Detection methods for security of heterogeneous IoT systems

This thesis concerns new detection methods for the security of heterogenous IoT systems, and fits within the framework of the SecureIoT European project. We have first proposed a solution exploiting the process mining together with pre-treatment techniques, in order to build behavioral models, and identifying anomalies from heterogenous systems. We have then evaluated this solution from datasets coming from different application domains : connected cars, industry 4.0, and assistance robots.. This solution enables to build models that are more easily understandable. It provides better detection results than other common methods, but may generate a longer detection time. In order to reduce this time without degrading detection performances, we have then extended our method with an ensemble approach, which combines the results from several detection methods that are used simultaneously. In particular, we have compared different score aggregation strategies, as well as evaluated a feedback mechanism for dynamically adjusting the sensitivity of the detection. Finally, we have implemented the solution as a prototype, that has been integrated into a security platform developed in collaboration with other European industrial partners.; Cette thèse porte sur de nouvelles méthodes de détection pour la sécurité des systèmes IoT hétérogènes, et s'inscrit dans le cadre du projet européen Secure IoT. Nous avons tout d'abord proposé une solution utilisant le process mining couplé à un pré-traitement des données, pour construire des modèles de comportement et identifier des anomalies à partir de données hétérogènes. Nous avons évalué cette solution à partir de jeux de données issus de plusieurs domaines d'applications différents : véhicules connectés, industrie 4.0, robots d'assistance. Cette solution permet de construire des modèles plus facilement compréhensibles. Elle obtient des meilleurs résultats de détection que d'autres méthodes usuelles, mais demande un temps de traitement plus long. Pour réduire ce dernier sans dégrader les performances de détection, nous avons ensuite étendu notre méthode à l'aide d'une approche ensembliste, qui permet de combiner les résultats de plusieurs méthodes de détection utilisées simultanément. En particulier, nous avons comparé différentes stratégies d'agrégation des scores. Nous avons aussi évalué un mécanisme permettant d'ajuster dynamiquement la sensibilité de la détection. Enfin, nous avons implanté la solution sous la forme d'un prototype, qui a été intégré à une plateforme de sécurité développée avec des partenaires européens.