{% extends "base.html" %} {% block title %}JA4 SOC — Features ML{% endblock %} {% block page_title %} Features ML

Exploration des features

Visualisez les 72 features ML extraites : comportementales (velocity, fuzzing), réseau (port_density, JA4), et thesis §5 (entropie, cadence, drift).

Radar : Compare les profils ISP (humain) vs datacenter (bot). Scatter : Identifiez visuellement les clusters anormaux.

Source : view_ai_features_1h, view_thesis_features_1h

 {% endblock %} {% block content %}
Profil Humain vs Bot (Radar)

Comparaison ISP vs Datacenter

Profil moyen des sessions ISP (humaines) vs sessions datacenter (bots potentiels). Les axes sont les features ML normalisées.

Interprétation : Plus la zone rouge dépasse la verte, plus la feature est discriminante. hit_velocity, fuzzing_index et post_ratio sont typiquement les plus discriminants.

Source : view_ai_features_1h GROUP BY asn_label
Importance des features (SHAP/ExIFFI)

Feature importance

Importance moyenne des features issue de SHAP (XGBoost) ou ExIFFI (EIF). Chaque barre représente la contribution absolue moyenne d'une feature aux décisions d'anomalie récentes.

Fallback : Si aucune donnée SHAP/ExIFFI n'est disponible, la variance inter-classe (proxy statistique) est affichée à la place.

Source : ml_detected_anomalies.reason (SHAP/ExIFFI) ou view_ai_features_1h (variance)
Scatter — Hit Velocity vs Fuzzing Index

Scatter bidimensionnel

Chaque point = une session IP. X = cadence de requêtes, Y = diversité des paths. Les clusters séparés du groupe principal sont des anomalies.

Action : Cliquez sur un point pour ouvrir la page IP détail.

Source : view_ai_features_1h

hit_velocity

fuzzing_index

post_ratio

asset_ratio

temporal_entropy

path_diversity_ratio

Heatmap temporelle (jour × heure)

{% endblock %} {% block scripts %} {% endblock %}