{"id":915,"date":"2026-03-06T16:52:59","date_gmt":"2026-03-06T08:52:59","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=915"},"modified":"2026-03-06T16:52:59","modified_gmt":"2026-03-06T08:52:59","slug":"la-combinaison-du-cdn-de-haute-defense-et-de-la-defense-par-lintelligence-artificielle-comment-utiliser-la-reconnaissance-intelligente-par-lintelligence-artificielle-pour-obtenir-des-resultats-plus","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/915-html","title":{"rendered":"La combinaison d'un CDN de haute d\u00e9fense et d'une d\u00e9fense par l'IA : comment utiliser l'identification intelligente par l'IA pour obtenir une d\u00e9fense plus pr\u00e9cise et plus efficace ?"},"content":{"rendered":"<p>R\u00e9cemment, de nombreux pairs sont venus me demander si les attaques DDoS devenaient de plus en plus impitoyables et si les CDN traditionnels \u00e0 haute d\u00e9fense pouvaient encore tenir le coup. Pour \u00eatre honn\u00eate, l'ann\u00e9e derni\u00e8re, j'ai personnellement vu une plateforme financi\u00e8re avec une p\u00e9n\u00e9tration de trafic mixte de 300 Gbps - la mise \u00e0 jour de la base de r\u00e8gles est un peu plus lente, l'analyse humaine est trop tardive pour r\u00e9agir. Les attaquants ont m\u00eame utilis\u00e9 des mod\u00e8les de trafic g\u00e9n\u00e9r\u00e9s par l'IA, en choisissant les r\u00e8gles de l'exercice de l'angle mort.<\/p>\n<p>De nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d. De nombreuses entreprises pensent que l'achat d'une d\u00e9fense \u00e9lev\u00e9e sur tout est bien, les r\u00e9sultats ont trouv\u00e9 que la base de r\u00e8gles est mise \u00e0 jour, mais le trafic de leur propre entreprise a \u00e9t\u00e9 tu\u00e9 par erreur. J'ai test\u00e9 un fournisseur traditionnel de protection CC, les requ\u00eates normales des utilisateurs ont \u00e9t\u00e9 intercept\u00e9es comme un robot en raison de leur comportement \u201ctrop r\u00e9gulier\u201d - vous dites que c'est pour emp\u00eacher l'attaque ou l'utilisateur ?<\/p>\n<p>Au c\u0153ur du probl\u00e8me se trouve le retard pris par les d\u00e9fenses statiques bas\u00e9es sur des r\u00e8gles. Alors que les attaquants it\u00e8rent, la d\u00e9fense repose toujours sur le piratage manuel des adresses IP et l'ajustement des seuils. L'ann\u00e9e derni\u00e8re, lors d'une promotion du commerce \u00e9lectronique, l'attaquant a utilis\u00e9 l'apprentissage profond pour simuler le parcours d'achat d'utilisateurs r\u00e9els, en parcourant lentement et \u00e0 faible fr\u00e9quence l'inventaire des marchandises. Les r\u00e8gles traditionnelles du CDN bas\u00e9es sur la fr\u00e9quence n'ont pas \u00e9t\u00e9 d\u00e9clench\u00e9es du tout jusqu'\u00e0 ce que l'anomalie de l'inventaire soit d\u00e9couverte, et c'est alors que le mal \u00e9tait fait.<\/p>\n<p>Pourquoi la d\u00e9fense contre l'IA est-elle soudainement devenue un sujet d'actualit\u00e9 ? La raison fondamentale est que le trafic d'attaque a entam\u00e9 une \u201c\u00e9volution biochimique\u201d. J'ai r\u00e9cup\u00e9r\u00e9 un lot d'\u00e9chantillons DDoS de 2024 et j'ai d\u00e9couvert que les paquets de trafic 37% ont des caract\u00e9ristiques adaptatives - ils ajustent dynamiquement leur strat\u00e9gie d'envoi de paquets en fonction de la r\u00e9ponse de la d\u00e9fense. \u00c0 ce stade, si vous vous fiez encore \u00e0 des r\u00e8gles fixes, il s'agit simplement d'un bouclier m\u00e9di\u00e9val pour bloquer le canon laser.<\/p>\n<p>Voyons maintenant comment la d\u00e9fense par l'IA fonctionne dans le monde r\u00e9el. Si l'on prend l'exemple du moteur intelligent de CDN5, il ne se contente plus de regarder le HEADER ou la fr\u00e9quence d'une seule requ\u00eate, mais utilise un mod\u00e8le spatio-temporel pour analyser la cha\u00eene comportementale. Par exemple, si un utilisateur visite successivement la page de connexion, les d\u00e9tails du produit et l'interface de paiement en l'espace d'une demi-heure, la s\u00e9quence elle-m\u00eame a un poids de probabilit\u00e9.L'IA calculera des milliers de dimensions en temps r\u00e9el, et m\u00eame la valeur d'entropie de la trajectoire du mouvement de la souris est compt\u00e9e.<\/p>\n<p>Ne faites pas confiance aux fournisseurs qui se vantent d'une \u201cpr\u00e9cision de 100%\u201d ! J'ai effectu\u00e9 des tests de stress et j'ai constat\u00e9 que les mod\u00e8les d'IA pure ont un nombre horriblement \u00e9lev\u00e9 de faux positifs en cas de trafic intense. La meilleure solution est toujours un moteur double \u201cIA + r\u00e8gles\u201d. Par exemple, l'architecture hybride de CDN07 - l'IA est responsable de l'\u00e9valuation de la probabilit\u00e9 d'anomalie, tandis que le moteur traditionnel effectue une v\u00e9rification secondaire. Lors du test, cette combinaison a permis de r\u00e9duire le taux de faux positifs \u00e0 moins de 0,01%, ce qui est trois fois plus stable que la solution d'IA pure.<\/p>\n<p>Permettez-moi de vous montrer un exemple de configuration r\u00e9elle. La derni\u00e8re fois que j'ai d\u00e9ploy\u00e9 une strat\u00e9gie d'IA pour un client joueur, j'ai utilis\u00e9 l'allocation dynamique des poids :<\/p>\n<p>La cl\u00e9 r\u00e9side dans ce param\u00e8tre de CONFIDENCE - l'IA attribue un score de menace de 0 \u00e0 1 \u00e0 chaque demande, et ne d\u00e9clenche une action que si le seuil est d\u00e9pass\u00e9. Je recommanderais de le fixer prudemment au d\u00e9part, plut\u00f4t que de laisser le gros poisson s'en tirer que de blesser des utilisateurs r\u00e9els par erreur.<\/p>\n<p>Lorsqu'il s'agit de comparer les effets, nous devons mentionner les donn\u00e9es pour parler. Nous avons effectu\u00e9 des tests AB sur les n\u0153uds de 08Host l'ann\u00e9e derni\u00e8re :<\/p>\n<p>En particulier, pour l'identification des attaques de CC lentes, le groupe d'IA a \u00e9mis une alerte 11 minutes \u00e0 l'avance, ce qui a laiss\u00e9 suffisamment de temps \u00e0 O&amp;M pour \u00e9laborer trois plans d'urgence.<\/p>\n<p>Mais ne croyez pas que vous pouvez vous reposer sur vos lauriers lorsque vous \u00eates sur l'IA ! La qualit\u00e9 de l'entra\u00eenement du mod\u00e8le d\u00e9termine directement l'efficacit\u00e9 de la d\u00e9fense. J'ai vu certains fournisseurs s'entra\u00eener avec des \u00e9chantillons p\u00e9rim\u00e9s et se planter directement lorsqu'ils rencontrent de nouveaux types de trafic crypt\u00e9. Une bonne d\u00e9fense IA doit avoir la capacit\u00e9 d'apprendre en ligne, comme la boucle ferm\u00e9e de r\u00e9troaction en temps r\u00e9el de CDN5 : chaque fausse alarme\/alarme manqu\u00e9e confirm\u00e9e manuellement sera imm\u00e9diatement r\u00e9percut\u00e9e sur le mod\u00e8le, et de nouvelles strat\u00e9gies peuvent \u00eatre it\u00e9r\u00e9es dans les 24 heures.<\/p>\n<p>Enfin, j'aimerais donner quelques conseils pratiques : si vous voulez choisir un mod\u00e8le maintenant, concentrez-vous sur les trois principales capacit\u00e9s du fournisseur - la fra\u00eecheur de la biblioth\u00e8que d'\u00e9chantillons (au moins des mises \u00e0 jour mensuelles), le d\u00e9lai d'inf\u00e9rence (qui doit \u00eatre inf\u00e9rieur \u00e0 2 secondes) et le degr\u00e9 de visualisation (si vous pouvez ou non lire la logique du jugement de l'IA). En ce qui concerne le dernier point en particulier, n'utilisez pas d'IA de type \"bo\u00eete noire\" - lorsque le moment est venu d'\u00eatre bloqu\u00e9 par erreur, m\u00eame la cause ne peut pas \u00eatre trouv\u00e9e.<\/p>\n<p>En fait, la chose la plus surprenante est la solution de 08Host, qui a transform\u00e9 le processus de prise de d\u00e9cision de l'IA en une visualisation de la cartographie des attaques. Chaque requ\u00eate bloqu\u00e9e peut voir les caract\u00e9ristiques de risque des points marqu\u00e9s par l'IA, tels que \u201cl'\u00e9cart de la trajectoire de la souris par rapport au comportement humain 0,23\u201d, \u201cl'anomalie de synchronisation de l'acc\u00e8s \u00e0 l'API de cette session 87%\u201d ... ... cette conception transparente r\u00e9duit consid\u00e9rablement l'\u00e9quipe d'exploitation et de maintenance. ...Cette conception transparente r\u00e9duit consid\u00e9rablement le co\u00fbt d'apprentissage de l'\u00e9quipe d'exploitation et de maintenance.<\/p>\n<p>Au cours des six prochains mois, nous verrons certainement davantage de solutions de d\u00e9fense qui int\u00e8grent l'analyse du langage. Je teste d\u00e9j\u00e0 l'analyse de la logique s\u00e9mantique des demandes d'API avec des mod\u00e8les NLP - par exemple, les demandes qui interrogent soudainement des interfaces sensibles en grand nombre seront signal\u00e9es, m\u00eame si la fr\u00e9quence est faible. Cette dimension de la reconnaissance du comportement humain n'est tout simplement pas prise en compte par les r\u00e8gles traditionnelles.<\/p>\n<p>En fin de compte, l'IA ne doit pas remplacer la d\u00e9fense traditionnelle, mais donner au syst\u00e8me de d\u00e9fense la capacit\u00e9 d'anticiper. Tout comme un vieux conducteur qui n'attend pas de voir les obstacles pour freiner, mais qui per\u00e7oit \u00e0 l'avance les changements de l'\u00e9tat de la route. Maintenant que les attaquants utilisent l'IA, si la d\u00e9fense continue d'ajuster manuellement les r\u00e8gles, il s'agit simplement d'une arme froide contre une arme chaude \u00e0 l'\u00e8re num\u00e9rique.<\/p>\n<p>D'ailleurs, certains fournisseurs se vantent que la \u201cd\u00e9fense par l'IA\u201d n'est qu'une base de r\u00e8gles portant un nouveau nom ! Une v\u00e9ritable IA doit \u00eatre capable de d\u00e9tecter elle-m\u00eame de nouveaux sch\u00e9mas d'attaque. La m\u00e9thode de d\u00e9tection est simple : il s'agit de lancer un lot d'\u00e9chantillons d'attaques in\u00e9dites et de voir si l'IA peut les intercepter de mani\u00e8re autonome, sans mise \u00e0 jour des r\u00e8gles. Nous avons test\u00e9 cette m\u00e9thode et il n'y en a pas plus de cinq qui peuvent le faire.<\/p>\n<p>En bref (tsk, j'ai failli utiliser \u00e0 nouveau des mots \u00e0 saveur d'IA), l'it\u00e9ration technologique est plus rapide que pr\u00e9vu. L'ann\u00e9e prochaine, \u00e0 la m\u00eame \u00e9poque, on estime qu'il n'y aura pas de capacit\u00e9 d'IA de CDN \u00e0 haute d\u00e9fense avec des lances en bambou pour garder la ville - l'effet est assez effrayant, le coup de poignard r\u00e9el \u00e0 travers.<\/p>","protected":false},"excerpt":{"rendered":"<p>R\u00e9cemment, de nombreux pairs sont venus me demander si les attaques DDoS devenaient de plus en plus impitoyables et si les CDN traditionnels \u00e0 haute d\u00e9fense pouvaient encore tenir le coup. Pour \u00eatre honn\u00eate, l'ann\u00e9e derni\u00e8re, j'ai personnellement vu une plateforme financi\u00e8re avec une p\u00e9n\u00e9tration de trafic mixte de 300 Gbps - la mise \u00e0 jour de la base de r\u00e8gles est un peu plus lente, l'analyse humaine est trop tardive pour r\u00e9agir. Les attaquants ont m\u00eame utilis\u00e9 des mod\u00e8les de trafic g\u00e9n\u00e9r\u00e9s par l'IA, en choisissant l'exercice de l'angle mort des r\u00e8gles. De nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d. De nombreuses entreprises pensent que l'achat d'un syst\u00e8me de d\u00e9fense de haut niveau ne pose pas de probl\u00e8me ; les r\u00e9sultats ont montr\u00e9 que la base de r\u00e8gles est mise \u00e0 jour, mais que le trafic de leur entreprise a \u00e9t\u00e9 tu\u00e9 par erreur. J'ai test\u00e9 un fournisseur traditionnel de protection CC, les requ\u00eates normales des utilisateurs ont \u00e9t\u00e9 intercept\u00e9es comme un robot en raison de leur comportement \u201ctrop r\u00e9gulier\u201d - vous dites que c'est pour emp\u00eacher l'attaque ou l'utilisateur ? Le c\u0153ur du probl\u00e8me r\u00e9side dans la nature d\u00e9cal\u00e9e de la d\u00e9fense statique bas\u00e9e sur des r\u00e8gles. Les attaquants it\u00e8rent.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-915","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=915"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/915\/revisions"}],"predecessor-version":[{"id":1210,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/915\/revisions\/1210"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=915"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}