Detection of atypical events for security in critical infrastructure
Détection d’évènements atypiques pour la sécurité dans les infrastructures critiques
Résumé
This work is about critical infrastructure monitoring within a project named VIRTUALIS leaded by Thales. VIRTUALIS project is about convergence between cyber and physical security systems. The thesis concentrates on the detection of unusual behaviors in a building. Two approaches were proposed to this monitoring problem depending on the quality of the available data. The first approach intends to monitor identified region of a building, generally the area of particular importance such as computer room, prototype room… Sensors gather data that enable to build simple statistical model based on key metrics which capture the usual behavior of people in a given area. Based on the estimated distribution of these key metrics the aims is to detect unusual situations. He applied this approach on the 2 use cases and show that when the aim of monitoring is clearly related to critical area, the method performs well. The second approach necessitates more data since it is based on trajectory of people in the building. The leading idea is to detect unusual trajectories. The first step is to transform the raw data coming from sensors in a rather simple graph of activities, where activities are inferred from gathered data. Next a one or two class SVM is trained using ad-hoc kernels to detect unusual sequence of activities. In detection mode, trajectories are constructed in real time over a given time window
Ce travail porte sur la surveillance des infrastructures critiques dans le cadre d'un projet nommé VIRTUALIS mené par Thales. La thèse se concentre sur la détection de comportements inhabituels dans un bâtiment. Deux approches ont été proposées à ce problème de surveillance en fonction de la qualité des données disponibles. La première approche vise à surveiller la région identifiée d'un bâtiment, généralement la zone d'importance particulière telle que salle informatique, salle prototype... Les capteurs recueillent des données qui permettent de construire un modèle statistique simple basé sur des mesures clés qui captent le comportement habituel des personnes dans un lieu. Sur la base de la distribution estimée de ces indicateurs clés, les objectifs sont de détecter des situations inhabituelles. Il a appliqué cette approche aux 2 cas d'utilisation et a montré que lorsque le but de la surveillance est clairement lié à la zone critique, la méthode fonctionne bien. La deuxième approche nécessite plus de données car elle est basée sur la trajectoire des personnes dans le bâtiment. L'idée principale est de détecter des trajectoires inhabituelles. La première étape consiste à transformer les données brutes provenant des capteurs dans un graphique d'activités plutôt simple, où les activités sont déduites des données recueillies. Ensuite, une SVM à une ou deux classes est formée en utilisant des noyaux ad hoc pour détecter une séquence inhabituelle d'activités. En mode détection, les trajectoires sont construites en temps réel sur une fenêtre temporelle donnée
Origine : Version validée par le jury (STAR)