Cybersecurity of industrial connected equipment : modeling, detection and temporal performance in the presence of intrusions of cyber-physical systems of the factory 4.0
Cybersécurité des équipements connectés industriels : modélisation, détection et performances temporelles en présence d'intrusions des systèmes cyber-physiques de l'usine 4.0
Abstract
Cybercrime is eased by the emergence of the fourth industrial revolution, industry 4.0. The fourth industrial revolution is characterized by the convergence of Information Technology (IT) and Operation Technology (OT) worlds’, the huge generated data, the use of Cloud as new storage means and the limitation of the security mechanisms. All these factors increase the risk of cyber-attacks in industry. Fortunately, several solutions exist to secure the industry and its equipment. Among these are firewalls, anti-virus, auditing process and IDS. Each of these securing mechanisms has a specific role such as detecting and removing malware, preventing unauthorized access, or detecting intrusions by IDS. The latter gives visibility of a system activities which in turn allows a timely detection and response to suspicious events. In literature, exist two types of IDS approaches: signatures-based and anomaly-based IDS. This last one is more efficient to detect advanced and zero-day attacks and it is composed of two other IDS types: specification-based IDS and behavioral-based IDS (see Section II). Each one of them has its own advantages and limits. In industrial intrusion detection field, the main problematic is to distinguish between industrial process dysfunction from a real intrusion. In this thesis, the proposed approach deals with this specific point. Consequently, hybridization of two types of anomaly-based IDS remains the most efficient method to distinguish between process dysfunction from a cyber-attack in order to perform a high performance of intrusion detection. Therefore, this thesis proposes an efficient IDS composed of a specification-based IDS and a behavioral-based IDS. The specification-based IDS is based on an industrial standard called ISA-95 allowing the detection of the process anomalies and the behavioral-based IDS is based on the network traffic analysis’ using supervised neural network algorithm.
La cybercriminalité est atténuée par l’émergence de la quatrième révolution industrielle, l’industrie 4.0. La quatrième révolution industrielle se caractérise par la convergence des mondes des technologies de l’information (IT) et des technologies d’exploitation (OT), l’énorme quantité de données générées, l’utilisation du Cloud comme nouveau moyen de stockage et la limitation des mécanismes de sécurité. Tous ces facteurs augmentent le risque de cyberattaques dans l’industrie. Heureusement, plusieurs solutions existent pour sécuriser l’industrie et ses équipements. Parmi ceux-ci figurent les pares-feu, les antivirus, les processus d'audit et les IDS. Chacun de ces mécanismes de sécurisation a un rôle spécifique tel que détecter et supprimer les malwares, empêcher les accès non autorisés ou encore détecter les intrusions par IDS. Ce dernier donne une visibilité sur les activités d'un système, ce qui permet une détection et une réponse rapides aux événements suspects. Dans la littérature, il existe deux types d’approches IDS : l’IDS basé sur les signatures et l’IDS basé sur les anomalies. Ce dernier est plus efficace pour détecter les attaques avancées et zero-day et il est composé de deux autres types d'IDS : l'IDS basé sur les spécifications et l'IDS basé sur le comportement (voir Section II). Chacun d’eux a ses propres avantages et limites. Dans le domaine de la détection d’intrusion industrielle, la principale problématique est de distinguer un dysfonctionnement d’un processus industriel d’une intrusion réelle. Dans cette thèse, l’approche proposée traite de ce point précis. Par conséquent, l’hybridation de deux types d’IDS basés sur les anomalies reste la méthode la plus efficace pour distinguer un dysfonctionnement de processus d’une cyber-attaque afin d’effectuer une détection d’intrusion haute performance. Par conséquent, cette thèse propose un IDS efficace composé d’un IDS basé sur les spécifications et d’un IDS basé sur le comportement. L'IDS basé sur les spécifications est basé sur une norme industrielle appelée ISA-95 permettant la détection des anomalies de processus et l'IDS basé sur le comportement est basé sur l'analyse du trafic réseau à l'aide d'un algorithme de réseau neuronal supervisé.
Origin | Files produced by the author(s) |
---|