagnétiques ou émissions électromagnétiques auxiliaires. Dans l’exemple décrit, pour des raisons de clarté et de simplification, il est considéré que les équipements légitimes sont des ordinateurs et l’équipement inconnu est également un ordinateur. L’équipement inconnu pourrait par exemple être une carte processeur.
La figure 2 présente de manière simplifiée le dispositif de l’invention dans un environnement comprenant des équipements légitimes (100-1 à 100-n) et un équipement inconnu 110. Le dispositif de l’invention comprend un système de captation 202 apte à recevoir et enregistrer les émissions électromagnétiques auxiliaires de tous les équipements légitimes et des équipements inconnus le cas échéant. Le système de captation 202 est lui-même composé d’un récepteur 204 qui convertit les émissions auxiliaires récoltées des équipements en un signal analogique, et d’un dispositif de conversion analogique-numérique 206 pour convertir le signal analogique en un signal numérique. Le dispositif de l’invention comprend de plus un module d’analyse 208 configuré pour exploiter et analyser les signaux recueillis par le système de captation 202 afin de déterminer la présence ou non d’un ou plusieurs équipements inconnus. Le module d’analyse 208 peut être un programme d’ordinateur qui comprend des instructions de code non transitoire permettant d’effectuer l’analyse des signaux reçus et générer un diagnostic d’analyse.
Les émissions auxiliaires des équipements légitimes et de l’équipement inconnu sont représentées sur la figure 2 par des flèches reliant chaque élément au dispositif de captation 202. Le convertisseur analogique-numérique 206 reçoit du récepteur 204 un signal analogique qu’il numérise. Le signal numérique est transmis au module d’analyse 208.
Le récepteur 204 est un capteur qui dans un mode de réalisation peut être une antenne large bande pour une mesure et une récupération du rayonnement électromagnétique. Dans un autre mode de réalisation, le récepteur 204 peut être une sonde de courant ou bien de tension pour une mesure et une récupération par conduction.
Le convertisseur analogique-numérique 206 peut être dans un mode de réalisation un élément de type récepteur radio ou bien une radio logicielle avec bande d’analyse réglable et son filtre associé (réception accordable). Dans un autre mode de réalisation, le convertisseur analogique-numérique 206 peut être un élément de type oscilloscope numérique (réception non accordable) avec ou non un filtre de sélection.
Dans une variante de réalisation, un amplificateur faible bruit peut être intercalé entre le récepteur 204 et le convertisseur analogique-numérique 206.
La figure 3 illustre une séquence fonctionnelle 300 du procédé de l’invention depuis la captation 302 des signaux auxiliaires 310 au diagnostic d’intrusion 306. La séquence commence par la captation 302 par le système de captation 202, des signaux auxiliaires 310 émis par les équipements, et comprend ensuite deux phases: une phase 304 de modélisation du fonctionnement normal des équipements connus décrite en détail en référence aux figures 4 et 5, et une phase 306 de monitoring et de détection d’intrus ou d’anomalies éventuels décrite en détail en référence aux figures 6 et 7.
La phase de modélisation 304 va comporter un calcul de motifs élémentaires (bloc 404, figure 4) à partir des émissions individuelles 320 des équipements légitimes. Le récepteur 204 du système de captation qui est utilisé doit permettre de mesurer séparément les émissions auxiliaires de ces équipements. Dans un mode de réalisation, une sonde de captation des signaux parasites, est placée successivement autour des cordons d’alimentation de chacun des équipements. Lors de la phase de détection, il est nécessaire de pouvoir capter des émissions d’équipements inconnus.
Dans un mode de réalisation, la sonde de captation des signaux peut être une antenne en fonction de la topologie du réseau à protéger. Pendant la phase de détection, les signaux parasites générés par l'intrus sont captés par la sonde ou bien par l'antenne. Pour les deux phases de modélisation et de détection, les émissions auxiliaires sont captées, numérisées dans les blocs 204, 206 du système de captation 202, et transmises au calculateur 208 qui intègre les blocs de modélisation 304 et de détection 306. Les signaux 320 correspondant aux équipements pris séparément, sont transmis au bloc de modélisation 304 qui produit un modèle séquentiel 330 et un dictionnaire de motifs élémentaires 332. Les signaux correspondant aux émissions agrégées des équipements en fonctionnement (y compris de potentiel intrus) sont transmis comme un signal auxiliaire agrégé numérisé 340 au bloc de détection 306 pour effectuer un diagnostic d’intrusion en utilisant le modèle séquentiel 330 et le dictionnaire de motifs élémentaires 332 produits par le bloc de modélisation 304.
La figure 4 montre les différents composants fonctionnels intervenant dans la modélisation 304 du fonctionnement des équipements légitimes. Un premier bloc 402 est configuré pour détecter et d’extraire des signaux reçus du système de captation, des segments correspondant à des périodes d’activités des équipements dont les émissions auxiliaires ont été mesurées. Sur ces segments, il est attendu que les signaux présentent des morphologies particulières. Aussi, un second bloc 404 a pour fonction de calculer des composantes en nombre réduit et morphologiquement plus simples que les signaux sur les segments initialement extraits par le bloc 402. Ce jeu de composantes réduites permet de recomposer l’ensemble des segments initiaux. Dans la suite de la description, ces composantes sont désignées par «motifs élémentaires». Dans un mode de réalisation, l’apprentissage des motifs élémentaires se fait via un algorithme de factorisation en matrices non négatives. Plus généralement, tout autre méthode d’apprentissage de dictionnaires à valeurs positives ou nulles pourrait être mise en œuvre.
Ces motifs élémentaires sont les entrées d’un bloc 406 qui a pour fonction de calculer une nouvelle représentation du signal fourni initialement par le système de captation et qui soit basée sur les motifs élémentaires calculés. La représentation modélisée du signal est une représentation vectorielle, c’est-à-dire qu’à chaque instant, le signal, dans sa nouvelle représentation, a pour valeur un vecteur. Chaque composante de ces vecteurs représente le poids par lequel il faut multiplier un motif élémentaire correspondant de sorte qu’en additionnant les motifs élémentaires ainsi pondérés, on retrouve le signal initial sur un segment temporel en amont et incluant l’instant considéré. Cette nouvelle représentation du signal est parcimonieuse, c’est-à-dire que les valeurs des composantes des vecteurs sont pour la plupart négligeables, à l’exception – par construction – des instants marquant le début d’une phase d’activité des équipements correspondant au signal mesuré. Dans un mode de réalisation, la modélisation parcimonieuse repose sur un algorithme proximal. De façon plus générale, tout algorithme permettant de minimiser une fonction convexe non différentiable pourrait être mis en œuvre.
Les vecteurs issus du bloc de modélisation parcimonieuse 406 sont les entrées d’un bloc 408 de standardisation, qui a pour fonction d’une part de sélectionner parmi les vecteurs reçus ceux dont les valeurs sont significatives, et d’autre part, de standardiser les vecteurs sélectionnés, c’est-à-dire de ramener à 0 la valeur moyenne et à 1 les écarts-types des valeurs de chacune des composantes de ces vecteurs.
Le bloc de standardisation 408 est couplé à un bloc de partitionnement 410 qui a pour fonction de réaliser un partitionnement de l’espace des vecteurs sélectionnés standardisés. Le partitionnement est basé sur un regroupement de ces vecteurs en sous-groupes homogènes («clustering» en anglais). Le bloc de partitionnement est configuré pour annoter les vecteurs, tel qu’à chaque instant, il est assigné au vecteur correspondant le numéro de la partition à laquelle il appartient. Dans un mode de réalisation, le partitionnement du bloc 410 est réalisé à l’aide de la méthode des k-moyennes. Cependant, tout autre algorithme de partitionnement de données pourrait être utilisé.
Le bloc de partitionnement 410 est couplé à un bloc 412 d’apprentissage d’un modèle séquentiel, étant donnée une séquence présentée en entrée. Dans un mode de réalisation, l’apprentissage du modèle séquentiel se fait par entrainement d’un réseau de neurones de type «Long Short- Term Memory»(LSTM). Cependant, l’homme du métier peut considérer d’utiliser toute autre forme de réseau de neurones récurrents.
Ainsi, l’apprentissage de motifs élémentaires dans le bloc 404 se fait sur les segments de signal extraits par le bloc 402. A partir de ces motifs élémentaires, le bloc 406 calcule une nouvelle représentation du signal qui est exploitée par les blocs 408 et 410. La partition produite par le bloc 410 est utilisée dans le bloc 412. Finalement l’apprentissage du bloc 412 est réalisé à partir de la séquence annotée produite par le bloc 410.
La figure 5 détaille la séquence des étapes permettant la création d’un modèle séquentiel. Les signaux numérisés 310 arrivant sur le bloc d’extraction 402 sont complexes: ils comportent, pour chaque pas de temps, une partie réelle et une partie imaginaire. Une première opération au sein du bloc d’extraction 402 est de calculer l’amplitude du signal entrant, à chaque pas de temps. Toutes les informations extraites par la suite portent sur le signal dont l’amplitude a été obtenue. Dans un mode de réalisation, l’extraction des phases d’activité se fait pour un intervalle de temps sur lequel l’amplitude du signal est supérieure à un seuil dérivé d’une estimation du bruit de fond. La figure 9 illustre un exemple de signal d’amplitude, le seuil d’activation étant matérialisé par la ligne horizontale du bas. Dans une implémentation concrète, le seuil d’activation est dérivé manuellement de l’examen de l’histogramme des valeurs des signaux d’amplitude, dont un exemple est montré sur la figure 10, et où le seuil correspond au pic tout à gauche. Dans une variante de réalisation, le seuil pourrait être déterminé de manière semi-automatique en utilisant une méthode de partitionnement de données connue telle que «DBSCAN». D’autres méthodes d’estimation de «baseline »pourraient être utilisées.
Une fois le seuil choisi, tous les segments du signal d’amplitude allant d’un passage au-dessus du seuil à un passage en dessous du seuil sont extraits. L’opération est répétée pour chacun des équipements légitimes. On obtient des segments de différentes formes et longueurs. La figure 9 illustre 4 segments S1 à S4.
Ces segments sont ensuite recalés par rapports à leurs barycentres temporels comme illustré par la figure 11. Les segments les plus courts sont complétés par des zéros de sorte que tous les segments aient la même longueur. Ils sont rangés dans une matriceA. Deux matricesMetWparcimonieuses et à valeurs positives sont calculées telles que:A≈M*W. L’homme du métier comprend que cela revient à déterminer des vecteurs à valeurs positives ou nulles telles que chacun des segments précédemment extrait peut s’obtenir en faisant une somme pondérée d’un nombre réduit de ces vecteurs. Ces vecteurs sont les «motifs élémentaires ». Ils sont en général plus simples que les motifs d’activités dont ils sont extraits et peuvent permettre de représenter une grande variété de motifs d’activité dus à la superposition d’émissions auxiliaires de plusieurs équipements différents. Des exemples sont illustrés sur la figure 12. Le nombre de motifs élémentaires est un paramètre fixé manuellement en fonction du rapport fausse alarme / non-détection visé par l'opérateur. L’ensemble de ces motifs élémentaires constitue un dictionnaire de motifs élémentaires, qui est ensuite exploité dans le bloc 406 de modélisation parcimonieuse, qui prend en entrée un signal d’amplitude résultant des émissions superposées des équipements légitimes, qui est le signal 340 auxiliaire agrégé numérisé.
Dans un mode de réalisation, le signal 340 s’obtient synthétiquement à partir des signaux individuels exploités à l’étape précédente. Dans une variante, le signal 340 s’obtient par une mesure agrégée via une antenne ou une sonde de courant. Cela donne lieu à des chevauchements arbitraires des motifs d’activité des différents équipements. Etant donnée cette variabilité, le signal d’amplitude agrégé est modélisé par une combinaison linéaireglissantedes motifs élémentaires. Ainsi, la valeur prise par l’amplitude à un instant donné résulte d’une somme pondérée des motifs élémentaires centrés sur cet instant et translatés autour de cet instant. Aussi, le procédé permet de déterminer pour chaque un instant un vecteur de poids, chaque poids correspondant à un motif élémentaire. Le modèle est fortement redondant au sens où il autorise plusieurs choix différents de poids permettant de reconstruire le signal d’amplitude.
Dans un mode de réalisation préférentiel, le procédé applique une modélisation parcimonieuse, c’est-à-dire pour laquelle les vecteurs de poids prennent généralement des valeurs négligeables, à l’exception de quelques instants, correspondant à l’apparition d’un motif d’activité d’un des équipements légitimes. En effet, une modélisation parcimonieuse a plus de chances d’être physiquement pertinente. Chaque motif élémentaire est associé à une série temporelle parcimonieuse qui donne son poids à chaque pas de temps. Le signal d’amplitude est alors égal à la somme des produits de convolution de chaque motif élémentaire par la série temporelle donnant son poids à chaque pas de temps. Pour déterminer les poids, le problème d’optimisation suivant doit être résolu:
oùaest le signal d’amplitude,m iun motif élémentaire etw i la série temporelle de poids associée au motif élémentairem i. Le deuxième terme de ce problème d’optimisation encourage la parcimonie des poids. La figure 13 illustre des exemples de séries temporelles de poids correspondant à trois motifs élémentaires. Ces poids prennent ponctuellement des valeurs significatives. L’ensemble de ces séries temporelles constituent une nouvelle représentation du signal d’amplitude initial: à chaque instant, le signal est représenté par un vecteur obtenu par concaténation des valeurs des poids calculés pour cet instant. Cette nouvelle représentation du signal d’amplitude initial est passée en entrée du bloc 410. Cette représentation étant parcimonieuse, il est nécessaire de ne sélectionner que les vecteurs ayant des valeurs significatives. Pour cela, un seuil minimum est fixé sur la norme 1 de ces vecteurs. Ce seuil est dérivé comme précédemment de l’analyse de l’histogramme des normes 1 de ces vecteurs. Cette sélection peut permettre de réduire le nombre de vecteur d’un facteur 10, ce qui allège les calculs subséquents. Ces vecteurs sont ensuite standardisés par le bloc 408 c’est-à-dire que l’on ramène à 0 la valeur moyenne et à 1 les écarts-types de chacune des composantes de ces vecteurs. Le bloc de partitionnement 410 reçoit une liste réduite de vecteurs standardisés. Il réalise une partition de l’espace de ces vecteurs comme illustré par la figure 8. Les vecteurs sélectionnés sont assemblés en groupes homogènes par la méthode des k-moyennes par exemple, et les barycentres de ces groupes sont simultanément calculés. Le partitionnement est donné par l’ensemble des régions de l’espace plus proches de chacun de ces centres de gravité que de tous les autres. Ces régions sont délimitées sur la figure 8 par les demi-droites, les cercles C1, C2, C3 représentant les barycentres calculés par la méthode des k-moyennes. Les partitions étant déterminées, l’étape de sélection et de normalisation est réitérée dans le bloc 408, avec cette fois un seuil plus bas que celui utilisé pour la construction des partitions. Chaque vecteur de la nouvelle séquence sélectionnée se voit alors assigner le numéro de la partition correspondant au barycentre dont il est le plus proche dans le bloc 410. L’usage d’un double seuil permet un compromis entre la robustesse de la construction du partitionnement et la représentativité des vecteurs sélectionnés. En effet, la construction des partitions ne repose que sur les vecteurs dont on est sûr qu’ils sont physiquement significatifs. Cependant, en faisant la sélection finale à un seuil plus bas, il est possibled’exploiter les vecteurs dont la qualité est moins sûre. La sélection induit nécessairement une irrégularité dans l’espacement temporel des vecteurs sélectionnés qu’il convient de prendre en considération pour l’élaboration d’un modèle séquentiel. Pour ce faire, avantageusement, le procédé permet d’augmenter chacun des vecteurs sélectionnés de l’écart temporel le séparant du vecteur sélectionné suivant. Ces écarts temporels sont préalablement divisés par leur écart-type. Cet écart-type est enregistré pour usage ultérieur sur de nouvelles données. La séquence obtenue, ainsi que la séquence des numéros des partitions auxquelles ont été assignés chacun des vecteurs sélectionnés sont transmis au bloc 412 d’entrainement d’un réseau de neurones. Les partitions peuvent être considérées comme étant un vocabulaire de fonctionnement des équipements. Lorsque les équipements sont en fonctionnement, les mots de ce vocabulaire sont produits suivant une séquentialité régulière, qui peut être observée sur la figure 14 qui présente une séquence de numéros de partitions. L’axe des ordonnées représente les numéros des partitions, allant dans l’exemple de 0 à 39. Cette régularité traduit la régularité supposée des cycles de fonctionnement des équipements légitimes. Le bloc 412 d’entrainement d’un réseau de neurones, a alors pour fonction de construire un modèle séquentiel qui, étant donnée une séquence de vecteurs issue du bloc 410 est capable de prédire la partition à laquelle appartiendra le prochain vecteur de la séquence. Il va ainsi apprendre les régularités sous-jacentes. Dans un mode de réalisation préférentiel, le réseau de neurones est un réseau de neurones récurrents de type LSTM. Dans une mise en œuvre concrète, le modèle atteint dans le cas d’étude considéré 80% de précision dans ses prédictions. Le modèle séquentiel constitue la sortie du bloc 412.
La figure 6 représente les composants 602, 604, 606 et 608 du bloc fonctionnel d’analyse et de détection de la présence éventuelle d’un équipement inconnu. Le composant 602 est identique au composant 406 de la figure 4. Le composant 604 reprend les fonctions de sélection et de standardisation du composant 408 et les fonctions d’annotation du composant 410 de la figure 4. Le composant 606 a pour fonction d’évaluer la plausibilité du signal observé, sous l’hypothèse d’absence d’équipement inconnu. Une valeur de plausibilité faible indique la présence probable d’un équipement inconnu. Le composant 608 a pour fonction l’identification des plages de temps sur lesquelles il y a des potentielles intrusions.
En fonctionnement, le composant 606 de calcul de la plausibilité du signal observé, prend en entrée une séquence annotée produite par le composant 604 de standardisation, et délivre en sortie une série temporelle donnant l’évolution de la plausibilité du signal analysé. A partir de cette série temporelle, le composant 608 de détection de ruptures produit un diagnostic d’intrusion, sous la forme d’un ensemble de plages de temps sur lesquelles il y a des intrusions potentielles.
Dans un mode de réalisation, le diagnostic d’intrusion est automatique. Dans une variante de réalisation, le diagnostic d’intrusion est manuel en fonction des besoins de l'opérateur.
La figure 7 illustre une séquence de diagnostic d’intrusion. Le bloc 602 prend en entrée un signal auxiliaire 310 provenant du dispositif de captation et un dictionnaire de motifs élémentaires 332 calculé lors de la phase de modélisation des équipements légitimes. Il renvoie en sortie une représentation vectorielle parcimonieuse du signal d’entrée. Puis par le composant 604, les vecteurs ayant des valeurs significatives sont sélectionnés par comparaison de leurs normes 1 au deuxième seuil utilisé dans le composant 604, et sont ensuite standardisés et annotés selon les partitions précédemment construites. Chacun de ces vecteurs est ensuite augmenté de l’écart temporel le séparant du vecteur sélectionné suivant, ces écarts temporels ayant été préalablement divisés par l’écart-type des écarts temporels, enregistré lors de la phase d’apprentissage. Lorsqu’une séquence passe par le modèle neuronal entraîné, celui-ci renvoie des probabilités d’occurrence de toutes les partitions possibles. La prédiction du modèle est la partition ayant la probabilité d’occurrence la plus élevée. Réciproquement, étant donnée une séquence à analyser, on peut à chaque instant, estimer à l’aide du modèle, la probabilité que le prochain élément de la séquence (qui est connu), appartienne à la partition à laquelle il appartient. Ce calcul est réalisé par le composant dans le bloc 606. Le modèle fournit ainsi la plausibilité de l’occurrence d’une partition à un instant donné, connaissant la séquence qui a précédé cet instant et dans une situation de fonctionnement normale, c’est-à-dire en l’absence d’équipements inconnus. La sortie du composant d’estimation de plausibilité est une série temporelle de probabilités indiquant la plausibilité de la séquence analysée.
Dans un mode de réalisation, afin de faciliter l’analyse de cette série temporelle, celle-ci est lissée en calculant dans une fenêtre glissante le pourcentage de valeurs supérieures à 0.5. Un exemple tiré d’un cas d’étude est donné sur la figure 15. Cette série temporelle lissée constitue la sortie du composant 606.
Le composant de diagnostic 608 a pour fonction l’analyse de la série temporelle renvoyée par le composant d’estimation de plausibilité 606, en vue de l’établissement d’un diagnostic d’intrusion. Dans le scénario correspondant à la figure 15, un équipement non observé à l’étape de modélisation est activé vers le milieu de la séquence diagnostiquée. Comme cela est visible sur la figure 15, cette mise en activité entraine une rupture dans la série temporelle, mesurant la plausibilité de la séquence observée.
Il est possible de détecter automatiquement ce type de phénomène par différentes approches, par exemple, en testant l’existence de groupes de valeurs séparés dans la série temporelle considérée.
L’analyse peut se limiter à un examen visuel des signaux observés, où la présence d'un intrus peut être détectée par une rupture visible, par exemple entre 0.0025s et 0.0042s sur la figure 15, avec une valeur de seuil positionnée par exemple à T=40. Cette valeur est à régler à l'issue de la phase d'apprentissage et au lancement de la phase de détection.
L’invention a été décrite pour un mode de réalisation et peut s’implémenter à partir d’éléments matériel et/ou logiciel. Elle peut être disponible en tant que produit programme d’ordinateur exécuté par un processeur qui comprend des instructions de code pour exécuter les étapes du procédé dans les différents modes de réalisation.
Claims (10)
- Procédé de détection d’équipement inconnu (110) dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes (100-1 à 100-n), le procédé comprenant les étapesde:
- recevoir et enregistrer (302) les émissions électromagnétiques auxiliaires (310) des équipements du réseau;- analyser (304) les émissions électromagnétiques auxiliaires reçues; et
- déterminer (306) la présence ou non d’au moins un équipement inconnu parmi l’ensemble des équipements du réseau.
- Le procédé selon la revendication 1 dans lequel l’étape recevoir et enregistrer les émissions électromagnétiques auxiliaires comprend des étapes de:
- convertir les émissions électromagnétiques auxiliaires reçues de chaque équipement en un signal auxiliaire analogique ;
- convertir chaque signal auxiliaire analogique en un signal auxiliaire numérisé; et
- agréger l’ensemble des signaux auxiliaires numérisés en un signal auxiliaire agrégé numérisé. - Le procédé selon la revendication 2 dans lequel:
- l’étape d’analyse des émissions électromagnétiques auxiliaires comprend une étape de modélisation du fonctionnement des ‘n’ équipements légitimesà partir des signaux auxiliaires numérisés ; et
- l’étape de détermination de la présence ou non d’un équipement inconnu consiste à analyser le signal auxiliaire agrégé numérisé à partir de la modélisation. - Le procédé selon la revendication 3 dans lequel l’étape de modélisation comprend des étapes de:
- détecter et extraire des signaux auxiliaires numérisés, des segments correspondant à des périodes d’activité des équipements ;
- calculer sur les segments extraits, des composantes en nombre réduit et morphologiquement simples, dites motifs élémentaires; et
- générer un modèle séquentiel de fonctionnement et un dictionnaire des motifs élémentaires. - Le procédé selon la revendication 4 dans lequel l’étape de générer un modèle séquentiel consiste à entrainer un réseau de neurones récurrent.
- Le procédé l’une quelconque des revendications 3 à 5 dans lequel la modélisation est une modélisation parcimonieuse basée sur un algorithme proximal.
- Le procédé selon l’une quelconque des revendications 3 à 6 dans lequel l’étape de détermination de la présence ou non d’équipement inconnu, comprend des étapes de:
- calculer une valeur de plausibilité du signal auxiliaire agrégé numérisé ; et
- diagnostiquer la présence ou non d’équipement inconnu en fonction du résultat. - Le procédé selon la revendication 7 dans lequel l’étape de calcul de plausibilité comprend des étapes de:
- générer une série temporelle représentative de l’évolution de la plausibilité d’une séquence du signal auxiliaire agrégé numérisé; et
- identifier dans la série temporelle une ou des ruptures, représentant des intrusions potentielles. - Un produit programme d’ordinateur, ledit programme d’ordinateur comprenant des instructions de code non transitoire permettant d’effectuer les étapes du procédé de détection d’équipement inconnu, selon l’une quelconque des revendications 1 à 8, lorsque ledit programme est exécuté sur un ordinateur.
- Un dispositif de détection d’équipement inconnu, dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes, le dispositif comprenant des moyens pour mettre en œuvre les étapes du procédé selon l’une quelconque des revendications 1 à 8.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1914845A FR3105485B1 (fr) | 2019-12-19 | 2019-12-19 | Procede et dispositif de detection d’equipement intrus |
| PCT/EP2020/085497 WO2021122291A1 (fr) | 2019-12-19 | 2020-12-10 | Procede et dispositif de detection d'equipement intrus |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1914845A FR3105485B1 (fr) | 2019-12-19 | 2019-12-19 | Procede et dispositif de detection d’equipement intrus |
| FR1914845 | 2019-12-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR3105485A1 true FR3105485A1 (fr) | 2021-06-25 |
| FR3105485B1 FR3105485B1 (fr) | 2021-11-26 |
Family
ID=70738624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1914845A Active FR3105485B1 (fr) | 2019-12-19 | 2019-12-19 | Procede et dispositif de detection d’equipement intrus |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR3105485B1 (fr) |
| WO (1) | WO2021122291A1 (fr) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116156505B (zh) * | 2023-04-18 | 2023-08-04 | 南京桂瑞得信息科技有限公司 | 基于去噪自编码器与度量学习的WiFi设备检测方法 |
-
2019
- 2019-12-19 FR FR1914845A patent/FR3105485B1/fr active Active
-
2020
- 2020-12-10 WO PCT/EP2020/085497 patent/WO2021122291A1/fr active Application Filing
Non-Patent Citations (7)
| Title |
|---|
| BASSEY JOSHUA ET AL: "Intrusion Detection for IoT Devices based on RF Fingerprinting using Deep Learning", 2019 FOURTH INTERNATIONAL CONFERENCE ON FOG AND MOBILE EDGE COMPUTING (FMEC), IEEE, 10 June 2019 (2019-06-10), pages 98 - 104, XP033597875, DOI: 10.1109/FMEC.2019.8795319 * |
| CONTI, M.DRAGONI, N.LESYK, V.: "A survey of man in the middle attacks", IEEE COMMUNICATIONS SURVEYS & TUTORIALS, vol. 18, no. 3, 2016, pages 2027 - 2051, XP011620876, DOI: 10.1109/COMST.2016.2548426 |
| JEYANTHI HALL ET AL: "Radio Frequency Fingerprinting for Intrusion Detection in Wireless Networks", IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, 12 July 2005 (2005-07-12), XP055380744, Retrieved from the Internet <URL:https://pdfs.semanticscholar.org/06aa/25c78d5d59e39db53a16cad0c1af95e3d834.pdf> * |
| KHAN, H. A.SEHATBAKHSH, N.NGUYEN, L. N.CALLAN, R. L.YEREDOR, A.PRVULOVIC, M.ZAJIC, A.: "IDEA: Intrusion Détection through Electromagnetic-Signal Analysis for Critical Embedded and Cyber-Physical Systems", IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, 2019 |
| RAHMAN, A.EZEIFE, C. I.AGGARWAL, A. K.: "International Workshop on Knowledge Discovery from Sensor Data", August 2008, SPRINGER, article "Wifi miner: an online apriori-infrequent based wireless intrusion system", pages: 76 - 93 |
| SHENLONG WANG ET AL: "Proximal Deep Structured Models", 5 December 2016 (2016-12-05), XP055606977, Retrieved from the Internet <URL:http://delivery.acm.org/10.1145/3160000/3157193/p865-wang.pdf?ip=145.64.254.240&id=3157193&acc=NO%20RULES&key=E80E9EB78FFDF9DF.4D4702B0C3E38B35.4D4702B0C3E38B35.4D4702B0C3E38B35&__acm__=1563453890_8628996672038d1b23674ffc8e162b0d> [retrieved on 20190718] * |
| TRABELSI, Z.SHUAIB, K.: "IEEE Globecom 2006", November 2006, IEEE, article "NIS04-4: ''Man in the middle intrusion detection", pages: 1 - 6 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021122291A1 (fr) | 2021-06-24 |
| FR3105485B1 (fr) | 2021-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11067501B2 (en) | Fabric validation using spectral measurement | |
| FR3082963A1 (fr) | Systeme et procede d'evaluation et de deploiement de modeles d'apprentissage automatique non supervises ou semi-supervises | |
| CN108828548A (zh) | 一种基于fmcw雷达的三参数融合数据集构建方法 | |
| EP2517037B1 (fr) | Procede pour estimer le nombre de sources incidentes a un reseau de capteurs par estimation de la statistique du bruit | |
| EP3489831A1 (fr) | Procédé et dispositif de surveillance d'un processus générateur de données d'une métrique pour la prédiction d'anomalies | |
| WO2022090648A1 (fr) | Procédé et dispositif de contrôle de l'etat de fonctionnement de disjoncteurs | |
| CN106980658A (zh) | 视频标注方法及装置 | |
| EP1792278B1 (fr) | Procede de detection et de pistage de cibles ponctuelles, dans un systeme de surveillance optronique | |
| WO2021122291A1 (fr) | Procede et dispositif de detection d'equipement intrus | |
| WO2024126521A1 (fr) | Méthode et système de détection d'intrusions dans un réseau informatique par apprentissage automatique | |
| CN116895286B (zh) | 一种打印机故障监控方法以及相关装置 | |
| EP2196821A1 (fr) | Procédé de filtrage cinématique temporel multidimensionel de plots radar, de tour d'antenne à tour d'antenne | |
| Alam et al. | Hyperspectral target detection using Gaussian filter and post-processing | |
| FR2699347A1 (fr) | Procédé et dispositif d'extraction d'un signal utile d'extension spatiale finie à chaque instant et variable avec le temps. | |
| EP2146188B1 (fr) | Procédé de détection de défaillance d`un capteur analogique et dispositif de détection pour mettre en oeuvre ledit procédé | |
| FR3103039A1 (fr) | Détection d’attaques à l'aide de compteurs de performances matériels | |
| US20230246935A1 (en) | Detecting behavioral change of iot devices using novelty detection based behavior traffic modeling | |
| EP3324326A1 (fr) | Procédé et système de détection de vulnérabilité d'un dispositif embarqué | |
| EP3572794B1 (fr) | Procédé de détection d'un composé dans une composition à identifier et dispositif de détection | |
| JP2007199750A (ja) | 画素群パラメータ算出方法及び目標物検出方法並びに画素群パラメータ算出装置及び目標物検出装置 | |
| FR3089648A1 (fr) | Procede de detection non supervise d’attaques internes et systeme associe | |
| Du et al. | Fractal dimension based on morphological covering for ground target classification | |
| CN114070581B (zh) | 域名系统隐藏信道的检测方法及装置 | |
| FR3076010A1 (fr) | Procede de construction automatique de scenarios d'attaques informatiques, produit programme d'ordinateur et systeme de construction associes | |
| EP3340065A1 (fr) | Procédé de détermination de l'état d'un système, procédé de détermination d'une méthode de projection optimale et dispositif mettant en oeuvre lesdits procédés |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20210625 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |
|
| PLFP | Fee payment |
Year of fee payment: 5 |