Les réseaux de neurones, avec leur capacité à apprendre les schémas comportementaux de données arbitraires, semblent un moyen naturel de faire face à la détection d'intrusion. Il existe de nombreux articles académiques sur le sujet qui signalent de bonnes performances et un potentiel encore meilleur.
La question est, existe-t-il des implémentations réelles de la vie? Existe-t-il un seul pare-feu intelligent ou un module de pare-feu, ou une autre sorte de détecteur d'intrusion intelligent qui utilise réellement NNS?
Il y a eu une quantité énorme de recherches sur l'utilisation de techniques d'apprentissage automatique pour Détection d'anomalie , c'est-à-dire de numériser le trafic réseau et détecter les intrusions. Cependant, cette recherche a eu très peu d'impact pratique. Ces techniques ont vu peu de déploiement et sont rarement utilisées dans la pratique.
Pourquoi pas? Il y a de nombreuses raisons.
Premièrement, ces systèmes ont tendance à avoir un taux de faux alarme élevé. Ils soulèvent souvent de multiples alarmes par jour par jour (parfois même des dizaines par jour), ce qui reprend le temps des administrateurs système. Il s'agit d'un défi fondamental pour les systèmes de détection d'anomalie, car ils souffrent de la "aiguille dans un grille de foin": des milliards de paquets traversent votre réseau tous les jours et presque tous sont bénins. Si l'algorithme a un taux d'alarme fausse aussi bas que 0,1%, il s'agit toujours de milliers de paquets éventuellement marqués. Pour être pratique, l'algorithme de détection d'anomalie doit avoir un taux de faux alarme exceptionnellement bas, qui est très difficile à bien faire - pour la même raison qu'il est très difficile de détecter des terroristes dans le dépistage de l'aéroport, sans introduire de nombreuses fausses alarmes. cela parce que les gens de tous les jours doivent être recherchés.
Deuxièmement, les systèmes de détection d'anomalie ont tendance à ne pas être très robustes. Ils se concentrent sur détecter des motifs inhabituels ou nouveaux dans votre trafic réseau: n'importe quoi hors de l'ordinaire. La conséquence est que, à tout moment, quelque chose change de votre réseau, quelle que soit la façon dont bénignant, ils ont tendance à augmenter des alarmes. Votre site Web a-t-il juste obtenu slashdoted? Blam, les alarmes parasites deviennent folles. Certains utilisateurs ont-ils installé une nouvelle application qui joue de nouveaux NAT? Blam, voici les alarmes parasites. Quelqu'un est-il simplement installé IPv6 pour la première fois? Blam. Quelqu'un Connectez un nouveau téléphone portable avec Une pile TCP/IP Wonky, qui envoie des paquets brisés? Blam. Vous obtenez l'idée.
Si vous souhaitez en savoir plus sur les défis de l'innovation dans ce domaine, je recommanderais les documents de recherche suivants:
En dehors du monde fermé: sur l'utilisation de la machine apprentissage pour la détection d'intrusion de résea . Robin Sommer et Vern Paxson. IEEE Security & Confidentialité 2010.
la chute de base de la base et ses implications pour la difficulté de détection d'intrusion . Stefan Axelsson. RAID 1999.
Je doute que vous puissiez trouver n'importe quel produit commercial puisque ce domaine est hautement commercialisé et que leur mise en œuvre n'est presque pas disponible et la plupart des travaux sont effectués dans l'écosystème fermé. Il y a eu une discussion sur ce sujet que vous pouvez trouver à link Le seul outil open source que j'ai trouvé était TSEC C'est un hôte DÉTECTION DE L'INTRUSTIONEDÉDÉSE ET UNE RECHERCHE RÉCENTE SUR L'INTAGETINGE AVEC TECHNIQUES AI et il existe également un livre dessus, vous pouvez trouver intéressant.
Trouvé un autre papier sur le sujet: "Détection d'intrusion de réseau basée sur l'anomalie: techniques, systèmes et défis" , par García-Teodoro et al, 2008.