Проблема: Обнаружение несанкционированного использования внешних AI-сервисов (ChatGPT, Claude, Copilot и др.) сотрудниками через корпоративный шлюз, когда трафик маскируется или идёт в обход политик (BYOD, личные VPN, прокси).

Причины:
1. Отсутствие явного списка разрешённых AI-доменов и IP.
2. Использование HTTPS (TLS) — содержимое зашифровано.
3. Туннелирование AI-запросов через мессенджеры (Telegram, Discord) или сторонние API-прокси.
4. Детект по User-Agent затруднён из-за подмены (например, curl, libcurl).

Решение (только легальные методы, ст. 13.11, 138.1 УК РФ не нарушаем — анализ логов и DPI на шлюзе с информированием сотрудников):

1. Анализ DNS-запросов — перехват логов DNS-сервера (BIND, Unbound, Pi‑hole) или логов сетевого экрана. Ищите:
- домены AI-провайдеров: `.openai.com`, `.anthropic.com`, `.copilot.microsoft.com`, `.deepseek.com` и др.
- подозрительные subdomains: `api-.openai.com`, `inference..anthropic.com`
- Пример команды (для Zeek/Bro):
`grep -E "openai|anthropic|deepseek" /var/log/zeek/dns.log`

2. Анализ TLS SNI (Server Name Indication) — на шлюзе (например, nginx, HAProxy, pfSense) логируйте SNI из handshake.
- Фильтр: `tshark -i eth0 -Y "tls.handshake.extensions_server_name" -T fields -e tls.handshake.extensions_server_name | grep -E "openai|anthropic"`
- Ложные срабатывания: CDN (Cloudflare) — часть AI-сервисов скрывается за общими CDN-доменами. Проверяйте через SSL-сертификат (Common Name).

3. Анализ HTTP/2 и QUIC — AI-сервисы используют gRPC/WebSocket через HTTP/2.
- Инструмент `suricata` / `nDPI`: обнаружение протоколов `openai`, `chatgpt`, `anthropic`.
- Правило Suricata:
`alert tls any any -> any any (msg:"ChatGPT SNI Detected"; tls.sni; content:"openai.com"; classtype:policy-violation; sid:1000001;)`

4. Корреляция с DLP — если трафик шифрован, ищите характерные размеры пакетов:
- AI-запросы («промпты») обычно +1–4 КБ, ответы («генерация») — 8–64 КБ.
- Используйте `ncapt` или `tcpdump` для анализа распределения длин пакетов на порт 443.

5. Обход через прокси/VPN:
- Логируйте подключения к публичным VPN-серверам (WireGuard, OpenVPN) по DNS/SNI.
- Выявляйте аномалии: резкий рост трафика на один IP за короткое время (паттерн «запрос-ответ» с интервалом 1–5 с).

Итоговый чек-лист для реализации:
- Настроить `Zeek` или `Suricata` на зеркало порта (SPAN).
- Включить логи DNS, TLS SNI, HTTP/2.
- Написать скрипт (Python/Bash) для поиска маркеров `openai`, `anthropic`, `claude`, `copilot` в логах.
- При выявлении — блокировка по IP/SNI на межсетевом экране (iptables, pf) с уведомлением сотрудника.