Contexte Métier
Une équipe de cybersécurité analyse des logs serveurs massifs pour identifier des séquences d'attaque (Injection SQL, XSS). Le volume de données étant important, on teste la capacité de l'algorithme SGD (Stochastic Gradient Descent) à converger plus vite que LBFGS sur un grand jeu de données bruité.
Préparation des Données
Génération synthétique de 10 000 lignes de logs avec injection de patterns d'erreur.
Copié !
| 1 | |
| 2 | DATA mycas.server_logs; |
| 3 | LENGTH text $300 target $300; |
| 4 | DO i=1 to 10000; |
| 5 | IF mod(i, 100) = 0 THEN DO; |
| 6 | text='GET /admin/login.php?user=admin OR 1=1'; |
| 7 | target='O O O B-ATTACK I-ATTACK I-ATTACK'; |
| 8 | END; |
| 9 | ELSE DO; |
| 10 | text='GET /home/index.html HTTP/1.1 200 OK'; |
| 11 | target='O O O O O O'; |
| 12 | END; |
| 13 | OUTPUT; |
| 14 | END; |
| 15 | |
| 16 | RUN; |
| 17 |
Étapes de réalisation
1
Génération des données volumineuses.
Copié !
| 1 | /* Exécution du data step de génération */ |
2
Entraînement avec l'algorithme SGD et une forte régularisation L2 pour éviter le surajustement au bruit.
Copié !
| 1 | |
| 2 | PROC CAS; |
| 3 | conditionalRandomFields.crfTrain / TABLE={name='server_logs', caslib='mycas'}, target='target', template='U:w[0]', model={name='cyber_model', caslib='mycas', replace=true}, nloOpts={algorithm='SGD', optmlOpt={regL2=0.1, maxIters=50}, printOpt={printFreq=10}}; |
| 4 | |
| 5 | RUN; |
| 6 | |
| 7 | QUIT; |
| 8 |
Résultat Attendu
Le modèle doit s'entraîner en utilisant l'optimiseur SGD (visible dans les logs). La régularisation L2 doit être appliquée. Le temps d'exécution doit rester cohérent malgré le volume (10k lignes). Les tables de modèle 'cyber_model_*' sont créées.