Dans cet article, nous considérons le contexte de très grands systèmes distribués, au sein desquels chaque noeud doit pouvoir rapidement analyser une grande quantité d'information, lui arrivant sous la forme d'un flux. Ce dernier ayant pu être modifié par un adversaire, un problème fondamental consiste en la détection et la quantification d'actions malveillantes effectuées sur ce flux. Dans ce but, nous proposons AnKLe (pour Attack-tolerant eNhanced Kullback-Leibler divergence Estimator), un algorithme local permettant d'estimer la divergence de Kullback-Leibler entre un flux observé et le flux espéré. AnKLe combine des techniques d'échantillonnage et des méthodes de théorie de l'information. Il est efficace à la fois en complexité en terme d'espace et en temps, et ne nécessite qu'une passe unique sur le flux. Les résultats expérimentaux montre que l'estimateur fourni par AnKLe est pertinent pour plusieurs types d'attaques, pour lesquels les autres méthodes existantes sont significativement moins performantes.