Détection d'Anomalies Réseau IoT
Détection d'intrusion sur systèmes embarqués avec déséquilibre extrême (10% anomalies). BiLSTM+Attention : PR-AUC=0,186, Rappel=33,3%. Augmentation 5× (Gaussien/MixUp/masquage). Incertitude MC-Dropout. Perte focale.
1 000 enregistrements réseau IoT — déséquilibre 90/10
ADASYN + augmentation 5× → perte focale DL → incertitude MC-Dropout
Détection d'anomalies pour les intrusions réseau IoT avec déséquilibre de classes extrême.
Jeu de données
- ▸1 000 enregistrements, 14 features, 90% normal / 10% anomalie (100 exemples d'anomalie)
- ▸Features : taille de paquet, temps inter-arrivée, entropie spectrale, drapeaux TCP, intensité du trafic
Pipeline
- ▸Sélection de features par Random Forest → 14 features clés
- ▸Sur-échantillonnage ADASYN (100 → 614 échantillons minoritaires)
- ▸Augmentation de données 5× → 6 220 échantillons d'entraînement au total :
- ▸Injection de bruit gaussien
- ▸Masquage de features (cutout)
- ▸MixUp (interpolation entre échantillons)
- ▸Bruit conditionnel par classe
- ▸Perte focale (γ=2,0, α=0,25) + décroissance LR cosinus
Comparaison des Architectures
| Modèle | PR-AUC | F1 | Rappel |
|---|---|---|---|
| Random Forest | 0,140 | 0,21 | 0,28 |
| XGBoost | 0,160 | 0,22 | 0,31 |
| DNN Résiduel | 0,172 | 0,22 | 0,30 |
| CNN Dilaté | 0,165 | 0,21 | 0,29 |
| BiLSTM+Attention | 0,186 | 0,238 | 0,333 |
CV 5 plis BiLSTM : PR-AUC = 0,1456 ± 0,0302
Incertitude MC-Dropout 30 passes forward → moyenne + écart-type par prédiction. Les échantillons à fort écart-type sont marqués pour révision manuelle.
Évaluation Honnête PR-AUC 0,186 est modeste. 100 exemples d'anomalie sont insuffisants. En production, l'apprentissage actif ou les approches semi-supervisées seraient plus efficaces sur cette taille de dataset.