Sujet de thèse en Cybersécurité & IoT

Le LISITE, laboratoire de recherche de l’Isep propose un nouveau sujet de thèse : Détection intelligente des attaques contextuelles et multi-vectorielles dans les réseaux IoT à architecture SDN.

Informations générales

Contrat : CDD – 36 mois maximum
Début de la thèse : 1^er septembre 2025
Localisation : Issy-les-Moulineaux

Rattachement

Domaine : Sciences & Technologie de l’Information & la Communication
Axe : Cybersécurité
Groupe de recherche : ECoS
Collaboration : Université Paris-Saclay

Contexte et motivation scientifique

Avec la prolifération rapide des appareils de l’Internet des objets (IoT), les approches traditionnelles de gestion de réseau peinent à maintenir la sécurité et les performances. En découplant le plan de contrôle du plan de données, la mise en réseau définie par logiciel (SDN) permet une gestion centralisée du réseau, ce qui est particulièrement bénéfique pour la nature dynamique et hétérogène des environnements IoT. En outre, le SDN a fait l’objet de recherches approfondies et a été mis en œuvre pour améliorer le contrôle et la sécurité des réseaux IoT.

De plus, l’intégration de l’intelligence artificielle (IA) dans le SDN pour les réseaux IoT améliore considérablement le contrôle et la sécurité. La capacité de l’IA à analyser de grandes quantités de données et à identifier des modèles complète la gestion centralisée du SDN, conduisant à des opérations de réseau plus intelligentes et plus réactives.

Dans ce contexte, le SDN offre un contrôle centralisé et une programmabilité, mais l’intégration de l’IA introduit l’analyse prédictive, la détection des anomalies et la prise de décision automatisée, ce qui améliore considérablement la résilience et l’adaptabilité du réseau. Ce stage vise à développer des solutions SDN intelligentes qui prévoient les cyberattaques des réseaux IoT.

État de l’art :

Plusieurs études de recherche ont démontré le potentiel des réseaux SDN améliorés par l’IA pour les réseaux IoT. Dans [1], les auteurs ont proposé un système de détection des intrusions en deux étapes basées sur l’IA pour les réseaux IoT définis par logiciel (SD-IoT), tirant parti de l’algorithme Bat pour la sélection des caractéristiques et de Random Forest pour la détection intelligente des attaques, obtenant une précision de classification supérieure avec un surcoût inférieur par rapport aux solutions existantes.

L’article [2] propose une méthode d’atténuation des attaques DDoS basée sur la blockchain, intégrant l’IA et le SDN pour améliorer la sécurité de l’IoT, atteignant une précision de détection de plus de 99,8 % avec des temps de traitement des signatures efficaces et un taux de réussite de la défense conjointe plus élevé par rapport aux architectures de sécurité de l’IoT traditionnelles.

Dans [3], les auteurs ont présenté une approche distribuée basée sur l’apprentissage fédéré dans un environnement SDN pour améliorer la sécurité dans les réseaux satellite-IoT, classant efficacement le trafic malveillant, bloquant les sources d’inondation et atteignant une précision de détection des attaques de 79,47%, avec des travaux futurs visant à améliorer la précision et à incorporer des techniques de confidentialité différentielle.

Cet article [4] propose une approche optimisée de détection et d’atténuation des DDoS dans les environnements SDN en intégrant Mininet, le contrôleur Ryu et un modèle 1D-CNN réglé par hyperparamètres, atteignant une précision de détection de 99,99 % et surpassant les modèles ML traditionnels grâce à une analyse améliorée des schémas de trafic et à l’adaptation dynamique de la politique du réseau.

Cependant, plusieurs limitations existent dans ces travaux notamment :

Le manque d’approche contextuelle liée au cas d’usage étudié : les solutions existantes se focalisent souvent sur des détections basées sur des caractéristiques statiques (taux de paquets, adresses IP, type de flux) sans prendre en compte le contexte applicatif ou métier du trafic IoT (par exemple : un pic de trafic peut être légitime dans un contexte de mise à jour firmware).
Latence induite par les modules IA dans le contrôleur SDN : les algorithmes IA placés dans le plan de contrôle (core ou l’interface northbound) peuvent introduire des délais de décision importants, notamment avec les contraintes temps réel ou quasi-réel des systèmes IoT critiques (e-santé, industriel, etc.).
Peu de gestion des attaques multi-vectorielles ou en chaînes : beaucoup de travaux traitent des attaques individuelles (DDoS, spoofing, injection…) mais les attaques composites ou en étapes successives dans un environnement IoT-SDN restent peu adressées.

Méthodologie :

Effectuer un examen approfondi des techniques existantes d’intégration de l’IA et du SDN, en se concentrant sur les applications IoT.
Acquérir une expérience pratique avec les contrôleurs SDN, les frameworks d’IA et les protocoles IoT.
Tester des modèles d’IA pour prédire les cyberattaques dans les réseaux IoT.
Déployer la solution dans un environnement IoT simulé à l’aide de plateformes SDN open-source. Évaluer les mesures de performance telles que la latence, le débit et la résilience de la sécurité.
Documenter les résultats de la recherche, le processus de développement et les résultats de l’évaluation.

Solutions SDN open-source existantes

OpenDaylight : Un contrôleur SDN open-source modulaire qui prend en charge divers protocoles de sortie sud (par exemple, OpenFlow), adapté aux modifications pilotées par l’IA [7].
ONOS (Open Network Operating System) : Conçu pour l’évolutivité et la haute disponibilité, ONOS est idéal pour les grands réseaux IoT et prend en charge l’intégration avec des modules d’IA [5].
RYU : Un framework SDN basé sur des composants et écrit en Python, connu pour sa simplicité et sa flexibilité, ce qui le rend adapté au prototypage et à l’expérimentation rapides de l’IA [6].

Objectifs

L’objectif général de cette thèse est de proposer une approche intelligente et contextuelle de sécurisation des réseaux IoT basés sur SDN, intégrant des mécanismes de détection d’anomalies, tout en respectant les contraintes de latence et de ressources propres aux environnements IoT. Pour atteindre cet objectif général, plusieurs objectifs spécifiques sont définis :

Concevoir un modèle de détection d’anomalies contextuelles pour les réseaux IoT-SDN, prenant en compte à la fois les caractéristiques réseau (flux, taux de paquets, etc.) et le contexte applicatif ou métier (type de périphérique, période d’activité, scénario métier) afin de réduire les faux positifs et améliorer la pertinence des décisions de sécurité.
Proposer une architecture hybride d’intégration de modules IA dans le SDN, capable de répartir intelligemment les tâches de détection entre le contrôleur central et des entités déportées (edge/fog), afin de limiter la latence et garantir la réactivité pour les applications IoT sensibles au temps.
Développer un mécanisme de détection et de corrélation d’attaques multi-vectorielles et en chaîne, capable d’identifier des séquences d’événements malveillants répartis dans le temps ou sur différents canaux du réseau IoT-SDN

Profil (connaissances et compétences attendues)

Solides connaissances en réseau, SDN, IoT et IA
Maîtrise des langages de programmation tels que Python, Java ou C++.
Connaissance des frameworks d’IA/ML (par exemple, TensorFlow, PyTorch).
Familiarité avec les outils de simulation de réseau (par exemple, Mininet).
Familiarité avec les concepts de cybersécurité et les cyberattaques.
Un bon niveau d’anglais

Niveau d’étude

Master en Télécommunication et Cybersécurité (de préférence avec une partie IA dans le cursus)

Contact & candidature

Par courriel à Saad EL JAOUHARI (saad.el-jaouhari@isep.fr) en envoyant un CV, une lettre de motivation et un relevé de notes de M1. Dans le cas contraire, la candidature ne sera pas prise en compte.

Bibliographie

[1] J. Li, Z. Zhao, R. Li and H. Zhang, « AI-Based Two-Stage Intrusion Detection for Software Defined IoT Networks, » in IEEE Internet of Things Journal, vol. 6, no. 2, pp. 2093-2102, April 2019, doi: 10.1109/JIOT.2018.2883344.
[2] Wang S, Zhang J, Zhang T. AI-enabled blockchain and SDN-integrated IoT security architecture for cyber-physical systems. Advanced Control for Applications: Engineering and Industrial Systems. 2024; 6(2):e131. doi: 10.1002/adc2.131
[3] R. Uddin and S. A. P. Kumar, « SDN-Based Federated Learning Approach for Satellite-IoT Framework to Enhance Data Security and Privacy in Space Communication, » in IEEE Journal of Radio Frequency Identification, vol. 7, pp. 424-440, 2023, doi: 10.1109/JRFID.2023.3279329.
[4] Y. Al-Dunainawi, B. R. Al-Kaseem and H. S. Al-Raweshidy, « Optimized Artificial Intelligence Model for DDoS Detection in SDN Environment, » in IEEE Access, vol. 11, pp. 106733-106748, 2023, doi: 10.1109/ACCESS.2023.3319214.
[5] ONOS SDN https://opennetworking.org/onos/
[6] RYU SDN https://ryu-sdn.org/
[7] Opendaylight https://www.opendaylight.org

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie « Analytics ».
cookielawinfo-checkbox-autres	1 an	Défini par le plugin GDPR Cookie Consent pour stocker le consentement de l'utilisateur pour les cookies de la catégorie « Autres ».
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie « Fonctionnels ».
cookielawinfo-checkbox-necessaire	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie « Nécessaire ».
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie « Performance ».
CookieLawInfoConsent	1 an	CookieYes définit ce cookie pour enregistrer l'état du bouton par défaut de la catégorie correspondante et le statut du CCPA. Il ne fonctionne qu'en coordination avec le cookie principal.
viewed_cookie_policy	11 mois	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
XSRF-TOKEN	2 heures	Ce cookie renforce la sécurité de la navigation des visiteurs en empêchant la falsification des requêtes intersites.

Cookie	Durée	Description
pll_language	1 an	Le cookie pll _language est utilisé par Polylang pour se souvenir de la langue sélectionnée par l'utilisateur lorsqu'il revient sur le site web, et également pour obtenir des informations sur la langue lorsqu'elles ne sont pas disponibles d'une autre manière.
yt-remote-cast-installed	session	Le cookie yt-remote-cast-installed est utilisé pour stocker les préférences du lecteur vidéo de l'utilisateur lors de l'utilisation de vidéos YouTube intégrées.
yt-remote-connected-devices	jamais	YouTube utilise ce cookie pour stocker les préférences vidéo de l'utilisateur lors de l'utilisation de vidéos YouTube intégrées.
yt-remote-device-id	jamais	YouTube utilise ce cookie pour stocker les préférences vidéo de l'utilisateur lors de l'utilisation de vidéos YouTube intégrées.
yt-remote-fast-check-period	session	Le cookie yt-remote-fast-check-period est utilisé par YouTube pour stocker les préférences du lecteur vidéo de l'utilisateur pour les vidéos YouTube intégrées.
yt-remote-session-app	session	Le cookie yt-remote-session-app est utilisé par YouTube pour stocker les préférences de l'utilisateur et des informations sur l'interface du lecteur vidéo YouTube intégré.
yt-remote-session-name	session	Le cookie yt-remote-cast-installed est utilisé pour stocker les préférences du lecteur vidéo de l'utilisateur lors de l'utilisation de vidéos YouTube intégrées.
ytidb::LAST_RESULT_ENTRY_KEY	jamais	Le cookie ytidb::LAST_RESULT_ENTRY_KEY est utilisé par YouTube pour stocker le dernier résultat de recherche sur lequel l'utilisateur a cliqué. Cette information est utilisée pour améliorer l'expérience de l'utilisateur en fournissant des résultats de recherche plus pertinents à l'avenir.

Cookie	Durée	Description
_ga	1 an	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et suit également l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_*	1an 1 mois 4 jours	Google Analytics utilise ce cookie pour stocker et compter les pages vues.

Cookie	Durée	Description
__Secure-ROLLOUT_TOKEN	6 mois	La description n'est pas disponible actuellement.
_pk_id.4.3c86	1 an 1 mois	La description n'est pas disponible actuellement.
_pk_ref.4.3c86	6 mois	La description n'est pas disponible actuellement.
_pk_ses.4.3c86	1 heure	La description n'est pas disponible actuellement.
oscar_session	2 heures	La description n'est pas disponible actuellement.
WEBSRVID	session	Pas de description
weezevent	session	La description n'est pas disponible actuellement.

Cookie	Durée	Description
NID	6 mois	Google installe le cookie à des fins publicitaires, pour limiter le nombre de fois où l'utilisateur voit une annonce, pour désactiver les annonces non souhaitées et pour mesurer l'efficacité des annonces.
VISITOR_INFO1_LIVE	6 mois	YouTube utilise ce cookie pour mesurer la bande passante et déterminer si l'utilisateur bénéficie de l'ancienne ou de la nouvelle interface de lecture.
VISITOR_PRIVACY_METADATA	6 mois	YouTube utilise ce cookie pour stocker l'état du consentement de l'utilisateur en matière de cookies pour le domaine actuel.
YSC	session	Youtube place ce cookie pour suivre les vues des vidéos intégrées sur les pages de Youtube.
yt.innertube::nextId	jamais	YouTube utilise ce cookie pour enregistrer un identifiant unique afin de stocker des données sur les vidéos de YouTube que l'utilisateur a vues.
yt.innertube::requests	jamais	YouTube utilise ce cookie pour enregistrer un identifiant unique afin de stocker des données sur les vidéos de YouTube que l'utilisateur a vues.