Дисертації з теми "Apprentissage automatique – Réseaux d'ordinateurs – Mesures de sûreté"

Nous vivons dans un monde hyperconnecté. À présent, la majorité des objets qui nous entourentéchangent des données soit entre-eux soit avec un serveur. Ces échanges produisent alors de l’activitéréseau. C’est l’étude de cette activité réseau qui nous intéresse ici et sur laquelle porte ce mémoire. Eneffet, tous les messages et donc le trafic réseau généré par ces équipements est voulu et par conséquentlégitime. Il est de ce fait parfaitement formaté et connu. Parallèlement à ce trafic qui peut êtrequalifié de ”normal”, il peut exister du trafic qui ne respecte pas les critères attendus. Ces échangesnon conformes aux attendus peuvent être catégorisés comme étant du trafic ”anormal”. Ce traficillégitime peut être dû à plusieurs causes tant internes qu’externes. Tout d’abord, pour des raisonsbassement mercantiles, la plus part de ces équipements connectés (téléphones, montres, serrures,caméras,. . . ) est peu, mal, voire pas protégée du tout. De ce fait, ils sont devenus les cibles privilégiéesdes cybercriminels. Une fois compromis, ces matériels communiquant constituent des réseaux capablesde lancer des attaques coordonnées : des botnets. Le trafic induit par ces attaques ou les communicationsde synchronisation internes à ces botnets génèrent alors du trafic illégitime qu’il faut pouvoir détecter.Notre première contribution a pour objectif de mettre en lumière ces échanges internes, spécifiques auxbotnets. Du trafic anormal peut également être généré lorsque surviennent des événements externesnon prévus ou extra-ordinaires tels des incidents ou des changements de comportement des utilisateurs.Ces événements peuvent impacter les caractéristiques des flux de trafic échangés comme leur volume,leurs sources, destinations ou encore les paramètres réseaux qui les caractérisent. La détection de cesvariations de l’activité réseau ou de la fluctuation de ces caractéristiques est l’objet de nos contributionssuivantes. Il s’agit d’un framework puis d’une méthodologie qui en découle permettant d’automatiserla détection de ces anomalies réseaux et éventuellement de lever des alertes en temps réel
We live in a hyperconnected world. Currently, the majority of the objects surrounding us exchangedata either among themselves or with a server. These exchanges consequently generate networkactivity. It is the study of this network activity that interests us here and forms the focus of thisthesis. Indeed, all messages and thus the network traffic generated by these devices are intentionaland therefore legitimate. Consequently, it is perfectly formatted and known. Alongside this traffic,which can be termed ”normal,” there may exist traffic that does not adhere to expected criteria. Thesenon-conforming exchanges can be categorized as ”abnormal” traffic. This illegitimate traffic can bedue to several internal and external causes. Firstly, for purely commercial reasons, most of theseconnected devices (phones, watches, locks, cameras, etc.) are poorly, inadequately, or not protectedat all. Consequently, they have become prime targets for cybercriminals. Once compromised, thesecommunicating devices form networks capable of launching coordinated attacks : botnets. The trafficinduced by these attacks or the internal synchronization communications within these botnets thengenerates illegitimate traffic that needs to be detected. Our first contribution aims to highlight theseinternal exchanges, specific to botnets. Abnormal traffic can also be generated when unforeseen orextraordinary external events occur, such as incidents or changes in user behavior. These events canimpact the characteristics of the exchanged traffic flows, such as their volume, sources, destinations,or the network parameters that characterize them. Detecting these variations in network activity orthe fluctuation of these characteristics is the focus of our subsequent contributions. This involves aframework and resulting methodology that automates the detection of these network anomalies andpotentially raises real-time alerts

Dans cette thèse, nous dressons tout d'abord un bilan des différentes techniques d'identification de trafic et constatons l'absence de solution permettant une identification du trafic HTTPS à la fois précise et respectueuse de la vie privée des utilisateurs. Nous nous intéressons dans un premier temps à une technique récente, néanmoins déjà déployée, permettant la supervision du trafic HTTPS grâce à l'inspection du champ SNI, extension du protocole TLS. Nous montrons que deux stratégies permettent de contourner cette méthode. Comme remédiation, nous proposons une procédure de vérification supplémentaire basée sur un serveur DNS de confiance. Les résultats expérimentaux montrent que cette solution pragmatique est efficace. Ensuite, nous proposons une architecture qui permet l'identification des services dans le trafic HTTPS, en se basant sur l'apprentissage automatique. Nous avons ainsi défini un nouvel ensemble de caractéristiques statistiques combinées avec une identification à deux niveaux, identifiant d'abord le fournisseur de services, puis le service, selon notre évaluation à partir de trafic réel. Enfin, nous améliorons cette architecture afin de permettre l'identification du trafic en temps réel en ne considérant que les premiers paquets des flux plutôt que leur totalité. Pour évaluer notre approche, nous avons constitué un dataset comportant les flux complets de chargement des principaux sites web et l'avons rendu public pour comparaison. Nous présentons également un prototype de logiciel reconstituant les flux HTTPS en temps réel puis les identifiant
In this thesis, we provide a privacy preserving for monitoring HTTPS services. First, we first investigate a recent technique for HTTPS services monitoring that is based on the Server Name Indication (SNI) field of the TLS handshake. We show that this method has many weakness, which can be used to cheat monitoring solutions.To mitigate this issue, we propose a novel DNS-based approach to validate the claimed value of SNI. The evaluation show the ability to overcome the shortage. Second, we propose a robust framework to identify the accessed HTTPS services from a traffic dump, without relying neither on a header field nor on the payload content. Our evaluation based on real traffic shows that we can identify encrypted HTTPS services with high accuracy. Third, we have improved our framework to monitor HTTPS services in real-time. By extracting statistical features over the TLS handshake packets and a few application data packets, we can identify HTTPS services very early in the session. The obtained results and a prototype implementation show that our method offers good identification accuracy, high HTTPS flow processing throughput, and a low overhead delay

Peer-to-peer real-time communication and media streaming applications optimize their performance by using application-level topology estimation services such as virtual coordinate systems. Virtual coordinate systems allow nodes in a peer-to-peer network to accurately predict latency between arbi- trary nodes without the need of performing extensive measurements. However, systems that leverage virtual coordinates as supporting building blocks, are prone to attacks conducted by compromised nodes that aim at disrupting, eavesdropping, or mangling with the underlying communications. Recent research proposed techniques to mitigate basic attacks (inflation, deflation, oscillation) considering a single attack strategy model where attackers perform only one type of attack. In this work, we define and use a game theory framework in order to identify the best attack and defense strategies assuming that the attacker is aware of the defense mechanisms. Our approach leverages concepts derived from the Nash equilibrium to model more powerful adversaries. We apply the game theory framework to demonstrate the impact and efficiency of these attack and defense strategies using a well-known virtual coordinate system and real-life Internet data sets. Thereafter, we explore supervised machine learning techniques to mitigate more subtle yet highly effective attacks (frog-boiling, network-partition) that are able to bypass existing defenses. We evaluate our techniques on the Vivaldi system against a more complex attack strategy model, where attackers perform sequences of all known attacks against virtual coordinate systems, using both simulations and Internet deployments.

Les systèmes de détection d'intrusion (IDS) sont des composants essentiels dans l'infrastructure de sécurité des réseaux. Pour faire face aux problèmes de scalabilité des IDS utilisant des règles de détection artisanales, l'apprentissage automatique est utilisé pour concevoir des IDS formés sur des ensembles de données. Cependant, ils sont de plus en plus mis au défi par des méta-attaques, appelées attaques d'évasion adverses, qui modifient les attaques existantes pour améliorer leurs capacités d'évasion. Par exemple, ces approches utilisent les réseaux antagonistes génératifs (GAN) pour automatiser la modification. Différentes approches ont été proposées pour rendre ces IDS robustes : les solutions basées sur l'entraînement antagoniste se sont avérées assez réussies.Néanmoins, l'évasion des IDS demeure pertinente car de nombreuses contributions montrent également que les attaques d'évasion adverses restent efficaces malgré l'utilisation de l'entraînement antagoniste sur les IDS. Dans cette thèse, nous étudions cette situation et présentons des contributions qui améliorent la compréhension de l'une de ses causes profondes et des directives pour l'atténuer. La première étape est de mieux comprendre les sources possibles de variabilité dans les performances des IDS ou des attaques d'évasion. Trois sources potentielles sont considérées : les problèmes d'évaluation méthodologique, la course inhérente conduisant à dépenser davantage de ressources informatiques en attaque ou en défense, ainsi que les problèmes d'entraînement et d'acquisition de données lors de l'entraînement des IDS.La première contribution consiste en des directives pour mener des évaluations robustes des IDS au-delà de la simple recommandation pour une analyse empirique. Ces directives couvrent à la fois la conception d'une seule expérience mais aussi les campagnes d'analyse de sensibilité. La conséquence de l'application de ces directives est d'obtenir des résultats plus stables lors du changement de paramètres liés aux ressources d'entraînement. L'élimination des artefacts dus à des procédures d'évaluation inadéquates nous amène à enquêter sur les raisons pour lesquelles certaines parties sélectionnées de l'ensemble de données considérées tendent à n'être presque pas affectées par les attaques adverses.La deuxième contribution est la formalisation des milieux adverses en proposant une autre façon de caractériser les échantillons contradictoires. Cette formalisation nous permet de revisiter un critère de qualité des données, à savoir l'absence d'échantillons contradictoires, qui porte habituellement sur les échantillons non contradictoires, et de l'adapter aux ensembles de données d'échantillons contradictoires. À partir de cette démarche, quatre situations de menace ont été identifiées avec des impacts qualitatifs clairs soit sur l'entraînement d'un IDS robuste, soit sur la capacité de l'attaquant à trouver des attaques d'évasion plus réussies.Enfin, nous proposons des contre-mesures aux menaces mentionnées ci-dessus et effectuons ensuite une évaluation quantitative empirique de ces menaces et des contre-mesures proposées. Les résultats de ces expérimentations confirment l'importance de vérifier et d'atténuer de manière appropriée les menaces liées à un ensemble contradictoire étendu non vide. En effet, il s'agit d'une vulnérabilité non triviale qui peut être vérifiée et atténuée avant l'entraînement des IDS
Intrusion Detection Systems (IDSs) serve as critical components in network security infrastructure.In order to cope with the scalability issues of IDSs using handcrafted detection rules, machine learning is used to design IDSs trained on datasets.Yet, they are increasingly challenged by meta-attacks, called adversarial evasion attacks, that alter existing attacks to improve their evasion capabilities.These approaches, for instance, employ Generative Adversarial Networks (GANs) to automate the alteration process.Several strategies have been proposed to enhance the robustness of IDSs against such attacks, with significant success in strategies based on adversarial training.However, IDSs evasion remains relevant as many contributions also show that adversarial evasion attacks are still efficient despite using adversarial training on IDSs. In this thesis, we investigate this situation and present contributions that improve the understanding of one of its root causes and guidelines to mitigate it.The first step is to better understand the possible sources of variability in IDS or evasion attack performances. Three potential sources are considered: methodological assessment issues, the inherent race to spend more computational resources in attack or defense, or issues in training and dataset acquisition when training IDSs.The first contribution consists of guidelines to conduct robust IDSs assessments beyond the simple recommendation for empirical analysis. These guidelines cover both single experiment design but also sensitivity analysis campaigns.The consequence of applying such guidelines is to obtain more stable results when changing training resource related parameters. Removing artifacts due to inadequate assessment procedures leads us to investigate why some selected parts of the considered dataset tend to be almost not affected by adversarial attacks.The second contribution is the formalization of adversarial neighborhoods: an alternative way to characterize adversarial samples. This formalization allows us to adapt and evaluate data quality criteria used for non-adversarial samples, such as the absence of contradictory samples, and apply similar criteria to adversarial sample datasets. From this concept, four threat situations have been identified with clear qualitative impacts either on the training of a robust IDS or the attacker's ability to find more successful evasion attacks.Finally, we propose countermeasures to the identified threats and then perform an empirical quantitative assessment of both threats and countermeasures.The findings of these experiments highlight the need to identify and mitigate threats associated with a non-empty extended contradictory set. Indeed, this crucial vulnerability should be identified and addressed prior to IDS training

Pour faire face au volume considérable de logiciels malveillants, les chercheurs en sécurité ont développé des outils dynamiques automatiques d’analyse de malware comme la Sandbox Cuckoo. Ces types d’analyse sont partiellement automatiques et nécessite l’intervention d’un expert humain en sécurité pour détecter et extraire les comportements suspicieux. Afin d’éviter ce travail fastidieux, nous proposons une méthodologie pour extraire automatiquement des comportements dangereux données par les Sandbox. Tout d’abord, nous générons des rapports d’activités provenant des malware depuis la Sandbox Cuckoo. Puis, nous regroupons les malware faisant partie d’une même famille grâce à l’algorithme Avclass. Cet algorithme agrège les labels de malware donnés par VirusTotal. Nous pondérons alors par la méthode TF-IDF les comportements les plus singuliers de chaque famille de malware obtenue précédemment. Enfin, nous agrégeons les familles de malware ayant des comportements similaires par la méthode LSA.De plus, nous détaillons une méthode pour détecter des malware à partir du même type de comportements trouvés précédemment. Comme cette détection est réalisée en environnement réel, nous avons développé des sondes capables de générer des traces de comportements de programmes en exécution de façon continue. A partir de ces traces obtenues, nous construisons un graphe qui représente l’arbre des programmes en exécution avec leurs comportements. Ce graphe est mis à jour de manière incrémentale du fait de la génération de nouvelles traces. Pour mesurer la dangerosité des programmes, nous exécutons l’algorithme PageRank thématique sur ce graphe dès que celui-ci est mis à jour. L’algorithme donne un classement de dangerosité des processus en fonction de leurs comportements suspicieux. Ces scores sont ensuite reportés sur une série temporelle pour visualiser l’évolution de ce score de dangerosité pour chaque programme. Pour finir, nous avons développé plusieurs indicateurs d’alertes de programmes dangereux en exécution sur le système
To cope with the large volume of malware, researchers have developed automatic dynamic tools for the analysis of malware like the Cuckoo sandbox. This analysis is partially automatic because it requires the intervention of a human expert in security to detect and extract suspicious behaviour. In order to avoid this tedious work, we propose a methodology to automatically extract dangerous behaviors. First of all, we generate activity reports from malware from the sandbox Cuckoo. Then, we group malware that are part of the same family using the Avclass algorithm. We then weight the the most singular behaviors of each malware family obtained previously. Finally, we aggregate malware families with similar behaviors by the LSA method.In addition, we detail a method to detect malware from the same type of behaviors found previously. Since this detection isperformed in real environment, we have developed probes capable of generating traces of program behaviours in continuous execution. From these traces obtained, we let’s build a graph that represents the tree of programs in execution with their behaviors. This graph is updated incrementally because the generation of new traces. To measure the dangerousness of programs, we execute the personalized PageRank algorithm on this graph as soon as it is updated. The algorithm gives a dangerousness ranking processes according to their suspicious behaviour. These scores are then reported on a time series to visualize the evolution of this dangerousness score for each program. Finally, we have developed several alert indicators of dangerous programs in execution on the system

Avec leur rôle important dans la protection des réseaux, les Systèmes de Détection d'Intrusion (IDS) doivent être capables d'adapter leurs modes de fonctionnement à toutes les innovations technologiques. L'IDS doit gérer une grande masse d'information et traiter un trafic réseau à une cadence très élevée à cause des vitesses de transfert et de la diversité des services offerts. Il doit aussi traiter un grand nombre d'attaques qui ne cesse d'augmenter. Par conséquent, améliorer les performances des IDS devient une tâche critique pour les concepteurs des mécanismes de protection. Dans notre thèse, nous nous focalisons sur les problèmes liés aux paramètres quantitatifs de l'utilisation des l'IDS. Nous proposons une approche pour la classification des signatures d'attaques en fonction de leurs sous-chaînes communes. Cette approche permet de réduire le nombre des signatures traitées et par conséquent réduire le temps d'exécution. Nous traitons aussi le problème de la masse de données analysée par l'IDS, nous proposons une architecture de détection basée sur la classification des connexions réseau. L'architecture proposée permet de décider de la nature d'une connexion : suspecte ou non. Dans le premier cas, la connexion doit être analysée par le système de détection d'intrusion. Sinon, si elle n'est pas suspecte nous pouvons décider de ne pas l'analyser par l'IDS.

La détection tardive des menaces à la sécurité entraîne une augmentation significative du risque de dommages irréparables, invalidant toute tentative de défense. En conséquence, la détection rapide des menaces en temps réel est obligatoire pour l'administration de la sécurité. De plus, la fonction de virtualisation de la fonction réseau (NFV) offre de nouvelles opportunités pour des solutions de sécurité efficaces et à faible coût. Nous proposons un système de détection de menaces rapide et efficace basé sur des algorithmes de traitement de flux et d'apprentissage automatique. Les principales contributions de ce travail sont : i) un nouveau système de détection des menaces de surveillance basé sur le traitement en continu, ii) deux ensembles de données, d'abord un ensemble de données de sécurité synthétiques contenant à la fois du trafic légitime et malveillant, et le deuxième, une semaine de trafic réel d'un opérateur de télécommunications à Rio de Janeiro, au Brésil, iii) un algorithme de pré-traitement de données, un algorithme de normalisation et un algorithme de sélection de caractéristiques rapides basé sur la corrélation entre des variables, iv) une fonction de réseau virtualisé dans une plate-forme Open Source pour fournir un service de détection des menaces en temps réel, v) placement quasi-optimal des capteurs grâce à une heuristique proposée pour positionner stratégiquement les capteurs dans l'infrastructure du réseau, avec un nombre minimal de capteurs, et enfin vi) un algorithme glouton qui alloue à la demande une séquence de fonctions de réseau virtuel
The late detection of security threats causes a significant increase in the risk of irreparable damages, disabling any defense attempt. As a consequence, fast real-time threat detection is mandatory for security administration. In addition, Network Function Virtualization (NFV) provides new opportunities for efficient and low-cost security solutions. We propose a fast and efficient threat detection system based on stream processing and machine learning algorithms. The main contributions of this work are i) a novel monitoring threat detection system based on streaming processing, ii) two datasets, first a dataset of synthetic security data containing both legitimate and malicious traffic, and the second, a week of real traffic of a telecommunications operator in Rio de Janeiro, Brazil, iii) a data pre-processing algorithm, a normalizing algorithm and an algorithm for fast feature selection based on the correlation between variables, iv) a virtualized network function in an Open source Platform for providing a real-time threat detection service, v) near-optimal placement of sensors through a proposed heuristic for strategically positioning sensors in the network infrastructure, with a minimum number of sensors, and finally vi) a greedy algorithm that allocates on demand a sequence of virtual network functions

Les communications pair-à-pair en temps réel ainsi que les applications de transmissions multi-média peuvent améliorer leurs performances en utilisant des services d'estimation de topologie au niveau d'application. Les systèmes aux coordonnées virtuelles représentent un tel service. A l'aide d'un tel système les noeuds d'un réseau pair-à-pair prédisent les latences entre différents noeuds sans nécessiter des mesures étendues. Malheureusement, prédire les latences correctement requis que les noeuds soient honnêtes et coopératifs. La recherche récente propose des techniques pour atténuer des attaques basiques (inflation, déflation, oscillation) où les attaquants conduisent un type d'attaque seulement. Dans ce travail, nous définissons et utilisons un modèle basé sur la théorie des jeux pour identifier la meilleure solution pour défendre le système en supposant que les attaquants utilisent l'attaque la plus pire. Ce modèle nous aide à démontrer l'impact et l'efficacité des attaques et défenses en utilisant un système de coordonnées virtuelles répondu. De même, nous explorons des techniques de l'apprentissage automatique supervisé pour détecter des attaques plus lentes et subtiles, comme l'attaque à l'inflation-lente et l'attaque de dégroupage de réseau qui sont capable de contourner des techniques de défenses existantes. Nous évaluons nos techniques sur le système Vivaldi contre des stratégies d'attaques plus complexes sur des simulations ainsi que des déploiements Internet
Peer-to-peer real-time communication and media streaming applications optimize their performance by using application-level topology estimation services such as virtual coordinate systems. Virtual coordinate systems allow nodes in a peer-to-peer network to accurately predict latency between arbitrary nodes without the need of performing extensive measurements. However, systems that leverage virtual coordinates as supporting building blocks, are prone to attacks conducted by compromised nodes that aim at disrupting, eavesdropping, or mangling with the underlying communications. Recent research proposed techniques to mitigate basic attacks (inflation, deflation, oscillation) considering a single attack strategy model where attackers perform only one type of attack. In this work, we define and use a game theory framework in order to identify the best attack and defense strategies assuming that the attacker is aware of the defense mechanisms. Our approach leverages concepts derived from the Nash equilibrium to model more powerful adversaries. We apply the game theory framework to demonstrate the impact and efficiency of these attack and defense strategies using a well-known virtual coordinate system and real-life Internet data sets. Thereafter, we explore supervised machine learning techniques to mitigate more subtle yet highly effective attacks (frog-boiling, network-partition) that are able to bypass existing defenses. We evaluate our techniques on the Vivaldi system against a more complex attack strategy model, where attackers perform sequences of all known attacks against virtual coordinate systems, using both simulations and Internet deployments

La détection tardive des menaces à la sécurité entraîne une augmentation significative du risque de dommages irréparables, invalidant toute tentative de défense. En conséquence, la détection rapide des menaces en temps réel est obligatoire pour l'administration de la sécurité. De plus, la fonction de virtualisation de la fonction réseau (NFV) offre de nouvelles opportunités pour des solutions de sécurité efficaces et à faible coût. Nous proposons un système de détection de menaces rapide et efficace basé sur des algorithmes de traitement de flux et d'apprentissage automatique. Les principales contributions de ce travail sont : i) un nouveau système de détection des menaces de surveillance basé sur le traitement en continu, ii) deux ensembles de données, d'abord un ensemble de données de sécurité synthétiques contenant à la fois du trafic légitime et malveillant, et le deuxième, une semaine de trafic réel d'un opérateur de télécommunications à Rio de Janeiro, au Brésil, iii) un algorithme de pré-traitement de données, un algorithme de normalisation et un algorithme de sélection de caractéristiques rapides basé sur la corrélation entre des variables, iv) une fonction de réseau virtualisé dans une plate-forme Open Source pour fournir un service de détection des menaces en temps réel, v) placement quasi-optimal des capteurs grâce à une heuristique proposée pour positionner stratégiquement les capteurs dans l'infrastructure du réseau, avec un nombre minimal de capteurs, et enfin vi) un algorithme glouton qui alloue à la demande une séquence de fonctions de réseau virtuel
The late detection of security threats causes a significant increase in the risk of irreparable damages, disabling any defense attempt. As a consequence, fast real-time threat detection is mandatory for security administration. In addition, Network Function Virtualization (NFV) provides new opportunities for efficient and low-cost security solutions. We propose a fast and efficient threat detection system based on stream processing and machine learning algorithms. The main contributions of this work are i) a novel monitoring threat detection system based on streaming processing, ii) two datasets, first a dataset of synthetic security data containing both legitimate and malicious traffic, and the second, a week of real traffic of a telecommunications operator in Rio de Janeiro, Brazil, iii) a data pre-processing algorithm, a normalizing algorithm and an algorithm for fast feature selection based on the correlation between variables, iv) a virtualized network function in an Open source Platform for providing a real-time threat detection service, v) near-optimal placement of sensors through a proposed heuristic for strategically positioning sensors in the network infrastructure, with a minimum number of sensors, and finally vi) a greedy algorithm that allocates on demand a sequence of virtual network functions

Dans cette thèse, nous dressons tout d'abord un bilan des différentes techniques d'identification de trafic et constatons l'absence de solution permettant une identification du trafic HTTPS à la fois précise et respectueuse de la vie privée des utilisateurs. Nous nous intéressons dans un premier temps à une technique récente, néanmoins déjà déployée, permettant la supervision du trafic HTTPS grâce à l'inspection du champ SNI, extension du protocole TLS. Nous montrons que deux stratégies permettent de contourner cette méthode. Comme remédiation, nous proposons une procédure de vérification supplémentaire basée sur un serveur DNS de confiance. Les résultats expérimentaux montrent que cette solution pragmatique est efficace. Ensuite, nous proposons une architecture qui permet l'identification des services dans le trafic HTTPS, en se basant sur l'apprentissage automatique. Nous avons ainsi défini un nouvel ensemble de caractéristiques statistiques combinées avec une identification à deux niveaux, identifiant d'abord le fournisseur de services, puis le service, selon notre évaluation à partir de trafic réel. Enfin, nous améliorons cette architecture afin de permettre l'identification du trafic en temps réel en ne considérant que les premiers paquets des flux plutôt que leur totalité. Pour évaluer notre approche, nous avons constitué un dataset comportant les flux complets de chargement des principaux sites web et l'avons rendu public pour comparaison. Nous présentons également un prototype de logiciel reconstituant les flux HTTPS en temps réel puis les identifiant
In this thesis, we provide a privacy preserving for monitoring HTTPS services. First, we first investigate a recent technique for HTTPS services monitoring that is based on the Server Name Indication (SNI) field of the TLS handshake. We show that this method has many weakness, which can be used to cheat monitoring solutions.To mitigate this issue, we propose a novel DNS-based approach to validate the claimed value of SNI. The evaluation show the ability to overcome the shortage. Second, we propose a robust framework to identify the accessed HTTPS services from a traffic dump, without relying neither on a header field nor on the payload content. Our evaluation based on real traffic shows that we can identify encrypted HTTPS services with high accuracy. Third, we have improved our framework to monitor HTTPS services in real-time. By extracting statistical features over the TLS handshake packets and a few application data packets, we can identify HTTPS services very early in the session. The obtained results and a prototype implementation show that our method offers good identification accuracy, high HTTPS flow processing throughput, and a low overhead delay

Pour faire face au volume considérable de logiciels malveillants, les chercheurs en sécurité ont développé des outils dynamiques automatiques d’analyse de malware comme la Sandbox Cuckoo. Ces types d’analyse sont partiellement automatiques et nécessite l’intervention d’un expert humain en sécurité pour détecter et extraire les comportements suspicieux. Afin d’éviter ce travail fastidieux, nous proposons une méthodologie pour extraire automatiquement des comportements dangereux données par les Sandbox. Tout d’abord, nous générons des rapports d’activités provenant des malware depuis la Sandbox Cuckoo. Puis, nous regroupons les malware faisant partie d’une même famille grâce à l’algorithme Avclass. Cet algorithme agrège les labels de malware donnés par VirusTotal. Nous pondérons alors par la méthode TF-IDF les comportements les plus singuliers de chaque famille de malware obtenue précédemment. Enfin, nous agrégeons les familles de malware ayant des comportements similaires par la méthode LSA.De plus, nous détaillons une méthode pour détecter des malware à partir du même type de comportements trouvés précédemment. Comme cette détection est réalisée en environnement réel, nous avons développé des sondes capables de générer des traces de comportements de programmes en exécution de façon continue. A partir de ces traces obtenues, nous construisons un graphe qui représente l’arbre des programmes en exécution avec leurs comportements. Ce graphe est mis à jour de manière incrémentale du fait de la génération de nouvelles traces. Pour mesurer la dangerosité des programmes, nous exécutons l’algorithme PageRank thématique sur ce graphe dès que celui-ci est mis à jour. L’algorithme donne un classement de dangerosité des processus en fonction de leurs comportements suspicieux. Ces scores sont ensuite reportés sur une série temporelle pour visualiser l’évolution de ce score de dangerosité pour chaque programme. Pour finir, nous avons développé plusieurs indicateurs d’alertes de programmes dangereux en exécution sur le système
To cope with the large volume of malware, researchers have developed automatic dynamic tools for the analysis of malware like the Cuckoo sandbox. This analysis is partially automatic because it requires the intervention of a human expert in security to detect and extract suspicious behaviour. In order to avoid this tedious work, we propose a methodology to automatically extract dangerous behaviors. First of all, we generate activity reports from malware from the sandbox Cuckoo. Then, we group malware that are part of the same family using the Avclass algorithm. We then weight the the most singular behaviors of each malware family obtained previously. Finally, we aggregate malware families with similar behaviors by the LSA method.In addition, we detail a method to detect malware from the same type of behaviors found previously. Since this detection isperformed in real environment, we have developed probes capable of generating traces of program behaviours in continuous execution. From these traces obtained, we let’s build a graph that represents the tree of programs in execution with their behaviors. This graph is updated incrementally because the generation of new traces. To measure the dangerousness of programs, we execute the personalized PageRank algorithm on this graph as soon as it is updated. The algorithm gives a dangerousness ranking processes according to their suspicious behaviour. These scores are then reported on a time series to visualize the evolution of this dangerousness score for each program. Finally, we have developed several alert indicators of dangerous programs in execution on the system

La détection d'intrusion est un mécanisme essentiel pour la protection des systèmes d'information. En plus des méthodes préventives, les systèmes de détection d'intrusion sont largement déployés par les administrateurs de sécurité. Cette thèse présente deux applications différentes de l'analyse en composante principale pour la détection d'intrusion. Elle propose aussi une nouvelle approche basée sur l'apprentissage supervisé afin de détecter les nouvelles attaques. Dans la première application, l'analyse en composante principale est utilisée pour distinguer les comportements normaux des utilisateurs des comportements malveillants. Dans la seconde application, elle est utilisée comme une méthode de réduction avant d'appliquer les modèles de classification qui fournissent des signatures d'intrusion. Un autre résultat de cette thèse est l'amélioration des techniques d'apprentissage supervisé pour la détection de nouvelles attaques. Les résultats des différentes expérimentations basées sur l'analyse en composante principale et celles relatives à l'amélioration des techniques supervisées pour la détection d'intrusion sont présentés et discutés.

Dans cette thèse, nous nous intéressons à la modélisation du problème de la corrélation d'alertes à base de modèles graphiques probabilistes. Nous avons constaté que les approches existantes de corrélation d'alertes, soit se basent sur des connaissances explicites d'experts, soit utilisent des mesures de similarité simples qui ne permettent pas de détecter des scénarios d'attaque. Pour cela, nous avons d'abord proposé une nouvelle modélisation de la corrélation d'alertes, basée sur les classifieurs Bayésiens naïfs, qui permet d'apprendre les coordinations entre les attaques élémentaires qui contribuent à la réalisation d'un scénario d'attaque. Notre modélisation nécessite seulement une légère contribution des connaissances d'experts. Elle tire profit des données disponibles et fournit des algorithmes efficaces pour la détection et la prédiction des scénarios d'attaque. Ensuite, nous avons montré comment notre approche de corrélation d'alertes peut être améliorée en prenant en considération les informations contextuelles codées en logiques de description, notamment dans le contexte d'une détection coopérative d'intrusions. Enfin, nous avons proposé plusieurs mesures d'évaluation pour un multi-classifieurs Bayésiens naïfs. Ceci est très important pour l'évaluation de notre approche de corrélation d'alertes car elle utilise un ensemble de classifieurs Bayésiens naïfs pour surveiller plusieurs objectifs d'intrusion en même temps
In this thesis, we focus on modeling the problem of alert correlation based on probabilistic graphical models. Existing approaches either require a large amount of expert knowledge or use simple similarity measures which are not enough to detect coordinated attacks. We first proposed a new modeling for the alert correlation problem, based on naive Bayesian classifiers, which can learn the coordination between elementary attacks that contribute to the achievement of an attack scenario. Our model requires only a slight contribution of expert knowledge. It takes advantage of available data and provides efficient algorithms for detecting and predicting attacks scenario. Then we show how our alert correlation approach can be improved by taking into account contextual information encoded in description logics, particularly in the context of a cooperative intrusion detection. Finally, we proposed several evaluation measures for a naive Bayesian multi-classifiers. This is very important for evaluating our alert correlation approach because it uses a set of naive Bayesian classifiers to monitor multiple intrusion objectives simultaneously

Nous étudions les limites actuelles des systèmes de traitement des alarmes générées par les systèmes de détection d'intrusion (NIDS) dans les réseaux et proposons une nouvelle approche automatique qui améliore le mécanisme de filtrage. Nos principales contributions se résument ainsi : 1. Proposition d'une architecture de filtrage : nous avons proposé une architecture de filtrage des alarmes qui analyse les journaux d'alertes d'un NIDS et essaye de filtrer les faux positifs. 2. Etude de l'évolutivité de cette architecture : dans cette phase, nous étudions l'aspect dynamique de l'architecture proposée. L'exploitation de l'architecture en temps réel pose plusieurs défis sur l'adaptation de cette architecture par rapport aux changements qui peuvent arriver au cours du temps. Nous avons distingué trois problème à résoudre : (1) adaptation de l'architecture vis à vis de l'évolution du réseau surveillé : intégration des nouvelles machines, des nouveaux routeurs, etc., (2) adaptation de l'architecture vis à vis de l'apparition de nouveaux types d'attaques et (3) adaptation de l'architecture avec l'apparition ou le glissement des comportements types. Pour résoudre ces problèmes, nous utilisons la notion de rejet en distance proposée en reconnaissance des formes et les tests d'hypothèses statistiques . Toutes nos propositions sont implémentées et ont donné lieu à des expérimentations que nous décrivons tout au long du document. Ces expériences utilisent des alarmes générées par SNORT, un système de détection des intrusions basé-réseau qui surveille le réseau du Rectorat de Rouen et qui est déployé dans un environnement opérationnel. Ce point est important pour la validation de notre architecture puisque elle utilise des alarmes issues d'un environnement réel plutôt qu'un environnement simulé ou de laboratoires qui peuvent avoir des limitations significatives.

Depuis 2004, les médias sociaux en ligne ont connu une croissance considérable. Ce développement rapide a eu des effets intéressants pour augmenter la connexionet l'échange d'informations entre les utilisateurs, mais certains effets négatifs sont également apparus, dont le nombre de faux comptes grandissant jour après jour.Les sockpuppets sont les multiples faux comptes créés par un même utilisateur. Ils sont à l'origine de plusieurs types de manipulations comme la création de faux comptes pour louer, défendre ou soutenir une personne ou une organisation, ou pour manipuler l'opinion publique. Dans cette thèse, nous présentons SocksCatch, un processus complet de détection et de groupage des sockpuppets composé de trois phases principales : la première phase a pour objectif la préparation du processus et le pré-traitement des données; la seconde phase a pour objectif la détection des comptes sockpuppets à l'aide d'algorithmes d'apprentissage automatique; la troisième phase a pour objectif le regroupement des comptes sockpuppets créés par un même utilisateur à l'aide d'algorithmes de détection de communautés. Ces phases sont déclinées en trois étapes : une étape "modèle" pour représenter les médias sociaux en ligne, où nous proposons un modèle général de médias sociaux dédié à la détection et au regroupement des sockpuppets ; une étape d'adaptation pour ajuster le processus à un média social spécifique, où nous instancions et évaluons le modèle SocksCatch sur un média social sélectionné ; et une étape en temps réel pour détecter et grouper les sockpuppets en ligne, où SocksCatch est déployé en ligne sur un média social sélectionné. Des expérimentations ont été réalisées sur l'étape d'adaptation en utilisant des données réelles extraites de Wikipédia anglais. Afin de trouver le meilleur algorithme d'apprentissage automatique pour la phase de détection de sockpuppet, les résultats de six algorithmes d'apprentissage automatique sont comparés. En outre, ils sont comparés à la littérature où les résultats de la comparaison montrent que notre proposition améliore la précision de la détection des sockpuppets. De plus, les résultats de cinq algorithmes de détection de communauté sont comparés pour la phase de regroupement de Sockpuppet, afin de trouver le meilleur algorithme de détection de communauté qui sera utilisé en temps réel
Since 2004, online social medias have grown hugely. This fast development had interesting effects to increase the connection and information exchange between users, but some negative effects also appeared, including fake accounts number growing day after day. Sockpuppets are multiple fake accounts created by a same user. They are the source of several types of manipulation such as those created to praise, defend or support a person or an organization, or to manipulate public opinion. In this thesis, we present SocksCatch, a complete process to detect and group sockpuppets, which is composed of three main phases: the first phase objective is the process preparation and data pre-processing; the second phase objective is the detection of the sockpuppet accounts using machine learning algorithms; the third phase objective is the grouping of sockpuppet accounts created by a same user using community detection algorithms. These phases are declined in three stages: a model stage to represent online social medias, where we propose a general model of social media dedicated to the detection and grouping of sockpuppets; an adaptation stage to adjust the process to a particular social media, where we instantiate and evaluate the SocksCatch model on a selected social media; and a real-time stage to detect and group the sockpuppets online, where SocksCatch is deployed online on a selected social media. Experiments have been performed on the adaptation stage using real data crawled from English Wikipedia. In order to find the best machine learning algorithm for sockpuppet's detection phase, the results of six machine learning algorithms are compared. In addition, they are compared with the literature, and the results show that our proposition improves the accuracy of the detection of sockpuppets. Furthermore, the results of five community detection algorithms are compared for sockpuppet's grouping phase, in order to find the best community detecton algorithm that will be used in real-time stage

Dans cette thèse, nous nous intéressons à la modélisation du problème de la corrélation d'alertes à base de modèles graphiques probabilistes. Nous avons constaté que les approches existantes de corrélation d'alertes, soit se basent sur des connaissances explicites d'experts, soit utilisent des mesures de similarité simples qui ne permettent pas de détecter des scénarios d'attaque. Pour cela, nous avons d'abord proposé une nouvelle modélisation de la corrélation d'alertes, basée sur les classifieurs Bayésiens naïfs, qui permet d'apprendre les coordinations entre les attaques élémentaires qui contribuent à la réalisation d'un scénario d'attaque. Notre modélisation nécessite seulement une légère contribution des connaissances d'experts. Elle tire profit des données disponibles et fournit des algorithmes efficaces pour la détection et la prédiction des scénarios d'attaque. Ensuite, nous avons montré comment notre approche de corrélation d'alertes peut être améliorée en prenant en considération les informations contextuelles codées en logiques de description, notamment dans le contexte d'une détection coopérative d'intrusions. Enfin, nous avons proposé plusieurs mesures d'évaluation pour un multi-classifieurs Bayésiens naïfs. Ceci est très important pour l'évaluation de notre approche de corrélation d'alertes car elle utilise un ensemble de classifieurs Bayésiens naïfs pour surveiller plusieurs objectifs d'intrusion en même temps
In this thesis, we focus on modeling the problem of alert correlation based on probabilistic graphical models. Existing approaches either require a large amount of expert knowledge or use simple similarity measures which are not enough to detect coordinated attacks. We first proposed a new modeling for the alert correlation problem, based on naive Bayesian classifiers, which can learn the coordination between elementary attacks that contribute to the achievement of an attack scenario. Our model requires only a slight contribution of expert knowledge. It takes advantage of available data and provides efficient algorithms for detecting and predicting attacks scenario. Then we show how our alert correlation approach can be improved by taking into account contextual information encoded in description logics, particularly in the context of a cooperative intrusion detection. Finally, we proposed several evaluation measures for a naive Bayesian multi-classifiers. This is very important for evaluating our alert correlation approach because it uses a set of naive Bayesian classifiers to monitor multiple intrusion objectives simultaneously

La synchronisation est une exigence fondamentale pour l'Internet industriel des objets (IIoT). Elle est assurée par l'application du mode TSCH (Time-Slotted Channel-Hopping) du protocole IEEE802.15.4e de la couche MAC. La synchronisation TSCH permet d'atteindre un réseau sans fil de faible puissance et de haute fiabilité. Cependant, les ressources de synchronisation de TSCH sont une cible évidente pour les cyber attaques. Elles peuvent être manipulées par des attaquants pour paralyser l'ensemble des communications du réseau. Cette thèse a pour but d'analyser la vulnérabilité de la synchronisation offerte par le mode TSCH. À cette fin, de nouvelles métriques de détection ont été proposées en se basant sur l'expression interne et locale de la machine d'état TSCH de chaque nœud dans le réseau, sans avoir besoin de communications supplémentaires, ni de captures ou d'analyse des traces des paquets. Ensuite, de nouvelles techniques d'autodétection et d'autodéfense embarquées dans chaque nœud ont été conçues et mises en œuvre. Ces techniques prennent en compte l'intelligence et la capacité d'apprentissage de l'attaquant, du nœud légitime et des interactions du réseau industriel en temps réel. Les résultats de ces expériences montrent que les mécanismes proposés sont résistants face aux les attaques de synchronisation
Time synchronization is a crucial requirement for the IEEE802.15.4e based Industrial Internet of Things (IIoT). It is provided by the application of the Time-Slotted Channel-Hopping (TSCH) mode of the IEEE802.15.4e. TSCH synchronization allows reaching low-power and high-reliability wireless networking. However, TSCH synchronization resources are an evident target for cyber-attacks. They can be manipulated by attackers to paralyze the whole network communications. In this thesis, we aim to provide a vulnerability analysis of the TSCH asset synchronization. We propose novel detection metrics based on the internal process of the TSCH state machine of every node without requiring any additional communications or capture or analysis of the packet traces. Then, we design and implement novel self-detection and self-defence techniques embedded in every node to take into account the intelligence and learning ability of the attacker, the legitimate node and the real-time industrial network interactions. The experiment results show that the proposed mechanisms can protect against synchronization attacks

Les micro-réseaux électriques s'appuient sur des approches de contrôle distribuées et coopératives pour garantir des décisions opérationnelles sûres et fiables de leurs générateurs distribués (DG). Cependant, de nombreuses cyber-attaques sophistiquées peuvent viser ces systèmes, tromper leurs méthodes de détection traditionnelles et avoir des conséquences importantes sur l'infrastructure électrique. Dans cette thèse, nous étudions les attaques ciblant les systèmes de contrôle associés à ces micro-réseaux. Nous avons développé dans un premier temps une nouvelle attaque nommée MaR (Measurement as Reference) qui cible les consignes de synchronisation échangées entre les entités du système de contrôle. Nous avons analysé par simulation numérique l'impact de cette attaque sur la stabilité du micro-réseau et la convergence du système de contrôle vers une consigne commune. Nous avons également développé des modèles d'analyse des attaques de type injection de fausses données et déni de service sur ces systèmes pour étudier leurs impacts et leur détection. Ensuite, nous avons proposé un framework qui permet de détecter ces attaques, en se basant sur l'apprentissage automatique des caractéristiques des paquets réseau échangés entres les entités d'un système de contrôle distribué. Nous avons mis en œuvre une plate-forme expérimentale représentative d'un micro-réseau électrique et son système de contrôle pour collecter des jeux de données et valider notre framework, en particulier son module de détection des attaques.Enfin, nous avons évalué les performances de différents algorithmes d'apprentissage automatique pour détecter les attaques que nous avons introduites sur la plate-forme expérimentale. Nos résultats montrent que les algorithmes basés sur les techniques d'arbres, à l'image des arbres de décision, les forêts aléatoire et AdaBoost offrent les meilleures performances en termes de précision et de justesse pour détecter les différentes attaques et les distinguer
Modern low-voltage microgrid systems rely on distributed and cooperative control approaches to guarantee safe and reliable operational decisions of their inverter-based distributed generators (DGs). However, many sophisticated cyber-attacks can target these systems, deceive their traditional detection methods and cause a severe impact on the power infrastructure. In this thesis, we systematically study the vulnerabilities and threats of distributed controlled microgrid systems. We design a novel attack named "measurement-as-reference" (MaR) attack and take it as a typical stealthy attack example to theoretically analyze the attack impact on the microgrid system and use numerical simulation results to verify the analysis. We provide mathematical models of possible false data injection (FDI) and denial of service (DoS) attacks in a representative distributed and cooperative controlled microgrid system. We propose a secure control framework with an attack detection module based on machine learning techniques. To validate the effectiveness of this framework, we implement two typical attacks, MaR attack and delay injection attack, on a hardware platform modeled after a microgrid system. We collect datasets from the platform and validate the performance of multiple categories of machine learning algorithms to detect such attacks. Our results show that tree-based classifiers (Decision Tree, Random Forest and AdaBoost) outperform other algorithms and achieve excellent performance in detecting normal behavior, delay injection and false data attacks

Au cours des dernières décennies, les cyber-menaces ont connu une augmentation significative et continuent de croître de façon exponentielle. Les opérateurs de réseau et les praticiens de la sécurité s'efforcent constamment d'automatiser leurs stratégies de défense contre les cyberincidents à grande échelle et les événements particuliers à plus petite échelle ciblant leurs réseaux. Améliorer la surveillance des événements de sécurité et détecter les attaques à un stade précoce sont des éléments clés pour prévenir des éventuels dommages ou au moins atténuer leurs impacts. Le trafic enregistré par les capteurs réseau tels que les télescopes réseau, également connus sous le nom de darknets, constitue une riche source de renseignements sur la cybersécurité. Les données enregistrées par ces capteurs incluent différents types de trafic allant du trafic bénin comme les analyses régulières effectuées par les organisations à des fins statistiques, aux cyber-incidents malveillants tels que la propagation de vers, les analyses de vulnérabilité et les paquets de rétrodiffusion en relation avec les attaques par déni de service. Ces données pourraient être exploitées pour automatiser et améliorer les solutions de surveillance des cyber-menaces ainsi que pour modéliser et prédire les attaques. Pour cela, cette thèse combine des travaux de recherche sur les sujets saillants de la surveillance des cyber-menaces et de la classification et de la prévision des cyber-attaques
Over the past few decades, cyber-threats have known a significant increase and continue to grow exponentially. Network operators and security practitioners are constantly striving to automate their defense strategies against large-scale cyber incidents and smaller-scale peculiar events targeting their networks. Improving the monitoring of security events and detecting attacks at an early stage are key features to prevent against eventual damages or at least alleviate their impact. The traffic captured by network sensors such as network telescopes, also known as darknets, constitute a rich source of cybersecurity intelligence. The data recorded by such sensors include different types of traffic ranging from benign traffic like regular scans performed by organizations for statistical purpose, to malicious cyber incidents like worms spread, vulnerability scans, and backscatter packets that come as a side effect spoofed source of Denial of Service attacks. These data could be leveraged to automate and improve cyber-threat monitoring solutions and attack modeling and prediction. To this end, this thesis combines research works on the salient topics of cyber-threat monitoring and cyber-attack classification and forecasting

La communication automobile embarquée, qui désigne la communication et l'échange de données entre les calculateurs embarqués, joue un rôle crucial dans le développement des systèmes de transport intelligents (STI), qui visent à améliorer l'efficacité, la sécurité et la durabilité des systèmes de transport. La prolifération des dispositifs informatiques et de communication embarqués, centrés sur des capteurs connectés à un réseau embarqué (IVN), a permis le développement de fonctions de sécurité et de commodité, notamment la surveillance du véhicule, la réduction du câblage physique et l'amélioration de l'expérience de conduite. Cependant, la complexité et la connectivité croissantes des véhicules modernes suscitent des inquiétudes quant à l'évolution des menaces liées aux réseaux embarqués. Une série de risques de sécurité potentiels peuvent compromettre la sécurité et la fonctionnalité d'un véhicule, mettant en danger la vie des conducteurs et des passagers. De nombreuses approches ont donc été proposées et mises en œuvre pour pallier ce problème, notamment les pare-feu, le cryptage, l'authentification sécurisée et les contrôles d'accès. Comme les mécanismes traditionnels ne parviennent pas à contrer complètement les tentatives d'intrusion, il est nécessaire de mettre en place une contre-mesure défensive complémentaire. Les systèmes de détection d'intrusion (IDS) sont donc considérés comme un élément fondamental de toute infrastructure de sécurité réseau, y compris le RVI. L'objectif principal de cette thèse est d'étudier la capacité des techniques d'apprentissage profond à détecter les intrusions à bord des véhicules. Les algorithmes d'apprentissage profond ont la capacité de traiter de grandes quantités de données et de reconnaître des modèles complexes qui peuvent être difficiles à discerner pour les humains, ce qui les rend bien adaptés à la détection des intrusions dans les IVN. Cependant, comme l'architecture E/E d'un véhicule évolue constamment avec l'apparition de nouvelles technologies et exigences, nous proposons différentes solutions basées sur l'apprentissage profond pour différentes architectures E/E et pour diverses tâches, notamment la détection d'anomalies et la classification
In-vehicle communication which refers to the communication and exchange of data between embedded automotive devices plays a crucial role in the development of intelligent transportation systems (ITS), which aim to improve the efficiency, safety, and sustainability of transportation systems. The proliferation of embedded sensor-centric communication and computing devices connected to the in-vehicle network (IVN) has enabled the development of safety and convenience features including vehicle monitoring, physical wiring reduction, and improved driving experience. However, with the increasing complexity and connectivity of modern vehicles, the expanding threat landscape of the IVN is raising concerns. A range of potential security risks can compromise the safety and functionality of a vehicle putting the life of drivers and passengers in danger. Numerous approaches have thus been proposed and implemented to alleviate this issue including firewalls, encryption, and secure authentication and access controls. As traditional mechanisms fail to fully counterattack intrusion attempts, the need for a complementary defensive countermeasure is necessary. Intrusion Detection Systems (IDS) have been thus considered a fundamental component of every network security infrastructure, including IVN. Intrusion detection can be particularly useful in detecting threats that may not be caught by other security measures, such as zero-day vulnerabilities or insider attacks. It can also provide an early warning of a potential attack, allowing car manufacturers to take preventive measures before significant damage occurs. The main objective of this thesis is to investigate the capability of deep learning techniques in detecting in-vehicle intrusions. Deep learning algorithms have the ability to process large amounts of data and recognize complex patterns that may be difficult for humans to discern, making them well-suited for detecting intrusions in IVN. However, since the E/E architecture of a vehicle is constantly evolving as new technologies and requirements emerge, we propose different deep learning-based solutions for different E/E architectures and for various tasks including anomaly detection and classification

Les récents progrès en apprentissage profond ont bouleversé l'état de l'art des attaques par observations en sécurité embarquée. Mais leur aspect « boîte-noire » empêche à ce jour l'identification des failles implicitement exploitées dans l'implémentation. De même, il est difficile d'interpréter les résultats de telles attaques sur le niveau de sécurité de l'implémentation-cible. Toutes ces raisons ont rendu la communauté scientifique sceptique quant à l’intérêt de ces techniques dans le cadre d'une évaluation de sécurité. Cette thèse se propose de dresser une meilleure compréhension de l'apprentissage profond dans un tel contexte. Nous montrons comment l’entraînement de tels estimateurs peut être analysé à travers le prisme d'une évaluation de sécurité, de façon à estimer a priori la complexité d’une attaque à base de réseaux de neurones sans avoir toutefois à la mener. Nous observons également sur des simulations que ces modèles entraînés sans connaissance a priori des contre-mesures peuvent atteindre les bornes de sécurité théoriques prévues par la littérature, validant la pertinence ou non de certaines contre-mesures comme le partage de secret ou la dissimulation contre les réseaux de neurones. Par ailleurs, nous expliquons comment exploiter un réseau entraîné pour effectuer une caractérisation efficace des fuites d'information dans les observations, et ce même en présence de contre-mesures rendant d'autres techniques classiques inopérantes. Cela permet une meilleure compréhension des fuites d’information exploitées par le réseau et d’affiner le diagnostic de l’évaluateur ou du développeur, afin de proposer des corrections
The recent improvements in deep learning (DL) have reshaped the state of the art of side-channel attacks (SCA) in the field of embedded security. Yet, their ``black-box'' aspect nowadays prevents the identification of the vulnerabilities exploited by such adversaries. Likewise, it is hard to conclude from the outcomes of these attacks about the security level of the target device. All those reasons have made the SCA community skeptical about the interest of such attack techniques in terms of security evaluation. This thesis proposes to draw a better understanding of deep learning for SCA. We show how the training of such estimators can be analyzed through the security evaluation prism, in order to estimate a priori the complexity of an SCA, without necessarily mounting the attack. We also remark on simulated experiments that those models, trained without prior knowledge about the counter-measures added to protect the target device, can reach the theoretical security bounds expected by the literature. This validates the relevance or not of some counter-measures such as secret-sharing or hiding, against DL-based SCA. Furthermore, we explain how to exploit a trained neural network to efficiently characterize the information leakage in the observed traces, even in presence of counter-measures making other classical charactertization techniques totally inefficient. This enables a better understanding of the leakage implicitly exploited by the neural network, and allows to refine the evaluator's diagnosis, in order to propose corrections to the developer

Mesurer l'activité d'un réseau de télécommunications est essentiel à son opération et sa gestion. Ces mesures sont primordiales pour analyser la performance du réseau et établir son diagnostic. En particulier, effectuer des mesures détaillées sur les flux consiste à calculer des métriques caractérisant les flots de données individuels qui traversent le réseau. Afin de développer des représentations pertinentes de leur trafic, les opérateurs réseau doivent en sélectionner les caractéristiques appropriées et doivent attentivement relier leur coût d'extraction à leur expressivité pour les tâches considérées. Dans cette thèse, nous proposons de nouvelles méthodologies pour extraire des représentations pertinentes du trafic. Particulièrement, nous postulons que l'apprentissage automatique (Machine Learning) peut améliorer les systèmes de mesures, grâce à sa capacité à apprendre des motifs adéquats issus des données, ce afin de fournir des prédictions sur des caractéristiques du trafic.La première contribution de cette thèse est un cadre de développement permettant aux systèmes de mesures basés sur des sketches d'exploiter la nature biaisée du trafic réseau. Spécifiquement, nous proposons une nouvelle représentation de ces structures de données, qui tire profit de de la sous-utilisation des sketches, réduisant ainsi l'empreinte mémoire des mesures par flux en n'enregistrant que les compteurs utiles. La deuxième contribution est un système de surveillance réseau assisté par un modèle d'apprentissage automatique, en intégrant un classificateur de trafic. En particulier, nous isolons les flux les plus larges dans le plan de données (data plane), avant de les traiter séparément avec des structures de données dédiées pour différents cas d'usage. Les dernières contributions de cette thèse abordent la conception d'un pipeline d'apprentissage profond (Deep Learning) pour les mesures de réseau, afin d'extraire de riches représentations des données de trafic permettant l'analyse du réseau. Nous puisons dans les récentes avancées en modélisation de séquences afin d'apprendre ces représentations depuis des données de trafic catégorielles et numériques. Ces représentations alimentent la résolution de tâches complexes telles que la réconciliation de données issues d'un flux de clics enregistré par un fournisseur d'accès à internet, ou la prédiction du mouvement d'un terminal dans un réseau Wi-Fi. Enfin, nous présentons une étude empirique des affinités entre tâches candidates à l'apprentissage multitâches, afin d'évaluer lorsque deux tâches bénéficieraient d'un apprentissage conjoint
Measurements are essential to operate and manage computer networks, as they are critical to analyze performance and establish diagnosis. In particular, per-flow monitoring consists in computing metrics that characterize the individual data streams traversing the network. To develop relevant traffic representations, operators need to select suitable flow characteristics and carefully relate their cost of extraction with their expressiveness for the downstream tasks considered. In this thesis, we propose novel methodologies to extract appropriate traffic representations. In particular, we posit that Machine Learning can enhance measurement systems, thanks to its ability to learn patterns from data, in order to provide predictions of pertinent traffic characteristics.The first contribution of this thesis is a framework for sketch-based measurements systems to exploit the skewed nature of network traffic. Specifically, we propose a novel data structure representation that leverages sketches' under-utilization, reducing per-flow measurements memory footprint by storing only relevant counters. The second contribution is a Machine Learning-assisted monitoring system that integrates a lightweight traffic classifier. In particular, we segregate large and small flows in the data plane, before processing them separately with dedicated data structures for various use cases. The last contributions address the design of a unified Deep Learning measurement pipeline that extracts rich representations from traffic data for network analysis. We first draw from recent advances in sequence modeling to learn representations from both numerical and categorical traffic data. These representations serve as input to solve complex networking tasks such as clickstream identification and mobile terminal movement prediction in WLAN. Finally, we present an empirical study of task affinity to assess when two tasks would benefit from being learned together

Ces dernières années, le piratage est devenu une industrie à part entière, augmentant le nombre et la diversité des cyberattaques. Les menaces qui pèsent sur les réseaux informatiques vont des logiciels malveillants aux attaques par déni de service, en passant par le phishing et l'ingénierie sociale. Un plan de cybersécurité efficace ne peut plus reposer uniquement sur des antivirus et des pare-feux pour contrer ces menaces : il doit inclure plusieurs niveaux de défense. Les systèmes de détection d'intrusion (IDS) réseaux sont un moyen complémentaire de renforcer la sécurité, avec la possibilité de surveiller les paquets de la couche 2 (liaison) à la couche 7 (application) du modèle OSI. Les techniques de détection d'intrusion sont traditionnellement divisées en deux catégories : la détection par signatures et la détection par anomalies. La plupart des IDS utilisés aujourd'hui reposent sur la détection par signatures ; ils ne peuvent cependant détecter que des attaques connues. Les IDS utilisant la détection par anomalies sont capables de détecter des attaques inconnues, mais sont malheureusement moins précis, ce qui génère un grand nombre de fausses alertes. Dans ce contexte, la création d'IDS précis par anomalies est d'un intérêt majeur pour pouvoir identifier des attaques encore inconnues.Dans cette thèse, les modèles d'apprentissage automatique sont étudiés pour créer des IDS qui peuvent être déployés dans de véritables réseaux informatiques. Tout d'abord, une méthode d'optimisation en trois étapes est proposée pour améliorer la qualité de la détection : 1/ augmentation des données pour rééquilibrer les jeux de données, 2/ optimisation des paramètres pour améliorer les performances du modèle et 3/ apprentissage ensembliste pour combiner les résultats des meilleurs modèles. Les flux détectés comme des attaques peuvent être analysés pour générer des signatures afin d'alimenter les bases de données d'IDS basées par signatures. Toutefois, cette méthode présente l'inconvénient d'exiger des jeux de données étiquetés, qui sont rarement disponibles dans des situations réelles. L'apprentissage par transfert est donc étudié afin d'entraîner des modèles d'apprentissage automatique sur de grands ensembles de données étiquetés, puis de les affiner sur le trafic normal du réseau à surveiller. Cette méthode présente également des défauts puisque les modèles apprennent à partir d'attaques déjà connues, et n'effectuent donc pas réellement de détection d'anomalies. C'est pourquoi une nouvelle solution basée sur l'apprentissage non supervisé est proposée. Elle utilise l'analyse de l'en-tête des protocoles réseau pour modéliser le comportement normal du trafic. Les anomalies détectées sont ensuite regroupées en attaques ou ignorées lorsqu'elles sont isolées. Enfin, la détection la congestion réseau est étudiée. Le taux d'utilisation de la bande passante entre les différents liens est prédit afin de corriger les problèmes avant qu'ils ne se produisent
In recent years, hacking has become an industry unto itself, increasing the number and diversity of cyber attacks. Threats on computer networks range from malware to denial of service attacks, phishing and social engineering. An effective cyber security plan can no longer rely solely on antiviruses and firewalls to counter these threats: it must include several layers of defence. Network-based Intrusion Detection Systems (IDSs) are a complementary means of enhancing security, with the ability to monitor packets from OSI layer 2 (Data link) to layer 7 (Application). Intrusion detection techniques are traditionally divided into two categories: signatured-based (or misuse) detection and anomaly detection. Most IDSs in use today rely on signature-based detection; however, they can only detect known attacks. IDSs using anomaly detection are able to detect unknown attacks, but are unfortunately less accurate, which generates a large number of false alarms. In this context, the creation of precise anomaly-based IDS is of great value in order to be able to identify attacks that are still unknown.In this thesis, machine learning models are studied to create IDSs that can be deployed in real computer networks. Firstly, a three-step optimization method is proposed to improve the quality of detection: 1/ data augmentation to rebalance the dataset, 2/ parameters optimization to improve the model performance and 3/ ensemble learning to combine the results of the best models. Flows detected as attacks can be analyzed to generate signatures to feed signature-based IDS databases. However, this method has the disadvantage of requiring labelled datasets, which are rarely available in real-life situations. Transfer learning is therefore studied in order to train machine learning models on large labeled datasets, then finetune them on benign traffic of the network to be monitored. This method also has flaws since the models learn from already known attacks, and therefore do not actually perform anomaly detection. Thus, a new solution based on unsupervised learning is proposed. It uses network protocol header analysis to model normal traffic behavior. Anomalies detected are then aggregated into attacks or ignored when isolated. Finally, the detection of network congestion is studied. The bandwidth utilization between different links is predicted in order to correct issues before they occur

Dans cette thèse, nous présentons les risques posés par les Menaces Persistentes Avancées (APTs) et proposons une approche en deux temps pour distinguer les attaques qui en font partie. Ce travail fait partie d'Akheros, un Système de Détection d'Intrusion (IDS) autonome développé par trois doctorants. L'idée est d'utiliser l'apprentissage machine pour détecté des évènements inattendus et vérifier s'ils posent un risque de sécurité. La dernière étape, et le sujet de cette thèse, est de mettre en évidence les APT. Les campagnes d'APT sont particulièrement dangereuses car les attaquants sont compétents et ont un but précis ainsi que du temps et de l'argent. Nous partons des résultats des parties précédentes d'Akheros: une liste d'évènements traduisible en flux d'information et qui indique quand des attaques sont détectées. Nous faisons ressortir les liens entre attaques en utilisant le Suivi de Flux d'Information: nous ajoutons une nouvelle teinte pour chaque attaque. Lors de la propagation, si une teinte se trouve en amont d'un flux qui fait partie d'une attaque, alors les deux attaques sont liés. Certaines attaques se trouvent liées par erreur car les évènements que nous utilisons ne sont pas assez précis, d'où l'approche en deux temps. Dans le cas où certaines attaques ne sont pas détectées, la teinte de cette attaque n'est pas créée, cependant, les autres teintes sont propagées normalement, et l'attaque précédent l'attaque non détectée sera liée à l'attaque lui faisant suite. Le deuxième temps de l'approche est de retirer les liens erronés. Nous utilisons un Modèle de Markov Caché pour représenter les APTs et retirons les campagnes qui ne suivent pas le modèle. Ceci fonctionne car les APTs, quoique toutes différentes, passent par les mêmes phases. Ces phases sont les états cachés du modèle. Les observations sont les types d'attaques effectuées pendant ces phases. De plus, les actions futures des attaquants dépendent des résultats de l'action en cours, ce qui satisfait l'hypothèse de Markov. Le score utilisé pour classer les campagnes potentielles de la plus proche d'une APT à la plus éloigné est basé sur un algorithme de Viterbi modifié pour prendre en compte les attaques non détectées potentielles
In this thesis, we present the risks posed by Advanced Persitent Threats (APTs) and propose a two-step approach for recognising when detected attacks are part of one. This is part of the Akheros solution, a fully autonomous Intrusion Detection System (IDS) being developed in collaboration by three PhD students. The idea is to use machine learning to detect unexpected events and check if they present a security risk. The last part, and the subject of this thesis, is the highlighting of APT. APTs campaigns are particularly dangerous because they are performed by skilled attackers with a precise goal and time and money on their side.We start with the results from the previous part of the Akheros IDS: a list of events, which can be translated to flows of information, with an indication for events found to be attacks. We find links between attacks using Information Flow Tracking. To do so, we create a new taint for each detected attack and propagate it. Whenever a taint is on the input of an event that is part of another attack, then the two attacks are linked. However, the links are only potential because the events used are not precise enough, which leads to erroneously propagated taints. In the case of an undetected attack, no taint is created for that attack, but the other taints are still propagated as normal so that previous attack is still linked to the next attack, only skipping the undetected one. The second step of the approach is to filter out the erroneous links. To do so, we use a Hidden Markov Model to represent APTs and remove potential attack campaign that do not fit the model. This is possible because, while each APT is different, they all go through the same phases, which form the hidden states of our model. The visible observations are the kind of attacks performed during these phases. In addition, the results in one phase dictate what the attackers do next, which fits the Markov hypothesis. The score used to rank potential attack campaign from most likely an APT to least likely so is based on a customised Viterbi algorithm in order to take into account potentially undetected attacks

Dans cette thèse, nous présentons les risques posés par les Menaces Persistentes Avancées (APTs) et proposons une approche en deux temps pour distinguer les attaques qui en font partie. Ce travail fait partie d'Akheros, un Système de Détection d'Intrusion (IDS) autonome développé par trois doctorants. L'idée est d'utiliser l'apprentissage machine pour détecté des évènements inattendus et vérifier s'ils posent un risque de sécurité. La dernière étape, et le sujet de cette thèse, est de mettre en évidence les APT. Les campagnes d'APT sont particulièrement dangereuses car les attaquants sont compétents et ont un but précis ainsi que du temps et de l'argent. Nous partons des résultats des parties précédentes d'Akheros: une liste d'évènements traduisible en flux d'information et qui indique quand des attaques sont détectées. Nous faisons ressortir les liens entre attaques en utilisant le Suivi de Flux d'Information: nous ajoutons une nouvelle teinte pour chaque attaque. Lors de la propagation, si une teinte se trouve en amont d'un flux qui fait partie d'une attaque, alors les deux attaques sont liés. Certaines attaques se trouvent liées par erreur car les évènements que nous utilisons ne sont pas assez précis, d'où l'approche en deux temps. Dans le cas où certaines attaques ne sont pas détectées, la teinte de cette attaque n'est pas créée, cependant, les autres teintes sont propagées normalement, et l'attaque précédent l'attaque non détectée sera liée à l'attaque lui faisant suite. Le deuxième temps de l'approche est de retirer les liens erronés. Nous utilisons un Modèle de Markov Caché pour représenter les APTs et retirons les campagnes qui ne suivent pas le modèle. Ceci fonctionne car les APTs, quoique toutes différentes, passent par les mêmes phases. Ces phases sont les états cachés du modèle. Les observations sont les types d'attaques effectuées pendant ces phases. De plus, les actions futures des attaquants dépendent des résultats de l'action en cours, ce qui satisfait l'hypothèse de Markov. Le score utilisé pour classer les campagnes potentielles de la plus proche d'une APT à la plus éloigné est basé sur un algorithme de Viterbi modifié pour prendre en compte les attaques non détectées potentielles
In this thesis, we present the risks posed by Advanced Persitent Threats (APTs) and propose a two-step approach for recognising when detected attacks are part of one. This is part of the Akheros solution, a fully autonomous Intrusion Detection System (IDS) being developed in collaboration by three PhD students. The idea is to use machine learning to detect unexpected events and check if they present a security risk. The last part, and the subject of this thesis, is the highlighting of APT. APTs campaigns are particularly dangerous because they are performed by skilled attackers with a precise goal and time and money on their side.We start with the results from the previous part of the Akheros IDS: a list of events, which can be translated to flows of information, with an indication for events found to be attacks. We find links between attacks using Information Flow Tracking. To do so, we create a new taint for each detected attack and propagate it. Whenever a taint is on the input of an event that is part of another attack, then the two attacks are linked. However, the links are only potential because the events used are not precise enough, which leads to erroneously propagated taints. In the case of an undetected attack, no taint is created for that attack, but the other taints are still propagated as normal so that previous attack is still linked to the next attack, only skipping the undetected one. The second step of the approach is to filter out the erroneous links. To do so, we use a Hidden Markov Model to represent APTs and remove potential attack campaign that do not fit the model. This is possible because, while each APT is different, they all go through the same phases, which form the hidden states of our model. The visible observations are the kind of attacks performed during these phases. In addition, the results in one phase dictate what the attackers do next, which fits the Markov hypothesis. The score used to rank potential attack campaign from most likely an APT to least likely so is based on a customised Viterbi algorithm in order to take into account potentially undetected attacks

Les agents mobiles peuvent physiquement migrer à travers un réseau informatique dans le but d'effectuer des tâches sur des machines, ayant la capacité de leur fournir un support d'exécution. Ces agents sont considérés comme composants autonomes, une propriété qui leur permet de s'adapter à des environnements dynamiques à l'échelle d'un réseau large. Ils peuvent également échanger des informations entre eux afin de collaborer au sein de leur groupe, nous parlerons ainsi d'une communauté d'agents mobiles. Nous avons développé ce concept de communauté, en se référant aux recherches et aux études précédentes pour définir un nouveau modèle comportemental d'agent mobile. Ce modèle est utilisé pour répondre aux besoins de la surveillance logicielle. Celle ci consiste à collecter des événements à partir de plusieurs sources de données (Log, événements système...) en vue de leur analyse pour pouvoir détecter des événements anormaux. Cette démarche de surveillance s'appuie sur plusieurs types d'agents mobiles issus du même modèle. Chaque type d'agent gère un domaine fonctionnel précis. L'ensemble des ces agents constitue une communauté pouvant collaborer avec différentes autres communautés lorsqu'il existe plusieurs sites à surveiller. Les résultats de cette approche nous ont permis d'évoquer les limites liées à la taille des données collectées, ce qui nous amène à de nouvelles perspectives de recherche et à penser un agent mobile "idéal". Enfin, nous nous intéressons également à l'application de la communauté d'agent mobile pour les systèmes de détection d'intrusion et la remontée d'anomalie