감지 규칙

이 페이지는 ApigeeApigee Hybrid에 적용됩니다.

Apigee Edge 문서 보기

지능화된 API 보안은 감지 규칙을 사용하여 API 트래픽에서 악의적인 활동을 나타낼 수 있는 비정상적인 패턴을 감지합니다. 이러한 규칙에는 실제 API 데이터로 학습된 머신러닝 모델과 알려진 API 위협을 기반으로 하는 설명 규칙이 모두 포함됩니다.

다음 표에는 감지 규칙과 설명이 나와 있습니다.

감지 규칙 설명

악의적인 목적으로 API에서 타겟팅한 정보를 추출하는 프로세스인 API 스크래핑을 감지하는 머신러닝 모델입니다.

API 트래픽에서 비정상적인 이벤트 패턴인 이상치를 감지하는 머신러닝 모델입니다. 고급 이상 감지 정보를 참조하세요.
무작위 추측자 이전 24시간 동안 응답 오류의 더 큰 비율
Flooder 5분 동안 IP 주소에서 높은 트래픽 비율
OAuth Abuser 이전 24시간 동안 소규모 사용자 에이전트가 포함된 많은 OAuth 세션 수
Robot Abuser 이전 24시간 동안 많은 403 거부 오류 수
Static Content Scraper 5분 동안 IP 주소에서 응답 페이로드 크기가 높은 비율
TorListRule Tor 종료 노드 IP 목록입니다. Tor 종료 노드는 트래픽이 인터넷으로 나가기 전 Tor 네트워크를 통과하는 마지막 Tor 노드입니다. Tor 종료 노드를 감지하면 에이전트가 악의적인 목적으로 트래픽을 Tor 네트워크에서 API로 전송했음을 나타냅니다.

고급 이상 감지 정보

고급 이상 감지 알고리즘은 오류율, 트래픽 볼륨, 요청 크기, 지연 시간, 위치정보, 환경 수준의 기타 트래픽 메타데이터와 같은 요소를 고려하여 API 트래픽에서 학습합니다. 트래픽 패턴에 큰 변화(예: 트래픽, 오류율 또는 지연 시간 급증)가 있으면 모델은 감지된 트래픽에서 이상치에 기여한 IP 주소를 신고합니다.

또한 이상 감지와 보안 작업을 결합하여 모델에서 비정상으로 감지한 트래픽을 자동으로 신고하거나 거부할 수 있습니다. 자세한 내용은 'Apigee 지능화된 API 보안의 보안 작업을 사용하여 의심스러운 트래픽 신고 및 차단' 커뮤니티 게시물을 참조하세요.

모델 동작

악의적인 행위자가 모델을 악용할 위험을 줄이기 위해 모델 작동 방식이나 사고 감지 방식에 대한 구체적인 세부정보를 공개하지 않습니다. 하지만 이 추가 정보는 이상 감지를 최대한 활용하는 데 도움이 될 수 있습니다.

  • 계절 변동 고려: 모델은 트래픽 데이터를 기반으로 학습되므로 트래픽 데이터에 해당 패턴의 이전 데이터(예: 전년도의 같은 휴일)가 포함된 경우 계절별 트래픽 변동(예: 휴일 트래픽)을 인식하고 설명할 수 있습니다.
  • 이상치 표시:
    • 기존 Apigee 및 Hybrid 고객의 경우: 최소 2주 이상의 이전 API 트래픽 데이터를 보유하고 더 정확한 결과를 얻으려면 12주의 이전 데이터를 보유하는 것이 좋습니다. 고급 이상 감지는 모델 학습을 선택한 후 6시간 이내에 이상을 표시하기 시작합니다.
    • 신규 Apigee 사용자: 최소 2주의 이전 데이터를 보유하고 있는 경우 선택한지 6시간 후에 모델에서 이상치를 표시하기 시작합니다. 하지만 감지된 이상치에 대해 조치를 취할 때는 모델에 최소 12주 이상의 학습 데이터가 확보될 때까지 주의해야 합니다. 모델은 시간이 지날수록 정확해지도록 이전 트래픽 데이터를 기반으로 지속적으로 학습됩니다.

제한사항

악용 감지 고급 이상 감지:

  • 이상치는 환경 수준에서 감지됩니다. 현재 개별 프록시 수준에서의 이상 감지는 지원되지 않습니다.
  • 현재 VPC-SC 고객에게는 이상 감지가 지원되지 않습니다.

머신러닝 및 감지 규칙

지능화된 API 보안은 Google의 머신러닝 알고리즘으로 빌드된 모델을 사용하여 API에 대한 보안 위협을 감지합니다. 이러한 모델은 알려진 보안 위협이 포함된 실제 API 트래픽 데이터 세트(사용 설정된 경우 현재 트래픽 데이터 포함)로 사전 학습됩니다. 따라서 이 모델은 API 스크래핑 및 이상치와 같은 비정상적인 API 트래픽 패턴과 유사한 패턴을 기반으로 클러스터 이벤트까지 함께 인식하도록 학습합니다.

감지 규칙 중 두 가지는 머신러닝 모델을 기반으로 합니다.

  • 지능화된 API 스크래퍼
  • 지능화된 이상 감지