Neurosymbolic Learning for Advanced Persistent Threat Detection under Extreme Class Imbalance

Cet article propose une architecture neurosymbolique combinant un modèle BERT optimisé et des réseaux de tenseurs logiques pour détecter de manière explicable et performante les menaces persistantes avancées dans les réseaux IoT, en surmontant les défis du déséquilibre extrême des classes grâce à une classification hiérarchique et une fonction de perte focalisée.

L'essentiel

🏙️ Le Problème : Une ville pleine de mouchards invisibles

Imaginez une ville intelligente (Smart City) où tout est connecté : des lampadaires, des caméras, des capteurs de température, des voitures autonomes. C'est génial, mais c'est aussi une porte ouverte pour des voleurs très intelligents.

Ces voleurs ne sont pas des cambrioleurs qui cassent une vitre. Ce sont des espions de l'ombre (ce qu'on appelle des Menaces Persistantes Avancées ou APT). Ils entrent discrètement, se cachent parmi les gens normaux, observent pendant des mois, puis volent des données précieuses.

Le grand défi :
Dans cette ville, il y a 98 % de citoyens honnêtes et seulement 2 % de voleurs (parfois même moins !).

• Le problème des anciens systèmes : Les anciens détecteurs de sécurité (les "Deep Learning" classiques) sont comme des gardes qui regardent tout le monde. Comme il y a tellement de gens honnêtes, ils finissent par dire : "Tout le monde est honnête !" pour éviter de faire des fausses alarmes. Ils ignorent les rares voleurs.
• Le problème de l'opacité : Même quand ils attrapent un voleur, ils ne savent pas pourquoi. C'est une "boîte noire". On ne peut pas leur demander : "Pourquoi as-tu arrêté cette personne ?" Ils répondent juste : "Parce que mon cerveau le dit". C'est dangereux si on veut automatiser la sécurité sans humains pour vérifier.

---

🧠 La Solution : Le détective "Cerveau + Règles"

Les chercheurs ont créé un nouveau système appelé Neurosymbolique. Pour faire simple, c'est un détective qui combine deux super-pouvoirs :

1. Le Cerveau (BERT) : C'est une intelligence artificielle très puissante, comme un expert qui a lu des millions de livres. Il est excellent pour repérer des motifs complexes. Il peut sentir qu'un comportement est "étrange" même si ça ressemble à du normal.

   • Analogie : C'est comme un chef cuisinier qui a goûté des millions de plats. Il sait immédiatement si un plat a un goût "faux" sans avoir besoin de regarder la recette.

2. Les Règles (LTN) : C'est un logicien qui suit des règles strictes et compréhensibles. Il ne devine pas, il raisonne.

   • Analogie : C'est comme un inspecteur de police qui vérifie si vous avez respecté le code de la route. Il peut dire : "Je vous arrête parce que vous rouliez à 120 km/h dans une zone à 50". C'est clair, logique et on peut le comprendre.

Leur génie ? Ils ont appris à ces deux parties à travailler ensemble pendant l'entraînement, pas séparément. Le "Cerveau" apprend à repérer les voleurs, et le "Logicien" apprend à expliquer pourquoi c'est un voleur en utilisant des règles claires.

---

🎯 Comment ça marche ? (L'astuce du tri)

Le plus dur, c'est de trouver l'aiguille dans la botte de foin (trouver 2 % de voleurs parmi 98 % de gens normaux).

Le système utilise une stratégie en deux étapes (comme un filtre à café) :

1. Étape 1 : Le Portier (Détection Binaire)

   • Il regarde tout le monde et pose une seule question simple : "Est-ce que tu es normal ou suspect ?"
   • Il est très strict. S'il pense que vous êtes suspect, il vous envoie à l'étape suivante. S'il pense que vous êtes normal, il vous laisse passer.
   • Résultat : Il ne rate presque aucun voleur et ne fait presque pas de fausses alarmes (0,14 % d'erreur !).

2. Étape 2 : L'Interrogatoire (Catégorisation)

   • Seuls les suspects passent ici. Le système essaie de deviner quel type de voleur c'est : Est-ce un espion qui observe ? Est-ce quelqu'un qui essaie de se déplacer dans le réseau ? Est-ce quelqu'un qui vole des données ?
   • Comme il n'y a plus de "gens normaux" ici, c'est beaucoup plus facile de distinguer les différents types de voleurs.

---

🌟 Pourquoi c'est révolutionnaire ?

1. Pas de "Boîte Noire" : Contrairement aux autres systèmes, celui-ci peut dire : "Je t'ai arrêté parce que ton ordinateur a envoyé 1000 paquets de données vers un serveur étranger à 3h du matin, ce qui viole la règle 'transfert de données anormal'." C'est transparent et rassurant.
2. Gestion des rares événements : Le système est entraîné pour ne pas se laisser aveugler par la masse de gens normaux. Il est "sensible" aux petites anomalies.
3. Preuve scientifique : Les chercheurs ont prouvé par des statistiques que les raisons qu'ils donnent sont vraies et pas juste des coïncidences.

🏁 En résumé

Imaginez que vous avez un gardien de sécurité dans une ville connectée.

• Les anciens gardiens étaient soit trop bêtes (ils ne voyaient rien), soit trop mystérieux (ils arrêtaient des gens sans explication).
• Ce nouveau gardien est un génie qui a lu des millions de livres (BERT) mais qui porte aussi un badge de police avec des règles claires (LTN).
• Il ne se trompe presque jamais sur qui est innocent, et quand il arrête quelqu'un, il peut vous expliquer exactement pourquoi en langage simple.

C'est une avancée majeure pour sécuriser nos villes intelligentes et nos usines du futur, car on peut enfin faire confiance à la machine pour prendre des décisions critiques sans avoir peur qu'elle soit "folle" ou incompréhensible.

Résumé technique

1. Problématique

L'article aborde le défi critique de la détection des Menaces Persistantes Avancées (APT) dans les réseaux de l'Internet des Objets (IoT), notamment dans les villes intelligentes et les environnements industriels. Deux obstacles majeurs entravent les solutions actuelles :

• Déséquilibre de classes extrême : Le trafic réseau est composé à plus de 98 % de trafic bénin, rendant les échantillons d'attaques extrêmement rares. Les approches d'apprentissage automatique traditionnelles, optimisées pour la précision globale, échouent souvent à détecter ces anomalies rares.
• Manque d'explicabilité : Les modèles d'apprentissage profond (Deep Learning) actuels fonctionnent comme des "boîtes noires". Dans des environnements autonomes où la supervision humaine est limitée, l'incapacité à comprendre pourquoi une alerte a été déclenchée empêche la validation des menaces et l'ajustement des stratégies de mitigation.

2. Méthodologie : Architecture Neurosymbolique

Les auteurs proposent une architecture hybride Neurosymbolique qui combine la puissance de reconnaissance de motifs des réseaux de neurones avec le raisonnement logique des systèmes symboliques.

A. Prétraitement et Encodage

• Dataset : Utilisation du jeu de données SCVIC-APT2021, réaliste et caractérisé par un déséquilibre de 98,35 % de trafic normal.
• Sélection de caractéristiques : Après nettoyage et normalisation, un ensemble de 12 caractéristiques discriminantes (flags binaires, taux de flux, etc.) est sélectionné via une approche de consensus statistique.
• Encodage pour BERT : Les données tabulaires sont transformées en séquences compatibles avec BERT. Chaque caractéristique est projetée dans un espace de 768 dimensions pour créer des "tokens", avec l'ajout de tokens spéciaux [CLS] et [SEP].

B. Architecture Hybride (BERT + LTN)

Le modèle fonctionne en deux voies parallèles :

1. Composant Neural (BERT) : Utilise un modèle BERT pré-entraîné pour capturer les dépendances temporelles et les interactions complexes entre les flux réseau. Les poids d'attention de BERT fournissent une première forme d'explicabilité en identifiant quelles caractéristiques influencent le plus la décision.
2. Composant Symbolique (Logic Tensor Networks - LTN) : Parallèlement, un réseau logique apprend 16 prédicats logiques interprétables (ex: "transfert de données important", "activité de port inhabituelle"). Ces prédicats utilisent des mécanismes d'attention appris pour pondérer les entrées et calculer un degré de satisfaction logique. Cela permet de raisonner sur des concepts de domaine explicites.

C. Classification Hiérarchique à Deux Étages

Pour gérer le déséquilibre extrême sans générer de données synthétiques (comme SMOTE, qui peut brouiller les motifs réels), une stratégie hiérarchique est employée :

• Étape 1 (Détection Binaire) : Un classifieur léger sépare le trafic "Normal" du trafic "Attaque". Cette étape utilise une fonction de perte Focal pour se concentrer sur les exemples difficiles à classer.
• Étape 2 (Catégorisation APT) : Un classifieur plus profond analyse uniquement les flux identifiés comme malveillants pour les classer en 5 étapes d'APT (Compromission initiale, Reconnaissance, Mouvement latéral, Pivotement, Exfiltration de données). Cela réduit considérablement le déséquilibre pour cette étape spécifique.

D. Entraînement Multi-objectif

L'entraînement combine trois composantes de perte :

• Perte Focal pour la détection binaire (Étape 1).
• Perte d'entropie croisée pondérée pour la catégorisation (Étape 2).
• Perte de cohérence logique pour assurer que le raisonnement symbolique (LTN) correspond aux résultats de détection réels.

3. Contributions Clés

1. Premier cadre neurosymbolique pour les IDS IoT basés sur Transformer : Intégration native de l'explicabilité dans le processus d'entraînement (via les poids d'attention BERT et les prédicats LTN) plutôt que post-hoc.
2. Architecture de classification hiérarchique : Séparation de la détection binaire et de la catégorisation multi-classes pour traiter le déséquilibre de manière structurelle, évitant les ambiguïtés des données synthétiques.
3. Validation statistique rigoureuse : Preuve que 75 % des caractéristiques sélectionnées montrent des différences statistiquement significatives entre le trafic d'attaque et normal, validant que les explications sont basées sur de véritables signatures d'attaque et non sur des artefacts d'apprentissage.

4. Résultats Expérimentaux

Évalué sur le jeu de données SCVIC-APT2021 (56 432 échantillons de test) :

• Détection Binaire : Atteint un F1-score de 95,27 % avec un taux de faux positifs extrêmement faible de 0,14 %. Ceci est crucial pour éviter la fatigue d'alerte dans les déploiements autonomes.
• Catégorisation Multi-classes : Obtient un F1-score macro de 76,75 % pour la classification des 5 étapes d'APT.
• Comparaison avec l'état de l'art : Bien que le score macro soit légèrement inférieur à certaines méthodes non interprétables (ACM, PKI), le modèle surpasse toutes les approches basées sur des transformers pures ou des méthodes non symboliques en termes de fiabilité opérationnelle et d'explicabilité.
• Analyse d'explicabilité : Les poids d'attention de BERT se concentrent sur des caractéristiques discriminantes réelles (p < 0,05), confirmant que le modèle apprend des motifs de sécurité valides.

5. Signification et Impact

Ce travail démontre qu'il est possible de concilier haute performance, interprétabilité et viabilité opérationnelle dans la sécurité IoT.

• Déploiement Autonome : La faible taux de faux positifs et la capacité à expliquer les décisions permettent une surveillance réseau autonome sans supervision humaine constante.
• Confiance : En fournissant des explications basées sur des concepts de domaine (via LTN) et des attributions de caractéristiques (via BERT), le système permet aux analystes de sécurité de valider les alertes et d'affiner les politiques de sécurité.
• Adaptabilité : L'approche hiérarchique offre une voie prometteuse pour traiter les problèmes de déséquilibre de classes extrêmes dans d'autres domaines de la cybersécurité sans recourir à des techniques de rééchantillonnage artificiel.

En conclusion, l'architecture BERT-LTN proposée représente une avancée majeure vers des systèmes de détection d'intrusion (IDS) intelligents, transparents et adaptés aux contraintes réelles des réseaux IoT modernes.