Ward³
ENFR
NouveauPrésentation d'ANM — une nouvelle catégorie de défense réseau

Trois juges.Un verdict. Zéro angle mort.

Ward³ est la première implémentation de référence de la Médiation Neuronale Adversarielle — trois juges IA architecturalement orthogonaux qui médient chaque flux, avec la divergence traitée comme un signal de sécurité de premier ordre. Conçu pour l'ère de l'IA adversarielle.

Demander un accèsLire le whitepaper ANM
ward3 · médiateur/flux:0xa7f2…91c4
live
Juge L
Séquentiel · neuronal
93%
Juge G
Relationnel · neuronal
97%
Juge R
Moteur de règles · déterministe
88%
verdict BLOQUERd_max = 0.04 · consensus = 0.97
kubernetes.NetworkPolicy appliquée (ns : payments) nftables.set : Quarantine ← 10.41.7.22 ledger.append (post-quantique) bloc #482917
94,1 %
détection sous PGD
vs 23,7 % single-model
juges orthogonaux
Séquentiel · Relationnel · Règles
<10 ms
latence de médiation p99
matériel standard
Post-quantique
ledger d'audit
signatures alignées NIST
Construit sur les standards que votre SOC utilise déjà
Kubernetes
enforce natif
eBPF / XDP
capture à débit ligne
OpenTelemetry
instrumenté
Sigstore
attesté
MITRE ATT&CK
mappé
NIST PQC
ML-KEM · ML-DSA
Le problème

Le NDR à un seul modèle ne suffit plus.

Vectra. Darktrace. ExtraHop. Tous ont supposé qu'un seul modèle ML pouvait détecter les attaques sophistiquées. Cette hypothèse était raisonnable en 2017. Elle ne l'est plus en 2026.

Les frameworks adversariels open source — ART, CleverHans, Foolbox — mettent désormais l'évasion par gradient à la portée d'attaquants ordinaires. Tout modèle déployé seul peut être trompé.

FGSMPGDAttaques de transfertExtraction de modèleEmpoisonnement de labels
Empirique
Chute du taux de détection sous perturbation PGD (ε=0,02)
Reproduit en laboratoire
DoS Hulk
98.7%41.3%
Slowloris
86.4%11.9%
Beacon C2 botnet
91.2%23.7%
−45 à −70 pts
effondrement de la détection sur un NDR mono-modèle typique. Dans un SOC, c'est la différence entre voir la brèche et la rater complètement.
La solution

Trois juges. Architecturalement orthogonaux.

Les perturbations adversarielles se transfèrent entre modèles qui partagent le même biais inductif. Elles ne se transfèrent pas entre modèles qui encodent le monde de manière fondamentalement différente. Ward³ en exécute trois.

Juge LMotifs temporels au sein d'un flux
Juge séquentiel
Apprenant neuronal sur fenêtres de paquets
  • Encodeur neuronal bidirectionnel
  • Pooling d'attention
  • Inférence par fenêtre de flux
  • Entraînement adversariel robuste
Juge GMotifs topologiques & relationnels
Juge relationnel
Apprenant neuronal sur la topologie des flux
  • Encodeur graphique multi-couches
  • Fenêtres glissantes src→dst
  • Contexte inter-flux
  • Entraînement adversariel robuste
Juge RDéterministe, non-différentiable
Juge de règles
Moteur booléen d'invariants experts
  • Invariants conçus à la main
  • Paquets · entropie · débit max.
  • Immunisé aux attaques par gradient
  • Inspectable par construction
Le médiateur

La divergence est un signal de sécurité de premier ordre .

Un attaquant furtif qui trompe un seul juge produit une forte divergence avec les autres. Le médiateur fail-close en cas de désaccord et émet XAI_DIVERGENCE_HIGH — un signal qu'aucun NDR mono-modèle ne peut produire, par définition.

d_LG = |p_L − p_G|d_max = max(d_LG, d_LR, d_GR)verdict = consensus(p_L, p_G, p_R) si d_max < θ sinon fail-closed
LGRmédiateur
Comment Ward³ s'exécute

Trois juges. Trois latences. Trois surfaces.

Edge en microsecondes. Tenant en millisecondes. Corrélation à l'échelle de la plateforme en dizaines de millisecondes. Réseau et endpoint, unifiés sous un seul médiateur — la trinité Ward³, exécutée de bout en bout.

Architecture en paliers
Tier 1Edge
μs
latence cible
Décisif sur l'évident
  • Juge de règles (Rust pur)
  • Cache threat-intel
  • Match d'empreinte TLS
  • Préprocessing & tagging eBPF
  • Enforce endpoint local
60–80 % du trafic résolu ici
Tier 2Tenant
ms
latence cible
Médiation ML principale
  • Juge séquentiel
  • Juge relationnel
  • Juges endpoint processus & fichier
  • Médiateur + divergence
  • Scoring adversariel robuste
Verdict + signal d'enforcement
Tier 3Plateforme
10s ms
latence cible
Cross-host, cross-tenant
  • Enrichissement async (hors hot-path)
  • Corrélation endpoint
  • Baselines long-horizon
  • Reconstruction de kill-chain
  • Threat intel fédéré
Posture XDR, multi-tenant
Pipeline par décision
μs → ms → audit
01eBPF / XDP
Capture
  • IPv4 + IPv6
  • Retransmits, variance TTL
  • Vecteur runtime par flux
  • Débit ligne
02L · G · R
Trois juges
  • Juge séquentiel
  • Juge relationnel
  • Juge de règles
  • Signé cryptographiquement
03Divergence
Médiation
  • Spread par paires
  • Fail-closed si désaccord
  • Consensus si alignement
  • XAI_DIVERGENCE_HIGH
04K8s / nft
Enforcement
  • Injection NetworkPolicy
  • nftables Block/Quarantine
  • War mode 4 yeux
  • Rate-limit / principal
05Ledger PQ
Audit
  • Log chaîné par hash
  • Signé post-quantique
  • Inviolable
  • Rejouable
Entraînement adversariel
Critère 3

Les deux juges ML sont entraînés contre les attaques par gradient. Modèle de menace, hyperparamètres et runs reproductibles documentés.

Intégrité des modèles
Critère 4

Artefacts d'inférence signés cryptographiquement au build, vérifiés au chargement. Registre append-only avec provenance complète.

Traçabilité auditable
Critère 5

Chaque décision — scores par juge, divergence, règles appliquées — rejouable pour valider le raisonnement de bout en bout.

Performance · Run #9 final

+30 à +60 pts de détection sous pression adversarielle.

Évalué sur trafic exclu de l'entraînement et sur des réseaux hors-distribution (formats de logs, familles d'attaque et botnets IoT jamais vus à l'entraînement). Robustesse adversarielle mesurée sous évasion par gradient.

0,998
AUC-ROC (clean)
94,1 %
sous PGD ε=0,02
89,6 %
sous attaque de transfert
0,87
AUC-ROC hors-distribution

Latence d'inférence ~2× vs mono-modèle — toujours <10 ms p99 par flux sur matériel standard.

Robustesse adversarielle
exclu de l'entraînement
MétriqueMono-jugeWard³ 3-jugesΔ
F1 (clean)0,660,97+0,31
AUC-ROC (clean)0,890,998+0,108
Détection · PGD ε=0,0223,7 %94,1 %+70,4 pts
Détection · transfert31,4 %89,6 %+58,2 pts
Généralisation hors-distribution
jamais vu à l'entraînement
MétriqueMono-jugeWard³ 3-jugesΔ
AUC-ROC0,710,87+0,16
La définition d'ANM

Cinq critères pour appartenir à la catégorie.

Un produit appartient à la catégorie ANM si et seulement s'il satisfait les cinq. Ward³ en est la première implémentation de référence — la preuve que la catégorie est atteignable, pas un slogan marketing.

Lire le whitepaper complet
  1. 01
    Au moins trois juges, architecturalement distincts

    Pas trois graines aléatoires. Pas trois tailles de fenêtre. Trois biais inductifs différents — séquence, graphe, règle.

  2. 02
    Détection explicite de divergence

    Mesure de désaccord en temps réel entre les juges, traitée comme un signal de sécurité — pas un simple score de confiance.

  3. 03
    Entraînement adversariel des juges ML

    Entraînement contre les attaques par gradient. Modèle de menace documenté. Les juges non entraînés sont faciles à tromper individuellement.

  4. 04
    Intégrité & watermarking des modèles

    Signature cryptographique, vérifiée au chargement. Registre append-only avec provenance. Sans cela, la médiation est sans valeur.

  5. 05
    Piste de décision auditable

    Scores par juge, divergence, conséquences appliquées — persistés dans un log inviolable. La robustesse doit être prouvable.

Cartographie des catégories

ANM coexiste avec EDR, NDR & XDR — il ne les remplace pas.

ANM s'occupe de la couche réseau quand des attaquants adversariels visent votre ML. Le reste de votre stack reste à sa place.

CapacitéEDRNDRXDRMDRANM (Ward³)
Visibilité endpointouinonouidépendoui
Visibilité réseaunonouiouidépendoui
Détection à base de MLouiouiouivariableoui
Juges architecturalement orthogonauxnonnonnonnonoui
Divergence comme signal de sécuriténonnonnonnonoui
Entraînement adversariel documentérarerarerarenonoui
Vérification d'intégrité des modèlespartielpartielpartielnonoui
Ledger d'audit inviolablenonnonnonnonoui
Plateforme

Conçu pour les SOC qui ont déjà leur opinion.

Ward³ expose les surfaces que votre équipe parle déjà. eBPF sur le fil, Kubernetes au bord, Prometheus au mur, Sigstore au build.

kernel-level
Capture eBPF/XDP

Capture de flux à débit ligne sur Linux. IPv4 + IPv6, retransmits, variance TTL, vecteur runtime par flux. Mock probe pour dev hors-Linux.

3 backends
Enforcement natif Kubernetes

Verdicts traduits en NetworkPolicies K8s — ou en sets nftables Linux (Block / Quarantine), ou en dry-run.

Voie FIPS
Crypto post-quantique

Primitives post-quantiques alignées NIST pour le quorum et le ledger. Secret sharing Shamir. Argon2id + JWT RS256 + mTLS.

Append-only
Ledger inviolable

Journal d'audit chaîné par hash, signé post-quantique. Tip-hash scellable. Rejouable pour forensics, ré-entraînement, revue régulateur.

Quorum
War Mode · gouvernance 4 yeux

Les blocages à débit ligne à fort impact requièrent l'approbation de deux administrateurs humains. Conçu pour des équipes ops qui doivent prouver leur retenue.

Runtime
Honey Traps runtime

Tromperie active — l'attaquant brûle du temps sur des leurres instrumentés pendant que le médiateur collecte des labels haute-confiance.

Continu
Shadow Mode

Pipeline d'auto-labelisation hors-ligne + trigger de ré-entraînement. Amélioration continue sans faire confiance aveuglément aux verdicts de production.

OTel · Sigstore
Observabilité native

Métriques Prometheus + dashboards Grafana de référence + tracing OpenTelemetry. Plus attestation Sigstore pour les artefacts.

Implémentation de référence disponible

Défendez avec trois juges.
Ou faites-vous tromper par un seul.

Ward³ est livré aujourd'hui comme implémentation de référence d'ANM. Banques, télécoms, défense, infrastructures critiques : c'est pour vous. Si c'est votre cas, parlons-en.

Demander un accèsLire le whitepaper
Mettez une étoile sur GitHubRéserver une démo