La détection des anomalies analyse le trafic vers votre domaine à la recherche de sessions (jetons) représentant un comportement anormal. Cela peut aider à identifier un comportement anormal provenant de :
- Bots
- Utilisateurs humains tentant de jouer avec la file d'attente ou votre site web
- Sessions de collaboration, telles que le partage de jetons entre utilisateurs
- Les services logiciels légitimes pris dans les files d'attente
Nos algorithmes de détection des anomalies utilisent l'analyse statistique pour analyser le trafic en temps réel, à l'aide d'une variété de mesures, notamment :
- Variété des URL demandés et tendance vers les URL qui intéressent les robots.
- Rapidité des demandes
- Adresses IP, langues et chaînes d'agents associées aux jetons
- Nombre de jetons provenant des adresses IP associées
- Âge de la session
- Géolocalisation
- Anomalies de la chaîne de l'agent
- Réputation d'IP, et drapeaux d'IP similaires provenant d'autres sites utilisant CrowdHandler
Ces facteurs sont utilisés pour établir une image des normes statistiques pour votre site web et vos salles d'attente. Les sessions anormales sont ensuite signalées. Vous pouvez enquêter sur des sessions individuelles pour prendre des décisions au cas par cas, ou fixer un seuil pour bannir les IP présentant un comportement anormal.
Pour commencer
La détection des anomalies est disponible sur les plans Professional et Enterprise. Pour trouver les sessions anormales, connectez-vous au panneau d'administration et cliquez sur l'onglet Sessions.
L'écran des sessions affiche tous les utilisateurs présents sur votre site web ou dans une salle d'attente, dans l'ordre de la file d'attente. Le score de risque (de 0 à 100) indique le degré d'anomalie de certaines sessions.
Vous pouvez utiliser le filtre de score minimum pour cibler les scores les plus anormaux. (Par exemple, fixez-le à 50 et appuyez sur Actualiser pour trouver toutes les sessions dont le score est supérieur à 50).
Vous pouvez également trier vos sessions à l'aide de la colonne des anomalies, de sorte que les sessions les plus anormales se trouvent en haut de l'écran.
Sessions d'enquête
Outre le score de risque d'anomalie, vous verrez d'autres informations sur la session qui peuvent vous aider à déterminer le niveau de risque de cette session. Il s'agit notamment de détails sur l'écran de l'agent et d'informations sur l'IP, y compris la géolocalisation, le fournisseur d'accès à Internet et la question de savoir si l'IP provient d'un centre de données ou utilise un réseau tel que TOR, ou est répertoriée dans une base de données d'abus.
Cliquez sur l'icône de la loupe pour examiner la session plus en détail. Vous verrez l'historique de la session, les sondages effectués dans les salles d'attente, la progression dans la file d'attente, les clics sur les URL, les changements d'IP et les informations sur l'agent. Vous verrez également une répartition des facteurs de risque contribuant au score de risque.
Agir
Vous devriez être en mesure de décider s'il s'agit d'une session légitime ou douteuse. En fonction de votre opinion, vous pouvez prendre un certain nombre de mesures immédiates à partir de cet écran :
Supprimer le jeton
Si vous avez une file d'attente active, la suppression du jeton aura pour effet de placer cet utilisateur en fin de file d'attente. Cette situation se produit même si l'utilisateur est déjà passé par la file d'attente et a accédé à votre site, ou s'il se trouve dans la file d'attente mais progresse vers l'avant. L'utilisateur ne sera pas informé de la raison, mais se retrouvera à la fin de la file d'attente. Si vous avez une file d'attente importante et que vous souhaitez accélérer le transit de vos utilisateurs légitimes, c'est la meilleure mesure à prendre.
Bloquer l'IP
Le blocage de l'IP signifie que toute session provenant de cette IP sera bloquée, y compris les sessions en cours. Les utilisateurs recevront une page de salle d'attente avec un message de blocage. Il s'agit de la meilleure mesure à prendre en cas de comportement douteux lorsque vous n'avez pas de file d'attente active. Par exemple, les scraper et les spinner bots. Le blocage d'une IP individuelle peut ne pas être efficace lorsque le jeton provient de plusieurs IP, bien que le blocage automatisé d'IP puisse être utile dans ce scénario.
Ignorer l'IP
Nous détectons un comportement anormal. Outre les mauvais acteurs, ce comportement peut signaler des services légitimes qui adressent des requêtes à votre site web. Par exemple, les services de surveillance de la disponibilité, les passerelles de paiement qui confirment les transactions : Services de surveillance du temps de fonctionnement, passerelles de paiement confirmant les transactions. Dans ces cas-là, vous pouvez souhaiter que l'adresse IP soit ignorée ou contournée. En plus d'empêcher ces services d'être pris dans les files d'attente, cela empêchera les jetons de ces IP d'être marqués par la détection d'anomalies à l'avenir.
Protection automatisée
Les sessions anormales et le trafic de robots représentent une part importante du trafic sur les sites web classiques. Il est donc probable que le suivi des sessions individuelles devienne rapidement fastidieux. Nous vous recommandons donc d'utiliser les contrôles du pare-feu pour bloquer automatiquement les sessions dont le score d'anomalie est supérieur à 95 % et de surveiller régulièrement ce seuil pour voir s'il peut être abaissé.
Si vous choisissez de ne pas bloquer du tout sur la base des seuils d'anomalie, par crainte de faux positifs, cette information sera toujours utilisée pour informer les recommandations de blocage d'IP et pour aider à maintenir les règles de blocage globales de CrowdHandler(auxquelles vous pouvez adhérer).