Mécanismes d’apprentissage pour la détection de comportements anormaux dans les systèmes embarqués // Learning Mechanisms for Detecting Abnormal Behaviors in Embedded Systems
| ABG-138316 | Thesis topic | |
| 2026-04-13 | Public/private mixed funding |
CEA Laboratoire des Systèmes Embarqués Sécurisés
Grenoble
Mécanismes d’apprentissage pour la détection de comportements anormaux dans les systèmes embarqués // Learning Mechanisms for Detecting Abnormal Behaviors in Embedded Systems
- Data science (storage, security, measurement, analysis)
Cybersécurité : hardware et software / Défis technologiques / Informatique et logiciels / Sciences pour l’ingénieur
Topic description
Les systèmes embarqués sont de plus en plus utilisés dans des infrastructures critiques (e.g. réseau de production d’énergie) et sont donc des cibles d’attaques privilégiées pour des acteurs malicieux. L’utilisation de systèmes de détection d’intrusion (IDS) analysant dynamiquement l’état du système devient nécessaire pour détecter une attaque avant que ses impacts ne deviennent dommageables.
Les IDS qui nous intéresse sont basés sur des méthodes de détection d’anomalie par machine learning et permettent d’apprendre le comportement normal d’un système et de lever une alerte à la moindre déviation. Cependant l’apprentissage du comportement normal par le modèle est fait une seule fois en amont sur un jeu de données statique, alors même que les systèmes embarqués considérés peuvent évoluer dans le temps avec des mises à jour affectant leur comportement nominal ou l’ajout de nouveaux comportements jugés légitimes.
Le sujet de cette thèse porte donc sur l’étude des mécanismes de réapprentissage pour les modèles de détection d’anomalie pour mettre à jour la connaissance du comportement normal par le modèle sans perdre d’information sur sa connaissance antérieure. D’autres paradigmes d’apprentissage, comme l’apprentissage par renforcement ou l’apprentissage fédéré, pourront aussi être étudiés pour améliorer les performances des IDS et permettre l’apprentissage à partir du comportement de plusieurs systèmes.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Embedded systems are increasingly used in critical infrastructures (e.g., energy production networks) and are therefore prime targets for malicious actors. The use of intrusion detection systems (IDS) that dynamically analyze the system's state is becoming necessary to detect an attack before its impacts become harmful.
The IDS that interest us are based on machine learning anomaly detection methods and allow learning the normal behavior of a system and raising an alert at the slightest deviation. However, the learning of normal behavior by the model is done only once beforehand on a static dataset, even though the embedded systems considered can evolve over time with updates affecting their nominal behavior or the addition of new behaviors deemed legitimate.
The subject of this thesis therefore focuses on studying re-learning mechanisms for anomaly detection models to update the model's knowledge of normal behavior without losing information about its prior knowledge. Other learning paradigms, such as reinforcement learning or federated learning, may also be studied to improve the performance of IDS and enable learning from the behavior of multiple systems.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Pôle fr : Direction de la Recherche Technologique
Pôle en : Technological Research
Département : Département Systèmes (LETI)
Service : Service Sécurité des Systèmes Electroniques et des Composants
Laboratoire : Laboratoire des Systèmes Embarqués Sécurisés
Date de début souhaitée : 01-10-2026
URL : http://www.leti-cea.fr/cea-tech/leti/Pages/recherche-appliquee/infrastructures-de-recherche/plateforme-cybersecurite.aspx
Les IDS qui nous intéresse sont basés sur des méthodes de détection d’anomalie par machine learning et permettent d’apprendre le comportement normal d’un système et de lever une alerte à la moindre déviation. Cependant l’apprentissage du comportement normal par le modèle est fait une seule fois en amont sur un jeu de données statique, alors même que les systèmes embarqués considérés peuvent évoluer dans le temps avec des mises à jour affectant leur comportement nominal ou l’ajout de nouveaux comportements jugés légitimes.
Le sujet de cette thèse porte donc sur l’étude des mécanismes de réapprentissage pour les modèles de détection d’anomalie pour mettre à jour la connaissance du comportement normal par le modèle sans perdre d’information sur sa connaissance antérieure. D’autres paradigmes d’apprentissage, comme l’apprentissage par renforcement ou l’apprentissage fédéré, pourront aussi être étudiés pour améliorer les performances des IDS et permettre l’apprentissage à partir du comportement de plusieurs systèmes.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Embedded systems are increasingly used in critical infrastructures (e.g., energy production networks) and are therefore prime targets for malicious actors. The use of intrusion detection systems (IDS) that dynamically analyze the system's state is becoming necessary to detect an attack before its impacts become harmful.
The IDS that interest us are based on machine learning anomaly detection methods and allow learning the normal behavior of a system and raising an alert at the slightest deviation. However, the learning of normal behavior by the model is done only once beforehand on a static dataset, even though the embedded systems considered can evolve over time with updates affecting their nominal behavior or the addition of new behaviors deemed legitimate.
The subject of this thesis therefore focuses on studying re-learning mechanisms for anomaly detection models to update the model's knowledge of normal behavior without losing information about its prior knowledge. Other learning paradigms, such as reinforcement learning or federated learning, may also be studied to improve the performance of IDS and enable learning from the behavior of multiple systems.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Pôle fr : Direction de la Recherche Technologique
Pôle en : Technological Research
Département : Département Systèmes (LETI)
Service : Service Sécurité des Systèmes Electroniques et des Composants
Laboratoire : Laboratoire des Systèmes Embarqués Sécurisés
Date de début souhaitée : 01-10-2026
URL : http://www.leti-cea.fr/cea-tech/leti/Pages/recherche-appliquee/infrastructures-de-recherche/plateforme-cybersecurite.aspx
Funding category
Public/private mixed funding
Funding further details
Presentation of host institution and host laboratory
CEA Laboratoire des Systèmes Embarqués Sécurisés
Pôle fr : Direction de la Recherche Technologique
Pôle en : Technological Research
Département : Département Systèmes (LETI)
Service : Service Sécurité des Systèmes Electroniques et des Composants
Candidate's profile
Master 2 Informatique, mathématiques, IA, cybersécurité
Apply
Close
Vous avez déjà un compte ?
Nouvel utilisateur ?
Get ABG’s monthly newsletters including news, job offers, grants & fellowships and a selection of relevant events…
Discover our members
Nokia Bell Labs France 
Laboratoire National de Métrologie et d'Essais - LNE 
ASNR - Autorité de sûreté nucléaire et de radioprotection - Siège 
SUEZ 
Ifremer 
ONERA - The French Aerospace Lab 
Tecknowmetrix 
ANRT 
Institut Sup'biotech de Paris 
Groupe AFNOR - Association française de normalisation 
Medicen Paris Region 
TotalEnergies 
Nantes Université 
Généthon 
Aérocentre, Pôle d'excellence régional 
Servier 
ADEME