本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
Advanced API Security 使用检测规则来检测 API 流量中的异常模式,这些异常模式可能表示恶意活动。这些规则包括使用真实 API 数据训练的机器学习模型和基于已知 API 威胁类型的描述性规则。
下表列出了检测规则及其说明
检测规则 | 说明 |
---|---|
检测 API 爬取的机器学习模型,这是从 API 中提取目标信息以发现恶意目的的过程。 | |
检测 API 流量异常(异常事件模式)的机器学习模型。 | |
Brute Guessor | 过去 24 小时内响应错误的比例较高 |
Flooder | 5 分钟内,来自某个 IP 的流量比例较高 |
OAuth Abuser | 过去 24 小时内少量用户代理的 OAuth 会话数量较多 |
Robot Abuser | 过去 24 小时内出现大量 403 拒绝错误 |
静态内容爬取器 | 5 分钟内来自 IP 的响应载荷大小的比例较高 |
TorListRule | Tor 退出节点 IP 列表。Tor 退出节点是流量在退出到互联网之前通过 Tor 网络中的最后一个 Tor 节点。检测 Tor 退出节点表示代理从 Tor 网络向您的 API 发送了流量,这可能是出于恶意目的。 |
机器学习和检测规则
Advanced API Security 使用通过 Google 的机器学习算法构建的模型来检测 API 的安全威胁。这些模型使用包含已知安全威胁的真实 API 流量数据集(而不是您的当前流量数据)进行预训练。因此,这些模型会学习识别异常的 API 流量模式(例如 API 抓取和异常),并根据类似的模式将事件归为一组。
上面列出的两个检测规则基于机器学习模型:
- Advanced API Scraper
- Advanced Anomaly Detection