Utiliser l’intelligence artificielle pour réagir aux cyberattaques

 

L’idée n’est pas nouvelle. Dans une ancienne vie, j’avais moi-même travaillé sur l’utilisation de réseaux de neurones et de techniques d’intelligence artificielle pour la modélisation du comportement normal d’un réseau de télécommunications, afin de détecter les écarts à la normale, pouvant signifier l’occurrence d’une intrusion. Le projet s’appelait M>Detect et avait été réalisé avec Matranet (pour les nostalgiques). Et cela fonctionnait… jusqu’au rachat de Matranet, mais ceci est une autre histoire.

Aujourd’hui, le monde entier s’enthousiasme pour l’intelligence artificielle (IA) – au passage, cet enthousiasme galopant est consécutif à la définition d’un concept marketing alliant réseaux de neurones et puissance de calcul, sous la dénomination de « deep learning ». Bref. En l’occurrence, il s’agit d’un projet du célèbre laboratoire CSAIL (Computer Science and Artificial Intelligence Laboratory) du MIT (Massachussetts Institute of Technology), qui a développé un système baptisé AI² afin d’examiner les enregistrements (logs) d’un réseau afin d’y détecter toute anomalie pouvant être caractéristique d’une cyberattaque.

L’idée est toujours la même : permettre aux experts de réaliser un tri dans le volume gigantesque de données transitant par le réseau, sans avoir de silence (i.e. manquer une attaque).

Finalement, la technique est relativement classique : enseigner à un système la signature caractéristique de prémices d’une attaque comme par exemple une augmentation subite de connexions sur un compte utilisateurs, pouvant indiquer une attaque visant, par la force brute, à « cracker » un mot de passe.

AI² fonctionne par apprentissage. Le premier jour, le système utilise des règles et heuristiques déterminées à l’avance, et réagit en identifiant des anomalies (les 200 anomalies les plus caractéristiques par phase d’apprentissage). Ces anomalies sont présentées à un expert ou à un groupe d’expert qui n’indique que les signatures correspondant véritablement à des attaques. Puis le système apprend, et continue à présenter les signaux aux experts, et ainsi de suite. La vidéo ci-dessous présente le concept.

Rien de nouveau sinon que AI² semble fonctionner là où d’autres systèmes plafonnent péniblement. Sans doute de par l’impressionnante puissance de calcul disponible aujourd’hui, après 3 mois d’analyse (soit 3.6 milliards de logs réseaux analysés), AI² identifiait 85% des signes caractéristiques d’attaques (alors qu’un simple apprentissage non supervisé n’atteint qu’un taux de succès de 8%). AI² est le premier système à atteindre un tel niveau de performances, sans doute par l’apprentissage non supervisé de signaux caractéristiques dans les logs réseaux, et un apprentissage supervisé utilisant les retours des experts.  Au lieu d’examiner plusieurs milliers de logs par jour, une fois le système « éduqué », chaque expert ne doit plus examiner qu’entre 30 et 40 événements par jour : une tâche réalisable sans problème par un opérateur humain.

Le laboratoire a présenté un article lors du  IEEE International Conference on Big Data Security à New York. Un travail à suivre, notamment afin de déterminer si, en miroir à cette technique, il serait possible de dériver un système capable d’imaginer des stratégies de réponse, voire d’attaque.