agsandrew - Fotolia

Associer humain et intelligence artificielle pour améliorer la détection des attaques

Les équipes du MIT ont développé un système d’analyse basé sur les technologies de l’intelligence artificielle capable de détecter plus de 85 % des attaques informatiques. Mais il fait aussi appel à l’humain.

Les équipes du laboratoire d’informatique et d’intelligence artificielle (CSAIL) de l’Institut technologique du Massachussetts, le célèbre MIT, ont développé, en partenariat avec la jeune pousse PatternEx une plateforme intelligence capable de détecter les attaques informatiques avec une efficacité impressionnante.

Baptisée AI2, cette plateforme tire son originalité du fait qu’elle n’oppose pas l’humain à la machine. Dans un rapport, les chercheurs expliquent qu’elle associe ainsi « l’apprentissage machine à l’état de l’art et l’intuition des analystes » de sécurité.  

Pourquoi ? Parce que pour les chercheurs, les solutions de sécurité informatique se répartissent généralement en deux catégories : celles qui sont pilotées par des analystes, et celles qui reposent sur le machine learning, qui jouissent d’un intérêt fortement grandissant depuis un peu plus d’un an.

Et si elles ne constituent encore qu’un marché naissant dans le domaine de la sécurité, les solutions de la seconde catégorie doivent leur popularité aux limites que celles de la première catégorie ont montré au fil du temps : elles « s’appuient sur des règles déterminées par les experts de la sécurité et de la fraude, et conduisent généralement à des niveaux élevés d’attaques non détectées », ou faux négatifs.

Sans compter, soulignent les chercheurs, « des délais entre détection des attaques et implémentation des contre-mesures préventives ». Ce qui, sans surprise génère au passage un engouement croissant pour les systèmes d’automatisation de la réponse comme a pu l’illustrer la dernière édition de RSA Conference.

Mais le machine learning non supervisé n’est pas exempt de défauts. S’il doit aider à détecter ces menaces auxquelles Art Coviello, alors président exécutif de RSA, faisait référence sous le terme « d’inconnu inconnu » début 2013, il peut pêcher par des niveaux de faux positifs trop élevés. Lesquels « nécessitent des efforts d’investigation substantiels » jusqu’à risquer de conduire à « une fatigue des alarmes et à une perte de confiance, et avec le temps à un retour aux solutions pilotées par les analystes ».

Pas question, donc, pour les chercheurs de trancher entre l’une ou l’autre des catégories de solutions de sécurité. D’autant plus que le machine learning a, selon eux, beaucoup à apporter. Dès lors, AI2 « apprend et crée automatiquement des modèles qui, appliqués à de nouvelles données, produit des prédictions aussi intelligentes que celles déduites par les analystes humains ». Et cela en quasi-temps réel.

Pour cela, le système s’appuie sur quatre piliers : « une plateforme d’analyse comportementale Big Data, un ensemble de méthodes de détection d’aberrations, un mécanisme de collecte de conclusions d’analystes de sécurité, et un module d’apprentissage supervisé ». Les analystes n’interviennent là que sur un ensemble d’événement « très réduit », généré par le système de détection d’aberrations non supervisé. Le système d’apprentissage supervisé est alors alimenté par les conclusions des analystes. Il alimente en retour le système d’apprentissage non supervisé.

Les chercheurs ont confronté leur système à une plateforme à grande échelle, dite web-scale, générant « des millions de lignes de logs par jour, sur une période de 3 mois, pour un total de 3,6 milliards de lignes de logs ». Et les résultats sont prometteurs. Ainsi, AI2 a atteint, sur cet échantillon, un taux de détection des attaques de 86,8 % - « une amélioration d’un facteur de plus de 10 par rapport au taux de détection des méthodes de détection d’anomalies non supervisé, qui est de 7,9 % ». Et cela pour un taux de faux positifs de seulement 4,4 %. Et d’estimer à 5 le facteur de réduction de ce taux.

AI2 utilise trois méthodes distinctes de détection des anomalies. Il permet d’indiquer arbitrairement le nombre maximal de d’anomalies à soumettre quotidiennement aux analystes. Avec le temps et l’amélioration continue du système, le nombre d’anomalies soumises aux analystes est appelé à décroître. De quoi séduire des entreprises dont les budgets sécurité ne peuvent progresser à l’infini et qui, accessoirement, peinent à recruter les compétences nécessaires à leurs centres opérationnels de sécurité. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close