$ init capture eth0 ......... OK
$ chargement modèle ML (RF·XGB·LGBM) OK
$ compilation 36 règles curées OK
$ 6 détecteurs comportementaux OK
$ moteur hybride EN LIGNE
CLIQUER POUR ENTRER
IDS Hybride
ISMAGI Engineering School Projet de fin d'année · Soutenance

Détecter l'attaque dans le flux,
en temps réel.

Un système de détection d'intrusion qui fusionne apprentissage automatique, signatures curées et analyse comportementale — pour repérer ce qu'aucune de ces méthodes ne voit seule.

Othmane Hathoute & ZiyadISMAGI — Ingénierie Cybersécurité25 mai → 16 juillet 2026
SCROLL
01 — Contexte & enjeu

Deux angles morts que les défenses classiques laissent ouverts.

Un antivirus par signatures ignore l'attaque inédite ; un modèle statistique seul se noie dans les faux positifs et n'explique rien. La sécurité opérationnelle a besoin des deux, réconciliés.

Le connu, mais rigide

Les moteurs à signatures reconnaissent parfaitement une attaque déjà cataloguée — et sont aveugles au reste. Une simple variation d'encodage suffit à passer.

L'inconnu, mais opaque

Un modèle ML repère l'anomalie jamais vue — mais confond nouveauté et menace, sature l'analyste d'alertes, et ne justifie pas ses verdicts.

La thèse du projet

Aucune méthode n'est suffisante isolément. La valeur naît de leur fusion pondérée : le ML propose, la signature confirme, le comportement corrèle — et une seule décision, traçable, en ressort.

02 — Approche hybride

Deux moteurs qui convergent en une décision.

Chaque flux est analysé en parallèle par le modèle ML et le moteur de signatures. Les scores fusionnent — 65 % ML, 35 % signatures, plus un bonus quand les deux s'accordent.

Moteur MLRF · XGBoost · LightGBM Signatures36 règles curées · MITRE Comportement6 détecteurs · scan/DoS/DNS Fusion65/35 · +bonus Alertedéduplication · SIEM
Console interactive — testez la fusion

Choisissez une attaque du projet ou réglez les curseurs. La confiance se recalcule en direct selon 0,65·ML + 0,35·SIG + 0,15 si accord, alerte au seuil 0,75.

Moteur MLVotingClassifier · RF+XGB+LGBM
Signatures36 règles curées · MITRE
Comportemental6 détecteurs · scan/DoS/DNS
0,00confiance fusionnée
▲ seuil d'alerte 0,75
EN ATTENTE
// sélectionnez une attaque ou réglez les curseurs
03 — Architecture

Un pipeline en couches, du paquet à l'alerte.

Chaque couche a une seule responsabilité et une interface étroite : on remplace ou désactive un maillon sans toucher aux autres. L'orchestrateur LiveIDSEngine assemble le tout.

1 · Acquisition

Capture live (Scapy) ou rejeu PCAP, filtrage des cibles, suivi des flux 5-tuples.

2 · Inspection

Parsing HTTP, normalisation anti-évasion, moteur de signatures JSON.

3 · Intelligence

Extraction de features, prétraitement, inférence ML, fusion & décision.

4 · Restitution

SQLite, API REST + JWT, dashboard temps réel, export SIEM/SOAR.

Orchestration centrale

Un chef d'orchestre instancie et surveille le pipeline ; aucun module ne connaît directement ses voisins.

Résilience

Modèle ML indisponible ? Le système bascule en mode signature-only plutôt que de tomber.

Déploiement Docker

Quatre conteneurs à responsabilité unique, réseaux isolés, Redis inaccessible de l'extérieur.

04 — Machine Learning

Évalué avec honnêteté, sur le protocole officiel.

Modèle entraîné sur UNSW-NB15 (175 341 flux, 42 features, 10 classes) et mesuré sur le jeu de test officiel de 82 332 flux — pas sur un découpage aléatoire complaisant.

0%
Exactitude (officielle)split standard UNSW
0
AUC moyenséparation des classes
0
F1 pondérétoutes classes
0
F1 macroclasses rares incluses
Pourquoi ce chiffre est une force

Un découpage aléatoire donnait 81,3 % — flatteur mais trompeur. Sur le protocole officiel que tout examinateur peut rejouer, le modèle obtient 72,7 %. L'assumer, c'est démontrer une rigueur méthodologique.

F1 par classe — jeu officiel
Generic0.98
Normal0.75
Exploits0.72
Reconnaissance0.68
Fuzzers0.55
DoS0.40
Worms0.12
Analysis0.03

Excellent sur les classes fréquentes, faible sur les rares (déséquilibre du jeu) — précisément ce que la fusion hybride vient compenser.

05 — Signatures & comportement

Moins de règles, mais chacune justifiée.

La base auto-générée comptait 1200 entrées — en réalité 29 motifs dupliqués ~40 fois. Consolidée en 36 règles curées, catégorisées MITRE ATT&CK et non-régressées par tests.

1200entrées auto-générées
(29 motifs, ~40× dupliqués)
36règles curées
catégorisées MITRE, testées
Six détecteurs comportementaux

Port Scan

Balayage horizontal/vertical de ports.

MITRE T1046

Beacon C2

Régularité anormale des inter-arrivées (coefficient de variation).

MITRE T1071

Brute Force

Rafales d'authentifications échouées sur un service.

MITRE T1110

Rate Limit / DoS

Débit au-delà du seuil, sévérité escaladée.

MITRE T1499

JA3 Fingerprint

Empreinte TLS des clients, repérage d'outils malveillants.

TLS

DNS Tunneling

Entropie de Shannon et cardinalité des sous-domaines (TXT/NULL).

MITRE T1071.004
06 — Sécurité & production

Sécuriser l'outil de sécurité lui-même.

Un IDS compromis devient un poste d'observation idéal pour l'attaquant. Modèle STRIDE, secrets fail-closed, et une CI qui refuse le code non conforme.

Authentification durcie

JWT HS256, access 30 min + refresh 7 j, RBAC, comparaison à temps constant, journal d'audit.

Secrets fail-closed

En production, l'application refuse de démarrer sans secret fort — jamais de clé par défaut, jamais de secret dans Git.

Intégration SIEM/SOAR

Export CEF (Splunk, QRadar, Sentinel, ELK), syslog RFC 5424, webhook SOAR signé HMAC-SHA256.

0
tests automatisésunitaires + intégration
×0
gain de performanceprofilage & hoisting
0
jobs CI/CDlint · pytest · audit
0
conteneurs Dockerréseaux isolés
07 — Démonstration

Une attaque réelle, détectée en direct.

Depuis une machine tierce, on lance un scan puis des injections (SQLi, XSS) contre la cible protégée. Le dashboard réagit en temps réel — classification, confirmation, corrélation, remontée de l'IP source.

https://ids-local:8050 — Threat Monitor · Temps Réel
Dashboard IDS : KPIs, distribution des attaques, timeline, sévérité

Vue d'ensemble — flux analysés, distribution des attaques, timeline et sévérité, mis à jour chaque seconde.

Flux d'alertes · LIVE
Flux d'alertes temps réel : sévérité CRITICAL, type, IP source, confiance 99%
Scénario de démonstration
  1. Attaque lancéeScan Nmap puis injections SQLi/XSS depuis un poste distant.
  2. Capture & fluxReconstruction des conversations, extraction des 42 features.
  3. Fusion hybrideLe ML classe, la signature confirme, le comportemental corrèle le scan.
  4. Alerte temps réelSévérité CRITICAL, confiance 99 %, IP remontée dans « Top IPs ».
  5. Export SOCÉvénement poussé au SIEM en CEF / syslog.
08 — Résultats

Un système complet, mesuré et démontrable.

Du paquet capturé à l'alerte exportée : la chaîne entière fonctionne en temps réel, sur des attaques réelles rejouées depuis une machine tierce.

0%
exactitude officiellereproductible
0
règles curées MITREdepuis 1200
0
détecteurs comportementauxdont DNS tunnel
0
tests vertsnon-régression
Déroulé du projet — binôme, 8 semaines
25 mai →

Cadrage & fondations

Étude UNSW-NB15, architecture, pipeline ML (RF + XGBoost + LightGBM).

8 juin →

Détection & signatures

Capture réseau, extraction des 42 features, moteur de signatures, anti-évasion.

15 juin →

Fusion & comportement

Moteur de fusion hybride, déduplication adaptative, détecteurs comportementaux.

22 juin →

Infrastructure & sécurité

SQLite, API REST + JWT/RBAC, dashboard, durcissement, conteneurisation.

29 juin →

Passage à l'échelle

Optimisation (perf ×34), intégrations SIEM/SOAR, pipeline CI/CD.

6 → 16 juil.

Validation & rédaction

Suite de 310 tests, évaluation officielle, mémoire & annexes.

09 — Perspectives

Un socle, pas un aboutissement.

Resampling avancé court terme
SMOTE est déjà appliqué ; des variantes plus fines (ADASYN, apprentissage sensible au coût) pour relever le F1 des classes rares de 0,51 vers 0,70+.
Apprentissage en ligne moyen terme
Détection de dérive (CUSUM) et ré-entraînement sur alertes validées par le SOC.
Inspection TLS & mode IPS moyen terme
Métadonnées TLS (JA3, SNI) sans déchiffrement ; passage de la détection à la prévention active.
Déploiement cloud-native long terme
Kubernetes, capture eBPF, bus Kafka, gestion du cycle de vie des modèles.

Repérer l'attaque dans le flux — là où elle se cache.

Merci de votre attention.

ISMAGIRéalisé par Othmane Hathoute & ZiyadISMAGI — Ingénierie Cybersécurité2026
Naviguez avec · plein écran F