République Tunisienne

Ministère de l’Enseignement Supérieur

et de la Recherche Scientifique
Université de Tunis El Manar
Faculté des Sciences de Tunis
Département des Sciences de l’informatique

RAPPORT DE PROJET DE FIN D’ETUDES

Présenté en vue de l’obtention du

Diplôme de licence en Science de l’Informatique
“Computer Science“ : Génie Logiciel et Système d’information

Par

Aya Mannai

Prédiction des attaques par Déni de Service Distribué avec le

modèle CNN-LSTM

Organisme d’accueil : Faculté des Sciences de Tunis

Soutenu le : ../../2025, devant le jury :

Président : Dr.

Rapporteur : Dr.

Encadrant : Dr. Hichem Mrabet

GLSI3
Année Universitaire : 2024-2025
 Dédicaces

Je dédie ce travail avec hommage à mes chers parents Jamel Mannai et Latifa Mannai pour
les sacrifices qu’ils ont consentis pour mon instruction et mon bien être et pour leurs
encouragements constants et leur soutien moral indéfectible qui ont été une source
d’inspiration et de force tout au long de ce projet.
À mon frère, Hamza Mannai, je lui dédie mon travail ainsi que mon adoration et mon
admiration. Merci pour votre présence.Je vous souhaite une vie pleine de joie de bonheur et
de réussite .
À mes professeurs , depuis les premiers pas de mon enfance jusqu’à aujourd’hui , qui ont
guidé mon apprentissage avec passion et bienveillance , une reconnaissance particulière à
M.Karim Touati , Mme. Saloua Mannai , M.Tarek Ghezail et M. Abdelwaheb Arfaoui dont
l’enseignement et les encouragements ont profondément marqué mon parcours .
À tous mes amis, qui me sont chers , à tous ceux que j’aime et qui m’aiment ; qu’ils trouvent
ici l’expression de mes sentiments les plus dévoués et mes vœux les plus sincères.
À ceux avec qui nos chemins se sont croisés et qui ont su me soutenir et m’aider sans rien
demander en retour, merci.
Remerciements
Table des matières

I Principes Fondamentaux 4

1 Attaques de cybersécurité dans l’environnement IOT 5

1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2 Description du système IOT . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2.1 Définition et architecture IOT : . . . . . . . . . . . . . . . . . . . . . . 6
1.2.2 Domaines d’applications : . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3 Technologies prises en charge . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3.1 Protocoles de communication : . . . . . . . . . . . . . . . . . . . . . . 10
1.3.2 Plateformes IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3.3 Architectures de traitement des données . . . . . . . . . . . . . . . . . 13
1.4 Attaques contre l’environnement IOT : . . . . . . . . . . . . . . . . . . . . . . 14
1.4.1 Probing (Reconnaissance / Exploration) : . . . . . . . . . . . . . . . . 14
1.4.2 R2L (Remote to Local) : . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.4.3 U2R (User to Root) : . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.4.4 DoS / DDoS (Denial of Service) : . . . . . . . . . . . . . . . . . . . . 17
1.5 Contre-mesures existantes dans l’environnement IOT . . . . . . . . . . . . . . 27
1.5.1 Contre-mesures contre le Probing : . . . . . . . . . . . . . . . . . . . 27
1.5.2 Contre-mesures contre les attaques R2L : . . . . . . . . . . . . . . . . 28
1.5.3 Contre-mesures contre les attaques U2R : . . . . . . . . . . . . . . . . 28
1.5.4 Contre-mesures contre les attaques DDos : . . . . . . . . . . . . . . . 29
1.6 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
1.6.1 Motivation : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
1.6.2 Architecture proposée . . . . . . . . . . . . . . . . . . . . . . . . . . 30
1.6.3 Avantages de l’approche CNN-LSTM : . . . . . . . . . . . . . . . . . 30
1.6.4 Objectif visé : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

2 Apprentissage profond pour la prédiction des attaques DDOS 32

2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.2 Taxonomie des algorithmes d’apprentissage automatique . . . . . . . . . . . . 33
2.2.1 Définition de l’apprentissage automatique : . . . . . . . . . . . . . . . 33
2.2.2 Apprentissage supervisé . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.2.3 Apprentissage non supervisé : . . . . . . . . . . . . . . . . . . . . . . 36
 2.2.4 Apprentissage par renforcement : . . . . . . . . . . . . . . . . . . . . 36
2.3 Taxonomie des algorithmes d’apprentissage profond . . . . . . . . . . . . . . 37
2.3.1 Définition de l’apprentissage profond : . . . . . . . . . . . . . . . . . 37
2.3.2 Fonctionnement d’un modèle d’apprentissage profond : . . . . . . . . 37
2.3.3 Classification des méthodes DL : . . . . . . . . . . . . . . . . . . . . 38
2.4 Description des modèles CNN, LSTM et de la solution hybride CNN-LSTM . . 40
2.4.1 Réseaux neuronaux convolutifs (CNN) : . . . . . . . . . . . . . . . . 40
2.4.2 Mémoire à long et court terme (LSTM) : . . . . . . . . . . . . . . . . 42
2.4.3 La solution hybride CNN-LSTM : . . . . . . . . . . . . . . . . . . . . 45
2.5 État de l’art des ensembles de données existants pour la prédiction des attaques
DDOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
2.5.1 CICDDoS2019 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
2.5.2 DDoS-SDN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
2.5.3 CIC-IoT2023 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

II Implémentation, résultat et discussion 49

3 Implémentation, résultat et discussion 50

3.1 Matériel et logiciels utilisés pour la mise en œuvre . . . . . . . . . . . . . . . 51
3.2 Description de l’ensemble de données . . . . . . . . . . . . . . . . . . . . . . 51
3.3 Flux de travail du modèle proposé (traitement des données, sélection des carac-
téristiques, entraînement, test) . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.4 Analyse des performances (précision, exactitude, matrice de corrélation, ...) . . 51
3.5 Comparaison des performances des différents modèles d’apprentissage profond 51
Table des figures

1.1 Internet des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.2 Architecture IOT à quatre couches . . . . . . . . . . . . . . . . . . . . . . . . 7
1.3 Quelques domaines d’applications de l’IoT. . . . . . . . . . . . . . . . . . . . 9
1.4 Attaque DoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5 Attaque DDoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.6 DDoS par amplification /réflexion. . . . . . . . . . . . . . . . . . . . . . . . . 19
1.7 Architecture d’une attaque DDoS. . . . . . . . . . . . . . . . . . . . . . . . . 20
1.8 Poignée de main à trois. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.9 Attaque par inondation TCP-SYN. . . . . . . . . . . . . . . . . . . . . . . . . 21
1.10 Réflexion DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.11 Inondation UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1.12 Inondation ICMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1.13 Attaque HTTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.14 Stratégie du Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2.1 Relation entre IA, ML et DL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

2.2 Relation entre T, P et E. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.3 Apprentissage supervisé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.4 Classification binaire et classification multi-classe. . . . . . . . . . . . . . . . 35
2.5 Modèle de régression. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.6 Apprentissage non supervisé. . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
2.7 Apprentissage par renforcement. . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.8 L’architecture d’un modèle Deep Learning. . . . . . . . . . . . . . . . . . . . 38
2.9 L’architecture d’un modèle de réseau neuronal convolutif. . . . . . . . . . . . . 40
2.10 Convolution. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.11 Pooling. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.12 L’architecture d’un modèle RNN. . . . . . . . . . . . . . . . . . . . . . . . . 43
2.13 L’architecture d’un modèle LSTMG RU. . . . . . . . . . . . . . . . . . . . . . 44
2.14 L’architecture CNN-LSTM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Table des tableaux

1.1 Quelques attaques de type Probing . . . . . . . . . . . . . . . . . . . . . . . . 15

1.2 Quelques attaques de type R2L . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3 Quelques attaques U2R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2.1 Collecte de données utilisées pour la détection des attaques DDoS. . . . . . . . 48

Introduction Générale

1
Introduction
Ces dernières années, l’Internet des Objets IoT est devenu l’une des technologies les plus
prometteuses du 21ème siècle. Actuellement nous pouvons connecter des objets du quotidien
à internet par l’intermédiaire de terminaux intégrés. Plusieurs communications sont devenues
possibles en toute transparence entre les personnes, les processus et les objets. Grâce à des mix
informatiques viables et peu coûteux, comme le Cloud, la notion du Big-Data, des plateformes
analytiques, les technologies mobiles, etc. Les objets physiques peuvent interagir, partager et
collecter des flux de données .Ces systèmes et réseaux de communication modernes génèrent
une quantité massive et hétérogène de données de trafic . D’où , la cybersécurité est devenue
un enjeu crucial. Si cette interconnexion généralisée simplifie la gestion des données et permet
une automatisation optimale des processus, elle accroît également la vulnérabilité des systèmes
face à des cybermenaces variées. Parmi celles-ci, les attaques par Déni de Service Distribué
(DDoS) se distinguent par leur caractère particulièrement dévastateur. En effet, elles ciblent la
disponibilité des services en les inondant de trafic malveillant, provoquant ainsi leur interrup-
tion. Leur dangerosité réside notamment dans leur capacité à compromettre des infrastructures
essentielles, avec des conséquences potentiellement graves pour les entreprises et les institu-
tions.
Les systèmes traditionnels de détection d’attaques DDoS, bien qu’efficaces contre les me-
naces connues, montrent aujourd’hui leurs limites. Fonctionnant sur le principe de signatures
préenregistrées, ces méthodes deviennent moins efficaces face aux attaques modernes, de plus
en plus sophistiquées et évolutives. L’intelligence artificielle, et particulièrement le Deep Lear-
ning, apporte une réponse innovante à ce défi. Grâce à sa capacité d’analyse automatique et
d’apprentissage continu, cette technologie peut identifier des schémas d’attaque complexes et
détecter des anomalies en temps réel, même pour des menaces jamais rencontrées auparavant.
Parmi les solutions les plus performantes, le modèle hybride CNN-LSTM combine deux ap-
proches complémentaires . D’un côté, Les réseaux de neurones convolutifs (CNN) pour l’ana-
lyse fine des caractéristiques réseau . De l’autre, la mémoire à long court terme (LSTM) pour
le traitement des séquences temporelles.Cette combinaison permet une détection plus précise
et plus fiable des attaques DDoS, en tenant compte à la fois des motifs instantanés et des évo-
lutions dans le temps.

Problématique
Si la cybersécurité a progressé„ les attaques DDoS restent un problème majeur qui ne cesse
d’évoluer. Le vrai défi ? Nos systèmes de protection actuels sont souvent trop rigides pour suivre
le rythme des nouvelles techniques d’attaque. Face à cette situation, le Deep Learning semble
offrir des solutions intéressantes. Mais la question qui nous intéresse est comment utiliser cette
technologie pour mieux protéger nos réseaux IoT ?
C’est actuellemnt l’objet de notre étude. Nous voulons tester une nouvelle approche qui est
la combinaison CNN-LSTM . L’idée est de voir si cette solution peut analyser efficacement le

2
trafic réseau et repérer les attaques potentielles avec une précision jamais atteinte auparavant.

Contribution
Ce projet vise à approfondir les recherches existantes en testant concrètement les capacités
d’un modèle hybride CNN-LSTM face aux attaques DDoS dans différents environnements IoT.
Notre objectif principal est d’évaluer précisément comment ce modèle performe avec diverses
configurations et sous différentes conditions d’attaque. À travers des expérimentations rigou-
reuses sur plusieurs jeux de données reconnus (CICDDoS’2019, CIC-IOT-2023, etc.), nous
cherchons à identifier les limites et avantages de cette approche, tout en proposant des pistes
d’amélioration pour de futures recherches. De plus, ce travail permettra d’établir une compré-
hension approfondie :

— Du fonctionnement des modèles hybrides en cybersécurité .

— Des types de données réseau les plus pertinents à analyser .
— Des méthodes d’évaluation les plus adaptées pour ce type de système .

L’ambition finale est d’apporter une contribution tangible à la protection des réseaux IoT contre
les cybermenaces évolutives.

Organisation du rapport
Notre travail est constitué de trois chapitres, nous entamons le premier chapitre , intitulé
"Cybersécurité des environnements IoT", présentera le contexte des attaques dans les systèmes
IoT, les technologies concernées et les solutions existantes. Le deuxième chapitre, "Deep Lear-
ning pour la prédiction des DDoS", détaillera les algorithmes de Machine Learning et Deep
Learning utilisés, avec un focus particulier sur note modèle hybride CNN-LSTM, ainsi qu’une
analyse des jeux de données disponibles. Enfin, le troisième chapitre, "Implémentation", décrira
notre environnement de travail, le processus complet de développement du modèle (traitement
des données, sélection des caractéristiques, entraînement) et présentera les résultats obtenus
à travers différentes métriques de performance, ainsi qu’une comparaison avec d’autres ap-
proches.

3
 Première partie

Principes Fondamentaux

4
Chapitre 1

Attaques de cybersécurité dans

l’environnement IOT

5
1.1 Introduction
Les objets connectés ont envahi notre quotidien - des maisons intelligentes aux usines auto-
matisées en passant par les réseaux urbains. Mais cette révolution technologique s’accompagne
d’un risque croissant : ces dispositifs IoT sont souvent la cible d’attaques informatiques sophis-
tiquées. Les DDoS en particulier représentent une menace sérieuse, capable de paralyser des
services essentiels en quelques minutes. Face à ce défi, les chercheurs se tournent vers le Deep
Learning, une technologie qui montre des résultats encourageants pour repérer ces attaques en
analysant les anomalies dans le trafic réseau.Dans ce contexte, il est essentiel de comprendre
les spécificités des environnements IoT et leurs failles de sécurités, les typologies d’attaques
(Probing, R2L, U2R, DoS/DDoS) et leurs impacts et les limites des solutions traditionnelles de
cybersécurité toutes en proposant des nouvelles approches

1.2 Description du système IOT

Internet des objets est un réseau global d’objets qui correspond simplement au moment où
il a plus de "choses ou d’objets" connectés à Internet que de personnes, chaque objet a une
adresse unique. Un objet tel que (ordinateurs, capteurs, RFID et mobile) pourra transmettre des
informations et éventuellement recevoir des commandes.

1.2.1 Définition et architecture IOT :

1. Définitions d’Internet des objets :
Il n’existe pas une définition standard et unifiée de l’Internet des objets, et certaines
définitions concernent les aspects techniques de l’IOT, tandis que d’autres définitions
évoquent l’utilisation et caractéristique .
• Définition 1 :
L’IOT définit différentes solutions techniques avec un ensemble de caractéristiques
identification des objets, capter, stocker, traiter, et transférer des données dans les
environnements physiques .
• Définition 2 :
La technologie IOT est considérée comme l’émergence du futur Internet, certains
définir comme "un objet doté d’une identité et d’une personnalité virtuelles, opé-
rant dans des espaces intelligents et en utilisant des interfaces intelligentes pour se
connecter et communiquer dans une variété d’environnements d’utilisation".
D’autres s’en tiennent au côté omniprésent de l’IoT, permettant aux gens de se
connecter les uns aux autres, N’importe où, n’importe quand, n’importe quel objet.
Ce nouveau paradigme informatique n’est plus basé sur les PC et les périphériques
ordinateurs, mais sur les objets du quotidien en leur attribuant un capteur intégré
Intelligence et capacité à communiquer sur Internet.

6
 F IGURE 1.1 – Internet des objets.

2. Eléments d’une architecture IoT :

L’Union Internationale des Télécommunications (UIT-T) propose une architecture IOT
en 4 couche :la couche de détection, la couche réseau, la couche service et la couche
application.La figure 1.2 illustre l’organisation en couches et les différents éléments de
chaque couche.

F IGURE 1.2 – Architecture IOT à quatre couches

• Couche de détection :
La couche de détection ou sensing layer en anglais est la couche la plus basse de
l’architecture. Les éléments de cette couche constituent les périphériques finaux de
l’architecture. Il s’agit des objets dit "connectés et intelligents" et des capteurs. Leur
rôle est de collecter des données de leur environnement au moyen de divers cap-
teurs et de remonter via la couche réseau les données collectées à la couche service.
Ces objets peuvent également agir sur leur environnement au moyen d’actionneurs.
Chaque objet est globalement identifiable de manière unique. Suivant les applica-
tions, on distingue plusieurs types de capteurs : des accéléromètres, des gyroscopes,
des capteurs de température, des capteurs de qualité des eaux, des capteurs du
rythme cardiaque, des capteurs photo-électriques, des capteurs électro-chimiques,
des capteurs à infrarouge, etc.
• Couche réseau :
La couche réseau ou network layer en anglais, située au-dessus de la couche de

7
 détection, gère toutes les activités réseau d’une infrastructure IOT, c’est-à-dire la
connectivité, le routage, l’interconnexion, l’acheminement de paquet, la qualité de
service, la gestion de l’adressage et l’adaptation de protocole, etc. Elle héberge
des passerelles (gateway) qui font office de passerelle vers Internet pour des objets
contraints, en assurant l’adaptation de protocole et le routage des données. Elle est
également responsable du transport des données provenant de la couche de détec-
tion vers les services et applications, consommateurs de ces données.
• Couche service :
La couche service ou service layer, située au-dessus de la couche réseau, fournit et
gère les services requis par les utilisateurs et les applications de l’architecture. A
cet effet, elle héberge les services de stockage, de traitement et d’analyse d’infor-
mations des données remontées par la couche de détection. Elle est également res-
ponsable de la mise en œuvre des logiques métiers des applications. Cela nécessite
l’extraction des informations nécessaires à partir de l’énorme quantité de données
collectées par les objets. Les services que l’on retrouve à ce niveau sont généra-
lement les services d’analyse des données Big Data, les services d’apprentissage
automatique et les services d’interfaces de programmation d’application (API : Ap-
plication Programing Interface). Nous avons également, au niveau de cette couche,
le service de support opérationnel, de configuration et de mise à jour des disposi-
tifs (les objets), de reporting et de facturation. C’est également au niveau de cette
couche que sont hébergés le service de gestion de la qualité de service et la plu-
part des opérations de sécurité (bien que la sécurité soit transversale à toutes les
couches) tels que le contrôle d’accès, la gestion de l’identification et la gestion des
processus métiers.
• Couche application :
La couche application ou application layer est la couche la plus haute de l’architec-
ture. Elle exploite les fonctionnalités offertes par la couche service. Elle comprend
également les méthodes d’interaction du système avec les utilisateurs finaux. Ainsi,
on y retrouve diverses applications basées sur les objets connectés. Parmi elles, nous
avons les maisons intelligentes, la e santé, l’industrie 4.0, le smart grid, etc.

1.2.2 Domaines d’applications :

L’Internet des Objets est utilisé dans divers secteurs tel que l’agriculture, soins de santé, la
domotique... etc.

8
 F IGURE 1.3 – Quelques domaines d’applications de l’IoT.

• Domotique :
C’est un ensemble de technologies qui permettent à la maison d’être intelligente, de
penser par elle-même, et de contrôler divers équipements depuis la même interface (té-
léphone, panneau) grâce à l’Internet des objets, qui a facilité et créé la communication
entre les appareils électroménagers et les a contrôlés. à distance, et dans ce sens et la
propagation de l’Internet des objets nous arrivons aux villes .
• Agriculture :
Dans ce domaine, des réseaux de capteurs interconnectés l’Internet des objets peut être
utilisé pour surveiller l’environnement des cultures . Ce qui conduit à de bons résultats et
à l’amélioration de l’eau d’irrigation et de l’utilisation des intrants et de la planification
des travaux agricoles grâce à eux, ces réseaux peuvent être utilisés pour lutter contre les
dégâts et les catastrophes et améliorer la qualité de l’environnement en général .
• Villes intelligentes (Smart City) :
Le terme villes intelligentes est utilisé pour désigner l’écosystème cyber . Grâce à des
services avancés, il est en effet peut optimiser l’utilisation de l’infrastructure physique
de la ville (réseau routes, réseaux électriques, etc.), améliorant ainsi la qualité de vie des
personnes citoyen.
• Santé :
En santé, l’IoT surveillera les signes fournir des cliniques aux patients en créant des
réseaux personnels et des capteurs médicaux surveiller les constantes biologiques telles
que la température corporelle, Tension artérielle et activité respiratoire . Afin de faciliter
la surveillance et d’apporter des solutions, notamment aux personnes à mobilité réduite,
dans le domaine de la santé, leurs activités dans leur milieu de vie sont surveillées grâce
à des capteurs portables (accéléromètres, gyroscopes, etc.) ou fixes.
• Environment :
Dans ce domaine, un rôle clé est joué par capacité à détecter et autogérer les phénomènes
naturels, vent, Hauteurs des rivières, etc. De plus, une intégration transparente de ces

9
 données hétérogènes .
• Sécurité de la surveillance :
La sécurité de la surveillance est Devenir un bâtiment d’entreprise, un centre commercial,
usine, parking et autres lieux publics. Tout en protégeant la vie privée utilisateur . Afin
d’obtenir et d’acquérir une grande capacité de sécurité et facilement Il existe plusieurs
capteurs utilisés pour la surveillance par exemple il y a des capteurs ambiants qui peuvent
être utilisés pour surveiller la présence des produits chimiques dangereux, des captures
de surveillance du comportement des personnes pour détecter la présence des personnes
qui agissent de manières suspectes.
• Industrie :
Dans le domaine de l’industrie l’IOT permettra un suivi complet des produits, En en-
cadrant de la chaîne de production à la chaîne logistique de distribution conditions de
fourniture, lutte contre la contrefaçon, la fraude et la criminalité économie transfronta-
lière.

1.3 Technologies prises en charge

1.3.1 Protocoles de communication :

Dans l’écosystème IOT, la communication entre dispositifs repose sur des protocoles spé-
cialement conçus pour répondre à des défis techniques bien précis. Ces protocoles constituent
la colonne vertébrale des échanges de données, reliant les capteurs, les passerelles et les plate-
formes cloud.
On va lister quelques exemples de ces protocoles :
• MQTT :
Message Queuing Telemetry Transport est un protocole de communication conçu pour
les communications M2M (« Machine-to Machine ») par IBM (« International Business
Machines »). MQTT est ouvert, simple, léger et facile à mettre en œuvre. Il consomme
peu d’énergie et ne nécessite que peu de ressources processeur et mémoire. Ces carac-
téristiques le rendent idéal pour une utilisation dans des environnements contraints. Le
protocole MQTT peut par exemple être utilisé pour le contrôle des systèmes domotiques
d’une maison intelligente. MQTT fonctionne selon le principe du modèle client/serveur
où chaque dispositif (client) établit une connexion TCP à un serveur. Il s’appuie sur le
modèle producteur/consommateur et plus précisément « publish/subscribe ». Le serveur,
appelé « broker » agit dans ce modèle comme un intermédiaire de mise en relation entre
« publisher » et « subscriber ». Un client peut donc être soit l’objet qui communique
l’information au broker (il est alors appelé « publisher ») ou bien celui qui demande l’in-
formation au broker (il est alors appelé « subscriber »). MQTT est orienté message. Les
messages sont publiés sur des « topics » (qui sont des sortes de chemins d’accès à des
ressources) hébergés par le broker. Les « subscribers » peuvent alors souscrire auprès

10
 du broker à plusieurs topics et ils seront ainsi notifiés de tous les messages reçus par le
broker pour les topics pertinents.
• CoAP :
Constrained Application Protocol est un protocole de communication élaboré par le
groupe CoRE (« Constrained Resource Environments ») de l’IETF (« Internet Enginee-
ring Task Force ») pour étendre l’architecture web aux applications M2M . Il est basé sur
UDP pour minimiser la surcharge réseau et consomme peu d’énergie. Ce protocole a été
développé pour assurer la fiabilité des communications dans des environnements à faible
bande passante entre des capteurs ou des actionneurs. CoAP peut être vu comme un sous
ensemble de HTTP (« HyperText Transfer Protocol »). Il suit le modèle client/serveur
où les clients utilisent les méthodes GET, PUT, POST et DELETE pour accéder aux res-
sources des serveurs. Il fonctionne de manière asynchrone et les messages échangés sur
le réseau sont soit acquittés par le récepteur, soit envoyés sans garantie de réception. Pour
sécuriser les transferts de données sur UDP, le protocole CoAP utilise DTLS (« Datagram
Transport Layer Security ») pour offrir les mêmes garanties que TLS pour le protocole
TCP. Il est à noter que DTLS adresse aussi les problèmes de perte et de réordonnance-
ment des paquets.
• ZigBee :
Zigbee est un protocole réseau sans fil spécialement conçu pour les dispositifs limités en
ressources. Zigbee se base sur la norme IEEE 802.15.4 et fournit des services de sécurité
qui comprennent l’établissement et l’échange de clés, la protection et l’authentification
des dispositifs. Il permet également d’utiliser l’algorithme AES avec des clés de 128
bits pour garantir l’intégrité et l’authentification des messages. ZigBee a été largement
déployé dans différents domaines comme les IIoT (« Industrial IoT ») et l’agriculture.
Mais Zigbee peut aussi permettre aux objets intelligents de collaborer afin d’améliorer
la vie quotidienne. Par exemple, dans le domaine médical, Continua Health Alliance
5 utilise le profil standard ZigBee Health Care pour collecter les données à partir de
différentes positions (les résidences privées, les centres de loisirs, les maisons de retraite,
les hôpitaux, etc.) en raison de son interopérabilité, de sa faible consommation d’énergie
mais aussi de sa fiabilité et de sa sécurité.
• Bluetooth Low Energy BLE : Bluetooth Low Energy est un protocole de communication
sans fil développé par le Bluetooth SIG ("Special Interest Group") comme évolution éner-
gétiquement efficace du Bluetooth classique. Spécialement conçu pour les appareils à très
faible consommation, BLE repose sur la norme IEEE 802.15.1 et opère dans la bande de
fréquence 2.4 GHz. Il a pour but de fournir les mêmes fonctionnalités que le Bluetooth
classique avec un coût et une consommation d’énergie réduits. Il est ainsi implémenté
dans les objets à faible ressource énergétique, et de fait est utilisé pour de multiples ap-
plications dans différents domaines tels que la santé. Dans la version 4.1, BLE a introduit
l’utilisation de l’algorithme de chiffrement AES (« Advanced Encryption Standard »)
avec compteur (CTR, « CounTeR mode ») en mode CBC-MAC (AES-CCM) pour la

11
 première fois dans une spécification Bluetooth, afin de fournir à la fois l’authentification
et la confidentialité des données transmises.
• LoRaWan :
LoRaWan (« Long Range Wide-area network ») est un protocole de communication par
radio à bas débit et à longue portée. LoRaWan permet à des dispositifs intelligents à
faibles ressources de communiquer entre eux en utilisant la technologie LoRa, voire
d’être connectés à Internet via des passerelles. L’architecture de base d’un réseau Lo-
RaWan repose sur une topologie en étoile, dans laquelle les passerelles transmettent les
messages entre les dispositifs et un serveur central souvent connecté à Internet .
Les passerelles sont connectées au serveur du réseau via des connexions standard IP, tan-
dis que les dispositifs sont reliés à une ou plusieurs passerelles via les fréquences radio
LoRa et une communication directe (« one hop »). Les communications sur ce réseau
sont généralement bidirectionnelles, sachant que la communication à partir des disposi-
tifs vers le serveur du réseau constitue généralement l’essentiel du trafic. Les dispositifs
communiquent avec les passerelles en utilisant les différents canaux de fréquences et les
débits de données disponibles. Pour maximiser la durée de vie des batteries des dispo-
sitifs et la capacité globale du réseau, l’infrastructure réseau LoRa utilise un schéma de
débit de données adaptatif, ADR (« Adaptive Data Rate »).
Dans le domaine de la santé, les dispositifs utilisant LoRaWAN peuvent être utilisés
pour surveiller la pression artérielle et le taux de glucose des patients à l’hôpital ou à leur
domicile, pour surveiller les personnes âgées à domicile afin de détecter des chutes ou
des pertes de connaissance .

1.3.2 Plateformes IoT

Les plateformes IoT représentent une couche essentielle dans l’architecture des systèmes
IoT modernes. Elles assurent la gestion, le contrôle , la connexion, et l’analyse des disposi-
tifs et des données générées. Ces plateformes simplifient l’intégration de dispositifs variés, le
traitement en temps réel, et la mise en œuvre de mécanismes de sécurité robustes. Parmi les
plateformes les plus utilisées, on distingue :
• AWS IoT :
AWS IoT est une plateforme cloud robuste conçue pour connecter, gérer et sécuriser
des milliards d’appareils à grande échelle. Elle permet une communication bidirection-
nelle entre les objets connectés et le cloud via des protocoles comme MQTT, HTTPS
et LoRaWAN. AWS IoT Core s’intègre avec d’autres services Amazon tels que AWS
Lambda, Amazon Kinesis ou encore Amazon SageMaker pour fournir des fonctionnali-
tés avancées comme l’analyse en temps réel, l’apprentissage automatique embarqué, et
la gestion automatisée des flux de données. La sécurité est renforcée à travers l’authenti-
fication mutuelle TLS, la gestion fine des autorisations avec AWS IAM, et le chiffrement
des données en transit et au repos.

12
• Google Cloud IoT :
La solution Google Cloud IoT permet de connecter de manière sécurisée les disposi-
tifs IoT à la plateforme cloud de Google. Elle s’appuie notamment sur Cloud IoT Core,
qui permet l’ingestion des données, lesquelles peuvent ensuite être traitées à l’aide de
services comme Pub/Sub, Dataflow ou encore BigQuery pour l’analyse en temps réel.
Google Cloud propose également l’intégration directe avec TensorFlow et AutoML, per-
mettant de déployer des modèles d’intelligence artificielle pour effectuer de la prédiction
ou de la détection d’anomalies. Elle supporte les protocoles MQTT et HTTP sur une
infrastructure hautement scalable et sécurisée.
• Microsoft Azure IoT Hub :
Azure IoT Hub sert de plateforme centralisée pour l’orchestration des périphériques IoT
dans l’environnement Azure. Elle permet des échanges protégés entre les objets et le
cloud via des protocoles tels que MQTT, AMQP et HTTPS. Azure IoT Hub propose éga-
lement des fonctionnalités puissantes comme le provisioning automatique des appareils
(DPS), la surveillance à distance, les jumeaux numériques (Digital Twins) et l’intégra-
tion parfaite avec l’ensemble des services Azure d’analyse de données, de stockage cloud,
ainsi que les plateformes d’IA et de machine learning de la plateforme Azure. Elle prend
en charge des architectures hybrides combinant edge computing et cloud, via Azure IoT
Edge.
• IBM Watson IoT :
IBM Watson IoT Platform se distingue par sa capacité à combiner les flux IoT avec les
fonctionnalités avancées d’intelligence artificielle de la suite Watson.Elle intègre des mo-
dules d’analyse prédictive, maintenance préventive et visualisation temps réel. Grace à
la puissance cognitive de Watson IBM, les entreprises peuvent automatiser la détection
d’anomalies, générer des alertes intelligentes et améliorer la prise de décision. La pla-
teforme assure également la sécurité des dispositifs et des données, avec des options de
chiffrement, d’authentification, et de gestion des accès.

1.3.3 Architectures de traitement des données

Le traitement des données dans un système IoT peut s’effectuer à différents niveaux de l’ar-
chitecture, en fonction des contraintes de performance, de bande passante, de confidentialité,
ou encore de temps réel. On distingue principalement trois approches : le cloud computing,
l’edge computing et le fog computing.
• Edge Computing :
Dans l’edge computing, le traitement des données est effectué localement, au plus près
des capteurs et des dispositifs IoT. Cette approche permet de réduire considérablement
la latence, de minimiser la bande passante nécessaire pour transmettre les données vers
le cloud, et d’améliorer la confidentialité. Elle est particulièrement adaptée aux applica-
tions sensibles au temps de réponse, telles que les véhicules autonomes, la surveillance

13
 industrielle, ou les systèmes de détection de panne. Les nœuds edge peuvent exécuter des
modèles d’intelligence artificielle allégés (TinyML) ou réaliser un premier traitement des
données avant leur transmission vers le cloud.
• Cloud Computing :
Le cloud computing repose sur l’exploitation d’infrastructures virtualisées hébergées
dans des data centers géographiquement distribués, permettant le stockage massif, le trai-
tement distribué et l’analyse avancée des données issues des réseaux IoT. Cette approche
offre des ressources quasi illimitées de calcul et de stockage, permettant l’exécution de
modèles complexes de machine learning ou de traitement de flux massifs. Cependant, elle
implique une dépendance à une connexion réseau fiable, ce qui peut poser problème dans
les environnements à connectivité instable. Elle est idéale pour l’analyse de tendances à
long terme, le stockage massif, et les tableaux de bord analytiques.
• Fog Computing :
Le fog computing constitue une couche intermédiaire entre le cloud et l’edge. Introduit
par Cisco, ce paradigme vise à rapprocher certaines fonctions de traitement du cloud
vers des passerelles locales ou des serveurs en périphérie du réseau. Il permet de tirer
profit des avantages des deux approches précédentes : traitement local pour les tâches
critiques et agrégation ou archivage dans le cloud pour les traitements globaux. Le fog
est utilisé dans des contextes où un équilibre est nécessaire entre traitement en temps réel
et vue d’ensemble, comme dans les villes intelligentes, les réseaux électriques intelligents
(smart grids), ou les systèmes de transport intelligents.

1.4 Attaques contre l’environnement IOT :

Une cyberattaque peut être définie comme un ensemble d’actions visant à altérer, perturber
ou détruire des systèmes ou réseaux informatiques, ou les informations et programmes qu’ils
contiennent .
Les cyberattaques évoluent en permanence et deviennent de plus en plus complexes et
fréquentes. Certains experts en détection d’intrusions soutiennent que la majorité des cybe-
rattaques dites « nouvelles » sont en réalité des variantes d’attaques déjà connues, et que la
signature de ces attaques connues peut suffire à détecter les nouvelles formes.
Tavallaee, Bagheri, Lu et Ghorbani classent les cyberattaques en quatre types principaux :

1.4.1 Probing (Reconnaissance / Exploration) :

L’attaquant cartographie le réseau (topologie, ports ouverts, services actifs, etc.) pour repé-
rer ses faiblesses avant de lancer une offensive.
1. Exemples dans l’IoT :

• Scan de ports sur des caméras de surveillance connectées pour identifier les services
mal configurés ou vulnérables.

14
 • Exploration d’un réseau domotique pour cartographier les appareils intelligents (ex :
détecteurs de mouvement, thermostats, assistants vocaux).

2. Techniques courantes :

• utilisation d’outils comme Nmap pour détecter les ports ouverts sur les dispositifs IoT.
• Port scanning : utilisation d’outils comme Nmap pour détecter les ports ouverts sur
les dispositifs
• Network mapping : usage de commandes telles que traceroute pour cartographier
l’architecture réseau.
• Fingerprinting : identification précise des systèmes d’exploitation et des versions de
logiciels en service.

3. Impact :

• Facilite la préparation d’attaques ciblées en dévoilant les faiblesses structurelles.

• Augmente la surface d’attaque en exposant des services inutiles ou mal sécurisés.

Type d’attaque Service Mécanisme Effet de l’attaque

Ipsweep ICMP Abus de fonctionnalité Identifie les machines actives
Mscan Plusieurs Abus de fonctionnalité Recherche des vulnérabilités connues
Nmap Plusieurs Abus de fonctionnalité Identifie les ports actifs sur une machine
Saint Plusieurs Abus de fonctionnalité Recherche des vulnérabilités connues
Satan Plusieurs Abus de fonctionnalité Recherche des vulnérabilités connues
TABLE 1.1 – Quelques attaques de type Probing

1.4.2 R2L (Remote to Local) :

Un attaquant distant tente d’accéder illégalement à un compte ou une machine locale.
1. Exemples dans l’IoT :

• Exploitation d’une vulnérabilité dans le firmware d’un thermostat intelligent pour en

obtenir les privilèges administratifs.
• Utilisation de mots de passe par défaut ou insuffisamment sécurisés pour infiltrer des
caméras de surveillance ou dispositifs de santé connectés.

2. Techniques courantes :

• Exploitation de failles de sécurité : attaques de type buffer overflow ou injection de

code sur les interfaces des dispositifs.
• Bruteforce : attaques par essais successifs de combinaisons de mots de passe sur les
panneaux d’administration IoT.
• Phishing ciblé :campagnes de hameçonnage visant les utilisateurs pour capturer des
identifiants d’accès.

15
 3. Impact :

• Compromission directe de dispositifs connectés.

• Vol ou altération de données sensibles (informations personnelles, historiques d’acti-
vité).
• Mise en place de portes dérobées pour des attaques ultérieures.

Type d’attaque Service Mécanisme Effet de l’attaque

Dictionary telnet, rlogin, Abus de fonction- Obtention d’un accès utilisateur
pop, ftp, imap nalités
Ftp-write ftp Mauvaise confi- Obtention d’un accès utilisateur
guration
Guest telnet, rlogin Mauvaise confi- Obtention d’un accès utilisateur
guration
Imap imap Bug Obtention d’un accès root
Named dns Bug Obtention d’un accès root
Phf http Bug Exécution de commandes en tant qu’utili-
sateur HTTP
Sendmail smtp Bug Exécution de commandes en tant que root
Xlock smtp Mauvaise confi- Usurpation d’utilisateur pour obtenir un
guration mot de passe
Xsnoop smtp Mauvaise confi- Surveillance à distance des frappes cla-
guration vier
TABLE 1.2 – Quelques attaques de type R2L

1.4.3 U2R (User to Root) :

Après avoir obtenu l’accès à un compte standard (par ingénierie sociale , vol de mot de
passe. . .), le pirate exploite une faille pour acquérir des privilèges administrateur.
1. Exemples dans l’IoT :

• Escalade de privilèges sur un serveur de gestion d’objets connectés, permettant un

contrôle global sur les dispositifs associés.
• Exploitation de vulnérabilités logicielles (ex : failles dans les mécanismes d’authenti-
fication) pour obtenir des droits root sur une passerelle IoT.

2. Techniques courantes :

• Exploitation de vulnérabilités système : erreurs de configuration des permissions,

mauvaise isolation des processus.
• Utilisation de scripts automatisés : outils conçus pour rechercher et exploiter rapide-
ment des failles permettant l’élévation de privilèges.

16
 3. Impact :

• Prise de contrôle totale du dispositif affecté.

• Installation de malwares, modification ou suppression de données, détournement des
fonctionnalités originales.
• Risque de propagation d’attaques à d’autres équipements du réseau.

Type d’attaque Service Mécanisme Effet de l’attaque

Eject Session utilisateur Dépassement de tam- Obtention d’un shell root
pon (Buffer overflow)
Fbconfig Session utilisateur Dépassement de tam- Obtention d’un shell root
pon (Buffer overflow)
Fdformat Session utilisateur Dépassement de tam- Obtention d’un shell root
pon (Buffer overflow)
Loadmodule Session utilisateur Mauvaise sanitation de Obtention d’un shell root
l’environnement
Perl Session utilisateur Mauvaise sanitation de Obtention d’un shell root
l’environnement
Ps Session utilisateur Mauvaise gestion des Obtention d’un shell root
fichiers temporaires
Xterm Session utilisateur Dépassement de tam- Obtention d’un shell root
pon (Buffer overflow)
TABLE 1.3 – Quelques attaques U2R

1.4.4 DoS / DDoS (Denial of Service) :

Dans cette section, nous allons désormais nous concentrer principalement sur les attaques
DoS et DDoS, car elles constituent le cœur de notre travail pratique et feront l’objet d’une étude
approfondie lors de la phase d’implémentation.

1. Attaques par déni de service :

Les attaques par déni de service (DoS) sont l’une des méthodes de cyber attaque les plus
courantes dans le domaine de la sécurité des réseaux. Elles empêchent les utilisateurs
légitimes d’accéder au réseau et à d’autres ressources. Les attaquants y parviennent en
inondant le réseau de faux trafic (nombre excessif de paquets inutiles) qui dépassent la
capacité du serveur ce qui entraîne un déni de service pour les demandes supplémentaires
(voir la figure 1.4) . Les victimes des attaques DoS sont souvent les organisations serveurs
web bien connues telles que les banques, les entreprises commerciales et les médias.
Les attaques DoS peuvent durer de quelques heures à plusieurs mois et peuvent coûter
du temps et de l’argent aux entreprises pendant que leurs ressources et services sont
indisponibles .

17
 Avec le temps, l’attaque DoS a évolué vers une attaque par déni de service distribué
(DDoS) où l’attaquant compromet d’autres machines vulnérables sur l’Internet pour co-
ordonner l’attaque à un moment donné sur la machine victime, multipliant ainsi l’effet
du déni de service .

F IGURE 1.4 – Attaque DoS.

2. Attaques par déni de service distribuées :

• Définition :
Le déni de service distribué DDoS est une attaque coordonnée à grande échelle
contre la isponibilité des services d’un système victime ou des ressources d’un ré-
seau, lancé indirectement par l’intermédiaire de nombreux ordinateurs compromis
appelés «zombies» sur l’internet. En utilisant la technologie client/serveur, l’atta-
quant est en mesure de multiplier l’efficacité de l’attaque, de manière significative,
en utilisant les ressources de nombreux zombies accomplis à leur insu, qui servent
de plateformes d’attaque (voir la figure 1.5). Les zombies effectuent l’attaque pro-
prement dite en augmentant considérablement le trafic vers une machine victime.
En conséquence, la machine victime perd toutes ses ressources de calcul et de com-
munication .

F IGURE 1.5 – Attaque DDoS.

• Catégories de cibles d’attaques DDoS :

Les attaques DDoS ciblent les ressources du réseau et du serveur qui sont citées
ci-dessous .
- Bande passante : Les attaques par inondation/volume consomment toute la bande
passante du réseau. Elles ne permettent pas aux demandes légitimes d’atteindre
le serveur en épuisant le canal.
- Mémoire : Les attaques basées sur le protocole, telle que l’attaque SYN, font que
la connexion TCP est ouverte en permanence, ce qui entraîne un dépassement
de la mémoire tampon. Elles consomment entièrement la mémoire tampon ou
la mémoire de la table de connexion TCP.

18
 - CPU : Les attaques basées sur la couche d’application visent les serveurs web.
Elles rendent le service indisponible pour les utilisateurs légitimes en épuisant
la puissance de traitement de l’unité centrale ou du serveur, et le serveur tombe
en panne.
• Déni de service par amplification /réflexion :
- DDoS par amplification :
Les attaques par amplification génèrent un volume important de paquets qui
sont utilisés pour submerger le site web cible sans alerter l’intermédiaire. Cela
se produit lorsqu’un service vulnérable répond par une réponse volumineuse
quand l’attaquant envoie sa requête, souvent appelée paquet de déclenchement.
À l’aide d’outils facilement disponibles, l’attaquant peut envoyer plusieurs mil-
liers de requêtes aux services vulnérables, provoquant ainsi des réponses consi-
dérablement plus volumineuses que la requête initiale et amplifiant de manière
significative la taille et la bande passante délivrées à la cible. L’amplification
peut se traduire par l’envoi de plusieurs paquets de réponse pour un seul paquet,
ou par des paquets plus volumineux que l’original. L’une ou l’autre méthode
entraîne une amplification .
- DDoS par réflexion :
Une autre méthode appliquée par les attaquants DDoS est la méthode de ré-
flexion, qui consiste à utiliser des serveurs non compromis pour acheminer le
trafic vers la victime et l’aider à consommer sa bande passante. Cette méthode
permet à l’attaquant d’envoyer indirectement du trafic à la victime et de ne pas
être détecté (voir la figure 1.6). Dans cette méthode, tous les paquets d’attaque
envoyés par l’attaquant, contiennent l’adresse IP de la victime dans le champ
de l’adresse source des paquets IP. Lorsque le serveur reçoit ces demandes de
service, il envoie sa réponse au nœud victime, et non au nœud source réel du
paquet .

F IGURE 1.6 – DDoS par amplification /réflexion.

19
• Architecture des attaques DDoS :
Comme le montre la figure 1.7, une attaque DDoS se compose de quatre éléments :
- L’attaquant.
- Les maîtres de contrôle (ou gestionnaires).
- Les agents (ou zombies)
- La victime
L’attaquant commence par analyser des millions de machines sur l’internet pour
trouver des machines vulnérables dont la sécurité peut être facilement exploitée.
Ces machines sont appelées "maîtres" ou "handlers", car elles sont directement sous
le contrôle de l’attaquant. Le processus de recrutement des "handlers" est entière-
ment automatisé et s’effectue par un balayage continu des machines distantes à
la recherche d’éventuelles failles de sécurité. L’attaquant installe des codes mal-
veillants dans ces machines infectées qui deviennent alors capables de déployer
d’autres machines infectées . Les machines déployées par les gestionnaires sont di-
rectement sous leur contrôle et sont connues sous le nom d’esclaves ou de zombies.
L’attaquant contrôle indirectement ces machines par l’intermédiaire des gestion-
naires. Sur le signal de l’attaquant, ces handlers et zombies sont utilisés pour lancer
une attaque coordonnée sur la machine cible. Cette attaque rend la machine cible
incapable de communiquer ou d’utiliser ses ressources. L’attaquant utilise souvent
l’usurpation d’adresse IP dans les gestionnaires et les zombies pour masquer l’iden-
tité de ces machines. Cela permet à l’attaquant d’utiliser les mêmes machines pour
créer une attaque DDoS .

F IGURE 1.7 – Architecture d’une attaque DDoS.

• Techniques utilisées pour réaliser une attaque DDoS :

On présente ci-dessous, quelques techniques pour réaliser une attaque DDoS.
- SYN flood :
L’attaque SYN Flood du protocole de contrôle de transmission (TCP) est une
attaque DDoS qui exploite la conception du processus de communication TCP
à trois voies entre un client, un hôte et un serveur. Tout d’abord, un client initie
une nouvelle session en envoyant un paquet SYN au serveur. Le serveur répond

20
 par un paquet SYN-ACK, puis le client envoie un paquet ACK au serveur avant
qu’une connexion ne soit établie comme le montre la figure 1.8.

F IGURE 1.8 – Poignée de main à trois.

Dans une attaque par inondation SYN, l’attaquant envoie plusieurs demandes
SYN à chaque port du serveur ciblé, en utilisant souvent des adresses IP usur-
pées. Le serveur, qui n’est pas au courant de l’attaque, reçoit de multiples de-
mandes, apparemment légitimes, pour établir la communication. Il répond à
chacune d’entre elles par un paquet SYN-ACK provenant de chaque port ou-
vert. Avant que la connexion ne se termine, un autre paquet SYN arrive. Cela
laisse un nombre de plus en plus important de connexions semi-ouvertes .Ce
flot de paquets TCP SYN consomme la bande passante du serveur et rend les
ressources du réseau indisponibles pour l’utilisateur légitime [20]. Enfin, le ser-
veur peut même présenter des dysfonctionnements ou se bloquer (voir la figure
1.9).

F IGURE 1.9 – Attaque par inondation TCP-SYN.

- Réflexion DNS :
Le DNS (serveur de noms de domaine) est un élément essentiel des infrastruc-
tures de réseau et est responsable de la traduction des noms de domaine en

21
 adresses IP. Les attaques DNS DDoS, en particulier celles basées sur la ré-
flexion, constituent une menace importante pour le service de noms de domaine
et la sécurité du réseau. La figure 1.10 illustre le fonctionnement des attaques
par réflexion DNS. Lors d’une attaque par réflexion DNS, l’attaquant envoie
un grand nombre de requêtes DNS aux serveurs DNS avec l’adresse IP source
des paquets de requêtes usurpée en tant que celle de la victime. Ces requêtes
DNS demandent des réponses à forte charge, telles que "Donnez-moi tous vos
enregistrements DNS" ou "Donnez-moi les adresses IP de plusieurs noms de
domaine". Ces réponses submergent la victime et épuisent ses ressources .

F IGURE 1.10 – Réflexion DNS.

- Inondation UDP :
Ce type d’attaque DDoS utilise le protocole UDP qui est un protocole de réseau
sans connexion et sans session. Il n’est pas lié à une poignée de main à trois
comme le TCP et il fonctionne avec un sur débit réduit, de sorte qu’il peut être
purgé avec des ressources mineures. Dans ce cas, l’attaquant inonde les ports
arbitraires de l’hôte ciblé de paquets IP contenant le datagramme UDP. Les
hôtes récepteurs examinent les applications avec ces datagrammes, lorsqu’au-
cune application corrélée n’est à l’écoute, ils répondent par un paquet ICMP
de destination inaccessible. Certaines attaques par inondation UDP peuvent
prendre la forme d’attaques par amplification DNS. L’UDP amplifié et non
amplifié peut émaner de groupes de botnets de différentes tailles (voir la figure
1.11). Il existe un certain nombre de logiciels accessibles dans le commerce
qui permettent d’effectuer une attaque par inondation UDP (par exemple, UDP
Unicorn) .

22
 F IGURE 1.11 – Inondation UDP.

- Inondation ICMP :
Attaque par inondation ICMP (appelé aussi attaque par inondation Ping : Le
protocole ICMP (Internet Control Message Protocol) est un autre protocole
sans connexion utilisé pour les opérations IP, les diagnostics et les erreurs [13].
L’inondation ICMP échappe aux erreurs de configuration des appareils de ré-
seau. L’attaquant envoie au serveur un très grand nombre de paquets ICMP
avec une fausse adresse de retour, de sorte que le serveur n’a pas le temps de
répondre à d’autres serveurs (voir la figure 1.12). Il n’échange pas les données
entre les systèmes. La largeur de bande du réseau est réduite, ce qui fait que les
paquets légitimes sont rejetés par les serveurs. Dans ce cas, l’attaquant lance
un programme contrôleur (cheval de Troie) sur l’ordinateur maître, qui entraîne
ensuite l’ordinateur esclave à propager l’attaque sur la victime .

F IGURE 1.12 – Inondation ICMP.

- Attaque HTTP :
Cette attaque nécessite une meilleure compréhension de l’activité de la victime.
L’utilisation de l’attaque HTTP ne nécessite pas un trafic énorme pour affecter
la victime, et elle est difficile à identifier, car le trafic de l’attaque est similaire
au trafic normal (voir la figure 1.13).

23
 F IGURE 1.13 – Attaque HTTP.

• Après avoir présenté le principe général des attaques DDoS, il est essentiel de
comprendre pourquoi ces attaques représentent une menace particulièrement
sérieuse dans le contexte des environnements IoT.
En effet,Avec le nombre croissant d’appareils IoT, la possibilité de devenir victime
d’une attaque DDoS augmente. Ces attaques fonctionnent sur la base d’infections
de logiciels malveillants qui sont transmises sur le réseau en compromettant diffé-
rents appareils IoT. L’intensité d’une telle attaque dépend directement du nombre
d’appareils IoT infectés que l’attaquant aura utilisés pour déclencher l’attaque. Au
sein de la communauté des hackers, ces appareils IoT compromis sont connus sous
le nom de « bots ». La conversion d’un appareil IoT normal en un bot s’effectue par
l’installation d’un logiciel malveillant (programmes malveillants) sur l’appareil vic-
time, en envahissant son système de sécurité sans que l’utilisateur s’en aperçoive.
En outre, le serveur qui contrôle ces bots est appelé "Master Bot Controller".
Le mode de communication utilisé par les Master bots pour contrôler leurs ma-
chines infectées peut être basé sur l’IRC (Internet Relay Chat), sur le Peer-To Peer
et sur le HTTP. Les botnets basés sur IRC ont une architecture client-serveur avec
des canaux de communication par défaut, tandis que les botnets basés sur HTTP
utilisent le protocole HTTP qui fonctionne au niveau des bits des données com-
muniquées, ce qui les rend plus difficiles à suivre et à détecter. De plus, avec la
répétition d’une telle infection, des millions de bots sont créés sous le Master Bot
et forment un réseau connu sous le nom de "Botnet" .
Plusieurs études approfondies ont été menées pour caractériser les botnets IoT. La
plupart de ces études se concentrent sur Mirai ou Bashlite, car la majorité des logi-
ciels malveillants IoT s’en inspire fortement et présente un comportement similaire.
Le botnet Mirai est constitué de quatre types de composants : les bots, le serveur de
commande et de contrôle (CC), le chargeur et le serveur de rapports.
- Un bot est un appareil compromis qui attend de recevoir des commandes du bot-
master (l’attaquant contrôlant le botnet), afin de rechercher des appareils vul-
nérables ou de lancer des attaques DDoS contre des cibles désignées.

24
 F IGURE 1.14 – Stratégie du Botnet.

- Le CC fournit une interface de gestion centralisée au botmaster pour contrôler le

botnet et lancer des attaques.
- Le chargeur contient des exécutables malveillants pour différentes architectures
(ARM, MIPS, x86) et est utilisé pour infecter de nouveaux appareils.
- Le serveur de rapports contient une base de données avec des détails sur tous les
appareils faisant partie du botnet.
Le comportement d’un malware de type Mirai peut être divisé en deux phases : la
phase de propagation et la phase d’attaque (ou de monétisation). Certains travaux
ont encore divisé la phase de propagation en une phase de reconnaissance et une
phase d’infection.
• Phase de propagation : tout d’abord, un bot scanne le réseau pour la recherche de
périphériques vulnérables exécutant le service Telnet sur les ports TCP 23 ou
2323. Une fois qu’un appareil mal configuré est identifié, l’attaque par force
brute est utilisée pour découvrir les informations d’identification correctes du
périphérique.
• Il existe 62 paires de nom d’utilisateur/mot de passe possibles qui sont cryptées de
manière statique dans Mirai. Lors de la première connexion réussie, l’adresse
IP de la victime, les informations d’identification associées et celles des di-
verses caractéristiques de l’appareil sont envoyées au serveur de rapports. Le
CC est utilisé par le botmaster pour vérifier régulièrement l’état du serveur
de rapports. Lorsqu’un nouveau périphérique vulnérable est disponible, le CC
envoie une commande « infection » au chargeur avec toutes les informations
nécessaires sur le périphérique à infecter. Le chargeur se connecte ensuite à
l’appareil ciblé, détermine son environnement sous-jacent et lui demande de
télécharger et d’exécuter le programme malveillant spécifique à l’architecture.
Pour masquer sa présence, Mirai supprime le fichier binaire téléchargé. Tous
les autres processus liés aux ports TCP 22 ou 23, ainsi que les processus as-
sociés aux logiciels malveillants concurrents, sont tués. Le périphérique nou-
vellement infecté attend désormais les commandes d’attaque de CC, tout en
analysant le réseau à la recherche de nouveaux périphériques vulnérables.
• Phase d’attaque : pour lancer une attaque, le botmaster envoie une commande

25
 d’attaque via le CC aux bots désignés, en précisant le serveur ciblé et le type
d’attaque à effectuer. Mirai peut lancer divers types d’attaques, notamment
UDP flood, SYN flood, Scan flood, ACK flood ou GRE IP flood. À la réception
de la commande d’attaque, les robots sélectionnés commenceront à lancer l’at-
taque spécifiée contre la cible désignée. Mirai a été principalement impliqué
dans des attaques DDoS à grande échelle, comme celle qui a eu lieu en octobre
2016 contre les serveurs de Dyn, un grand fournisseur DNS, et a détruit de
grandes parties d’Internet .
Mirai a infecté plus de 600000 appareils dans le monde. Les pays les plus touchés
étaient le Brésil, le Vietnam, la Chine et la Colombie. Depuis Mirai, les malwares
IoT ont considérablement évolué et deviennent de plus en plus sophistiqués. Ci-
dessous, nous énumérons quelques autres botnets IoT notables qui fonctionnent de
manière différente que Mirai :
Wirex récemment, plusieurs réseaux de diffusion de contenu (CDN) et fournis-
seurs de contenu ont été ciblés pour devenir les victimes d’une attaque DDoS qui
a été exécutée à l’aide d’un botnet appelé Dubbed Wirex. Celui-ci se compose de
milliers d’appareils Android exécutant des applications qui semblent légitimes mais
qui sont en réalité des logiciels malveillants. Akamai, Cloudflare, Google, Oracle
et d’autres organisations ont coopéré pour combattre ce botnet. Google a déjà sup-
primé centaines applications parmi les logiciels malveillants provenant d’un certain
nombre d’appareils et qui se trouvaient sur le Play Store .
Reaper étant donné que Mirai n’a pu exploiter que des appareils avec des
informations d’identi- fication par défaut, juste pour augmenter l’accessibilité, Rea-
per Botnet est capable d’exploiter d’autres vulnérabilités présentes dans l’IoT dis-
positifs . Plusieurs routeurs bien connus de Cisco Linksys, Netgear, D-link et les
caméras de surveillance connectées à internet ont été victimes de ce botnet.
Torii il s’agit là d’un autre malware qui a récemment été repéré par Dr. Bont-
chev sur son honeypot via des nœuds de sortie « Tor » (d’où le nom « Torii ») .
Il cible la plupart des ordinateurs modernes, des smartphones et des tablettes avec
des architectures telles que x86 (64 bits), x86, ARM, MIPS, etc. Il cherche égale-
ment, d’abord, un port telnet pour percer les informations d’identification faibles,
mais il est beaucoup plus sophistiqué que les autres IoT malware en raison de sa
capacité à télécharger les charges utiles pour infecter d’autres ordinateurs ayant des
architectures communes.
Hajime de manière similaire à Mirai, il infecte les appareils dont le port Telnet
est ouvert. Mais au lieu de s’appuyer sur une architecture centralisée, il est construit
sur un réseau P2P. Les bots agissent à la fois comme un serveur de commandes et
comme un client qui reçoit des commandes. Contrairement aux botnets centralisés,
les botnets P2P sont plus résilients car ils évitent tout point de défaillance unique. Il
utilise le protocole DHT de BitTorrent pour la découverte des pairs, et le protocole

26
 uTorrent Transport (uTP) pour l’échange de données. Les messages sont chiffrés et
signés à l’aide d’un schéma cryptographique RC4. Hajime n’a jamais été impliqué
dans une attaque jusqu’à présent .
HideNSeek (2018) c’est un malware IoT qui utilise un protocole P2P pour
les communications, et qui s’appuie à la fois sur l’exploitation des vulnérabilités
IoT connues et sur le forçage brutal des identifiants pour infecter les appareils.
Les nouvelles versions de HideNSeek atteignent la persistance (ils sont capables de
survivre à un redémarrage de l’appareil).
BrickerBot cible les appareils IoT basés sur Linux/BusyBox, et réalise des
attaques par déni de service permanent (PDoS) contre eux. Il n’essaie pas de té-
lécharger un binaire pour infecter un appareil, il exécute plutôt un ensemble de
commandes pour rendre l’appareil inutilisable. Il se sert de diverses méthodes telles
que la modification du firmware d’un appareil, l’effacement de tous les fichiers de
sa mémoire ou la reconfiguration de ses paramètres réseau.
En raison de leur nature vulnérable, les appareils IoT sont des cibles privilégiées
pour les développeurs de botnets. Les botnets IoT évoluent rapidement et deviennent
de plus en plus sophistiqués. Ils sont principalement utilisés pour effectuer des at-
taques DDoS à grande échelle. Or, avec de plus en plus d’appareils intelligents
capables de se connecter à Internet, d’autres types de menaces émergent, comme
les attaques MadIoT contre les réseaux électriques. Un certain nombre de solutions
a été proposé pour sécuriser les écosystèmes IoT, solutions qui sont décrites dans la
section suivante.

1.5 Contre-mesures existantes dans l’environnement IOT

1.5.1 Contre-mesures contre le Probing :

Les attaques de type probing, visant à recueillir des informations sur les réseaux et les
dispositifs connectés, nécessitent la mise en place de contre-mesures rigoureuses :
— Durcissement du réseau : Il est essentiel de désactiver tous les ports et services qui
ne sont pas nécessaires au fonctionnement du système. Cela réduit la surface d’attaque
exploitable par les attaquants et limite leurs possibilités de reconnaissance du réseau.
— Systèmes de détection de scans : L’utilisation de systèmes de détection d’intrusion (IDS)
spécialisés permet d’identifier rapidement les tentatives de scan et de reconnaissance. Ces
systèmes surveillent le trafic réseau à la recherche de signatures ou de comportements
anormaux associés aux activités de probing.
— Masquage de l’architecture réseau : La mise en place de techniques telles que le cloi-
sonnement via des VLANs et la segmentation du réseau empêche les attaquants d’avoir
une vue d’ensemble de l’infrastructure, rendant plus difficile la cartographie du réseau.

27
 — Honeypots IoT : Le déploiement de honeypots dédiés aux objets connectés permet de
piéger les attaquants et de détecter leur présence. Ces systèmes factices simulent des
cibles vulnérables pour attirer les intrusions et ainsi alerter les administrateurs de sécurité.

1.5.2 Contre-mesures contre les attaques R2L :

Les attaques R2L visent à obtenir un accès local à un système depuis une position distante.
Pour contrer ce type d’attaque, plusieurs mesures doivent être appliquées :
— Gestion sécurisée des accès : L’utilisation de mots de passe robustes combinée à une
authentification forte, telle que l’authentification à deux facteurs (2FA), réduit considéra-
blement les risques d’intrusion.
— Mise à jour régulière des firmwares : Maintenir les firmwares des dispositifs IoT à jour
est crucial pour corriger les vulnérabilités connues qui pourraient être exploitées par des
attaquants distants.
— Filtrage et surveillance du trafic entrant : L’analyse et le filtrage du trafic réseau per-
mettent de détecter et de bloquer les comportements suspects, tels que les tentatives de
connexion inhabituelles ou non autorisées.
— Protection contre le phishing : Les attaques R2L peuvent être facilitées par des cam-
pagnes de phishing. Il est donc essentiel de sensibiliser les utilisateurs aux risques et
d’utiliser des outils anti-hameçonnage performants pour prévenir ce type d’attaque.

1.5.3 Contre-mesures contre les attaques U2R :

Les attaques U2R consistent pour un utilisateur local, souvent avec des privilèges limités,
à obtenir des droits administrateurs sur un système. Voici les principales mesures pour s’en
protéger :
— Principe du moindre privilège : Chaque utilisateur doit disposer uniquement des droits
strictement nécessaires à l’exécution de ses tâches. Cette limitation minimise les dégâts
en cas de compromission d’un compte utilisateur.
— Détection des anomalies de comportement : La surveillance active des activités sys-
tème permet de détecter des comportements inhabituels, tels que des escalades de privi-
lèges ou des accès non autorisés aux ressources critiques.
— Sécurisation des fichiers systèmes et des processus critiques : Il est fondamental de
protéger les fichiers sensibles et les processus essentiels du système contre toute modifi-
cation non autorisée, en configurant correctement les permissions et en utilisant des outils
de monitoring.
— Patch management efficace : La mise en œuvre d’une politique de gestion des correctifs
rapide et rigoureuse permet de combler les vulnérabilités critiques dès leur découverte,
empêchant ainsi leur exploitation par des attaquants cherchant à obtenir des privilèges
élevés.

28
1.5.4 Contre-mesures contre les attaques DDos :
Plusieurs stratégies de défense ont été développées pour protéger les infrastructures réseau.
Ces mécanismes s’articulent autour de quatre approches principales :
— Filtrage de trafic anormal : Les solutions pare-feu nouvelle génération et les systèmes
anti-DDoS spécialisés analysent en temps réel les paquets réseau pour identifier et blo-
quer les flux malveillants. Ces dispositifs s’appuient souvent sur des signatures d’attaques
connues et des algorithmes de détection d’anomalies.
— Limitation du taux de connexion (Rate Limiting) : Cette technique simple mais ef-
ficace consiste à restreindre le nombre de requêtes autorisées par seconde depuis une
même source. Elle permet de contenir les attaques par inondation tout en maintenant la
disponibilité du service pour les utilisateurs légitimes.
— Redondance et scalabilité réseau : L’architecture des systèmes critiques intègre désor-
mais :
-Des serveurs miroirs pour assurer la continuité de service
-Des solutions d’équilibrage de charge répartissant intelligemment le trafic
-Une élasticité cloud permettant d’absorber les pics de charge anormaux
— Centres de nettoyage (Scrubbing Centers) : : Lors d’une attaque massive, le trafic est
redirigé vers des plateformes spécialisées qui filtrent les paquets malveillants avant de
réinjecter le trafic légitime vers l’infrastructure cible.

Approches spécifiques pour la détection DDoS dans l’IoT :

• Systèmes de détection traditionnels : L’adaptation des solutions classiques à l’environne-

ment IoT présente des particularités :
- IDS/IPS traditionnels (comme Snort ou Suricata) ont été reconvertis pour surveiller les
protocoles IoT spécifiques (MQTT, CoAP).
- Avantages :
Détection éprouvée des attaques connues
Intégration avec les infrastructures existantes
- Limitations majeures :
Consommation excessive de ressources sur des dispositifs contraints
Difficulté à s’adapter aux nouvelles variantes d’attaques
Latence inadaptée aux besoins temps réel de nombreux cas d’usage IoT

1.6 Solution proposée

Détection des attaques DDoS par le modèle CNN-LSTM :
Notre solution proposée pour améliorer la détection précoce et automatique des attaques
DDoS dans un contexte IoT consiste à la mise en œuvre d’un modèle hybride combinant les

29
réseaux neuronaux convolutifs (CNN) et les réseaux de neurones récurrents de type Long Short-
Term Memory (LSTM).

1.6.1 Motivation :
Les méthodes traditionnelles de détection d’attaques reposent principalement sur des si-
gnatures ou des règles prédéfinies, limitant leur capacité à identifier des attaques inconnues
ou sophistiquées. L’approche basée sur le Deep Learning, et plus précisément sur l’architec-
ture CNN-LSTM, permet de surmonter ces limitations grâce à une extraction automatique des
caractéristiques pertinentes et à une modélisation efficace des séquences temporelles du trafic
réseau.

1.6.2 Architecture proposée

L’architecture CNN-LSTM est structurée en deux phases principales :
Extraction de caractéristiques spatiales par CNN :
Le module CNN est chargé d’extraire automatiquement des motifs locaux et des repré-
sentations significatives à partir des données réseau prétraitées (par exemple, taille des
paquets, durée de session, nombre de requêtes).
Apprentissage des dépendances temporelles par LSTM :
Les caractéristiques extraites sont ensuite transmises au réseau LSTM, qui apprend à
capturer les relations temporelles et séquentielles entre les événements réseau, permettant
ainsi de reconnaître les schémas évolutifs typiques des attaques DDoS.
Le schéma global de fonctionnement est présenté ci-dessous :
1. Prétraitement : extraction et normalisation des données de trafic réseau.
2. Phase CNN : apprentissage des caractéristiques locales.
3. Phase LSTM : apprentissage des séquences temporelles.
4. Classification : prédiction de l’étiquette (trafic normal ou attaque DDoS).

1.6.3 Avantages de l’approche CNN-LSTM :

Le modèle CNN-LSTM présente plusieurs avantages notables :
•Détection rapide des attaques basées sur des signaux faibles dans le trafic.
•Réduction des faux positifs, en distinguant mieux les anomalies bénignes des attaques
réelles.
•Capacité d’adaptation aux nouveaux types d’attaques grâce à l’apprentissage des motifs.
•Automatisation complète du processus de détection, limitant l’intervention humaine.

30
1.6.4 Objectif visé :
L’objectif de notre approche est de concevoir un système de détection intelligent, capable
d’analyser en temps réel le trafic réseau IoT, d’identifier les attaques DDoS avec un haut niveau
de précision, et de s’adapter à l’évolution constante des menaces cybernétiques.

31
Chapitre 2

Apprentissage profond pour la prédiction

des attaques DDOS

32
2.1 Introduction
Les attaques DDoS posent un vrai problème de sécurité, surtout avec le développement mas-
sif des objets connectés. Les solutions classiques ne suffisent plus à détecter ce genre d’attaques
qui deviennent de plus en plus difficiles à repérer. C’est pour ça que de nouvelles approches
sont apparues, comme le Deep Learning, qui peut aider à identifier les anomalies dans le trafic
réseau avant qu’il ne soit trop tard.
Dans ce chapitre, on va d’abord voir les différents types d’algorithmes qu’on utilise dans
le domaine de l’apprentissage automatique, puis ceux qu’on retrouve dans l’apprentissage pro-
fond. Ensuite, on s’intéressera plus précisément à trois modèles qui sont souvent utilisés pour
détecter les attaques DDoS : CNN, LSTM et une version hybride qui combine les deux. On
terminera en présentant quelques jeux de données connus dans ce domaine, qui sont essentiels
pour tester et entraîner ces modèles.

F IGURE 2.1 – Relation entre IA, ML et DL.

2.2 Taxonomie des algorithmes d’apprentissage automatique

2.2.1 Définition de l’apprentissage automatique :

L’apprentissage automatique ou Machine Learning (ML) est l’étude scientifique des algo-
rithmes et des modèles statistiques. Il est utilisé pour apprendre aux machines à traiter les don-
nées plus efficacement. L’objectif de l’apprentissage automatique est de laisser les machines
apprendre par elles-mêmes à partir des données c’est à dire apprendre quel calcul effectuer ,
contrairement à la programmation où elle se contente d’exécuter à la lettre des règles prédéter-
minées.
« L’apprentissage automatique est la discipline donnant aux ordinateurs la capacité d’ap-
prendre sans qu’ils soient explicitement programmés. » Arthur Samuel, 1959 .
Et voici une autre plus technique :

33
 « Étant donné une tâche T et une mesure de performance P, on dit qu’un programme in-
formatique apprend à partir d’une expérience E si les résultats obtenus sur T, mesurés par P,
s’améliorent avec l’expérience E». Tom Mitchell, 1997 (voir la figure 2.2) .

F IGURE 2.2 – Relation entre T, P et E.

Pour donner à une machine la capacité d’apprendre, on utilise des méthodes d’apprentis-
sage. Parmi ces méthodes, il existe trois catégories majeures :

2.2.2 Apprentissage supervisé

L’apprentissage supervisé est la méthode la plus courante en Machine Learning et en Deep
Learning. Il constitue d’un ensemble des données (des exemples) d’apprentissage. Les données
d’entraînement sont composées d’une entrée (typiquement, une instance du problème) et d’une
sortie (typiquement, la réponse réputée bonne). Lors de l’apprentissage, on fournit les paires
(observation, étiquette), et l’algorithme génère une fonction qui consiste à apprendre à faire
correspondre des données d’entrée à des cibles (voir la figure 2.3) . Avec l’apprentissage super-
visé, la machine peut apprendre à faire de nombreuses applications comme : la reconnaissance
optique des caractères, la reconnaissance vocale, la classification d’images, la traduction de
langues .

F IGURE 2.3 – Apprentissage supervisé.

Il existe deux principaux types d’étiquettes de sortie :

• Classification : Dans ce type, on utilise des variables discrètes c’est à dire des variables qui
peut prendre seulement certaines valeurs. L’algorithme doit prédire une des sorties pos-

34
 sibles pour ce problème. L’algorithme peut prédire directement la catégorie ou produire
une distribution de probabilités à chacune des catégories. La classe avec probabilité la
plus haute est la classe sélectionnée . Par exemple, on peut prédire si un massage spam
ou pas en fonction du nombre de lien, du nombre de fautes d’orthographe, etc.).
On peut distinguer deux types de classification : la classification binaire, qui consiste à
séparer les données en deux classes distinctes, et la classification multi classe, qui permet
de classifier les données en plusieurs classes (voir la figure 2.4).

F IGURE 2.4 – Classification binaire et classification multi-classe.

• Régression :
Dans ce type, on utilise des variables continues c’est-à-dire des variables qui peuvent
prendre une infinité de valeurs (voir la figure 2.5). L’algorithme fournit une valeur numé-
rique en sortie au lieu de prédire une étiquette. Il est aussi possible de prédire plusieurs
valeurs numériques en sortie . Le but de la régression est d’estimer une valeur de sortie
à partir des valeurs d’un ensemble des observations. Par exemple, on peut prédire le prix
d’un appartement en fonction de sa surface, sa localisation, sa qualité, ...)

F IGURE 2.5 – Modèle de régression.

35
2.2.3 Apprentissage non supervisé :
Ce type d’apprentissage doit être utilisé lorsque la catégorie de données acquises n’est pas
connue à l’avance c’est-à-dire il n’y’a pas de résultat prédéterminé (on fournit à la machine un
ensemble de données qui ne sont pas été étiqueté) . L’objectif est de regrouper avec succès les
observations disponibles dans leurs propres classes par lui- même pour des catégories d’objets
basées sur des mesures de similarité entre les objets (voir la figure 2.6).

F IGURE 2.6 – Apprentissage non supervisé.

L’apprentissage non supervisé peut être classé en deux catégories d’algorithmes :

• Regroupement (Clustering) :
Le cluster consiste à séparer les objets en clusters qui sont similaires entre eux et diffé-
rents des objets appartenant à un autre cluster. Par exemple, déterminer les clients qui ont
effectué des achats similaires de produits.
• Association :
Association est une méthode d’apprentissage automatique basée sur des règles afin de
déterminer la probabilité de cooccurrence d’éléments dans une collection. Par exemple,
déterminer quels produits ont été achetés ensemble.

2.2.4 Apprentissage par renforcement :

L’apprentissage par renforcement est une méthode qui utilise un processus d’essais et d’er-
reurs pour trouver la meilleure action à effectuer pour chaque situation qu’un robot percevra
afin de maximiser la récompense . Le système ajuste ses paramètres en fonction des commen-
taires qu’il reçoit de l’environnement (voir la figure 2.7).
On cite comme exemple un système qui simule un joueur d’échecs en utilisant les résul-
tats des étapes précédentes pour améliorer ses performances est un système qui apprend par
renforcement.

36
 F IGURE 2.7 – Apprentissage par renforcement.

2.3 Taxonomie des algorithmes d’apprentissage profond

2.3.1 Définition de l’apprentissage profond :

L’apprentissage profonde (Deep learning ou DL) appartient à une classe de techniques d’ap-
prentissage automatique (machine learning ou ML), il obtient un grand succès dans de nom-
breuses tâches de l’intelligence artificielle (IA) par rapport aux algorithmes de ML classiques.
Les architectures des modèles profondes sont relativement récentes où de nombreuses étapes
de traitement non linéaire de l’information sont exploitées, dans lesquelles les informations
sont traitées en couches hiérarchiques, chacune recevant et interprétant les informations de la
couche précédente pour l’apprentissage des représentations de données.

2.3.2 Fonctionnement d’un modèle d’apprentissage profond :

Généralement, l’architecture des réseaux profondes est organisée en couches de neurones
pour n’importe quel type de ces réseaux ; une Couche d’entrée (Input Layer), une ou plusieurs
Couches cachées (Hidden Layers) et une Couche de sortie (Output Layer).
Chaque paire de couches voisines est connectée. Les connexions entre eux appelées poids
(Weights). Les ”neurones” d’une même couche généralement appelés ”nœuds” n’ont aucune
association, la figure 2.8 illustré une architecture standard d’un modèle de réseau de neurones
profond.
L’apprentissage profond se présente comme un système de calcul avancé, il est constitué
d’une variété de techniques issues du domaine de l’apprentissage automatique qui utilisent
un déluge de neurones (nœuds) non linéaires disposés en plusieurs couches de traitement qui
extraient et convertissent des valeurs de variables d’entité à partir du vecteur d’entrée pour créer
plusieurs niveaux d’abstraction afin de représenter les données.

37
 L’apprentissage du DNN c’est l’optimisation des paramètres de poids et le paramètre de
biais entre deux couches voisines, Il évalue la justesse du modèle et permet de mieux l’adapter
aux données d’apprentissage ses besoins. Lorsque le modèle arrive à une précision maximale
avec des paramètres optimaux, il sera généralisé pour les données réelles. La quantité et la
qualité des données d’entraînement déterminent le degré d’apprentissage et donc la précision
des modèles obtenus.

F IGURE 2.8 – L’architecture d’un modèle Deep Learning.

2.3.3 Classification des méthodes DL :

En pratique, toutes les approches d’apprentissage profond sont des réseaux de neurones
(Neural networks), qui partagent certains propriétés de base communes. Ils sont tous consti-
tués de neurones inter-connectés, ils sont organisés en couches. Ce qui les différencient, c‘est
l‘architecture du réseau (où la manière dont les neurones sont organisés dans le réseau) et par-
fois la manière dont ils sont formés ont présenté une étude et analysé 10 différents approches
du Deep learing les plus utilisées pour la détection des intrusions dans la cybersécurité. Ces
approches peuvent être classées en trois modèles, en fonction de la manière dont elles sont
formées et destinées à être utiliser.
• Deep learning pour l’apprentissage supervisé :
Il est utilisé lorsque les données d’étiquette cible sont disponibles, il s’agit des modèles
profonds discriminatoires à sa savoir le Deep neural networks (DNNs), Recurrent neural
networks (RNNs), Convolutional neural networks (CNNs).

- Réseaux neuronaux profonds (DNN) :

Les Deep Neural Networks (DNN) sont un ensemble de neurones organisés en une
séquence de couches multiples appelée Multilayer Perceptrons (MLP). Ils se dis-
tinguent des réseaux neuronaux traditionnels (Artifical Neural Network) par leur
profondeur et le nombre de couches, de nœuds (neurones) qui composent le ré-
seau. Lorsqu’un ANN possède deux couches cachées ou plus, il est connu sous le
nom de réseau neuronal profond. Ils tentent à modéliser des données contenant des
architectures complexes en combinant différentes transformations non linéaires .
- Réseaux neuronaux convolutifs (CNN) :
Un CNN est un réseau neuronal spécialisé à action directe utilisé à l’origine dans le
traitement d’images mais de plus en plus utilisé dans de nombreux autres domaines.

38
 Ce type de réseau applique une collection de filtres pour extraire automatiquement
les caractéristiques de l’image, créant finalement une structure hiérarchique de ca-
ractéristiques (apprentissage des représentations). Les poids des filtres sont appris
directement à partir des données d’entraînement. Normalement, un CNN intègre de
nombreuses couches convolutives créant une structure profonde. Un CNN effec-
tue automatiquement l’ingénierie des fonctionnalités, évitant ainsi l’étape longue et
fastidieuse consistant à effectuer manuellement l’ingénierie des fonctionnalités.
- Réseaux neuronaux récurrents (RNN) :
RNN a été initialement appliqué au traitement du langage naturel, mais comme
CNN, il est actuellement incorporé à d’autres domaines. La principale applica-
tion de RNN concerne les données séquentielles avec dépendances temporelles.
Un RNN est capable de traiter de nouvelles données basées sur des données pré-
cédentes. Un problème important de RNN a été sa difficulté à être formé avec des
données dépendant du temps à long terme (séries chronologiques longues). Afin de
résoudre ce problème, une série de variantes RNN ont été créées.

• Deep learning pour l’apprentissage non-supervisé :

Il est Utilisé lorsque les données d’entrée ne sont pas étiquetées ,il s’agit des modèles
génératifs visent à regrouper les données selon certains critères de similarité à des fins de
reconnaissance ou de synthèse de modèles, à savoir le deep belief networks (DBN), deep
autoencoders (DA), Restricted Boltzmann machine (RBM) et deep Boltzmann machines
(DBM).
- Machines de Boltzmann Restreintes (RBM) :
Une machine de Boltzmann est composée d’une couche de neurones qui reçoit l’en-
trée, ainsi que d’une couche de neurones cachée. Si nous supposons que les neu-
rones d’une même couche sont indépendants entre eux, nous appelons cette confi-
guration une machine de Boltzmann restreinte (RBM) . Les machines de Boltzmann
restreintes sont un type particulier de réseau de neurones génératifs, où les neurones
sont organisés en deux couches, à savoir visible et masquée. Contrairement aux ré-
seaux à retransmission directe, les données d’une RBM peuvent circuler dans les
deux sens des unités visibles aux unités cachées, et inversement. La RBM est l’un
des outils d‘apprentissage en profondeur les plus populaires en raison de sa capa-
cité à connaître la distribution de la probabilité des entrées de manière supervisée
et non supervisée. elle a eu une large application dans diverses tâches telles que
l’apprentissage de la représentation, la réduction de la dimensionnalité, la classifi-
cation, la régression, le filtrage collaboratif (collaborative filtering), l‘apprentissage
des fonctionnalités (feature Learning) et modélisation des sujets.
- Réseaux de croyance profonde (DBN) :
Un réseau DBN est un type de réseau de neurones profonds qui est essentielle-
ment un modèle génératif probabiliste comprenant plusieurs couches de variables
cachées. Ces réseaux ont à la fois des bords dirigés et non dirigés. Il est formé

39
 à l’aide d’une série de RBM, souvent d’auto-encodeurs, avec une couche supplé-
mentaire formant un réseau bayésien. L’utilisation de RBM signifie la présence
d’aucune connexion intra-couche. De plus, les performances d’un DBN dépendent
en grande partie de l’initialisation des nœuds. Par conséquent, les couches utilisent
un apprentissage préalable non supervisé à l’aide de la procédure d’empilement
de RBM, qui intègre une divergence contraste (CD). Un réseau de croyance (BN)
est un graphe acyclique dirigé constitué de couches d’unités binaires stochastiques,
chaque couche connectée ayant une pondération. Ces unités binaires stochastiques
ont l’état 0 ou 1 et la probabilité d’être activé (devenant 1) est déterminée par un
biais et une entrée pondérée provenant d’autres unités.
• Deep learning hybrides :
une combinaison hybride de ces modèles mentionnés ci-dessus. Les réseaux profonds
non supervisés pourraient fournir une excellente initialisation sur la base pour laquelle la
discrimination (l’apprentissage supervisé) pourrait être examinée.

2.4 Description des modèles CNN, LSTM et de la solution

hybride CNN-LSTM

2.4.1 Réseaux neuronaux convolutifs (CNN) :

Un réseau neuronal convolutionnel ou CNN est une extension des réseaux de feed forward
traditionnels (FFN) dans le cadre de l’inspiration des facteurs biologiques . Ceux-ci ont été
initialement étudiés pour le traitement d’images dans lesquelles des motifs répétitifs peuvent
être trouvés - par exemple, une image avec des bords répétitifs et d’autres motifs. Les CNNs
surpassent tous les autres algorithmes ML classiques et fait un grand succès dans les tâches
de traitement de vision par ordinateur (Computer Vision Tasks), ils ont des larges applications
dans le traitement d’image et vidéo,le traitement du langage naturel (NLP), les systèmes de re-
commandation . . .etc. Les réseaux convolutifs sont particulièrement efficaces grâce à plusieurs
types de couches spéciales : des couches de convolution, des couches groupement (Pooling) et
de couches entièrement connectées , la figure 2.9 illustre un modèle d’un réseau conventionnel
unidimensionnel (1D CNN).

F IGURE 2.9 – L’architecture d’un modèle de réseau neuronal convolutif.

40
Convolution Layers :
L’objectif de la convolution est d’extraire les caractéristiques de haut niveau. Il est consti-
tué d’un ensemble de filtres (ou noyaux) apprenants, chacun représente une certaine fonc-
tionnalité indépendante avec le volume d’entrée. Ces filtres sont constitué d’une couche
de poids de connexion, ils ont un petit champ de réception (la taille du noyau), mais lors
de la passe en avant (feed forward), chaque filtre est convolé sur la largeur et la hauteur
du volume d’entrée, calculant le produit des points entre les entrées et les valeurs du filtre
produisant une nouvelle carte de caractéristiques qui représente mieux l’information. En
conséquence, le réseau apprend les filtres qui s’activent lorsqu’il détecte un type de ca-
ractéristique importante et spécifique à une certaine position spatiale dans l’entrée. La
figure 2.10 présente une opération de convolution 1D avec une entré de dimension 1.

F IGURE 2.10 – Convolution.

Une couche convolutionnelle partage le même noyau de convolution, ce qui réduit consi-
dérablement le nombre de paramètres nécessaires pour l’opération de convolution. Une
fonction d’activation non linéaire sera appliqué immédiatement après chaque couche
convolutionnelle. Les CNN profonds avec la fonction d’activation “Rectified Linear Units
ReLU”
f (x) = max(0, x)

, renvoie x pour toutes les valeurs de x > 0 et renvoie 0 pour toutes les valeurs de x <= 0.
s’entraînent plusieurs fois plus vite que leurs équivalents avec unités “Tanh Units” .
Pooling Layers :
Après la transformation ReLU, l’opération de mise en commun (Pooling) regroupe l’ac-
tivation des neurones d’une couche en un seul neurone de la couche suivante. La couche
de pooling fonctionne indépendamment sur chaque entité d’entrée, elle permet de réduire
progressivement la taille des représentations afin de réduire le nombre de paramètres ou
de poids, ce qui diminue le coût de calcul dans le réseau, tout en préservant les informa-
tions les plus critiques. Elle permet aussi de contrôler le sur-apprentissage.
Il peut utiliser deux méthodes de mise en commun différentes :
• La mise en commun maximale (Max-Pooling) : utilise la valeur maximale de chaque
groupe de neurones de la couche précédente.

41
 • La mise en commun moyenne (Average-Pooling) : utilise la valeur moyenne de chaque
groupe de neurones de la couche précédente .
Le Pooling est une forme de sous-échantillonnage non linéaire fonctionne de manière
similaire à la convolution. le noyau de pooling se convolé sur le volume d’entrée et le
diviser en un ensemble de région qui ne se chevauchent pas, et chaque sous-région produit
une seule valeur en sortie qui est la valeur maximale pour Max-Pooling ou la valeur
moyenne pour Average-Pooling la figure 2.11 décrit lopération de Max-Pooling avec un
entré 1D . la couche de Pooling n’a aucun paramètre pouvant être appris. De ce fait, ces
couches ne sont généralement pas incluses dans le nombre total de couches de réseaux
de convolution.

F IGURE 2.11 – Pooling.

Fully Connected Layers :

À la fin d’un réseau CNN, il y a une ou plusieurs couches entièrement connectées (chaque
nœud de la première couche est connecté à chaque nœud de la couche suivante). Elles
consistent à effectuer une classification basée sur les caractéristiques extraites des convo-
lutions. La couche finale contient une fonction d‘activation Softmax, qui génère une va-
leur de probabilité de 0 à 1 pour chacune des étiquettes de classes que le modèle tente de
prédire. Dans certaines architectures de réseaux CNNs récentes, les couches entièrement
connectées peuvent se remplacer par plusieurs couches de mise en commun moyennes
(average-pooling). Cela permet à ces réseaux de réduire considérablement le nombre total
des paramètres et qui permet une meilleure prévention de sur-apprentissage .

2.4.2 Mémoire à long et court terme (LSTM) :

Puisque les LSTM proviennent des RNN , On va tout d’abord parler des réseaux neuronaux
récurrents .
Réseaux neuronaux récurrents (RNN) :
les réseaux neuronal s’inspirent du fonctionnement des neurones biologiques du cer-
veau humain, ces neurones sont considère comme le centre de réflexion, et parfois ils
doivent mémoriser certains évènements pour les utilisé ultérieurement avant de prendre
la décision. Les réseaux neuronal traditionnel n’ont pas ce propriété, alors le fonctionne-
ment d’un réseau de neurones récurrents (RNN) est motivé par le fait qu’un être humain

42
raisonne en s’appuyant sur les connaissances qu’il a acquises et qui qu’il a mémorisé
précédemment.
Les réseaux RNNs sont des réseaux de type Feed-Forward ayant un état interne (ou mé-
moire) qui prennent en compte tout ou partie des données vues précédemment (déjà four-
nies au réseau), en plus de la donnée vue actuellement pour adapter leur décision. L’idée
clé de base de ces réseaux est le déploiement d’un calcul récurrent grâce aux boucles
dans l’architecture du réseau. La sortie de réseau est une combinaison de son état in-
terne (mémoire d’entrées) et le dernier l’entrée, au même temps, l’état interne change
pour intégrer cette nouvelle donnée saisie. cela permet aux informations de persister en
mémoire, comme le montre la figure 2.12.

F IGURE 2.12 – L’architecture d’un modèle RNN.

En raison de ces propriétés, les réseaux récurrents sont adaptés aux cas où la présence
d’une forme n’est pas la seule information discriminante mais également un ordre d’ap-
parition par exemple. ils sont de bons candidats pour les tâches qui traitent des don-
nées séquentielles, telles que les données textuelles ou des données avec des caractéris-
tiques temporelles. La description mathématique du processus de transfert de mémoire
est comme suit :
ht = δ (Uxt +V ht−1 + bh )

Ot = δ (W ht + by )

ou :
— ht :est l’état caché au temps t.
— xt : est l’entrée au même temps t.
— U, V , W : sont les matrice de pondération, Input-to-Hidden, Hidden-to-Hidden et
Hidden-to-Output respectivement (connue comme des matrice de transition).
— bh : est la valeur du biais de l’état caché.
— by : est la valeur du biais de sortie.
— Ot : est la valeur de sortie au temps t.
— δ : est une fonction de non-linéarité appelées fonctions d’activation. (soit une fonc-
tion sigmoïde logistique ou tanh) qui est un outil standard de changement d’échelle
pour condenser des valeurs très grandes ou très petites dans un espace logistique,
ainsi que pour rendre les gradients exploitables pour la rétro-propagation.
Un bloc de réseau neuronal, examine une entrée xt et génère une valeur ot . Une boucle
de rétroaction se produit à chaque pas de temps, chaque état caché ht contient des traces

43
 non seulement de l’état masqué précédent, mais également de tous ceux qui ont précédé
ht−1 aussi longtemps que la mémoire peut persister.
Unités de mémoire à court terme (LSTM) :
Le réseau RNN a un long pas de temps car il prend en compte l’état sauvegardé précédent
lors de la mise à jour du poids, les gradients lorsque l’entraînement devient de plus en plus
petit et après quelques étapes, les erreurs n’ont pas pu être propagées à la fin du réseau. il
n’y aura pas de différence significative dans le résultat, donc il ne peut pas faire de mise
à jour des poids. Ce problème du RNN est appelé gradients de disparition (Vanishing
Gradients). Pour surmonter ce problème, une architecture à mémoire longue et courte
durée (LSTM) a été proposée au milieu des années 90 par les chercheurs allemands
Sepp Hochreiter et Juergen Schmidhuber pour les réseaux neuronaux récurrents et aussi
des étapes supplémentaires appelées Gated Recurrent Units (GRU). Ces étapes sont été
utilisées pour améliorer les performances et la précision des RNNs.
L’idée clé de la méthode LSTM est l’état de la cellule. Elle a la capacité de supprimer
ou d’ajouter des informations à l’état de la cellule. Cette technique est réglée par des
structures appelées portes (Gates). Ces derniers pourraient être une fonction sigmoïde où
une valeur de 1 signifie que toutes les informations passent et une valeur de 0 signifie le
contraire.
Les architectures LSTM et GRU se fonctionnent de la même manière. Cependant le GRU
utilise moins de paramètres d’entraînement et donc moins de mémoires et s’entraînent
plus rapidement que les LSTM. Alors que le LSTM est plus précis sur les ensembles de
données utilisant une séquence plus longue.

F IGURE 2.13 – L’architecture d’un modèle LSTMG RU.

Les cellules LSTM sont les plus efficaces pour retenir les informations utiles lors de la
rétro-propagation du gradient. Ce qui a leur permet de corriger les différences entre les
prédictions sortantes et les catégories de référence en calculant le gradient de l’erreur
pour chaque neurone, en allant de la dernière couche vers la première. La figure 2.13
illustre les quatre couches interactives (sigmoïde et tanh), les trois portes et les opérations
Pointwise qui traitent le vecteur x à l’intérieur d’une cellule LSTM à un temps t.

44
2.4.3 La solution hybride CNN-LSTM :
Les réseaux hybrides CNN-LSTM combinent les avantages des réseaux convolutionnels
(CNN), qui sont performants pour extraire des caractéristiques spatiales, avec ceux des réseaux
à mémoire longue courte durée (LSTM), spécialisés dans la modélisation des dépendances
temporelles. Cette architecture est particulièrement efficace pour traiter des données séquen-
tielles contenant des motifs locaux significatifs, comme le trafic réseau dans le contexte de la
cybersécurité.
Dans cette architecture, les couches CNN sont utilisées pour effectuer une extraction au-
tomatique des caractéristiques locales à partir de l’entrée, en réduisant la dimensionnalité des
données et en retenant uniquement les motifs pertinents. Les couches LSTM, situées en aval,
prennent ensuite ces caractéristiques pour modéliser les relations temporelles ou séquentielles
dans les données extraites.
Ce modèle hybride est bien adapté aux applications de détection d’attaques réseau comme
les attaques DDoS, où les modèles doivent à la fois reconnaître des schémas complexes à court
terme (via les CNN) et capturer des dépendances à long terme dans le trafic (via les LSTM). En
pratique, ce type d’architecture permet d’améliorer la précision de détection, tout en réduisant
le taux de fausses alertes.
Avantages :
- Meilleure extraction de caractéristiques grâce aux CNN.
- Capacité de mémorisation des dépendances temporelles via les LSTM.
- Robuste aux variations de séquences de données.
- Adapté aux données multivariées complexes, comme celles issues de capteurs IoT ou des flux
de réseau.
Schéma général de l’architecture :
- Données d’entrée séquentielles (flux réseau, séries temporelles, etc.).
- Couches convolutionnelles pour l’extraction locale des caractéristiques.
- Couches LSTM pour modéliser les relations temporelles.
- Couches entièrement connectées pour la classification finale (souvent avec activation Soft-
max ou Sigmoïde).
La figure 2.14 présente une vue schématique de cette architecture combinée CNN-LSTM.

F IGURE 2.14 – L’architecture CNN-LSTM.

45
2.5 État de l’art des ensembles de données existants pour la
prédiction des attaques DDOS
Pour détecter efficacement les attaques DDoS, nos modèles d’apprentissage profond ont un
besoin crucial : des données d’entraînement de qualité. C’est un peu comme apprendre à re-
connaître des visages - plus les photos sont nettes et variées, meilleure sera la reconnaissance.
Dans notre domaine, cela signifie utiliser des données qui reflètent fidèlement la complexité
des vrais réseaux informatiques. C’est cette exigence qui a poussé la communauté scientifique
à développer plusieurs jeux de données publics soigneusement conçus. Ces ensembles repro-
duisent différentes situations d’attaque, mélangent divers protocoles, et varient les contextes
pour couvrir un large éventail de scénarios. Voyons maintenant les jeux de données qui font
référence dans les dernières publications.

2.5.1 CICDDoS2019
Dans leur quête pour améliorer la recherche sur les attaques DDoS, les experts du Canadian
Institute for Cybersecurity (CIC) ont mis au point le jeu de données CICDDoS2019. Contrai-
rement aux anciens ensembles comme KDD ou NSL-KDD qui présentaient des faiblesses évi-
dentes, cette nouvelle base se distingue par sa richesse et son authenticité. Elle reproduit fidèle-
ment des scénarios d’attaque complexes et variés, bien plus proches de ce qu’on observe dans
la réalité des réseaux actuels.

Caractéristiques :

— Comprend 7 types d’attaques DDoS : HTTP Flood, UDP Flood, TCP SYN Flood, ICMP
Flood, ARP Spoofing, Multivector Attack, etc.
— Les attaques ont été générées avec des outils bien connus tels que LOIC, HOIC et Hping3.
— Données collectées via Wireshark sur un réseau simulé dans un environnement d’entre-
prise.
— Contient plus de 80 caractéristiques (features) extraites via CICFlowMeter.
— Données en format .csv, prêtes pour l’apprentissage automatique.

Avantages :

— Très riche en termes de types d’attaques et de trafic réel.

— Utilisé comme référence dans de nombreuses publications.
— Compatible avec des algorithmes d’apprentissage supervisé ou non supervisé.

Limites :

— Moins orienté vers les environnements IoT ou SDN.

46
 — Certaines classes sont déséquilibrées (beaucoup plus de trafic normal ou de certaines
attaques que d’autres).

2.5.2 DDoS-SDN
Le jeu de données DDoS-SDN a été créé pour répondre aux besoins spécifiques liés aux
environnements Software Defined Networking (SDN), qui sont de plus en plus utilisés dans les
infrastructures réseau modernes, notamment dans le cloud.

Caractéristiques :

— Collecte réalisée dans un environnement SDN avec le contrôleur POX.

— Contient plusieurs types d’attaques DDoS spécifiques aux architectures SDN : ICMP
Flood, TCP SYN Flood, UDP Flood.
— L’accent est mis sur les flux réseau (flows) et les métriques contrôleur-switch.
— Détails sur les métriques : durée du flux, taux de paquets, octets échangés, type de proto-
cole, etc.

Avantages :

— Représentatif des environnements SDN modernes.

— Très utile pour les recherches sur la sécurité des infrastructures cloud et virtualisées.

Limites :

— Moins généralisable aux réseaux classiques ou aux objets IoT.

— Moins de diversité dans les types d’attaques que CICDDoS2019.

2.5.3 CIC-IoT2023
Le jeu de données CIC-IoT2023 est l’un des plus récents et a été spécialement conçu pour
les environnements IoT (Internet of Things). Il répond à la demande croissante d’ensembles de
données réalistes prenant en compte les vulnérabilités spécifiques des objets connectés.

Caractéristiques :

— Capture de trafic IoT à partir de dispositifs réels (caméras, capteurs, hubs domotiques...).
— Scénarios d’attaques : DDoS, brute force, reconnaissance, infiltration, etc.
— Génération de trafic normal via des interactions réelles entre utilisateurs et objets.
— Données étiquetées, contenant des centaines de milliers de connexions réseau.

47
Avantages :

— Adapté aux recherches ciblant la sécurité des réseaux IoT.

— Données récentes, bien structurées et très complètes.
— Représente fidèlement les flux typiques d’un réseau IoT domestique ou industriel.

Limites :

— Moins utilisé dans la littérature, donc moins de benchmarks disponibles.

— Nécessite parfois un pré-traitement plus poussé à cause de la complexité des formats.

Dataset Type Étiqueté Nombre de classes

CICDDoS2019 Trafic du réseau Oui 14 classes (HTTP Flood, UDP Flood, TCP SYN Flood,
ICMP Flood, ARP Spoofing, Multivector Attack, etc.)
DDoS-SDN Trafic SDN Oui 3 classes (ICMP Flood, TCP SYN Flood, UDP Flood)
CIC-IoT2023 Trafic IoT Oui Multi-classes (DDoS, brute force, reconnaissance, infiltra-
tion, etc.)

TABLE 2.1 – Collecte de données utilisées pour la détection des attaques DDoS.

48
 Deuxième partie

Implémentation, résultat et discussion

49
Chapitre 3

Implémentation, résultat et discussion

50
3.1 Matériel et logiciels utilisés pour la mise en œuvre

3.2 Description de l’ensemble de données

3.3 Flux de travail du modèle proposé (traitement des don-

nées, sélection des caractéristiques, entraînement, test)

3.4 Analyse des performances (précision, exactitude, matrice

de corrélation, ...)

3.5 Comparaison des performances des différents modèles

d’apprentissage profond

51