Descriptif du poste: Mission: Le déploiement de l'IA pour la détection et la classification des attaques vise à aider les analystes SOC et CSIRT face aux volumes croissants d'alertes. Toutefois, ces modèles rencontrent des limites, notamment une couverture insuffisante des comportements des attaquants, exacerbée par le manque de données d'entraînement et l'émergence d'attaques 0-day. Dans le projet CKRISP (ANR « Thématiques Spécifiques de l'IA »), nous exploitons un graphe de connaissances en cybersécurité (CSKG) pour développer un modèle IA basé sur l'apprentissage par renforcement (RL). Ce modèle vise à reproduire et explorer des stratégies de cyberattaques afin d'améliorer la détection et identifier des vulnérabilités. CKRISP établit une coopération humain-IA pour résoudre l'exploration et la prédiction des comportements d'attaque. Inspiré par les LLMs, il permettra : d'explorer les sous-graphes CSKGs pour révéler des chemins d'attaque, d'intégrer l'expertise humaine via l'apprentissage actif, de combler les lacunes des CSKGs en estimant ou synthétisant des comportements d'attaque. Ce processus renforcera la détection des IDS IA et l'efficacité des analystes en cybersécurité.   Activités Le travail proposé se concentre sur la génération de données d'attaque par la combinaison des CSKGs produits dans CKRISP et la connaisance des analystes humains selon 2 axes. Premièrement, nous utiliserons des LLMs pré-entraînés à l'aide de CSKGs pour synthétiser les données d'attaques. Deuxièmement, nous développerons une langage de correspondance entre les actions permises dans les CSKGs explorés à l'aide d'agents RL d'un côté, et les charges utiles (« payloads ») générés par cadriciels de tests d'intrusion, de l'autre. Cette contribution vise à construire un agent IA de requête sur un CSKG ou de malware, afin de prédire/catégoriser les comportements d'attaque. L'agent peut être entraîné en utilisant de l'apprentissage par renforcement ou en combinaison avec un LLM pour réaliser des requêtes sur le CSKG. Un modèle de réseaux de neurones de type graphe (« Graph Neural Network » ou GNN) peut aussi être considéré pour la génération d'entrées de requête (ou « prompt ») légers d'un LLM pour comprendre et interroger ce CSKG. Prédire et catégoriser les comportements d'attaque peut mener à la génération de données comportementales d'attaque, par ex., la génération de scans de ports ou de flux réseaux d'une attaque DDoS, en utilisant le CSKG. En résumé, le travail proposé utilisera le CKSG construit par CKRISP comme base de connaissances. Il utilisera un agent d'IA (en construction) pour synthétiser les motifs comportementaux d'attaque. Ces motifs seront utilisés pour deux objectifs : prédire les comportements d'attaque et générer des données d'attaque.   Profil recherché: Formation * Doctorat ou PhD depuis moins de 3 ans   Compétences, connaissances et expériences indispensables * Expériences en IA ou machine learning (ML) appliquée à la cybersécurité, en particulier, la détection d'intrusion * Connaissances sur les LLMs, les GNNs ou l'apprentissage par renforcement (RL) * Connaissances en graphes de connaissances * Anglais parlé, écrit   Compétences, connaissances et expériences souhaitables * Expériences avec des plateformes expérimentales ou de génération de données * Capacités et aptitudes * Rigueur * Autonomie * Capacité à travailler en équipe