本頁內容適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
Advanced API Security 會使用偵測規則,偵測 API 流量中可能代表惡意活動的異常模式。這些規則包括以實際 API 資料訓練的機器學習模型,以及根據已知 API 威脅類型制定的描述性規則。
下表列出偵測規則和說明。
| 偵測規則 | 說明 |
|---|---|
這項機器學習模型可偵測 API 網頁抓取行為,也就是從 API 擷取特定資訊,以達到惡意目的的過程。 | |
| 機器學習模型,用於偵測 API 流量中的異常狀況 (異常事件模式)。請參閱「關於進階異常偵測」。 | |
| Brute Guessor | 過去 24 小時內,回應錯誤所占比例偏高 |
| Flooder | 在 5 分鐘內,來自某個 IP 位址的流量比例偏高 |
| OAuth 濫用者 | 過去 24 小時內,有大量 OAuth 工作階段,但使用者代理程式數量很少 |
| Robot Abuser | 過去 24 小時內發生大量 403 拒絕錯誤 |
| 靜態內容擷取器 | 在 5 分鐘內,來自 IP 位址的回應酬載大小比例偏高 |
| TorListRule | Tor 結束節點 IP 清單。Tor 結束節點是流量在 Tor 網路中通過的最後一個 Tor 節點,之後流量就會離開網路。偵測到 Tor 結束節點,表示有代理程式從 Tor 網路將流量傳送至您的 API,可能意圖不軌。 |
關於進階異常偵測
進階異常偵測演算法會從 API 流量中學習,並考量環境層級的錯誤率、流量、要求大小、延遲時間、地理位置和其他流量中繼資料等因素。如果流量模式出現顯著變化 (例如流量、錯誤率或延遲時間突然增加),模型會將導致「偵測到的流量」出現異常的 IP 位址標示為異常。
您也可以將異常偵測與安全性動作結合,自動標記或拒絕模型偵測到的異常流量。詳情請參閱「 Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic」(使用 Apigee Advanced API Security 的安全性動作,標記及封鎖可疑流量)社群貼文。
模型行為
為降低惡意行為者濫用模型的風險,我們不會公開模型的運作方式或事件偵測方式等具體細節。不過,這些額外資訊可協助您充分運用異常偵測功能:
- 考量季節性差異:由於模型是根據您的流量資料訓練而成,因此如果流量資料包含該模式的先前資料 (例如前一年的相同節慶),模型就能辨識並考量季節性流量差異 (例如節慶流量)。
- 顯示異常狀況:
- 現有 Apigee 和混合式客戶:Apigee 建議您至少要有 2 週的歷來 API 流量資料,如要取得更準確的結果,最好有 12 週的歷來資料。啟用模型訓練後,進階異常偵測功能會在六小時內開始顯示異常狀況。
- Apigee 新使用者:如果歷來資料至少有 2 週,模型會在選擇加入後 6 小時開始顯示異常狀況。 不過,在模型至少有 12 週的訓練資料前,建議您謹慎處理偵測到的異常狀況。系統會持續使用歷來流量資料訓練模型,因此預估值會隨著時間變得更加準確。
限制
如要使用「濫用偵測進階異常偵測」:
- 系統會在環境層級偵測異常狀況。目前不支援在個別 Proxy 層級偵測異常。
- 目前不支援虛擬私有雲安全控管客戶使用異常偵測功能。
機器學習和偵測規則
Advanced API Security 會使用 Google 機器學習演算法建構的模型,偵測 API 的安全威脅。這些模型會預先使用真實的 API 流量資料集 (包括您目前的流量資料,如果已啟用) 進行訓練,其中包含已知的安全威脅。因此,模型會學習辨識異常的 API 流量模式 (例如 API 網頁擷取和異常狀況),並根據類似模式將事件歸類在一起。
其中兩項偵測規則是以機器學習模型為基礎:
- Advanced API Scraper
- 進階異常偵測