SOC Analyst
6ff59a36d7
feat(clustering): intégration Fingerprint HTTP Headers (agg_header_fingerprint_1h)
Sources des nouvelles features :
- agg_header_fingerprint_1h : Cookie, Referer par src_ip (JOIN sur IPv6)
- ml_detected_anomalies : header_order_shared_count, distinct_header_orders (déjà jointé)
Nouvelles features (indices 27-30) :
[27] FP Popularité : popularité du fingerprint headers (log1p/log1p(500k))
fingerprint rare (bot artisanal) → 0.0 ; très populaire (browser) → 1.0
[28] FP Rotation : distinct_header_orders (log1p/log1p(10))
rotation de fingerprint entre requêtes = comportement bot
[29] Cookie Présent : présence header Cookie (engagement utilisateur réel)
[30] Referer Présent: présence header Referer (navigation HTTP normale)
risk_score_from_centroid() : 14 termes, somme=1.0
+ hfp_rare (1-popularité) × 0.06 + hfp_rotating × 0.06
ML × 0.25 reste dominant
name_cluster() : 2 nouveaux labels
'🔄 Bot fingerprint tournant' : hfp_rotating>0.6 + anomalie>0.15
'🕵️ Fingerprint rare suspect' : hfp_popular<0.15 + anomalie>0.20
'🌐 Navigateur légitime' : fingerprint populaire confirmé
N_FEATURES : 27 → 31
Co-authored-by: Copilot <223556219+Copilot@users.noreply.github.com>
2026-03-19 11:13:37 +01:00
..
2026-03-14 21:33:55 +01:00
2026-03-15 23:10:35 +01:00
2026-03-14 21:33:55 +01:00
2026-03-14 21:55:52 +01:00
2026-03-15 23:57:27 +01:00
2026-03-16 00:24:53 +01:00
2026-03-19 11:13:37 +01:00
2026-03-18 13:56:39 +01:00
2026-03-15 23:10:35 +01:00
2026-03-18 09:00:47 +01:00
2026-03-15 23:57:27 +01:00
2026-03-15 23:57:27 +01:00
2026-03-15 23:10:35 +01:00
2026-03-18 18:22:57 +01:00
2026-03-16 00:43:27 +01:00
2026-03-18 13:56:39 +01:00
2026-03-15 18:15:01 +01:00
2026-03-18 09:00:47 +01:00
2026-03-18 13:56:39 +01:00
2026-03-18 18:22:57 +01:00
2026-03-18 13:56:39 +01:00