Contributions to statistics and machine learning for physics-based attack detection in industrial systems
Contributions aux statistiques et méthodes d’apprentissage automatique pour la détection d’attaques basée sur la physique dans les systèmes industriels
Résumé
The objective of this thesis is the development of new cyberattack detection methods based on machine learning techniques. This work focused on industrial systems, and consisted in characterizing the normal behavior of the physical signals of the system. This characterization then allows us to detect anomalies that occur in the system, these anomalies being deviations from the learned nominal behavior. The work presented here is based on the RDT (Random Distortion Testing) theory, which stems from statistical decision theory, and offers an optimal test to determine whether some phenomenon lies close enough to some model, without requiring any knowledge about its probability distribution. We used this theory as a basis to develop a changedetection method, which was then successfully applied to real signals, while also allowing control of the false-alarm rate. We developed an extension of the RDT framework to account for the estimation of the model and of the noise variance, which were assumed to be known in the initial theory. This changedetection method has then been used as a basis to characterize the different phases of the signals in the system using clustering methods. Our first attempts to develop a complete learning and anomaly-detection method have yielded encouraging results for attack detection on real signals.
L’objectif de cette thèse est de développer de nouvelles méthodes de détection de cyberattaques basées sur des techniques d’apprentissage automatique. Ces travaux se sont concentrés sur l’étude de systèmes industriels, et plus spécifiquement la caractérisation du comportement normal des signaux physiques du système. Cette caractérisation permet ensuite de détecter des anomalies du système comme étant des déviations du comportement du système par rapport à ce modèle nominal appris. Les travaux effectués sont basés sur la théorie RDT (Random Distortion Testing), issue de la théorique statistique de la décision et permettant de donner un test optimal pour déterminer si une grandeur est suffisamment proche ou non d’un modèle donné, sans en connaître la distribution de probabilité. Cette théorie a été utilisée comme base afin de développer une méthode de détection de changement et a été appliquée avec succès sur des signaux réels, permettant également de contrôler le taux de fausses alarmes. Une extension de la théorie RDT a été développée afin de prendre en compte l’estimation du modèle et de la variance du bruit, supposés connus dans la théorie initiale. La méthode de détection de changements développée a ensuite été utilisée comme base pour caractériser les différentes phases des signaux du système via des méthodes de clustering. Les premiers essais d’une méthode complète d’apprentissage et de détection d’anomalies effectués sur des signaux réels offrent des résultats encourageants pour la détection d’attaques.
Origine : Version validée par le jury (STAR)