Détecter l'attaque dans le flux,
en temps réel.
Un système de détection d'intrusion qui fusionne apprentissage automatique, signatures curées et analyse comportementale — pour repérer ce qu'aucune de ces méthodes ne voit seule.
Deux angles morts que les défenses classiques laissent ouverts.
Un antivirus par signatures ignore l'attaque inédite ; un modèle statistique seul se noie dans les faux positifs et n'explique rien. La sécurité opérationnelle a besoin des deux, réconciliés.
Le connu, mais rigide
Les moteurs à signatures reconnaissent parfaitement une attaque déjà cataloguée — et sont aveugles au reste. Une simple variation d'encodage suffit à passer.
L'inconnu, mais opaque
Un modèle ML repère l'anomalie jamais vue — mais confond nouveauté et menace, sature l'analyste d'alertes, et ne justifie pas ses verdicts.
Aucune méthode n'est suffisante isolément. La valeur naît de leur fusion pondérée : le ML propose, la signature confirme, le comportement corrèle — et une seule décision, traçable, en ressort.
Deux moteurs qui convergent en une décision.
Chaque flux est analysé en parallèle par le modèle ML et le moteur de signatures. Les scores fusionnent — 65 % ML, 35 % signatures, plus un bonus quand les deux s'accordent.
Choisissez une attaque du projet ou réglez les curseurs. La confiance se recalcule en direct selon 0,65·ML + 0,35·SIG + 0,15 si accord, alerte au seuil 0,75.
Un pipeline en couches, du paquet à l'alerte.
Chaque couche a une seule responsabilité et une interface étroite : on remplace ou désactive un maillon sans toucher aux autres. L'orchestrateur LiveIDSEngine assemble le tout.
1 · Acquisition
Capture live (Scapy) ou rejeu PCAP, filtrage des cibles, suivi des flux 5-tuples.
2 · Inspection
Parsing HTTP, normalisation anti-évasion, moteur de signatures JSON.
3 · Intelligence
Extraction de features, prétraitement, inférence ML, fusion & décision.
4 · Restitution
SQLite, API REST + JWT, dashboard temps réel, export SIEM/SOAR.
Orchestration centrale
Un chef d'orchestre instancie et surveille le pipeline ; aucun module ne connaît directement ses voisins.
Résilience
Modèle ML indisponible ? Le système bascule en mode signature-only plutôt que de tomber.
Déploiement Docker
Quatre conteneurs à responsabilité unique, réseaux isolés, Redis inaccessible de l'extérieur.
Évalué avec honnêteté, sur le protocole officiel.
Modèle entraîné sur UNSW-NB15 (175 341 flux, 42 features, 10 classes) et mesuré sur le jeu de test officiel de 82 332 flux — pas sur un découpage aléatoire complaisant.
Un découpage aléatoire donnait 81,3 % — flatteur mais trompeur. Sur le protocole officiel que tout examinateur peut rejouer, le modèle obtient 72,7 %. L'assumer, c'est démontrer une rigueur méthodologique.
Excellent sur les classes fréquentes, faible sur les rares (déséquilibre du jeu) — précisément ce que la fusion hybride vient compenser.
Moins de règles, mais chacune justifiée.
La base auto-générée comptait 1200 entrées — en réalité 29 motifs dupliqués ~40 fois. Consolidée en 36 règles curées, catégorisées MITRE ATT&CK et non-régressées par tests.
(29 motifs, ~40× dupliqués)
catégorisées MITRE, testées
Port Scan
Balayage horizontal/vertical de ports.
Beacon C2
Régularité anormale des inter-arrivées (coefficient de variation).
Brute Force
Rafales d'authentifications échouées sur un service.
Rate Limit / DoS
Débit au-delà du seuil, sévérité escaladée.
JA3 Fingerprint
Empreinte TLS des clients, repérage d'outils malveillants.
DNS Tunneling
Entropie de Shannon et cardinalité des sous-domaines (TXT/NULL).
Sécuriser l'outil de sécurité lui-même.
Un IDS compromis devient un poste d'observation idéal pour l'attaquant. Modèle STRIDE, secrets fail-closed, et une CI qui refuse le code non conforme.
Authentification durcie
JWT HS256, access 30 min + refresh 7 j, RBAC, comparaison à temps constant, journal d'audit.
Secrets fail-closed
En production, l'application refuse de démarrer sans secret fort — jamais de clé par défaut, jamais de secret dans Git.
Intégration SIEM/SOAR
Export CEF (Splunk, QRadar, Sentinel, ELK), syslog RFC 5424, webhook SOAR signé HMAC-SHA256.
Une attaque réelle, détectée en direct.
Depuis une machine tierce, on lance un scan puis des injections (SQLi, XSS) contre la cible protégée. Le dashboard réagit en temps réel — classification, confirmation, corrélation, remontée de l'IP source.
Vue d'ensemble — flux analysés, distribution des attaques, timeline et sévérité, mis à jour chaque seconde.
- Attaque lancéeScan Nmap puis injections SQLi/XSS depuis un poste distant.
- Capture & fluxReconstruction des conversations, extraction des 42 features.
- Fusion hybrideLe ML classe, la signature confirme, le comportemental corrèle le scan.
- Alerte temps réelSévérité CRITICAL, confiance 99 %, IP remontée dans « Top IPs ».
- Export SOCÉvénement poussé au SIEM en CEF / syslog.
Un système complet, mesuré et démontrable.
Du paquet capturé à l'alerte exportée : la chaîne entière fonctionne en temps réel, sur des attaques réelles rejouées depuis une machine tierce.
Cadrage & fondations
Étude UNSW-NB15, architecture, pipeline ML (RF + XGBoost + LightGBM).
Détection & signatures
Capture réseau, extraction des 42 features, moteur de signatures, anti-évasion.
Fusion & comportement
Moteur de fusion hybride, déduplication adaptative, détecteurs comportementaux.
Infrastructure & sécurité
SQLite, API REST + JWT/RBAC, dashboard, durcissement, conteneurisation.
Passage à l'échelle
Optimisation (perf ×34), intégrations SIEM/SOAR, pipeline CI/CD.
Validation & rédaction
Suite de 310 tests, évaluation officielle, mémoire & annexes.
Un socle, pas un aboutissement.
- Resampling avancé court terme
- SMOTE est déjà appliqué ; des variantes plus fines (ADASYN, apprentissage sensible au coût) pour relever le F1 des classes rares de 0,51 vers 0,70+.
- Apprentissage en ligne moyen terme
- Détection de dérive (CUSUM) et ré-entraînement sur alertes validées par le SOC.
- Inspection TLS & mode IPS moyen terme
- Métadonnées TLS (JA3, SNI) sans déchiffrement ; passage de la détection à la prévention active.
- Déploiement cloud-native long terme
- Kubernetes, capture eBPF, bus Kafka, gestion du cycle de vie des modèles.
Repérer l'attaque dans le flux — là où elle se cache.
Merci de votre attention.