From Threat Intelligence to Firewall Rules: Semantic Relations in Hybrid AI Agent and Expert System Architectures

Cet article propose une architecture neuro-symbolique hybride combinant des agents intelligents et un système expert pour transformer automatiquement les rapports de renseignement sur les cybermenaces en règles de pare-feu CLIPS, en exploitant les relations sémantiques hyperonyme-hyponyme pour garantir des réponses de sécurité rapides et fiables.

L'essentiel

Voici une explication simple et imagée de ce papier de recherche, comme si on racontait une histoire autour d'un café.

🛡️ Le Problème : Une course de vitesse déséquilibrée

Imaginez que la sécurité de nos sites web est comme la garde d'un château.

• Les attaquants (les pirates) sont comme des cambrioleurs malins. Ils n'ont besoin de trouver qu'une seule petite porte mal fermée pour entrer.
• Les défenseurs (les gardes) doivent surveiller toutes les portes, les fenêtres et les murs en même temps. C'est épuisant !

Aujourd'hui, les pirates utilisent l'Intelligence Artificielle (IA) pour trouver ces portes plus vite. Les humains, eux, sont trop lents pour réagir. Ils doivent lire des rapports complexes sur les nouvelles menaces (ce qu'on appelle l'Intelligence des Menaces Cybernétiques ou CTI) et décider quoi faire. C'est souvent trop long et trop compliqué.

🤖 La Solution : Une équipe de "Super-Gardes" hybrides

Les auteurs de ce papier proposent une nouvelle équipe pour aider les gardes. Cette équipe est un mélange de deux types d'IA :

1. L'IA "Agente" (Le Traducteur Intelligent) : C'est un grand cerveau qui lit les rapports pirates.
2. L'IA "Expert" (Le Constructeur de Règles) : C'est un système très rigoureux qui écrit les codes pour fermer les portes.

Leur but ? Transformer un rapport de menace écrit en langage humain en règles de pare-feu (des instructions automatiques pour bloquer les pirates) en quelques secondes.

🔍 Le Secret : La "Clé Sémantique" (Hyperonymes et Hyponymes)

C'est ici que ça devient intéressant. Comment faire comprendre à l'IA ce qu'il faut bloquer sans se tromper ?

Imaginez que vous lisez un rapport qui dit : "Le pirate a utilisé un 'cheval de Troie' pour voler des données."

• Si vous demandez à une IA classique de chercher "cheval de Troie", elle peut être perdue.
• Cette nouvelle méthode utilise une astuce linguistique appelée relations sémantiques (hyperonymes et hyponymes).

L'analogie de l'arbre généalogique :

• Hyponyme (L'enfant) : C'est le mot précis. Exemple : "Cheval de Troie".
• Hyperonyme (Le parent) : C'est la catégorie générale. Exemple : "Malware" (Logiciel malveillant).

Le système fonctionne comme un détective qui ne regarde pas juste le mot exact, mais qui comprend la famille du mot.

1. Il lit "Cheval de Troie".
2. Il comprend que c'est un type de "Malware".
3. Il comprend que le "Malware" fait partie de la catégorie "Attaque réseau".
4. Grâce à cette compréhension en cascade, il sait exactement quelle règle de sécurité appliquer, même si le rapport utilise des mots différents ou des termes techniques obscurs.

C'est comme si le détective ne cherchait pas juste "la voiture rouge", mais comprenait qu'il doit bloquer "tous les véhicules" pour être sûr de ne rien rater.

🏗️ L'Usine à Règles (Le Système Hybride)

Le processus se déroule en trois étapes, comme une chaîne de montage :

1. L'Extraction (Le Lecteur) : L'IA lit le rapport et identifie les mots-clés (les "enfants" et les "parents").
2. La Traduction (Le Traducteur) : Elle transforme ces mots en concepts abstraits (ex: "Il faut bloquer les logiciels malveillants").
3. La Construction (Le Bâtisseur) : Un système très strict (appelé CLIPS, un peu comme un robot maçon) prend ces concepts et écrit le code exact pour le pare-feu.

Pourquoi deux IA ?
L'IA "Traductrice" est créative mais peut faire des erreurs (hallucinations). L'IA "Bâtisseuse" est rigide et ne fait jamais d'erreur de grammaire. En les mettant ensemble, on a la créativité pour comprendre le problème et la rigueur pour construire la solution sans bug.

📊 Les Résultats : Qui gagne ?

Les chercheurs ont testé leur système avec de vrais rapports de sécurité.

• Résultat : Leur méthode a beaucoup mieux compris les menaces que les méthodes classiques (comme celles qui utilisent juste des mots-clés).
• L'avantage : Même quand il y a très peu d'exemples d'une nouvelle menace (ce qui arrive souvent), leur système arrive à deviner la bonne solution grâce à sa compréhension des "familles de mots".
• La précision : Les règles de pare-feu générées ont été validées par des experts humains qui ont trouvé qu'elles étaient correctes et utiles.

🚀 En résumé

Ce papier nous dit que pour protéger nos données, on ne doit plus seulement compter sur des humains qui lisent des rapports, ni sur des IA qui devinent au hasard.

Il faut créer une équipe hybride :

• Une IA qui comprend le sens profond des mots (comme un linguiste).
• Une IA qui écrit du code parfait (comme un ingénieur).

C'est comme passer d'un gardien qui lit un journal pour voir s'il y a des voleurs, à un gardien qui a un assistant robot capable de lire le journal, de comprendre la menace, et de verrouiller instantanément la bonne porte, sans jamais se tromper.

Résumé technique

Voici un résumé technique détaillé de l'article « From Threat Intelligence to Firewall Rules: Semantic Relations in Hybrid AI Agent and Expert System Architectures », rédigé en français.

1. Problématique et Contexte

La sécurité des applications web est confrontée à une asymétrie structurelle : les attaquants peuvent cibler quelques vulnérabilités spécifiques, souvent avec l'aide de l'IA, tandis que les défenseurs doivent protéger l'ensemble du système. Les systèmes de détection et de prévention d'intrusion (IDS/IPS) sont essentiels, mais leur configuration manuelle est lente et complexe.

Le défi majeur réside dans la capacité à transformer rapidement les rapports de renseignement sur les cybermenaces (CTI - Cyber Threat Intelligence) en actions défensives concrètes (règles de pare-feu). Les approches d'IA existantes peinent à catégoriser automatiquement ces données sensibles, notamment en raison du déséquilibre des données (certaines menaces étant beaucoup plus rares que d'autres) et de la complexité sémantique des rapports, qui sont souvent bruyants et verbeux.

2. Méthodologie

L'article propose une architecture hybride combinant l'IA neuronale (LLM) et l'IA symbolique (systèmes experts) pour automatiser la génération de règles de filtrage (iptables/CLIPS) à partir de rapports CTI.

Architecture du Pipeline (SIF - Semantic Information Flow) :
Le système s'articule autour de trois composants principaux :

1. Agent CoALA Amélioré (Extraction Sémantique) :

   • Cet agent utilise un modèle de langage (LLM) pour extraire des informations sémantiques des rapports CTI.
   • Innovation clé : Au lieu d'une extraction directe, l'agent utilise une stratégie de prompting itérative basée sur les relations taxonomiques hyperonyme-hyponyme.
   • Le processus se déroule en trois étapes :
     1. Extraction des entités de domaine spécifiques.
     2. Abstraction de ces entités en catégories sémantiques (via les hyperonymes/hyponymes).
     3. Génération de représentations enrichies pour guider la création de code.
   • Cette approche vise à structurer l'information brute pour faciliter son alignement avec les stratégies défensives.

2. Système Expert (Vérification Syntaxique) :

   • Un rôle de vérification syntaxique est assuré pour contrer les "hallucinations" potentielles du LLM.
   • Il utilise le langage CLIPS (C Language Integrated Production System), un moteur d'inférence à chaînage avant, pour générer des règles formelles.
   • L'architecture intègre des concepts de psychologie cognitive (désintégration de la mémoire d'Ebbinghaus et réseaux sémantiques de Collins et Quillian) pour gérer la base de connaissances.

3. Moteur de Raffinement (Génération de Règles) :

   • Ce module identifie les contrôles de sécurité disponibles pour contrer les menaces décrites.
   • Il utilise les règles CLIPS générées par l'agent pour produire les règles de filtrage finales (ex: règles iptables).
   • Une dernière vérification garantit la correction syntaxique avant l'application.

Contrôle de Déterminisme :
Pour assurer la reproductibilité des résultats (crucial en cybersécurité), les auteurs ont appliqué des pratiques strictes : fixation des graines aléatoires, désactivation du benchmarking CuDNN, et utilisation du décodage glouton (greedy decoding).

3. Contributions Clés

• Nouvelle Méthodologie d'Extraction : Proposition d'utiliser les relations hyperonyme-hyponyme pour enrichir la compréhension sémantique des événements de sécurité, surpassant les méthodes d'extraction en une seule passe.
• Système Agentique Hybride : Développement d'un système capable de mapper les informations extraites vers des mesures défensives existantes et de générer automatiquement des artefacts de code (CLIPS) configurables.
• Évaluation Empirique Approfondie : Validation rigoureuse sur deux jeux de données distincts, démontrant la robustesse de l'approche face aux données déséquilibrées.

4. Résultats Expérimentaux

L'évaluation a été menée sur deux tâches distinctes utilisant des GPU NVIDIA RTX 4090/5090.

• Tâche A (Classification Multilabel sur CTI-HAL) :

  • Comparaison de l'approche proposée (avec relations sémantiques) contre des embeddings statiques (Word2Vec, GloVe), contextuels (SecureBERT), et d'autres méthodes d'apprentissage automatique (SVM, Random Forest).
  • Résultat : La méthode proposée obtient le meilleur score F1 pondéré (0,329) et la meilleure précision Top-K (0,968).
  • Les méthodes basées sur le Chain-of-Thought (CoT) standard montrent des scores de précision comparables mais un F1 pondéré nettement inférieur, principalement dû à une mauvaise performance sur les classes minoritaires (menaces rares).
  • L'utilisation d'hyponymes s'est révélée plus efficace que celle des hyperonymes.

• Tâche B (Génération de Règles sur Dataset B) :

  • Évaluation qualitative par des experts en cybersécurité sur la justesse technique et la fidélité aux rapports CTI.
  • Résultat : Forte concordance inter-annotateurs (Alpha de Krippendorff de +0,5768 pour la justesse technique), indiquant que les règles générées sont syntaxiquement correctes et pertinentes.

5. Signification et Conclusion

Cet article démontre que l'intégration de relations sémantiques structurées (taxonomie) dans les agents IA hybrides permet de surmonter les limites des approches purement neuronales pour des tâches critiques de sécurité.

• Supériorité sur les données déséquilibrées : L'approche gagne environ 7 % en score F1 par rapport aux méthodes de base, prouvant son efficacité pour détecter des menaces rares.
• Fiabilité Opérationnelle : En combinant la flexibilité des LLM avec la rigueur des systèmes experts symboliques (CLIPS), le système réduit les risques d'erreurs et d'hallucinations, rendant la génération automatique de règles de pare-feu plus fiable.
• Perspectives : Bien que le système soit actuellement destiné à la recherche, les résultats ouvrent la voie à un déploiement opérationnel pour accélérer la réponse aux incidents (Incident Response) et réduire le temps de latence dans la mitigation des cybermenaces.

En résumé, ce travail propose un cadre robuste pour transformer le renseignement sur les menaces non structuré en défenses automatisées et vérifiables, en tirant parti de la sémantique linguistique pour guider l'IA.