Renforcement de systèmes de détection d'intrusions par des attaques GAN et métaheuristiques

Un système de détection d'intrusion est un outil capital en cybersécurité. Il sert aux administrateurs réseau d'identifier le traffic internet malicieux, et les cyberattaques : une fois celle-ci détectée, l'administrateur prend des décisions afin d'arrêter l'attaque en cours. Grâce au développement de l'Intelligence artificielle, de plus en plus de système de détection d'intrusion sont basés sur des algorithmes d'apprentissage automatique. Ces algorithmes ont en effet la particularité d'être capable de traiter des données rapidement une fois entraînés, ce qui est un facteur important dans le cadre de la détection d'attaques. Ces algorithmes de détection se basent sur des métriques issues du réseau, comme le débit entrant par seconde, le port de destination, ... Des ensembles de données des métriques lors de différents types d'attaques informatiques existent, et c'est sur l'un d'eux que nous nous baserons pour notre étude. Néanmoins, diverses études ont montré que ces algorithmes sont peu robustes lorsque confrontés à des types d'attaques nouveaux. Considérant le nombre croissant de nouvelles attaques informatiques ainsi que la possibilité de générer des attaques grâce à des algorithmes d'apprentissage, disposer d'un outil de détection capable de déceler ces attaques inhabituelles devient une nécessité. Ce travail explore la possibilité d'utiliser des modèles génératifs dans le but de rendre des systèmes de détection basés sur des algorithmes d'intelligence artificielle plus robuste. Nous avons développé la méthode SIGMA, utilisant des Generative Adversarial Networks (GANs) et des métaheuristiques afin de confronter des IDS à de nouveaux types d'attaques. L'usage de ces deux méthodes permet en effet d'explorer un espace de solutions trop grand pour effectuer des méthodes de résolution exactes. SIGMA génère des exemples d'attaques, itérativement, et les utilise pour réentraîner le système de détection jusqu'à convergence, c'est à dire jusqu'à ce qu'il ne soit plus possible d'améliorer l'IDS.

Abstract

An Intrusion Detection System (IDS) is a key cybersecurity tool for network administrators as it identifies malicious traffic and cyberattacks. With the recent successes of machine learning techniques such as deep learning, more and more IDS are now using machine learning algorithms to detect attacks faster. However, these systems lack robustness when facing previously unseen types of attacks. With the increasing number of new attacks, especially against Internet of Things devices, having a robust IDS able to spot unusual and new attacks becomes necessary. Those algorithms are trained with data from the network, such as the destination port, the incoming data rate, ... Datasets of network data during cyberattack are accessible, and we'll be using a recent dataset for our study. This work explores the possibility of leveraging generative adversarial models to improve the robustness of machine learning based IDS. More specifically, we propose a new method named SIGMA, that leverages adversarial examples to strengthen IDS against new types of attacks. Using Generative Adversarial Networks (GAN) and metaheuristics, SIGMA generates adversarial examples, iteratively, and uses it to retrain a machine learning-based IDS, until a convergence of the detection rate (i.e. until the detection system is not improving anymore). Using metaheuristics and GANs allow to efficiently explore the solution space of a problem too complex to use exhaustive search methods. A round of improvement consists of a generative phase, in which we use GANs and metaheuristics to generate instances ; an evaluation phase in which we calculate the detection rate of those newly generated attacks ; and a training phase, in which we train the IDS with those attacks.