La seguridad avanzada de las APIs usa reglas de detección para detectar patrones inusuales en el tráfico de las APIs que podrían representar actividad maliciosa. Estas reglas incluyen tanto modelos de aprendizaje automático, entrenados con datos de APIs reales, como reglas descriptivas, basadas en tipos conocidos de amenazas de APIs.
En la siguiente tabla se indican las reglas de detección y sus descripciones.
Regla de detección
Descripción
Modelo de aprendizaje automático que detecta el raspado de APIs, que es el proceso de extraer información específica de APIs con fines maliciosos.
Proporción elevada de errores de respuesta durante las últimas 24 horas
Flooder
Proporción elevada de tráfico procedente de una dirección IP en un periodo de 5 minutos
Usuario que abusa de OAuth
Gran número de sesiones de OAuth con un número reducido de user-agents durante las últimas 24 horas
Robot Abuser
Gran número de errores de rechazo 403 en las últimas 24 horas
Raspador de contenido estático
Proporción elevada del tamaño de la carga útil de la respuesta de una dirección IP en un periodo de 5 minutos
TorListRule
Lista de IPs de nodos de salida de Tor. Un nodo de salida de Tor es el último nodo de Tor por el que pasa el tráfico
en la red Tor
antes de salir a Internet. La detección de nodos de salida de Tor indica que un agente ha enviado tráfico a tus APIs desde la red Tor, posiblemente con fines maliciosos.
Acerca de la detección de anomalías avanzada
El algoritmo de detección de anomalías avanzada aprende del tráfico de tu API y tiene en cuenta factores como las tasas de error, el volumen de tráfico, el tamaño de las solicitudes, la latencia, la geolocalización y otros metadatos de tráfico a nivel de entorno. Si se producen cambios significativos en los patrones de tráfico (por ejemplo, un aumento repentino del tráfico, de las tasas de error o de la latencia), el modelo marca la dirección IP que ha contribuido a la anomalía en Tráfico detectado.
Para reducir el riesgo de que los agentes malintencionados puedan aprovechar el modelo, no exponemos detalles específicos sobre cómo funciona el modelo ni cómo se detectan los incidentes. Sin embargo, esta información adicional puede ayudarte a sacar el máximo partido a la detección de anomalías:
Tener en cuenta las variaciones estacionales: como el modelo se entrena con tus datos de tráfico, puede reconocer y tener en cuenta las variaciones estacionales del tráfico (como el tráfico de vacaciones) si tus datos de tráfico incluyen datos anteriores de ese patrón, como las mismas vacaciones de un año anterior.
Detectar anomalías:
Para los clientes actuales de Apigee y de la solución híbrida: Apigee recomienda que tengas al menos dos semanas de datos históricos de tráfico de APIs. Para obtener resultados más precisos, es preferible que tengas 12 semanas de datos históricos. La detección avanzada de anomalías
empieza a mostrar anomalías en un plazo de seis horas después de habilitar el entrenamiento del modelo.
Nuevos usuarios de Apigee: el modelo empieza a mostrar anomalías 6 horas después de habilitarlo, si tiene un mínimo de 2 semanas de datos históricos.
Sin embargo, te recomendamos que actúes con precaución ante las anomalías detectadas hasta que el modelo tenga al menos 12 semanas de datos para el entrenamiento. El modelo se entrena continuamente con tu historial de datos de tráfico para que sea más preciso con el tiempo.
Limitaciones
Para la detección de abusos con detección de anomalías avanzada:
Las anomalías se detectan a nivel de entorno. En este momento, no se admite la detección de anomalías a nivel de proxy individual.
Por el momento, no se admite la detección de anomalías para los clientes de VPC-SC.
Aprendizaje automático y reglas de detección
Advanced API Security usa modelos creados con los algoritmos de aprendizaje automático de Google para detectar amenazas de seguridad en tus APIs. Estos modelos se han entrenado previamente con conjuntos de datos de tráfico de APIs reales (incluidos tus datos de tráfico actuales, si están habilitados) que contienen amenazas de seguridad conocidas. Como resultado, los modelos aprenden a reconocer patrones de tráfico de API inusuales, como el raspado de APIs y las anomalías, y agrupan los eventos en clústeres en función de patrones similares.
Dos de las reglas de detección se basan en modelos de aprendizaje automático:
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)."],[[["\u003cp\u003eThis page provides information about Advanced API Security features in Apigee and Apigee hybrid.\u003c/p\u003e\n"],["\u003cp\u003eAdvanced API Security uses detection rules, including machine learning models and descriptive rules, to identify unusual patterns in API traffic that might indicate malicious activity.\u003c/p\u003e\n"],["\u003cp\u003eThe detection rules include machine learning models like "Advanced API Scraper" and "Advanced Anomaly Detection," which are trained on real API traffic data to identify patterns indicative of security threats.\u003c/p\u003e\n"],["\u003cp\u003eOther detection rules include "Brute Guessor," "Flooder," "OAuth Abuser," "Robot Abuser," "Static Content Scraper," and "TorListRule", each targeting specific types of potential API abuse.\u003c/p\u003e\n"],["\u003cp\u003eSecurity incidents, which are groups of similar events representing security threats, can be triggered by one or multiple detection rules.\u003c/p\u003e\n"]]],[],null,["# Detection rules\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nAdvanced API Security uses *detection rules* to detect unusual patterns in\nAPI traffic that could represent malicious activity. These rules include both\nmachine learning models, trained on real API data, and descriptive rules,\nbased on known types of API threats.\n| **Note:** The Advanced API Security [Abuse detection](/apigee/docs/api-security/abuse-detection) page uses detection rules to detect security incidents. A security incident is a group of events with similar patterns that could represent a security threat. Note that one incident might be triggered by multiple detection rules, in which case all of the rules that triggered the incident are listed in the Abuse detection [Environment details](/apigee/docs/api-security/abuse-detection#environment-details) view.\n\nThe following table lists the detection rules and their descriptions.\n\nAbout Advanced Anomaly Detection\n--------------------------------\n\nThe Advanced Anomaly Detection algorithm learns from your API traffic, taking into account\nfactors like error rates, traffic volume, request size, latency, geolocation, and other traffic\nmetadata at the environment level. If there are significant shifts in traffic patterns (for\nexample, a surge in traffic, error rates, or latency), the model flags the IP address that\ncontributed to the anomaly in Detected Traffic.\n| **Note:** Use of Advanced Anomaly Detection requires opting in to training the model on your API traffic data. For more information, see [Opt in for machine learning models for Abuse Detection](/apigee/docs/api-security/abuse-detection#opt-in-for-machine-learning-models-for-machine-learning).\n\nYou can also combine anomaly detection with\n[security actions](/apigee/docs/api-security/security-actions) to automatically flag\nor deny traffic that is detected as anomalous by the model. See the\n[\"Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic\"\ncommunity post](https://www.googlecloudcommunity.com/gc/Cloud-Product-Articles/Using-Apigee-Advanced-API-Security-s-Security-Actions-to-Flag/ta-p/842645) for additional information.\n\n### Model behavior\n\nTo reduce the risk that bad actors can exploit the model, we do not expose specific details\nabout how the model works or how incidents are detected. However, this additional\ninformation can help you make the best use of anomaly detection:\n\n- **Accounting for seasonal variance:**Because the model is trained on your traffic data, it can recognize and account for seasonal traffic variances (such as holiday traffic), if your traffic data includes previous data for that pattern, such as the same holiday in a previous year.\n- **Surfacing anomalies:**\n - **For existing Apigee and hybrid customers:** Apigee recommends that you have at least 2 weeks of historical API traffic data and, for more accurate results 12 weeks of historical data is preferable. Advanced Anomaly Detection starts surfacing anomalies within six hours of opting in to model training.\n - **New Apigee users:** The model starts surfacing anomalies 6 hours after opt-in, if you have a minimum of 2 weeks of historical data. However, we recommend using caution when acting on detected anomalies until the model has at least 12 weeks of data for training. The model is continuously trained on your historical traffic data so that it becomes more accurate over time.\n\n### Limitations\n\nFor Abuse Detection Advanced Anomaly Detection:\n\n- Anomalies are detected at the environment level. Anomaly detection at an individual proxy level is not supported at this time.\n- Anomaly detection is not supported for VPC-SC customers at this time.\n\nMachine learning and detection rules\n------------------------------------\n\nAdvanced API Security uses models built with Google's machine learning algorithms to\ndetect security threats to your APIs. These models are pre-trained on real\nAPI traffic data sets (including your current traffic data, if enabled) that contain known\nsecurity threats. As a result,\nthe models learn to recognize unusual API traffic patterns, such as API scraping and anomalies,\nand cluster events together based on similar patterns.\n\nTwo of the detection rules are based on machine learning models:\n\n- Advanced API Scraper\n- Advanced Anomaly Detection\n\n| **Note:** The data used to train the machine learning models for the rules Advanced API Scraper and Advanced Anomaly Detection contain metadata, including source IP address, source geography, and the values of some HTTP request headers. However, the detection data received by the models do not include the actual values of this metadata. The model makes detections based on the statistical properties of the data, not on the values of the metadata."]]
