Explainable IDS for DoS Attacks

RÉSUMÉ : L’internet des objets (Internet of Things, IoT) est un secteur d’activité en plein développe-ment. Cette technologie va permettre de faire communiquer entre eux di˙érents appareils qui pourront alors échanger un nombre important de données. Sécuriser les informations trans-mises est un requis important de l’IoT. Des mécanismes de sécurité utilisés dans les réseaux actuels peuvent être repris (chi˙rement, authentification, etc). Néanmoins, l’augmentation de la surface d’attaque nécessite de développer de nouveaux outils afin d’améliorer la sécurité de ce type de réseau.Le mécanisme étudié dans cette étude est le système de détection d’intrusions (Intrusion Detection System, IDS). Les systèmes de détection d’intrusions analysent un ensemble de données afin de détecter de potentielles intrusions. Le développement de l’apprentissage automatique a permis d’augmenter les performances de ces algorithmes. Néanmoins, les al-gorithmes d’apprentissage automatique sont souvent très diÿcilement interprétables par un humain. Des méthodes, nommées Explainable Artificial Intelligence (XAI), ont été dévelop-pées pour permettre une meilleure interprétation des résultats. La revue de littérature a montré que plusieurs méthodes pouvaient être utilisées afin de réaliser un système de détec-tion. Les contraintes des objets connectés nous ont orientés vers une approche de détection d’anomalie à l’aide de l’analyse de paquets réseau. L’étude de la littérature a mis en avant l’algorithme Suport Vector Machine dans la détection des intrusions et la méthode Partial Dependence Plot (PDP) pour l’interprétation des résultats. Nous proposons une approche combinant ces deux algorithmes dans l’objectif d’obtenir un système de détection d’intrusions performant et ayant une meilleure interprétabilité.----------ABSTRACT : The Internet of Things (IoT) is a rapidly developing sector of activity. This technology will enable di˙erent devices to communicate with each other and exchange a large amount of data. Securing the information transmitted is an important requirement of the IoT. Security mechanisms used in current networks can be used (encryption, authentication, etc.). Nevertheless, the increase of the attack surface requires the development of new tools to improve the security of this type of network.The mechanism studied in this study is the Intrusion Detection System (IDS). Intrusion detection systems analyse a set of information in order to detect potential intrusions. The development of automatic learning has made it possible to increase the performance of these algorithms. Nevertheless, machine learning algorithms are often very diÿcult for a human to interpret. Methods, called Explainable Artificial Intelligence (XAI), have been developed to allow a better interpretation of the results. The literature review showed that several methods could be used to build a detection system. The constraints of the connected objects led us to an anomaly detection approach using network packet analysis. The literature review highlighted the Support Vector Machine algorithm in intrusion detection and the Partial Dependence Plot (PDP) method for the interpretation of the results. We propose an approach combining these two algorithms with the objective of obtaining a high-performance intrusion detection system with better interpretability.The resulting mechanism has been the subject of 3 experiments: an analysis of the errors in the detection algorithm using the PDP method, a comparison with an algorithm attacking the IDS and an implementation in a network simulator

Sequential Outlier Detection Based on Incremental Decision Trees

We introduce an online outlier detection algorithm to detect outliers in a sequentially observed data stream. For this purpose, we use a two-stage filtering and hedging approach. In the first stage, we construct a multimodal probability density function to model the normal samples. In the second stage, given a new observation, we label it as an anomaly if the value of aforementioned density function is below a specified threshold at the newly observed point. In order to construct our multimodal density function, we use an incremental decision tree to construct a set of subspaces of the observation space. We train a single component density function of the exponential family using the observations, which fall inside each subspace represented on the tree. These single component density functions are then adaptively combined to produce our multimodal density function, which is shown to achieve the performance of the best convex combination of the density functions defined on the subspaces. As we observe more samples, our tree grows and produces more subspaces. As a result, our modeling power increases in time, while mitigating overfitting issues. In order to choose our threshold level to label the observations, we use an adaptive thresholding scheme. We show that our adaptive threshold level achieves the performance of the optimal prefixed threshold level, which knows the observation labels in hindsight. Our algorithm provides significant performance improvements over the state of the art in our wide set of experiments involving both synthetic as well as real data