Détection d'intrusion réseau par apprentissage machine : un problème temporel, déséquilibré et en constante évolution
Auteur / Autrice : | Nicolas Sourbier |
Direction : | Maxime Pelcat |
Type : | Thèse de doctorat |
Discipline(s) : | Signal, Image, Vision |
Date : | Soutenance le 29/09/2022 |
Etablissement(s) : | Rennes, INSA |
Ecole(s) doctorale(s) : | École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes) |
Partenaire(s) de recherche : | Laboratoire : Institut d'Électronique et de Télécommunications (Rennes) |
Jury : | Président / Présidente : Gilles Grimaud |
Examinateurs / Examinatrices : Maxime Pelcat, Gilles Grimaud, Isabelle Chrisment, Malcolm Heywood, Peggy Cellier, Gregory Blanc | |
Rapporteur / Rapporteuse : Isabelle Chrisment, Malcolm Heywood |
Mots clés
Mots clés contrôlés
Résumé
Les systèmes de détection d’intrusion réseau (NIDS) observent le trafic réseau et essayent d’en extraire les intrusions : des compromissions de l’intégrité, la disponibilité ou la confidentialité des services et des données fournies par ce réseau. Il existe deux types de NIDS. 1) Les systèmes de détection d’intrusion par signature identifient les intrusions connues en se référant à une base de connaissance existante. 2) Les systèmes de détection d’intrusion par anomalie qui qualifient les intrusions en se basant sur un modèle du trafic réseau normal, généralement appris par des techniques d’apprentissage machine. La détection d’intrusion dans les réseaux, en évolution constante, comporte des verrous pour être déployée. Premièrement, la collecte de données réseau représentatives et correctement étiquetées est complexe et coûteuse. Ces données sont également fortement déséquilibrées, les attaques étant des événements rares. Enfin, le portage opérationnel d’un AIDS appris peut entraîner une chute des taux de détection de par la différence entre le contexte d’apprentissage et le contexte d’inférence. Ce manuscrit explore les apports des TPGs au domaine de la détection d’intrusions par anomalies et montre que les TPG sont prometteurs pour la levée des verrous du domaine.