Programme du cours
Du journal réseau brut au score d'anomalie composite — extraction de features, normalisation robuste et détection des attaques dans les systèmes connectés temps réel.
Comprendre comment passer de traces réseau brutes à une information exploitable, en structurant les données de manière rigoureuse afin de faire émerger des signaux réellement interprétables.
Savoir identifier les grands types de signaux utiles à la détection, les relier à des comportements suspects, puis les combiner pour construire un diagnostic cohérent à l’échelle d’une attaque.
Le cours s’organise autour de six axes complémentaires, qui vont de la préparation des traces jusqu’à l’interprétation des signatures d’attaque. Chaque axe introduit un ensemble de concepts, de méthodes et de repères d’analyse permettant de comprendre comment émergent les signaux utiles, comment les comparer, et comment les relier à des comportements anormaux dans un environnement interactif connecté.
Axe 1 — Principes généraux du pipeline
Comprendre pourquoi une trace brute ne peut pas être exploitée directement.
Identifier le rôle des événements applicatifs pour donner du sens aux observations réseau.
Structurer l’analyse par flux, par direction et par séquence d’observation.
Construire des fenêtres d’analyse permettant de résumer le comportement dans le temps.
Axe 2 — Signaux structurels : forme du trafic
Étudier le rythme, la régularité et les variations d’intensité du trafic.
Observer les ruptures de continuité, les désordres de séquence et les pertes apparentes.
Analyser le comportement des acquittements pour détecter des blocages ou des gels anormaux.
Mettre en évidence les irrégularités fines révélant des perturbations de bas niveau.
Axe 3 — Signaux temporels : cohérence du temps déclaré
Comprendre comment repérer un décalage entre la temporalité du client et celle du serveur.
Évaluer la richesse d’observation disponible pour juger la qualité du signal temporel.
Mesurer l’ampleur d’un décalage et suivre sa progression au fil du temps.
Distinguer une dérive progressive d’une évolution par paliers ou par à-coups.
Axe 4 — Signaux sémantiques : comportement en jeu
Analyser la précision et la réactivité comme indicateurs de performance anormale.
Étudier la visibilité des cibles et les conditions dans lesquelles les actions se produisent.
Vérifier la plausibilité physique des trajectoires, des déplacements et des interactions.
Observer la dynamique de visée pour faire apparaître des comportements artificiels.
Axe 5 — Normalisation et baseline
Comprendre pourquoi une mesure n’a de sens qu’en référence à un comportement habituel.
Construire une baseline individuelle propre à chaque flux, joueur ou situation.
Rendre comparables des signaux de nature très différente sans perdre leur interprétabilité.
Traiter proprement les valeurs manquantes, les cas rares et les données incomplètes.
Adapter les méthodes d’agrégation selon que l’on analyse des signaux structurels ou comportementaux.
Axe 6 — Corrélation des signaux et signatures d’attaque
Combiner plusieurs familles de signaux pour former un diagnostic plus robuste.
Comprendre comment certaines anomalies se renforcent lorsqu’elles apparaissent ensemble.
Relier des profils de features à de grandes familles d’attaques connues.
Apprendre à raisonner par faisceau d’indices plutôt qu’à partir d’un seul signal isolé.
Le programme alterne des sessions théoriques, des sessions de jeu par équipe dans un environnement instrumenté, et des temps d’analyse consacrés à l’étude des traces réellement produites pendant les parties. Les étudiants sont ainsi amenés à observer de vraies situations de jeu, à faire face à des attaques injectées dans des conditions réalistes, puis à analyser leurs propres traces et leurs propres attaques pour comprendre comment émergent les signaux utiles à la détection.
Séquence I
Comprendre les traces et préparer l’analyse
Pourquoi une trace réseau brute ne peut pas être exploitée telle quelle, et comment organiser les données pour faire émerger des signaux lisibles et comparables.
Séparer les flux, distinguer les directions de communication, relier les paquets aux événements applicatifs, et construire une base d’observation cohérente pour l’analyse.
Première prise en main des traces issues d’une session de jeu : lecture guidée, repérage des flux, compréhension du lien entre actions en jeu et journaux réseau.
Séquence II
Lire la forme du trafic
Étudier le rythme du trafic, ses régularités, ses silences, ses rafales et ses ruptures, afin de reconnaître les premiers signes d’un comportement anormal.
Analyser la cohérence des séquences, le comportement des acquittements et les irrégularités fines du protocole pour détecter des perturbations ciblées ou des manipulations réseau.
Partie en équipe avec scénarios instrumentés, incluant des attaques réseau réalistes, afin d’observer directement leurs effets sur la circulation des paquets et sur l’expérience de jeu.
Séquence III
Temps déclaré et cohérence temporelle
Comprendre comment un décalage entre le temps déclaré par un client et le temps observé par le serveur peut révéler certaines formes de manipulation ou de triche.
Analyse comparative de plusieurs sessions pour distinguer une dérive progressive, une perturbation par à-coups, et un simple bruit réseau.
Séquence IV
Interpréter le comportement en jeu
Étudier les signaux liés au comportement du joueur : précision, réactivité, visibilité des cibles, plausibilité des trajectoires et cohérence globale des actions dans l’environnement virtuel.
Montrer comment certaines anomalies ne sont pas visibles dans la seule forme du trafic et nécessitent de croiser les traces réseau avec les événements du gameplay.
Mise en situation par équipes avec attaques orientées gameplay, afin de produire des traces permettant d’étudier des comportements suspects plus subtils et plus difficiles à repérer.
Séquence V
Normaliser, comparer, interpréter
Comprendre pourquoi un signal n’a de sens qu’en comparaison avec un comportement habituel, et comment construire une référence propre à chaque joueur, chaque flux ou chaque situation.
Apprendre à rendre comparables des signaux très différents, à gérer les cas incomplets, et à préparer une lecture robuste des anomalies.
Travail sur les traces produites pendant les jeux : chaque équipe analyse ses propres données, compare ses observations et identifie les signaux les plus pertinents.
Séquence VI
Relier les signaux aux attaques
Relier les grands profils d’anomalie à des familles d’attaques connues, et apprendre à raisonner par faisceau d’indices plutôt que sur un seul symptôme isolé.
Mise en perspective finale : passage de l’observation brute à une interprétation structurée, construction d’un diagnostic global, et discussion sur les limites, les faux positifs et les usages possibles au-delà du jeu vidéo.