A Landscape of Adversarial Threats to Machine Learning-Based Intrusion Detection

L’intelligence artificielle (AI) devient de plus en plus omniprésente dans divers domaines, y compris des secteurs critiques tels que la détection d’intrusions. Les techniques d’apprentissage automatique (ML) sont à l’avant-garde de cette intégration, améliorant la capacité des systèmes de détection d’intrusions (IDS) à détecter et à répondre aux menaces. Ces dernières années ont vu un grand intérêt pour l’adoption de méthodes avancées d’apprentissage profond (DL), offrant une précision et une adaptabilité sans précédent. Cependant, bien que ces méthodes sophistiquées améliorent les performances, elles introduisent également des problèmes de sécurité. Cette thèse explore la sécurité des récentes techniques de ML et de DL dans le contexte de la détection d’intrusions réseau, en particulier leur vulnérabilité aux attaques adverses, ainsi que les contre-mesures qui renforcent leur robustesse. Nos résultats fournissent aux chercheurs et aux praticiens des lignes directrices pour les évaluations de sécurité et des perspectives sur les stratégies de défense. L’apprentissage fédéré (FL) permet à plusieurs entités d’entraînement collaborativement un modèle de ML sans partager de données d’entraînement confidentielles, mais des participants malveillants pourraient perturber l’entraînement du modèle. La première contribution aborde la menace des attaques par empoisonnement sur les modèles de détection d’intrusions basés sur le FL. Nous évaluons l’impact de quatre paramètres d’attaque sur l’efficacité, la furtivité, la cohérence et le moment des attaques par porte dérobée. Nos résultats montrent la détermination de chaque paramètre pour le succès de l’attaque, à condition qu’ils soient ajustés. L’apprentissage par renforcement profond (DRL) est de plus en plus utilisé dans la détection d’intrusions pour son adaptabilité dans des environnements complexes tels que les réseaux informatiques, mais sa dépendance au DL le rend vulnérable aux exemples adverses. La deuxième contribution évalue l’influence des hyperparamètres cruciaux du DRL sur les performances et la robustesse des agents de détection d’intrusions. Incluant des attaques en boîte blanche et en boîte noire à travers la propriété de transférabilité.

Abstract

Artificial Intelligence (AI) is becoming increasingly pervasive in various domains, including critical areas such as intrusion detection. Machine Learning (ML) techniques are at the forefront of this integration, enhancing the capability of Intrusion Detection Systems (IDSs) to detect and respond to threats. Recently, advanced Deep Learning (DL) methods have been extensively leveraged, offering unprecedented accuracy and adaptability. However, while these sophisticated methods improve performance, they also introduce security issues. This thesis explores the security of recent ML and DL techniques in the context of network intrusion detection; specifically, their vulnerability to adversarial attacks, and the countermeasures that enhance their robustness. Our findings provide researchers and practitioners with guidelines for security evaluations and insights into defense strategies. Federated Learning (FL) allows multiple entities to train an ML model collaboratively without sharing privacy-sensitive training data. However, malicious participants could interfere with the model training. The first contribution addresses the threat of poisoning attacks on FL-based intrusion detection models. We evaluate the impact of four attack parameters on the effectiveness, stealthiness, consistency, and timing of backdoor attacks. With careful adjustment, our results demonstrate the decisiveness of each parameter for attack success. Deep Reinforcement Learning (DRL) is increasingly employed in intrusion detection for its adaptability in complex environments such as computer networks, but its reliance on DL makes it vulnerable to adversarial examples. The second contribution assesses the influence of crucial DRL hyperparameters on the performance and robustness of intrusion detection agents, including white-box and black-box attacks through the transferability property. While adversarial examples successfully evade ML-based IDSs, they only represent a concrete threat if they can be implemented in real networks. The third contribution investigates the practicality of those adversarial evasion attacks. We study the impact of state-of-the-art attacks on the model performance, data structure, perturbed features, and common successful attacks. We introduce and discuss four crucial criteria for the validity of adversarial examples.