WO2023241896A1 - Détection d'anomalies pour la maintenance applicative de dispositifs - Google Patents

Détection d'anomalies pour la maintenance applicative de dispositifs Download PDF

Info

Publication number
WO2023241896A1
WO2023241896A1 PCT/EP2023/064054 EP2023064054W WO2023241896A1 WO 2023241896 A1 WO2023241896 A1 WO 2023241896A1 EP 2023064054 W EP2023064054 W EP 2023064054W WO 2023241896 A1 WO2023241896 A1 WO 2023241896A1
Authority
WO
WIPO (PCT)
Prior art keywords
sequence
network
observation
implementation
communicating
Prior art date
Application number
PCT/EP2023/064054
Other languages
English (en)
Inventor
Naji Najari
Samuel BERLEMONT
Grégoire LEFEBVRE
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2023241896A1 publication Critical patent/WO2023241896A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0859Retrieval of network configuration; Tracking network configuration history by keeping history of different configuration generations or by rolling back to previous configuration versions

Definitions

  • This disclosure falls within the field of management services for communicating devices, also called connected devices or connected objects.
  • the present disclosure relates to a method for managing a communicating device in a local communications network and to a corresponding system, device, computer program and recording medium.
  • the present disclosure may find an application for example in digital services for remote management of communicating devices by an operator and/or by a digital service provider.
  • Such digital services are essentially based on two types of entities.
  • a management server located in the network of the operator or digital service provider, is responsible for remotely carrying out maintenance, configuration and/or diagnostic operations on communicating devices present in local networks.
  • Management clients present on the managed communicating devices, ensure secure communication with the management server.
  • Operating anomalies can occur in a local network.
  • local networks comprising heterogeneous communicating devices, not integrated into any digital remote management service or managed by different digital remote management services, it is not possible for the operator to determine which communicating device can be the cause of operating anomalies.
  • the operator can only carry out diagnostics limited to the communicating devices which he manages to determine the origin of a malfunction. This is enough when the communicating devices provided by the operator are indeed responsible for the malfunction.
  • local dependencies may exist between communicating devices. For example, connectivity dependencies may exist when connecting a carrier-provided communicating device to a third-party Wi-Fi extender.
  • a communicating device on the local network may be the cause of the operating anomaly. Indeed, it is not possible for the digital remote management service to simultaneously trigger the firmware update of all the communicating devices managed by the digital service. The end user may therefore still encounter a problem with a particular communicating device even though the latter is part of the update campaign. In this case, a local management interface is generally made available to the end user so that he can trigger this operation manually and immediately.
  • Anomalies in network flows can be of three types: punctual, collective or contextual. To illustrate these types of anomalies, reference is made to the which represents different network flows as four smoothed univariate signals: a first reference, or nominal, network flow (3), a second network flow (4) comprising a one-off anomaly, a third network flow (5) comprising a contextual anomaly, and a fourth network flow (6) comprising a collective anomaly.
  • a digital remote management service provided for example by an operator, to be able to detect the versions of a family of devices communicating with an end user's local network.
  • the following reference describes a known method for detecting anomalies in time series: Z. Chen, D. Chen, X. Zhang, Z. Yuan and X. Cheng, Learning Graph Structures with Transformer for Multivariate Time Series Anomaly Detection in IoT, IEEE Internet of Things Journal, 2021.
  • the authors propose detecting temporal anomalies using transformer-type neural networks (or self-attentive model).
  • this approach assigns an anomaly score to each network flow and observations that have a score higher than a predefined threshold are considered abnormal.
  • this method is not robust to anomalies which can contaminate the learning base. Indeed, the authors assume that all training data is nominal. In practice, anomalies can infiltrate the data collected for learning. In this case, the performance of this approach can be significantly impacted.
  • This disclosure improves the situation.
  • a method for monitoring at least one device in a communications network comprising: obtain an observation sequence from observations of a network flow involving the device, implementing at least one given artificial intelligence model associated with a firmware version of at least one reference device, the given model being trained to produce a sequence reconstructed from the observation sequence and a sequence previous observation and to determine a reconstruction error between the reconstructed sequence and the observation sequence, a reconstruction error less than a threshold characterizing that the device operates in the network with said firmware version, the reconstructed sequence being produced based on intra-sequence relationships between elements of the observation sequence and inter-sequence relationships between the observation sequence and the previous observation sequence.
  • the proposed monitoring method allows robust detection of anomalies, including contextual, in observations of a network flow involving one or more devices.
  • the network flow is understood as a set of digital data passing through the communication network. For example, these may be digital data packets transmitted over time by different source devices to different destination devices.
  • Network flow observations are digital data relating to network flow. This may, for example, be metadata extracted from the headers of these packets. Observations of the network flow can, for example, be collected continuously, so as to form a time series divisible into observation sequences. Thus, observation sequences are defined as digital data relating to the network flow, collected during an observation window.
  • the robustness of anomaly detection is conferred by the use of intra-sequence and inter-sequence relationships mentioned as a basis for the reconstruction of an observation sequence.
  • the proposed method makes it possible to detect anomalies in real time from the network flow.
  • the calculation time required for the implementation of the process is in fact compatible with this continuous implementation. Furthermore, it does not require complex algorithm settings or supervised learning. Finally, it is robust to noisy data and outliers during training.
  • the proposed monitoring method finds applications in particular in the field of remote assistance where it offers the possibility of determining whether or not any one or more devices operate in a communication network with the same given firmware version as one or more several reference devices.
  • a method for managing at least one communicating device in a communication network comprising: monitor the communicating device according to the monitoring method above, and issue a management instruction for the communicating device on the basis of a comparison between the reconstruction error determined during the implementation of the given model and the threshold.
  • the proposed management method which includes the aforementioned monitoring method and has the same advantages, finds applications in the field of maintenance in that it facilitates automatic maintenance operations. For example, it can detect devices whose network traffic exhibits abnormal characteristics to trigger advanced diagnostics, identify the origin of the problem, and enable automatic repair before any assistance request from end users.
  • a computer program is also proposed comprising instructions for implementing one of the above methods when this program is executed by a processor.
  • a data processing circuit is also proposed comprising a processor connected to the non-transitory recording medium above.
  • a system comprising a plurality of communicating devices in a communication network, at least one of the communicating devices comprising the above data processing circuit.
  • the above monitoring method may optionally include certain additional functions as defined below.
  • the implementation of at least one given model comprises the implementation of a plurality of models respectively associated with a respective version of firmware of the at least one reference device, each said model being respectively trained to produce a respective reconstructed sequence from the observation sequence and the previous observation sequence and to determine a respective reconstruction error between the respective reconstructed sequence and the observation sequence, the reconstruction error determined during the implementation of the given model having the lowest value among the respective reconstruction errors.
  • the firmware version with which the monitored device operates in the network is identified precisely as the one associated with that model.
  • a family of communicating devices is defined as a grouping of communicating devices sharing the same firmware version. These communicating devices can, however, be different, for example in their operation or in form factor.
  • the implementation of at least one given model comprises the implementation of a set of models comprising a plurality of subsets respectively associated with a respective family of reference devices and each comprising at least a model associated with a firmware version of at least one reference device of the respective family, the given model belonging to one of the subsets, the reconstruction error, determined during the implementation of the given model (MOD ij ), lower than the threshold further characterizing that the device belongs to the family associated with the subset comprising the given model.
  • the network flow involving the monitored device can simply be considered unknown, or as presenting an anomaly.
  • Such a scenario occurs, for example, when none of the subsets is associated with a family to which the monitored device belongs, or when none of the models is associated with the firmware version with which the device monitored operates in the network, or when this firmware version is corrupted.
  • the above management method may optionally include certain additional functions as defined below.
  • the management instruction when the determined reconstruction error is lower than the threshold and the firmware version associated with the given model is obsolete, the management instruction includes a recommendation to update the firmware version with which the device operates in the network.
  • a notification and recommendation service can offer targeted firmware updates for one or more monitored and managed devices whose firmware version is identified as no longer up to date.
  • the method further comprises, when the determined reconstruction error is greater than the threshold, an anomaly detection, and the management instruction is issued on the basis of the anomaly.
  • a notification and recommendation service can, for example, only offer general firmware updates for all the devices present on the precondition that the firmware version of one or more monitored devices has not been updated. could not be identified.
  • FIG. 1 illustrates a system comprising a plurality of communicating devices in a local communications network in an exemplary embodiment.
  • FIG. 1 illustrates a system comprising a plurality of communicating devices in a local communications network in an alternative embodiment.
  • FIG. 1 illustrates a general algorithm of a computer program for the implementation, when this program is executed by a processor, of a method of training at least one artificial intelligence model in an exemplary embodiment.
  • FIG. 1 illustrates a general algorithm of a computer program for the implementation, when this program is executed by a processor, of an artificial intelligence model in an exemplary embodiment.
  • FIG. 1 illustrates a general algorithm of a computer program for the implementation, when this program is executed by a processor, of a method for managing at least one communicating object in an exemplary embodiment.
  • FIG. 1 illustrates a data processing circuit in an exemplary embodiment.
  • the proposed technique makes it possible to remedy disadvantages of the state of the art and offers monitoring of communicating objects in a communication network.
  • This monitoring provides robust detection of anomalies, including contextual anomalies, in time series of network flow metadata from communicating devices.
  • the detected anomalies make it possible in particular to trigger requests to update the firmware version of communicating devices to their latest functional version.
  • the general principle of the proposed technique is based on a comparison of the behavior of a communicating device with different possible behaviors identified. Each of these possible behaviors is modeled independently and is associated with a possible firmware version for a reference device or for a family of reference devices.
  • metadata is extracted from network traffic during a time interval subdivided into subintervals, forming as many observation windows.
  • This metadata can include, for example, source IP addresses, destination IP addresses, incoming and outgoing packet sizes, timestamps, etc. Metadata extracted from network traffic during an observation window forms an observation sequence.
  • the observation sequences serve as a basis for modeling the behavior of each reference device, so that a list of models denoted MOD ij is generated.
  • the index j designates a family of reference devices among a set of families considered
  • the index i designates a firmware version among a set of possible versions for the family i considered.
  • each MOD ij model is the result of automatic training aimed at compressing and then reconstructing the observation sequences continuously for a family of communicating devices.
  • a reconstruction error is determined.
  • this reconstruction error is less than a threshold, it is possible to infer that the observation sequence corresponds to network traffic involving a device of family i operating under firmware version j.
  • the communicating devices may include different types of devices EQ1, EQ2, EQ3, EQ4 (11, 12, 13, 14) for use by a user, such as a computer, a mobile telephone, a touchscreen tablet, a speaker communicating, a games console, a communicating device in the field of lighting, health, security, heating, air quality, etc.
  • the communicating devices may include one or more network devices other than the access gateway, such as a switch, a hub, a router, an RPT repeater (15), etc.
  • the topology of the local network (1) is represented as a tree.
  • Certain communicating devices EQ1 (11), EQ2 (12) communicate directly with the network gateway (10), while other user devices EQ3 (13), EQ4 (14) communicate with an RPT repeater (15) including the main role is to extend the coverage of the network gateway (10).
  • the proposed technique is not limited to any particular topology of the local network (1) and is applicable to any installation, for example domestic or within a company, whatever the network devices present and what regardless of the number and nature of the communicating devices.
  • An EXT device (20), external to the local network (1), is also shown on the and designates a device capable of communicating with one or more entities of the local network, for example the GW network gateway (10). Depending in particular on the topology of the local network, this communication is carried out either directly via the extended network (2), or indirectly through both the extended network (2) and the local network (1).
  • At least one of the devices shown includes a CT processing circuit (100) configured to implement the proposed technique.
  • a CT processing circuit (100) is integrated into the GW network access gateway (10), which allows the CT processing circuit (100) to have direct access to all of the traffic passing through the network local.
  • This comprises at least one CPU processor (101) connected to at least one non-transitory memory MEM (102) and to a COM communication interface (103) with the local network (1).
  • the non-transitory memory (102) stores one or more instructions of a computer program for implementing a method of managing the system of the when this program is executed by a processor.
  • the operation of the program may also require the presence of a transient memory within the processing circuit.
  • a processing circuit (100) or such a set of processing circuits can be seen as a grouping of functional, or logical, modules, respectively dedicated to specific tasks.
  • CT processing circuits (100) can be configured collectively to implement the proposed method.
  • Such CT processing circuits (100), each comprising a structure corresponding to that of the can be integrated into different devices such as the GW network access gateway (10) and the EXT device (20).
  • a first CT processing circuit (100) at the network gateway (10) can for example be configured to implement a management client and a second CT processing circuit (100) at the external device (20). ) to implement a management server dialoguing with the management client, the steps of the proposed technique then being distributed between the management server and the management client.
  • Each of these models is associated with a family i of reference devices and with a firmware version j of the reference devices of the family i.
  • the index i is between 1 and I, where I designates the number of families of reference devices taken into account by the training method, and the index j is between 1 and J I , where J I designates the number of firmware versions supported for the i family, this number varying from one supported family to another.
  • the model training method can be implemented by any processing circuit (100) in any system comprising one or more reference devices in a communication network, such as for example the systems of Figures 2 and 3.
  • a data collector (1001) records, during a reference period (for example a period of 7 days), metadata of network traffic involving, at least, one or more reference devices of the i family operating in the network with firmware version j.
  • this metadata can be collected from a probe provided on a device, such as the network gateway (10), through which passes the entire network flow involving the reference device(s) of family i operating in the network with the firmware version j.
  • a device such as the network gateway (10)
  • the metadata thus collected are likely to reflect all the nominal operating situations of this or these reference devices.
  • the metadata as well collected can still reflect part of the nominal operating situations of this or these reference devices. Such a case is possible for example in the context of a mesh network where network traffic does not always follow the same route.
  • a data filter makes it possible to sort the recorded metadata by selecting those considered useful for learning the MOD ij model (for example MAC addresses - for "Medium Access Control” -, addresses IP - for “Internet Protocol” -, packet sizes, source addresses, destination addresses, etc.).
  • This selection can be supervised or unsupervised.
  • the filter can be configured to select, specifically, metadata relating to a family i in version j, that is to say metadata corresponding for example to a source address and/or to a destination address appearing in a list of listed addresses, associated with a reference device of family i operating in the network with firmware version j.
  • the implementation of such a selection is an approach well known to those skilled in the art and which is not further developed here.
  • a segmenter (1003) makes it possible to form, from all the selected metadata, groups of metadata to be analyzed jointly.
  • the size of these metadata groups can be fixed in advance, with a group defining an analysis window.
  • the recorded metadata is segmented into groups of 100 samples without overlap.
  • One or more preprocessing modules make it possible to carry out preprocessing on the groups of metadata formed.
  • preprocessing that can be carried out by these preprocessing modules are now discussed, in a non-exhaustive manner.
  • One-hot encoding or 1 among n encoding, consists of encoding a variable with n states on n bits. Such encoding is common in machine learning to represent a categorical variable in numerical data. Frequency encoding, or “count encoding” in English, makes it possible to reflect the frequency of appearance of categories.
  • the aim of normalization is to standardize the data by resizing them so that they are comparable on a common scale. Re-sampling makes it possible to draw, on the basis of the samples forming a metadata group, new hypothetical samples which reflect the same distribution characteristics.
  • n can be set equal to 100.
  • the observation sequences thus obtained are the learning sequences of the artificial intelligence model MOD ij .
  • a learning module (1005) is provided for learning the MOD ij model.
  • the training of the MOD ij model is carried out by successively providing the observation sequences as input to the learning module, which attempts to reconstruct them.
  • Two consecutive observation sequences s ij (k) (111) and s ij (k-1) (112) are provided as input to the learning module (1005).
  • the current observation sequence s ij (k) is the sequence to reconstruct.
  • the previous observation sequence s ij (k-1) represents an element of a history of observation sequences.
  • the current observation sequence s ij (k) is processed by a first module formed of a self-attention module (212) and an encoder (312).
  • Self-attention is a learning mechanism for artificial intelligence models which is known to those skilled in the art and which is described in particular in A. Vaswani, N. Shazeer, N. Parmar, J. Uszkoreit, L. Jones, A. Gomez, ⁇ . Kaiser, and I. Polosukhin, Advances in Neural Information Processing Systems, page 5998--6008. (2017).
  • the self-attention module By applying a self-attention mechanism to the current observation sequence, the self-attention module outputs intra-sequence relations denoted z k , that is to say relations within the sequence current observation s ij (k) .
  • the encoder (312) is configured to encode these intra-sequence relationships.
  • the current observation sequence and, at least, the previous observation sequence s ij (k-1) are processed by a second module formed of a co-attention module (211 ) and an encoder (311).
  • Co-attention is a learning mechanism for artificial intelligence models which is known to those skilled in the art and which is described in particular in Haoran Zhang and Diane Litman, 2018, Co-Attention Based Neural Network for Source-Dependent Essay Scoring, Proceedings of the Thirteenth Workshop on Innovative Use of NLP for Building Educational Applications, pages 399–409, New La, Louisiana, Association for Computational Linguistics.
  • the co-attention module By applying a co-attention mechanism to the current observation sequence, the co-attention module provides inter-sequence relations as output, that is to say relations between the current observation sequence s ij ( k) and a history of observation sequences.
  • the history of observation sequences is represented by the single previous observation sequence s ij (k-1) and the inter-sequence relationships are denoted z k-1 .
  • the history of observation sequences can be represented by p previous observation sequences (s ij (k-1) , s ij (k- 2 ) , ..., s ij (k - p ) ) and the inter-sequence relations are denoted z k -p .
  • the encoder (311) is configured to encode these intra-sequence relationships.
  • first and second modules can be implemented as completely separate and distinct modules, in a particular embodiment these modules are implemented in the form of a Siamese neural network. This particular embodiment makes it possible to obtain better robustness in the detection of anomalies, in particular contextual anomalies. Alternatively, it is also possible to construct a learning module having an architecture functionally similar to that of a Siamese neural network.
  • the first and the second module are implemented in the form of a transformer-type Siamese neural network
  • self-attention is defined by:
  • co-attention is defined by:
  • the quantities q, v and e t are usually defined, in the field of transformer-type neural networks, as designating the “ query ”, the “ value ”, and the element of the observation sequence considered at the moment. t. Additional information, notably on the quantities q, v and e t , and more generally on the implementation of attention mechanisms using transformer-type neural networks, is available in A. Vaswani, N. Shazeer, N. Parmar, J. Uszkoreit, L. Jones, A. Gomez, ⁇ . Kaiser, and I. Polosukhin. Advances in Neural Information Processing Systems, page 5998-6008, (2017).
  • the relationships encoded by the first and the second module are merged by a merger (410), then processed by a third module in order to produce, as output, a reconstructed sequence ⁇ ij (k) (711) which is a reconstruction of the input sequence s ij (k) (111).
  • the third module includes, at least, one decoder (610) configured to decode the encoded relationships.
  • the third module further comprises a transformation module (510) configured to transform the encoded relationships using a self-attention mechanism before their decoding.
  • the encodings carried out by the first and the second module, as well as the decoding carried out by the third module are progressively refined with each processing of a new observation sequence, so that the sequences reconstructed are, collectively, as similar as possible to the learning sequences.
  • the MOD ij model learns to correctly reconstruct the observation sequences coming from the family i of reference devices operating in a network with firmware version j.
  • the MOD ij model learns to reconstruct the training sequences by minimizing the robust Geman-McClure function. This function is defined by:
  • the quantity e k is the result of a reconstruction error calculation of the observation sequence s ij (k) .
  • IQR interquartile range
  • the training of the MOD ij model (1101) can be stored in a reference base (1100), denoted DB_REF, then a new iteration of the method of the can be triggered to result in a new MOD model i , j +1 for another firmware version j+1 of family i if such a version exists, or a new MOD model i+1,1 for another family i +1 reference devices. This process can be repeated until covering as many families as desired and, for each family covered, as many firmware versions as desired.
  • This management method comprises a metadata collection and preprocessing procedure (2000) carried out using a collector (2001), a filter (2002), a segmenter (2003) and one or several preprocessing modules (2004).
  • the entities (2001, 2002, 2003, 2004) planned for implementation the metadata collection and preprocessing procedure (2000) has many similarities with those (1001, 1002, 1003, 1004) planned for implementation the first steps of the training method (1000) previously described in connection with the , with two nuances.
  • the collector (2001) continuously collects metadata relating to common network flows, likely to involve all types of communicating devices, operating under any firmware version, and the filter (2002) organizes this collected metadata according to a procedure modeled on that of the filter (1002), so that the observation sequences output from the preprocessing module(s) (2004) have a format identical or similar to that observation sequences arising from network flow observations involving the reference devices.
  • the filter (2002) can extract a subset of metadata considered useful for collectively managing a group of communicating devices presumed to be linked, that is to say presumed to belong to the same family and presumed to operate in the network with the same firmware version.
  • the management method also includes a procedure for processing data and managing communicating devices (2100).
  • a loader (2106) loads a set of previously trained MOD ij artificial intelligence models into memory. This may be, for example, all of the models stored in the DB_REF (1100) reference base previously described.
  • a sequence reconstructor (2107) is provided to implement each artificial intelligence model MOD ij previously loaded by the charger.
  • sequence reconstructor can be considered as comprising a plurality of instances in parallel, each instance being associated with a respective MOD ij model and having an operation identical to that of the learning module described in connection with the and in more detail in connection with the .
  • each of the MOD artificial intelligence models ij involves: provide the same current observation sequence to analyze ij (k) to all of the first modules to determine the intra-sequence relationships, provide the same current observation sequences to analyze ij (k) and previous observation sequence to analyze ij (k-1) to all of the second modules to determine the inter-sequence relationships, and obtain, for each of the artificial intelligence models implemented, a reconstructed sequence ⁇ ij (k) respective which is a reconstruction, by a third respective module, of the current observation sequence to be analyzed s ij (k) .
  • a reconstruction error calculation is carried out, for example according to equation (3).
  • the result of the reconstruction error calculation is thus, for example, a Euclidean distance between this reconstructed sequence ⁇ ij (k) and the sequence d the current observation s ij (k) which is at the origin.
  • This Euclidean distance is a positive quantity indicative of the quality of the reconstruction. The closer it is to zero, the better the quality of the reconstruction.
  • the reconstruction errors for each reconstructed sequence can be compared with each other in order to identify the family of communicating devices to which the communicating device to be managed belongs and the firmware version with which it operates in the network.
  • comparing the reconstruction errors with each other makes it possible to determine the minimum error denoted e k , that is to say the minimum error value obtained for all the error calculations carried out.
  • the minimum error denoted e k that is to say the minimum error value obtained for all the error calculations carried out.
  • the set of MOD ij models the one whose implementation produced as output the reconstructed sequence presenting the minimum error e k is a given model denoted MOD î ⁇ , it is the model representing the behavior in the network communicating devices belonging to the î family and operating with firmware version ⁇ .
  • a comparator (2108) compares the minimum reconstruction error e k to a threshold ⁇ min whose value, fixed, is specific to the given model MOD î ⁇ .
  • the communicating device to which the observation sequence relates is identified as belonging to family î and operating with firmware version ⁇ . If this version ⁇ is final for the family î, then it can be concluded that the communicating device is already operating in the network with up-to-date firmware, and it is not necessary to trigger any update of this communicating device. If, conversely, the version ⁇ is not final for the family î, a notification and recommendation service can issue a notification (2109) proposing an update of the firmware of the communicating device of the family î.
  • the communicating device to which the observation sequence relates is identified as unknown, that is to say belonging to an unknown family, or operating with a unknown firmware version, or with anomalies.
  • the communicating device to which the observation sequence relates it can be planned to store the observation sequence in memory, with a view to subsequent analysis.
  • a notification and recommendation service may further, for example, issue a notification (2110) recommending an update of all available firmware for communicating devices identified as unknown.
  • the notification service may be an adapted and personalized service to inform the appropriate person (for example a client, an object manager, etc.) that an update of the firmware of one or more communicating devices, or of one or more families of communicating devices is necessary.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

L'invention porte sur un procédé de surveillance d'au moins un dispositif dans un réseau de communication, le procédé comprenant : obtenir une séquence d'observation (sij(k)) à partir d'observations d'un flux réseau impliquant le dispositif, mettre en œuvre au moins un modèle (MODij) donné d'intelligence artificielle associé à une version de micrologiciel (j) d'au moins un dispositif de référence, le modèle donné étant entraîné à produire une séquence reconstruite (ŝij(k)) à partir de la séquence d'observation et d'une séquence d'observation précédente et à déterminer une erreur de reconstruction entre la séquence reconstruite et la séquence d'observation, une erreur inférieure à un seuil caractérisant que le dispositif opère dans le réseau avec ladite version de micrologiciel, la séquence reconstruite étant produite en fonction de relations intra-séquence (zk) entre des éléments de la séquence d'observation (sij(k)) et de relations inter-séquences (zk-1) entre la séquence d'observation (sij(k)) et la séquence d'observation (sij(k-1)) précédente.

Description

Détection d’anomalies pour la maintenance applicative de dispositifs
La présente divulgation relève du domaine des services de gestion de dispositifs communicants, également appelés dispositifs connectés ou objets connectés.
Plus particulièrement, la présente divulgation porte sur un procédé de gestion d’un dispositif communicant dans un réseau de communication local et sur un système, un dispositif, un programme informatique et un support d’enregistrement correspondants.
La présente divulgation peut trouver une application par exemple dans les services numériques de gestion à distance de dispositifs communicants par un opérateur et/ou par un fournisseur de services numériques.
Généralement, de tels services numériques reposent essentiellement sur deux types d’entités.
Un serveur de gestion, localisé dans le réseau de l’opérateur ou du fournisseur de services numériques, est chargé d’exécuter à distance des opérations de maintenance, de configuration et/ou de diagnostic sur des dispositifs communicants présents dans des réseaux locaux.
Des clients de gestion, présents sur les dispositifs communicants gérés, assurent une communication sécurisée avec le serveur de gestion.
Des anomalies de fonctionnement peuvent se produire dans un réseau local. Toutefois, dans le cadre de réseaux locaux comportant des dispositifs communicants hétérogènes, non intégrés dans un quelconque service numérique de gestion à distance ou gérés par des services numériques de gestion à distance différents, il n’est pas possible pour l’opérateur de déterminer quel dispositif communicant peut être à l’origine d’anomalies de fonctionnement.
En effet, l’opérateur ne peut réaliser que des diagnostics limités aux dispositifs communicants dont il assure la gestion pour déterminer l’origine d’un dysfonctionnement. Cela suffit lorsque les dispositifs communicants fournis par l’opérateur sont bien responsables du dysfonctionnement. Cependant, des dépendances locales peuvent exister entre dispositifs communicants. Par exemple, des dépendances en matière de connectivité peuvent exister lors d’une connexion d’un dispositif communicant fourni par l’opérateur à un répéteur Wi-Fi tiers.
Afin de prémunir l’utilisateur final d’une expérience dégradée par l’apparition d’anomalies de fonctionnement, l’opérateur s’appuie sur son propre service numérique de gestion à distance pour maintenir à jour les dispositifs communicants liés à ce service numérique. Ces mises à jour de micrologiciel corrigent généralement les derniers dysfonctionnements remontés par les utilisateurs finaux. L’opérateur programme des campagnes de mises à jour plus ou moins fréquentes en fonction de la criticité du changement du micrologiciel.
Un dispositif communicant du réseau local peut être à l’origine de l’anomalie de fonctionnement. En effet, il n’est pas possible pour le service numérique de gestion à distance de déclencher simultanément la mise à jour des micrologiciels de tous les dispositifs communicants gérés par le service numérique. L’utilisateur final peut donc encore rencontrer un problème avec un dispositif communicant particulier alors même que ce dernier fait partie de la campagne de mise à jour. Dans ce cas, une interface de gestion locale est généralement mise à disposition de l’utilisateur final afin qu’il puisse déclencher cette opération manuellement et immédiatement.
Il est dans l’intérêt commun de l’opérateur et de ses utilisateurs finaux que les mises à jour soient régulières pour l’ensemble des dispositifs communicants des utilisateurs finaux, et pas seulement pour les dispositifs communicants directement liés au service numérique de gestion à distance fourni par l’opérateur. De manière proactive, l’opérateur cherche donc à inciter l’utilisateur final à provoquer manuellement l’installation des dernières versions disponibles pour chaque famille de dispositifs communicants.
Mais l’opérateur n’est pas en mesure de connaître la version de chaque dispositif communicant raccordé à un réseau local d’un utilisateur final dès lors que certains de ces dispositifs communicants sont gérés par des fournisseurs tiers qui ne rendent pas une telle information accessible à l’opérateur.
Tenter d’inférer la version de micrologiciel d’un dispositif communicant à partir de l’étude du trafic réseau du dispositif communicant lors de son fonctionnement est difficile à mener.
Des anomalies dans des flux réseau peuvent être de trois types : ponctuelles, collectives ou contextuelles. Pour illustrer ces types d’anomalies, il est fait référence à la qui représente différents flux réseau sous la forme de quatre signaux univariés lissés :
un premier flux réseau de référence, ou nominal (3),
un deuxième flux réseau (4) comportant une anomalie ponctuelle,
un troisième flux réseau (5) comportant une anomalie contextuelle, et
un quatrième flux réseau (6) comportant une anomalie collective.
Lorsqu’une donnée d’une série temporelle est éloignée au sens de la distance euclidienne des autres données de la série, celle-ci est considérée comme une anomalie ponctuelle. Si un sous-ensemble de données diffère des autres données de la série, celui-ci caractérise une anomalie collective. L’anomalie contextuelle est la plus difficile à détecter puisqu’elle intervient lorsqu’une donnée est jugée anormale dans un contexte spécifique. 
Dans le cadre d’opérations de maintenance applicative, il peut être souhaitable qu’un service numérique de gestion à distance, fourni par exemple par un opérateur, puisse détecter les versions d’une famille de dispositifs communicants au réseau local d’un utilisateur final.
La référence suivante décrit une méthode connue de détection d’anomalies dans des séries temporelles :
Z. Chen, D. Chen, X. Zhang, Z. Yuan and X. Cheng, Learning Graph Structures with Transformer for Multivariate Time Series Anomaly Detection in IoT, IEEE Internet of Things Journal, 2021.
Dans cette référence, les auteurs proposent de détecter des anomalies temporelles à l’aide de réseaux de neurones de type transformeur (ou modèle auto-attentif). En particulier, cette approche attribue à chaque flux réseau un score d’anomalie et les observations qui ont un score supérieur à un seuil prédéfini sont considérées anormales.
Cette méthode présente cependant des limites qui la rendent peu applicable à l’inférence de version de micrologiciel d’un dispositif communicant en temps réel.
Notamment, cette méthode n’est pas robuste aux anomalies qui peuvent contaminer la base d’apprentissage. En effet, les auteurs supposent que toutes les données d’apprentissage sont nominales. En pratique, des anomalies peuvent s’infiltrer dans les données collectées pour l’apprentissage. Dans ce cas, la performance de cette approche peut être significativement impactée.
Il existe un besoin pour une méthode permettant de remédier à des insuffisances et/ou inconvénients de l'état de la technique et/ou d'y apporter des améliorations et permettant en particulier une détection robuste des anomalies contextuelles dans des séries temporelles de métadonnées de flux réseau de dispositifs communicants.
Résumé
La présente divulgation vient améliorer la situation.
Il est proposé un procédé de surveillance d’au moins un dispositif dans un réseau de communication, le procédé comprenant :
obtenir une séquence d’observation à partir d’observations d’un flux réseau impliquant le dispositif,
mettre en œuvre au moins un modèle donné d’intelligence artificielle associé à une version de micrologiciel d’au moins un dispositif de référence, le modèle donné étant entraîné à produire une séquence reconstruite à partir de la séquence d’observation et d’une séquence d’observation précédente et à déterminer une erreur de reconstruction entre la séquence reconstruite et la séquence d’observation, une erreur de reconstruction inférieure à un seuil caractérisant que le dispositif opère dans le réseau avec ladite version de micrologiciel,
la séquence reconstruite étant produite en fonction de relations intra-séquence entre des éléments de la séquence d’observation et de relations inter-séquences entre la séquence d’observation et la séquence d’observation précédente.
Le procédé de surveillance proposé permet une détection robuste d’anomalies, y compris contextuelles, dans des observations d’un flux réseau impliquant un ou plusieurs dispositifs. Le flux réseau est entendu comme un ensemble de données numériques transitant sur le réseau de communication. Il peut par exemple s’agir de paquets de données numériques émis au fil du temps par différents dispositifs sources vers différents dispositifs de destination. Les observations du flux réseau sont des données numériques relatives au flux réseau. Il peut s’agir par exemple de métadonnées extraites d’en-têtes de ces paquets. Les observations du flux réseau peuvent être par exemple recueillies de manière continue, de manière à former une série temporelle divisible en séquences d’observation. Ainsi, les séquences d’observation sont définies comme étant des données numériques relatives au flux réseau, collectées pendant une fenêtre d’observation. La robustesse de la détection d’anomalies est conférée par le recours aux relations intra-séquence et inter-séquence évoquées en tant que base à la reconstruction d’une séquence d’observation.
Le procédé proposé permet de détecter des anomalies en temps réel à partir du flux réseau. Le temps de calcul requis pour la mise en œuvre du procédé est en effet compatible avec cette mise en œuvre en continu. Par ailleurs, il ne nécessite pas de paramétrage complexe d’algorithmes ni un apprentissage supervisé. Pour finir, il est robuste aux données bruitées et aux valeurs aberrantes lors de l’entraînement.
Le procédé de surveillance proposé trouve des applications notamment dans le domaine de l’assistance à distance où il offre la possibilité de déterminer si un ou plusieurs dispositifs quelconques opèrent ou non dans un réseau de communication avec la même version donnée de micrologiciel qu’un ou plusieurs dispositifs de référence.
Il est proposé un procédé de gestion d’au moins un dispositif communicant dans un réseau de communication, le procédé comprenant :
surveiller le dispositif communicant selon le procédé de surveillance ci-avant, et
émettre une consigne de gestion du dispositif communicant sur la base d’une comparaison entre l’erreur de reconstruction déterminée lors de la mise en œuvre du modèle donné et le seuil.
Le procédé de gestion proposé, qui englobe le procédé de surveillance précité et présente les mêmes avantages, trouve des applications dans le domaine de la maintenance en ce qu’il vient faciliter des opérations de maintenance automatique. Il permet par exemple de détecter des dispositifs dont le trafic réseau présente des caractéristiques anormales pour déclencher des diagnostics avancés, identifier l’origine du problème, et permettre une réparation automatique avant toute demande d’assistance de la part d’utilisateurs finaux.
Il est également proposé un programme informatique comportant des instructions pour la mise en œuvre de l’un des procédés ci-avant lorsque ce programme est exécuté par un processeur.
Il est également proposé un support d’enregistrement non transitoire lisible par un ordinateur sur lequel est enregistré un programme pour la mise en œuvre de l’un des procédés ci-avant lorsque ce programme est exécuté par un processeur.
Il est également proposé un circuit de traitement de données comprenant un processeur connecté au support d’enregistrement non transitoire ci-avant.
Il est également proposé un système comprenant une pluralité de dispositifs communicants dans un réseau de communication, au moins un des dispositifs communicants comprenant le circuit de traitement de données ci-avant.
Le procédé de surveillance ci-avant peut comprendre optionnellement certaines fonctions supplémentaires telles que définies ci-après.
Dans certains exemples, la mise en œuvre d’au moins un modèle donné comprend la mise en œuvre d’une pluralité de modèles respectivement associés à une version respective de micrologiciel de l’au moins un dispositif de référence,
chaque dit modèle étant respectivement entraîné à produire une séquence reconstruite respective à partir de la séquence d’observation et de la séquence d’observation précédente et à déterminer une erreur de reconstruction respective entre la séquence reconstruite respective et la séquence d’observation,
l’erreur de reconstruction déterminée lors de la mise en œuvre du modèle donné ayant la valeur la plus faible parmi les erreurs de reconstruction respectives.
Par la mise en œuvre d’une telle pluralité de modèles, il est possible de déterminer la version précise de micrologiciel d’un dispositif surveillé opérant dans le réseau, en l’identifiant parmi un ensemble de versions possibles prédéfinies, qui sont, chacune, respectivement associée à un modèle respectif.
En effet, lorsque le dispositif surveillé et l’au moins un dispositif de référence appartiennent à une même famille de dispositifs, et lorsqu’en outre l’erreur de reconstruction déterminée lors de la mise en œuvre d’un modèle est inférieure au seuil évoqué, alors la version de micrologiciel avec laquelle le dispositif surveillé opère dans le réseau est identifiée précisément comme étant celle associée à ce modèle.
Une famille de dispositifs communicants est définie comme étant un regroupement de dispositifs communicants partageant la même version d’un micrologiciel. Ces dispositifs communicants peuvent cependant être différents par exemple dans leur fonctionnement ou en facteur de forme.
Dans certains exemples, la mise en œuvre d’au moins un modèle donné comprend la mise en œuvre d’un ensemble de modèles comprenant une pluralité de sous-ensembles respectivement associés à une famille respective de dispositifs de référence et comprenant, chacun, au moins un modèle associé à une version de micrologiciel d’au moins un dispositif de référence de la famille respective, le modèle donné appartenant à l’un des sous-ensembles,
l’erreur de reconstruction, déterminée lors de la mise en œuvre du modèle donné (MODij), inférieure au seuil caractérisant en outre que le dispositif appartient à la famille associée au sous-ensemble comprenant le modèle donné.
Par la mise en œuvre d’un tel ensemble de modèles, il est possible de déterminer à la fois la famille de dispositifs à laquelle appartient un dispositif surveillé et la version de micrologiciel avec laquelle il opère dans le réseau.
Lorsqu’à l’inverse les erreurs de reconstruction déterminées lors de la mise en œuvre de chaque modèle sont toutes supérieurs à un seuil, alors le flux réseau impliquant le dispositif surveillé peut simplement être considéré comme inconnu, ou comme présentant une anomalie.
Un tel cas de figure survient, par exemple, lorsqu’aucun des sous-ensembles n’est associé à une famille à laquelle appartient le dispositif surveillé, ou lorsqu’aucun des modèles n’est associé avec la version de micrologiciel avec laquelle le dispositif surveillé opère dans le réseau, ou encore lorsque cette version de micrologiciel est corrompue.
Le procédé de gestion ci-avant peut comprendre optionnellement certaines fonctions supplémentaires telles que définies ci-après.
Dans certains exemples, lorsque l’erreur de reconstruction déterminée est inférieure au seuil et la version de micrologiciel associée au modèle donné est obsolète, la consigne de gestion comprend une recommandation de mise à jour de la version de micrologiciel avec laquelle le dispositif opère dans le réseau.
Ainsi, un service de notification et de recommandation peut proposer des mises à jour de micrologiciel ciblées pour un ou plusieurs dispositifs surveillés et gérés dont la version de micrologiciel est identifiée comme n’étant plus à jour.
Dans certains exemples, le procédé comprend en outre, lorsque l’erreur de reconstruction déterminée est supérieure au seuil, une détection d’anomalie, et la consigne de gestion est émise sur la base de l’anomalie
Ainsi, un service de notification et de recommandation peut par exemple ne proposer des mises à jour générales de micrologiciel de l’ensemble des dispositifs en présence qu’à la condition préalable que la version de micrologiciel d’un ou plusieurs dispositifs surveillés n’a pas pu être identifiée.
D’autres caractéristiques, détails et avantages apparaîtront à la lecture de la description détaillée ci-après, et à l’analyse des dessins annexés, sur lesquels :
Fig. 1
illustre différents types d’anomalies dans des séries temporelles pour un signal univarié.
Fig. 2
illustre un système comprenant une pluralité de dispositifs communicants dans un réseau de communication local dans un exemple de réalisation.
Fig. 3
illustre un système comprenant une pluralité de dispositifs communicants dans un réseau de communication local dans une variante de réalisation.
Fig. 4
illustre un algorithme général d’un programme informatique pour la mise en œuvre, lorsque ce programme est exécuté par un processeur, d’un procédé d’entraînement d’au moins un modèle d’intelligence artificielle dans un exemple de réalisation.
Fig. 5
illustre un algorithme général d’un programme informatique pour la mise en œuvre, lorsque ce programme est exécuté par un processeur, d’un modèle d’intelligence artificielle dans un exemple de réalisation.
Fig. 6
illustre un algorithme général d’un programme informatique pour la mise en œuvre, lorsque ce programme est exécuté par un processeur, d’un procédé de gestion d’au moins un objet communicant dans un exemple de réalisation.
Fig. 7
illustre un circuit de traitement de données dans un exemple de réalisation.
La technique proposée permet de remédier à des inconvénients de l’état de la technique et propose une surveillance d’objets communicants dans un réseau de communication. Cette surveillance offre une détection robuste d’anomalies, y compris d’anomalies contextuelles, dans des séries temporelles de métadonnées de flux réseau de dispositifs communicants. Les anomalies détectées permettent notamment de déclencher des demandes de mise à jour de la version du micrologiciel de dispositifs communicants dans leur dernière version fonctionnelle.
Le principe général de la technique proposée repose sur une confrontation d’un comportement d’un dispositif communicant avec différents comportements possibles recensés. Chacun de ces comportements possibles est modélisé indépendamment et est associé à une version possible de micrologiciel pour un dispositif de référence ou pour une famille de dispositifs de référence. Pour ce faire, pour une pluralité de dispositifs de référence, des métadonnées sont extraites d’un trafic réseau pendant un intervalle de temps subdivisé en sous-intervalles, formant autant de fenêtres d’observation. Ces métadonnées peuvent comporter par exemple des adresses IP source, des adresses IP de destination, des tailles de paquets entrants et sortants, des horodatages, etc. Les métadonnées extraites du trafic réseau pendant une fenêtre d’observation forment une séquence d’observation.
Les séquences d’observation servent de base pour modéliser le comportement de chaque dispositif de référence, de sorte qu’une liste de modèles notés MODij est générée. Dans cette notation, l’indice j désigne une famille de dispositifs de référence parmi un ensemble de familles considérées, et l’indice i désigne une version de micrologiciel parmi un ensemble de versions possibles pour la famille i considérée. En d’autres termes, chaque modèle MODij est le fruit d’un entraînement automatique visant à compresser puis reconstruire les séquences d’observation de manière continue pour une famille de dispositifs communicants.
A partir de la séquence d’observation et de la séquence reconstruite par le modèle MODij, une erreur de reconstruction est déterminée. Lorsque cette erreur de reconstruction est inférieure à un seuil, il est possible d’inférer que la séquence d’observation correspond à un trafic réseau impliquant un dispositif de la famille i opérant sous la version j de micrologiciel.
Lorsqu’aucun des modèles MODij de la liste de modèles générés n’arrive à reconstruire correctement une séquence d’observation, c’est-à-dire lorsque les erreurs de reconstruction déterminées pour chacune des séquences reconstruites sont toutes supérieures à un seuil, cela signifie que le trafic réseau pour ce dispositif présente des caractéristiques inconnues. Ces caractéristiques inconnues peuvent être regroupées sous le terme générique d’anomalie. Une anomalie survient par exemple lorsque le dispositif n’appartient à aucune des familles prédéfinies. Une anomalie peut aussi survenir lorsque le dispositif, bien qu’appartenant à l’une des familles prédéfinies, n’opère sous aucune des versions de micrologiciel prédéfinies, ou opère sous une version de micrologiciel corrompue.
Dans la suite de la description, on s’attache à décrire en détails un exemple de mise en œuvre de la technique proposée en se référant aux figures 2 à 7. On se place également dans le cas particulier où le réseau de communication est un réseau de communication local.
La illustre un système comprenant une pluralité de dispositifs communicants (10, 11, 12, 13, 14, 15) dans un réseau de communication local LAN/WLAN (1). L’un des dispositifs communicants est une passerelle d’accès à un réseau GW (10), également appelée passerelle réseau, interfaçant le réseau de communication local (1) avec un réseau de communication étendu WAN (2) et permettant aux dispositifs communicants d’accéder au réseau étendu. Les dispositifs communicants peuvent comprendre différents types de dispositifs EQ1, EQ2, EQ3, EQ4 (11, 12, 13, 14) à l’usage d’un utilisateur, tel qu’un ordinateur, un téléphone mobile, une tablette tactile, une enceinte communicante, une console de jeux, un dispositif communicant dans le domaine de l’éclairage, de la santé, de la sécurité, du chauffage, de la qualité de l’air, etc. Par ailleurs, les dispositifs communicants peuvent comprendre un ou plusieurs dispositifs réseau autres que la passerelle d’accès, tels qu’un commutateur, un concentrateur, un routeur, un répéteur RPT (15), etc.
Sur la , la topologie du réseau local (1) est représentée en arbre. Certains dispositifs communicants EQ1 (11), EQ2 (12) communiquent directement avec la passerelle réseau (10), tandis que d’autres dispositifs utilisateurs EQ3 (13), EQ4 (14) communiquent quant à eux avec un répéteur RPT (15) dont le rôle principal est d’étendre la couverture de la passerelle réseau (10). Pour autant, la technique proposée n’est pas limitée à une quelconque topologie particulière du réseau local (1) et est applicable à toute installation par exemple domestique ou bien au sein d’une entreprise, quels que soient les dispositifs réseau en présence et quels que soient par ailleurs le nombre et la nature des dispositifs communicants.
Un dispositif EXT (20), extérieur au réseau local (1), est également représenté sur la et désigne un dispositif apte à communiquer avec une ou plusieurs entités du réseau local, par exemple la passerelle réseau GW (10). En fonction notamment de la topologie du réseau local, cette communication s’effectue soit directement via le réseau étendu (2), soit indirectement à travers à la fois le réseau étendu (2) et le réseau local (1).
L’un quelconque au moins des dispositifs représentés comprend un circuit de traitement CT (100) configuré pour la mise en œuvre de la technique proposée. Dans l’exemple de la , un tel circuit de traitement CT (100) est intégré à la passerelle d’accès au réseau GW (10), ce qui permet au circuit de traitement CT (100) d’avoir directement accès à la totalité du trafic transitant dans le réseau local. La décrit spécifiquement la structure d’un tel circuit de traitement (100). Celui-ci comprend au moins un processeur CPU (101) raccordé à au moins une mémoire non transitoire MEM (102) et à une interface de communication COM (103) avec le réseau local (1). La mémoire non transitoire (102) stocke une ou plusieurs instructions d’un programme informatique pour la mise en œuvre d’un procédé de gestion du système de la lorsque ce programme est exécuté par un processeur. Le fonctionnement du programme peut également requérir la présence d’une mémoire transitoire au sein du circuit de traitement. Fonctionnellement, au cours de l’exécution du programme, un tel circuit de traitement (100) ou un tel ensemble de circuits de traitement peut être vu comme un regroupement de modules fonctionnels, ou logiques, respectivement dédiés à des tâches spécifiques.
Dans une variante illustrée sur la , plusieurs circuits de traitement CT (100) peuvent être configurés collectivement pour mettre en œuvre le procédé proposé. De tels circuits de traitement CT (100), comprenant chacun une structure correspondant à celle de la , peuvent être intégrés à différents dispositifs tels que la passerelle d’accès au réseau GW (10) et le dispositif EXT (20). Ainsi, un premier circuit de traitement CT (100) au niveau de la passerelle réseau (10) peut par exemple être configuré pour mettre en œuvre un client de gestion et un second circuit de traitement CT (100) au niveau du dispositif extérieur (20) pour mettre en œuvre un serveur de gestion dialoguant avec le client de gestion, les étapes de la technique proposée étant alors réparties entre le serveur de gestion et le client de gestion. 
On décrit à présent, dans un exemple de réalisation particulier, un procédé de gestion d’équipements communicants. Ce procédé s’appuie sur des modèles d’intelligence artificielle.
Chacun de ces modèles, noté MODij, est associé à une famille i de dispositifs de référence et à une version de micrologiciel j des dispositifs de référence de la famille i. L’indice i est compris entre 1 et I, où I désigne le nombre de familles de dispositifs de référence prises en compte par le procédé d’entraînement, et l’indice j est compris entre 1 et JI, où JI désigne le nombre de versions de micrologiciels supportées pour la famille i, ce nombre étant variable d’une famille supportée à une autre. Le procédé d’entraînement de modèles peut être mis en œuvre par tout circuit de traitement (100) dans tout système comprenant un ou plusieurs dispositifs de référence dans un réseau de communication, tels que par exemple les systèmes des figures 2 et 3.
On décrit à présent, en référence à la , un exemple de procédé (1000) d’entraînement, ou d’apprentissage, d’un modèle d’intelligence artificielle MODij (1101) adapté pour la mise en œuvre du procédé de gestion.
Un collecteur de données (1001) enregistre pendant une période de référence (par exemple une période de 7 jours), des métadonnées d’un trafic réseau impliquant, au moins, un ou plusieurs dispositifs de référence de la famille i opérant dans le réseau avec la version j de micrologiciel.
Par exemple, dans le système de la ou 3, ces métadonnées peuvent être collectées depuis une sonde prévue sur un dispositif, tel que la passerelle réseau (10), par lequel transite la totalité du flux réseau impliquant le ou les dispositifs de référence de la famille i opérant dans le réseau avec la version j de micrologiciel. Lorsque la période de référence est suffisamment longue eu égard à la famille i considérée, les métadonnées ainsi collectées sont susceptibles de refléter toutes les situations de fonctionnement nominal de ce ou ces dispositifs de référence.
A défaut, lorsque les métadonnées sont recueillies au niveau d’un dispositif par lequel ne transite qu’une partie du flux réseau impliquant le ou les dispositifs de référence de la famille i opérant dans le réseau avec la version j de micrologiciel, les métadonnées ainsi recueillies peuvent tout de même refléter une partie des situations de fonctionnement nominal de ce ou ces dispositifs de référence. Un tel cas est possible par exemple dans le cadre d’un réseau maillé où le trafic réseau ne suit pas toujours la même route.
En sortie du collecteur de données, un filtre de données (1002) permet de trier les métadonnées enregistrées en sélectionnant celles considérées utiles pour l’apprentissage du modèle MODij (par exemple des adresses MAC -pour « Medium Access Control »-, des adresses IP -pour « Internet Protocol »-, des tailles de paquets, des adresses source, des adresses de destination, etc.). Cette sélection peut être supervisée ou non supervisée. Par exemple, le filtre peut être configuré pour sélectionner, spécifiquement, des métadonnées se rapportant à une famille i en version j, c’est-à-dire des métadonnées correspondant par exemple à une adresse source et/ou à une adresse de destination figurant dans une liste d’adresses répertoriées, associées à un dispositif de référence de la famille i opérant dans le réseau avec la version j de micrologiciel. De manière générale, la mise en œuvre d’une telle sélection est une démarche bien connue de l’homme du métier et qui n’est pas davantage développée ici.
En sortie du filtre de données, un segmenteur (1003) permet de former, à partir de l’ensemble des métadonnées sélectionnées, des groupes de métadonnées à analyser conjointement. La taille de ces groupes de métadonnées peut être préalablement fixée, un groupe définissant une fenêtre d’analyse. Dans un exemple d’implémentation, les métadonnées enregistrées sont segmentées en groupes de 100 échantillons sans recouvrement.
En sortie du segmenteur, un ou plusieurs modules de prétraitement (1004) permettent d’opérer des prétraitements sur les groupes de métadonnées formés. Différents exemples de prétraitements pouvant être effectués par ces modules de prétraitement sont à présent évoqués, de façon non exhaustive. Un encodage one-hot, ou encodage 1 parmi n, consiste à encoder une variable à n états sur n bits. Un tel encodage est courant en apprentissage automatique pour représenter une variable catégorielle en données numériques. Un encodage de fréquence, ou « count encoding » en anglais, permet de refléter la fréquence d’apparition de catégories. Une normalisation a pour but d’uniformiser les données en les redimensionnant pour qu’elles soient comparables sur une échelle commune. Un ré-échantillonnage permet de tirer, sur la base des échantillons formant un groupe de métadonnées, de nouveaux échantillons hypothétiques qui reflètent les mêmes caractéristiques de distribution.
A l’issue du ou des prétraitements, des séquences de données, ou séquences d’observation, notées sij (k) et indexées par k = 1…n par ordre d’apparition, sont obtenues. Dans un exemple d’implémentation, n peut être fixé égal à 100. Les séquences d’observation ainsi obtenues sont les séquences d’apprentissage du modèle d’intelligence artificielle MODij.
Un module d’apprentissage (1005) est prévu pour effectuer l’apprentissage du modèle MODij. L’entraînement du modèle MODij s’effectue en fournissant successivement les séquences d’observation en entrée du module d’apprentissage, lequel tente de les reconstruire.
Le fonctionnement détaillé du module d’apprentissage (1005) est à présent décrit en référence à la , dans un exemple de réalisation.
Deux séquences d’observation consécutives sij (k) (111) et sij (k-1) (112) sont fournies en entrée du module d’apprentissage (1005). La séquence d’observation courante sij (k) est la séquence à reconstruire. La séquence d’observation précédente sij (k-1) représente un élément d’un historique de séquences d’observation.
Deux branches d’opérations sont réalisées en parallèle.
Selon une première branche d’opérations, la séquence d’observation courante sij (k) est traitée par un premier module formé d’un module d’auto-attention (212) et d’un encodeur (312). L’auto-attention est un mécanisme d’apprentissage pour modèles d’intelligence artificielle qui est connu de l’homme du métier et qui est décrit notamment dans A. Vaswani, N. Shazeer, N. Parmar, J. Uszkoreit, L. Jones, A. Gomez, Ł. Kaiser, and I. Polosukhin, Advances in Neural Information Processing Systems, page 5998--6008. (2017). En appliquant un mécanisme d’auto-attention à la séquence d'observation courante, le module d’auto-attention fournit en sortie des relations intra-séquence notées zk, c’est-à-dire des relations au sein de la séquence d’observation courante sij (k). L’encodeur (312) est configuré pour encoder ces relations intra-séquence.
Selon une deuxième branche d’opérations, la séquence d’observation courante et, au moins, la séquence d’observation précédente sij (k-1), sont traitées par un deuxième module formé d’un module de co-attention (211) et d’un encodeur (311). La co-attention est un mécanisme d’apprentissage pour modèles d’intelligence artificielle qui est connu de l’homme du métier et qui est décrit notamment dans Haoran Zhang and Diane Litman, 2018, Co-Attention Based Neural Network for Source-Dependent Essay Scoring, Proceedings of the Thirteenth Workshop on Innovative Use of NLP for Building Educational Applications, pages 399–409, New Orleans, Louisiana, Association for Computational Linguistics. En appliquant un mécanisme de co-attention à la séquence d'observation courante, le module de co-attention fournit en sortie des relations inter-séquence, c’est-à-dire des relations entre la séquence d’observation courante sij (k) et un historique de séquences d’observation. Dans un exemple d’implémentation, l’historique de séquences d’observation est représenté par la seule séquence d’observation précédente sij (k-1) et les relations inter-séquence sont notées zk-1. Dans d’autres exemples d’implémentation, l’historique de séquences d’observation peut être représenté par p séquences d’observation précédentes (sij (k-1), sij (k- 2 ), …, sij (k- p )) et les relations inter-séquence sont notées zk -p. L’encodeur (311) est configuré pour encoder ces relations intra-séquence.
Bien que le premier et le deuxième module puissent être implémentés sous la forme de modules totalement séparés et distincts, dans un mode de réalisation particulier ces modules sont implémentés sous la forme d’un réseau de neurones siamois. Ce mode de réalisation particulier permet d’obtenir une meilleure robustesse à la détection d’anomalies, en particulier d’anomalies contextuelles. Alternativement, il est également possible de construire un module d’apprentissage ayant une architecture fonctionnellement similaire à celle d’un réseau de neurones siamois.
Dans un exemple d’implémentation, le premier et le deuxième module sont implémentés sous la forme d’un réseau de neurones siamois de type transformeur,
l’auto-attention est définie par :

et la co-attention est définie par :
.
Les grandeurs q, v et et sont habituellement définies, dans le domaine des réseaux de neurones de type transformeur, comme désignant la « query », la « value », et l’élément de la séquence d’observation considérée à l’instant t. Des informations supplémentaires, notamment sur les grandeurs q, v et et, et plus généralement sur l’implémentation de mécanismes d’attention au moyen de réseaux de neurones de type transformeur, sont disponibles dans A. Vaswani, N. Shazeer, N. Parmar, J. Uszkoreit, L. Jones, A. Gomez, Ł. Kaiser, and I. Polosukhin. Advances in Neural Information Processing Systems, page 5998-6008, (2017).
Dans un exemple d’implémentation par un réseau de neurones entièrement connectés, les relations encodées par le premier et le deuxième module sont fusionnées par un fusionneur (410), puis traitées par un troisième module afin de produire, en sortie, une séquence reconstruite ŝij (k) (711) qui est une reconstruction de la séquence d’entrée sij (k) (111). Fonctionnellement, le troisième module comprend, au moins, un décodeur (610) configuré pour décoder les relations encodées. Dans un exemple d’implémentation, le troisième module comprend en outre un module de transformation (510) configuré pour transformer les relations encodées au moyen d’un mécanisme d’auto-attention avant leur décodage.
Au cours de la phase d’entraînement, les encodages effectués par le premier et le deuxième module, ainsi que le décodage effectué par le troisième module, sont progressivement affinés à chaque traitement d’une nouvelle séquence d’observation, de sorte que les séquences reconstruites soient, collectivement, les plus similaires possibles aux séquences d’apprentissage. Ainsi, le modèle MODij apprend à bien reconstruire les séquences d’observation provenant de la famille i de dispositifs de référence opérant dans un réseau avec la version j de micrologiciel.
Dans une réalisation, le modèle MODij apprend à reconstruire les séquences d’apprentissage en minimisant la fonction robuste de Geman-McClure. Cette fonction est définie par :
La grandeur ek est le résultat d’un calcul d’erreur de reconstruction de la séquence d’observation sij (k). Ce calcul fait intervenir la distance euclidienne dij (k) entre la séquence d’observation sij (k) et la séquence reconstruite ŝij (k), ainsi qu’un paramètre noté c, qui contrôle la robustesse de la fonction et est fixé comme un multiple de l’intervalle interquartile (IQR) de toutes les métadonnées de la famille i en version j, avec λ = 0,1 par exemple.
Une fois l’entraînement du modèle MODij (1101) achevé, celui-ci peut être stocké dans une base de référence (1100), notée DB_REF, puis une nouvelle itération du procédé de la peut être déclenchée afin d’entraîner un nouveau modèle MODi , j +1 pour une autre version j+1 de micrologiciel de la famille i si une telle version existe, ou un nouveau modèle MODi+1,1 pour une autre famille i+1 de dispositifs de référence. Cette démarche peut être répétée jusqu’à couvrir autant de familles que désiré et, pour chaque famille couverte, autant de versions de micrologiciel que désiré.
Il est maintenant décrit, en référence à la , un procédé de gestion de dispositifs communicants. Ce procédé de gestion comporte une procédure de collecte et de prétraitement de métadonnées (2000) effectuée à l’aide d’un collecteur (2001), d’un filtre (2002), d’un segmenteur (2003) et d’un ou plusieurs modules de prétraitement (2004).
Les entités (2001, 2002, 2003, 2004) prévues pour la mise en œuvre la procédure de collecte et de prétraitement de métadonnées (2000) présente de nombreuses similitudes avec celles (1001, 1002, 1003, 1004) prévues pour la mise en œuvre les premières étapes du procédé d’entraînement (1000) précédemment décrit en lien avec la , à deux nuances près.
Spécifiquement, dans le procédé de gestion proposé :
le collecteur (2001) collecte en continu des métadonnées se rapportant à des flux réseau courants, susceptibles d’impliquer tous types de dispositifs communicants, opérant sous toute version de micrologiciel, et
le filtre (2002) organise ces métadonnées collectées selon une procédure calquée sur celle du filtre (1002), de manière à ce que les séquences d’observation en sortie du ou des modules de prétraitement (2004) aient un format identique ou similaire à celui des séquences d’observation découlant d’observations de flux réseau impliquant les dispositifs de référence.
A titre de variante de réalisation, le filtre (2002) peut extraire un sous-ensemble de métadonnées considérées utiles pour gérer collectivement un groupe de dispositifs communicants présumés liés, c’est-à-dire présumés appartenir à une même famille et présumés opérer dans le réseau avec une même version de micrologiciel.
Dans le procédé de gestion proposé, le fonctionnement du segmenteur (2003) et celui du ou des modules de prétraitement (2004) sont inchangés par rapport à ceux décrits en lien avec la .
Le procédé de gestion comporte également une procédure de traitement de données et de gestion de dispositifs communicants (2100).
Un chargeur (2106) charge en mémoire un ensemble de modèles d’intelligence artificielle MODij précédemment entraînés. Il peut s’agir, par exemple, de l’ensemble des modèles stockés dans la base de référence DB_REF (1100) précédemment décrite.
Un reconstructeur de séquence (2107) est prévu pour mettre en œuvre chaque modèle d’intelligence artificielle MODij préalablement chargé par le chargeur.
Fonctionnellement, le reconstructeur de séquence peut être considéré comme comprenant une pluralité d’instances en parallèle, chaque instance étant associée à un modèle MODij respectif et ayant un fonctionnement identique à celui du module d’apprentissage décrit en lien avec la et de manière plus détaillée en lien avec la .
On considère à présent, pour les besoins de la mise en œuvre d’un quelconque nombre de modèles MODij, qu’à un instant courant, une séquence d’observation courante sij (k) et au moins une séquence d’observation précédente sij (k-1), relatives à un même dispositif, sont obtenues en tant que séquences à analyser. L’analyse de ces séquences d’observation vise à caractériser la famille à laquelle appartient ce dispositif communicant et/ou la version de micrologiciel avec laquelle ce dispositif communicant opère dans le réseau.
Mettre en œuvre chacun des modèles d’intelligence artificielle MODij implique de :
fournir la même séquence d’observation courante à analyser sij (k) à l’ensemble des premiers modules pour déterminer les relations intra-séquence,
fournir les mêmes séquences d’observation courante à analyser sij (k) et séquence d’observation précédente à analyser sij (k-1) à l’ensemble des deuxièmes modules pour déterminer les relations inter-séquences, et
obtenir, pour chacun des modèles d’intelligence artificielle mis en œuvre, une séquence reconstruite ŝij (k) respective qui est une reconstruction, par un troisième module respectif, de la séquence d’observation courante à analyser sij (k).
Pour chaque séquence reconstruite ainsi obtenue, un calcul d’erreur de reconstruction, noté ek ij, est effectué, par exemple selon l’équation (3). Pour une séquence reconstruite ŝij (k) par la mise en œuvre du modèle MODij, le résultat du calcul d’erreur de reconstruction est ainsi, par exemple, une distance euclidienne entre cette séquence reconstruite ŝij (k) et la séquence d’observation courante sij (k) qui en est à l’origine. Cette distance euclidienne est une grandeur positive indicative de la qualité de la reconstruction. Plus elle est proche de zéro, meilleure est la qualité de la reconstruction. Les erreurs de reconstruction pour chaque séquence reconstruite peuvent être comparées entre elles en vue d’identifier la famille de dispositifs communicants à laquelle appartient le dispositif communicant à gérer et la version de micrologiciel avec laquelle il opère dans le réseau.
Plus précisément, comparer les erreurs de reconstruction entre elles permet de déterminer l’erreur minimale notée ek, c’est-à-dire la valeur minimale d’erreur obtenue pour l’ensemble des calculs d’erreurs effectués. Parmi l’ensemble des modèles MODij, celui dont la mise en œuvre a produit en sortie la séquence reconstruite présentant l’erreur minimale ek est un modèle donné noté MODî ĵ, il s’agit du modèle représentant le comportement dans le réseau des dispositifs communicants appartenant à la famille î et opérant avec la version ĵ de micrologiciel.
Un comparateur (2108) compare l’erreur de reconstruction minimale ek à un seuil τmin dont la valeur, fixée, est propre au modèle donné MODî ĵ.
Si l’erreur de reconstruction minimale ek est inférieure au seuil τmin, alors le dispositif communicant auquel la séquence d’observation est relative est identifié comme appartenant à la famille î et opérant avec la version ĵ de micrologiciel. Si cette version ĵ est finale pour la famille î, alors il peut être conclu que le dispositif communicant opère déjà dans le réseau avec un micrologiciel à jour, et il n’est pas nécessaire de déclencher une quelconque mise à jour de ce dispositif communicant. Si à l’inverse la version ĵ n’est pas finale pour la famille î, un service de notification et de recommandation peut émettre une notification (2109) proposant une mise à jour du micrologiciel du dispositif communicant de la famille î.
Si l’erreur de reconstruction minimale ek est supérieure au seuil τmin, alors le dispositif communicant auquel la séquence d’observation est relative est identifié comme inconnu, c’est-à-dire appartenant à une famille inconnue, ou opérant avec une version inconnue de micrologiciel, ou encore présentant des anomalies. Optionnellement, lorsque le dispositif communicant auquel la séquence d’observation est relative est identifié comme inconnu, il peut être prévu de stocker la séquence d’observation en mémoire, en vue d’une analyse ultérieure. Un service de notification et de recommandation peut en outre, par exemple, émettre une notification (2110) recommandant une mise à jour de tous les micrologiciels disponibles pour les dispositifs communicants identifiés comme inconnus.
Le service de notification peut être un service adapté et personnalisé pour informer qui de droit (par exemple un client, un gestionnaire d’objets, etc.) qu’une mise à jour du micrologiciel d’un ou plusieurs dispositifs communicants, ou d’une ou plusieurs familles de dispositifs communicants, est nécessaire.

Claims (10)

  1. Procédé de surveillance d’au moins un dispositif (10, 11, 12, 13, 14, 15, 20) dans un réseau de communication, le procédé comprenant :
    obtenir une séquence d’observation (111) à partir d’observations d’un flux réseau impliquant le dispositif,
    mettre en œuvre au moins un modèle donné (1101) d’intelligence artificielle associé à une version de micrologiciel d’au moins un dispositif de référence, le modèle donné étant entraîné à produire une séquence reconstruite (711) à partir de la séquence d’observation et d’une séquence d’observation précédente (112) et à déterminer une erreur de reconstruction entre la séquence reconstruite et la séquence d’observation, une erreur de reconstruction inférieure à un seuil caractérisant que le dispositif opère dans le réseau avec ladite version de micrologiciel,
    la séquence reconstruite étant produite en fonction de relations intra-séquence (zk) entre des éléments de la séquence d’observation et de relations inter-séquences (zk - 1) entre la séquence d’observation et la séquence d’observation précédente.
  2. Procédé selon la revendication 1, 
    procédé dans lequel la mise en œuvre d’au moins un modèle donné comprend la mise en œuvre d’une pluralité de modèles respectivement associés à une version respective de micrologiciel de l’au moins un dispositif de référence,
    chaque dit modèle étant respectivement entraîné à produire une séquence reconstruite respective à partir de la séquence d’observation et de la séquence d’observation précédente et à déterminer une erreur de reconstruction respective entre la séquence reconstruite respective et la séquence d’observation,
    l’erreur de reconstruction déterminée lors de la mise en œuvre du modèle donné (MODî ĵ) ayant la valeur la plus faible parmi les erreurs de reconstruction respectives.
  3. Procédé selon la revendication 1 ou 2,
    procédé dans lequel la mise en œuvre d’au moins un modèle donné comprend la mise en œuvre d’un ensemble de modèles comprenant une pluralité de sous-ensembles respectivement associés à une famille respective de dispositifs de référence et comprenant, chacun, au moins un modèle associé à une version de micrologiciel d’au moins un dispositif de référence de la famille respective, le modèle donné appartenant à l’un des sous-ensembles,
    l’erreur de reconstruction, déterminée lors de la mise en œuvre du modèle donné (MODij), inférieure au seuil caractérisant en outre que le dispositif appartient à la famille associée au sous-ensemble comprenant le modèle donné.
  4. Procédé de gestion d’au moins un dispositif communicant dans un réseau de communication, le procédé comprenant :
    surveiller le dispositif communicant selon le procédé de surveillance de l’une des revendications 1 à 3, et
    émettre une consigne de gestion du dispositif communicant sur la base d’une comparaison entre l’erreur de reconstruction déterminée lors de la mise en œuvre du modèle donné (MODij) et le seuil.
  5. Procédé selon la revendication 4, procédé dans lequel, lorsque l’erreur de reconstruction déterminée est inférieure au seuil et la version de micrologiciel associée au modèle donné est obsolète, la consigne de gestion comprend une recommandation de mise à jour de la version de micrologiciel avec laquelle le dispositif opère dans le réseau.
  6. Procédé selon la revendication 4 ou 5, procédé comprenant en outre, lorsque l’erreur de reconstruction déterminée est supérieure au seuil, une détection d’anomalie, et dans lequel la consigne de gestion est émise sur la base de l’anomalie.
  7. Programme informatique comportant des instructions pour la mise en œuvre du procédé selon l’une des revendications 1 à 6 lorsque ce programme est exécuté par un processeur.
  8. Support d’enregistrement non transitoire (102) lisible par un ordinateur sur lequel est enregistré un programme pour la mise en œuvre du procédé selon l’une des revendications 1 à 6 lorsque ce programme est exécuté par un processeur.
  9. Dispositif de traitement de données (100) comprenant un processeur (101) connecté à un support d’enregistrement non transitoire (102) selon la revendication 8.
  10. Système comprenant une pluralité de dispositifs communicants (10, 11, 12, 13, 14, 15, 20) dans un réseau de communication, au moins un des dispositifs communicants comprenant un dispositif de traitement (100) selon la revendication 9.
PCT/EP2023/064054 2022-06-17 2023-05-25 Détection d'anomalies pour la maintenance applicative de dispositifs WO2023241896A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2205936A FR3136917A1 (fr) 2022-06-17 2022-06-17 Détection d’anomalies pour la maintenance applicative de dispositifs
FRFR2205936 2022-06-17

Publications (1)

Publication Number Publication Date
WO2023241896A1 true WO2023241896A1 (fr) 2023-12-21

Family

ID=83280209

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/064054 WO2023241896A1 (fr) 2022-06-17 2023-05-25 Détection d'anomalies pour la maintenance applicative de dispositifs

Country Status (2)

Country Link
FR (1) FR3136917A1 (fr)
WO (1) WO2023241896A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200076841A1 (en) * 2018-09-05 2020-03-05 Oracle International Corporation Context-aware feature embedding and anomaly detection of sequential log data using deep recurrent neural networks
US20220172067A1 (en) * 2020-11-30 2022-06-02 International Business Machines Corporation Learning from distributed traces for anomaly detection and root cause analysis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200076841A1 (en) * 2018-09-05 2020-03-05 Oracle International Corporation Context-aware feature embedding and anomaly detection of sequential log data using deep recurrent neural networks
US20220172067A1 (en) * 2020-11-30 2022-06-02 International Business Machines Corporation Learning from distributed traces for anomaly detection and root cause analysis

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
A. VASWANIN. SHAZEERN. PARMARJ. USZKOREITL. JONESA. GOMEZL. KAISERI. POLOSUKHIN, ADVANCES IN NEURAL INFORMATION PROCESSING SYSTEMS, 2017, pages 5998 - 6008
HAORAN ZHANGDIANE LITMAN: "Building Educational Applications", 2018, ASSOCIATION FOR COMPUTATIONAL LINGUISTICS, article "Co-Attention Based Neural Network for Source-Dependent Essay Scoring, Proceedings of the Thirteenth Workshop on Innovative Use of NLP", pages: 399 - 409
Z. CHEND. CHENX. ZHANGZ. YUANX. CHENG: "Learning Graph Structures with Transformer for Multivariate Time Series Anomaly Détection in IoT", IEEE INTERNET OF THINGS JOURNAL, 2021

Also Published As

Publication number Publication date
FR3136917A1 (fr) 2023-12-22

Similar Documents

Publication Publication Date Title
EP3172548B1 (fr) Procédé pour détecter des anomalies dans un réseau de distribution, en particulier d'eau potable
EP3846046A1 (fr) Procede et systeme de traitement de donnees pour la preparation d'un jeu de donnees
EP3489831A1 (fr) Procédé et dispositif de surveillance d'un processus générateur de données d'une métrique pour la prédiction d'anomalies
WO2023241896A1 (fr) Détection d'anomalies pour la maintenance applicative de dispositifs
EP4055506A1 (fr) Detection d'attaques a l'aide de compteurs de performances materiels
EP3846047A1 (fr) Procédé et système d'identification de variables pertinentes
WO2016092218A1 (fr) Moyens pour déterminer un niveau de pertinence d'une ressource dans un système de traitement d'informations
AU2021269196B2 (en) Performance event troubleshooting system
EP3905044B1 (fr) Procédé d'analyse automatique des journaux de transactions d'un système informatique distribué
EP4009584A1 (fr) Procédé de détermination de classifieurs pour la détection d'attaques dans un réseau de communication, dispositif de détermination associé
WO2021122291A1 (fr) Procede et dispositif de detection d'equipement intrus
FR3090153A1 (fr) Procédé et système de détection d’anomalie dans un réseau de télécommunications
WO2024079408A1 (fr) Procédé de détection d'anomalie dans une série temporelle observée de valeurs d'une grandeur physique représentative des performances d'un système
FR3140958A1 (fr) Procédé de détection d’anomalie dans une série temporelle observée de valeurs d’une grandeur physique représentative des performances d’un système.
FR3089648A1 (fr) Procede de detection non supervise d’attaques internes et systeme associe
FR3075996A1 (fr) Systeme et procede d'elaboration et d'execution de tests fonctionnels pour grappe de serveurs
WO2020128246A1 (fr) Procédé de détermination d'un chemin de transmission de données, et dispositif correspondant
FR2970796A1 (fr) Procede de traitement de messages de pannes generes dans un appareil a systemes complexes
EP4033361A1 (fr) Procédé et dispositif de détermination d'au moins une machine impliquée dans une anomalie détectée dans une infrastructure informatique complexe
EP3985514A1 (fr) Procédé de prédiction et d'analyse non intrusif d'au moins un incident dans un centre de données
FR3124615A1 (fr) Procédé d’échange sécurisé de données.
FR3091391A1 (fr) Procédé d’identification autonome d’une application génératrice d’un flux IP
FR3143918A1 (fr) Méthode et système de détection d’intrusions dans un réseau informatique par apprentissage automatique
EP1969819B1 (fr) Configuration automatique d'interfaces dans un equipement d'interconnexion entre au moins une plateforme de services et au moins un terminal utilisateur
FR3108743A1 (fr) Procede de prevention d’incident sur une chaine applicative et dispositif informatique de prevention d’incident

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23731527

Country of ref document: EP

Kind code of ref document: A1