Ward³

Trois juges. Un verdict. Zéro angle mort.

Ward³ met en pratique la Médiation Neuronale Adversarielle : des juges IA volontairement différents analysent chaque flux, un consensus calibré tranche, et leur désaccord devient lui-même un signal de sécurité — avec un taux de faux positifs borné par tenant, pas seulement réglé.

ward3 · médiateur/flux:0xa7f2…91c4
live
Juge L
Séquentiel · neuronal
93%
Juge G
Relationnel · neuronal
97%
Juge R
Moteur de règles · déterministe
88%
verdict BLOQUERd_max = 0.04 · consensus = 0.97
kubernetes.NetworkPolicy appliquée (ns : payments) nftables.set : Quarantine ← 10.41.7.22 ledger.append (post-quantique) bloc #482917
94,1 %
détection sous PGD
vs 23,7 % avec un seul modèle
Borné
taux de faux positifs
conforme · par tenant
<10 ms
latence de médiation p99
matériel standard
Post-quantique
ledger d'audit
signatures alignées NIST
Basé sur des standards que votre SOC utilise déjà
Kubernetes
enforcement natif
eBPF / XDP
capture haut débit
OpenTelemetry
observabilité
Sigstore
attestation
MITRE ATT&CK
aligné
NIST PQC
ML-KEM · ML-DSA
Le problème

Le NDR mono-modèle ne tient plus seul.

Vectra, Darktrace, ExtraHop : la plupart des NDR ont été construits autour d'une idée simple, un modèle ML bien entraîné peut repérer les attaques avancées. En 2017, c'était défendable. En 2026, c'est devenu fragile.

Les outils adversariels open source, comme ART, CleverHans ou Foolbox, rendent l'évasion par gradient beaucoup plus accessible. Un modèle isolé peut être contourné ; il faut donc passer à une défense nouvelle génération.

FGSMPGDAttaques de transfertExtraction de modèleEmpoisonnement de labels
Empirique
Chute du taux de détection sous perturbation PGD (ε=0,02)
Reproduit en laboratoire
DoS Hulk
98.7%41.3%
Slowloris
86.4%11.9%
Beacon C2 botnet
91.2%23.7%
−45 à −70 pts
de détection en moins sur un NDR mono-modèle typique. Dans un SOC, c'est souvent l'écart entre une alerte exploitable et une attaque qui passe sous le radar.
Le contexte

Les attaques qui passent sont déjà dans le réseau.

Au moment où l'alerte se déclenche, l'intrus a généralement déjà bougé. Les outils centrés endpoint surveillent l'hôte ; c'est le chemin latéral à travers le réseau que suivent réellement les intrusions modernes — et là qu'un modèle ML unique est le plus facile à contourner.

204jours
délai médian pour identifier une compromission
~70%
des intrusions reposent sur le mouvement latéral
heures
de l'accès initial à l'impact réel
1modèle
suffit pour contourner un NDR mono-modèle

Ces chiffres reflètent des médianes largement rapportées par l'industrie, pas des mesures Ward³ — ils expliquent pourquoi la détection doit être consciente du réseau, en couches, et difficile à contourner. Ce sont les objectifs de conception derrière ANM.

La solution

Trois juges. Architecturalement orthogonaux.

Une perturbation adversarielle se transfère surtout entre modèles qui regardent le trafic de la même façon. Ward³ fait travailler trois points de vue vraiment différents.

Juge LMotifs temporels au sein d'un flux
Juge séquentiel
Analyse temporelle sur fenêtres de paquets
  • Encodeur neuronal bidirectionnel
  • Pooling d'attention
  • Inférence par fenêtre de flux
  • Entraînement adversariel robuste
Juge GMotifs topologiques et relationnels
Juge relationnel
Analyse de la topologie des flux
  • Encodeur graphique multi-couches
  • Fenêtres glissantes src→dst
  • Contexte inter-flux
  • Entraînement adversariel robuste
Juge RDéterministe, non-différentiable
Juge de règles
Moteur déterministe d'invariants experts
  • Invariants conçus à la main
  • Paquets · entropie · débit max.
  • Immunisé aux attaques par gradient
  • Inspectable par construction
Le médiateur

Le désaccord compte autant que le score .

Un attaquant discret qui trompe un juge laisse souvent les autres dans un état incohérent. Un méta-consensus calibré les pèse ensemble, et le médiateur fail-close en cas de désaccord et émet XAI_DIVERGENCE_HIGH — un signal qu'un NDR mono-modèle ne peut pas produire. Un juge non-supervisé distinct signale les flux qui ne ressemblent à rien de ce que le déploiement a déjà vu, pour faire remonter les zero-days que les juges entraînés n'ont jamais rencontrés.

d_LG = |p_L − p_G|d_max = max(d_LG, d_LR, d_GR)verdict = consensus(p_L, p_G, p_R) si d_max < θ sinon fail-closed
LGRmédiateur
Comment Ward³ s'exécute

Trois juges. Trois temps de réponse. Trois surfaces.

Certaines décisions se prennent en microsecondes au plus près du trafic. D'autres demandent quelques millisecondes côté tenant, ou une corrélation plus large à l'échelle de la plateforme. Réseau et endpoint restent reliés par le même médiateur.

Architecture en paliers
Tier 1Edge
μs
latence cible
Décider vite quand le signal est clair
  • Juge de règles (Rust pur)
  • Cache threat-intel
  • Match d'empreinte TLS
  • Préprocessing & tagging eBPF
  • Enforce endpoint local
60–80 % du trafic peut être traité ici
Tier 2Tenant
ms
latence cible
Médiation ML principale
  • Juge séquentiel
  • Juge relationnel
  • Juges endpoint processus & fichier
  • Médiateur + divergence
  • Scoring adversariel robuste
Verdict et signal d'enforcement
Tier 3Plateforme
10s ms
latence cible
Corrélation cross-host et cross-tenant
  • Enrichissement async (hors hot-path)
  • Corrélation endpoint
  • Baselines long-horizon
  • Reconstruction de kill-chain
  • Threat intel fédéré
Vue XDR et multi-tenant
Pipeline par décision
μs → ms → audit
01eBPF / XDP
Capture
  • IPv4 + IPv6
  • Retransmits, variance TTL
  • Vecteur runtime par flux
  • Débit ligne
02L · G · R
Trois juges
  • Juge séquentiel
  • Juge relationnel
  • Juge de règles
  • Signatures cryptographiques
03Divergence
Médiation
  • Écart par paires
  • Fail-closed si désaccord
  • Consensus si alignement
  • XAI_DIVERGENCE_HIGH
04K8s / nft
Enforcement
  • Injection NetworkPolicy
  • nftables Block/Quarantine
  • War mode 4 yeux
  • Rate-limit / principal
05Ledger PQ
Audit
  • Log chaîné par hash
  • Signé post-quantique
  • Inviolable
  • Rejouable
Entraînement adversariel
Critère 3

Les deux juges ML sont entraînés contre des attaques par gradient. Le modèle de menace, les hyperparamètres et les runs reproductibles sont documentés.

Intégrité des modèles
Critère 4

Les artefacts d'inférence sont signés au build puis vérifiés au chargement. Le registre reste append-only, avec une provenance complète.

Traçabilité auditable
Critère 5

Chaque décision — scores par juge, divergence, règles appliquées — peut être rejouée pour comprendre le raisonnement de bout en bout.

Performance · Run #9 final

+30 à +60 pts de détection sous pression adversarielle.

Les mesures portent sur du trafic exclu de l'entraînement et sur des réseaux hors-distribution : formats de logs, familles d'attaque et botnets IoT jamais vus pendant l'entraînement. La robustesse adversarielle est mesurée sous évasion par gradient.

0,998
AUC-ROC (clean)
94,1 %
sous PGD ε=0,02
89,6 %
sous attaque de transfert
0,87
AUC-ROC hors-distribution

La latence d'inférence est environ 2× supérieure à un modèle unique, tout en restant sous 10 ms p99 par flux sur matériel standard.

Robustesse adversarielle
exclu de l'entraînement
MétriqueMono-jugeWard³ 3-jugesΔ
F1 (clean)0,660,97+0,31
AUC-ROC (clean)0,890,998+0,108
Détection · PGD ε=0,0223,7 %94,1 %+70,4 pts
Détection · transfert31,4 %89,6 %+58,2 pts
Généralisation hors-distribution
jamais vu à l'entraînement
MétriqueMono-jugeWard³ 3-jugesΔ
AUC-ROC0,710,87+0,16
Faux positifs bornés

Un taux de faux positifs que vous pouvez chiffrer.

La plupart des outils réduisent les faux positifs de façon empirique — un meilleur modèle, plus de réglages, un plus petit chiffre sur une slide. Ward³ transforme le score brut de chaque juge en une p-value conforme contre une baseline bénigne par tenant. Alertez à p ≤ α et le taux de faux positifs est borné par α, par construction, avec une garantie finite-sample — pas une moyenne mesurée une fois sur le réseau de quelqu'un d'autre.

p = (1 + #{ bénins ≥ score }) / (n + 1)
p-value conforme split (queue supérieure) · sans hypothèse de distribution · finite-sample
Par tenant, par juge

La calibration est stratifiée par (tenant, juge, version de modèle). Chaque déploiement obtient une borne calée sur son propre normal : un tenant bruyant ne gonfle jamais un tenant calme.

Sans ré-entraînement

Resserrer ou relâcher le budget change α, pas un run d'entraînement. Le war mode se contente de baisser α pour durcir toute la plateforme d'un seul geste.

Fail-closed par conception

Un modèle tout neuf ou une fenêtre de calibration vide donne p = 1 — le juge s'abstient au lieu de deviner. La robustesse doit tenir dès le jour un, pas seulement en régime établi.

vs. les claims empiriques

« xx % de faux positifs en moins » est une moyenne mesurée sur un benchmark. Une borne conforme est une propriété de la méthode qui tient sur votre trafic — la différence entre un chiffre marketing et une garantie.

La définition d'ANM

Cinq critères pour parler vraiment d'ANM.

Pour mériter le nom ANM, un produit doit remplir les cinq critères. Ward³ sert d'implémentation de référence pour montrer que l'approche tient techniquement, pas seulement sur une slide.

Lire le whitepaper complet
  1. 01
    Au moins trois juges, architecturalement distincts

    Pas trois graines aléatoires. Pas trois tailles de fenêtre. Trois façons différentes de lire le trafic : séquence, graphe, règle.

  2. 02
    Détection explicite de divergence

    Le désaccord entre juges est mesuré en temps réel et traité comme un signal de sécurité, pas comme une simple incertitude.

  3. 03
    Entraînement adversariel des juges ML

    Les juges ML sont entraînés contre des attaques par gradient, avec un modèle de menace documenté. Sinon, ils restent trop faciles à tromper seuls.

  4. 04
    Intégrité et watermarking des modèles

    Chaque modèle est signé, vérifié au chargement et rattaché à une provenance append-only. Sans cette chaîne, la médiation perd sa valeur.

  5. 05
    Piste de décision auditable

    Scores par juge, divergence, actions appliquées : tout est conservé dans un log inviolable. La robustesse doit pouvoir se prouver.

Cartographie des catégories

Une seule plateforme pour EDR, NDR et XDR.

Ward³ réunit ce que ces catégories traitent souvent séparément : endpoint, réseau et corrélation multi-tenant. Même médiateur, même ledger d'audit, même gouvernance.

Visibilité endpoint
EDR
oui
NDR
non
XDR
oui
MDR
dépend
ANM (Ward³)
oui
Visibilité réseau
EDR
non
NDR
oui
XDR
oui
MDR
dépend
ANM (Ward³)
oui
Détection à base de ML
EDR
oui
NDR
oui
XDR
oui
MDR
variable
ANM (Ward³)
oui
Juges architecturalement différents
EDR
non
NDR
non
XDR
non
MDR
non
ANM (Ward³)
oui
Divergence comme signal de sécurité
EDR
non
NDR
non
XDR
non
MDR
non
ANM (Ward³)
oui
Borne calibrée sur les faux positifs
EDR
non
NDR
non
XDR
non
MDR
non
ANM (Ward³)
oui
Nouveauté non-supervisée (zero-day)
EDR
variable
NDR
variable
XDR
variable
MDR
non
ANM (Ward³)
oui
Isolation multi-MSSP par tenant
EDR
dépend
NDR
dépend
XDR
dépend
MDR
oui
ANM (Ward³)
oui
Entraînement adversariel documenté
EDR
rare
NDR
rare
XDR
rare
MDR
non
ANM (Ward³)
oui
Vérification d'intégrité des modèles
EDR
partiel
NDR
partiel
XDR
partiel
MDR
non
ANM (Ward³)
oui
Ledger d'audit inviolable
EDR
non
NDR
non
XDR
non
MDR
non
ANM (Ward³)
oui
Plateforme

Pensé pour des SOC déjà équipés et exigeants.

Ward³ parle le langage de vos équipes : eBPF sur le réseau, Kubernetes pour l'enforcement, Prometheus et OpenTelemetry pour l'observabilité, Sigstore pour la chaîne de build.

kernel-level
Capture eBPF/XDP

Capture de flux haut débit sur Linux : IPv4 et IPv6, retransmissions, variance TTL, vecteur runtime par flux. Une sonde mock facilite le dev hors Linux.

3 backends
Enforcement natif Kubernetes

Les verdicts deviennent des NetworkPolicies K8s, des sets nftables Linux (Block / Quarantine), ou restent en dry-run selon le mode choisi.

Voie FIPS
Crypto post-quantique

Primitives post-quantiques alignées NIST pour le quorum et le ledger. Secret sharing Shamir, Argon2id, JWT RS256 et mTLS restent intégrés.

Append-only
Ledger inviolable

Journal d'audit chaîné par hash et signé en post-quantique. Il peut être scellé, rejoué et utilisé pour le forensics, le ré-entraînement ou une revue régulateur.

Quorum
War Mode · gouvernance 4 yeux

Les blocages à haut impact exigent l'approbation de deux administrateurs humains. Utile quand les équipes ops doivent prouver qu'elles gardent la main.

Runtime
Honey Traps runtime

Tromperie active : l'attaquant perd du temps sur des leurres instrumentés pendant que le médiateur récupère des labels plus fiables.

Continu
Shadow Mode

Pipeline d'auto-labelisation hors ligne et déclenchement du ré-entraînement. L'amélioration continue avance sans croire aveuglément les verdicts de production.

OTel · Sigstore
Observabilité native

Métriques Prometheus, dashboards Grafana de référence, tracing OpenTelemetry et attestation Sigstore pour les artefacts.

FPR borné
Calibration conforme

Le score de chaque juge devient une p-value contre une baseline bénigne par tenant : le taux de faux positifs est borné par construction, pas poursuivi à coups de seuils.

Zero-day
Juge de nouveauté non-supervisé

Un juge de reconstruction par tenant mesure à quel point un flux s'écarte du trafic normal du déploiement, faisant remonter les zero-days que les juges supervisés n'ont jamais vus.

Zone grise
Arbitre jumeau numérique

Les verdicts en zone grise sont rejoués hors hot-path dans un jumeau scellé — dossiers et validation à 4 yeux — avant tout enforcement à fort impact.

Isolé par RLS
Multi-MSSP, multi-tenant

Isolation au niveau ligne par (MSSP, tenant), config et seuils de juges par tenant, et un kill-switch war-mode qui retombe toujours sur la politique la plus stricte.

Implémentation de référence disponible

Défendez avec trois juges.
Ne misez pas tout sur un seul.

Ward³ est disponible comme implémentation de référence d'ANM. Si vous défendez une banque, un opérateur télécom, une infrastructure critique ou un environnement régulé, on peut regarder ensemble où il s'intègre.