本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
Advanced API Security 使用检测规则来检测 API 流量中的异常模式,这些异常模式可能表示恶意活动。这些规则包括使用真实 API 数据训练的机器学习模型和基于已知 API 威胁类型的描述性规则。
下表列出了检测规则及其说明。
| 检测规则 | 说明 |
|---|---|
检测 API 爬取(这是从 API 中提取目标信息以用于恶意用途的过程)的机器学习模型。 | |
| 检测 API 流量中的异常值(异常事件模式)的机器学习模型。请参阅高级异常值检测简介。 | |
| Brute Guessor | 过去 24 小时内响应错误的比例较高 |
| Flooder | 5 分钟内,来自某个 IP 地址的流量比例较高 |
| OAuth Abuser | 过去 24 小时内少量用户代理的 OAuth 会话数量较多 |
| Robot Abuser | 过去 24 小时内出现大量 403 拒绝错误 |
| 静态内容爬取器 | 5 分钟内,来自某个 IP 地址的响应载荷大小比例较高 |
| TorListRule | Tor 退出节点 IP 列表。Tor 退出节点是流量在退出到互联网之前通过 Tor 网络中的最后一个 Tor 节点。检测 Tor 退出节点表示代理从 Tor 网络向您的 API 发送了流量,这可能是出于恶意目的。 |
高级异常值检测简介
高级异常值检测算法会从您的 API 流量中学习,在环境级别考虑错误率、流量、请求大小、延迟时间、地理位置和其他流量元数据等因素。如果流量模式发生显著变化(例如,流量、错误率或延迟时间激增),模型会在“检测到的流量”中标记导致异常值的 IP 地址。
您还可以将异常值检测与安全操作相结合,以自动标记或拒绝被模型检测为异常的流量。如需了解详情,请参阅“使用 Apigee Advanced API Security 的安全操作来标记和阻止可疑流量”社区帖子。
模型行为
为了降低作恶方利用模型的风险,我们未公开有关模型运作方式或事件检测方式的具体细节。不过,以下附加信息可帮助您充分利用异常值检测:
- 考虑季节性差异:由于模型是根据您的流量数据进行训练的,因此如果您的流量数据包含相应模式的先前数据(例如前一年同一节假日的数据),则模型可以识别并考虑季节性流量差异(例如节假日流量)。
- 显示异常值:
- 对于现有的 Apigee 和 Hybrid 客户:Apigee 建议您至少拥有 2 周的历史 API 流量数据,为获得更准确的结果,最好拥有 12 周的历史数据。高级异常值检测会在您选择启用模型训练后 6 小时开始显示异常值。
- 新 Apigee 用户:如果您有至少 2 周的历史数据,则在选择启用后 6 小时,模型会开始显示异常值。不过,我们建议您在模型至少具有 12 周的数据以用于训练之前,对检测到的异常值采取行动时需保持谨慎。模型会根据您的历史流量数据持续进行训练,因此随着时间的推移,其准确性会越来越高。
限制
对于滥用行为检测高级异常值检测:
- 系统会在环境级别检测异常值。目前不支持在单个代理级别进行异常值检测。
- 目前,不支持将异常值检测用于 VPC-SC 客户。
机器学习和检测规则
Advanced API Security 使用通过 Google 的机器学习算法构建的模型来检测 API 的安全威胁。这些模型使用包含已知安全威胁的真实 API 流量数据集(包括您的当前流量数据,如果已启用)进行预训练。因此,这些模型会学习识别异常的 API 流量模式(例如 API 抓取和异常),并根据类似的模式将事件归为一组。
其中两个检测规则基于机器学习模型:
- Advanced API Scraper
- Advanced Anomaly Detection