{% extends "base.html" %} {% block page_title %}Campagnes — Clusters HDBSCAN{% endblock %} {% block content %}

Campagnes de bots

Campagnes
IPs impliquées
Détections
Clustering HDBSCAN — Le bot-detector regroupe les anomalies par similarité comportementale dans l'espace latent de l'autoencoder (16 dimensions). Chaque campagne représente un ensemble d'IPs partageant des patterns d'attaque similaires (même JA4, même cadence, mêmes cibles). Les IPs isolées (campaign_id = −1) ne sont pas affichées ici.
Action SOC : Une campagne multi-IP indique une attaque coordonnée (botnet, scraping distribué, credential stuffing). Cliquez sur une campagne pour investiguer.
Carte des clusters

Scatter — Score vs Vélocité

Chaque bulle = une campagne. Position : score d'anomalie moyen (X) vs vitesse de requêtes moyenne (Y). Taille = nombre d'IPs. Couleur = campagne.

Lecture : Les campagnes proches partagent des comportements similaires. Cliquer sur une bulle ouvre le détail de la campagne.

Source : ml_detected_anomalies WHERE campaign_id ≥ 0
Graphe de liens

Graphe réseau inter-campagnes

Nœuds = IPs anomales, Arêtes = JA4 partagé au sein d'une campagne. Couleur du nœud = campagne. Taille = nombre de hits.

Lecture : Des IPs très connectées au centre du cluster sont le « cœur » de la campagne. Les nœuds isolés en périphérie sont des IPs moins caractéristiques.

Source : ml_detected_anomalies JOINs par JA4
Campagnes détectées
Chargement des campagnes…
Détail campagne Ouvrir ↗

Profil comportemental

Radar des features moyennes normalisées de la campagne. Comparez avec le profil d'un trafic normal pour identifier les écarts.

Activité temporelle

Détections et IPs actives par heure. Des pics synchronisés confirment une coordination.

Attributs partagés

IPs membres

IP JA4 Host Score Menace Hits Vélocité ASN Pays Date
{% endblock %}