Détection d'intrusion basée sur l'analyse de compteurs matériels pour des objets connectés - LAAS - Laboratoire d'Analyse et d'Architecture des Systèmes Accéder directement au contenu
Thèse Année : 2021

Intrusion detection based on hardware counters for connected things

Détection d'intrusion basée sur l'analyse de compteurs matériels pour des objets connectés

Résumé

Today, the deployment of the Internet of Things (IoT) technologies is growing in all application areas. Unfortunately, the massive and fast deployment of IoT devices raises major security issues. For example, the Mirai attack took control of thousands of smart devices and used them in massive DDoS attacks. In this thesis, the environment that we envision is more controlled and restricted than usual IoT, we consider industrial deployment of devices. Even in these specific environments, some recent attacks caused serious damage, such as the Stuxnet attack targeting nuclear power plants.This thesis studies the security of these devices, specifically for energy providers massively deploying devices that manage distributed resources or equipment. These devices may be deployed to efficiently manage the energy of smart factories or monitor the infrastructure of smart grids. By design, they generally exhibit a homogeneous behavior, with a similar software and hardware architecture, and are deployed in a large geographical area such as a region or a country. The approach described in this thesis allows us to detect compromised devices among a massive population of similar devices by analyzing the processor's Hardware Performance Counters. This analysis is based on existing outlier detection algorithms, with low computational and network traffic overhead, without modeling the behavior of the applications running on the devices. This approach is then easily adaptable to devices' updates. Moreover, as we only rely on the counters' analysis, we can detect anomalies of various origins, such as a compromised OS.We performed thorough experiments based on two test platforms with various software profiles and attack payloads for the practical validation of our approach. The results obtained show that a high detection efficiency can be achieved, with low overhead and low execution time.
Les objets connectés, qui forment aujourd'hui l'Internet des objets ou IoT, sont de plus en plus nombreux et offrent une grande variété de fonctionnalités. Ils font cependant face à de nombreuses attaques, comme la célèbre attaque dénommée Mirai, qui a permis à des attaquants de prendre le contrôle de centaines de milliers d'objets connectés, notamment dans le domaine qui nous intéresse plus particulièrement dans cette thèse : le domaine industriel. Même dans ces environnements souvent restreints et très contrôlés, les objets connectés ont fait face à des attaques parfois dévastatrices, comme la fameuse attaque Stuxnet visant des centrales nucléaires.Cette thèse se consacre à la protection de ces objets connectés, plus spécifiquement dans le domaine de l'énergie, pour la surveillance ou la maintenance du réseau électrique par exemple, ou encore pour l'optimisation des nouveaux moyens de consommation et de production locaux. Les objets envisagés sont identiques et déployés massivement à travers une région ou un pays.Plus spécifiquement, cette thèse porte sur la détection d'intrusions visant de tels objets connectés, en se basant sur l'analyse des déviations de comportement de ces objets. Nous proposons une solution basée sur l'observation et l'analyse de certains évènements internes au processeur via des compteurs de performances matérielles. Contrairement aux approches classiques se basant sur des détections faites au niveau des comportements logiciels, notre approche se base uniquement sur l'analyse de compteurs matériels et permet de se prémunir des malveillances qui pourraient cibler les systèmes d'exploitation par exemple.De plus, cette solution ne nécessite ni l'implication d'un expert ni de phase d'apprentissage automatique de modèle et s'adapte donc facilement aux potentielles mises à jour des objets. L'approche repose sur des algorithmes de détection de valeurs aberrantes sur des caractéristiques calculées à partir des valeurs de ces compteurs.Ces travaux incluent également la description d'expérimentations permettant de valider notre approche. Ces expérimentations ont été effectuées sur deux plateformes composées d'objets connectés représentatifs d'un environnement industriel réel et elles montrent que notre approche est pertinente vis-a-vis d'un panel varié d'attaques.
Fichier principal
Vignette du fichier
2021BourdonMalcolm.pdf (2.27 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

Dates et versions

tel-03572845 , version 1 (14-02-2022)
tel-03572845 , version 2 (04-04-2022)

Identifiants

  • HAL Id : tel-03572845 , version 2

Citer

Malcolm Bourdon. Détection d'intrusion basée sur l'analyse de compteurs matériels pour des objets connectés. Autre [cs.OH]. INSA de Toulouse, 2021. Français. ⟨NNT : 2021ISAT0027⟩. ⟨tel-03572845v2⟩
272 Consultations
93 Téléchargements

Partager

Gmail Facebook X LinkedIn More