feat: roadmap détection bots §2-9 — HTTP/2, cohérence, drift, flotte, Jaccard, ExIFFI, méta-learner, métriques

Étape 2 — Fingerprinting HTTP/2 dans le pipeline ML : - Ajout du dictionnaire dict_browser_h2 (11 familles de navigateurs) dans 05_aggregation_tables.sql - Ajout du CTE h2_agg et 4 features HTTP/2 dans 07_ai_features_view.sql : h2_settings_known, h2_pseudo_order_match, h2_ja4_coherence, h2_settings_rare - Calcul du fingerprint_coherence_score (5 axes pondérés) dans la vue - Ajout du 6e axe axis_h2_coherence dans browser.py (poids rééquilibrés) - browser_h2.csv : 11 fingerprints Akamai → famille navigateur Étape 3 — Pré-filtre de cohérence sur la baseline humaine : - pipeline.py exclut les sessions avec fingerprint_coherence_score < seuil de la baseline d'entraînement - FINGERPRINT_COHERENCE_THRESHOLD configurable via env (défaut 0.25) - Log des sessions exclues pour analyse SOC Étape 4 — Détection de drift améliorée : - scoring.py : passage de 5 à 9 quantiles (p5…p95) - Ajout de la divergence KL en complément du test KS - Détection de drift adversarial (≥80% des features dérivent dans la même direction) - Split temporel strict pour la validation Étape 5 — Graphe bipartite JA4×ASN (§5.2) : - fleet.py : détection de flottes via NetworkX + Louvain (imports optionnels) - enrich_with_fleet_score() : ajout fleet_score + fleet_campaign_flag au DataFrame - cycle.py : appel après preprocess_df avec log du nombre de sessions en flotte - SQL migration 05_fleet_metrics_tables.sql : table fleet_detections (TTL 7j) - Dashboard : /fleet + /api/fleet (communautés détectées) + template fleet.html Étape 6 — Cross-domain Jaccard §5.8 : - 12_thesis_features.sql : CTE jaccard_paths → cross_domain_path_similarity - Signal : même chemins (/admin, /wp-login) sur plusieurs hosts = scanner Étape 7 — ExIFFI + erreurs AE par feature : - scoring.py : compute_exiffi_importance() par permutation, compute_ae_feature_errors() - pipeline.py : calcul ExIFFI sur X_test, mapping index → dict pour anomalies - build_reason() enrichi avec exiffi_top quand SHAP inactif Étape 8 — Méta-learner pour la pondération de l'ensemble : - scoring.py : classe MetaLearner (LogisticRegression, fallback poids fixes <1000 labels) - Collecte des labels depuis le cycle courant (known_bots, légitimes, Anubis) - pipeline.py : remplacement des poids fixes par MetaLearner.predict() Étape 9 — Métriques de performance et monitoring : - metrics.py : record_cycle_metrics() — taux anomalie, drift, corrélation, latence - SQL migration 05_fleet_metrics_tables.sql : table ml_performance_metrics (TTL 90j) - Dashboard : /health + /api/health + template health.html - cycle.py : appel record_cycle_metrics en fin de cycle (Complet + Applicatif) Tests : 36/36 bot-detector tests passent Co-authored-by: Copilot <223556219+Copilot@users.noreply.github.com>
2026-04-10 00:11:35 +02:00
parent 8ca4a1e849
commit a108814a56
18 changed files with 1670 additions and 62 deletions
--- a/services/dashboard/backend/routes/api.py
+++ b/services/dashboard/backend/routes/api.py
@ -1633,3 +1633,45 @@ async def reflist_stats(name: str):
    except Exception as exc:
        logger.exception("reflist stats query failed for %s", name)
        raise HTTPException(status_code=500, detail=str(exc))
+
+
+@router.get("/fleet")
+async def fleet() -> dict[str, Any]:
+    """Détections de flottes JA4×ASN (§5.2)."""
+    rows = query(
+        f"SELECT detected_at, community_id, fleet_score, n_ips, ja4_set, asn_set, ip_sample "
+        f"FROM {_DB}.fleet_detections "
+        f"WHERE detected_at >= now() - INTERVAL 7 DAY "
+        f"ORDER BY fleet_score DESC "
+        f"LIMIT 100"
+    )
+    return {"fleets": rows}
+
+
+@router.get("/health")
+async def health_metrics() -> dict[str, Any]:
+    """Métriques de santé du pipeline ML (Étape 9)."""
+    rows = query(
+        f"SELECT cycle_at, model_name, total_sessions, correlated_rate, anomaly_rate, "
+        f"  critical_count, high_count, drift_rate, drift_alert, cycle_latency_ms, "
+        f"  features_valid, features_total, baseline_size, meta_learner_active "
+        f"FROM {_DB}.ml_performance_metrics "
+        f"WHERE cycle_at >= now() - INTERVAL 7 DAY "
+        f"ORDER BY cycle_at DESC "
+        f"LIMIT 500"
+    )
+    # Statistiques de synthèse
+    if rows:
+        latest = {r['model_name']: r for r in rows}
+        avg_anomaly = sum(r['anomaly_rate'] for r in rows) / len(rows)
+        avg_latency = sum(r['cycle_latency_ms'] for r in rows) / len(rows)
+    else:
+        latest = {}
+        avg_anomaly = 0
+        avg_latency = 0
+    return {
+        "metrics": rows,
+        "latest_by_model": latest,
+        "avg_anomaly_rate": round(avg_anomaly, 4),
+        "avg_latency_ms":   round(avg_latency),
+    }
--- a/services/dashboard/backend/routes/pages.py
+++ b/services/dashboard/backend/routes/pages.py
@ -81,3 +81,13 @@ async def tactics_page(request: Request):
@router.get("/reflists")
 async def reflists_page(request: Request):
    return templates.TemplateResponse("reflists.html", _ctx(request, "reflists"))
+
+
+@router.get("/fleet")
+async def fleet_page(request: Request):
+    return templates.TemplateResponse("fleet.html", _ctx(request, "fleet"))
+
+
+@router.get("/health")
+async def health_page(request: Request):
+    return templates.TemplateResponse("health.html", _ctx(request, "health"))