Generate & Learn & Detect – Détection par IA de falsifications de données Métier avec entrainement par génération de tests sur patterns d’attaque – GeLeaD

Les systèmes de contrôle de défense (type C2, C4ISR)1 et civil (type SCADA, Robotique 4.0, IoT, véhicule connecté, …) sont exposés à des cyberattaques par falsification de données Métier. Ces attaques, appelées de façon générique FDIA – False Data Injection Attacks – sont difficiles à détecter car altérant la sémantique des données tout en préservant leur correction syntaxique et cohérence logique. La motivation sous-jacente est de tromper le système de contrôle / le contrôleur humain par une falsification (modification ou ajout) subtile et intelligente des données au niveau sémantique.

Le projet GeLeaD vise à rendre efficace la détection des attaques de type FDIA par composants Machine Learning entrainés par génération automatique de tests à partir de patterns d’attaque.

L’utilisation du Machine Learning pour la détection d’anomalies de sécurité, l’analyse de malware et la reconnaissance des motifs et des signatures, est une thématique extrêmement active tant au niveau recherche que dans l’industrie de la cybersécurité. Des approches supervisées et non-supervisées d'analyses sont utilisées pour l'extraction des signaux faibles (élément rare ou déviant concernant des motifs comportementaux) et la mise en évidence de corrélation sur les motifs de cyberattaque.

Ces techniques sont actuellement développées sur des traces bas niveaux, et ne portent pas sur la sémantique des données Métier du fait du caractère spécifique des attaques FDIA à chaque domaine. Ainsi, une attaque FDIA sur un Smart Grid (SCADA énergie) pourra porter sur une modification fine de données issues de nœuds de production, alors qu’une attaque sur un système de contrôle aérien de défense pourra porter sur une falsification des données de pistes de l’espace aérien contrôlé. L’autre frein important est la disponibilité de données falsifiées représentatives pour l’entrainement du composant de Machine Learning.

Le projet GeLeaD adresse 3 questions de recherche dans ce domaine?:

Dans quelle mesure l’exploitation de techniques de génération automatique de tests à partir de patterns d’attaque, appliquées sur des systèmes de contrôle, permet d’entrainer un composant de Machine Learning de détection d’attaques de type FDIA dans le domaine considéré??
- Est-ce que cet entrainement va limiter la classe des attaques détectées??
- Quelles sont les erreurs produites par l'approche en termes de taux de faux positif et de faux négatif ?


Le projet GeLeaD s’appuie sur un savoir-faire fort des partenaires en génération automatique de tests de cybersécurité à partir de modèles et en Machine Learning. Leur combinaison est une démarche innovante pour la détection en temps réel de falsifications de données Métier sur les systèmes de contrôle. Le projet GeLeaD développera un démonstrateur à niveau TRL4 qui sera expérimenté sur deux domaines Métier :
- le contrôle aérien civil et militaire sur des protocoles de type ADS-B,
- un système IoT de capteurs de bruit et de pollution.