Selon Sophos (news.sophos.com), présenté à Black Hat USA ’25, des chercheurs dévoilent une approche de classification de sécurité des lignes de commande qui repense la place de la détection d’anomalies afin de réduire les faux positifs sans dégrader les capacités de détection.
L’idée clé consiste à ne plus utiliser la détection d’anomalies pour identifier directement le malveillant, mais à s’en servir pour découvrir une grande diversité de comportements bénins. Ces comportements sont ensuite étiquetés automatiquement (benin/malveillant) par un LLM afin d’augmenter les données d’entraînement. Résultat: l’apprentissage supervisé s’en trouve nettement amélioré, avec des gains d’AUC jusqu’à 27,97 points sur de la télémétrie de production portant sur 50 millions de commandes quotidiennes, tout en réduisant les faux positifs et en maintenant la détection. 📈
Points techniques marquants:
- Deux approches d’implémentation:
- Échelle complète sur ~50 M de commandes/jour avec ingénierie de caractéristiques manuelle.
- Échelle réduite sur ~4 M de commandes avec Jina Embeddings V2 (transformers).
- Chaîne d’analyse: Isolation Forest, k-means modifié, PCA, puis déduplication par similarité cosinus.
- Étiquetage automatisé par le modèle OpenAI o3-mini, annoncé avec une précision quasi parfaite pour distinguer bénin/malveillant.
- Évaluation sur des baselines (regex et agrégée) montrant des améliorations significatives sur un benchmark annoté par des experts. ⚙️
Il s’agit d’une publication de recherche visant à démontrer qu’un ré-emploi de la détection d’anomalies pour l’augmentation de données bénignes étiquetées par LLM peut améliorer la classification supervisée, réduire les faux positifs et préserver la détection à l’échelle de production. 🧪
🔗 Source originale : https://news.sophos.com/en-us/2025/08/07/sophos-ai-at-black-hat-usa-25-anomaly-detection-betrayed-us-so-we-gave-it-a-new-job/