Ensemble triple-voix : Extended Isolation Forest (EIF) + Autoencoder (AE) + XGBoost supervisé.
Cycle : Toutes les 30 min, le bot-detector ré-entraîne si une dérive est détectée (≥95% features). Les anciens modèles restent en cache.
Workflow : Surveillez le volume de scoring, le taux d'anomalie et la santé des modèles. Un taux d'anomalie > 10% peut indiquer une attaque ou un modèle dégradé.
Source : ml_all_scores (7j), /data/models/*.json
Nombre de sessions scorées par heure et par modèle. La courbe orange montre le score moyen d'anomalie.
Interprétation : Un creux soudain indique un problème de pipeline. Un pic de score moyen = vague d'attaque.
Source : ml_all_scores GROUP BY hour, model_name
Répartition des niveaux de menace (NORMAL, HIGH, CRITICAL, KNOWN_BOT, LEGITIMATE_BROWSER) par modèle.
Source : ml_all_scores GROUP BY model_name, threat_level
Pourcentage de sessions classées HIGH/CRITICAL par heure. Les barres montrent le volume, la ligne le taux.
Seuil d'alerte : Un taux > 10% prolongé mérite investigation.
Source : ml_all_scores
Sessions scorées, période active et dernière activité pour chaque modèle. Complet = L3→L7 corrélé, Applicatif = L7 seul.
Source : ml_all_scores GROUP BY model_name
| Modèle | Sessions scorées | Premier scoring | Dernier scoring |
|---|
Chaque fichier .json dans /data/models/ décrit un modèle entraîné : version, algorithme, paramètres, métriques de validation.
Gate de validation : Un modèle n'est utilisé que si val_anomaly_rate < 5% et val_mean_score est raisonnable.
Source : /data/models/*.json