Utilisation et explicabilité des grands modèles de langage (LLM) pour la classification des attaques sur les dispositifs médicaux connectes (IoMT)

Abstract

L’adoption rapide des dispositifs de l’internet des objets médicaux (IoMT) a amélioré les soins aux patients, mais a également introduit des vulnérabilités et a exposé les systèmes à des menaces cybernétiques, notamment les attaques par déni de service (DoS). Ce mémoire explore le potentiel des grands modèles de langage (LLM) pour détecter et classer les attaques réseau IoMT, en mettant l’accent sur les techniques d’explicabilité pour surmonter la nature boîte noire de ces modèles. En utilisant le jeu de données CICIoMT2024, nous avons évalué des modèles tels que BERT, RoBERTa et DistilBERT affinés (fine-tuned) et spécialisés dans la cybersécurité IoMT. DistilBERT a obtenu la meilleure performance en termes de temps et d’efficacité avec un score de 96,94 %, surpassant de manière significative BERT et RoBERTa, notamment pour la détection des attaques DoS. Des méthodes d’explicabilité telles que LIME, SHAP et la visualisation de l’attention ont été utilisées pour interpréter les principales caractéristiques influençant les prédictions du modèle. Nos résultats montrent que DistilBERT est à la fois adaptable aux données de réseaux, notamment celles issues des fichiers de capture de paquets (PCAP) et performant. De plus, il est interprétable, ce qui ouvre la voie à des solutions de cybersécurité IoMT robustes et applicables dans des scénarios réels