A segurança avançada da API usa regras de deteção para detetar padrões invulgares no tráfego da API que possam representar atividade maliciosa. Estas regras incluem modelos de aprendizagem automática, preparados com dados reais da API, e regras descritivas, baseadas em tipos conhecidos de ameaças à API.
A tabela seguinte lista as regras de deteção e as respetivas descrições.
Regra de deteção
Descrição
Um modelo de aprendizagem automática que
deteta a extração de dados de APIs, que é o processo de extração de
informações segmentadas de APIs para fins maliciosos.
Um modelo de aprendizagem automática para detetar anomalias, ou seja, padrões invulgares de eventos, no tráfego da API. Consulte o artigo Acerca da deteção de anomalias avançada.
Brute Guessor
Proporção elevada de erros de resposta durante as 24 horas anteriores
Flooder
Proporção elevada de tráfego de um endereço IP num período de 5 minutos
Abusador de OAuth
Grande número de sessões de OAuth com um pequeno número de agentes do utilizador durante as 24 horas anteriores
Robot Abuser
Grande número de erros de rejeição 403 nas últimas 24 horas
Static Content Scraper
Proporção elevada do tamanho do payload de resposta de um endereço IP num período de 5 minutos
TorListRule
Lista de IPs de nós de saída do Tor. Um nó de saída do Tor é o último nó do Tor através do qual o tráfego passa
na rede Tor
antes de sair para a Internet. A deteção de nós de saída do Tor indica que
um agente enviou tráfego para as suas APIs a partir da rede Tor, possivelmente para
fins maliciosos.
Acerca da Deteção de anomalias avançada
O algoritmo de deteção de anomalias avançado aprende com o seu tráfego de API, tendo em conta fatores como as taxas de erro, o volume de tráfego, o tamanho do pedido, a latência, a geolocalização e outros metadados de tráfego ao nível do ambiente. Se existirem alterações significativas nos padrões de tráfego (por exemplo, um aumento repentino no tráfego, nas taxas de erro ou na latência), o modelo sinaliza o endereço IP que contribuiu para a anomalia no tráfego detetado.
Para reduzir o risco de os autores de ameaças poderem explorar o modelo, não expomos detalhes específicos
sobre o funcionamento do modelo ou a forma como os incidentes são detetados. No entanto, estas informações adicionais podem ajudar a tirar o máximo partido da deteção de anomalias:
Ter em conta a variação sazonal: uma vez que o modelo é preparado com base nos seus dados de tráfego, este pode reconhecer e ter em conta as variações sazonais do tráfego (como o tráfego da época festiva), se os seus dados de tráfego incluírem dados anteriores relativos a esse padrão, como a mesma época festiva num ano anterior.
Apresentar anomalias:
Para clientes existentes do Apigee e híbridos: o Apigee recomenda que tenha, pelo menos, 2 semanas de dados do histórico de tráfego da API e, para resultados mais precisos, é preferível ter 12 semanas de histórico de dados. A deteção de anomalias avançada
começa a apresentar anomalias no prazo de seis horas após a ativação da preparação do modelo.
Novos utilizadores do Apigee: o modelo começa a apresentar anomalias 6 horas após a ativação, se tiver um mínimo de 2 semanas de dados do histórico.
No entanto, recomendamos que tenha cuidado ao tomar medidas com base em anomalias detetadas até que o modelo tenha, pelo menos, 12 semanas de dados para a preparação. O modelo é preparado continuamente com os seus dados de tráfego do histórico para se tornar mais preciso ao longo do tempo.
Limitações
Para a Deteção de anomalias avançada de deteção de abusos:
As anomalias são detetadas ao nível do ambiente. De momento, a deteção de anomalias ao nível de um proxy individual não é suportada.
De momento, a deteção de anomalias não é suportada para clientes do VPC-SC.
Regras de aprendizagem automática e deteção
A segurança avançada de APIs usa modelos criados com os algoritmos de aprendizagem automática da Google para detetar ameaças de segurança às suas APIs. Estes modelos são pré-preparados em conjuntos de dados de tráfego de API reais (incluindo os seus dados de tráfego atuais, se ativados) que contêm ameaças de segurança conhecidas. Como resultado,
os modelos aprendem a reconhecer padrões de tráfego de API invulgares, como a extração de dados da API e anomalias,
e agrupam eventos com base em padrões semelhantes.
Duas das regras de deteção baseiam-se em modelos de aprendizagem automática:
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eThis page provides information about Advanced API Security features in Apigee and Apigee hybrid.\u003c/p\u003e\n"],["\u003cp\u003eAdvanced API Security uses detection rules, including machine learning models and descriptive rules, to identify unusual patterns in API traffic that might indicate malicious activity.\u003c/p\u003e\n"],["\u003cp\u003eThe detection rules include machine learning models like "Advanced API Scraper" and "Advanced Anomaly Detection," which are trained on real API traffic data to identify patterns indicative of security threats.\u003c/p\u003e\n"],["\u003cp\u003eOther detection rules include "Brute Guessor," "Flooder," "OAuth Abuser," "Robot Abuser," "Static Content Scraper," and "TorListRule", each targeting specific types of potential API abuse.\u003c/p\u003e\n"],["\u003cp\u003eSecurity incidents, which are groups of similar events representing security threats, can be triggered by one or multiple detection rules.\u003c/p\u003e\n"]]],[],null,["# Detection rules\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nAdvanced API Security uses *detection rules* to detect unusual patterns in\nAPI traffic that could represent malicious activity. These rules include both\nmachine learning models, trained on real API data, and descriptive rules,\nbased on known types of API threats.\n| **Note:** The Advanced API Security [Abuse detection](/apigee/docs/api-security/abuse-detection) page uses detection rules to detect security incidents. A security incident is a group of events with similar patterns that could represent a security threat. Note that one incident might be triggered by multiple detection rules, in which case all of the rules that triggered the incident are listed in the Abuse detection [Environment details](/apigee/docs/api-security/abuse-detection#environment-details) view.\n\nThe following table lists the detection rules and their descriptions.\n\nAbout Advanced Anomaly Detection\n--------------------------------\n\nThe Advanced Anomaly Detection algorithm learns from your API traffic, taking into account\nfactors like error rates, traffic volume, request size, latency, geolocation, and other traffic\nmetadata at the environment level. If there are significant shifts in traffic patterns (for\nexample, a surge in traffic, error rates, or latency), the model flags the IP address that\ncontributed to the anomaly in Detected Traffic.\n| **Note:** Use of Advanced Anomaly Detection requires opting in to training the model on your API traffic data. For more information, see [Opt in for machine learning models for Abuse Detection](/apigee/docs/api-security/abuse-detection#opt-in-for-machine-learning-models-for-machine-learning).\n\nYou can also combine anomaly detection with\n[security actions](/apigee/docs/api-security/security-actions) to automatically flag\nor deny traffic that is detected as anomalous by the model. See the\n[\"Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic\"\ncommunity post](https://www.googlecloudcommunity.com/gc/Cloud-Product-Articles/Using-Apigee-Advanced-API-Security-s-Security-Actions-to-Flag/ta-p/842645) for additional information.\n\n### Model behavior\n\nTo reduce the risk that bad actors can exploit the model, we do not expose specific details\nabout how the model works or how incidents are detected. However, this additional\ninformation can help you make the best use of anomaly detection:\n\n- **Accounting for seasonal variance:**Because the model is trained on your traffic data, it can recognize and account for seasonal traffic variances (such as holiday traffic), if your traffic data includes previous data for that pattern, such as the same holiday in a previous year.\n- **Surfacing anomalies:**\n - **For existing Apigee and hybrid customers:** Apigee recommends that you have at least 2 weeks of historical API traffic data and, for more accurate results 12 weeks of historical data is preferable. Advanced Anomaly Detection starts surfacing anomalies within six hours of opting in to model training.\n - **New Apigee users:** The model starts surfacing anomalies 6 hours after opt-in, if you have a minimum of 2 weeks of historical data. However, we recommend using caution when acting on detected anomalies until the model has at least 12 weeks of data for training. The model is continuously trained on your historical traffic data so that it becomes more accurate over time.\n\n### Limitations\n\nFor Abuse Detection Advanced Anomaly Detection:\n\n- Anomalies are detected at the environment level. Anomaly detection at an individual proxy level is not supported at this time.\n- Anomaly detection is not supported for VPC-SC customers at this time.\n\nMachine learning and detection rules\n------------------------------------\n\nAdvanced API Security uses models built with Google's machine learning algorithms to\ndetect security threats to your APIs. These models are pre-trained on real\nAPI traffic data sets (including your current traffic data, if enabled) that contain known\nsecurity threats. As a result,\nthe models learn to recognize unusual API traffic patterns, such as API scraping and anomalies,\nand cluster events together based on similar patterns.\n\nTwo of the detection rules are based on machine learning models:\n\n- Advanced API Scraper\n- Advanced Anomaly Detection\n\n| **Note:** The data used to train the machine learning models for the rules Advanced API Scraper and Advanced Anomaly Detection contain metadata, including source IP address, source geography, and the values of some HTTP request headers. However, the detection data received by the models do not include the actual values of this metadata. The model makes detections based on the statistical properties of the data, not on the values of the metadata."]]
