Le Machine Learning confronté aux contraintes opérationnelles des systèmes de détection

Anaël Bonneton, Antoine Husson

09/06/2017

Les systèmes de détection d’intrusion, reposant traditionnellement sur des signatures, n’ont pas échappé à l’attrait récent des techniques de Machine Learning. Si les résultats présentés dans les articles de recherche académique sont souvent excellents, les experts en sécurité ont cependant encore de nombreuses réticences concernant l’utilisation du Machine Learning dans les systèmes de détection d’intrusion. Ils redoutent généralement une inadéquation de ces techniques aux contraintes opérationnelles, notamment à cause d’un niveau d’expertise requis important, ou d’un grand nombre de faux positifs.

Dans cet article, nous montrons que le Machine Learning peut être compatible avec les contraintes opérationnelles des systèmes de détection. Nous expliquons comment construire un modèle de détection et présentons de bonnes pratiques pour le valider avant sa mise en production. La méthodologie est illustrée par un cas d’étude sur la détection de fichiers PDF malveillants et nous proposons un outil libre, SecuML, pour la mettre en œuvre.

Téléchargement