Risk Assesment and Intrusion Detection for Airborne Networks - LAAS-Réseaux et Communications Accéder directement au contenu
Thèse Année : 2014

Risk Assesment and Intrusion Detection for Airborne Networks

ANALYSE DE RISQUE ET DETECTION D'INTRUSIONS POUR LES RESEAUX AVIONIQUES

Résumé

Aeronautics is actually facing a confluence of events: connectivity of aircraft is gradually increasing in order to ease the air traffic management and aircraft fleet maintainability, and to offer new services to passengers while reducing costs. The core avionics functions are thus linked to what we call the Open World, i.e. the non-critical network of an aircraft as well as the air traffic services on the ground. Such recent evolutions could be an open door to cyber-attacks as their complexity keeps growing. However, even if security standards are still under construction, aeronautical certification authorities already require that aircraft manufacturers identify risks and ensure aircraft will remain in a safe and secure state even under threat conditions. To answer this industrial problematic, this thesis first proposes a simple semi-quantitative risk assessment framework to identify threats, assets and vulnerabilities, and then rank risk levels according to threat scenario safety impact on the aircraft and their potential likelihood by using adjustable attribute tables. Then, in order to ensure the aircraft performs securely and safely all along its life-cycle, our second contribution consists in a generic and autonomous network monitoring function for intrusion detection based on Machine Learning algorithms. Different building block options to compose this monitoring function are proposed such as: two ways of modeling the network traffic through characteristic attributes, two Machine Learning techniques for anomaly detection: a supervised one based on the One Class Support Vector Machine algorithm requiring a prior training phase and an unsupervised one based on subspace clustering. Since a very common issue in anomaly detection techniques is the presence of false alarms, we prone the use of the Local Outlier Factor (a density indicator) to set a threshold in order to distinguish real anomalies from false positives. This thesis summarizes the work performed under the CIFRE (Convention Industrielle de Formation par la Recherche) fellowship between THALES Avionics and the CNRS-LAAS at Toulouse, France.
L'aéronautique connaît de nos jours une confluence d'événements: la connectivité bord-sol et au sein même de l’avion ne cesse d'augmenter afin, entre autres, de faciliter le contrôle du trafic aérien et la maintenabilité des flottes d’avions, offrir de nouveaux services pour les passagers tout en réduisant les coûts. Les fonctions avioniques se voient donc reliées à ce qu’on appelle le Monde Ouvert, c’est-à-dire le réseau non critique de l’avion ainsi qu’aux services de contrôle aérien au sol. Ces récentes évolutions pourraient constituer une porte ouverte pour les cyber-attaques dont la complexité ne cesse de croître également. Cependant, même si les standards de sécurité aéronautique sont encore en cours d'écriture, les autorités de certification aéronautiques demandent déjà aux avionneurs d'identifier les risques et assurer que l'avion pourra opérer de façon sûre même en cas d'attaque. Pour répondre à cette problématique industrielle, cette thèse propose une méthode simple d'analyse de risque semi-quantitative pour identifier les menaces, les biens à protéger, les vulnérabilités et classer les différents niveaux de risque selon leur impact sur la sûreté de vol et de la potentielle vraisemblance de l’attaque en utilisant une série de tables de critères d’évaluation ajustables. Ensuite, afin d'assurer que l'avion opère de façon sûre et en sécurité tout au long de son cycle de vie, notre deuxième contribution consiste en une fonction générique et autonome d'audit du réseau pour la détection d'intrusions basée sur des techniques de Machine Learning. Différentes options sont proposées afin de constituer les briques de cette fonction d’audit, notamment : deux façons de modéliser le trafic au travers d’attributs descriptifs de ses caractéristiques, deux techniques de Machine Learning pour la détection d’anomalies : l’une supervisée basée sur l’algorithme One Class Support Vector Machine et qui donc requiert une phase d’apprentissage, et l’autre, non supervisée basée sur le clustering de sousespace. Puisque le problème récurrent pour les techniques de détection d’anomalies est la présence de fausses alertes, nous prônons l’utilisation du Local Outlier Factor (un indicateur de densité) afin d’établir un seuil pour distinguer les anomalies réelles des fausses alertes. Ce mémoire rend compte du travail effectué dans le cadre d’une convention CIFRE (Convention Industrielle de Formation par la Recherche) entre THALES Avionics et le CNRS-LAAS de Toulouse.
Fichier principal
Vignette du fichier
PhD thesis [Silvia GIL CASALS].pdf (5.88 Mo) Télécharger le fichier
THESE [Silvia GIL CASALS] Version française abrégée.pdf (1.9 Mo) Télécharger le fichier

Dates et versions

tel-01075751 , version 1 (20-10-2014)

Identifiants

  • HAL Id : tel-01075751 , version 1

Citer

Silvia Gil-Casals. Risk Assesment and Intrusion Detection for Airborne Networks. Networking and Internet Architecture [cs.NI]. INSA Toulouse, 2014. English. ⟨NNT : ⟩. ⟨tel-01075751⟩
498 Consultations
6220 Téléchargements

Partager

Gmail Facebook X LinkedIn More