当前位置：首页 > news >正文

Bot 流量“假阳性”调优笔记

news 2025/8/20 6:57:37

日志里 80% 的 404 都来自同一个 User-Agent，但把它直接拉黑又怕误伤真用户。本文记录了我们如何用 150 行 Python 写出一个实时标记脚本，并把它无缝接入已有的高防 IP 回源链路。

背景

公司运营了一款小游戏，前端每 5 秒会轮询一次 /api/heartbeat 保活。
最近监控发现，该接口 404 率飙到 30%，但把出现 404 的 UA 拉黑后，日活直接掉 5%。显然里面混进了高仿爬虫，规则写太粗就会误杀。

思路：把“行为”抽象成特征，而不是死盯 UA

我们决定用一条极简的机器学习流水线：

采集：在高防 IP 回源段上开一个旁路端口，镜像 1% 流量到本地；
特征：把一次会话（IP + UA + 5 min 窗口）抽象成 4 个数值特征
- ratio_404：404 占比
- avg_interval：心跳间隔均值
- entropy_path：访问路径熵
- is_night：是否凌晨 0-6 点
模型：用 sklearn 现成的随机森林，正负样本各 1 万条，训练 30 s 搞定；
动作：模型输出概率 > 0.8 的会话，实时推送到高防 IP 的“自定义封禁 API”，30 秒生效。

关键代码

下面这段脚本跑在回源机房的一台 2C4G 小水管上，占用内存不到 30 MB。
核心依赖只有 pandas + scikit-learn，可以随镜像一起打包。

#!/usr/bin/env python3
import json, time, requests
from collections import defaultdict
from sklearn.ensemble import RandomForestClassifier
from sklearn.externals import joblibMODEL = joblib.load('bot_model.pkl')
API = 'https://api.anycast-clean.com/v1/ban '   # 高防 IP 提供的封禁接口
TOKEN = 'YOUR_SECRET_TOKEN'session = defaultdict(lambda: {'paths': [], 'codes': [], 'ts': []})def ingest(line):# 假设日志格式: 2025-08-19T12:00:00 ip ua path code_, ip, ua, path, code = line.strip().split(' ', 4)key = (ip, ua)session[key]['paths'].append(path)session[key]['codes'].append(int(code))session[key]['ts'].append(time.time())def features(rec):codes = rec['codes']paths = rec['paths']ts = rec['ts']ratio = codes.count(404) / len(codes)avg_iv = (max(ts) - min(ts)) / max(len(ts) - 1, 1)entropy = -sum(p * (p and (p := paths.count(x) / len(paths))) for x in set(paths))night = 0 <= time.localtime().tm_hour < 6return [ratio, avg_iv, entropy, night]def decide():for key, rec in list(session.items()):if len(rec['codes']) < 10:  # 数据不足continuevec = [features(rec)]prob = MODEL.predict_proba(vec)[0][1]if prob > 0.8:ip, ua = keyrequests.post(API, json={'ip': ip, 'ua': ua, 'ttl': 600}, headers={'X-Token': TOKEN})del session[key]if __name__ == '__main__':while True:line = input()ingest(line)if int(time.time()) % 30 == 0:decide()