, Ces données sont ensuite reportées entre 0 et 1 selon un scaling min/max. Pour l'exemple précédent, cela se traduit par le format de données suivant, 1298.

. Dans, vecteur avant scaling vaut systématiquement 18. Dans ce cas particulier, la phase de scaling effectue donc uniquement une translation pour cette composante du vecteur de données (valeur f inale = valeur initiale ? valeur normale

. .. Principe,

. .. Implémentation, 128 6.2.5 Construction de la base de connaissances

. .. Expérimentations, 3.3 Définition automatique de la base de connaissances

.. .. Conclusion,

, Dans les chapitres précédents, l'approche a été évaluée de façon globale au regard des exigences du domaine avionique, et plus particulièrement concernant l'efficacité de détection de la partie de Détection d'anomalie, et sa compatibilité à un environnement embarqué. Ce chapitre propose d'aller un peu plus loin, en proposant d'adjoindre aux alertes envoyées par la partie de Détection d'anomalie des informations supplémentaires, qui permettront de caractériser l'alerte d'une part (Confirmation d'attaque), Ce chapitre présente quelques pistes de réflexion relatives aux parties dédiées à la Confirmation d'attaque et à l'Investigation au sol de l'approche générale d'introduction d'un HIDS avionique proposée dans cette thèse

, Ce chapitre se découpe en quatre sections. La première présente le principe d'aide au diagnostic proposé dans cette thèse, et notamment l'architecture envisagée pour la réaliser. La deuxième section détaille l'implémentation de ces travaux dans

, Cette première expérimentation cherche à évaluer la pertinence des caractéristiques choisies pour décrire la signature d'une alerte. Le but est donc de vérifier la capacité à séparer correctement le jeu de données selon le label associé. L'outil Weka 1 propose un module d'exploration de données qui a été utilisé ici pour explorer les données d

, Principal Components Analysis) des données a montré une forte corrélation (entre 89% et 98%) entre les caractéristiques nb ar,2 , nb ar,3 , nb ar,4 , nb ar_global , et nb groupes , quel que soit le type de signature (classe d'attaque ou fausse alerte). Il n'est donc pas forcément nécessaire de conserver l'ensemble de ces caractéristiques dans une signature

, En utilisant l'ensemble des 18 caractéristiques, l'algorithme confond les deux classes d'attaque Supprime_GT et Supprime_RSM sur plusieurs instances, ce qui résulte en un total de 211 instances mal classées, soit 17.47% des instances. En supprimant les caractéristiques nb ar,2 , nb ar,3 , nb ar,4 et nb ar_global , qui sont fortement corrélées avec la caractéristique nb groupes , l'algorithme donne de bien meilleurs résultats puisque seules 56 instances sont mal classées, Ensuite, l'algorithme de clustering k-means (apprentissage non supervisé) a été utilisé pour séparer les données d'alerte en 5 clusters

, Un arbre de décision (apprentissage supervisé) a également été utilisé afin de classer les données d'alerte de façon supervisée. L'algorithme a permis d'atteindre un taux de 95.94% d'instances correctement classées d'une part, mais également de mettre en évidence l'importance des caractéristiques sur la distance (dist totale , dist min , dist max , nb proches ) et sur les appels API impactés (nb i , i ? 42, vol.43, p.48

, En effet, l'arbre de décision final se base essentiellement sur ces caractéristiques pour effectuer son classement

, Cette première expérimentation a donc permis de montrer l'intérêt des caractéristiques choisies, et a permis d'en sélectionner le sous-ensemble le plus pertinent. Dans la suite des expérimentations, les 4 caractéristiques nb ar,2 , nb ar,3 , nb ar,4 , nb ar_global ne seront donc plus utilisées (les caractéristiques utilisées seront donc au nombre de 14, résumées dans la Table 6.5). Cependant, cette expérimentation montre également qu'il est difficile de définir une signature sur les données d'alerte qui soit parfaitement efficace (100% d'instances bien classées). En effet, certaines données sont très proches voire égales, sans pour autant appartenir à la même classe

, Chaque capture cherche à enregistrer la durée d'exécution des appels système lorsque 1) le Moniteur de SDA est activé et 2) le Moniteur de SDA n'est pas activé. Plus de 11000 captures ont été réalisées pour chaque expérimentation. La Figure 6.6a donne la distribution des durées observées, par type d'appel API, avec ou sans instrumentation. La Figure 6.6b présente cette distribution en regroupant les durées observées pour les appels API de communication d'une part, De la même façon que dans la Section 5.4.1, deux types de captures sont réalisées afin d'évaluer l'impact en terme de temps de calcul introduit par le Moniteur de SDA

, Ce résultat montre que l'impact de l'instrumentation n'est pas distinguable du bruit relatif à la durée d'exécution des appels API, pour les autres appels API. En effet, seules quelques instructions supplémentaires sont exécutées, Concernant les autres appels API, on observe un impact négatif de l

, Les parties d'Extraction de la signature, de Recherche du label et de Construction du message d'alerte ont été ajoutées à la suite de la partition d'HIDS proposée dans le chapitre précédent, pour la solution AT_comms. Ces trois étapes ne sont exécutées que si suffisamment d'anomalies ont été relevées par la Détection d'anomalies, sur une fenêtre de temps donnée. Le pseudo-code donné par le Listing 6.2 décrit la structure du code de la partition HIDS finale, avec les trois étapes relatives à la confirmation d'attaque. Une fois compilé, le code de la partition HIDS est de 48.8ko, ce qui représente 0.18% de la taille de la partition surveillée IHM-DV. Cela représente également une augmentation de 20, La Figure 6.7 présente l'implémentation de la Partition HIDS prenant en compte la confirmation d'attaque

, Deux types d'expérimentations ont été réalisées afin d'estimer la durée d'exécution de la partition d'HIDS intégrant la partie de confirmation d'attaque, Maîtriser la SSI pour les systèmes industriels. Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)

J. Arlat, M. Aguera, L. Amat, Y. Crouzet, J. Fabre et al., Fault injection for dependability validation : a methodology and some applications, IEEE Transactions on Software Engineering, vol.16, issue.2, p.39, 1990.

C. Biesecker, Boeing 757 Testing Shows Airplanes Vulnerable to Hacking, DHS Says, p.16, 2017.

T. Bochot, P. Virelizier, H. Waeselynck, and V. Wiels, Model checking flight control systems : The Airbus experience, 31st International Conference on Software Engineering -Companion Volume, p.27, 2009.

G. Bonfante, M. Kaczmarek, and J. Marion, Architecture of a morphological malware detector, Journal in Computer Virology, vol.5, issue.3, p.49, 2009.
URL : https://hal.archives-ouvertes.fr/inria-00330022

G. Bonfante-et-julien-oury and . Nogues, Function Classification for the Retro-Engineering of Malwares, Foundations and Practice of Security, vol.10128, pp.241-255

A. L. Buczak and E. Guven, A Survey of Data Mining and Machine Learning Methods for Cyber Security Intrusion Detection, IEEE Communications Surveys Tutorials, vol.18, issue.2, p.36, 2016.

H. Butz, The AIRBUS Approach to Open Integrated Mdoular Avionics (IMA) : Technology, Methods, Processes and Future Road Map. page 11, 2007.

P. Silvia-gil-casals, G. Owezarski, and . Descargues, Generic and Autonomous System for Airborne Networks Cyber-Threat Detection. 32nd Digital Avionics Systems Conference (DASC), p.14, 2013.

F. Cerveira, R. Barbosa, M. Mercier, and H. Madeira, On the Emulation of Vulnerabilities through Software Fault Injection

, 13th European Dependable Computing Conference (EDCC), pp.73-78, 2017.

V. Chandola, A. Banerjee, and V. Kumar, Anomaly detection : A survey, ACM Computing Surveys, vol.41, issue.3, pp.1-58, 2009.

. T-m-chen and . Abu-nimeh, Lessons from Stuxnet. Computer, vol.44, issue.4, pp.91-93, 2011.

J. Condit, M. Harren, Z. Anderson, D. Gay, C. George et al., Dependent Types for Low-Level Programming, Programming Languages and Systems, vol.4421, pp.520-535, 2007.

P. Conmy, M. Nicholson, and J. Mcdermid, Safety Assurance Contracts for Integrated Modular Avionics, vol.10, 2003.

P. Cooper, Aviation Cybersecurity : Finding Lift, Minimizing Drag, 2017.

L. Brandon and . Daley, USBeSafe : Applying One Class SVM for Effective USB Event Anomaly Detection. Rapport technique, Northeastern University, College ofComputer and Information Systems Boston United States, p.36, 2016.

A. Damien, M. Fumey, E. Alata, M. Kaâniche, and V. Nicomette, Anomaly based Intrusion Detection for an Avionic Embedded System, Aerospace Systems and Technology Conference (ASTC), p.147, 2018.
URL : https://hal.archives-ouvertes.fr/hal-01967646

A. Damien, N. Feyt, V. Nicomette, É. Alata, and M. Kaâniche, Attack Injection into Avionic Systems through Application Code Mutation, IEEE/AIAA 38th Digital Avionics Systems Conference (DASC), p.147, 2019.

A. Damien, M. Marcourt, V. Nicomette, E. Alata, and M. Kaâniche, Implementation of a Host-Based Intrusion Detection System for Avionic Applications, IEEE 24th Pacific Rim International Symposium on Dependable Computing (PRDC), p.147, 2019.

A. Dessiatnikoff, R. Akrout, E. Alata, M. Kaaniche, and V. Nicomette, A Clustering Approach for Web Vulnerabilities Detection, IEEE 17th Pacific Rim International Symposium on Dependable Computing, p.39, 2011.
URL : https://hal.archives-ouvertes.fr/hal-00755212

A. Dessiatnikoff, Y. Deswarte, V. Alata, and . Nicomette, Potential Attacks on Onboard Aerospace Systems, IEEE Security Privacy, vol.10, issue.4, pp.71-74

A. Dessiatnikoff, V. Nicomette, É. Alata, Y. Deswarte, B. Leconte et al., SEcuring Integrated Modular Avionics Computers, IEEE/AIAA 32nd Digital Avionics Systems Conference (DASC), pp.4-7, 2013.

J. A. Duraes and H. S. Madeira, Emulation of Software Faults : A Field Data Study and a Practical Approach, IEEE Transactions on Software Engineering, vol.32, issue.11, pp.849-867, 2006.

J. Fonseca, M. Vieira, and H. Madeira, Vulnerability #x00026 ; attack injection for web applications, IEEE/IFIP International Conference on Dependable Systems Networks, p.39, 2009.

M. Fumey, Michael Templier et Christophe Mangion. Method and electronic device for verifying a partitioning configuration, 2018.

M. S. Gadelrab, Anas Abou El Kalam et Yves Deswarte. Defining categories to select representative attack test-cases, Proceedings of the 2007 ACM workshop on Quality of protection -QoP '07, vol.40, p.38, 2007.

E. Gandotra, D. Bansal, and S. Sofat, Malware Analysis and Classification : A Survey, Journal of Information Security, vol.05, issue.02, p.49, 2014.

M. Gatti, Évolution des Architectures des Systèmes Avioniques Embarqués

, Silvia Gil Casals. Risk assessment and intrusion detection for airbone networks, 2014.

T. R. Glass-vanderlan, M. D. Iannacone, M. S. Vincent, . Qian, R. A. Chen et al., A Survey of Intrusion Detection Systems Leveraging Host Data, 2018.

, Andy Greenberg. Hackers Remotely Kill a Jeep on the Highway-With Me in It. Wired, juillet 2015. (Cité en, p.15, 2015.

A. Hay, D. Cid, and R. Bray, Ossec host-based intrusion detection guide, p.31, 2008.

P. Huyck, Safe and Secure Data Fusion -Use of MILS Multicore Architecture to Reduce Cyber Threats, IEEE/AIAA 38th Digital Avionics Systems Conference (DASC), vol.30, p.9, 2019.

, Airline Safety Performance, p.16, 2018.

, ISO/IEC 15408-1. Information technology -Security techniques -Evaluation criteria for IT security, p.24, 2009.

G. Jacob, H. Debar, and E. Filiol, Behavioral detection of malware : from a survey towards an established taxonomy, Journal in Computer Virology, vol.4, issue.3, p.49, 2008.

T. Jim, G. Morrisett, J. Cheney, D. Grossman, M. Hicks et al., Cyclone : A safe dialect of C. USENIX Annual Technical Conference, pp.275-288, 2002.

M. Kadar, S. Tverdyshev, and G. Fohler, System Calls Instrumentation for Intrusion Detection in Embedded Mixed-Criticality Systems. Schloss Dagstuhl -Leibniz-Zentrum fuer Informatik GmbH, Wadern/Saarbruecken, p.34, 2019.

G. Kim, S. Lee, and S. Kim, A novel hybrid intrusion detection method integrating anomaly detection with misuse detection, Expert Systems with Applications, vol.41, p.32, 2014.

T. Klerx, M. Anderka, H. K. Büning, and S. Priesterjahn, Model-Based Anomaly Detection for Discrete Event Systems, IEEE 26th International Conference on Tools with Artificial Intelligence, p.36, 2014.

S. Kumar and E. H. Spafford, A software architecture to support misuse intrusion detection, Computers & Security, vol.14, issue.7, p.607, 1995.

D. Kwon, H. Kim, J. Kim, S. C. Suh, I. Kim et al., A survey of deep learning-based network anomaly detection. Cluster Computing, septembre 2017, p.35

J. Laprie, J. Arlat, J. Blanquart, A. Costes, Y. Crouzet et al., Christophe Rabéjac et Pascale Thévenod. Guide de la sûreté de fonctionnement, Cépaduès, 1996.

, Les Echos. L'Agence européenne de sécurité aérienne alerte contre le risque de cyber-attaque. Les Echos, vol.1, 2015.

X. Liu, Q. Lin, S. Verwer, and D. Jarnikov, Anomaly Detection in a Digital Video Broadcasting System Using Timed Automata, p.36, 2017.

A. Leandros, J. Maglaras, . Jiang, J. Tiago, and . Cruz, Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems, Journal of Information Security and Applications, vol.30, p.36, 2016.

J. Marks, The Cybersecurity 202 : Hackers just found serious vulnerabilities in a U.S. military fighter jet, Washington Post, p.16, 2019.

N. Maurer, T. Graupl, and C. Schmitt, Evaluation of the LDACS Cybersecurity Implementation, IEEE/AIAA 38th Digital Avionics Systems Conference (DASC), p.10, 2019.

R. Natella, D. Cotroneo, and H. S. Madeira, Assessing Dependability with Software Fault Injection : A Survey, ACM Computing Surveys, vol.48, issue.3, pp.1-55, 2016.

H. Om and A. Kundu, A hybrid system for reducing the false alarm rate of anomaly intrusion detection system, Recent Advances in Information Technology (RAIT), 2012 1st International Conference on, p.32, 2012.

K. O'neill, G. R. Newell, and S. K. Odiga, Protecting flight critical systems against security threats in commercial air transportation, 2016.

, IEEE/AIAA 35th Digital Avionics Systems Conference (DASC), pp.1-7

O. Or-meir and N. Nissim, Yuval Elovici et Lior Rokach. Dynamic Malware Analysis in the Modern Era-A State of the Art Survey, ACM Computing Surveys, vol.52, issue.5, pp.1-48, 2019.

P. Parkinson and L. Kinnan, Safety-Critical Software Development for Integrated Modular Avionics. Rapport technique, Wind River, 2007.

, Étude de la chaîne de valeur dans l'industrie aéronautique, vol.9, p.113, 2009.

, Klause Kursawe (ibm Zrl, Jean claude Laprie (laas cnrs, David Powell (laas cnrs et James Riordan (ibm Zrl. Malicious-and accidental-fault tolerance for internet applications : Conceptual model and architecture, Sadie Creese (qinetiq, Yves Deswarte, 2001.

P. J. Prisaznuk, ARINC 653 role in Integrated Modular Avionics (IMA), IEEE/AIAA 27th Digital Avionics Systems Conference, 2008.

. Bibliographie,

S. , R. , and P. Norvig, Intelligence artificielle. Pearson Education, vol.35, p.731521491, 2010.

, ARINC Project SAE. Internet Protocol Suite (IPS) for Aeronautical Safety Services, p.29, 2019.

R. Santamarta, Arm IDA and Cross Check : Reversing the 787's Core network

B. Scholkopf, R. Williamson, A. Smola, J. Shawe-taylor, and J. Platt, Support Vector Method for Novelty Detection, vol.7, 2001.

, SNORT Users Manual 2.9.13. The Snort Project, février 2019, p.31

P. Soulier, D. Li, and J. R. Williams, A survey of languagebased approaches to Cyber-Physical and embedded system development, Tsinghua Science and Technology, vol.20, issue.2, p.24, 2015.

I. Studnia, E. Alata, and V. Nicomette, Mohamed Kaâniche et Youssef Laarouchi. A language-based intrusion detection approach for automotive embedded networks, The 21st IEEE Pacific Rim International Symposium on Dependable Computing (PRDC 2015), p.31, 2014.

K. Farid-molazem-tabrizi and . Pattabiraman, Flexible Intrusion Detection Systems for Memory-Constrained Embedded Systems, Dependable Computing Conference (EDCC), 2015 Eleventh European, 2015.

S. Taft, R. Duff, R. Brukardt, E. Ploedereder, and P. Leroy, Ada 2005 reference manual. language and standard libraries -international standard iso/iec 8652/1995 (e) with technical corrigendum 1 and amendment 1, vol.4348, 2006.

, Hugo Teso. Aircraft Hacking -Practical Aero Series, 2013.

H. Steven and . Vanderleest, Is formal proof of seL4 sufficient for avionics security ?, IEEE Aerospace and Electronic Systems Magazine, vol.33, issue.2, pp.16-21

, Vladimir Naumovich Vapnik. The nature of statistical learning theory. Statistics for engineering and information science, p.51, 2000.

E. Vasilomanolakis, C. G. Cordero, N. Milanov, and M. Muhlhauser, Towards the creation of synthetic, yet realistic, intrusion detection datasets, NOMS 2016 -2016 IEEE/IFIP Network Operations and Management Symposium, p.39, 2016.

M. Yoon, S. Mohan, J. Choi, J. Kim, and L. Sha, SecureCore : A multicore-based intrusion detection architecture for real-time embedded systems, Real-Time and Embedded Technology and Applications Symposium (RTAS), 2013 IEEE 19th, pp.21-32, 2013.

M. Yoon, S. Mohan, J. Choi, M. Christodorescu, and L. Sha, Learning Execution Contexts from System Call Distributions for Intrusion Detection in Embedded Systems, p.34, 2015.

M. Yoon, L. Sha, S. Mohan, and J. Choi, Memory heat map : anomaly detection in real-time embedded systems using memory behavior, p.34, 2015.

S. Zennou, K. Saumya, and . Debray, Thomas Dullien et Arun Lakhothia. Malware Analysis : From Large-Scale Data Triage to Targeted Attack Recognition (Dagstuhl Seminar 17281). page 10 pages, p.49, 2018.