机器学习

功能简介

机器学习检测Bot 管理中用于识别复杂自动化威胁的核心能力之一。它基于全网流量数据分析、模型训练和行为模式识别，用于发现规则和静态特征难以直接覆盖的自动化访问行为。

相较于启发式检测，机器学习检测更适合识别以下类型的威胁：

• 具有较强伪装能力的 Bot
• 使用动态代理、频繁切换身份的自动化请求
• 行为模式复杂、特征不明显的团伙化访问
• 持续变化、不断演化的攻击方式

机器学习检测结果会作为 Bot 评分 的重要输入之一，与启发式检测结果共同参与请求风险评估，用于提升复杂 Bot 的识别能力和整体检测覆盖度。

工作原理

为了兼顾复杂模型分析能力与线上业务稳定性，机器学习检测采用“异步分析 + 边缘执行”结合的架构。

异步智能分析（离线计算层）

• 定位： 作为系统的分析中心，负责模型训练、特征工程、聚类分析和异常检测等离线计算任务。
• 输入： 汇集来自全球边缘节点的、经过脱敏和聚合的海量请求日志数据。
• 处理： 通过无监督学习和团伙聚类分析，识别未知威胁、异常群体行为及潜在自动化攻击网络。
• 输出： 定期生成和更新轻量级风险规则，并下发至全球边缘节点。该方式将复杂计算与在线请求处理解耦，有助于保障实时检测效率和业务稳定性。

边缘实时决策（动态执行层）

• 定位： 作为部署在边缘节点的在线执行层，结合中心下发的风险规则，在请求到达时完成实时风险评估。
• 输入： 开启检测的网站访问请求数据。
• 处理： 当请求到达边缘节点后，系统会实时提取请求特征，并与中心下发的风险规则进行快速匹配和计算。
• 输出：输出风险评估结果，并结合启发式检测结果，最终生成 Bot 分值 和 Bot 标签 两个核心风险指标。

使用场景

机器学习检测适用于以下场景：

• 识别高伪装 Bot：发现通过模拟真实浏览器行为绕过传统规则检测的自动化访问。
• 发现团伙化攻击行为：识别单个请求特征不明显、但群体行为存在明显关联的自动化攻击。
• 检测持续演化的攻击方式：发现规则和静态特征难以及时覆盖的新型 Bot 及其攻击变种。。
• 补充启发式检测盲区：对已知规则难以直接判断的复杂访问行为进行补充识别。

与启发式检测的协同方式

机器学习检测和启发式检测是 Bot 评分 的两类核心技术，二者分工如下：

启发式检测更适合识别：

• 已知工具
• 已知异常
• 高确定性的风险特征
• 可通过规则快速匹配的自动化行为

特点是实时性强、结果可解释性高，适合用于快速识别已知风险。

机器学习检测更适合识别：

• 特征不明显的自动化行为
• 行为模式复杂的 Bot
• 持续变化或不断演化的攻击方式
• 规则难以直接覆盖的异常访问模式

特点是更适合发现未知威胁和复杂行为模式，用于补充启发式检测的覆盖盲区。

联合评估
系统会综合启发式标签、行为特征和机器学习分析结果，对请求进行联合评估，并生成最终的 Bot 分值。您可以基于 Bot 分值及相关检测结果，进一步配置观察、挑战、拦截等防护动作。

功能特点

• 适合识别复杂威胁：能够发现规则难以直接覆盖的伪装型、团伙化和持续变化的自动化攻击。
• 支持动态更新：基于持续训练和流量分析，不断更新风险识别能力。
• 补充检测盲区：可与启发式检测联合使用，提升整体检测覆盖度。
• 支策略联动：分析结果可参与 Bot 评分，并用于相关策略配置和风险处置。