Une nouvelle approche en plusieurs étapes pour la détection hiérarchique des intrusions

Un système de détection d'intrusions (IDS), traditionnellement considéré comme un exemple efficace de système de surveillance de sécurité, fait face à des défis majeurs en raison de la digitalisation croissante de notre société moderne. Le nombre croissant et la diversité croissante des dispositifs connectés entraînent non seulement une émergence continue de nouveaux types d'attaques non détectés par les systèmes existants, mais aussi une quantité de données à surveiller qui dépasse les capacités d’un système unique. Cela soulève la nécessité d’un IDS évolutif capable de détecter efficacement les attaques inconnues, notamment les attaques zero-day. Dans cet article, une nouvelle approche en plusieurs étapes pour une détection hiérarchique des intrusions est proposée. L’approche proposée est validée sur les jeux de données publics de référence CIC-IDS-2017 et CSE-CIC-IDS-2018. Les résultats démontrent que l’approche proposée, outre sa capacité à détecter de manière efficace et robuste les attaques zero-day, surpasser à la fois les approches de référence et les méthodes existantes, atteignant une performance de classification élevée, jusqu’à 96 % de précision équilibrée. En outre, l’approche proposée est facilement adaptable sans nécessiter de re-entraînement, et exploite avantageusement les déploiements en n niveaux afin de réduire les besoins en bande passante et en ressources computationnelles, tout en respectant les contraintes de confidentialité. Les meilleurs modèles, avec un ensemble équilibré de seuils, ont correctement classé 87 % (41 sur 47) des attaques zero-day, tout en réduisant les besoins en bande passante jusqu’à 69 %.