Как настроить выявление аномалий трафика и реагирование на них?

Раздел ML-детекция предназначен для автоматического обнаружения аномалий в HTTPS-трафике в режиме реального времени с помощью моделей машинного обучения и применения к ним заданных правил защиты.

Система логически объединяет группы аномалий в атаки, каждая из которых имеет свой уникальный идентификатор для отслеживания в разделе История атак. Вы можете управлять как отдельными аномалиями, так и атаками, определёнными на их основе.

Пока аномалии продолжаются, атака в Истории атак будет иметь статус «Активна».

Как включить ML-детекцию?

Подраздел настройки ML-детекции расположен в разделе Антибот личного кабинета.

Кликните по названию вашего продукта в разделе Мои продукты. Если у вас один защищаемый объект, нужная страница откроется сразу. Если их несколько, на открывшейся странице найдите нужный объект и выберите его, нажав на строку с миниатюрным графиком. В левом меню выберите пункт Антибот.

Установите переключатель ML-детекция в активное положение. 

Мониторинг аномалий

В верхней части раздела расположены инструменты визуального контроля трафика.

График

Отображает интенсивность запросов в секунду (RPS). 

С помощью вкладок (Домены, URL, IP-адреса, IP+URL, TLS-опечаток) и флажков под графиком можно детализировать отображение аномалий по конкретным объектам.

В таблице приведён список всех зафиксированных инцидентов.

• ID атаки: уникальный номер атаки.
• Кол-во / RPS: количество аномалий внутри атаки и нагрузка.
• Начало / Конец: временные рамки инцидента.
• Статус: указывает, является ли атака «Активной» или уже «Завершена».

Нажмите на строку в таблице, чтобы открыть детальную информацию, а также список всех затронутых объектов (в том числе, конкретных URL или IP).

На графике, описывающем одну аномалию, вы можете одновременно видеть две линии: Общий трафик и Аномальный RPS.

Под графиком расположена таблица объектов, затронутых аномалией. 

Вы можете добавить часть из них в исключения, если это необходимо — для этого нажмите на символ «стоп» в правой части строки. Для получения подробной информации по каждому из объектов нажмите на строку с ним.

Настройка параметров защиты

Под инструментами аналитики расположен блок управления для разных направлений детекции: URL или домен, IP-адрес и TLS-отпечаток.

Режимы защиты

Для каждого блока можно выбрать один из методов реагирования.

Метод	Принцип работы
Наследовать настройки защиты	Использовать максимальный из выбранных в настройках режимов фильтрации (это параметр Max defense — вы можете проверить его на вкладке Защита: область Продвинутые настройки, колонка L7 sensor setting).
Отключен	Игнорировать — не фильтровать трафик и не информировать об аномалиях в нём.
Мониторинг	Только информировать об аномалиях трафика, без влияния защиты.
Redirect	Для запросов посетителей применять дополнительное перенаправление на запрошенную локацию. Система проверяет способность браузера корректно обрабатывать стандартные HTTP-перенаправления и cookie, что позволяет отличить реальные браузеры от автоматизированных скриптов.
JS	Применять проверку с помощью JavaScript в браузере пользователя. Основная цель — подтверждение, что запрос поступает от реального браузера. Проверка выполняется автоматически и в большинстве случаев незаметна для пользователя.
JSA	Применять расширенную проверку с помощью JavaScript в браузере клиента. Этот режим обеспечивает более строгий контроль, проверяя все типы запросов, включая отправку форм.
Captcha	Требовать от пользователя выполнения интерактивной задачи для подтверждения, что запрос поступает от человека, а не автоматизированной системы.
L7-block	Блокировка IP-адреса источника на уровне L7-proxy.
L3-block	Блокировка IP-адреса источника на уровне firewall.

Тонкая настройка 

Для минимизации ложных срабатываний используйте следующие регуляторы:

Уровень чувствительности (%)

Уровень чувствительности ML-детекции к аномалиям:

• низкие значения повышают чувствительность детекции;
• высокие значения снижают количество ложных срабатываний.

Количество ИИ-признаков (%)

Порог подтверждения признаков аномалий механизмами ИИ-анализа:

• повышение значения делает обнаружение более консервативным и снижает вероятность ложных срабатываний;
• понижение значения позволяет выявлять больше потенциальных аномалий, но может увеличить количество ошибочных детекций.

Срабатываний / за время (сек)

• Параметр предназначен для отсеивания разовых всплесков трафика, не связанных с атакой.
• С его помощью задаётся минимальное количество аномалий и время, за которое они могут произойти. Этот механизм позволяет игнорировать кратковременные пики нагрузки от обычных действий пользователей.

Порог неопознанных аномалий (%)

Доля (%) аномального трафика, которую не удалось идентифицировать точнее — например, по IP, TLS-хешу или URL.

Если доля:

• ниже указанного порога — применяется только точечная защита (фильтрация) по отдельным видам трафика (например, по IP, URL или TLS-отпечатку);
• превышает порог — защита включается на весь домен (или на весь атакуемый URL).

Таким образом, чем ниже значение, тем более гранулярно и точечно применяется защита.

Исключения

Если вы знаете, что определенный трафик легитимен (например, API-запросы), добавьте его источники в Исключения.

Поддерживаются списки для URL, IP-адресов и TLS-отпечатков. Объекты можно вводить вручную или загружать файлом .txt.

После сохранения списка аномалии по указанным объектам фиксироваться не будут.