Contributions to statistics and machine learning for physics-based attack detection in industrial systems

par Guillaume Ansel

Thèse de doctorat en Signal, Image, Vision

Sous la direction de Dominique Pastor.

Soutenue le 17-02-2021

à l'Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire , dans le cadre de École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes) , en partenariat avec Equipe Models and AlgoriThms for pRocessIng and eXtracting information (laboratoire) , Département Mathematical and Electrical Engineering (laboratoire) et de Laboratoire en sciences et techniques de l'information, de la communication et de la connaissance (laboratoire) .

Le président du jury était Nora Cuppens.

Le jury était composé de Dominique Pastor, Michel Barbeau, Philippe Forster, Abdourrahmane Mahamane Atto, Frédéric Cuppens.

Les rapporteurs étaient Michel Barbeau, Philippe Forster.

  • Titre traduit

    Contributions aux statistiques et méthodes d’apprentissage automatique pour la détection d’attaques basée sur la physique dans les systèmes industriels


  • Résumé

    L’objectif de cette thèse est de développer de nouvelles méthodes de détection de cyberattaques basées sur des techniques d’apprentissage automatique. Ces travaux se sont concentrés sur l’étude de systèmes industriels, et plus spécifiquement la caractérisation du comportement normal des signaux physiques du système. Cette caractérisation permet ensuite de détecter des anomalies du système comme étant des déviations du comportement du système par rapport à ce modèle nominal appris. Les travaux effectués sont basés sur la théorie RDT (Random Distortion Testing), issue de la théorique statistique de la décision et permettant de donner un test optimal pour déterminer si une grandeur est suffisamment proche ou non d’un modèle donné, sans en connaître la distribution de probabilité. Cette théorie a été utilisée comme base afin de développer une méthode de détection de changement et a été appliquée avec succès sur des signaux réels, permettant également de contrôler le taux de fausses alarmes. Une extension de la théorie RDT a été développée afin de prendre en compte l’estimation du modèle et de la variance du bruit, supposés connus dans la théorie initiale. La méthode de détection de changements développée a ensuite été utilisée comme base pour caractériser les différentes phases des signaux du système via des méthodes de clustering. Les premiers essais d’une méthode complète d’apprentissage et de détection d’anomalies effectués sur des signaux réels offrent des résultats encourageants pour la détection d’attaques.


  • Résumé

    The objective of this thesis is the development of new cyberattack detection methods based on machine learning techniques. This work focused on industrial systems, and consisted in characterizing the normal behavior of the physical signals of the system. This characterization then allows us to detect anomalies that occur in the system, these anomalies being deviations from the learned nominal behavior. The work presented here is based on the RDT (Random Distortion Testing) theory, which stems from statistical decision theory, and offers an optimal test to determine whether some phenomenon lies close enough to some model, without requiring any knowledge about its probability distribution. We used this theory as a basis to develop a changedetection method, which was then successfully applied to real signals, while also allowing control of the false-alarm rate. We developed an extension of the RDT framework to account for the estimation of the model and of the noise variance, which were assumed to be known in the initial theory. This changedetection method has then been used as a basis to characterize the different phases of the signals in the system using clustering methods. Our first attempts to develop a complete learning and anomaly-detection method have yielded encouraging results for attack detection on real signals.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse\u00a0?

  • Bibliothèque : IMT Atlantique campus de Brest. Bibliothèque d'études.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.