Approche de détection d'intrusion pour le trafic de l'Internet industriel des objets à l'aide de l'apprentissage profond récurrent renforcé et de l'apprentissage fédéré

Intelligence artificielle Informatique Électronique et informatique Sciences de l'information
IoT industriel Détection d'intrusion Apprentissage fédéré Apprentissage profond par renforcement Dépendances temporelles Confidentialité des données Sélection des nœuds

Méthode de détection d’intrusion pour le trafic de l’Internet industriel des objets basée sur l’apprentissage fédéré assisté par apprentissage profond récurrent par renforcement

Contexte académique

Le développement rapide de l’Internet industriel des objets (Industrial Internet of Things, IIoT) a apporté une révolution majeure aux systèmes industriels intelligents. L’IIoT connecte divers équipements industriels via Internet, permettant l’échange de données, le contrôle à distance et des décisions intelligentes. Cependant, cette connectivité transparente et ce vaste réseau d’équipements exposent également les systèmes industriels à des menaces de cybersécurité de plus en plus complexes et diversifiées. Dans les scénarios IIoT réels, les cyberattaques peuvent entraîner des conséquences graves telles que des fuites de données, des manipulations de données, des attaques par déni de service (denial of service, DoS) ou encore l’interruption des processus de production. Bien que les méthodes de détection d’intrusion traditionnelles aient montré des performances sur certains types d’attaques, elles ne parviennent pas à répondre adéquatement aux problèmes de confidentialité, de consommation d’énergie et de distribution de données hétérogènes associés aux équipements distribués.

Pour relever ces défis, l’apprentissage fédéré (Federated Learning, FL) a récemment émergé comme un cadre d’apprentissage machine distribué préservant la confidentialité des données, garnering une attention accrue. Le modèle FL peut optimiser un modèle global sans transférer de données locales des équipements, ce qui constitue une avancée significative dans la protection de la confidentialité des données. Cependant, les données générées par les nœuds IIoT sont souvent hautement distribuées de manière non indépendante et identiquement distribuée (non-IID), ce qui limite les performances du FL dans des environnements industriels complexes. De plus, les recherches existantes sur le choix des nœuds de formation ignorent souvent les critères d’efficacité énergétique et de qualité des données, ce qui affecte les performances du système FL.

Pour répondre à ces limites, cet article propose un cadre novateur combinant unités récurrentes à porte (Gated Recurrent Unit, GRU), apprentissage profond récurrent par renforcement (Deep Recurrent Reinforcement Learning, DRL), et apprentissage fédéré, afin d’améliorer l’efficacité de détection d’intrusion ainsi que les performances d’agrégation dans les scénarios IIoT.

Source de l’article

L’article, intitulé Intrusion Detection Approach for Industrial Internet of Things Traffic Using Deep Recurrent Reinforcement Learning Assisted Federated Learning, est rédigé par Amandeep Kaur, affiliée à l’ABV-Indian Institute of Information Technology and Management, Madhya Pradesh, Inde. Il a été publié en janvier 2025 dans la revue IEEE Transactions on Artificial Intelligence (Volume 6, Issue 1).

Processus de recherche

Cette étude est basée sur la conception d’un cadre multitâche intégrant une méthodologie innovante qui couvre l’ensemble du flux de travail, depuis la prétraitement des données jusqu’à l’optimisation des modèles. La stratégie principale consiste à combiner apprentissage fédéré, DRL, et GRU afin de sélectionner efficacement les nœuds IIoT de haute qualité, tout en capturant les caractéristiques temporelles du trafic réseau pour améliorer la détection des intrusions.

1. Modélisation et conception du cadre

L’étude propose un système industriel IoT complexe à trois niveaux comprenant : - Couche des dispositifs (Edge Layer) : Inclut divers équipements industriels hétérogènes (capteurs et actionneurs) connectés via Wi-Fi aux serveurs de périphérie, qui sont responsables de la formation locale des modèles. - Couche de cloud (Cloud Layer) : Serveur central chargé de l’agrégation des paramètres du modèle global et de la diffusion des mises à jour aux serveurs locaux. - Modèle de menace : Suppose que les attaquants se font passer pour des serveurs de périphérie pour obtenir les données des capteurs, perturbant ainsi la communication ou manipulant les processus industriels.

Le cadre repose sur l’architecture FL en itérant les cycles de formation du modèle et d’agrégation des paramètres. Les GRU sont utilisés localement pour capturer les caractéristiques temporelles des données, tandis que le DRL choisit dynamiquement les nœuds de haute qualité pour participer à la formation.

2. Prétraitement et extraction des caractéristiques

Prétraitement des données

L’étude utilise plusieurs ensembles de données publics tels que Ton_IoT, Edge-IIoT et X-IIoTID, contenant des attaques typiques de l’IIoT, y compris des attaques par déni de service (DoS), déni de service distribué (DDoS), violations de mot de passe et scripts inter-sites (XSS).

Les étapes de prétraitement des données incluent : - Codage des données : Conversion de champs catégoriels en variables numériques via encodage one-hot (One-Hot Encoding). - Normalisation des données : Mise à l’échelle des caractéristiques à l’aide de la méthode de normalisation Min-Max pour équilibrer l’influence des différentes caractéristiques sur le modèle.

Formule de normalisation :
[ z = \frac{y-y{min}}{y{max}-y{min}} ]
où ( y{max} ) et ( y_{min} ) représentent respectivement les valeurs maximale et minimale.

3. Intégration des GRU dans le FL assisté par DRL

Architecture GRU

La structure GRU comprend : - Porte de réinitialisation (Reset Gate) : Supprime les informations non pertinentes. - Porte de mise à jour (Update Gate) : Conserve les informations significatives à long terme.

Les serveurs périphériques entraînent les données locales via des architectures GRU afin d’extraire les relations temporelles dans le trafic réseau. Cette conception est hautement efficace pour détecter les comportements d’intrusion avec des caractéristiques temporelles complexes.

Optimisation par DRL

La sélection des nœuds pour l’apprentissage fédéré est formulée comme un Processus de Décision Markovien (Markov Decision Process, MDP) :
- Espace d’état : Inclut les ressources de calcul, la qualité des données et le SNR (rapport signal-bruit).
- Fonction de récompense : Conçue pour maximiser les performances du modèle global, tout en minimisant le coût énergétique et les communications.
- Algorithmes de renforcement : Basés sur des approches de Q-learning, permettant une convergence rapide en environnement dynamique.

Coordination FL et DRL

Durant chaque itération FL : 1. Le serveur cloud initialise le modèle global et le diffuse aux équipements sélectionnés.
2. Les équipements effectuent des mises à jour locales après plusieurs itérations en local.
3. Le serveur cloud agrège les mises à jour et rediffuse un modèle global mis à jour.
Ce processus se poursuit jusqu’à convergence.

Résultats expérimentaux

L’efficacité du cadre proposé a été validée avec trois ensembles de données (Ton_IoT, Edge-IIoT et X-IIoTID) couvrant une large gamme d’attaques.

1. Analyse du jeu de données Ton_IoT

  • Précision : Atteint un maximum de 99,95 %.
  • Rappel : En moyenne 99,98 %.
  • Score F1 : 99,99 %.
  • Résultats spécifiques : Les attaques XSS et violations de mot de passe ont montré des performances de détection optimales.

2. Analyse du jeu de données Edge-IIoT

  • Précision : 97,90 % atteints.
  • Consommation d’énergie : Réduction significative par rapport aux configurations de référence.

3. Analyse du jeu de données X-IIoTID

  • Scénarios multi-classes : Une précision de 99,99 % a été obtenue dans la classification de 18 sous-catégories d’attaques.
  • Performances sur données non-IID : Après 50 itérations, l’exactitude des clients les moins performants est passée de 67,73 % à 82,96 %.

Importance et contributions clés

Valeur de l’étude

  1. Valeur scientifique : Étend le cadre académique de la détection d’intrusion IIoT à travers une intégration de GRU et DRL pour modéliser les données temporelles.
  2. Valeur pratique : Fournit une solution précise et éco-énergétique adaptée à des menaces industrielles réelles.

Points innovants

  1. Combine GRU, DRL, et FL pour protéger la confidentialité des données IIoT.
  2. Traite efficacement la distribution non-IID, augmentant la robustesse aux scénarios industriels réels.
  3. Réduit la consommation énergétique grâce à la sélection optimisée d’appareils.

Directions futures

Malgré des avancées significatives, des travaux peuvent encore être menés :
1. Validation en environnement réel : Expérimenter le cadre dans des écosystèmes industriels concrets.
2. Optimisation par type d’appareil : Élaborer des mécanismes spécifiques pour des dispositifs industriels particuliers.
3. Intégration multidisciplinaire : Exploiter des technologies comme la confidentialité différentielle et la blockchain pour renforcer la sécurité.

Grâce à ce cadre, les systèmes industriels IIoT peuvent mieux faire face aux cybermenaces complexes, garantissant le fonctionnement continu des processus critiques.