Discussion:Apprentissage automatique appliqué aux systèmes de détection d'intrusion réseau

Le contenu de la page n’est pas pris en charge dans d’autres langues.
Une page de Wikipédia, l'encyclopédie libre.
Autres discussions [liste]
  • Admissibilité
  • Neutralité
  • Droit d'auteur
  • Article de qualité
  • Bon article
  • Lumière sur
  • À faire
  • Archives
  • Commons

Relecture de Maxime du 22 janvier 2018[modifier le code]

Évolutions et défis pour les systèmes de détection[modifier le code]

Les problèmes actuels et défis majeurs à venir pour les systèmes de détection basés sur de l'apprentissage automatique sont, entre autres, les suivants : la capture de paquets réseau doit - idéalement - ne perdre aucune information et effectuer un traitement sur tout l'ensemble de données réseau. Dépendant de l'apprentissage utilisé, toute perte d'information peut avoir des conséquences négatives pour la suite de la détection, étant donné que le modèle de détection aura peut être manqué des informations cruciales pour entraîner son modèle

On remarque dans l'article suivant à la page 2 : (en) Stefano Zanero et Sergio M. Savaresi, « Unsupervised Learning Techniques for an Intrusion Detection System », Proceedings of the 2004 ACM Symposium on Applied Computing, ACM, sAC '04,‎ , p. 412–419 (ISBN 1581138121, DOI 10.1145/967900.967988, lire en ligne, consulté le ) 

The problem we are trying to analyze in the unsuper-vised learning framework is the following: we wish to de-tect anomalies in the flow of packets on a TCP/IP network.

C'est ce que vous avez précisé dans cette section 

This apparently simple problem statement hides a number of subproblems. A TCP/IP packet, over an Ethernet network, has a variable dimension between 20 and 1500 bytes

Il serait possible de préciser la cause 

The first 20 bytes (or more, depending on the number of options) constitute the IP header, and we possess full knowledge of its meaning.
Another sequence of up to 20 bytes is the header ofthe upper layer protocol, usually either TCP, UDP or ICMP.
In the case of connection-oriented protocols (most notably TCP) these headers may need inter-correlation in order to be fully deciphered.
It is computationally infeasible to perform a full, real-time reconstruction of the sessions of traffic of a large network at such a high level
The higher the protocol layer we consider, the more the IDS will become sensible to reconstruction problems

Il y a une réelle difficulté d'analyse au niveau des couches hautes par rapport aux couches basses : elles nécessitent une corrélation plus importante ce qui entraîne une dégradation des performances.

Il serait possible d'appuyer ce point dans l'article

MaximeRoelandt (discuter) 22 janvier 2018 à 07:22 (CET)[répondre]

Bonjour Maxime. Nous comprenons ta remarque, mais nous pensons que cet aspect ne concerne pas notre sujet. Notre page s'intéresse aux techniques d'apprentissage pour les IDS, et non pas aux difficultés d'analyse d'un IDS... Les difficultés d'analyse sur les couches hautes concernent tous les IDS, pas seulement pour l'apprentissage automatique. AymericDu (discuter) 22 janvier 2018 à 09:11 (CET)[répondre]

Relecture de Loubna du 5 février 2018[modifier le code]

Apprentissage superficiel et profond[modifier le code]

1-« L'approche utilisant l'apprentissage superficiel supervisé nécessite des ensembles de données réseau de plus en plus conséquent pour pouvoir être entraîné aux attaques réseau actuelles; l’entraînement d'un modèle supervisé fiable devient donc très lourd avec la variété d'attaques qui circulent actuellement 61.», deep learning et supervised learning demandent les deux une grande quantités de données étiquetées, Pourriez-vous détailler un peu plus votre raisonnement, svp ? --EL OUADI (discuter) 5 février 2018 à 22:38 (CET)[répondre]

Le paragraphe mentionné fait une comparaison entre les techniques d'apprentissage automatique de type superficiel et profond dans un environnement de détection d'intrusions. Cette phrase insiste donc sur le fait que l'apprentissage supervisé, contrairement à l'apprentissage automatique, nécessite un ensemble conséquent de données mis régulièrement à jour afin de détecter des intrusions (cette affirmation est référencée un première page). Pour qu'un système basé sur un apprentissage supervisé puisse reconnaître et signaler une menace réseau d'un certain type (par exemple DDOS ou balayage de ports), il faut absolument qu'il ait été confronté lors de son apprentissage à cette menace - et de préférence plusieurs fois afin d'entraîner correctement son système de détection. En d'autres termes, si l'ensemble de données fourni lors de l'entraînement n'est pas assez conséquent et ne contient pas assez d'attaques bien identifiées et récentes, le système de détection ne pourra pas avoir une détection fiable et laissera passer des intrusions réseau --Corentin-b (discuter) 12 février 2018 à 11:15 (CET).[répondre]

2- « en cas de changement d'environnement (topologie réseau, par exemple), le mécanisme d'apprentissage profond permet de s'adapter très vite pour former un nouveau modèle et remonter le moins de faux positifs possibles », vous parlez de la rapidité d’adaptation sans l’avoir détaillé.--EL OUADI (discuter) 5 février 2018 à 22:38 (CET)[répondre]

En effet, aucune mesure précise n'a pu être trouvée dans les articles traitant du sujet pour définir une comparaison du temps d'adaptation entre les deux catégories de système. Nous avons basé notre affirmation sur le fait que tous les articles mentionnés dans les références et ayant fait une comparaison sur ces systèmes affirment tous que le temps d'adaptation d'un système basé sur de l'apprentissage profond est nettement inférieur. --Corentin-b (discuter) 12 février 2018 à 11:15 (CET)[répondre]

3- « ce type de système de détection peut construire des modèles précis, malgré l'absence de données labellisées », après qqs recherches, j’ai trouvé que deep learning peut se baser aussi sur les données labellisées. il faudrait revoir ce point ;--EL OUADI (discuter) 5 février 2018 à 22:38 (CET)[répondre]

Pourrais-tu mentionner le résultat de ces recherches afin que nous puissions l'analyser et l'intégrer à l'article ? --Corentin-b (discuter) 12 février 2018 à 11:15 (CET)[répondre]

4- Il serait intéressant de parler des inconvénients de deep learning , que même elle s’est révélé très puissante dans les applications, elle est complexe et coûteuse (centaines de machines équipées de GPU …..) ,dont elle laisse bcq à désirer l’adoption de l’apprentissage automatique.--EL OUADI (discuter) 5 février 2018 à 22:38 (CET)[répondre]

Nous n'avons pas réussi à trouver un article constructif faisant un retour négatif sur l'apprentissage profond appliqué aux systèmes de détection d'intrusion réseau. Pourrais-tu mentionner des références ? --Corentin-b (discuter) 12 février 2018 à 11:15 (CET)[répondre]

Relecture de Rida du 5 février 2018[modifier le code]

Bonjour Aymeric et Corentin, Je tiens d'abord à vous féliciter du travail accompli et je vous cite certaines fautes d’orthographe ou de syntaxe que j'ai trouvé lors de ma relecture.

Introduction[modifier le code]

Les système => Les systèmes

Limites de la détection avec signatures:

Ces système => Ces systèmes

dans se base => dans sa base

Contexte[modifier le code]

Améliorations avec l'apprentissage automatique[modifier le code]

n'ont pas été labellisés => n'ont pas été labellisées

Méthodes d'apprentissage superficiel[modifier le code]

des machine à vecteurs de support => des machines

Voici deux exemple => deux exemples

Classification[modifier le code]

Exemple[modifier le code]

ensemble d'élement => ensemble d'élements

Partitionnement de données[modifier le code]

des structure => des structures

des comportement => des comportements

Merci beaucoup de nous avoir remonté les fautes que tu as trouvé. AymericDu (discuter) 10 février 2018 à 13:43 (CET)[répondre]

Pour que le système d'apprentissage utilisant le partitionnement de données fonctionne correctement, deux prérequis doivent être posés concernant les données que le système de détection recevra en entrée :

  • le nombre d'évènement normaux sur un réseau soit nettement...;
  • les données qui représentent une menace pour le réseau soient ... .

Combination learners[modifier le code]

Les méthodes à ensemble présentent les avantages suivants:

  • elles peuvent s'adapter à de grands ensembles de données ;
  • elles ont de bonnes performances du fait qu'elles combinent... .

même remarque pour les liste à puces dans la section Méthodes hybrides:Avantages et inconvénients, section Méthodes d'apprentissage profond et la section Apprentissage supervisé et non-supervisé.

Effectivement toutes nos listes à puce n'avait pas le bon format. J'ai donc corrigé par rapport à tes remarques. Mais nous allons aussi diminuer le nombre de ces listes à puce pour respecter les normes de Wikipédia. AymericDu (discuter) 10 février 2018 à 13:43 (CET)[répondre]

Dès lors qu'il y a de apprentissage non supervisé !! (phrase à reformuler).

Je suis d'accord que ce début de phrase est bizarre. J'ai corrigé en "Dès lors qu'il y a de l'apprentissage non supervisé". AymericDu (discuter) 10 février 2018 à 13:43 (CET)[répondre]

--Dark ridinho (discuter) 6 février 2018 à 00:06 (CET)[répondre]

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Discussion:Apprentissage_automatique_appliqué_aux_systèmes_de_détection_d%27intrusion_réseau&oldid=145413976 ».