Context & Motivation
Ces dernières années, les algorithmes de machine learning ont integrés massivement l’arsenale de défense mis à disposition des professionnels de la sécurité. Et la détection d’intrusion en est la parfaite illustration. Dans cette branche de la sécurité numérique, on considère qu’il existe deux grandes approches de detection : l’approche reposant sur une base de signatures caractérisant les menaces connues (MD pour misuse detection) et l’approche reposant sur la détection de comportements anormaux (AD pour anomaly detection). Seule cette dernière, est en thérotie capable de détecter de nouvelles attacks (dites Zéro-Day) car reposant sur l’utilisation de l’apprentissage automatique.
Cependant, bien que les résultats et les performances du machine learning ne cessent de progresser, il est toutefois encore ralativement simple de l’induire volontairement en erreur, au moyen de ce qui est communément appelé les attaques adverses (Adversarial Machine Learning Attacks). La multiplication des attaques adverses soulève le débat de savoir « à qui profitera réellement le machine learning dans le future ? aux attaquants ou aux professionnels de la sécurité ?». Dans une tentative de vouloir trancher cette question, plusieurs chercheurs ont explorés les attaques ciblant les algorithmes de machine learning dans le but d’influencer les modèles produits ou les prédicitions générée par ceux-ci.
Bien que la recherche dans ce domaine ait commencé au début des années 2000, celle-ci n’a réellement attiré l’attention de la communauté qu’au milieu des années 2010 quand l’équipe de Szegedy a réussie à duper le modèle de classification à base de réseaux de neuronnes profonds en générant des exemples adverses (adversarial examples) permettant d’aboutir à des sorties incorrectes arbitraires ou spécifiques. Par conséquence, la fiabilité, la robustesse et la confiance dans les modèles de machine learning utilisés dans les solutions de sécurité sont devenus des enjeux majeurs pour les états et les entreprises et les académiques.
Moyens et Objectifs
Dans le domaine des attaques adverses, Il existe une vaste litérature ayant pour objectif de compliquer la tâches aux auteurs d’attaques et/ou développer des mécanisimes de défenses permettant de réduire l’efficacité de ces attaques. Cependant, les attaquants possèdent toujours une longueur d’avance sur la défense et les résultats obtenus ne suffisent pas pour assurer la robustesse et la fiabilité de ces systèmes. D’autant plus qu’il s’agit là de données, modèles et/ou prédiction utilisé par des systèmes dont la vocation est d’assurer la sécurité des personnes, de leurs biens et/ou leur données.
Par conséquence, l’objectif du sujet proposé par l’IRT SystemX dans le cadre des REDOCS 2019 se décompose en trois volets :
- Le premier volet vise à étudier les différentes classes d’algorithmes de machine learning mis à votre disposition et utilisées par l’institut dans ses projets, afin d’identifier les informations, connaissances et conditions n’écessaires à une personne malveillante afin de réaliser son attaque.
- Le second volet tends à démontrer la faisabilité de(s) eventuelle(s) attaque(s) en s’appuyant sur les informations et résultats obtenus de la première phase.
- Le dernier volet vise à proposer des solutions permettant de robustiffier les modèles d’apprentissage vis-à-vis des attaques adverses et afin d’en fiabiliser les prédicitions.
Afin de vous faciliter cette étude, l’IRT SystemX fournira un evironement d’experimentation complet intégrant des instances des modèles d’apprentissage, illustrés dans leur cas d’usage, ainsi que les jeux de données associés.