WO2021122291A1 - Procede et dispositif de detection d'equipement intrus - Google Patents

Procede et dispositif de detection d'equipement intrus Download PDF

Info

Publication number
WO2021122291A1
WO2021122291A1 PCT/EP2020/085497 EP2020085497W WO2021122291A1 WO 2021122291 A1 WO2021122291 A1 WO 2021122291A1 EP 2020085497 W EP2020085497 W EP 2020085497W WO 2021122291 A1 WO2021122291 A1 WO 2021122291A1
Authority
WO
WIPO (PCT)
Prior art keywords
equipment
auxiliary
network
digitized
unknown
Prior art date
Application number
PCT/EP2020/085497
Other languages
English (en)
Inventor
Fred-Maurice NGOLE-MBOULA
Erwan NOGUES
Original Assignee
Commissariat A L'energie Atomique Et Aux Energies Alternatives
Ministère Des Armées
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Commissariat A L'energie Atomique Et Aux Energies Alternatives, Ministère Des Armées filed Critical Commissariat A L'energie Atomique Et Aux Energies Alternatives
Publication of WO2021122291A1 publication Critical patent/WO2021122291A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/79Radio fingerprint

Definitions

  • the invention relates to the field of intrusion detection, and relates more particularly to a method and a device for detecting intruder equipment on a network.
  • the detection of intruders on a network is part of the process of analyzing the security of information systems (ISS).
  • the intruder's objectives can be multiple: interception and listening to network traffic and exchanged data, injection of commands, etc.
  • Another approach could be to use the analysis of the current consumption. This type of approach would be based on the operating cycles of the devices. However, the intruder having a consumption much lower than the considered network would not be detectable by the analysis of the current.
  • the electromagnetic signal contains much more information than just the current consumption.
  • the electromagnetic signal is used to detect abnormal behavior on a chip such as, for example, the execution of a malicious program.
  • an object of the invention is to provide a solution for detecting the insertion of unknown electronic equipment into a legitimate network.
  • the proposed solution makes it possible to secure a network or else an item of equipment.
  • the invention forms part of an information systems security approach.
  • the claimed solution differs from solutions for analyzing network traffic because it does not use knowledge of the network.
  • the method of the invention does not need to know the protocol used by the network, because it does not analyze the information exchanged, nor the transmission channel used.
  • the invention makes it possible to detect an intruder even if the latter is only eavesdropping.
  • the claimed solution differs from a current analysis solution because it detects the sole presence of the intruder, regardless of its activity cycles. It also allows detection even for intruder devices with low consumption.
  • the invention will find advantageous applications in many technical fields such as networked computer systems (or isolated), control and data acquisition systems, the Internet of things, wired and wireless networks. wire.
  • the invention makes it possible to detect an intruder on a wired LAN-type network.
  • the step of receiving and recording auxiliary electromagnetic emissions includes steps of:
  • the auxiliary electromagnetic emissions analysis step includes a step of modeling the operation of legitimate equipment from the digitized auxiliary signals; and the step of determining the presence or absence of unknown equipment consists of analyzing the aggregated auxiliary signal digitized from the modeling.
  • the modeling step comprises steps of: - detecting and extracting digitized auxiliary signals, segments corresponding to periods of activity of the equipment;
  • the step of generating a sequential model consists of training a recurrent neural network.
  • the modeling is a parsimonious modeling based on a proximal algorithm.
  • the step of determining the presence or absence of unknown equipment comprises steps of:
  • the plausibility calculation step comprises steps of: generating a time series representative of the evolution of the plausibility of a sequence of the digitized aggregated auxiliary signal; and - identify one or more breaks in the time series, representing potential intrusions.
  • the invention also covers a computer program product comprising non-transient code instructions making it possible to perform the steps of the claimed method, when the program is executed on a computer.
  • the invention further covers a device for detecting unknown equipment in a network of equipment generating auxiliary electromagnetic emissions, the network comprising a plurality 'n' of known equipment designated as legitimate equipment, the device comprising means for implementing the steps of the claimed process.
  • FIG.1 a simplified view of an environment for implementing the device of the invention in one embodiment
  • FIG.2 an overall view of the device of the invention in one embodiment
  • FIG.3 a diagram of a functional sequence of the inventive method of capturing signals auxiliary to intrusion diagnosis
  • FIG.5 a diagram of a modeling sequence of legitimate equipment
  • Figure 1 is a simplified representation of an environment 100 for implementing the device of the invention. It is made up of a plurality 'n' of known devices, designated as legitimate devices (100-1 to 100-n) and at least one unknown device 110. Legitimate devices and unknown devices can be any type of device. Equipment generating interference appearing in the form of electromagnetic emanations or auxiliary electromagnetic emissions. In the example described, for the sake of clarity and simplicity, it is considered that the legitimate equipment is computers and the unknown equipment is also a computer. The unknown equipment could for example be a processor card.
  • Auxiliary electromagnetic (EM) emissions are electromagnetic interference signals which are generated unintentionally by electronic equipment.
  • the principle of the invention is based on the analysis of unintentional electromagnetic emissions, i.e. auxiliary, coming from a system to be protected and making it possible to detect the presence of an intruder.
  • the method of the invention makes it possible to analyze the unintentional electromagnetic emissions of a system including an intruder, if any, when the system is powered on.
  • the analysis is centered on the auxiliary electromagnetic (EM) channels, to detect all the radiation emitted involuntarily by a system (and the intruder) whatever the protocol used and therefore whatever the physical layer used by the system to communicate.
  • EM auxiliary electromagnetic
  • auxiliary channels or "Side-Channel” in English, is known in the field of computer security, and we speak of "Side-Channel Attack” (SCA) which consists in analyzing all the auxiliary signals generated not - intentionally by a cryptographic system to find a secret element.
  • SCA Segment-Channel Attack
  • the electromagnetic parasites of the electromagnetic auxiliary channel which are not voluntarily emitted by the system and the intruder if necessary, are present in the "air" interface and can be picked up by radiation with an antenna. They can also be coupled to the mains and observed by conduction.
  • FIG. 2 shows in a simplified manner the device of the invention in an environment comprising legitimate equipment (100-1 to 100-n) and unknown equipment 110.
  • the device of the invention comprises a capture system 202 able to receive and record auxiliary electromagnetic emissions from all legitimate equipment and unknown equipment where applicable.
  • the capture system 202 itself is composed of a receiver 204 which converts the auxiliary emissions collected from the equipment into an analog signal, and an analog-to-digital converter 206 to convert the analog signal into a digital signal.
  • the device of the invention further comprises an analysis module 208 configured to exploit and analyze the signals collected by the sensing system 202 in order to determine the presence or absence of one or more unknown equipment items.
  • Analysis module 208 may be a computer program that includes non-transient code instructions for performing analysis of received signals and generating analysis diagnostics.
  • the auxiliary transmissions of legitimate equipment and of unknown equipment are represented in FIG. 2 by arrows connecting each element to the capture device 202.
  • the analog-to-digital converter 206 receives from the receiver 204 an analog signal that it digitizes .
  • the digital signal is transmitted to the analysis module 208.
  • Receiver 204 is a sensor which in one embodiment can be a broadband antenna for measurement and recovery of electromagnetic radiation. In another embodiment, receiver 204 may be a current or voltage probe for conduction measurement and recovery.
  • the analog-to-digital converter 206 can be in one embodiment a radio receiver type element or else a software radio with adjustable analysis band and its associated filter (tunable reception). In another embodiment, the analog-to-digital converter 206 may be a digital oscilloscope type element (non-tunable reception) with or without a selection filter.
  • a low noise amplifier can be interposed between the receiver 204 and the analog-to-digital converter 206.
  • FIG. 3 illustrates a functional sequence 300 of the method of the invention from the capture 302 of the auxiliary signals 310 to the intrusion diagnosis 306.
  • the sequence begins with the capture 302 by the capture system 202, of the auxiliary signals 310 transmitted by the equipment, and then comprises two phases: a phase 304 for modeling the normal operation of known equipment described in detail with reference to FIGS. 4 and 5, and a phase 306 for monitoring and detecting any intruders or anomalies described in detail with reference to Figures 6 and 7.
  • the modeling phase 304 will include a calculation of elementary patterns (block 404, FIG. 4) from the individual emissions 320 of the legitimate equipment.
  • the receiver 204 of the capture system which is used must make it possible to separately measure the auxiliary emissions of this equipment.
  • a probe for picking up parasitic signals is placed successively around the power cords of each item of equipment. During the detection phase, it is necessary to be able to capture emissions from unknown equipment.
  • the signal capture probe may be an antenna depending on the topology of the network to be protected.
  • the parasitic signals generated by the intruder are picked up by the probe or else by the antenna.
  • the auxiliary transmissions are captured, digitized in the blocks 204, 206 of the capture system 202, and transmitted to the computer 208 which integrates the modeling 304 and detection blocks 306.
  • the corresponding signals 320 to the devices taken separately, are transmitted to the modeling block 304 which produces a sequential model 330 and a dictionary of elementary patterns 332.
  • the signals corresponding to the aggregated emissions of the devices in operation are transmitted as an aggregated auxiliary signal digitized 340 at the detection block 306 to perform an intrusion diagnosis using the sequential model 330 and the dictionary of elementary patterns 332 produced by the modeling block 304.
  • FIG. 4 shows the various functional components involved in the modeling 304 of the operation of legitimate equipment.
  • a first block 402 is configured to detect and extract signals received from the capture system, segments corresponding to periods of activity of the equipment whose auxiliary emissions have been measured. On these segments, the signals are expected to exhibit particular morphologies.
  • a second block 404 has the function of calculating components in reduced number and morphologically simpler than the signals on the segments initially extracted by block 402. This set of reduced components makes it possible to recompose all of the initial segments. In the remainder of the description, these components are referred to as “elementary units”.
  • the learning of the elementary patterns is done via a non-negative matrix factorization algorithm.
  • These elementary patterns are the inputs of a block 406 which has the function of calculating a new representation of the signal initially supplied by the capture system and which is based on the calculated elementary patterns.
  • the modeled representation of the signal is a vector representation, that is to say that at each instant, the signal, in its new representation, has the value of a vector.
  • Each component of these vectors represents the weight by which a corresponding elementary pattern must be multiplied so that by adding the elementary patterns thus weighted, the initial signal is found on a time segment upstream and including the instant considered.
  • This new representation of the signal is parsimonious, that is to say that the values of the components of the vectors are for the most part negligible, with the exception - by construction - of the instants marking the start of a phase of equipment activity. corresponding to the measured signal.
  • the parsimonious modeling relies on a proximal algorithm. Of more generally, any algorithm making it possible to minimize a non-differentiable convex function could be implemented.
  • the vectors resulting from the parsimonious modeling block 406 are the inputs of a standardization block 408, which has the function on the one hand of selecting from among the vectors received those whose values are significant, and on the other hand, to standardize the selected vectors, that is to say to reduce to 0 the mean value and to 1 the standard deviations of the values of each of the components of these vectors.
  • the standardization block 408 is coupled to a partitioning block 410 which has the function of performing a partitioning of the space of the standardized selected vectors. Partitioning is based on a grouping of these vectors into homogeneous subgroups (“clustering” in English).
  • the partitioning block is configured to annotate the vectors, such that at any time, the corresponding vector is assigned the number of the partition to which it belongs.
  • the partitioning of block 410 is performed using the k-means method. However, any other data partitioning algorithm could be used.
  • the partitioning block 410 is coupled to a block 412 for learning a sequential model, given a sequence presented as input.
  • the learning of the sequential model is done by training a neural network of the "Long Short-Term Memory” (LSTM) type.
  • LSTM Long Short-Term Memory
  • one skilled in the art may consider using any other form of recurrent neural network.
  • the learning of elementary patterns in the block 404 is done on the signal segments extracted by the block 402. From these elementary patterns, the block 406 calculates a new representation of the signal which is used by the blocks. 408 and 410. The partition produced by block 410 is used in block 412. Finally, the training of block 412 is performed from the annotated sequence produced by block 410.
  • FIG. 5 details the sequence of steps allowing the creation of a sequential model.
  • the digitized signals 310 arriving at the extraction block 402 are complex: they include, for each time step, a real part and an imaginary part.
  • a first operation within the extraction block 402 is to calculate the amplitude of the incoming signal, at each time step. All the information extracted subsequently relates to the signal whose amplitude was obtained.
  • the extraction of the activity phases is carried out for a time interval over which the amplitude of the signal is greater than a threshold derived from an estimate of the background noise.
  • FIG. 9 illustrates an example of an amplitude signal, the activation threshold being materialized by the bottom horizontal line.
  • the activation threshold is manually derived from examining the histogram of the amplitude signal values, an example of which is shown in Figure 10, and where the threshold corresponds to the peak on the far left.
  • the threshold could be determined semi-automatically using a known data partitioning method such as "DBSCAN". Other "baseline" estimation methods could be used.
  • These segments are then readjusted with respect to their temporal barycenters as illustrated in FIG. 11.
  • the shortest segments are completed by zeros so that all the segments have the same length. They are arranged in a matrix A.
  • Two sparse matrices M and W with positive values are calculated such that: A “M * W.
  • M * W Two sparse matrices M and W with positive values.
  • These vectors are the “elementary patterns”. They are generally simpler than the activity patterns from which they are extracted and can represent a wide variety of activity patterns due to the superimposition of auxiliary emissions from several different equipment. Examples are illustrated in FIG. 12.
  • the number of elementary patterns is a parameter set manually according to the false alarm / non-detection ratio targeted by the operator. All of these elementary patterns constitute a dictionary of elementary patterns, which is then used in the parsimonious modeling block 406, which takes as input an amplitude signal resulting from the superimposed transmissions of the legitimate equipment items, which is the aggregated auxiliary signal 340 digitized.
  • the signal 340 is obtained synthetically from the individual signals used in the previous step.
  • the signal 340 is obtained by an aggregated measurement via an antenna or a current probe. This gives rise to arbitrary overlaps in the activity patterns of different equipment.
  • the aggregated amplitude signal is modeled by a sliding linear combination of elementary patterns.
  • the value taken by the amplitude at a given instant results from a weighted sum of the elementary patterns centered on this instant and translated around this instant.
  • the method makes it possible to determine a weight vector for each instant, each weight corresponding to an elementary pattern.
  • the model is highly redundant in the sense that it allows several different choices of weights to reconstruct the amplitude signal.
  • the method applies sparse modeling, that is to say for which the weight vectors generally take negligible values, with the exception of a few moments, corresponding to the appearance of 'a reason for the activity of one of the legitimate equipment. Indeed, parsimonious modeling is more likely to be physically relevant.
  • Each elementary motif is associated with a parsimonious time series which gives its weight to each time step.
  • the amplitude signal is then equal to the sum of the products of convolution of each elementary pattern by the time series giving its weight at each time step. To determine the weights, the following optimization problem must be solved:
  • FIG. 13 illustrates examples of time series of weights corresponding to three elementary patterns. These weights occasionally take significant values. All of these time series constitute a new representation of the initial amplitude signal: at each instant, the signal is represented by a vector obtained by concatenation of the values of the weights calculated for this instant. This new representation of the initial amplitude signal is passed to the input of block 410. This representation being parsimonious, it is necessary to select only the vectors having significant values.
  • a minimum threshold is fixed on the norm 1 of these vectors. This threshold is derived as previously from the analysis of the histogram of the standards 1 of these vectors. This selection can make it possible to reduce the number of vectors by a factor of 10, which alleviates subsequent calculations.
  • These vectors are then standardized by block 408, ie the mean value is reduced to 0 and the standard deviations of each of the components of these vectors to 1.
  • Partitioning block 410 receives a reduced list of standardized vectors. It performs a partition of the space of these vectors as illustrated in FIG. 8. The selected vectors are assembled into homogeneous groups by the k-means method for example, and the barycenters of these groups are simultaneously calculated.
  • Partitioning is given by the set of regions of space closer to each of these centers of gravity than to all the others. These regions are delimited in FIG. 8 by the half-lines, the circles C1, C2, C3 representing the barycenters calculated by the k-means method.
  • the partitions being determined, the selection and normalization step is reiterated in block 408, this time with a lower threshold than that used for the construction of the partitions.
  • Each vector of the new selected sequence is then assigned the number of the partition corresponding to the barycenter to which it is closest in block 410.
  • the use of a double threshold allows a compromise between the robustness of the construction of the partitioning and the representativeness of vectors selected. Indeed, the construction of partitions is based only on vectors of which we are sure that they are physically significant.
  • the method makes it possible to increase each of the selected vectors by the time difference separating it from the next selected vector. These time deviations are divided beforehand by their standard deviation. This standard deviation is saved for later use on new data.
  • the sequence obtained, as well as the sequence of the numbers of the partitions to which each of the selected vectors have been assigned are transmitted to the training block 412 of a neural network. Partitions can be considered to be a vocabulary of equipment operation.
  • the words of this vocabulary are produced according to a regular sequentiality, which can be observed in FIG. 14 which presents a sequence of partition numbers.
  • the ordinate axis represents the numbers of the partitions, ranging in the example from 0 to 39.
  • This regularity reflects the supposed regularity of the operating cycles of the legitimate equipment.
  • the function of the training block 412 of a neural network is then to build a sequential model which, given a sequence of vectors resulting from the block 410, is capable of predicting the partition to which the next vector of the sequence will belong. He will thus learn the underlying patterns.
  • the neural network is a recurrent neural network of LSTM type.
  • the model achieves in the case study considered 80% accuracy in its predictions.
  • the sequential model is the output of block 412.
  • FIG. 6 represents the components 602, 604, 606 and 608 of the functional block for analyzing and detecting the possible presence of unknown equipment.
  • the component 602 is identical to the component 406 of FIG. 4.
  • the component 604 takes over the selection and standardization functions of the component 408 and the annotation functions of the component 410 of FIG. 4.
  • the component 606 has the function of evaluating. the plausibility of the observed signal, under the hypothesis of the absence of unknown equipment. A low plausibility value indicates the probable presence of unknown equipment.
  • the function of component 608 is to identify the time ranges over which there are potential intrusions.
  • the component 606 for calculating the plausibility of the observed signal takes as input an annotated sequence produced by the standardization component 604, and outputs a time series giving the evolution of the plausibility of the analyzed signal. From this time series, rupture detection component 608 produces an intrusion diagnosis, as a set of time ranges over which there are potential intrusions.
  • the intrusion diagnosis is automatic. In an alternative embodiment, the intrusion diagnosis is manual according to the needs of the operator.
  • FIG. 7 illustrates an intrusion diagnostic sequence.
  • the block 602 takes as input an auxiliary signal 310 coming from the capture device and a dictionary of elementary patterns 332 calculated during the phase of modeling the legitimate equipment items. It outputs a parsimonious vector representation of the input signal. Then by component 604, the vectors having significant values are selected by comparison of their norms 1 to the second threshold used in component 604, and are then standardized and annotated according to the partitions previously constructed. Each of these vectors is then increased by the time difference separating it from the next selected vector, these time differences having been divided beforehand by the standard deviation of the time differences, recorded during the learning phase. When a sequence passes through the trained neural model, it returns probabilities of occurrence of all possible partitions.
  • the model prediction is the partition with the highest probability of occurrence. Conversely, given a sequence to be analyzed, it is possible at any time, using the model, to estimate the probability that the next element of the sequence (which is known), belongs to the partition to which it belongs. This calculation is carried out by the component in block 606.
  • the model thus provides the plausibility of the occurrence of a partition at a time. given, knowing the sequence which preceded this instant and in a normal operating situation, that is to say in the absence of unknown equipment.
  • the output of the plausibility estimation component is a time series of probabilities indicating the plausibility of the analyzed sequence.
  • this time series in order to facilitate the analysis of this time series, it is smoothed by calculating in a sliding window the percentage of values greater than 0.5.
  • An example from a case study is given in Figure 15. This smoothed time series constitutes the output of component 606.
  • the function of the diagnostic component 608 is to analyze the time series returned by the plausibility estimation component 606, with a view to establishing an intrusion diagnosis.
  • equipment not observed in the modeling step is activated around the middle of the diagnosed sequence. As can be seen in FIG. 15, this activation causes a break in the time series, measuring the plausibility of the observed sequence.
  • the invention has been described for one embodiment and can be implemented from hardware and / or software elements. It may be available as a processor-executed computer program product that includes code instructions for performing process steps in the various embodiments.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

L'invention concerne un dispositif et un procédé de détection d'équipement inconnu dans un réseau d'équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité 'n' d'équipements connus désignés comme équipements légitimes, le procédé comprenant les étapes de: - recevoir et enregistrer les émissions électromagnétiques auxiliaires des équipements du réseau; - analyser les émissions électromagnétiques auxiliaires reçues; et - déterminer la présence ou non d'au moins un équipement inconnu parmi l'ensemble des équipements du réseau selon les résultats de l'analyse.

Description

PROCEDE ET DISPOSITIF DE DETECTION D’EQUIPEMENT INTRUS
DOMAINE TECHNIQUE
[0001] L’invention se situe dans le domaine de la détection d’intrusion, et concerne plus particulièrement un procédé et un dispositif de détection d’équipement intrus sur un réseau.
ETAT DE LA TECHNIQUE
[0002] La détection d'intrus sur un réseau s'inscrit notamment dans la démarche d'analyse de sécurité des systèmes d'information (SSI). Les objectifs de l'intrus peuvent être multiples : interception et écoute du trafic réseau et des données échangées, injection de commandes, etc.
[0003] Les solutions existantes permettant de détecter les intrus sur un réseau sont basées principalement sur l'analyse du trafic réseau afin de détecter toute forme d'anomalie sur ce trafic. En effet, les techniques connues récupèrent toutes les traces réseau afin de réaliser un filtre sur le trafic légitime et détecter les traces que générerait l'intrus. Les articles suivants décrivent de telles solutions:
- Conti, M., Dragoni, N., & Lesyk, V. (2016), “A survey of man in the middle attacks”, IEEE Communications Surveys & T utorials, 18(3), 2027-2051.
- Trabelsi, Z., & Shuaib, K. (2006, November), NIS04-4: “Man in the middle intrusion détection” in IEEE Globecom 2006 (pp. 1-6). IEEE.
[0004] L’article « Intrusion Détection for loT Devices based on RF Fingerprinting using Deep Learning » de Bassey Joshua et al., 2019 Fourth International Conférence on Fog and Mobile Edge Computing (FMEC), IEEE, 10 juin 2019, pages 98-104, propose une solution de détection d’équipements intrus basée sur le principe d’analyser des traces radiofréquences laissées par le signal porté par la couche physique d’un canal de transmission radio. Ce principe est connu comme « RF Fingerprinting ». Les inconvénients de cette approche sont multiples dont celui de ne pas être applicable à des réseaux filaires, celui de devoir connaître le protocole utilisé par le système à protéger, et de surcroît celui de ne pas être en mesure de détecter un intrus qui ne fait que de la réception et des écoutes et pas d’émission sur le canal radio. Ce dernier ne sera pas détectable car ne laissant pas de traces RF sur le canal radio.
[0005] Avec l'avènement des réseaux sans-fil, les intrus peuvent maintenant chercher à s'insérer directement dans le trafic sans fil, comme cela est proposé dans l’article de Rahman, A., Ezeife, C. I., & Aggarwal, A. K. (2008, August), “Wifi miner: an online apriori-infrequent based wireless intrusion System” in International Workshop on Knowledge Discovery from Sensor Data (pp. 76-93). Springer, Berlin, Heidelberg.
[0006] Or, les approches proposées supposent l'analyse du protocole visé. Par conséquent, un intrus respectant le protocole ne pourra pas être détecté par le système comme étant un intrus, notamment si celui-ci ne fait que de l'écoute.
[0007] Une autre approche pourrait être d’utiliser l'analyse de la consommation de courant. Ce type d’approche serait basé sur les cycles de fonctionnement des appareils. Or, l'intrus ayant une consommation beaucoup plus faible que le réseau considéré ne serait pas détectable par l'analyse du courant.
[0008] Enfin le signal électromagnétique contient beaucoup plus d’informations que la seule consommation de courant. Dans l’article de Khan, H. A., Sehatbakhsh, N., Nguyen, L. N., Callan, R. L, Yeredor, A., Prvulovic, M., & Zajic, A. (2019), “IDEA: Intrusion Détection through Electromagnetic-Signal Analysis for Critical Embedded and Cyber-Physical Systems”, IEEE Transactions on Dependable and Secure Computing, le signal électromagnétique est utilisé pour détecter des comportements anormaux sur une puce comme, par exemple, l’exécution d’un programme malveillant.
[0009] Ainsi, au vu des différents inconvénients relevés par l’utilisation des techniques existantes, il existe un besoin pour un dispositif qui pâlie ces inconvénients. La présente invention répond à ce besoin.
RESUME
[0010] Ainsi, un objet de l’invention est de fournir une solution pour détecter l'insertion d'un équipement électronique non-connu dans un réseau légitime. [0011] Avantageusement, la solution proposée permet de sécuriser un réseau ou bien un équipement. Notamment, l'invention s'insère dans une démarche de sécurité des systèmes d'information.
[0012] Contrairement aux solutions communément utilisées sur l'analyse du trafic réseau, la solution revendiquée se distingue des solutions d'analyse de trafic réseau car elle n'utilise pas la connaissance du réseau. Le procédé de l’invention n’a pas besoin de connaître le protocole utilisé par le réseau, car il n’analyse pas les informations échangées, ni le canal de transmission utilisé.
[0013] De ce fait, elle est capable de détecter des intrus parfaitement insérés dans le réseau ciblé et non détectables par les solutions connues. Avantageusement, l’invention permet de détecter un intrus même si celui-ci ne fait que des écoutes.
[0014] La solution revendiquée se distingue d’une solution d'analyse du courant car elle détecte la seule présence de l'intrus, indépendamment de ses cycles d'activité. Elle permet aussi la détection même pour des appareils intrus basse consommation. [0015] L’invention trouvera des applications avantageuses dans de nombreux domaines techniques tels que des systèmes informatiques en réseau (ou bien isolé), des systèmes de contrôle et d'acquisition de données, l’Internet des objets, les réseaux filaires et sans fil. L’invention permet de détecter un intrus sur un réseau filaire de type LAN. [0016] Pour obtenir les résultats recherchés, il est proposé un procédé mis en oeuvre par ordinateur de détection d’équipement inconnu dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes, le procédé comprenant les étapes de : - recevoir et enregistrer les émissions électromagnétiques auxiliaires des équipements du réseau ;
- analyser les émissions électromagnétiques auxiliaires reçues ; et
- déterminer la présence ou non d’au moins un équipement inconnu parmi l’ensemble des équipements du réseau selon les résultats de l’analyse. [0017] Selon des modes de réalisation alternatifs ou combinés:
- l’étape recevoir et enregistrer les émissions électromagnétiques auxiliaires comprend des étapes de :
- convertir les émissions électromagnétiques auxiliaires reçues de chaque équipement en un signal auxiliaire analogique ;
- convertir chaque signal auxiliaire analogique en un signal auxiliaire numérisé ; et
- agréger l’ensemble des signaux auxiliaires numérisés en un signal auxiliaire agrégé numérisé.
- l’étape d’analyse des émissions électromagnétiques auxiliaires comprend une étape de modélisation du fonctionnement des ‘n’ équipements légitimes à partir des signaux auxiliaires numérisés ; et l’étape de détermination de la présence ou non d’un équipement inconnu consiste à analyser le signal auxiliaire agrégé numérisé à partir de la modélisation.
- l’étape de modélisation comprend des étapes de : - détecter et extraire des signaux auxiliaires numérisés, des segments correspondant à des périodes d’activité des équipements ;
- calculer sur les segments extraits, des composantes en nombre réduit et morphologiquement simples, dites motifs élémentaires ; et
- générer un modèle séquentiel de fonctionnement et un dictionnaire des motifs élémentaires.
- l’étape de générer un modèle séquentiel consiste à entraîner un réseau de neurones récurrent.
- la modélisation est une modélisation parcimonieuse basée sur un algorithme proximal. - l’étape de détermination de la présence ou non d’équipement inconnu, comprend des étapes de :
- calculer une valeur de plausibilité du signal auxiliaire agrégé numérisé ; et
- diagnostiquer la présence ou non d’équipement inconnu en fonction du résultat.
- l’étape de calcul de plausibilité comprend des étapes de : - générer une série temporelle représentative de l’évolution de la plausibilité d’une séquence du signal auxiliaire agrégé numérisé ; et - identifier dans la série temporelle une ou des ruptures, représentant des intrusions potentielles.
[0018] L’invention couvre aussi un produit programme d’ordinateur comprenant des instructions de code non transitoire permettant d’effectuer les étapes du procédé revendiqué, lorsque le programme est exécuté sur un ordinateur.
[0019] L’invention couvre de plus un dispositif de détection d’équipement inconnu dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes, le dispositif comprenant des moyens pour mettre en oeuvre les étapes du procédé revendiqué.
DESCRIPTION DES FIGURES
[0020] D’autres caractéristiques, détails et avantages de l’invention ressortiront à la lecture de la description faite en référence aux dessins annexés donnés à titre d’exemple et qui représentent, respectivement :
[0021] [Fig.1] une vue simplifiée d’un environnement permettant de mettre en oeuvre le dispositif de l’invention dans un mode de réalisation ;
[0022] [Fig.2] une vue globale du dispositif de l’invention dans un mode de réalisation ;
[0023] [Fig.3] un diagramme d’une séquence fonctionnelle du procédé de l’invention de la captation des signaux auxiliaires au diagnostic d’intrusion ;
[0024] [Fig.4] les composants fonctionnels intervenant dans la modélisation des équipements légitimes ;
[0025] [Fig.5] un diagramme d’une séquence de modélisation des équipements légitimes ;
[0026] [Fig.6] les composants fonctionnels intervenant dans le diagnostic d’intrusion; [0027] [Fig.7] un diagramme d’une séquence du diagnostic d’intrusion ; et [0028] [Fig. 8] une partition de l’espace de vecteurs ; et [0029] [Fig. 9] à [Fig.15] des histogrammes de signaux. DESCRIPTION DETAILLEE DE L’INVENTION
[0030] La figure 1 est une représentation simplifiée d’un environnement 100 permettant de mettre en oeuvre le dispositif de l’invention. Il est composé d’une pluralité ‘n’ d’équipements connus, désignés comme équipements légitimes (100-1 à 100-n) et au moins un équipement inconnu 110. Les équipements légitimes et l’équipement inconnu peuvent être tout type d’équipement générant des parasites apparaissant sous forme d’émanations électromagnétiques ou émissions électromagnétiques auxiliaires. Dans l’exemple décrit, pour des raisons de clarté et de simplification, il est considéré que les équipements légitimes sont des ordinateurs et l’équipement inconnu est également un ordinateur. L’équipement inconnu pourrait par exemple être une carte processeur.
[0031] Les émissions électromagnétiques (EM) auxiliaires sont des signaux parasites électromagnétiques qui sont générés non-intentionnellement par des équipements électroniques. Le principe de l’invention repose sur l’analyse d’émissions électromagnétiques non-intentionnelles, i.e. auxiliaires, provenant d’un système à protéger et permettant de détecter la présence d’un intrus.
[0032] Le procédé de l’invention permet d’analyser les émissions électromagnétiques non-intentionnelles d’un système comprenant un intrus le cas échéant, lorsque le système est sous-tension.
[0033] L’analyse est centrée sur les canaux auxiliaires électromagnétiques (EM), pour détecter toutes les radiations émises involontairement par un système (et l’intrus) quel que soit le protocole utilisé et donc quelle que soit la couche physique utilisée par le système pour communiquer. Les cycles de fonctionnement ne sont pas connus a priori.
[0034] La désignation de canaux auxiliaires ou « Side-Channel » en anglais, est connue dans le domaine de la sécurité informatique, et on parle de « Side-Channel Attack » (SCA) qui consiste à analyser tous les signaux auxiliaires générés non- intentionnellement par un système cryptographique pour retrouver un élément secret.
[0035] Ainsi, les parasites électromagnétiques du canal auxiliaire électromagnétique, qui ne sont pas émis volontairement par le système et l’intrus le cas échéant, sont présents dans l’interface « air » et peuvent être captés par rayonnement avec une antenne. Ils peuvent aussi être couplés sur le secteur et observés par conduction.
On peut utiliser alors une boucle de courant ou une sonde de courant pour les capter.
[0036] La figure 2 présente de manière simplifiée le dispositif de l’invention dans un environnement comprenant des équipements légitimes (100-1 à 100-n) et un équipement inconnu 110. Le dispositif de l’invention comprend un système de captation 202 apte à recevoir et enregistrer les émissions électromagnétiques auxiliaires de tous les équipements légitimes et des équipements inconnus le cas échéant. Le système de captation 202 est lui-même composé d’un récepteur 204 qui convertit les émissions auxiliaires récoltées des équipements en un signal analogique, et d’un dispositif de conversion analogique-numérique 206 pour convertir le signal analogique en un signal numérique. Le dispositif de l’invention comprend de plus un module d’analyse 208 configuré pour exploiter et analyser les signaux recueillis par le système de captation 202 afin de déterminer la présence ou non d’un ou plusieurs équipements inconnus. Le module d’analyse 208 peut être un programme d’ordinateur qui comprend des instructions de code non transitoire permettant d’effectuer l’analyse des signaux reçus et générer un diagnostic d’analyse.
[0037] Les émissions auxiliaires des équipements légitimes et de l’équipement inconnu sont représentées sur la figure 2 par des flèches reliant chaque élément au dispositif de captation 202. Le convertisseur analogique-numérique 206 reçoit du récepteur 204 un signal analogique qu’il numérise. Le signal numérique est transmis au module d’analyse 208.
[0038] Le récepteur 204 est un capteur qui dans un mode de réalisation peut être une antenne large bande pour une mesure et une récupération du rayonnement électromagnétique. Dans un autre mode de réalisation, le récepteur 204 peut être une sonde de courant ou bien de tension pour une mesure et une récupération par conduction.
[0039] Le convertisseur analogique-numérique 206 peut être dans un mode de réalisation un élément de type récepteur radio ou bien une radio logicielle avec bande d’analyse réglable et son filtre associé (réception accordable). Dans un autre mode de réalisation, le convertisseur analogique-numérique 206 peut être un élément de type oscilloscope numérique (réception non accordable) avec ou non un filtre de sélection.
[0040] Dans une variante de réalisation, un amplificateur faible bruit peut être intercalé entre le récepteur 204 et le convertisseur analogique-numérique 206.
[0041] La figure 3 illustre une séquence fonctionnelle 300 du procédé de l’invention depuis la captation 302 des signaux auxiliaires 310 au diagnostic d’intrusion 306. La séquence commence par la captation 302 par le système de captation 202, des signaux auxiliaires 310 émis par les équipements, et comprend ensuite deux phases : une phase 304 de modélisation du fonctionnement normal des équipements connus décrite en détail en référence aux figures 4 et 5, et une phase 306 de monitoring et de détection d’intrus ou d’anomalies éventuels décrite en détail en référence aux figures 6 et 7.
[0042] La phase de modélisation 304 va comporter un calcul de motifs élémentaires (bloc 404, figure 4) à partir des émissions individuelles 320 des équipements légitimes. Le récepteur 204 du système de captation qui est utilisé doit permettre de mesurer séparément les émissions auxiliaires de ces équipements. Dans un mode de réalisation, une sonde de captation des signaux parasites, est placée successivement autour des cordons d’alimentation de chacun des équipements. Lors de la phase de détection, il est nécessaire de pouvoir capter des émissions d’équipements inconnus.
[0043] Dans un mode de réalisation, la sonde de captation des signaux peut être une antenne en fonction de la topologie du réseau à protéger. Pendant la phase de détection, les signaux parasites générés par l'intrus sont captés par la sonde ou bien par l'antenne. Pour les deux phases de modélisation et de détection, les émissions auxiliaires sont captées, numérisées dans les blocs 204, 206 du système de captation 202, et transmises au calculateur 208 qui intègre les blocs de modélisation 304 et de détection 306. Les signaux 320 correspondant aux équipements pris séparément, sont transmis au bloc de modélisation 304 qui produit un modèle séquentiel 330 et un dictionnaire de motifs élémentaires 332. Les signaux correspondant aux émissions agrégées des équipements en fonctionnement (y compris de potentiel intrus) sont transmis comme un signal auxiliaire agrégé numérisé 340 au bloc de détection 306 pour effectuer un diagnostic d’intrusion en utilisant le modèle séquentiel 330 et le dictionnaire de motifs élémentaires 332 produits par le bloc de modélisation 304.
[0044] La figure 4 montre les différents composants fonctionnels intervenant dans la modélisation 304 du fonctionnement des équipements légitimes. Un premier bloc 402 est configuré pour détecter et d’extraire des signaux reçus du système de captation, des segments correspondant à des périodes d’activités des équipements dont les émissions auxiliaires ont été mesurées. Sur ces segments, il est attendu que les signaux présentent des morphologies particulières. Aussi, un second bloc 404 a pour fonction de calculer des composantes en nombre réduit et morphologiquement plus simples que les signaux sur les segments initialement extraits par le bloc 402. Ce jeu de composantes réduites permet de recomposer l’ensemble des segments initiaux. Dans la suite de la description, ces composantes sont désignées par « motifs élémentaires ». Dans un mode de réalisation, l’apprentissage des motifs élémentaires se fait via un algorithme de factorisation en matrices non négatives.
Plus généralement, tout autre méthode d’apprentissage de dictionnaires à valeurs positives ou nulles pourrait être mise en oeuvre.
[0045] Ces motifs élémentaires sont les entrées d’un bloc 406 qui a pour fonction de calculer une nouvelle représentation du signal fourni initialement par le système de captation et qui soit basée sur les motifs élémentaires calculés. La représentation modélisée du signal est une représentation vectorielle, c’est-à-dire qu’à chaque instant, le signal, dans sa nouvelle représentation, a pour valeur un vecteur. Chaque composante de ces vecteurs représente le poids par lequel il faut multiplier un motif élémentaire correspondant de sorte qu’en additionnant les motifs élémentaires ainsi pondérés, on retrouve le signal initial sur un segment temporel en amont et incluant l’instant considéré. Cette nouvelle représentation du signal est parcimonieuse, c’est- à-dire que les valeurs des composantes des vecteurs sont pour la plupart négligeables, à l’exception - par construction - des instants marquant le début d’une phase d’activité des équipements correspondant au signal mesuré. Dans un mode de réalisation, la modélisation parcimonieuse repose sur un algorithme proximal. De façon plus générale, tout algorithme permettant de minimiser une fonction convexe non différentiable pourrait être mis en oeuvre.
[0046] Les vecteurs issus du bloc de modélisation parcimonieuse 406 sont les entrées d’un bloc 408 de standardisation, qui a pour fonction d’une part de sélectionner parmi les vecteurs reçus ceux dont les valeurs sont significatives, et d’autre part, de standardiser les vecteurs sélectionnés, c’est-à-dire de ramener à 0 la valeur moyenne et à 1 les écarts-types des valeurs de chacune des composantes de ces vecteurs.
[0047] Le bloc de standardisation 408 est couplé à un bloc de partitionnement 410 qui a pour fonction de réaliser un partitionnement de l’espace des vecteurs sélectionnés standardisés. Le partitionnement est basé sur un regroupement de ces vecteurs en sous-groupes homogènes (« clustering » en anglais). Le bloc de partitionnement est configuré pour annoter les vecteurs, tel qu’à chaque instant, il est assigné au vecteur correspondant le numéro de la partition à laquelle il appartient. Dans un mode de réalisation, le partitionnement du bloc 410 est réalisé à l’aide de la méthode des k-moyennes. Cependant, tout autre algorithme de partitionnement de données pourrait être utilisé.
[0048] Le bloc de partitionnement 410 est couplé à un bloc 412 d’apprentissage d’un modèle séquentiel, étant donnée une séquence présentée en entrée. Dans un mode de réalisation, l’apprentissage du modèle séquentiel se fait par entrainement d’un réseau de neurones de type « Long Short-Term Memory » (LSTM). Cependant, l’homme du métier peut considérer d’utiliser toute autre forme de réseau de neurones récurrents.
[0049] Ainsi, l’apprentissage de motifs élémentaires dans le bloc 404 se fait sur les segments de signal extraits par le bloc 402. A partir de ces motifs élémentaires, le bloc 406 calcule une nouvelle représentation du signal qui est exploitée par les blocs 408 et 410. La partition produite par le bloc 410 est utilisée dans le bloc 412. Finalement l’apprentissage du bloc 412 est réalisé à partir de la séquence annotée produite par le bloc 410.
[0050] La figure 5 détaille la séquence des étapes permettant la création d’un modèle séquentiel. Les signaux numérisés 310 arrivant sur le bloc d’extraction 402 sont complexes : ils comportent, pour chaque pas de temps, une partie réelle et une partie imaginaire. Une première opération au sein du bloc d’extraction 402 est de calculer l’amplitude du signal entrant, à chaque pas de temps. Toutes les informations extraites par la suite portent sur le signal dont l’amplitude a été obtenue. Dans un mode de réalisation, l’extraction des phases d’activité se fait pour un intervalle de temps sur lequel l’amplitude du signal est supérieure à un seuil dérivé d’une estimation du bruit de fond. La figure 9 illustre un exemple de signal d’amplitude, le seuil d’activation étant matérialisé par la ligne horizontale du bas.
Dans une implémentation concrète, le seuil d’activation est dérivé manuellement de l’examen de l’histogramme des valeurs des signaux d’amplitude, dont un exemple est montré sur la figure 10, et où le seuil correspond au pic tout à gauche. Dans une variante de réalisation, le seuil pourrait être déterminé de manière semi-automatique en utilisant une méthode de partitionnement de données connue telle que « DBSCAN ». D’autres méthodes d’estimation de « baseline » pourraient être utilisées.
[0051] Une fois le seuil choisi, tous les segments du signal d’amplitude allant d’un passage au-dessus du seuil à un passage en dessous du seuil sont extraits. L’opération est répétée pour chacun des équipements légitimes. On obtient des segments de différentes formes et longueurs. La figure 9 illustre 4 segments S1 à S4.
[0052] Ces segments sont ensuite recalés par rapports à leurs barycentres temporels comme illustré par la figure 11. Les segments les plus courts sont complétés par des zéros de sorte que tous les segments aient la même longueur. Ils sont rangés dans une matrice A. Deux matrices M et W parcimonieuses et à valeurs positives sont calculées telles que : A « M*W. L’homme du métier comprend que cela revient à déterminer des vecteurs à valeurs positives ou nulles telles que chacun des segments précédemment extrait peut s’obtenir en faisant une somme pondérée d’un nombre réduit de ces vecteurs. Ces vecteurs sont les « motifs élémentaires ». Ils sont en général plus simples que les motifs d’activités dont ils sont extraits et peuvent permettre de représenter une grande variété de motifs d’activité dus à la superposition d’émissions auxiliaires de plusieurs équipements différents. Des exemples sont illustrés sur la figure 12. Le nombre de motifs élémentaires est un paramètre fixé manuellement en fonction du rapport fausse alarme / non-détection visé par l'opérateur. L’ensemble de ces motifs élémentaires constitue un dictionnaire de motifs élémentaires, qui est ensuite exploité dans le bloc 406 de modélisation parcimonieuse, qui prend en entrée un signal d’amplitude résultant des émissions superposées des équipements légitimes, qui est le signal 340 auxiliaire agrégé numérisé.
[0053] Dans un mode de réalisation, le signal 340 s’obtient synthétiquement à partir des signaux individuels exploités à l’étape précédente. Dans une variante, le signal 340 s’obtient par une mesure agrégée via une antenne ou une sonde de courant. Cela donne lieu à des chevauchements arbitraires des motifs d’activité des différents équipements. Etant donnée cette variabilité, le signal d’amplitude agrégé est modélisé par une combinaison linéaire glissante des motifs élémentaires. Ainsi, la valeur prise par l’amplitude à un instant donné résulte d’une somme pondérée des motifs élémentaires centrés sur cet instant et translatés autour de cet instant. Aussi, le procédé permet de déterminer pour chaque un instant un vecteur de poids, chaque poids correspondant à un motif élémentaire. Le modèle est fortement redondant au sens où il autorise plusieurs choix différents de poids permettant de reconstruire le signal d’amplitude.
[0054] Dans un mode de réalisation préférentiel, le procédé applique une modélisation parcimonieuse, c’est-à-dire pour laquelle les vecteurs de poids prennent généralement des valeurs négligeables, à l’exception de quelques instants, correspondant à l’apparition d’un motif d’activité d’un des équipements légitimes. En effet, une modélisation parcimonieuse a plus de chances d’être physiquement pertinente. Chaque motif élémentaire est associé à une série temporelle parcimonieuse qui donne son poids à chaque pas de temps. Le signal d’amplitude est alors égal à la somme des produits de convolution de chaque motif élémentaire par la série temporelle donnant son poids à chaque pas de temps. Pour déterminer les poids, le problème d’optimisation suivant doit être résolu:
[0055] [Math 1]
Figure imgf000015_0001
où a est le signal d’amplitude, m, un motif élémentaire et w, la série temporelle de poids associée au motif élémentaire m,. Le deuxième terme de ce problème d’optimisation encourage la parcimonie des poids. La figure 13 illustre des exemples de séries temporelles de poids correspondant à trois motifs élémentaires. Ces poids prennent ponctuellement des valeurs significatives. L’ensemble de ces séries temporelles constituent une nouvelle représentation du signal d’amplitude initial : à chaque instant, le signal est représenté par un vecteur obtenu par concaténation des valeurs des poids calculés pour cet instant. Cette nouvelle représentation du signal d’amplitude initial est passée en entrée du bloc 410. Cette représentation étant parcimonieuse, il est nécessaire de ne sélectionner que les vecteurs ayant des valeurs significatives. Pour cela, un seuil minimum est fixé sur la norme 1 de ces vecteurs. Ce seuil est dérivé comme précédemment de l’analyse de l’histogramme des normes 1 de ces vecteurs. Cette sélection peut permettre de réduire le nombre de vecteur d’un facteur 10, ce qui allège les calculs subséquents. Ces vecteurs sont ensuite standardisés par le bloc 408 c’est-à-dire que l’on ramène à 0 la valeur moyenne et à 1 les écarts-types de chacune des composantes de ces vecteurs. Le bloc de partitionnement 410 reçoit une liste réduite de vecteurs standardisés. Il réalise une partition de l’espace de ces vecteurs comme illustré par la figure 8. Les vecteurs sélectionnés sont assemblés en groupes homogènes par la méthode des k- moyennes par exemple, et les barycentres de ces groupes sont simultanément calculés. Le partitionnement est donné par l’ensemble des régions de l’espace plus proches de chacun de ces centres de gravité que de tous les autres. Ces régions sont délimitées sur la figure 8 par les demi-droites, les cercles C1 , C2, C3 représentant les barycentres calculés par la méthode des k-moyennes. Les partitions étant déterminées, l’étape de sélection et de normalisation est réitérée dans le bloc 408, avec cette fois un seuil plus bas que celui utilisé pour la construction des partitions. Chaque vecteur de la nouvelle séquence sélectionnée se voit alors assigner le numéro de la partition correspondant au barycentre dont il est le plus proche dans le bloc 410. L’usage d’un double seuil permet un compromis entre la robustesse de la construction du partitionnement et la représentativité des vecteurs sélectionnés. En effet, la construction des partitions ne repose que sur les vecteurs dont on est sûr qu’ils sont physiquement significatifs. Cependant, en faisant la sélection finale à un seuil plus bas, il est possible d’exploiter les vecteurs dont la qualité est moins sûre. La sélection induit nécessairement une irrégularité dans l’espacement temporel des vecteurs sélectionnés qu’il convient de prendre en considération pour l’élaboration d’un modèle séquentiel. Pour ce faire, avantageusement, le procédé permet d’augmenter chacun des vecteurs sélectionnés de l’écart temporel le séparant du vecteur sélectionné suivant. Ces écarts temporels sont préalablement divisés par leur écart-type. Cet écart-type est enregistré pour usage ultérieur sur de nouvelles données. La séquence obtenue, ainsi que la séquence des numéros des partitions auxquelles ont été assignés chacun des vecteurs sélectionnés sont transmis au bloc 412 d’entrainement d’un réseau de neurones. Les partitions peuvent être considérées comme étant un vocabulaire de fonctionnement des équipements. Lorsque les équipements sont en fonctionnement, les mots de ce vocabulaire sont produits suivant une séquentialité régulière, qui peut être observée sur la figure 14 qui présente une séquence de numéros de partitions. L’axe des ordonnées représente les numéros des partitions, allant dans l’exemple de 0 à 39. Cette régularité traduit la régularité supposée des cycles de fonctionnement des équipements légitimes. Le bloc 412 d’entrainement d’un réseau de neurones, a alors pour fonction de construire un modèle séquentiel qui, étant donnée une séquence de vecteurs issue du bloc 410 est capable de prédire la partition à laquelle appartiendra le prochain vecteur de la séquence. Il va ainsi apprendre les régularités sous-jacentes. Dans un mode de réalisation préférentiel, le réseau de neurones est un réseau de neurones récurrents de type LSTM. Dans une mise en oeuvre concrète, le modèle atteint dans le cas d’étude considéré 80% de précision dans ses prédictions. Le modèle séquentiel constitue la sortie du bloc 412.
[0056] La figure 6 représente les composants 602, 604, 606 et 608 du bloc fonctionnel d’analyse et de détection de la présence éventuelle d’un équipement inconnu. Le composant 602 est identique au composant 406 de la figure 4. Le composant 604 reprend les fonctions de sélection et de standardisation du composant 408 et les fonctions d’annotation du composant 410 de la figure 4. Le composant 606 a pour fonction d’évaluer la plausibilité du signal observé, sous l’hypothèse d’absence d’équipement inconnu. Une valeur de plausibilité faible indique la présence probable d’un équipement inconnu. Le composant 608 a pour fonction l’identification des plages de temps sur lesquelles il y a des potentielles intrusions.
[0057] En fonctionnement, le composant 606 de calcul de la plausibilité du signal observé, prend en entrée une séquence annotée produite par le composant 604 de standardisation, et délivre en sortie une série temporelle donnant l’évolution de la plausibilité du signal analysé. A partir de cette série temporelle, le composant 608 de détection de ruptures produit un diagnostic d’intrusion, sous la forme d’un ensemble de plages de temps sur lesquelles il y a des intrusions potentielles.
[0058] Dans un mode de réalisation, le diagnostic d’intrusion est automatique. Dans une variante de réalisation, le diagnostic d’intrusion est manuel en fonction des besoins de l'opérateur.
[0059] La figure 7 illustre une séquence de diagnostic d’intrusion. Le bloc 602 prend en entrée un signal auxiliaire 310 provenant du dispositif de captation et un dictionnaire de motifs élémentaires 332 calculé lors de la phase de modélisation des équipements légitimes. Il renvoie en sortie une représentation vectorielle parcimonieuse du signal d’entrée. Puis par le composant 604, les vecteurs ayant des valeurs significatives sont sélectionnés par comparaison de leurs normes 1 au deuxième seuil utilisé dans le composant 604, et sont ensuite standardisés et annotés selon les partitions précédemment construites. Chacun de ces vecteurs est ensuite augmenté de l’écart temporel le séparant du vecteur sélectionné suivant, ces écarts temporels ayant été préalablement divisés par l’écart-type des écarts temporels, enregistré lors de la phase d’apprentissage. Lorsqu’une séquence passe par le modèle neuronal entraîné, celui-ci renvoie des probabilités d’occurrence de toutes les partitions possibles. La prédiction du modèle est la partition ayant la probabilité d’occurrence la plus élevée. Réciproquement, étant donnée une séquence à analyser, on peut à chaque instant, estimer à l’aide du modèle, la probabilité que le prochain élément de la séquence (qui est connu), appartienne à la partition à laquelle il appartient. Ce calcul est réalisé par le composant dans le bloc 606. Le modèle fournit ainsi la plausibilité de l’occurrence d’une partition à un instant donné, connaissant la séquence qui a précédé cet instant et dans une situation de fonctionnement normale, c’est-à-dire en l’absence d’équipements inconnus. La sortie du composant d’estimation de plausibilité est une série temporelle de probabilités indiquant la plausibilité de la séquence analysée.
[0060] Dans un mode de réalisation, afin de faciliter l’analyse de cette série temporelle, celle-ci est lissée en calculant dans une fenêtre glissante le pourcentage de valeurs supérieures à 0.5. Un exemple tiré d’un cas d’étude est donné sur la figure 15. Cette série temporelle lissée constitue la sortie du composant 606.
[0061] Le composant de diagnostic 608 a pour fonction l’analyse de la série temporelle renvoyée par le composant d’estimation de plausibilité 606, en vue de l’établissement d’un diagnostic d’intrusion. Dans le scénario correspondant à la figure 15, un équipement non observé à l’étape de modélisation est activé vers le milieu de la séquence diagnostiquée. Comme cela est visible sur la figure 15, cette mise en activité entraîne une rupture dans la série temporelle, mesurant la plausibilité de la séquence observée.
[0062] Il est possible de détecter automatiquement ce type de phénomène par différentes approches, par exemple, en testant l’existence de groupes de valeurs séparés dans la série temporelle considérée.
[0063] L’analyse peut se limiter à un examen visuel des signaux observés, où la présence d'un intrus peut être détectée par une rupture visible, par exemple entre 0.0025s et 0.0042s sur la figure 15, avec une valeur de seuil positionnée par exemple à T=40. Cette valeur est à régler à l'issue de la phase d'apprentissage et au lancement de la phase de détection.
[0064] L’invention a été décrite pour un mode de réalisation et peut s’implémenter à partir d’éléments matériel et/ou logiciel. Elle peut être disponible en tant que produit programme d’ordinateur exécuté par un processeur qui comprend des instructions de code pour exécuter les étapes du procédé dans les différents modes de réalisation.

Claims

REVENDICATIONS
1. Procédé de détection d’équipement inconnu (110) dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes (100-1 à 100-n), le procédé comprenant les étapes de:
- recevoir et enregistrer (302) les émissions électromagnétiques auxiliaires (310) des équipements du réseau ;
- analyser (304) les émissions électromagnétiques auxiliaires reçues ; et
- déterminer (306) la présence ou non d’au moins un équipement inconnu parmi l’ensemble des équipements du réseau selon les résultats de l’analyse.
2. Le procédé selon la revendication 1 dans lequel l’étape recevoir et enregistrer les émissions électromagnétiques auxiliaires comprend des étapes de :
- convertir les émissions électromagnétiques auxiliaires reçues de chaque équipement en un signal auxiliaire analogique ; - convertir chaque signal auxiliaire analogique en un signal auxiliaire numérisé ; et
- agréger l’ensemble des signaux auxiliaires numérisés en un signal auxiliaire agrégé numérisé.
3. Le procédé selon la revendication 2 dans lequel :
- l’étape d’analyse des émissions électromagnétiques auxiliaires comprend une étape de modélisation du fonctionnement des ‘n’ équipements légitimes à partir des signaux auxiliaires numérisés ; et
- l’étape de détermination de la présence ou non d’un équipement inconnu consiste à analyser le signal auxiliaire agrégé numérisé à partir de la modélisation.
4. Le procédé selon la revendication 3 dans lequel l’étape de modélisation comprend des étapes de :
- détecter et extraire des signaux auxiliaires numérisés, des segments correspondant à des périodes d’activité des équipements ;
- calculer sur les segments extraits, des composantes en nombre réduit et morphologiquement simples, dites motifs élémentaires ; et - générer un modèle séquentiel de fonctionnement et un dictionnaire des motifs élémentaires.
5. Le procédé selon la revendication 4 dans lequel l’étape de générer un modèle séquentiel consiste à entraîner un réseau de neurones récurrent.
6. Le procédé l’une quelconque des revendications 3 à 5 dans lequel la modélisation est une modélisation parcimonieuse basée sur un algorithme proximal.
7. Le procédé selon l’une quelconque des revendications 3 à 6 dans lequel l’étape de détermination de la présence ou non d’équipement inconnu, comprend des étapes de :
- calculer une valeur de plausibilité du signal auxiliaire agrégé numérisé ; et
- diagnostiquer la présence ou non d’équipement inconnu en fonction du résultat.
8. Le procédé selon la revendication 7 dans lequel l’étape de calcul de plausibilité comprend des étapes de :
- générer une série temporelle représentative de l’évolution de la plausibilité d’une séquence du signal auxiliaire agrégé numérisé ; et
- identifier dans la série temporelle une ou des ruptures, représentant des intrusions potentielles.
9. Un produit programme d’ordinateur, ledit programme d’ordinateur comprenant des instructions de code non transitoire permettant d’effectuer les étapes du procédé de détection d’équipement inconnu, selon l’une quelconque des revendications 1 à 8, lorsque ledit programme est exécuté sur un ordinateur.
10. Un dispositif de détection d’équipement inconnu, dans un réseau d’équipements générant des émissions électromagnétiques auxiliaires, le réseau comprenant une pluralité ‘n’ d’équipements connus désignés comme équipements légitimes, le dispositif comprenant des moyens pour mettre en oeuvre les étapes du procédé selon l’une quelconque des revendications 1 à 8.
PCT/EP2020/085497 2019-12-19 2020-12-10 Procede et dispositif de detection d'equipement intrus WO2021122291A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FRFR1914845 2019-12-19
FR1914845A FR3105485B1 (fr) 2019-12-19 2019-12-19 Procede et dispositif de detection d’equipement intrus

Publications (1)

Publication Number Publication Date
WO2021122291A1 true WO2021122291A1 (fr) 2021-06-24

Family

ID=70738624

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/085497 WO2021122291A1 (fr) 2019-12-19 2020-12-10 Procede et dispositif de detection d'equipement intrus

Country Status (2)

Country Link
FR (1) FR3105485B1 (fr)
WO (1) WO2021122291A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116156505A (zh) * 2023-04-18 2023-05-23 南京桂瑞得信息科技有限公司 基于去噪自编码器与度量学习的WiFi设备检测方法

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
BASSEY JOSHUA ET AL.: "2019 Fourth International Conférence on Fog and Mobile Edge Computing (FMEC", 10 June 2019, IEEE, article "Intrusion Détection for loT Devices based on RF Fingerprinting using Deep Learning", pages: 98 - 104
BASSEY JOSHUA ET AL: "Intrusion Detection for IoT Devices based on RF Fingerprinting using Deep Learning", 2019 FOURTH INTERNATIONAL CONFERENCE ON FOG AND MOBILE EDGE COMPUTING (FMEC), IEEE, 10 June 2019 (2019-06-10), pages 98 - 104, XP033597875, DOI: 10.1109/FMEC.2019.8795319 *
CONTI, M.DRAGONI, N.LESYK, V.: "A survey of man in the middle attacks", IEEE COMMUNICATIONS SURVEYS & TUTORIALS, vol. 18, no. 3, 2016, pages 2027 - 2051, XP011620876, DOI: 10.1109/COMST.2016.2548426
JEYANTHI HALL ET AL: "Radio Frequency Fingerprinting for Intrusion Detection in Wireless Networks", IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, 12 July 2005 (2005-07-12), XP055380744, Retrieved from the Internet <URL:https://pdfs.semanticscholar.org/06aa/25c78d5d59e39db53a16cad0c1af95e3d834.pdf> *
KHAN, H. A.SEHATBAKHSH, N.NGUYEN, L. N.CALLAN, R. L.YEREDOR, A.PRVULOVIC, M.ZAJIC, A.: "IDEA: Intrusion Détection through Electromagnetic-Signal Analysis for Critical Embedded and Cyber-Physical Systems", IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, 2019
RAHMAN, A.EZEIFE, C. I.AGGARWAL, A. K.: "International Workshop on Knowledge Discovery from Sensor Data", August 2008, SPRINGER, article "Wifi miner: an online apriori-infrequent based wireless intrusion system", pages: 76 - 93
SHENLONG WANG ET AL: "Proximal Deep Structured Models", 5 December 2016 (2016-12-05), XP055606977, Retrieved from the Internet <URL:http://delivery.acm.org/10.1145/3160000/3157193/p865-wang.pdf?ip=145.64.254.240&id=3157193&acc=NO%20RULES&key=E80E9EB78FFDF9DF.4D4702B0C3E38B35.4D4702B0C3E38B35.4D4702B0C3E38B35&__acm__=1563453890_8628996672038d1b23674ffc8e162b0d> [retrieved on 20190718] *
TRABELSI, Z.SHUAIB, K.: "IEEE Globecom", November 2006, IEEE, article "Man in the middle intrusion detection", pages: 1 - 6

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116156505A (zh) * 2023-04-18 2023-05-23 南京桂瑞得信息科技有限公司 基于去噪自编码器与度量学习的WiFi设备检测方法
CN116156505B (zh) * 2023-04-18 2023-08-04 南京桂瑞得信息科技有限公司 基于去噪自编码器与度量学习的WiFi设备检测方法

Also Published As

Publication number Publication date
FR3105485B1 (fr) 2021-11-26
FR3105485A1 (fr) 2021-06-25

Similar Documents

Publication Publication Date Title
EP1582888B1 (fr) Procédé de localisation aveugle large bande d&#39;un ou plusieurs émetteurs à partir d&#39;un porteur défilant
US20200309689A1 (en) Fabric validation using spectral measurement
EP3489831A1 (fr) Procédé et dispositif de surveillance d&#39;un processus générateur de données d&#39;une métrique pour la prédiction d&#39;anomalies
EP2517037B1 (fr) Procede pour estimer le nombre de sources incidentes a un reseau de capteurs par estimation de la statistique du bruit
CN116030590A (zh) 火灾判断方法、装置、计算机设备及可读存储介质
WO2021122291A1 (fr) Procede et dispositif de detection d&#39;equipement intrus
EP1792278B1 (fr) Procede de detection et de pistage de cibles ponctuelles, dans un systeme de surveillance optronique
EP4055506B1 (fr) Detection d&#39;attaques a l&#39;aide de compteurs de performances materiels
WO2019186050A1 (fr) Dispositif informatique de detection de troubles du rythme cardiaque
EP2423851A1 (fr) Procédé de configuration d&#39;un dispositif de détection à capteur, programme d&#39;ordinateur et dispositif adaptatif correspondants
EP2196821A1 (fr) Procédé de filtrage cinématique temporel multidimensionel de plots radar, de tour d&#39;antenne à tour d&#39;antenne
FR2699347A1 (fr) Procédé et dispositif d&#39;extraction d&#39;un signal utile d&#39;extension spatiale finie à chaque instant et variable avec le temps.
EP3324326B1 (fr) Procédé et système de détection de vulnérabilité d&#39;un dispositif embarqué
EP3298419A1 (fr) Procede d&#39;analyse d&#39;un cable, impliquant un traitement d&#39;amplification de la signature d&#39;un defaut non franc
CN117391214A (zh) 模型训练方法、装置及相关设备
WO2015024827A1 (fr) Procede de detection d&#39;un signal electromagnetique par un reseau antennaire et dispositif mettant en oeuvre le procede
US9473368B1 (en) Network graph representation of physically connected network
JP2007199750A (ja) 画素群パラメータ算出方法及び目標物検出方法並びに画素群パラメータ算出装置及び目標物検出装置
KR20220026510A (ko) 1차원 측정치들을 다차원 이미지들로 변환함으로써 침입 검출 시스템의 측정치들을 개선하기 위한 시스템 및 방법
FR3089648A1 (fr) Procede de detection non supervise d’attaques internes et systeme associe
EP3036841A1 (fr) Procede de detection d&#39;un signal electromagnetique par un reseau antennaire a diversite de diagramme et dispositif mettant en oeuvre le procede
FR3093817A1 (fr) Systeme de traitement radar et procede de debruitage associe
US11888718B2 (en) Detecting behavioral change of IoT devices using novelty detection based behavior traffic modeling
CN114070581B (zh) 域名系统隐藏信道的检测方法及装置
EP3340065A1 (fr) Procédé de détermination de l&#39;état d&#39;un système, procédé de détermination d&#39;une méthode de projection optimale et dispositif mettant en oeuvre lesdits procédés

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20820194

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20820194

Country of ref document: EP

Kind code of ref document: A1