Articul8 déploie un agent analysant la topologie réseau

La filiale d'Intel a dévoilé un agent pour la découverte réseau qui intègre les journaux réseau, les fichiers de configuration et les données de trafic, puis les transforment en graphes de connaissances sémantiques.

Pour les administrateurs réseau, la connaissance de la topologie est une des tâches les plus fondamentales, mais aussi les plus difficiles. En effet, les infrastructures réseau modernes peuvent comprendre des milliers de commutateurs et de routeurs, et les modifications de configuration s'effectuent de manière dynamique. C'est ce défi qu'Articul8 a cherché à relever avec son agent Weave Network Topology. Cette société créée par Intel et des fonds d’investissements en 2024 développe des outils IA pour différents secteurs : finance, télécoms, sciences, …

L’agent répond à ce que l'entreprise appelle « l'intelligence topologique autonome » plutôt qu'à la surveillance réseau traditionnelle. Il transforme les journaux, les fichiers de configuration et les données de trafic réseau en graphes sémantiques autonomes en temps réel. « Chaque jour, les entreprises ont des centaines de commutateurs qui changent, des configurations qui évoluent », a déclaré Arun Subramaniyan, fondateur et CEO d'Articul8. « Et si l’on regarde les données du strict point de vue de l'observabilité, beaucoup de ces configurations ressembleront à des anomalies, et à juste titre, car elles sont différentes de ce qu'elles étaient auparavant. Mais ce ne sont pas vraiment des anomalies. Ce ne sont que des évolutions »

Une analyse topologique passive

L’agent fonctionne grâce à l'analyse passive des données réseau existantes. Il ne nécessite aucun agent supplémentaire ni aucune exploration active du réseau. Le système ingère les journaux réseau standard, y compris ceux des WAF (pare-feux applicatifs), les fichiers de configuration et les données chronologiques. Les entreprises collectent déjà ces données via leur infrastructure existante. « Weave est essentiellement conçu pour tous les groupes réseau ; ils disposent déjà de tous ces journaux au format brut », a expliqué M. Subramaniyan.

« L’agent peut ingérer ces données, puis fournir immédiatement la topologie du réseau qui a généré ces journaux, ce qui n'est pas une tâche facile. C'est un problème inverse. » L'agent fonctionne dans des environnements cloud derrière les pare-feux des clients. Il ne nécessite pas de déploiement sur site. Cette approche élimine les cycles de révision de la sécurité généralement associés à l'introduction d’outils supplémentaires de surveillance du réseau.

Une architecture basée sur des graphes

La base technique de Weave repose sur une architecture hybride de graphes de connaissances. Elle traite différents types de données à l'aide de moteurs analytiques spécialisés. Elle ne tente pas de faire passer toutes les données réseau par des grands modèles de langage (LLM). Ce choix de conception répond aux préoccupations de précision inhérentes à l'application de l'IA générative à des données réseau précises. « Le traitement des données chronologiques via des LLM présente un risque énorme d'hallucination », a expliqué M. Subramaniyan. « Nous sommes donc très précis et veillons à ne traiter aucune donnée chronologique via des LLM. »

Le système utilise l'analyse de graphes pour les relations pour modéliser les relations entre les entités du réseau. Il gère des bases de données vectorielles pour les recherches par similarité. Tous les composants alimentent un graphe de connaissances unifié de façon à capturer à la fois les relations logiques (connexions physiques) et les relations sémantiques (dépendances fonctionnelles) au sein de l'infrastructure réseau.

Distinguer les modifications des anomalies

La principale différence dans l'approche de Weave réside dans sa capacité à distinguer en temps réel les changements d'état légitimes des anomalies réelles. Les outils de surveillance traditionnels traitent ces deux scénarios comme des écarts par rapport à la base de référence. Les deux nécessitent une investigation manuelle pour déterminer les réponses appropriées. Weave résout ce problème grâce à l'analyse temporelle.

Il prend en compte les modèles de changement au fil du temps. Cette capacité devient essentielle dans les réseaux à grande échelle. Des centaines, voire des milliers de changements de configuration peuvent se produire chaque jour. Le système apprend à partir des commentaires des ingénieurs réseau. Il construit une base de connaissances institutionnelles sur ce qui constitue des changements opérationnels normaux par opposition aux problèmes nécessitant une intervention.

Modèle d'intégration et de déploiement

Weave ne remplace pas l'infrastructure de surveillance réseau existante. Il se positionne comme une couche de connaissance topologique qui améliore les outils existants. L'agent identifie les segments ou nœuds spécifiques du réseau qui nécessitent une attention particulière en laissant les outils de surveillance traditionnels concentrer leurs efforts d'analyse de manière plus efficace. « Notre agent va aider l'ingénieur à identifier précisément les deux nœuds qu'il doit examiner, ou la partie du réseau étendu qu'il doit surveiller », a encore expliqué M. Subramaniyan. Il ajoute qu'Articul8 ne dispose pas de ses propres outils de surveillance réseau spécifiques, mais part plutôt du principe que les entreprises disposent déjà d'outils existants. « Il y a suffisamment de solutions sur le marché. Le rôle de notre agent est de savoir quand faire appel à elles. »

Performances et résultats

Les premiers résultats de déploiement montrent des améliorations mesurables en termes de précision et d'efficacité opérationnelle. Dans le cadre d'un déploiement en entreprise, le système a amélioré la précision de la détection des anomalies de 80 % à 94 %. Il a également ajouté des capacités de détection des changements d'état qui n'existaient pas auparavant. Le système a aussi démontré sa fiabilité dans des scénarios de test. Il a réussi à identifier des changements d'état synthétiques qui avaient été introduits artificiellement pour valider les capacités de détection.

À l'avenir, Articul8 prévoit d'étendre l'approche basée sur les agents au-delà de l'analyse de la topologie des réseaux individuels. L'objectif est de mettre en place des systèmes d'agents collaboratifs capables de relever les défis complexes liés aux infrastructures multi-domaines. Cette évolution reflète les tendances générales du secteur vers l'autonomisation des opérations dans les environnements IT d'entreprise. Selon M. Subramaniyan, « cela va conduire au déploiement d'un plus grand nombre d'agents de ce type, qui sont capables d’effectuer différentes tâches, mais aussi de travailler en collaboration ».