Détection d’anomalies dans les réseaux informatiques par apprentissage profondPrésenté par DJeff Kanda Nkashama

Description :

La détection d’anomalies constitue un pilier essentiel de nombreuses applications critiques, allant de la détection de fraudes financières et la surveillance de la santé à la détection et la prévention des intrusions réseau et des logiciels malveillants. En particulier dans le domaine de la détection d’intrusions réseau, deux défis majeurs subsistent : l’hétérogénéité des pratiques d’évaluation et la vulnérabilité des modèles aux données d’entraînement contaminées.

Dans cette thèse, nous abordons d’abord le premier défi en réalisant une revue de douze méthodes non supervisées largement utilisées, et en montrant que les comparaisons antérieures souffrent de choix incompatibles tels que la définition de la classe positive, la répartition des jeux de données, et l’ajustement des hyperparamètres. Pour remédier à ces incohérences, nous proposons un protocole d’évaluation unifié appliqué sur cinq jeux de données tabulaires de référence, offrant ainsi une évaluation plus précise et reproductible des points forts et limites de chaque méthode.

Sur cette base, nous traitons ensuite de la robustesse des approches d'apprentissage profond pour la détection d’anomalies réseau. Nos expérimentations démontrent que des modèles non supervisés à l’avant-garde subissent une dégradation significative dès qu’un faible pourcentage d’exemples anormaux contamine le jeu d’entraînement supposé propre. Pour atténuer cette vulnérabilité, nous proposons deux défenses : (1) un autoencodeur amélioré, qui contraint la représentation latente en regroupant étroitement les exemples bénins autour d’un centre appris, renforçant ainsi la résistance à la contamination ; (2) un modèle basé sur l’exposition aux données aberrantes pour autoencodeurs profonds, qui identifie et réajuste automatiquement le poids des exemples suspects via une fonction de perte conjointe. Sur des jeux de données de trafic réseau standards, y compris ceux issus d’environnements de l’internet des objets, les modèles proposés surpassent systématiquement les méthodes de référence en présence de contamination.

En somme, cette thèse apporte : (i) une méthodologie transparente et reproductible d’évaluation des méthodes de détection d'anomalies ; (ii) un état des lieux clarifié des performances des approches classiques et d'apprentissage profond ; et (iii) deux stratégies algorithmiques pour renforcer la résilience des systèmes de détection d'anomalies aux contaminations de données.

Membres du jury :

Directeur : Marc Frappier (professeur Département informatique)

Co-directeur : Froduald Kabanza (professeur Département informatique)

Président-rapporteur : Toby Dylan Hocking (professeur Département informatique)

Évaluateur interne : Pierre-Marc Jodoin (professeur Département informatique)

Évaluateur externe : Tala Halabi (professeur Université Laval)