Détection Avancée d’Intrusions par Machine Learning: Synergie entre Apprentissage Séquentiel, Sémantique et Représentation en Graphe

Abstract

Les systèmes de détection d’intrusion (IDS) occupent une place centrale dans la cybersécurité moderne. Leur mission consiste à surveiller et analyser les événements d’un système informatique ou d’un réseau afin d’identifier toute activité malveillante ou non autorisée. Bien que renforcés par l’apprentissage automatique, ils font face à des défis majeurs notamment la contextualisation des attaques, la détection des attaques rares, le traitement en temps réel et la réduction des faux positifs et faux négatifs. Dans cette thèse, nous développons plusieurs approches innovantes basées sur l’apprentissage automatique pour renforcer la détection des intrusions réseau. Nous commençons par exploiter les séquences d’événements à l’aide d’un réseau de neurones récurrent de type LSTM, afin de modéli- ser les comportements malveillants. Pour améliorer la qualité des données en entrée, l’algorithme SHAP est utilisé pour identifier les caractéristiques les plus pertinentes, permettant ainsi de réduire le bruit, d’optimiser l’apprentissage et d’accroître la capacité du modèle à détecter les anomalies. Dans une seconde contribution, nous adaptons le modèle ParagraphVector–Distributed Me- mory (PV-DM) pour générer des représentations denses (embeddings) résumant les séquences d’événements. Les dimensions d’embedding les plus pertinentes sont sélectionnées à l’aide de SHAP, puis utilisées pour entraîner un classifieur XGBoost. Cette combinaison assure un enco- dage contextuel riche, tout en maîtrisant la complexité du modèle et en assurant une classification efficace. Afin de traiter la détection des classes rares sans recourir aux méthodes classiques de rééchan- tillonnage, nous proposons une approche originale reposant sur la subdivision des données selon la fréquence des attaques. Nous identifions ensuite les caractéristiques propres à chaque type d’at- taque grâce à l’algorithme ShapRFECV, avant d’entraîner XGBoost sur ces sous-ensembles opti- misés. Cette méthode améliore la précision de détection tout en conservant l’intégrité des données. Enfin, nous introduisons une approche basée sur les graphes pour exploiter les relations struc- turelles entre événements réseau. Les données sont d’abord regroupées en clusters via l’algo- rithme K-Means, puis connectées à leurs plus proches voisins par KNN pour former les arêtes d’un graphe. Un réseau de neurones convolutionnel pour graphes (GCN) est ensuite entraîné pour classifier les événements en comportements normaux ou intrusifs, en exploitant la topologie du réseau et les corrélations entre entités. Ces contributions forment une chaîne cohérente, allant de l’analyse temporelle à la représen- tation topologique, aboutissant à des IDS plus robustes, intelligents et adaptatifs face à l’évolution des menaces.