Détection d'intrusion avec apprentissage fédéré segmenté pour de nombreux LAN à grande échelle

Les approches traditionnelles en matière de cybersécurité protègent généralement les utilisateurs contre les attaques après leur survenue, pour des types d’attaque spécifiques. Par ailleurs, les modèles d’attaques informatiques récentes présentent une forte variabilité, ce qui accentue leur caractère imprévisible. À l’inverse, l’apprentissage automatique, en tant que nouvelle méthode de détection d’intrusions, attire de plus en plus d’attention. En outre, grâce au partage des données d’entraînement locales, l’approche d’apprentissage centralisé a démontré son efficacité pour améliorer les performances d’un modèle. Dans cette recherche, nous proposons un modèle d’apprentissage fédéré segmenté, qui diffère de l’apprentissage collaboratif fondé sur un seul modèle global dans les approches traditionnelles d’apprentissage fédéré. Ce modèle maintient plusieurs modèles globaux, permettant à chaque segment de participants d’effectuer un apprentissage collaboratif de manière indépendante, tout en permettant une répartition dynamique des participants entre les segments. De plus, ces modèles globaux multiples interagissent entre eux afin de mettre à jour leurs paramètres, ce qui rend le système adaptable à diverses configurations de réseaux locaux (LAN). Un jeu de données couvrant deux mois de données de trafic provenant de 20 LANs dans le cadre du projet de surveillance de sécurité des LANs a été utilisé. Nous avons appliqué trois méthodes fondées sur des connaissances pour étiqueter les événements réseau, puis entraîné un modèle CNN sur ce jeu de données. Enfin, nous avons obtenu des taux de précision de validation de 0,923, 0,813 et 0,877 respectivement, selon les méthodes d’étiquetage employées.