172 Contents Contribution 1
Notre première contribution est une revue des systèmes de détection d’anomalies SCADA deep learning utilisant des approches d’apprentissage de de caractéris-tiques.
Contribution 2
Pour la deuxième contribution, nous avons proposé une architecture stacked sparse denosing auto-encoder comme méthode d’apprentissage des caractéris-tiques des données SCADA. Ce système est capable de faire un apprentissage automatique des principales caractéristiques des données SCADA qui seront utilisées ultérieurement à des fins de classification.
Contribution 3
Un système deep learning de détection d’anomalies SCADA hybride, doté d’un moteur de prétraitement des données et d’un moteur de détection d’anomalies, est proposé comme troisième contribution. Dans le moteur de pré-traitement, les données sont normalisées, équilibrées et hot-encodé. Le moteur de détection d’anomalies comporte un module d’apprentissage des caractéristiques non su-pervisé auquel est ajouté un classificateur susu-pervisé.
Contribution 4
Pour accélérer le processus de formation de notre approche, nous avons proposé comme quatrième contribution une version distribuée qui utilise un serveur de paramètres et des nœuds esclaves. Le serveur de paramètres stocke les paramètres du modèle et les distribue aux nœuds esclaves où toute la charge de travail se produit. Chaque nœud esclave est responsable du calcul du gradient lors de l’algorithme de rétro-propagation. Le gradient calculé par chaque nœud esclave est renvoyé au serveur de paramètres qui met à jour les poids et le trans-met à nouveau aux nœuds esclave.
Contribution 5
Enfin, notre cinquième contribution est une implémentation du système hy-bride de détection d’anomalies deep learning pour les réseaux SCADA avec le framework TensorFlow. Les expérimentations ont prouvé que cette approche faisait jeu égal avec les meilleurs parmi les approches standards quand elle ne les surclassait pas dans d’autres cas en termes de taux de détection et de taux de faux positifs. La version distribuée de notre modèle permet de réduire considérablement le temps d’entraînement des modèles deep learning.
Hybrid Deep Neural Network Anomaly Detection System for SCADA Networks Abstract
SCADA systems are more and more targeted by cyber-attacks because of vulnerabilities in hardware, software, protocols, communication stack. Those systems nowadays use standard hardware, software, operating systems and protocols. Furthermore, SCADA systems which used to be air-gaped are now interconnected to corporate networks and to the Internet. To thwart those attacks, many solutions have been proposed such as use of firewalls, anti-viruses, encryption, etc. But due to the differences between traditional IT and SCADA systems, the proposed solutions are not always applicable to the latter. Intrusion detection systems (IDS) are complementary solutions to secure SCADA networks. Collecting and labeling huge SCADA data is not always feasible as it requires human expert intervention and it is a time consuming process. In recent years Deep learning research has become a hot topic, and sound results have been proposed in image, video and Natural Image Processing. Deep Learning models have the capability to automatically learn features from data in an unsupervised manner. But a big challenge in deep learning model is the high training time of its models. Our thesis objective is to propose an accurate anomaly detection system in terms of detection rate and false positive rate, and efficient in terms of processing time in SCADA networks, using an unsupervised deep feature learning approach. We are using the automatic feature learning capability to unsupervisingly learn SCADA data in order to classify them into normal or anomalous data. We build an hybrid deep neural network anomaly detection system for a Water Tank and Gas Pipeline SCADA systems. Our anomaly detection system is composed of a stacked denoising autoencoder unsupervised feature learner and a softmax classifier. Afterward, we proposed a distributed version of our approach in an attempt to lessen the training time of our deep learning models. The distributed approach is implemented with the TensorFlow Distributed Framework and uses a parameter server to store the model parameters, update them and transmit them to worker nodes which are responsible for calculating the parameters gradient requiring high matrix multiplication during the back-propagation algorithm. Each worker node transmits the calculated gradient to the parameter server for update. Our Hybrid deep neural network anomaly detection system have been compared to standards algorithms. The experimentations proved that the proposed approach compete equally with the best among the baseline algorithm or outperform them in other cases. Furthermore, the distributed version of the proposed approach significantly lowers the training time of our deep learning models.
Keywords: cybersecurity, deep leaning, intrusion detection system, scada
LUSSI / Lab-STICC UMR CNRS 6285 – UBL
Titre :Réseaux Neuronaux Profonds Hybrides de Détection d’Anomalies pour les Systèmes SCADA
Mots clés : Cyber sécurité, SCADA, Systèmes de Contrôle Industriels, Deep Learning, Machine
Learning, Système de Détection d’Anomalies
Résumé : Les systèmes SCADA sont de plus en plus ciblés par les cyberattaques en raison de
nombreuses vulnérabilités dans le matériel, les logiciels, les protocoles et la pile de communication. Ces systèmes utilisent aujourd'hui du matériel, des logiciels, des systèmes d'exploitation et des protocoles standard. De plus, les systèmes SCADA qui étaient auparavant isolés sont désormais interconnectés aux réseaux d'entreprise et à Internet, élargissant ainsi la surface d'attaque.
Dans cette thèse, nous utilisons une approche deep learning pour proposer un réseau de neurones profonds hybride efficace pour la détection d'anomalies dans les systèmes SCADA. Les principales caractéristiques des données SCADA sont apprises de manière automatique et non supervisée, puis transmises à un classificateur supervisé afin de déterminer si ces données sont normales ou anormales, c'est-à-dire s'il y a une cyber-attaque ou non. Par la suite, en réponse au défi dû au temps d’entraînement élevé des modèles deep learning, nous avons proposé une approche distribuée de notre système de détection d'anomalies afin de réduire le temps d’entraînement de notre modèle.
Title : Hybrid Deep Neural Network Anomaly Detection System for SCADA Networks
Keywords : Cybersecurity, SCADA, Industrial Control Systems, Deep Leaning, Machine Learning ,
Anomaly Detection System
Abstract: SCADA systems are more and more targeted by cyber-attacks because of many
vulnerabilities in hardware, software, protocols and the communication stack. Those systems nowadays use standard hardware, software, operating systems and protocols. Furthermore, SCADA systems which used to be air-gaped are now interconnected to corporate networks and to the Internet, widening the attack surface.
In this thesis, we are using a deep learning approach to propose an efficient hybrid deep neural network for anomaly detection in SCADA systems.
The salient features of SCADA data are automatically and unsupervisingly learnt, and then fed to a supervised classifier in order to dertermine if those data are normal or abnormal, i.e if there is a cyber-attack or not. Afterwards, as a response to the challenge caused by high training time of deep learning models, we proposed a distributed approach of our anomaly detection system in order lo lessen the training time of our model..