Academic literature on the topic 'Détection d'intrusion'

Ce document constitue un dossier de demande d'inscription a l'Habilitation a Diriger des Recherches. Il résume 10 années d'activités professionnelles passées en tant qu'enseignant-chercheur sur le campus de Rennes de Supelec. Ce document est constitue de deux parties. La première partie propose une présentation du candidat qui prend la forme d'un curriculum vitæ, d'une présentation des activités d'enseignement et d'une présentation des activités de recherche. L'ensemble se termine par une liste de publications. La seconde partie est une synthèse d'une partie des activités de recherche menées ces dix dernières années. Un état de l'art pose les concepts sur lesquels reposent ces travaux. Ensuite quatre activités de recherche sont présentées, chacune d'elle mettant en évidence la pertinence de certaines techniques de détection d'erreur dans le domaine de la détection d'intrusion.

Cette thèse vise à contribuer à l'amélioration des méthodes d'évaluation des systèmes de détection d'intrusion (en anglais, Intrusion Detection Systems ou IDS). Ce travail est motivé par deux problèmes actuels : tout d'abord, l'augmentation du nombre et de la complexité des attaques que l'on observe aujourd'hui nécessite de faire évoluer les IDS pour leur permettre de les détecter. Deuxièmement, les IDS actuels génèrent de trop fréquentes fausses alertes, ce qui les rend inefficaces voir inutiles. Des moyens de test et d'évaluation sont nécessaires pour déterminer la qualité de détection des IDS et de leurs algorithmes de détection. Malheureusement, il n'existe pas actuellement de méthode d'évaluation satisfaisante. En effet, les méthodes employées jusqu'ici présentent trois défauts majeurs : 1) une absence de méthodologie rigoureuse, 2) l'utilisation de données de test non représentatives, et 3) l'utilisation de métriques incorrectes. Partant de ce constat, nous proposons une démarche rigoureuse couvrant l'ensemble de l'évaluation des IDS. Premièrement, nous proposons une méthodologie d'évaluation qui permet d'organiser l'ensemble du processus d'évaluation. Deuxièmement, afin d'obtenir des données de test représentatives, nous avons défini une classification des types d'attaques en fonction des moyens de détection utilisés par les IDS. Cela permet non seulement de choisir les attaques à inclure dans les données de test mais aussi d'analyser les résultats de l'évaluation selon les types d'attaques plutôt que sur chaque attaque individuellement. Troisièmement, nous avons analysé un grand nombre d'attaques réelles et de " maliciels " connus, tels que les virus et les vers. Grâce à cette analyse, nous avons pu construire un modèle générique de processus d'attaques qui met en évidence la dynamique des activités d'attaque. Ce modèle permet de générer un nombre important de scénarios d'attaques à la fois réalistes et variés. Les méthodes proposées ont été expérimentées su r deux systèmes de détection d'intrusion très différents, pour montrer la généralité de notre démarche. Les résultats montrent que l'approche proposée permet de surmonter les deux défauts principaux des évaluations existantes, à savoir l'absence de méthodologie et l'utilisation de données non représentatives. Elle permet en particulier de mieux gérer le processus d'évaluation et de choisir les cas de test pertinents pour les types d'IDS et les objectifs de l'évaluation, tout en couvrant une large partie de l'espace d'attaques.

Cette thèse vise à contribuer à l'amélioration des méthodes d'évaluation des systèmes de détection d'intrusions (en anglais, Intrusion Detection Systems ou IDS). Ce travail est motivé par deux problèmes actuels : tout d'abord, l'augmentation du nombre et de la complexité des attaques que l'on observe aujourd'hui nécessite de faire évoluer les IDS pour leur permettre de les détecter. Deuxièmement, les IDS actuels génèrent de trop fréquentes fausses alertes, ce qui les rend inefficaces, voir inutiles. Des moyens de test et d'évaluation sont donc nécessaires pour déterminer la qualité de détection des IDS et de leurs algorithmes de détection. Malheureusement, aucune méthode d'évaluation satisfaisante n'existe de nos jours. En effet, les méthodes employées jusqu'ici présentent trois défauts majeurs : 1) une absence de méthodologie rigoureuse d'évaluation, 2) l'utilisation de données de test non représentatives, et 3) l'utilisation de métriques incorrectes. Partant de ce constat, nous proposons une démarche rigoureuse couvrant l'ensemble des étapes de l'évaluation des IDS. Premièrement, nous proposons une méthodologie d'évaluation qui permet d'organiser l'ensemble du processus d'évaluation. Deuxièmement, afin d'obtenir des données de test représentatives, nous avons défini une classification des types d'attaques en fonction des moyens de détection utilisés par les IDS. Cela permet non seulement de choisir les attaques à inclure dans les données de test, mais aussi d'analyser les résultats de l'évaluation selon les types d'attaques plutôt que pour chaque attaque individuellement. Troisièmement, nous avons analysé un grand nombre d'attaques réelles et de programmes malveillants (communément appelés maliciels) connus, tels que les virus et les vers. Grâce à cette analyse, nous avons pu construire un modèle générique de processus d'attaques qui met en évidence la dynamique des activités d'attaque. Ce modèle permet de générer un nombre important de scénarios d'attaques, qui soient le plus possible représentatifs et variés. Pour montrer la faisabilité de notre approche, nous avons appliqué expérimentalement les étapes de notre démarche à deux systèmes différents de détection d'intrusions. .
This thesis contributes to the improvement of intrusion detection system (IDS) evaluation. The work is motivated by two problems. First, the observed increase in the number and the complexity of attacks requires that IDSes evolve to stay capable of detecting new attack variations efficiently. Second, the large number of false alarms that are generated by current IDSes renders them ineffective or even useless. Test and evaluation mechanisms are necessary to determine the quality of detection of IDSes or of their detection algorithms. Unfortunately, there is currently no IDS evaluation method that would be unbiased and scientifically rigorous. During our study, we have noticed that current IDS evaluations suffer from three major weaknesses: 1) the lack of a rigorous methodology; 2) the use of non-representative test datasets; and 3) the use of incorrect metrics. From this perspective, we have introduced a rigorous approach covering most aspects of IDS evaluation. In the first place, we propose an evaluation methodology that allows carrying out the evaluation process in a systematic way. Secondly, in order to create representative test datasets, we have characterized attacks by classifying attack activities with respect to IDS-relevant manifestations or features. This allows not only to select attacks that will be included in the evaluation dataset but also to analyze the evaluation result with respect to attack classes rather than individual attack instances. Third, we have analyzed a large number of attack incidents and malware samples, such as viruses and worms. Thanks to this analysis, we built a model for the attack process that exhibits the dynamics of attack activities. This model allows us to generate a large number of realistic and diverse attack scenarios. The proposed methods have been experimented on two very different IDSes to show how general is our approach. The results show that the proposed approach allows overcoming the two main weaknesses of existing evaluations, i. E. , the lack of a rigorous methodology and the use of non-representative datasets. .

Cette thèse porte sur la sécurité des communications sans fil, appliquée aux équipementstels que les téléphones mobiles, les ordinateurs portables, ou les objets communicants relevant de l’internet des objets.Aujourd’hui, les communications sans fil sont réalisées à l’aide de composants intégrés (modem), qui peuvent eux-même être la cible d’attaques. Effectivement, ces modem peuvent contenir des logiciels, au code fermé, qui sont peu audités et peuvent recéler des vulnérabilités. Au cours de cette thèse, nous avons poursuivi deux approches complémentaires qui visent à adresser le problème de la sécurité des modem sans fil. La première consiste à détecter les attaques pour mitiger les risques posés par les vulnérabilité ; la seconde àsavoir identifier et à corriger ces vulnérabilités afin d’éliminer les risques. Les modem sans fil posent des contraintes particulières pour les systèmes de détection d’intrusion (IDS). De fait, si le modem risque d’être compromis, le système d’exploitation (OS) ne peut pas faire confiance aux informations qu’il remonte : le modem n’est pas fiable. Il est ainsi délicat de détecter des attaques sans fil depuis l’OS, car il ne dispose d’aucune source d’information fiable sur laquelle baser cette détection. Dans ce contexte, il est préférable de réaliser la détection d’intrusion au niveau du réseau, en capturant directement les signaux échangés sans fil. Cependant, il n’est pastoujours simple de récupérer les signaux qui nous intéressent. Aujourd’hui, les équipements supportent une multitude de normes de communication différentes. Cette hétérogénéité représente un défi pour les solutions de capture. De plus, certains protocoles se prêtent malà une capture passive de leurs échanges, et sont parfois même spécifiquement conçus pour l’empêcher. Enfin, les données sont généralement chiffrées, ce qui constitue un obstacle supplémentaire pour les IDS. Les radio logicielles peuvent répondre en partie aux défis posés par cette diversité. Elles se composent d’une partie matérielle, mais surtout de logiciel, qui peut être adapté pourrecevoir des signaux de n’importe quel standard - dans les limites du matériel. Dans cette thèse, nous présentons une radio-logicielle spécialement concue pour permettre la capture et l’analyse d’une bande de fréquence donnée, afin d’identifier et d’étiqueter les signaux présents. Il s’agit d’une brique élémentaire pour construire des systèmes de détection d’intrusion sans-fil. Par ailleurs, les radio-logicielles traitent les signaux au niveau de leur représentation physique. Cela leur permet de collecter des informations supplémentaires, qui n’auraient pas été accessibles si on avait utilisé un modem conventionnel pour capturer les signaux. Dans cette thèse, nous décrivons des méthodes permettant d’identifier le modèle d’un appareil Bluetooth en analysant la représentation physique des paquets qu’il transmet.Dans la seconde partie de cette thèse, nous avons analysé les micrologiciels de plusieurs modem Bluetooth, afin d’identifier des vulnérabilités permettant d’en prendre le contrôle à distance. Cela nous a permis de découvrir plusieurs vulnérabilités exploitables dans desmodem très largement utilisés. Dans un second temps, nous avons développé un modem Bluetooth libre et open-source qui permet d’interagir avec de véritables modem pour faciliter la recherche et développement sur leur sécurité
This thesis focuses on the security of wireless communications, as used on devices such as mobile phones, laptops, or connected devices that make up the Internet of Things. Nowadays, wireless communications are carried out using integrated components (modem), which can themselves be the target of attacks. Indeed, these modems contain Closed Source software, that are poorly audited, and may have flaws. During this thesis, we pursued two complementary approaches that aim to address the problem of wireless modems security. The first is to detect attacks in order to mitigate the risks posed by vulnerabilities ; the second is to identify and correct these vulnerabilities in order to eliminate the risks. Wireless modems pose particular constraints for Intrusion Detection Systems (IDS). In fact, if the modem is at risk of being compromised, the operating system (OS) cannot trust the information it is sending back : the modem is unreliable. This makes it difficult to detect wireless attacks from the OS, as it has no reliable source of information on whichto base detection. In this context, it is preferable to perform intrusion detection at the network level, by directly capturing the signals exchanged wirelessly. However, it is not always easy to recover the signals of interest. Today’s equipment supports a multitude of different communication standards. This heterogeneity represents a challenge for capture solutions. In addition, some protocols do not lend themselves well to passive capture of their exchanges, and are sometimes even specifically designed to prevent it. Finally, data is usually encrypted, which is an additional obstacle for intrusion detection systems. Software Defined Radio (SDR) can partly meet the challenges posed by this diversity. They consist of a hardware part, but above all of software, which can be adapted to receive signals of any standard - within the limits of the material. In this thesis, we present a SDR specifically designed to allow the capture and analysis of a given frequency band, in order to identify and label the signals present. It is an elementary building block for building wireless intrusion detection systems. In addition, software radio processes signals in terms of their physical representation. This allows them to collect additional information, which would not have been accessible if a conventional modem had been used to capture the signals. In this thesis, we describe methods to identify the model of a Bluetooth device by analysing the physical representation of the packets it transmits. In the second part of this thesis, we analysed the firmware of several Bluetooth modems, in order to identify vulnerabilities that would allow remote control. This allowed us to discover several exploitable vulnerabilities in widely used modems. Finally, we developeda free and open-source Bluetooth modem that allows interaction with real-world modems to facilitate research and development on their security

La Voix sur IP (VoIP) est devenue un paradigme majeur pour fournir des services de télécommunications flexibles tout en réduisant les coûts opérationnels. Le déploiement à large échelle de la VoIP est soutenu par l'accès haut débit à l'Internet et par la standardisation des protocoles dédiés. Cependant, la VoIP doit également faire face à plusieurs risques comprenant des vulnérabilités héritées de la couche IP auxquelles s'ajoutent des vulnérabilités spécifiques. Notre objectif est de concevoir, implanter et valider de nouveaux modèles et architectures pour assurer une défense préventive, permettre le monitorage et la détection d'intrusion dans les réseaux VoIP.

Notre travail combine deux domaines: celui de la sécurité des réseaux et celui de l'intelligence artificielle. Nous renforcons les mécanismes de sécurité existants en apportant des contributions sur trois axes : Une approche basée sur des mécanismes d'apprentissage pour le monitorage de trafic de signalisation VoIP, un pot de miel spécifique, et un modèle de corrélation des évenements pour la détection d'intrusion. Pour l'évaluation de nos solutions, nous avons développés des agents VoIP distribués et gérés par une entité centrale. Nous avons développé un outil d'analyse des traces réseaux de la signalisation que nous avons utilisé pour expérimenter avec des traces de monde réel. Enfin, nous avons implanté un prototype de détection d'intrusion basé sur des règles de corrélation des événements.

Ce mémoire présente un langage déclaratif de description de scénarios et de modèles d’attaques, ainsi qu’un moteur de détection qui lui est associé. Le langage s’inspire fortement de l’état de l’art dans le domaine des IDS (système de détection d’intrusions) et il s’approprie les qualités de plusieurs de ses références telles que LTL, Snort, Lambda, ou Chronicle. Il représente aussi une évolution majeure de la première version introduite dans un précédent travail, dans le sens où nous avons introduit de nouveaux opérateurs, nous avons associé une sémantique formelle au langage, ainsi qu’un système de règles de réécriture permettant le calcul d’une forme normale ; nous offrons aussi la possibilité de définir des modèles d’attaques. Les modèles étant différents des scénarios, le comportement du moteur de détection a été enrichi, augmentant l’expressivité du langage par rapport à sa version initiale.

Le sujet de la classification de trafic r'eseau est d'une grande importance pourla planification de r'eseau efficace, la gestion de trafic 'a base de r'egles, la gestionde priorit'e d'applications et le contrˆole de s'ecurit'e. Bien qu'il ait re¸cu une atten-tion consid'erable dans le milieu de la recherche, ce th'eme laisse encore de nom-breuses questions en suspens comme, par exemple, les m'ethodes de classificationdes flux de trafics chiffr'es. Cette th'ese est compos'ee de quatre parties. La premi'erepr'esente quelques aspects th'eoriques li'es 'a la classification de trafic et 'a la d'etec-tion d'intrusion. Les trois parties suivantes traitent des probl'emes sp'ecifiques declassification et proposent des solutions pr'ecises.Dans la deuxi'eme partie, nous proposons une m'ethode d''echantillonnage pr'ecisepour d'etecter les attaques de type "SYN flooding"et "portscan". Le syst'eme examineles segments TCP pour trouver au moins un des multiples segments ACK provenantdu serveur. La m'ethode est simple et 'evolutive, car elle permet d'obtenir unebonne d'etection avec un taux de faux positif proche de z'ero, mˆeme pour des tauxd''echantillonnage tr'es faibles. Nos simulations bas'ees sur des traces montrent quel'efficacit'e du syst'eme propos'e repose uniquement sur le taux d''echantillonnage,ind'ependamment de la m'ethode d''echantillonnage.Dans la troisi'eme partie, nous consid'erons le probl'eme de la d'etection et de laclassification du trafic de Skype et de ses flux de services tels que les appels vocaux,SkypeOut, les vid'eo-conf'erences, les messages instantan'es ou le t'el'echargement defichiers. Nous proposons une m'ethode de classification pour le trafic Skype chiffr'ebas'e sur le protocole d'identification statistique (SPID) qui analyse les valeurs statis-tiques de certains attributs du trafic r'eseau. Nous avons 'evalu'e notre m'ethode surun ensemble de donn'ees montrant d'excellentes performances en termes de pr'eci-sion et de rappel. La derni'ere partie d'efinit un cadre fond'e sur deux m'ethodescompl'ementaires pour la classification des flux applicatifs chiffr'es avec TLS/SSL.La premi'ere mod'elise des 'etats de session TLS/SSL par une chaˆıne de Markov ho-mog'ene d'ordre 1. Les param'etres du mod'ele de Markov pour chaque applicationconsid'er'ee diff'erent beaucoup, ce qui est le fondement de la discrimination entreles applications. La seconde m'ethode de classification estime l''ecart d'horodatagedu message Server Hello du protocole TLS/SSL et l'instant d'arriv'ee du paquet.Elle am'eliore la pr'ecision de classification des applications et permet l'identificationviiefficace des flux Skype. Nous combinons les m'ethodes en utilisant une ClassificationNaive Bay'esienne (NBC). Nous validons la proposition avec des exp'erimentationssur trois s'eries de donn'ees r'ecentes. Nous appliquons nos m'ethodes 'a la classificationde sept applications populaires utilisant TLS/SSL pour la s'ecurit'e. Les r'esultatsmontrent une tr'es bonne performance.

Les calculateurs embarqués dans les automobiles, ou ECU (Electronic Control Unit) sont responsables d’un nombre croissant de fonctionnalités au sein du véhicule. Pour pouvoir coordonner leurs actions, ces calculateurs s’échangent des données via des bus de communication et forment ainsi un véritable réseau embarqué. Si historiquement ce réseau pouvait être considéré comme un système fermé, l’apparition de nombreux moyens de communication dans les automobiles a ouvert ce réseau au monde extérieur et fait émerger de nombreuses problématiques de sécurité dans ce domaine.Nos travaux s’inscrivent dans une démarche de mise en place de moyens de sécurité-immunité dans les réseaux automobiles. La thématique de la sécurité-immunité dans l’automobile étant un sujet relativement récent, un effort particulier a été apporté à la définition du contexte. Ainsi, dans ce manuscrit, nous décrivons les menaces qui peuvent cibler ces systèmes embarqués, proposons une classification des scénarios d’attaques puis présentons les différents mécanismes de sécurité pouvant être appliqués aux systèmes embarqués d’une automobile.Ensuite, afin de compléter les mesures de sécurité préventives mises en place pour empêcher un attaquant de pénétrer au coeur du réseau embarqué, nous proposons dans cette thèse un système de détection d’intrusion pour les réseaux automobiles embarqués. Celui-ci, conçu à partir des spécifications du ou des systèmes à surveiller, intègre notamment des mécanismes permettant d’effectuer une corrélation des messages observés sur le réseau afin d’identifier des séquences de messages suspectes. Après avoir décrit formellement le fonctionnement de notre système de détection, nous présentons de premières expérimentations visant à valider notre méthode et à évaluer ses performances
In today’s automobiles, embedded computers, or ECUs (Electronic Control Units) are responsible for an increasing number of features in a vehicle. In order to coordinate their actions, these computers are able to exchange data over communication buses, effectively constituting an embedded network. While this network could previously be considered a closed system, the addition of means of communication in automobiles has opened this network to the outside world, thus raising many security issues.Our research work focuses on these issues and aims at proposing efficient architectural security mechanisms for protecting embedded automotive networks. The security of embedded automotive systems being a relatively recent topic, we first put a strong focus on defining the context. For that purpose, we describe the threats that can target a car’s embedded systems, provide a classification of the possible attack scenarios and present a survey of protection mechanisms in embedded automotive networks.Then, in order to complement the preventive security means that aim at stopping an attacker from entering the embedded network, we introduce an Intrusion Detection System (IDS) fit for vehicular networks. Leveraging the high predictability of embedded automotive systems, we use language theory to elaborate a set of attack signatures derived from behavioral models of the automotive calculators in order to detect a malicious sequence of messages transiting through the internal network. After a formal description of our IDS, we present a first batch of experiments aimed at validating our approach and assessing its performances

Le clustering vise à regrouper les données observées en différents sous-ensembles partageant des propriétés similaires. Le plus souvent ce regroupement se fait via l’optimisation d’un critère choisi à l’avance. Dans cette thèse CIFRE, nous avons étudié le clustering sous trois aspects différents.Dans une première partie, nous proposons une méthode d’estimation robuste de K centroïdes basé sur le critère, dit des « K-means ». Nous proposons également une méthode d’initialisation robuste de la procédure. D’une part, la robustesse des procédures proposées a été testée par de nombreuses simulations numériques. D’autre part, nous avons montré un théorème donnant la vitesse de convergence d’un estimateur idéalisé en présence d’outliers ainsi qu’un théorème donnant le breakdown point de la méthode. Dans une seconde partie nous nous plaçons dans le cadre d’un mélange équilibré de deux gaussiennes isotropes, centré en l’origine, afin de fournir la première analyse théorique d’un estimateur de clustering basé sur un critère d’entropie conditionnelle. Nous montrons que le critère est localement convexe, offrant d’une part des vitesses d’apprentissage rapide et d’autre part une inégalité oracle en grande dimension, lorsque le vecteur moyen de séparation est sparse.Dans une troisième partie, plus pratique et consacrée à des graphes en cybersécurité, nous regardons si l’évolution du nombre de clusters obtenus par une méthode d’optimisation de modularité peut révéler des anomalies causées par une intrusion dans un système informatique
Clustering aims at grouping observed data into different subsets sharing similar properties. Most often this clustering is done through the optimization of a criterion chosen in advance. In this CIFRE thesis, we have studied clustering under three different aspects.In a first part, we propose a robust estimation method of K centroids based on the so-called "K-means" criterion. We also propose a robust initialization method for the procedure. On the one hand, the robustness of the proposed procedures has been tested by numerous numerical simulations. On the other hand, we have shown a theorem giving the rate of convergence of an idealized estimator in the presence of outliers and a theorem giving the breakdown point of the method.In a second part, we place ourselves in the framework of a balanced mixture of two isotropic Gaussians, centered at the origin, in order to provide the first theoretical analysis of a clustering estimator based on a conditional entropy criterion. We show that the criterion is locally convex, offering on the one hand fast learning rates and on the other hand an oracle inequality in high dimension when the mean separation vector is sparse.In a third part, more practical and devoted to graphs in cybersecurity, we investigate whether the evolution of the number of clusters obtained by a modularity optimization method can reveal anomalies caused by an intrusion in a computer system

L’aviation civile moderne dépend de plus en plus sur l’interconnexion de tous les acteurs qu’il soit avionneur, équipementier, contrôleur aérien, pilote, membre d’équipage ou compagnie aérienne. Ces dernières années, de nombreux travaux ont été réalisés dans le but de proposer des méthodes pour simplifier la tache des pilotes, de mieux contrôler et optimiser l’espace aérien, de faciliter la gestion des vols par les compagnies aériennes et d’optimiser les taches de maintenance entre les vols. De plus, les compagnies aériennes cherchent non seulement a offrir a ses passagers, de plus en plus exigeants, des services de divertissements, de messagerie et de navigation sur le Web mais également des services de connexion a Internet pour leurs propres appareils. Cette omniprésence de connectivité dans le domaine aéronautique a ouvert la voie a un nouvel ensemble de cyber-menaces. L’industrie doit donc être en mesure de déployer des mécanismes de sécurité qui permettent d’offrir les mêmes garanties que la sûreté de fonctionnement tout en permettant de répondre aux nombreux besoins fonctionnels de tous les acteurs. Malgré tout, il existe peu de solutions permettant l’analyse et la détection d’intrusion sur les systèmes avioniques embarqués. La complexité des mises a jour sur de tel système rend difficile l’utilisation de mécanismes strictement a base de signatures alors il est souhaitable que des mécanismes plus "intelligents", a l’abri de l’évolution des menaces, puissent être développés et mis en place. Cette thèse s’inscrit dans une démarche de mise en place de mécanismes de sécurité pour les communications entre le sol et l’avion, et plus particulièrement un système de détection d’intrusion pour le système de communication aéronautique ACARS visant a protéger les fonctions Air Traffic Control (ATC) et Aeronautical Operational Control (AOC) embarquées dans l’avion. Fonde sur la détection d’anomalie, un premier modèle propose permet de discriminer les messages ACARS anormaux a l’aide d’une technique empruntée a la classification de texte, les n-grammes. Un second modèle propose, également fonde sur la détection d’anomalie, permet de modéliser, a l’aide des chaines de Markov, l’ensemble des messages échanges entre le bord et le sol durant un vol complet permettant de détecter des messages ne faisant pas partie d’une communication normale. Une dernière contribution consiste en une alternative a la courbe ROC pour évaluer les performances d’un système de détection d’intrusion lorsque le jeu de données disponible contient seulement des instances normales
Modern civil aviation is increasingly dependent on the interconnection of all players, be it aircraft manufacturers, air traffic controllers, pilots, crew members or airlines. In recent years, much work has been done to propose methods to simplify the task of pilots, to better control and optimize airspace, to facilitate the management of flights by airlines and to optimize the maintenance tasks between flights. In addition, airlines are seeking not only to provide more demanding passengers with entertainment, messaging and web browsing services, but also Internet connection services for their own devices. This omnipresence of connectivity in the aeronautical field has paved the way for a new set of cyber threats. The industry must therefore be able to deploy security mechanisms inline with safety requirements while allowing the many functional needs of all actors. Despite this, there are few solutions for intrusion detection and analysis on avionics systems. The complexity of updates on such a system makes it difficult to use strictly signature-based mechanisms, so it is desirable that more "smart" mechanisms, threats evolution proof, be developed and deployed. This thesis is part of an approach to put in place security mechanisms for communications between the ground and the airplane, and more particularly an intrusion detection system for the aeronautical communication system ACARS to protect the Air Traffic Control (ATC) and Aeronautical Operational Control (AOC) functions. Based on anomaly detection technique, a first proposed model makes it possible to discriminate the abnormal ACARS messages using a technique borrowed from the text classification, n-grams. A second proposed model, also based on anomaly detection technique, allows to model a sequence of messages, using Markov chains, exchanged between the ground and the airplane during a flight, allowing to detect messages not taking part of a normal communication. The last contribution consists of an alternative to the ROC curve to evaluate the performance of an intrusion detection system when the available data set contains only normal instances

La détection d'intrusion est un concept clé dans la sécurité. Elle vise à analyser l'état actuel d'un réseau en temps réel et à identifier les anomalies potentielles qui se produisent dans le système. Un réseau de neurones à réaction formé sur l'ensemble de données NSL-KDD a pour objectif de maximiser la précision de la reconnaissance de nouveaux échantillons de données.